Cómo enfrentan las empresas el hacktivismo

Cómo enfrentan las empresas el hacktivismo

Fraude, robo de identidades o información clave... Las compañías y los usuarios están, cada vez, más expuestos. Cuáles son las prácticas más frecuentes y qué hacen las organizaciones para protegerse de los ataques.

26 de Diciembre 2012




Un muchacho que no puede dejar de mover sus brazos ni sus piernas, sentado frente a una pantalla que sólo muestra una línea de comandos verde. Un hombre agitando una bandera con alguna frase de corte social, con una máscara blanca y mortecina con una sonrisa tétrica. Un ideólogo de la mafia rusa que accede a un teclado virtual y a una pantalla futurista con sólo chasquear sus dedos. Un nigeriano honesto que, de verdad, quiere transferir US$ 700 millones a una cuenta y al que un usuario, normalmente, no le presta atención por culpa de los tres anteriores...

Los hackers adoptan muchísimas formas en las mentes de las personas comunes (es decir, los no hackers), de acuerdo a cómo moldearon la imagen diversas películas, series de televisión y manifestaciones recientes. El resultado, más o menos, es el mismo, independientemente del modelo elegido: según datos de la consultora PwC, el 46 por ciento de las organizaciones argentinas sufrió algún tipo de fraude digital en 2011. Por su parte, Symantec estima que, en el mundo, los incidentes de hacking durante el año pasado expusieron 187 millones de identidades, tendencia que continúa en 2012: más del 88 por ciento de las violaciones a la información personal producidas en Internet corresponden a la tarea de estos profesionales.

Anonymous - IMG
La cara. V de Venganza trajo consigo una forma de identificar a Anonymous, gracias a la característica máscara de la película.

Más números: HP determinó que el costo promedio anualizado de los crímenes cibernéticos entre organizaciones de los Estados Unidos asciende, este año, a los US$ 8,9 millones, 6 por ciento más que en 2011 y un 38 por ciento por encima de 2010. Además, reveló que el número de ataques cibernéticos aumentó en un 42 por ciento en 12 meses.

Pero estos informes cometen, siempre, un pecado: no estiman todo lo que no se confiesa. Diego Laborero, gerente de Producto Regional del mayorista especializado en tecnologías de seguridad Macroseguridad.org, comenta: “Muchísimas empresas sufren ataques que no dejan salir a la luz”. Sebastián Bortnik, gerente de Educación y Servicios de ESET Latinoamérica, coincide: “Constantemente, existen ataques informáticos hacia organizaciones que no son públicos. Es decir, quedan limitados (en el mejor de los casos) al conocimiento de la organización y de las empresas que la asisten en seguridad”.

Cambia, todo cambia

Los datos anteriores pueden haber sumido al lector en la desesperanza: el mundo está gobernado por criminales informáticos. Sin embargo, Gustavo Aldegani, experto en seguridad informática y profesor de la Universidad de Belgrano, aporta un poco de tranquilidad. “Si el 5 por ciento de la información sobre ataques y capacidad para realizarlos fuera cierta, no habría negocio basado en computadoras que funcionara”, afirma. La profusión de datos “confusos”, según dice Aldegani, ayudaría a incrementar la paranoia.

Anonymous se hizo famoso por su metodología de impedir el acceso a páginas web de organizaciones importantes y muchos medios consideraron que el grupo había atacado los sistemas de esas entidades, cuando, en realidad, esas páginas no suelen estar conectadas a los sistemas centrales y, en ocasiones, ni siquiera están hosteadas en infraestructuras propias”, ejemplifica. Otro error común en la comunicación de estos hechos es, continúa Aldegani, pensar que gente que sabe mucho de Windows y Linux puede atacar a empresas que, por su porte, utilizan otro tipo de sistema operativo, con mayor nivel de robustez. De todas formas, estos muchachos de hoy en nada se parecen a los de épocas pretéritas.

“Antes, un hacker o, mejor dicho, un cracker, era un individuo solitario que creaba virus y los difundía, mientras que, hoy en día, forma parte de organizaciones que tienen estructuras muy concretas y que mueven mucho dinero”, define Roberto Heker, socio y director de la consultora de seguridad de la información NextVision.

En la misma línea se ubica Marcelo Pizani, gerente de Preventa y Producto de Panda Security Cono Sur, quien recuerda que los hackers de la “vieja escuela” participaban “de una actividad casi de culto, en la que las pujas de poder y fama se armaban por saber quién conseguía el mayor trofeo”. Lukas Alarcon, ingeniero de Ventas de Websense, agrega: “Muchas veces, luchaban por infectar las mismas maquinas removiendo el código malicioso del oponente”.

Aldegani apela a una frase hecha: “Hackers eran los de antes”. “Lo primero que se concluye cuando se hace, hoy, un análisis forense de un intento de ataque con alto conocimiento técnico, es que no existe una visión de contexto”, fundamenta. Esto significa que el atacante tiene las herramientas y los conocimientos para usarlas pero no sabe lo que pasa en la totalidad del sistema, explica.

Al principio de los tiempos

Es probable que, cuando se inventó la primera computadora, haya aparecido el primer hacker. Lo cierto es que la difusión de esta actividad fue, en gran parte, responsabilidad del Chaos Computer Club, de Hamburgo, colectivo creado en 1981, cuando logró que un banco alemán les transfiriera el equivalente a 67.000 euros a sus cuentas, monto que devolvieron ante la prensa al día siguiente. También, la película “Juegos de guerra” (1983), en la cual un jovencito ingresa por accidente en una computadora central militar y casi detona la Tercera Guerra Mundial pensando que estaba jugando, aportó lo suyo.

En 1986, la aparición del primer virus, Brain, creación de los hermanos pakistaníes Basit y Ajmad Farooq Avi, fue el último escalón para un ascenso que no se detendría hasta la actualidad. André Carraretto, experto en seguridad de Symantec, compara: “Antes, las muestras de virus se recibían en disquetes y eran una o dos a la semana. Ahora, se reciben más de 1 millón por día”.

La “diversión” de los ’80 se convirtió en “fraude”, en los ’90, y llega a estos días como intentos de ingeniería social, para robar información. “Hace unos años, empezamos a ver ataques más complejos, que no tenían una meta financiera inmediata, con blancos que no eran ya miles de computadoras, sino individuos u organizaciones específicas”, señala Carraretto. Estos APT (“advanced persistent threats”, o “amenazas persistentes avanzadas”, según se prefiera) son financiados, en ocasiones, por gobiernos. En julio de 2012, se produjo una nueva evolución: Stuxnet, virus que no tenía la intención de robar contraseñas ni datos de tarjetas de crédito, sino, con un sentido casi cinematográfico, evitar que Irán creara una bomba nuclear. “Tomó meses entenderlo. Su tamaño es 20 veces mayor que el de un malware común y es altamente sofisticado”, comenta Carraretto.

Para el especialista, este malware generó un cambio para siempre. “A partir de él, quedó claro que las nuevas amenazas pueden ser capaces de interferir con el control del tráfico aéreo, desestabilizar los mercados financieros, afectar a las redes de energía o causar otros daños en el mundo real”, señala. Armando Carratalá, CTO de CertiSur, entidad especializada en certificados digitales para páginas seguras, corrobora y afirma que la actividad ya no es una cuestión de, en sus palabras, “nerds trasnochados”. “Se utiliza, incluso, como herramienta militar”, advierte.

V de vendetta

¿Quiénes destacan hoy en el panorama internacional? El mencionado Anonymous, un colectivo que embandera cuestiones sociales que van desde ir contra la cienciología hasta enojarse por los informes del Indec y que se caracteriza porque, en sus manifestaciones, sus miembros aparecen con la máscara popularizada en la película “V de vendetta”. “Hacktivismo” es, precisamente, un término para definir este activismo alrededor del accionar de grupos hackers.

“Hoy, los actos públicos son acompañados de ataques informáticos hacia las organizaciones involucradas”, dice Heker. Generalmente, aclara, son denegaciones de servicio más que caza de información. También es relevante LulzSec. Se hizo famoso por adjudicarse la revelación de la identidad de los usuarios de Sony, en 2011.


“Existen muchos grupos de cibercriminales que no están tan activos pero sí latentes, esperando la oportunidad de cometer un ilícito”, explica Laborero. “La frecuencia de ataque es impredecible”, agrega. Según Websense, la Argentina representa un 0,26 por ciento de las amenazas a nivel global. La actividad de los hackers locales, aparentemente, no consagrará al país como campeón del mundo en la materia.

“A nivel doméstico, los ataques no pueden considerarse obras maestras de hacking, como los que aparecen en las películas y las series”, señala Aldegani. El docente detecta correlaciones interesantes. Por ejemplo, que, cuando alguna página web especializada en hacking publica un nuevo formato de ataque, muchos prueban la “receta de cocina”. Tal vez el caso de Julio César Ardita, quien logró ingresar a los sistemas de la NASA en 1994, cuando tenía sólo 20 años, y debió enfrentar juicios por eso en la Argentina y los Estados Unidos, de los que salió absuelto, sea la mejor carta nacional.

