Seguridad de la información en ordenadores, tablets, móviles y otros dispositivos
Autor: Manuel Torres Cruz, Director Cuentas Especiales en The Security Sentinel
Recuerdo el día que asistí a la presentación del PC de IBM, había sido lanzado unos pocos meses antes en Estados Unidos, concretamente el 12 de agosto de 1.981. Entonces yo era un técnico de sistemas que examinaba diversos sistemas operativos, unos propietarios y otros de los llamados abiertos como UNIX o PICK. Los ordenadores personales no existían, había pequeñas computadoras como AMSTRAD, SINCLAIR, COMMODORE… que se utilizaban exclusivamente para juegos. En esos años, las empresas grandes ya estaban mecanizadas con grandes ordenadores y las medianas e incluso algunas pequeñas se mecanizaban con mini-ordenadores que controlaban un determinado número de pantallas (terminales tontos), existían además algunas tabletas de cálculo, con capacidad de ejecutar programas que utilizaban arquitectos, ingenieros, etc. Sinceramente pensé, que aquello que estaba viendo con un sistema operativo mono-usuario, bastante limitado, no tendría ningún futuro.
Menos mal que nunca tuve que ganarme la vida como adivino; para mi consuelo he de confesar que en aquella época, bastantes de mis colegas de profesión opinaban lo mismo. A los pocos años aparecieron los clónicos y los ordenadores invadieron todos los lugares de trabajo. Las más pequeñas empresas ahora tenían capacidad para comprar un PC y mecanizarse y por supuesto entraron en nuestras casas. Las máquinas de escribir se convirtieron en piezas de museo. Y todo el mundo se entregó a la tarea de llenar de información aquellos “aparatos”.
Apareció la necesidad imperiosa de compartir la información entre empresas, administraciones, organismos y personas. Atendiendo a esta demanda de compartir datos, las empresas de telecomunicaciones fueron dotando a su red de comunicaciones, de mayores capacidades para dar respuesta válida a los usuarios. Se introdujo la fibra óptica y con ella se empezaron a interconectar de forma masiva, cada vez más servidores de empresas, gobiernos, organismos… que además disponían de redes privadas. Hasta la aparición de INTERNET.
En la actualidad con la disponibilidad de la banda ancha y el avance de la nanotecnología, gozamos de una capacidad de proceso y almacenamiento mil veces superior a la de hace 30 años, por ejemplo ni el Ministerio de Hacienda tenía un Terabyte de almacenamiento y ahora cualquier persona lo puede llevar en un bolsillo. La inmensa mayoría de las personas, pasamos varias horas cada día utilizando nuestro ordenador en diferentes sitios: en el trabajo, en lugares de ocio, en espacios públicos o en nuestro hogar; ocasionalmente podemos estar acompañados, pero generalmente esta actividad la realizamos solos.
Consultamos información, intercambiamos correos electrónicos, mensajes, accedemos a Redes Sociales, vemos fotos, vídeos, música, hacemos transacciones, compramos y vendemos, incluso hablamos por vídeo conferencia. En definitiva, desde nuestro ordenador, tenemos acceso a todo y podemos hacer casi de todo.
Es maravilloso, desde una “ventana” que tenemos abierta, tenemos acceso a todo el conocimiento de la Humanidad. Es curioso, observar como en apenas tres décadas, en la red, reside todo lo que sabemos y conocemos. La información de gobiernos , universidades, centros de investigación, laboratorios, bibliotecas, incluso de las más secretas organizaciones, todo tipo de entidades, empresas, documentos, libros …. y la vida de las personas.
Y este acceso privilegiado lo tenemos desde nuestra intimidad, “mi ordenador y yo”. ¡Qué bien!, pero… ¿realmente estamos solos?, ¿alguien puede pensar que con tantos miles de millones de ventanas, ninguna mira a la nuestra?, ¿que nadie entra en mi ordenador?.
Bueno, posiblemente seamos afortunados y nadie nos mire. Pero, lamentablemente les tengo que proporcionar algunos datos nada alentadores en ese sentido. Cualquier persona, habrá oído hablar de los “hackers” y, seguramente, pensarán la mayoría de ustedes que existen, pero, ¿cuántos pueden ser, decenas, cientos?. ¿Escasamente un par de miles en el mundo?
Seguridad de la información en su ordenador
Les aseguro, que nada más lejos de la realidad. Efectivamente, los “hackers” capaces de programar un virus como el ya, tristemente famoso WANNACRY , pueden ser unos cuantos cientos de miles. Pero, los hackers de perfil bajo, son millones.
Les invito a teclear en su ordenador la palabra “hackear”, verán que se obtienen más de dos millones de resultados. Más de dos millones de entradas a páginas web, donde nos indican como podemos “hackear” redes sociales como Facebook, Instagram, Twitter, Linkedin, wifi, mensajería, WhatsApp , servidores, routers, bases de datos, y por supuesto cualquier tipo de dispositivo con conexión a internet (tablets, teléfonos móviles, etc.).
