sábado, 3 de junio de 2017

Así operan los temibles 'hackers' rusos

Muchos influyentes personajes del acontecer político mundial se han dejado envolver por una verdadera paranoia tejida en torno al poder del que gozarían los 'hackers' rusos. Hillary Clinton, excandidata a la presidencia del país con la mayor economía de todo el mundo en términos de PIB, acusó directamente a piratas informáticos rusos de ser los culpables de la derrota sufrida en las pasadas elecciones.

El empeño por presentar a los 'hackers' de este país como criminales todopoderosos en el ámbito informático se extendió al entonces presidente Barack Obama y las principales agencias de inteligencia estadounidenses. Asimismo, este tema se ha convertido en un verdadero dolor de cabeza para el actual presidente de EE.UU., Donald Trump, debido a la acusación que han hecho varios sectores de su país de una supuesta injerencia rusa para favorecer a su campaña electoral.

La manía de acusar a un poderoso grupo de expertos informáticos que actúan bajo la dirección del Gobierno ruso se ha extendido a Europa. A principios de este año, los servicios secretos alemanes denunciaron un supuesto ataque informático al Bundestag —poder legislativo— proveniente de Rusia, mientras que en Francia advirtieron sobre una supuesta ayuda de 'hackers' a la candidata presidencial Marine Le Pen. Por su parte, el secretario de Defensa del Reino Unido acusó directamente al presidente Vladímir Putin de dirigir una operación de 'hackeo' con el fin de evitar la victoria del Partido Conservador en las próximas elecciones generales de este país.

Rusia ha tildado varias veces de 'noticias falsas' estas afirmaciones y asegura que las mismas responden a intereses privados que benefician a ciertos sectores empeñados en presentar a peligrosos cibercriminales que mantienen una vida de opulencia y lujo total.

¿Se justifica esta obsesión de algunos servidores públicos y medios internacionales como parte de un plan para demonizar a un país o tiene bases justificadas de una acción comprobada por parte de un grupo selecto de 'niños prodigio' de la computación rusa?

Quizás una pregunta como esta nunca tendrá una respuesta objetiva y la única forma de responderla es conociendo directamente a los involucrados. Por ello, hemos contactando a dos expertos rusos en seguridad informática o directamente 'hackers', —citados en este artículo como Andréi y Nikita— y les hemos hecho varias preguntas en temas relacionados con el 'arte' de vulnerar los sistemas informáticos.

Además, sus versiones han sido contrastadas con la opinión del experto en seguridad informática Yuri Naméstnikov, director del Centro de Investigación para Rusia de la compañía Kaspersky Lab y que se especializa en la detección de nuevas y desconocidas amenazas informáticas, así como el desarrollo de nuevos sistemas de análisis estadístico de programas malignos.

¿Cómo te convertiste en 'hacker'? ¿Estudiaste mucho?


Andréi: A mi criterio, un 'hacker' es un especialista con altos conocimientos en su campo. Yo elegí un área específica de mi interés y me perfeccioné durante muchos años, desde los últimos años de escuela, aunque aún sigo aprendiendo. En la universidad escogí la carrera de Seguridad Informática y me interesé por 'assembler' (lenguaje ensamblador) y otros lenguajes de programación de bajo nivel. Hoy en día me especializo en la seguridad de los dispositivos móviles y soy de alguna forma un desarrollador de 'software' para agencias de seguridad.

Nikita: Ser un 'hacker' no es un título que logras, no es algo que enseñen en las universidades. Para serlo debes contar con una vocación. Sin embargo, un buen 'hacker' es siempre un especialista en muchas áreas de las ciencias de la computación.

Hablemos un poco sobre la forma de trabajo de los 'hackers' y cómo se escriben los programas malignos. ¿Prefieren las agrupaciones nacionales (solo rusas) u operan en foros internacionales? ¿Trabajan a pedido o cuando encuentran una vulnerabilidad en el sistema?


Andréi: Un virus (ver el recuadro) es en la actualidad un complejo 'software' multinivel que requiere la integración de un equipo serio y bien financiado. Los miembros de este equipo tienen tareas distintas: hay quienes se encargan de la propagación automática del 'malware' (ver el recuadro), otros de la evasión de los programas antivirus, mientras que unos terceros de la penetración en los sistemas.

Nikita: Un virus no siempre explota una vulnerabilidad del sistema. En la mayoría de los casos, un programa maligno aumenta sus privilegios en los sistemas gracias a la 'ingeniería social' (ver el recuadro).

Además, hay que diferenciar a dos tipos de 'hackers': aquellos (la gran mayoría) que utilizan los programas escritos por otros y que muchas veces no comprenden a ciencia cierta lo que hacen. Los desarrolladores de las aplicaciones 'eliminan' rápidamente la amenaza que representa este grupo de piratas, que no hacen más que esperar hasta la salida de un nuevo programa malicioso. Por otro lado, están los buenos especialistas, que escriben los códigos y los venden a otros, y por supuesto, también bajo pedido.

"Muchas veces, los miembros de un equipo de 'hackers' no se conocen y ni se imaginan que el módulo que desarrollan formará parte de un poderoso virus informático".
Andréi, 'hacker' ruso

Yuri Naméstnikov (Kaspersky Lab): Ambas formas de operación (los foros nacionales e internacionales) son comunes en este sector. Existen casos —como el del troyano (ver el recuadro) Lurk— en que estos programas son desarrollados para el mercado ruso, mientras que en otros existen organizaciones criminales internacionales —como xDedic— que crean y venden los programas malignos alrededor del mundo. Una situación común, por ejemplo, es encontrar un código escrito por programadores rusos que se utiliza para atacar a usuarios en Brasil.

La mayoría de las veces, los cibercriminales utilizan programas malignos ya probados, que se aprovechan del real problema de la tardía actualización de los sistemas corporativos en todo el mundo (algo que ya quedó demostrado con WannaCry). Sin embargo, existen grupos que se dedican a la programación de 'software' malicioso bajo solicitudes específicas, como la manipulación de los códigos bancarios Swift, la penetración en redes cerradas o la violación de sitios protegidos por los sistemas antivirus.

Hablando de WannaCry, ¿qué probabilidad existe de que se repita un escenario caótico como el ocurrido con este virus?


Nikita: En forma general, el nivel de educación computacional de la población es bastante bajo y peor aún en materia de seguridad informática. Por ello, estoy seguro de que esta no será la última vez que veamos un caso similar al ocurrido con WannaCry.

Yuri Naméstnikov (Kaspersky Lab): Muy alta. Para ello, es suficiente encontrar una vulnerabilidad similar en un programa de acceso popular. Sin embargo, quizás la próxima vez ya no cause tanto ruido, pues debido a la experiencia obtenida con WannaCry, es posible que en una siguiente ocasión los 'hackers' utilicen un método menos notorio para quitarle el dinero a las personas.

Algunos datos:
  • A mediados de mayo, el ciberataque global con el virus 'extorsionador' WannaCry infectó unas 200.000 computadoras en 150 países.
  • El virus se propagaba en los equipos a partir de una vulnerabilidad del sistema operativo Windows de Microsoft, que había sido resuelta en el mes de marzo.
  • Todas las computadoras fueron afectadas debido a que no se habían actualizado sus sistemas con la nueva versión que lanzó Microsoft y que solucionaba la falla de 'software' detectada.

"El espectro de aplicación de un virus depende de la 'fantasía' que posea su programador".
Nikita, 'hacker' ruso

Los 'hackers' rusos son temidos y respetados a nivel mundial. ¿Crees que son los mejores del planeta?


Nikita: Considero que están entre los mejores. ¿Por qué? Es una buena pregunta, quizás tenga que ver con la famosa perspicacia rusa (sonríe).

Andréi: No podría asegurar que son los mejores del mundo, pero creo, sin exagerar, que están entre los más destacados. Pienso que la escuela de matemática soviética (la mejor del mundo) jugó un papel importante en este tema. Ya en la nueva Rusia, tanto la inestabilidad política y económica, como la falta de una legislación aplicada al cibercrimen actuaron como catalizadores para atraer a talentosos programadores rusos, quienes formaron parte de este oficio.

Yuri Naméstnikov (Kaspersky Lab): Históricamente, existió en Rusia un sector formado por especialistas con un notable interés por las tecnologías informáticas, pero con poco acceso a los programas y a su estructura.

Esto, sumado a una buena base académica en áreas como las matemáticas y la criptografía, provocó que dichos entusiastas comiencen a investigar por sí mismos y a entender los complejos procesos técnicos sin la ayuda de terceros. Así, el éxito de la comunidad cibernética rusa es el resultado de un deseo autodidacta y una fuerte formación académica básica.

Algunos datos:
  • Una encuesta realizada en diciembre de 2014 a especialistas en seguridad informática del Reino Unido dio como resultado que el 34 % de los encuestados consideraban a los 'hackers' rusos como los mejores del mundo, seguidos por los chinos, con el 18 %. La mayoría de los especialistas consideraron que en estos países existe una mejor inversión y educación en materia de seguridad informática.
  • En agosto de 2016, el portal HackerRank, especializado en competencias en línea para programadores de todo el mundo, publicó los resultados de su último análisis de los mejores programadores a nivel mundial. Con un puntaje de 100, China lideraba la lista, seguida por Rusia con 99,9 puntos —EE.UU. ocupó el lugar 28 con un puntaje de 78 e India el puesto 31 con 76—. Según esta competencia, Rusia dominó el concurso en su etapa de algoritmos, el área "más popular y competitiva" del certamen, según lo destacaba el portal.

 

 ¿Cuánto puede costar una vulnerabilidad del día cero?


Andréi: Todo depende de su seriedad y alcance, aunque en términos monetarios, una vulnerabilidad podría tranquilamente superar los 100.000 dólares. Hay que destacar además, que en forma paralela al mercado de las vulnerabilidades del día cero (ver el recuadro), existe el de los programas Bug Bounty (un sistema de recompensas que ofrecen las compañías a los programadores que encuentren fallas de seguridad).

Nikita: Una vulnerabilidad seria puede ser muy, muy cara. Esto, debido a que una violación de seguridad 'exitosa' puede costar a una empresa varias partes de su capitalización de mercado y todos saben cuál puede ser el precio de una compañía grande.

"La probabilidad de que se repita un escenario como el que protagonizó el virus WannaCry es muy alta".
Yuri Naméstnikov, director del Centro de Investigación para Rusia de Kaspersky Lab

Yuri Naméstnikov (Kaspersky Lab): En la actualidad, la compañía de seguridad estadounidense Zerodium es la que mayor recompensa ofrece: hasta 1,5 millones de dólares por una serie de vulnerabilidades en el sistema iOS (Apple). Respecto a Microsoft, una falla a nivel de navegador Web puede costar entre 120.000 a 150.000 dólares.

Algunos datos:
  • Apple ofrece hasta 500.000 dólares por una vulnerabilidad del día cero, dependiendo de su criticidad.
  • Facebook ha pagado más de 5 millones de dólares en 5 años en su programa de compensación a programadores de todo el mundo.
  • De ellos, los investigadores rusos son los que más dinero han recibido: un promedio de 3.961 dólares por cada uno de los 38 errores que detectaron solo en 2013.

¿Existen listas de los mejores 'hackers' del mundo? ¿Y de Rusia?


Nikita: Si estos listados existen, solo los encontrarán en círculos de acceso limitado, pues al tratarse de una actividad ilegal, nadie desea ser descubierto y constantemente utilizan pseudónimos. Jamás se sabrá quién y cuántas personas integran un grupo de piratas informáticos, pues cada uno de ellos trabaja tras el nombre de su grupo. Es muy probable inclusive que uno de estos grupos esté integrado por un solo experto en seguridad.

"El resultado de una operación de 'hackeo' no siempre es completamente realizable, pero incluso en estos casos se pueden lograr acuerdos que 'beneficien' a las partes".
Andréi, 'hacker' ruso

Andréi: Todo esto existe, pero este tipo de información debe ser tratada con cuidado. Muchos especialistas están interesados en pasar desapercibidos y aquellos que lo desean tienen un canal de comunicación directo entre sí y lo utilizan cuando es necesario. Por otro lado, existen muchos profesionales conocidos que desean la fama mundial, participan en programas de recompensas y brindan conferencias temáticas.

¿Cómo es posible acceder a la 'red oscura'?


Nikita: Solo hay que bajar e instalar el navegador Tor. Pero mejor no lo haga, los servicios de inteligencia no están llenos de tontos (sonríe).

