" />
ZOOM
GALERÍA
0 COMENTARIOS

Puedes estar 100% seguro de que no estamos seguros

Lo oyen todo. Lo ven todo

Si crees que por no usar software pirata estás seguro, te equivocas. Y si crees que por usar Mac OS X, Linux o un smartphone/tablet en lugar del frágil Windows estás seguro, te equivocas. Cualquier sistema para conectar dos máquinas a través de una red implica riesgos de seguridad. Lo expresó de forma inmejorable el experto en seguridad Gene Spafford: “El único sistema realmente seguro es uno que esté apagado, metido en un bloque de cemento y sellado en una habitación forrada de plomo, que a su vez esté custodiada por guardias armados – e incluso así tengo mis dudas”. Algo así, ¿no acaba con la poca fe que pudiera quedarte en la tecnología? Bueno, no debemos olvidar que los ordenadores son máquinas que procesan información, la llevan de un lado a otro y la manipulan, y esto facilita el que no sea nada descabellado que, cuando millones de máquinas se conectan entre sí para acceder las unas a las otras como sucede en Internet, sujetos con malas intenciones consigan acceder a nuestros datos.

Otra cosa es que las amenazas a nuestra seguridad, a nuestra persona en concreto, no sean excesivas, no nos parezcan graves y/o las ventajas que obtenemos por estar conectados nos compensen. De lo que no tienes que tener la menor duda es de que estamos en un entorno fundamentalmente inseguro. Y es que lo diseñaron así, primó la capacidad de conexión frente a la seguridad. Esto contribuyó mucho a que Internet creciera tanto y tan rápido, pero ahora es cuando estamos pagando la factura de aquellas decisiones. La verdad es que tiene paralelismos con la crisis económica actual. Entonces se hicieron cosas que, o por desconocimiento de todos, o por falta de criterio, parecían las adecuadas, y ahora es cuando todos, nos guste o no, estuviéramos de acuerdo o no con aquellas decisiones, estamos pagando la factura de la fiesta que tuvo lugar.

Alerta temprana

Eugene Kaspersky, fundador de Kaspersky LabEugene Kaspersky, fundador de Kaspersky Lab.Kaspersky es una empresa rusa de seguridad que ha pasado de ser un secreto a voces entre los entendidos de la informática a jugar un papel importantísimo en el sector de la tecnología en todo el mundo. Hace muchos, muchos años, a comienzos de los 90, recuerdo un día en el que me descargue el antivirus AVP de una BBS (una especie de Internet amateur de los 80 y 90 que ofrecía, en modo texto, foros, descargas de ficheros y mensajes) por recomendación de otro usuario de aquel foro. Y recuerdo también lo diferente que era a los antivirus del momento y lo bien que funcionaba. Sus diseñadores eran gente con las ideas muy claras. Los creadores de aquella primitiva herramienta con el tiempo pusieron en marcha Kaspersky Lab que hoy, casi 20 años después, es una de las más destacadas empresas de seguridad del mundo. Como recuerda su fundador Eugene Kaspersky, todo empezó en 1989 cuando su ordenador se infectó con el virus “Cascade” y quiso eliminarlo de él y aprender cómo funcionaba. Desde luego curiosidad y talento no le faltaban, pues de aquella curiosidad particular ha surgido una compañía global que participa activamente a poner orden en el caos en que ahora se ha convertido Internet.

Hace unos años, tuve la oportunidad de entrevistarle en una visita que hizo a Madrid. Como cierre de la entrevista se me ocurrió preguntarle cuáles creía él que eran el mayor acierto y el mayor error de la industria tecnológica en su conjunto. Después de hacerle las preguntas previsibles relacionadas con las novedades que presentaban en ese momento, imaginé que con este quiebro conseguiría unas respuestas más originales e interesantes. Y la verdad es que ahora es cuando me doy cuenta de lo clara que veía la situación a la que hemos llegado.

