La multiplicaci\u00f3n de ataques y robos de datos siembra dudas sobre la seguridad del mundo digital, pero no frena su desarrollo<\/p>\n
<\/p>\n
Desaparecen 81 millones de d\u00f3lares del Banco Central de Bangladesh;\u00a0Colin Powell llama a Donald Trump \u201cuna desgracia nacional\u201d, mientras que un joven plantado en una esquina de Nueva York demuestra que puede hundir la ciudad en el caos en apenas unos minutos. Todas estas historias tienen un punto en com\u00fan: la ciberseguridad. El mayor robo bancario de la historia se realiz\u00f3 utilizando programas maliciosos (malware\u00a0en la jerga inform\u00e1tica), mientras que el antiguo secretario de Estado de EE UU no despotric\u00f3 en p\u00fablico contra el candidato republicano, lo hizo en un\u00a0mail\u00a0privado que acab\u00f3 hace un par de semanas en las primeras p\u00e1ginas de la prensa de todo el mundo.<\/p>\n
Cada vez m\u00e1s aspectos de nuestra vida est\u00e1n expuestos en la Red, mientras se avecina una revoluci\u00f3n mucho m\u00e1s profunda de lo que hemos vivido hasta ahora:el\u00a0Internet de las cosas\u00a0que\u00a0acabar\u00e1 por disolver las ya estrechas fronteras entre lo digital y lo f\u00edsico. Actualmente, unos 3.000 millones de personas navegan por Internet (un 40% de la poblaci\u00f3n mundial), pero en los pr\u00f3ximos a\u00f1os miles de millones de cosas \u2014coches, lavadoras, f\u00e1bricas, aviones, televisiones, casas, pero tambi\u00e9n aparatos m\u00e9dicos como marcapasos\u2014 estar\u00e1n conectadas y depender\u00e1n de la informaci\u00f3n que les proporciona la Red para operar.<\/p>\n
\u201cSe puede\u00a0hackear\u00a0cualquier cosa conectada a la web\u201d, resume el argentino C\u00e9sar Cerrudo, jefe de tecnolog\u00eda de la empresa de seguridad inform\u00e1tica IOActive. Austin Berglas, antiguo agente del FBI responsable de ciberdefensa en la firma K2 Intelligence, asegura por su parte: \u201cConforme avanza la tecnolog\u00eda, poseemos cada vez m\u00e1s aparatos conectados a Internet, lo que significa que tenemos una creciente capacidad para operar, comunicarnos y trabajar remotamente. Sin embargo, eso significa tambi\u00e9n que proporcionamos m\u00e1s oportunidades para explotar nuestras vulnerabilidades de robar, secuestrar o destruir informaci\u00f3n\u201d.<\/p>\n
CHARLA CON EL EXPERTO EN CIBERSEGURIDAD ADOLFO HERN\u00c1NDEZ<\/p>\n
El pr\u00f3ximo Lunes 3 de Octubre habr\u00e1 una charla en directo con el experto en ciberseguridad y\u00a0\u00a0cofundador de Thiber, Adolfo Hern\u00e1ndez. Manda tus preguntas al\u00a0Facebook de EL PAIS Tecnolog\u00eda.<\/p>\n
La mayor\u00eda de los expertos cree que la seguridad no est\u00e1 ni de lejos a la altura de la revoluci\u00f3n en marcha, aunque siguen avanzando como si esto no fuese un problema. Aquellos que est\u00e1n mejor informados toman precauciones m\u00e1s intensas que el com\u00fan de los mortales. En junio, el fundador de Facebook, Mark Zuckerberg, apareci\u00f3 con la c\u00e1mara de su port\u00e1til tapada. Preguntado sobre el asunto, el director del FBI, James Comey, asegur\u00f3 que todas las c\u00e1maras de los ordenadores en su agencia estaban tambi\u00e9n cubiertas. \u201cAs\u00ed evitas que una persona pueda observarte sin permiso. Es una buena medida\u201d. No parece muy tranquilizador que el FBI considere inseguro algo con lo que convivimos constantemente: todos tenemos c\u00e1maras conectadas a la Red en diferentes formatos \u2014tel\u00e9fono, tableta, port\u00e1til, ordenador de mesa con una amplia visi\u00f3n de nuestro hogar\u2014 que pueden estar conectadas (y observ\u00e1ndonos) sin que seamos conscientes.<\/p>\n
