Los pies de barro de Internet Los ataques contra Yahoo y otras empresas muestran que la red es intrínsecamente vulnerable
La oleada de ataques contra al menos ocho de las más conocidas tiendas y publicaciones electrónicas ha sacudido los cimientos de Internet. Alguien ha demostrado con una serie de espectaculares acciones que la red es mucho más insegura de lo que se creía. Así, de repente, todo el mundo se ha dado cuenta de que la seguridad es prioritaria. Pero, ¿es fácil reforzarla? La propia estructura radicalmente descentralizada de Internet y la cultura sobre la que se ha construido no ponen fácil la corrección.Las sedes han estado perfectamente seleccionadas para demostrar que cualquiera es vulnerable. Yahoo, eBay, Buy.com, tres de las tiendas colapsadas, son símbolos del incipiente comercio electrónico, tres selectos adelantados de la nueva economía. ¿Cómo va a afectar a ese comercio en línea la evidencia de la vulnerabilidad de la red? ¿Se cumplirá el cálculo que prevé para este año un volumen de transacciones por Internet de 450.000 millones de dólares (unos 76 billones de pesetas)?
La seguridad en Internet es un asunto difícil porque todos los ordenadores dependen de todos (es una red sin ningún control centralizado) y se es tan fuerte como lo sea el eslabón más débil de la cadena. Por ejemplo,el ataque contra Yahoo!, llamado de denegación distribuida de servicio (DDoS), se produjo después de que el agresor entrara en unos cuantos ordenadores con conexiones potentes (de universidades y empresas) e instalara en ellos un programa. A una orden del atacante, todos los ordenadores se lanzaron contra el objetivo y lo bloqueron, enmascarando además sus direcciones de origen (lo que se llama IP Spoofing), por lo que resultaba muy difícil saber de dónde venían los tiros.
Despreocupación
"Si tienes una máquina insegura, puede que no te afecte a ti, pero puede servir para lanzar ataques contra otros ordenadores que no tienen ninguna culpa. Lo injusto de los DoS es que, por muy bueno que seas y muy preocupado que estés por la seguridad de tu red, no puedes evitarlo. La lección de esto no es sólo que Internet sea vulnerable y esté en pañales, sino que hay cantidad de máquinas y redes importantes, como las de muchas universidades, que no se preocupan", afirma Jesús Cea, experto en seguridad y administrador de sistemas.
Cea asegura que sufre una media de un ataque de denegación de servicio (DoS) por semana. Son el pan nuestro de cada día, que consiste en enviar mucha información a una máquina a través de la red en forma de cartas electrónicas (el denominado mailbombing) o de paquetes de datos, hasta que el ordenador atacado no lo soporta y deja de funcionar. Se trata de fuerza bruta: gana el que dispone de más ancho de banda.
El salto del DoS al DDoS (denegación distribuida de servicio) ha requerido nuevos programas que permiten que el ataque se desarrolle en paralelo desde muchos ordenadores, lo que ha hecho posible colapsar máquinas capaces de manejar niveles máximos de tráfico.
Algunos de esos programas, TFN y TFN2K, habían sido creados por un hacker alemán de sobrenombre Mixter para poner a prueba los sistemas informáticos, según su propia explicación. Ambas piezas de software las había dado a conocer en varias sedes electrónicas de seguridad "para que se tomara conciencia" del problema, según ha declarado a la publicación News.com tras la oleada de ataques.
En la misma entrevista, Mixter criticó el mal uso de sus programas. "Parece que los atacantes es gente bastante estúpida que utiliza de manera abusiva unas herramientas poderosas para desarrollar actividades dañinas e insensatas simplemente porque pueden".
