Cuando todo puede ser pirateado

Desaparecen 81 millones de d¨®lares del Banco Central de Bangladesh; Colin Powell llama a Donald Trump ¡°una desgracia nacional¡±, mientras que un joven plantado en una esquina de Nueva York demuestra que puede hundir la ciudad en el caos en apenas unos minutos. Todas estas historias tienen un punto en com¨²n: la ciberseguridad. El mayor robo bancario de la historia se realiz¨® utilizando programas maliciosos (malware en la jerga inform¨¢tica), mientras que el antiguo secretario de Estado de EE UU no despotric¨® en p¨²blico contra el candidato republicano, lo hizo en un mail privado que acab¨® hace un par de semanas en las primeras p¨¢ginas de la prensa de todo el mundo.

Cada vez m¨¢s aspectos de nuestra vida est¨¢n expuestos en la Red, mientras se avecina una revoluci¨®n mucho m¨¢s profunda de lo que hemos vivido hasta ahora: el Internet de las cosas que acabar¨¢ por disolver las ya estrechas fronteras entre lo digital y lo f¨ªsico. Actualmente, unos 3.000 millones de personas navegan por Internet (un 40% de la poblaci¨®n mundial), pero en los pr¨®ximos a?os miles de millones de cosas ¡ªcoches, lavadoras, f¨¢bricas, aviones, televisiones, casas, pero tambi¨¦n aparatos m¨¦dicos como marcapasos¡ª estar¨¢n conectadas y depender¨¢n de la informaci¨®n que les proporciona la Red para operar.

¡°Se puede hackear cualquier cosa conectada a la web¡±, resume el argentino C¨¦sar Cerrudo, jefe de tecnolog¨ªa de la empresa de seguridad inform¨¢tica IOActive. Austin Berglas, antiguo agente del FBI responsable de ciberdefensa en la firma K2 Intelligence, asegura por su parte: ¡°Conforme avanza la tecnolog¨ªa, poseemos cada vez m¨¢s aparatos conectados a Internet, lo que significa que tenemos una creciente capacidad para operar, comunicarnos y trabajar remotamente. Sin embargo, eso significa tambi¨¦n que proporcionamos m¨¢s oportunidades para explotar nuestras vulnerabilidades de robar, secuestrar o destruir informaci¨®n¡±.

La mayor¨ªa de los expertos cree que la seguridad no est¨¢ ni de lejos a la altura de la revoluci¨®n en marcha, aunque siguen avanzando como si esto no fuese un problema. Aquellos que est¨¢n mejor informados toman precauciones m¨¢s intensas que el com¨²n de los mortales. En junio, el fundador de Facebook, Mark Zuckerberg, apareci¨® con la c¨¢mara de su port¨¢til tapada. Preguntado sobre el asunto, el director del FBI, James Comey, asegur¨® que todas las c¨¢maras de los ordenadores en su agencia estaban tambi¨¦n cubiertas. ¡°As¨ª evitas que una persona pueda observarte sin permiso. Es una buena medida¡±. No parece muy tranquilizador que el FBI considere inseguro algo con lo que convivimos constantemente: todos tenemos c¨¢maras conectadas a la Red en diferentes formatos ¡ªtel¨¦fono, tableta, port¨¢til, ordenador de mesa con una amplia visi¨®n de nuestro hogar¡ª que pueden estar conectadas (y observ¨¢ndonos) sin que seamos conscientes.

Los robos datos son cada vez m¨¢s sofisticados. Utilizan tanto programas maliciosos como de espionaje

Dos titulares recientes del Financial Times muestran la magnitud del problema general de la ciberseguridad: ¡°Una simple bombilla puede convertirse en una forma de ataque cibern¨¦tico¡± y ¡°?Se pueden hackear las elecciones de Estados Unidos?¡± (la respuesta a esta segunda pregunta, planteada despu¨¦s de que piratas rusos accediesen a bases de datos de votantes dem¨®cratas, es que, por ahora, no parece posible, aunque el solo hecho de que se plantee resulta bastante inquietante). Y no se trata ¨²nicamente de especulaciones sobre el futuro, el problema est¨¢ en el presente: Yahoo revel¨® la semana pasada que 500 millones de cuentas fueron pirateadas en 2014, aunque la compa?¨ªa ha tardado casi dos a?os en reconocer el saqueo. Es uno de los muchos robos de datos que se han producido en los ¨²ltimos a?os.

El m¨¢s grave de todos, la difusi¨®n a finales de 2014 de toda la informaci¨®n privada de la compa?¨ªa Sony despu¨¦s de que estrenase un filme en el que se burlaba de Corea del Norte, provoc¨® una crisis pol¨ªtica en la que intervino el presidente Barack Obama y llev¨® a numerosos medios a hablar del fin de la privacidad. La compa?¨ªa calcula que este ataque le cost¨® 15 millones de d¨®lares, sin contar los 8 millones con los que se vio obligada a indemnizar a sus empleados cuyos datos fueron robados y difundidos.

Cualquier cosa, cualquier informaci¨®n, cualquier dato, cualquier archivo que tengamos en Red ¡ªcasi todos los que producimos, desde un pago con tarjeta hasta un mensaje de Whatsapp o una pel¨ªcula vista en el ordenador¡ª puede ser divulgado. S¨®lo en los ¨²ltimos d¨ªas se han denunciado hackeos de la cuenta de iCloud (b¨¢sicamente toda la informaci¨®n de su m¨®vil) de Pippa Middleton, hermana de la princesa de Gales; de las autoridades de dopaje de Australia y EE UU, de empleados de la Casa Blanca o del Partido Dem¨®crata. Rusia ha sido acusada de estar detr¨¢s de muchas estas operaciones, pero no ha podido demostrarse. China tambi¨¦n ha sido se?alada muchas veces. No es ninguna casualidad que Obama declarase la ciberseguridad uno de los objetivos estrat¨¦gicos de Estados Unidos: no es s¨®lo una cuesti¨®n de ladrones de guante blanco, sino tambi¨¦n de pa¨ªses.

Preguntado sobre cu¨¢ntos ataques se sufren al d¨ªa en Espa?a, Miguel Rego, director general de Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Industria, explica: ¡°Seg¨²n nuestros datos actuales m¨¢s de 500 semanales. En 2015 resolvimos unos 50.000 incidentes y este a?o tenemos previsi¨®n de superar los 100.000¡±. Sobre el tipo de ataques m¨¢s comunes, Rego asegura: ¡°Principalmente los intentos de estafas y fraudes electr¨®nicos o por Internet. Suplantaciones de identidad, intentos de robos de credenciales personales, ataques a la privacidad, robos de cuentas de correo, redes sociales... Van desde falsos cupones de conocidas entidades, hasta sofisticados robos que llevan varios pasos de ingenier¨ªa social para convencernos de una situaci¨®n y facilitarles informaci¨®n o dinero¡±.

¡°La ciberdelincuencia mueve m¨¢s dinero que las drogas¡±, se?ala un analista sobre un millonario robo digital

Los ataques inform¨¢ticos se pod¨ªan separar tradicionalmente en dos categor¨ªas: los que ocurren dentro de la Red y los que saltan las barreras hacia el mundo f¨ªsico. Sin embargo, esta divisi¨®n tiene cada vez menos sentido. Por un lado, est¨¢n los robos o manipulaci¨®n de datos ante los que las empresas y los usuarios toman cada vez m¨¢s precauciones, ya sean pymes, bancos o las grandes compa?¨ªas inform¨¢ticas como Apple. En este caso, lo hizo despu¨¦s de un latrocinio masivo de fotograf¨ªas de famosos, que almacenaban en sus m¨®viles, conocido como celebgate, que oblig¨® a cambiar y endurecer todos los protocolos de seguridad. Los usuarios pueden (y deber¨ªan) utilizar contrase?as m¨¢s complejas y exigir como consumidores engorrosos (pero eficaces) sistemas de doble autentificaci¨®n (se recibe una clave por correo antes de poder operar), encriptaci¨®n o tecnolog¨ªas que permiten el reconocimiento por la voz, la huella dactilar o incluso el iris (la biometr¨ªa).

Sin embargo, las formas de robar datos tambi¨¦n se hacen cada vez m¨¢s sofisticadas: se pueden introducir programas que esp¨ªan lo que hacemos sin que lo sepamos o que secuestran los datos de nuestro ordenador a cambio de un rescate (los funestos criptolockers, que se han convertido en una epidemia). Este ¨²ltimo caso puede ser catastr¨®fico para una peque?a empresa que no haya hecho una copia de seguridad de su informaci¨®n y que puede ver como se esfuma segundos despu¨¦s de abrir un correo aparentemente inocuo. Pero tambi¨¦n est¨¢n los ataques que afectan a cosas f¨ªsicas: el m¨¢s famoso de todos ellos fue la destrucci¨®n de las centrifugadoras de enriquecimiento de uranio del programa at¨®mico iran¨ª con el virus Stuxnet. Otro caso reciente tuvo lugar en 2015, cuando un hacker demostr¨® que pod¨ªa entrar en el sistema de los coches Chrysler y la compa?¨ªa tuvo que revisar 1,4 millones de veh¨ªculos.

Otro ejemplo es el motivo por el que C¨¦sar Cerrudo apareci¨® en 2014 en los principales peri¨®dicos de su pa¨ªs bajo el t¨ªtulo ¡°el argentino que consigui¨® demostrar que se pueden hackear los sem¨¢foros de Nueva York¡±. ¡°En las ciudades inteligentes, existen dispositivos que calculan los coches que pasan en cada momento y esa informaci¨®n se utiliza para sincronizar los sem¨¢foros. Pero eran inseguros y era f¨¢cil desincronizar los sem¨¢foros proporcion¨¢ndoles datos equivocados y decirles que una calle vac¨ªa estaba atascada y viceversa¡±, explica. La consecuencia era que una actuaci¨®n en la Red podr¨ªa provocar un grave problema f¨ªsico: el caos en una ciudad de ocho millones de habitantes (como consultor en seguridad, Cerrudo se limit¨® a advertir del fallo a las autoridades, no lleg¨® a actuar). En todos estos casos, las barreras entre lo real y lo virtual ya no tienen sentido, al igual que ocurre con los ¨²ltimos robos bancarios.

La primera vez que se conoci¨® un asalto a gran escala para desplumar bancos utilizando malware fue con el virus Carbanak, detectado en 2015 por Kaspersky. Seg¨²n esta empresa de seguridad rusa, los ciberdelincuentes lograron que una de las peores pesadillas de cualquier entidad se hiciese realidad: gracias a un programa que tard¨® meses en ser detectado, los cajeros de varias sucursales en Ucrania se pusieron a escupir billetes que eran oportunamente recogidos por un c¨®mplice. Ese mismo programa fue utilizado para realizar transferencias fraudulentas desde cuentas en Jap¨®n, Rusia, Estados Unidos, Alemania o China (que se sepa). Seg¨²n el relato de The New York Times, nunca se supo la cantidad robada.

El caso de Bangladesh acab¨® por difundirse porque se trataba de un banco central: utilizando el sistema SWIFT, que cuenta con 11.000 miembros y que permite las transferencias internacionales entre entidades, los ladrones se hicieron con 81 millones de d¨®lares. Ni los delincuentes ni el dinero han sido encontrados, pero todos los bancos han sido advertidos por sus entidades centrales para que revisen sus sistemas de seguridad. El robo, seg¨²n explican fuentes conocedoras del caso, consisti¨® en introducir un programa malicioso que permiti¨® recopilar informaci¨®n durante meses de todos sus movimientos, as¨ª como de sus claves, formas de operar, cuentas con las que trabajaba, saldos. El malaware no lleg¨® a ser detectado por el antivirus. Una vez conocidos todos estos detalles se efectu¨® la transferencia del dinero (un viernes por la noche cuando el banco permanec¨ªa cerrado hasta el martes, porque el lunes era fiesta).

Para ocultar mejor el rastro se introdujo un segundo malaware todav¨ªa m¨¢s sofisticado: en este caso afectaba al sistema que dejaba constancia de las operaciones. Cada vez que se produc¨ªa una transferencia, se imprim¨ªa un extracto en papel y un operario comprobaba cada una de ellas a diario. Sin embargo, el programa ten¨ªa como objetivo anular el recibo de la operaci¨®n fraudulenta, de tal forma que tard¨® m¨¢s tiempo en ser detectada. Nadie not¨® nada raro porque los comprobantes estaban en la impresora¡­ todos menos el que dejaba al descubierto el robo.

¡°Tenemos pistas de que se han producido m¨¢s casos as¨ª en m¨¢s pa¨ªses, pero que no han salido a la luz¡±, explica Vicente D¨ªaz, analista principal de seguridad de Kaspersky Lab. ¡°El problema al que nos enfrentamos es que el concepto de seguridad es demasiado difuso. No es lo mismo un coche que un tel¨¦fono. Van a aparecer problemas que ni siquiera somos capaces de anticipar¡±, prosigue.

Mario Garc¨ªa, director general de Check Point Iberia ¡ªla filial espa?ola de una empresa de seguridad inform¨¢tica israel¨ª¡ª relata otro caso extremadamente sofisticado y reciente: unos ciberdelincuentes robaron cinco millones de d¨®lares a una l¨ªnea a¨¦rea, pirateando la cuenta con la que pagaba el combustible. La dificultad no consist¨ªa solo en acceder a la cuenta, sino sobre todo en saber el momento en que el dinero se encontraba en ella, que es s¨®lo el tiempo de realizar la transferencia. ¡°Fue algo muy sofisticado, pero no debemos olvidar que la ciberdelincuencia mueve m¨¢s dinero que las drogas¡±, prosigue Garc¨ªa.

Todos los analistas coinciden en que tanto las empresas como los particulares tienen que ser conscientes del problema y, al igual que no se pasear¨ªan por el peor barrio de Caracas de noche, tampoco conviene exponerse en la Red: contrase?as robustas y diferentes, preocuparse por la informaci¨®n que se comparte en redes sociales y que puede ser utilizada para suplantar la identidad, preguntar por la seguridad cuando se adquieren aparatos conectados (por ejemplo, un coche), un buen antivirus, preocuparse por la encriptaci¨®n de los sistemas que se utilizan, realizar copias de seguridad peri¨®dicas son consejos que se repiten una y otra vez. Tambi¨¦n consideran esencial compartir la informaci¨®n, cosa que no ocurri¨® en el caso del robo de Yahoo que la compa?¨ªa estadounidense tard¨® dos a?os en confesar (ocurri¨® lo mismo con un hackeo masivo a Wetransfer, un programa muy utilizado para compartir archivos especialmente pesados). La UE acord¨® el 29 de febrero de este a?o una directiva ¡°que establece medidas con el objeto de lograr un elevado nivel com¨²n de seguridad en las redes y los sistemas de informaci¨®n dentro de la Uni¨®n¡±, en palabras de Miguel Rego de INCIBE. Esta directiva, que entrar¨¢ en vigor entre 2017 y 2018, obligar¨¢ a los Estados miembros a informar de los ataques a los ¨®rganos competentes de cada pa¨ªs. Interpol ha celebrado esta semana una conferencia en Singapur que ten¨ªa el mismo objetivo: ¡°reducir el desfase informativo entre las agencias de seguridad y los sectores p¨²blicos y privado¡±, en palabras de uno de los responsable de la agencia, Noburu Nakatani.

¡°El paisaje en la red cambia cada d¨ªa¡±, asegura Austin Berglas. ¡°Los cibercriminales pasan muchas horas buscando vulnerabilidades en los sistemas operativos, en las aplicaciones, en las redes. Las compa?¨ªas y los pa¨ªses que est¨¢n mejor preparadas para un ataque inevitable ser¨¢n las que se recuperen m¨¢s r¨¢pidamente, pierdan menos dinero y sigan operando como si nada hubiese pasado¡±. La protecci¨®n en la Red no es muy distinta de la seguridad en el mundo f¨ªsico: todo es una cuesti¨®n de tomar las precauciones adecuadas.