Análisis

Los "hackers" cambian de piel: así serán los delitos del futuro

POR MARTA GARCÍA ALLER

El hacker ya no es un romántico Robin Hood, que desafía los sistemas de seguridad por afán deportivo. Ahora va a por su dinero. Y el internet de las cosas ha multiplicado las vías de acceso y de chantaje

Que a comienzos del SIglo XX las organizaciones de criminales lograran asaltar trenes enteros consituyó una gran innovación. Hasta entonces, piratas al abordaje aparte, era muy complicado en el mundillo de la delincuencia dar un golpe a 200 personas a la vez. Pero el ferrocarril abrió un nuevo campo de oportunidades a los ladrones, que ya no tenían que conformarse con asaltar un banco o a las familias de una en una en simples carruajes. Era pura vanguardia criminal.

Un siglo más tarde las grandes bandas no asaltan trenes. ¿Quién iba tomarse tanta molestia por 200 pasajeros pudiendo atacar a 100 millones de personas a la vez como pasó en el hackeo a Sony?

"¿Cuándo en la historia de la humanidad una sola persona ha podido robarle a otras 100 millones y solo con unos clics?", explica Marc Goodman, experto en cibercrimen y colaborador del FBI y de la Interpol. Los expertos en ciberseguridad dicen que hay dos tipos de empresas: las que han sido atacadas y las que han sido atacadas y no lo saben. Algunas se dan cuenta demasiado tarde de que las han vaciado de información. Y la legislación, de momento, no les obliga a comunicar a sus clientes de cualquier robo de información que hayan podido sufrir.

¿Cuánto cuesta infiltrarse en un sistema informático normal? "Es tan fácil que da risa", explica Goodman en su libro Los delitos del futuro (Ariel, 2015). Según un estudio de Verizon, una vez que los hackers fijan su objetivo, el 75% de las veces tardan unos minutos en burlar su defensa.

La idea del hacker como llanero solitario es obsoleta. Ya no son chavales que en sus ratos libres hacen una trastada. Ahora son mafias organizadas. También ha cambiado la motivación de los ataques. Ahora el móvil principal es, básicamente, el dinero. "Hace 15 años los ataques no estaban relacionados con la obtención de beneficio económico, era un malware que buscaba hacer daño como un fin en sí mismo", afirma Luis Corrons, director técnico de PandaLabs. "El virus no tenía más objetivo que propagarse. Hoy en día, en cambio, es raro ya ver uno de estos. El malware persigue una rentabilidad económica y para eso roba información".

En España, los incidentes de ciberseguridad aumentaron un 200% el año pasado, según el último informe del Instituto Nacional de Ciberseguridad (Incibe). Solo en nuestro país, 162.686 páginas web sufren ataques cada día.

Secuestro

Una de las prácticas más de moda es bloquear el sistema informático de una empresa, es decir, todos sus archivos, servidores y correos, para luego pedir un rescate por ellos. A finales de 2013 empezaron este tipo de ataques contra usuarios particulares, pero ahora es más frecuente que se dirijan a empresas porque es más rentable. "Detrás existen grandes mafias que subcontratan a un programador, y en muchos de los casos están ligados a Europa del Este y Ucrania", añade Corrons. "Una comisaría de policía de Illinois pagó el rescate para que le liberaran los archivos. ¡Una comisaría!"

Los piratas que quieren infectar un sistema lo pueden lograr por dos vías. Una son los agujeros de seguridad y otra, negligencias de los usuarios que se infectan a sí mismos, ya sea haciendo clic en un correo sospechoso o, también a menudo, conectando a su portátil un misterioso USB que se han encontrado en el garaje de la empresa, para ver qué tiene dentro, y que luego resulta que es un caballo de Troya que han dejado ahí los malos para malversar el sistema corporativo si alguien pica...

"Existe la idea errónea de que si no entras en páginas comprometedoras como las porno no te pasa nada", explica Corrons. "Solo por estar viendo anuncios con malware en el New York Times te puedes infectar sin ni siquiera saberlo. Es un tipo de ataque muy común". Para evitar estos problemas, tanto en casa como en el trabajo, recomienda tener siempre instaladas las últimas versiones del sistema operativo de los programas que te piden actualización, porque así se subsanan muchos agujeros.

Los ataques informáticos los están recibiendo todo tipo de compañías. Los objetivos más golosos, igual que en el siglo XIX y en el XX, son los bancos. En febrero, unos ciberdelincuentes usaron credenciales del Banco Central de Bangladés para atacar la Reserva Federal de Nueva York. Consiguieron robar 80 millones sin dejar rastro, pero el plan de los piratas era hacerse con un botín de 1.000 millones. No lo lograron por los pelos. Una errata en la solicitud hizo saltar las alarmas.

Pero cualquier empresa puede ser un objetivo. La demanda de servicios de ciberseguridad está aumentando mucho entre las grandes constructoras que desarrollan smart cities. "Si se hacen semáforos inteligentes o depósitos de agua conectados, hay que asegurarse de que están al abrigo de los hackers, porque un ataque podría paralizar una ciudad entera", alerta Márquez.