Por ejemplo, hay miles de páginas, donde te indican como acceder a una webcam de cualquier ordenador, activándola con inhibición del led señalizador, por lo que no es detectable. Basta con que tengamos nuestra tablet u ordenador encendido. En estas páginas te indican cómo hacerlo y la sentencia (script) que tienes que teclear. En solo una de estas páginas, de entre los miles que existen, tenían registradas más de cuatrocientas mil entradas. Es decir, te pueden estar viendo a ti o la estancia en la que estás sin que seas consciente de ello.
En consecuencia, para ser un hacker de perfil bajo, no es necesario tener una formación específica, ni siquiera tener una buena formación informática, lo puede ser cualquier persona que tenga curiosidad y tiempo.
¿Quién puede resistirse a tal poder?, los hackers no sólo pueden curiosear en nuestras vidas, sino que además pueden incidir en ellas, pueden observarnos, suplantar nuestra identidad, apropiarse de nuestros datos, venderlos, borrarlos o modificarlos.
Además, estos hackers se ayudan, intercambian programas malware y piensan que cualquier información existente en la red, tienen derecho a conocerla y usarla para sus propios fines. Dentro de su decálogo, se leen frases como “si eres un hacker principiante o no estás suficientemente seguro de tus conocimientos, no entres en servidores de gobiernos, o de grandes corporaciones, porque podrían rastrearte. En esos casos, recurre a un hacker más experto que te ayude a entrar y sepa borrar su propia huella” o esta otra “todo hacker, tiene derecho a utilizar su conocimiento para poder vivir, pagar su casa, alimentarse…” y esta última “cualquier hacker que desarrolle un programa o descubra una vulnerabilidad de un sistema, dispositivo, etc., debe compartir esta información con el resto de la comunidad hacker.”
¿Qué hacer ante esta amenaza, cómo podemos protegernos?
La solución está en poner todas las medidas preventivas de seguridad razonables y proporcionadas a la información que queremos proteger. Es evidente que cuanta más información sensible almacenemos, mayor posibilidad de que quieran acceder a ella. Recuerdo la ecuación “El riesgo es igual a la probabilidad de que se produzca un hecho por el daño causado” Hay daños que aunque la probabilidad sea ínfima no nos los podemos permitir.
Por tanto, cuando abramos nuestra “ ventana”, debemos estar seguros de no ser observados y, cuando la cerremos, no dejar ninguna “rendija” por la que puedan vernos.
Siendo pragmáticos, debemos aplicar algunas medidas de sentido común en nuestros ordenadores de uso personal. Por ejemplo, si no tenemos ninguna relación con Pakistán, pues no debemos abrir ningún correo, ni atender ninguna petición de amistad, proveniente de ese país, aunque nos regalen una herencia. Nunca descargar un fichero de un correo o página web, que no conocemos, debemos poner contraseñas que no sean nombres comunes, fechas o combinaciones numéricas. Recomendamos poner nombres más largos de 8 caracteres (por ejemplo, direcciones ficticias) y, por supuesto, “tapar” la webcam cuando no la utilicemos. Debemos pensar que, salvo excepciones, el objetivo de los hackers es el lucro, y en menor medida, otros tipos de intereses.
En lo referente a las diversas entidades, donde desarrollamos nuestra actividad profesional, debemos ser especialmente cuidadosos, porque posiblemente, seamos poseedores de datos de terceros y este hecho conlleva una responsabilidad aún mayor. Además de las que son exigibles por ley, como por ejemplo la LOPD o el Reglamento Europeo de Protección de Datos donde se establece la obligatoriedad de pasar auditorías de Ciberseguridad, a partir de Mayo de 2018. Tenemos la obligación moral de no perjudicar a nuestros clientes, empresas y personas que han confiado en nuestra organización.
Nosotros, mi compañía, en las diversas charlas que impartimos de concienciación sobre los peligros del Ciberdelito, decimos una frase que suele hacer sonreir a los asistentes “hay dos tipos de compañías, las que confiesan que han sido atacadas y las que no lo saben”.
Hay que hacer auditorías de ciberseguridad externas, que nos indiquen nuestras vulnerabilidades reales y nos permitan aplicar las medidas que nos ayuden a blindar nuestros ordenadores de cualquier intento de intrusión. Y, según el tipo de entidad, también una auditoría interna que permita conocer, si las personas pueden acceder y/o alterar informaciones que no son de su competencia. El 60 % de las fugas de información de grandes organizaciones provienen de fuentes internas.
Realizar ingeniería social, establecer protocolos de actuación y dotar a los planes de contingencia y seguridad, de medidas de defensa ante el ciberdelito.
Sorprendentemente para defendernos, necesitamos a “hackers” y…, muy buenos, profesionales que conozcan todas las técnicas de intrusión y nos ayuden a protegernos. El conocimiento en sí mismo no es malo, es el uso del mismo, el que determina si actuamos del lado del Ciberdelito o de la Ciberseguridad.
Si está interesado en el tema nos puede contactar.
Manuel Torres, Director Cuentas Especiales en The Security Sentinel