Hacker invitado por los Mossos para una ponencia de seguridad web

seguridad en la web

Un ‘hacker’ vestido con una camiseta con el emblema de Anonymous –la máscara de Guy Fawkes– ha clonado hoy la web de entrada al correo corporativo de la Generalitat en un auditorio con más de un centenar de personas, la mayoría agentes de los Mossos d’Esquadra, para demostrar hasta qué punto puede ser fácil engañar alguien. Ante suyo ha terminado una página de ‘phishing’ preparada para intentar engañar el director general de la Policía, Albert Alcalde. Era el experto en seguridad informática Jordi Serra, y lo ha hecho en poco más de cinco minutos, con herramientas de una versión de Linux que cualquier se puede descargar y sin teclear ni una línea de código.

“Ya veis como cualquier chico joven que no tenga nada a hacer en una tarde puede hacer bastante”, ha dicho Sierra después de enseñar en directo como es de fácil preparar un clon falso de una web real y enviar un correo electrónico para engañar un incauto y conseguir todos los datos que escriba. Ha demostrado cómo funciona el ‘phishing’ y lo ha hecho sin tener que sufrir porque lo detuvieran porque era uno de los ponentes de la Jornada de Ciberseguridad que se ha hecho al Instituto de Seguridad Pública de Cataluña (ISPC) para concienciar los agentes, empresarios y la sociedad en general.

Sierra, miembro de la entidad que organiza el congreso de ‘hacking‘ y seguridad informática más veterano del Estado, el No cON Name, ha hecho la demostración en directo pensando sobre todo que el receptor abriría el correo desde un iPad o un móvil, donde nos fijamos mucho menos en si la dirección del navegador es la correcta –aún así se puede falsear– o si hay el símbolo de candado que indica que es una web segura. Pero no es el único experto en seguridad que los Mozos han llevado hoy a su campo: Marc Rivero, que trabaja a Deloitte, y David Ávila, director de fraude y crimen electrónico a S21 Seco, han hablado de las últimas tendencias en software maligno. Rivero no se ha estado de decir con ironía que, ante tantos policías, se negaba a decir que sabía donde se puede comprar ‘malware’.

Los ponentes han coincidido en el hecho que la última tendencia, que crece exponencialmente, es la del ‘ransomware’, virus que cuando se descargan al ordenador de la víctima cifran algunos archivos, de manera ya no puede acceder, y lo extorsionan reclamándole que pague un rescate a cambio de volverle el acceso. “Los últimos siete u ocho años ha habido un incremento del 100% anual en ‘malware’ pero los casos de ‘ransomware’ han aumentado un 1.000% y todavía crecerán más”, ha dicho Ávila. Según Rivero variedades de este tipo de software maligno como los del virus CryptoLocker o el del falso mensaje electrónico de Correos se han multiplicado especialmente desde Navidad.

Los servidores de la Generalitat reciben una media de cincuenta ataques al día, según el subinspector en cabeza de Seguridad en Tecnologías de la Información de los Mozos, Marc Tortellà, a pesar de que la gran mayoría no son ataques dirigidos específicamente al Gobierno, como sí que lo fueron los del 9-N, sino que son anzuelos que se esparcin por la red preparados para pescar cualquier que clique donde no toca. Además, es “muy difícil” saber el origen porque “van botando de servidor en servidor y la busca en la mayoría de casos es internacional, se escapa fuera de la zona Europol”. Tortellà admite que esta misma dificultad la tienen para encontrar los autores de los ciberatacs del 9-N.seguridad web

Las denuncias relacionadas con internet se han cuadruplicado en tan sólo cuatro años: si el 2010 se hicieron 3.000, el 2014 se llegó a las 12.600, según el recuento de los investigadores facilitado por fuentes de Interior. Las más numerosas son las relacionadas con estafas en la compraventa a través de la red, pero justo detrás hay el espionaje industrial y el acoso a través de internet. “Hay mucha impunidad en el caso de los delitos con tarjetas de crédito por la dificultad de obtener datos de las operadoras extranjeras”, ha admitido el comisario en ninguno de los Mossos d’Esquadra, Josep Lluís Trapero, y ha dicho que Cataluña es de los lugares del Estado con más delitos a través de internet.

Trapero ha admitido que la respuesta policial contra este tipo de delincuencia es todavía “débil” y lo ha atribuido a la “nula legislación”, la burocracia y las dificultades para obtener datos internacionales. Además, ha dicho, “el delincuente ha ido evolucionando” y hace falta que los que se dedican a la seguridad informática de las organizaciones se especialicen más. A todo esto hay que añadir el mercado negro en internet de programas y herramientas para hacer cibercrimen, el “crime as a service”, tal como ha dicho el subinspector en cabeza de la Unidad Central de Delitos Informáticos de los Mozos, Rubén Mora. Hay páginas donde se puede comprar cualquier herramienta necesaria para hacer ciberdelincuencia, de forma que casi sólo hay que montarla, prácticamente como si fuera un mueble de Ikea, y dejarla a punto para engañar el objetivo.

Aunque hay una gran variedad de herramientas y de webs donde se pueden comprar, la mayoría se basan a engañar el internauta, a hacerlo clicar en un enlace porque sin quererlo se descargue un programa malicioso, o a convencerlo porque ponga el usuario y la contraseña de su correo electrónico en una web falsa. Este tipo de engaños se denominan “ingeniería social”, ha explicado el sargento en cabeza de la Unidad de Ciberseguridad de los Mossos d’Esquadra, Roger Martínez. Se basan en el mismo principio que la clásica estafa de la estampita, ha dicho, pero la diferencia principal es que no son un robo puntual, sino que permiten que programas con mala fe entren al ordenador de la víctima y consigan toda la información posible o lo estafen hasta que se dé cuenta y los pare.

Todos los expertos han insistido que el que hace falta es concienciar los usuarios de ordenadores, mesitas y ‘smartphones’ porque actúen en internet con el sentido común que sirvieron fuera de la red. “Ya tendríamos que saber que ni los bancos ni Correos no nos enviarán correos electrónicos para pedirnos datos personales”, ha dicho el experto David Ávila. Pero los datos demuestran que la mayoría de los ciudadanos todavía no lo tienen claro. Por eso Martínez decía que más que “concienciar” la sociedad el que hace falta es “entrenar” la gente porque esté bastante preparada.