Piratas en la red

A inicios de marzo, la súbita desparición de 179 páginas web de los servidores de uno de los principales proveedores de Internet del país, obligó a la opinión pública a tomar nota de la existencia de una red de piratas informáticos (“hackers”) en Nicaragua. Pero ¿realmente entendemos la potencial dimensión del problema?

7 Comentarios | Valoración

 4.8 (4 votos) - Votar

Compartir:

• 
• 
• 
• 
• 
• 

Esta no fue la primera vez. Pero, en el pasado, ninguno de los ataques de los piratas informáticos locales había afectado de la misma forma a los clientes de los proveedores de servicios de Internet (ISPs) que operan en Nicaragua.

Don Hankins/Flickr/CC

Cierto, en más de una oportunidad, “Pedrón” y sus amigos ya habían señalado su presencia modificando alguno de los sitios web hospedados localmente.

Pero estos ejemplos de defacing -una de las prácticas más comunes entre los hackers, que a menudo no son sino una forma “amistosa” de llamar la atención sobre los problemas de seguridad de una red- podían ser atendidos rápidamente por los administradores de sistemas.

Las cosas, por lo tanto, no tenían por qué pasar a mayores. O bien podían ser resueltas “en privado”.

Y poca gente fuera del mundo de la informática -o, más especificamente, la administración de redes- sabía o le ponía atención a lo que estaba ocurriendo.

El pasado 2 de marzo, sin embargo, la decisión de “Pedrón” de dejar "fuera del aire" a 179 páginas web de empresas o instituciones locales hospedadas en los servidores de Cablenet, obligó a un mayor número de gente a tomar nota.

(Nota: El párrafo anterior fue modificado de la versión original por motivos de precisión. Para las razones detrás de la acción, ver la cajita "¿Spam o E-Mail Marketing?", al final de este artículo).

Presionada sus clientes y por la cobertura del tema por parte de medios de comunicación, como El Nuevo Diario -a quien el propio “Pedrón” habría contactado para explicar las razones detrás de su acción- la empresa tuvo que admitir publicamente el problema.

Y hasta llegó a solicitar la intervención de la policía.

En ese contexto, pocos medios escaparon a la tentación de darle segumiento al tema como si se tratara de una novela de detectives. (No en balde el último gran éxito de librería en Europa, la trilogía “Millenium”del sueco Stieg Larsson, tiene como uno de sus principales protagonistas a una hacker).

Pero la búsqueda de responsables no debería impedir plantearnos otras importantes preguntas de fondo: ¿Qué tanta seguridad son capaces de brindar las ISPs locales? ¿Y qué significa eso para nosotros, sus usuarios?

Ninguna red es cien por ciento segura. En eso coinciden todos los expertos, hasta el punto que algunos prefieren referirse a su trabajo como uno de “administración del riesgo”.

Eso no significa, sin embargo, que no tenga sentido intentar hacer las cosas más difíciles para los visitantes indeseados.

“Es como los candados. No hay candado que no pueda ser forzado. Pero si un ladrón se da cuenta que para entrar a tu casa va a tener que pasar por lo menos dos horas intentando desactivar los sistemas de seguridad, mientras que para entrar donde el vecino va a necesitar nada más cinco minutos, está claro a que casa se va a meter a robar” explica Bayardo Aguilar, de RGB Consultores Informáticos.

La seguridad, sin embargo, cuesta dinero. Y el consenso entre la comunidad informática del país parece ser que esa es una inversión que los principales ISPs locales no han estado dispuestos a hacer.

“Es como hacer backups [la elaboración periódica de copias de resplado de la información almacenada en la red. N.del.E]. La lógica de muchos es ¿para qué gastar mil dólares mensuales en eso, cuando a lo mejor sólo los vas a necesitar una vez cada tres años?” dijo otra fuente consultada por La Brújula que prefirió no ser identificada.

“Les resulta más barato arreglarse luego con los hackers, como parece que también van a hacer en esta ocasión” afirmó.

Al mismo tiempo, es importante comprender que no todos los hackers están interesados en perjudicar a los proveedores o sus usuarios.

De hecho, a muchos lo que les interesa es el reto técnico, el reconocimiento de sus pares, la posibilidad de demostrar sus habilidades informáticas.

Se ven a sí mismos como una fuerza positiva que obliga a los administradores de sistemas a lidiar con las deficiencias de sus sistemas de seguridad, que ellos mismos de encargan de señalar.

Y, en el caso nicaragüense, el hacking ni siquiera está tipificado como delito por el código penal.

Pero, ¿qué tan inofensivos o peligrosos son en realidad los hackers nicaragüenses?

“Aquí en Nicaragua hackear un servidor no es ilegal, así que por favor dejen de hablar de delicuentes” le advertía en noviembre del 2007 “Pedrón” a Barricada.com.ni, luego que ese blog de noticias independiente empezara a documentar las hazañas del grupo de hackers locales que también incluía nombres como Satan, Simps20 y s0cratex.

Y la advertencia continuaba: “En un maximo de 24hrs, de no tener noticias, y no mirar los cambios en su web, y una disculpa publica por acusarnos de criminales, nos miraremos en la penosa tarea de tumbar su web”.

Para ese entonces, el grupo que algunos daban en llamar Team Plexinium y otros Team Nicatech (en realidad uno de los alias empleados por el propio “Pedrón”), había logrado cierta notoriedad con un publicitado “hacking” de los servidores del Consejo Supremo Electoral.

Y la lista de las “hazañas” documentadas por Barricada.com.ni también incluía el defacing de las páginas de Hispamer, Budget.com.ni y la de NIC.Ni -la entidad que tiene a su cargo los dominios que ocupan la terminación .ni, que identifica a Nicaragua.

En todos esos casos -así como en aventuras posteriores, como la manipulación de las bases de datos de los sistemas de registro académico de la UNAN-León, en febrero del año pasado- los hackers afirmaban sólo estar interesados en demostrar de lo que eran capaces y en evidenciar los problemas de seguridad.

Pero en todos esos casos la respuesta de los administradores de los sistemas intervenidos parece haber sido la misma: minimizar la gravedad del problema y acusar a los miembros del Team Nicatech de no pasar de ser unos “script-kiddies” -un término despectivo utilizado para describir a aquellos que utilizan programas desarrollados por otros para atacar sistemas de computadoras y redes.

La misma Barricada.com.ni no resistió a la tentación y respondió a la advertencia de “Pedrón” haciendo pública su dirección de Granada y hasta una foto de su casa, sin que eso tuviera ninguna consecuencia.

Y sin embargo, la evidencia acumulada hasta la fecha sugiere que el problema no puede seguir siendo tratado como un juego de niños.

Lo riesgos son reales, y la amenaza potencial es para todos los usuarios de Internet del país.

La práctica se llama sniffing, lo que traducido al español equivaldría a “olfatear”, y puede emplearse para robar contraseñas, interceptar mensajes de correo electrónico, o espiar conversaciones de chat.

Para ello, basta con instalar un software especializado en un lugar estratégico de la red al que, al menos en el caso de Cablenet y Nic.ni, los hackers locales ya han demostrado saber llegar.

Y una fuente consultada por La Brújula, que también prefirió el anonimato, sugirió que ese mismo nivel de acceso ya también había sido alcanzado con otros proveedores del país.

Por el momento se trata solamente de especulaciones, que con toda seguridad serían desmentidas por los administradores de sistemas de las compañías que ofrecen servicios de Internet.

Y, por su propia naturaleza y las ventajas que ofrece, el sniffing es una práctica que pocos hackers estarían dispuestos a admitir, o publicitar.

La posibilidad, sin embargo, no puede descartarse. 

Y al implicar a proveedores de conexión, amenaza no sólo a las páginas web y cuentas de correo locales, sino al conjunto de actividades en la red que no emplean conexiones seguras (lo que incluye a algunos servicios de webmail).

Si a esto se suma la actitud casual que la mayoría de los usuarios de Internet tienen en asuntos de seguridad -basta con conectarse a un Hotspot inalámbrico para comprobarlo- deben ser muy pocos los usuarios nicaragüenses que no estén potencialmente a merced de un hacker decidido que "olfatea" palabras como "contraseña", "pago" o "tarjeta de crédito".

