Crecen los ciberataques por motivos políticos
Virus contra disidentes, "kits" para tumbar servidores de gobiernos, medios de comunicación silenciados. En el primer aniversario del bombardeo contra Estonia, expertos de las compañías Trend Micro y Arbor Networks han alertado del auge de los ataques por motivos políticos en Internet. La CNN, Radio Liberty o los grupos pro-Tibet son los últimos afectados.
MERCÈ MOLIST
Sucedió hace un año, cuando el gobierno de Estonia retiró la estatua del Soldado Soviético Desconocido y las protestas rusas saturaron las redes estonianas. La llaman la primera guerra de Internet y, también, el resurgimiento del "hacktivismo", una práctica nacida en los 90 que significa "usar la tecnología para conseguir un objetivo político".
El consultor independiente Dancho Danchev prefiere hablar de "guerrilla de la información del pueblo, cuyos ordenadores se convierten en estaciones de bombardeo en nombre de 'introduzca su causa'". Pone como ejemplo los ataques turcos a miles de sitios suecos por una caricatura de Mahoma, o las contiendas entre Israel y Palestina, donde se reparten "kits" para asaltar sitios de ambos bandos.
Pero la guerra de Estonia marcó una importante diferencia: de los ataques de internautas concienciados que ejercían su derecho a la ciberpataleta se pasó a grupos organizados, casi militares, con oscuros intereses y procedencias, cuyas "botnets" (redes de ordenadores infectados bajo su control) bombardearon sin piedad al adversario.
Lo cuenta el experto en seguridad Gadi Evron en uno de los pocos análisis públicos sobre los incidentes, publicado recientemente. Según Evron, fue "una operación a gran escala muy bien planeada en línea. Días antes, los foros rusos bullían con los preparativos, publicaban listas de objetivos e instrucciones tan simples que cualquier internauta sabría seguirlas".
Los ataques empezaron el 26 de abril contra oficinas gubernamentales. Al día siguiente se habían extendido a otros sitios, incluidos bancos, agencias de noticias y escuelas. "Aunque nuestros sistemas no pudieron demostrar la fuente de los ataques, es indiscutible que los foros y blogs rusos fueron los responsables", asegura.
Los intentos de defensa de Estonia contra el enemigo exterior fueron desactivados con una ingeniosa táctica, explica el experto: "Infectaron ordenadores de ciudadanos de Estonia, con los que crearon "botnets" que lanzaron contra nuestras redes". Así, eran las propias máquinas del país quienes lo atacaban.
Esto demuestra, según Evron, que después de los primeros ataques de los internautas rusos, "jugadores más experimentados entraron en la contienda". El gobierno ruso no sancionó públicamente la protesta hasta tres semanas después. Y Evron se pregunta: "¿Un ataque por Internet debería garantizar una reacción de la OTAN? ¿Qué derecho tiene un país a la autodefensa en caso de ciberguerra?".
Otros casos ocurridos en los últimos meses piden también respuestas. A principios de 2008, Arbor Networks denunciaba el uso de "botnets" en un bombardeo de varios días contra webs del candidato a primer ministro de Ucrania, Victor Yanukovych, y otro contra sitios del partido "La Otra Rusia", durante las elecciones rusas.
En marzo, el portal oficial del Gobierno Tibetano en el exilio caía bajo un ataque parecido. La empresa F-Secure avisaba: "Alguien está mandando correos con virus para infectar los ordenadores de grupos pro-Tibet y espiarles". La Red de Apoyo a Tibet denunciaba: "Quien sea que lo esté perpetrando, lo hace a tiempo completo".
El 20 de abril, la web de la cadena CNN desaparecía durante tres horas por un ataque organizado desde blogs chinos, que criticaban el tratamiento dado a los sucesos en Tibet. Sitios como anti-cnn.com y hackcnn.com distribuían programas que realizaban automáticamente el bombardeo.
Mientras, en los Balcanes, grupos pro-Kosovo asaltaban masivamente sitios web para poner en ellos propaganda. Grupos pro-Serbia hacían lo mismo contra sitios albanos, publicitando listas de webs vulnerables de aquel país, como el Banco de Tirana o el Partido Socialdemócrata, y "kits" para asaltarlas.
A finales de abril, el sitio de Radio Liberty en Bielorrusia caía bajo un ataque que se expandía en pocas horas a otras sedes de esta radio en Europa del Este y Asia. El motivo: la retransmisión de una manifestación de la oposición bielorrusa. Ha habido más casos pero, afirma el SANS Institute, "no se han dado aún a conocer para no entorpecer las investigaciones".
La mayoría de incidentes proceden de ordenadores rusos y chinos pero, dada la naturaleza de Internet, es muy difícil determinar su auténtico origen. Aún así, en los últimos meses los gobiernos de Bélgica, Alemania, Gran Bretaña, India y EEUU han denunciado públicamente a China por ataques a sus redes. El gobierno chino lo niega, aduciendo que no puede controlar a los atacantes.
Manel Medina, director del equipo de seguridad esCERT, apostilla: "Los ataques políticos los hacen políticos, sea en activo, desde la oposición o la clandestinidad. Y los políticos con más recursos económicos son siempre los que están en activo, es decir, los gobiernos".
Según Medina, "la Comisión Europea está alineando todas sus fuerzas de respuesta a incidentes de este tipo y la protección de las infraestructuras críticas es uno de los temas estrella". España y otros seis países de la OTAN están creando en Estonia un Centro de Excelencia en Ciberdefensa. Y el gobierno de EEUU acaba de presentar su Iniciativa para la Seguridad Cibernética Nacional, con un presupuesto de 11.000 millones de euros.
Se llama "cracktivismo"
Las dos formas de acción política más común en Internet son los bombardeos y el asalto de webs. En el hacktivismo clásico, estas webs se atacaban de forma selectiva hasta que llegó la moda del "mass web defacement": entrar directamente en los servidores que las alojan y asaltar decenas o cientos de una tacada, para dejar en todas el mismo mensaje de protesta.
Buscando la misma rapidez y eficacia, los bombardeos desde "botnets" han sustituido a las manifestaciones virtuales de los 90: "Con programas muy sencillos, utilizables desde cualquier ordenador personal, el hacktivista realizaba continuas peticiones a una misma página web. Era similar a congregar en la puerta de un banco a 200.000 personas", explica el hacktivista Pablo Garaizar.
Aunque aquellas manifestaciones puedan verse como bombardeos, Garaizar aclara: "No eran más que sentadas virtuales hechas con medios tecnológicos sencillos, al alcance de cualquiera que desease sumarse. Sus razones y modos están muy lejos de las "botnets" de las cibermafias, cuyo abuso destruye la libertad de la red y propicia la adopción de medidas cada vez más restrictivas".
Manel Medina puntualiza: "Se puede cortar una carretera con un camión o con personas sentadas en el asfalto, pero el resultado es el mismo: que usuarios legítimos de la infraestructura no la podrán usar, con lo que estamos dañando a los ciudadanos y no al portal, que incluso puede salir beneficiado, desarrollando en el futuro mejores mecanismos de seguridad".
Medina propone distinguir dos corrientes de activismo cibernético: "Los pacifistas, con acciones controladas "manualmente", y los guerrilleros, con acciones realizadas por comandos autónomos ("bots") potencialmente incontrolables. Estos podrían llamarse "cracktivistas" y usarían "armas de destrucción masiva"".
Garaizar añade a esta distinción: "Los hacktivistas no pretenden vencer, sino convencer, se centran en la batalla ideológica, su objetivo no es tumbar un servidor sino llegar a las mentes de quienes asisten a sus acciones. El cracktivista utiliza a las personas y sus ordenadores como meros fines para incrementar su poder e imponer sus criterios".
(*) Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.
El retorno del virus extorsionador
Un antiguo malware que ha sido actualizado, ha logrado nuevas víctimas, obteniendo alguna repercusión en medios de prensa. Las soluciones disponibles para quienes hayan caído en su trampa, son pocas y claras.
ENCICLOPEDIA VIRUS
Esta amenaza difiere de otras existentes en Internet, porque no interfiere en el funcionamiento del ordenador, no borra archivos y tampoco espía al usuario para robar sus contraseñas.
Simplemente busca archivos de uso común y codifica la carpeta donde se encuentren, dejando una nota. La misma advierte que si se desean decodificar los ficheros, deberá depositarse una suma de dinero en una cuenta bancaria.
Según Mercè Molist, este tipo de amenazas está basada en el concepto de un antiguo criptovirus, cuya teoría surgió en 1996. En el año 2005 un malware que se valía de esas características fue liberado.
En su versión anterior el malware utilizaba un algoritmo sencillo, el cual permitía tras una breve investigación recuperar la información sin perder nada. La nueva versión ha sido diseñada para usar una codificación mucho más avanzada, basada en el algoritmo RSA 1024.
Los expertos afirman que precisarían cientos de ordenadores trabajando juntos durante meses para lograr descifrar la clave utilizada.
Agregan además que no sería provechoso ni práctico, debido a que al delincuente le toma solamente unos minutos generar varias claves y la decodificación consume demasiado tiempo para una sola clave.
"La mejor protección es detenerlo antes de que infecte el ordenador." nos dice Josep Albors, Jefe Técnico de Ontinet.com.
"Haber realizado un respaldo frecuente de los datos más importantes de nuestro disco duro, es la salvación por si caemos en este desafortunado problema," agrega Albors.
Una vez que los archivos han sido codificados, las opciones que quedan son muy pocas, ya que los mismos no pueden ser abiertos o trabajados por las aplicaciones.
Si una víctima considera que sus datos son muy valiosos y quiere pagar el rescate, debería considerar si realmente vale el riesgo. No hay ninguna seguridad de que el delincuente envíe la clave real, o directamente tal vez no lo haga y solicite más dinero.
Pagar el rescate nunca es una opción recomendada, ya que se terminaría siendo una víctima constante de extorsión, además de otorgarle una victoria al delincuente.
Se recomienda contar con un antivirus actualizado, antes de procesar el respaldo o ingresar nuevos datos en el ordenador.
Los delitos informáticos no son anónimos
Un hombre en Florida, Estados Unidos, ha sido condenado a más de 3 años de prisión y una multa de 65 mil dólares, por implantar software del tipo robot (bots) en los sistemas informáticos de una importante corporación, y por su utilización para instalar y propagar hadware.
VS ANTIVIRUS
Robert Matthew Bentley, testificó en marzo ante una corte norteamericana, admitiendo haber empleado desde octubre de 2005 hasta noviembre de 2006 la botnet creada con los equipos infectados, obteniendo beneficios a través de la compañía alemana Dollar Revenue, por desplegar ventanas con avisos a sus víctimas.
Fue llevado a la justicia gracias a la cooperación internacional entre organismos tales como el servicio secreto norteamericano (USS), la unidad de delincuencia informática de la policía metropolitana del Reino Unido (CCU), y la empresa de seguridad Sophos, después que fueron detectados los sistemas infectados en las redes europeas de la compañía Newell Rubbermaid, con sede en Inglaterra.
La fuerte condena impuesta ha sido ampliamente aplaudida por los participantes en su captura, teniendo en cuenta además que se trabajó de forma cooperativa en al menos dos países. Según uno de los detectives que participó en la captura, esto demuestra que cuando se logra este tipo de colaboración, no importa en que lugar del mundo esté el culpable de esta clase de delitos para que finalmente termine en la cárcel.
Lamentablemente, estos casos no ocurren con demasiada frecuencia. Sin embargo, existen ya acuerdos entre diferentes organismos internacionales y gobiernos de diferentes países, para colaborar de una manera más contundente.
Por ejemplo, en materia de pornografía infantil, si bien los delitos y las leyes son otras, también la cooperación mutua de las policías tecnológicas a través de Internet, han logrado resultados exitosos.
Casos recientes, han terminado con la prisión de ciudadanos uruguayos, que desde su país, distribuían pornografía a todo el mundo, gracias a las denuncias e investigaciones de la policía española, y a la rápida acción de los organismos uruguayos.
En otro terreno, piratas argentinos que atacaron importante sitios web en España y otros países de habla hispana, también fueron identificados mediante la colaboración internacional de las fuerzas del orden.
Cuando este tipo de acciones se empiecen a dar más fluidamente, muchos de los delincuentes informáticos dejarán de dormir tranquilamente pensando que son anónimos en Internet.
No hay comentarios:
Publicar un comentario