La multiplicación de ataques y robos de datos siembra dudas sobre la seguridad del mundo digital, pero no frena su desarrollo
Desaparecen 81 millones de dólares del Banco Central de Bangladesh; Colin Powell llama a Donald Trump “una desgracia nacional”, mientras que un joven plantado en una esquina de Nueva York demuestra que puede hundir la ciudad en el caos en apenas unos minutos. Todas estas historias tienen un punto en común: la ciberseguridad. El mayor robo bancario de la historia se realizó utilizando programas maliciosos (malware en la jerga informática), mientras que el antiguo secretario de Estado de EE UU no despotricó en público contra el candidato republicano, lo hizo en un mail privado que acabó hace un par de semanas en las primeras páginas de la prensa de todo el mundo.
Cada vez más aspectos de nuestra vida están expuestos en la Red, mientras se avecina una revolución mucho más profunda de lo que hemos vivido hasta ahora:el Internet de las cosas que acabará por disolver las ya estrechas fronteras entre lo digital y lo físico. Actualmente, unos 3.000 millones de personas navegan por Internet (un 40% de la población mundial), pero en los próximos años miles de millones de cosas —coches, lavadoras, fábricas, aviones, televisiones, casas, pero también aparatos médicos como marcapasos— estarán conectadas y dependerán de la información que les proporciona la Red para operar.
“Se puede hackear cualquier cosa conectada a la web”, resume el argentino César Cerrudo, jefe de tecnología de la empresa de seguridad informática IOActive. Austin Berglas, antiguo agente del FBI responsable de ciberdefensa en la firma K2 Intelligence, asegura por su parte: “Conforme avanza la tecnología, poseemos cada vez más aparatos conectados a Internet, lo que significa que tenemos una creciente capacidad para operar, comunicarnos y trabajar remotamente. Sin embargo, eso significa también que proporcionamos más oportunidades para explotar nuestras vulnerabilidades de robar, secuestrar o destruir información”.
CHARLA CON EL EXPERTO EN CIBERSEGURIDAD ADOLFO HERNÁNDEZ
El próximo Lunes 3 de Octubre habrá una charla en directo con el experto en ciberseguridad y cofundador de Thiber, Adolfo Hernández. Manda tus preguntas al Facebook de EL PAIS Tecnología.
La mayoría de los expertos cree que la seguridad no está ni de lejos a la altura de la revolución en marcha, aunque siguen avanzando como si esto no fuese un problema. Aquellos que están mejor informados toman precauciones más intensas que el común de los mortales. En junio, el fundador de Facebook, Mark Zuckerberg, apareció con la cámara de su portátil tapada. Preguntado sobre el asunto, el director del FBI, James Comey, aseguró que todas las cámaras de los ordenadores en su agencia estaban también cubiertas. “Así evitas que una persona pueda observarte sin permiso. Es una buena medida”. No parece muy tranquilizador que el FBI considere inseguro algo con lo que convivimos constantemente: todos tenemos cámaras conectadas a la Red en diferentes formatos —teléfono, tableta, portátil, ordenador de mesa con una amplia visión de nuestro hogar— que pueden estar conectadas (y observándonos) sin que seamos conscientes.
Dos titulares recientes del Financial Times muestran la magnitud del problema general de la ciberseguridad: “Una simple bombilla puede convertirse en una forma de ataque cibernético” y “¿Se pueden hackear las elecciones de Estados Unidos?” (la respuesta a esta segunda pregunta, planteada después de que piratas rusos accediesen a bases de datos de votantes demócratas, es que, por ahora, no parece posible, aunque el solo hecho de que se plantee resulta bastante inquietante). Y no se trata únicamente de especulaciones sobre el futuro, el problema está en el presente: Yahoo reveló la semana pasada que 500 millones de cuentas fueron pirateadas en 2014, aunque la compañía ha tardado casi dos años en reconocer el saqueo. Es uno de los muchos robos de datos que se han producido en los últimos años.
El más grave de todos, la difusión a finales de 2014 de toda la información privada de la compañía Sony después de que estrenase un filme en el que se burlaba de Corea del Norte, provocó una crisis política en la que intervino el presidente Barack Obama y llevó a numerosos medios a hablar del fin de la privacidad. La compañía calcula que este ataque le costó 15 millones de dólares, sin contar los 8 millones con los que se vio obligada a indemnizar a sus empleados cuyos datos fueron robados y difundidos.
