Ciencias

Lo que nos hace vulnerables en internet

Hacker Security Crime 2300772
Imagen: DP.

Jot Down para ExpressVPN

A punto estuvieron en 2016 los habitantes de Colonia, Alemania, de encontrarse en sus baños a un visitante inesperado. Las aguas residuales de su alcantarillado estaban regresando camino de sus hogares, dispuestas a rebosar por sus váteres. Un hacker conocido como «Spiderman» había tomado el control de la red de aguas fecales, empleando un programa informático especializado en el ataque al internet de las cosas, al que nos referiremos por su término técnico en inglés, IoT.

Trackers con los que salir a correr, cámaras de vigilancia, alarmas instaladas en casa, asistentes de voz, smartwatches. Ya empleamos de forma habitual dispositivos IoT, capaces de conectarse a internet para proporcionarnos un servicio. Se calcula que en 2021 habrán superado los veinte mil millones de unidades en funcionamiento, con una media de trece unidades por habitante en los Estados Unidos, entre nueve y cuatro en Europa, tres en Latinoamérica y al menos uno en África y Oriente Medio. Este uso masivo supone la mayor amenaza a nuestra seguridad y la de nuestros datos. Porque los dispositivos IoT no solo son mucho más vulnerables a los ataques de hackers que nuestros ordenadores, móviles o tabletas. Además cuando se conectan a ellos ponen en peligro la información privada que contienen.

Hasta los usuarios que no tienen ningún smart_loquesea están expuestos a través del dispositivo IoT más común: el router. Precisamente fue lo que empleó el hacker David Kyle, alias «Spiderman», para controlar el flujo de caca en Colonia, y para un ataque mucho más espectacular, que ya es un hito en la historia de internet: tumbar el acceso a la red de todo un país durante dos días enteros. Se imaginan. No solo que no puedan sentarse a ver su serie favorita en una plataforma de pago, ni que dejen de sacarles de quicio en el grupo de WhatsApp de padres con algún drama de primaria. También que, si no llevan suelto en la cartera, no podrán comprar comida con su tarjeta de crédito durante cuarenta y ocho horas. Ni ir al cajero.

Para poner freno a esta amenaza se ha popularizado el uso de las VPN, las redes privadas virtuales. Son capaces de crear una conexión segura a través de un medio no seguro como es internet. Lo que hacen es cifrar nuestras comunicaciones de extremo a extremo, de un modo similar a como lo hace el banco cuando pagamos con tarjeta de crédito o accedemos para operar con nuestras cuentas. Nuestros datos, al quedar cifrados, resultan un galimatías incomprensible para el hacker que intenta acceder a ellos. Es como ponerse una careta y una capucha para navegar por la red, volviéndose tan anónimo como el protagonista de V de Vendetta con su máscara de Guy Fawkes.

Solo que en su mítico ataque David Kyle no encontró una sola VPN, y eso ayudó mucho a su éxito. O a su fracaso, según se mire. Este hacker está considerado uno de los mayores cibercriminales del mundo, calificación solo equiparable, en opinión del juez del tribunal que juzga su caso, a su inteligencia. Creció en Egham, pueblo de Reino Unido que no supera los seiscientos habitantes, y donde se educó en la informática de forma autodidacta. Con poco más de veinte años vendía sus servicios como hacker en la Dark Web, esa parte de internet poco accesible en que se pueden comprar drogas, armas y contratar servicios criminales. Kyle cometió allí, a sus veintiséis años, el crimen que le haría célebre.

Fue contratado por una empresa perfectamente legal, la operadora de telefonía Cellcom. El trabajo consistía en desbancar del liderazgo en Liberia, África, a su principal competidora, Lonestar. Querían que el hacker dejara durante horas y días enteros sin servicio de móvil y sin acceso a internet a los clientes de Lonestar, hasta que, hartos de la pésima calidad de servicio, se pasaran a la competencia. O sea, a Cellcom. La forma en que Kyle logró llevar esto a cabo es un claro ejemplo de porqué resulta imprescindible navegar de forma segura mediante la implantación de una VPN.

Kyle organizó ataques DDoS a los servidores de Lonestar. Es decir, consiguió que miles de usuarios se conectaran a la vez a la compañía, en el mismo instante. El efecto es el mismo que triplicar la presión dentro de una tubería estrecha intentando meter más agua. La tubería revienta y el agua deja de salir por el grifo. En informática se denomina denegación de servicio: cuando trates de usar tu ADSL o tu móvil no funcionará, porque tu proveedor se ha colapsado. Y eso es lo que empezó a ocurrir a los clientes de Lonestar. Paradójicamente ellos eran, sin saberlo, el origen del problema, porque se estaban conectando de forma masiva a su proveedor, y todos en el mismo momento. «Spiderman» Kyle había tomado el control de sus aparatos.

Lo hizo empleando el programa de malware denominado Mirai#14. Mirai es un clásico de los ataques a dispositivos IoT, y el #14 da idea de las versiones y modificaciones con que se ha presentado. No solo ha creado ya brechas de seguridad en muchos países, se espera que reaparezca en el futuro. En este caso Mirai aprovechó la vulnerabilidad de los routers de Lonestar, y a través de ellos la de ordenadores, tabletas y móviles equipados con procesadores ARM. Una vez controlados, Kyle los ponía a trabajar de forma coordinada mediante lo que en informática se denomina una botnet. Un conjunto de equipos infectados que ejecutan tareas sin conocimiento del usuario.

La botnet funcionaba muy bien. No para Lonestar, desde luego, que perdía clientes y valor en bolsa de forma acelerada, pero sí para Kyle, a quien Cellcom ya había pagado diez mil libras por sus servicios. Hubiera seguido cobrando de ellos si el 3 de noviembre de 2016 no se hubiera salido todo de madre. Aquel día, no solo los routers de clientes Lonestar, sino los de todos los liberianos, se pusieron a trabajar automáticamente para el malware Mirai#14. Concretamente, conectando las webcams de todos los aparatos conectados vía wifi o cable. La totalidad de internautas de aquel país, con cuatro millones trescientos mil habitantes, se conectaron a la vez a los servidores enviando una señal de vídeo. Gracias a ese envío masivo de datos todos los servidores se colapsaron, y el acceso a internet quedó interrumpido dos días completos. La tubería había reventado, y el plan de Kyle había muerto de éxito.

La razón técnica para que el ataque botnet se descontrolara evidencia lo vulnerables que nos hacen los dispositivos IoT. Los routers liberianos eran modelos baratos, y al igual que las cámaras de vigilancia de bajo precio, o los smartwatches económicos, resultan mucho más fáciles de hackear. Pero es que además los usuarios, todavía con poca cultura de internet, no empleaban antivirus ni cortafuegos. Solo con que un porcentaje de ellos hubiera incorporado una VPN se habría evitado que el apagón fuera completo. Pero no sucedió.

¿Podría ocurrir algo así en Europa o América del Norte? La respuesta es no, y eso consiguió que no se prestara demasiada atención a la noticia en los medios occidentales. A diferencia de Liberia, usamos un gran número de proveedores de acceso, muchos modelos de routers diferentes, y tenemos reservado un gran caudal en el cable atlántico, la fibra óptica que permite transmitir la información en internet. Eso solo pasa en África, dijimos con ese prejuicio tan occidental. Hasta que Colonia estuvo a punto de contradecir su oloroso nombre.

David Kyle había tomado el control de novecientos mil routers de Deutsche Telecom usando la misma técnica que en Liberia. No hubiera sido suficiente para aislar Alemania de internet, desde luego, pero sí lo fue para impedir que Colonia evacuara, por unas angustiosas horas, sus aguas residuales. Y de paso para intentar desfalcar las cuentas de los bancos Lloyds Bank y Barclays. «Spiderman» fue detenido antes de que la cosa pasara a mayores, pero ni siquiera eso ha conseguido que prestemos suficiente atención al hecho que los dispositivos IoT nos rodean, queramos o no. Los contadores inteligentes que miden el consumo de electricidad en nuestras viviendas, o las cámaras de tráfico que pueden dar acceso al control de semáforos de las ciudades, ofrecen innumerables posibilidades a hackers como «Spiderman».

