Ciencia y Tecnología
Técnica del ciberataque
Se necesita encontrar la vulnerabilidad de los archivos, tener mucha paciencia y al final tomar el control de la máquina. Las empresas gastan mucho dinero en evitarlo.
Para un profano comprender cómo se provoca un ciberataque es como pasearse por la «Tierra Media» de Tolkien sin brújula ni diccionario élfico. Esta semana conocíamos el desolado paisaje después de la batalla telemática que ha arrasado Bercy, la sede del Ministerio de Economía francés. Un total de 150 ordenadores fueron pirateados para hacerse con información del G-20. Primero hay que entender si los ciberatacantes han emprendido hostilidades contra un computador: bien por casualidad, hallando un fallo en una web, o han emprendido la cruzada con un objetivo específico a través de profesionales perfectamente organizados.
El asalto al entramado telemático francés, responde a este último patrón. Así, desde el pasado diciembre, según ha confirmado el director general de la Agencia Nacional de Seguridad de Sistemas de Información, 150 ordenadores han visto su seguridad comprometida. Por más esotérico que pueda parecernos el procedimiento, no es tan complejo si se tienen los conocimientos técnicos necesarios y, como nos aclara Mario López (experto en seguridad informática) «no se trata de que los "hacker"sean muy buenos, sino que los sistemas de seguridad no siempre son los más eficientes ni los proporcionados al calibre o tipo de información que se quiere proteger, porque vale un auténtico dineral».
Para seguir los pasos de un «intruso informático» en su ataque al Señor oscuro –es decir: los 150 PC– y el ascenso a su mano derecha, Sauron, o lo que es lo mismo: la información sustraída, nos agarramos de la mano de este experto: la primera fase consisten en buscar todos los activos (es decir: servidores) del objetivo a batir. Esta información es accesible –por muy ministerial que sea–, en tanto que hay bases de datos que nos informan tanto de las direcciones IP –el DNI de cualquier conexión a internet– así como de los dominios que tienen los organismos.
El siguiente paso consiste en localizar la fragilidad en todos los activos. Esta vulnerabilidad pasa por fallos de seguridad reconocidos y para los que existe, casi siempre, un método para hacerlo saltar por los aires, ejecutando una «acción» que le aboque a dicho fallo. Llegados a este punto, no queda otro remedio que «explotarlo» para intentar acceder al activo. Toda vez que se ha logrado este acceso, se impone, siempre que sea posible, «escalar privilegios», o lo que es lo mismo: convertirse en usuario administrador del sistema que permite tomar control de la máquina y de los datos almacenados.
Hay que ser muy persistente y armarse de mucha paciencia porque desde el momento en que se encuentra la fragilidad, hasta el final, hay que repetir, una y otra vez, el asalto a la intrusión del sistema, para poner la pica en Flandes del objetivo.
¿Qué hacer cuando quieren «tu tesoro»? Por seguir con el símil «tolkieniano», en esta nueva «Edad del Sol» cibernética se presupone que los grandes organismos tienen un procedimiento de respuesta a incidentes, que suele consistir en un protocolo tan complejo como tabulado.
La contención
Primero hay que conocer el incidente –bien por alerta de un sistema, un mail de algún cliente, prensa, etc–. A continuación, entra en juego el «triaje» –acepción médica, importada al idioma informático, que consiste en recibir los incidentes y clasificarlos según la urgencia e impacto en los activos de la empresa–. Las multinacionales y organismos tienen técnicos de guardia para estos casos. Detectado el fallo, se procede a la «contención» para lograr evitar que se expanda e intentar aislar el servidor y los datos a los que tiene acceso, en una especie de «cuarentena» telemática. El siguiente movimiento está centrado en la «erradicación».
Llegados a este punto del camino: se debería conocer la procedencia del ataque enemigo, el alcance del incidente y las posibles fuentes de intrusión. Llegados a puerto seguro, se impone una «evaluación del impacto», es decir: qué alijo se ha llevado el atacante, comprobar los posibles virus dejados, así como el número de bajas –máquinas afectadas y el coste consiguiente–. En algunos casos, los hacker piden un rescate para no publicar la información. Y en contadas ocasiones al atacante le mueve la gloria de los foros informáticos, y sólo aspira a un pequeño reconocimiento.
Si los saqueadores de «bits» franceses han logrado encontrar la piedra angular que buscaban, no sé si llegaremos a saberlo. El botín de información relativa al G-20, se postula como «caprice de dieux» en el mercado negro. En no mucho tiempo sabremos si han traficado con él, han pedido un rescate o han huido, tras venderlo, a las legendarias «Tierras imperecederas», junto a Frodo, Bilbo, y Gandalf.
✕
Accede a tu cuenta para comentar