La Nueva Generación Hacker (II)

Dentro de un par de años se cumplirá el trigésimo aniversario de la película “Juegos de Guerra” (John Badham 1983), filme visionario que se adelantó a su tiempo. En aquel entonces Internet se hallaba en sus comienzos teóricos y experimentales, no existía apenas la informática de usuario y la visión de Bill Gates de ordenador es para el obrero no era más que eso, un sueño visionario. Es en tales circunstancias cuando se gesta el estereotipo mediático del hacker -como todavía se le sigue llamando sin precisar su posición a uno u otro lado de la línea divisoria entre el bien y el mal: ante la duda, todos del lado del mal.-, individuo inadaptado con grandes conocimientos de informática que desde la oscuridad de su cubículo y a altas horas de la madrugada maquina todo tipo de estrategias y pone en juego su pericia técnica para penetrar en las redes de ordenadores del Ministerio de Defensa y las grandes empresas. Finalmente la policía asalta su vivienda ante el estupor y el pánico de los padres, que no sospechaban que en la primera planta de su casa tenían una amenaza para la seguridad nacional. Después de sacar al sospechoso de su caótico y mal ventilado tigre, saturado de equipos informáticos, cables y una maqueta del Halcón Milenario,  caemos en la cuenta de que por lo general se trata de un menor de edad. Entonces un agente del FBI, bien trajeado y de raza negra, le lee sus derechos mientras le aherroja las manos con esposas. Lo que sigue queda a discreción del guionista.

Esta imagen, aparte de que nunca correspondió a la realidad -salvo en casos muy concretos que no justifican su extensión a ningún colectivo-, está anticuada. Como ya se explicó en un post anterior, cuyo tema era un libro recomendado, la delincuencia informática ha dejado de ser un fenómeno individualista para convertirse en una actividad organizada y gestionada por bandas criminales y espías al servicio de determinados gobiernos. Los modelos de negocio ya no se centran en el gran golpe crematístico o de efecto de otros tiempos, como el robo de secretos de estado o la realización de una transferencia de mil millones de dólares a u banco de las Bahamas. Los ciberdelincuentes de nuestros días se interesan por los secretos de empresa, las tarjetas de crédito, la identidad de los usuarios, las bases de datos de clientes para fines de marketing, los números de la Seguridad Social y las contraseñas de cuentas bancarias.  También lanzan ataques de denegación de servicio contra páginas web de organizaciones importantes -a condición de que alguien les pague por ello, por supuesto-, organizas nevíos masivos de publicidad mediante correo no solicitado (spam) o intenta dañar infraestructuras públicas o plantas industriales. Nada de pelotazos por tanto, sino de mordiscos bien dirigidos, a veces propinados por un banco de pirañas (redes del tipo botnet).

El cambio más interesante no ha tenido lugar en la selección de objetivos, sino en el paradigma operativo del negocio. Antiguamente la piratería informática consistía en tantear la periferia de un sistema para descubrir  huecos a través de los cuales penetrar defensas y conseguir cuentas de usuario privilegiadas. Para ello se hacían barridos de puertos y se probaban herramientas sofisticadas en busca de fallos en el software del sistema operativo o defectos de configuración en los perímetros de seguridad. La nueva generación hacker, por el contrario, intenta engañar al usuario para que instale software malicioso capaz de establecer conexiones inversas con una máquina del exterior desde la que posteriormente se llevará a cabo el ataque. Las posibilidades de este, logrado lo primero, serán tanto más elevadas por cuanto la intrusión tendrá lugar a través de canales imprescindibles para el funcionamiento del sistema (por ejemplo el puerto 80, que es el que utilizan los navegadores de Internet). Ningún cortafuegos o router mantendrá estos puertos cerrados, a no ser que quiera impedir el acceso a Internet.

El arma maestra del ciberdelincuente moderno -por el amor de Dios, no sigamos cometiendo el error de llamarlo hacker- es la ingeniería social. Su lucha no va dirigida contra instalaciones técnicas, sino contra el eslabón más débil de todo sistema informático: el ser humano.

One Trackback to “La Nueva Generación Hacker (II)”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: