La imagen del “hacker” como un fanático de la tecnología, tipificado en series televisivas y películas como un pelilargo de anteojos, que se deleita tratando de violar sistemas informáticos con el único objetivo de demostrar sus conocimientos técnicos, es algo del pasado. Hoy el grado de sofisticación y desarrollo de la actividad delictiva a través de Internet, computadoras y teléfonos es tal que estos delincuentes realizan una especie de MBA (sigla en inglés por maestría en administración de negocios) para realizar sus negocios en el cibercrimen, que los acerca más a los ejecutivos corporativos que al ambiente del hampa informal.
Antes de seguir, una distinción semántica: en la actualidad se usa la palabra “hacker” de forma corriente para referirse mayormente a los criminales informáticos, debido a su utilización masiva por parte de los medios de comunicación. Este uso parcialmente incorrecto del término, que originalmente se relacionaba a gente apasionada por la seguridad informática, se ha vuelto tan predominante que, en general, un gran segmento de la población no es consciente de que existen diferentes significados.
En una entrevista (realizada por el sistema de telepresencia entre Buenos Aires y Santiago de Chile), Ricardo Rivera, manager de desarrollo de negocio de seguridad y movilidad de Cisco para el Cono Sur, describió desde el país trasandino cómo es hoy la matriz de crecimiento y participación de los cibercriminales. Para ello, en esta compañía, el mayor fabricante mundial de equipos de telecomunicaciones como routers, switches y hubs, se trazó la Matriz de Boston Consulting Group, un método gráfico de análisis de cartera de negocios desarrollado por esa consultoría. Según Rivera, los “hackers” aplican también esta herramienta de análisis estratégico, en la planificación de sus actividades, según se desprende de la evolución y el armado de sus negocios.
Sobre “perros” y “vacas lecheras”
En esta matriz se identifican cuatro cuadros con símbolos: “Estrella”, con gran crecimiento y gran participación de mercado. “Incógnita”, con gran crecimiento y poca participación de mercado. “Vaca lechera”, con poco crecimiento y gran participación de mercado. Y “perro”, con poco crecimiento y participación de mercado.
“En esta matriz del cibercrimen no todos los ataques están relacionados con el dinero, pero éste es el gran motivador”, dijo Rivera, quien explicó que en Cisco evaluaron proyectos de los “hackers” a la luz de este método. "Los delincuentes han hecho un MBA para el negocio del cibercrimen", afirmó.
Las actividades que ingresan en el cuadro del “perro”, con áreas de negocio con baja rentabilidad, son los ataques distribuidos de denegación de servicio (DDoS, sigla en inglés) por los cuales se consigue “caer” una página o un portal web; la infección y robo de información a través de la mensajería instantánea y las estafas virtuales, como el phishing. Estas actividades se ven mitigadas por las actuales herramientas de seguridad informática, “aunque no van a desaparecer”, dijo Rivera.
¿Cuáles son las “vacas lecheras” de los “hackers”? Es decir, aquellas áreas de negocio que servirán para generar el efectivo necesario para crear nuevas estrellas. En Cisco identificaron varias actividades con las cuales los cibercriminales crean ingreso en forma masiva a través de muchos ataques de pequeña escala.
Por ejemplo, en este cuadro ingresa el fraude del clic (sistemas de pago por clic cuando se intenta engañar al sistema generando clics falsos, obteniendo así sumas de dinero). Otra actividad es el spam (correo basura) farmacéutico, con ofertas de Viagra u otros remedios. El “spyware”, los programas espías que se instalan en forma furtiva en una computadora para recopilar información sobre las actividades realizadas en ella, también es una “vaca lechera”, al igual que el “scareware”, la amenaza que busca descargar un falso antivirus en la computadora para infectarla.
De acuerdo a Rivera, en esta categoría también ingresan los ataques basados en actores de confianza. Por ejemplo, falsos usuarios de Facebook que se contactan con cónyuges de empresarios o ejecutivos y les venden información falsa y trucada sobre supuestas infidelidades de su pareja. Una vez que la víctima “pica” el anzuelo y solicita más información, el delincuente le pide cifras pequeñas, de unos 100 dólares.
Redes sociales
En el cuadro de las “incógnitas”, con un gran crecimiento y poca participación de mercado, comienzan a aparecer las redes sociales como Facebook, Twitter y MySpace, las grandes estrellas actuales del firmamento virtual. El ejemplo perfecto de esta categoría es Koobface, un anagrama de Facebook ("face" y "book" con el orden cambiado. Se trata de un gusano informático que ataca a usuarios de las redes sociales Facebook, MySpace, hi5, Bebo, Friendster y Twitter. Koobface intenta, luego de una infección exitosa, obtener información sensible de las víctimas, como números de tarjetas de crédito. Los delincuentes realizan fraudes y robos bancarios con esos datos.
