Seguridad: del ego a la ciberguerra

seguridadLa seguridad de la información se remonta a los orígenes mismos del género humano y se ha mantenido en constante evolución a la par de las distintas amenazas, las cuales van desde sus orígenes con un puñado de jóvenes idealistas (algunos son reconocidos directivos y catedráticos en actualidad) hasta llegar a ser una modalidad de crimen organizado que tiene tantos ingresos como el mismo narcotráfico.

El inicio

La necesidad de resguardar información y mantenerla a salvo de personas no autorizadas es tan vieja como el hombre mismo y prueba de ellos son los códigos secretos usados hace cientos de años para garantizar que los mensajes llegaran a su destino sin ser revelados. El mismo Leonardo Da Vinci utilizaba formas de escritura inversa para evitar que sus notas fueran leídas por ojos indiscretos.

Sin embargo es hasta mediados del siglo XX cuando se puede marcar el inicio de la carrera por la seguridad, la cual da comienzo con las primeras intrusiones a redes telefónicas.

 

draperCaptain Crunch y los Phreakers

En 1971 la revista Esquire publicó una nota donde alertaba sobre un grupo de intrusos capaces de ingresar a las redes telefónicas, en ese entonces, para realizar llamadas de larga distancia sin pagar por ellas, quienes más adelante fueron bautizados como Phreakers. El término proviene de las palabras Phone y Freak, teléfono y fenómeno o monstruo en inglés, respectivamente. Quienes, para fines prácticos, fueron los primeros hackers.

Un phreaker destacado fue John Draper, conocido también como Captain Crunch, pues se dice que usando un pequeño silbato, incluido en las cajas del ceral Cap’n Crunch, podía reproducir la frecuencia necesaria (2600Hz) para engañar a los sistemas telefónicos automáticos y realizar llamadas gratuitas. Incluso, él mismo reconoce haber llamado en alguna ocasión al Vaticano, aunque también ha admitido en diversas entrevistas que la mejor arma con la que contaban en ese entonces era la ingeniería social (de la cual hablaremos adelante).

Steve Wozniak y su caja azul

Draper, en conjunto con Denny Teresi, otro phreaker destacado, y además invidente de nacimiento, construyeron lo que

llamaron la “caja azul”, un equipo capaz de generar tonos en forma electrónica para infiltrarse a la red de telefonía pública desde cualquier cabina.

Draper fue atrapado y sentenciado a pasar dos años de prisión por el delito federal de fraude telefónico; sin embargo su nombre quedó inscrito con letras de oro en la historia de la informática y se convirtió en la inspiración de muchos entusiastas de la informática, entre ellos dos viejos conocidos: Steve Jobs y Steve Wozniak, quienes empezaron haciendo cajas azules para más tarde tomar el reto de crear su propia computadora y más tarde su compañía (Apple Computer).

¿Hacker, con qué se come?

Para bien o para mal el término “Hacker” ha cobrado gran popularidad gracias a los medios de comunicación, al cine y a las series de T.V. quienes han creado la imagen del hacker como la de un delincuente informático capaz de irrumpir prácticamente en cualquier equipo o red para robar información. Esto no es del todo cierto ni es del todo falso.

La palabra “Hack”, traducida en forma literal significa cortar algo, como un árbol, dando golpes repetidos. Lo mismo se aplica a alguien quien a fuerza de intentar algo logra suficiente experiencia para dominar esa actividad a la perfección. Si lo vemos de ese modo, veremos que bien puede haber hackers de la plomería, o de la mecánica automotriz. Quizás la palabra más cercana en español (de México) para definir un hacker sería “Machetero” (aunque esto quizás no le haga mucha gracia a algunos hackers mexicanos).

Aunque no podría decirse cuándo se empezó a usar este término, se sabe que fue adoptaba por un grupo de estudiantes del Laboratorio de Inteligencia Artificial y del Tech Model Railroad Club del Instituto Tecnológico de Massachussets (MIT). Actualmente la definición más aceptada por la misma comunidad de entusiastas de la informática se refiere al hacker como un investigador.

Por otra parte, Eric S. Raymond, en su libro, “Diccionario Hacker”, lo describe como “el individuo que disfruta con la exploración de los detalles de los sistemas programables y cómo aprovechar sus posibilidades, al contrario de la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible”.

spy

Por otra parte “La bliblia del Hacker”, de editorial Anaya, explica: “una persona que goza alcanzando un conocimiento profundo sobre el funcionamiento interno de un sistema, de una computadora o de una red”.

Entonces ¿no que los hackers eran malos?

En este punto conviene aclarar que en algún momento se hizo la distinción entre aquellos que deseaban superar sus propios conocimientos en redes y computación y aquellas personas que intencionalmente se infiltraban en los equipos para robar datos a quienes se les llamó “Crakers” sin embargo al paso del tiempo este término cayó en el desuso y en su lugar se emplean los términos White Hay y Black Hat haciendo homenaje a la tira cómica de la revista MAD donde dos espías, uno blanco y uno negro, se enfrentan todo el tiempo. Sobra decir quiénes son los buenos hackers y quienes los malos.

Mitnick, la leyenda

Para avanzar en nuestra aproximación a la seguridad informática es indispensable hacer una pausa para contar el caso de Kevin Mitnick, probablemente el hacker más famoso de todos los tiempos y cuya historia ha inspirado a miles de jóvenes a involucrarse de algún modo en el mundo de la seguridad de los datos.

Mitnick es famoso por haber irrumpido en muchas redes desde los 16 años, edad a la cual se coló en la red de la compañía DEC (Digital Equipment Corporation) de donde copió parte del software que estaba en proceso de desarrollo por la empresa.

En múltiples ocasiones fue arrestado y la última vez se le sentenció a 5 años de confinamiento solitario sin poder acercarse a cualquier equipo de cómputo o telecomunicaciones (incluido el teléfono), se dice que las autoridades temían que fuera capaz de iniciar la 3ª guerra mundial con una sóla llamada.

Lo que es realmente notable, como lo explica en su libro “El arte del engaño” es que la herramienta con la que logró obtener más información y entrar en las redes no fue una computadora ni un programa, sino únicamente la ingeniería social, es decir, el engaño.

Virus

Es imposible hablar de seguridad informática sin hablar de virus. Por ello dediquemos unos minutos a conocerlos.

A pesar de que aún hay personas que se confunden por el término y piensan en enfermedades contagiables del humano a la PC y visceversa, un virus no es otra cosa que un programa creado con ciertas características y con fines específicos. Un virus debe pasar inadvertido, realizar una serie de tareas en un equipo de cómputo y crear copias de sí mismo en medios que faciliten su propagación. De ahí que se les llamara virus, pues se comportan como los virus biológicos.

Hace poco más una década era común que los medios de comunicación habláramos de infecciones masivas, de nuevos tipos de virus y mutaciones de ellos. Sin embargo las cosas han cambiado pues hace década y media los virus eran escritos por jovencitos en busca de fama por el puro gusto de saber a cuántas computadoras podrían infectar y cuanto más daño y más ruido a nivel mediático alcanzara, el éxito sería más grato.

Hoy para nadie tiene sentido pasar horas creando un programa capaz de burlar complejos sistemas de detección si no es con un fin más tangible como robar datos de cuentas bancarias o tomar control de computadoras para convertirlas en zombies enviadores de spam.

 

virusLa Historia

La primera referencia de un programa de las características de un virus, como lo conocemos ahora, proviene del libro “Teoria y organización de un autómata complicado”, publicado en 1949 por John Von Neumann, donde planteaba la posibilidad de crear programas autoreplicantes. Una década después, H. Douglas Mcllory, Victor Vysottsky y Robert Morris, tres programadores de Bell Labs, presentaron el juego llamado Core Wars (Guerra de núcleos), en el cual dos contendientes corrían un programa, mismo que se replicaba en la memoria de una computadora. El programa ganador era el que obligaba al del contrario a ejecutar una instrucción inválida.

Más tarde, en 1970 apareció en ARPANET (la red que dio origen a Internet) Creeper, un programa que creaba una copia de sí mismo en un equipo remoto y mostraba la leyenda “SOY CREEPER…ATRÁPAME SI PUEDES!”.

En 1987 se descubrió el virus MacMag, conocido también como Peace y creado por Richard Brandow y Drew Davison. Virus fue colocado en un disco de juegos el cual fue obsequiado en una reunión de usuarios de computadoras Macintosh. Se dice que Marc Canter, consultor de Aldus Corporation, fue uno de quienes recibió el disco y al llevarlo a casas infectó la computadora donde probaba el programa Aldus Freehand, próximo a ser liberado. El disco con el programa fue llevado a Aldus donde se infiltró en más equipos llegando a los diskettes de instalación de Aldus Freehand que salieron a la venta. Esta es la primera infección masiva de la cual se tiene registro. A esta siguieron otras epidemias memorables, algunas hasta ingeniosas como. Quien no recuerda al virus Miguel Angel que permanecía inactivo 364 días y justo el 6 de marzo borraba toda la información del equipo infectado. O el virus Natas que a mediados de la década de los 90 dejó inutilizables miles de computadoras alrededor del mundo causando pérdidas millonarias.

 

¿Aún existen virus?

Sí, aún hay virus sin embargo los expertos opinan que ya no habrá más infecciones masivas como las que hemos citado por la simple razón de que inutilizar computadoras o borrar datos no es algo redituable. En cambio, los criminales informáticos obtienen mucho más dinero de engañar a un solo usuario que de infectar millones de PCs. Es por eso que ahora los delincuentes se dedican a perfeccionar sus técnicas lo que ha dado lugar a prácticas como el phishing y el pharming donde, evidentemente, la intención no es dañar la información del usuario sino, por medio de engaños y páginas Web falsas, llevarlo a revelar sus claves de acceso a cuentas bancarias.

Otra amenaza creada con este fin es el envenenamiento de DNS donde es posible atacar un ruteador para que en vez de llevar al usuario a un servidor DNS para que éste conduzca al usuario a la página que desea visitar, éste sea llevado a una página falsa, aún cuando el usuario haya tecleado el nombre de su banco correctamente. Este fenómeno ocurrió en México hace algunos años llevando a cientos de usuarios del proveedor dominante de Internet a perder todo el dinero de sus cuentas en uno de los bancos más reconocidos.

Malware

Actualmente existen una gran variedad de códigos que pueden poner el riesgo un sistema informático es por ello que se ha dejado de hablar de virus o de gusanos, y se emplea con mayor frecuencia el término “Malware” que engloba a toda la gama de amenazas basadas en software. sin embargo no hay que olvidar que absolutamente ningún sistema anti-malware puede garantizar un 100% de protección, por lo que además es necesario poner en práctica otras tareas de protección tales como: en el caso de las empresas, tener políticas de seguridad, evitar el uso indiscriminado de software en las oficinas, mantener copias de respaldo confiables en lugares seguros, etc.

 

Mundos virtuales, amenazas reales

A la par que evoluciona la interacción del ser humano las amenazas le siguen irremediablemente. Un ejemplo de ellos es que ahora no sólo se busca robar datos financieros reales, también las identidades virtuales son objeto de ataque y vemos como los viejos delitos toman nuevas formas gracias a Internet. De este modo podemos encontrar prácticas como secuestros de servidores, donde el hacker cambia el password de acceso a un servidor el cual revela a cambio de fuertes sumas de dinero;

También se ha documentado el robo de personajes de juegos masivos on-line, donde un personaje el cual ha sido desarrollado por meses o años y al cual se le han invertido sumas de dinero importantes es robado y puesto en subasta. Un ejemplo es el juego World of Warcraft pues se pueden encontrar subastas en la Red de cuentas de este juego y donde los personajes con altos niveles de experiencia llegan a cotizarse hasta alrededor de 20 mil dólares.