Y, si aún no existe, no debería descartarse el eventual surgimiento de un mercado de datos o información privada, potencialmente interesante para competidores comerciales o adversarios políticos.

Ahora, siempre existe la posibilidad que la publicidad dada al último hacking de “Pedrón” -quien afirmó haber actuado en reacción al aumento del correo no solicitado (spam) canalizado a través de los servidores de Cablenet- obligue a los ISPs locales a hacer mayores esfuerzos en materia de seguridad y protección de datos.

Y la misma publicidad buscada por este hacker -quien también se declaró dispuesto a facilitar una copia de la información removida de Cablenet a los dueños de los sitios web afectados- no parece corresponderse con una intención maliciosa.

En el actual contexto, sin embargo, aquellos usuarios preocupados por su privacidad están obligados a tomar sus propias medidas.

Una de las más sencillas, es emplear siempre conexiones seguras (en el caso de las cuentas webmail y otras transacciones, basta con revisar que la dirección siempre empiece con https -y no sólo http- ya que eso indica el uso de un protocolo SSL).

Los usuarios de chat que quieran garantizar la privacidad de sus conversaciones, por su parte, podrían usar programas como Pidgin (que funciona para cuentas de MSN, Yahoo y Gmail, entre otros) y activar la función OTR, que garantiza un mayor nivel de seguridad.

También es importante tener cuidado con las contraseñas y cambiarlas con cierta frecuencia. Pero, sobre todo, hay que recordar la lección más importante de todas:

Es mejor no circular información verdaderamente sensible a través de la red. 

Después de todo, nunca se sabe quien puede estar leyendo. U olfateando.

• La fórmula de la seguridad
  No todos los usuarios o sistemas corren el mismo nivel de riesgo en la red. 
  
  Según los expertos, para estimar adecuadamente el riesgo hay que considerar tanto el valor de la información que hay que proteger, como la vulnerabilidad del sistema y las posibilidades de que este sea víctima de un ataque (Risk = Value of the Asset x Severity of the Vulnerability x Likelihood of an Attack). 
  
  En otras palabras, si tus asuntos en realidad no le interesan a nadie, no tiene sentido que te pongás paranoico, pues los hackers probablemente prefieran invertir su tiempo "sniffeando" a los propios administradores de sistemas u otros usuarios con algo más que ofrecer. 
  
  Y si manejás información valiosa, el riesgo aumenta sin importar que tan bueno sea el sistema de seguridad. 
  
  En cualquier caso, tu actitud importa, porque vale la pena recordar que una cadena sólo es tan fuerte como su eslabón más débil. 
  
  Y la falta de interés de los usuarios en este tipo de temas también hace que los ISPs no se sientan obligados a invertir más para proteger su privacidad.

• ¿E-mail marketing o Spam?
  El otro importante debate planteado por el ataque de "Pedrón" tiene sobre el uso del correo electrónico como herramienta promocional.
  
  Efectivamente, "Pedrón" sostuvo que su acción no fue sino una respuesta a los numerosos correos no solicitados (spam) canalizados a través de un servidor de Cablenet.
  
  La empresa señalada por el hacker, sin embargo, se defendió aduciendo que lo que ellos hacen no es spam, sino e-mail marketing. 
  
  Y este tipo de servicio se ha vuelto cada vez más popular entre los comercios, atraídos por la promesa de poder llegarle a miles de receptores a bajo costo. 
  
  Pero, ¿hay en realidad alguna diferencia entre spam y el tipo de e-mail marketing que cada vez ofrecen más empresas locales? 
  
  El consenso entre varios responsables de redes entrevistados por La Brújula es "no".
  
  Porque aunque muchas de estas empresas permiten darse de baja del servicio -una opción que definitivamente no ofrecen los spammers tradicionales-, la naturaleza no solicitada de los primeros envíos rompe con una regla básica de la red. 
  
  Efectivamente, para no ser una variante de spam, e-mail marketing debe conseguir autorización primero, no preguntar después. 
  
  Aunque en un contexto económico que invita al ahorro, parece poco probable que proveedores y clientes estén dispuestos a renunciar a esta herramienta, sin pararse a pensar en sus consecuencias, incurriendo así en una práctica que, además de molesta, en otras latitudes también es ilega