viernes, 19 de abril de 2013

Los vulnerables passwords



Los vulnerables passwords

Por Adán Salgado Andrade

Hace unos días se publicó una nota que causó revuelo. Se daba a conocer que supuestos hackers habían logrado penetrar, en Estados Unidos, los datos personales, tales como cuentas bancarias, estados financieros, números de seguridad social… y muchos más datos confidenciales de gente tan importante como la mismísima esposa de Barack Obama, Michelle, del jefe del FBI, Robert Mueller (¡háganme favor, del jefe de la oficina policiaca más importante de EU y del mundo!), del vicepresidente Joe Biden, de la ex secretaria de Estado, Hillary Clinton, del magnate Donald Trump, de la ex gobernadora de Alaska, Sara Palin, del ex gobernador de California, Arnold Schwarzenegger, de estrellas de la farándula como Kim Kardashian, Paris Hilton, Britney Spears… y algunas otros sobresalientes personajes.
Esto es importante, no sólo porque se trata de personas muy influyentes e importantes, sino porque deja al descubierto la vulnerabilidad a la que cada vez estamos más y más expuestos todos los que, de alguna manera, almacenamos datos e información personal en la, así llamada, red.
Como digo, es inaudito que personajes famosos estén tan expuestos a los robos de información como lo puede estar un ciudadano común, como ustedes o quien esto escribe.
Eso es una muestra de que los sistemas de seguridad en el Internet no son todo lo seguro que presumen. No parece que las maneras de encriptación sean infalibles. Hoy, ya no es garantía contar con una clave, un password de acceso, pues un hacker con medianos conocimientos y algunos programas – que pueden hallarse fácilmente en el propio internet –, podrá averiguar tal o cual clave de entrada y, con ella, tener la información del desafortunado usuario penetrado de tal o cual sitio, para hacer con ella lo que al atacante se le antoje.
Recientemente, el periodista Mat Honan, colaborador de la publicación tecnológica Wired, publicó un artículo en el que expone la inseguridad a la que todos estamos expuestos, de seguir empecinados en que la seguridad en el Internet de nuestros datos, dependa exclusivamente de los, en proceso de obsolescencia, passwords.
Honan escribió el artículo a partir de su propia, desagradable experiencia, debido a la cual perdió vital información de varios sitios que empleaba desde hacía años, como veremos.
Normalmente un password, se forma de una combinación de letras, números o símbolos, como todos sabemos, de entre seis y dieciséis, dependiendo de la habilidad y, sobre todo, de la memoria de quien lo crea. Y en un principio, cuando comenzaron a usarse los correos electrónicos, por ejemplo, realmente eran una segura manera de acceder y proteger la cuenta de correo, pero ahora, con tanto hacker, es poco seguro, como protección, crear un password, por muy intrincado que éste sea.
En el caso de Honan, el año pasado, en el curso de una hora, piratas informáticos destruyeron toda su vida digital, a pesar de que contaba con muy seguros passwords, de entre 10 y 19 caracteres. Contenían no sólo letras y números, sino también símbolos. Aún así, sus cuentas de Twitter, de Apple y de Gmail fueron intervenidas y desaparecidas para siempre. Esas cuentas estaban ligadas entre sí, pues ahora, empresas como Google estilan eso, ligar con el correo, por ejemplo, cuestiones como el blog o la cuenta de Youtube. Los hackers destruyeron todo, de tal modo que ni por iPad, ni por iPhone, ni por su laptop, el desesperado Honan pudo acceder más a sus cuentas, pues éstas ¡dejaron de existir!
Y es de comprenderse tan lamentable pérdida, pues, imaginemos que se pierda la cuenta de Facebook o de Hotmail o de Youtube o de Twitter o de Blogger… años, quizá, de estarlos empleando, guardando allí archivos importantes, pues el usuario piensa que allí están muy seguros. En muchos casos, todo se guarda allí, directamente, sin hacer respaldos. Y, de hecho, es como ya se acostumbra, subir de inmediato todo a la red.
Como señala Honan, en muchos casos, basta hackear el correo del usuario a quien se pretende dañar, lo que se hace normalmente con una pregunta no muy complicada (de hecho, se van dando varias “oportunidades”, y las preguntas van bajando de dificultad, de tal manera que al final, basta, muchas veces, con ingresar la ciudad en donde nació el usuario y listo).
Y todos sabemos que al ingresar a nuestro correo, muchos de los sitios que empleamos nos envían allí información importante de muchas de nuestras actividades, como pagos bancarios, telefónicos, estados de cuenta, passwords… de hecho, todo va ligado ya con la cuenta de correo que se tenga. Es, digamos, imprescindible tener correo electrónico en esta interconectada época.
Y es una primera vulnerabilidad. De allí, el hacker puede penetrar todas nuestras cuentas. Lo único que se le pide, fingiendo ser el supuesto “usuario”, para que recupere un password es ingresar al sitio requerido, el que, debajo del cuadro de diálogo de entrada, muestra la pregunta “¿Olvidó su contraseña?”. Al teclear allí, se envía de inmediato la clave al correo del tal “usuario”, el que previamente ya se penetró… y, con toda esa información, el hacker puede tanto destruir, por puro gusto, todas las cuentas de sitios del usuario, así como, incluso, robarle de sus depósitos bancarios.
A partir de su muy amarga y lamentable experiencia, Honan, se ha dedicado a comprobar la vulnerabilidad de los passwords. Con tan sólo cuatro dólares y dos minutos de tiempo, Honan pudo ingresar a un sito medio clandestino, gracias al cual, señala, “puedo acceder a su tarjeta de crédito, su número telefónico y su número del seguro social. Deme otros cinco minutos y podría ingresar sus cuentas de, digamos, Amazon, Best Buy, Hulu, Microsoft y Netflix. Con otros diez, podría apoderarme de su cuenta en AT&T, Comcast y Verizon. Y con otros cinco minutos, en total veinte, me puedo apoderar de su cuenta en Paypal. Algunas de tales fallas en la seguridad están arregladas, pero nuevas maneras de penetrar cuentas ajenas se descubren todos los días”.
Y en todos los casos son los passwords la vulnerabilidad común los que, en efecto, se envían a la cuenta de correo del “usuario”.
Como bien señala Honan, los passwords tienen dos vulnerabilidades. La primera es que, con tal de hacerlos fácil de recordar, se han ido simplificando, pues de nada valdría tener una súper clave de entrada, de 256 caracteres, digamos, si el usuario no la pudiera recordar fácilmente. La segunda vulnerabilidad es la supuesta privacidad del usuario. Eso ocasiona que cualquiera pueda ingresar a la cuenta, pues basta, en efecto, con “recordar” el password y eso es todo.
Pero por la facilidad con que actualmente se hackean los passwords, la “seguridad” en el Internet tiende a decrecer. Tan sólo en EU, en el año 2011, la inseguridad en la red creció 67% y cada año se vuelve más vulnerable.
Y es algo que no se toma en cuenta, pues, por ejemplo, en México y en casi todas partes, se obliga a la población a realizar muchos trámites por la red, importantes varios de ellos, como el pago de impuestos o servicios, lo que da lugar al uso de tarjetas de crédito o de débito, las favoritas para hackearse.
Honan describe los métodos para hacerse de un password. El primero es la simple adivinación, la que se facilita porque muchos usuarios emplean claves tan obvias como, ¡increíble!, la propia palabra password, o los números 12345678. Además, existen sitios en donde se publican los passwords que los hackers vulneran, con la finalidad de que la gente ya no los emplee, pero, señala Honan, aún así, la gente, por comodidad, prefiere usar esas claves. Y eso facilita mucho las cosas (de hecho, se emplean cientos de passwords similares, los que sólo cambian por el número, como, por ejemplo, prettygirl102 o prettygirl103, digamos).
Otra forma de penetrar un password es instalando un programa espía, malware, como se les llama. Estos se instalan cuando se abre un archivo adjunto de algún correo que pase por una inocente foto (no sólo se instalan programas espías así, sino que algunos que convierten a la computadora de la víctima en un generador de spam, por ejemplo, inutilizando la cuenta de correo infectada). El más usado es uno llamado ZeuS, el cual, una vez instalado, espera a que el usuario ingrese a una cuenta bancaria, detectando el password por medio de las teclas. En el 2010, por ejemplo, el FBI (para variar), ayudó a detectar a una banda de hackers que actuaban desde Ucrania, los que usando dicho malware, lograron hacerse de $70 millones de dólares de 390 víctimas, que, principalmente, eran pequeños negocios en EU.
Una forma más es la suplantación de la personalidad, el llamado phishing. En este caso, el hacker se hace pasar por el usuario real, penetrando su información hasta el más mínimo detalle, enfocándose, sobre todo, en las cuentas bancarias. De esa forma, miles de víctimas han perdido parte o la totalidad de sus ahorros bancarios, pues los ladrones digitales, suplantándolos, ordenan a los bancos hacer transferencias a otros bancos, los de los hackers, claro.
Como señalé antes, son dos las razones para que un hacker intervenga un password. Una es por mero gusto, penetrar información valiosa de personalidades famosas, sólo por mostrar cuán vulnerables son, a pesar de estar tan supuestamente “protegidos”, como hicieron los hackers en los casos que menciono al inicio del artículo. Lo peor es que destruyan toda la información, como le sucedió a Honan. Otra razón, ya la más común, es para robar, justo a través de las mencionadas cuentas bancarias.  Quienes más le sacan provecho al robo en línea son las mafias rusas, las que, tan sólo en el 2011 se hicieron de $4500 millones de dólares. Es tan lucrativo este “negocio”, que asciende casi a niveles industriales y llega a ser, incluso, violento. Esas mafias atacan ya no solamente a empresas o instituciones, sino personas comunes (esto es ya muy frecuente. Conozco muy de cerca el caso de una amiga que el año pasado viajó a EU y comenzó haciendo sus pagos con su tarjeta de crédito. Sin embargo, a los pocos días, ya no la pudo empelar más, pues el propio banco emisor la había cancelado debido a que se había realizado un pago desde un país europeo, unas pocas horas después de que  mi amiga hiciera una compra en EU. Por fortuna, el banco anuló dicha compra).
En el caso de los hackers que desaparecieron la información de Honan, fueron simples adolescentes, quienes actúan por mero gusto. El que le destruyó la información responde al apodo de Dictate, quien, cínico, declara que eso lo hace para ver la reacción de la gente, además de que les adjudica comentarios vulgares que los verdaderos usuarios no se atreverían a hacer.
La mayoría son muy jóvenes, como el que se hace llamar “Cosmo”, quien es líder del grupo UGNazi. Cosmo es un adolescente de sólo 15 años. Él y su grupo lograron penetrar sitios como Nasdaq, la CIA (¡háganme favor!), 4chan, entre otros. Lograron averiguar datos confidenciales de Barack Obama, de Michael Bloomberg, multimillonario y actual gobernador de Nueva York, y de la showwoman Oprah Winfrey, entre muchos otros. Cuando, finalmente, el FBI logró dar con los cibercriminales, no supieron qué pena aplicar a Cosmos, al ver que era aún menor de edad.
Y el problema de la vulneración de los passwords seguirá, sostiene Honan, mientras ese anticuado sistema continúe y no se busquen formas alternativas de proteger la identidad de un usuario. Dice, por ejemplo, que podría agregarse la biometría, tal como ya se hace con las huellas digitales o el iris de los ojos (aún así, hay errores, pues en el 2004, cuando en marzo, en el metro de España, estalló una bomba en uno de los convoyes, dejando decenas de muertos, a un estadounidense, Brandon Mayfield, que era un simple doctor, se le atrapó y se le encerró varios meses, pues los supuestos investigadores españoles, incluso ayudados por el FBI y la policía inglesa, habían “identificado” las huellas digitales halladas en el sitio, como las del estadounidense y lo habían culpado, a pesar de que él les había asegurado que en muchos años no había salido de EU, ni había estado en España, lo cual comprobó fehacientemente, pero no lo soltaban hasta que, una nueva revisión de “sus” huellas dactilares demostró que eran de otra persona, no de él, sino de un argelino, que era el que realmente había cometido el atentado).
Y algo que no menciona Honan, pero debe de considerarse, sin duda alguna, es que el gobierno estadounidense es el mayor de los hackers existentes en el mundo, ya que poniendo de pretexto el supuesto “combate al terrorismo”, penetra todos los días los datos de millones de personas en el mundo, sean o no “sospechosos”. Se entera de lo que suben a sus redes sociales, a sus correos, sus datos personales, sus cuentas bancarias… ¡todo!, con tal de, dicen las “agencias de seguridad” estadounidenses, como la CIA o el FBI, “prevenir” cualquier nuevo “atentado terrorista”. Y para cumplir mejor tan “noble tarea”, está construyendo la supuestamente mayor agencia de espionaje estadounidense, la NSA (National Security Agency) en medio del desierto de Utah un súper edificio que será considerado como el futuro centro de ultraespionaje, el que analizará, o sea, hackeará, diariamente millones de correos, de páginas de redes sociales, de datos personales…en fin, con los cientos de terabytes de “información” que se recaben a diario, se pretenderá que todo el internet sea filtrado y analizado por ese sitio, para que EU sea “más seguro”. 
En fin, lo preocupante, como señala Honan, es que, a pesar de la vulnerabilidad del Internet, y con EU a la cabeza de la penetración de datos confidenciales y muchas más delicadas cuestiones, aún se nos siga obligando a realizar en la red casi toda nuestra tramitología legal, financiera, laboral… de todo tipo, sin que realmente se esté a la par en medidas de seguridad digital. Seguirán los hackeos de información vital de personas como ustedes o como quien esto escribe, sin que la seguridad mejore y nuestras vidas estarán en manos de un desconocido, dañino, criminal Big Brother.