En los últimos días he escuchado, visto y leído diversos comentarios, reportajes y «análisis» que mencionan ciertos peligros informáticos a los usuarios. Lamentablemente pospuse este post por el tema de las fiestas de fin de año, pero ahora me veo en la necesidad de publicarlo.
Mi malestar es similar a cuando un médico o un abogado lee o escucha algún reportaje «serio» sobre su materia, notando montones de errores que luego los medios propagan a la gente que no es especialista.
En el caso de la computación e informática, mucho se ha hablado de esto tras la propagación mediática del «efecto Wikileaks». En este artículo de alt1040, por ejemplo, se menciona un montón de aberraciones periodísticas en cuanto al tratamiento de la información relacionada a este tema.
Otra aberración periodística que vi hace poco, fue este reportaje de CNN Chile, no solo por ser impreciso, sino por ser tendencioso y alarmista.
Además de esto, me tienen reventado que cada vez que veo alguna sección «Tecnológica» en algún medio (periódico o televisión obre todo), suelen salir citas del tipo «X Fulano, experto en tecnología» o «X Fulano, experto en computación». Con la excusa barata del «para que la gente lo entienda» como si «la gente» fuera un ente estúpido.
Finalmente, me referiré al tema de los «robos de claves», también un tema ultra-manoseado en noticieros (y ultra-repetido en el boca en boca).
Se viene larguito:
Las cosas por su nombre
Hace unos meses me entere que un profesor del Departamento de Ingeniería Informática de la Usach, don Mauricio Marin, fue entrevistado en LUN. Posteriomente fue entrevistado en CNN Chile.
En la primera entrevista habló sobre la idea de dar acceso a internet gratuito en el futuro. En la segunda habló precisamente del efecto Wikileaks.
Dejando de lado los temas conversados y «su nivel», ambos medios trataron desde el inicio a su entrevistado como si fuera un tipo cualquiera. Basta con leer el curriculum que está en el enlace que puse sobre su nombre, para darse cuenta que es un destacado académico. Por lo menos para llamarlo Ingeniero. Sin embargo, LUN lo trató de «profesor de computación» (cosa que no existe ni como especialidad de Pedagogía).
Por otro lado, CNN Chile lo presenta correctamente como investigador informático de la Universidad de Santiago y luego en el GC lo nombran «Ingeniero Informático». Lamentablemente, en otros reportajes, toman a ciertas personas famosas por ser «usuarios» activos en diversos sevicios de internet, como «expertos en tecnología», sin tener ningún estudio asociado a estos servicios. Solo «saben» sobre esto porque son usuarios activos. Lo malo de esto es que el medio comete el error de igualar a personas con niveles académicos absolutamente distintos, cuando se trata sobre los mismos temas.
Por mi parte, desconfío de inmediato cuando en la prensa aparece una opinión de un «experto en». No así cuando la opinión viene de un Ingeniero, un Médico o un Abogado. Es muy distinto de decir «experto en tecnología», «experto en medicina» o «experto en leyes» ¿no?
Efecto Wikileaks
Cuando conversas con tus amigos sobre Wikileaks (o cualquier tema «informático» controversial) y realizas afirmaciones imprecisas o falsas por desconocimiento, es posible que tus amigos puedan corregir tu error. Sino, ese error solo impactará en un par de personas hasta que converse con otro que si entienda mejor el tema.
Sin embargo, cuando un periodista o lector de noticias (o «bloguero») comunica la información unidireccionalmente, a través de su tribuna (televisión, radio, periódicos, videos en internet, publicaciones escritas, etc…) la información imprecisa (o falsa) queda ahí para toda su audiencia.
El punto donde me quiero detener es acerca de la «ciber-guerra» contra los sitios contrarios a wikileaks. Estos ataques contra Paypal, Mastercad, Visa, PostFinance y otros, no requieren ninguna habilidad técnica, ni ser «experto en internet» para participar. Por otro lado, estos ataques tienen un efecto molesto, pero realmente casi ningún daño. Lo explicaré. Un ataque DDoS consiste en sobre-exigir a un servidor con una cantidad brutal de conexiones a la vez. Esto provoca que la máquina no pueda atender las peticiones de usuarios legítimos, causando que la página «se caiga». Usted puede participar usando algún programa que haga un gran número de conexiones (un ataque DoS) a un servidor, y coordinarse con otras personas para hacer lo mismo en un momento determinado (un ataque DDoS).
