21/05/2017

"Hay una falta de concienciación sobre la seguridad informática que hay que atajar"

Entrevista con José Antonio Ballesteros coordinador del Grado en Ingeniería de Tecnologías de Telecomunicación de la Escuela Politécnica de Cuenca

José Antonio Ballesteros es profesor de la Escuela Politécnica de Cuenca de la Universidad de Castilla-La Mancha, centro académico en el que ejerce también como coordinador del Grado en Ingeniería de Tecnologías de Telecomunicación. Desde esa doble condición y desde la de instructor Cisco CCNA, este almendruquero ilustra en esta entrevista sobre qué ocurrió en el ciberataque que conmovió al planeta la semana pasada y ofrece algunas pautas y consejos de seguridad informática. 

"El problema radicó en que muchos no habían actualizado sus equipos e instalado el parche de seguridad que les hubiese defendido del ataque"

¿Qué pasó el viernes 12, en qué consistió el famoso ciberataque WannaCry del que tanto se ha hablado?

El origen se sitúa en el mes de marzo, cuando se filtró una herramienta de la NSA (Agencia de Seguridad Nacional de Estados Unidos) que se aprovechaba de una vulnerabilidad de Windows. A raíz de esa filtración, Microsoft sacó el parche para remediarla y, teóricamente, las empresas y los usuarios al actualizar sus Windows deberían haber instalado esa actualización para remediar el fallo de seguridad. El problema es que muchos no lo actualizaron y el viernes hubo un ataque de ransomware que tuvo unas características especiales.

Normalmente estos ataques se propagan por correos electrónicos que tienen un archivo adjunto o un enlace que nos lleva a un sitio malicioso donde se nos descarga un software que nos encripta el ordenador. Del que hablamos tenía un componente especial y es que iba unido a un gusano. Es decir, un tipo de virus que se propaga por red aprovechando vulnerabilidades y puede ser incluso capaz de mutar. Cada vez que infectaba un ordenador, se propagaba por la red. En el momento en el que infectaba el primer dispositivo de la compañía se propagaba por el resto. De ahí que las empresas optasen por apagar todos los ordenadores y desconectarse.

Para los más profanos, ¿qué es un ataque de ransomware?

Es un ataque que encripta todos los datos que tenemos en el ordenador y en el que sus autores piden un rescate a cambio de desencriptar esos datos.

¿Y encriptar?

Dejar de formar no clara. Cuando abrimos un documento normalmente es legible, lo podemos leer. Si lo encriptamos, no lo es. La criptografía viene desde antes de los romanos, cuando ya se usaban técnicas para ocultar mensajes. Se usa cuando se manda una información que no se quiere que se lea. Es, por ejemplo, lo que hace WhatsApp, que cifra los mensajes para que nadie los vea en la transmisión. En el ciberataque lo que se hizo fue cifrar esos mensajes para pedir un rescate.

Entiendo entonces que los usuarios o las empresas afectadas no podían abrir ni usar los archivos encriptados...

Sí, para poder desencriptarlos y dejarlos otra vez en claro necesitaban la clave de desencriptación. Es para lo que pedían el rescate. Pedían una suma de dinero, 300 dólares pagados en bitcoins, y a cambio ellos supuestamente te mandaban la clave para poder desencriptar los archivos. Lo cual nadie lo asegura porque estamos hablando de cibercriminales.

¿Con la simple actualización de ese parche de seguridad los afectados se hubiesen podido defender del ataque?

Las empresas que tenían los equipos bien actualizados parece ser que no han tenido ningún problema. De hecho aquí en la Universidad el comunicado que nos llegó es que estaba todo actualizado y que no había habido ningún problema.

"Nunca se aconseja pagar el rescate porque nadie asegura que los ciberdelincuentes vayan a devolver los datos"

Imaginemos que se es víctima del ataque, ¿cómo actuar ante un hecho así?

