El caso del experto en seguridad informática Greg Hoglund ilustra de forma dramática cuál puede ser la consecuencia de omitir recomendaciones de seguridad sencillas, como la de crear contraseñas fuertes y no usar un mismo password para todas las cuentas en Internet.

Hoglund, fundador de la compañía estadounidense HBGary Federal, que asesora a gobiernos y empresas en temas de seguridad en Internet, notó el 6 febrero de este año que algo estaba mal cuando no pudo entrar a su cuenta de correo corporativo de Google. Alguien había tomado el control de su correo y había cambiado la contraseña.

Para cualquier persona esa es una situación complicada, pero es especialmente bochornosa para alguien que se gana la vida protegiendo a las organizaciones de acciones como esta. Hoglund pidió ayuda al soporte técnico de Google para cerrar la cuenta, pero ya era demasiado tarde: los hackers, del grupo Anonymous, se habían adueñado de 60.000 mensajes de correo personales y de su empresa, los cuales hicieron públicos en Internet.

Ellos aprovecharon una vulnerabilidad del software del sitio web de HBGary Federal y consiguieron una lista encriptada de los nombres de usuario y passwords de los empleados, que lograron decodificar porque la contraseña maestra era débil. Pero el mayor daño se produjo porque Hoglund y otros ejecutivos de su empresa habían cometido una falta imperdonable, especialmente para cualquiera que se considere experto en seguridad: habían usado las mismas contraseñas para múltiples cuentas (correo laboral, correo personal, redes sociales, etc.).

Gracias a ello, los hackers saltaron fácilmente de cuenta en cuenta. Eso no sólo les permitió burlarse de Hoglund y de otros empleados de la firma en sus propias cuentas de Twitter, sino que les dio acceso a correos en los que se revelaba que HBGary Federal había ofrecido a entidades como la Cámara de Comercio de Estados Unidos y el Bank of America el servicio de inteligencia y espionaje por Internet en contra de grupos opositores, entre ellos gente que apoyaba a WikiLeaks. Esos servicios nunca se usaron, pero el solo hecho de haberlos considerado desató un escándalo que hizo que Hoglund perdiera los contratos de varios de sus principales clientes; además, él, sus empleados y sus familias recibieron una avalancha de agresiones y amenazas –incluso de muerte– por teléfono e Internet.

Pero los hackers no se contentaron con eso. También divulgaron correos personales de Hoglund y de Aaron Barr, uno de los empleados de la empresa, con quien se ensañaron porque él había aparecido en varios medios anunciando que había descubierto las identidades de varios de los miembros de Anonymous y que pronto las daría a conocer. Los hackers publicaron fotos personales de Barr y detalles privados sobre su familia.

Pero Barr y el presidente de HBGary Federal todavía podían caer más bajo: desesperados por la situación, pasaron por la vergüenza de pedir clemencia a Anonymous en algunos chats de Internet. La petición no fue aceptada por los hackers, quienes respondieron publicando correos confidenciales en los que se revelaban vulnerabilidades en los sistemas de varios clientes de HBGary Federal, entre ellos empresas como Sony, Johnson & Johnson y Disney.

Barr renunció a la empresa en mayo pasado y Hoglund, quien tenía una alta reputación como experto en seguridad (él mismo era considerado un hacker, de los buenos), ahora lucha por recuperar su prestigio y el de su compañía.

Somos vulnerables

Es evidente que la agresión anterior, descrita en un artículo de la revista BusinessWeek, muestra un interés particular de los hackers por perjudicar a sus víctimas. Pero, guardadas las proporciones, esos casos no son tan infrecuentes hoy en día, ni siquiera en Colombia.

Hace poco se conoció en el país el caso de Daniel Samper Ospina, director de la revista Soho, cuyas cuentas de correo y redes sociales fueron hackeadas por un estudiante de 23 años, quien publicó en Internet información personal de Samper y datos confidenciales de la revista; él también amañó algunos correos para dañar la imagen de Samper con información falsa, según dijo el periodista en una entrevista en radio. No era la primera vez que este joven hacía algo parecido: se le acusa de haber penetrado en las cuentas de 116 personas, muchas de ellas políticos, periodistas y gente de la farándula. Pero el episodio en Colombia tuvo un final diferente al de HBGary Federal en Estados Unidos. Este hacker fue identificado por la Unidad de Delitos Informáticos de la Dijín y enfrenta un proceso que podría darle una pena de hasta ocho años de prisión.

Sin embargo, lo que estas dos situaciones tienen en común es que muestran el enorme grado de vulnerabilidad en el que vive cualquier usuario de Internet. Datos personales, información corporativa confidencial, mensajes de correo y cuentas de redes sociales, entre otros, están a merced de delincuentes y hackers, que los pueden usar para desprestigiar a las personas o para cometer delitos (por ejemplo, financieros).

Es innegable que algunas de estas acciones tienen éxito por el conocimiento técnico de los hackers y por la proliferación en la Red de herramientas de software que permiten concretar estos delitos. Pero también es claro que los usuarios de Internet les facilitan la vida a los delincuentes al no tomar unas medidas de precaución mínimas para proteger sus cuentas y su información personal. Es tal el descuido que buena parte de estos ataques se concreta sin necesidad de realizar trabajo técnico; son simplemente labores de inteligencia e ingeniería social, en las que los hackers se aprovechan de la ingenuidad de las víctimas para averiguar la información que les permite penetrar en sus cuentas.

Muchos de los errores que cometen los usuarios tienen que ver con el manejo de sus contraseñas. Se crean contraseñas demasiado cortas y muy fáciles de descifrar. Además, la gente utiliza un mismo password para todas sus cuentas en la Red; eso permite que con sólo averiguar una contraseña un delincuente pueda penetrar en todas las cuentas que el usuario tiene en diversos servicios.

Otro problema está en que, aunque la contraseña no sea tan débil, a veces es posible evadirla aprovechando la función de ‘pregunta secreta’ que suelen tener los servicios de Internet para que las personas restablezcan su contraseña en caso de que la olviden. Los usuarios tampoco se toman la molestia de encriptar sus documentos confidenciales, ni acatan la recomendación mil veces repetida de no entrar a sus cuentas importantes desde lugares públicos como los cafés Internet (y mucho menos realizar transacciones financieras desde allí).

Igualmente, la gente comete el pecado grave de mantener sus computadores sin antivirus (o de utilizar unos que están desactualizados); esta es, por ejemplo, una práctica común entre los usuarios de Mac. Eso hace que todas las precauciones que tengan con sus contraseñas se pierdan, ya que la falta de un antivirus permite que los delincuentes capturen datos confidenciales, entre ellos contraseñas, mediante programas malignos –los keyloggers– que introducen fácilmente en los computadores desprotegidos.

Aunque nadie puede tener una garantía absoluta de que no sufrirá un ataque como los descritos, al menos puede reducir el riesgo de que se produzca y minimizar las consecuencias. Para ello, debe seguir algunas recomendaciones de seguridad, que explicaremos en las siguientes páginas.

La principal arma: ingeniería social

Quizás le sorprenderá saber que la mayoría de los ataques contra sus cuentas de Internet no se enfocarán en tratar de averiguar sus contraseñas mediante avanzadas herramientas tecnológicas, sino con el más mundano recurso de aprovecharse de su ingenuidad.

“La forma más fácil de hackear a una persona es con ingeniería social”, asegura Andrés Guzmán Caballero, presidente de la firma Adalid Abogados, especializada en seguridad informática y análisis forense digital (en tecnología, la ingeniería social es la práctica de obtener información confidencial o acceso a los sistemas a través de la manipulación de los usuarios).

“A veces las personas tienen contraseñas seguras; lo débil es la pregunta secreta que utilizaron cuando configuraron su cuenta de correo o de otros servicios en línea. Por eso, estos ataques siempre empiezan por la pregunta secreta, ya que es lo más fácil: es una respuesta con un dato concreto, como el nombre de una persona, una ciudad o la marca del primer carro. ¿Cuántas marcas de autos había hace unos años en Colombia?”, dice Guzmán.

Es fácil ver cuán vulnerable es este recurso. Si uno entra a las opciones de configuración de Hotmail, las opciones de pregunta secreta son limitadas. Son seis: el nombre del mejor amigo de la infancia, la ocupación del padre, el nombre de la primera mascota, el profesor favorito, el personaje histórico preferido y el lugar de nacimiento de la madre. Son pocas y con una cantidad de posibles respuestas reducida. Gmail tiene alternativas parecidas, pero con una ventaja: le permite crear sus propias preguntas.

Los expertos consideran que este es un sistema débil. “Los sitios web presumen que si uno puede contestar la pregunta secreta, uno es el usuario de una cuenta. Pero muchas preguntas tienen como respuesta datos que cualquiera puede descubrir con algo de investigación. Esas preguntas, además, son poco efectivas cuando el intruso es alguien cercano a uno, como una ex esposa”, dice el consultor de seguridad Mark Burnett, autor del libro Perfect Passwords.

¿Cómo averiguan los delincuentes los datos que necesitan para contestar una pregunta secreta? John Galindo, presidente de la empresa de seguridad informática Digiware, afirma que “los ataques generalmente se basan en información previamente recogida. Para ello se meten a las páginas de las redes sociales; y la labor es aún más fácil si se trata de un personaje público, ya que hay mucha información sobre su vida en Internet”.

Andrés Guzmán, por su parte, explica: “Supongamos que la pregunta secreta es el nombre de un familiar. Si ya tengo cierta información suya, lo puedo llamar y le digo que soy de su EPS. Luego de darle algunos datos para ganarme su confianza, le explico que tengo un problema con las afiliaciones y necesito que me confirme los nombres de las personas que tiene en la EPS. Ese es el trabajo que se hace en el 90 por ciento de los casos de hackeo. Solo el 10 por ciento es un trabajo técnico”. Por eso, Guzmán aconseja no revelar el número del celular en las redes sociales, ya que es el primer recurso que usarán los delincuentes para contactarlo y averiguar la información que necesitan.

Ahora bien, ¿cómo hacen los hackers para sacar información de las redes sociales si para ello tienen que estar en su lista de amigos? Guzmán explica que ese es un trabajo de inteligencia que no es tan complicado. “Es posible crear en Facebook una identidad falsa tan bien elaborada que se tenga la seguridad de que la víctima la va a aceptar en su lista de amigos, ya sea suplantando a un conocido o creando un personaje muy atractivo del cual la persona quiera ser amiga”.

Entonces, lo que se puede hacer para aumentar la seguridad de la pregunta secreta es utilizar una que tenga una gama de posibles respuestas mucho más amplia, las cuales sean más difíciles de averiguar por un tercero. Incluso, dice Mark Burnett en su libro, una buena idea es agregarle algún código secreto a la respuesta, por ejemplo, algunos dígitos al final o una combinación secreta de letras.

Fuente: Enter.co