BAQUIA

Los cibercriminales y el próspero negocio de la protección

El miedo a lo desconocido que supone la llegada de Internet, sumada a la desinformación y el excesivo alarmismo de muchos medios de comunicación, Gobiernos y empresas han hecho que florezca un pánico sobredimensionado a la Red.

Aquí es dónde actúa un concepto tan antiguo como el hombre: el miedo siempre acaba generando dinero en concepto de protección. Sin querer insinuar que las empresas que se lucran proporcionando seguridad informática estén actuando como los gángsters de los años 30, lo que es incuestionable es que se están viendo beneficiados por la concepción generalizada que se tiene de la Red como un mundo poblado por maliciosos y superdotados crackers dispuestos a robar y romper lo que haga falta.

Una muestra de esta preocupación creciente es que, según un reciente informe de Yankee Group, el negocio de la protección online, que movió apenas 140 millones de dólares en 2000, generará 1.700 millones en el año 2005. El brillo del dorado es tal que un antiguo director de la CIA y un ex pez gordo de la KGB se han unido incestuosamente para dar a luz a la empresa de seguridad Invicta Networks. Lo curioso será ver que empresas confían en entregar las llaves de su empresa a viejos integrantes de viene de la KGB y FBI para preservarse del indeterminado peligro de unos anónimos ciberdelincuentes.

Otro tipo de protección

También el negocio del filtrado de contenidos, que suele aparecer inexplicablemente relacionado con el de la seguridad informática, moverá 646 millones de dólares en el año 2004 según un estudio de IDC.

Este es otro sector que prospera a pasos de gigante gracias a esgrimir constantemente la protección de la infancia de los malvados pervertidores que acechan en Internet y del contenido que puede herir su infantil sensibilidad.

Lo más curioso es que gran parte de estas compañías elaboran productos pensados para el control de contenidos en las empresas. El último ejemplo es Telemate, que tiene previsto lanzar un filtro empresarial que se administra en red y que costará 4.000 dólares para oficinas de 250 empleados. O sea, que al final la moralidad es lo de menos; lo que cuenta es el dólar.

Los terribles delitos

Ni las computadoras gubernamentales son como la máquina protagonista de la película \”juegos de guerra\”, ni los hackers se parecen a Mathew Broderick, ni está a su alcance reorientar misiles e iniciar la tercera guerra mundial.

¿Qué es lo que suele hacer esta gente? ¿Cuáles son esos terribles delitos que se les imputan y que están haciendo que se muevan tantos dólares en el sector de la seguridad informática?

Pues sobre todo las pintadas en los sitios web, el acceso a la trastienda de las empresas (sólo en ocasiones con robo de información incluido) y los famosos ataques por denegación de servicio (DoS).

Primera categoría: Los pintores

Lo más común, gamberros que cambian el diseño de una página, a veces con mensajes de protesta, reivindicando cualquier cosa. Es el equivalente exacto a las pintadas que decoran millones de fachadas de edificios y vagones de metro o tren en todo el mundo. Los nuevos adolescentes prefieren el ratón al spray de pintura, esa es la única diferencia entre ellos, y ninguno de ambos merecen ser tratados como terribles y peligrosos criminales.

¿Ejemplos de pintadas? Una muy famosa en España fue la perpetrada a la página web del gobierno, en la que retocaron el rostro de Aznar e incluyeron motivos pornográficos.

Segunda categoría: Los fisgones

Los auténticos hackers son expertos que meten la nariz en todo aquello que encuentran por delante, normalmente por diversión, por deporte, por ansia de conocimiento o por hacer el bien. En algunos casos estos fisgones se dejan tentar por el lado oscuro de la fuerza y roban o alteran en vez de limitarse a ser meros espectadores.

En estos casos, los menos, tendríamos entre manos un cracker, que no un hacker, y un hacker nunca es sinónimo de criminal. Según el miles de veces mentado The Jargon File un hacker es \”aquella persona que disfruta con la exploración de los detalles de los sistemas programables y cómo aprovechar sus posibilidades; al contrario que la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible\” y un cracker es aquel que \”rompe la seguridad de un sistema\” Habrá que seguir repitiendo esta diferenciación hasta quede meridianamente clara.

