La (ciber) guerra que vamos a perder

La (ciber) guerra que vamos a perder Imagen superior: Katy Levinson, CC

En el año 2011 tuve ocasión de conocer a Martin Roesch, el fundador de Sourcefire, actualmente arquitecto jefe de seguridad en Cisco Systems. En una pequeña conferencia muy esclarecedora sobre software malicioso, el señor Roesch nos dejó una conclusión abrumadora: "Esto es una guerra y la estamos perdiendo muy deprisa".

Por aquel entonces, el dinero que movían las mafias del software era un orden de magnitud mayor que las inversiones en seguridad informática a nivel mundial. Como el dinero llama al dinero, es de esperar que hoy en día esas cifras estén absolutamente multiplicadas, pero en el lado de las mafias.

Mafias, sí. Uno de los problemas que vamos a tener de hoy en adelante es muy nominalista.

Pero antes, aclaremos el contexto de este artículo. Aunque, como el lector podrá comprobar, no importa demasiado en qué fecha se repasen sus conclusiones ‒procuraré que éstas no dependan demasiado de la actualidad‒, escribo estas líneas durante un fin de semana en el que las portadas de los periódicos y las webs se han llenado con titulares como éstos: "Europol asegura que el ciberataque ha afectado ya a 200.000 víctimas de 150 países. La agencia policial de la UE advierte que la cifra podría seguir aumentando este lunes" (ABC, 14 de mayo de 2017). "El ataque de ‘ransomware’ se extiende a escala global. España, Portugal, Reino Unido y Rusia, entre los afectados. Estos virus informáticos cifran la información de los ordenadores a cambio de un rescate" (El País, 15 de mayo de 2017). "El ciberataque de escala mundial y 'dimensión nunca antes vista' que afectó a instituciones y empresas de unos 150 países" (BBC Mundo, 13 mayo 2017). "Europol advierte: el ciberataque no ha terminado y se espera una nueva oleada" (El Mundo, 14 de mayo de 2017). "Los expertos alertan de que un nuevo ciberataque podría invadir los móviles" (La Vanguardia, 13 de mayo de 2017).

A modo de coda, y dando otro ejemplo atemporal de aquello de lo que pretendo advertirles, el 16 de mayo del mismo mes, El País recogía este otro titular: "Disney denuncia el rapto de una película. Los hackers piden dinero por frenar su difusión antes el estreno".

Como cualquiera podrá comprobar en la hemeroteca, los periódicos de esos días de mayo de 2017 no dejaron de usar la palabra hacker, haciéndonos ver que esto era obra de algún individuo particular… enfrentado al sistema. En definitiva, el concepto de moda, absolutamente irresistible para un seudoperiodista o para un gestor de audiencias (o como quiera que se llame ahora esa figura mediática).

mr robot rami malek

Imagen superior: Rami Malek como Elliot Alderson, el experto en ciberseguridad y hacker que protagoniza "Mr. Robot" (2015) © Universal Cable Productions, Anonymous Content, NBC Universal. Reservados todos los derechos.

En realidad, este "ciberataque" fue todo lo contrario, y la gente que manejó esta operación y las que se irán repitiendo en el futuro probablemente no tenga ni idea de lo que es el software.

Hablamos de toda una industria que mueve mucho dinero y que se compone de multitud de piezas. En alguna de ellas hay alguien que escribe software. Pero siendo una pieza importante, también lo es quien controla la red de distribución ‒que a su vez se compone de muchas otras piezas‒, quien proporciona cuentas bancarias de personas normales sobre las que se realizan los ingresos, quien proporciona los datos de las vulnerabilidades de objetivos concretos y muchos otros componentes menores.

Por encima de cada uno de ellos, hay un broker que ofrece sus servicios (y los de otros “profesionales”).

Los que montan estas operaciones definen los objetivos, ponen el dinero para pagar a todas y cada una de las organizaciones involucradas, y también contratan a alguien que ejecuta y a alguien que supervisa la operación. A ese que ejecuta la operación es al que los seudoperiodistas llaman erróneamente “hacker”, cuando en realidad es el matón jefe de una organización mafiosa.

Oh, sí. Saben mucho de marketing porque son una organización muy completa y sofisticada. Pero eso nos conduce, una vez más, a eufemismos eficaces y que han tenido su éxito, como el de llamar "guerrilleros" a terroristas asesinos.

En realidad, estas cosas no se averiguan buscando en Google. Se aprenden llevándose reveses continuos con pequeños momentos de éxito. Después de años tratando de mantener vivo un pequeño proveedor de servicios en internet, y de aprender por esa dura vía muchas lecciones sobre seguridad informática, lo que vi durante el fin de semana que nos ocupa no me sorprende nada.

hacker1

Imagen superior: Jared Tarbell, CC.

Hace diez años, el hacker (uno de tantos) y yo coincidíamos en el mismo servidor. Yo iba “aplicando hielo” a sus movimientos. Trataba de averiguar lo que estaba haciendo, qué vulnerabilidad estaba usando, y la corregía sobre la marcha, mientras borraba sus scripts de control. En una ocasión, tras echarlo de mi sistema, logré averiguar de dónde venía y entrar allí. Pero le perdí la pista. Aquello también era un ordenador “controlado” y no el origen del ataque.

En realidad, esa etapa romántica ya quedó atrás. Las herramientas de los atacantes actuales han mejorado y las nuestras no. Los sistemas de detección de intrusos son, en su mayoría, una broma. Los que funcionan son tan complejos que se encuentran a un manual de distancia de cualquier informático normal (o sea, son inalcanzables).

No detectamos un ataque; nos damos cuenta de que ha habido uno. La aseveración de Martin Roesch es cada vez más clara. Esto es una guerra que vamos a perder.

Sin embargo, las razones para ello no son estrictamente tecnológicas. Siempre va a ser cierto que destruir es mucho más fácil que proteger, tanto en términos tecnológicos como económicos. El que destruye sabe lo que quiere destruir; el que protege no sabe contra qué tiene que proteger. Pero eso realmente no es el problema. El problema es nuestra actitud en esta guerra. Yo veo tres razones que confirman que vamos a perder.

La primera razón la leímos claramente en las páginas de los periódicos que narraron el ya mencionado ciberataque (modélico en este sentido): nadie tenía ni la más remota idea de lo que estaba pasando. Nos lo trataron de contar de muchas maneras. En España, el ministro de Interior nos aseguró que no se habían robado datos. Los periódicos más importantes dijeron que el Instituto Nacional de Ciberseguridad (INCIBE) estaba ayudando a las empresas a recuperar los ficheros “infectados”. Añado otro titular significativo de las mismas fechas: "Chema Alonso, jefe de seguridad de Telefónica, quita hierro al ciberataque y dice que estaba de vacaciones" (El Mundo, 12 de mayo de 2017).

Creo que incluso los legos en la materia se dieron cuenta que nadie tenía ni la más remota idea de lo que estaba hablando. Lo peor es que, cuando un futuro lector acceda a este artículo, este detalle no se habrá corregido. 

En primer lugar, la infección real llevaba (que yo hubiera detectado) al menos dos semanas activa. Lo era con bastante baja intensidad, pero con herramientas criptográficas mucho más potentes. En segundo lugar, nadie puede asegurar que no se robasen datos por una razón muy sencilla: porque una vez que el ordenador está bajo control del “virus” nadie puede recuperar ninguna información de él, y por lo tanto, nadie puede saber si se ha robado información. En realidad sí se puede saber si, antes del ataque, alguien se ha preocupado de supervisar de forma paranoica el tráfico de red. Esto implica grabar en un almacenamiento que debería ser infinito todos los mensajes que entran y salen del ordenador (y esto no lo hace nadie). En tercer lugar, para desencriptar los archivos dañados hay que esperar a que tengamos ordenadores cuánticos o al final del universo.

