Los expertos y profesionales de las TICs (tecnologías de la información y la comunicación) saben que el Mundo está en guerra o digamos, para ser exactos, en ciberguerra. Si se le pregunta a cualquier directivo de una empresa de ciberseguridad no albergará duda al respecto.
A pesar de las crecientes inversiones en ciberseguridad, los ciberatacantes más sofisticados cuentan con aún mayor respaldo económico pero su principal baza es que son demasiados. Crackers (hackers cuya actividad es ilícita) y piratas informáticos dispuestos a vulnerar los mejores “cortafuegos” los hay por doquier, vendiéndose al mejor postor. Lo cierto es que la ciberdefensa española requiere de mayor presupuesto pues las Autoridades aún no han tomado conciencia de la magnitud de la amenaza.
Lo peor es que si se quiere seguir el rastro de los atacantes, sus amplios conocimientos informáticos les permiten borrarlo de modo que nunca se sepa su origen. Se puede tener ciertas sospechas, pero garantizar el País desde donde se ataca resulta prácticamente imposible en el caso de los grandes ciberataques y son decenas de miles…y aumentando.
Las grandes multinacionales informáticas se esmeran en refinar sus sistemas de seguridad cibernética pero es solo cuestión de un breve lapso de tiempo que se traspasen y por ello continuamente confeccionan nuevos parches de seguridad, para tapar esas fisuras. Aunque solo las conocidas porque se calcula que hay cientos de miles de vulnerabilidades aún no descubiertas y por las que los ciberdelincuentes se introducen en nuestros ordenadores sin que nos percatemos.
En ocasiones, las herramientas que diseñan los ingenieros al servicio de la ciberdefensa de los Estados son robadas por grupos ciberterroristas atentando contra la seguridad global con ataques masivos como sucedió en 2017 con el WannaCry, un programa malicioso o “malware” de la familia de los “ransomware”, o software que pide un rescate a cambio de los datos robados. Sucedió hace un año justamente y afectó a más de 300.000 ordenadores de diferentes empresas de prácticamente todo el Mundo. Y la amenaza no ha cesado, sino que se ha sofisticado para que sea indetectable, teniendo en cuenta los parches de seguridad que se lanzaron en su momento.
Muchos usuarios no instalaron los parches por lo que sus ordenadores se han infectado sin que lo sepan, pero los ciberdelincuentes, antes que robar su información personal, para evitar que instalen las medidas de seguridad, lo que hacen ahora es zombificar su computadora. Esto significa que la incorporan a una red zombi o botnet (“bot” de robot y net que significa “red” en inglés) para junto con otros muchos equipos igualmente zombificados utilizar la red para minar criptomonedas; es la nueva amenaza o mutación denominada “WannaMine”. La quinta parte de los ataques que sufren los ordenadores de todo el Mundo tiene por objeto esa finalidad.
Pero incluso protegiendo los ordenadores con las mejores suites de seguridad, casi todas las empresas y particulares se olvidan de proteger también sus otros dispositivos con acceso a Internet, lo que ya es conocido como IoT (Internet of Things o Internet de las Cosas). De tal manera que los crackers atacan estos dispositivos a sabiendas de que carecen de protección. Por ejemplo, las impresoras multifunción que vemos en todas las oficinas y que se han popularizado también en los hogares. A través de esas impresoras se puede acceder a las redes corporativas de las empresas que los hackers maliciosos tengan como objetivo puesto que dichas impresoras funcionan mediante conexión Wifi y menos de la mitad de las mismas cuentan con algún tipo de protección frente a los ciberataques. Son edpoints cuya seguridad ni fabricantes ni distribuidores de estos aparatos tienen en cuenta a la hora de servirlos a las empresas, por lo son éstas las que deben asegurar su red con expertos propios. Los endpoints permiten que sistemas externos reciban mensajes y los transmitan a su vez para integrar dichos sistemas en una red.
La solución que han tomado algunas multinacionales ha sido prohibir las memorias portátiles o usb para trasladar información de un ordenador a otro de forma rápida, ya que sus directivos creen que pudieran ser los medios con los que se ha “extraviado” mucha información sensible. Pero si se prescinde del pendrive se recurrirá a la Nube para trasladar esa información a la que se accedería después en cualquier otro lugar físico en el que se imprimiera o sencillamente se visualizara. Pero ¿de qué sirve almacenar esa documentación en depósitos virtuales si no se protegen los dispositivos a través de los que imprimamos dichos documentos? El pendrive no es el problema, realmente, sino la falta de formación en seguridad de quiénes manipulan la información, de hecho, los usb de última generación incluyen medidas de cifrado de datos que los hacen muy seguros: si el pendrive se perdiera o cayera en manos ajenas, no se podría desencriptar sin la clave. Algunos incluso incorporan un número limitado de contraseñas para que al introducir varias erróneas se bloquee el dispositivo. También se está implementando el borrado remoto como si de un teléfono móvil se tratara (los dispositivos de telefonía suelen incluir la opción de borrado o bloqueo remoto por si se perdiera, claro que hay que activarla y pocos usuarios lo hacen).