Cualquier cosa, cualquier información, cualquier dato, cualquier archivo que tengamos en Red —casi todos los que producimos, desde un pago con tarjeta hasta un mensaje de Whatsapp o una película vista en el ordenador— puede ser divulgado. Sólo en los últimos días se han denunciado hackeos de la cuenta de iCloud (básicamente toda la información de su móvil) de Pippa Middleton,hermana de la princesa de Gales; de las autoridades de dopaje de Australia y EE UU, de empleados de la Casa Blanca o del Partido Demócrata. Rusia ha sido acusada de estar detrás de muchas estas operaciones, pero no ha podido demostrarse. China también ha sido señalada muchas veces. No es ninguna casualidad que Obama declarase la ciberseguridad uno de los objetivos estratégicos de Estados Unidos: no es sólo una cuestión de ladrones de guante blanco, sino también de países.
Preguntado sobre cuántos ataques se sufren al día en España, Miguel Rego, director general de Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Industria, explica: “Según nuestros datos actuales más de 500 semanales. En 2015 resolvimos unos 50.000 incidentes y este año tenemos previsión de superar los 100.000”. Sobre el tipo de ataques más comunes, Rego asegura: “Principalmente los intentos de estafas y fraudes electrónicos o por Internet. Suplantaciones de identidad, intentos de robos de credenciales personales, ataques a la privacidad, robos de cuentas de correo, redes sociales… Van desde falsos cupones de conocidas entidades, hasta sofisticados robos que llevan varios pasos de ingeniería social para convencernos de una situación y facilitarles información o dinero”.
Los ataques informáticos se podían separar tradicionalmente en dos categorías: los que ocurren dentro de la Red y los que saltan las barreras hacia el mundo físico. Sin embargo, esta división tiene cada vez menos sentido. Por un lado, están los robos o manipulación de datos ante los que las empresas y los usuarios toman cada vez más precauciones, ya sean pymes, bancos o las grandes compañías informáticas como Apple. En este caso, lo hizo después de un latrocinio masivo de fotografías de famosos, que almacenaban en sus móviles, conocido como celebgate, que obligó a cambiar y endurecer todos los protocolos de seguridad. Los usuarios pueden (y deberían) utilizar contraseñas más complejas y exigir como consumidores engorrosos (pero eficaces) sistemas de doble autentificación (se recibe una clave por correo antes de poder operar), encriptación o tecnologías que permiten el reconocimiento por la voz, la huella dactilar o incluso el iris (la biometría).
Sin embargo, las formas de robar datos también se hacen cada vez más sofisticadas: se pueden introducir programas que espían lo que hacemos sin que lo sepamos o que secuestran los datos de nuestro ordenador a cambio de un rescate (los funestos criptolockers, que se han convertido en una epidemia). Este último caso puede ser catastrófico para una pequeña empresa que no haya hecho una copia de seguridad de su información y que puede ver como se esfuma segundos después de abrir un correo aparentemente inocuo. Pero también están los ataques que afectan a cosas físicas: el más famoso de todos ellos fue la destrucción de las centrifugadoras de enriquecimiento de uranio del programa atómico iraní con el virus Stuxnet. Otro caso reciente tuvo lugar en 2015, cuando un hacker demostró que podía entrar en el sistema de los coches Chrysler y la compañía tuvo que revisar 1,4 millones de vehículos.
Otro ejemplo es el motivo por el que César Cerrudo apareció en 2014 en los principales periódicos de su país bajo el título “el argentino que consiguió demostrar que se pueden hackear los semáforos de Nueva York”. “En las ciudades inteligentes, existen dispositivos que calculan los coches que pasan en cada momento y esa información se utiliza para sincronizar los semáforos. Pero eran inseguros y era fácil desincronizar los semáforos proporcionándoles datos equivocados y decirles que una calle vacía estaba atascada y viceversa”, explica. La consecuencia era que una actuación en la Red podría provocar un grave problema físico: el caos en una ciudad de ocho millones de habitantes (como consultor en seguridad, Cerrudo se limitó a advertir del fallo a las autoridades, no llegó a actuar). En todos estos casos, las barreras entre lo real y lo virtual ya no tienen sentido, al igual que ocurre con los últimos robos bancarios.
La primera vez que se conoció un asalto a gran escala para desplumar bancosutilizando malware fue con el virus Carbanak, detectado en 2015 por Kaspersky. Según esta empresa de seguridad rusa, los ciberdelincuentes lograron que una de las peores pesadillas de cualquier entidad se hiciese realidad: gracias a un programa que tardó meses en ser detectado, los cajeros de varias sucursales en Ucrania se pusieron a escupir billetes que eran oportunamente recogidos por un cómplice. Ese mismo programa fue utilizado para realizar transferencias fraudulentas desde cuentas en Japón, Rusia, Estados Unidos, Alemania o China (que se sepa). Según el relato de The New York Times, nunca se supo la cantidad robada.