Para acabar de empeorar la situación, estamos a punto de saltar a la implantación masiva del 5G. Esta tecnología no va a cambiar radicalmente nuestros móviles ni a mejorar nuestra velocidad de acceso, por lo que no ha despertado aún el interés del gran público. Pero sí hará posible un gran caudal de datos, lo que va a permitir convertir en inteligentes —es un decir— a cada uno de los aparatos electrónicos que empleamos en la vida diaria. Desde el coche hasta la nevera, de tal modo que puedan conectarse a la red y enviar información al fabricante. Serán, como apuntábamos al inicio, veinte mil millones de oportunidades dentro de un par de años para que los hackers entren en ellos y los controlen. Es decir, para que nos roben datos importantes, como nuestros medios de pago, DNI o el código de la alarma de casa.

Podemos reírnos al pensar qué necesidad tenemos de que la nevera avise al supermercado de que se nos ha acabado el agua mineral para hacer cubitos, por otra parte imprescindibles en el gin-tonic o el negroni. Pero pensemos también que, no hace tanto tiempo, había gente afirmando que eso del teléfono móvil era un aparato que a ellos no les haría ninguna falta. Por qué preocuparse entonces por tener una VPN.

La razón es que además de proteger los IoTs, las VPN garantizan la navegación anónima. Los usuarios más avanzados ya las emplean para cosas tan aparentemente banales como acceder a su cuenta de Netflix o HBO cuando viajan a otro país. Para acceder a webs que te bloquean por tu ubicación geográfica, como ha pasado con muchas estadounidenses desde que la UE estableció su nueva directiva para la privacidad en internet. O simplemente, para que los buscadores no hagan tracking de sus búsquedas y pasen días enteros sometidos al bombardeo de anuncios relacionados.

De lo efectivas que son estas redes privadas virtuales nos habla el caso de Rusia. Su uso se ha disparado allí desde que en mayo de este año Vladimir Putin promulgara una ley para impedir que los ciudadanos rusos accedieran a contenidos de internet de forma libre. Bajo la excusa de proteger al país de ataques extranjeros, los ciudadanos rusos se encontraron de pronto con que les era imposible acceder a ciertos contenidos, como periódicos, o a usar Telegram. Cinco meses después, las autoridades rusas han comenzado a frenar y poner todo tipo de impedimentos a las VPN. Señal de que funcionan.

Claro que siempre podemos confiar en nuestro proveedor. No estamos en Liberia, así que a buen seguro nuestra compañía se preocupa de implementar todo eso del VPN en sus servidores. Quizá sí. De hecho en el año 2016 las compañías telefónicas seguían atentamente la evolución de Protraf Solutions, una start-up que garantizaba la eliminación de ataques DDoS. La compañía podría haberse disparado en bolsa o convertirse en un gigante desde la nada, como a menudo sucede con las tecnológicas. Hasta que se descubrió que sus dos CEO, un par de veinteañeros de éxito, eran los creadores del malware Mirai, versión 1.0. Cómo no iban a proteger de ataques de denegación de servicio, si habían escrito el código del programa que los provocaba, y que estaba especializado en dispositivos IoT.

A diario caminamos por las mismas calles mirando a nuestro alrededor, por si acaso, o nos movemos en medios de transporte atentos a los carteristas. No suele pasarnos nada, pero sabemos pese a ello que no es un medio completamente seguro. Internet es lo mismo, y no será segura hasta que todos los usuarios cobremos conciencia de ello. De momento nuestra propia inconsciencia es la mayor vulnerabilidad a la que estamos sometidos.

