Objetivo: hackear exámenes

De todas las dianas de los ciberdelincuentes, las universidades son un blanco fácil. En la red hay páginas disponibles a un precio asequible, incluso gratuito, en las que sólo tenemos que indicar qué dispositivo queremos atacar y qué deseamos conseguir.

De todas las dianas de los ciberdelincuentes, las universidades son un blanco fácil. En la red hay páginas disponibles a un precio asequible, incluso gratuito, en las que sólo tenemos que indicar qué dispositivo queremos atacar y qué deseamos conseguir.

Las cifras dan vértigo. De acuerdo con un estudio de la Universidad de Maryland, cada 39 segundos los hackers lanzan un ataque a dispositivos conectados a la red. Según datos de la Secretaría del Tesoro de Estados Unidos, en 2007, este país gastó 7.500 millones de dólares para protegerse de ciberataques. Una década más tarde, la cifra se había cuadruplicado. Y, a nivel global, cada año protegernos del cibercrimen nos cuesta medio billón de euros (datos de Microsoft), lo que representa apenas una cuarta parte de lo que se perderá en 2020 (2 billones de euros, según Juniper Research).

Entre todas las dianas seleccionadas por los ciberdelincuentes, las universidades son un blanco relativamente fácil. Uno de los primeros antecedentes se produjo una década atrás. En 2008, Duong Thanh, por entonces estudiante de informática en la Universidad de Texas en Dallas, publicó una investigación sobre cómo piratear Blackboard, el popular software de gestión de asignaturas de la institución. Desde entonces, Thanh ha recibido «cientos de correos electrónicos» de estudiantes que piden ayuda para hackear las cuentas de sus maestros para cambiar sus notas o ver los próximos exámenes. Y esto en realidad es apenas la punta del iceberg: robar evaluaciones o cambiar notas es lo de menos. De acuerdo con Tracy B. Mitrano, director de información tecnológica de la Universidad de Cornell, «las universidades reciben a diario millones de ataques y muchos de ellos persiguen robar información vinculada a patentes o nuevas tecnologías».

¿Cuándo cambió todo esto? Francisco Sancho, de McAfee España, nos lo explica en conversación telefónica. «Antes se requería un perfil más técnico para poder realizar algún ciberataque. Ahora todo se ha democratizado y casi cualquier persona, con un mínimo de conocimientos puede llevar a cabo un ataque. Ahora mismo esto es como cuando queremos comprar un coche y accedemos a la web para configurarlo por color, prestaciones, etc. Ahora se puede acceder a diferentes páginas y se nos pregunta qué dispositivo queremos hackear, que sistema operativo utiliza y qué queremos conseguir».

Un supermercado hacker

Es decir, actualmente existe una suerte de supermercado digital en el que se nos guía para comprar aquello que nos sirva a nuestros propósitos. Desde programas para secuestrar archivos, hasta pendrives, disponibles en Amazon, que se conectan al teclado del ordenador objetivo y nos envían las claves personales. U otro que, por menos de diez euros, puede volver loco al teclado, cambiando el orden de las letras, escribiendo cuando no hay nadie tecleando o ralentizando la aparición del texto en la pantalla. Claro que no todo se compra: en estos «supermercados» también existe el trueque.

«Hay quienes crean diferentes herramientas – afirma Sancho– y las cambian por otro tipo de malware. Tú necesitas esto que yo he creado y a mí me sirve aquello, que tú has desarrollado. Y se hace el intercambio. Es la economía colaborativa del hacking».

Esto representa un enorme problema. Ya no sólo porque no se precisa una gran formación técnica, sino porque las herramientas están disponibles (a menudo fácilmente y a un precio reducido o gratuito) para cualquiera. «Ningún escenario es bueno – confirma Sancho, experto de la empresa de ciberseguridad McAfee–, pero entre un grupo reducido de expertos y una enorme cantidad de hackers con poca formación, pero muchas herramientas, el segundo escenario es peor. El riesgo se incrementa enormemente, la propagación es más rápida y las víctimas somos todos. Para que nos hagamos una idea, la cantidad de datos vinculados a amenazas que recibe la nube de McAfee a diario, es mayor que el tráfico diario de Facebook». Así, las amenazas resultan estar omnipresentes, pero, ¿sabemos cómo atacaron la web de la Universidad de Extremadura? Hasta el cierre de esta edición, dicha información no estaba disponible. Puestos a especular, podríamos hablar de un ataque de fuerza bruta con algún programa como Hydra o John the Ripper, para obtener las claves de los trabajadores o un acceso remoto a través de un correo electrónico con una puerta trasera (Backdoor), un ramsomware o un malware espía. Cualquiera de estas opciones es posible...y está disponible de forma gratuita para que la utilice cualquiera...aún sin tener un gran conocimiento de la materia.

Según datos del Instituto Nacional de Ciberseguridad de España (Incibe) desde 2014 hasta 2017, los incidentes de seguridad en internet se han multiplicado casi por siete. La formación de expertos en seguridad informática es más que una asignatura pendiente, ya que se calcula que en 2020 quedarán «un millón de puestos de trabajo sin cubrir» relacionados con la ciberseguridad en Europa, según el director de este organismo. Adía de hoy, la ciberseguridad es además una oportunidad de negocio, ya que a nivel mundial el sector ha crecido en un 12% y un 13% en España. En nuestro país hay más de 533 empresas dedicadas a la ciberseguridad con más de cinco mil empleados. Facturan cada año 598,2 millones de euros, según datos de 2016.