DOMINGO CIBERATAQUES Y ESPÍAS QUE NOS ACECHAN EN INTERNET

Piratas de la web

En los últimos meses, empresas e instituciones de medio mundo sufrieron el ataque de virus como Wannacry o Petya, que bloquean el acceso a la computadora y le piden al usuario dinero o bitcoins para recuperar los archivos. Qué es la seguridad informática permite conocer cómo los espías cibernéticos operan para inmiscuirse en diferentes cuentas y espacios del mundo tecnológico para piratear su contenido.

Los ingresos no autorizados a nuestras computadoras se originan por la conexión a una red.
Los ingresos no autorizados a nuestras computadoras se originan por la conexión a una red. Foto:temes

Las intrusiones a un dispositivo como una PC pueden compararse con las que se dan en nuestras casas. Si cerramos todos los accesos, en principio nadie puede entrar. Pero en cuanto abrimos puertas o ventanas, hay que tomar precauciones.

Los ingresos no autorizados a nuestras computadoras se originan fundamentalmente por la conexión a una red como internet. Toda computadora posee interfaces físicas (o sea, en su hardware) o lógicas (definidas por software) que se denominan “puertos”. Ellas permiten la transferencia de datos de todo tipo, como el puerto de la impresora que la conecta a la computadora para poder enviarle la información correspondiente a un archivo que queremos imprimir. Análogamente hay puertos para los discos, el ratón, el teclado, los dispositivos de audio, las lectograbadoras de CD o DVD, los USB, la HDMI, etc.

Cuando conectamos nuestra computadora a una red, la PC comienza a ser una parte  integral de ésta y, por lo tanto, necesita comunicarse con los dispositivos que la forman. En el caso de internet, al conectarnos se nos asigna un número identificatorio llamado “dirección IP” [Internet Protocol]. Originalmente estas direcciones utilizaban la versión IPv4 (cuarta versión del protocolo) y consistían en cuatro bloques de cuatro dígitos como máximo. Esto permitía disponer de 4.294.967.296 direcciones posibles. A principios de 2010, quedaban menos del 10% de IP sin asignar. En la semana del 3 de febrero de 2011, la Agencia Internacional de Asignación de Números de Internet [Internet Assigned Numbers Authority; IANA] entregó el último bloque de direcciones disponibles (33 millones) a la organización encargada de asignar IP en Asia, y el 10 de junio de 2014 se llegó al agotamiento total de las existentes. Si consideramos que, como dijimos al inicio, se espera que para fines de la presente década haya unos 22 mil millones de dispositivos conectados a la web, está claro que era imposible continuar con el IPv4. Cabe destacar que también existe un desperdicio considerable de direcciones IP debido a que muchas de ellas se asignan a redes locales (LAN) que necesitan definir subredes a partir de la IP que se les asigna, y como todo se maneja con potencias de 2, bien puede suceder que la cantidad de subredes difiera bastante de una potencia de 2; eso conduce a tener “subdirecciones” no utilizadas. Por estos motivos se creó el protocolo IPv6, que permite disponer de 340.282.366.920.938.463.463.374.607.431.768.211.456 (2128 direcciones) –cerca de 6,7 × 1017 (670 mil billones) de direcciones por cada milímetro cuadrado de la superficie de La Tierra–. Esta cantidad gigantesca ha permitido llegar hasta el punto de reservar bloques de direcciones para las conexiones interplanetarias. Una vez que disponemos de una dirección IP podemos conectarnos a través de los puertos (en una PC con Windows hay unos 60 mil). Por ejemplo, el puerto 25 se usa para el protocolo SMTP [Simple Mail Transfer Protocol] utilizado, como su nombre lo indica, para el correo electrónico.

Algo usual para transferir archivos es el protocolo FTP [File Transfer Protocol] que utiliza el puerto 21 que, si está mal configurado o desprotegido, es una puerta abierta para los troyanos.

Todo equipo debe estar protegido contra las intrusiones. Por ese motivo se crearon diversos mecanismos para asegurarse de que sólo los usuarios autorizados puedan acceder a los archivos, la memoria, la CPU y otros recursos. Por lo general, en toda PC tenemos un usuario con privilegios, el administrador, y otros “normales” a los que aquél les concede derechos de acceso. Por ejemplo, el administrador puede definir directorios o archivos que sólo sean de lectura, o sea, que no pueden ser modificados por otro usuario. En general, es muy recomendable dividir los roles aunque el equipo lo use sólo una persona; es decir, que haya una cuenta de administrador para las tareas que requieren ese rol y otra sin tantas prerrogativas para el uso normal. Esto es útil porque si un hacker entra al sistema y toma posesión de la cuenta del administrador, puede hacer lo que quiera dentro de la PC (...).

En general hablamos de malware o código malicioso cuando nos referimos a aquél cuyo objetivo es lograr que nuestro dispositivo realice tareas definidas por esos programas y no por el usuario, que pueden variar desde acciones “inocentes”, como distorsionar las imágenes en una pantalla, hasta la destrucción total del software y los datos almacenados mediante el borrado de los discos.

Los virus se replican dentro de los equipos y se transmiten por vías diversas –por ejemplo, los e-mails– con el objetivo de propagarse a otros dispositivos.

Los troyanos son una clase de virus generalmente disfrazados dentro de programas “deseables”, como juegos, o en los archivos adjuntos a correos que despiertan el interés del destinatario. Un caso habitual es que uno busca programas que tienen un costo por los canales normales de comercialización, pero aparecen sitios en la web que los ofrecen gratuitamente. En la inmensa mayoría de los casos esos regalos tentadores son justamente “caballos de Troya” que infectan el equipo en el que se instalan.

Los gusanos [worms] son también una clase de virus que se propaga en las redes replicándose en forma continua. Su objetivo es multiplicarse de manera incontrolada, sin intervención humana, y generalmente consumen los recursos del sistema hasta llegar a paralizarlo.

El primer gusano data de 1988 y se llamó Morris por su creador, Robert T. Morris, quien lo diseñó cuando era estudiante en la Universidad de Cornell –actualmente es profesor del MIT–, para “medir” la capacidad de internet (en realidad la de su predecesora, la red Arpanet). Sus efectos fueron dramáticos: en pocas horas quedaron fuera de servicio todos los centros importantes de los Estados Unidos, desde la red de Defensa hasta la NASA, a pesar de que ese gusano atacaba sólo computadoras con sistemas Unix (versión BSD Berkeley). En esa época eran muy populares los sistemas de Sun Microsystems y VAX de Digital que no fueron afectados. Si ése no hubiese sido el caso, los efectos podrían haber llegado a niveles de catástrofe.

Los expertos analizaron rápidamente el problema hasta ubicar el código que lo causaba, y crearon una “vacuna” que lo solucionó. Esto nos lleva a la actualidad, pues la mejor manera de defenderse es instalar antivirus, o sea, programas que contienen “vacunas” cuya misión es controlar todo lo que llega a nuestro dispositivo. Por ejemplo, analizar un archivo adjunto a un e-mail antes de abrirlo.

Los antivirus deben actualizarse continuamente debido a la aparición de nuevas amenazas y pueden fallar por una razón obvia. Supongamos que el antivirus se actualizó a las 10 y aparece un nuevo virus a las 10.01. Mientras la empresa proveedora modifica su antivirus para lidiar con la novedad, el flamante virus infecta nuestro dispositivo. Por ello es muy recomendable revisar a fondo nuestros equipos en forma periódica (usamos el neologismo “escanear” por la palabra inglesa scanning), lo que permite encontrar código malicioso en programas muy antiguos. Surge la pregunta de cuáles son los motivos que impulsan a crear un código malicioso. Hay respuestas diversas; por ejemplo, que se diseñan como métodos de ciberataques entre países o que sirven como “tarjeta de presentación” a los programadores que los implementan frente a las grandes empresas que eventualmente los contratan por sus habilidades técnicas. Ese fue el caso del virus Stuxnet, creado por Israel y los Estados Unidos para afectar el programa nuclear iraní, que atacó los sistemas de control industriales Scada utilizados en muchas infraestructuras críticas en todo el mundo. En Wikipedia podemos leer: “La empresa europea de seguridad digital Kaspersky Lab describía a Stuxnet en una nota de prensa como un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial”.

Lo que sí se observa es el comienzo de una declinación de los ataques clásicos de virus, malware, etc. De hecho, Conficker (en 2008) fue el “último” de los ataques masivos; y en cambio, existe un aumento de código malicioso para Mac, teléfonos inteligentes y dispositivos con Android.

¿Quiénes son los que se dedican a penetrar sistemas, escribir códigos maliciosos y otras actividades conexas? Los llamados hackers, cuyos máximos objetivos son introducirse en sistemas –cuanto más protegidos mejor, pues presentan un mayor desafío–, robar información y procurar no dejar rastros detectables. Un hacker de alto nivel lo primero que hace cuando logra entrar en un sistema es instalar diversos mecanismos para poder volver a ingresar en el futuro, aun cuando su método original sea descubierto y removido.

Hace años los hackers eran pocos y debían tener muchos conocimientos técnicos. Hoy en día es posible obtener en la web algunos programas semiautomáticos que analizan una gran cantidad de direcciones en internet y detectan vulnerabilidades que pueden ser explotadas. En otras palabras, una persona no muy especializada puede dejar ejecutando un programa durante unas cuantas horas, lo que le reportará resultados para penetrar en equipos diversos. Por ese motivo la cantidad de ataques ha proliferado en forma impresionante. Por ejemplo, hay países donde, si uno se conecta a la web vía wi-fi, es atacado en menos de un minuto.

Hemos utilizado la palabra “hacker” por lo popular del término, pero sin ninguna connotación peyorativa, pues no equivale a delincuente digital. Un hacker puede ser un investigador, un académico interesado en la seguridad informática, etc. En Wikipedia, leemos: “Un hacker no es un delincuente, vándalo o pirata informático con altos conocimientos técnicos [a los que prefiere llamar crackers], sino [...] todo aquél que trabaja con gran pasión y entusiasmo por lo que hace. De ahí que el término “hacker” pueda y deba extrapolarse a otros ámbitos [...], por ejemplo, el científico”.

Uno de los efectos más molestos del malware que afecta los equipos que usan Windows es la aparición de ventanas emergentes con propagandas no solicitadas (los pop-ups), el cambio de las páginas de inicio, la instalación de barras de tareas y hasta el “secuestro” de los buscadores que uno eligió.

Veamos este tema con más detalle dado que los programas maliciosos son cada vez mas frecuentes. En principio, no existe una solución universal que nos proteja para siempre porque los atacantes evolucionan y continuamente aparecen nuevas técnicas que derrotan a los mecanismos de protección. Por ejemplo, hay muchos programas maliciosos que cambian todo el tiempo. Son los denominados “virus polimórficos” que intentan evadir la detección modificando su patrón de bytes con cada infección. Esto es así porque los antivirus buscan segmentos “reconocibles” de código para identificarlos.

 Una clase de ataques mediante malware es la instalación no deseada en una computadora de los llamados keyloggers (registradores de teclas), que graban todo lo que escribe una persona en un archivo que luego será enviado al hacker por la web. Obviamente el objetivo es capturar claves u otra información sensible. Por ese motivo hoy en día casi todos los bancos poseen la opción de un teclado virtual consistente en una imagen de un teclado normal al que se le puede mezclar la posición de los símbolos. Para escribir se usa el ratón, y eso previene tanto la existencia de keyloggers como del posible hackeo de una conexión mediante redes públicas no seguras.

Los ataques a las páginas de inicio y a los buscadores son muy frecuentes. A veces uno busca un producto determinado en la web como reproductores de video, juegos, etc., y al final encuentra que aparecieron cambios inesperados en su PC, desde barras de marcadores hasta modificaciones de la configuración del buscador.

Las cookies son pequeños archivos que un sitio de internet envía y almacena en el navegador del usuario para conseguir cierta información, como su historial de acceso a ese sitio, su idioma preferido, etc. En principio, puede guardar datos de identificación, como las claves de acceso, para no tener que reingresarlos con frecuencia, la información de la computadora y qué navegador utiliza. Obviamente esto presenta problemas de seguridad para el usuario, pues son un medio para que las campañas de marketing le hagan llegar publicidad. Esto es algo que uno advierte cuando luego de realizar una búsqueda comienzan a aparecer propagandas relacionadas con ese tema.

Una aplicación común de las cookies es en el comercio electrónico pues se usan para “recordar” los artículos incorporados a un carrito de compras. Estos archivos pueden habilitarse, borrarse o bloquearse mediante la configuración del navegador. Por ejemplo, en el caso de Internet Explorer, hay que ir a Herramientas. Opciones de Internet, Privacidad, y allí se define el nivel de aceptación de las cookies.

