Los piratas informáticos, por mal nombre hackers, han trabajado este año sin descanso, y se acercan al mundo tenebroso que describe la saga del novelista sueco Stieg Larsson. Una inusual seguidilla de intrusiones y ataques contra las redes de grandes corporaciones, gobiernos y organismos internacionales, ha puesto de relieve que la seguridad en internet es precaria y las soluciones distan de ser perfectas. La lista de víctimas del 2011 incluye empresas como Sony, Mastercard, Visa, Citibank, y estructuras presuntamente invulnerables, como el Pentágono y sus contratistas, el FMI o los gobiernos del Reino Unido, Italia y Brasil. ¿Alguien está a salvo?
Los especialistas en seguridad explican, sin inmutarse, que las técnicas empleadas por los hackers actuales no son nuevas, y que la novedad está en que a los que actúan por lucro se han sumado bandas de otra naturaleza, con motivaciones sedicentemente ideológicas. La fuerza de este hacktivismo – razona el último boletín de Kaspersky Lab – “reside no tanto en su grado de profesionalidad, sino en la cantidad de participantes; no son muchas las redes preparadas para resistir el empuje simultáneo de una multitud de asaltantes”.
Las crónicas recientes tienden a subrayar la actividad de grupos nihilistas como Anonymous y LulzSec [acrónimo de “nos reímos de vuestra seguridad”], que entre otras cosas se detestan mutuamente. Para empezar, se disputan los titulares: mientras Anonymous tiende a perseguir objetivos “políticos”, a sus colegas les encanta ridiculizar a sus víctimas. La primera banda es una red abierta a colaboradores por afinidad, que salió a la luz en 2008 y alcanzó la fama cuando tomó la defensa de Wikileaks; su hazaña más reciente fue el bloqueo informático del transporte público de San Francisco en protesta por no se sabe bien qué. LulzSec, por su lado, es una secta cerrada que un día anuncia su disolución y al otro promete paralizar Facebook el 5 de noviembre.
Tantas ansias de notoriedad contrastan con la discreción de las víctimas, que con frecuencia silencian la fuga de datos, a menos que estén legalmente obligadas para proteger a terceros. También esta actitud tiene explicación: “Lo que le ha pasado a Sony demuestra que si haces pública tu debilidad, te expones a que vuelvan a por tí”, dice Jason Hart, experto británico en seguridad que se define a sí mismo como hacker ético.
Cuando la seguridad conjuga su acepción militar, las víctimas hacen todo lo posible por disimular el fallo, pero a veces resulta mejor admitirlo públicamente, antes que el victimario lo revele. Lockheed Martin, el mayor contratista del Pentágono, reconoció en marzo haber sufrido “perturbaciones” en sus redes, provocadas por ataques contra el sistema de autenticación SecurID, suministrado por la compañía RSA, filial de EMC. Por la importancia de las empresas involucradas, hubo una alerta general, y RSA tuvo que anunciar un cambio radical e inmediato en sus claves de protección.
Estudios recientes ofrecen detalles sorprendentes sobre el fenómeno. Uno de ellos – patrocinado por Juniper Networks – indica que el 88% de las grandes empresas consultadas (de Estados Unidos, Reino Unido, Alemania y Francia) admite haber recibido al menos un ciberataque en los últimos 12 meses. En un caso, se han contabilizado más de 70 episodios, y el 59% de los afectados admite que los intrusos han conseguido su objetivo. Muy pocas han sido capaces de identificar el origen, aunque hay tendencia a culpar a Rusia y China.
De lo que se puede deducir que es razonable esperar que, tarde o temprano, todo sistema informático conectado a internet – es decir, todos – recibirá visitantes no deseados que, en un alto porcentaje de los casos, se apropiarán de información valiosa para la empresa y sensible para clientes y proveedores. La conclusión es pesimista: “la mayoría de las organizaciones no están bien preparadas para prevenir las amenazas contra sus redes y sistemas; los métodos de seguridad convencionales han de ser revisados con urgencia”. Según el documento, la complejidad creciente de las redes – y los recortes presupuestarios, cómo no – son factores de riesgo, agravados por la proliferación de portátiles y de móviles conectados a las redes corporativas.
Otro estudio, de los mismos autores pero financiado por ArcSight, filial de seguridad de HP, se propuso calcular el coste de los ataques para las empresas víctimas: entre un mínimo de millón y medio y un máximo de 36,5 millones de dólares (en promedio se emplea en resolver las consecuencias, una media de 18 días, más lo que haga falta para reparar la reputación. Los resultados son inquietantes, pero merecen algún reparo metodológico: dos estadísticos empleados por Microsoft han escrito un paper en el que se permiten dudar de esas cifras: “muchas compañías ocultan los daños que sufren, pero otras los exageran deliberadamente, lo que se parece mucho a lo que cuentan los hombres acerca de su actividad sexual” (sic).
En esta materia, hay sobreabundancia de estudios. El colega Mathew Schwartz resume en Information Week un estudio sobre la “commoditización” de la distribución de botnets, según el cual muchos botmasters externalizan las infecciones víricas mediante servicios llamados PPI (pay-per-install). Las tarifas no son uniformes, y oscilan entre 180 dólares por cada 1.000 PC infectados en Estados Unidos y Reino Unido, 20 a 160 dólares en Europa continental y – ¿por qué será? – sólo 8 dólares en Asia.
Sea cual sea el origen de los ataques y el propósito de sus autores, el punto crucial es la poca importancia que dan las empresas a la custodia de sus datos. Al citado Jason Hart le parece increíble que una medida tan simple como la autenticación doble – al modo del PIN y las coordenadas que usa la banca on line – no se haya implantado en la mayoría de las empresas para acceder a sus redes. No siempre los ladrones revientan cajas fuertes, ni todos los hackers hacen estragos para cosechar información, se explaya Hart. “Gracias a la cantidad de información disponible en Google o en Facebook sobre usted, yo podría inventarme una identidad como supuesto amigo suyo, entrar en su círculo y reconstruir sus contraseñas, hasta que usted mismo me lleve a donde yo quiera llegar”. Hart se ofrece para una demostración práctica en cualquier momento. […]