logo

CIBERCRIMEN

CIBERCRIMEN

Nuevos ataques y robos de información plantean la necesidad de repensar como se protegen los datos que circulan en internet

Wilson Vega

Subeditor de Tecnología*

El robo de más de 1.200 millo­nes de contraseñas, que, de con­firmarse, sería el mayor ataque llevado a cabo por piratas informáticos hasta ahora, vuelve a encender las alar­mas sobre cuán protegidos están los datos que recorren la red, y se convierte en el más reciente de una lista de episodios que po­nen de relieve la considerable vulnerabilidad de los sistemas de información en el mundo.

Pero, además de la magnitud (420.000 sitios fueron vulnerados por lo que se cree es una banda de una docena de hackers rusos), lo preocupante de este último ata­que es la relativa simplicidad de los medios empleados. En lugar de misteriosas agencias estata­les con tecnología de punta, los golpes de hoy los asestan ladro­nes que trabajan desde computa­doras portátiles y que hallan formas sencillas de conducir ata­ques a gran escala.

En el caso de la pandilla rusa, los hackers infectaron docenas de computadoras personales pa­ra crear una botnet, una red de ‘robots’, en los que básicamente su computadora trabaja para los criminales sin que usted lo sepa. La red instruyó a sus termi­nales ‘esclavas’ para de­tectar fallas en cada si­tio web visitado por el usuario. Si hallaban alguna, realizaban un ataque dirigido. Es una técnica que ex­pertos comparan con ir de carro en carro en un parqueadero mirando si alguno tiene las puertas sin seguro.

El problema es que la mayoría  de los sistemas de seguridad que se emplean hoy en día se basan en contraseñas alfanuméricas. Consideradas como virtualmente infalibles hace dos o más décadas, las contraseñas, son cada día más susceptibles a ataques a gran escala que, a su I vez, son más fáciles de realizar a medida que los equipos de cómputo ganan en poder y velocidad.

Miguel Ángel Mendoza, espe­cialista de la firma de seguridad digital Eset, explicó a EL TIEM­PO: «Desde el punto de vista del usuario, no basta con poseer una contraseña extensa y difícil de conocer; es necesario aplicar otras medidas de seguridad, co­mo contar con una solución ‘anti-malware’, por ejemplo. Desde la perspectiva de las empresas, apli­car medidas como cifrar los da­tos de los usuarios u ofrecer me­canismos de doble factor de autenticación (que combinan el uso de una contraseña con algún. código de verificación enviado a, un teléfono celular) contribuirá a mitigar estos incidentes de se­guridad. Llevar a cabo auditorías de seguridad en los sistemas de manera continua y aplicar correcciones de seguridad y actualizaciones es otra tarea funda­mental».

Datos de la firma Verizon su­gieren que dos de cada tres viola­ciones de sistemas de seguridad involucran el uso de contraseñas robadas. Pedirles a los usuarios que las cambien o que las hagan más complejas no ha demos­trado tener efecto en las esta­dísticas.

En abril, el mundo se sor­prendió con ‘Heartbleed’, un fallo informático que permite a los hackers abrir una puerta en OpenSSL, el sistema que encripta los datos sensibles de dos tercios de los sitios web en el planeta, y extraer piezas de información como contrase­ñas y nombres de usuario. Aunque se denunció como una seria vulnerabilidad, esta semana demuestra que poco o nada se ha hecho para solucio­narla y que el 97 por ciento de los sitios vulnerables siguen en riesgo.

¿El fin de las contraseñas?

Eso ha llevado a muchas vo­ces de la industria a plantear la necesidad de evolucionar hacia sistemas más complejos para proteger datos. Un cami­no natural es remplazar las contraseñas con métodos físi­camente asociados al usuario, como los datos biométricos. La premisa es que a un ciberladrón le resultaría inservible tener su dirección de correo si además necesita su huella di­gital o el patrón de su retina.

Otra opción es sencillamen­te encriptar toda la red, para que los datos solo puedan ser descifrados una vez llegan a su legítimo destinatario. Yahoo, uno de los mayores proveedores de servicios de correo electrónico del mun­do, anunció el jueves que per­mitirá a sus usuarios encrip­tar los mensajes que envíen mediante un sistema de encriptación PGP, una modali­dad contra la que todos los ataques de los hackers hasta la fecha han resultado infruc­tuosos.

PGP trabaja sobre una cla­ve de encriptación única que cada usuario guarda en su or­denador, tableta y teléfono móvil. De esta manera, no se­rá Yahoo (o Google, que tam­bién anunció en junio la adop­ción de un sistema similar) el que posea las claves de encrip­tación, sino que cada usuario generará sus propias claves, y sólo él y el receptor del men­saje podrán descifrarlo. Facebook, por su parte, adquirió recientemente la firma PrivateCore, que produce software para proteger información.

DE TRES ATAQUES

a sistemas informáticos involucran el uso de contraseñas robadas, según Verizon

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *