Cuando todo puede ser pirateado

La multiplicación de ataques y robos de datos siembra dudas sobre la seguridad del mundo digital, pero no frena su desarrollo. Por: Agencias Estados Unidos.- Desaparecen 81 millones de dólares del Banco Central de Bangladesh; Colin Powell llama a Donald Trump “una desgracia nacional”, mientras que un joven plantado en una esquina de Nueva York demuestra que puede hundir la ciudad en el caos en apenas unos minutos. Todas estas historias tienen un punto en común: la ciberseguridad. El mayor robo bancario de la historia se realizó utilizando programas maliciosos (malware en la jerga informática), mientras que el antiguo secretario de Estado de EE UU no despotricó en público contra el candidato republicano, lo hizo en un mail privado que acabó hace un par de semanas en las primeras páginas de la prensa de todo el mundo. Cada vez más aspectos de nuestra vida están expuestos en la Red, mientras se avecina una revolución mucho más profunda de lo que hemos vivido hasta ahora:el Internet de las cosas que acabará por disolver las ya estrechas fronteras entre lo digital y lo fí­sico. Actualmente, unos 3.000 millones de personas navegan por Internet (un 40% de la población mundial), pero en los próximos aí±os miles de millones de cosas —coches, lavadoras, fábricas, aviones, televisiones, casas, pero también aparatos médicos como marcapasos— estarán conectadas y dependerán de la información que les proporciona la Red para operar. “Se puede hackear cualquier cosa conectada a la web”, resume el argentino César Cerrudo, jefe de tecnologí­a de la empresa de seguridad informática IOActive. Austin Berglas, antiguo agente del FBI responsable de ciberdefensa en la firma K2 Intelligence, asegura por su parte: “Conforme avanza la tecnologí­a, poseemos cada vez más aparatos conectados a Internet, lo que significa que tenemos una creciente capacidad para operar, comunicarnos y trabajar remotamente. Sin embargo, eso significa también que proporcionamos más oportunidades para explotar nuestras vulnerabilidades de robar, secuestrar o destruir información”. La mayorí­a de los expertos cree que la seguridad no está ni de lejos a la altura de la revolución en marcha, aunque siguen avanzando como si esto no fuese un problema. Aquellos que están mejor informados toman precauciones más intensas que el común de los mortales. En junio, el fundador de Facebook, Mark Zuckerberg, apareció con la cámara de su portátil tapada. Preguntado sobre el asunto, el director del FBI, James Comey, aseguró que todas las cámaras de los ordenadores en su agencia estaban también cubiertas. “Así­ evitas que una persona pueda observarte sin permiso. Es una buena medida”. No parece muy tranquilizador que el FBI considere inseguro algo con lo que convivimos constantemente: todos tenemos cámaras conectadas a la Red en diferentes formatos —teléfono, tableta, portátil, ordenador de mesa con una amplia visión de nuestro hogar— que pueden estar conectadas (y observándonos) sin que seamos conscientes. Los robos datos son cada vez más sofisticados. Utilizan tanto programas maliciosos como de espionaje Dos titulares recientes del Financial Times muestran la magnitud del problema general de la ciberseguridad: “Una simple bombilla puede convertirse en una forma de ataque cibernético” y “¿Se pueden hackear las elecciones de Estados Unidos?” (la respuesta a esta segunda pregunta, planteada después de que piratas rusos accediesen a bases de datos de votantes demócratas, es que, por ahora, no parece posible, aunque el solo hecho de que se plantee resulta bastante inquietante). Y no se trata únicamente de especulaciones sobre el futuro, el problema está en el presente: Yahoo reveló la semana pasada que 500 millones de cuentas fueron pirateadas en 2014, aunque la compaí±í­a ha tardado casi dos aí±os en reconocer el saqueo. Es uno de los muchos robos de datos que se han producido en los últimos aí±os. El más grave de todos, la difusión a finales de 2014 de toda la información privada de la compaí±í­a Sony después de que estrenase un filme en el que se burlaba