Los equipos españoles de seguridad cumplen un década de lucha contra virus y 'crackers'
En 1995 se creó en Barcelona el ESCERT, y en Madrid el IRIS-CERT - Europa tiene 42 centros de seguridad, la mayoría universitarios - En una década, el objetivo de los ataques ha pasado del servidor al ordenador doméstico
El suyo es el teléfono al que llamar cuando intrusos o virus provocan estragos en las redes de empresas y universidades. Se les considera los bomberos de Internet. En España, llevan 10 años apagando fuegos.
Todo empezó por un virus: el gusano de Morris. En 1988, un estudiante creó un código autorreplicante que colapsó por primera vez la incipiente Internet. El Departamento de Defensa de Estados Unidos encargó a la Universidad Carnegie Mellon la creación de un equipo para que aquello no volviese a suceder. Así nació el Computer Emergence Response Team Coordination Center (CERT/CC)...
El suyo es el teléfono al que llamar cuando intrusos o virus provocan estragos en las redes de empresas y universidades. Se les considera los bomberos de Internet. En España, llevan 10 años apagando fuegos.
Todo empezó por un virus: el gusano de Morris. En 1988, un estudiante creó un código autorreplicante que colapsó por primera vez la incipiente Internet. El Departamento de Defensa de Estados Unidos encargó a la Universidad Carnegie Mellon la creación de un equipo para que aquello no volviese a suceder. Así nació el Computer Emergence Response Team Coordination Center (CERT/CC).
Pronto empezaron a surgir equipos de respuesta a emergencias informáticas (CERT) en Europa, siempre ligados a las universidades. Manel Medina, director del Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas (ESCERT), lo recuerda: "Fue una corriente liderada por la red académica alemana, con soporte de noruegos, holandeses y franceses. Los primeros CERT se crearon en 1992, aunque fue en 1995 cuando se generalizaron, a petición del CERT/CC en Estados Unidos, que reclamó apoyo europeo ante el aumento de incidentes y la dificultad de atenderlos, debido a la diferencia horaria".
A principios de 1995 se creaba en la Universidad Politécnica de Cataluña (UPC) el ESCERT, dedicado a asesorar, prevenir y resolver gratuitamente incidencias de seguridad en la red académica catalana y empresas y administraciones nacionales. En noviembre del mismo año, nacía en Madrid IRIS-CERT, que ofrecía el mismo servicio a la comunidad académica y de investigación española. Rubén Martínez lideraba el proyecto de Madrid, y Manel Medina y Jordi Buch el de Barcelona.
Fueron los primeros equipos de seguridad cibernética en España. La criminalidad entonces no era muy elevada, recuerda Medina: "Más bien había inconsciencia, promiscuidad e irresponsabilidad. Considerábamos que un mayor uso de Internet podía comportar problemas de seguridad y confianza que frenarían el desarrollo del incipiente comercio electrónico. Creamos el organismo de reacción y prevención antes de que el problema fuera incontrolable".
El primer año, el ESCERT trabajó sólo en media docena de intrusiones: "Los atacantes no estaban acostumbrados a ser detectados y no tomaban precauciones. También había empresarios preocupados por castigar a empleados que les habían robado información y demandaban apoyo pericial. No había tradición de sanciones por mal uso de sistemas informáticos y mucho menos legislación", explica Medina.
Desde entonces, los incidentes atendidos no han parado de aumentar. En IRIS-CERT se ha pasado de los 110 en 1998 a 1.714 el año pasado. "Ha habido notables modificaciones en el modus operandi de los atacantes y los tipos de ataques", explica Chelo Malagán, del equipo madrileño. "Van siendo más masivos, como gusanos o denegaciones de servicio, lo que dificulta su seguimiento".
"Ha habido una profesionalización de los atacantes", añade Medina. "Cada vez hay herramientas más sofisticadas que facilitan su uso a atacantes inexpertos y más maliciosos. La diferencia cualitativa está en la confección de programas maliciosos usados de forma privada por atacantes profesionales para robar información confidencial de las empresas".
Otro cambio ha sido el objetivo de los ataques, explica Malagón: "Antes eran los servidores, pero al existir mayor conscienciación en estas instalaciones, ahoran son los ordenadores domésticos, que se usan para bombardear sitios o enviar correo basura. Hoy en día son el verdadero talón de Aquiles de Internet".
"El aumento de ancho de banda no ha ido acompañado de la formación necesaria de los usuarios para utilizarlo de forma segura", añade Medina. "Además, la aparición de programas peer to peer ha provocado el crecimiento de los delitos contra la propiedad intelectual y el robo de información".
Aunque los incidentes y las vulnerabilidades crecen constantemente, "su valor relativo disminuye por el aumento de internautas. Los servicios y las herramientas que permiten usar Internet con seguridad también han aumentado", dice Medina.
Con el tiempo, los CERT han creado una tupida malla en Europa, con 42 equipos coordinados entre sí, lo que conforma un red de seguimiento de incidentes de seguridad informática única en el mundo. Por su origen universitario, han hecho hincapié en la formación dirigida a empresas, instituciones y fuerzas de seguridad, con las que mantienen constante colaboración. La mejor preparación de la policía no es una amenaza para la supervivencia de los CERT. "Somos complementarios, atendemos incidentes diferentes", dice Malagón.
A pesar de sus méritos, la constante en los CERT españoles ha sido la falta de recursos, que han suplido con imaginación. La financiación de IRIS-CERT procede del Plan Nacional de I+D. El ESCERT se financió en un primer momento con ayudas de la Unión Europea y la Administración. Cuando se acabaron las subvenciones y sólo quedó la ayuda de la UPC, para subsistir crearon InetSecur, una empresa de servicios de seguridad.
Tres casos que han hecho historia
El director del ESCERT, Manel Medina, destaca los tres principales incidentes de seguridad de los últimos 10 años en España:
Detención de dos 'hackers'. Con la colaboración del ESCERT, en mayo de 1997, por haber accedido a cuentas de correo de profesores de la Universidad Rovira i Virgili de Tarragona. Sentó un precendente en la intervención de las fuerzas de seguridad en los delitos informáticos. Los jóvenes, estudiantes de la universidad, fueron los primeros detenidos en España por intrusión en redes informáticas. Se les acusó de ataques, en ordenadores de diversas universidades, al Centro de Supercomputación de Cataluña, a una empresa de Canarias, a la red ciudadana TINET y al Registro Mercantil de Tarragona. Al final, la universidad retiró los cargos y fueron absueltos.
El gusano 'I love you'. Aparecido el 4 de mayo del 2000 y constituyó la explotación masiva de una técnica de ingeniería social para engañar a los usuarios y propagar mundialmente un virus en pocos días. Llegó a infectar al Pentágono y el Parlamento británico. Se transmitía a través del correo electrónico, como un archivo adjunto a un mensaje con el tema I love you (te quiero), lo que hizo que mucha gente lo abriera creyendo que era una carta de amor. Cuando infectaba un ordenador, se autoenviaba a los contactos de su libreta de direcciones. Procedía de Filipinas.
El gusano 'SQL Slammer'. Apareció el 26 de enero de 2003 y perpetró un ataque de denegación de servicio extremadamente rápido. Afectó a ordenadores de todo el mundo en muy pocas horas. Se dice que infectó a más de 200.000 servidores en un fin de semana. En España tuvo especial repercusión en la red académica. El gusano, de sólo 376 bytes, no se transmitía por correo ni necesitaba la intervención humana directa para infectar. Aprovechaba un agujero en los servidores MS-SQL para colarse y, desde allí, buscaba víctimas en las subredes cercanas, mediante una técnica muy rápida pero que consumía mucho ancho de banda, lo que motivaba que las comunicaciones en las redes fuesen cada vez más lentas, hasta el colapso.