La multiplicación de ataques y robos de datos siembra dudas sobre la seguridad del mundo digital, pero no frena su desarrollo
Desaparecen 81 millones de dólares del Banco Central de Bangladesh; Colin Powell llama a Donald Trump “una desgracia nacional”,
mientras que un joven plantado en una esquina de Nueva York demuestra
que puede hundir la ciudad en el caos en apenas unos minutos. Todas
estas historias tienen un punto en común: la ciberseguridad. El mayor
robo bancario de la historia se realizó utilizando programas maliciosos (malware
en la jerga informática), mientras que el antiguo secretario de Estado
de EE UU no despotricó en público contra el candidato republicano, lo
hizo en un mail privado que acabó hace un par de semanas en las primeras páginas de la prensa de todo el mundo.
Cada
vez más aspectos de nuestra vida están expuestos en la Red, mientras se
avecina una revolución mucho más profunda de lo que hemos vivido hasta
ahora: el Internet de las cosas que
acabará por disolver las ya estrechas fronteras entre lo digital y lo
físico. Actualmente, unos 3.000 millones de personas navegan por
Internet (un 40% de la población mundial), pero en los próximos años
miles de millones de cosas —coches, lavadoras, fábricas, aviones,
televisiones, casas, pero también aparatos médicos como marcapasos—
estarán conectadas y dependerán de la información que les proporciona la
Red para operar.
“Se puede hackear cualquier
cosa conectada a la web”, resume el argentino César Cerrudo, jefe de
tecnología de la empresa de seguridad informática IOActive. Austin
Berglas, antiguo agente del FBI responsable de ciberdefensa en la firma
K2 Intelligence, asegura por su parte: “Conforme avanza la tecnología,
poseemos cada vez más aparatos conectados a Internet, lo que significa
que tenemos una creciente capacidad para operar, comunicarnos y trabajar
remotamente. Sin embargo, eso significa también que proporcionamos más
oportunidades para explotar nuestras vulnerabilidades de robar,
secuestrar o destruir información”.
Charla con el experto en ciberseguridad Adolfo Hernández
El próximo Lunes 3 de Octubre habrá una charla en directo con el
experto en ciberseguridad y cofundador de Thiber, Adolfo Hernández.
Manda tus preguntas al Facebook de EL PAIS Tecnología.
La mayoría de los expertos cree que la
seguridad no está ni de lejos a la altura de la revolución en marcha,
aunque siguen avanzando como si esto no fuese un problema. Aquellos que
están mejor informados toman precauciones más intensas que el común de
los mortales. En junio, el fundador de Facebook, Mark Zuckerberg, apareció con la cámara de su portátil tapada.
Preguntado sobre el asunto, el director del FBI, James Comey, aseguró
que todas las cámaras de los ordenadores en su agencia estaban también
cubiertas. “Así evitas que una persona pueda observarte sin permiso. Es
una buena medida”. No parece muy tranquilizador que el FBI considere
inseguro algo con lo que convivimos constantemente: todos tenemos
cámaras conectadas a la Red en diferentes formatos —teléfono, tableta,
portátil, ordenador de mesa con una amplia visión de nuestro hogar— que
pueden estar conectadas (y observándonos) sin que seamos conscientes.
Los robos datos son cada vez más sofisticados. Utilizan tanto programas maliciosos como de espionaje
Dos titulares recientes del Financial Times
muestran la magnitud del problema general de la ciberseguridad: “Una
simple bombilla puede convertirse en una forma de ataque cibernético” y
“¿Se pueden hackear las elecciones de Estados Unidos?” (la
respuesta a esta segunda pregunta, planteada después de que piratas
rusos accediesen a bases de datos de votantes demócratas, es que, por
ahora, no parece posible, aunque el solo hecho de que se plantee resulta
bastante inquietante). Y no se trata únicamente de especulaciones sobre
el futuro, el problema está en el presente: Yahoo reveló la semana pasada que 500 millones de cuentas fueron pirateadas en 2014,
aunque la compañía ha tardado casi dos años en reconocer el saqueo. Es
uno de los muchos robos de datos que se han producido en los últimos
años.
El más grave de todos, la difusión a finales de 2014 de toda la información privada de la compañía Sony
después de que estrenase un filme en el que se burlaba de Corea del
Norte, provocó una crisis política en la que intervino el presidente
Barack Obama y llevó a numerosos medios a hablar del fin de la
privacidad. La compañía calcula que este ataque le costó 15 millones de
dólares, sin contar los 8 millones con los que se vio obligada a
indemnizar a sus empleados cuyos datos fueron robados y difundidos.