El caso de Bangladesh acabó por difundirse porque se trataba de un banco central: utilizando el sistema SWIFT, que cuenta con 11.000 miembros y que permite las transferencias internacionales entre entidades, los ladrones se hicieron con 81 millones de dólares. Ni los delincuentes ni el dinero han sido encontrados, pero todos los bancos han sido advertidos por sus entidades centrales para que revisen sus sistemas de seguridad. El robo, según explican fuentes conocedoras del caso, consistió en introducir un programa malicioso que permitió recopilar información durante meses de todos sus movimientos, así como de sus claves, formas de operar, cuentas con las que trabajaba, saldos. Elmalaware no llegó a ser detectado por el antivirus. Una vez conocidos todos estos detalles se efectuó la transferencia del dinero (un viernes por la noche cuando el banco permanecía cerrado hasta el martes, porque el lunes era fiesta).
Para ocultar mejor el rastro se introdujo un segundo malaware todavía más sofisticado: en este caso afectaba al sistema que dejaba constancia de las operaciones. Cada vez que se producía una transferencia, se imprimía un extracto en papel y un operario comprobaba cada una de ellas a diario. Sin embargo, el programa tenía como objetivo anular el recibo de la operación fraudulenta, de tal forma que tardó más tiempo en ser detectada. Nadie notó nada raro porque los comprobantes estaban en la impresora… todos menos el que dejaba al descubierto el robo.
“Tenemos pistas de que se han producido más casos así en más países, pero que no han salido a la luz”, explica Vicente Díaz, analista principal de seguridad de Kaspersky Lab. “El problema al que nos enfrentamos es que el concepto de seguridad es demasiado difuso. No es lo mismo un coche que un teléfono. Van a aparecer problemas que ni siquiera somos capaces de anticipar”, prosigue.
Mario García, director general de Check Point Iberia —la filial española de una empresa de seguridad informática israelí— relata otro caso extremadamente sofisticado y reciente: unos ciberdelincuentes robaron cinco millones de dólares a una línea aérea, pirateando la cuenta con la que pagaba el combustible. La dificultad no consistía solo en acceder a la cuenta, sino sobre todo en saber el momento en que el dinero se encontraba en ella, que es sólo el tiempo de realizar la transferencia. “Fue algo muy sofisticado, pero no debemos olvidar que la ciberdelincuencia mueve más dinero que las drogas”, prosigue García.
Todos los analistas coinciden en que tanto las empresas como los particulares tienen que ser conscientes del problema y, al igual que no se pasearían por el peor barrio de Caracas de noche, tampoco conviene exponerse en la Red: contraseñas robustas y diferentes, preocuparse por la información que se comparte en redes sociales y que puede ser utilizada para suplantar la identidad, preguntar por la seguridad cuando se adquieren aparatos conectados (por ejemplo, un coche), un buen antivirus, preocuparse por la encriptación de los sistemas que se utilizan, realizar copias de seguridad periódicas son consejos que se repiten una y otra vez. También consideran esencial compartir la información, cosa que no ocurrió en el caso del robo de Yahoo que la compañía estadounidense tardó dos años en confesar (ocurrió lo mismo con un hackeomasivo a Wetransfer, un programa muy utilizado para compartir archivos especialmente pesados). La UE acordó el 29 de febrero de este año una directiva “que establece medidas con el objeto de lograr un elevado nivel común de seguridad en las redes y los sistemas de información dentro de la Unión”, en palabras de Miguel Rego de INCIBE. Esta directiva, que entrará en vigor entre 2017 y 2018, obligará a los Estados miembros a informar de los ataques a los órganos competentes de cada país. Interpol ha celebrado esta semana una conferencia en Singapur que tenía el mismo objetivo: “reducir el desfase informativo entre las agencias de seguridad y los sectores públicos y privado”, en palabras de uno de los responsable de la agencia, Noburu Nakatani.
“El paisaje en la red cambia cada día”, asegura Austin Berglas. “Los cibercriminales pasan muchas horas buscando vulnerabilidades en los sistemas operativos, en las aplicaciones, en las redes. Las compañías y los países que están mejor preparadas para un ataque inevitable serán las que se recuperen más rápidamente, pierdan menos dinero y sigan operando como si nada hubiese pasado”. La protección en la Red no es muy distinta de la seguridad en el mundo físico: todo es una cuestión de tomar las precauciones adecuadas.
Guillermo Altares
Octubre
2016
Fuente: EL PAÍS