20/2/00
 

LA SEGURIDAD INFORMÁTICA ENTRA EN JUEGO
 
 

Mercè Molist
Los ataques de Denegación de Servicio (DoS) eran tan viejos como Internet. Pero no parecían quitar el sueño a nadie, hasta que televisores de medio mundo mostraron a famosos servicios, como Yahoo! o E-Bay, fuera de combate. Este y otros incidentes, cada vez más graves, abonan el campo de la seguridad informática, para el que se auguran tiempos de cosecha.

Mixter, el autor de un programa que, supuestamente, fue utilizado en los ataques contra Yahoo!, aseguraba, en una entrevista con ZDNet, que lo había creado no como herramienta de destrucción sinó para testear la seguridad de sistemas informáticos. Un doble filo que se repite en toda la red, construida para sobrevivir a un ataque nuclear y, en cambio, frágil: "El problema real es la inseguridad que crean todas las máquinas vulnerables que hay en Internet, no la gente que las está atacando", avisaba Mixter.

La seguridad en Internet es asunto difícil, ya que todos dependen de todos y se es tan fuerte como el eslabón más débil de la cadena. El ataque contra Yahoo!, llamado de Denegación Distribuida de Servicio (DDoS), consistió en entrar previamente en unos cuantos ordenadores con conexiones potentes (universidades, empresas...), e instalarles un programa. A una orden del atacante, todos se lanzaron contra el objetivo, enmascarando además sus direcciones de origen (lo que se llama IP Spoofing), por lo que resultaba muy difícil saber de donde venían los tiros.

"Si tienes una máquina insegura, puede que no te afecte, es tuya, pero es que también puede servir para lanzar ataques contra otras que no tienen la culpa. Lo injusto de los DoS es que, por muy bueno que seas y muy preocupado que estés por la seguridad, no puedes evitarlo. La lección de esto no es sólo que Internet sea vulnerable y esté en pañales, sinó que hay cantidad de máquines y redes importantes, como las universidades, que no se preocupan", afirma Jesús Cea, experto en seguridad y administrador de sistemas, quien sufre una media de un ataque de Denegación de Servicio por semana.

Cea, moderador de la única lista de discusión pública sobre 'hacking' en castellano, considera que estas acciones no tienen nada que ver con los 'hackers', aunque reconoce su utilidad para demostrar que hay cosas a mejorar: "Los 'crackers' que muestran fallos de seguridad, cambian páginas en webs o roban listas de tarjetas de crédito en general hacen más bien que mal, porque demuestran que no es oro todo lo que reluce y que los programas tienen fallos. Que caigan máquinas, si así se dan cuenta". Según Cea, los administradores de estos sistemas tienen parte de culpa, pero también las empresas, que "nunca les piden experiencia en seguridad", o los usuarios, que "sólo ven la parte negativa de las políticas de seguridad, la incomodidad de, por ejemplo, tener que utilizar claves difíciles".

Parecida opinión muestra Jordi Linares, de la sección española del Computer Emergency Response Team, la llamada "policía de Internet": "Si se entendiese la seguridad como un proceso y no como un estado, se podrían evitar muchos incidentes. Todos los problemas que tratamos son de fallos ya descubiertos, de los que se ha advertido a veces hace años y pueden repararse con un parche". Al esCERT se dirigen las empresas que sufren accesos no autorizados a sus ordenadores, intentos de entrada, ataques de Denegación de Servicio y otros. Aunque el año pasado atendieron 43 casos, la cifra de incidentes reales es muy superior y difícil de determinar, ya que muchas empresas los solucionan ellas mismas, como la de Jesús Cea, que asegura no haber denunciado nunca ningún ataque.

De todas formas, las estadísticas del esCERT son una pintura a pequeña escala del panorama: suben los incidentes, realizados con instrumentos automatizados, y se hacen más graves. En el caso de los DoS, asegura Linares, "antes afectaban a un servicio concreto de una máquina ('mail bombing', 'syn flood'), mientras que ahora paran el funcionamiento de toda la máquina o de toda la red". La situación es parecida en las universidades, aunque allí los incidentes se cuatriplican y crecen a ritmo de un 47%, debido a su tradicional obertura y descuido en la administración de sistemas. De enero a octubre de 1999, el CERT de la red académica RedIris atendió 162 casos, más 78 por correo basura o "spam". Casi la mitad no se solucionan nunca.

No debe extrañar entonces que, en la mayoría de intrusiones informáticas investigadas por las fuerzas de la ley, las universidades se lleven parte del protagonismo. Los accesos ilegales a ordenadores han subido en las estadísticas que maneja el Grupo de Delitos de Alta Tecnología de la Guardia Civil, usualmente tipificados como revelación de secretos y daños, el 43% del total. El fraude electrónico (9,5%), los delitos contra la propiedad industrial (14,3%) y la propiedad intelectual (19,5%) completan el reparto. "En España estamos comenzando a sufrir este tipo de delitos y se está produciendo un incremento exponencial. De una media semanal de 2 casos investigados a finales de 1996 se pasa a finales de 1999 a un volumen de 25 casos semanales", asegura el capitán Anselmo del Moral, en un reciente artículo de la revista interna de la Guardia Civil.

El rumor empieza también a correr, ya casi un clamor después del caso Yahoo!, en círculos profesionales y de empresa. "El mercado de seguridad informática va para arriba. En tres años habrá un buen ritmo. Las compañías deberían preocuparse de comprar servicio externo e interno", asegura José de la Peña, director de la revista "Seguridad en Informática y Comunicaciones (SIC)". Aunque en Estados Unidos ya ha despegado, en España se empieza desde "volúmenes ridículos: hay muy pocas empresas con capital español dedicadas a crear productos o consultoría, se cuentan con los dedos de la mano. La compra de soluciones de seguridad no ha empezado hasta el segundo trimestre de 1999", explica De la Peña.

De todas formas, la compra no es siempre la mejor o única solución, ya que hay muchos programas libres de análisis y defensa, por ser un tema que interesa a los 'hackers'. Mantener una política de seguridad es el reto no superado en las empresas, incluso "en las que dan servicios basados en tecnología, que no cuidan que sean seguros", recrimina el periodista. Aunque el problema no es sólo la conscienciación de la compañía, dice De la Peña, sinó también la poca oferta actual de buenos profesionales: "No hay", se queja.
 
 
 

¿QUÉ ES UN HACKER?
 

Los primeros en desautorizar los espectaculares incidentes de seguridad informática suelen ser, precisamente, los hackers. Pioneros de la red y sus habitantes más arraigados, Internet está hecha a imagen y semejanza de su filosofía (sistemas abiertos, interoperatividad, hacer real la ciencia-ficción). ¿Cómo alguien puede creer que disfrutemos destruyéndola? se lee, una y otra vez, en las listas de correo y otras zonas electrónicas donde se comunican.

Entre ellos -pocas mujeres-, está comúnmente aceptado que no es considerado hacker quien cambia una página web o daña ordenadores. En la mayoría de ocasiones, el atacante sólo ha necesitado algunos conocimientos de informática y leerse el manual de los programas que hacen todo el trabajo, disponibles en Internet y escritos por los auténticos hackers. Un hacker es, según el reputado diccionario de jerga informática "Jargon File", "[originariamente, alguien que hace muebles con un hacha] Persona que disfruta explorando los detalles de los sistemas programables y cómo forzar sus capacidades, opuesto a la mayoría de usuarios, que prefieren aprender sólo lo mínimo necesario".

La seguridad de programas es sólo uno de los temas que interesan a estos expertos informáticos, otros se especializan en "hardware", líneas telefónicas, televisión, etc. Muchos trabajan como administradores de sistemas, programadores, consultores, profesores o son estudiantes de informática y telecomunicaciones, con suficiente tiempo para aprender, crear, liberar, sus verbos preferidos, surgidos de la llamada "ética hacker", una mezcla entre "hippie" y "ciberpunk", juegos de rol y sonrisas artificiales. Compartir información, programas, recursos. Aborrecer lo que suene a control y centralización. Buscar alternativas imaginativas a los problemas. No robar. No al vandalismo. Sí a la privacidad.

La seguridad, junto a la construcción colaborativa de programas libres (proyectos Linux o FreeBSD), es el campo que más auge está viviendo en el mundo hacker. La ética aquí consiste en monitorizar programas y máquinas de la red y avisar privadamente a quien tenga un sistema inseguro. Si no ha habido respuesta o si es de interés general, pasados unos días se envía el aviso a foros como BugTraq, leído por todos los expertos en seguridad que se precien. Allí es frecuente ver a algunos de los más conocidos hackers del planeta, como Mixter, el creador del programa de DDoS TFN2K, quien horas después de los ataques en Yahoo! discutía tranquilamente sobre la repercusión de su invento. Sombras y luces del país de las cíbermaravillas, donde dicen que no se es hacker hasta que alguien así te describe.

[Los hackers llaman a los autores de ataques automatizados "script-kiddies" (niños con programas), jóvenes -de cabeza o de cuerpo- vándalos, a veces estudiantes con mucho tiempo, que monitorizan la red a la búsqueda de sistemas débiles. Los asaltan con programas concebidos primariamente como herramientas de seguridad defensiva o de análisis, que han encontrado en Internet, en lugares como Rootshell o Antionline. El manido lema de los hackers, "la información debe ser libre", se convierte así en peligro potencial para quien esté desprotegido.

Aunque, en este mundo donde nada es lo que parece, no puede afirmarse categóricamente que quien cambia una página web o rompe un sistema sea siempre un chiquillo con poco seso. Hay también reputados hackers que alguna vez han practicado el llamado "hacktivismo", consistente en realizar acciones espectaculares, como entrar en los ordenadores del gobierno de Indonesia, por razones políticas o sociales. Pero no toda la comunidad está de acuerdo con la nueva moda del hacktivismo y muchos siguen teniendo claro que quien construye es un hacker y quien destruye, no. Para éste, han inventado nombres como script-kiddie,  lamer (quien usa programas de los otros y no sabe escribir los suyos) o cracker (quien destruye sin razón, aunque entran también en esta categoría los que rompen protecciones anticopia y algoritmos criptográficos, a veces con buenas causas, como demostrar al mundo la fragilidad de los sistemas GSM o DVD).

Los últimos incidentes han despertado las voces, en la misma comunidad, discordantes con la tradición de ofrecer repositorios de programas "peligrosos" en Internet y contra sus autores. El problema es decidir qué programas son más malos que buenos y si normas restrictivas acabarían con ellos. Los mejores almacenes de programas no son fácilmente localizables, muchos no están ni en la web y el acceso es restringido a personas de confianza. Dicen que lo bueno que tiene Internet es que interpreta la censura como un error del sistema y la circunvala. Nunca nadie ha conseguido quitar algo de la red que no hayan nacido, al instante, diez nuevos sitios donde lo ofrecen]
 
 
 

LAS EMPRESAS EMPIEZAN A FIJARSE EN SUS ORDENADORES
 

Incidentes como el ataque de Denegación de Servicio contra Yahoo! son útiles para despertar la consciencia dormida sobre la necesidad de una mayor seguridad informática en los ordenadores de empresas y organismos. Hace diez años, los sistemas conectados a la red eran totalmente abiertos, pero con cada nuevo incidente se han ido cerrando, hasta hoy, cuando es comúnmente aceptado que, por su propio bien y el de sus vecinos, una empresa debe tener la seguridad entre sus principales prioridades.

La consultora Ernst&Young realiza la única encuesta pública sobre el estado de esta cuestión en España. Sus últimos resultados, correspondientes a 1998, no son muy tranquilizadores: el 80% de compañías no tienen establecido un plan de acción ante un problema de seguridad informática, sólo una de cada siete cifra su información confidencial y el 56% no investiga los intentos de acceso o actividades poco usuales en sus redes.

Mientras la seguridad es dejada aparte, crecen como la espuma las nuevas empresas que entran en la red (en 1998 el porcentaje subió del 27% al 84%). Algunas (el 53%) aseguran tener una política de seguridad, sin especificar si realmente obligan a cumplirla. Como afirma el informe, "la importancia que se da a la seguridad informática no siempre va unida a la implantación de medidas concretas". Según los empresarios, los principales obstáculos para mejorar la fiabilidad de sus sistemas son el presupuesto (36%) y la conscienciación de los empleados (el 32%).