Regresó el ransomware, ahora llamado Petya, y esta vez afectó a una nación: Ucrania, dejándola sin estaciones de trabajo gubernamentales, las operaciones administrativas de la compañía eléctrica, aeropuertos, cajeros automáticos y bancos. También la compañía más grande de publicidad del mundo, el grupo WPP, fue susceptible al ataque en varias de sus unidades de negocio. Los laboratorios Merck, la firma de logística Maesrk, y el aeropuerto de Kiev, entre otros también fueron afectados.

Ataques como este nos hace recordar la importancia de reforzar los eslabones más débiles, el problema no es tanto reforzarlo como lo es encontrarlos. Aunque nos tenemos que ir haciendo a la idea de que veremos más y más de estos siniestros ejercicios, también hay que considerar que la situación actual es más de defensa que de ofensiva. Los gobiernos no tienen departamentos que busquen vulnerabilidades en el sistema nacional, y además dependen de vulnerabilidades de terceros, algo que muy bien aprendió Google desde el 2009 cuando recibió el ataque de un grupo de ciberespionaje supuestamente relacionado con el gobierno chino, que los llevó a decidir dejar sus operaciones en la China continental.

La percepción de que están pasando más seguido tiene que ver con el riesgo es mucho mayor por la suma de peligro que representa y la atrocidad de lo que hacen los que piden dinero a cambio de la información, además de que lo más seguro es que no la vayas a poder desbloquear. Y, en especial, con que los ataques se han vuelto mucho más dirigidos. Más allá de la frecuencia, lo que en realidad está pasando es que los hackers están eligiendo mostrar de forma pública las ramificaciones de sus ataques:

Las consecuencias de WannaCry tales como prevenir que funcionen los sistemas hospitalarios, mostraban como un virus puede hacer que los sistemas de tecnología vital se detuvieran de forma dramática.

PUBLICIDAD

Mientras tanto, con Petya los atacantes buscaron mostrar su habilidad de destruir sistemas en los que casi todos dependemos, desde bancos al suministro de petróleo o de energía de un país.

El asunto recae en que la defensa paga menos que la ofensiva. Si bien el límite de explotar una vulnerabilidad no tiene precio, el defender a un sistema de ser atacado si cae en un presupuesto y esto nos hace depender de temas de ética, educación y compromiso. Utilicemos el ejemplo del equipo de guardianes de Internet más reconocido por el momento en la industria: Project-Zero de Google.

Si bien no son los únicos, tienen procesos claros de hacer pública una vulnerabilidad a los 90 días de haberla reportado al dueño del servicio (aunque políticas de empresas como Microsoft los hacen dar 15 días más de gracia por programas internos estilo “Patch Tuesday”, o martes de arreglar bugs o vulnerabilidades). No todos los bugs son vulnerabilidades, hay bugs y los bugs de los que uno se puede colgar para atacar un sistema se llaman vulnerabilidades (eso es bueno aclararlo). Pues Project Zero nació de cuando Google fue atacado por los ciberespías y se dieron cuenta de que no podían hacer nada al respecto internamente, porque fue a través de una vulnerabilidad en Internet Explorer.

Es así que este equipo se dedica a atacar al Internet de forma regular, buscando encontrar bugs y vulnerabilidades y avisarle a los diversos dueños de los servicios, aplicaciones y sistemas. Puede que por ello también hemos visto un incremento en actualizaciones de software desde el del celular al de la computadora, o de aplicaciones como el navegador o Java o Adobe. El gran problema es que la gente se ofende cuando le dices que sus macetas en el barandal se van a caer sobre alguien, eso es hasta que se lastima uno de sus familiares al caerle una.

Photos, Google: Michael Short—Bloomberg via Getty Images; Tesla: Courtesy of Tesla; Apple: Courtesy of Apple Inc.; Cloudflare: Amriphoto—Getty Images; Pentagon: Library of Congress/Corbis/VCG via Getty Images; United: Courtesy of United; Netgear: Business Wire; Oracle: Kimihiro Hoshino—AFP/Getty Images
Fuente: Fortune

Los grupos de seguridad ofensiva/defensiva como Project-Zero (el nombre viene de que has tenido cero días para prepararte para esta vulnerabilidad) dan tiempo de que arregles las macetas, pero si no lo has hecho dentro de un parámetro lo harán público para que el resto de los vecinos lo sepan y a ver si la presión social logra hacer que lo arregles. Esto ha servido, pero recordemos que estos son White Hat hackers (personas – hackers – con buenas intenciones) pero al mismo tiempo que estos operan con un sueldo fijo, hay Black Hat hackers (gente con todo menos buenas intenciones) que ganan de diversas formas.

Hay unos con sueldo fijo, que ya no están en sus catacumbas como hacker estereotipo de los 90, sino que tiene un escritorio en las oficinas de una agencia gubernamental. Hay otros que cobran por impacto del ataque y obvio depende de la magnitud del ataque el cobro y finalmente los que solo quieren hacerse publicidad, como tomar la cuenta de Twitter de alguien y poner su logo. Todos ellos tienen la tarea de ser ofensivos y no avisarle a nadie, sino de llegar lo más fondo posible de la vulnerabilidad y hacerla explotar, onda Star Wars cuando disparan los torpedos de protones contra la Estrella de la Muerte.

“A precise hit will start a chain reaction which should destroy the station. Only a precise hit will set up a chain reaction. The shaft is ray-shielded, so you’ll have to use proton torpedoes.”

General Jan Dodonna briefs Rebel pilots on the attack on the Death Star

Mientras estos ataques se van dando, es importante evitar ser nosotros el eslabón más débil. Debemos tener nuestros equipos actualizados y la verificación en dos pasos activada en los servicios que utilicemos y lo ofrezcan. Simplemente es protegernos y proteger nuestra información (y fuentes). Es ser usuarios responsables y saber si tenemos nuestros routers de Internet con el software actualizado, así como los equipos de Internet de las Cosas (focos, lavadora, refrigerador, equipos de sonido, etc.) así como nuestros celulares.

 

Contacto:

Correo: [email protected]

Twitter: @ricardoblanco

G+: ricardoblanco

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

 

Siguientes artículos

Retos de la investigación en comunicación digital
Por

Desde que surgió la triple W, ya nada fue igual. La comunicación digital presenta nuevos objetos de estudio, académicos...