Doble uso
Realmente, cualquiera con los conocimientos adecuados y suficiente interés puede acceder a alguna de las 1.900 sedes webs, la cifra que ofrecen fuentes de seguridad citadas por Business Week. En ellas se puede obtener gratuitamente programas dotados de las más diversas capacidades, incluidas las de echar abajo máquinas ajenas o tomarlas bajo control aprovechando fallos de seguridad. Muchos de esos programas sirven tanto para reforzar la seguridad (poner en evidencia un fallo es el primer paso para corregirlo) como para vulnerarla.
En el complejo mundo que amalgama responsables de seguridad y hackers en torno a listas de debate comunes han surgido ya voces que discrepan de la tradición de ofrecer repositorios de programas peligrosos en Internet y contra la opinión de sus autores. El problema es decidir qué programas son más bien malos que buenos y si las normas restrictivas acabarían con ellos.
Esa doble cara es una constante de Internet desde sus orígenes.Fue creada por el Departamento de Defensa de Estados Unidos para sobrevivir a un ataque nuclear gracias a su estructura en la red, que habría permitido tomar el mando desde cualquier ordenador conectado superviviente. Pero al mismo tiempo, esa estructura propicia su fragilidad porque se multiplican los puntos vulnerables: los ordenadores insuficientemente protegidos.
Jesús Cea, el citado experto en seguridad, que además modera la única lista de discusión pública sobre hacking en castellano, considera que los administradores de los sistemas atacados tienen a veces parte de la culpa, y también las empresas que los contratan, que "casi nunca les piden experiencia en seguridad". También recrimina a los usuarios de los sistemas que sólo vean "la parte negativa de las normas de seguridad, la incomodidad de, por ejemplo, tener que utilizar claves difíciles" para evitar accesos no autorizados a las redes.
Parecida opinión muestra Jordi Linares, de la sección española del Computer Emergency Response Team (esCERT), la llamada policía de Internet: "Si se entendiese la seguridad como un proceso y no como un estado, se podrían evitar muchos incidentes. Todos los problemas que tratamos son de fallos ya descubiertos, de los que se ha advertido a veces hace años y pueden repararse con un simple parche".
Al esCERT se dirigen empresas que sufren accesos no autorizados a sus ordenadores, intentos de entrada, ataques de denegación de servicio y otros. Aunque el año pasado atendieron sólo 43 casos, la cifra de incidentes reales es muy superior y difícil de determinar, ya que la mayor parte de las empresas las solucionan ellas mismas, como la de Jesús Cea, que asegura no haber denunciado nunca ningún ataque.
Las grandes compañías sólo hacen públicas las agresiones en casos extremos, por las repercusiones negativas que su conocimiento público puede tener para el negocio. En el último informe del FBI y el Computer Security Institute, referido a 1998, el 60% de las 520 compañías consultadas admitió que había padecido alguna utilización no autorizada de sus sistemas y que más de la mitad de los incidentes habían llegado por Internet.
Aumenta la gravedad
Los datos ponen también en evidencia el crecimiento de los incidentes realizados con instrumentos automatizados, que cada vez presentan mayor gravedad. En el caso de los de denegación de servicio, asegura Linares, "antes afectaban a un servicio concreto de una máquina [por ejemplo, por mail bombing o saturación de correos], mientras que ahora paran el funcionamiento de toda la máquina o de la red".
Los accesos ilegales a ordenadores han subido en las estadísticas que maneja el Grupo de Delitos de Alta Tecnología de la Guardia Civil, usualmente tipificados como revelación de secretos y daños. Ahora es el 43% del total de delitos informáticos registrados. El fraude electrónico (9,5%), los delitos contra la propiedad industrial (14,3%) y la propiedad intelectual (19,5%) completan el reparto.
"En España estamos comenzando a sufrir este tipo de delitos y se está produciendo un incremento exponencial. De una media semanal de dos casos investigados a finales de 1996 se pasa a finales de 1999 a un volumen de 25 casos semanales", aseguraba el capitán Anselmo del Moral en un reciente artículo publicado en la revista interna de la Guardia Civil.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.