Dos titulares recientes del\u00a0Financial Times\u00a0muestran la magnitud del problema general de la ciberseguridad: \u201cUna simple bombilla puede convertirse en una forma de ataque cibern\u00e9tico\u201d y \u201c\u00bfSe pueden\u00a0hackear\u00a0las elecciones de Estados Unidos?\u201d (la respuesta a esta segunda pregunta, planteada despu\u00e9s de que piratas rusos accediesen a bases de datos de votantes dem\u00f3cratas, es que, por ahora, no parece posible, aunque el solo hecho de que se plantee resulta bastante inquietante). Y no se trata \u00fanicamente de especulaciones sobre el futuro, el problema est\u00e1 en el presente: Yahoo revel\u00f3 la semana pasada que 500 millones de cuentas fueron pirateadas en 2014, aunque la compa\u00f1\u00eda ha tardado casi dos a\u00f1os en reconocer el saqueo. Es uno de los muchos robos de datos que se han producido en los \u00faltimos a\u00f1os.<\/p>\n
El m\u00e1s grave de todos,\u00a0la difusi\u00f3n a finales de 2014 de toda la informaci\u00f3n privada de la compa\u00f1\u00eda Sony\u00a0despu\u00e9s de que estrenase un filme en el que se burlaba de Corea del Norte, provoc\u00f3 una crisis pol\u00edtica en la que intervino el presidente Barack Obama y llev\u00f3 a numerosos medios a hablar del fin de la privacidad. La compa\u00f1\u00eda calcula que este ataque le cost\u00f3 15 millones de d\u00f3lares, sin contar los 8 millones con los que se vio obligada a indemnizar a sus empleados cuyos datos fueron robados y difundidos.<\/p>\n
Cualquier cosa, cualquier informaci\u00f3n, cualquier dato, cualquier archivo que tengamos en Red \u2014casi todos los que producimos, desde un pago con tarjeta hasta un mensaje de Whatsapp o una pel\u00edcula vista en el ordenador\u2014 puede ser divulgado. S\u00f3lo en los \u00faltimos d\u00edas se han denunciado\u00a0hackeos\u00a0de la cuenta de iCloud (b\u00e1sicamente toda la informaci\u00f3n de su m\u00f3vil) de Pippa Middleton,hermana de la princesa de Gales;\u00a0de las autoridades de dopaje de Australia y EE UU,\u00a0de empleados de la Casa Blanca o del Partido Dem\u00f3crata. Rusia ha sido acusada de estar detr\u00e1s de muchas estas operaciones, pero no ha podido demostrarse. China tambi\u00e9n ha sido se\u00f1alada muchas veces. No es ninguna casualidad que Obama declarase la ciberseguridad uno de los objetivos estrat\u00e9gicos de Estados Unidos: no es s\u00f3lo una cuesti\u00f3n de ladrones de guante blanco, sino tambi\u00e9n de pa\u00edses.<\/p>\n
Preguntado sobre cu\u00e1ntos ataques se sufren al d\u00eda en Espa\u00f1a, Miguel Rego, director general de Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Industria, explica: \u201cSeg\u00fan nuestros datos actuales m\u00e1s de 500 semanales.\u00a0En 2015 resolvimos unos 50.000 incidentes y este a\u00f1o tenemos previsi\u00f3n de superar los 100.000\u201d. Sobre el tipo de ataques m\u00e1s comunes, Rego asegura: \u201cPrincipalmente los intentos de estafas y fraudes electr\u00f3nicos o por Internet. Suplantaciones de identidad, intentos de robos de credenciales personales, ataques a la privacidad, robos de cuentas de correo, redes sociales… Van desde falsos cupones de conocidas entidades, hasta sofisticados robos que llevan varios pasos de ingenier\u00eda social para convencernos de una situaci\u00f3n y facilitarles informaci\u00f3n o dinero\u201d.<\/p>\n
Los ataques inform\u00e1ticos se pod\u00edan separar tradicionalmente en dos categor\u00edas: los que ocurren dentro de la Red y los que saltan las barreras hacia el mundo f\u00edsico. Sin embargo, esta divisi\u00f3n tiene cada vez menos sentido. Por un lado, est\u00e1n los robos o manipulaci\u00f3n de datos ante los que las empresas y los usuarios toman cada vez m\u00e1s precauciones, ya sean pymes, bancos o las grandes compa\u00f1\u00edas inform\u00e1ticas como Apple. En este caso, lo hizo despu\u00e9s de un\u00a0latrocinio masivo de fotograf\u00edas de famosos, que almacenaban en sus m\u00f3viles, conocido como celebgate, que oblig\u00f3 a cambiar y endurecer todos los protocolos de seguridad. Los usuarios pueden (y deber\u00edan) utilizar contrase\u00f1as m\u00e1s complejas y exigir como consumidores engorrosos (pero eficaces) sistemas de doble autentificaci\u00f3n (se recibe una clave por correo antes de poder operar), encriptaci\u00f3n o tecnolog\u00edas que permiten el reconocimiento por la voz, la huella dactilar o incluso el iris (la biometr\u00eda).<\/p>\n
