martes, 2 de febrero de 2010

¿Está el hacking de moda?

Llevamos unos meses donde las noticias de inseguridad están a la orden del día. Son continuos los incidentes donde aparecen las palabras intrusión, hacking, ciberguerra.

¿Es nueva esta preocupación? ¿A qué se debe tanto bombardeo mediático?

Básicamente creo que confluyen tres hechos principalmente en esta avalancha de sucesos relacionados con la seguridad en los medios de comunicación y que es lo que hace parecer que crece una nueva moda.
El primero es la alta relevancia de los hechos involucrados en las acciones donde las vulnerabilidades de seguridad son la herramienta utilizada para acceder a cierta información privilegiada. En este caso, la inseguridad informática actúa como herramienta que habilita y permite el acceso al poder de la información. Los hechos más destacados de estos últimos días son:

Siempre hemos sabido que la información es poder, pero ahora nos encontramos que las herramientas para obtenerlo pasan por la utilización de las aplicaciones informáticas utilizadas en el mundo de la seguridad de la información. Este factor pone de manifiesto un incremento en el impacto que este tipo de técnicas empieza a utilizar, dado que nos encontramos con delincuentes que buscan a aquellas organizaciones que manejan información de valor que luego les va a proporcionar un importante beneficio como pueden ser secretos militares, código fuente, documentación estratégica. Y además permite la democratización del espionaje dado que ya no es algo exclusivo de los cuerpos más especializados y sofisticados sino que personas con profundos conocimientos de cómo funciona la tecnología pueden también realizarlo tocando las más altas cotas de poder.

El segundo es la popularización de estas técnicas y el importante incremento de las recompensas que obtienen quienes saben manejarlas. Tenemos hoy como noticia del New York Times una entrevista a un supuesto hacker chino donde revela claramente que todo lo hace por "diversión y dinero". Sencillamente su habilidad en el manejo de aplicaciones informáticas y su profundo conocimiento sobre sistemas operativos, el funcionamiento de Internet y sus protocolos le permite obtener ingresos haciendo algo que le gusta.
Es una nueva profesión, el ciberchorizo que cómodamente en su sillón se dedica a buscar usuarios en el amplio espectro de usuarios que conecta a Internet y localizar la víctima más vulnerable para atacarle en la yugular de su cuenta corriente.

Este factor pone de manifiesto un incremento en la motivación y el lucro, ambos elementos esenciales que hacen que se popularice el uso de técnicas de hacking como medio para cometer delitos. Porque hay que dejar claro una cosa, esta gente no son hackers, crackers o cualquier otra ciber-palabra que queramos utilizar. Son simplemente delincuentes que utilizan sus conocimientos y herramientas informáticas del mundo de la seguridad y la administración de sistemas para cometer delitos.

El tercero es la poca conciencia que se tiene todavía sobre la importancia de la gestión de la vulnerabilidad. Algo en lo que ya insistí en EU2010.es, Mr Bean y la gestión de la seguridad y sobre lo que no voy a insistir. Sorprende todavía encontrar como "lógica" dentro de áreas de sistemas la política de no parchear no vaya a ser que se acabe fastidiando algo que funciona.

El problema ahora es que desde hace unos años se viene baticinando esta profesionalización del crimen organizado vinculada al uso de las nuevas tecnologías. Recuerdo frases de hace unos años hablando de la punta del iceberg y ejemplos similares donde se comentaba que el panorama se podría feo cuando los "hackers" de aquella epoca se unieran a las mafias. Yo mismo tengo post del año 2005 comentando estos hechos. El tiempo pasa y muchos de los pronósticos acaban por hacerse realidad. Y ante la falta de previsión y poca planificación a largo plazo ahora tenemos un importante problema de mitigación de daños. Los cuerpos y fuerzas de seguridad del estado no están adecuadamente dimensionados para atender este importante aumento de la ciberdelincuencia que además no destaca en las estadísticas oficiales que recogen los indices de criminalidad. Y a eso, añadimos el interés por parte del Ministerio de Cultura por perseguir la vulneración de la propiedad intelectual, que aun siendo uno de los delitos más comunes, no hace seguramente sino quitar fuerza a las brigadas tecnológicas en la persecución de otros delitos de similar o mayor gravedad. Juan Salom, ya hace unos años se dedicaba a explicar la complejidad del delito y su tipología como ilustra en esta presentación que ya he referenciado alguna vez. Algo que ya está sufriendo la banca estos últimos años por no haberse tomado con la debida seriedad la escasa seguridad de sus medios de pago y la protección de la información de las tarjetas de crédito que han permitido y permiten a los ciberchorizos forrarse de forma rápida mediante el phishing o el whaling.

Y para poner peor el panorama, tenemos problemas en el proceso de investigación por el carácter transfronterizo de este tipo de delitos que empiezan en un lado del mundo y acaban con víctimas en el otro, la falta de regulación sobre la evidencia electrónica y lo que es peor, los requisitos de conservación. El hacking habrá entrado en el Codigo Penal pero una ley sobre la que no puede perseguirse el incumplimiento es un papel mojado.

Por tanto, lo que los informes de tendencias para el 2010 de algunas empresas de seguridad anuncian tienen un claro diagnóstico. Es el año del cibercrimen que se está profesionalizando e industrializando para mejorar su rendimiento.

Y todo ello tiene una muy clara justificación: incremento del lucro obtenido mediante la ciberdelincuencia, comodidad y facilidad de acceso tanto a herramientas como a víctimas dado que son delitos que se practican desde el cómodo sofá de casa, gran cantidad de víctimas ingenuas a las que poder atacar y dificultad de los cuerpos y fuerzas de seguridad del estado para perseguirlos. ¿Qué más hace falta para que este sea el perfecto caldo de cultivo de la ciberdelincuencia o el ciberespionaje?

Lo importante para los que nos dedicamos a esto es ahora considerar este nuevo escenario y ajustar convenientemente los parámetros de riesgo. En las organizaciones puede no haber cambiado el valor de la información y por tanto los posibles impactos o daños, pero lo que si ocurre es que la probabilidad de la amenaza aumenta, y por tanto, también los riesgos. Hay que tomar nota y empezar a ver cómo protegerse antes de sufrir el incidente.
 
;