“Se han detectado troyanos para BlackBerry que actúan como micrófonos y graban las conversaciones del usuario sin que éste se entere”, advierte Bernardo Quintero, experto en seguridad informática y uno de los fundadores de la empresa Hispasec. Estos casos son mínimos, por el momento, y caen casi en el terreno de la ciencia ficción. Protegidos por el babel de sistemas operativos, los móviles todavía están a salvo de los ataques de los “cibercriminales”. No ocurre lo mismo con las redes sociales o los servicios que almacenan datos del usuario. A pesar de que los niveles de seguridad son óptimos en su mayoría, su constante crecimiento e innovación les hace vulnerables. Quintero recomienda cautela y sentido común en los servicios sociales, pero también anima a mantener la confianza en las plataformas y huir de los discursos que esconden intereses oscuros.
Hispasec es un laboratorio de seguridad informática y tecnologías de la información que comenzó a funcionar en 1998 como fuente técnica independiente y sin ánimo de lucro, con un boletín diario y un portal web. El proyecto surgió de forma espontánea entre varios técnicos que escribíamos en revistas especializadas del sector con el único afán de investigar y concienciar sobre la importancia de la seguridad en las nuevas tecnologías. Apenas dos años más tarde, nos vimos casi forzados a crear la empresa para dar respuesta a la demanda de servicios profesionales. En nuestros orígenes, nunca pensamos en convertirnos en una empresa, pero el mercado nos empujó a ello. Entre nuestros clientes hay compañías de todo tipo de sectores, como telecomunicaciones, banca, software, construcción o la propia industria de la seguridad, a la que también proveemos de tecnología. De forma paralela, mantenemos el espíritu original del proyecto y proponemos servicios gratuitos a la comunidad, como el boletín de noticias o el servicio antivirus on line VirusTotal.
No hay seguridad absoluta, ni en Internet ni fuera de ella. A partir de esta premisa, es cierto que podemos aspirar a tener en la Red un nivel de seguridad equiparable o superior al que podemos disfrutar en cualquier otro ámbito de nuestras vidas. Realizar una compra por Internet no debería ser más inseguro que pagar con la tarjeta de crédito en un restaurante o sacar dinero de un cajero automático. Sin embargo, en todos esos casos podemos ser víctimas de fraude si se dan ciertas circunstancias, que dependen tanto de la tecnología utilizada como del factor humano. De nada sirve usar la tecnología más avanzada si no hacemos un uso responsable de ella y viceversa.
Las buenas noticias son que hay tecnologías para que las transacciones en la Red sean igual o más seguras que las realizadas en el mundo físico; las malas son que no se implementan o utilizan del modo correcto en todos los casos. Hay muchas áreas de oportunidad para mejorar la seguridad en Internet y será necesaria la implicación de todos: usuarios, proveedores de servicios, desarrolladores de software, etc.
“No hay seguridad absoluta, ni en Internet ni fuera de ella”
La seguridad no está reñida con la innovación y las libertades, aunque muchos se empeñen en hacernos creer lo contrario. Hay demasiados intereses creados para controlar Internet y se utilizan el desconocimiento y el miedo asociados a la inseguridad como excusa. Se habla de seguridad versus privacidad, pero es un debate ficticio; no es necesario que elijamos entre ambas, son compatibles. Las transacciones en Internet son seguras porque hay algoritmos de cifrado que nos garantizan de forma matemática la inviolabilidad de nuestras comunicaciones. No es necesario espiar las comunicaciones de todo el mundo de forma indiscriminada para perseguir a los “malos”, tenemos derecho a poder mantener comunicaciones privadas de manera independiente a su contenido.
Muchas veces se oyen voces interesadas que dicen: “Si te preocupa que se conozca algo que haces, tal vez no deberías hacerlo”. Entonces habría que preguntarles: “¿Puedo poner una cámara en tu baño mientras te duchas?, no haces nada malo, no debería preocuparte”. La privacidad e intimidad son derechos fundamentales a los que nunca debemos renunciar.
