Hasta hace unos años, las amenazas informáticas vivían exclusivamente dentro de nuestras computadoras. Pero a medida que todo lo que nos rodea se conecte a internet, tres nuevos campos de batalla serán nuestras casas, ciudades y hasta nuestros propios cuerpos.

 

Cancún, Quin­tana Roo.- Son las 3 de la mañana del martes 18 de febrero en la provincia china de Shandong, y Zhang Peng, de 31 años, decide cerrar su laptop e ir a la cama. Nacido en 1984, Peng se gana la vida como hacker, no uno cualquiera, uno de élite, de esos que vulneran redes de grandes corporaciones o de gobiernos en todo el mundo, y roba información sensible o secretos informáticos. Bajo el alias missll ha participado en múltiples ataques, en ocasiones por su cuenta, otras como parte de grupos criminales bien organizados, y a veces se cree que actuaría bajo las órdenes de la Uni­dad 61486, el grupo de ciberespionaje del Ejército Popular de Liberación de China.

PUBLICIDAD

Aunque Peng existe, quizás al­gunos de los rasgos de su perfil no sean tan precisos. Usted disculpará los posibles errores, pero ocurre que la ficha de missll ha sido crea­da con el tiempo a través de pistas que va dejando en sus distintas incursiones en la red, y, como todo en internet, rastrear a un hacker es como un juego de sombras dentro de una casa de espejos.

Sin embargo, sí, los grandes también se equivocan, y sus des­lices ayudan a que expertos como Kris McConkey les sigan la pista.

McConkey es el líder del equipo de Ciber Respuesta de la firma de consultoría PricewaterhouseCoo­pers, y en el momento justo en que Peng pone su computadora a dormir, a 13 husos horarios, aún lunes en el Caribe mexicano, dicta una conferencia frente a la élite de la seguridad informática mundial, en la que narra cómo es que ha seguido el rastro de missll y de otros hackers responsables de ataques informáticos. Este espigado irlandés es uno de los más de 40 expertos que comparten su visión en el marco del SAS 2015, la cumbre de analistas organizada por la compañía de ciberseguridad Kaspersky, celebrada en Cancún, Quintana Roo.

Las amenazas que privan en el presente son los ataques dirigidos –muchos de ellos patrocinados por Estados Unidos–, la cibermilitarización de internet, el ciberespio­naje y el malware para dispo­sitivos móviles, por mencionar sólo algunos. Pero, ¿qué hay del futuro? Éste es un breve asomo a algunas de las cosas dichas durante el SAS 2015, una de las cumbres de seguri­dad informática más exclusivas del mundo, a la que Forbes México tuvo oportunidad de asistir.

 

He leído los términos y condiciones

“Lo inseguro es más rápido, fácil y barato”, afirma sobre el escenario principal del SAS Dan Kaminsky, chief scientist de White Ops, una firma estadounidense de seguri­dad informática. El gigantesco y desgarbado geek hace referencia a la electrónica de consumo y a nuestros hábitos como usuarios. Por una parte, los fabricantes de te­levisores, refrigeradores y termos­tatos “inteligentes” o “conectados” buscan que sus productos sean los más fáciles de usar; por otra, los usuarios omitimos algunos pasos de configuración de los equipos con tal de hacernos la vida más fácil.

Pero hay una cierta perversidad en esa dinámica:

“Lo seguro está peleado con lo fácil”, dice Kaminsky, y tiene un punto. ¿Te consideras un usuario consciente de los riesgos que te rodean? ¿Cuán informado estás sobre el nivel de seguridad que ofrece el módem que te instaló en casa tu proveedor de internet? Sin ir más lejos, ¿cuántas veces has leído íntegramente los términos y condiciones de un programa? Los usuarios somos confiados y pere­zosos; es por ello que ese televisor inteligente que acabas de comprar tiene de fábrica una configuración de seguridad predeterminada que no es la óptima y que incluso puede mandar las grabaciones de tus con­versaciones a un tercero, sin que tú te hayas dado cuenta de ello.

Sí, es cierto, estamos siendo un tanto catastrofistas, pero sólo a través de la perspectiva del peor escenario posible podremos encon­trar un balance entre usabilidad y seguridad. David Jacoby, investigador senior de seguridad en Kaspersky Labs, ilustró el punto en su charla ‘Cómo hackeé mi casa’:

“Una casa moderna promedio tiene alrededor de cinco aparatos conectados –independientes de celulares y computadoras–, y todos son susceptibles de ser hackeados.”

También es cierto que actual­mente no resulta particularmente riesgoso tener un tele­visor conectado, pero el peligro radica en fomentar una cultura del descuido en esta etapa tempra­na, lo que podría tener consecuencias graves en el futuro cercano, cuando el número de aparatos conectados aumente.