En ningún momento los atacantes vulneraron servidores, ni entraron a robar información, ni mucho menos a robar dinero. De hecho es más, atacar las páginas web de Visa y Mastercard no afectan en nada a que estos servicios sigan funcionando en el mundo. Las redes y servidores por las cuales operan (me imagino) estos servicios están separados de sus fachadas web. El único «daño» es no poder entrar a los sitios a ver alguna información que el cliente necesite, pero las cuentas están a salvo (o más bien a merced de la empresa respectiva) y operativas.
Lo curioso y llamativo de esta «ciber-guerra» no es el nivel técnico que se utiliza para realizar los ataques, sino la colaboración «distribuida» de los participantes. Es parte del fenómeno de las redes sociales. Y con redes sociales no me refiero a twitter y facebook, me refiero a «juntarme con amigos que piensan como yo» en algún sitio/servicio en internet.
Por otro lado, lo otro que merece el llamado de atención es el nivel de coordinación que mantuvo el propio sitio de Wikileaks con otros medios de prensa para divulgar los cables, así como también la astucia para preparar un plan por el cual facilitar a otras personas o grupos el poder clonar el sitio de wikileaks ante un eventual «ataque» o «sabotaje» (como lo fue finalmente perder el dominio y el hosting). Esto último si requiere cierto nivel técnico, pero nada que requiera 6 años de estudio de carrera, de modo que ya van más de 200 sitios clones.
Los señores Hackers de CNN Chile y otros noticieros
Muchas veces me he topado con gente alejada de mi rubro, que por tal o cual motivo me hacen preguntas sobre peligros informáticos tan graves como «el ex-novio de una amiga de mi amiga le robo la clave del <Servicio X> a su ex y …» (please no more… ¬¬), donde <Servicio X> sea el Messenger, el Facebook, el Twitter (o peor… el «fotolog», y valla a usted a saber que más).
¿Como ocurre esto? ¿Magia negra? ¿Ilusionismo? ¿Habilidades secretas que solo los INGENIEROS INFORMÁTICOS conocen? NO.
Primeramente me molesta que en la prensa se hable de la «motivación de los hackers» para «vulnerar X cosa» por «ocio». Las motivaciones son muy variadas, que haya ocio de por medio es posible, pero personalmente no me parece lógico que satisfacer el ocio sea el fin de vulnerarle la cuenta a alguien.
La verdad, yo «entiendo» como se usan algunos métodos de robos de cables y ninguno tiene ninguna pizca de secreto. Es más, a veces son tan burdos como una estafa, y como son burdos, los afectados prefieren decir «un EXPERTO en computadores me robo la clave» en vez de decir «yo el/la muy estúpido/a casi le di la clave en bandeja de plata«.
Este tema si pasa a ser derechamente grave cuando se trata de las credenciales (usuario y contraseña) de un servicio sensible, como un banco, financiera, o alguna organización donde se mantenga verdadera información personal reservada (médica, financiera, judicial…).
Resulta que existen montones de engaños y descuidos por los cuales una persona puede obtener tu clave. Primeramente por el hecho de que la llave suele ser débil. Primero respondase estas preguntas:
- ¿En cuántos sitios está usted suscrito(a)?
- ¿En cuántos de ellos tienes el mismo (o parecido) nombre de usuario y la misma contraseña?
- ¿Cuántos de estos sitios tiene «conectados» entre sí?
- ¿Cuáles de estos sitios tienen información sobre gustos personales compartidos con otros usuarios?
- ¿En cuáles de estos sitios usted maneja dinero o información personal verdaderamente sensible?
- ¿Su contraseña… tiene algún dato personal entremedio? ¿Su telefono? ¿su rut? ¿su fecha de nacimiento? ¿el nombre de su artista favorito? ¿alguna cosa que en algún momento usted le haya dado click a «Me Gusta (Y)»?
Ingeniería Social
Es un método por el cual, el atacante intenta averiguar información privada de la víctima, con tal de adivinarle contraseñas o respuestas a «preguntas secretas», cualquier cosa que sirva para abrir el candadito de algún sitio. Esto requiere tal vez cierta habilidad social, quizás incluso «negociar» con la propia víctima sin que esta note que la están «interrogando». A veces no es necesario negociar con la víctima, sino que simplemente recorrer información personal que esta haya publicado en algún lado.
Ya que el uso intensivo actual de las redes sociales hacen casi ridículo recomendar «no publique información privada», pero igualmente puedo recomendar 2 consejos:
- Usar una contraseña generada aleatoriamente en algún generador de claves y aprenderla de memoria, como si fuera un número de teléfono. Como algunos sitios piden que incluya números, letras y un largo mínimo, es conveniente pensar en eso antes de generar la clave. Si se le olvida, anótela y guárdesela en la billetera.