No. Ni el INCIBE ni nadie tiene la tecnología para desencriptar los ficheros, salvo que tengan ellos las claves de desencriptado, y eso significaría que o bien son el matón mafioso que las tiene, o bien se las han sacado a éste a tortazo limpio. Y ninguna de las dos opciones resulta creíble.

La otra historia mediática es la del héroe de los diez euros. Es algo que suele repetirse en estos casos. Cito cómo lo describió el diario ABC: "El héroe desconocido que consiguió frenar de forma «accidental» el ciberataque pagando 10 euros. El experto, conocido en las redes sociales con el nombre de «MalwareTech», con la ayuda de Darien Huss, de Proofpoint, descubrió un «interruptor» que permitió desactivar el software malicioso que infectó, entre otros, a numerosos equipos del sistema de salud del Reino Unido" (13 de mayo de 2017).

Hace falta ser muy imbécil para creer que eso detuvo una infección orquestada como un reloj. Lo dejo aquí.

A decir verdad, no tenemos ni idea de lo que se nos viene encima, y además el discurso oficial es que hay que estar tranquilos. Esto debe ser así gracias a las experiencias pasadas. En el año 2000 España se gastó el 1% de la media de gasto de la OCDE en resolver el llamado bug del milenio. Italia hizo lo mismo, más o menos. De hecho, en España la mayor parte del gasto fueron las horas extras que se pagaron esa noche a las personas que se quedaron mirando los sistemas de información que podían estar afectados y que habrían causado catástrofes. Nuestra solución fue esa: pasamos a manual todos los sistemas durante unas ocho horas, apretamos mucho el trasero y contuvimos la respiración, que es lo que uno hace cuando no sabe qué hacer.

Salió bien, y los que creíamos que se caerían los aviones del cielo o que todos los semáforos de la ciudad se pondrían en rojo al mismo tiempo, quedamos en ridículo.

Pero el año 2000 era una cosa que llegaba y desaparecía. Ahora las cosas han cambiado. Con la estrategia del trasero y la respiración, y sin invertir en seguridad informática, moriremos envenenados o asfixiados (lo que antes suceda).

La segunda razón por la que estamos perdiendo esta guerra también es muy conocida. Los soldados que van a combatir contra este enemigo no saben coger un fusil y no se han leído las instrucciones para ver cómo se dispara. Todo el que tenga a un informático en su empresa sabe de qué estoy hablando.

El WannaCry (y los ataques anteriores de los que nadie habla) aprovecha, para propagarse dentro de una red, una vulnerabilidad de los sistemas operativos Windows. Una vulnerabilidad que se encontró y se resolvió en marzo de 2017, dos meses antes del ciberataque.

En sitios como Telefónica, la solución no estaba instalada. En realidad, en TODOS los sitios en los que el virus tuvo éxito la solución no estaba instalada. La distribución de estas soluciones es automática desde los servidores de Microsoft y los administradores de los sistemas (los informáticos) pueden escoger entre instalarlas automáticamente o instalarlas manualmente. En los sistemas en funcionamiento continuo, tiene sentido programar un momento del día o de la semana para hacer esta instalación de forma controlada. Pero… demorarla un mes no tiene ningún sentido.

Más aún. Demorar un día la instalación de soluciones de seguridad no tiene sentido. Sin embargo, los informáticos encuentran razones para hacerlo. “Por compatibilidad” suele ser la excusa más usada en Telefónica, sin que nadie aclare con qué se teme que se pierda la compatibilidad. En otros sitios se dicen cosas como “Por protección de datos”, “Por la normativa ITIL”, “Porque no se debe hacer nada que afecte a la producción el fin de semana…”

El fin de semana. Es natural que un informático quiera tener libre un fin de semana sin preocupaciones, como todo el mundo. O ver un Madrid - Barça o la final de la Champions sin interrupciones. No es broma. Los chicos malos están bien organizados y actúan en esos momentos. Debe de ser que no les gusta el fútbol. Afortunadamente (para mis máquinas) a mí tampoco. Pero a la mayoría de los informáticos sí les gusta. Lo que demuestra, una vez más, el íntimo conocimiento que estas organizaciones mafiosas tienen de nuestro comportamiento.

El WannaCry se disparó un viernes por la mañana, y es una rareza. Los ataques anteriores que yo he detectado de esta serie sucedieron un viernes por la tarde. No es casualidad. Los orquestadores de este lío saben que incluso en organizaciones que proporcionan servicio 24 horas los sistemas están mayormente desatendidos tanto manual como automáticamente durante el fin de semana. Tras cuarenta y ocho horas de procesamiento sin que “el informático” la mire, cualquier máquina “controlada” ha proporcionado una infinita variedad de servicios a su “controlador”. El lunes puede encontrársela encriptada o limpia, según los intereses del hacker.

Ante ataques como el WannaCry o cualquier Ramsonware no hay muchas alternativas y no hace falta llamar al INCIBE. Solo hay una solución. Parar la máquina y restaurar la última copia de seguridad completa.

Nosotros tenemos copias de seguridad semanales y también cinco imágenes separadas por doce horas; es decir, dos días y medio. Esto nos permite atender a la mayoría de nuestros usuarios que han metido la pata borrando un fichero. Pero claro, si la copia de seguridad se realiza el lunes y el informático detecta la infección del viernes el miércoles por la mañana pasan dos cosas: 1) el informático no ha hecho su trabajo de 50 minutos de supervisión diaria y 2) las copias de seguridad que puedes restaurar están todas contaminadas. Sí. Estoy contando un caso real que sucedió días antes del WannaCry.

Insisto: vamos perder esta guerra porque nos enfrentamos a un ejército perfectamente organizado y preparado, y sólo contamos con reservistas armados con piedras y palos que ni siquiera saben manejar.

mr robot 2

Imagen superior: Mr. Robot.

La tercera razón, como cualquiera que haya leído algún artículo mío puede sospechar, somos nosotros mismos.

Somos un componente más del problema. El 90% de los problemas a los que me he enfrentado en los ordenadores de los usuarios los habían traído ellos. Mi primer Ransomware logré resolverlo en 2011 gracias a Kaspersky Labs, cuando la tecnología de desencriptación que usaban estaba en pañales. Entró en el ordenador a través de un enlace que era un regalo por ser el visitante número nosecuántos del día en una página web.

Brian Krebs, uno de los gurús de la seguridad informática, hablaba en su blog (17 de abril de 2017) de cómo él mismo había sido estafado en una compra en Internet. La explicación, en su estilo ameno habitual, da detalles sobre un sitio llamado SLILPP donde estas organizaciones compran… cuentas bancarias de usuarios particulares y empresas, tarjetas de crédito, cuentas de PayPal (de ahí el "PP"), cuentas de Ebay y de Amazon, tanto de vendedores como de compradores … y un largo etcétera de entre su stock de siete millones de cuentas.

La mayor parte de estas cuentas no provienen de que un hacker (o un matón mafioso) haya entrado en nuestro ordenador utilizando sus profundos conocimientos informáticos. Provienen de que hemos proporcionado los mismos datos de acceso a nuestro sistema de correo o a nuestro banco para registrarnos y conseguir la descarga de unos emoticonos superchulos o una película de estreno servida por la rama “legal” de la organización. Unos chicos residentes en algún lugar de África (la mano de obra barata de todo este esquema) prueban esas credenciales de forma manual o automatizada en todos los bancos online del mundo, en todas las tiendas online que interesan y en todos los servicios de correo más habituales.

Al igual que le sucede al Dr. Fausto, Mefistófeles llama tres veces y sólo entra si le dejamos pasar. El virus solo puede propagarse en la red si alguien le ha dejado entrar. Y ese ha sido un usuario, no el informático que quiere pasar su fin de semana tranquilo.

Nuestra concepción de la seguridad personal en internet es muy limitada. No estamos hablando de proteger nuestra privacidad. Estamos hablando de usar la misma sensatez que en nuestras relaciones sexuales. Claro, que igual es ese el problema.

¿Y esto del WannaCry?

Cuando los chicos malos (insisto, no son hackers, no nos confundamos) tienen objetivos claros y quieren conseguirlos, no hacen ningún ruido. Se cuelan en los ordenadores, los mantienen en funcionamiento y los usan en pequeños periodos de tiempo en los que detectan baja actividad. Es así como es posible hacerse con el control de centenares de miles de ordenadores desde los que se lanzan cosas tan tontas como el SPAM de las pildoritas azules, tan habituales como ataques de denegación de servicio, o tan extraordinarias como desconectar la red de una ciudad o de un país. Todo ello mientras sus usuarios se bajan películas o sus administradores manejan bases de datos con ellos.

Aparentemente, y siempre según Brian Krebs, el WannaCry tuvo muy poco éxito económico en el ciberataque que motivó este artículo. Apenas 100 pagos de entre todos los servidores contaminados, lo que contabiliza unos 26.000 USD. Puede que los usuarios tarden en darse cuenta de que la única solución es pagar o puede que todo el mundo esté restaurando copias de seguridad (con la estrategia del trasero y la respiración).

Este escaso éxito en una operación compleja (y cara) y el exceso de ruido mediático, me hacen pensar que el objetivo real puede estar cubierto bajo toda esa capa de mensajes de ransomware. De entre los doscientos mil ordenadores infectados a nivel mundial, es posible que solo unos cuantos fueran el objetivo real. En estos casos, los gobiernos y los informáticos de las empresas afectadas dicen (sin pruebas) que no les han robado ningún dato.

Hay otras dos alternativas imaginables, tanto para este como para los casos similares que se irán conociendo en el porvenir. Una de ellas es que, en efecto, estos rusos ‒o supongamos que fueran norcoreanos, o de cualquier otro punto del planeta‒ son unos cantamañanas. Son unos cantamañanas que ‒miren ustedes por dónde‒ usan la tecnología de encriptado más avanzada, son capaces de explotar una vulnerabilidad semidesconocida, y además, pueden contratar una botnet inmensa para distribuir su ataque... pero esta vez se dejaron un “error” que, por el coste de un dominio que no tenían controlado, bloqueó el despliegue.

Sinceramente, yo creo que no son unos cantamañanas. Pero siempre habrá quien diga lo contrario. Por cierto, ¿quieren otra referencia significativa? La tomo de La Vanguardia, y una vez más, se refiere a ese fin de semana tan ajetreado: "Poco después de conocerse el ciberataque a Telefónica, Chema Alonso, desde mayo de 2016 Chief Data Officer (CDO) de Telefónica, pero hasta entonces un mediático hacker, trataba de tranquilizar a la opinión pública a través de su cuenta de Twitter. 'Las noticias son exageradas', escribía, 'y los compañeros están trabajando en ello ahora mismo'. (...) Pero, eso sí, el CDO aclaraba: 'Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas'. (...) Los usuarios de Twitter no han tardado en señalar lo que han calificado como una contradicción. Pues mientras, Alonso aseguraba que la seguridad interna no es una de sus responsabilidades, la página web de la multinacional española se afirma que el exhacker es 'asimismo responsable de la ciberseguridad global y de la seguridad de los datos, creando la nueva Unidad de Seguridad Global'". (13 de mayo de 2017)

Decía que hay dos alternativas. La segunda es mucho peor. Nos lleva a pensar que todo esto fue una prueba para ver qué gobiernos, empresas y/o departamentos de informática no tienen ni idea de lo que se traen entre manos.

Un buen estratega puede sacar muchas conclusiones de las reacciones a lo sucedido el 12 de mayo de 2017 (y a lo largo de las semanas anteriores). Y si hay un buen estratega al mando de esto, tiene toda la información que quiere. De hecho, es el único que la tiene.

En el siguiente ataque, Skynet tomará control de todo y...

Copyright del artículo © Javier Sánchez Ventero. Reservados todos los derechos.

Javier Sánchez Ventero

De su trayectoria de más de veinte años como ingeniero y de su responsabilidad a cargo de complejos proyectos en distintos rincones del mundo, le queda a Javier Sánchez Ventero una experiencia que va más allá de las aplicaciones más vanguardistas y de los retos tecnológicos más innovadores.

En realidad, esa experiencia tiene una faceta intelectual, que le ha hecho moverse a medio camino entre la tecnología y las humanidades, alternando las aplicaciones más complejas del software con el estudio y el análisis de la economía global y de su vertiente sociológica.

Es el cofundador de conCiencia Cultural, una entidad sin ánimo de lucro creada para acercar las disciplinas humanísticas al saber científico. Asimismo, es uno de los creadores de The CULT (Thesauro Cultural), cuya labor divulgativa y cultural se alterna con el fomento de la educación y del pensamiento crítico en nuestra sociedad.

Social Profiles

Google Plus

logonegrolibros

  • Laszlo Toth
    Escrito por
    Laszlo Toth Sin Piedad 1972, Ciudad del Vaticano, 21 de mayo, domingo de Pentecostés. Son las once y media de la mañana. Un hombre se abre paso entre la multitud de peregrinos que esperan la bendición papal,…
  • Salomé
    Escrito por
    Salomé Muchas son las lecturas que provoca Salomé. No casualmente, han imaginado a la princesa de Judea pintores como Gustave Moreau, Tiziano, Henri Regnault, Federico Beltrán-Masses y Georges Rochegrosse. El personaje también ha fascinado a los…
  • Los peligros del pensamiento positivo
    Escrito por
    Los peligros del pensamiento positivo Cuando en su día salí de ver Del Revés (Inside Out), no fui inmediatamente consciente de la relevancia del mensaje que contenía. Evidentemente, me quedé impresionada por el ingenio, el humor y el…

logonegrociencia

Cosmos: A Spacetime Odyssey © Fox

  • El secreto de la vida… otra vez
    El secreto de la vida… otra vez ¿Qué es explicar? Un querido y admirado amigo, el biólogo, filósofo e historiador de la ciencia (además de poeta) Carlos López Beltrán, dijo una vez que una explicación es “algo que nos deja satisfechos”. (“Epistémicamente satisfechos”, dirían sus colegas…
  • Libros y mestizaje
    Escrito por
    Libros y mestizaje En 1539 se imprimió el primer libro del continente americano, la Breve y compendiosa doctrina cristiana en lengua mexicana y castellana, en Ciudad de México. Cuatro décadas después, veía la luz la Doctrina christiana y catecismo…

Cartelera

Cine clásico

  • "El proceso Paradine" (Alfred Hitchcock, 1947)
    Escrito por
    "El proceso Paradine" (Alfred Hitchcock, 1947) La personalidad de Hitchcock era tan potente, tan cuidadosamente agresiva, que sus propias opiniones acerca de las películas que dirigió son capaces de influir al público de una forma muy decisiva. Si lees en cualquier…

logonegrofuturo2

Cosmos: A Spacetime Odyssey © Fox

logonegrolibros

bae22, CC

logonegromusica

Namlai000, CC

  • Explorando a Joseph Touchemoulin
    Escrito por
    Explorando a Joseph Touchemoulin Parece llegada la hora de redescubrir a Joseph Touchemoulin (1727-1801), un francés que hizo casi toda su carrera en tierras germánicas. Violinista eximio, formado nada menos que por Tartini en Padua, se desempeñó como maestro…

logonegroecologia

Mathias Appel, CC

logonegrofuturo2

Petar Milošević, CC