“A los fabricantes les importa un carajo la segu­ridad”, sentencia Jacoby, quien explica que alguien con los conocimientos necesarios de programación puede acceder a una red doméstica y ganar control de, digamos, un re­frigerador conectado, en menos de una hora. Ese electrodoméstico por sí solo no representa necesariamen­te un riesgo, pero al estar dentro de la red, puede usarse como puente para acceder a otros aparatos, como tu computadora, tu teléfono inteligente, tu sistema de videovigilancia o tus cerraduras inteligen­tes. “¿De verdad necesitas que tu refri sea capaz de hablar con tu tele y ésta con tu computadora?”, cuestiona Jacoby.

 

Moderno y tonto

Y si bien las amenazas en el espacio de lo privado son más que alarmantes, en el público el riesgo de ser víctima de un ciberataque adquiere una dimensión comple­tamente distinta. Hay cada vez más aparatos conectados a inter­net, pero existe un desequilibrio terrible: por un lado, los atacantes tienen una alta comprensión de las vulnerabilidades existentes; por otro, los usuarios tienen un profun­do desconocimiento de lo que se necesita para protegerse, explica a Forbes México César Cerrudo, investigador en la firma de seguri­dad IoActive.

Ese principio aplica a las casas y autos conectados, pero también a las ciudades inteligentes, que Cerrudo define como aquellas que usan la tecnología para mejorar y automatizar los servicios que ofrece a sus ciudadanos.

Cada urbe es distinta y lleva su propio ritmo de adopción de esa tecnología, pero al hacerlo debe cuidar de tomar todas las precau­ciones posibles para asegurarse de tener control absoluto de ella. Lo cual no está ocurriendo.

La tecnología que se despliega en las ciudades inteligentes no pasa por ningún tipo de pruebas de seguridad, afirma el investigador argentino. “Cuando un gobierno quiere comprar su tecnología le pide al desarrollador realizar algunas pruebas que permitan comparar distintas soluciones de diferentes proveedores, pero sólo se enfocan en la funcionalidad. Es algo muy común.”

A los problemas técnicos se su­man otros de carácter operativo: la falta de protocolos de respuesta:

“Cuando el gobierno descubre una vulnerabilidad o una falla menor, ¿qué hace? ¿Desactiva los sistemas para que nadie pueda usarlos y espera a que el proveedor del aparato o el sistema libere un parche, lo cual puede tomar hasta meses?” Ése es sólo uno de los retos que enfrentarán las urbes de todo el mundo que quieran volverse inteligentes. Cerrudo advierte que los riesgos implíci­tos en el hackeo de una ciudad son potencialmente mayores a los de una empresa. “Obtener informa­ción sensible de la administración pública o sobre la información de los ciudadanos podría llevar a actos de vandalismo o terrorismo, y ni hablar de la infraestructura crítica.”

Hay dos ejemplos claros de esos peligros, uno cotidiano y otro extremo. El primero tuvo lugar en 2003 en la ciudad de Nueva York, cuando un error en el sistema de monitoreo de la red eléctrica provocó el colapso del sistema en su totalidad, dejando sin energía a más de 55 millones de personas en el noroeste de Estados Unidos y el sur de Canadá. Ese error provocó pérdidas multimillonarias deriva­das del colapso de las telecomuni­caciones, el sistema de transporte público y la industria.

El segundo caso es el ataque perpetrado por hackers –presunta­mente bajo las órdenes de Estados Unidos– a instalaciones nucleares iraníes a través de un virus descu­bierto por Kaspersky Lab en 2010, y que marcó el inicio de una nueva era: la de la guerra cibernética.

Nadie se salva, no sólo las empresas públicas lo hacen mal. Cerrudo relata que, por ejemplo, los sistemas de elevadores y de videovi­gilancia de la torre Burj Kalifa, uno de los edificios más altos y tecnoló­gicamente más complejos del mun­do, corren sobre Windows XP, un sistema operativo descontinuado por Microsoft, para el cual ya no existe soporte.

Para poner las cosas en perspec­tiva, Navigant Research estima que el número de sensores conecta­dos a internet crecerá de los 313 millones instalados en 2013 a 1,100 millones en 2022.

Una explosión similar tendrá lugar en la adopción de vehículos conectados, que en 2013 sumaban 23 millones de unidades en todo el mundo, y para 2020 serán 152 millones.

En estos escenarios, casos como el de Peng son cada vez más comu­nes en nuestros días: hackers que estudian internet en busca de una grieta por la cual colarse.

Algunas veces sus intenciones no son malas, son chicos inquietos y curiosos que sólo quieren hus­mear entre tus archivos, pero otras, las más, son sujetos con una agenda bien definida: hacer daño, ganar dinero u obtener a cualquier precio información clasificada.

Hasta hace unos años las ame­nazas digitales que se cernían sobre nosotros vivían exclusivamente dentro de nuestras computadoras.

Sin embargo, a medida que esas computadoras se han muda­do a nuestros bolsillos e internet conecta todos los objetos que nos rodean, esos peligros avanzan hasta rayar en lo increíble.

security-analyst-summit-2_1

 

Siguientes artículos

¿Cuál es el valor agregado de las mujeres en los negocios?
Por

Así como apreciamos la multiculturalidad de las compañías tenemos que valorar la gran aportación de las mujeres al entor...