He dedicado toda su vida a proteger la privacidad de las personas on line y en la compañía F-Secure continúa con esa labor. “Se puede decir de muchas maneras… que hemos perdido la batalla de la privacidad. Mucha gente no se acuerda de cómo era el mundo antes de Internet. Para muchas personas, Google o la Wikipedia siempre han estado ahí. Y para ellos resulta natural utilizar multitud de servicios en Internet introduciendo todo tipo de datos y contenido. Realmente es así como se paga en Internet. Hacer un video cuesta dinero pero nosotros lo pagamos con nuestros datos y privacidad”, no explica el experto de F-Secure, Miko Hypponen, en RootedCON 2017.
“Puede que hayamos perdido una guerra contra la privacidad. Somos esa generación de personas cuya vida puede ser trazada de principio a fin. Todos llevamos dispositivos de seguimiento encima. Es muy fácil monitorizar donde estamos, con quién nos comunicamos. Es fácil saber qué tipo de personas somos. Qué nos interesa. Y todos los datos están recopilados. Los datos son el nuevo petróleo. Esto es así y por eso hablamos de agencias de inteligencia, pero también de empresas que recogen datos de nosotros. Google ganó 80.000 millones en 2016… ofreciendo servicios gratis”.
Guerra asimétrica contra el cibercrimen
«Hemos perdido la batalla de la privacidad y la de la seguridad. Sin embargo, me niego a admitir que hemos perdido esta última. Todo lo que he hecho desde que empecé a estudiar malware e ingeniería inversa obedecía a ese fin: luchar contra los malos. Contra los que envían malware, ataques de denegación de servicio. Pero nosotros somos los del sombrero blanco frente a los del sombrero negro. No niego que nuestra labor es complicada, porque los atacantes tiene acceso a nuestras defensas».
«Lo primero que ellos aprenden es qué tipo de seguridad tienen que romper. Ese es el punto de partida de un atacante. Y una vez que lo saben deciden cómo entrar. Ellos tienen mucho tiempo para prepararse… y nosotros poco para responder. Siempre oímos malas noticias de la seguridad informática, sobre ataques, fugas, o sobre usuarios haciendo estupideces, empleando la misma contraseña para todo, abriendo enlaces maliciosos. Sin embargo, ¿dónde estábamos hace 10 años? Ha habido grandes avances en seguridad. Hace una década muchos usuarios utilizaban Windows xp que, por defecto, no tenía ni un cortafuegos».
«En términos de seguridad hemos avanzado muchísimo. Estamos avanzando a grandes pasos pero, desafortunadamente el enemigo también evoluciona con los tiempos. Igual ha llegado el momento de conocer al enemigo, entenderlo. Pero, como suele pasar, es más fácil decir que hacerlo. El usuario final no tiene noción de quién está tras los ataques. Hay hacktivistas, criminales, gorros blanco, gobiernos, extremistas… hay todo tipo de hackers. Tenemos personas como Charlie Miller y Chris Vallasek. Ellos hacen hacking porque quieren mejorar la seguridad. Anonymus tiene un motivo de protesta política. Los criminales quieren ganar dinero escribiendo virus. Y los gobiernos también están interesados en esto porque los ciberataques les cuadran. Son efectivos, no son caros y son innegables. Es una combinación perfecta cuando se piensa desde el punto de vista militar. Cuando se tiene un arma que no es cara, efectiva e innegable se tiene la mezcla perfecta. Por eso ahora se está comenzando el momento del cambio».
Está comenzando una nueva carrera armamentística ciber
«Estamos al principio de la siguiente batalla armada. Hemos visto la carrera armamentística de las armas nucleares. Estamos ahora en la de las ciberarmas. Ha empezado y se quedará ahí durante años. Nos llevará décadas hablar de ciber desarmamento. Y desde el punto de vista de los gobiernos no sólo están los militares sino también los cuerpos de seguridad. Si alguien me hubiera dicho que la policía tendría virus para infectar a los ciudadanos no me lo habría creído pero es así. No tengo problema con los gobiernos utilizando tecnologías ofensivas para investigar crímenes y perseguir terroristas. Hay que ir a por ellos en el mundo físico y en el mundo on line. Pero si como ciudadanos damos este derecho a los cuerpos de seguridad hay que pedir transparencia. Este ciber poder ofensivo debe suponer que los cuerpos de seguridad publiquen estadística. Infectamos con malware 200 ordenadores y 150 fueron de personas que eran malas y fueron sentenciadas. Pero también puede ser al contrario. No hay transparencia y por lo tanto no podemos tomar decisiones sobre esto. Pero el grupo más grande que gana dinero con ataques son los criminales. Son gente que gana mucho y es perseguida».
Las últimas tendencias del cibercrimen para ganar dinero a tu costa
«Una de las últimas tendencias del cibercrimen han sido los troyanos para robar bitcoins y las divisas digitales. Sabemos que los inventos son obvios… cuando están inventados. Esos son los mejores. Gracias a la tecnología blockchain se pueden realizar transacciones de forma automática sin que intervenga nadie más. El bitcoin y la cadena de bloques no son malos. Son buenos como el dinero. El problema es que los criminales también quieren el dinero sea físico o virtual. Es complicado comprar cocaína con una tarjeta de crédito. Pero con el bitcoin sí es más sencillo. Para los criminales el bitcoin es como un regalo del cielo. Por eso hay tanto boom de troyanos. Actualmente seguimos a 110 grupos distintos compitiendo por las mismas víctimas. Y no todos los grupos son de Rusia, también hay algunos de Ucrania».
«¿Cómo buscan a sus víctimas? Primero a través de exploits que infectaban un ordenador abriendo un enlace. Hoy la manera más común es a través de un documento Word y un adjunto en un email. Esto se comenzó a hacer desde 2008 a través de las macro. Y ahora ha vuelto. Así que los que pueden recibir más ataques son los departamento de recursos humanos que reciben curriculum infectados que tienen enlaces para ampliar su información. Microsoft tiene que cambiar el nombre del botón en vez de habilitar contenido tendría que poner ‘infecta mi sistema’ «-risas del público-.
El virus informático que te ‘perdona’ si infectasa dos amigos
«Ha habido incluso un ransomware -el software que secuetra un ordenador cifrando su información- que pide 1.300 dólares pero puedes ahorrarte infectando a otros dos máquinas. Tiene que infectar a dos personas que acaban pagando la recompensa del ransomware. Es el popcorn. Cada víctima tiene una url único así que si lo envías a Facebook se infectan muchas personas. Es muy creativo y mi inteligente. Vamos a volver a estos chicos que están tras el ransomware».
El ciberataque contra LinkedIN hizo millonario al cibercriminal que lo hizo
«Hubo un hackeo de LinkedIN en 2012 y si estabas en él…. robaron tus claves. Así que si tenía una cuenta en esta red social fue robada por un cibercriminal que ahora todo el mundo conoce -ha mostrado su foto-. Yo fui una de sus víctimas. Todavía no ha recibido sentencia aunque está detenido cuando estaba de vacaciones en Praga con su novia y espera que lo extraditen a eeuu. ¿Qué tiene que ver con el robo de 130 millones de contraseñas? Pues que las vendría otros cibercriminales-. ¿Cuánto se puede ganar vendiendo contraseñas? No lo sé. Pero viendo algunos vídeo en youtube nos podemos hacer una idea. Habla de sus vacaciones con coches súper deportivos, como Audi R8 y Lamborghini Hurracane. Además, se ve que tiene un Mercedes, un Aston Martin, un Porsche, un Rolex y un Rolls Royce. ¿Así que cuánto ganó? Pues no lo sé pero suficiente».
«Si uno consigue estas claves puede acceso a 1,3 millones de cuentas Gmail. Porque todas tienen la misma contraseña que en linkedIN. Hemos preguntado y el 50% de los usuarios usan la misma contraseña en todos los sitios. Es bastante estúpido. Así que una vez que entran en Gmail buscan correos antiguos. Gmail nunca los borra y buscan un tipo concreto. Los que uno recibe cuando se registra en una tienda de Internet, como Amazon. Así que saben que tienes con esta dirección de correo una cuenta en, por ejemplo, Amazon. Y si no funciona tu contraseña en ella no importa. Porque todas las páginas de login tienen un botón mágico ‘se me ha olvidado la contraseña’ y como tienen acceso al Gmail… pues acceden a ella. Una vez que acceden a Gmail tienen acceso a todo. Pueden comprar Xbox, Palystation y tú lo vas a pagar».
El temido Internet de las Cosas
«Otro gran reto en nuestras manos es el luminoso futuro del internet de las cosas y el ICS, el sistema de control industrial. Así ha mostrado una reacción nuclear teniendo lugar en una piscina. ¿Por qué muestro este vídeo? Pues porque es un ejemplo de control industrial. Este reactor está controlado por un PLC, un robot programable. Todas las infraestructuras están gestionadas por ordenadores y software. Hay que tenerlo claro. Somos de seguridad informática y durante años pensé que tenía que asegurar ordenadores. Pero ya no lo es. Nuestro trabajo no consiste en dar seguridad a los ordenadores…. Consiste en dar seguridad a toda la sociedad. Es hora de cambiar la forma de ver el mundo. Y hay tantas cosas y se habla de tantas cosas de riesgos de IOT e ICS y la primera es que estas cosas se conectan con internet aunque no tengan que conectarse. Estas cosas permiten acceder a lo que hay detrás. Hay muchos sistema de fábricas que se conectan a Internet por error».
