domingo 22 de octubre
Interesante

Adelanto de “Hackearán tu mente”, de Ariel Torres

Los delincuentes informáticos están particularmente interesados en tu número de tarjeta de crédito y las contraseñas que usás en los sitios de comercio electrónico y el banco. Y aunque no sea obvio, también quieren tener acceso a tu computadora y tu teléfono, porque pueden usarlos para coordinar ataques y distribuir virus y publicidad no solicitada.

Suelen usar software malicioso muy sofisticado, pero sus maniobras se encuentran siempre con el mismo desafío: deben obligar a la víctima a ejecutar alguna acción. Hacer doble clic, entrar en un sitio, realizar un llamado telefónico, responder. Es allí donde entran las maniobras de ingeniería social −pretextos, promesas, simulaciones, advertencias, amenazas− que logran que dejemos de pensar racionalmente y demos ese paso fatal. Es imposible conocer cada artimaña, pero existe un método infalible para no caer nunca en la trampa de los estafadores de la era digital. 

Ariel Torres, el gran divulgador de la revolución digital e Internet, narra historias cotidianas de las buenas y malas prácticas y explora las emociones de las personas, no para generar paranoia, sino para alertar acerca de los mecanismos más profundos de uno mismo que hacen que aceptemos una invitación de un remitente de un desconocido. Hackearán tu mente te propone un “conócete a ti mismo” con un libro entretenidísimo en el que todos los lectores se sentirán identificados porque habla de los hábitos y reacciones más frecuentes de cualquier usuario.

A continuación un fragmento, a modo de adelanto:

 

2 – Es más fácil hackear personas  que máquinas

Ron Rivest, Adi Shamir y Len Adleman fundaron en 1982 una compañía llamada RSA (por las iniciales de sus apellidos). Cinco años antes habían desarrollado el primer algoritmo de cifrado asimétrico viable de la historia. Ya sé, lo de «primer algoritmo de cifrado asimétrico viable de la historia» suena un poco psicodélico. Pero la idea, también conocida como criptografía de clave pública, es bastante sencilla. Para cifrar un documento se usa la clave pública del receptor, que luego usará su clave privada para descifrarlo.

La cuestión es que RSA se convirtió, gracias a este desarrollo, en un ícono de la seguridad informática, porque el cifrado asimétrico iba a convertirse en una tecnología global en los años siguientes. En 1995 surgió de sus filas otra empresa clave en la industria de Internet, VeriSign, que entre sus negocios está el de administrar los dominios .com.

Once años más tarde, en 2006, el gigante del almacenamiento de datos EMC, que llegó a tener 70.000 empleados, compró RSA en 2.100 millones de dólares y la convirtió en una de sus subsidiarias. Con esto, la compañía fundada por Rivest, Shamir y Adleman pasó a ser el mayor proveedor de productos y servicios de seguridad informática del planeta.

En marzo de 2011, RSA fue hackeada.

 

Puntos débiles

La novedad se supo el domingo 17 de abril, un día extraño para dar a conocer una noticia de este tipo. En rigor, el ataque venía ocurriendo desde hacía semanas (RSA nunca reveló el dato, pero el consenso es que la embestida había empezado en marzo), y dejaba un sabor amargo en todo el arco de la seguridad digital. Si los piratas pudieron entrar en la organización mejor blindada del mundo, ¿qué quedaba para el resto de nosotros?

No mucho, a decir verdad, pero las lecciones más importantes surgen de las peores crisis. Así, gracias a que la compañía describió el ataque minuciosamente (https://blogs.rsa. com/anatomy-of-an-attack/), hoy sabemos que tuvo éxito porque se usó un calculado, sutil e ingenioso truco de ingeniería social. La estrategia de los piratas no buscó hackear la infraestructura, la red, las computadoras, las máquinas. Primero intentaron hackear personas. Y, como suele ocurrir, lo lograron.

Entran en escena las vulnerabilidades del software. Como toda obra humana, los programas pueden — y suelen—  contener errores. Algunos de esos errores les permiten a los delincuentes informáticos (o a las agencias de inteligencia) acceder a las redes de una compañía (o de una nación rival) a la que han elegido como víctima. Estas vulnerabilidades, calificadas como críticas, no son la excepción, son la norma, y las hay de muchas clases. Algunas no se originan siquiera en errores de programación. Como me explicaron hace muchos años en Microsoft, en ocasión de la salida de Windows 7, ciertas vulnerabilidades son como las ventanas de nuestras casas. Todos queremos ventanas, pero hoy les ponemos rejas. Hace cuarenta años, no. Cuatro décadas atrás ni siquiera le echábamos llave a la puerta de calle. Hoy, colocamos tres cerrojos, cámaras y alarmas. Con algunas de las vulnerabilidades del software ocurre lo mismo; son cuestión de fechas.

Con tiempo y dinero, los piratas pueden incluso encadenar varios de estos puntos débiles en el alambrado perimetral para hacer que su ataque sea todavía más difícil de detectar. Es lo que ocurrió en 2011 con RSA.

 

La batalla invisible

Hay que decir, de nuevo en favor de RSA, que el ataque no fue obra de una banda de adolescentes descarriados. Ni siquiera de una organización más o menos poderosa. Lo que en algún momento de 2011 empezó a golpear las murallas de la compañía con la ciega tenacidad de las máquinas fue lo que en la jerga se conoce como APT, siglas de Advanced Persistent Threat (Amenaza Avanzada Persistente). Una APT se caracteriza porque quien la pone en marcha posee recursos prácticamente inagotables y la más férrea intención de invadir la red de la víctima. RSA no se enfrentaba a una organización delictiva, sino a una nación. Posiblemente China, que ya había sido denunciada por Google en 2010 por emplear las APT como su mecanismo favorito de ataque.

Las siglas APT no describen un método en particular. Más bien, estos ataques se caracterizan por ser técnicamente muy sofisticados, lo que requiere de muchas mentes brillantes y cuantiosos montos de dinero, y por sostenerse en el tiempo hasta que logran su cometido. Otro ejemplo es el gusano Stuxnet, desarrollado para destruir las centrífugas de las plantas iraníes de enriquecimiento de uranio, que formaban parte de su programa de armamento atómico. Aunque ninguna nación se ha adjudicado el Stuxnet, el diario estadounidense The Washington Post reveló en junio de 2012 que el gusano «había sido obra de expertos de Estados Unidos e Israel».

La lógica detrás de las APT —y  de la ciberguerra en general—  no tiene nada de extravagante, si se la pone en contexto. Es más razonable destruir una fábrica de armamento de un país enemigo usando un virus que enviando un bombardero. Es más sencillo copiar el diseño de un caza de avanzada o boicotear su producción mediante un ataque informático que mediante espías infiltrados.

 

Me merezco algo mejor

De vuelta en marzo de 2011, la Amenaza Avanzada Persistente que arremetió contra RSA tenía un móvil prístino. Buena parte de la banca, las finanzas y la industria bélica de Estados Unidos emplea los productos de RSA para proteger sus redes. Dato: en junio de 2011, el contratista militar estadounidense Lockheed-Martin (fabricante de los aviones de combate de última generación F-22 y F-35) informó que habían tratado de comprometer su red usando parte de los datos robados a RSA dos meses antes.

Y todo este efecto dominó, cuyas consecuencias podrían haber sido catastróficas para Estados Unidos, se desató porque un empleado le dio doble clic a un archivo adjunto al creer lo que le decía la pantalla. Como en la más clásica de las historias épicas, la ciudad inexpugnable fue invadida mediante un engaño.

Los atacantes enviaron dos mensajes de correo electrónico cuyo asunto decía «2011 Recruitment Plan» (Plan de Reclutamiento 2011). Detectados por los sistemas de seguridad de RSA como un intento de estafa, estos correos fueron a parar automáticamente a la carpeta de spam. Pero la trampa de ingeniería social estaba muy bien pergeñada. No tanto por el asunto, sino por la combinación del asunto con los empleados a quienes les enviaron estos mensajes.

Al contrario que el Love Letter, que se propagaba de forma masiva, los dos mensajes de correo electrónico fueron enviados a un grupo de empleados pequeño y de poca importancia. Justo el lugar donde se esperaría encontrar a alguien en busca de nuevas oportunidades laborales. Funcionó. Uno de ellos recuperó el e-mail de la carpeta de correo basura, lo abrió y le dio doble clic al adjunto, titulado 2011 Recruitment plan.xls. Es decir, una planilla de cálculo de Excel. Una inocente y bien conocida planilla de cálculo de Office. De nuevo, la pregunta de siempre: ¿qué podría salir mal?

Al morder el anzuelo, este empleado echó a rodar una compleja cascada de ataques que, al final, resultaron en el peor incidente de seguridad informática corporativa de la historia. RSA había sido invadida y muy pronto las combinaciones de sus cerraduras y candados caerían en manos de los asaltantes.

Frente a este escenario, uno tiende a pensar que el empleado debería haberlo pensado mejor. Después de todo, trabajaba para una compañía de seguridad. Quizá, la más importante del mundo. Pero precisamente allí radica la genialidad de esta trampa de ingeniería social. Sus autores no apuntaron al gerente de sistemas, al que tenía las llaves de la fortaleza, ni al director ejecutivo, ni a un vicepresidente. Apuntaron a trabajadores que difícilmente serían objeto de un APT y que, por lo tanto, no tenían mejor formación en seguridad informática que el de una empresa de cualquier otro rubro. Y debo recordar aquí que, ante el Love Letter, cayeron también decenas de gerentes de sistemas. Solo era cuestión de tiempo (por eso estos ataques son persistentes) para que una mente humana creyera en el engaño.

 

Nada es lo que parece

¿Qué ocurrió en cuanto el empleado hizo ese doble clic fatal en esa inocente planilla de cálculo? Sin traducir, en pura jerga informática, accionó un Exploit de Día Cero dentro de la planilla de cálculo que, a su vez, instaló un backdoor por medio de una vulnerabilidad en el software Flash, de Adobe. Wow, eso dolió, ¿cierto?

Traducido, la planilla de cálculo contenía un fragmento de software que aprovechaba (de allí la palabra exploit) una falla que todavía no era conocida por Adobe (de allí lo de Día Cero) y que le servía a los atacantes para instalar un tipo de programa malicioso llamado backdoor. Como pueden imaginarse, un backdoor (puerta trasera, en inglés) permite el acceso remoto a una computadora de forma subrepticia. Pero el que infectó la máquina de ese empleado de RSA no era un backdoor cualquiera. Era un virus de guerra.

Un backdoor convencional recibe comandos desde un agente exterior, de forma remota, por medio de Internet. Como las máquinas están hoy prácticamente todo el tiempo online, el pirata puede operar los equipos infectados o mirar lo que el usuario está haciendo con solo llamar a su backdoor. Pero esta clase de actividad habría alertado de inmediato a RSA. Lo que se instaló en ese equipo fue una herramienta de administración remota maliciosa (RAT, en un inglés lleno de guiños) conocida como Poison Ivy (hiedra venenosa, en inglés). En rigor, fue una variante de Poison Ivy diseñada para que, en lugar de esperar los comandos del operador, el backdoor obtuviera esos comandos llamando al operador externo. Así, sin que los detectaran, los atacantes fueron ganando privilegios y credenciales, hasta llegar a la caja fuerte (los servidores) donde se guardaban las fórmulas para comprometer a buena parte de la banca y la industria bélica estadounidenses.

RSA no aclara el método exacto que usaron los atacantes para pasar de una cuenta de usuario sin privilegios de administrador a otras de mucho más alto nivel. Habla simplemente de que «gracias a varias otras tácticas» obtuvieron acceso a servidores clave de la compañía, extrajeron todo lo que pudieron, lo comprimieron, lo cifraron y lo enviaron al exterior. En todo caso, tales tácticas no son desconocidas en el ámbito de la seguridad digital y, por lo tanto, resultan casi anecdóticas.

La lección que deja el ataque a RSA es que cada uno de los empleados de una compañía, y cada uno de los (hoy) varios dispositivos que utiliza para hacer su trabajo, son posibles puertas de entrada para los piratas. Mediante trucos de ingeniería social se puede poner en jaque la mente de esos empleados, y para que funcione basta con que uno solo no haya prestado suficiente atención al curso de seguridad, que tenga problemas personales o financieros, que se encuentre frustrado, que odie a su jefe, que sea el jefe odiado o que sea el jefe del jefe al que todos odian, siempre habrá una persona vulnerable a los pretextos y promesas de la ingeniería social. Todos tenemos puntos débiles, fantasmas que, de aparecer en la pantalla, harán que reaccionemos emocionalmente, dejando de lado la única aliada que tenemos en el engañoso mundo de las computadoras: la razón. Volveremos sobre esto en el capítulo 8.

¿Podría haber evitado RSA este oprobioso ataque? Bueno, con el diario del lunes todos somos sabios. Sí, podría haber borrado todo e-mail clasificado como malicioso, en lugar de enviarlo a la carpeta de correo basura. Pero eso no es lo importante, porque en tal caso los atacantes habrían escogido otro método. Twitter, por ejemplo.

En mi opinión, el incidente de RSA no pudo evitarse. Fue el post mórtem el que, cuando menos, hizo que dejaran de llamar «paranoicos» a los jefes de seguridad informática (y a los periodistas que desde hacía años veníamos alertando sobre la inseguridad que reina en el mundo interconectado).

Desafortunadamente, en los seis años que han transcurrido desde entonces, la situación no ha cambiado en absoluto. Acaso ha empeorado, y cada vez más el atacante busca hackear primero la mente de los usuarios. En la actualidad, el 91% de los ataques informáticos comienza con un correo electrónico engañoso, y solo en 2016 se habían detectado 400.000 sitios web dedicados al phishing (capítulo 5). La mayoría de esos sitios existen durante menos de veinticuatro horas, y los piratas se mueven luego hacia otra parte.

La brecha de seguridad que el Ministerio de Defensa de la Argentina sufrió en enero de 2017 empezó con un e-mail que contenía un link tentador. Alguien le dio clic e infectó su computadora. Puesto que los primeros datos mostraban la casilla de correo de la ministra Patricia Bullrich, pareció que el incidente había quedado contenido allí. Pero, al contrario de lo que declararon originalmente las autoridades, y como descubrimos en su momento con Julio López, experto en seguridad y periodista de Radio Mitre y TN, los invasores habían obtenido acceso a mucho más que la cuenta de correo de Patricia Bullrich, lo que es por otro lado usual, como se vio en el caso de RSA. Cinco meses después se filtraron a Internet cientos de documentos sensibles de ese ministerio.

De nuevo, y aunque es un asunto gravísimo, no hay que empezar a rasgarse las vestiduras todavía. Más bien, observar el fenómeno: en todos los casos el punto flojo en el perímetro son las personas. OK, pero supongo que Google y Face book están a salvo, ¿no? No, ni cerca. Se supo hace poco que ambas organizaciones, colosos de Internet que tienen en sus manos prácticamente toda nuestra vida digital, fueron estafados por un pirata lituano llamado Evaldas Rimasauskas. Mediante ingeniería social y documentación fraguada logró robarles alrededor de 100 millones de dólares. Una técnica parecida se usa para engañar a las personas que compran bienes por Internet y a las que les envían cupones para que hagan los pagos, con logos de marcas bien conocidas que inspiran confianza. Cupones falsos, se entiende.

Por eso, ¿qué queda para nosotros? A eso vamos. En los siguientes capítulos veremos qué ocurre cuando la ingeniería social entra en las pymes y en nuestros hogares.

Hackearán tu mente
El libro que te ayuda a descubrir cómo los piratas informáticos logran realizar los fraudes digitales.
Publicada por: Planeta
Fecha de publicación: 09/01/2017
Edición: 1a
ISBN: 978-950-49-5984-7
Disponible en: Libro de bolsillo

 

1 comentario

Dejar un comentario