Hackers ¿las nuevas manos del poder?
CUANDO HABLAMOS DE ATAQUES EN EL CIBERESPACIO, LA MAYORÍA DE LAS VECES NOS VIENE A LA MENTE UNA IMAGEN DE CÓDIGOS Y LENGUAJES INFORMÁTICOS QUE FORMAN VIRUS Y ATAQUES DIVERSOS PARA COMPROMETER NUESTRA VIDA DIGITAL
Detrás de todo desarrollo de código y lenguaje informático, que hacen posible intrusiones, se esconden dos rostros: los hackers y los crackers.
Un hacker informático es señalado tradicionalmente como un cibercriminal, lo cierto es que serlo no es siempre sinónimo de delincuencia, es un estilo de vida. A pesar de que un hacker profesional tiene las herramientas y el conocimiento para ingresar a sistemas y con ello poder cometer actos ilegales, no todos lo hacen con intención delictiva.
Los hackers son los que generan los lenguajes, códigos y desarrollos de software y por otro lado, los crackers, quienes los usan para delinquir. Lo que es cierto es que se puede ser hacker y cracker al mismo tiempo.
En esta subcultura existen aquellos que buscan proteger a los otros, los llamados White Hats, que son asociaciones o hackers independientes que operan responsablemente para ayudar a detectar vulnerabilidades en la red de empresas o gobiernos, a través de la aplicación de técnicas como el Pentesting (examen de penetración).
El conocimiento es poder y en el caso de estos personajes, sus habilidades les conceden la posibilidad de explotar vulnerabilidades para obtener el control de los sistemas y el acceso a la vida digital de las personas y de empresas en todos los niveles, hasta llegar a la información más sensible, lo que es, por supuesto, la oferta más tentadora a la que se enfrentan y la que la mayoría de ellos no rehúsan; quienes así lo deciden se les conoce como Black Hats.
“Desafortunadamente son más los chicos malos que los buenos a nivel mundial, sobre todo en algunos países como Rusia, donde es difícil conseguir un buen trabajo como hacker responsable, incluso hay lugares donde la generación de malware no es una actividad ilegal. También hay muchos de ellos que están indecisos, porque debido a sus habilidades es sencillo hacer dinero fácil”, dijo al respecto, Ondřej Vlček, CTO de Avast.
Por su parte, Héctor López, fundador de la Organización Mexicana de Hackers Éticos (OMHE), en su intento de reclutar un equipo de trabajo se ha enfrentado con el tipo de perfil que se ve seducido por el ‘lado oscuro’ ya que ser un cibercriminal es un negocio muy lucrativo. “El crimen digital deja más dinero que el narcotráfico”, lo cual no es una afirmación descabellada, ni falaz, ya para el 2015 se hablaba de ganancias superiores a los 250 mil millones de dólares a nivel mundial; si hacemos el comparativo, superaba por mucho las cifras de la venta de cocaína que ascendían a 88 mil millones de dólares. Para el 2017, tan sólo en México se estima que las pérdidas son de 3 mil millones de dólares, de acuerdo al Consejo Nacional de Seguridad.
“Yo sé muy bien que un hacker malicioso, un Black Hat puede robar en un mes entre 3 y 5 millones de pesos, calculo que hay alrededor de unos 120 grupos de hackers. Si ellos quieren hacer una guerra la hacen y muy probablemente la ganan”, añadió López. En su experiencia, él mismo ha recibido propuestas para ser parte del negocio, “Hay gente que se acerca conmigo, me ofrecen 50 mil pesos para que les enseñe (a hackear), porque saben que si lo logran pueden robar diario esa cantidad”. El hacker ético, dejó en claro que sus motivaciones son otras más no económicas, incluso criticó fuertemente estas prácticas: “El crimen informático no es diferente al del terrorista. Aquí como funciona (en México) es a través de grupos de criminales y cárteles que les pagan a hackers. La cultura del crimen está mutando y van a comenzar a existir los sicarios informáticos”.
¿Hay hackers en México?
Nuestro país no es destacado por su escena de hackers, lo que no significa que no existan. “Es verdad que México no es conocido como un hotspot de hackers ni buenos, ni malos, pero en cierto modo esto puede ser mejor para reducir los riesgos de ataques. Por ejemplo, si lo comparas con Brasil donde hay una escena viva de hackers que actúan de manera muy local, ellos se especializan en intrusión a bancos que residen en su país, y si a eso se le suman los ataques externos. Por ello creo que de algún modo, ésta es una ventaja para México”.
De acuerdo con información de la Unidad Cibernética de la Policía Federal, se ha detectado que a los hackers mexicanos los motivan más los temas sociales, es decir, orientados al perfil de hacktivismo estilo Anonymous. De ellos, podemos mencionar iniciativas que buscan combatir actos de corrupción, por ejemplo el sitio de Contratobook al que se puede acceder para dar seguimiento a los contratos generados por gobierno.
En la escena también se ha tratado de institucionalizar organizaciones educativas avocadas al tema, tal es el caso de Hacking México, no obstante este es un intento fallido y ha sido altamente señalado por los internautas como fraudulento. Su fundador, Raúl Robles, fue asesinado en Guadalajara, en diciembre del 2015, tras recibir amenazas de muerte en los foros de la red, se especula que la motivación del asesino fue un desacuerdo con la forma de operar esta organización, así como por la personalidad de éste, ya que se había convertido en un personaje controversial en la escena, al que muchos odiaban.
Héctor López subrayó que en Hacking México se vendía la idea de convertir a alguien en un hacker con tan solo cursar pocas horas de tutoriales muy básicos, “Me he encontrado que el 60% de los que se creen hackers, se dicen serlo por formarse en Hacking México, estos son unos newbies (como son nombrados los novatos). El 89% de las entrevistas que hago para que trabajen en la OMHE es gente que no es especialista y eso es algo a lo que también se enfrentan las empresas”. Desde la perspectiva del entrevistado, no existe en México ninguna institución educativa con el nivel para formar verdaderos profesionales, “No existe ni siquiera la carrera de seguridad informática, al que bien le va es ingeniero en sistemas o licenciado en informática; hay ingeniería en desarrollo de software por el Tecmilenio, pero no es tan buena, yo conozco su nivel”.
De acuerdo con López, tan sólo se pueden enumerar 30 o 40 hackers expertos en toda la República Mexicana, “El resto es gente que estudia eso porque sabe que está pegando y cree que le puede sacar billete, pero si no tienes la pasión no eres hacker. Y tal vez les funciona por un rato, hasta que alguien los descubre y revela que no tienen la capacidad, ni operan bajo estándares internacionales”.
Avast
Marco normativo inexistente
No es un secreto que nuestro país está rezagado en tema de reglamentación del ciberespacio y en asuntos que competen a la ciberseguridad. Después de una larga espera, apenas se ha puesto sobre la mesa la urgente necesidad de contar con un marco normativo, así como con una agencia nacional de ciberseguridad. De hecho, éste fue uno de los temas centrales que abordó la pasada Convención Nacional 2017 de CANIETI. En ella, Ricardo Zermeño, director de Select, aseguró que para conformar esta agencia se debe establecer el marco normativo, fortalecer la resiliencia cibernética nacional y protección de la infraestructura crítica del país, asimismo aseveró que deberá de realizarse un esfuerzo por adoptar un enfoque central de coordinación entre las distintas dependencias y fomentar la investigación y destrezas de habilidades en ciberseguridad.
Por su parte, Arturo Gómez, representante de la unidad Cibernética de la Policía Federal, dijo a eSemanal que ya se están tomando acciones para poder combatir con hackers orientados especialmente a actividades criminales. “Estamos llevando a cabo principalmente dos acciones: la primera está enfocada a la prevención del delito, concientizando a los grupos más vulnerados, que son los jóvenes y los niños. Y por otro lado, trabajamos en un modelo cibernético de policía que ya se aprobó. Éste tiene el objetivo de apoyar a los municipios y estados para que estén entrenados para enfrentar problemas en el ciberespacio”.
Gómez, dijo no tener la cifra del presupuesto que se destina en la Policía Federal a la Unidad Cibernética, lo que detalló fue que del total de los 40 mil efectivos que integran a este organismo gubernamental, son 800 los que trabajan dedicados al área de ciberseguridad, que a su vez cuenta con tres divisiones: innovación tecnológica, criminalística y la unidad cibernética.