Sin embargo, las formas de robar datos tambi\u00e9n se hacen cada vez m\u00e1s sofisticadas: se pueden introducir programas que esp\u00edan lo que hacemos sin que lo sepamos o que secuestran los datos de nuestro ordenador a cambio de un rescate (los funestos\u00a0criptolockers,\u00a0que se han convertido en una epidemia). Este \u00faltimo caso\u00a0puede ser catastr\u00f3fico para una peque\u00f1a empresa que no haya hecho una copia de seguridad\u00a0de su informaci\u00f3n y que puede ver como se esfuma segundos despu\u00e9s de abrir un correo aparentemente inocuo. Pero tambi\u00e9n est\u00e1n los ataques que afectan a cosas f\u00edsicas: el m\u00e1s famoso de todos ellos fue la destrucci\u00f3n de las centrifugadoras de\u00a0enriquecimiento de uranio del programa at\u00f3mico iran\u00ed con el virus Stuxnet.\u00a0Otro caso reciente tuvo lugar en 2015, cuando un hacker demostr\u00f3 que pod\u00eda entrar en el sistema de los coches Chrysler y la compa\u00f1\u00eda tuvo que revisar 1,4 millones de veh\u00edculos.<\/p>\n
Otro ejemplo es el motivo por el que C\u00e9sar Cerrudo apareci\u00f3 en 2014 en los principales peri\u00f3dicos de su pa\u00eds bajo el t\u00edtulo \u201cel argentino que consigui\u00f3 demostrar que se pueden\u00a0hackear\u00a0los sem\u00e1foros de Nueva York\u201d. \u201cEn las ciudades inteligentes, existen dispositivos que calculan los coches que pasan en cada momento y esa informaci\u00f3n se utiliza para sincronizar los sem\u00e1foros. Pero eran inseguros y era f\u00e1cil desincronizar los sem\u00e1foros proporcion\u00e1ndoles datos equivocados y decirles que una calle vac\u00eda estaba atascada y viceversa\u201d, explica. La consecuencia era que una actuaci\u00f3n en la Red podr\u00eda provocar un grave problema f\u00edsico: el caos en una ciudad de ocho millones de habitantes (como consultor en seguridad, Cerrudo se limit\u00f3 a advertir del fallo a las autoridades, no lleg\u00f3 a actuar). En todos estos casos, las barreras entre lo real y lo virtual ya no tienen sentido, al igual que ocurre con los \u00faltimos robos bancarios.<\/p>\n
La primera vez que se conoci\u00f3 un asalto a gran escala para desplumar bancosutilizando\u00a0malware\u00a0fue con el virus Carbanak, detectado en 2015 por Kaspersky. Seg\u00fan esta empresa de seguridad rusa, los ciberdelincuentes lograron que una de las peores pesadillas de cualquier entidad se hiciese realidad: gracias a un programa que tard\u00f3 meses en ser detectado, los cajeros de varias sucursales en Ucrania se pusieron a escupir billetes que eran oportunamente recogidos por un c\u00f3mplice. Ese mismo programa fue utilizado para realizar transferencias fraudulentas desde cuentas en Jap\u00f3n, Rusia, Estados Unidos, Alemania o China (que se sepa). Seg\u00fan el relato de\u00a0The New York Times, nunca se supo la cantidad robada.<\/p>\n
El caso de Bangladesh acab\u00f3 por difundirse porque se trataba de un banco central:\u00a0utilizando el sistema SWIFT, que cuenta con 11.000 miembros y que permite las transferencias internacionales entre entidades, los ladrones se hicieron con 81 millones de d\u00f3lares. Ni los delincuentes ni el dinero han sido encontrados, pero todos los bancos han sido advertidos por sus entidades centrales para que revisen sus sistemas de seguridad. El robo, seg\u00fan explican fuentes conocedoras del caso, consisti\u00f3 en introducir un programa malicioso que permiti\u00f3 recopilar informaci\u00f3n durante meses de todos sus movimientos, as\u00ed como de sus claves, formas de operar, cuentas con las que trabajaba, saldos. Elmalaware\u00a0no lleg\u00f3 a ser detectado por el antivirus. Una vez conocidos todos estos detalles se efectu\u00f3 la transferencia del dinero (un viernes por la noche cuando el banco permanec\u00eda cerrado hasta el martes, porque el lunes era fiesta).<\/p>\n