Es complicado. La mejor forma de actuar es la preventiva: tener copias de seguridad de los archivos, para restaurarlos si fuese necesario. Pagar el rescate nunca se aconseja porque, insisto, nadie asegura que vayas a recuperar los datos. Hay que ponerse en contacto con las autoridades competentes. En España, por ejemplo con INCIBE, el Instituto Nacional de Ciberseguridad, o el Grupo de Delitos Telemáticos de la Guardia Civil y seguir sus instrucciones. Ellos nos dirán si hay algún programa que consiga eliminar el virus o si la mejor manera es formatear y recuperar una copia de seguridad.

También es conveniente contactar con las empresas de antivirus, que en este caso se pusieron rápidamente en marcha a preparar las contramedidas.

Pero, de verdad, la clave está en el antes. Lo mejor es tener cuidado con los emails que nos llegan supuestamente desde un sitio conocido. Si no estamos seguros, mejor no abrirlos. Hace unos meses hubo un ataque basado en correos que supuestamente eran de Endesa y al descargarnos una presunta factura nos infectaba. Y es muy importante tener instaladas las actualizaciones de los programas y del sistema operativo, así como tener copias de seguridad de nuestros dispositivos en discos duros aislados, ya que si están conectados al ordenador también se verán infectados.

¿Por qué los cibercriminales piden estos rescates en bitcoins y no lo hacen en euros, en dólares o en cualquier otra divisa?

Cualquier moneda de cualquier país es rastreable. Se puede conocer su emisor y tienes herramientas para conocer la trayectoria de ese dinero. El bitcoin es una moneda virtual que sus por características es casi imposible de rastrear. Solo puedes hacerlo cuando compras bitcoins con una divisa normal o cuando pasas esos bitcoins a otra moneda si no sabes hacerlo de forma anónima. Es una forma de mantener el anonimato.

¿Hay alguna sospecha o indicios de la procedencia del ciberataque y de sus motivaciones?

Las primeras opciones que se barajaron es que había sido alguien al que se le había ido de las manos o alguien con pocos conocimientos que había ido ensamblando piezas. El virus lo consiguió parar un chaval de 22 años registrando un dominio web. Ese era el 'Botón del Pánico' que tenía el propio virus: intentaba conectarse a una página web, si lo lograba no infectaba y si no podía, infectaba. Al dar de alta esta página se paraba el proceso.

Por otro lado, el dinero que se pedía (primero 300 dólares por ordenador, luego 600 en otras versiones), no era mucho para este tipo de ataque, según los expertos.

Las últimas investigaciones apuntan sin embargo a que el ataque procede de Corea del Norte. Están analizando la programación y hay coincidencias con otros tipos de virus y ataques previos procedentes de ese país.

"Un hacker no es un criminal, sino una persona a la que le gusta cacharrear y echa muchas horas estudiando, aprendiendo y haciendo pruebas"

Las cifras de ordenadores y países afectados son altísimas y entre las víctimas hay gigantes de la tecnología. Esos hechos generan una sensación de vulnerabilidad. ¿Están preparadas las empresas e instituciones para soportar estos ataques? Y, más concretamente, ¿lo están las conquenses y castellano-manchegas?

El término hacker se asocia a criminales y es al contrario. Un hacker no es un criminal, sino una persona a la que le gusta cacharrear y que echa muchas horas estudiando, aprendiendo y haciendo pruebas. ¿Qué pasa? Las empresas son muy reacias a contratar a gente de seguridad. Siempre está la creencia de "a mí no me va a pasar". Hay muy poca gente preparada en temas de seguridad y es un campo de mucha demanda en cuanto a profesionales. Lo que hay que cambiar es la mentalidad. Hay una falta de concienciación sobre la seguridad que hay que atajar. Se necesita gente de seguridad en los equipos e invertir en formación en investigación en este campo.

Y se necesita actualizar. No vale aquello de "si no actualizo, no me da problemas". Mucha gente no actualiza o no pone parches cuando las actualizaciones sirven para solucionar problemas que se han detectado, para defenderse de las vulnerabilidades. Hay que estar siempre renovando.