Por otra parte, reconoció que aún es muy difícil conocer los indicadores exactos sobre la actividad criminal. Lo anterior, porque muchos de los ataques no se dan a conocer, no hay denuncias, ni tampoco coordinación entre los distintos elementos de seguridad nacional, ni entre la industria privada. En este tenor, Héctor López, opinó que debido a que el país no está preparado para enfrentar la situación de inseguridad cibernética: “Yo le diría a los gobernantes que se aguanten los golpes, que ni siquiera van a venir de este país. Gracias a que en México hicimos lo que se nos dio la gana durante mucho tiempo, no construimos un ecosistema donde hackers, crackers y todos pudiéramos convivir y ahora los cibercriminales saben que en México tienen al ‘toro por los cuernos’, de hecho, si buscas en internet ‘paraíso del hacking’, aparecen México y Colombia. Un marco legal debió de generarse hace mucho tiempo, porque antes cuando esto empezó había sólo un hoyo, hoy ya hay un cráter”. Empresas como Kaspersky, han ratificado está afirmación y actualmente posicionan a México en el lugar número uno en ser atacado en toda América Latina.Pero el gobierno se ha preocupado más por invertir en Pegasus para espiar a periodistas que en defensa del ciberespacio mexicano.
TrapX Security
En tema normativo, el directivo de OMHE apuntó a la incapacidad de las autoridades y del gobierno de desarrollar el marco que se requiere. “Quiero dejar claro que las autoridades no tienen la capacidad de generarlo, porque ni siquiera lo entienden, es un problema de conceptualización; lo puedes comprobar si le preguntas a Fayad o Döring: ¿qué es una IP?, ¿qué hace un hacker?, ¿qué es escaneo, footprinting, explotación, o mantención, acceso y borrado de huellas? Si no saben cómo operan los rivales, no pueden hacer leyes informáticas”.
El especialista añadió: “Si es que hay un ataque masivo es posible que partes sensibles se detengan; yo hice un reporte que entregué (a las entidades gubernamentales) y me dijeron que no era cierto, pero sé muy bien que en un momento pueden afectar hasta PEMEX y los dispensarios para detener toda su operación. Esto no es una broma, por ejemplo, una las empresas distribuidoras de PEMEX hackeó a su competencia evitando que ésta enviara los volumétricos que se solicitan para seguir surtiendo. En tres semanas PEMEX dejó de surtirles debido a esta situación”. López fue inquisitivo y pronosticó: “Lo que va a pasar en México es que se tendrá que pasar por un proceso en el que se van a robar mucho dinero y morir muchas personas para que nos hagan caso”.
Para Moshe Ben-Simon, fundador de TrapX Security, el panorama tampoco es positivo. “El otro día hablaba con un ejecutivo senior del gobierno al que le dije: -si yo fuera el Presidente de México estaría muy preocupado por la situación en mi país, porque la infraestructura crítica no está en buena forma desde la perspectiva de seguridad, me refiero a la del gobierno, no al sector privado. Tomemos, por ejemplo, el caso de la CFE, es una gran compañía, imagínate que entran los rusos a controlar la infraestructura y tiran todo el sistema, estamos hablando no solo de pérdidas económicas, sino de la moral del país porque viene algún grupo de hackers a reírse de su seguridad”. Agregó que en el país tampoco se toman acciones: “ve lo que les pasó cuando se robaron la información de todos los electores, en Israel sucedió lo mismo y luego de tres días encontraron a quien lo hizo, ahora todos saben que no deben de jugar con el gobierno”.
“ME GUSTARÍA HACER UN LLAMADO QUE NO SE SIENTA HOSTIL. TIENE QUE HABER UN GRUPO TÁCTICO NUEVO QUE SE ENCARGUE DE VERIFICAR QUÉ PASA EN INTERNTET, SOBRE TODO EN EL ASPECTO DE SOBERANÍA Y GOBERNANCIA DE DATOS. HOY TODAS LAS .GOB.MX ESTÁN HOSPEDADAS EN EL EXTRANJERO, DEBERÍA DE ESPERARSE QUE ESTÉN AQUÍ, INCLUSO DEBE DE HABER ALGO QUE LES EXIJA QUE LOS DATOS DE LOS CIUDADANOS ESTÉN EN EL PAÍS”.
¿Quién está vulnerando nuestro espacio digital?
De acuerdo con información interna de la empresa TrapX Security, se reveló que en el país los principales grupos de cibercriminales, no son exactamente mexicanos, “De Rusia, China y Brasil, provienen la mayoría de los ataques. Rusia probablemente quiere dejar su huella. Los rusos recolectan información de todos lados porque no saben cuándo van a requerir de ella. México tiene una relación muy cercana con Estados Unidos y ellos quieren entender con quiénes hacen negocios, conocer sus secretos, los tratos que hacen, quieren saberlo todo. En el caso de los chinos, vemos dos razones para robar IP e información confidencial. Aquí hay muchas empresas trasnacionales y ellos quieren encontrar patentes, por ejemplo de Volkswagen. La forma de pensar china es que en Alemania están muy bien protegidos, así que para llegar a ellos buscan entrar por México. Los chinos también buscan información para encontrar con quien hacer negocio, recolectan datos para venir, llegar a ellos y ser efectivos, eso hacen en África; saben que el gobierno no tiene dinero, llegan y les hacen ofertas que encajan en su presupuesto. En el caso de Brasil, están muy orientados al crimen, lo que quieren es dinero”, detalló Moshe Ben-Simon.
Formas más comunes de ataque
Kevin Mitnick, uno de los hackers y crackers estadounidenses más famoso por su actividad y quien fue detenido en diversas ocasiones a raíz de ellas, visitó México recientemente, y se presentó en el Kio Cloud Camp. Durante el foro, explicó algunas de las técnicas y métodos que usa un pirata informático, con lo que dejó muy claro que la red es un espacio complejo y vulnerable, lo que hace una persona en su vida digital tiene repercusiones en la vida real. Al igual que Vlcêk, Mitnick afirmó que una de las formas más sencillas de intrusión es a través de ataques de ingeniería social, más que por desarrollo de exploits, ya que éstos son los más fáciles de perpetuar, porque explotan una debilidad infalible: el factor humano.
–Rastrear las actividades de las víctimas en internet. Esta operación se puede hacer desde un sitio llamado shodan.com.
–Recolectar información con algunas herramientas como FOCA, con ella se puede acceder a mapas topológicos de la red para luego identificar los elementos de seguridad de una compañía a la que se quiera entrar, y ello complementarlo con otro ataque de ingeniería social.
–Invadir de malware un dispositivo a través de un USB. “No importa si lo analizas o formateas antes, al estar dentro ya está, es como un fantasma que toma el control de tu teclado y logra el acceso a tu sistema. Incluso a las cámaras y al audio del espacio físico”, puntualizó Mitnick
–Ataques Wireless. Conectarte a una red Wi-Fi puede ser peligroso, porque podrían estar intervenidas por señales de radio de un cibercriminal. Mitnick explicó que si en ese momento la víctima quiere hacer una transacción bancaria, puede ser un grave error, porque con ello robará todas tus credenciales, sin importar el nivel de seguridad del sitio de la institución financiera.
–Actualizaciones de sistema falsas. Lanzar el anzuelo de nuevas actualizaciones es fácil, sólo requieren que una persona de la organización que caiga. “Es muy fácil, si el mensaje de actualización que parece muy real aparece cada 60 segundos, en algún momento vas a dar click y con ello podemos obtener control de los sistemas en la nube”.
–Reconocer el círculo de confianza de la víctima, para simular ser uno de ellos. Lo anterior no es una tarea complicada con toda la información que se puede extraer en redes sociales y profesionales de nuestras vidas. “Si alguien de tu círculo te envía un email con un archivo adjunto que parece inofensivo para tu antivirus, la probabilidad de que lo abras es muy alta”, puntualizó, con lo anterior ya estará infectado el dispositivo.
–Intrusión a espacios físicos. Gracias a los sistemas digitales de acceso, el robo de llaves de una persona también es tarea fácil. “Solo se requiere estar lo suficientemente cerca para obtener el código de las tarjetas de acceso, utilizando un dispositivo capaz de leerlas”.
–Cuando se tiene acceso físico, sólo tiene que llegar a un dispositivo de la empresa y acceder a la memoria de ingreso del sistema operativo, a través de la PCI Express Card. Al reiniciar el equipo obtendrá todas las claves, ya que cuando se trata de una Mac, la clave de acceso al equipo y del firmware es la misma.
–Phishing en combinación de falseo de VR (voice response). El modo de operar es a través del envío de spam, simulando ser una institución bancaria que solicita a la víctima que llame al corporativo, para hacer ciertas aclaraciones sobre la cuenta. El sistema de voz al que se conectará es un clon exacto al original, donde se digitan las contraseñas y al hacerlo, ya está hecho, se obtiene toda la información de la cuenta. Incluso puede lograr ser el intermediario entre el VR real y la llamada de la víctima.
-Ransomware coordinado con un ataque de ingeniería social. “Se puede hacer la infección y encriptación de los datos a través, por ejemplo, del sistema de WebX, enviando una reunión falsa que al abrirla infecte la máquina y encripte los datos”, agregó Mitnick.