de Corea del Norte, provocó una crisis polí­tica en la que intervino el presidente Barack Obama y llevó a numerosos medios a hablar del fin de la privacidad. La compaí±í­a calcula que este ataque le costó 15 millones de dólares, sin contar los 8 millones con los que se vio obligada a indemnizar a sus empleados cuyos datos fueron robados y difundidos. Cualquier cosa, cualquier información, cualquier dato, cualquier archivo que tengamos en Red —casi todos los que producimos, desde un pago con tarjeta hasta un mensaje de Whatsapp o una pelí­cula vista en el ordenador— puede ser divulgado. Sólo en los últimos dí­as se han denunciado hackeos de la cuenta de iCloud (básicamente toda la información de su móvil) de Pippa Middleton,hermana de la princesa de Gales; de las autoridades de dopaje de Australia y EE UU, de empleados de la Casa Blanca o del Partido Demócrata. Rusia ha sido acusada de estar detrás de muchas estas operaciones, pero no ha podido demostrarse. China también ha sido seí±alada muchas veces. No es ninguna casualidad que Obama declarase la ciberseguridad uno de los objetivos estratégicos de Estados Unidos: no es sólo una cuestión de ladrones de guante blanco, sino también de paí­ses. Preguntado sobre cuántos ataques se sufren al dí­a en Espaí±a, Miguel Rego, director general de Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Industria, explica: “Según nuestros datos actuales más de 500 semanales. En 2015 resolvimos unos 50.000 incidentes y este aí±o tenemos previsión de superar los 100.000”. Sobre el tipo de ataques más comunes, Rego asegura: “Principalmente los intentos de estafas y fraudes electrónicos o por Internet. Suplantaciones de identidad, intentos de robos de credenciales personales, ataques a la privacidad, robos de cuentas de correo, redes sociales... Van desde falsos cupones de conocidas entidades, hasta sofisticados robos que llevan varios pasos de ingenierí­a social para convencernos de una situación y facilitarles información o dinero”. “La ciberdelincuencia mueve más dinero que las drogas”, seí±ala un analista sobre un millonario robo digital Los ataques informáticos se podí­an separar tradicionalmente en dos categorí­as: los que ocurren dentro de la Red y los que saltan las barreras hacia el mundo fí­sico. Sin embargo, esta división tiene cada vez menos sentido. Por un lado, están los robos o manipulación de datos ante los que las empresas y los usuarios toman cada vez más precauciones, ya sean pymes, bancos o las grandes compaí±í­as informáticas como Apple. En este caso, lo hizo después de un latrocinio masivo de fotografí­as de famosos, que almacenaban en sus móviles, conocido como celebgate, que obligó a cambiar y endurecer todos los protocolos de seguridad. Los usuarios pueden (y deberí­an) utilizar contraseí±as más complejas y exigir como consumidores engorrosos (pero eficaces) sistemas de doble autentificación (se recibe una clave por correo antes de poder operar), encriptación o tecnologí­as que permiten el reconocimiento por la voz, la huella dactilar o incluso el iris (la biometrí­a). Sin embargo, las formas de robar datos también se hacen cada vez más sofisticadas: se pueden introducir programas que espí­an lo que hacemos sin que lo sepamos o que secuestran los datos de nuestro ordenador a cambio de un rescate (los funestos criptolockers, que se han convertido en una epidemia). Este último caso puede ser catastrófico para una pequeí±a empresa que no haya hecho una copia de seguridad de su información y que puede ver como se esfuma segundos después de abrir un correo aparentemente inocuo. Pero también están los ataques que afectan a cosas fí­sicas: el más famoso de todos ellos fue la destrucción de las centrifugadoras de enriquecimiento de uranio del programa atómico iraní­ con el virus Stuxnet. Otro caso reciente tuvo lugar en 2015, cuando un hacker demostró que podí­a entrar en el sistema de los coches Chrysler y la compaí±í­a tuvo que revisar 1,4 millones de vehí­culos. La primera vez que se conoció un asalto a gran escala para desplumar bancosutilizando malware fue con el virus