Los cazarrecompensas de la nueva era no persiguen ya a asesinos, ladrones o terroristas. Persiguen bugs y vulnerabilidades. Los mayores expertos del mundo en ciberseguridad comienzan a ser ya codiciados por todo tipo de empresas que saben que su dependencia de la tecnología los hace más vulnerables. Si alguien puede encontrar un fallo para corregirlo antes de que lo aprovechen los chicos malos, son esos expertos.

Los cazarrecompensas de bugs informáticos se han convertido en tabla de salvación de muchas empresas que por fin comienzan a plantear esa faceta como parte integral de su estrategia de seguridad. Sus sistemas son analizados por estos hackers de "sombrero blanco" que encuentran fallos críticos y reciben recompensas que pueden llegar a los 100.000 dólares o más por ese trabajo. Ser un cazarrecompensas digital no es fácil, pero empieza a ser muy, muy rentable.

Por favor, caza ese bug por mí

En agosto de 2016 Ivan Krstic, responsable de ingeniería y arquitectura y seguridad de Apple, anunciaba algo especial. Su empresa iniciaba su programa de cazarrecompensas de bugs informáticos. Más vale tarde que nunca, pensarían muchos: la celebérrima compañía con sede en Cupertino se había resistido durante años a algo así, pero al fin lo hacía, y con premios de lo más jugosos que ascendían hasta los 200.000 dólares para los descubrimientos más importantes.

Como explicaba Krstic durante aquel evento, "cada vez es más difícil encontrar algunos de los tipos de vulnerabilidad más críticos". Este experto reconocía así la labor de miles de profesionales del segmento de la seguridad que llevan años colaborando con las empresas y sobre todo con los usuarios. Esos expertos no curioseaban para sacar provecho como los ciberdelincuentes y los crackers, sino para aprender y ayudar a que las empresas corrigiesen esos errores.

Apple es la última de las grandes en seguir esa tendencia. Microsoft ha llegado a ofrecer 100.000 dólares por la detección de errores en Windows 10, mientras que Facebook y Twitter también han concedido importantes recompensas por esos procesos en los últimos años. De hecho la empresa creada por Mark Zuckerberg ya llevaba en 2013 más de un millón de dólares pagados en distintas recompensas, y su página web WhiteHat es uno de los ejemplos clásicos del funcionamiento de estos programas. Twitter reconocía el año pasado haber pagado más de 300.000 dólares en su programa al respecto, y otras muchas empresas pagan en dinero... o en millas de vuelo.

En Xataka hemos querido indagar sobre este fenómeno que está creciendo en el mundo de la ciberseguridad y que está demostrando lo relevante que es —y cada vez más— el análisis de sistemas de grandes y pequeñas empresas en los que puede haber todo tipo de problemas de seguridad. Las empresas hacen sus propios esfuerzos, desde luego, pero los cazarrecompensas de bugs ofrecen una alternativa cada vez más valiosa, algo que demuestran las declaraciones de dos profesionales españoles con los que hemos podido hablar para la realización de este texto.

Nuestros expertos

Para la realización de este artículo hemos tenido el privilegio de contar con dos expertos en el campo de la seguridad informática que llevan ya muchos años relacionados con esa singular rama de la investigación de seguridad.

Borja Berástegui, a la izquierda, y Omar Benbouazza, a la derecha.

Borja Barastegui (@BBerastegui) trabaja como Security Engineer en el equipo de seguridad ofensiva de King —sí, esa King—, pero además es consultor de seguridad y pentester en relé. En esta última, nos explica, está desarrollando una solución para empresas que automatiza parte de lo que ya hacen los bug bounties: descubrir potenciales agujeros de seguridad.

Por su parte Omar Benbouazza (@omarbv) es un ingeniero de seguridad que lleva más de 10 años trabajando para empresas como Microsoft, Nokia o Basware, y que además es co-organizador del congreso de seguridad RootedCON. Ha estado implicado en puestos para dar respuesta a incidentes y gestión de Bug Bounty en Nokia, así como en el análisis de vulnerabilidades en Microsoft.

¿Cómo se convierte uno en cazarecompensas de bugs?

El descubrimiento de vulnerabilidades en todo tipo de sistemas informáticos es parte integral del trabajo de muchos expertos en ciberseguridad. De hecho es casi más una pasión que un trabajo, y lo demuestra el hecho de que muchos de esos expertos lo hacen más por afición que por devoción.

Así lo indicaba Borja Berástegui, que explicaba que "Encontrar vulnerabilidades y reportarlas a las empresas era algo que hacia mucha gente en nuestro mundillo, y la gran mayoría de las veces, era solo por reconocimiento o por 'buena fe'".

Si alguien quiere iniciarse en este tema, nos apunta, su consejo es "leer. Mucho. Pero mucho, MUCHO. No puedes pensar en cómo saltarte la seguridad de un sistema si no sabes como funciona. De hecho, cuanto mejor sepas como es su funcionamiento "normal", más fácil te será pensar en 'Si normalmente este dato pasa por aquí y por aquí... ¿qué ocurrirá si cambio esto otro?'". Para este experto en seguridad este tipo de proceso es "terriblemente creativo. Tienes que pensar no sólo en las maneras de "hacer algo", sino en las maneras en las que se supone que "no puedes" hacer algo".

Para Omar Benbouazza esa curiosidad y esas ganas de aprender "hicieron que empezase pronto a buscar vulnerabilidades o agujeros de seguridad, simplemente por aprendizaje". Tras aprender con objetivos "más importantes" confiesa que se planteó que quería "ayudar a la comunidad e informar sobre los agujeros que encontraba. Antes no había Bug Bounties, se reportaba directamente a la empresa, y si tenías suerte te respondían y te mencionaban en alguna página de agradecimientos".

Aquella afición que según Berástegui es "la mejor manera de aprender" acabó convirtiéndose en parte integral de su trabajo, y como él dice, "hay empresas que directamente te dicen que van a recompensarte por encontrarles vulnerabilidades, y plataformas como HackerOne, BugCrowd, Yogosha, SynAck... te ofrecen maneras de contactar con ellas en el proceso".

No, los cazarrecompensas de fallos de seguridad no tienen este aspecto.

Y es que como nos decía Berástegui, "la seguridad ha sufrido un boom" debido al crecimiento exponencial en el uso de tecnología. "Tu negocio se basa en la tecnología, y por lo tanto, securizar tu negocio es algo crítico". Todos los profesionales deben plantearse la pregunta de "¿qué ocurre si alguien accede a mis correos, ficheros, equipos, bases de datos y los borra, inutiliza o vende?. ¿Qué va a pasar en ese caso?". Para este experto la respuesta era evidente, y de hecho, confesaba, "no he conocido actualmente ni a un solo negocio ​que no se le pongan los pelos de punta al pensar en alguna de estas situaciones".

Para Benbouazza el proceso fue similar, y confiesa que tras reportar vulnerabilidades bastante importantes a WhatsApp, Twitter o Apple acabó "montando un Bug Bounty basado en la publicación responsable", con premios según la relevancia del fallo descubierto. Ese trabajo acabó desembocando en su labor en Microsoft, donde "tuve la oportunidad de trabajar para el equipo de MSVR (Microsoft Vulnerability Research), donde nos encargábamos de analizar y buscar agujeros en productos de otras empresas".

Hoy en día Benbouazza asesora a la empresa francesa Yogosha, dedicada a montar y ayudar a empresas a establecer Bug Bounties. En este tipo de plataformas "los investigadores o ninjas, como les llamamos, ayudan a buscar de forma responsable vulnerabilidades a los clientes que quieren utilizar esta forma de acercamiento a la comunidad hacker". Aquí hay un mensaje importante de Benbouazza, que defiende el talento fuera de las fronteras de Estados Unidos —está implicado en un nuevo proyecto al respecto llamado Be Real Talent—, donde suelen celebrarse algunas de las conferencias de seguridad y donde operan algunas de las compañías más importantes del sector:

Creo y apoyo a esta empresa, porque necesitamos un referente así en Europa. Las más potentes (BugCrowd, HackerOne, Synack) están localizadas en Estados Unidos, y tienen que cumplir con la Patriot Act, y no me gusta que las vulnerabilidades de empresas sean compartidas con autoridades de ningún país

Así se detectan los bugs informáticos

Para detectar esos problemas, afirma Berástegui, primero hay una fase de reconocimiento. "La frase esa de "Si tuviera ocho horas para cortar un árbol, emplearía seis para afilar el hacha" cobra todo el sentido en este tipo de actividades", destacaba. "Cuanto más sepas del objetivo, más fácil te será encontrar algo o decidir cual puede ser el mejor punto de entrada".

En aplicaciones web, por ejemplo, especialmente habituales en estos procesos, se recopila información y se hace uso de proxies como Burp, que permite controlar las peticiones y respuestas HTTP, así como ir guardando un "log" de todo lo que vamos recorriendo.

A partir de ahí se pueden hacer cosas como "elegir peticiones que lleven parámetros que nos llamen la atención, y probar respuestas de ésta al modificar los valores que se le envían en las peticiones". La idea, confiesa este experto, es forzar el sistema con situaciones que pueden no haberse tenido en cuenta al programarlo:

Por ejemplo: Si una petición lleva como parámetro un número, que ocurre si le ponemos un número negativo? y una letra? arroja errores con mas información? Si introduzco caracteres extraños? Cómo se muestran en la respuesta? Se está filtrando alguno en concreto?

Por último, errores en "lógica de negocio", por ejemplo: Que ocurre si compro 2 productos, y al darle al "Checkout" cambio el precio de uno de los productos por un número negativo? Se resta del total? > >

Benbouazza nos indicaba cómo las empresas que organizan estas Bug Bounties a menudo facilitan "una dirección IP, una URL y a veces incluso un usuario y contraseña.El resto depende del investigador, pero se suele recomendar realizar análisis manuales, para no dañar la plataforma, y porque de esta forma, al contrario que con herramientas de escaneo, hay menos falsos positivos. Básicamente", aclara, "se trata de hackear de una forma legal, pero siempre sujeto a las normas que imponga la empresa".

Si descubres una vulnerabilidad, ¿a quién se lo dices?

Imagina que empiezas a trabajar en este campo por afición y pones a una empresa X como objetivo de tu aprendizaje. No pretendes robar datos ni hacer nada malo: lo único que quieres es saber si serás capaz de encontrar una vulnerabilidad que luego además quieres comunicar a la empresa de forma pública con una 'divulgación pública' ('public disclosure') tradicional. ¿Cómo hacerlo sin tener un problema?

Berástegui deja claro que "a la gente no le suele gustar que le hurguen en las heridas, y sobretodo, que depende lo que estés haciendo, puede que sea ilegal. Los *public disclosures son complicados, y en función de la empresa y del fallo descubierto, puede que no sea fácil de manejar*".

De hecho intentar contactar con esa empresa con todo el tacto del mundo y la mejor de las intenciones podría no ser suficiente. Publicar lo que has encontrado será probablemente muy difícil, pero Berástegui propone una alternativa. "La manera más segura suele ser contactar con un intermediario, dependiendo del tipo de vulnerabilidad que encuentres, con ZDI, CERT, o alguna plataforma de Bug Bounties".

En el vídeo que acompaña a esta parte del texto se expone precisamente el tema durante la celebración de las conferencias de seguridad RootedCON en su edición de 2011, y como se puede comprobar en él, las experiencias no suelen ser muy positivas. Para Berástegui la situación es peligrosa:

En mi opinión, los public disclosures son delicados, y hay que dar la oportunidad a la empresa de solucionar el problema (aunque les lleve bastante tiempo), y sobretodo, no olvidar que no es lo mismo que Google "amenace" con un public disclosure, que tú, como "researcher" le "amenaces" a otra empresa con publicar (esto puede explotarte en la cara con mucha facilidad).

Benbouazza coincidía con esa percepción, y avisaba a los potenciales interesados en este ámbito: "Muchas empresas no quieren reconocer fallos o vulnerabilidades. A veces, algunos de ellos tienen cierta importancia y gravedad". Este tipo de procesos pueden tener consecuencias legales para el investigador, y como su colega profesional, Benbouazza recomienda "utilizar un intermediario como un CERT, por ejemplo INCIBE o CCN-CERT en España. Ellos facilitarán la comunicación entre la empresa afectada y el investigador".

Si a pesar de hacerlo por esa vía y la empresa ignora las peticiones de los CERT, afirma Benbouazza, "considero que el investigador tiene derecho a publicar la investigación" De hecho, indica este experto, lo mismo ocurre si la empresa niega que dicha vulnerabilidad lo sea realmente. "Hace no mucho tuve un incidente de estas características con una empresa que desarrolla un software de reconocimiento biométrico. Me negaron la mayor, y terminé publicando mi investigación".

¿Se puede vivir de esto? Pues sí

Borja Berástegui nos explicaba cómo la detección de fallos de seguridad se puede convertir en un trabajo a tiempo completo, algo que no es su caso. "Hay mucha gente que ya se ha especializado en bug-hunting (dedicándole todas las horas del día) y son muy rápidos encontrando y reportando vulnerabilidades, por lo que nos quitan muchas oportunidades a los mediocres :P".

Andrey Leonov ganó 40.000 dólares en enero de 2017 tras descubrir una importante vulnerabilidad en Facebook que permitía ejecutar código remoto a través de un fallo en ImageKagick, un célebre software Open Source. No es la primera vez que Facebook recompensaba generosamente un descubrimiento de este tipo.

Aún así, es posible compatibilizar esa labor con otras en el ámbito de la seguridad informática. Siempre puede ocurrir que "acabes encontrando cosas "duplicadas", es decir que ya se han reportado antes en bounties públicos", pero para evitar ese problema siempre se puede ocudir a plataformas privadas como Yogosha o SynAck en las que hay menos competencia aunque sea más difícil de entrar porque necesitas desde referencias hasta entrevistas técnicas.

Es algo que precisamente confirmaba Benbouazza, que afirmaba que en ciertas plataformas ganar dinero es "realmente difícil por la cantidad de investigadores que colaboran". En la plataforma en la que trabaja, Yogosha, indica que tienen un sistema distinto en el que cuentan con aquellos investigadores que consideran mejores y más profesionales. Eso hace que el número se reduzca, y que sea "bastante más fácil ganar dinero con nosotros. Solamente reclutamos por recomendación, y eso da garantías a los clientes, a la empresa y a los investigadores".

Para Berástegui lograr "cazar" alguna vulnerabilidad se inició como algo "divertido y desafiante", y aunque desde luego ese componente se mantiene, "el hecho de que haya recompensas ayuda". Como él mismo confesaba, "la parte del reto sigue siendo muy interesante", porque acabas pensando en alguna manera original y extraña de atacar al sistema: "lo normal la mayoría de las veces ya está arreglado".

Puede que en el futuro la cada vez más ambiciosa inteligencia artificial plantee retos a estos cazarrecompensas y les quite parte del trabajo, pero para Berástegui eso no será así: "las herramientas evolucionarán para ayudarnos a encontrar fallos, pero de la misma manera, las metodologías de ataque evolucionarán para saltarse esas detecciones. Es la historia del gato y el ratón".

Para Benbouazza la inteligencia artificial podría afectar al sector en el futuro, pero para él hay dudas importantes al respecto. "Hay que recordar que la inteligencia artificial no se hace sola... hay que programarla y alimentarla de bases de datos con fallos detectados previamente". Para él, sea como fuere, todo sería cuestión de adaptarse a ese futuro si se produce finalmente.

Imagina que vas alegremente a sacar dinero de un cajero automático. Metes tu tarjeta alegremente, tecleas tu PIN alegremente e introduces la cantidad a extraer del cajero. Puede que todo vaya bien y que tras terminar la operación te lleves tu tarjeta y tu dinero sin más. O puede que un ciberdelincuente te haya robado los datos. Alegremente, claro.

Eso es lo que muestran algunas fotos que ha publicado un experto en seguridad que nos habla de un ejemplo de skimmer, un falso hueco para las tarjetas de crédito y débito que se encarga de registrar toda la información, y que funciona junto a pequeñas cámaras que graban nuestros PIN mientras los introducimos. ¿Solución? Tirar un poco del skimmer para ver si es real y, cómo no, tapar la introducción del código secreto.

Cajeros manipulados para el fraude

En estas imágenes se puede ver cómo esa ranura con una cubierta de plástico parece perfectamente normal. Hasta que uno echa un buen vistazo y se da cuenta de que hay algo en la parte inferior derecha de la misma. Es un chip que precisamente se encarga de leer los datos de la tarjeta y la transacción.

¿Veis ese pequeño chip en la parte inferior derecha de la ranura? Ahí está la prueba de que estáis ante un cajero manipulado. Avisad a la sucursal cuanto antes.

Ese skimmer no actúa solo, y en ese cajero del que se habal en el cajero la zona de extracción del dinero también parece normal... pero si la examinamos un poco veremos un pequeño agujero en la parte superior derecha, muy escondido y detrás del cual (sorpresa) hay una cámara de botón embebida para capturar la introducción del PIN.

Esa falsa carcasa para la salida del dinero oculta una cámara para ir capturando los códigos PIN de los usuarios que acceden al cajero.

Estas fotos demuestran que este tipo de dispositivos para cometer fraude bancario están mucho más extendidos de lo que podría parecer. De hecho hay todo un arte de los skimmers y los mecanismos que capturan el PIN.

En este caso no solo hay cámaras que lo capturan, (por eso tapar esa introducción del PIN es tan importante) sino también keyloggers físicos como el de la imagen que se superpone al teclado real para ir capturando esos códigos. Así pues, antes de usar un cajero maltrátalo un poco. Tira de la ranura para insertar la tarjeta a ver si cede, mira si ves algún chip sospechoso en su interior, y no te olvides (insistimos) de tapar tu PIN.

Vía | KrebsOnSecurity
En Xataka | Cuidado con ese cajero automático: hackearlo es más fácil de lo que imaginas

Nuestro reciente análisis del Surface Laptop de Microsoft nos permitió comprobar no solo esa nueva apuesta hardware en una familia cada vez más nutrida, sino evaluar esa nueva versión de su sistema operativo llamada Windows 10 S.

En nuestras pruebas Windows 10 S nos pareció una alternativa poco recomendable sobre todo para los "viejos" usuarios de Windows. Demasiados compromisos y sacrificios para garantizar una seguridad que no es ni mucho menos completa: un reciente descubrimiento desvela cómo las macros de Word pueden poner en jaque a este SO.

Windows 10 S, "hackeado"

Lo comentaban en ZDNet, donde le pidieron a un experto en seguridad que evaluara Windows 10 S. Matthew Hickley, que trabaja en Hacker House, tardó apenas tres horas en lograr encontrar potenciales vulnerabilidades de seguridad, y acabó afirmando que "sinceramente, estoy sorprendido de que haya sido tan fácil".

Windows 10 S no solo restringe la instalación de aplicaciones a la tienda de Windows, sino que además deshabilita la ejecución de aplicaciones como la consola de comandos, las herramientas de scripting o el acceso a Powershell (y al subsistema Linux que permite ejecutar bash en Windows, por ejemplo).

Sin embargo, Hickley descubrió que podía crear un documento Word con macros que era malicioso y que le permitiría llevar a cabo un ataque de inyección de DLLs que le permitirían superar las restricciones de la tienda de aplicaciones.

A partir de ahí este experto pudo obtener privilegios de administrador para, por ejemplo, controlar el ordenador de forma remota, y aunque en Microsoft saben bien que garantizar una plataforma como esta al 100% es prácticamente imposible, su teórica apuesta por la seguridad en Windows 10 S se debilita con descubrimientos como este.

En Xataka | Windows 10 S y la "ipadización" de la tecnología: todo lo que perdemos por más control y seguridad

Conectarse a las redes WiFi públicas y gratuitas que nos rodean es tentador. Nos evitan tener que usar los datos móviles de nuestro contrato, pero los riesgos que asumimos al conectarnos a ellas son enormes.

La mayoría de usuarios utilizan este tipo de redes alegremente, pero como decimos al usarlas exponemos nuestros datos, nuestro tráfico y nuestra identidad de forma casi total. Puede haber graves consecuencias al conectarnos a una WiFi pública, pero afortunadamente hay formas de protegernos y seguir usando esas conexiones públicas y gratuitas.

Cuanto te conectas a una WiFi pública, te expones a todo esto

Estas redes gratuitas que solemos utilizar en aeropuertos, cafeterías, centros comerciales, restaurantes u hoteles nos dan acceso gratuito a internet, y basta con un par de clics para conectarnos a estas WiFi públicas. Localizaciones tan atractivas para los usuarios como los medios de transporte o puntos turísticos que nos invitan a conectarnos a sus redes WiFi gratuitas son cada vez más populares y numerosas.

En un ataque MitM el atacante es capaz de leer y modificar los mensajes entre dos usuarios o sistemas.

Cuando nos conectamos además solemos usarlas como si estuviéramos usando la red WiFi de casa o nuestra cuota de datos móviles: nos conectamos a nuestras redes de datos, leemos el correo, comprobamos nuestras cuentas bancarias o consultamos todo tipo de información.

Todas esas operaciones quedan expuestas en esas redes WiFi públicas, y lo están porque hay distintos tipos de ataques y riesgos de seguridad que amenazan esa privacidad y esa seguridad que ni siquiera tenemos en cuenta cuando nos conectamos a ellas. Los más destacados son los siguientes:

1. Ataques Man in the Middle (MitM): el ciberatacante puede lograr "colarse" en nuestras comunicaciones entre nuestro ordenador o móvil y el otro extremo de esas transferencias de datos, lo que básicamente hará que pueda "leer" todo los datos transmitidos entre ambos extremos.
2. Redes no cifradas: aunque en algunos casos esos puntos de acceso pueden haber sido configurados para cifrar las transferencias de datos de aquellos que se conectan, la mayoría de routers no tienen esa opción activada por defecto, lo que hace una vez más que nuestras comunicaciones puedan acabar siendo cotilleadas por ciberatacantes.
3. Distribución de malware: estas redes públicas también permiten que ciberatacantes que se infiltren en ellas puedan utilizarlas como medio para contagiar nuestros dispositivos con todo tipo de malware.
4. Snooping y sniffers: este tipo de técnicas permiten también infiltrarse en las transmisiones de datos que estamos realizando para capturar toda esa información y registrarla. Este tipo de herramientas hacen posible que un atacante pueda descubrir nuestras contraseñas y claves para entrar en redes sociales o realizar operaciones bancarias.
5. Redes WiFi públicas falsas: esa red WiFi que crees que es del hotel o restaurante en el que estás usándola podría no ser de ellos, sino que podría ser una red falsa que un ciberatacante hubiera puesto en marcha para, precisamente, infiltrarse en tus comunicaciones y lograr capturar todo tipo de datos de tu portátil o teléfono móvil.

Firesheep como ejemplo del peligro

Esas amenazas hacen que todo tipo de datos transmitidos durante esa comunicación mantenida en una red WiFi pública estén comprometidos. No solo los sitios web que visitamos, sino los correos electrónicos o lo que decimos en aplicaciones y webs de mensajería instantánea, con quién estamos comunicándonos, nuestra localización, fotos y otros ficheros que enviemos en esas sesiones.

Uno de los casos más célebres de los riesgos que entrañan estas redes ocurrió en 2010: fue entonces cuando descubrimos la extensión Firesheep para Firefox. Este componente iba un paso más allá en la captura de paquetes en una red pública, y permitía robarnos nuestras cuentas de Google, Facebook, Twitter o Flickr con un doble clic. Sin más.

Para lograr atajar aquel ataque se recomendaba acudir a la extensión HTTPS Everywhere, que permitía garantizar que las páginas que visitábamos estaban haciendo uso del protocolo HTTPS y activaban dicha versión (cuando aún era opcional) en lugar del protocolo convencional HTTP. La herramienta acabó teniendo una versión para Android llamada Faceniff que aprovechaba ese mismo problema, y que demostraba lo sencillo que era aprovechar vulnerabilidades en redes WiFi abiertas públicamente.

Consejos rápidos a la hora de usar redes WiFi públicas

Si por alguna razón necesitas usar esas redes WiFi y quieres tratar de evitar esos peligros, al menos puedes tomar algunas precauciones rápidas. Por ejemplo, la de no conectarte automáticamente a esas redes WiFi cada vez que tu dispositivo móvil o tu portátil las detecte. En Windows, por ejemplo, es importante indicar que esa conexión es a una red pública (y no de trabajo o doméstica) para evitar que nuestras carpetas y recursos compartidos puedan estar a disposición de otros usuarios de la red.

También es buena idea no usar aplicaciones móviles con información sensible si hay versiones web de esos servicios. En ese caso lo recomendable es acceder con un navegador a esos servicios —por ejemplo, la web de Facebook— para asegurarnos de que el protocolo utilizado en esa página es HTTPS antes de introducir nuestras credenciales.

Aun utilizando conexiones HTTPS, lo ideal es no hacer operaciones bancarias o consultar datos sensibles (por ejemplo de análisis médicos) si nos conectamos a esas redes WiFi. En esos casos siempre es mejor esperar a contar con una conexión de confianza (por ejemplo, la de nuestra cuota de datos móviles en redes 3G/4G) para acceder a tales servicios.

Tras utilizar esos servicios en la red pública, es también muy recomendable cerrar la sesión de los servicios utilizados para que no quede "residuo" alguno de nuestra conexión a esos sitios web. Desactivar los ficheros y carpetas compartidas es buena idea, y también es interesante desactivar la conectividad WiFi o Bluetooth cuando ya no las necesitemos.

Las VPNs, el mejor mecanismo de defensa al conectarte a una WiFi pública

Sin embargo todas esas medidas son pequeños parches para un problema que tiene una solución en las redes privadas virtuales o VPN. Este tipo de servicio nos ofrece una conexión virtual punto a punto que actúa como una especie de túnel privado entre ambos extremos de la comunicación, uno al que un ciberatacante difícilmente tendrá acceso.

A la hora de elegir una red privada virtual, eso sí, la oferta es tan amplia que puede confundir a los usuarios. Existen un buen número de proveedores de VPNs gratuitas, pero algunas de ellas se han visto sacudidas por el escándalo, como ocurrió con Hola, el servicio que vendía el ancho de banda de sus usuarios a terceros.

Es por tanto recomendable hacer uso de una VPN de pago que además garantice ciertas opciones: por ejemplo, que no haya registro de actividad de uso y tampoco registro de las conexiones o que se use un cifrado fuerte en las conexiones.

En esa lista de características también es relevante que el servicio disponga de cobertura global y un buen número de servidores a los que conectarse. De hecho, que no esté en países como Estados Unidos suele ser un plus para muchos por la actividad de la NSA. La posibilidad de pagar con bitcoin u otras criptomonedas para garantizar un mayor anonimato y el soporte de protocolos P2P es también llamativo para muchos usuarios de este tipo de conexiones.

Todos esos elementos ayudan a que nuestras sesiones sean mucho más seguras en cualquier escenario (incluido nuestro propio hogar o nuestra oficina), pero precisamente por ese cifrado y establecimiento de un canal privado es por lo que usar una VPN en nuestro móvil o portátil cuando nos conectamos a una WiFi pública es tan recomendable.

En Xataka | Guía de compras de VPN: nueve servicios a considerar para navegar de forma más segura

Los robos de datos personales se han convertido en algo tristemente rutinario en los últimos meses, pero frente ni siquiera los mastodónticos robos en Yahoo (500 millones de usuarios afectados primero, otros 1.000 millones después) se quedan pequeños frente a lo que ha pasado con Equifax, la entidad que monitoriza el historial crediticio de decenas de millones de ciudadanos de los Estados Unidos.

Hace unas horas se ha descubierto cómo una vulnerabilidad en su sitio web ha permitido a un grupo de ciberatacantes robar los datos personales de 143 millones de usuarios. No han robado solo una contraseña o una tarjeta de crédito, no. Han robado además números de la seguridad social o números de sus carnets de conducir (que tienen el mismo valor que el DNI en España, por ejemplo). Es la mayor amenaza de la historia a un potencial robo masivo de identidades.

La suplantación de identidad es la gran amenaza

La dimensión de este ciberataque es alarmante, y tal y como explicaba el analista de seguridad de Gartner Avivah Litan, "en una escala de uno a diez, esto es un 10 en términos de un robo de identidad potencial". Como este experto explicaba, las empresas que monitorizan los créditos en Estados Unidos tienen una cantidad de datos ingente sobre cada uno de sus clientes, porque esa información es la que permite determinar si a los ciudadanos norteamericanos se les concede o no un crédito para una casa, un coche o la simple obtención de una tarjeta de crédito.

La empresa, que descubrió el ciberataque el pasado 29 de julio no lo ha hecho público hasta hace unas horas. No ha dado razones por el retraso en esa comunicación, aunque como indican en el New York Times la razón podría ser que las propias autoridades de los EE.UU. no permitieran ese anuncio público para poder ir tras los responsables del ciberataque.

¿Otra razón probable? QUe sus propios responsables tuvieran tiempo de cubrirse las espaldas. Se ha descubierto que tres de los directivos de Equifax (entre los que está su Chief Financial Officer) vendieron acciones por valor de 1,8 millones de dólares justo después de que se descubriese la brecha de seguridad. La empresa ha indicado que ninguno de ellos se había enterado del ataque cuando tomaron esa decisión.

La empresa ha preparado el sitio web www.equifaxsecurity2017.com para que los afectados puedan comprobar si su información personal puede haber sido robada, aunque como indican en Ars Technica, ese sitio web se ha creado con una instalación estándar de WordPress, un certificado TLS que no se comporta de la forma debida y un dominio que ni siquiera pertenece directamente a Equifax y que por tanto podría ser considerado como phishing por todo tipo de herramientas de seguridad.

El peor robo de datos personales de la historia

Román Ramírez, co-organizador del evento de seguridad RootedCON, nos explicaba cómo este robo de datos personales ha activado todas las alarmas: "⁠⁠⁠Ya se habla de que es posiblemente uno de los peores sino el peor incidente de la historia".

Este experto nos explicaba cómo entre otras cosas esos datos pueden revelar datos médicos potencialmente comprometedores (que alguien esté registrado con un impago un tratamiento de VIH, por ejemplo), que se suman a esa amenaza de robo de identidad que podría ser utilizada para todo tipo de propósitos, no solo financieros.

De hecho, como comentaba Ramírez, Si tenemos en cuenta que los menores de edad y la gente que no tiene un historial crediticio (mayores de 75 años) sale de la ecuación, "esos 143 millones de personas representan más de la mitad de la población de Estados Unidos".

Mientras tanto en Equifax se lamentan por el ciberataque. Richard Smith, CEO de la empresa, indicaba que "esto es claramente un suceso decepcionante para nuestra compañía, y uno que ataca la esencia de quiénes somos y lo que hacemos. Quiero pedir disculpas a nuestros clientes y clientes empresariales por la preocupación y frustración que esto causa".

Según la empresa sus bases de datos con los informes crediticios no parecen haber sido vulneradas. En su análisis del problema han revelado que una vulnerabilidad en una de sus aplicaciones web fue la causante de que los ciberatacantes pudieran conseguir acceso a una ingente cantidad de datos.

Se estima que se obtuvieron 209.000 números de tarjetas de crédito y 182.000 "documentos de disputa" en los que sus clientes rellenan datos que pueden identificarles personalmente. Como explicaba Alex McGeorge, responsable de la firma de seguridad Immunity, "tu número de la seguridad social no cambia, así que estos datos van a ser vendidos en el mercado negro y mantendrán su valor durante mucho tiempo".

¿Cómo protegerse de este robo de datos masivo?

El sitio web puesto en marcha por Equifax permite comprobar si estás entre los afectados, pero no explica el alcance del problema a sus clientes, a los que no desvela cuántos de sus datos se han visto comprometidos. El problema no se reduce solo a los Estados Unidos: algunos ciudadanos de Canadá y el Reino Unido podrían haberse visto también implicados en ese robo masivo de datos.

Ese servicio se une a la oferta de Equifax que ahora ofrece un año de monitorización crediticia gratuita y un seguro contra el robo de identidad que todo residente en los Estados Unidos debería suscribir cuanto antes. No sería mala idea extender ese periodo gratuito si los afectados creen que sus datos pueden haber sido comprometido.

Otro de los consejos para los potenciales afectados es el de estar más atentos que nunca a su actividad financiera y a los movimientos de sus cuentas. Esos robos de identidad podrían usarse para conseguir créditos fraudulentos en nuestro nombre y suplantar esas identidades para lograr cambiar contraseñas de multitud de servicios.

Activar sistemas de autenticación en dos pasos pueden resultar de ayuda para los afectados, aunque si los atacantes logran muchos datos de sus víctimas ni siquiera esto podría ser suficiente. Las consecuencias podrían ser enormes, no a corto, sino a largo plazo.

En Xataka | Más de 5 mil millones de documentos y 229 empresas afectadas: así han sido los mayores robos de datos de la historia

Hace unos días hablábamos de cómo los responsables de The Pirate Bay habían decidido "esconder" un pequeño código JavaScript en su sitio web que hacía que sus visitantes, sin saberlo, minasen la criptomoneda Monero para ellos.

Ahora esa opción se ha descubierto también en las webs de Showtime, la cadena de CBS que contaba con un código muy similar en dos de sus sitios web y que también se dedicaba a usar los recursos de las máquinas de los usuarios para minar Monero, lo que provocaba que el consumo de la CPU subiese al menos hasta el 60% en los equipos afectados.

Hacking minero

El código también pertenecía a Coinhive, la empresa que proporciona estos programas a los interesados que tengan un sitio web en el que quieran insertar ese código de minado para los visitantes de dichos sitios web.

El consumo de CPU es notable hasta que uno deja de visitar el sitio web afectado por este tipo de código.

De momento no se sabe quién ha sido el responsable de la inserción de dicho código, pero lo cierto es que parece improbable que sean los propios responsables de Showtime los que lo hayan insertado: ya cobran a los usuarios por poder ver sus emisiones online, de modo que obligarles a minar Monero sin que lo sepan no parece demasiado lógico.

La elección de la criptomoneda Monero —actualmente 1 XMR equivale a 93 dólares— es interesante, sobre todo porque la principal ventaja que aporta es un especial protagonismo del anonimato de las transacciones.

La teoría que algunos están planteando es la de que algún hacker fue el responsable de integrar ese código en ambos sitios web para lograr rentabilizar esa intrusión sin que los usuarios ni la empresa se enteren. De hecho ya se han detectado botnets dedicadas a minar criptomonedas sin que los usuarios se enteren, y puede que Showtime haya sido simplemente una víctima más de esos ciberataques.

Lo usuarios y las empresas afectadas, no obstante, pueden acabar enterándose: el aumento de recursos al visitar uno de estos sitios aumenta de forma notable, de modo que si notas que tu PC o portátil se vuelve más lento o los tiempos de respuesta se alargan cuidado.

Vía | The Register En Xataka | 1,65 millones de PCs y servidores están ya minando criptomonedas para hackers sin que te enteres

El Ministerio del Interior de España ha informado a través del Cuerpo Nacional de Policía de un grave problema de seguridad en el certificado electrónico del DNI electrónico (DNIe). Eso ha provocado una reacción inmediata: se ha desactivado la funcionalidad de los certificados digitales de parte de los actuales DNIe.

EL problema se ha detectado tras descubrirse que las mismas vulnerabilidades se habían presentado en Estonia, donde este documento es parte integral de todo el funcionamiento de sus servicios y donde se han desactivado más de de 750.000 certificados digitales para evitar males mayores. A continuación te explicamos si estás afectado, cuál es el origen del problema y qué hacer para solucionarlo lo antes posible.

Cómo saber si tu DNI está afectado por el fallo de seguridad

Como indican los responsables de la Policía Nacional, los documentos nacionales de identidad afectados fueron expedidos a partir de abril de 2015. Para saber si nuestro DNIe está afectado tendremos que prestar atención a uno de los códigos de ese documento.

En concreto, al número que está bajo el llamado IDEPS o NUM SOPORT (según el tipo de DNI electrónico que tengamos en cada caso). En el comunicado oficial se especifica que "se comunica que los documentos cuyos certificados pudieran resultar afectados, son los que tienen número de soporte posterior al ASG160.000, que fueron expedidos a partir de abril de 2015".

Tu DNI sigue siendo válido como documento de identificación

Es importante destacar que aunque el certificado digital de estos DNIe queda desactivado como medida de seguridad, el DNIe sigue siento perfectamente válido como documento de identificación.

Eso quiere decir que si tenemos que realizar trámites administrativos como mercantiles o privados, el DNIe sigue manteniendo su validez, y lo mismo ocurre por ejemplo si lo utilizamos como documento de viaje cuando nos desplazamos a la práctica totalidad de los países de la Unión Europea.

¿Qué hacer si tu DNIe está entre los afectados?

La desactivación de estas funciones se mantendrán mientras se mejora la seguridad del DNI electrónico, y según la Policía Nacional este proceso "se hará en fechas próximas".

Este organismo indica además que cuando se encuentre disponible la actualización los ciudadanos españoles podrán actualizar los documentos "directamente en las Oficinas de Documentación".

No hay fechas concretas para poder acceder a la actualización, pero en el Cuerpo Nacional de Policía indican que en el momento que eso sea posible "se informará puntualmente". En caso de hacer un uso activo del certificado digital y estar afectado por el problema, lo más adecuado es solicitar la renovación del DNIe, ya que como se especifica entre las novedades de esa renovación:

En caso de sustracción, extravío, deterioro o mal funcionamiento del chip electrónico, deberá renovarlo lo antes posible, y obtendrá un nuevo documento con su validez total cuando queden menos de 90 días para su caducidad. En el caso que superase los 90 días, obtendrá uno nuevo con la validez anterior.

Los responsables de la Policía Nacional indican que para solicitar la cita previa que permite obtener o renovar tanto el DNI como el pasaporte podremos utilizar el sitio web Cita Previa eDNI-Pasaporte, mientras que el número de teléfono oficial para la tramitación de la cita es el 060.

El origen del problema

Como explicábamos hace unos días, la vulnerabilidad se encuentra en una librería ampliamente utilizada en este ámbito. Debido a este problema un atacante podría calcular la porción privada de una clave vulnerable usando tan solo la porción pública.

Eso daría lugar a que un atacante acabara pudiendo suplantar la personalidad de la víctima para descifrar datos sensibles, ocultar software malicioso en software firmado digitalmente o superar la protección basada en estos sistemas. Dicha librería software fue desarrollada por el fabricante alemán de chips Infineon, y según los estudios ha estado generando claves débiles desde al menos 2012.

Ese problema causó que el gobierno de Estonia indicara que más de 750.000 documentos de identidad electrónicos eran vulnerables a este ataque. Eso provocó la desactivación de los certificados digitales para evitar el abuso de esta vulnerabilidad, tal y como explicaba Kaspar Korjus, máximo responsable del departmento estonio de "Residencia electrónica" que gestiona estos documentos.

El primer ministro de Estonia, Jüri Ratas, explicaba cómo el peligro descubierto no se limitaba a los documentos de Estonia, sino que esa vulnerabilidad estaba presente en otros muchos sistemas y documentos en diversos países que usan los chips del mismo fabricante.

Korjus explicaba que no se conocen casos de mal uso de esos documentos o de que se hubiese aprovechado el fallo de seguridad, y en este departamento del gobierno estonio están actualizando la seguridad de sus documentos con un nuevo sistema de cifrado de curva elíptica que "es más seguro y rápido que los certificados SSL que se usaban previamente".

La vulnerabilidad podía ser aprovechada para esa suplantación de identidad de forma realmente sencilla a través del llamado ROCA (Return of the Coppersmith Attack). Los expertos que analizaron el problema estimaron que alquilar un servicio en la nube para romper una clave vulnerable de 1024 bits llevaría 25 minutos y 38 dólares. Romper una clave de 2.048 bits costaría mucho más: 20.000 dólares y nueve días de cálculos en esos servicios.

Algunos investigadores estiman que el coste podría ser muy inferior a través del uso de tarjetas gráficas para realizar esos cálculos. Las claves más comunes son las de 2.048 buts, y romper esas claves con un sistema basado en varias GPUs se podría hacer en apenas unas horas según los expertos, además de reducir el coste de forma notable a apenas algunos cientos de dólares.

Los proveedores de chips inteligentes que utilizaban estos sistemas de seguridad han tratado de rebajar el estado de alarma. Los propios responsables de gobierno estonio indican que aprovechar el ataque sería "complicado y nada barato", y que usarlo por ejemplo para usarlo en fraudes a gran escala en votaciones electrónicas no sería asumible. El fabricante holandés de chips inteligentes Gemalto también ha indicado que solo sus tarjetas IDPrime.NET podrían estar afectadas, pero no ha dado muchos datos sobre cómo solucionarlo.

Los análisis del problema abundan en la comunidad de expertos en seguridad informática. Dan Cvrcek, de la consultora Enigma Bridge, avisaba de los peligros del uso de este tipo de chips, e indicaba que aunque las soluciones de la actualización de su firmware —como la que proponen el gobierno estonio y nuestro Ministerio del Interior— son válidas, el problema puede persistir.

De hecho, como como nos comentaba Román Ramírez (@patowc), experto en seguridad tecnológica y co-organizador de la conferencia RootedCON, pueden desvelarse otros vectores de ataque en el futuro que sigan poniendo en peligro a estos chips y a los documentos que los utilizan. La solución pasaría por sustituir el hardware de base, pero lógicamente eso es como también indicaba Cvrek mucho más complejo... y muchísimo más caro.

El ejemplo estonio

La situación en Estonia es más preocupante por la dependencia que los ciudadanos de ese país tienen de su documento de identidad electrónico. Como explicaba un ciudadano de ese país en los comentarios de un artículo en Ars Technica, hace apenas un mes que se produjeron allí las elecciones municipales, que podrían haberse visto comprometidas por el uso del voto electrónico, que se uso más que nunca en dicho país.

Hay que tener en cuenta que la población estonia es de 1,3 millones de personas, lo que hace que la desactivación de 750.000 certificados digitales afecte a casi la práctica totalidad de la población adulta. Los peligros existen de forma patente en esa manipulación de los resultados electrorales, ya que según este ciudadano Rusia ya ha demostrado su interés en inlfuir en los resultados en el pasado.

En ese país un gran número de ciudadanos, residentes y e-residentes "han recibido mensajes de error debido al alto volumen de gente actualizando sus certificados al mismo tiempo", lo que ha hecho que el gobierno estonio dé prioridad a aquellos que usan de forma activa sus certificados digitales para "servicios vitales, como los profesionales médicos en Estonia". El proceso de actualización de esos certificados se alargará hasta marzo de 2018 en ese país, pero allí existe además la alternativa de usar el servicio Smart-ID que hace uso del móvil y de la clave PIN asociada a la identidad de los documentos de identidad estonios.

En Xataka | Certificado digital, todo lo que necesitas saber para solicitar e instalarlo en tu navegador

El malware evoluciona, y lo demuestra ese creciente interés de los ciberatacantes por hacer uso de malware que aprovecha nuestro PC para minar criptomonedas mientras estamos visitando sus páginas web. Se estima que 1,65 millones de PCs ya están afectados por este problema, pero la cosa se está agravando.

Un equipo de investigadores de Malwarebytes ha descubierto cómo algunos sitios web tienen instalados scripts que hacen que al visitarlos se abra una nueva ventana del navegador casi totalmente oculta para el usuario. Aunque cerremos el navegador esa ventana seguirá encargándose de minar criptomoneda sin que nos enteremos. Descubrir si estamos afectados no es difícil, no obstante.

Minería encubierta, y ahora cada vez más oculta

Esa minería de criptomoneda encubierta en nuestros navegadores fue incluso utilizada de forma pública por sitios web como The Pirate Bay en un experimento peculiar, y desde entonces este tipo de prácticas se han extendido de forma notable, existiendo incluso un plugin para el popular WordPress.

Hay quien ve este modelo como una alternativa a la publicidad, aunque el rendimiento monetario de esta opción es discutible y, además, hace uso intensivo de los recursos hardware de los usuarios mientras visitan estos sitios web, algo que los que lo aprovechen deberían comunicar de forma clara.

La nueva técnica descubierta por Malwarebytes hace uso como comentábamos de una nueva ventana de navegador que se minimiza de forma inmediata y que "se esconde" tras la barra de tareas de Windows, y concretamente detrás del reloj. Si no tomamos medidas al respecto, esa ventana permanece abierta de forma indefinida aunque hayamos creído cerrar el navegador.

Detectar el problema es fácil

Como ocurría con esos scripts que hacen minería de la criptomoneda Monero mientras navegamos por ciertos sitios web, la actividad de nuestro PC crece de forma significativa al visitar esos sitios web.

Si cerramos el navegador y echamos un vistazo al administrador de tareas podremos comprobar rápidamente si la actividad sigue siendo alta. Si lo es, puede que tengamos aún algún proceso asociado a nuestro navegador abierto, y eso significará que no habíamos cerrado esta aplicación "del todo".

Otra forma de saber si tenemos esa ventana oculta en el sistema es cambiar el tamaño de la barra de tareas de Windows, lo que hará que esa ventana aparezca, como se puede ver en el GIF animado publicado por Malwarebytes. Si efectivamente tenemos ese proceso del navegador aún abierto, bastará entonces con cerrarlo desde el administrador de tareas.

Vía | ArsTechnica
En Xataka | Así es Monero, la criptomoneda preferida de los cibercriminales por dos razones: anonimato y privacidad

El malware evoluciona, y lo demuestra ese creciente interés de los ciberatacantes por hacer uso de malware que aprovecha nuestro PC para minar criptomonedas mientras estamos visitando sus páginas web. Se estima que 1,65 millones de PCs ya están afectados por este problema, pero la cosa se está agravando.

Un equipo de investigadores de Malwarebytes ha descubierto cómo algunos sitios web tienen instalados scripts que hacen que al visitarlos se abra una nueva ventana del navegador casi totalmente oculta para el usuario. Aunque cerremos el navegador esa ventana seguirá encargándose de minar criptomoneda sin que nos enteremos. Descubrir si estamos afectados no es difícil, no obstante.

Minería encubierta, y ahora cada vez más oculta

Esa minería de criptomoneda encubierta en nuestros navegadores fue incluso utilizada de forma pública por sitios web como The Pirate Bay en un experimento peculiar, y desde entonces este tipo de prácticas se han extendido de forma notable, existiendo incluso un plugin para el popular WordPress.

Hay quien ve este modelo como una alternativa a la publicidad, aunque el rendimiento monetario de esta opción es discutible y, además, hace uso intensivo de los recursos hardware de los usuarios mientras visitan estos sitios web, algo que los que lo aprovechen deberían comunicar de forma clara.

La nueva técnica descubierta por Malwarebytes hace uso como comentábamos de una nueva ventana de navegador que se minimiza de forma inmediata y que "se esconde" tras la barra de tareas de Windows, y concretamente detrás del reloj. Si no tomamos medidas al respecto, esa ventana permanece abierta de forma indefinida aunque hayamos creído cerrar el navegador.

Detectar el problema es fácil

Como ocurría con esos scripts que hacen minería de la criptomoneda Monero mientras navegamos por ciertos sitios web, la actividad de nuestro PC crece de forma significativa al visitar esos sitios web.

Si cerramos el navegador y echamos un vistazo al administrador de tareas podremos comprobar rápidamente si la actividad sigue siendo alta. Si lo es, puede que tengamos aún algún proceso asociado a nuestro navegador abierto, y eso significará que no habíamos cerrado esta aplicación "del todo".

Otra forma de saber si tenemos esa ventana oculta en el sistema es cambiar el tamaño de la barra de tareas de Windows, lo que hará que esa ventana aparezca, como se puede ver en el GIF animado publicado por Malwarebytes. Si efectivamente tenemos ese proceso del navegador aún abierto, bastará entonces con cerrarlo desde el administrador de tareas.

Vía | ArsTechnica
En Xataka | Así es Monero, la criptomoneda preferida de los cibercriminales por dos razones: anonimato y privacidad

El grupo Anonymous ha anunciado hace unos minutos que ha logrado "tumbar" la web oficial de Indra, la empresa que procesa los datos de las elecciones catalanas que se están celebrando durante el día de hoy.

El ataque de denegación de servicio a los servidores DNS de la empresa ha provocado que desde hace dos horas no se pueda acceder a indra.es, cuyos responsables de momento no han dado información sobre el impacto, pero todo apunta a que esta acción no tendrá efecto alguno sobre el recuento de votos.

Tumbar la web de Indra no es reventar las elecciones, es ocultar un folleto

La empresa española, encargada de gestionar el proceso electoral, ha sido acusada de ser potencial responsable de un pucherazo electoral que haría que sus sistemas modificasen el resultado de las elecciones.

Como explicaban nuestros compañeros de Magnet, ese pucherazo en Cataluña es imposible y las teorías de la conspiración no tienen base, pero a pesar de todo estos ataques de Anonymous están dirigidos a esta organización como protesta ante esas posibles acciones.

#Anonymous #OpCatalunya #Op21DEC

Oops, indra.es got problems.

Site: indra.es #OFF pic.twitter.com/wnWr8P7pU4

— Nama Tikure (@NamaTikure) 21 de diciembre de 2017

De hecho tumbar la web de indra.es no ha tenido efecto alguno sobre la web corporativa, Indracompany.com, que sigue funcionando normalmente. Eso no significa que esta otra web no haya sufrido ataques, ya que ayer mismo los responsables del grupo hacktivista La9DeAnon explicaban en su blog cómo habían logrado hackear una cuenta de Indra Company dentro de la infraestructura de Azure utilizada por la compañía.

A ese ataque le precedió otro del mismo grupo el pasado 13 de diciembre efectuado por el mismo grupo. En esa ocasión Indra aseguró que la plataforma virtual comprometida por el ataque no tenía conexión alguna con las propias plataformas de Indra o la red corporativa de la empresa.

#Anonymous #OpCatalunya #Op21DEC

Indra you are trying to escape but you can't pic.twitter.com/nurzOItMWd

— Nama Tikure (@NamaTikure) 21 de diciembre de 2017

Los responsables del ataque están mostrando en Twitter cómo en Indra están tratando de restablecer el servicio normal de la web afectada, pero por ahora no lo están logrando.

Durante 20 días hemos estado "cerveceando" dentro de una de las aplicaciones de @IndraCompany. Indra no es tan fiable como aparenta y desconfiar de su metodología es comprensible. Daremos más detalles porque desde allí no emitirán ninguna nota de prensa #Indra

— La Nueve (@La9deAnon) 11 de diciembre de 2017

El impacto sobre el proceso electoral parece inexistente, no obstante, sobre todo porque la web atacada no estaba relacionada directamente con la gestión del recuento de votos, que está a cargo de los colegios electorales. Indra sólo se encarga de su gestión: es la depositaria última de la información enviada tanto por las mesas electorales como por los funcionarios públicos, y quien se encarga de difundir los datos de cara al público.

De hecho el recuento es también público, de forma que cualquier ciudadano (incluidos los apoderados de cada partido, por supuesto) puede permanecer si lo desea en su colegio electoral para ser testigo del conteo. Todo apunta pues a que el impacto de este ciberataque sobre el proceso de gestión de ese recuento de votos es nulo.

[[actualizacion: {"text":"Actualización (21/12/2017, 20:35): hemos podido hablar con el Departamento de Comunicación de Indra, desde el cual nos confirman lo siguiente:

El dominio (www.indra.es) ha sido atacado. Este es un dominio registrado a nombre de Indra, pero no está en uso, con lo que no se ha visto afectado ningún servicio de Indra.

La única web corporativa de Indra es www.indracompany.com y dicha web está plenamente operativa pese a que también ha sido atacada.

Además de ello, el servicio de asistencia e informatización del sistema de recogida, procesamiento y difusión de datos relacionados con el escrutinio provisional en las Elecciones al Parlament de Catalunya es un sistema aislado de cualquier otra plataforma, por lo que no es posible su afectación por incidentes en otras plataformas.

"}]]

[[actualizacion: {"text":"Actualización: hemos editado y ampliado la noticia tras confirmarse oficialmente por parte de los responsables de Coincheck el robo de 535 millones de dólares."}]]

Coincheck es el mayor mercado de criptodivisas de Japón, y desde hace unas horas ha prohibido las operaciones de compraventa, depósito o retirada de varias criptodivisas a todos los usuarios sin dar detalles sobre los motivos que la han llevado a tomar esa decisión.

Esta decisión ha causado una caída notable en el valor de la criptodivisas NEM, la primera sobre la que Coincheck decidió detener todo tipo de operaciones. En estos momentos solo se puede operar con bitcoins y se han confirmado los rumores: Coincheck ha sufrido un robo masivo de criptodivisas.

Coincheck detiene prácticamente toda la operativa en su plataforma

Ni en el blog oficial de Coincheck ni en su cuenta en Twitter se daban más detalles sobre lo que ha provocado la decisión inicial de detener las operaciones con la criptodivisa NEM y las posteriores decisiones con otras criptodivisas.

There is a rumor that coincheck, the biggest crypto exchange in Japan, has lost up to 600 million USD worth of XEM in a hack. But it's not been confirmed officially yet so be warned about FUD and misinformation until the details come out. https://t.co/fduwzCt01E

— Koji Higashi (@Coin_and_Peace) 26 de enero de 2018

Mientras se producían esos anuncios, aparecían rumores que apuntaban al que sería el mayor robo de criptodivisas de la historia. En esas primeras horas no había confirmación oficial, pero se hablaba de que habrían desaparecido 540 millones de NEM, que con el valor actual —que está bajando de forma acusada por momentos— tendrían un valor de 330 millones de euros.

NEM es una de las criptodivisas más populares en Japón y es una de las principales por valoración de mercado según CoinMarketCap, donde ocupa el décimo lugar de ese particular ranking. Algunos usuarios están mostrando cómo el balance de sus monederos XEM en Coincheck es erróneo y han desaparecido diversas cantidades de NEM.

Transaction Type: Payment
Amount: 101,265,057.474195 XRP
Fee: 150,000 drops (0.15 XRP)
Sender: Coincheck
Sender Balance: 199,899.7
Receiver: rPccPbZH4YBVmjvL4dMMkrX8J3MKGLNApQ
Receiver Balance: 3,110,669,147.34739
Link: https://t.co/DEKMAfCHZR

— XRPL Monitor (@XRPL_Monitor) 26 de enero de 2018

Lo mismo parece haber ocurrido con los monederos XRP (Ripple) gestionados por Coincheck, de los que también están transfiriéndose estas criptodivisas sin que los usuarios afectados sepan por qué. Se habla de que ese potencial hackeo (ahora confirmado) de esta plataforma podría ascender a otros 120 millones de dólares (de nuevo al valor actual a la hora de escribir este artículo, también en caída) en XRP.

Tampoco en este caso hay información oficial de Coincheck, pero en una transacción se muestra cómo se han transferido algo más de 100 millones de XRP a una cuenta que actualmente tiene un total de 3.110 millones de XRP.

Rumores de un ciberataque masivo

Los rumores sobre un potencial hackeo se acrecentaban tras declaraciones como la de Lon Wong, presidente de la Fundación NEM.io, que afirmaba en un tuit reciente que "Es desafortunado que Coincheck haya sido hackeado. Pero estamos haciendo todo lo que podemos para ayudar."

It's unfortunate that coincheck got hacked. But we are doing everything we can to help. https://t.co/AH3lEDDG71

— Lon Wong (@2017Lon) 26 de enero de 2018

El propio Wong afirmaba que no había ningún problema con la tecnología de NEM, que estaba intacta, y que el problema era de Coincheck, que no usó los mecanismos necesarios para protegerla "y eso es por lo que podrían haber sido hackeados".

Las medidas tomadas por Coincheck han sido causa de nuevas caídas en el mercado de las criptodivisas, con NEM cayendo un 17,91% en estos momentos y Ripple un 11,27%.

El mayor robo de criptodivisas de la historia

Como revelaba Coindesk, los responsables de Coincheck han ofrecido una rueda de prensa en la que su presidente y COO ha confirmado que 500 millones de NEM han desaparecido de los monederos gestionados por este exchange.

La magnitud de este ciberataque no se ha precisado del todo, y Coincheck ha publicado un mensaje en Twitter en el que confirma que el valor estimado del robo es de 58.000 millones de yen (535 millones de dólares) y que "estamos estudiando en estos momentos la forma de compensar [a nuestros clientes]".

Estamos por tanto ante el que se ha convertido efectivamente en el mayor robo de criptodivisas de la historia, superando al que Mt. Gox sufrió en 2014 y que ascendió a 460 millones de dólares.

Esa cifra se queda ahora detrás de estos 535 millones de dólares citada por los responsables de Coincheck que eso sí, no han dado datos sobre posibles robos de otras criptodivisas como las de los monederos XRB de los que se hablaba durante las primeras horas del suceso.

En Xataka | The DAO y el caso del robo de los 50 millones de dólares en Ethereum (Insert Coin 1x01)

El 15 de febrero de 1995 el FBI lograba dar caza a Kevin Mitnick, el considerado por el New York Times como "el hacker más buscado de todo el ciberespacio". Mitnick acabaría pasando cinco años en prisión por diversos delitos, incluidos ocho meses en una celda de aislamiento.

¿Por qué tanto tiempo en aislamiento? Pues porque alguien convenció al juez de que era capaz de "iniciar una guerra nuclear silbando en un teléfono público". Aquella decisión aumentó el mito de un hacker que logró mucho más por su habilidad con la ingeniería social que por su capacidad técnica.

Un fantasma en el sistema

Mitnick ha escrito cuatro libros hasta la fecha, aunque el más biográfico de todos ellos es 'Un fantasma en el sistema' (2011, Capitán Swing). Es en este volumen de casi 500 páginas en el que el hacker —con la ayuda del escritor William L. Simon— relata toda su historia, desde que se inició en este ámbito hasta que fue arrestado por el FBI para luego ser juzgado y encarcelado.

Mitnick descubrió muy pronto a aprovechar las debilidades de los sistemas que usaba en su día a día. Todo empezó con los billetes de autobús que usaba para desplazarse en Los Ángeles, y que contaban con una forma particular de estar agujereados según el día, la hora o la ruta de cada autobús.

El joven Mitnick logró descubrir dónde comprar la máquina con la que se agujereaban esas tarjetas, consiguió un montón de tarjetas preparadas para ser perforadas en una terminal en el que los conductores dejaban sus libros de tarjetas sin vigilancia, y así fue como acabó viajando de un lado a otro de la ciudad sin pagar. Nadie le paró los pies entonces, como afirma en el libro:

A mi madre le parecía ingenioso, a mi padre le parecía una muestra de iniciativa y a los conductores de autobús que sabían que yo picaba mis propios billetes de transbordo les parecía una cosa muy graciosa. Era como si toda la gente que sabía lo que estaba haciendo me diera palmaditas en la espalda.

El mago de la ingenería social

Puede que aquella primera aventura con premio (y sin castigo) acabara definiendo su actividad posterior, que pronto acabaría centrándose en la ingeniería social, una práctica con la que lograba obtener información de todo tipo de sistemas manipulando a usuarios legítimos de esos sistemas. Los actuales ataques de phishing son una forma alternativa de aprovechar esta técnica.

La técnica básica era (y es) tan eficiente como simple, y Mitnick la repetía constantemente. En uno de sus primeros ataques de ingeniería social explicaba cómo necesitaba un número de solicitante para "pinchar" el Departamento de Vehículos de Motor (DMV). Para lograrlo llamó a una comisaría y se hizo pasar por alguien del DMV. Allí le preguntó al interlocutor: "¿Su código de solicitante es el 36472?", a lo cual el agente contestó: "No, es el 62883". Mitnick destacaba lo bien que funcionaba aquello:

Es un truco que he descubierto que funciona muy a menudo. Si pides información confidencial, la gente, naturalmente, sospecha de inmediato. Si finges que ya tienes esa información y dices algo que está mal, la gente suele corregirrte y te recompensa con la información que estabas buscando.

Ese principio básico de la ingeniería social se unía a otro esencial: la gente suele ser el eslabón más débil de una cadena de seguridad, porque "la gente siempre esa intención de ayudar".

En el libro queda patente cómo la combinación de ambas técnicas le dio a Mitnick unos resultados asombrosos. En todos esos ataques de ingeniería social había un tercer componente, claro: este hacker debía conocer con bastante detalle el entorno de la información que buscaba: formato de los códigos que necesitaba, prefijos de teléfono, nombres y cargos de los empleados, o funcionamiento burocrático de esos procesos para conseguir ciertos documentos, por ejemplo.

Toda esa información le permitía a Mitnick afrontar esas llamadas telefónicas con la seguridad de poder conseguir la respuesta buscada aun cuando en el otro extremo de la comunicación había alguien que sospechaba de si quien pedía la información lo hacía de forma legítima. Mitnick tenía una habilidad natural para mentir y engañar a sus víctimas —practicaba mucho para reforzarla— incluso cuando estas planteaban preguntas adicionales para comprobar su identidad.

Eso le permitió combinar aquellas técnicas de ingeniería social con exploits reales en los sistemas a los que lograba acceso para conseguir lo que quería. Uno de los primeros ejemplos lo tenemos en su intrusión en un sistema llamado 'The Ark' que la empresa Digital Equipment Corporation (DEC) usaba para desarrollar su sistema operativo RSTS/E.

Mitnick contaba con el número de teléfono que daba acceso al sistema, pero no tenía usuario y contraseña, así que se hizo pasar por uno de los desarrolladores de RSTS/E para pedirle a un administrador que le reseteara la contraseña con la excusa de que no podía autenticarse en la que usaba siempre.

En cinco minutos había logrado acceso al sistema aprovechando esas técnicas, y más tarde haría uso de procesos similares para luego dejar pequeños troyanos con los que recolectaba contraseñas de otros usuarios o dejaba puertas traseras con las que poder acceder a estos sistemas posteriormente sin ser descubierto.

Puede que sus conocimientos técnicos no fueran tan llamativos como su habilidad con la ingeniería social, pero a lo largo del libro Mitnick hace referencia a intrusiones en las que esa ingeniería social solo era parte del proceso. Román Ramírez, experto en ciberseguridad y organizador de la conferencia Rooted CON, nos confirmaba cómo por ejemplo Minick "era muy bueno y usaba una técnica muy potente de secuestro de sesiones TCP que era difícil de realizar en aquella época". Aquel ataque, con el que accedió por ejemplo al ordenador de Tsutomu Shimomura, fue más tarde conocida como 'El ataque Mitnick'.

Buena parte de su actividad en los primeros años, no obstante, se centró en las redes telefónicas: Mitnick hizo uso de la ingeniería social investigando la jerga y la infraestructura del sistema para conseguir códigos y números secretos que le permitían hacer escuchas telefónicas, acceder a números que no estaban en el listín o hacer llamadas de larga distancia.

En cierto punto llegó a tener un control excepcional de la red de Pacific Bell, e incluso acabó haciendo escuchas a los agentes del FBI que estaban investigando el caso y que trataban de arrestarle. En el libro, por ejemplo, explica cómo puso en marcha un sistema que permitió alertarle de cuándo iba a organizarse una redada para que pudiera escapar a tiempo, e incluso en una de las ocasiones acabó gastándole una broma a los agentes y dejándoles unos donuts.

Sus habilidades también se extendieron a otros ámbitos como el de la suplantación de identidad, un proceso que también logró controlar para disponer de varias identidades alternativas que podía usar durante su huida.

El proceso para lograrlo fue relativamente sencillo, y en la época había un conocido libro de Barry Raid titulado "The Paper Trip" que explicaba todo el proceso al detalle y del cual acabarían apareciendo tres volúmenes adicionales. Conseguirlo en la actualidad, explicaba Mitnick en DEFCON 2014, es igualmente posible.

Héroe y villano a partes iguales

Durante su persecución, captura y posterior condena, la figura de Kevin Mitnick trascendió para convertirse en el referente de un segmento que por entonces estaba aún en pañales y que solo habíamos conocido a través de películas como la célebre 'Juegos de Guerra' (Wargames', John Badham, 1983). Como explicaba el propio hacker,

A pesar del mito creado por los medios, no soy un hacker malicioso. Lo que hice ni siquiera era ilegal cuando empecé, pero se convirtió en un delito cuando se aprobaron nuevas leyes. Seguí haciéndolo y fui capturado. La forma en la que me trató el Gobierno Federal no se basó en mis delitos, sino en convertirme en un ejemplo.

Durante buena parte del tiempo que pasó en prisión los responsables y seguidores de la famosa revista '2600: The Hacker Quaterly' organizaron una campaña llamada 'FREE KEVIN' en la que trataban de que la justicia de Estados Unidos liberara a Mitnick. Aquella campaña supuso el contrapunto a la imagen de villano que John Markoff, periodista de The New York Times, había dado de Mitnick en un célebre artículo del 4 de julio de 1994.

En aquel artículo Markoff calificaba a Kevin Mitnick como "el más buscado del ciberespacio" y le atribuía delitos como los de haber accedido al NORAD (North American Air Defense Command), algo que el hacker afirmaba que era imposible si tenemos en cuenta que sus sistemas estaban aislados de internet.

Muchos —empezando por Mitnick— criticaron aquella información, afirmando que se basaba en rumores y afirmaciones del gobierno que nunca habían sido demostradas.

Los responsables de '2600' acabaron produciendo un documental llamado 'Freedom Downtime' —disponible íntegramente en YouTube— que narraba todos los hechos y que incluía entrevistas al hacker Kevin Poulsen o al propio John Markoff.

Markoff colaboró en la persecución del FBI a Mitnick junto a Tsutomu Shimomura, que en aquella época trabajaba en la Universidad de California en San Diego. Algún tiempo atrás Mitnick se había infiltrado en aquella institución, y también accedió al correo de John Markoff, que analizó para saber si había pistas que le ayudaran a eludir al FBI.

Markoff y Shimomura acabarían escribiendo su propia versión de los hechos en su novela 'Takedown' (1996, Hyperion), que incluso fue llevada al cine.

El libro de Mitnick no solo narra las "aventuras del hacker más buscado del mundo", sino que también lo hace tratando de defender que en todo momento no aprovechó todas aquellas intrusiones en su propio beneficio. En una entrevista en el año 2000 en El Mundo Mitcnick explica cómo

Nunca fui capaz de robar dinero. Y eso que hoy podría ser multi-millonario y vivir el resto de mis días al sol del Caribe. Pero la conciencia me lo impidió. Lo que me impulsaba a hacer lo que hacía era la euforia del descubrimiento científico, el placer que se experimenta cuando se resuelve un problema matemático difícil.

Esas afirmaciones podrían contrastar con hechos que el propio Mitnick narra en su libro y en las que robó código de sistemas operativos como Solaris o los teléfonos de Motorola. Pero como él mismo explica, conseguir aquel código era una forma de "entender cómo funcionaban esos teléfonos, cómo los códigos controlaban el procesador". Aún así, reconoce que aquello era un error:

No estaba interesado en vender el código fuente o hacer ago con él. Era sobre todo el reto de lograr conseguir ese código. No estoy especialmente orgulloso de ello porque obviamente no estaba bien. Tomé una decisión estúpida y decidí ir tras ese código.

De hacker a conferenciante y consultor de seguridad

Tras su salida de la cárcel en enero de 2000, a Mitnick se le prohibió un ordenador o incluso un teléfono móvil durante los tres años siguientes. Apeló aquella decisión y logró una sentencia a su favor para poder usar esos dispositivos, pero tuvo que acceder a no obtener beneficios económicos de películas o libros basados en su actividad durante 7 años.

La tarjeta de presentación de Kevin Mitnick, que cuenta con una serie de ganzúas, se ha convertido en una celebridad por sí misma.

En diciembre de 2002 a Mitnick se le consideró "suficientemente rehabilitado" y se le concedió una licencia de radioaficionado, y posteriormente acabaría fundando Mitcnick Security Consulting LLC, una empresa de seguridad informática en la que se dedica básicamente a lo mismo que hacía antes de ser arrestado, pero con el permiso expreso de las empresas que le contratan para que analice su seguridad.

Mitnick da conferencias por todo el mundo y se ha convertido en una figura pública también en redes sociales como Twitter. Además de la empresa que lleva su nombre, es el Chief Hacking Officer de KnowBe4, otra empresa de consultoría y formación en seguridad informática.

En Genbeta | Phreaking, phreaks y Blue Boxes: historia del hacking telefónico

Ninguno de nosotros estamos a salvo. Los últimos grandes ataques informáticos han demostrado que el segmento de la ciberseguridad es uno de los más interesantes profesionalmente, pero ¿cómo empezar a conocer este complejo mundo?

La respuesta podría estar en algo mucho más divertido de lo que podríamos pensar, porque existen diversos juegos que tratan de servir como introducción al mundo del hacking y la ciberseguridad. Los hay más y menos ambiciosos, pero todos ellos ofrecen diversión y aprendizaje a partes iguales. Quién sabe: podrías acabar convertirtiéndote en un hacker de verdad jugando.

Watch Dogs 1 & 2

Aunque la mayoría de videojuegos en este segmento están desarrollados por pequeños estudios o desarrolladores independientes, hay también cabida para algunas grandes producciones.

Tenemos dos ejemplos claros en 'Watch Dogs' y 'Watch Dogs 2', en los que el juego de acción con tiroteos y persecuciones varias se une al juego de puzzles en el que tendremos que resolver ciertos retos de hacking para superar esas pruebas.

El resultado es desde luego notable, y permite disfrutar de estos videojuegos tanto por ese apartado más tradicional de los juegos en primera persona como por ese otro elemento que nos permitirá familiarizarnos con técnicas de hacking usadas habitualmente. Más divertido que educativo, sin duda, pero ¿qué importa?

Dark Signs Hacker

En 'Dark Signs Hacker' nos encontramos con un juego multijugador online nos enfrenta a otros aficionados a estos juegos y lo hace introduciéndonos en una internet virtual "creada y sostenida por sus jugadores".

En él encontramos un singular lenguaje de programación con el que podremos programar nuestras propias herramientas (scripts de hacking, escáneres) para que interactúen con ese entorno.

El juego trata de simular esa internet real en la que nos vemos afectados por estos ataques y nos permite poner en marcha nuestro propio nombre de dominio para almacenar en él ficheros que pueden ser vistos por otros jugadores. Podremos comprar y vender herramientas en la tienda integrada en el juego, acceder como superusuario a los servidores, romper contraseñas o superar firewalls. De todo, vamos.

Hacker Evolution

La empresa Exosyphen lleva desde 2002 trabajando en juegos relacionados con el hacking. Su serie 'Hacking Evolution' es muy conocida entre los aficionados a estos videojuegos, y pronto tendrán disponible 'Hacker Evolution Inmersion', su última producción en este segmento.

En esta serie de juegos disponibles en Steam tendremos que interactuar con una consola de comandos para ir resolviendo tareas que nos llevarán a infiltrarnos en sistemas, encontrar exploits o robar dinero para lograr mejorar nuestro propi hardware.

Como en otros juegos de este tipo, los puzzles que se nos presentan deben ser resueltos con comandos y técnicas que se asemejan (o son iguales) a los que se usan en sistemas operativos y sistemas reales.

Street Hacker

Uno de los videojuegos más veteranos en este ámbito es 'Street Hacker', un simulador de hacking que nos sitúa ante un sistema similar al que nos encontraríamos al manejar una consola Linux.

En el juego nos convertimos en un hacker contratado por un emprendedor que nos encarga tareas clandestinas y que nos acaba traicionando. Cuando salimos de la cárcel el objetivo, claro, es hackear a ese emprendedor.

El juego se centra en ciberataques como los que tratan de instalar malware en los sistemas del objetivo, y usaremos comandos familiares en este tipo de tareas (whois, connect) para ir conociendo un poco más la mecánica básica de este tipo de ataques.

Crypto Club

Si os interesa el mundo de la criptografía, hay una buena opción también en este sentido. Se trata de 'CryptoClub', un juego que nos ayudará a entender cómo funciona toda esa singular tecnología.

Lo hará a través de un entorno muy educativo en el que entenderemos cómo funcionan los sistemas con los que ciframos la información (sustitución, adición, palabras claves, letras por números, etc), o cómo funcionan los que 'crackean' esos códigos cifrados.

El juego, disponible online, cuenta incluso con material para que los profesores puedan investigar sobre el tema y luego educar a sus alumnos en este ámbito. Sin duda un recurso curioso para aprender criptografía.

else Heart.Break()

Ya solo el título de este videojuego despierta curiosidad, ¿verdad? En 'else Heart.Break()' nos encontramos con un planteamiento en el que tras una introducción que parece alejada del mundo hacker nos acabamos encontrando con hacktivistas (y una chica) que luchan contra el llamado 'Ministro informático'.

A partir de ahí obtenemos un 'modificador', un dispositivo que nos permite hackear todo tipo de objetos en el juego. A partir de ahí podremos analizar el código de esos objetos para hackearlos, nos encontraremos con gente que nos enseña cómo hacerlo (en un lenguaje llamado SPRAK), y acabaremos aprovechando esos conocimientos para subsistir y progresar en el juego.

El original juego nos sitúa en un mundo en el que podremos explorar los efectos de modificar todo tipo de sistemas que afectan a todo tipo de personas y trabajadores, y aunque probablemente es más divertido (y original) que educativo, vale la pena echarle un vistazo.

Hacknet

Entre los más interesantes a la hora de utilizar comandos Linux que se usan tradicionalmente está 'Hacknet', un videojuego en el que nos uniermos a un equipo de hackers de élite para tratar de lograr acceso a datos confidenciales.

Aunque contamos con una interfaz gráfica también, buena parte de la interacción se realiza a través de una consola de comandos desde la que tendremos que escanear el sistema que queremos atacar para encontrar vulnerabilidades que luego explotar.

La aproximación al hacking real está muy conseguida por esta y otras características, y de hecho sus desarrolladores lanzaron en 2016 una expansión llamada 'Hacknet Labyrinths' que siguiendo esa misma línea añadía más misiones para ampliar la duración de otro de los juegos imprescindibles en esta lista. Tanto el juego original como sus distintos complementos se pueden encontrar por ejemplo en Steam.

Uplink

Es probablemente (con el permiso del mítico 'Core War') uno de los más videojuegos más antiguos en este segmento: 'Uplink', desarrollado por la empresa británica Introversion Software, fue lanzado por primera vez en 2001. Hoy en día cuenta con versiones para dispositivos Android e iOS.

La idea del juego es la de convertirnos en un hacker que debe completar tareas como las de acceder a sistemas informáticos, robar datos de departamentos de investigación, sabotear a otras empresas o blanquear dinero.

El dinero que conseguimos lo podemos usar para mejorar nuestros propios sistemas informáticos y para comprar nuevas herramientas y software, y tendremos que evitar que nos cojan haciendo uso de técnicas como el uso de múltiples direcciones IP en nuestros ataques. Todo un clásico en este mundillo, sin duda.

Quadrilateral Cowboy

Los responsables de Blendo Games cuentan con un juego muy curioso en este ámbito. Se trata de 'Quadrilateral Cowboy', un juego en primera persona que tiene como protagonista los atracos y robos basados en técnicas de hacking.

Como es habitual en otros juegos de este ámbito, no es necesario tener conocimientos de programación. En el juego somos un equipo de ladrones pero sobre todo controlaremos al hacker, que tendrá que ir resolviendo puzzles en distintos niveles a través de comandos que irá introduciendo en su "deck".

Ese deck no es más que un ordenador integrado en una maleta que cuenta con un módem de 56k que iremos llevando de un lado a otro. Los comandos son simples y permiten acceder a nuestros objetivos, desactivar cámaras y alarmas, conseguir lo que buscábamos y, por supuesto, escapar con éxito. El juego además ofrece su código fuente para que cualquiera pueda descargarlo, estudiarlo y modificarlo bajo la licencia GPL.

Shenzhen I/O

Zachtronics, la empresa responsable de otros juegos de este segmento como 'TIS-100', también han creado un juego más orientado a explorar los misterios de la electrónica con 'Shenzhen I/O'. Hay otro título similar en ese protagonismo de la electrónica llamado 'Silicon Zeroes'.

En el juego tomamos el papel de un expatriado que vive en la China industrial y trabaja para una empresa de electrónica llamada Longtem. Nos irán llegando mensajes de correo con tareas a realizar que pueden ser desde lo más normales del mundo hasta otras más clandestinas.

Existe un manual (conviene imprimirlo) que nos ayudará a ir progresando para ir resolviendo esos puzzles y lograr circuitos con diseños más eficientes cada vez, lo que convierte a este juego en una especie de una extensión del citado 'TIS-100'. Hay una tercera opción si os gustan los juegos de esta compañía, el relativamente reciente 'Opus Magnum'.

Duskers

El objetivo de 'Duskers' es el tomar el control de drones que vuelan en gigantes naves espaciales para lograr sobrevivir y descubrir qué pasó con un universo que se convirtió en "un gigantesco cementerio".

La inspiración del juego, admiten su creador, proviene de películas como 'The Road' y 'Aliens', y a diferencia de lo que podríamos pensar viendo algunas capturas el control de juego no es con ratón y teclado o con un mando de juegos, sino a golpe de consola de comandos.

La interfaz de usuario recuerda de hecho un poco a la de la nave Nostromo de 'Aliens', y a través de ella tendremos que ir tecleando comandos para mover nuestro dron para recolectar energía**, abrir puertas o escapar de amenazas alienígenas** que podremos expulsar de la nave activando ciertas exclusas. Incluso podremos crear nuestros propios comandos combinados con el comando "alias" que se usa tradicionalemente en sistemas Linux y UNIX, por ejemplo.

Minecraft

Es sin lugar a dudas el más conocido de toda la lista, y puede que efectivamente 'Minecraft' sea más un juego de otro género que uno directamente centrado en el hacking o la ciberseguridad, pero sus opciones son tantas que puede ser también una buena propuesta en este ámbito.

De hecho hemos visto cómo a través de Minecraft los usuarios han logrado crear procesadores de texto, ordenadores de 16 bits dentro del juego, circuitos impresos con su propia memoria RAM capaces de dividir, programar en BASIC o incluso discos duros para salvaguardar sus datos.

Todos esos ejemplos hacen que Minecraft pueda servir también para aprender jugando cómo funcionan los sistemas informáticos que precisamente son el objetivo de esos ciberataques. Solo por eso merece la pena echarle un vistazo a este juego que hace tiempo que ofrece opciones tanto en el ámbito del entretenimiento como en el de la educación.

Hackmud

En 'Hackmud' nos encontramos con un simulador de hacking en modo texto que nos reta con diversos puzzles y que nos convierte en una especie de bot de inteligencia artificial en un futuro no demasiado lejano.

En ese mundo esos bots tratan de competir por conseguir una moneda virtual llamada GC, y para ello competiremos con otros hackers que además tratarán de meterse en nuestra cuenta y robarnos todo nuestro dinero virtual.

El juego se centra en el manejo de programas en Javascript (los que ya conozcan este lenguaje tendrán cierta ventaja), y tiene una curva de aprendizaje bastante alta, pero si te atreves a probar con este reto, probablemente Hackmud acabe conquistándote.

Gunpoint

Un desarrollador llamado Tom Francis se pasó tres años trabajando los fines de semana para sacar al mercado Gunpoint, un juego con un diseño singular en el que nuestro protagonista tiene que lograr acceso a edificios protegidos por guardias para lograr robar datos para sus clientes.

Para lograrlo contamos con Crosslink, un dispositivo que nos permite manipular el cableado de cada nivel, y gracias a ello podremos rediseñar esos circuitos para provocar electroshocks a los guardias, modificar el comportamiento de los ascensores e incluso controlar las armas automáticas instaladas en el edificio.

El juego no es tan ambicioso en ese ámbito del hacking ya que incluso combina esa parte más "técnica" con otra de acción y aventuras (podremos estampar a un guardia contra una puerta, por ejemplo), pero es un acercamiento divertido y original para este tipo de videojuegos.

TIS-100

Los creadores de TIS-100 lo definen como un juego de programación en el que "reescribes segmentos de código corrupto para reparar el ordenador TIS-100 y desvelar así sus secretos".

La idea de este juego de puzzles es singular y hace uso de un lenguaje de programación en ensamblador para retar al jugador a minimizar el número de ciclos e instrucciones usados en esos pequeños programas.

En el juego nos encontramos con ese viejo ordenador que antes usaba un tío nuestro. Incluso tenemos que usar un viejo manual de usuario anotado por ese personaje ficticio —que nos recomiendan imprimir— para ir superando esas pruebas utilizando los comandos adecuados que se van indicando en el manual.

La ignorancia es la felicidad. Quien asiste a una conferencia de seguridad como RootedCON puede llevarse a casa muchas conclusiones, pero una de ellas es esa. Lo es porque este evento no hace más que demostrarnos lo vulnerables que somos y lo mucho que tanto nosotros como las empresas descuidan la seguridad de sus protocolos y servicios.

Uno sale de allí con una visión cruda y aterradora de un segmento en el que la avaricia por nuestra información lo domina todo. Más que nunca, la información es poder, y todos harán lo que sea por conseguirla. Es lo que nos cuenta Román Ramírez, cocreador y coorganizador de una de las ferias de ciberseguridad más importantes del panorama mundial.

Un año más, RootedCON como referencia del segmento

RootedCON crece. Eso se nota cada año —asistimos tanto en 2016 como en 2017—, y esta novena edición no ha sido la excepción. En 2017 la asistencia fue de 1606 personas, mientras que en la reciente edición de 2018 esa asistencia ha crecido hasta las 1825 personas.

El congreso de seguridad RootedCON se ha convertido en un referente en el panorama de la ciberseguridad en España, pero también en Europa y el resto del mundo. Fuente: Flickr.

Nos lo explica Román Ramírez (@patowc), que hace nueve años inauguró la primera de las ediciones de RootedCON. Este experto es arquitecto de seguridad en Ferrovial, profesor de los másters de ciberseguridad en el Instituto de Empresa (IE) y la Universidad de Granada, y CTO y cofundador de BeRealTalent.