Cualquier cosa, cualquier información,
cualquier dato, cualquier archivo que tengamos en Red —casi todos los
que producimos, desde un pago con tarjeta hasta un mensaje de Whatsapp o
una película vista en el ordenador— puede ser divulgado. Sólo en los
últimos días se han denunciado hackeos de la cuenta de iCloud (básicamente toda la información de su móvil) de Pippa Middleton, hermana de la princesa de Gales; de las autoridades de dopaje de Australia y EE UU,
de empleados de la Casa Blanca o del Partido Demócrata. Rusia ha sido
acusada de estar detrás de muchas estas operaciones, pero no ha podido
demostrarse. China también ha sido señalada muchas veces. No es ninguna
casualidad que Obama declarase la ciberseguridad uno de los objetivos
estratégicos de Estados Unidos: no es sólo una cuestión de ladrones de
guante blanco, sino también de países.
Preguntado sobre cuántos ataques se
sufren al día en España, Miguel Rego, director general de Instituto
Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de
Industria, explica: “Según nuestros datos actuales más de 500 semanales.
En 2015 resolvimos unos 50.000 incidentes y este año tenemos previsión de superar los 100.000”.
Sobre el tipo de ataques más comunes, Rego asegura: “Principalmente los
intentos de estafas y fraudes electrónicos o por Internet.
Suplantaciones de identidad, intentos de robos de credenciales
personales, ataques a la privacidad, robos de cuentas de correo, redes
sociales... Van desde falsos cupones de conocidas entidades, hasta
sofisticados robos que llevan varios pasos de ingeniería social para
convencernos de una situación y facilitarles información o dinero”.
“La ciberdelincuencia mueve más dinero que las drogas”, señala un analista sobre un millonario robo digital
Los ataques informáticos se podían
separar tradicionalmente en dos categorías: los que ocurren dentro de la
Red y los que saltan las barreras hacia el mundo físico. Sin embargo,
esta división tiene cada vez menos sentido. Por un lado, están los robos
o manipulación de datos ante los que las empresas y los usuarios toman
cada vez más precauciones, ya sean pymes, bancos o las grandes compañías
informáticas como Apple. En este caso, lo hizo después de un latrocinio masivo de fotografías de famosos, que almacenaban en sus móviles, conocido como celebgate,
que obligó a cambiar y endurecer todos los protocolos de seguridad. Los
usuarios pueden (y deberían) utilizar contraseñas más complejas y
exigir como consumidores engorrosos (pero eficaces) sistemas de doble autentificación (se recibe una clave por correo antes de poder operar), encriptación o tecnologías que permiten el reconocimiento por la voz, la huella dactilar o incluso el iris (la biometría).
Sin embargo, las formas de robar datos
también se hacen cada vez más sofisticadas: se pueden introducir
programas que espían lo que hacemos sin que lo sepamos o que secuestran
los datos de nuestro ordenador a cambio de un rescate (los funestos criptolockers, que se han convertido en una epidemia). Este último caso puede ser catastrófico para una pequeña empresa que no haya hecho una copia de seguridad
de su información y que puede ver como se esfuma segundos después de
abrir un correo aparentemente inocuo. Pero también están los ataques que
afectan a cosas físicas: el más famoso de todos ellos fue la
destrucción de las centrifugadoras de enriquecimiento de uranio del programa atómico iraní con el virus Stuxnet.
Otro caso reciente tuvo lugar en 2015, cuando un hacker demostró que
podía entrar en el sistema de los coches Chrysler y la compañía tuvo que
revisar 1,4 millones de vehículos.
Otro ejemplo es el motivo por el que
César Cerrudo apareció en 2014 en los principales periódicos de su país
bajo el título “el argentino que consiguió demostrar que se pueden hackear
los semáforos de Nueva York”. “En las ciudades inteligentes, existen
dispositivos que calculan los coches que pasan en cada momento y esa
información se utiliza para sincronizar los semáforos. Pero eran
inseguros y era fácil desincronizar los semáforos proporcionándoles
datos equivocados y decirles que una calle vacía estaba atascada y
viceversa”, explica. La consecuencia era que una actuación en la Red
podría provocar un grave problema físico: el caos en una ciudad de ocho
millones de habitantes (como consultor en seguridad, Cerrudo se limitó a
advertir del fallo a las autoridades, no llegó a actuar). En todos
estos casos, las barreras entre lo real y lo virtual ya no tienen
sentido, al igual que ocurre con los últimos robos bancarios.
La primera vez que se conoció un asalto a gran escala para desplumar bancos utilizando malware fue con el virus Carbanak, detectado en 2015 por Kaspersky.
Según esta empresa de seguridad rusa, los ciberdelincuentes lograron
que una de las peores pesadillas de cualquier entidad se hiciese
realidad: gracias a un programa que tardó meses en ser detectado, los
cajeros de varias sucursales en Ucrania se pusieron a escupir billetes
que eran oportunamente recogidos por un cómplice. Ese mismo programa fue
utilizado para realizar transferencias fraudulentas desde cuentas en
Japón, Rusia, Estados Unidos, Alemania o China (que se sepa). Según el
relato de The New York Times, nunca se supo la cantidad robada.