Carbanak, detectado en 2015 por Kaspersky. Según esta empresa de seguridad rusa, los ciberdelincuentes lograron que una de las peores pesadillas de cualquier entidad se hiciese realidad: gracias a un programa que tardó meses en ser detectado, los cajeros de varias sucursales en Ucrania se pusieron a escupir billetes que eran oportunamente recogidos por un cómplice. Ese mismo programa fue utilizado para realizar transferencias fraudulentas desde cuentas en Japón, Rusia, Estados Unidos, Alemania o China (que se sepa). Según el relato de The New York Times, nunca se supo la cantidad robada. El caso de Bangladesh acabó por difundirse porque se trataba de un banco central: utilizando el sistema SWIFT, que cuenta con 11.000 miembros y que permite las transferencias internacionales entre entidades, los ladrones se hicieron con 81 millones de dólares. Ni los delincuentes ni el dinero han sido encontrados, pero todos los bancos han sido advertidos por sus entidades centrales para que revisen sus sistemas de seguridad. El robo, según explican fuentes conocedoras del caso, consistió en introducir un programa malicioso que permitió recopilar información durante meses de todos sus movimientos, así­ como de sus claves, formas de operar, cuentas con las que trabajaba, saldos. Elmalaware no llegó a ser detectado por el antivirus. Una vez conocidos todos estos detalles se efectuó la transferencia del dinero (un viernes por la noche cuando el banco permanecí­a cerrado hasta el martes, porque el lunes era fiesta). Para ocultar mejor el rastro se introdujo un segundo malaware todaví­a más sofisticado: en este caso afectaba al sistema que dejaba constancia de las operaciones. Cada vez que se producí­a una transferencia, se imprimí­a un extracto en papel y un operario comprobaba cada una de ellas a diario. Sin embargo, el programa tení­a como objetivo anular el recibo de la operación fraudulenta, de tal forma que tardó más tiempo en ser detectada. Nadie notó nada raro porque los comprobantes estaban en la impresora… todos menos el que dejaba al descubierto el robo. “Tenemos pistas de que se han producido más casos así­ en más paí­ses, pero que no han salido a la luz”, explica Vicente Dí­az, analista principal de seguridad de Kaspersky Lab. “El problema al que nos enfrentamos es que el concepto de seguridad es demasiado difuso. No es lo mismo un coche que un teléfono. Van a aparecer problemas que ni siquiera somos capaces de anticipar”, prosigue. Todos los analistas coinciden en que tanto las empresas como los particulares tienen que ser conscientes del problema y, al igual que no se pasearí­an por el peor barrio de Caracas de noche, tampoco conviene exponerse en la Red: contraseí±as robustas y diferentes, preocuparse por la información que se comparte en redes sociales y que puede ser utilizada para suplantar la identidad, preguntar por la seguridad cuando se adquieren aparatos conectados (por ejemplo, un coche), un buen antivirus, preocuparse por la encriptación de los sistemas que se utilizan, realizar copias de seguridad periódicas son consejos que se repiten una y otra vez. También consideran esencial compartir la información, cosa que no ocurrió en el caso del robo de Yahoo que la compaí±í­a estadounidense tardó dos aí±os en confesar (ocurrió lo mismo con un hackeomasivo a Wetransfer, un programa muy utilizado para compartir archivos especialmente pesados). La UE acordó el 29 de febrero de este aí±o una directiva “que establece medidas con el objeto de lograr un elevado nivel común de seguridad en las redes y los sistemas de información dentro de la Unión”, en palabras de Miguel Rego de INCIBE. Esta directiva, que entrará en vigor entre 2017 y 2018, obligará a los Estados miembros a informar de los ataques a los órganos competentes de cada paí­s. Interpol ha celebrado esta semana una conferencia en Singapur que tení­a el mismo objetivo: “reducir el desfase informativo entre las agencias de seguridad y los sectores públicos y privado”, en palabras de uno de los responsable de la agencia, Noburu Nakatani. Con informacion del El Paí­s.