Sobre el mayor logro, dijo que le parecía que era “el hecho de contar con un sistema operativo flexible, que no pusiera limitaciones al desarrollo del software. Esto es algo que no sólo está bien, sino que literalmente ha cambiado el mundo. Bill Gates es un genio. Prometió poner un ordenador en cada mesa y lo ha conseguido“. En aquel momento pensé que mi intento de preguntarle algo fuera del guión había disparado una respuesta tan bien estructurada que podía estar ensayada. Continuó mencionando que “hace, digamos, unos 20 años, la vida era completamente distinta. Imagínese vivir sin Internet, sin Office. El mundo actual es distinto, más rápido, más flexible, más interesante, gracias a esto. Gracias a Bill Gates y a personas como él. Vivimos en un mundo diferente y mejor del que hubiéramos tenido sin este cambio. Por eso el impacto del código malicioso y los ataques que sufrimos son el pago por este nuevo mundo. Por eso pienso que la forma en la que se desarrolló el software y los sistemas operativos se hizo muy bien”.

Pero fue después de escuchar lo siguiente cuando empecé a ver que no, que estaba dándole forma a conceptos que tenía muy claros en su cabeza, adaptándolos a mi pregunta y, como era de esperar, llevándola al terreno de la seguridad que era “el libro” del que “venía a hablar”, como en la impagable anécdota de Paco Umbral con Mercedes Milá. Todo acabó de quedar claro cuando atacó la otra parte de la pregunta, “¿cuál era el error más grande que se había producido?”, y es que habló casi de lo mismo, de la flexibilidad, pero vista desde el lado de las consecuencias negativas que trajo. El mayor problema, indicó, es “la arquitectura de Internet. El hecho de que los usuarios puedan operar sin identificarse. Si hubiéramos tenido unas limitaciones más estrictas desde el principio, se habrían producido muchos menos ataques. Si lo comparamos con la conducción de un coche, imaginemos que no hubiera policías en las calles, que el coche no tuviera placas de matrícula, que no hiciera falta un permiso para conducir, que el coche pudiera tener todas las ventanas tintadas. ¿Qué tendríamos en las calles en ese caso? ¿El caos? No, tendríamos Internet.” Vi en ese momento que esto no era de ninguna manera una “respuesta enlatada”, casi se podría decir que algo en su interior “hizo click” y compartió unas cuantas cosas que estaba deseando dar a conocer.

Habrá que hacer como los monos de Nikko: ver y oír lo justo y nada de hablar.Habrá que hacer como los monos de Nikko: ver y oír lo justo y nada de hablar.Esto sucedía en 2008, desde entonces hemos mejorado mucho en algunas cosas pero, en otras, como hemos podido ir sabiendo, claramente hemos ido a peor. El CEO de Kaspersky también hacía referencia al desfase entre la realidad online y la realidad física “el fallo fundamental es que Internet no tiene la regulación adecuada. En el futuro esto se hará mejor y tendremos una Internet más segura. No podemos permitirnos una Internet insegura en la que se desarrollen los negocios y de la que dependa una economía global. Imagínese que Internet se colapsa, ¿qué sucedería? Los gobiernos deben plantearse esto en serio. Crear una identificación personal que sirva para que cada acción identifique a su usuario, no para perseguirlo al estilo del Gran Hermano de Orwell, sino para ayudar a la policía a investigar si alguien no se comporta como debe.”

Esto no sale gratis, claro. Implantar mayores medidas de control significa que se produce un desequilibrio y que unos, los supervisores, tendrán más información sobre todos los demás, los supervisados. Pero esto es algo que ya sucede en otros ámbitos y parece ser la única solución efectiva. Eugene Kaspersky mencionaba que “mucha gente no admite el control en Internet, pero sólo tiene que pensar en cómo se gestionan ahora los aeropuertos. Si le preguntamos a alguien cuándo fue la última vez que pasó un control policial, seguramente diga que nunca. Pero yo mismo le puedo responder, me controlaron ayer mismo en el aeropuerto. Le pasa todos los días a cualquiera que coja un avión”. En definitiva, “es la ecuación de la seguridad. Ganas más seguridad a medida que pierdes flexibilidad y viceversa. De cada uno depende dónde quiera poner el punto medio, el nivel de seguridad, o inseguridad, que necesite.

Sus palabras casi pronosticaban que, lo que el veía como una necesidad de mejor legislación, mejor supervisión y mejores protocolos era tan inevitable que… ahora sabemos que el gobierno norteamericano, fundamentalmente, lo ha realizado. El problema está en que, como hemos visto en los últimos meses, organismos como la NSA o el GCHQ han puesto medidas en marcha para saberlo todo de todos con las limitaciones de la tecnología actual aunque, ¡vaya!, sin avisar y, ¡oh! saltándose todas las leyes habidas y por haber. Desde luego Eugene Kaspersky daba en la diana, el problema está en el seguimiento de las acciones online y la vinculación inequívoca entre una dirección IP y una persona concreta. Lo resumió así: “Internet la crearon expertos para su uso particular. Y en un momento se hizo pública sin estar preparada. Y desde ese momento se perdió el control”.

Además las escuchas masivas que ahora sabemos que llevan años produciéndose parecen responder a un (no tan) utópico deseo de saberlo todo, incluso en el pasado. La recogida y almacenamiento de información a enorme escala parece ser el sistema que han encontrado los expertos en espionaje para ir hacia atrás en el tiempo. Me explico. Tras producirse algunos atentados terroristas, cuando se ha averiguado la identidad de los culpables, se ha comprobado que no eran personas con un perfil que los hiciera evidentemente sospechosos. Así que, ante la certeza de que “cualquiera” puede acabar cometiendo una atrocidad, ¿qué hacer? La respuesta de los servicios de inteligencia norteamericanos y de sus aliados más cercanos está siendo espiar a todo el mundo y acumular esta información. Cuando luego, un desconocido manifieste sus intenciones terroristas, como tienen todos los datos, podrán ir hacia atrás en su timeline y conocer a quién vio, con quién habló, dónde estuvo, etc. Esto se acerca de las pesadillas futuristas en las que se juzga a los ciudadanos por los delitos que todavía no han cometido pero que, según deduce el ordenador central, van a cometer. Es realmente aterrador.

La situación en 2014

En los seis años transcurridos desde esa conversación con el CEO de Kaspersky han pasado muchas cosas, como puedes ver el recuadro de la parte derecha “Los últimos 10 años de (in)seguridad”. Su empresa no es la única que se dedica a mejorar la seguridad de nuestros ordenadores con antivirus y otras medidas. Otras compañías cuyos antivirus están muy extendidos son Symantec, G-Data, BitDefender, ESET, McAfee, Panda, Sophos o TrendMicro. Lo que sucede es que tanto el esfuerzo en investigación que realiza Kaspersky así como su creciente labor para darlo a conocer hacen que sus actividades en pro de la seguridad estén protagonizando muchas de las noticias sobre seguridad actuales.

The Mask, una gravísima amenaza ¡y en español!The Mask, una amenaza grave ¡en español!Otro caso reciente es el del kit de herramientas de malware “The Mask”, también conocido como “Careto”, que ha descubierto un equipo de investigación de esta empresa. Este conjunto de herramientas, que los especialistas indican que está activo desde 2007, tiene una complejidad tal (incluía un rootkit, un bootkit, versiones para Windows de 32 y 64 bits, versiones para Mac OS X y Linux, y posiblemente versiones para Android e iOS) que les hace pensar que va más allá de lo que hasta ahora habían conseguido los grupos de cibercriminales y podría ser incluso la iniciativa de algún estado. Glups.

Se llama “Careto” porque ése es el nombre que figura repetidamente dentro del código analizado y sospechan que tiene origen español porque el email a través del cual se inicia la infección simula proceder de algunos de los periódicos más conocidos en España como El Pais, El Mundo o Público o del colombiano El Espectador. Desde luego, sus autores querían que se supiera que hablaban español. Saber de qué lado del charco es originario parece que no será tan fácil.

Este virus, una vez activo en un sistema, intercepta el tráfico de red, las pulsaciones del teclado, las conversaciones por Skype, las claves PGP, analiza el tráfico WiFi, obtiene toda la información que puede de dispositivos Nokia, realiza capturas de la pantalla y supervisa todas las operaciones con archivos. Los investigadores han encontrado más de 380 sistemas infectados en 31 países distintos y han identificado que sus objetivos entraban dentro de estas categorías: instituciones gubernamentales, embajadas, compañías energéticas, compañías privadas, institutos de investigación, fondos de inversión y activistas. Desde luego, una selección muy peculiar de la sociedad en su conjunto, y que deja ver una clara intencionalidad en toda esta iniciativa, sea particular o no.

En septiembre de 2013 supimos que la red informática más extensa (no clasificada) de la US Navy fue atacada por un grupo que “trabajaba directamente para el gobierno de Irán o actuaba con la aprobación de los líderes iraníes”. Ahora gracias a The Verge se ha conocido que la extensión de esta infliltración fue mucho mayor de lo que se pensó inicialmente y que los especialistas norteamericanos necesitaron hasta diciembre de ese año para asegurar completamente que los atacantes estaban fuera del sistema. Según anunció el Wall Street Journal, fuentes oficiales han asegurado que los atacantes no pudieron obtener datos de interés, pero sí han recalcado que se infiltraron tan a fondo que hizo falta un plan coordinado para expulsarlos por completo. Todo indica que este ataque es una represalia por ataques previos de los servicios de inteligencia de los EE.UU. a Irán como Stuxnet o Flame, enmarcados en una estrategia dirigida a obstaculizar los esfuerzos del régimen iraní por enriquecer uranio con fines supuestamente pacíficos.

Twitter echa humo desde que @dragosr empezó a hablar de #badBIOSTwitter echa humo desde que @dragosr empezó a hablar de #badBIOS.Otro incidente de seguridad significativo es el que sacó a la luz el 11 de octubre de 2013 el analista de seguridad @dragosr en Twitter. Este experto detectó que varios de sus ordenadores “hacían cosas raras” y cuando dice algo así un experto en seguridad la cosa, como en esta ocasión, puede ser muy seria. Detectó algo que definió como un comportamiento defensivo por parte de la máquina infectada al intentar ejecutar determinadas herramientas de auditoría. Según instalaba herramientas para saber qué pasaba dentro de la máquina, y eliminaba o borraba procesos y archivos, la máquina reaccionaba ocultando cosas y volviendo a lanzar procesos. Esto es, se defendía Esto debe ser hasta normal en esos entornos, pero es que además pudo ver cómo sus equipos se infectaban sólo con conectarles un stick USB sospechoso, sin necesidad de acceder a sus contenidos o arrancar desde él. Y la guinda fue cuando explicó que las máquinas infectadas se comunicaban entre sí, no por la red Ethernet, WiFi o una conexión Bluetooth, sino por los altavoces. Las sospechas apuntaron a hackers del este de Europa especializados en manipular el código de muy bajo nivel que requiere un ataque así.

Parece ser que, cientos de tweets más tarde en los que comunica sus avances y recibe ayuda de otros especialistas, la situación es esta: este malware, al que denominó #badBIOS infecta máquinas Windows, Unix y Mac OS X nada más conectar un USB comprometido. Se instala en espacios libres del BIOS de la placa base y en determinados elementos de Windows donde no es fácil que lo detecten. Anula muchos de los intentos de detección de herramientas de supervisión del sistema y, lo más espeluznante, al situar a un equipo desprovisto de hardware de red de cualquier tipo, cerca de otro equipo comprometido, existe actividad de red que sólo cesa al desconectar su altavoz.