Si tenemos gente de seguridad, instalamos las actualizaciones y hacemos las cosas bien será raro que tengamos algún problema, pero el 100% de seguridad es imposible.

Las grandes empresas que han sido atacadas pueden reaccionar con rapidez y controlar los daños, pero si le pasa a una pyme puede tener que llegar a cerrar. Ha habido casos de cierres y ruinas por ataques de este tipo.

La iluminación, el sistema de aguas, hospitales... cada vez más servicios clave dependen de sistemas informáticos. ¿Un ciberataque tiene capacidad de paralizar un país?

Depende de qué ataque, pero podría ser. No es lo normal, pero cabe ese escenario.  Estamos entrando en la era del Internet de las cosas que desde el punto de vista de la seguridad puede ser muy problemática. Ya todos estamos acostumbrados a tener un antivirus en el ordenador y cada vez más en el móvil, aunque todavía no sea una mayoría. Pero a nadie se le ocurre tener un antivirus en la tele, en la nevera o en las farolas. No lo consideran necesario.

Y todos esos equipos que también están conectados son sistemas vulnerables que se pueden atacar como un fin en sí mismo o utilizar para otro ataque. Como uno que ocurrió este invierno y dejó sin Internet a medio Estados Unidos. Ahí se aprovecharon de dispositivos de esta índole para hacer el ataque masivo.

Si atacas con éxito la red de agua dejas sin suministro a una ciudad. O si tumbas el sistema de tráfico puedes generar el caos, porque los semáforos se controlan con Internet. Todas esas infraestructuras junto a otras como las telefónicas y los bancos están dentro de un grupo especial de infraestructuras críticas, que gozan de especial protección tanto por el Gobierno como por parte de las empresas vinculadas a ellas. Se consideran vitales y hay una amplia colaboración para evitar que ocurra algo así.

¿En la Escuela Politécnica de Cuenca cómo se trabaja esta disciplina, la seguridad informática?

Cada vez estamos metidos más de lleno en este asunto, entre otros motivos por la cantidad de salidas profesionales que tiene. En el Grado de Ingeniería de Tecnologías de Telecomunicación tenemos varias asignaturas relacionadas y tenemos también un Curso de Especialista en Seguridad Informática y de la Información conjuntamente con Informática de Albacete, en este curso hay muchos expertos en el profesorado y los alumnos salen bastante preparados en temas de seguridad. Además, de cara a verano vamos a sacar dos cursos on-line de Introducción a Linux y a la Ciberseguridad para quien quiera comenzar en este mundo. La Escuela Politécnica colabora también con las jornadas MorterueloCon de seguridad informática que se celebran todos los años en Cuenca.

"Es totalmente falso que las empresas de antivirus creen los virus"

Ya ha apuntado algunos consejos, pero le pido una pequeña lista de conductas de riesgo que hay que evitar para no ser víctima de un ciberataque. ¿Qué acciones de las que habitualmente hacemos al navegar nos hacen estar más expuestos al riesgo?

Mi consejo a nivel usuario es el sentido común. A casi nadie le dan ya el timo de la estampita y en Internet debería ser lo mismo: aplicar el sentido común. Lo principal es tener todo el sistema actualizado, disponer de un antivirus o algún programa de defensa, por ejemplo para móviles existe Conan, que lo desarrolla INCIBE y sirve para otro tipo de amenazas aparte de los virus.

Hay que tener cuidado a la hora de navegar. Si nos aparece un pop up advirtiendo de que nuestro software está desactualizando y nos insta a que pinchemos, normalmente es un engaño que va a traer un ransomware que nos va a secuestrar el ordenador.

Nunca abrir archivos adjuntos o enlaces de correos que nos resulten raro. Y no hacer caso de los bulos que circulan por las cadenas en las aplicaciones de mensajería instantánea. Y, por supuesto, tener copias de seguridad actualizadas.

