fbpx
5 de octubre 2016    /   DIGITAL
por
 

Así se protegen los grandes bancos de hackers como los de ‘Mr. Robot’

5 de octubre 2016    /   DIGITAL     por          
Compártelo twitter facebook whatsapp
thumb image

Puedes reírte si quieres, pero la serie estadounidense Mr. Robot apasiona a los —siempre quisquillosos y perfeccionistas— expertos en seguridad informática y a los piratas del ciberespacio precisamente porque se acerca a la verdad. A veces se aproxima mucho, como cuando se inspira en ataques como el presunto del Moshad, la CIA y la NSA al programa nuclear iraní mediante el virus Stuxnet, y a veces algo menos, como cuando habla de reventar las tripas del sistema financiero y borrar nuestras deudas sin dejar rastro.

Daniel Medianero, gerente de marketing de servicios de la consultora de ciberseguridad s21sec, recuerda lo que haría falta para convertir en realidad esa pesadilla bancaria: «Una ayuda interna de los trabajadores que nos dé pistas sobre su infraestructura, su metodología y sus planes de contingencia, si lo atacan; entrar en unas áreas de acceso muy restringido con unas máquinas que los bancos no suelen tener conectadas a la red; y asumir el riesgo de dejar demasiadas pistas».

Dicho de otro modo, los bancos intentan impedir grandes ataques utilizando armas como los planes de contingencia secretos, los cortafuegos de seguridad que proporcionan las consultoras informáticas y evitando la conexión a internet y el acceso de más de un puñado de técnicos a las máquinas que representan el corazón y los pulmones de la entidad.  

Vicente Pérez, gerente de la cuenta que se ocupa de proporcionar seguridad informática a grandes entidades financieras en la consultora Sophos, coincide con Medianero y añade que, a pesar de todo, «lo que cuentan en Mr. Robot es posible técnicamente», pero que, siendo sinceros, no sabe «muy bien cómo podrían hacerlo». Ni él ni casi nadie, por supuesto.

Tampoco tiene claro «hasta qué punto podría compensarle a alguien», porque «existen otras posibilidades de atacar sistemas llevándose dinero —con un impacto menor, eso es cierto— sin asumir tantos riesgos». Esta es otra de las estrategias de los bancos: hacer que los atracos espectaculares que puedan prender la desconfianza de sus clientes no les compensen a los criminales, porque los obligan a descender del mundo virtual dejando pistas en el mundo físico, a buscar colaboradores internos entre los empleados y a introducirse a veces personalmente en infraestructuras muy vigiladas.

1mrsrobot

Fallos en el sistema

Por supuesto, la lógica que se esconde tras esta protección tiene sus puntos débiles. Este año, sin ir más lejos, unos hackers sustrajeron 101 millones de dólares de las cuentas del Banco Central de Bangladés en la Reserva Federal de Nueva York y quedan por recuperar 63 millones. En mayo, con el reconocimiento por parte de la firma de seguridad FireEye de que se estaban produciendo ataques similares en 12 entidades financieras, casi todas en países emergentes, la agencia Bloomberg concluía que podíamos encontrarnos ante «una campaña amplia y seria para violar el sistema financiero internacional».

Es evidente, por lo tanto, que cientos o quizá miles de personas en todo el mundo están dispuestas a exponerse a un peligro fabuloso a cambio de millones de dólares y la posibilidad de presumir de haber cometido algunos de los atracos más cuantiosos de la historia.

El mundo físico y el virtual no son tan distintos después de todo. En febrero de 2003, unos ladrones se llevaron 100 millones de euros en diamantes de una cámara acorazada de Bruselas y la banda, que se autodenominaba ‘La Scuola di Torino’ como si se considerasen un grupito de artesanos renacentistas, tuvo la cara dura de alquilar una oficina en frente de la institución que iban a robar y uno de ellos llegó a reunirse con directivos haciéndose pasar por comerciante de piedras preciosas.

El falso comerciante, que casi inevitablemente se llamaba Leonardo (Notarbartolo), fue el único condenado y no cumplió los diez años que le correspondían entre rejas porque salió en libertad condicional. Fue un caballero en prisión, pero los zafiros nunca se recuperaron y la banda se convirtió en leyenda exactamente igual que los hackers que atracaron los bancos de los emergentes y engañaron con códigos a la Reserva Federal de Nueva York.  

De todos modos, es verdad que en un escenario en el que los atracos virtuales asedian a las entidades financieras y existen piratas de distinto cuño y habilidad, los bancos han recurrido a especialistas como Daniel Medianero y Vicente Pérez para blindarse con distintos anillos de seguridad que, por lo general, se centran en repeler ataques más modestos que los que dibuja Mr. Robot. Tiene sentido: sería absurdo que Francia se centrase únicamente en evitar un ataque yihadista con bombas nucleares en vez de atentados suicidas, que son los más comunes y probables.

El primer anillo que dibujan los expertos en seguridad informática de las entidades financieras es lo que Vicente Pérez, de Sophos, denomina «perímetro de seguridad». Aquí los ataques son tan directos y toscos como un puñetazo en la mandíbula a traición. Según Daniel Medianero, de s21sec, estos ataques consisten en «rastrear fallos, sobre todo relacionados con la falta de actualización del software, que se venden después en el mercado negro». Los servidores virtuales también se convierten en un raro objeto de deseo.  

El segundo anillo, advierte Medianero, es el de «la seguridad de las aplicaciones», entre las que destacan las que hacen posible la banca electrónica. Los hackers intentan manipular los movimientos de la propia entidad financiera para que empiece a enviar transferencias con cargo a las cuentas de sus clientes.

El tercer anillo pasa por que los hackers reconozcan una evidencia: es muy difícil robar directamente a un banco. Aquí es donde optan, según Vicente Pérez, por el «rastreo de vulnerabilidades de los usuarios». Saben que es más fácil robar a un cliente que a su propia entidad y por eso clonan páginas web, cajeros e incluso TPV idénticas a los de los bancos donde metemos nuestros datos alegremente o se hacen pasar por las entidades financieras en correos electrónicos alarmantes para que los clientes les proporcionen toda su información y contraseñas.

El dinero, tanto en el caso de la seguridad de las aplicaciones como en el de impostar la voz amiga del banco, acaba en un sinfín de eslabones de intermediarios y testaferros llamados muleros que cobran a veces 1.000 euros al mes por recibir la transacción y reenviársela a otros destinatarios. Estos muleros no suelen saber quién les ha contratado ni por qué exactamente: cuando les pregunten, dirán que les ofrecieron cobrar por no hacer nada y, sobre todo, por no hacer preguntas.  

 

Secuestros y convulsión

El cuarto anillo es el de los troyanos bancarios. Aquí Daniel Medianero destaca esencialmente la capacidad de que «los delincuentes tomen el control de los ordenadores, los sistemas informáticos o los navegadores y sean capaces de utilizarlos en su beneficio tanto para obtener información sobre las páginas en las que navega el usuario [incluidas las contraseñas que ponemos en tiendas virtuales y bancos digitales] como para coordinarlos para atacar webs [de bancos, por ejemplo] en contra de los deseos de sus dueños». Un buen día observamos un comportamiento extraño en nuestro equipo y descubrimos que está asediando la página de la CIA sin que nosotros podamos hacer nada para evitarlo.

También, advierte el consultor, pueden «pedir un rescate a cambio de liberar los ordenadores». Los ejemplos pueden ser dramáticos y van más allá del sector financiero. Este año múltiples hospitales estadounidenses se han encontrado con que un grupo de piratas no les dejaban acceder a los historiales de sus pacientes y temieron que se los pudieran modificar. Uno de los últimos, en Hollywood, tuvo que pagar 17.000 dólares para volver a acceder a ellos.

Todos estos anillos de seguridad y el éxito de una serie como Mr. Robot muestran que vivimos tiempos convulsos en el ciberespacio. También es obvio que internet permite la coordinación de muchos cerebros que trabajan en red y que nunca se hubieran conocido sin ellas.

Además, los sistemas de los bancos nunca habían estado tan expuestos digitalmente porque sus propias estructuras de están virtualizando a marchas forzadas (a veces, revelando fallos enormes como Deutsche Bank) y dependen cada vez más de los datos masivos de los servidores. La guinda del pastel es que, por fin, existe un mercado negro y sumamente estructurado en internet, apuntalado por países más o menos permisivos como Rusia o Corea del Norte, donde se pueden vender y comprar los botines de los robos, desde tarjetas de crédito hasta el control de una legión de computadoras.  

Es verdad que las entidades financieras rara vez habían sido tan impopulares y que el dinero es sólo uno de los dos grandes motivos que mueven a los hackers. El otro es el prestigio y, en algunos casos, convertirse en leyenda antisistema, en un Che Guevara con sonrisa de bits y ojos de Snowden. Hay miles de hackers dispuestos a arriesgarse a la cárcel para permanecer en la memoria de todos.

La historia decidirá si permanecerán como simples ladrones o como esos héroes contra un sistema opresivo que afirman, con el orgullo de Philip Price, que «la política sólo es para las marionetas». Una parte de la población pagará inevitablemente el precio de sus ambiciones. Tú y yo, para ser exactos.

