Los patrulleros del lado oscuro del ciberespacio

El 9 de mayo de 2015, Estados Unidos se puso patas arriba. Un ciberataque inform¨¢ticoredistribuy¨® toda la riqueza de la naci¨®n m¨¢s poderosa de la Tierra. Los registros bancarios fueron borrados cliente a cliente. Las tarjetas de cr¨¦dito dejaron de funcionar. Toda compra o venta, fuera un donut en un restaurante o un piso, tuvo que ser pagada desde entonces por adelantado. Y la basura de los negocios privados, incapaces de pagar por su limpieza, inund¨® todas las calles del pa¨ªs.

Este ciberataque, el 5/9 Hack, jam¨¢s existi¨®. Forma parte del universo de la ficci¨®n creado por Mr. Robot, la serie de moda del momento en lo que a tecnolog¨ªa y crimen se refiere. Pero su escala y consecuencias no est¨¢n para nada exagerados. Vivimos ya en un mundo en el que, desde la invisibilidad, es posible desestabilizar pa¨ªses.

?M¨¢s? 22 de octubre de 2016. Esta vez, hablamos del mundo real. Durante 11 horas, se produjo un bombardeo sistem¨¢tico a un proveedor de Internet, Dym, que tumba de la red a gigantes como Twitter, Spotify, Amazon, Netflix, Paypal o The New York Times. Afect¨® a m¨¢s de 1.000 millones de personas. El peor ataque de la ¨²ltima d¨¦cada.

El ciberataque fue un DDoS. Un ataque de denegaci¨®n de servicio que tiene un objetivo claro: tumbar una web o la misma Internet. Si imaginamos Internet como un cable, el DDoS ser¨ªa la sobrecarga que lo quema. Se atiborra la autopista de datos de la red hasta que no puede soportar el exceso de informaci¨®n, provocando la desconexi¨®n del ciberespacio con nuestros ordenadores. En este ataque en concreto se utiliz¨® un paradigma a¨²n balbuciente: el Internet de las cosas (IoT), los objetos conectados a la Red.

David Emm, analista principal de Kaspersky

---

?Nos estamos preparando lo suficiente para este mundo conectado?
Creo que no. Hay que reconocer que el cibercrimen no tiene fronteras. Brasil, ?frica, China... Est¨¢n en cualquier rinc¨®n del mundo. Pero nuestra infraestructura legal para hacerles frente s¨ª tiene barreras. Y eso nos hace d¨¦biles. Hemos visto ejemplos ya de mu?ecos y coches hackeados.
?C¨®mo se para esto?
Creo que las compa?¨ªas tienen que poner la ciberseguridad en el top de sus prioridades desde el d¨ªa uno del desarrollo de un producto. Tiene que ser una responsabilidad de las propias empresas el investigar todos los posibles escenarios de c¨®mo sus productos pueden ser hackeados.
En el caso del FBI contra Apple, gan¨® la compa?¨ªa de Cook frente a la opini¨®n p¨²blica. ?Le asusta el precedente?
Est¨¢ muy claro que el FBI pod¨ªa acceder a ese tel¨¦fono cuando se hizo la petici¨®n. Se trataba de sentar un precedente legal. Lo que m¨¢s me asusta de este caso es que haya una manera de entrar en los datos del tel¨¦fono de alguien. Si pudo entrar el FBI, pueden entrar tambi¨¦n los criminales.

En concreto, se usaron grabadoras de v¨ªdeo y c¨¢maras IP, aquellas que emiten im¨¢genes directamente a Internet sin que haya un ordenador de por medio. Qui¨¦n es el culpable de la escaramuza digital permanece, de momento, en la sombra.

¡°Durante el ataque de octubre se utilizaron unos 100.000 objetos conectados. 10.000 de ellos eran c¨¢maras que el productor ¨Cla empresa china XiongMai¨C tuvo que retirar del mercado. Din¨¢micas de ese tipo hacen peligrar tanto la seguridad de las compa?¨ªas como las de los usuarios¡±, valora la escritora y tambi¨¦n hacker Violet Blue.

La ¨¦tica del sombrero

Sombrero blanco. El hackerm¨¢s limpio. Quiebra los protocolos de seguridad de su empresa solo para hacerlos m¨¢s fuertes comprobando d¨®nde fallan.
Sombrero gris. Entre dos aguas. Este pirata penetra los protocolos de seguridad de las empresas para demostrar d¨®nde son vulnerables, pero no realizan ning¨²n tipo de ataque. A veces ofrecen reparar dichos errores. Por un precio, claro est¨¢.
Sombrero negro. Los criminales que, bien por maldad, bien por lucrarse, revientan las defensas de gobiernos y empresas e introducen software malicioso para robar datos o poner patas arriba infraestructuras digitales.

El da?o obtenido con 100.000 objetos es la punta del iceberg de qu¨¦ se podr¨ªa conseguir en el futuro con el Internet de las Cosas. La consultora Gartner estima que habr¨¢ 26.000 millones de objetos conectados a la Red en 2020. A cuatro a?os vista, el riesgo se multiplicar¨¢ exponencialmente.

Pero ?por qu¨¦ ha explotado el cibercrimen? ?Qu¨¦ lleva a los hackers, m¨¢s all¨¢ de demostrar su destreza, a atacar a individuos, empresas y gobiernos? La respuesta es simple: el vil metal. La consultora Juniper Research le puso n¨²meros a lo que ser¨¢ el hampa del ciberespacio en 2019: dos billones de euros al a?o en beneficios.