También existen amenazas falsas con resultados reales, donde se envía correo masivo advirtiendo que si no se paga una suma en un lapso determinado el hacker tomará control de toda la información del usuario. En muchos casos esto es falso, sin embargo varias personas han sido víctimas de esta práctica.

 

Los gadgets no se salvan

No sólo las computadoras están en la mira de los atacantes informáticos, ahora también cualquier otro dispositivo capaz de almacenar información es un buen blanco.

ipod

Tanto los reproductores de música digital, las unidades de memoria USB, las cámaras digitales y muchos otros dispositivos utilizan memoria flash, por lo cual son capaces de almacenar una archivo autojecutable que se iniciará al momento de conectar el equipo a la PC, logrando en algunos casos infiltrarse o simplemente reproducirse en otros equipos. La finalidad es obvia. Si un usuario conecta su iPod en la computadora de su oficina y éste está infectado, podría estar llevando al hacker de la mano hacia el interior de la red corporativa, quien de ese modo, habría logrado burlar todas las barreras perimetrales, tales como firewalls, IPS, UTM, etc. Asimismo, aunque aún los pocos virus para smartphones no representan una amenaza, es posible que en los años subsecuentes, gracias al creciente poder de cómputo y manejo de archivos posible en estos equipos, se vuelvan un blanco para ataques informáticos, debido a que cada vez más teléfonos tienen acceso directo a Internet y son capaces de enviar correo electrónico, lo cual los convierte en un blanco atractivo para los hackers.

 

 

La peor amenaza de todas

La peor manera de estar en riesgo es sin duda creer que uno está completamente protegido. Por otro lado, los delincuentes informáticos buscan obtener las mejores ganancias invirtiendo lo menos posible y la forma más barata de lograrlo es atacar la parte más débil de cualquier red y que no puede ser protegido por ningún tipo de hardware o software: el usuario.

Pensemos. ¿Para qué pasar horas tratando de crear una forma de burlar sistemas de detección que costaron millones de dólares en investigación y desarrollo? Cuando un simple correo bien redactado puede dejar ganancias, si no inmediatas, si en forma mucho más fácil que usando la fuerza bruta en una red.

La amenaza más fuerte de todas siempre ha sido la misma: la ingeniería social y se define como: la práctica de obtener información confidencial a través de la manipulación de usuarios y datos legítimos y es usada por detectives, policías, militares y, sobra decirlo, por delincuentes para obtener información confidencial.

Kevin Mitnick explica que la ingeniería social tiene cuatro principios básicos:

· Todos queremos ayudar

· El primer movimiento es siempre de confianza hacia el otro

· No nos gusta decir “no”

· A todos nos gusta que nos alaben

Hacker

 

Ciber terroristas y Ciber Guerras

Con toda esta información no es difícil imaginar cuales serán los próximos pasos en la relación seguridad/amenaza que existe en el mundo informático.

A principios de este año durante una entrevista a un célebre programador de origen ruso, éste me reveló que existe una alta probabilidad de que el próximo gran ataque terrorista no sea una bomba o un avionazo sino el ataque milimétrico a los sistemas vitales de las grandes ciudades del primer mundo los cuales, sin excepción se encuentran computarizados, lo mismo que los sistemas financieros, de defensa y telecomunicaciones. ¿Es posible algo así? Es una pregunta difícil sin embargo no es para pasar por alto. El mismo programador con el que conversaba entonces admitió que muchos gobiernos no entienden la importancia de una posibilidad como la antes citada y la falta de cooperación entre las policías de los distintos países hacen que Internet sea un medio ideal para generar ataques a miles de kilómetros del objetivo.

Lo mismo se especula que el siguiente paso en conflictos bélicos será empleando hackers contratados por los gobiernos para atacar e inutilizar los del enemigo. ¿Ciencia Ficción? El tiempo lo dirá, sin embargo quizás la historia nos dé la oportunidad de constatarlo más pronto de lo que imaginamos.

Deja un comentario