SUSCRIPCIÓN MENSUAL

5mes
Ayudas a mantener Jot Down independiente
Acceso gratuito a libros y revistas en PDF
Descarga los artículos en PDF
Guarda tus artículos favoritos
Navegación rápida y sin publicidad
 
 

SUSCRIPCIÓN ANUAL

35año
Ayudas a mantener Jot Down independiente
Acceso gratuito a libros y revistas en PDF
Descarga los artículos en PDF
Guarda tus artículos favoritos
Navegación rápida y sin publicidad
 
 

SUSCRIPCIÓN ANUAL + FILMIN

85año
Ayudas a mantener Jot Down independiente
1 AÑO DE FILMIN
Acceso gratuito a libros y revistas en PDF
Descarga los artículos en PDF
Guarda tus artículos favoritos
Navegación rápida y sin publicidad
 

11 Comentarios

  1. Muy interesante, pero el hecho de que los usuarios finales usaran VPN no habría servido de nada en un ataque de este tipo (denegación de servicio).

    Por otro lado es importante saber que tipo de registros guarda el proveedor de la VPN.

    El póntelo, pónselo de la vida moderna, casi.

    • Hola, Jaume. Gracias por el comentario. En cuanto si el VPN hubiera evitado el DDoS en Liberia, sí y no. Hoy muchos proveedores de VPN (no todos) incorporan en su servidor protección contra ataques DDoS. ¿Lo tenían en 2016, y antes en 2014, cuando Mirai comenzó a tener éxito en sus ataques? Creo que no.

  2. Blackfoot

    Yo, hace poco que he empezado a interesarme en el asunto de las VPN y más después de ver lo que está sucediendo en España con esa productora alemana que se ha dedicado a extorsionar a internautas que se habían bajado capítulos de su serie estrella (Ash vs. Evil Dead). Es un caso que me tiene intrigado, porque al comienzo solo afectó a los clientes de la empresa Euskalnet y ya presumen de haber logrado que Telefónica, y próximamente Orange y Vodafone, les cedan los datos de sus clientes para cotejar IP’s y dar con los «delincuentes». No entiendo cómo lo están logrando, las empresas están vulnerando de ese modo la protección de datos, cosa que les podría acarrear serias consecuencias y, sin embargo, se han bajado los pantalones ante esa productora. Se deben estar aprovechando de algún vacío legal, si no, no me lo explico (si alguien sabe cómo lo están logrando, agradecería que me lo explicasen). El caso es que aunque haberlas haylas, las VPN gratuítas (al menos hasta donde he podido ver e informarme, de nuevo, que alguien me corrija si me equivoco), no sirven para nada ya que todo son limitaciones de conectividad, caídas constantes y otras lindezas. Y las de pago, no todas prometen poder proteger tu privacidad 100% a causa de las normativas de cada país sino que suelen ser caras y de renovación anual de por vida si deseas seguir usándola. Yo creo que las mismas compañías telefónicas deberían proteger a sus usuarios sin más ofreciendo gratis estos servicios o a precios simbólicos para clientes. Por ahora, me conformaré con lo que tengo y rezaré para que mi router no termine en manos de un ciberchorizo.

    • Hola, Blackfoot. Gracias por el comentario. El caso del que hablas está basado en la nueva regulación de copyrigth de la UE. Alemania ha sido muy agresiva a la hora de aprovecharla, las productoras alemanas te avisan por carta, y puede caerte una multa de hasta 1.000€ por descargas ilegales. Pueden extender su acción a España, y lo han hecho. La directiva UE prevalece sobre la Ley de Protección de Datos, así que las operadores deben dar el IP del cliente que descargó. En cuanto a las VPN, sí reducen la velocidad de conexión, y si lo que quieres es proteger tu privacidad debes usarlas en combinación con el navegador Tor, que también reduce la velocidad. Los routers: toda persona que tenga uno de más de dos años debería comprobar online si el fabricante permite actualizar su firmware. Es decir, si ha detectado que el aparato es susceptible a ataques como el que cuento en el artículo, y ha modificado el programa para evitarlo.

      • Blackfoot

        Gracias por todas tus aclaraciones, ahora entiendo finalmente el porqué de todo esto, es increíble. Respecto a lo del firmware, es curioso que lo comentes ya que llevo con Orange desde junio de 2017 y el router, uno de esos famoso Livebox, no ha actualizado el firmware desde entonces. En la configuración desde navegador, tiene la opción «comprobar actualizaciones de firmware», y tras unos segundos buscando, siempre finaliza con la frasecita clásica: «Su firmware está actualizado a la versión más reciente», si por reciente entendemos dos años desde que yo lo tengo que seguro que son más los que tiene ese modelo. El tema de las VPN la verdad es que es un terreno farragoso y hasta cierto punto complicado; más o menos deduzco por tu comentario que aún usándolas ni tan siquiera con un navegador standard tipo Chrome (el que yo uso, Firefox siempre me ha parecido muy lento y pesado) sirven de mucho, y entrar en el terreno de Tor me produce un poco de desconfianza: No es por el tema de las «deep web» y todas esas cosas chungas que siempre cuentan en los medios, sino porque no sé… no me inspira confianza más allá del tema de la privacidad, quizás sean simplemente prejucios, tengo que informarme sobre el tema de todos modos. Un fuerte abrazo.

    • Hola Blackfoot, las operadoras no se han bajado los pantalones ante la productora ni se han aprovechado de ningún vacío legal. La productora fue a un juez con unas supuestas pruebas de descargas y el juez fue quien envió la orden a las operadoras de dar esa información. Ante el requerimiento de un juez, una operadora no puede hacer otra cosa, está obligada por ley. Realmente habría que preguntarse por qué los jueces han aprobado eso y bajo qué argumentos, realmente el que se bajó los pantalones sería el juez, pero el proceso es totalmente legal visto a grandes rasgos.

  3. Guy Fawkes, not Guy Fakes

  4. Sandro Lenart

    «se descubrió que sus dos CEO, un par de veinteañeros de éxito, eran los creadores del malware Mirai, versión 1.0. Cómo no iban a proteger de ataques de denegación de servicio, si habían escrito el código del programa que los provocaba» Eso me recuerda al conocido episodio «Kaspersky Labs vs Desarrolladores de virus con sus respectivos anti» :)

  5. Pregunta de uno que sabe poco y nada de tecnologías: visto la impunidad con la cual trabajan los hacker, supongo que ese famoso IP, que sería el lugar físico de donde disparan esos ataques, de consecuencia UBICABLES, no sirve para nada? también hay maneras de disfrazarlo? Gracias. Y muy buen artículo.

    • Hola, Eduardo, y gracias. El IP es como la matrícula de tu coche, lo llevas encima cuando usas internet, y sirve para localizar desde dónde navegas (la ciudad, y a través del router, cruzado con los datos de tu compañía de suministro de señal, la calle, portal y número de piso). Por supuesto se puede ocultar, todos los hackers lo ocultan, sobre todo cambiando el país y ciudad de origen desde el que navegan. Tú mismo lo puedes disfrazar sin saber nada de programación: si instalas un VPN y el navegador Tor tu IP será anónimo. Pero la clave para prevenir ataques no es tanto localizar la IP de origen como conocer el programa malware que ha usado el hacker. En casos como el de Spiderman, que había modificado Mirai, era imposible detectar su primer ataque. Hoy existen protecciones contra el software que usó, pero si otro hacker lo modifica en el futuro, pues volveremos a empezar.

  6. Con todo tan automatizado por internet es para asustarse. El otro día se cayó Google y paró el mundo, no funcionaba ni el GPS de muchos coches a través de Maps…
    Miedo me da que alguien como ese «Spiderman» de Colonia pueda introducirse en la domótica de una casa y dejarte sin calefacción a no ser que pagues una cantidad de dinero.
    Parece todo muy Black Mirror!

Responder a martinst Cancel

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.