¡°Nos estamos volviendo una sociedad m¨¢s conectada y eso nos hace tener una diana m¨¢s grande a la espalda. Antes, los objetivos eran los bancos y sus clientes. Ahora la mayor¨ªa de nuestras actividades diarias suceden en digital y por lo tanto el efecto es enorme¡±, asevera David Emm, analista principal de la compa?¨ªa antivirus Kaspersky. Extorsi¨®n de empresas y particulares, robo de fondos a los bancos, pirateo de tarjetas de cr¨¦dito. Las opciones son m¨²ltiples.

Violet Blue, escritora, periodista y 'hacker'

---

?C¨®mo definir¨ªa la cultura hacker?
El hacking se suele concebir como algo oscuro y subterr¨¢neo, pero en realidad es un fen¨®meno global, que cruza las razas y los g¨¦neros, y se desarrolla en los ¨¢mbitos m¨¢s diversos. Hay tambi¨¦n hackers que trabajan para los gobiernos, y otros encauzan as¨ª su activismo pol¨ªtico.
?Cu¨¢les son las amenazas para el ciudadano de ataques como el del 21 de octubre?
Los gobiernos est¨¢n cada vez m¨¢s involucrados en ciberguerras que implican amenazas como el espionaje y la sustracci¨®n de datos, que repercuten tambi¨¦n en los ciudadanos. Tampoco hay que infravalorar la actividad de aquellas organizaciones criminales que roban identidades o llevan a cabo espionaje corporativo, que adem¨¢s muchas compa?¨ªas perpetran de manera mutua.
?Hace falta educar a los ciudadanos para que sepan c¨®mo defenderse?
S¨ª, es absolutamente necesario. Algunos gigantes tecnol¨®gicos que ya se est¨¢n planteando ense?ar a sus usuarios c¨®mo moverse en Internet sin alterar su seguridad y c¨®mo proteger sus dispositivos. Poner en marcha proyectos de este tipo tambi¨¦n en los colegios los har¨ªa m¨¢s eficaces.

¡°Les es muy atractivo porque son invisibles. Es muy dif¨ªcil rastrear el origen de un ciberataque. Hay pa¨ªses, como Paraguay, en los que ni siquiera existe una ley de retenci¨®n de datos. Por lo que seguir el rastro de los criminales en Internet lleva a veces a un punto en el que desaparece¡±, explica Alberto Hern¨¢ndez, director general del Instituto Nacional de Ciberseguridad (INCIBE). Los datos confirman por completo esta impresi¨®n. Un informe de Bank of America Merrill Lynch evalu¨® que el 7 de cada 10 ciberataques inform¨¢ticos no se detectan.

El nuevo paradigma para las pr¨®ximas d¨¦cadas ser¨¢n los efectos entre el mundo f¨ªsico y el digital. El 6 de febrero de 2015, el senador de Massachusetts Ed Markey present¨® un informe sobre los coches smart conectados a Internet ¨Canalizando las 16 marcas principales del mercado¨C con la inquietante conclusi¨®n de que pod¨ªan ser hackeados. Acelerar, frenar y girar, es decir, manejar completamente la movilidad del coche eran posibles remotamente.

Pendientes de regulaci¨®n

Este problema forma parte de un abanico m¨¢s amplio pendiente de resolver: los est¨¢ndares de regulaci¨®n para los diversos componentes de un objeto conectado a Internet. En el caso de la industria del autom¨®vil, en opini¨®n de los expertos, hay mucho por mejorar. ¡°Los fabricantes ensamblan piezas con diferentes est¨¢ndares. El punto clave es c¨®mo se integran estas piezas con la nueva conectividad que se le quiere dar al coche. Imagina que tienes una red de, pongamos, 20 elementos en el coche con miniordenadores. Basta con infectar uno para provocar que toda la red deje de funcionar¡±, explica Vicente D¨ªaz S¨¢ez, analista de la marca de antivirus Kaspersky.

?Y c¨®mo se lucha contra un crimen invisible, organizado y con grandes recursos econ¨®micos? La respuesta tiene m¨²ltiples frentes. ¡°Avanzar en una regulaci¨®n com¨²n y en la cooperaci¨®n internacional para resolver los ataques es fundamental¡±, explica Alberto Hern¨¢ndez, director del INCIBE. En el ¨¢mbito de las empresas tambi¨¦n hay que apostar fuerte: ¡°El gran reto para las compa?¨ªas de seguridad en 2016 es conseguir que las soluciones trabajen de forma conjunta, pudiendo leer el contexto y teniendo la capacidad necesaria para responder de forma sincronizada a todos esos nuevos ataques¡±, asevera Pablo Teijeira de Sophos Iberia.

Pero la primera responsabilidad es de cada uno de los ciudadanos. La misma que asume cuando circula con su veh¨ªculo. Porque no hay autopista m¨¢s grande y peligrosa que Internet. ¡°En ciberseguridad no vale decir 'no s¨¦'. Hay que saber¡±, concluye, tajante Fernando Picatoste, miembro del equipo l¨ªder de Deloitte en ciberseguridad para Europa, Oriente Medio y ?frica.