Para ocultar mejor el rastro se introdujo un segundo\u00a0malaware\u00a0todav\u00eda m\u00e1s sofisticado: en este caso afectaba al sistema que dejaba constancia de las operaciones. Cada vez que se produc\u00eda una transferencia, se imprim\u00eda un extracto en papel y un operario comprobaba cada una de ellas a diario. Sin embargo, el programa ten\u00eda como objetivo anular el recibo de la operaci\u00f3n fraudulenta, de tal forma que tard\u00f3 m\u00e1s tiempo en ser detectada. Nadie not\u00f3 nada raro porque los comprobantes estaban en la impresora\u2026 todos menos el que dejaba al descubierto el robo.<\/p>\n
\u201cTenemos pistas de que se han producido m\u00e1s casos as\u00ed en m\u00e1s pa\u00edses, pero que no han salido a la luz\u201d, explica Vicente D\u00edaz, analista principal de seguridad de Kaspersky Lab. \u201cEl problema al que nos enfrentamos es que el concepto de seguridad es demasiado difuso. No es lo mismo un coche que un tel\u00e9fono. Van a aparecer problemas que ni siquiera somos capaces de anticipar\u201d, prosigue.<\/p>\n
Mario Garc\u00eda, director general de Check Point Iberia \u2014la filial espa\u00f1ola de una empresa de seguridad inform\u00e1tica israel\u00ed\u2014 relata otro caso extremadamente sofisticado y reciente: unos ciberdelincuentes robaron cinco millones de d\u00f3lares a una l\u00ednea a\u00e9rea, pirateando la cuenta con la que pagaba el combustible. La dificultad no consist\u00eda solo en acceder a la cuenta, sino sobre todo en saber el momento en que el dinero se encontraba en ella, que es s\u00f3lo el tiempo de realizar la transferencia. \u201cFue algo muy sofisticado, pero no debemos olvidar que la ciberdelincuencia mueve m\u00e1s dinero que las drogas\u201d, prosigue Garc\u00eda.<\/p>\n
Todos los analistas coinciden en que tanto las empresas como los particulares tienen que ser conscientes del problema y, al igual que no se pasear\u00edan por el peor barrio de Caracas de noche, tampoco conviene exponerse en la Red: contrase\u00f1as robustas y diferentes, preocuparse por la informaci\u00f3n que se comparte en redes sociales y que puede ser utilizada para suplantar la identidad, preguntar por la seguridad cuando se adquieren aparatos conectados (por ejemplo, un coche), un buen antivirus,\u00a0preocuparse por la encriptaci\u00f3n de los sistemas que se utilizan, realizar copias de seguridad peri\u00f3dicas son consejos que se repiten una y otra vez. Tambi\u00e9n consideran esencial compartir la informaci\u00f3n, cosa que no ocurri\u00f3 en el caso del robo de Yahoo que la compa\u00f1\u00eda estadounidense tard\u00f3 dos a\u00f1os en confesar (ocurri\u00f3 lo mismo con un\u00a0hackeomasivo a Wetransfer,\u00a0un programa muy utilizado para compartir archivos especialmente pesados). La UE acord\u00f3 el 29 de febrero de este a\u00f1o una directiva \u201cque establece medidas con el objeto de lograr un elevado nivel com\u00fan de seguridad en las redes y los sistemas de informaci\u00f3n dentro de la Uni\u00f3n\u201d, en palabras de Miguel Rego de INCIBE. Esta directiva, que entrar\u00e1 en vigor entre 2017 y 2018, obligar\u00e1 a los Estados miembros a informar de los ataques a los \u00f3rganos competentes de cada pa\u00eds. Interpol ha celebrado esta semana una conferencia en Singapur que ten\u00eda el mismo objetivo: \u201creducir el desfase informativo entre las agencias de seguridad y los sectores p\u00fablicos y privado\u201d, en palabras de uno de los responsable de la agencia, Noburu Nakatani.<\/p>\n
\u201cEl paisaje en la red cambia cada d\u00eda\u201d, asegura Austin Berglas. \u201cLos cibercriminales pasan muchas horas buscando vulnerabilidades en los sistemas operativos, en las aplicaciones, en las redes. Las compa\u00f1\u00edas y los pa\u00edses que est\u00e1n mejor preparadas para un ataque inevitable ser\u00e1n las que se recuperen m\u00e1s r\u00e1pidamente, pierdan menos dinero y sigan operando como si nada hubiese pasado\u201d. La protecci\u00f3n en la Red no es muy distinta de la seguridad en el mundo f\u00edsico: todo es una cuesti\u00f3n de tomar las precauciones adecuadas.<\/p>\n
<\/p>\n