Mientras te sientes seguro en la intimidad de tu cuarto, o con tu teléfono móvil en el bolsillo, se producen un millón y medio de ataques informáticos al día
No había otro tema posible. Después de dos años de investigación, Antonio Salas por fin ha podido cruzar las fronteras de un mundo hermético: el de los hackers. Todos somos víctimas.
Salas arremete con información contrastada sobre los peligros y vulnerabilidades de la red y de los modos para protegernos: hackers, crackers, espionaje, intrusos en tu ordenador y smartphone, perfiles falsos, ataques de cyberdelincuentes, cyberdefensa, deep web, whitehats, cyberterrorismo, estafas, kacktivismo , cyberjusticia, cyberbullying, el Internet de las cosas, en definitiva, el hacking en el siglo XXI .
Un libro para no cerrar los ojos
«Dicen los expertos que el Internet que utilizamos los usuarios de a pie —ese al que accedemos a través de buscadores como Google, Yahoo— es solo el 4% del Internet real. Es decir, que más del 96% de lo que hay en la red no aparece en esos buscadores».
Mientras te sientes seguro en la intimidad de tu cuarto, o con tu teléfono móvil en el bolsillo, se producen un millón y medio de ataques informáticos al día. La mayoría de nuestros teléfonos y ordenadores ya están infectados. Los ladrones de vidas buscan suplantar tu identidad en redes sociales, acceder a tus fotos y vídeos, utilizar tu red wifi y tus correos para cometer delitos que la Policía te atribuirá a ti… Pero eso solo es la punta del iceberg…
Durante los últimos años he conocido a hackers de sombrero blanco, gris y negro, a ciberactivistas, ciberdelincuentes y ciberpolicías. He asistido a sus congresos, talleres y seminarios. He conocido a los espías que utilizan las redes informáticas para obtener información y a los ciberterroristas que distribuyen en ella su propaganda. He convivido con los ciberacosadores y con sus víctimas, e incluso me he convertido yo mismo en víctima de alguno de ellos.
No existe nada más urgente que conocer cómo funciona nuestra vida en la red. Porque todos estamos ya en ella. Héroes y villanos, criminales y policías, nazis, proxenetas, tr aficantes, terroristas… El ordenador, y más aún los teléfonos móviles, son nuestro pasaporte al nuevo mundo. Si no usas Internet y no tienes un teléfono móvil, no necesitas seguir leyendo. De lo contrario, prepárate para descubrir el lado oscuro, y también el más luminoso, de tu nueva vida. Una red en la que todos estamos atrapados. Una red llena de mentiras.
¿Antivirus? Con eso no basta
A medida que David desarrollaba su argumentación, empecé a sentir temor.
—La mayoría de la gente pulsa en el primer botón que le ponen delante en una web, lo que equivale a suicidarse. Los más torpes ni siquiera tienen antivirus, que sin ser una panacea es algo muy recomendable . Yo asentí con la cabeza sin añadir nada.
—Y los que tienen antivirus se creen que con eso basta. Y se equivocan. Ahora los ataques llegan de todos lados. No solo de la creciente industria del cibercrimen, que ya mueve más pasta que el tráfico de armas o la prostitución. A ellos les interesa todo lo que hay en tu ordenador: datos bancarios, fotos, vídeos, cuentas de email… Todo vale dinero. Pero también intere sa lo que hay alrededor. Tu conexión wifi, tu módem, también puede emplearse para cometer un delito que luego te vas a comer tú. Por no hablar de tu teléfono móvil. La industria del malware está creciendo más en el desarrollo de ataques a teléfonos móviles que a ordenadores , y eso es porque ahora llevas tu vida en el móvil. Cuentas de Facebook, Twitter, What sApp, facturas… todo convenientemente geolocalizado en cada momento. Y tu vida vale dinero. Por eso te la roban».
«Gene Spafford, profesor universitario de ciencias computacionales y experto en seguridad informática, dijo: « El único ordenador seguro es aquel que está apagado y desconectado , enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él». Y Spafford estaba cometiendo el error de confiar en la lealtad de los guardias… No hay garantías».
Un hacker es un investigador y un cracker es un delincuente informático . Y dentro del crimen organizado, ahora están reclutando a muchos chavales, expertos en informática, para utilizarlos dentro del cibercrimen».
[Conversación con Israel Córdoba, bussines-hacker :]
—La ciberdelincuencia está creciendo. España es el tercer país con mayor impacto de la ciberdelincuencia.
—¿Como víctimas o como generador del delito?
—Como ambas cosas. Cuando se va a generar un ataque, lo que buscan es un país donde no haya acuerdos de colaboración. […] El panorama era desalentador.
Todas las estadísticas oficiales y privadas coinciden en que durante los últimos diez años el número de ciberataques crece proporcionalmente año a año . El problema es que muchos de ellos se realizan desde otros países, donde la legislación no ampara a las víctimas del país receptor del ataque. Y ni siquiera es necesario que el delincuente se encuentre físicamente en el país donde están los servidores informáticos que lanzan la agresión, lo que complica todavía más la investigación.
—¿Y la administración? Supongo que igual que gastan nuestros impuestos en asfaltar carreteras o poner alumbrado, deberían preocuparse de las autopistas de la red…
— La administración tendrá que poner medios y gastarse el dinero. Antiguamente los bancos ponían un guardia jurado en la puerta, que ahora ha sido sustituido o complementado con cámaras. Ahora no basta c on tener un ordenador bonito y que funcione bien. Debes tener otro equipo dedicado a la seguridad informática. Los diseñadores de programas y equipos se han concentrado en la operatividad de los sistemas, en que sean intuitivos, fáciles de manejar, que naveguen rápido… pero de scuidaron la seguridad.
“Esa misma tarde me compré un antivirus, actualicé los servicios de Internet y contraté una VPN. También aprendí a buscar el candado que aparece en el navegador, y el encabezado https en lugar del http, al entrar en mi cuenta bancaria. Israel me explicó que ese candado y el protocolo https implican el cifrado de mis operacione s y por tanto mi seguridad. Pero ni con todo eso me sentí más seguro. Por si acaso, al final tapé con un trozo de celo la webcam de mi ordenador. No lo he quitado desde entonces» .
«El Big Data o procesamiento masivo de datos es la nueva tendencia en la red. Ante el torrente brutal y gigantesco de datos que manejan los proveedores de Internet, las tecnologías de la información y la comunicación comenzaron a desarrollar técnicas para la captura, almacenamiento, búsqueda y análisis de esa ingente cantidad de datos con objeto de rentabilizarlos publicitariamente, como análisis de negocio, para control social o espionaje».
Cuestión de Estado
«Es probable que la Administración Obama jamás hubiese confesado las torturas y asesinatos cometidos en Guantánamo o Irak , de no haber sido porque Wikileaks filtró previamente miles de documentos, fotos y vídeos demostrándolo. Es posible que jamás hubiésemos conocido la contabilidad del Partido Popular si Anónymous no la hubiese hecho pública , antes incluso de que el juez Ruz hubiese concluido la instrucción del caso Bárcenas.
Y estoy seguro de que jamás descubriríamos que los servicios de Inteligencia pueden captar todos nuestros emails, wasaps, conversaciones telefónicas y videoconferencias, si Edward Snowden no nos hubiese revelado cómo, dónde y cuándo lo hacen».
«Lo que se estaba gestando en aquellos momentos [en marzo de 2014, mientras se celebraban por toda España las marcha s de la dignidad] en los despachos del Gobierno de España era una remodelación total de la Ley de Seguridad Ciudadana , que afectaría de forma demoledora a nuestras libertades. No solo en las calles. También en la red. Y yo tendría el privilegio de seguir el proceso tal y como lo vivió la comunidad hacking».
«Aquella noche, año y medio antes de que se aplicase la Ley Mordaza, fui testigo de cómo varios miembros de las UIP intuían que habían sido «marionetas» del sistema, intencionadamente mal coordinados por sus superiores para sufrir una brutal agresión que justificase un endurecimiento en las leyes de seguridad ciudadana.
—Lo hemos comentado muchos compañeros, Toni. No fue normal. Nos enviaron al matadero para que nos forrasen a hostias, sabiendo que no teníamos ni la cobertura ni la equipación apropiada para ese operativo… Y muchos pensamos que lo hicieron para tener una justificación gráfica que les permitiese endurecer la ley … Fuimos su excusa».
«A partir de julio de 2015, una fecha clave en la historia de la cultura hacker también existirán corsarios autorizados por los gobiernos para utilizar armas y herramientas de hacking, que se considerarán ilegales en manos de los piratas. Unos tendrán la autorización para realizar ataques , para testar equipos, para explorar vulnerabilidades, dentro de los límites de la nueva ley. Los otros, los de siempre, continuarán moviéndose en la clandestinidad, al margen de la legali dad del momento, sin molestarse en pedir permiso al poder para utilizar tal o cual programa, aplicación o código en sus investigaciones tecnológicas. Explorando los nuevos sistemas en busca de sus errores, porque esa es su pasión. Sin embargo, a partir de julio de 2015, con la entrada en vigor del nuevo Código Penal, cosas que antes no estaban penadas ahora pueden implicar prisión» .
«Si yo quiero investigar a un usuario que ha colgado un vídeo donde dice que te van a matar, por ejemplo, ese vídeo está en YouTube y YouTube está en Estados Unidos. Pero en España no existe una legislación que obligue a YouTube a darte esa información . Y si no quieren darte esa información, no te la dan, te pongas como te pongas. De hecho, no lo hacen. Se pasan por el forro las peticiones policiales».
Hacking WIFI
Más allá de los virus troyanos y gusanos, del robo de conexión al vecino, y del phishing , el hacking wifi supone otra dimensión de nuestras vulnerabilidades . Ya no es necesario tocar el ordenado r de la víctima. Utilizando antenas direccionales […] es posible introducirse en un sistema desde un coche aparcado en la calle o desde el edificio de enfrente.
O lo que es peor, acomodarse en un lugar público, como una terminal de un aeropuerto, el vestíbulo de un hotel o una estación de ferrocarril, y solapar la wifi gratuita legítima del lugar, con una señal que emite el atacante, y que bautizará con un nombre inocente: «wifi gratis», «Renfe», «wifi Barajas», «Hotel Ritz», etcétera.
Los hombres que susurraban a las máquinas. Espasa. 2015