Así ha mostrado un crematorio online, dormitorios que se ven a través de cámaras de seguridad… «Un amigo mío encuentra cosas como un barco conectado sin contraseña. También cortinas y persianas. Y mi amigo dice cuando uno puede abrir y cerrar cortinas en internet significa que el Internet de las cosas no está en el futuro. Está aquí. Y son vectores. Tu puedes acceder a una bombilla que permite llegar a otros sistemas. Uno pone una cafetera con wifi y se convierte en el eslabón más débil de la cadena y un día te levantas y tienes todos los ordenadores encriptados». ¿Qué hacer? «Nunca usar un dispositivo sin poner contraseñas seguras».
«El software malicioso Mirai infecto 120 millones de dispositivos IOT pero sus propietarios les dio igual. Hablamos con ellos. Te han hackeado la cámara de seguridad… y respondían a sí ¿qué chulo? Pero funciona bien. Si funciona la gente le da igual que se use para un ataque. Y lo más triste es que fue usando pocas contraseñas que usaban todos los dispositivos. Y además usaban Telnet -un sistema de los años 80- por no estar encriptado».
Hay que regular los dispositivos electrónicos: si no son seguros debes poder reclamar
«Hay que invertir en seguridad. Regulamos la seguridad físicia y hay que regular la seguridad on line. No hablo de una que establezca regulaciones de electrodoméstidos. Pero sí hay que regular que el fabricante sea demandado por los problemas que cree. Si tienes una lavadora con un cortocircuito tienes que arreglarla. Y si no puedes demandarla y eso hay que conseguir en el mundo ciber. Que se puede demandar por un fallo de seguridad».
LLegó la hora de las ciber armas y del ciber desarme
«He hablado de gobiernos y su hacking. Tenemos asiento de primera fila en el despliegue de ataques contra EE.UU. en las elecciones presidenciales. Rusia intentó influir en el resultado de las elecciones de la mayor potencia del mundo. Hay una entrevista en Bloomber con Putin varios meses antes pero ya se sabía. Así que le preguntaron, ¿quién hackeo a los demócratas? Eso importa de verdad? Lo importante es el contenido de los emails. No hay que distraer al público sobre quien lo hizo. ¿Esto es ciberguerra? No».
Soldados ucranianos muertos tras infectarse su móvil… y ser geoposicionados
«Pero hace dos meses soldados ucranianos vieron infectado su teléfono con malware ¡, fueron posicionados y la artillería los machacó. Yo hablo de la niebla de la ciberguerra. Esta carrera armamentística e un país concreto, se puede saber cuánto carros de combate tiene un país…. Pero en cibercapacides ni idea. Sabemos que EEUU son buenos, que se ha invertido más dinero durante más tiempo para montar capacidades de ciberdefensa, que Israel, Rusia, china son muy buenos. Pero luego todo es muy nebuloso, cuál es la ciber capacidad ofensiva de ¿Suecia? ¿España? ¿Vietnam? Ni idea. Esa es la nebulosa de la ciberguerra. Por eso es muy diferente de las carrea de las armas nucleares. Su poder no estaba en su uso sino en su capacidad para crear miedo. Hiroshima y Nagasaki fueron ejemplos claro. No se trata de usarla sino de mostrar que las tienes. Todo el mundo sabe que cuando un país tiene esa arma nadie se mete con él».
Con la nebulosa de la ciberguerra nadie sabe nada. El poder las ciberarmas no está en la disensión. Por eso las vemos. El stuxnet y el hackeo a la red eléctrica en Ucrania en 2015 o los soldado ucranianos que murieron en el campo de batalla en 2016.
El poder de las ciberarmas está en su uso. Las ciberarmas se pueden adquirir con facilidad y tienen mucha potencia. Stuxnet no se podía conseguir con capacidad militar pura. Si se trataba de retrasar el programa nuclear iraní se puede invadir el país con un alto coste, también en vidas, o bombardear la central. O se puede escribir stuxnet que costó un millones. Y costó igual que una salida de un B52. Pero a diferencia de éste no es visible».
Los hackers ya no defienden ordenadores… ahora defienden el mundo
«Este es el mundo que vivimos hoy. Todos somos gente de seguridad. Pensábamos que nuestro trabajo es dar seguridad a los ordenadores. Pero ya no. Ahora este trabajo desde ahora es dar seguridad a la sociedad y hay que tomárselo muy serio porque tenemos una gran responsabilidad, más de lo que pensamos mucho porque somos los que defendemos a nuestra sociedad».
Puedes ver más artículos como este en OneMagazine.