Operación quirófano

No obstante, la actividad reciente en el país puede calificarse de intensa. En agosto, Sector 404 Argentina, que se dice un brazo de Anonymous, se atribuyó un ataque al Indec, por los días en que se informó que un argentino podía comer con $ 6 al día. Horas antes, el propio Anonymous se adjudicó el ataque a la página de La Cámpora y ya había perpetrado, un mes antes, la denegación de servicio a diferentes páginas de organismos públicos, en lo que se conoció como “Operación Quirófano” (incluyó demoras en los accesos a las páginas de la Casa Rosada y de la Cámara de Diputados), en protesta por las restricciones a la importación de medicamentos.

La empresa ESET también recuerda el ataque al sitio Agro Turismo Misiones, donde se alojó un juego satírico que permitía disparar misiles a Cristina Fernández. En total, de acuerdo a los datos de Kaspersky Lab, en lo que va del año, ya se registraron 345 ataques contra sitios gubernamentales, contra los 490 totalizados en 2011. Hernán Calderale, vicepresidente de ventas de CA Technologies, destaca que no reviste importancia el origen geográfico de los ataques.

“Pensar el hacking sólo desde el punto de vista local o con excesivo énfasis en el factor geográfico no resulta útil a la hora de analizar el fenómeno”, sostiene. “Aun cuando tiene un efecto o una logística local, sobre todo, si se desea obtener algún lucro, no necesariamente un ataque está perpetrado por hackers locales”, agrega Carratalá. Pizani, por su parte, considera que la Argentina, junto con Brasil, Chile y México, tiene “talentos” en el arte del hacking. “De hecho, en febrero de este año, se produjo la detención de 10 argentinos acusados de actividades ilícitas en varios países e Interpol puso en marcha el operativo ‘Exposure’, que abarcó 15 ciudades en la Argentina, Chile, Colombia y España y que incautó teléfonos portátiles, computadoras y una gran cantidad de datos”, narra el ejecutivo de Panda.

El fenómeno, de todas formas, ya no es marginal: el espacio en Facebook de Sector 404 acumuló 1390 “Me gusta”, mientras que su cuenta de Twitter araña los 10.000 seguidores. La presencia de Anonymous en la red de microblogging, por su parte, sedujo a 715.000 personas, a escala global.

Si no puedes vencerlos…

La ironía determinó que, desde hace muchos años, los hackers realizaran tareas internas en las empresas para detectar vulnerabilidades. La práctica se denomina “Hacking ético”. “Resulta importante para determinar la seguridad de los servicios y detectar vulnerabilidades. Pero no es suficiente”, opina Calderale, para quien el mundo de la gestión IT debe dejar de lado la visión restrictiva de la seguridad, basada en el paradigma del “No” (“No está permitido conectarse a la red desde entorno o dispositivo”; “No está permitido el uso de está aplicación”...) y pasar a un monitoreo y un análisis proactivo, que se actualice en tiempo real.

María Francisca Moreno Vilicich, analista de amenazas del McAfee Treta Intelligence Service, sostiene: “La gran utilidad de esta técnica es que, como quien la desarrolla piensa como un atacante, busca todas las fallas que, usualmente, no se ven. Permite a las empresas robustecerse más que con técnicas puramente conservadoras”.

En la Argentina, incluso, es posible estudiar Hacking ético, en el Instituto EducacionIT. “En general, el perfil del interesado es una persona joven, ya vinculada al área de tecnología”, informan en la entidad. En muchos casos, agregan, tienen conocimientos intuitivos pero quieren formalizar y profundizar sus habilidades.

Sobre los límites éticos en el universo del hacking, la premisa del instituto es que cualquier test de penetración o de vulnerabilidad sólo debe realizarse si el propietario del sistema o de la página lo solicita. Aldegani considera que la expresión es un oxímoron y apunta a que el modelo falla porque propone pruebas con una duración limitada. “Si alguien realmente quiere atacar un sistema específico, le dedicará mucho más tiempo al estudio de las vulnerabilidades que el que se emplea en un hackeo ético”, argumenta el especialista.


La edición original de este artículo se publicó por primera vez en la revista APERTURA (Noviembre de 2012).



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar

Videos