Su labor al frente de RootedCON le ha permitido convertirse en alguien de referencia y muy influyente en el mundo de la ciberseguridad en España, y tuvimos la oportunidad de charlar con él durante una hora sobre este evento y el presente y futuro del mundo de la ciberseguridad.

El ámbito De RootedCON, nos comentaba, se ha ampliado: "la gente no percibe que esto sea un evento solo para técnicos", hay asistentes que provienen de todo tipo de ámbitos profesionales. También de todo tipo de ámbitos sociales, como demuestra la asistencia de miembros de La Nueve (@La9deAnon), el conocido grupo hacktivista.

De hecho la conferencia se ha convertido también en punto de encuentro para los grandes directivos en materia de seguridad: los CSO (Chief Security Officer) de todo tipo de empresas se acercan a estas jornadas —"todos los del IBEX35 están aquí", confiesa Ramírez— para tomarle el pulso a los grandes temas en el campo de la ciberseguridad.

El evento, además, se ha convertido en una constante en el panorama nacional e internacional de ciberseguridad. Esas nueve ediciones invitan a la reflexión a un Román Ramírez que confiesa que "nos hacemos mayores". Tanto él ("éste es mi bebé") como el resto de organizadores quieren evitar a toda costa que la RootedCON "no se vicie, no se empobrezca", y hay un debate sobre el futuro e inevitable traspaso del testigo.

Muchas sesiones para asustarnos

Esa preocupación no parece apreciarse por parte de los asistentes y conferenciantes: todo son elogios (por ejemplo, en redes sociales) a una conferencia de ciberseguridad que sigue siendo referente y que cuenta con una agenda realmente completa en esas tres jornadas que, además, multiplica por tres sus charlas gracias a los tres "tracks" en paralelo que se celebraban en tres salas distintas de Kinepolis en Madrid.

En una de las charlas se habló de phreaking y de los famosos silbatos de 2.600 Hz. Los responsables de la charla fabricaron este modelo con una impresora 3D, pero como Ramírez nos explicaba, "en España no funcionaban, porque aquí la frecuencia utilizada era de 2.500 hertzios".

En esas sesiones, de todo y para todos, y como decíamos, era imposible no sentirse un poco (o mucho) más vulnerables y aterrorizados por el panorama que plantean las amenazas de ciberseguridad hoy en día.

Hubo sitio para hablar de esa famosa reserva de ciberhackers, de los bots y el malware en la IoT, cursos rápidos de técnicas de ingeniería inversa e iniciación al análisis de malware y charlas asombrosas de phreaking.

Más peligros por doquier: los riesgos de seguridad que impone el Windows Subsystem for Linux y ese bash son enormes (ya se habla de bashware), como también lo son los que imponen las empresas de mensajería, cuyos protocolos para proteger la información sobre sus envíos son, como poco, discutibles: vimos en directo cómo acceder a información de un envío al que solo el ciente debería tener acceso.

"Cocinar" drones para hacking, auditar aplicaciones de Android y de iOS, hackear videojuegos (pero no para hacer trampas, sino para "encontrar lugares fantásticos"), atacar a SmartTVs o incluso hablar sobre fake news, ciberseguridad y libertad de prensa fueron también charlas de estas jornadas. Todas ellas y muchas más impartidas por expertos y profesionales del mundo de la ciberseguridad que ofrecieron su visión al respecto.

La inteligencia artificial, la próxima gran amenaza

Mucho se habla de los avances que nos está brindando la inteligencia artificial (IA) en diversos campos, pero poco o nada se conoce de la aplicación de esta disciplina al mundo de la seguridad. El problema es que la magia de la IA ya se está comenzando a aplicar... para el mal.

Román Ramírez, durante la edición de 2017. Fuente: Flickr

Es lo que nos asegura Ramírez, que comentaba cómo la situación del mundo de la ciberseguridad no es especialmente buena. "Cada vez hay más amenazas, cada vez hay más dinero para robar. En esas amenazas crecientes es donde la IA podría ser utilizada para fines criminales a corto plazo.

Así es: como ocurre en otros muchos ámbitos, la inteligencia artificial es una herramienta que puede ser usada para el bien y para el mal. Avances como los que permiten a un sistema imitar nuestra voz a partir de una muestra mínima o aquellos que modifican un vídeo para superponer a alguien que no ha dicho o no ha hecho lo que estamos viendo lo demuestran.

Las empresas, mientras tanto "no avanzan, están ancladas, no reaccionan en el mundo de la seguridad", destacaba Ramírez. "No están haciendo nada en el campo de la inteligencia artificial para atajar esa 'mala IA'". El problema es enorme y muy preocupante, y este experto nos confesaba cómo la amenaza es "a nivel mundial, y la mayoría de la gente no lo entiende". Algunas como IBM, no obstante, lo están intentando.

Tenemos el ejemplo en el experimento que llevaron a cabo investigadores de Google Brain —la división de IA de la empresa— y en el cual tres redes neuronales se las ingeniaron para que dos de ellas se inventaran un algoritmo de cifrado desde cero y se pasaran mensajes sin que la tercera pudiera descifrar el contenido. Sin intervención humana, ojo.

No mucho después nos enterábamos de un experimento similar por parte de Facebook. En él los ingenieros pretendían desarrollar un sistema para que sus "agentes de diálogo" (bots para su mensajería) aprendieran a negociar, y se encontraron con que el sistema se inventó su propio lenguaje: uno que los humanos no podían interpretar. No sabían de qué estaban hablando las máquinas.

Facebook acabó desconectando el sistema, aunque argumentaron que no fue por no entender esa conversación, sino porque la idea era desarrollar un bot que pudiera hablar con la gente, y ese objetivo no se logró con ese desarrollo.

La información como petróleo del s. XXI

Uno de los temas centrales de la agenda de ciberseguridad es esa constante invasión a la privacidad de los usuarios. La recolección de datos por parte de todo tipo de empresas se ha convertido en una práctica habitual.

La información es el petróleo del siglo XXI, todos la quieren y harán lo que sea por conseguirla. Lo estamos viendo a diario en los movimientos que sobre todo las grandes empresas tecnológicas están haciendo.

Román Ramírez nos recordaba cómo por ejemplo el protocolo IPv6 que lleva tiempo tratando de sustituir al tradicional IPv4 no acaba de imponerse, y eso que por ejemplo mientras que en IPv4 IPsec es un componente opcional, en IPv6 es obligatorio. Solo por eso este protocolo es más seguro y plantea ese cifrado nativo de las comunicaciones, pero la industria no parece tener ninguna prisa por implantarlo.

¿Por qué? La razón es evidente: cada una de las grandes está tratando de imponer sus propios estándares para "proteger" nuestras comunicaciones y cifrarlas, eso sí, manteniendo ellos el control de dichos protocolos. Ramírez nos recordaba cómo IPv6 "tiene muchos mecanismos de seguridad que harían muy complejo que las agencias nos espíen, pero además los proveedores pierden visibilidad".

WikiLeaks #Vault7 confirms CIA can effectively bypass Signal + Telegram + WhatsApp + Confide encryptionhttps://t.co/h5wzfrReyy

— WikiLeaks (@wikileaks) 7 de marzo de 2017

¿Qué hay entonces del cifrado extremo a extremo del que tanto se habla en los últimos tiempos? Las aplicaciones de mensajería los aprovechan, pero para Ramírez "el cifrado es ahora mismo inexistente".

Incluso la seguridad del protocolo Signal utilizado por WhatsApp y otras herramientas parece ser inútil según destacaba este experto, que nos recordaba que entre los muchos documentos filtrados por Wikileaks en Vault 7 estaban los que indicaban que el cifrado de Signal podía ser superado por agencias como la CIA.

En Wired aclaraban esa amenaza y explicaban que al final esos documentos hablaban de tomar control del dispositivo de forma remota, no de la comunicación en sí. Eso haría que precisamente cifrar la información no tuviese sentido ya que un atacante tendría acceso a esa comunicación tal y como lo hace el usuario de ese móvil, por ejemplo.

Ese acceso a esas comunicaciones se suma a amenazas conocidas del propio sistema SS7 (Signalling System No. 7) que se usa en las llamadas de voz a nivel mundial. Basta un número de teléfono objetivo para hackear esas comunicaciones, cuyas comunicaciones con ese famoso cifrado extremo a extremo no son infalibles ni mucho menos.

En este punto Ramírez volvía a recordarnos cómo las grandes están tratando de controlar todo ese segmento. En Google, por ejemplo, "intentan que todo se mueva a través de los protocolos que ellos controlan, porque todo tiene que ver con el control de esos protocolos". No es la única que mueve ficha en ese sentido, y como decía este experto,

Google y Facebook intentan forzar el cifrado irrompible, no por quererte mucho, sino porque quieren tener la llave única para ese petróleo. Si va todo cifrado, los únicos que que pueden acumular info de los ciudadanos son ellos. Y con eso, se lo revenden a los gobiernos (si les apetece)

¿Cómo logran convencernos de que usemos esos protocolos? Una vez más, la respuesta es sencilla: haciendo que todo sea más cómodo y rápido para el usuario. Para Ramírez estamos sacrificando constantemente privacidad a cambio de comodidad, y las empresas no nos dan demasiadas opciones para que todo sea algo menos cómodo aunque ganemos en privacidad. "El diablo siempre te lo pone fácil", argumentaba.

En Xataka | NSA: un compendio del escándalo

Un grupo de hackers ha borrado el vídeo musical de la canción 'Despacito' con la que el artista Luis Fonsi había superado recientemente todo un hito: superar las 5.000 millones de visualizaciones. El vídeo ha reaparecido poco después.

Los responsables del ataque parecen haber logrado acceso a la cuenta oficial de Luis Fonsi en YouTube además de otras de artistas como Shakira, Maroon 5, Taylor Swift y Drake.

Vídeos modificados o borrados

Varios videoclips han sido modificados para mostrar que han sido hackeados en su título, algo que de hecho ocurrió inicialmente con el videoclip de 'Despacito'.

This is the first time I get to see a @YouTube account compromised ( @LuisFonsi's) and a title changed on his 5-billion-views' hit, "#Despacito". pic.twitter.com/4UHUf02Ty2

— Gianluca Varisco (@gvarisco) 10 de abril de 2018

Tras esa primera modificación, el vídeo acabó desapareciendo de YouTube para luego reaparecer con el número de visitas intacto —este es el enlace oficial desde el que se muestra el aviso—, algo sorprendente que de momento parece responder a un ataque de hacking.

Uhm! @Vevo @Vevo_Media you better check what's going on. Something is wrong. pic.twitter.com/Hdws6qLhi8

— Gianluca Varisco (@gvarisco) 10 de abril de 2018

El descubrimiento lo ha hecho Gianluca Varisco en Twitter, donde hoy detectó lo que pasaba con la cuenta oficial de Luis Fonsi y otras cuentas asociadas a Vevo como la de Shakira o Maroon 5.

Quite the collection they have going it would seem - https://t.co/EtB9Gi2r0h pic.twitter.com/e1cROrVNXb

— Thomas O'Neill (@thomasp_oneill) 10 de abril de 2018

Algunos usuarios que buscaron por el título 'Hacked by Kuroi'SH' (uno de los responsables del ciberaataque) mostraban capturas en las que esos y otros artistas parecían haber sido atacados, aunque en estos momentos los títulos de vídeos como los de Shakira o Maroon 5 parecen haber sido modificados para mostrar el título original y oficial de esos videclips.

Hacked @YouTube @shakira @postmalone+ more@YouTube @SusanWojcicki I'm already in your account too

— Kuroi'SH (@sh_kuroi) 10 de abril de 2018

@YouTube Its just for fun i just use script "youtube-change-title-video" and i write "hacked" don t judge me i love youtube <3

— Prosox (@ProsoxW3b) 10 de abril de 2018

Dos de los responsables del ataque, Kuroi'SH y Prosox, están publicando mensajes en Twitter en los que están avisando de cómo están ganando acceso a otras cuentas, e incluso revelan que tienen acceso a la de la presidenta de YouTube, Susan Wojcicki. Prosox ha indicado que el ataque se ha realizado con un script que permite cambiar los títulos, pero el borrado del vídeo 'Despacito' revela que el acceso va más allá.

Ni los responsables de YouTube ni los de Vevo han ofrecido comentarios de momento al respecto.

[[actualizacion: {"text":"Actualización (10/04/2018, 14:15): el videoclip de 'Despacito' ha reaparecido como si nada hubiera ocurrido."}]]

[[actualizacion: {"text":"Actualización 2 (11/04/2018, 10:40): Un portavoz de YouTube ha indicado que 'Luego de registrar una actividad inusual en algunos canales de VEVO, trabajamos rápidamente con VEVO para inhabilitar el acceso mientras investigamos el problema'. Los responsables de VEVO también han enviado un comunicado oficial indicando que 'Vevo puede confirmar que una serie de vídeos de su catálogo han sido objeto hoy de una violación de seguridad, que ya ha sido contenida. Estamos trabajando para restablecer todos los vídeos afectados y para que nuestro catálogo vuelva a funcionar a pleno rendimiento. Seguimos investigando la fuente de la brecha'."}]]

En Xataka | Kevin Mitnick, genio o figura de uno de los hackers más famosos de la historia

Los móviles nos han cambiado la vida, pero hemos tenido que hacer sacrificios para disfrutar de todas sus opciones. Uno de los más importantes es el de la privacidad, pero hay un proyecto que quiere ofrecer una alternativa muy 'maker' y muy orientada a proteger esa privacidad.

Se trata del FreePhone, un proyecto desarrollado por dos expertos en seguridad españoles que ahora han publicado su trabajo para que cualquiera pueda construirse un smartphone casero. Una Raspberry Pi y algunos componentes adicionales son todo lo que necesitas para crear un móvil desde cero.

Montarte un teléfono básico es más sencillo de lo que imaginas

Los creadores del FreePhone son @mindcrypt y @coke727, y como indican en el repositorio oficial de GitHub, todo surgió a partir de una conversación sobre privacidad y esteganografía.

De hecho al usar un smartphone convencional, explicaban, "no sabíamos qué estaba pasando dentro de estos dispositivos y no es fácil saber cuáles son los servicios que están ejecutándose y qué uso hacen de nuestros datos".

El proyecto cuenta con una wiki en la que se documenta todo el proyecto, desde los componentes necesarios hasta el montaje de los mismos para obtener el resultado final. La idea es la de lograr construir un móvil básico que permita llamar, colgar, enviar voz, recibir voz y que cuente con una interfaz táctil.

Piezas muy sencillas de conseguir

Para ello han elegido una serie de piezas fáciles de adquirir y que permiten completar el montaje. En primer lugar, una Raspberry Pi 3 Model B o una Raspberry Pi Zero, pero parece más recomendable la RPi3 por haberse encontrado algunas incompatibilidades en la Pi Zero.

Para esa interfaz táctil hacen uso de una pantalla Adafruit PiTFT de 2,8 pulgadas, mientras que para alimentar el móvil acabaron comprando una batería externa con dos puertos USB para alimentar tanto la Raspberry Pi como el módulo GSM.

Precisamente ese módulo GSM es otro de los componentes clave: es muy fácil hacerse con uno de ellos en tiendas online, y los creadores del proyecto indicaban por ejemplo este modelo con un chip SIMCOM SIM900. Para los auricularres y el micrófono reciclaron unos que tenían y de los que eliminaron la diadema pero conservaron la conexión minijack para conectarlos a ese módulo GSM.

Tras seguir los pasos de instalación que se indican en la guía obtenemos un resultado singular. Es cierto que el diseño es muy "crudo", pero incluso podemos aliviar ese apartado haciendo uso de una carcasa de la que comparten el diseño para imprimirlo en una impresora 3D.

Un móvil GSM básico casero cuesta poco más de 100 euros

El coste total del proyecto es muy reducido (unos 40 euros de la Raspberry Pi 3, unos 35 dólares de la PiTFT, 21,50 euros del módulo GSM, 12,95 euros para la batería externa).

El resultado es lógicamente tosco si lo comparamos a un smartphone convencional, pero sigue siendo sorprendente lo que se puede hacer con algo de tiempo, dinero yesas piezas accesibles en el mercado.

Más allá de esos 100-120 euros que cuestan los componentes, está esa interesante propuesta con la que aprenderemos a desarrollar un móvil GSM funcional.

Puede que no seas capaz de hacer ni una foto con él, pero probablemente te sientas algo más seguro a la hora de llamar y recibir llamadas. El proyecto además está abierto a futuras mejoras por parte de quien quiera aportar.

Más información | FreePhone en GitHub
En Xataka | Los linuxeros jamás se rinden: Librem 5 es el smartphone que quiere luchar con Android e iOS

Aquella mañana del 12 de mayo de 2017 nos despertábamos con la noticia de un ciberataque a Telefónica. Aquel suceso era en realidad parte de un ciberataque masivo realizado con un ransomware llamado WannaCry.

Ha pasado algo más de un año de aquello, y durante todo este tiempo hemos visto cómo los ataques de ransomware se convirtieron en una de las grandes amenazas en el segmento de la ciberseguridad.

Así atacó WannaCry

Aquel problema puso de manifiesto la relevancia de estos ataques de ransomware, y en esas primeras horas pudimos conocer cómo la reacción de Telefónica y otras empresas afectadas fue la de notificar a sus empleados que apagaran sus ordenadores para evitar que el problema les afectase o se propagase aún más.

Las medidas fueron más allá en esta y otras empresas, que trataron de minimizar los daños causados por WannaCry. Telefónica pronto dejó claro que este no era un ciberataque específicamente dirigido a ellos, sino que era un ataque masivo que afectó según las estimaciones a más de 300.000 máquinas en 150 países.

Lo que hacía este ransomware era encriptar todos los datos del equipo de forma que el usuario no pudiera acceder a ellos salvo con una clave que solo podrían obtener previo pago de un rescate ('ransom', de ahí el nombre de esta familia de ataques) en criptodivisas. En concreto los responsables pedían un rescate de aproximadamente 300 dólares en forma de bitcoins.

Los primeros días tras el ataque fueron de actividad frenética, y pronto aparecerían algunas soluciones parciales al problema, como el célebre mecanismo 'kill switch' descubierto casi por accidente. Marcus Hutchins, el responsable de aquel descubrimiento, acabaría siendo detenido por el FBI meses después por haber realizado ataques de hacking entre 2014 y 2015.

Soluciones de emergencia: prevenir es mejor que curar

Microsoft pronto corregiría el problema que afectaba a sus sistemas operativos, y de hecho hasta publicó un parche para Windows XP, un sistema operativo que hace años que dejó de tener cualquier tipo de soporte.

El puerto 445 utilizado por WannaCry para propagarse sigue abierto en cientos de miles de máquinas incluso después del ataque. Paradójicamente la situación no ha mejorado. Es como si no aprendiéramos de nuestros errores, o no quisiéramos hacerlo.

Entre esas soluciones estaba 'WannaCry File Restore', una herramienta de Telefónica que recuperaba los archivos en ciertos casos, pero el ataque seguía presente no solo en su formato original, sino también con variantes que por ejemplo corregían el problema del kill-switch que lo hacía menos efectivo de lo que probablemente imaginaban sus creadores.

Aquel ciberataque dejó más claras que nunca las consecuencias que podía tener un problema de seguridad de estas dimensiones. No solo en empresas, sino también en servicios básicos como el de la Sanidad, en el que estos ciberataques podrían ser responsables directos de muertes de pacientes por no poder mantener los sistemas informáticos de un hospital, por ejemplo.

WannaCry sigue siendo un misterio en muchos aspectos

La investigación que trató de descubrir a los responsables del problema no fue concluyente, pero varios analistas de seguridad de diversas empresas estudiaron el código del malware y dedujeron que este ciberataque masivo procedía de Corea del Norte. Aunque los argumentos eran razonables y pusieron a ese país en el punto de mira —Estados Unidos responsabilizó a ese país formalmente—, lo cierto es que no había seguridad completa al respecto.

Mientras tanto la picaresca también se nutrió del fenómeno: hubo quien trató de difundir en medios y redes sociales mensajes a los afectados para que enviaran el pago del rescate a una cartera de bitcoins distinta de la que indicaban los creadores del ransomware. Aquella cuenta original tuvo un total de 349 transacciones por valor de 51,54 BTC, el equivalente a 371.000 euros con el valor actual de estas criptodivisas en el momento de escribir el artículo.

El problema de recaudar el rescate en bitcoins está en que esas carteras son públicas y se puede intentar seguir el rastro del dinero (virtual) a medida que se va moviendo. Los responsables del ransomware recolectaron esos bitcoin en tres carteras distintas, y varios meses después del ataque acabaron moviendo el dinero a otros sitios. Eso y la alta volatilidad de los bitcoin ha hecho que los cibercriminales estén dejando de pedir rescates en bitcoins.

Una de copias de seguridad, por favor

La vulnerabilidad de Windows de la que se aprovecharon los responsables de WannaCry llevaba años al descubierto, y de hecho la propia NSA había aprovechado el exploit llamado EternalBlue liberado por el grupo de hackers llamado The Shadow Brokers para sus tareas de espionaje y monitorización masiva. Aquella variante afectaba a diversas versiones de Windows, pero meses después se ha confirmado que al menos tres variantes llamadas EternalChampion, EternalRomance, y EternalSynergy aún seguían afectando a varias versiones de Windows, aunque en menor número que WannaCry.

La efectividad de aquel ataque masivo hizo que lamentablemente este tipo de sucesos se hicieran mucho más frecuentes a partir de ese momento. Menos de dos meses después de la aparición de WannaCry atacaba NotPetya, un nuevo ransomware que causó el caos en diversas organizaciones. Una vez más se volvió a poner de manifiesto la importancia de realizar copias de seguridad y de aplicar las actualizaciones inmediatamente, algo que también fue causa de la virulencia de estos ciberataques.

Esas medidas básicas siguen aún así sin ser aplicadas por multitud de empresas, que o bien no pueden hacerlo en ciertos casos por conflictos con software existente o bien no cuentan con políticas de ciberseguridad adecuadas. Eso ha hecho que incluso meses depués WannaCry siga infectando a algunos organismos y empresas como LG, el sistema de radares de tráfico de una región de Australia o inclugo Boeing, que se infectó a finales de marzo de 2018.

Eternal Blue parece efectivamente eterno

La base de WannaCry, Eternal Blue, ha sido además responsable de que otros ciberataques algo distintos también se hayan convertido en tendencia: aquellos que minan criptodivisas en nuestros equipos sin que nos enteremos. Algunos de estos malwares incluso compiten entre sí para "matarse" y que solo quede uno, aquel que es el que acaba minando solito las criptodivisas con el gasto energético y de recursos que eso implica en nuestros PCs y portátiles.

De hecho los ataques de ransomware han crecido de forma muy notable .En CheckPoint analizaban esa evolución y contaban cómo en 2015 se estimaba que este tipo de ciberataques causaron 325 millones de dólares en daños.

En 2017 esa cantidad se multiplicó por 15, pero es que otro estudio de Recorde Future mostraba cómo antes de WannaCry se registraron 635 variantes de malware, y en febrero de 2018 ese número había crecido a 1.105 variantes.

El exploit de Eternal Blue que como decimos fue el germen de todo este desastre, sigue activo. Lo demuestra un estudio de la empresa de seguridad Rapid7 que de hecho creó el llamado Project Heisenberg para monitorizar la actividad entorno a esta vulnerabilidad.

Esos intentos de ataque no han hecho más que aumentar en los últimos meses, y no parece que estemos ni mucho menos a salvo de futuros (grandes) sustos en este sentido. ¿Es que no aprendemos?

En Xataka | Ni Linux ni macOS te salvarán del ransomware: la condena de Windows es su popularidad

Meses aciagos están viviendo todos los que invirtieron en bitcoin y otras criptodivisas en los últimos meses. El valor de bitcoin llegó a superar brevemente los 20.000 dólares a finales de 2017, pero en las últimas horas está por debajo de los 7.000 dólares.

La caída del valor de bitcoin ha arrastrado al resto de criptomonedas, y desde que comenzó 2018 bitcoin no levanta cabeza. Un nuevo caso de hackeo ha hecho que la moneda virtual más popular del mundo vuelva a caer de forma notable en su valor.

De los 20.000 a los (apenas) 7.000 dólares

Todo era de color de rosa cuando a finales del año pasado bitcoin crecía a ritmos increíbles y pasaba de los 5.000 a los 10.000 y luego a los 20.000 dólares de valor en un suspiro.

Aquella época pasó. Desde que se inició el año diversos factores han contribuido a que el valor de un bitcoin caiga a menos de la mitad de lo que valía en aquella época. La regulación en países como China o Corea del Sur y casos de robos por hacking como el de Coincheck han dejado la confianza de los inversores mermada.

El valor de bitcoin ha caído más del 50% desde aquellos tiempos felices, y aunque en las últimas semanas la criptomoneda había mantenido valores algo más estables, un nuevo hackeo a un exchange (un mercado de compra, venta e intercambio de criptodivisas) ha sacudido de nuevo su valor.

Todo un desastre para muchos inversores

Se trata del robo que han sufrido en Coinrail, un exchange de Corea del Sur realativamente pequeño. No parece que el caso haya sido tan escandaloso como otros del pasado, y sus responsables aseguran por ejemplo que el 70% de sus cripdivisas estaban en las llamadas "cold wallet", carteras que no están conectadas a internet y a las que los hackers tienen un acceso mucho más complejo.

Como señalan en TechCrunch, la elevada volatilidad de estos mercados ha hecho una vez más que el precio de bitcoin arrastre al resto de criptodivisas, que de media han caído alrededor de un 6%. Para algunos esto podría ser una demostración más de que bitcoin y el resto de criptodivisas no va a ninguna parte. Para otros muchos no es más que una nueva oportunidad de invertir —esto no es una recomendación, ojo— y esperar a que cambien las tornas.

Lo que es cierto es que quienes invirtieron en criptodivisas y lo hicieron pagando con tarjetas de crédito o pidiendo precisamente créditos bancarios para este tipo de operaciones —hubo quien hipotecó su casa— lo estarán pasando ahora realmente mal. Es evidente que todo podría cambiar en el futuro y bitcoin podría volver a subir de valor, pero es igualmente posible que esta y otras criptodivisas acaben cayendo aún más. La montaña rusa sigue su marcha imparable.

Vía | TechCrunch
En Xataka | Cuando dos pizzas costaban 10.000 bitcoins: hoy equivaldrían a 70 millones de euros

Divide y vencerás. Esta estrategia de resolución de problemas ha demostrado su eficacia durante décadas. Siglos, incluso. Aseguran los libros de historia que la clave del éxito que alcanzaron Julio César y Napoleón fue, en gran medida, la vehemencia con la que aplicaron las máximas latinas «divide et impera» (divide y domina) y «divide et vinces» (divide y vencerás), que, en realidad, son dos formas de describir la misma idea: rompe en trozos más pequeños la estructura de poder existente y mantendrás bajo tu control a los grupos resultantes.

Más allá de su aplicación en materia bélica, política y sociología, lo que nos propone esta táctica en el ámbito de la informática y las matemáticas no es otra cosa que descomponer un problema grande y complejo en otros más pequeños, y, por tanto, a priori más fáciles de resolver. A su vez, si la complejidad de estos últimos sigue siendo elevada, podemos volver a aplicar a cada uno de ellos la misma estrategia hasta dar con la solución. Esta idea tan simple tiene unas raíces muy profundas que contribuyen al sostenimiento de la informática tal y como la conocemos hoy en día. Y, al mismo tiempo, representa el pilar sobre el que se construye la computación parásita, que es la auténtica protagonista de este artículo.

Todo empezó con los sistemas distribuidos

En realidad, la computación parásita no es una técnica nueva. La dieron a conocer en 2001 cuatro investigadores de la Universidad de Notre Dame, en Indiana (Estados Unidos), mediante la publicación de su trabajo en la revista Nature. El propósito de Albert-László Barabási, Vincent W. Freeh, Hawoong Jeong y Jay B. Brockman era demostrar que es posible transformar la infraestructura de comunicaciones que conforma Internet en un sistema distribuido de computación en el que un conjunto de servidores lleva a cabo operaciones de cálculo de forma involuntaria y en beneficio de una tercera máquina, con la que se comunican utilizando los protocolos estándar de Internet.

Un sistema distribuido está constituido por un conjunto de ordenadores físicamente independientes pero conectados por una red de comunicaciones que les permite colaborar para resolver cálculos complejos

Sé que esta descripción es algo compleja y poco intuitiva, así que la iremos desgranando poco a poco para entenderla bien porque, en realidad, la idea que subyace bajo ella es bastante sencilla. Empezaremos averiguando qué es un sistema distribuido. Podemos imaginarlo como un sistema informático que no está constituido por una sola máquina, sino por varios equipos físicamente separados y con capacidad computacional, pero conectados entre sí mediante una red de comunicaciones. Su objetivo más importante es cooperar para resolver un problema, y la forma de hacerlo requiere recurrir, precisamente, a la estrategia de la que hablamos en las primeras líneas de este artículo: divide y vencerás.

Si somos capaces de descomponer un problema grande y complicado en otros más pequeños y simples posiblemente podremos repartir la carga de trabajo entre varias máquinas capaces de cooperar entre ellas con un objetivo final común. De esta forma cabe la posibilidad de que obtengamos el resultado que buscamos en menos tiempo. Como veis, es una idea sencilla, pero ilustra bastante bien y de una manera intuitiva en qué consiste un sistema distribuido. Curiosamente, esta tecnología existe desde hace décadas, prácticamente desde la invención de Internet, y está mucho más presente en nuestro día a día de lo que podemos imaginar.

Una forma eficaz de resolver un problema consiste en dividirlo en otros más pequeños y fáciles de solucionar

De hecho, muchas de las aplicaciones y servicios que hemos utilizado, y aún continuamos usando, durante las últimas dos décadas, en realidad, funcionan gracias a la computación distribuida. Este es el caso, entre otros muchos ejemplos posibles, de las aplicaciones P2P (Peer to Peer), como BitTorrent o eMule, que no son otra cosa que sistemas distribuidos diseñados para permitirnos compartir recursos (en este caso ficheros). No obstante, antes de seguir adelante, y para afianzar los conceptos, nos viene bien definir con claridad en qué se diferencian los sistemas distribuidos y la computación distribuida.

Los primeros en el contexto que nos ocupa hacen referencia a los elementos físicos: las máquinas o equipos informáticos que ejecutan los programas y la infraestructura que hace posible que esos nodos, que es como realmente se llama cada una de las máquinas en la terminología utilizada en redes de comunicaciones, «hablen» entre ellos. Sin embargo, la computación distribuida es un concepto un poco más amplio porque se preocupa del diseño y la programación de los sistemas distribuidos de manera que sean escalables (permitan incrementar el número de nodos sin dificultad), transparentes para los usuarios, abiertos y tolerantes a fallos. Esta última característica implica que si un nodo, por la razón que sea, deja de funcionar correctamente, el sistema distribuido pueda continuar trabajando sin él.

Las redes P2P (Peer to Peer) son sistemas distribuidos diseñados para permitirnos intercambiar recursos sin utilizar servidores dedicados.

Lo que hemos visto hasta este momento nos permite intuir sin esfuerzo por qué los sistemas distribuidos son importantes: gracias a ellos podemos acceder a una capacidad de cálculo muy superior a la que tiene cada una de las máquinas que los conforman por separado. Esta aproximación resulta crucial a la hora de resolver problemas muy complejos que representan un reto inabarcable para un solo ordenador, por potente que sea, como son muchos de los que están llevando a cabo actualmente numerosos grupos de investigación en medicina, energía, genética, farmacia o astrofísica, entre otras disciplinas.

Esto explica, además, que la computación distribuida sea un pilar fundamental de una rama de la informática que cada vez está adquiriendo una mayor relevancia: la computación de altas prestaciones. Su objetivo es, sencillamente, sacar el máximo partido a la capacidad de cálculo de los sistemas informáticos que tenemos actualmente para que nos permitan resolver los problemas de mayor envergadura a los que nos enfrentamos hoy en día.

Esta es la ingeniosa táctica utilizada por la computación parásita

Volvamos a la historia de los cuatro investigadores de los que os hablé unos párrafos más arriba. Barabási, Freeh, Jeong y Brockman se dieron cuenta de que los protocolos estándar que utilizan nuestros ordenadores para comunicarse a través de Internet podían ser utilizados para transformar un conjunto de esas máquinas en un sistema distribuido, pero con una característica peculiar: las máquinas que llevan a cabo gran parte del esfuerzo computacional, las que resuelven una parte del trabajo duro, lo afrontan de manera involuntaria. No saben qué están haciendo en realidad porque lo único que perciben es que están participando en una comunicación convencional a través de Internet.

Lo más interesante de la computación parásita es que utiliza los protocolos estándar de Internet para conseguir que un conjunto de máquinas resuelva un problema de forma involuntaria

Esta estrategia es muy ingeniosa porque permite que una sola máquina, la que inicia la comunicación y la que, en última instancia, se beneficia de los cálculos que llevan a cabo las demás de forma involuntaria, se salga con la suya sin que las otras se den cuenta. Esa es, lógicamente, la máquina «parásita». De ahí procede el nombre de este paradigma de programación, al que también se conoce como «computación sigilosa» por su capacidad de llevar a cabo su cometido sin hacer ruido, sin que las máquinas «parasitadas» y sus propietarios sean realmente conscientes de lo que está sucediendo por debajo.

Para entender cómo funciona este método con precisión nos viene de maravilla recurrir a la misma explicación defendida por los investigadores que lo desarrollaron en el artículo que publicaron en Nature, y cuya lectura os recomiendo si os defendéis con el inglés y queréis profundizar aún más en la computación parásita. Vamos allá. El conjunto de protocolos que hace posible que nuestros ordenadores se comuniquen a través de Internet está organizado en varias capas de abstracción superpuestas, de manera que cada uno de ellos realiza una parte del trabajo necesario para llevar a cabo la comunicación sin preocuparse de lo que hacen los demás.

En la computación parásita la comunicación entre la máquina que se beneficia de esta práctica y los equipos «parasitados» se lleva a cabo a través de un diálogo TCP/IP convencional.

De esta forma, cuando tecleamos una dirección web en la barra de direcciones de nuestro navegador este inicia una conexión TCP (Protocolo de Control de Transmisión) con un servidor web. Para no complicar demasiado la explicación no vamos a profundizar en las características de cada protocolo de Internet, pero no dejéis que las siglas os intimiden; nos basta recordar que TCP es un protocolo muy importante utilizado en las comunicaciones en Internet. A continuación, expide una petición utilizando otro protocolo esencial conocido como HTTP (Protocolo de Transferencia de Hipertexto) que se afianza sobre la conexión TCP de la que hemos hablado antes.

Como estamos viendo, unos protocolos trabajan «por encima» de otros, dando forma a esas capas de abstracción de las que os hablé antes y conformando una estructura que podemos imaginar como una «pila de protocolos» en la que cada uno de ellos se beneficia de los servicios que le ofrece el que tiene debajo, y, al mismo tiempo, ofrece sus servicios al protocolo que tiene por encima. Sigamos adelante. Ya tenemos establecida una conexión TCP entre nuestro navegador y un servidor web, e iniciada una petición HTTP, así que llega el momento de que entre en acción un protocolo más que también tiene una importancia enorme: IP (Protocolo de Internet).

Este último se responsabiliza de que el mensaje TCP llegue a su destino, que puede ser una máquina situada físicamente a miles de kilómetros de distancia. Para lograrlo, el protocolo IP fragmenta el mensaje en varios paquetes más pequeños que no tienen por qué viajar entre el origen y el destino siguiendo el mismo camino. Lo realmente importante es que lleguen a su destino correctamente, sorteando la congestión y cualquier otro problema con el que van a encontrarse a medida que van viajando de un router a otro a través de Internet. Por fin, cuando la petición HTTP llega al servidor web con el que se ha establecido la comunicación inicialmente, este último envía una respuesta al navegador del usuario utilizando la misma conexión TCP.

No es necesario que repasemos con más profundidad cómo se administra el tráfico de los paquetes a través de Internet y qué papel desempeña cada uno de los protocolos involucrados en la comunicación, pero lo que acabamos de ver nos permite intuir con bastante precisión el considerable esfuerzo de cálculo que deben realizar tanto las máquinas que delimitan los puntos inicial y final del enlace como los nodos intermedios. Incluso aunque el objetivo sea, sencillamente, consultar una página web. Lo más interesante de la arquitectura que hace posible el funcionamiento de Internet es que se sostiene sobre la cooperación y la confianza de los equipos involucrados en el proceso de comunicación.

Precisamente, son esas dos características, la cooperación y la confianza entre las máquinas conectadas a través de Internet, las que aprovecha la computación parásita para conseguir utilizar los recursos de algunas de esas máquinas sin su consentimiento con el objetivo de resolver un problema determinado. Pero este propósito solo es factible recurriendo a la estrategia de la que hablamos al principio del artículo: divide y vencerás. Y es que para que un problema complejo pueda ser resuelto utilizando esta técnica es necesario descomponerlo en tareas más pequeñas y simples que puedan ser evaluadas y solventadas por las máquinas conectadas a Internet.

Se aprovecha, sí, pero no compromete la seguridad

Una característica muy importante de la computación parásita es que, a diferencia de los virus, los troyanos o cualquier otra forma de malware, no compromete la seguridad de las máquinas involucradas. De hecho, solo utiliza aquellas partes de los servidores directamente implicadas en la comunicación a través de Internet. Esta peculiaridad es la que hace posible que las máquinas que resuelven esos pequeños problemas de los que hablábamos antes no se percaten de lo que están haciendo en realidad. Sencillamente, creen que solo están comprobando que los paquetes que reciben llegan en perfecto estado.

El alcance de la computación parásita dentro de las máquinas «parasitadas» está limitado a aquellos componentes implicados en la comunicación a través de Internet

Unos párrafos más arriba mencioné que la computación parásita es un paradigma de programación. Esto tan solo significa que propone un enfoque concreto que resulta útil para resolver un determinado tipo de problemas que pueden ser más difíciles de solucionar utilizando otras estrategias. Los cuatro investigadores que desarrollaron inicialmente esta técnica la ilustraron en el artículo que publicaron en Nature con un ejemplo al que nos viene de maravilla recurrir para que entendamos un poco mejor cómo es posible que las máquinas «parasitadas» no se den cuenta de que están trabajando para una aplicación que se está ejecutando en una tercera máquina que actúa como «parásito».

El objetivo de su ejemplo era resolver un reto matemático muy complejo conocido como «problema de satisfacibilidad booleana». Su complejidad es demasiado elevada para que profundicemos en ella en este artículo (si queréis conocerlo un poco mejor podéis echar un vistazo a este artículo de nuestros compañeros de Xataka Ciencia), pero nos basta saber que es muy complicado y que puede descomponerse en operaciones más pequeñas y sencillas. Para afrontarlo los investigadores propusieron utilizar dos máquinas conectadas a través de Internet. Una de ellas es la que pretende resolver el problema y la que, por tanto, actúa como «parásito», y la otra es la que le ayuda a solucionarlo de forma involuntaria. Esta última es la «parasitada».

Conceptualmente la computación parásita es similar a los clústeres. El de esta fotografía es el superordenador Cray Titan del Oak Ridge National Laboratory, que actualmente tiene una capacidad de cálculo de algo más de 17,5 petaFLOPS.

El parásito debe ser capaz no solo de descomponer el problema grande en otros más pequeños, sino también de codificar estos últimos bajo la forma de una relación entre un paquete de datos de red y una suma de verificación. Esta última es una operación matemática relativamente sencilla utilizada habitualmente en informática y telecomunicaciones para comprobar que los datos que se transfieren en una comunicación llegan a su destino sin sufrir ninguna alteración. Es, sencillamente, un sistema de detección de errores.

El equipo «parasitado» cree que está procesando los paquetes que recibe como parte de una comunicación TCP/IP estándar sin mayor alcance

En este contexto lo único que tiene que hacer la máquina parasitada es recoger los paquetes que le envía la máquina que actúa como parásito y comprobar si la suma de verificación es correcta. Una propiedad muy interesante de esta última consiste en que tiene una base lógica lo suficientemente sólida para implementar una función lógica, y, por extensión, también una operación aritmética. Pero lo realmente revelador es que el resultado de la comprobación de la suma de verificación que lleva a cabo la máquina parasitada es también la solución a uno de los pequeños problemas en los que ha sido fragmentado el problema grande que representó nuestro punto de partida.

De esta forma, la máquina que recibe los mensajes, la parasitada, simplemente cree que está comprobando la integridad de los paquetes de datos que llegan como parte de una comunicación TCP/IP convencional, pero en realidad está llevando a cabo los cálculos que le va encomendando la máquina que emite los paquetes y que actúa como parásito. Eso sí, para que esta estrategia funcione esta última debe ser capaz, como vimos antes, de descomponer el problema que pretende resolver en otros más pequeños, y también de codificar cada uno de ellos para que sea posteriormente procesado por el equipo que recibe los paquetes.

Este es realmente el reto que plantea la computación parásita debido a que con frecuencia los recursos computacionales que exige la generación de los paquetes son superiores a los aportados por la máquina que procesa la suma de verificación, lo que puede echar por tierra la eficiencia de esta estrategia.

Del proyecto SETI a las criptomonedas

Desde un punto de vista conceptual la computación parásita es similar a los clústeres, que son conjuntos de ordenadores físicamente independientes que están unidos a través de una red de comunicaciones que les permite comunicarse y trabajar al unísono, como si fuesen un solo ordenador con una enorme capacidad de cálculo. Se utilizan para resolver problemas muy complejos que requieren una gran capacidad de procesado. Sin embargo, entre estas infraestructuras hay una diferencia muy importante que va más allá de la manera en que están implementadas: como hemos visto, en la computación parásita las máquinas parasitadas no participan de forma voluntaria en la resolución del problema inicial, pero en un clúster cada máquina «conoce» el propósito de los cálculos que está llevando a cabo.

La computación parásita es similar a los clústeres desde un punto de vista conceptual, pero se diferencian en una característica esencial: la voluntariedad o involuntariedad de los equipos implicados

El proyecto SETI@home es un buen ejemplo de clúster en el que cada nodo participa voluntariamente con el objetivo de contribuir a la resolución de un problema. De hecho, es una iniciativa de computación distribuida desarrollada por el Laboratorio de Ciencias del Espacio de la Universidad de California en Berkeley (Estados Unidos) con el propósito de analizar señales de radio que puedan proceder de una inteligencia extraterrestre. Otro proyecto de investigación interesantísimo que también recurre a la misma tecnología es Einstein@home, diseñado para identificar ondas gravitacionales en los datos recogidos por los laboratorios GEO 600, de Alemania, y LIGO, en Estados Unidos, así como para analizar la información generada por el radiotelescopio de Arecibo, en Puerto Rico, y por el telescopio espacial de rayos gamma Fermi.

Todas las máquinas que intervienen en SETI@home y Einstein@home, así como en otros proyectos de computación distribuida similares a estos dos, participan de forma voluntaria. Esto quiere decir que sus propietarios han accedido a colaborar instalando en sus ordenadores una aplicación y cediendo recursos para que esta pueda ejecutarse. Sin embargo, como hemos visto, aunque la computación parásita puede perseguir un objetivo similar y conceptualmente tiene mucho en común con estas iniciativas de computación distribuida, alcanza su objetivo sin que los propietarios de las máquinas que llevan a cabo buena parte del esfuerzo de cálculo sean conscientes de lo que sus ordenadores están haciendo realmente.

El Modelo de Interconexión de Sistemas Abiertos (OSI) describe mediante capas cómo se estructuran y qué necesidades resuelven los protocolos de una red de comunicaciones.

Afortunadamente, la seguridad de estas últimas máquinas no tiene por qué verse comprometida por la acción de la computación parásita porque su alcance queda limitado a las partes de los servidores web directamente involucradas en la comunicación TCP/IP. Pero esto no significa que sea absolutamente inocua para las máquinas parasitadas. No lo es porque acapara recursos de estas últimas que no están a disposición de los procesos que se ejecutan de forma legítima en ellas. Además, como su acción queda camuflada dentro de los protocolos utilizados por las comunicaciones en Internet resulta muy difícil desde un punto de vista técnico tanto detectarla como impedir que lleve a cabo su objetivo.

Las implicaciones éticas y legales de la computación parásita son evidentes. Incluso aunque sea utilizada para un propósito de carácter científico, el hecho de que se apropie de recursos de algunas máquinas conectadas a Internet sin que sus propietarios lo sepan es cuando menos criticable. Pero el problema más grave es que puede ser utilizada para fines perniciosos, como, por ejemplo, para minar criptomonedas. En septiembre del año pasado el motor de búsqueda y rastreo de ficheros BitTorrent conocido como The Pirate Bay realizó un experimento entre sus usuarios para poner sobre la mesa la viabilidad de esta práctica. Y sí, no solo es posible hacerlo, sino que se está haciendo.

Desafortunadamente, no hay mucho que los usuarios podamos hacer para protegernos de estas prácticas más allá de conocer su existencia, cómo funcionan y tener cierta precaución con los servidores web que visitamos en Internet, limitando el uso de la CPU de nuestro ordenador si sospechamos que podemos ser víctimas de estos manejos. Sin duda, es un primer paso para mantenernos al margen de la computación parásita. O, al menos, intentarlo.

Imágenes | Pexels | Oak Ridge National Laboratory | Offnfopt | Scott Martin
Más información | ResearchGate
En Xataka | Algunos sitios web siguen minando criptomonedas sin que lo sepas incluso si cierras el navegador

Hace casi diez años se descubrió la primera vulnerabilidad en un dispositivo médico, concretamente en un marcapasos, y desde entonces de demostrado que esto está lejos de desaparecer. Durante la pasada conferencia Black Hat, una pareja de investigadores hicieron una demostración en directo de lo sencillo que puede ser apagar una bomba de insulina a distancia, o instalar malware en un marcapasos.

Jonathan Butts de QED Secure Solutions y Billy Kim Rios de Whitescope dieron a conocer nueve nuevas vulnerabilidades de seguridad dentro de dispositivos médicos, las cuales podrían causar daños e incluso la muerte de los pacientes.

Algunos fabricantes de estos dispositivos aún siguen usando Windows XP para su programación

Según la investigación de Butts y Rios, en los últimos dos años se han dedicado a buscar vulnerabilidades en dispositivos médicos debido a la poca atención de los fabricantes en este segmento. Ante esto, aseguran haber trabajado con ciertas compañías con tal de resolver los fallos, pero ante la falta de interés de algunas, han tenido que trasladar sus descubrimientos al gobierno de los Estados Unidos, a través del Departamento de Seguridad Nacional y la Administración de Alimentos (DHS) y Medicamentos (FDA).

De acuerdo a los investigadores, Medtronic es la compañía con más riesgos en sus dispositivos, ya que un atacante estaría en posición de enviar descargas a los marcapasos de algunos pacientes, o bien detener el dispositivo de forma indefinida, así como frenar las dosis de insulina en algunas bombas. Todo esto de forma remota y sin que el paciente se dé cuenta.

Butts y Rios menciona que las vulnerabilidades se encuentran en la red de Medtronic, una plataforma privada basada en la nube que sirve para instalar actualizaciones a los dispositivos, así como para programarlos. El problema de esta red es que toda la información no está cifrada, además, el software no cuenta con firma digital para validar la veracidad de, por ejemplo, una actualización para un marcapasos.

Los investigadores también mencionaron que toda la plataforma de Medtronic está programada en Windows XP. Ante esto, Butts y Rios aseguran que enviaron un informe al fabricante con el objetivo de que resolvieran estos fallos, donde incluso dieron ejemplos de cómo otras compañías, con sistemas y plataformas similares, habían mitigado los riesgos.

Según la información, la respuesta de Medtronic llegó 10 meses después: "Medtronic ha evaluado las vulnerabilidades según nuestro proceso interno, determinado que estos hallazgos no mostraron nuevos riesgos potenciales de seguridad basados ​​en la evaluación de riesgos de seguridad del producto existente. Los riesgos están controlados y el riesgo residual es aceptable".

A las pocas semanas de esto, Butts y Rios descubrieron que Medtronic había resuelto sólo una vulnerabilidad en su nube, pero al volver a indagar en la seguridad de los dispositivos, ahora se encontraron con éstos se conectaban a servidores web HTTP usando señales de radio sin cifrar. Esto permitiría que un atacante pueda acceder de forma remota a los dispositivos para modificar sus datos y programación.

Ante este nuevo descubrimiento, Butts y Rios dieron aviso a al DHS y prepararon todo para hacer una demostración pública en la conferencia Black Hat, donde mostraron como una persona con un iPhone puede alterar la operación de un marcapasos o una bomba de insulina.

Por su parte, Medtronic asegura que "han evaluado estas inquietudes y que cuentan con sólidas defensas para defender a los pacientes". Mientras que la FDA declaró: "valoramos el importante trabajo de los investigadores de seguridad. La FDA participa con investigadores de seguridad, industria, academia y la comunidad médica en los esfuerzos continuos para garantizar la seguridad y efectividad de los dispositivos médicos que enfrentan posibles amenazas cibernéticas, en todas las etapas del ciclo de vida del dispositivo".

En Xataka | Casi medio millón de personas en peligro debido a una vulnerabilidad de seguridad en marcapasos 'St Jude Medical'