En el caso de Google Chrome: 1. marcar el ícono del menú de Chrome, 2. ir a Configuración, 3. ir a Mostrar opciones avanzadas, 4. en la opción Privacidad, marcar Configuración de contenido 5. Opciones: Permitir que se almacenen datos locales (recomendado). Conservar datos locales sólo hasta que salgas del navegador. No permitir que se guarden datos de los sitios. Bloquear los datos de sitios y las cookies de terceros, 6. cliquear OK para guardar las opciones elegidas.

Las cookies viajan entre la PC del usuario y el sitio web que visita transportando información. Si la conexión se realiza en forma no encriptada, tal como sucede en una red wi-fi abierta, un hacker puede interceptarla y usarla para sus fines. Un sitio web puede obligar a que un navegador utilice o no comunicaciones encriptadas. En el caso de que no lo haga, las cookies pueden ser explotadas por los hackers. Por ese motivo nunca hay que poner datos personales en sitios inseguros.

El problema es que, para funcionar, muchos sitios (como YouTube, Gmail y Yahoo) requieren que las cookies estén habilitadas y por eso es conveniente eliminarlas con frecuencia para evitar los problemas de seguridad. Esto puede hacerse con distintos productos, por ejemplo, con CCleaner, y en Google Chrome, con la opción Borrar datos de navegación, etc.

Algunos de estos productos tienen mecanismos de protección de la página principal, o sea que si uno define que al entrar a internet aparezca un determinado sitio, en teoría no puede ser cambiado. Estos productos requieren actualizar continuamente sus bases de datos, algo que puede hacerse de manera automática o manual.

Si el escaneo no resuelve los problemas, se puede probar con Microsoft Safety Scanner o el Spybot Search & Destroy. Y si tampoco se tiene éxito con lo anterior, hay que apagar la PC y volver a encenderla apretando la tecla F8 (si se usa Windows) hasta que aparezca una ventana que ofrezca arrancar en modo seguro. Hágalo y luego proceda a realizar un full scan (escaneo completo) con el antimalware que haya elegido. Si nada de lo anterior termina con las modificaciones en su buscador (Internet Explorer, Google Chrome, Yahoo, etc.), hay que desinstalarlo completamente y volverlo a instalar recurriendo a la página oficial del proveedor para tener la última versión que, seguramente, tendrá más medidas de seguridad.

Los problemas mencionados se agudizan por las malas prácticas comerciales de muchas empresas. Por ejemplo, uno desea descargar un producto y aparecen botones confusos que terminan instalando programas no deseados. O, en el medio de la instalación, le piden definir un buscador y las opciones no incluyen el que uno prefiere, obviamente con el propósito de forzarnos a usar los que ellos quieren. Otra técnica es pronosticar males incurables en su equipo si no compra un producto determinado. Es común que un servicio remoto de antivirus “detecte” muchos virus que solamente se pueden remover si uno compra la versión completa que están ofreciendo.

Seguridad, privacidad, confiabilidad y delitos informáticos. Las redes digitales, principalmente internet, constituyen hoy en día una parte esencial de nuestras vidas. Los datos privados son cada vez más vulnerables y los problemas relacionados con la seguridad y la confiabilidad se tornan un factor clave para los ciudadanos que se conectan a sistemas cuya complejidad excede los conocimientos técnicos que poseen. Este problema es particularmente serio en el caso del uso de celulares.

Virus, spyware, phishing, etc., son delitos cada vez más sofisticados, pero la gente se ve obligada a confiar en ambientes que no puede juzgar adecuadamente. Este marco general conspira contra la construcción de una sociedad de la información que pueda generar desarrollo, prosperidad y equidad social. Para que así sea se necesita utilizar medios de comunicación de muy bajo costo, como internet, pero que son intrínsecamente inseguros. En contrapartida, es necesario adaptar las TICs a las necesidades de la economía y la sociedad, y asegurar que se transformen en herramientas útiles para la innovación en esas áreas. El punto de partida para lograrlo es fomentar la confianza y salvaguardar la seguridad en un mundo cada vez más interconectado por redes.



Hugo Scolnik