Ciberseguridad: los nuevos tipos de ataque

Red

El «petróleo del siglo XXI». Así ha llegado a denominarse ese valor intangible que son los datos. Y es que hoy casi cualquier ciberataque parte del robo de datos. Cada una de las empresas con las que firmamos contrato —cada servicio o app que hayas descargado incluye un largo informe de aceptación en condiciones de uso— almacena, trata, interpreta o alquila algunos de ellos.

Cada transacción bancaria, compra en línea, incluso cada uso de alguna aplicación móvil habilita una serie de permisos específicos. Alrededor del 65% de los departamentos de tecnología de la información (TI) utilizan servicios en la nube y un porcentaje aún mayor integra dispositivos móviles en su infraestructura. A ello sumamos que más del 30% de las empresas cuentan con redes sociales profesionales. Una interacción que también implica recopilación de datos.

Todos los ataques juntos

El imposible puzle de la ciberseguridad. Así lo titulaba Sophos, un informe que concluía que los equipos de TI están desbordados, que se está produciendo tanto ciberataque y de tipologías tan variadas que a las empresas de seguridad les cuesta horrores mantenerse al día. Porque existen decenas de formas de atacar.

Algunos de los ataques más conocidos son el ataque DoS (de denegación de servicio). El atacante o atacantes intentan romper la seguridad de una base de datos inundando y desbordando de solicitudes a un servidor web. La web, en vez de bloquear toda entrada, a veces deja escapar cierta información durante esta sobrecarga.

Pero existen muchos otros, como el ping flood y ping de la muerte: similar al anterior, el primero se fundamenta en enviar una cantidad gigantesca de pings para realizar un bloqueo. El segundo envía un paquete ICMP de más de 65.536 bytes, tan pesado que congela y bloquea el receptor.

Más complejos son el ARP Spoofing, diseñado para clonar la dirección MAC de un equipo mediante inundación. El ACK flood, donde se envía una IP falsificada para robar datos de validación del sistema. El FTP Bounce y el ICMP Tunneling (para evitar firewalls), donde el atacante se conecta a los servidores FTP y envía información falsa a los usuarios o máquinas. El TCP Session Hijacking, conocido como “secuestro de sesión” durante el proceso de login.

También podemos hablar de hurtos donde alguno de los elementos es un ser humano. Los hackers pueden interceptar las conversaciones cuando dos empresas negocian para fusionar dos servicios o lanzar un nuevo producto. A veces es más fácil robar legitimando una conversación. Tales son el MITM (Man-In-The-Middle), similar al anterior, ya que se fundamenta en una intercepción entre la comunicación de dos sistemas. O la ingeniería social, donde alguien se hace pasar por empresa o centralita para engañar al usuario.

Por último, algunos robos implican la falsificación de información biométrica (ataques OS Finger Printing pasivo o activo), como huellas dactilares o escáner facial, los puertos de nuestro portátil, usando pendrives o memorias infectadas con algún keylogger, además de una amplia tipología que comprende código maligno (virus), spyware (recopiladores de info), phishing (suplantación de otra identidad, frecuente para imitar entidades financieras), adwares, ransomwares, gusanos o troyanos, los cuales se cuelan entre emails y programas P2P.

Inteligencia artificial con mucho de A y poco de I

Aunque todo lo anterior atiende a hacking tradicional. Hay más formas de hacer daño. Una de las claves en la acumulación de datos reside en su interpretación. Poseer una gran base informativa en sí misma es inútil, como una biblioteca sin organizar. Los algoritmos de análisis o los de aprendizaje (deep learning) son las herramientas responsables en extraer conclusiones ágiles de toda esta información. Patrones, descartes, consecuencias en base a ciertos supuestos, etcétera.

El problema reside en la calidad de esa información y la calidad de esa interpretación. Un experimento de Perficent Digital demostró que las máquinas no son tan buenas etiquetando a personas. De hecho, la Policía Metropolitana de Londres promocionó su modelo de reconocimiento facial asegurando un margen de error del 0,1%, cuando la realidad es que falla mucho, demasiado. Y mucho más cuando esa persona es negra.