El caso de Bangladesh acabó por difundirse porque se trataba de un banco central: utilizando el sistema SWIFT,
que cuenta con 11.000 miembros y que permite las transferencias
internacionales entre entidades, los ladrones se hicieron con 81
millones de dólares. Ni los delincuentes ni el dinero han sido
encontrados, pero todos los bancos han sido advertidos por sus entidades
centrales para que revisen sus sistemas de seguridad. El robo, según
explican fuentes conocedoras del caso, consistió en introducir un
programa malicioso que permitió recopilar información durante meses de
todos sus movimientos, así como de sus claves, formas de operar, cuentas
con las que trabajaba, saldos. El malaware no llegó a ser
detectado por el antivirus. Una vez conocidos todos estos detalles se
efectuó la transferencia del dinero (un viernes por la noche cuando el
banco permanecía cerrado hasta el martes, porque el lunes era fiesta).
Para ocultar mejor el rastro se introdujo un segundo malaware
todavía más sofisticado: en este caso afectaba al sistema que dejaba
constancia de las operaciones. Cada vez que se producía una
transferencia, se imprimía un extracto en papel y un operario comprobaba
cada una de ellas a diario. Sin embargo, el programa tenía como
objetivo anular el recibo de la operación fraudulenta, de tal forma que
tardó más tiempo en ser detectada. Nadie notó nada raro porque los
comprobantes estaban en la impresora… todos menos el que dejaba al
descubierto el robo.
“Tenemos pistas de que se han
producido más casos así en más países, pero que no han salido a la luz”,
explica Vicente Díaz, analista principal de seguridad de Kaspersky Lab.
“El problema al que nos enfrentamos es que el concepto de seguridad es
demasiado difuso. No es lo mismo un coche que un teléfono. Van a
aparecer problemas que ni siquiera somos capaces de anticipar”,
prosigue.
Mario García, director general de
Check Point Iberia —la filial española de una empresa de seguridad
informática israelí— relata otro caso extremadamente sofisticado y
reciente: unos ciberdelincuentes robaron cinco millones de dólares a una
línea aérea, pirateando la cuenta con la que pagaba el combustible. La
dificultad no consistía solo en acceder a la cuenta, sino sobre todo en
saber el momento en que el dinero se encontraba en ella, que es sólo el
tiempo de realizar la transferencia. “Fue algo muy sofisticado, pero no
debemos olvidar que la ciberdelincuencia mueve más dinero que las
drogas”, prosigue García.
Todos los analistas coinciden en que
tanto las empresas como los particulares tienen que ser conscientes del
problema y, al igual que no se pasearían por el peor barrio de Caracas
de noche, tampoco conviene exponerse en la Red: contraseñas robustas y
diferentes, preocuparse por la información que se comparte en redes
sociales y que puede ser utilizada para suplantar la identidad,
preguntar por la seguridad cuando se adquieren aparatos conectados (por
ejemplo, un coche), un buen antivirus, preocuparse por la encriptación de los sistemas que se utilizan,
realizar copias de seguridad periódicas son consejos que se repiten una
y otra vez. También consideran esencial compartir la información, cosa
que no ocurrió en el caso del robo de Yahoo que la compañía
estadounidense tardó dos años en confesar (ocurrió lo mismo con un hackeo masivo a Wetransfer,
un programa muy utilizado para compartir archivos especialmente
pesados). La UE acordó el 29 de febrero de este año una directiva “que
establece medidas con el objeto de lograr un elevado nivel común de
seguridad en las redes y los sistemas de información dentro de la
Unión”, en palabras de Miguel Rego de INCIBE. Esta directiva, que
entrará en vigor entre 2017 y 2018, obligará a los Estados miembros a
informar de los ataques a los órganos competentes de cada país. Interpol
ha celebrado esta semana una conferencia en Singapur que tenía el mismo
objetivo: “reducir el desfase informativo entre las agencias de
seguridad y los sectores públicos y privado”, en palabras de uno de los
responsable de la agencia, Noburu Nakatani.
“El paisaje en la red cambia cada día”, asegura Austin
Berglas. “Los cibercriminales pasan muchas horas buscando
vulnerabilidades en los sistemas operativos, en las aplicaciones, en las
redes. Las compañías y los países que están mejor preparadas para un
ataque inevitable serán las que se recuperen más rápidamente, pierdan
menos dinero y sigan operando como si nada hubiese pasado”. La
protección en la Red no es muy distinta de la seguridad en el mundo
físico: todo es una cuestión de tomar las precauciones adecuadas.
Comentarios
Publicar un comentario