La seguridad en Internet va de mal en peor

Escrito el 28 mayo 2009, 01:16pm en Seguridad

Tagged with: , , , , , ,

Por Mercè Molist

“Hay millones de delitos informáticos que no se denuncian y los que sí, sólo el 9% acaban en detenciones”, afirmó la investigadora Erin Kenneally en la reunión anual del Anti Phishing Working Group (APWG), celebrada la semana pasada en Barcelona. Y eso no es nada según el asesor de las Naciones Unidas, Raoul Chiesa: “Por suerte los terroristas aún no saben atacar las infraestructuras críticas, que están desprotegidas en todo el mundo”.

El pesimismo y las descripciones apocalípticas sobre la inseguridad en Internet dominaron la reunión del APWG, que congregó a expertos internacionales de la industria, las universidades y las fuerzas de la ley. Una representante del Federal Bureau of Investigation (FBI), Donna Peterson, aseguró: “Estamos desbordados, hay demasiada información por investigar y no podemos ir a más velocidad. Han robado mi propia identidad tres veces en el pasado año”.

El robo de identidad, sean contraseñas o datos bancarios, es la estrella de los fraudes en Internet que, según la empresa S21sec, se han doblado en un año. El 62% son casos de “phishing”, que se está cebando en el Sistema de Nombres de Dominio: los criminales registran o secuestran dominios y los dan a ordenadores infectados bajo su control, que actúan como señuelo para que los incautos introduzcan datos bancarios. Al cambiar velozmente el dominio de una máquina a otra, dificultan mucho su localización.

Esta es una de las tretas que usa el gusano Conficker, el más mencionado en la reunión como ejemplo del auge del código malicioso, que dobla sus cifras cada año y sobrepasa en ritmo de crecimiento al “phishing”. Panda Security detectó 20 millones de nuevos virus en 2008. Cambian muy rápido, tanto en su forma como en los mensajes de correo en los que viajan, las páginas web en las que se esconden y las direcciones IP de las mismas. Se necesitan meses para descifrar su código, cuando antes se hacía en días.

“Sólo hay que ver los millones de números de tarjetas de crédito a la venta en la red para darse cuenta de que afecta a mucha gente”, afirmó Ero Carrera, de Hispasec Sistemas. Entre 30 y 40 grupos organizados que actúan como mafias dominan este mercado. La más conocida y perseguida, la ruso-ucraniana Russian Business Network, posiblemente autora de Conficker.

Hasta ahora se creía que las mafias tradicionales no estaban en el cibercrimen, pero Shinichi Tankyo, de Hitachi, desmontó este mito al afirmar que, a finales de 2008, fueron detenidos en Japón miembros de la Yakuza por una estafa de “phishing”. “Les cogimos porque lo hicieron bastante mal, no estaban preparados, pero cada vez vemos más casos de crimen electrónico relacionados con la Yakuza”, afirmó Tankyo.

El asesor de las Naciones Unidas Raoul Chiesa añadió otro vector: los terroristas. “Las infraestructuras nacionales críticas están desprotegidas en todo el mundo y los gobiernos no lo entienden. El mes pasado el jefe de ciberterrorismo norteamericano se quejaba de que no podía hacer su trabajo porque nadie le escucha”, explicó Chiesa a “Ciberpaís”.

Según el asesor, “los terroristas aún no se han dado cuenta del potencial de dejar a una ciudad sin agua o electricidad”. Ejemplificó el peligro con acontecimientos recientes como unos paneles luminosos en las carreteras de Texas, que alguien manipuló para que emitiesen el mensaje “Zombies más adelante”; el cambio del trayecto de un tranvía en Polonia, hecho por un niño de 16 años, o la infección de aparatos médicos en hospitales de San Francisco por el gusano Conficker.

Chiesa seguró: “China ataca regularmente otros gobiernos” y le dio la razón el investigador Shishir Nagaraja, quien denunció los frecuentes ataques chinos contra la Oficina del Dalai Lama. El más crítico fue a finales de 2008: “Secuestraron un mensaje de correo legítimo que alguien mandaba a la oficina, pusieron un virus en el adjunto y lo reenviaron a quien iba dirigido, infectando así nuestras máquinas y robando información confidencial”.

Nagaraja se quejó de que los gobiernos pequeños y ONGs no pueden defenderse ante estas amenazas porque “el coste no es asumible, necesitamos defensas más baratas. Lo que nos proponen las empresas es inútil. Sólo nos queda entrenar bien a los administradores y poner toda la información secreta “offline””.

¿Hay una defensa posible?

Antes, defender una red informática se basaba en proteger su perímetro frente a Internet, con la ayuda de cortafuegos, detectores de intrusos o antivirus. Hoy, los expertos coinciden en que el uso de aparatos móviles y sistemas interconectados ha hecho desaparecer el perímetro y sólo queda defender globalmente Internet.

Según Dean Turner, de Symantec, la solución sería modificar el comportamiento de los internautas: “Necesitamos escritorios seguros donde los usuarios no puedan equivocarse, controlar qué tipo de información envían, limitar sus movimientos y formarlos”. En este sentido, Leonardo Amor, de Telefónica, recordó que su empresa ha bloqueado más de 250.000 ADSLs españoles por mandar spam y virus.

Ero Carrera, de Hispasec Sistemas, propuso modificaciones técnicas: “No hay que confiar en nada que venga de la web y usar cajas de arena o virtualización para todo lo que entre, de forma que no pueda afectar a las aplicaciones del sistema”. Carrera recordó que “hay muy buenos ingenieros en países donde no hay industria y el cibercrimen es la forma de ganar dinero con lo que les gusta”.

Para Toralv Dirro, de McAfee, “hay tanto dinero en juego que hay mil razones para pensar que seguirán. La solución sería que no fuese rentable, ¿pero cómo? Van a mucho más velocidad que nosotros, necesitamos la colaboración de gobiernos, fuerzas de la ley y fabricantes, ir todos a una”.

La idea de un asalto coordinado contra el cibercrimen flotó a lo largo de toda la reunión, haciéndose más fuerte cuando hablaron los representantes de las fuerzas de las ley, quienes pidieron un acercamiento también de investigadores privados y públicos. Incluso hubo quien propuso la creación de brigadas especiales dedicadas a patrullar la web.

La mayoría de representantes de la ley denunciaron que tanto el intercambio de información entre ellos como las fórmulas para denunciar en línea son inefectivas y deben estandarizarse. Les cortó Donna Peterson, del FBI, al decir: “No poder compartir datos entre países es un impedimento para las investigaciones, pero es también una forma de proteger tus datos”.

Copyright 2009 Mercè Molist.
http://ww2.grn.es/merce/2009/apwg.html

Los comentarios están cerrados para este artículo.