¿Qué tiene de cierto esa leyenda urbana que afirma que es mejor no instalarse antivirus porque los virus realmente los crean las compañías que fabrican esos programas para no perder negocio?

Eso es totalmente falso. Hace poco lo hablaba con un directivo de una de esas empresas. Ellos no crean los virus. Los virus los crean personas con fines maliciosos que quieren sacar un beneficio a cambio. Ellos lo que quieren es proteger. De hecho nos dan antivirus gratuitos.

Sí que puede ser que por las políticas de detección que lleve determinado antivirus reconozca a otro como virus, pero por las políticas de detección, no por competencia ni nada eso.  Sí que es mejor tener un antivirus y no solamente en el ordenador, también en el teléfono móvil, por ejemplo.

"Muchas de las amenazas se transfieren por páginas porno"

¿Hay sistemas operativos o navegadores más seguros que otros?

En cuanto a seguridad no. Pero sí que es cierto que cuando alguien quiere hacer daño o conseguir algún beneficio va a atacar donde más gente haya. Eso es así, por definición. Y por eso en ese sentido Windows es más vulnerable, porque está ampliamente extendido. Los usuarios de Linux o de MacOs tienen menos problemas, porque son menos. Precisamente Linux tiene muchas herramientas de seguridad implementadas tanto para hacer auditorías en empresas o para cacharrear.

Lo mismo sucede con los móviles. ¿Dónde van los ataques? A lo masivo, a Android. Y Android está basado en Linux, con lo que sería una contradicción, pero se ataca lo más extendido.  Siempre se han considerado a Apple o Linux más seguros pero tiene mucho que ver con lo que estoy diciendo, que hay mucha menos gente que los usa.

Linux lo usan muchos hackers y muchos expertos en seguridad y, como es de libre distribución, cuando se detecta un fallo el reporte y la solución suelen ser más rápidos.

¿Hay algún tipo de página, aplicación o programa que por sus características conviene evitar? ¿Existe algunos rasgos característicos que nos hagan ponernos en alerta sobre un carácter malicioso?

Muchas de las amenazas se transfieren por páginas porno. Es así. Ahí sí que hay bastante probabilidad de pillar algún virus. Y en tema de aplicaciones para el móvil lo que hay que tener muy en cuenta son los permisos esos que casi nadie se lee cuando se instalan. Hay que mirarlos y evaluar si realmente la herramienta los necesita o no. Por ejemplo, una aplicación de linterna con que acceda a la cámara, vale, no tiene por qué acceder a mis contactos ni a mis fotos. Muchas aplicaciones vienen con premio, con sorpresa desagradable. Otra forma de vernos infectarnos es a través de software pirata o la descarga de aplicaciones desde sitios no oficiales.

Una página muy buena para estar seguro es la de la Oficina de Seguridad del Internauta. Ahí tenemos un montón de consejos y buenas prácticas y nos recomiendan software, tanto para PC como para móvil, que nos puede ayudar a protegernos.

¿Existe el anonimato perfecto en Internet?

En Internet está todo si sabes dónde buscar. El anonimato perfecto es muy complicado. No hay más que ver páginas como el BOE. Si hemos salido alguna vez publicados por algo puede estar hasta nuestro DNI.

Tenemos que mentalizarnos de que nuestros datos deben estar lo menos expuestos que se pueda: protegiendo nuestros perfiles en redes sociales y en las herramientas de mensajerías y siendo precavidos a la hora de subir contenidos. Hay muchas empresas que rastrean la Red antes de contratar a una persona, lo que se conoce como reputación online. Y, además, por medio de la información que nosotros colgamos podemos ser víctimas de ataques, tanto cibernéticos como físicos. Si yo proclamo en una red social que voy a estar de vacaciones estoy dando una pista perfecta para entren a robar a mi casa. 

Galería

comments powered by Disqus

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies