Cuidado: hacker
Uruguay es líder en la región en gobierno electrónico: tiene un millón de expedientes digitales, 300 millones de facturas electrónicas, se hacen decenas de millones de trámites en línea y este año la DGI espera recaudar US$ 2.500 millones de pagos electrónicos. Por la reciente ley de Inclusión Financiera todos los trabajadores formales tienen, al menos, una cuenta bancaria. Hay 1.900.000 cuentas de Facebook y 340.000 cuentas de Twitter.
Estos avances generan facilidades pero también riesgos que hacen que la ciberseguridad sea más importante. Más usuarios y más información circulando, necesariamente, implican más hackers al acecho. Su tesoro son los datos personales, una llave que les permite ingresar a sitios del Estado o empresas nacionales y multinacionales.
Existen varias técnicas de ingeniería social con las cuales las personas son engañadas. En Uruguay, el principal problema detectado en los últimos años, según la Agencia de Gobierno Electrónico y sociedad de la información (Agesic), es el phishing o suplantación de identidad, que consiste básicamente en intentar adquirir información confidencial de forma fraudulenta.
"Una estrategia de engaño es enviarte un mail identificado con el banco con el que operas. Te dan un link que te lleva a la web del banco. Pones usuario y contraseña, te da error, lo haces de nuevo y listo. Pero la primera vez que lo hiciste le diste tus datos a un hacker. No estabas en la web del banco sino en una parecida", explica Santiago Pérez, director del CERTuy, consejo de seguridad informática, que depende de Agesic.
¿Hay hackers en Uruguay?
Para este tipo de ataque no se necesita ser un gurú de la informática; una persona con ganas, tiempo y un tutorial de Internet puede lograrlo. El ingeniero Alex Muller, IT Global Manager en Greycon y vTiger Open Source, lo vivió con un amigo que manejaba cuentas de varios políticos. Todas fueron jaqueadas por un administrativo de la Intendencia de Canelones. El error: tener en todas las cuentas la misma contraseña.
"Él comentaba en un portal y el usuario y contraseña que tenía ahí era igual para todas sus cuentas. El administrador de ese portal probó sus datos en otras cuentas y acertó", relata Muller.
Los hackers profesionales se dedican a ataques más específicos y son los que descubren la vulnerabilidad de un sistema y explican cómo explotarlo. "Hoy no son tan genios pero son muchos más", asegura el ingeniero.
En Uruguay hay gente con ambos perfiles pero no están cuantificados porque, según Pérez, sería como saber cuánta gente mala y buena hay. "Hay muchas personas que tienen la capacidad para hackear sistemas. De ahí a poder inferir el grado de maldad es algo muy subjetivo", opina. Sin embargo, todos los años se procesan delincuentes informáticos. En lo que va del año fueron 18.
Una de las características fundamentales que debe tener un hacker es astucia y, si conoce o estudia a su víctima, el ataque será aún más sencillo.
Las preguntas secretas de las cuentas de correo son, por ejemplo, un blanco fácil y es una de las formas de robo de password más común porque no siempre son tan secretas. "Un amigo estaba descreído del tema, entonces me fijé la pregunta secreta de su correo: ¿Profesor favorito? No era tan fácil sacarlo pero en un asado busqué la charla. Tiró dos o tres nombres. Probé y acerté. Le robé la cuenta. Eso es ingeniería social pura. Lo mejor para evitarlo es la autoidentificación doble, que además tengas que poner un código, por ejemplo, del celular", explica Muller.
Boom empresarial.
La seguridad en Internet ya no es un tema exclusivo del Gobierno y las grandes firmas de tecnología. En Uruguay, al igual que en el mundo, las empresas están cada vez más preocupadas por cuidar su información en la nube. Agesic recibe constantes consultas y hay quienes se dedican al entrenamiento de funcionarios.
"Las noticias de cuentas hackeadas no eran tan usuales como ahora. Y lo que pasó en los últimos años a nivel global, dejando expuestos a gobiernos enteros haciendo tareas de espionaje electrónicos a personas y otros Estados, ha creado una bola de nieve y demuestra que todo debe ser encriptado", razona Muller, quien hace entrenamientos en empresas.
Según Pérez, el aumento en la conciencia se debe a que las grandes empresas están preocupadas ahora en "cuidar toda la cadena" para no tener "un eslabón que sea el blanco de ataque". "Les exigen a sus proveedores tener la misma seguridad, lo que genera a nivel global un mejoramiento de los indicadores de ciberseguridad", comenta y relata un ejemplo que ocurrió en el Departamento de Estado de EE.UU. "Tiene medidas muy estrictas, pero hackers detectaron que había un grupo de empleados que pedía comida a un restaurante chino. Entonces le hackearon la página al restaurante chino, que no tenía medidas de seguridad, y a partir de ahí les instalaron un virus a estos empleados con lo que accedieron al sistema".
Telefonía
Ana desconfiaba de su novio Pablo. Tenía una amiga que trabajaba en Antel y se sintió tentada: le pidió que hurgara en su celular a través de los servidores de la empresa. Ana no sólo se hizo del registro de llamadas y mensajes, sino también del contenido de cada uno de ellos. Los nombres son ficticios pero la historia es real y fue denunciada en Antel hace tres años.
"Técnicamente siempre hay alguien que puede verlo todo, pero solo es legal con una orden del juez. Los SMS son transparentes para Antel. Las llamadas, en cambio, se pueden escuchar en el momento pero no están grabadas. Los mensajes de Whatsapp tampoco pueden verse porque están encriptados. Es importante saber qué servicios se ofrecen y cuál es su nivel de confidencialidad", sugiere Muller.
En telefonía, una aplicación permite derivar los mensajes de un teléfono a otro. También existe la que activa un micrófono que habilita a grabar el entorno. Ambas tienen buenos fines pero siempre pueden terminar en malas manos.
Un escudo contra los ladrones de contraseñas
El Centro de Respuesta de Incidentes de Seguridad Informática del Uruguay (CERTuy) está integrado por el Ministerio del Interior, Defensa, Antel, Presidencia, UdelaR y Agesic. Son los bomberos de la informática: dan respuesta ante incidentes pero también previenen, capacitan y homologan. En el primer semestre de este año detectaron 306 incidentes informáticos, que pueden haber resultado exitosos o no. En lo que va del año, en tanto, hubo 18 procesados por delitos informáticos.
SQL injection: el terror del usuario en internet
Uno de los peores ataques informáticos que se puede recibir es el SQL Injection. Con él se puede robar, borrar o modificar información de bases de datos y desfigurar sitios web. Según un ranking del Proyecto de Seguridad de Aplicaciones Web Abierta (OWASP, por su sigla en inglés) es el ataque más peligroso. La semana pasada el Sistema Comunitario de Salud de Estados Unidos informó que fue víctima de un robo de datos personales. Son 4,5 millones los usuarios que se habrían visto afectados con este ciberataque entre abril y junio de este año.
Un grupo de piratas rusos robó, en tanto, a principios de agosto cerca de 1.200 millones de credenciales de Internet a través de una gran compañía estadounidense y muchas otras en todo el mundo, según informó el diario The New York Times. Hackers han logrado en los últimos años acceder a 500 millones de casillas de correo.
Fuente: elpais.com.uy