Por lo que han podido averiguar, este virus era capaz de enviar información (poca y a baja velocidad, eso sí) a otros equipos infectados a través de señales de alta frecuencia por el altavoz. Alucinante. Digno de una superproducción hollywoodiense de esas que, tras verla, siempre pensamos que se han pasado, que las explicaciones técnicas de cómo el héroe entra en un sistema y hace tal o cual cosa no son realistas. Que los guionistas tienen muy poca base técnica y se pasan tres pueblos. Pues quizá sea más realista lo que cuentan algunas películas que lo que pensábamos todos…

El último dato que quería mencionar es una investigación de científicos del Georgia Tech College of Computing publicada en Hacks & Stuff que han mostrado una “Proof of concept”, esto es, una demostración real de un software que, desde un smartphone situado sobre la mesa en la que está el teclado de nuestro ordenador, capta lo que estemos tecleando por las vibraciones que se generan al pulsar las teclas. Esta detección casi mágica emplea los acelerómetros internos del teléfono para detectar las vibraciones que producimos al golpear las teclas y que recoge de dos en dos. Va asociando parejas de vibraciones (parejas de teclas) con parejas de caracteres mediante el uso de diccionarios.

Esto que parece una chaladura de estudiantes que han tomado demasiadas cervezas un día al salir de clase es algo muy real. Los ensayos realizados prometen un índice de acierto en las pulsaciones de un 80% y aseguran que cualquier smartphone fabricado en los últimos dos años tiene una electrónica lo suficientemente sensible como para replicar su éxito. ¡Ah!, que tú también dejas el móvil sobre la mesa cuando te sientas frente al ordenador. Pues otra cosa más de la que ya no podemos estar seguros.

No puedes escapar

Pensábamos que en las democracias nuestros derechos se respetaban. En las dictaduras ¡al menos te dicen claramente que no!Pensábamos que en las democracias nuestros derechos se respetaban. En las dictaduras ¡al menos te dicen claramente lo que hay!La sensación general que deja este recorrido por algunos de los escándalos de seguridad recientes es que posiblemente nos estén vigilando mucho más de lo que pensábamos. No podemos tener la certeza de que nos espían a nosotros en concreto, pero sí que el estado del arte de la tecnología lo permitiría con mucha facilidad.

En un evento para analistas de seguridad que organiza también la compañía Kaspersky (¡nada menos que en Punta Cana!) uno de sus mayores expertos, Costin Raiu, responsable de su Equipo de Investigación y Análisis Global, lo expresaba así: “Trabajo con la premisa de que mi ordenador está controlado por al menos tres gobiernos”. Desde luego pensaba impactar a la audiencia, y doy fe de que lo consiguió. Es difícil decir tanto en tan pocas palabras.

Ahora sabemos que la vigilancia que la NSA lleva tiempo realizando sobre las comunicaciones globales ha sido mucho más extensa de lo imaginable en alcance y en los canales que han intervenido. El escándalo llegó a extremos hilarantes cuando se conoció la existencia de un catálogo de dispositivos (con nombres en clave, que para eso son espías) con los que interceptar desde conversaciones habladas hasta cientos de millones de mensajes de email, SMS y toda clase de actividad online.

Como parte del huracán desatado por las filtraciones del ex-analista de la NSA Edward Snowden, hemos sabido que muchos gigantes tecnológicos podrían haber colaborado con la NSA e introducido puertas traseras en sus programas, ordenadores y dispositivos de red. Esto no sólo compromete ordenadores concretos, sino que permite aventurar que la red en su totalidad está intervenida porque, como dice el analista de seguridad Claudio Guarnieri: “para establecer con éxito este enorme nivel de control sobre las comunicaciones globales, la tecnología ha sido debilitada y corrompida de forma intencionada y así hacerla vulnerable, dejándonos a todos expuestos sin posibilidad alguna de remediarlo o darle la vuelta a la situación”.