Y aunque este margen se reduce mes tras mes, los errores plantean debates: ¿y si algún colectivo crackea las bases de datos, altera la información, modifica un mínimo parámetro y manda a la cárcel a personas inocentes? Si en el ámbito judicial las IAs están siendo una herramienta para cambiar la forma en la que se ejerce el derecho, esta es la primera piedra a sortear.

Pago automático, robo automatizado

Un informe de Zengo mostraba que cuatro de cada cinco códigos QR de bitcóin redirigían a webs fraudulentas. Que eran una estafa diseñada para robar datos, ni más ni menos. Y si el año pasado la estafa sensacional se llevaba a cabo utilizando teclados de cajeros automáticos falsos, este año el uso de QR en España ha desembocado en una escena similar a la vivida en China hace algún tiempo: el pago electrónico aún cuenta con demasiadas fisuras.

Solemos creer que el robo de datos no puede desembocar en un drama demasiado severo. Pero si algo demostró el hackeo a Sony es que este dolor de cabeza puede durar más de lo que pensamos.

Cuentas de Netflix o Spotify que acaban vendidas a terceros, datos bancarios secuestrados durante semanas, contraseñas con las que acceder a toda nuestra interfaz de trabajo —por ejemplo, en la suite de Office u Adobe—… La fórmula cambia, el resultado no. Ante esto, la recomendación general es la misma: ser más celoso a compartir información, no entrar en ningún site que no parezca 100% seguro, cambiar de contraseña cada cierto tiempo, no vincular todos los servicios, multiplicando la posibilidad de fugas, etcétera.

Anulación de servicios básicos

«Me recuerda más a una carrera armamentística que a un desarrollo tecnológico». La frase no es nuestra, sino de Francisco Alarcón, jefe del departamento de seguridad de Aguas de Murcia, en el marco del World Forum Economic. Y pone en relieve la capacidad de infligir daño sin necesidad de usar armas. Una guerra cibernética en la que omertá y buenas comunicaciones entre grupos organizados puede causar estragos sobre cualquier servicio humano.

Cuanto mayor es la automatización de servicios —tráfico, presas hidráulicas, gestión aérea— mayor puede ser el daño sobre la sociedad. Sabotear una estructura vital como es el alumbrado, la infraestructura de gas, electricidad o telecomunicaciones entra dentro de lo que se denomina, a pequeña escala, cyberhacking. A gran escala es puro terrorismo y puede desembocar en la desestabilización económica de un país entero.

Una guerra sin munición que plantea un nuevo panorama geopolítico: los atacantes no son países, sino colectivos anónimos, los sistemas de seguridad que han podido servir en el pasado no tienen utilidad en nuevos ataques, y lo que un país considera ataque frontal otro puede considerarlo un delito menor, lo que redunda en distintas políticas de defensa y distintas medidas de protección ciudadana.

Ciberataques asimétricos

Para cada dato existe algún tipo de comprador potencial. Desde la libreta de contactos de una empresa, tu información financiera, los procesos de fabricación de un teléfono, la caja de cambios de cierto coche o la ruta de lanzamientos en mercados internacionales de cierta marca.

Esto se llama hacking asimétrico: el perfil del atacante no cumple siempre una idéntica tipología. Puede ser un simple usuario enfadado con la web de Renfe, un grupo que ofrezca crimen como servicio desde la deep web o incluso un cazarrecompensas que aprovecha los exploits que encuentra para pagar sus facturas.

El tipo de daño también es asimétrico, ya que puede oscilar del robo discreto o la alteración de pruebas al ataque frontal con destrucción o inhabilitación de documentos, hasta dejar fuera de acción un servicio al completo.

Y puede tratarse de un daño circunstancial debido a un fallo por un equipo desactualizado, alguien sin recursos para recuperar los datos robados, puede ir dirigido de forma controlada a una empresa, con una planificación temporal para desestabilizar las propias herramientas de seguridad, o a una institución gubernamental.

Por Israel Fernández

Imágenes | Unsplash

 

Archivado en
Subir