Los pies de barro de Internet Los ataques contra Yahoo y otras empresas muestran que la red es intr¨ªnsecamente vulnerable

La oleada de ataques contra al menos ocho de las m¨¢s conocidas tiendas y publicaciones electr¨®nicas ha sacudido los cimientos de Internet. Alguien ha demostrado con una serie de espectaculares acciones que la red es mucho m¨¢s insegura de lo que se cre¨ªa. As¨ª, de repente, todo el mundo se ha dado cuenta de que la seguridad es prioritaria. Pero, ?es f¨¢cil reforzarla? La propia estructura radicalmente descentralizada de Internet y la cultura sobre la que se ha construido no ponen f¨¢cil la correcci¨®n.Las sedes han estado perfectamente seleccionadas para demostrar que cualquiera es vulnerable. Yahoo, eBay, Buy.com, tres de las tiendas colapsadas, son s¨ªmbolos del incipiente comercio electr¨®nico, tres selectos adelantados de la nueva econom¨ªa. ?C¨®mo va a afectar a ese comercio en l¨ªnea la evidencia de la vulnerabilidad de la red? ?Se cumplir¨¢ el c¨¢lculo que prev¨¦ para este a?o un volumen de transacciones por Internet de 450.000 millones de d¨®lares (unos 76 billones de pesetas)?

La seguridad en Internet es un asunto dif¨ªcil porque todos los ordenadores dependen de todos (es una red sin ning¨²n control centralizado) y se es tan fuerte como lo sea el eslab¨®n m¨¢s d¨¦bil de la cadena. Por ejemplo,el ataque contra Yahoo!, llamado de denegaci¨®n distribuida de servicio (DDoS), se produjo despu¨¦s de que el agresor entrara en unos cuantos ordenadores con conexiones potentes (de universidades y empresas) e instalara en ellos un programa. A una orden del atacante, todos los ordenadores se lanzaron contra el objetivo y lo bloqueron, enmascarando adem¨¢s sus direcciones de origen (lo que se llama IP Spoofing), por lo que resultaba muy dif¨ªcil saber de d¨®nde ven¨ªan los tiros.

Despreocupaci¨®n

"Si tienes una m¨¢quina insegura, puede que no te afecte a ti, pero puede servir para lanzar ataques contra otros ordenadores que no tienen ninguna culpa. Lo injusto de los DoS es que, por muy bueno que seas y muy preocupado que est¨¦s por la seguridad de tu red, no puedes evitarlo. La lecci¨®n de esto no es s¨®lo que Internet sea vulnerable y est¨¦ en pa?ales, sino que hay cantidad de m¨¢quinas y redes importantes, como las de muchas universidades, que no se preocupan", afirma Jes¨²s Cea, experto en seguridad y administrador de sistemas.

Cea asegura que sufre una media de un ataque de denegaci¨®n de servicio (DoS) por semana. Son el pan nuestro de cada d¨ªa, que consiste en enviar mucha informaci¨®n a una m¨¢quina a trav¨¦s de la red en forma de cartas electr¨®nicas (el denominado mailbombing) o de paquetes de datos, hasta que el ordenador atacado no lo soporta y deja de funcionar. Se trata de fuerza bruta: gana el que dispone de m¨¢s ancho de banda.

El salto del DoS al DDoS (denegaci¨®n distribuida de servicio) ha requerido nuevos programas que permiten que el ataque se desarrolle en paralelo desde muchos ordenadores, lo que ha hecho posible colapsar m¨¢quinas capaces de manejar niveles m¨¢ximos de tr¨¢fico.

Algunos de esos programas, TFN y TFN2K, hab¨ªan sido creados por un hacker alem¨¢n de sobrenombre Mixter para poner a prueba los sistemas inform¨¢ticos, seg¨²n su propia explicaci¨®n. Ambas piezas de software las hab¨ªa dado a conocer en varias sedes electr¨®nicas de seguridad "para que se tomara conciencia" del problema, seg¨²n ha declarado a la publicaci¨®n News.com tras la oleada de ataques.

En la misma entrevista, Mixter critic¨® el mal uso de sus programas. "Parece que los atacantes es gente bastante est¨²pida que utiliza de manera abusiva unas herramientas poderosas para desarrollar actividades da?inas e insensatas simplemente porque pueden".

Doble uso

Realmente, cualquiera con los conocimientos adecuados y suficiente inter¨¦s puede acceder a alguna de las 1.900 sedes webs, la cifra que ofrecen fuentes de seguridad citadas por Business Week. En ellas se puede obtener gratuitamente programas dotados de las m¨¢s diversas capacidades, incluidas las de echar abajo m¨¢quinas ajenas o tomarlas bajo control aprovechando fallos de seguridad. Muchos de esos programas sirven tanto para reforzar la seguridad (poner en evidencia un fallo es el primer paso para corregirlo) como para vulnerarla.

En el complejo mundo que amalgama responsables de seguridad y hackers en torno a listas de debate comunes han surgido ya voces que discrepan de la tradici¨®n de ofrecer repositorios de programas peligrosos en Internet y contra la opini¨®n de sus autores. El problema es decidir qu¨¦ programas son m¨¢s bien malos que buenos y si las normas restrictivas acabar¨ªan con ellos.

Esa doble cara es una constante de Internet desde sus or¨ªgenes.Fue creada por el Departamento de Defensa de Estados Unidos para sobrevivir a un ataque nuclear gracias a su estructura en la red, que habr¨ªa permitido tomar el mando desde cualquier ordenador conectado superviviente. Pero al mismo tiempo, esa estructura propicia su fragilidad porque se multiplican los puntos vulnerables: los ordenadores insuficientemente protegidos.

Jes¨²s Cea, el citado experto en seguridad, que adem¨¢s modera la ¨²nica lista de discusi¨®n p¨²blica sobre hacking en castellano, considera que los administradores de los sistemas atacados tienen a veces parte de la culpa, y tambi¨¦n las empresas que los contratan, que "casi nunca les piden experiencia en seguridad". Tambi¨¦n recrimina a los usuarios de los sistemas que s¨®lo vean "la parte negativa de las normas de seguridad, la incomodidad de, por ejemplo, tener que utilizar claves dif¨ªciles" para evitar accesos no autorizados a las redes.

Parecida opini¨®n muestra Jordi Linares, de la secci¨®n espa?ola del Computer Emergency Response Team (esCERT), la llamada polic¨ªa de Internet: "Si se entendiese la seguridad como un proceso y no como un estado, se podr¨ªan evitar muchos incidentes. Todos los problemas que tratamos son de fallos ya descubiertos, de los que se ha advertido a veces hace a?os y pueden repararse con un simple parche".

Al esCERT se dirigen empresas que sufren accesos no autorizados a sus ordenadores, intentos de entrada, ataques de denegaci¨®n de servicio y otros. Aunque el a?o pasado atendieron s¨®lo 43 casos, la cifra de incidentes reales es muy superior y dif¨ªcil de determinar, ya que la mayor parte de las empresas las solucionan ellas mismas, como la de Jes¨²s Cea, que asegura no haber denunciado nunca ning¨²n ataque.

Las grandes compa?¨ªas s¨®lo hacen p¨²blicas las agresiones en casos extremos, por las repercusiones negativas que su conocimiento p¨²blico puede tener para el negocio. En el ¨²ltimo informe del FBI y el Computer Security Institute, referido a 1998, el 60% de las 520 compa?¨ªas consultadas admiti¨® que hab¨ªa padecido alguna utilizaci¨®n no autorizada de sus sistemas y que m¨¢s de la mitad de los incidentes hab¨ªan llegado por Internet.

Aumenta la gravedad

Los datos ponen tambi¨¦n en evidencia el crecimiento de los incidentes realizados con instrumentos automatizados, que cada vez presentan mayor gravedad. En el caso de los de denegaci¨®n de servicio, asegura Linares, "antes afectaban a un servicio concreto de una m¨¢quina [por ejemplo, por mail bombing o saturaci¨®n de correos], mientras que ahora paran el funcionamiento de toda la m¨¢quina o de la red".

Los accesos ilegales a ordenadores han subido en las estad¨ªsticas que maneja el Grupo de Delitos de Alta Tecnolog¨ªa de la Guardia Civil, usualmente tipificados como revelaci¨®n de secretos y da?os. Ahora es el 43% del total de delitos inform¨¢ticos registrados. El fraude electr¨®nico (9,5%), los delitos contra la propiedad industrial (14,3%) y la propiedad intelectual (19,5%) completan el reparto.

"En Espa?a estamos comenzando a sufrir este tipo de delitos y se est¨¢ produciendo un incremento exponencial. De una media semanal de dos casos investigados a finales de 1996 se pasa a finales de 1999 a un volumen de 25 casos semanales", aseguraba el capit¨¢n Anselmo del Moral en un reciente art¨ªculo publicado en la revista interna de la Guardia Civil.