En cualquier caso, ya hablemos de un fisgón bienintencionado o de su némesis, no hacen más que aprovechar que los descuidos ajenos. Igual que los propietarios de coches aprenden a cerrarlo con llave, suben las ventanillas y ponen alarmas, los responsables de las empresas susceptibles de sufrir este tipo de intromisiones están en la obligación de cubrirse las espaldas.

Imagine que va paseando por la calle y se encuentra con que una empresa, un banco o un ministerio se ha dejado la puerta abierta de par en par y no hay ni nadie vigilando la puerta. Imagine que se adentra en el edificio y no hay nadie que le impida recorrerlo tranquilamente, abrir cajones y curiosear todo lo que se le antoja. Quizás decidiera salir después de haberse cansado de pasear, tal vez decidiera llevarse \’algún recuerdo\’, puede que por travesura hubiera cambiado algo de sitio antes de irse. Ese sería, más o menos, el equivalente en el mundo real.

Un ejemplo reciente de cómo de vez en cuando estos molestos fisgones se convierten en ángeles de la guarda. Gracias a un hacker que responde al sobre nombre \”Adrien Lamo\”, [email protected] ha conseguido reparar un agujero de seguridad que dejaba libre acceso a gran parte de su red Internet (unos 3 millones de documentos).

Lamo descubrió el fallo y decidió poner sobre aviso a Excite, que reconoce que aunque no es algo frecuente, esta no es la primera vez que hackers bienintencionados le ayudan en temas de seguridad. Dejar que los expertos husmeen no siempre tiene que ser algo malo.

Tercera categoría: Los pedigüeños

En febrero del año pasado se puso de moda un tipo de ataque a las páginas web conocido como denegación de servicio (DoS o Denial of Service). Sencillo y efectivo, consiste en solicitar tantas veces una página como sea necesario para reventar el servidor que la suministra. En la primera tanda de ataques cayeron nodos tan emblemáticos como Yahoo!, Buy.com, eBay, Amazon.com, CNN.com, MSN.com, E*Trade y ZDNet, que se vieron obligados a permanecer cerrados durante horas.

Desde entonces se han ido sucediendo nuevas tentativas, que cada vez han tenido menos éxito. Nunca hay mal que por bien no venga, gracias a aquel apagón los sitios web cada vez están mejor preparados para afrontar estos ataques.

Siempre conviene no perder la perspectiva: se hacen muchas más pintadas en las paredes de ladrillo que en las páginas web, se pierden más datos en los archivos de papel ya sea por incompetencia, robos o porque los roan los ratones, que en las redes informáticas, y hay incomparablemente menos allanamientos de morada en la Red que fuera de ella.

Mezclando churras con merinas

Hay que diferenciar los delitos relacionados con la seguridad informática de aquellos que simplemente usan la Red como instrumento, pese a que muchos se empeñan (probablemente no intencionadamente, sino por desconocimiento) en meter en el mismo saco, por poner uno de los ejemplos más frecuentes, a los pedófilos que distribuyen su material usando la Red. La pedofilia es un delito que se lleva a cabo fuera de la Red y que está perseguido y sancionado en todos los países. Haciendo cumplir esas leyes offline, no habría pedofilia en Internet.

Internet es sólo un medio, hablar de cibercriminales y referirse al mismo tiempo a todo esto, sería como empezar a hablar de \’criminales de autopista\’ y englobar a todos aquellos que no hayan prestado auxilio en carretera, que hayan asesinado a alguien en un área de servicio o que hayan empleado la red de carreteras para huir del lugar de un robo. Sencillamente, no tiene sentido.

Una muestra de que los hackers son los primeros interesados en querer diferenciarse de los pedófilos es que acaban de desarrollar un gusano (un tipo virus informático) llamado Noped que no daña el sistema, sino que se limita a buscar en el disco duro del usuario archivos de imágenes con nombres que indiquen que contiene pornografía infantil. Este gusano llega acompañado del mensaje \”Help us all to end illegal child porn now\”, es decir, \”ayúdanos a acabar con la pornografía infantil ahora\” y de un extenso documento que contiene diferentes leyes existentes que regulan este delito.

En caso de encontrar este tipo de imágenes, envía un correo electrónico de aviso desde el ordenador del sospechoso a diferentes agencias gubernamentales para que actúen en consecuencia. De momento el inspector Terry Jones de la unidad de publicaciones obscenas de la policía de Manchester ha asegurado que los diferentes departamentos de la policía británica que están haciendo caso omiso de los avisos que están recibiendo porque \”la pornografía infantil es un área muy delicada\”.

La respuesta del miedo

Las medidas oficiales más recientes adoptadas en pro de la seguridad informática han venido de la mano del FBI, el Gobierno estadounidense y de la Comunidad Europea.

El FBI, esa organización que se caracteriza por su transparencia y que constantemente recibe críticas por su mal hacer (el último caso de incompetencia es el de Timothy McVeigh) ha arrestado a 62 ciudadanos acusados de colaborar en todo tipo de actividades fraudulentas relacionadas de alguna manera con Internet y robar 117 millones de dólares a 56.000 estadounidenses.

Los delitos son de lo más heterogéneo, desde fraude por correo hasta apropiación de la propiedad intelectual. En el FBI sabrán porque son cibercrímenes, porque nosotros no.

Y mientras al FBI se le cae la baba con su Centro de Quejas sobre Fraude en la Red, que ha recibido cerca de 11.000 durante los últimos siete meses de 2000, el gobierno yanqui ha destinado 8,6 millones de dólares para becar a estudiantes de seguridad informática que ejercerán de ciberpolicías tras graduarse.

No es la primera vez que el Gobierno recluta hackers para ejercer de consultores, o de sheriffs, y las empresas privadas lo han hecho cientos de veces. No deja de ser una vieja historia: los mejores cazarrecompensas siempre fueron los pistoleros reconvertidos.

El tratado europeo contra el cibercrimen

El último en levantar polvareda en materia de cibercrimen ha sido el Consejo de Europa, que ayudado por Estados Unidos y por un grupo de expertos en seguridad informática ha aprobado el borrador final del futuro Tratado Internacional de Cibercrimen.

Este borrador, que está tan fresco que aún colea, deberá armonizar las legislaciones en lo relativo a la actividad criminal electrónica, la cooperación policial entre países y los procedimientos judiciales que regirán en Europa y Estados Unidos.

La idea es que sus estados miembros sancionen aquellas prácticas que el grupo de expertos que ha confeccionado el borrador del tratado consideran cibercrimenes. Destaca el alterar, falsificar y eliminar datos electrónicos ajenos e interceptar comunicaciones privadas. Claro que los gobiernos están excluidos en este último supuesto, ellos quedan legitimados para meter las narices donde deseen.

Por supuesto meten en la misma ensalada de delitos informáticos la producción, distribución y posesión de pornografía infantil. ¡Faltaría más! La duda es cómo se las podría apañar alguien para producir digitalmente pornografía infantil.

Por otra parte, los estados firmantes gozarán de libertad suficiente para decidir si adecuar los tipos delictivos a cada legislación de modo que el mero hecho de que se den las conductas típicas no sea considerado automáticamente sinónimo de delito y sea necesario añadir los elementos de prueba que cada ordenamiento jurídico crea conveniente, o si prefieren adoptar como ley directamente aplicable cada delito del Tratado, en cuyo caso podrían perseguir judicialmente a los cibercriminales sin más preámbulos.

Los firmantes también podrán establecer si la mera posesión de contenido pornográfico es delito, o determinar dónde se sitúa la frontera entre el menor y el adulto, siempre y cuando el límite nunca baje de los 16 años.

Pero lo verdaderamente peligroso es que el Tratado anima a los firmantes a promover la aprobación de leyes que permitan a las agencias gubernamentales patrullar la Red cuando y como les venga en gana, obligando a los ISPs y gestores de Red a conservar la información sospechosa y a proporcionar los datos personales de los presuntos delincuentes sin necesidad de una orden judicial, incluyendo las claves de cifrado.

Más aún, también determina que todo lo relacionado con Internet, dado que este no tiene límites, es competencia directa de las autoridades federales y no de las locales. O lo que es lo mismo, le firma un cheque en blanco a agencias como el FBI estadounidense para husmear en las esquinas que le venga en gana. A ponerse a temblar toca…


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios