Cibercrimen: nadie está a salvo. Ni ciudadanos, ni políticos

No hay ningún sistema informático invulnerable. Ya no se puede aspirar a evitar un ataque cibernético. Solo, a detectarlo cuanto antes. Que se lo digan a Hillary Clinton, que ha perdido las elecciones, según denuncian en sus propias filas, por un ‘hackeo’ masivo en su correo electrónico y el de sus más directos colaboradores. Da igual que haya corrido a cargo de la inteligencia rusa, que haya partido de servidores chinos -aunque sus autores se encuentren a miles de kilómetros del gigante asiático, o de mafias privadas que venden, por un elevadísimo precio, sus servicios. Lo cierto es que, a día de hoy, nadie puede estar seguro. Y que, en el mundo en el que vivimos, ya nadie conoce a nadie.

Que se lo digan a los servicios secretos norteamericanos que, en esta materia, han sido despreciados por su propio presidente ‘in pectore’, Donald Trump, que ha dicho fiarse más del fundador del portal de filtraciones ‘WikiLeaks‘, Julian Assange, que de ellos mismos. Un portal que durante los últimos doce meses ha hecho ver la luz a más de 27.000 correos del CND (Comité Nacional Demócrata) y a otros 50.000 de John Podesta, exjefe de campaña de la Hillary Clinton. Una auténtica catástrofe para los demócratas, además de la propia derrota electoral.

donald_clinton_0A la derrota electoral los demócratas han unido el ridículo porque Julian Assange ha declarado, desde su refugio en la embajada ecuatoriana en Londres, que ‘hasta un niño de 14 años hubiera podido hackear a John Podesta’… sin necesidad de que los rusos le ayudaran, se entiende. Hoy en día, el perfil del ‘hacker’ es muy distinto al de hace apenas dos o tres años. Durante más de dos décadas se trataba de jóvenes al estilo del clásico cinematográfico de 1983 ‘War Games’. Chavales que actuaban movidos por la vanidad o por el afán de demostrar que eran capaces de violar cualquier sistema, incluso el más complejo, fuese de un gobierno o de una multinacional. Hoy en día todo está directamente relacionado con la ciberdelincuencia y tiene una motivación económica. Como subrayan los expertos, ‘El cibercrimen ha descubierto a la mafia y la mafia ha descubierto las ventajas de apoyarse en el cibercrimen’.

No hay sistema informático capaz de resistir cualquier ataque. Un sistema no es como una fortaleza medieval, con una sola entrada que poder ‘amurallar’. Se parece más a una ciudad, con miles de puertas. Con que el ‘malo’ se cuele por una de ellas, ya está dentro’. Y siempre es más fácil atacar que defender. Por no hablar de la cantidad de datos personales que, diariamente, volvamos en nuestros perfiles en redes sociales y que son aprovechados con fruición, desde por las grandes compañías, para conocer nuestros hábitos de consumo, hasta por potenciales estafadores. Las copas que nos tomamos los fines de semana, las fotos de nuestros hijos… un horror.

Los políticos, en el punto de mira. Pero no solo ellos.

Se cuenta que, al llegar al poder en 2010, el ‘premier’ británico David Cameron se negaba a dejar de utilizar su vieja y querida Blackberry… ¡porque le tenía cariño a aquel aparato! Como es natural, su personal de seguridad se encargó de que al nuevo mandatario le durara la tontería una semana. Y es que, los políticos son igual de ignorantes acerca de estas materias que los ciudadanos ‘de infantería’. Es gloriosa la anécdota del entonces número tres del PP, Carlos Floriano, que declaró en 2013 que los ordenadores de Génova 13, algunos de los cuales eran utilizados por el ‘apestado’ extesorero Luis Bárcenas, no habían podido ser ‘hackeados’… ¡porque estaban apagados! Sería para reír si no fuera porque si estas son las mentes que rigen algunas de nuestras grandes formaciones políticas tenemos un serio problema.

A más a más, los sufridos ciudadanos se sorprenderían si supieran cuantos ‘passwords’ de webs oficiales responden a infantiles contraseñas del tipo ‘1234’, por ejemplo. Pregunten, pregunten a algún ‘ciberexperto’ y ya verán como no nos inventamos nada.

Dejamos rastro digital durante todo el día, y no somos conscientes

Otro hecho sorprendente para el profano es que da igual lo sofisticados que sean los medios técnicos de defensa. La peor amenaza proviene de nosotros mismos y de nuestras torpezas y descuidos. El punto más probable de ataque siempre va a ser el ‘phising’, o robo de identidad. El término recuerda al inglés ‘fish’, ‘pescar’, o más bien robar datos, información de aquí o de allá. Hasta hace muy pocos años, el ‘hacker’ iba a buscar a su víctima. Introducía ‘troyanos’ -concepto ya casi obsoleto- en su correo electrónico o algún tipo de virus o de ‘gusano’ en su sistema. Hoy ya no es así. El ‘ciberdelincuente’ nos espera, hace un análisis de nuestro perfil y del de millones de potenciales víctimas. Una vez que sabe qué páginas web visitamos, por inocuas que estas sean, ahí saldrá al encuentro. Es casi imposible prever que nunca va a ocurrir.

Desde el frente de batalla hasta el espionaje industrial.

Los tratados sobre ciberseguridad que existen en el mercado se quedan cortos. Los buenos expertos completan nuestro ‘background’ sobre este asunto con ejemplos prácticos. Como el de aquel soldado de la resistencia Siria que, cada noche, entre ataque y ataque, para relajar sus nervios y estar informado visitaba alguna que otra página web con noticias del frente, de las que incluyen también algún chat con mujeres árabes -un militar en la guerra no tiene demasiado tiempo libre para conocer chicas-. En una de aquellas noches trabó contacto con una que comenzó por preguntarle:

– ¿Te conectas desde tu móvil o desde un ordenador?

– Indistintamente… ahora estoy con mi portátil. (El ‘malo’ ya sabía a partir de ahí a qué tipo de servidor se enfrentaba)

La conversación seguía su curso y entre pregunta y respuesta de las típicas en un chat de ligoteo en internet, la ‘chica’ se iba ganando la confianza del soldado que seguía empatizando con ella, hasta que al rato, ‘ella’, le pidió una foto:

-Mira; éste soy yo

‘Game over’. Ahí, el ‘hacker’ (mediante la foto) acababa de acceder al control absoluto de su terminal. Y de toda la información que albergaba. La suya y la de sus compañeros de milicia. Un sólo atacante, a través de un sólo soldado del ejército enemigo, con tan sencilla práctica, estaba ya en condiciones de controlar la hora y el lugar de los movimientos de las tropas rivales. Ojo, por trasladarlo a nuestra vida cotidiana, con los cientos de ‘memes’ y fotos recibidas esta Navidad para felicitarnos las Pascuas. Algunas podrían tener ‘truco’. Es probable que no, pero… ¿y si sí?

Son ejemplos de lo vulnerables que podemos llegar a ser todos y cada uno de nosotros. Da igual que seamos militares de élite u oficinistas. Y es que, la vida empresarial también está llena de historias similares, como la de un alto ejecutivo -también real como la vida misma- que respetaba a rajatabla los protocolos de seguridad de la multinacional para la que trabajaba. Jamás introducía en su ordenador discos ajenos o pendrives que no fueran los propios, los de la casa. Hasta que hace un par de años, coincidiendo con la Navidad, una empresa ‘amiga’ le regaló una pecera en miniatura con un cable USB que, al conectarlo a su ordenador, hacía que los pececillos de colores se iluminaran. Un ‘caprichito’ muy cuco… y letal. Durante cinco meses estuvo suministrando información sensible al enemigo, que no necesitó meter a nadie dentro de la empresa rival para conocer sus planes comerciales con antelación. Cuando se dio cuenta era ya demasiado tarde. A punto estuvo de ser acusado, él mismo, de espionaje industrial.

También los Estados son atacados.

Brasil es el único que ha reconocido hasta ahora haber sido víctima de un ciberataque a gran escala. Lo fue en su red eléctrica de alta tensión y sufrió un gran apagón en algunas zonas del sur colindantes con su frontera con Paraguay. Pero es sabido que otros muchos países, EEUU sin ir más lejos, también han podido sucumbir a estos ataques.

Un experto en ciberseguridad de la Guardia Civil, que lleva años estudiando casos similares, confirma a Merca2 que en algunas ciudades estadounidenses han estado a punto de sufrir una gran infección en sus conducciones de agua corriente. El Gobierno del país más poderoso del mundo nunca lo ha reconocido -ni lo hará- y ha preferido siempre sacar a la luz tan sólo leves errores que suelen achacarse a la negligencia de algún empleado. Cierto es que, de haber sido reconocidos oficialmente estos ataques, el pánico sería indescriptible.

Es ya un lugar común entre los expertos en seguridad informática que no hay forma de detener indefinidamente a un ‘cibercriminal’ decidido y con suficientes recursos. Por ello hoy día no se buscan sistemas ‘resistentes’ sino sistemas ‘resilientes’, capaces de detectar el ataque en el menor tiempo posible, sobrevivir a él -es decir, desinfectarse- y seguir adelante.