- Cuando un sitio pregunte por una «pregunta secreta» para recuperar una clave, la técnica es tener una respuesta única para cualquier pregunta, aun cuando no tenga nada que ver con la pregunta misma. Un ejemplo es, si escoges una pregunta secreta como «¿Cual es tu color favorito?», nadie esperaría adivinar que la respuesta es «La guerra de las galaxias».
- Si puede, hágase el habito de generar claves aleatorias con cierta periodicidad, al menos cuando se trata de cuantas de alta importancia, como lo son el email y el banco. El email porque a través de este es posible «recuperar» el acceso a casi cualquier servicio.
La ingeniería social se practica sobre cualquier plataforma, correo electrónico (phishing), redes sociales, chats, teléfono, face-2-face, etc…
Lo malo y perverso de esta técnica, es que es idéntica a cualquier forma de estafa. Se basa en la confianza y debilidades de la víctima. Además, es imposible frenar nuevas formas de esta técnica a través de los medios, por lo tanto la última barrera siempre será la propia víctima. Consiste básicamente en «recuperar» la contraseña, a partir de información sobre la víctima. Muchos de los descuido comunes sobre la contraseña pueden explotarse sabiendo cosas como la fecha de nacimiento, teléfono, dirección, número de hijos, hermanos, nombre de la mascota, grupo musical favorito, etc… ¿donde está la magia? ¿ah?
Este problema ha llegado a tal nivel que incluso los bancos han tenido que hacer campaña en televisión para dar a entender que los dueños de un sitio JAMÁS por ningún motivo van a pedir información privada del usuario/cliente (lo cual OBVIAMENTE incluye claves secretas). No hay ninguna situación donde esto pueda llegar a ser necesario. Lo digo como un comentario técnico: Un administrador o ejecutivo puede acceder a la información de su usuario/cliente consultando por él directamente en una base de datos, sin requerir ninguna llave, son sus propias bases de datos, sería ridículo pedirle la llave al usuario.
Malware
Las otras maneras de robar claves son más sofisticadas, pero esta vez son evitables a través de la tecnología.
Me refiero al malware. Virus, gusanos, tecno-bichos múltiples. Ahora… el uso de estas cosas tampoco es trivial. Es bastante peligroso para un atacante probarlo, pues nunca se sabe como se comportará el «bicho». No es llegar y pedirle a un «computín» que le mande un «virus» al ex-pololo de alguien para robarle la contraseña. Ahora, que hay gente que sabe hacer esto, la hay.
Por eso es necesario evitar estas amenazas con cosas bastante simples:
- Evitar usar software conocido como peligroso por ser históricamente vulnerable. Es decir, evitar usar:
- Internet Explorer (hay muchas alternativas para esto hoy en día)
- Windows (también hay estupendas alternativas)
- Cualquier aplicación cerrada que se conecte a internet. Nunca se sabe a ciencia cierta que información trafican estas aplicaciones y menos a donde va a parar
- Si no queda otra que usar estas aplicaciones (sea por flojera, ignorancia o que-se-yo), al menos mantener el habito de cuidar que las aplicaciones de seguridad (antivirus, firewall, …) estén activas y actualizadas
- Evitar hacerle click a cualquier enlace que nos envíen, sin antes leer la dirección.
- JAMÁS hacerle caso a una advertencia alarmista que aparezca de improviso, cuando es de un software desconocido, por lo general esto es falso. Por ejemplo, una vez me preguntaron «Me salio una ventana de Norton que dice que tengo n-virus», pero yo conocía ese computador y sabía que no tenia Norton, sino Nod32. Obviamente era un mensaje alarmista, desconocido y falso. Usted no se deje engañar. Otro ejemplo que he visto son las páginas web que dibujan cosas muy similares a notificaciones de Messenger o Facebook.
- Evitar entrar a páginas que requieran iniciar sesión si se está conectado a una red insegura (wifi sin contraseña, red de un colegio/universidad/biblioteca).
- Evitar dejar las sesiones abiertas en computadores públicos o ajenos. Después no falta el que anda llorando con que un señor hacker le robó la contraseña, y en realidad fue algún niñito que encontró una sesión abierta. La oportunidad hace al ladrón.
