Capítulo 1 – El Salvaje Oeste: Anonimato e Impunidad en la Red
Capítulo 1 de 12
El Salvaje Oeste: Anonimato e Impunidad en la Red
A pesar de que no sale a diario en las noticias de televisión ni en los periódicos impresos, el caos está servido en la red de redes. Internet, desde el punto de vista de la seguridad, es un descontrol. ¡Madre mía qué he dicho! Voy a tener que aclarar, y muy bien, a qué me estoy refiriendo.
Por un lado, es necesario clasificar los usuarios en varias categorías dentro de ámbitos diferentes: el profesional, y el familiar o particular. Entre esas categorías se encuentran los que se preocupan por la seguridad, los que no se preocupan, los temerosos y los que no saben que existen motivos para preocuparse. Es decir, muchas compañías se preocupan de su seguridad y la de sus clientes, ya que tanto su reputación como la cartera de clientes están en juego. Otras, básicamente consideran la seguridad un gasto, invirtiendo sólo lo indispensable u obligatorio. Luego, están aquellos que son relativamente conscientes de que la seguridad es un reto constante en Internet y, pese a no ser técnicamente expertos en la materia, navegan con cierta cautela que es insuficiente para esquivar la mayoría de los peligros. También comentaba que existe un perfil de usuario que al no tener ni idea de la gran cantidad de vulnerabilidades y riesgos, no concibe la necesidad de implementar sistemas y procedimientos de seguridad que lo protejan (valga como ejemplo que muchos usuarios de productos Apple creen que no necesitan un antivirus). Finalmente, aunque no lo he mencionado, hay un tipo de personas que, simplemente, no se creen que sea posible entrar en ordenadores ajenos. Lo triste es que a estos incrédulos me los he encontrado en puestos directivos de total responsabilidad en materia de seguridad de la información.
Bien, en realidad, sea cual sea la preocupación por nuestra seguridad, tanto si protegemos los activos de nuestra empresa como a nuestros seres más queridos, lo que es incuestionable es que la arquitectura de Internet permite, a aquellos usuarios cualificados, usar la red de forma completamente anónima. Lógicamente, este anonimato trae como consecuencia directa una sensación de impunidad, que se extiende a lo largo y ancho de todos los continentes, fomentando un comportamiento criminal en el ciberespacio. A esto me refiero con caos. La coordinación legal entre países por el uso de un espacio digital no limitado, esto es, sin fronteras, es más que complicada. Conseguir la extradición de un cibercriminal no es sencillo ni frecuente, aunque vemos de vez en cuando en las noticias cómo países poderosos logran avances en este sentido. En resumen, el anonimato genera impunidad y la impunidad un aumento del crimen.
¿Qué quiere decir todo eso? ¿Acaso que reina una inseguridad global y que Internet debe ser evitado totalmente? Ni mucho menos. No porque determinadas partes del mundo sean de alto riesgo, encerramos a nuestros hijos en casa, pero tampoco dejarlos pasear por Faluya (Irak) o Kabul (Afganistán). Lo que quiero decir es que dado que el crimen no puede ser rápida ni fácilmente combatido en Internet, y al ser todos los contenidos igualmente accesibles (no es tan accesible todavía el contenido alojado en la Deep Web, también conocida como Web Invisible), no nos queda más remedio que hincar los codos y empezar a aprender para discernir con acierto lo peligroso de lo recomendable.
Las principales empresas de seguridad del mundo están trabajando muy duro cada hora del día para mejorar la seguridad de la red. Cada vez crece más rápido el sector de investigación digital, dada la complejidad del malware, software malicioso, destructivo y/o dañino (Jimeno et al., 2009) que se instala discretamente en redes militares, corporativas y familiares. El cibercrimen está profesionalizado, es rentable y, en muchos casos, pasa desapercibido. Para que te vaya sonando, hay “programas” que podrían llevar entre 3 y 5 años instalados en redes militares y diplomáticas, robando secretos que posteriormente son vendidos y/o explotados.
Igual te preguntas que por qué hablo de militares y embajadas. Pues por un motivo muy sencillo, para introducir un nuevo concepto en el libro: la selectividad. Es obvio que no me refiero al famoso examen de acceso a la universidad, sino a que en función del objetivo, el software malicioso, o malware, empleado tendrá mayor o menor complejidad. En el ciberespacio, existen distintos perfiles de crackers (que es la forma adecuada de referirse a los hackers que son delincuentes digitales), que en función de sus habilidades técnicas, enfocan sus servicios maliciosos atendiendo al perfil de la víctima. O lo que es lo mismo, igual que se diseñan verdaderas obras de arte de ingeniería informática para sortear los sistemas de seguridad digitales más modernos y complejos del mundo (sólo al alcance de gobiernos y gigantes multinacionales del sector de defensa, de acuerdo con numerosas fuentes), también se diseña malware algo más genérico, no tan sofisticado y específico, pero igualmente eficaz, para facilitar la intrusión en entornos de seguridad media y baja como son empresas de presupuesto moderado, autónomos, y el caso que más puede preocuparte si estás leyendo este libro: el entorno particular o familiar.
Es decir, que es bastante probable que tu ordenador esté infectado y no sólo no lo sepas, sino que incluso tu software de protección tarde un buen tiempo en detectarlo (Grimes, 2013). No obstante, es preciso seguir explicando un poco más. Dentro de la ciudadanía digital, se encuentran los script-kiddies a los que también se les denomina lamers, aunque este último término tenga otras connotaciones. Estos individuos suelen definirse como aspirantes a crackers (que suelen quedarse en el camino) y podría decirse que son el nivel más bajo de amenaza existente técnicamente hablando. Lo cual no significa que no tengan capacidad de hacer daño, pues existen diversas maneras de hacer el mal en el ciberespacio, que en ocasiones no implican un elevado conocimiento sobre informática. De hecho, una grandísima parte de los ciberdepredadores, utilizan Internet para sus fechorías sin disponer de conocimientos técnicos avanzados; pudiendo ser el mal causado de dimensiones desproporcionadas según la víctima y las consecuencias de su interacción (recordemos que el daño psicológico es de curación lenta y requiere un gran esfuerzo —The Lancet, 2013—). Pero volviendo a los script-kiddies, suponen una amenaza para todos aquellos que no se toman en serio la seguridad o simplemente no saben cómo implantarla. Son aquellos individuos que, pese a no ser informáticos, han adquirido determinada habilidad con herramientas desarrolladas por verdaderos crackers y lanzan ataques a quien pueden o se deja. Como su capacidad técnica sólo les permite atacar a los débiles, digitalmente hablando, suelen ejecutar programas que buscan sin cesar víctimas potenciales con unas características muy concretas: blancos fáciles. Sería el equivalente a seleccionar víctimas en función de su lenguaje no verbal mostrando signos de inexperiencia excesiva, como sucede con los extranjeros con mapas desplegados de un metro cuadrado en plena Puerta del Sol; parece que llevan una diana en el pecho con un cartel que dice “róbame, please”. Pondré varios ejemplos muy alejados de la tecnología:
Veamos el primer ejemplo. Imagina que vas de caza por África y se te ha recomendado que, en caso de que te acerques a la zona donde habitan los leones, lo hagas siempre con el viento en contra. Si aparte de ir bien perfumado, olvidas tu bote de talco para comprobar el viento, no estás atento, se te olvida o, simplemente, no haces caso a las indicaciones, acercándote al lugar donde habitan los felinos, pero con el viento viniendo por tu espalda, las probabilidades de que te huelan y, en consecuencia, sacien su hambre con tu carne, son elevadísimas. En ese caso podríamos decir que, pese a creer que no hacías ruido, ibas armando un escándalo brutal en las narices de los leones.
Como segundo ejemplo, te haré la siguiente pregunta: ¿Qué casa elegirías para entrar a robar un sábado por la noche si no hay nadie en todo el vecindario y dispones de 3 horas? Yo, una sin perro, sin iluminación exterior, sin rejas, sin cámaras ni alarma. Porque no haría falta mucho más que una piedra para entrar una vez hubiera saltado la verja. Así actúan la mayoría de los script-kiddies. Donde negligentemente se les permite.