Puedes reírte si quieres, pero la serie estadounidense Mr. Robot apasiona a los —siempre quisquillosos y perfeccionistas— expertos en seguridad informática y a los piratas del ciberespacio precisamente porque se acerca a la verdad. A veces se aproxima mucho, como cuando se inspira en ataques como el presunto del Moshad, la CIA y la NSA al programa nuclear iraní mediante el virus Stuxnet, y a veces algo menos, como cuando habla de reventar las tripas del sistema financiero y borrar nuestras deudas sin dejar rastro.

Daniel Medianero, gerente de marketing de servicios de la consultora de ciberseguridad s21sec, recuerda lo que haría falta para convertir en realidad esa pesadilla bancaria: «Una ayuda interna de los trabajadores que nos dé pistas sobre su infraestructura, su metodología y sus planes de contingencia, si lo atacan; entrar en unas áreas de acceso muy restringido con unas máquinas que los bancos no suelen tener conectadas a la red; y asumir el riesgo de dejar demasiadas pistas».

Dicho de otro modo, los bancos intentan impedir grandes ataques utilizando armas como los planes de contingencia secretos, los cortafuegos de seguridad que proporcionan las consultoras informáticas y evitando la conexión a internet y el acceso de más de un puñado de técnicos a las máquinas que representan el corazón y los pulmones de la entidad.  

Vicente Pérez, gerente de la cuenta que se ocupa de proporcionar seguridad informática a grandes entidades financieras en la consultora Sophos, coincide con Medianero y añade que, a pesar de todo, «lo que cuentan en Mr. Robot es posible técnicamente», pero que, siendo sinceros, no sabe «muy bien cómo podrían hacerlo». Ni él ni casi nadie, por supuesto.

Tampoco tiene claro «hasta qué punto podría compensarle a alguien», porque «existen otras posibilidades de atacar sistemas llevándose dinero —con un impacto menor, eso es cierto— sin asumir tantos riesgos». Esta es otra de las estrategias de los bancos: hacer que los atracos espectaculares que puedan prender la desconfianza de sus clientes no les compensen a los criminales, porque los obligan a descender del mundo virtual dejando pistas en el mundo físico, a buscar colaboradores internos entre los empleados y a introducirse a veces personalmente en infraestructuras muy vigiladas.

1mrsrobot

Fallos en el sistema

Por supuesto, la lógica que se esconde tras esta protección tiene sus puntos débiles. Este año, sin ir más lejos, unos hackers sustrajeron 101 millones de dólares de las cuentas del Banco Central de Bangladés en la Reserva Federal de Nueva York y quedan por recuperar 63 millones. En mayo, con el reconocimiento por parte de la firma de seguridad FireEye de que se estaban produciendo ataques similares en 12 entidades financieras, casi todas en países emergentes, la agencia Bloomberg concluía que podíamos encontrarnos ante «una campaña amplia y seria para violar el sistema financiero internacional».

Es evidente, por lo tanto, que cientos o quizá miles de personas en todo el mundo están dispuestas a exponerse a un peligro fabuloso a cambio de millones de dólares y la posibilidad de presumir de haber cometido algunos de los atracos más cuantiosos de la historia.

El mundo físico y el virtual no son tan distintos después de todo. En febrero de 2003, unos ladrones se llevaron 100 millones de euros en diamantes de una cámara acorazada de Bruselas y la banda, que se autodenominaba ‘La Scuola di Torino’ como si se considerasen un grupito de artesanos renacentistas, tuvo la cara dura de alquilar una oficina en frente de la institución que iban a robar y uno de ellos llegó a reunirse con directivos haciéndose pasar por comerciante de piedras preciosas.

El falso comerciante, que casi inevitablemente se llamaba Leonardo (Notarbartolo), fue el único condenado y no cumplió los diez años que le correspondían entre rejas porque salió en libertad condicional. Fue un caballero en prisión, pero los zafiros nunca se recuperaron y la banda se convirtió en leyenda exactamente igual que los hackers que atracaron los bancos de los emergentes y engañaron con códigos a la Reserva Federal de Nueva York.  

De todos modos, es verdad que en un escenario en el que los atracos virtuales asedian a las entidades financieras y existen piratas de distinto cuño y habilidad, los bancos han recurrido a especialistas como Daniel Medianero y Vicente Pérez para blindarse con distintos anillos de seguridad que, por lo general, se centran en repeler ataques más modestos que los que dibuja Mr. Robot. Tiene sentido: sería absurdo que Francia se centrase únicamente en evitar un ataque yihadista con bombas nucleares en vez de atentados suicidas, que son los más comunes y probables.

