Estas son las palabras con las que Ban Ki-moon, Secretario General de las Naciones Unidas, da comienzo al texto de la UNODC El uso de Internet con fines terroristas. Y es que, aunque Internet ha aportado grandes beneficios a nuestra sociedad, también ha creado un caldo de cultivo donde mafias, terroristas y delincuentes han encontrado una nueva forma de vandalismo muy rentable.
Cada segundo y medio 18 personas son víctimas de ciberataques en todo el mundo. Su objetivo no son sólo grandes compañías, organismos o ciudadanos, sino también gobiernos. Las cifras se han incrementado año tras año, hasta alcanzar la inimaginable cifra de 42,8 millones de incidentes anuales según un informe presentado por la consultora PwC.
¿Cómo defenderse del cibeterrorismo?
Aquí viene la parte más difícil. Lo primero, como reconocía el político norteamericano Joseph S. Nye, creador del término soft power (poder blando), “deben existir normas, pero necesitamos un tiempo para poder desarrollarlas. Los problemas de ciberseguridad comenzaron en los 90, así que es una cuestión relativamente nueva. Estamos progresando, pero aún somos jóvenes y necesitamos más tiempo”.
En esa línea, Vicente Fernández y Luis Fernando García Alcaraz están trabajando en una herramienta revolucionaria y pionera con el fin de permitir a las organizaciones y estados poder defenderse de estos ataques. El sistema se llama Dapheon y detecta cualquier intrusión ilegítima en el sistema informático, ya sea en la Red o en tu inocente smartphone, tablet o PC. Además de dar la alerta, hace todo lo posible por cerrar esa puerta. Según explica Vicente Fernández, además de hacer saltar la alarma “se puede programar para que haya una cascada de reacciones personalizables. Valdría para una central nuclear o un banco”.
Pero hasta que Dapheon llegue para defendernos hay que buscar otros medios. El problema es que “en España no hay cultura de seguridad”, reconoce Luis Fernando García. “Nadie pone una alarma en casa hasta que no le roban”. De hecho nuestro país es el tercero más atacado y, bueno, detrás de los Piratas del Caribe, uno de los que más descargan contenidos ilegales de la Red, lo que a su vez nos convierte en una diana fácil.
Sistemas para defenderse hay muchos y todo depende de lo que se necesite. “Es cierto que todo se puede piratear, pero no se puede vivir con el miedo en el cuerpo” explica Luis Fernando García. “Hay una máxima en seguridad que es ‘pon remedio hasta que te quedes tranquilo’. Si quieres proteger una información que pueda suponer un millón de euros, es evidente que no te vas a gastar ocho en protegerla”.
Para defenderse están los antivirus, los firewalls, IDS o IPS que se ponen a ver qué tráfico hay, lo analizan y si es sospechoso lo paran. Te puedes gastar desde 500 a 30.000 euros. Todo esto depende de lo que se quiera proteger. “Cada empresa tiene que plantearse primero qué le supone la pérdida, o bien, que llegue la ley y la penalice por no haber protegido correctamente los datos de sus clientes”, dice Vicente Fernández, que reconoce también la importancia de implementar políticas de seguridad.
“Son vitales en una organización: mesas limpias, nada de unidades externas ni conectar smartphones. Cambiar las contraseñas periódicamente, jerarquización de acceso a la información, estructuración de los datos y monitorización, es decir quién accede, cómo y cuándo. Es importante que cada persona tenga acceso solo a su departamento. También es importante la seguridad física, nada de despachos abiertos o cajoneras sin llave y dejar cuando te marches de la oficina los equipos apagados.”
Fernández critica también las nuevas políticas de que cada empleado lleve su móvil o portátil. Mientras que los financieros de una organización ven el dinero que puede ahorrarse en esos dispositivos, él ve la brecha de seguridad que crean. “El usuario utiliza su móvil para el Whatsapp, el correo, su facebook o descargarse contenidos más o menos fiables. Quizás tenga el antivirus caducado o acceda a webs de dudosa reputación. Esto puede salir a la larga muy caro”.
El experto en seguridad informática recomienda tener un antivirus, aunque sea gratuito pero no pirateado. “Un usuario normal no ve el contenido que puede llevar adherido una descarga ilegal y los procesos que lleva a cabo en su equipo”. También “nada de conectarse a wifis abiertas para hacer transacciones bancarias, entrar al correo o cualquier otra operación que requiera introducir datos personales”.
Quién no ha tenido un amigo que tapa la web cam con un post-it, desconecta el bluetooth, el wifi o la localización de su smartphone. Le miramos como si fuera amante de las conspiraciones, pero en realidad es un usuario precavido. “En un centro comercial se tarda sólo 15 minutos en sacar toda la información que quieras. Se puede hacer con un PC normal y una tarjeta wifi o con un dispositivo preparado para esto. No hace falta ser un experto, con tres vídeos de Youtube cualquiera se convierte en un craker”. Según explica Luis hay un software llamado Karma que va dentro de la máquina y que se hace pasar por las redes wifi conocidas de la víctima con el fin de que el dispositivo se conecte automáticamente a la máquina atacante. De esta forma, todas las comunicaciones pasan por dicho equipo.
“Otro peligro son los códigos BIDI” informa Vicente. Están de moda para conseguir entradas gratis u otros regalos. Lo ideal es no escanear códigos BIDI sin ton ni son. Es muy fácil imprimir un cartel con un código y pegarlo en el cristal de un centro comercial. La gente prueba, descarga una aplicación y puede ser un troyano, un virus y además de no llevarte ningún regalo, lo que sí puedes es irte con un hacker a casa”.
[vc_posts_slider count=1 interval=3 slides_content=teaser slides_title=1 thumb_size=large posttypes=post posts_in=7948]
Luis y Vicente son expertos en llegar cuando todos los medios de seguridad anteriores han fallado. Según reconocen tras numerosas investigaciones, la mayoría de las veces los ataques se producen a causa de un trabajador descontento, vengativo o alguien que ha hablado de más de su empresa tomando un café con alguien muy avispado. En otros casos, los problemas vienen por falta de sentido común o de cultura de seguridad. “Nos hemos encontrado que en algunas empresas, las llaves de los servidores nos las daba el jardinero, o que la cafetera estaba al lado de las máquinas, donde todo el mundo puede acceder”.
También les preguntamos sobre cuánto costaría a una empresa protegerse correctamente para poner más difícil a los ciberdelincuentes las intrusiones. “En el caso de un particular que tiene un negocio, una plantilla de 10 empleados, estaríamos hablando de una cantidad entre 10.000 y 300.000 euros”. Ahora bien, si el cliente es una caja rural a la que le han robado información, probablemente sea un ataque hacker, por lo que ya no es una investigación centrada en las personas que hay dentro, “sino en ver qué información se ha llevado, qué rastro han dejado –que, probablemente no hayan dejado nada– y nos iríamos un poco más a la parte de: bueno, ya que ha pasado esto veamos qué podemos hacer para que no vuelva a ocurrir. Los costes dependen entonces de cómo se quiera proteger. Cada arquitectura es distinta y depende del número de máquinas, qué tipo de servidor tiene, qué tipo de acceso… como mínimo 3.000 euros y de ahí en adelante”.
Y es que, al final, “el usuario es un superviviente”, dice con una carcajada Vicente. “El pobre trabajador lo que quiere es hacer las nóminas, terminar las facturas o gestionar el trabajo de última hora. El ordenador le pide una contraseña y acaba poniendo ‘mi perro se llama Paco’. Es normal, pero hay que insistir en la importancia de la seguridad”.
Mientras has leído este reportaje, posiblemente se hayan llevado a cabo unos 500 ataques en todo el mundo. Pon remedio, porque el siguiente asalto… podría pasarte a ti.