Guarnieri cierra su argumentación con este sombrío planteamiento: “Internet siempre se ha considerado la última frontera de la libertad, donde la comunicación y la expresión totalmente libres eran todavía posibles. Esto ya no es cierto en absoluto y, probablemente, lleva tiempo sin serlo”. ¡Puf! Dan ganas de tirar el ordenador por la ventana, ¿no crees? Pero todo apunta a que puede ser muy cierto. Mucho.

Internet ya no es libre en absoluto. Y posiblemente lleve mucho tiempo sin serlo

En resumen

Chema Alonso, un experto en seguridad que hace mucho por divulgar y proteger.Chema Alonso (y su inseparable gorrito), un experto en seguridad que hace mucho por divulgar y proteger.Si quieres tener una percepción más cercana de lo que es posible detectar, espiar o averiguar hoy en día con los medios que puede tener cualquier chaval con un portátil y una conexión WiFi te recomiendo que te des un paseo por 0xWord.com. Es la editorial de libros (muy) técnicos de Chema Alonso, un gran experto en seguridad con mucho tirón mediático y con mucho que contar. Échale un vistazo a los títulos que han publicado. Cualquiera de ellos explica, con gran detalle y capacidad didáctica, muchas técnicas de intrusión y detección en smartphones, ordenadores, redes o servicios web. Son realmente buenos. Y por una vez están escritos en perfecto español, no son traducciones apresuradas realizadas por personas con pocos conocimientos técnicos. Estos libros son la fuente original.

Te aconsejo que te hagas, en primer lugar, con Hacker Épico, una novela tecnológica muy curiosa. Tiene una trama razonable, aunque no como para tirar cohetes, pero suficiente para que saques tiempo de donde sea para seguir leyendo. Lo mejor es que narra, con todo lujo de detalles, la investigación de un hacker a partir de un stick USB con un PDF sospechoso. Es impresionante conocer la cantidad de información que el protagonista es capaz de obtener directamente del archivo, la que obtiene más tarde de los delincuentes que van tras él a través de una infección y, entre medias, de otras personas por ingeniería social o a través de sus teléfonos. Y más cuando te explica, hasta el último detalle, qué aplicaciones usar y cómo para que sepas cómo se realiza cada paso.

Creo que es una inmejorable introducción a lo que es posible hacer hoy. Seguramente sea posible ir todavía más allá, sólo un hacker en activo podría decirnos cuáles son los límites, pero lo que ya se muestra en estos libros te dejará con la boca abierta. Y si optas por la novela, además te entrendrás. Muy recomendable. Han prometido una segunda parte para los que nos hemos enganchado a la primera. ¡Ojalá no tarden!

Chema Alonso recientemente ha puesto en marcha junto con Telefónica Digital la startup Eleven Paths centrada en la consultoría tecnológica de seguridad. Síguelo unos días en Twitter (@chemaalonso) y seguramente te sorprenda, como a mi, la cantidad de cosas que es capaz de hacer un día cualquiera: charlas, clases, presentaciones, desarrollo, etc. Te hace sentir pequeñito y lento. ¡Pero afortunadamente comparte mucho de lo que sabe!

Para terminar, no te puedo dar ninguna seguridad sobre casi nada. Todo parece estar comprometido, intervenido y manipulado. Y no sabemos desde hace cuánto. Bastantes años seguramente. Por lo que creo que lo mejor es ser muy consciente de cuál es la situación actual de (in)seguridad, ya sea por parte de cibercriminales o de gobiernos. Nos pueden estar escuchando. Y seguramente lo estén haciendo. Y no será para nada bueno. Actuemos en consecuencia.

Imagen principal: Paul Townsend

Foto Eugene Kaspersky y The Mask: Kaspersky

Foto 3 Monos: Dmitry Poliansky

Imagen @dragosr: Twitter

Foto Soldado Ruso: Bartlomiej Stroinski

Foto Chema Alonso: Telefónica Digital

No comments yet.

Deja un comentario