Hace unas semanas, el 29 de septiembre pasado, una noticia conmocionó a la sociedad mexicana y a todas las entidades involucradas en la seguridad nacional: el grupo de hackers autodenominado Guacamaya anunció que se infiltró en uno de los servidores de la Secretaría de la Defensa Nacional (Sedena) y extrajo 6 terabytes de información interna y confidencial.
Guacamaya también dio a conocer una ruta cibernética en donde los materiales extraídos de la Sedena podrían ser consultados por cualquier persona interesada. Tras ello, el escándalo que generaron los contenidos confidenciales dados a conocer por diversos medios de comunicación opacó varios cuestionamientos que tienen que ver con la seguridad cibernética y que atañen no solo a las entidades de seguridad, sino a la sociedad entera.
Un grupo de expertos en tecnología, inteligencia artificial y seguridad cibernética consultados por Newsweek en Español advierte que, si la seguridad cibernética de las fuerzas armadas de México fue violada, eso significa que todos los ciudadanos de a pie que utilizan internet, absolutamente todos, están expuestos a peligros y delitos cibernéticos más allá de los tradicionales robos de contraseñas, usurpación de identidad y fraude bancario.
SEDENA: CIBERSEGURIDAD DEBILITADA
El hackeo a la Sedena no significa que su ciberseguridad estuviera abandonada, pero sí debilitada, explica Daniel Rodríguez, gerente de ciberinteligencia y ciberseguridad de la empresa especializada Cyber Black. Una red incluso protegida y con alerta en caso de vulneración también puede ser infiltrada, aunque existe mayor dificultad para la violación.
Antes de la planeación y desarrollo del ataque contra la Sedena, los hackers tuvieron un golpe de suerte a través de Zimbra, el servicio de mensajería que utilizan algunas secretarías de Estado y cuyo sistema de seguridad ha demostrado ser endeble. Alerta el experto: “Aunque no tenemos mucha claridad de cómo ocurrió el ataque porque la Sedena no lo informó, fue un acto metódico. El golpe de suerte llegó cuando Zimbra anunció, aproximadamente en marzo pasado, que había ‘parchado’ una vulnerabilidad —tan solo este año ha padecido cinco vulnerabilidades”.
HALLAR EL HUECO
Ese anunció llamó la atención de los hackers, quienes pudieron observar que, aunque hubo un parche en una vulnerabilidad, no significaba que las anteriores ya estuvieran protegidas. “Así, posiblemente, iniciaron su búsqueda y encontraron otra debilidad en solo pocos días”, explica Daniel Rodríguez Hernández.
Ingeniero en sistemas computacionales, certificado como consultor estratégico de ciberinteligencia, añade que los ciberpiratas usaron diversas herramientas de auditoría de seguridad, escanearon puertos con programas como Zmap que revisan toda la red, encontraron direcciones IP e identificaron puertos abiertos, gracias a lo cual tuvieron acceso al sistema operativo de la Defensa Nacional. Así, Guacamaya explotó todas las vulnerabilidades del software de la Sedena.
Tras escanear las computadoras conectadas a la red de la Sedena enviaron un malware a cada una, y como si fuera un sorteo, se podía afectar a todas o a una sola. También usaron otras tres herramientas: una brindó el acceso, otra permitió entrar sin autenticación y la última brindó una “escala de privilegios” para administrar el equipo y extraer la información.
USO DE INGENIERÍA SOCIAL
El experto en ciberseguridad no descarta el uso de ingeniería social como parte del proceso de ataque, es decir, acercarse a un empleado de bajo nivel y obtener de él información que, aunque pareciera básica, sirvió para el hackeo.
Para el ataque, de acuerdo con Rodríguez Hernández, se necesitan computadoras sumamente potentes. “Generalmente ellos las arman para realizar investigaciones de este tipo o de análisis de datos. Necesitan equipos que contengan varios gigas de memoria interna o un disco sólido, que son los más veloces. También usan monitores que se refrescan a gran velocidad. Este tipo de máquinas puede costar de 100,000 a 200,000 pesos. El internet debe ser potente. Posiblemente usaron internet intersatelital, es decir, un equipo se conecta a otro de forma remota —que está en otro país— y se tiene un servicio disponible las 24 horas”.
COMO CIUDADANO ¿A QUÉ ESTOY EXPUESTO?
A Gabriela, una mujer de 46 años habitante del Estado de México, la asaltaron hace un par de semanas y le robaron su teléfono celular. Pocas horas después del hurto, las fotografías que tenía guardadas comenzaron a ser compartidas a sus contactos y a sus grupos de WhatsApp.
Los envíos fueron acompañados de mensajes que, por obscenos y groseros, rápidamente dieron la impresión a sus contactos de que no era ella quien los escribía. Fotografías, datos personales, números de cuenta y todo tipo de información que ella guardaba en el teléfono, así como información de sus contactos y sus mensajes privados tanto de WhatsApp como de las redes sociales, quedaron vulnerables frente a quien tuviera el teléfono en sus manos. Y sí, el ladrón los usó de forma inmediata.
Actualmente no importa si el celular, computadora u otro artículo digital es hurtado físicamente o si alguien logra acceder a estos vía remota, el peligro de robo de datos es el mismo y se profundiza cuando no se posee una cultura de protección y análisis de la información que se guarda en dichos artefactos tecnológicos.
Daniel Rodríguez advierte sobre los distintos riesgos que millones de personas no toman en cuenta. Por ejemplo, menciona el caso de quienes toman una fotografía y la suben a redes sociales inmediatamente. Ahí, además de rostros, sin darse cuenta se puede exhibir un número de placas. Con la criminalidad evolucionando a diario, “el número de placas genera datos, el costo del vehículo, dirección del dueño, nombre, y tras ello se puede ir por una extorsión o venta de información a bases de datos ilegales”.
RIESGOS LATENTES
Y, al triangularse esta información, la persona puede ser víctima de secuestro, lo cual es un riesgo latente, indica el experto en ciberseguridad, quien también advierte sobre el uso de filtros: “A la gente le gusta tomarse fotos y usar filtros, sin tomar en cuenta que, al escanear el rostro, se entrega información del dispositivo, contactos, llamadas, mensajes, así como acceso a fotografías. El primer peligro surge cuando las personas consideran que no les importa ser hackeados porque no tienen nada que esconder o nada que les puedan robar. Ese pensamiento es común sobre todo en México.
“Lo que no saben es que todos esos datos que se pueden extraer de un teléfono los pueden ir acumulando y después vender. Muchas veces recibimos llamadas y no sabemos por qué. Un banco o una empresa te llama insistentemente y no se sabe cómo conoce tu número. Es consecuencia de que tus datos pudieron ser vendidos a un sinnúmero de compañías o al mejor postor”, advierte Rodríguez Hernández.
Añade que ni las redes sociales ni las aplicaciones gratuitas son del todo amigables. Tampoco lo son Siri ni Alexa. “Escuchan lo que dice o hace una persona, pese a que en sus términos y condiciones lo niegan”.
Rodríguez añade que los códigos QR que se abren a través del celular también son peligrosos. Pueden infectar el equipo o se pueden conectar a este vía remota sin que se sepa. La finalidad siempre será perjudicar”.
¿A QUIÉN LE CUENTAS TU VIDA PERSONAL?
¿Te atreverías a revelarle a un desconocido el nombre de la calle dónde vives, a dónde irás mañana y cuánto dinero tienes ahorrado? No, no vamos por la calle diciéndole a todo mundo lo que hacemos y lo que tenemos. “Esa medida debe ser trasladada a la vida digital. Cada dato personal que se aporta es una oportunidad para que alguien pueda robarla y exponerte a diversos riesgos”, comenta el experto cibernético Ángel Israel Gutiérrez Barreto, director de tecnología de la empresa de ciberseguridad A3Sec.
Añade que los hackers pueden usar cualquier computadora de cualquier ciudadano para atacar otros sistemas con la finalidad de no ser rastreados. Pueden depositar la información robada en el sistema del ciudadano “x” y después trasladarla a otros sitios.
De tal manera que, si lograran rastrear el ataque, van a localizar la computadora del ciudadano “x” antes que al hacker. “Los riesgos son parte del uso de la tecnología y por ello es responsabilidad del usuario aprender a proteger teléfonos, computadoras. Siempre se debe tomar precauciones para no llegar a la suplantación de identidad, por ejemplo”, señala Gutiérrez Barreto.
El experto aclara que no se trata de ser paranoicos, pero tampoco se deben ignorar los protocolos de seguridad. Un dato más, añade, es observar los equipos. Si una computadora se queda sin espacio sin explicación alguna se debe asumir que algo está mal. Sin desconfiar totalmente, debe haber mayor escepticismo. “Así es como los ciudadanos de a pie pueden reducir riesgos”.
VIRUS Y LIGAS TRAMPOSAS
Rodríguez Hernández suma la advertencia de que tras el robo de datos también se hace uso de mensajes con liga electrónica que al abrirse instalan virus que roban información personal. “Si es una persona con nexos al gobierno o a una empresa, el ataque será mayor. Se debe recordar que en la Sedena hubo robo de información de nombres de personas y sus ubicaciones”.
Por ello, la seguridad debe ser un esfuerzo continuo de todos aquellos que poseen una puerta de entrada a la tecnología.
“El pensamiento de ‘nadie hackea mi pequeño negocio o mi información personal’ debe descartarse. Posees archivos, inventarios, datos de proveedores, costos, ganancias que pueden interesar a un hacker”, explica por su parte Carlos Raúl Tlahuel Pérez, coordinador de seguridad de la información de la Universidad Nacional Autónoma de México (UNAM).
Si una organización como la Sedena fue hackeada, los ciudadanos son mayormente vulnerables. Tlahuel Pérez indica que incluso la CIA y la NASA han sufrido ataques. “Con ello nos queda claro que es una falacia el ‘no pasa nada, yo comparto mis datos’. Porque si ese pensamiento es recurrente en algún momento puede haber una clonación de datos”, señala.
La seguridad no consiste solamente en contar con un antivirus, sino en tomar una serie de mecanismos para cuidar la información de la computadora, el teléfono celular y cualquier otro aparato que posea datos personales. “Esto debe ser una disciplina que se debe seguir de manera rigurosa”, concluye Tlahuel Pérez. N