“Para perseguir a los ‘malos’, no es necesario espiar las comunicaciones de todo el mundo de forma indiscriminada”
Sin duda. El debate de la seguridad entre plataformas Linux, Mac y Windows siempre es apasionante, pero a día de hoy, desde un punto de vista objetivo, se han equiparado mucho. Microsoft ha dedicado muchos recursos en los últimos años para mejorar la seguridad de sus productos y los resultados son más que evidentes. No obstante, Windows se mantiene como la plataforma más atacada por el software malicioso, a gran distancia de Linux y Mac. La razón es simple: los creadores de software malicioso quieren maximizar beneficios y, por tanto, se dirigen a la plataforma más extendida, que les garantiza un mayor número potencial de máquinas infectadas.
Debemos tener en cuenta que, hoy en día, gran parte de las infecciones tienen su origen en lo que denominamos Ingeniería Social, es decir, engaños al usuario para que instale en su ordenador el programa malicioso. En muchas ocasiones, es el usuario quien de modo inconsciente da permiso para que se ejecute el software malicioso, bien porque le han hecho creer que verá un vídeo, una foto o, incluso, que es un supuesto antivirus. Por tanto, este tipo de infecciones no depende de que el sistema operativo sea más o menos seguro, ya que se podría hacer de igual modo en Linux, Mac o Windows.
“A efectos prácticos, hay más posibilidades de infectarse si se utiliza Windows que si se emplea cualquier otro sistema operativo”
Hay miles de tipos de software malicioso desarrollados para Linux, Mac y otras plataformas, pero son anecdóticos comparados con las decenas de millones dirigidos a usuarios de Windows. Con VirusTotal, el pasado mes de febrero hemos analizado 2.091.784 ficheros nuevos de softwares maliciosos diferentes, de los cuales 260 se dirigían a Linux y 53, a MacOSX, además de otros grupos minoritarios, como los 48 de Symbian o los tres de iPhone. El grueso del software malicioso, más de dos millones, era específico para Windows, así que, a efectos prácticos, hay más posibilidades de infectarse si se utiliza Windows que si se emplea cualquier otro sistema operativo.
En cuanto a casos concretos de software malicioso para Linux o Mac, tenemos a “OSX.Iservice”, un troyano que se distribuyó en una copia pirata de Adobe PhotoShop para MacOSX. Una vez instalado, el troyano se ponía en contacto con el servidor en Internet del atacante, a través del cual recibía comandos y lograba el control total del sistema infectado. En el caso de Linux, se puede nombrar alguna variante del virus “ELF.RST”, capaz de infectar binarios ELF (“Executable and Linking Format”). Además, actúa como puerta al comunicarse con un servidor web configurado por los atacantes, desde donde puede recibir comandos que ejecutará de modo local en el sistema.
La cantidad de spam que se genera se ha mantenido más o menos estable durante los dos últimos años, entre el 80% y el 90%, es decir, nueve de cada diez mensajes de correo electrónico que circulan por Internet son spam, si bien ha mejorado su gestión, los filtros que impiden que esos correos no deseados lleguen a nuestro buzón. Es fundamental que los usuarios no visualicen los mensajes de spam ni visiten sus enlaces y, mucho menos, compren los productos que se ofertan a través de esos mensajes. La solución contra el spam pasa porque deje de ser un negocio rentable, y eso debe conseguirse con medios técnicos, con la mejora de los filtros antispam y mediante la concienciación de los usuarios, que deben ignorar por completo esos mensajes.
“Nueve de cada diez mensajes de correo electrónico que circulan por Internet son spam”
Las redes sociales como Facebook, Myspace, Twitter, LinkedIn o Tuenti son un fenómeno con millones de usuarios, algo que los “cibercriminales” no podían desaprovechar. Ya tenemos spam, phishing, ataques de software malicioso o gusanos que utilizan estos canales de comunicación para distribuirse. A esas amenazas, que podemos denominar como tradicionales, hay que sumar otras que tienen que ver con la propia naturaleza de las redes sociales y que se resumen en cuestiones relacionadas con la privacidad y la publicación de información confidencial. Podríamos decir que las redes sociales no son por sí mismas un problema de seguridad, pero como toda tecnología, requieren que el usuario haga un uso responsable de las mismas.
Los protocolos de seguridad que utilizan las redes sociales no distan mucho de los de otros servicios web y, en ese sentido, podríamos decir que son correctos. Los problemas de seguridad específicos de este tipo de plataformas se deben a una mala implementación de esos protocolos o a la programación de los servicios. Hemos conocido casos donde vulnerabilidades en el interfaz de programación de aplicaciones (API) de Facebook han permitido acceder y robar información sensible de los usuarios; o el gusano “Samy” en MySpace, que se aprovechó de una vulnerabilidad del tipo XSS (“Cross-Site Scripting”). En el caso de Tuenti, una red más localizada en España, también se han dado varias situaciones de vulnerabilidades que han permitido acceder de forma indiscriminada a los perfiles de los usuarios.
Al margen de los problemas de seguridad puntuales que puedan llegar a tener, otro de los puntos claves son las propias políticas de privacidad de estas redes sociales, algo que los usuarios deberían conocer al detalle para ser conscientes de cómo se gestiona la información suministrada. Más de uno podría llevarse una sorpresa al comprobar cómo los datos que creía compartir sólo con los amigos, en realidad, se venden y los consultan terceros para crear perfiles de comportamiento y usarlos en campañas de marketing.
“Más de uno podría llevarse una sorpresa al comprobar cómo los datos que creía compartir sólo con los amigos, en realidad, se venden”
Algunos usuarios son algo más exhibicionistas que otros o lo hacen de manera consciente porque forma parte de alguna estrategia, ya que las redes sociales pueden ser un canal excelente para crear todo tipo de relaciones, tanto personales como profesionales. Lo importante es que los usuarios conozcan cómo la red social utiliza la información privada que proporcionan y sean conscientes de que, tarde o temprano, esa información podría estar disponible de forma indiscriminada. Es importante no proporcionar contenidos que pudieran comprometernos en algún momento. En Internet es muy fácil publicar algo, pero también es muy complicado borrarlo por la propia naturaleza digital; pueden crearse múltiples copias de cualquier texto o foto que hayamos subido y el usuario pierde el control sobre su publicación.
Para un usuario es complicado conocer de antemano el estado de la seguridad de un servicio web o una red social; no sabrá si puede tener vulnerabilidades que afecten a su privacidad. Debe exigir que, si se descubre un problema de seguridad, la red social actúe de inmediato en la resolución del mismo. Puede comprobarse con facilidad la política de privacidad, está al alcance del usuario y es interesante que la lea con atención y conozca el modo en que sus datos se gestionarán.
“En Internet es muy fácil publicar algo, pero también es muy complicado borrarlo”
Los servicios web cuentan, en general, con medidas de seguridad profesionales que superan con creces las que podamos tener en nuestro propio ordenador. Un servicio de correo como Gmail cuenta con servidores de alta disponibilidad y redundancia en el almacenamiento de los datos, además de buenos filtros antivirus y antispam. A priori, es más seguro tener nuestros mensajes en Gmail que en nuestro propio ordenador, que es más proclive a que sufra algún percance.
El talón de Aquiles de los servicios web es, en su mayoría, la autenticación. Al final, la seguridad se concentra en un nombre de usuario y una contraseña. Con esos datos, cualquiera podría suplantar nuestra identidad y acceder a toda nuestra información. Hay muchos troyanos especializados en robar nombres de usuarios y contraseñas de los servicios web de la banca electrónica, de forma que los “cibercriminales” pueden a posteriori suplantar nuestra identidad y realizar transferencias en nuestro nombre. El uso de “tokens” físicos (una llave electrónica), los dispositivos biométricos (usar nuestra huella digital) o el propio DNI electrónico, en el caso de España, son mecanismos de autenticación adicionales que pueden aplicarse a la autenticación de los servicios web para que sean más robustos.
El navegador actúa como una especie de “sandbox” (caja de arena) que aísla la aplicación web de nuestro sistema. Entre otras funciones, el navegador trata de evitar que la aplicación web lleve a cabo acciones maliciosas o que pueda acceder de forma indiscriminada a la información que almacenamos en nuestro sistema. Por el contrario, cuando ejecutamos una aplicación desde el escritorio, el programa tiene en ese momento los mismos privilegios sobre el sistema que nosotros. En el caso de que seamos administradores del sistema, significará que la aplicación tiene control total sobre nuestro ordenador.
“Las limitaciones que impone Apple en su tienda de aplicaciones le sirven, de momento, para que apenas haya software malicioso para iPhone”
Algunos móviles son, en la práctica, pequeños ordenadores con sistemas operativos de características similares. Android, de Google, utiliza un kernel de Linux; el iPhone de Apple se basa en OS X; Microsoft cuenta también con una versión de su Windows para móviles, así como BlackBerry y los móviles con Symbian, que también disponen de sistemas operativos muy completos. Todos ellos son vulnerables al software malicioso y tienen, en mayor o menor medida, algún espécimen de este tipo que les ronda, aunque de momento son pruebas de concepto que no han tenido un gran impacto real entre los usuarios.
En el aspecto técnico, se asemeja mucho al software malicioso para PC, cambia un poco la funcionalidad para adaptarse al medio en el que se ejecutarán y explotar las posibilidades de estos dispositivos. Para teléfonos con Symbian, el software malicioso más famoso es la familia “Cabir”, que como particularidad se propaga de modo automático entre móviles a través de Bluetooth. También se han detectado troyanos para BlackBerry que actúan como micrófonos cuando reciben una llamada de cierto número de teléfono reconocido por el software malicioso. Esto permite al atacante llamar a un teléfono BlackBerry infectado, el software malicioso reconoce el número e intercepta la llamada para que no suene y evitar que el afectado se percate, pero a partir de ese momento, el dispositivo actúa como un micrófono y el atacante escucha las conversaciones que se mantienen alrededor del teléfono. En iPhone se han detectado algunos especímenes de software malicioso que permiten robar los correos electrónicos, contactos, SMS, calendarios y cualquier otra información almacenada en el teléfono.
De momento, no hay casos de epidemias de software malicioso en móviles, en parte porque hay mucha diversidad de plataformas y bastante dependencia del hardware. Un programa puede funcionar bien en un modelo de móvil, pero no en otro, y ese mismo problema lo sufren los creadores de software malicioso. Hasta la fecha, el más extendido en móviles ha sido la familia “Cabir” para Symbian, el resto han sido pruebas de concepto, especímenes de laboratorio o ataques muy dirigidos, que no han afectado al gran público.
En parte, depende de los controles que imponga el fabricante para agregar aplicaciones de terceros a su catálogo. En el caso de iPhone, se critica que sea muy cerrado y que las aplicaciones deban aprobarse por parte de Apple antes de incluirse en el catálogo. Sin embargo, esas limitaciones le sirven, de momento, para que apenas haya software malicioso para iPhone. Los casos más llamativos de infecciones de estos dispositivos han sido los modelos “craqueados” (pirateados para permitir aplicaciones no aprobadas por Apple). En el caso de Android, la política de Google es más abierta y menos restrictiva, lo que apunta a que los creadores de software malicioso podrán aprovecharse más para añadir un código escondido entre el catálogo de aplicaciones disponibles, como ha ocurrido hace pocos días.