Otra tendencia creciente es el espionaje corporativo y estatal. Gobiernos y empresas contratan expertos en ciberespionaje desde China, Corea, Rusia y Estados Unidos. "Se dedican a controlar qué pasa en otros países, pero no ya en sus agencias de seguridad, sino en sus empresas estratégicas", advierte Márquez. "Son capaces de entrar en los ordenadores para averiguar qué planes tienen, por ejemplo, corporaciones en plena expansión internacional. Y están aumentando mucho los recursos que se destinan a estas actividades".

También son cada vez más frecuentes los pinchazos telefónicos. Tanto los SMS como las llamadas tradicionales son tecnologías obsoletas y fácilmente interceptables. "Si eres una empresa española y participas en concursos en otros países, cada vez es más habitual que alguien intente grabar tus conversaciones para vendérselas a la competencia", explica Carlos Tomás, fundador de la firma de I+D en ciberseguridad Enigmedia, que asesora a compañías para protegerse. "Las multinacionales aún no son conscientes de que se pueden interceptar los mensajes al móvil desde cualquier país a coste cero".

Pero si hay algo que no cambia a lo largo de los siglos es el riesgo de creerse más listo que los demás. La mayor vulnerabilidad de un hacker es que es humano. Y tiene ego. "Es como un niño en el colegio, quiere presumir de lo que ha hecho y hackeado o retarse a ver quién logra lo más difícil", comenta Marc Martínez, socio de Ciberseguridad de KPMG en España. "Tenemos agentes infiltrados para detectarlos en lo que llamamos la web profunda (invisible para Google)".

Ciberagentes secretos

Esta especie de ciberagentes secretos se infiltran en los foros más recónditos de internet, allí donde los malos presumen de sus hazañas. "Para saber si nuestros clientes han sufrido un robo o si se está preparando un golpe contra ellos, entramos en contacto con el mercado negro. Así detectamos en la deep web qué se está comerciando con tarjetas bancarias de nuestros clientes y podemos alertarles".

La industria de la ciberseguridad prevé mover más de 175.000 millones de euros en 2020, según un informe de la Fundación Innovación Bankinter. No es un alto precio, habida cuenta de que las pérdidas ocasionadas por los ciberataques ascendieron solo en 2015 a 350.000 millones de euros (aunque el volumen podría ser mucho mayor, dado que las víctimas no suelen revelar datos).

Hay otras maneras de proteger una empresa más al alcance de cualquiera. "Con unas charlas de concienciación a los empleados, en las que se transmita que hay que tener siempre contraseñas robustas y no abrir nunca correos de destinatarios desconocidos, se prevendrían más del 75% de los problemas", sostiene Martínez. "Los hackers aprovechan fallos de seguridad básicos, que podrían evitarse con medidas muy sencillas".

"Lo primero es reconocer las áreas de más riesgo", explica Tomás. "No es lo mismo un banco que una compañía de automóviles, un hospital o una farmacéutica. Hasta hace poco estas empresas no se preocupaban en exceso de cifrar sus archivos ni controlar que sus trabajadores no mandaran archivos por WhatsApp, Dropbox o cualquier sistema no protegido. Pero todas manejan material especialmente sensible. Solo a raíz del caso Snowden empezaron a venir preguntándonos a cuánto estaba el kilo de cifrado", bromea.

La idea de que los ataques informáticos no pueden afectarnos con el ordenador apagado también está pasada de moda. Con el internet de las cosas conectando cada vez más aparatos de la vida diaria, las posibilidades de obtener información ilícitamente o de hackearnos la vida ya está aquí. No hace falta esperar a que los coches se conduzcan solos. Audi ya tiene modelos capaces de frenar y acelerar en función del tráfico que detectan. "A medida que se vayan automatizando, será más arriesgado. Un hacker puede tomar el control de tu coche", explica Márquez. Y ya es posible. Un periodista de la revista Wired hizo la prueba. Su relato es espeluznante. Mientras iba por la autopista, le pusieron el aire acondicionado a tope y hasta jugaron con el acelerador. Podrían haberle provocado un accidente, pero era únicamente una prueba controlada.

En el futuro, el peligro acechará en los agujeros de seguridad de los objetos cotidianos. Hasta los cepillos de dientes ya son inteligentes. El timbre, la cerradura... todo tiende a ser smart. ¿Y qué interés podría tener hackear una televisión o un frigorífico? "No creo que se conviertan en el objetivo principal, pero serán el punto de acceso al centro de información", advierte Corrons. "El objetivo no va a ser piratear tu smart watch, pero si está conectado a la red de la empresa, puede servir de vía de entrada para acceder a la información, que es donde hay dinero".

Y puestos a especular, desarrolla una hipótesis más aterradora. "En vez de atacarte como ahora, para cifrarte los ficheros a cambio de un rescate, los piratas podrán cerrarte la puerta de casa y, si no pagas, impedirte entrar... ¡o salir! Técnicamente es posible".

Hay que irse preparando. "Si quieres tener algo conectado a internet, desde una televisión a un cepillo de dientes, no puedes comprártelo y despreocuparte. Tienes que saber que debes actualizarlo para estar a salvo", alerta Tomás. "El principal problema es que, una vez que te los han vendido, ya no hay incentivos para actualizarlos. Estamos habituados a que el fabricante se desentienda en el momento en que cobra. En el futuro deberíamos firmar un contrato de servicios que obligue a la firma a responsabilizarse de la seguridad del dispositivo". Y concluye: "Todo lo que esté conectado, si hoy no es hackeable, lo será".