¿Cómo se disemina este virus? A través de un mensaje mediante Facebook a los contactos que son “amigos” de la persona cuya computadora fue infectada. El mensaje contiene un asunto inocuo como (en inglés) "Paris Hilton Tosses Dwarf On The Street", o "My home video :)" seguido de un link. Después de recibido, el mensaje redirecciona al receptor a un sitio externo no afiliado con Facebook, donde se muestra una supuesta actualización del reproductor Flash de Adobe. Si el archivo es descargado y ejecutado, la computadora será infectada con Koobface. El virus luego comanda las actividades de navegación, dirigiendo a los usuarios a sitios web contaminados cuando intentan acceder a motores de búsqueda como Google, Yahoo o Bing.
En este cuadrante ingresan figuras de carne y hueso, las “mulas”. Son personas que reciben los montos robados a partir de los datos conseguidos por los delincuentes gracias a Koobface. Estas “mulas” transfieren luego los montos depositados en sus cuentas bancarias hacia otros destinos, como Ucrania. Se las reclutan a través de ofertas de trabajo hogareño en las casas. “Por ejemplo, les transfieren 10 mil dólares y estos lavadores de dinero se quedan con 1.000 dólares”, dijo Rivera, quien advirtió que esta actividad “está en crecimiento”, debido a que las transferencias vía web son difíciles de rastrear.
Un Dios de los robos bancarios
Las actividades de los hackers que ingresan en el cuadro de las “estrellas” son fraudes bancarios sofisticados. El ejemplo clásico en esta categoría es el troyano Zeus. Un troyano es un software malicioso que bajo una apariencia inofensiva se ejecuta de manera oculta en el sistema y permite el acceso remoto de un usuario no autorizado al sistema. El término viene de la historia del Caballo de Troya en la mitología griega, al igual que el Zeus.
Zeus es una familia de troyanos financieros de alta especialización orientados al robo de credenciales (claves y contraseñas de clientes bancarios). Es tal su desarrollo que ya se ofrece en paquetes por 700 dólares, para construir el troyano a medida. Este software intercepta credenciales en cualquier puerto de comunicación por Internet, y hasta genera capturas de pantalla del escritorio de la máquina infectada, por citar algunos ejemplos.
Zeus incorpora una lista de direcciones que, una vez visitadas por la víctima, disparan el proceso de apropiación ilegítima de las credenciales, enviándolas en tiempo real al servidor de destino. También tiene capacidad para inyectar código HTML, superponiendo falsos formularios de autenticación a los legítimos. Con el nombre del dios griego también se identifica una red de computadoras infectadas (botnet) que sólo en Estados Unidos cuenta con más de 3,5 millones de máquinas infectadas por esta familia de troyanos. Zeus utiliza algunas técnicas para evadir la detección de los antivirus, por lo que es difícil su tratamiento. Rivera dijo que sólo en los Estados Unidos se cometieron robos a través de Zeus por 10 millones de dólares “en pocas horas”.
El ejecutivo de Cisco se refirió el siguiente caso: el año pasado, cibercriminales con base en Ucrania se robaron 415.000 dólares de las arcas del condado de Bullitt, en el estado de Kentucky. Los ladrones contaron con la ayuda de más de dos docenas de conspiradores en los EEUU, y también de una variante de Zeus capaz de vencer las medidas de seguridad en línea que tienen muchos bancos.
El abogado del condado de Bullitt, Walt Sholar, dijo que el problema se inició el 22 de junio, cuando alguien comenzó a hacer transferencias no autorizadas de 10.000 dólares, o menos, de los sueldos a cuentas perteneciente a al menos 25 individuos a lo largo del país, algunos de los cuales recibieron varios pagos. El 29 de junio, el banco del condado se dio cuenta que algo andaba mal, y comenzó a pedir a los bancos que recibían esas transferencias que la empezaran a revertir, dijo Sholar. “Nuestro banco nos dijo que para el jueves sabrían cuantas de esas transacciones podrían ser revertidas”, explicó Sholar. “Nos dijeron que pensaban que tendríamos algo del dinero de vuelta, solo que no estaban seguros de cuanto”. Sholar explicó que las transferencias no autorizadas parecen haber sido facilitadas por “alguna clase de virus de computadora”. El resto de esta historia puede encontrarla en este blog de The Washington Post, http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html?wprss=securityfix.
¿Cómo se pueden prevenir estas actividades delictivas? Rivera fue concluyente: con la educación del usuario de computadoras y teléfonos, para que tome a la seguridad como algo propio y personal. Puede leer sobre estas precauciones en esta nota de iProfesional.com publicada este jueves (http://tecnologia.iprofesional.com/notas/93222-Que-debe-tener-en-cuenta-este-ano-para-cuidar-la-seguridad-de-su-PC-.html).
En el caso de las organizaciones, como empresas y oficinas estatales, el ejecutivo de Cisco recomendó mantener las defensas enfocadas a prevenir las actividades englobadas en la categoría de las “vacas lecheras”; evaluar las prácticas para chequear la identidad de los usuarios de las redes internas y externas de la compañía; y desarrollar una arquitectura de seguridad para los dispositivos móviles, como las notebooks, netbooks y teléfonos inteligentes, y las computadoras hogareñas de los ejecutivos y empleados que acceden a la empresa a través de Internet.