Algunos datos:
  • Muchas redes 'privadas' no son necesariamente maliciosas. Freenet, I2P o GNUnet son redes de compartición de datos creadas para la libre transferencia de la información y la libertad de expresión.
  • Estas redes mantienen serias políticas que protegen el anonimato de los autores de las publicaciones, a partir de fuertes protocolos de encriptación y protección de los datos. 

¿Es posible 'hackear' una cuenta de correo electrónico sin utilizar la ingeniería social?


Andréi: Todo depende del objetivo planteado: violar la cuenta de una persona concreta o de un grupo de usuarios en Internet. Sin lugar a dudas, la ingeniería social (ver el recuadro) es uno de los métodos más efectivos que existe, pero no es el único. Por ejemplo, un pirata informático podría contar con una 'botnet' de unos 100.000 equipos infectados. Para 'hackear' sus cuentas, puede utilizar un 'software' especial y un listado de las 1.000 claves más usadas con una alta probabilidad de vulnerar más de 1.000 cuentas de usuarios de todo el mundo.

"En la Red existen herramientas libres para efectuar pruebas de vulnerabilidad de los sistemas computacionales y programas comerciales que se utilizan como instrumentos generales. Sin embargo, en muchas operaciones los 'hackers' escriben su propio 'software' especializado".
Yuri Naméstnikov, director del Centro de Investigación para Rusia de Kaspersky Lab

Nikita: Si hablamos por ejemplo de las grandes empresas que ofrecen servicios gratuitos de correo electrónico, como Yandex o Google, es prácticamente imposible. ¿Por qué? Nuevamente, el costo que para estas compañías representaría un evento como este les obliga a tomar medidas de seguridad mucho más fuertes. Respecto a las cuentas de correo electrónico corporativo, todo dependerá del servidor que se utilice. Algunos son fáciles de vulnerar, otros no. Pero siempre es más fácil utilizar la ingeniería social, ¿por qué no?

Yuri Naméstnikov (Kaspersky Lab): Sí, si el usuario no cuenta con un antivirus, es posible. Utilizando las vulnerabilidades del dispositivo es posible infectar el equipo y acceder a su cuenta. Existen otros métodos, como la búsqueda forzada de claves, la detección de respuestas fáciles a las preguntas de verificación o el robo de bases de datos con claves de usuario.

Algunos datos:
  • Existen muchos sitios en Internet que ofrecen vulnerar la cuenta de correo electrónico de cualquier usuario. Los precios de este 'servicio' oscilan entre 100 y 1.000 dólares por cuenta. Algunos ofrecen una 'garantía de éxito' del 45 %.
  • En la Red es fácil encontrar portales que distribuyen información actualizada sobre nombres de cuentas y las claves de usuarios 'hackeados'.
  • Otros archivos incluyen además datos personales (nombres, teléfonos, ciudad de residencia), direcciones de correo electrónico por regiones o países (con fines de mercadeo) y hasta nombres los clientes de ciertos almacenes. El precio de esta información es variable y arranca desde los 30 dólares.


"Se debe recordar siempre que en la práctica, un antivirus bueno y gratuito a la vez no existe".
Nikita, 'hacker' ruso

¿Qué consejos podría dar a los usuarios para asegurar sus cuentas en las redes sociales o el correo electrónico?


Las respuestas de los 3 entrevistados fueron muy similares:
  • Siempre dedicarse con seriedad a la elección de las claves. Estas deben ser largas y contener números y caracteres especiales.
  • Cambiar las contraseñas periódicamente.
  • No guardar las claves en la computadora. En su lugar, utilizar herramientas especializadas para su almacenamiento.
  • Utilizar un buen programa antivirus, de preferencia que cuente con funcionalidades de cortafuegos (firewall, ver el recuadro).
  • No abrir archivos adjuntos de fuentes desconocidas.
  • No ingresar a sitios extraños bajo invitación de desconocidos. El 'candado' que muestra el navegador en su parte izquierda es una buena identificación de que se trata de un sitio seguro.
Algunos datos:
Un 'software' especializado podría tardar:
  • 3 segundos en descifrar una clave del tipo 'hola'
  • 33 minutos en averiguar una contraseña similar a '1283746389'
  • 21 años en decodificar una contraseña como 'abcdjuhh27'
  • 6.000 años en descifrar una clave similar a 'Lok$.6?hsl0'
  • 175.000 millones de años en descifrar una contraseña como 'Mimascotaesunperro'