Por cierto, hablando de dispositivos que pueden ser también afectados y que suelen contar con escasa o nula protección, debemos incluir los Smartphone, en especial, claro está, los corporativos con acceso a la red de la empresa. Más fáciles de atacar si los teléfonos son baratos, por aquello de ahorrarle dinero a las arcas de la empresa (o para que sus directivos se lleven más beneficios dejando de invertir en un segmento en el que creen que no se verán afectados, el de la seguridad). Sucede, sobre todo, con las tablets, las cuales casi ninguna se protege. En las empresas resultan muy cómodas para acceder en cualquier sitio a la red: por los pasillos, en la cafetería, durante una presentación, etc.
Hace tan solo dos años se expandió un malware denominado Crooks del que todavía no se ha hallado una “cura” definitiva, por lo que continúa infectando dispositivos móviles. Desde una carpeta del sistema se conecta a un servidor externo desde el que descarga un archivo XML (transporta datos para que un programa insertado en un dispositivo los lea) con las instrucciones para descargar determinadas aplicaciones en el dispositivo infectado, por lo general publicidad no deseada. Lo curioso es que no suele atacar a dispositivos configurados en idioma chino o cuando su IP sea de un rango chino por lo que se sospecha que el origen de este malware sea China. Hay teléfonos móviles y tablets infectados de 90 Países hasta el momento.
Incluso las sofisticadas medidas de reconocimiento facial de teléfonos y tablets de alto coste pueden ser vulneradas. Se ha comprobado que con una impresora 3D se puede imprimir una copia de la cara del usuario de un teléfono y añadirle algún complemento como una nariz de silicona similar a la del individuo y el apoyo de alguna fotografía; con todos estos elementos se ha engañado a teléfonos tan avanzados como los iPhone X. Pero claro, la pregunta aquí sería: ¿qué ciberdelincuente está dispuesto a gastar el dinero que supone usar la impresora 3D además del laborioso trabajo de confeccionar la copia de la faz del usuario y los conocimientos en software necesarios? Evidentemente, aquellos por los que el beneficio que se espera sea elevado tales como alguna propiedad intelectual muy valiosa, un individuo cuya terminal telefónica permita el acceso a una red corporativa importante como un alto ejecutivo o un directivo de alguna entidad pública. Por otro lado, un ciberatacante, para vulnerar el reconocimiento facial, debe antes haber hecho una fotografía de la imagen que el usuario del móvil utilice en su dispositivo para que la copia sea exacta, por lo que antes ha de acceder a dicho teléfono.
Como vemos, sería ya más propio de espionaje de alto nivel para tomarse tantas molestias. Pero lo que yo quiero trasladarle al lector es la posibilidad de que incluso el reconocimiento facial es hackeable por lo que en este aspecto también debemos extremar las precauciones y no perder de vista nuestro teléfono, más si es corporativo. Si esto sucediera, se debe acceder de inmediato a la opción de control remoto para ubicar donde pueda hallarse el teléfono perdido o sustraído y si no está cerca proceder, cuanto antes, a su borrado. Pero la medida más eficaz es no usar el teléfono corporativo o incluso el particular para almacenar documentos o imágenes (capturas de pantalla, por ejemplo) con información sensible o reservada. Esta práctica se ha vuelto habitual en las empresas e incluso en los organismos públicos enviando por servicios de mensajería instantánea datos reservados ignorando que, si incluyen imágenes o documentos, estos se almacenan automáticamente en la memoria o galería del teléfono siendo fácilmente accesibles en un ataque remoto.
De todos modos, lo mejor en cuanto a seguridad en un dispositivo móvil es la autenticación en tres pasos: reconocimiento facial (o de huella dactilar, una firma electrónica o reconocimiento de voz), junto a una contraseña y una vez introducida reforzar la seguridad de las aplicaciones que usemos, al menos las más importantes, con un pin numérico. Éstas debieran permanecer cerradas y solo abrirlas cuando las usemos, aunque nos resulte incómodo tener que introducir constantemente la clave de acceso (o por lo menos, cerrarlas mientras dormimos).
Algunos de los dispositivos mencionados pueden actuar como endpoints, como decía antes, por lo que resulta aconsejable protegerlos dando privilegios de acceso solo a los dispositivos autorizados que se conecten a los puntos de conexión; de este modo, no aceptarían cualquier usb que pudiera usarse para albergar información sensible. Pero insisto en que la mejor defensa es la prevención y en concreto la formación de los empleados o funcionarios de una entidad para que sepan cómo usar con seguridad las redes. Por ejemplo, el acceso remoto a dichas redes (desde ordenadores que no están ubicados en las oficinas propias) es una de las amenazas de las que más está costando concienciar ya que no todas las empresas o entidades tienen implementado el cambio periódico de contraseña de sus empleados. Tampoco añaden todas los parches de seguridad que los fabricantes y distribuidores recomiendan y desde luego casi ninguna se preocupa por las amenazas en la Nube creyendo que de eso se ocupan los servidores.
Muy pocas empresas y organismos públicos cuentan con planes de ciberseguridad
Algo tan básico como crear copias de la información sensible tampoco es usual que se haga y eso que, almacenadas en dispositivos externos, permitirían continuar con la actividad si la empresa o entidad fueran atacadas con un malware muy dañino que borrara o secuestrara esa información; en ese caso, se recurriría a la información almacenada. Estas copias deberán hacerse con mayor o menor periodicidad dependiendo de la cantidad de datos generada y por supuesto comprobar que los dispositivos externos no estén dañados para que cada cierto tiempo sean renovados por otros nuevos, a los que traspasar la información.
Tan importante es la amenaza cibernética que muchos Países cuentan ya con Organismos para defender sus redes públicas o al menos las estratégicas. En España se encuentra el Mando Conjunto de Ciberdefensa cuyos cometidos son asegurar la disponibilidad, integridad y confidencialidad de la información que albergan los sistemas informáticos de las Fuerzas Armadas españolas. Para ello conciencian a todos los militares sobre el uso de las redes y adiestran a algunos de ellos para que se especialicen ante amenazas cibernéticas, detectándolas y, si les resulta posible, rechazarlas. Pero claro, no solo debe esmerarse la defensa, también el ataque puesto que si se localiza el origen, lo cual es muy complicado, debe contraatacarse para eliminar ese riesgo de forma definitiva. El proverbio “la mejor defensa es un buen ataque” se ha convertido en una máxima en el ciberespacio. De ahí que se busquen las 24 horas del día nuevas amenazas para destruirlas en origen o por lo menos atacarlas antes de que infecten redes importantes.
El Mando Conjunto de Ciberdefensa abarca también a las empresas que llevan a cabo proyectos para el Ministerio de Defensa por lo que saben muy bien lo que es el ciberespionaje industrial y conocen perfectamente el ransomware, al que han tenido que enfrentarse en muchas ocasiones. Lo ha dicho el capitán de navío Enrique Cubeiro, jefe de operaciones del Mando Conjunto de Ciberdefensa de España, en las entrevistas que ha concedido a distintos medios. En este sentido, en España se pretende poner en marcha la Ciberreserva, formada por cientos de voluntarios con experiencia y conocimientos informáticos que pudieran ayudar, en un momento dado, a frenar ciberataques masivos.
Otro gran temor es el ataque a una gran infraestructura crítica, lo que Leon Panetta, ex-secretario de Defensa de los Estados Unidos denominó “ciber Pearl Harbor” pero resulta complicado, hoy por hoy, por los múltiples elementos que componen la red de seguridad de estas instalaciones. Como mucho puede provocarse un apagón de varias horas o cortar el suministro de agua corriente a una zona determinada pero enseguida consigue reponerse sin que afecte a una zona más amplia ya que estas redes poseen “cortafuegos” que impiden que el riesgo, de producirse, se extienda por toda la red. Ahora bien, tal vez estos ataques no provoquen un daño global pero en cuanto a la zona afectada pudiera llegar a ser irreparable, por ejemplo, teniendo como objetivo un Hospital o una instalación local de telecomunicaciones.
El secretario general de la ONU, Antonio Guterres, considera que la ciberguerra es una realidad, pero duda que la Convención de Ginebra o el Derecho Internacional pueden aplicarse en casos de ciberataque como indicó en un discurso que dio en la Universidad de Lisboa recientemente.
No solo se ataca a ordenadores, sino que uno de los aparatos más conocidos en los hogares de medio Mundo, el router, es uno de los más vulnerables. Hace tan solo un par de años, en Alemania, se sufrió el peor ataque masivo contra estos dispositivos afectando a cientos de miles de routers. Principalmente se busca atacar el sistema DNS, que es que traduce el código de números de las páginas a las que accedemos tecleando sus nombres. Si se controla el DNS se puede redireccionar el tráfico y manipulando una gran cantidad de routers, creando una botnet para aprovechando la capacidad multiplicada de la misma atacar grandes empresas u Organismos importantes.
El otro campo de batalla en Internet es el de las noticias falsas que se divulgan y expanden para desacreditar al oponente. Se trata de la tradicional desinformación solo que últimamente, con las herramientas que la inteligencia artificial pone al alcance del ciberespionaje, se puede conseguir que una noticia falsa o fake news parezca tan real que la crean millones de personas, provocando con ello movilizaciones y desestabilización. Para ello, resulta muy útil el anonimato en las redes sociales porque gracias a numerosas cuentas falsas se pueden difundir fácilmente esas noticias maliciosas.
Comentarios