Phishing y páginas Clones
Por lo general el phishing es un engaño que es 99% ingeniería social, pero también puede estar apoyado por páginas web que imitan la apariencia de otra web «confiable», con el fin de hacer pasar al usuario por esta, de modo que al requerir información privada, pase por la web clon antes que por la web original.
De hecho, es es uno de los motivos por los cuales Twitter cambió el método de autenticación de las aplicaciones de terceros contra su sitio. Años atrás probé creando mi propia aplicación para twitter y era cosa sencilla eventualmente modificarla un poco y capturar el usuario/contraseña entremedio.
Una técnica sofisticada es la utilización de malware cuyo objetivo es modificar las tablas de hosts del sistema operativo, de tal modo que incluso una dirección legítima pueda apuntar a un sitio falso.
La recomendación nuevamente es evitar redes inseguras, mantener antivirus actualizados y ojalá en la medida de lo posible, no usar software privativo que requiera internet, o software conocido históricamente como inseguro.
Fuerza Bruta
Se le llama ataque de Fuerza bruta al intento de adivinar una clave tratando con todas las combinaciones posibles hasta dar con la combinación correcta.
La verdad, la única manera de realizar un ataque de fuerza bruta a una página web, se me ocurre, debe poder intentarse con algún programa que se conecte al sitio, genere los intentos de clave, envíe las credenciales a la página y espere que el resultado sea diferente de un «error». No conozco personalmente ningún programa de este tipo, pero lo veo posible de realizar. No me extrañaría que existiera alguno para bajar por ahí, hay de todo en esta jungla de bytes. Pero cabe recordar que todas las páginas web son diferentes, por lo cual un programa de fuerza bruta difícilmente podría servir para más de algunos casos particulares.
Por su lado, los sitios web más sofisticados se han protegido de esta técnica, permitiendo una cantidad máxima de intentos para «equivocarse» al ingresar la clave. Luego que ese número de intentos se supera, entonces el sitio puede bloquear temporalmente la cuenta del usuario, o poner algún obstáculo como una «imagen de seguridad» (los conocidos captcha), haciendo que un ataque de fuerza bruta efectivo sea imposible.
Otro episodio aparte…
Hace pocos días me vi envuelto en una pseudo-polémica pequeña en Twitter con un periodista. Él planteaba si acaso era pertinente o no volver a instalar un espectáculo, el cual fue cancelado hace 10 años debido a un accidente (donde hubo por desgracia victimas fatales).
Claro… muchos le respondieron que la cancelación del espectáculo no tiene mucho que ver con que en una oportunidad este haya sufrido un accidente, por lo cual, la decisión de volver a instalarlo debiera ser independiente de este hecho.
Pero mi comentario fue al hecho de revivir una polémica de hace 10 años como noticia HOY. La respuesta no fue otra que una ironía del tipo «otro experto en periodismo».
No soy «experto en…», ni menos en periodismo. Pido las disculpas del caso si hace falta porque a mi también me da lata que no se comprenda bien en que consiste mi profesión.
Solo que mi intervención es desde el punto de vista de quien recibe la información. Porque en verdad también da lata y pena cuando uno nota que la información «viene con fallas». En este caso particular, la «polémica» no es tal dado que un tema de hace 10 años no es contingente, básico para que sea «polémico» por si mismo y no porque sea una polémica refrita. Más aún, es solo un dato. Un dato es información solo cuando es oportuno y en este caso, 10 años es como mucho.
En Resumen
No se como, pero tengo la esperanza que en el futuro, la información que se propaga por los medios sea más precisa, aunque cueste cuando el espacio sea poco (como lo es el tiempo televisivo).
Existe gente con intensiones maliciosas, sí. En todos los ámbitos. Cuidarse de esto es tan básico como cuidarse al salir a la calle o en cualquier relación interpersonal del diario vivir.
Si a usted le «robaron la clave» o pretende buscar alguien que le haga este trabajito, sepa aquello no consiste en magia negra o vudú. No es una ciencia ni nada que enseñen en algún lugar, carrera o lo que sea. Así como tampoco es algo trivial. Si algún día usted pretende pedirle este trabajito a algún computín, sepa en que se esta metiendo.
tl;dr
Si, demasiado largo y además confuso, la idea del artículo era buena, pero se te diluyó.
Lo que describes en la prensa ocurre en todos los ámbitos del queacer. Puedes pensar que se trata de malos periodistas, pero la verdad es que es una forma de mantener ignorante a las gente. ¿Por que? Para poder controlar sus reacciones. Bien lo llamas «Ingeniería Social», que incluye lo que dices, pero va mucho, mucho más allá.