[HACK] La seguridad en Internet va de mal en peor

merce illadeltresor at gmail.com
Thu May 28 15:46:58 CEST 2009


14/05/09 17:15:29


LA SEGURIDAD EN INTERNET VA DE MAL EN PEOR


Mercè Molist
"Hay millones de delitos informáticos que no se denuncian y los que
sí, sólo el 9% acaban en detenciones", afirmó la investigadora Erin
Kenneally en la reunión anual del Anti Phishing Working Group
(APWG), celebrada la semana pasada en Barcelona. Y eso no es nada
según el asesor de las Naciones Unidas, Raoul Chiesa: "Por suerte
los terroristas aún no saben atacar las infraestructuras críticas,
que están desprotegidas en todo el mundo".

El pesimismo y las descripciones apocalípticas sobre la inseguridad
en Internet dominaron la reunión del APWG, que congregó a expertos
internacionales de la industria, las universidades y las fuerzas de
la ley. Una representante del Federal Bureau of Investigation (FBI),
Donna Peterson, aseguró: "Estamos desbordados, hay demasiada
información por investigar y no podemos ir a más velocidad. Han
robado mi propia identidad tres veces en el pasado año".

El robo de identidad, sean contraseñas o datos bancarios, es la
estrella de los fraudes en Internet que, según la empresa S21sec, se
han doblado en un año. El 62% son casos de "phishing", que se está
cebando en el Sistema de Nombres de Dominio: los criminales
registran o secuestran dominios y los dan a ordenadores infectados
bajo su control, que actúan como señuelo para que los incautos
introduzcan datos bancarios. Al cambiar velozmente el dominio de una
máquina a otra, dificultan mucho su localización.

Esta es una de las tretas que usa el gusano Conficker, el más
mencionado en la reunión como ejemplo del auge del código malicioso,
que dobla sus cifras cada año y sobrepasa en ritmo de crecimiento al
"phishing". Panda Security detectó 20 millones de nuevos virus en
2008. Cambian muy rápido, tanto en su forma como en los mensajes de
correo en los que viajan, las páginas web en las que se esconden y
las direcciones IP de las mismas. Se necesitan meses para descifrar
su código, cuando antes se hacía en días.

"Sólo hay que ver los millones de números de tarjetas de crédito a
la venta en la red para darse cuenta de que afecta a mucha gente",
afirmó Ero Carrera, de Hispasec Sistemas. Entre 30 y 40 grupos
organizados que actúan como mafias dominan este mercado. La más
conocida y perseguida, la ruso-ucraniana Russian Business Network,
posiblemente autora de Conficker.

Hasta ahora se creía que las mafias tradicionales no estaban en el
cibercrimen, pero Shinichi Tankyo, de Hitachi, desmontó este mito al
afirmar que, a finales de 2008, fueron detenidos en Japón miembros
de la Yakuza por una estafa de "phishing". "Les cogimos porque lo
hicieron bastante mal, no estaban preparados, pero cada vez vemos
más casos de crimen electrónico relacionados con la Yakuza", afirmó
Tankyo.

El asesor de las Naciones Unidas Raoul Chiesa añadió otro vector:
los terroristas. "Las infraestructuras nacionales críticas están
desprotegidas en todo el mundo y los gobiernos no lo entienden. El
mes pasado el jefe de ciberterrorismo norteamericano se quejaba de
que no podía hacer su trabajo porque nadie le escucha", explicó
Chiesa a "Ciberpaís".

Según el asesor, "los terroristas aún no se han dado cuenta del
potencial de dejar a una ciudad sin agua o electricidad".
Ejemplificó el peligro con acontecimientos recientes como unos
paneles luminosos en las carreteras de Texas, que alguien manipuló
para que emitiesen el mensaje "Zombies más adelante"; el cambio del
trayecto de un tranvía en Polonia, hecho por un niño de 16 años, o
la infección de aparatos médicos en hospitales de San Francisco por
el gusano Conficker.

Chiesa seguró: "China ataca regularmente otros gobiernos" y le dio
la razón el investigador Shishir Nagaraja, quien denunció los
frecuentes ataques chinos contra la Oficina del Dalai Lama. El más
crítico fue a finales de 2008: "Secuestraron un mensaje de correo
legítimo que alguien mandaba a la oficina, pusieron un virus en el
adjunto y lo reenviaron a quien iba dirigido, infectando así
nuestras máquinas y robando información confidencial".

Nagaraja se quejó de que los gobiernos pequeños y ONGs no pueden
defenderse ante estas amenazas porque "el coste no es asumible,
necesitamos defensas más baratas. Lo que nos proponen las empresas
es inútil. Sólo nos queda entrenar bien a los administradores y
poner toda la información secreta "offline"".



¿HAY DEFENSA POSIBLE?


Antes, defender una red informática se basaba en proteger su
perímetro frente a Internet, con la ayuda de cortafuegos, detectores
de intrusos o antivirus. Hoy, los expertos coinciden en que el uso
de aparatos móviles y sistemas interconectados ha hecho desaparecer
el perímetro y sólo queda defender globalmente Internet.

Según Dean Turner, de Symantec, la solución sería modificar el
comportamiento de los internautas: "Necesitamos escritorios seguros
donde los usuarios no puedan equivocarse, controlar qué tipo de
información envían, limitar sus movimientos y formarlos". En este
sentido, Leonardo Amor, de Telefónica, recordó que su empresa ha
bloqueado más de 250.000 ADSLs españoles por mandar spam y virus.

Ero Carrera, de Hispasec Sistemas, propuso modificaciones técnicas:
"No hay que confiar en nada que venga de la web y usar cajas de
arena o virtualización para todo lo que entre, de forma que no pueda
afectar a las aplicaciones del sistema". Carrera recordó que "hay
muy buenos ingenieros en países donde no hay industria y el
cibercrimen es la forma de ganar dinero con lo que les gusta".

Para Toralv Dirro, de McAfee, "hay tanto dinero en juego que hay mil
razones para pensar que seguirán. La solución sería que no fuese
rentable, ¿pero cómo? Van a mucho más velocidad que nosotros,
necesitamos la colaboración de gobiernos, fuerzas de la ley y
fabricantes, ir todos a una".

La idea de un asalto coordinado contra el cibercrimen flotó a lo
largo de toda la reunión, haciéndose más fuerte cuando hablaron los
representantes de las fuerzas de las ley, quienes pidieron un
acercamiento también de investigadores privados y públicos. Incluso
hubo quien propuso la creación de brigadas especiales dedicadas a
patrullar la web.

La mayoría de representantes de la ley denunciaron que tanto el
intercambio de información entre ellos como las fórmulas para
denunciar en línea son inefectivas y deben estandarizarse. Les cortó
Donna Peterson, del FBI, al decir: "No poder compartir datos entre
países es un impedimento para las investigaciones, pero es también
una forma de proteger tus datos".





Copyright 2009 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.




More information about the hacking mailing list