Evidentemente, no sólo los scipt-kiddies utilizan programas para escuchar, oler, ver, sentir y probar el sabor de la red. También los crackers profesionales utilizan estos medios para reclutar masivamente ordenadores. Los infectan y los convierten en verdaderos zombis en red (botnets) a su servicio desde los cuales lanzar ataques a mayor escala o hacia objetivos muy concretos. Además, otra de las vías para lucrarse de los zombis es alquilar sus recursos. Hablando claramente, que no tengas nada importante en tu ordenador, no quiere decir que puedas desentenderte de la seguridad del mismo, pues un cracker podría estar alquilando parte de tu disco duro para almacenamiento de información ilegal (fotografías de menores, datos bancarios robados, etc.), además de, por descontado, estar lanzando desde tu ordenador ataques ilegales contra otros ordenadores. Muy posiblemente el cracker responsable permanezca en el anonimato, ¿pero también tú? Sin beberlo ni comerlo podemos vernos en una situación muy embarazosa de forma casi automatizada, ya que a ojos de la justicia, inicialmente serías tú el atacante o el propietario de los mencionados archivos ilegales. Por eso conviene respetar unos mínimos de seguridad para, por lo menos, pasar desapercibidos cuando los criminales menos avezados olisqueen por la red.
Otro ejemplo, que suele provocar alguna risa cuando lo empleo en alguna conferencia para ilustrar el ruido que hacen los ordenadores inseguros, es el del moroso. Imagina que debes dinero y uno de tus acreedores decide ir a tu domicilio para cobrar. Tú al oír el telefonillo te apresuras a apagar todas las luces, la televisión y descalzarte mientras te diriges a la puerta para mirar por la mirilla; pero olvidas quitar el sonido de tu teléfono móvil, al que, sin perder un segundo, tu acreedor llama una vez logra acceder a tu portal y ha subido a tu piso, escuchando perfectamente el sonido de tu inseparable teléfono móvil. Lo peor sería si encima tu vecina se asoma a tender la ropa y te saluda con entusiasmo. En fin, un desastre en cuanto a discreción.
Después de haber leído todo esto, espero que estés ya pensando seriamente cómo quitarle las campanillas y las luces estroboscópicas a tu ordenador y al de tus hijos, para empezar a poner freno a la inseguridad que rodea los dispositivos de tu hogar. Tranquilo, no tendrás que andar buscando en Google totalmente desorientado.
Al final del libro te garantizo que más de uno se convencerá de que la informática es una materia de estudio fundamental para todos nuestros hijos y que, sin duda alguna, debe ser incluida como asignatura obligatoria tanto en colegios como universidades, haciendo especial énfasis en la seguridad. Tal y como el inglés es indispensable en el currículum, la informática ya es un requisito incuestionable, mucho más allá del nivel usuario medio, conocido por los usuarios avanzados como luser (palabra homófona resultado de unir loser, que significa pringado o perdedor, con user, usuario). ¿Por qué se llama el capítulo el Salvaje Oeste? Porque en el ciberespacio todos pueden tener una pistola y, como veremos, se suceden los disparos continuamente.
<- Ir a la Introducción Ir al siguiente capítulo ->
=======================================================================
Eduardo Orenes
Autor de «CiberSeguridad Familiar: Cyberbullying, Hacking y otros Peligros en Internet»
=======================================================================
«Hoy es Mañana…»
NOTA:
Todo el contenido de la categoría «Libro» está protegido por Copyright. Está prohibido copiar el contenido para publicar en otros medios sin la autorización expresa del autor (aunque sí puedes, y te invito a ello, compartir los enlaces libremente).
Además, si vas a utilizar contenido parcial de este blog (cualquier otro post o entrada), debes mencionar al autor y la página web (con hipervínculo). No ya sólo por cuestiones de Copyright, sino también por temas de clonado de contenido que Google penaliza a la hora de posicionar. Por si se te olvida, he añadido un código que lo hace automáticamente cada vez que copies y pegues algún fragmento de texto de esta web 😉
Leave a Reply
Want to join the discussion?Feel free to contribute!