Hackers, del ordenador a las personas

Un miembro de Anonymous mientras accede a la página web oficial de la Administración francesa para modificar algunos contenidos. AFP

Berlín. "Nuestros barcos hundieron vuestras naves espaciales": así se vanagloriaba el grupo de hackers LulzSec tras un ataque a la plataforma del juego de ciencia-ficción Eve Online. Estos hackers actuaban, según decían, just for the lulz, es decir, por puro gusto o para demostrar a los atacados que su defensa era insuficiente. Otros piratas de la red tienen entre sus objetivos una agenda política, muchos persiguen fines criminales y algunos penetran en sistemas ajenos de computación por encargo de algún otro Estado para cometer labores de espionaje, siempre por un precio.

Así lo entienden, al menos desde varias de las principales firmas dedicadas en cuerpo y alma a la ciberseguridad. Check Point, una de ellas, ha hecho balance del año 2011 señalándolo como el de la consolidación de los ciberataques dirigidos, que han causado enormes brechas de seguridad en organizaciones globales concretas, incluyendo grandes bancos multinacionales, empresas de seguridad e incluso complejos industriales y militares.

Los expertos de esta multinacional consideran que esta nueva forma de cibercrimen, que se vale de las personas para acceder a la información sensible y comprometer la seguridad de las grandes organizaciones, se consolidará como el principal problema durante estos próximos meses, con la llamada "ingeniería social" como herramienta.

"El año de 2011 ha sido importante para el cibercrimen", explicaba Mario García, director general de Check Point Iberia, "con grandes incidentes de seguridad a nivel mundial que saltaron a las portadas de todos los diarios del mundo: RSA, la red Playstation Network de Sony, Bank of América, Citibank, Inteco en España…". El primer diagnóstico que se puede establecer de estas brechas de seguridad es que los ataques han sido cuidadosamente planeados, orquestados y ejecutados, en lo que los expertos califican como Amenazas Avanzadas Persistentes, "ingeniados contra grandes corporaciones que operan con grandes volúmenes de activos, información de clientes y datos confidenciales". Es lo que se podría llamar ataques dirigidos, un modo de cibercrimen que se ha consolidado en 2011, y que a lo largo de este año será habitual.

"Es importante también el hecho de que los autores de estos ataques ya no son estudiantes con ganas de molestar", agregaba García, "sino expertos altamente formados, que ejecutan los ataques con la precisión de una operación militar de asalto, y que pertenecen a organizaciones muy bien estructuradas, semejantes a células terroristas, con dinero, motivación y objetivos".

'Hackear' las mentes Otra similitud entre todos estos ataques es que están basados en técnicas de ingeniería social. Los cibercriminales se dirigen a los empleados de la organización, a los que manipulan, "hackeando la mente humana para colarse en sus sistemas". De cara a 2012, los expertos de Check Point vaticinan que todo estará basado en esa ingeniería social. "Actualmente, con una estrategia de seguridad adecuada, las empresas pueden resistir ante una amplia gama de amenazas", sostiene García, "y por eso los hackers buscarán otras vías para causar brechas de seguridad en las organizaciones. El nuevo objetivo no serán las máquinas sino las personas". Según un estudio de Check Point, la primera motivación de los ataques de ingeniería social es el lucro financiero (51%), seguido del acceso a la información (46%), la adquisición de ventaja competitiva (40%) y la venganza (14%). Este mismo estudio muestra que los costes para los negocios pueden oscilar entre los 25.000 y los 100.000 dólares por incidente de seguridad.

En una línea similar se expresan desde la firma Kapersky, cuyos responsables explicaban que en la informática empresarial, "los ataques a gran escala son un enemigo menor dado que las empresas que toman precauciones básicas de seguridad están relativamente a salvo de estos ataques. Pero los ataques orientados, aquéllos contra sistemas que pertenecen a una compañía o industria en particular, son mucho más dañinos".

El crimen organizado, por su parte, es una preocupación enorme. El 52% de las empresas encuestadas señalan que están preocupadas por la proliferación de bandas organizadas de cibercriminales. Por todo ello, los expertos recomiendan adoptar una estrategia de seguridad adecuada que tenga también en consideración requerimientos específicos de su organización, tales como los empleados en movilidad, o los sistemas informáticos que controlan los mecanismos propios de su actividad. Asimismo, apuestan por fomentar el conocimiento de los empleados sobre la seguridad informática, "ya que son parte del problema y también pueden ser parte de la solución".

En todo caso, el concepto hacker tiene muchas facetas. El significado original, escribir rápidamente un par de líneas de software para solucionar un problema, está aún en el espíritu del proyecto Random Hacks of Kindness, cuyos miembros desarrollan programas con una buena finalidad. "Creo que, en cierto modo, este fue el año del hacker", indicaba Constanze Kurz, portavoz del Chaos Computer Clubs.

"Las manifestaciones populares de la calle se han trasladado a la web con una nueva dimensión". Quizás por eso, autoridades y empresas se encargaron durante el pasado año de poner bajo la luz pública a los hacktivistas del grupo Anonymous, fusión de hacking y del activismo, político y tecnológico. "Creo que el 2011 no fue el año más activo, sino el año más visible de los hacktivistas", aseguraba Stephan Urbach, del grupo internacional Telecomix.