Corea del Sur

Técnica del ciberataque

Para un profano comprender cómo se provoca un ciberataque es como pasearse por la «Tierra Media» de Tolkien sin brújula ni diccionario élfico. Esta semana conocíamos el desolado paisaje después de la batalla telemática que ha arrasado Bercy, la sede del Ministerio de Economía francés. Un total de 150 ordenadores fueron pirateados para hacerse con información del G-20.

Piratas informáticos chinos han logrado entrar, esta semana, en archivos militares de Corea del Sur
Piratas informáticos chinos han logrado entrar, esta semana, en archivos militares de Corea del Surlarazon

Primero hay que entender si los ciberatacantes han emprendido hostilidades contra un computador: bien por casualidad, hallando un fallo en una web, o han emprendido la cruzada con un objetivo específico a través de profesionales perfectamente organizados.

El asalto al entramado telemático francés, responde a este último patrón. Así, desde el pasado diciembre, según ha confirmado el director general de la Agencia Nacional de Seguridad de Sistemas de Información, 150 ordenadores han visto su seguridad comprometida. Por más esotérico que pueda parecernos el procedimiento, no es tan complejo si se tienen los conocimientos técnicos necesarios y, como nos aclara Mario López (experto en seguridad informática) «no se trata de que los "hacker"sean muy buenos, sino que los sistemas de seguridad no siempre son los más eficientes ni los proporcionados al calibre o tipo de información que se quiere proteger, porque vale un auténtico dineral».

Para seguir los pasos de un «intruso informático» en su ataque al Señor oscuro –es decir: los 150 PC– y el ascenso a su mano derecha, Sauron, o lo que es lo mismo: la información sustraída, nos agarramos de la mano de este experto: la primera fase consisten en buscar todos los activos (es decir: servidores) del objetivo a batir. Esta información es accesible –por muy ministerial que sea–, en tanto que hay bases de datos que nos informan tanto de las direcciones IP –el DNI de cualquier conexión a internet– así como de los dominios que tienen los organismos.

El siguiente paso consiste en localizar la fragilidad en todos los activos. Esta vulnerabilidad pasa por fallos de seguridad reconocidos y para los que existe, casi siempre, un método para hacerlo saltar por los aires, ejecutando una «acción» que le aboque a dicho fallo. Llegados a este punto, no queda otro remedio que «explotarlo» para intentar acceder al activo. Toda vez que se ha logrado este acceso, se impone, siempre que sea posible, «escalar privilegios», o lo que es lo mismo: convertirse en usuario administrador del sistema que permite tomar control de la máquina y de los datos almacenados.

Hay que ser muy persistente y armarse de mucha paciencia porque desde el momento en que se encuentra la fragilidad, hasta el final, hay que repetir, una y otra vez, el asalto a la intrusión del sistema, para poner la pica en Flandes del objetivo.

¿Qué hacer cuando quieren «tu tesoro»? Por seguir con el símil «tolkieniano», en esta nueva «Edad del Sol» cibernética se presupone que los grandes organismos tienen un procedimiento de respuesta a incidentes, que suele consistir en un protocolo tan complejo como tabulado.

La contención

Primero hay que conocer el incidente –bien por alerta de un sistema, un mail de algún cliente, prensa, etc–. A continuación, entra en juego el «triaje» –acepción médica, importada al idioma informático, que consiste en recibir los incidentes y clasificarlos según la urgencia e impacto en los activos de la empresa–. Las multinacionales y organismos tienen técnicos de guardia para estos casos. Detectado el fallo, se procede a la «contención» para lograr evitar que se expanda e intentar aislar el servidor y los datos a los que tiene acceso, en una especie de «cuarentena» telemática. El siguiente movimiento está centrado en la «erradicación».

Llegados a este punto del camino: se debería conocer la procedencia del ataque enemigo, el alcance del incidente y las posibles fuentes de intrusión. Llegados a puerto seguro, se impone una «evaluación del impacto», es decir: qué alijo se ha llevado el atacante, comprobar los posibles virus dejados, así como el número de bajas –máquinas afectadas y el coste consiguiente–. En algunos casos, los hacker piden un rescate para no publicar la información. Y en contadas ocasiones al atacante le mueve la gloria de los foros informáticos, y sólo aspira a un pequeño reconocimiento.

Si los saqueadores de «bits» franceses han logrado encontrar la piedra angular que buscaban, no sé si llegaremos a saberlo. El botín de información relativa al G-20, se postula como «caprice de dieux» en el mercado negro. En no mucho tiempo sabremos si han traficado con él, han pedido un rescate o han huido, tras venderlo, a las legendarias «Tierras imperecederas», junto a Frodo, Bilbo, y Gandalf.


80 ataques en España en 2010
La globalización tiene siempre su reverso. Nuestro país, sufrió el año pasado 80 ataques cibernéticos graves, en administraciones e instituciones clave. Exactamente el doble que el año anterior, según los datos que maneja el Centro Criptológico Nacional (CCN), que es la sección que vela por la seguridad de las tecnologías de la información y que depende del CNI.
Estados que espían a Estados. Políticos que investigan compañías de sectores estratégicos, empresas que husmean en los hallazgos de otras empresas. Nadie está libre de este tipo de amenaza que, podrían suponer el espionaje de la nueva centuria. El perfil de «atacante» es treintañero y curtido en ceros y unos. La información susceptible de ser sustraída se vende a precio de oro. Es más barato colar un troyano en un PC para causar un daño cuantitativo o sustraer información, que infiltrar durante años a un «Agente 007».