El primer anillo que dibujan los expertos en seguridad informática de las entidades financieras es lo que Vicente Pérez, de Sophos, denomina «perímetro de seguridad». Aquí los ataques son tan directos y toscos como un puñetazo en la mandíbula a traición. Según Daniel Medianero, de s21sec, estos ataques consisten en «rastrear fallos, sobre todo relacionados con la falta de actualización del software, que se venden después en el mercado negro». Los servidores virtuales también se convierten en un raro objeto de deseo.  

El segundo anillo, advierte Medianero, es el de «la seguridad de las aplicaciones», entre las que destacan las que hacen posible la banca electrónica. Los hackers intentan manipular los movimientos de la propia entidad financiera para que empiece a enviar transferencias con cargo a las cuentas de sus clientes.

El tercer anillo pasa por que los hackers reconozcan una evidencia: es muy difícil robar directamente a un banco. Aquí es donde optan, según Vicente Pérez, por el «rastreo de vulnerabilidades de los usuarios». Saben que es más fácil robar a un cliente que a su propia entidad y por eso clonan páginas web, cajeros e incluso TPV idénticas a los de los bancos donde metemos nuestros datos alegremente o se hacen pasar por las entidades financieras en correos electrónicos alarmantes para que los clientes les proporcionen toda su información y contraseñas.

El dinero, tanto en el caso de la seguridad de las aplicaciones como en el de impostar la voz amiga del banco, acaba en un sinfín de eslabones de intermediarios y testaferros llamados muleros que cobran a veces 1.000 euros al mes por recibir la transacción y reenviársela a otros destinatarios. Estos muleros no suelen saber quién les ha contratado ni por qué exactamente: cuando les pregunten, dirán que les ofrecieron cobrar por no hacer nada y, sobre todo, por no hacer preguntas.  

 

Secuestros y convulsión

El cuarto anillo es el de los troyanos bancarios. Aquí Daniel Medianero destaca esencialmente la capacidad de que «los delincuentes tomen el control de los ordenadores, los sistemas informáticos o los navegadores y sean capaces de utilizarlos en su beneficio tanto para obtener información sobre las páginas en las que navega el usuario [incluidas las contraseñas que ponemos en tiendas virtuales y bancos digitales] como para coordinarlos para atacar webs [de bancos, por ejemplo] en contra de los deseos de sus dueños». Un buen día observamos un comportamiento extraño en nuestro equipo y descubrimos que está asediando la página de la CIA sin que nosotros podamos hacer nada para evitarlo.

También, advierte el consultor, pueden «pedir un rescate a cambio de liberar los ordenadores». Los ejemplos pueden ser dramáticos y van más allá del sector financiero. Este año múltiples hospitales estadounidenses se han encontrado con que un grupo de piratas no les dejaban acceder a los historiales de sus pacientes y temieron que se los pudieran modificar. Uno de los últimos, en Hollywood, tuvo que pagar 17.000 dólares para volver a acceder a ellos.

Todos estos anillos de seguridad y el éxito de una serie como Mr. Robot muestran que vivimos tiempos convulsos en el ciberespacio. También es obvio que internet permite la coordinación de muchos cerebros que trabajan en red y que nunca se hubieran conocido sin ellas.

Además, los sistemas de los bancos nunca habían estado tan expuestos digitalmente porque sus propias estructuras de están virtualizando a marchas forzadas (a veces, revelando fallos enormes como Deutsche Bank) y dependen cada vez más de los datos masivos de los servidores. La guinda del pastel es que, por fin, existe un mercado negro y sumamente estructurado en internet, apuntalado por países más o menos permisivos como Rusia o Corea del Norte, donde se pueden vender y comprar los botines de los robos, desde tarjetas de crédito hasta el control de una legión de computadoras.  

Es verdad que las entidades financieras rara vez habían sido tan impopulares y que el dinero es sólo uno de los dos grandes motivos que mueven a los hackers. El otro es el prestigio y, en algunos casos, convertirse en leyenda antisistema, en un Che Guevara con sonrisa de bits y ojos de Snowden. Hay miles de hackers dispuestos a arriesgarse a la cárcel para permanecer en la memoria de todos.

La historia decidirá si permanecerán como simples ladrones o como esos héroes contra un sistema opresivo que afirman, con el orgullo de Philip Price, que «la política sólo es para las marionetas». Una parte de la población pagará inevitablemente el precio de sus ambiciones. Tú y yo, para ser exactos.

Compártelo twitter facebook whatsapp
De los manifestantes de sillón al movimiento social
Las nuevas canciones intervenibles de Jorge Drexler
Line: "Lanzaremos stickers españoles a partir de mayo"
En defensa de los mal llamados ‘chatbots’
 
Especiales
 
facebook twitter whatsapp

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *