Así operan los temibles 'hackers' rusos

En una entrevista exclusiva, tres conocedores del 'arte' de vulnerar los sistemas computacionales nos brindan su opinión sobre las capacidades técnicas de los piratas informáticos rusos, sus particularidades y el 'miedo' que inspiran a nivel mundial.

Muchos influyentes personajes del acontecer político mundial se han dejado envolver por una verdadera paranoia tejida en torno al poder del que gozarían los 'hackers' rusos. Hillary Clinton, excandidata a la presidencia del país con la mayor economía de todo el mundo en términos de PIB, acusó directamente a piratas informáticos rusos de ser los culpables de la derrota sufrida en las pasadas elecciones.

El empeño por presentar a los 'hackers' de este país como criminales todopoderosos en el ámbito informático se extendió al entonces presidente Barack Obama y las principales agencias de inteligencia estadounidenses. Asimismo, este tema se ha convertido en un verdadero dolor de cabeza para el actual presidente de EE.UU., Donald Trump, debido a la acusación que han hecho varios sectores de su país de una supuesta injerencia rusa para favorecer a su campaña electoral.

La manía de acusar a un poderoso grupo de expertos informáticos que actúan bajo la dirección del Gobierno ruso se ha extendido a Europa. A principios de este año, los servicios secretos alemanes denunciaron un supuesto ataque informático al Bundestag —poder legislativo— proveniente de Rusia, mientras que en Francia advirtieron sobre una supuesta ayuda de 'hackers' a la candidata presidencial Marine Le Pen. Por su parte, el secretario de Defensa del Reino Unido acusó directamente al presidente Vladímir Putin de dirigir una operación de 'hackeo' con el fin de evitar la victoria del Partido Conservador en las próximas elecciones generales de este país.

Rusia ha tildado varias veces de 'noticias falsas' estas afirmaciones y asegura que las mismas responden a intereses privados que benefician a ciertos sectores empeñados en presentar a peligrosos cibercriminales que mantienen una vida de opulencia y lujo total.

¿Se justifica esta obsesión de algunos servidores públicos y medios internacionales como parte de un plan para demonizar a un país o tiene bases justificadas de una acción comprobada por parte de un grupo selecto de 'niños prodigio' de la computación rusa?

Quizás una pregunta como esta nunca tendrá una respuesta objetiva y la única forma de responderla es conociendo directamente a los involucrados. Por ello, hemos contactando a dos expertos rusos en seguridad informática o directamente 'hackers', —citados en este artículo como Andréi y Nikita— y les hemos hecho varias preguntas en temas relacionados con el 'arte' de vulnerar los sistemas informáticos.

Además, sus versiones han sido contrastadas con la opinión del experto en seguridad informática Yuri Naméstnikov, director del Centro de Investigación para Rusia de la compañía Kaspersky Lab y que se especializa en la detección de nuevas y desconocidas amenazas informáticas, así como el desarrollo de nuevos sistemas de análisis estadístico de programas malignos.

 

¿Cómo te convertiste en 'hacker'? ¿Estudiaste mucho?

Andréi: A mi criterio, un 'hacker' es un especialista con altos conocimientos en su campo. Yo elegí un área específica de mi interés y me perfeccioné durante muchos años, desde los últimos años de escuela, aunque aún sigo aprendiendo. En la universidad escogí la carrera de Seguridad Informática y me interesé por 'assembler' (lenguaje ensamblador) y otros lenguajes de programación de bajo nivel. Hoy en día me especializo en la seguridad de los dispositivos móviles y soy de alguna forma un desarrollador de 'software' para agencias de seguridad.

Nikita: Ser un 'hacker' no es un título que logras, no es algo que enseñen en las universidades. Para serlo debes contar con una vocación. Sin embargo, un buen 'hacker' es siempre un especialista en muchas áreas de las ciencias de la computación.

Hablemos un poco sobre la forma de trabajo de los 'hackers' y cómo se escriben los programas malignos. ¿Prefieren las agrupaciones nacionales (solo rusas) u operan en foros internacionales? ¿Trabajan a pedido o cuando encuentran una vulnerabilidad en el sistema?

Andréi: Un virus (ver el recuadro) es en la actualidad un complejo 'software' multinivel que requiere la integración de un equipo serio y bien financiado. Los miembros de este equipo tienen tareas distintas: hay quienes se encargan de la propagación automática del 'malware' (ver el recuadro), otros de la evasión de los programas antivirus, mientras que unos terceros de la penetración en los sistemas.

Nikita: Un virus no siempre explota una vulnerabilidad del sistema. En la mayoría de los casos, un programa maligno aumenta sus privilegios en los sistemas gracias a la 'ingeniería social' (ver el recuadro).

Además, hay que diferenciar a dos tipos de 'hackers': aquellos (la gran mayoría) que utilizan los programas escritos por otros y que muchas veces no comprenden a ciencia cierta lo que hacen. Los desarrolladores de las aplicaciones 'eliminan' rápidamente la amenaza que representa este grupo de piratas, que no hacen más que esperar hasta la salida de un nuevo programa malicioso. Por otro lado, están los buenos especialistas, que escriben los códigos y los venden a otros, y por supuesto, también bajo pedido.

Yuri Naméstnikov (Kaspersky Lab): Ambas formas de operación (los foros nacionales e internacionales) son comunes en este sector. Existen casos —como el del troyano (ver el recuadro) Lurk— en que estos programas son desarrollados para el mercado ruso, mientras que en otros existen organizaciones criminales internacionales —como xDedic— que crean y venden los programas malignos alrededor del mundo. Una situación común, por ejemplo, es encontrar un código escrito por programadores rusos que se utiliza para atacar a usuarios en Brasil.

La mayoría de las veces, los cibercriminales utilizan programas malignos ya probados, que se aprovechan del real problema de la tardía actualización de los sistemas corporativos en todo el mundo (algo que ya quedó demostrado con WannaCry). Sin embargo, existen grupos que se dedican a la programación de 'software' malicioso bajo solicitudes específicas, como la manipulación de los códigos bancarios Swift, la penetración en redes cerradas o la violación de sitios protegidos por los sistemas antivirus.

Hablando de WannaCry, ¿qué probabilidad existe de que se repita un escenario caótico como el ocurrido con este virus?

Nikita: En forma general, el nivel de educación computacional de la población es bastante bajo y peor aún en materia de seguridad informática. Por ello, estoy seguro de que esta no será la última vez que veamos un caso similar al ocurrido con WannaCry.

Yuri Naméstnikov (Kaspersky Lab): Muy alta. Para ello, es suficiente encontrar una vulnerabilidad similar en un programa de acceso popular. Sin embargo, quizás la próxima vez ya no cause tanto ruido, pues debido a la experiencia obtenida con WannaCry, es posible que en una siguiente ocasión los 'hackers' utilicen un método menos notorio para quitarle el dinero a las personas.

Algunos datos:

Los 'hackers' rusos son temidos y respetados a nivel mundial. ¿Crees que son los mejores del planeta?

Nikita: Considero que están entre los mejores. ¿Por qué? Es una buena pregunta, quizás tenga que ver con la famosa perspicacia rusa (sonríe).

Andréi: No podría asegurar que son los mejores del mundo, pero creo, sin exagerar, que están entre los más destacados. Pienso que la escuela de matemática soviética (la mejor del mundo) jugó un papel importante en este tema. Ya en la nueva Rusia, tanto la inestabilidad política y económica, como la falta de una legislación aplicada al cibercrimen actuaron como catalizadores para atraer a talentosos programadores rusos, quienes formaron parte de este oficio.

Yuri Naméstnikov (Kaspersky Lab): Históricamente, existió en Rusia un sector formado por especialistas con un notable interés por las tecnologías informáticas, pero con poco acceso a los programas y a su estructura.

Esto, sumado a una buena base académica en áreas como las matemáticas y la criptografía, provocó que dichos entusiastas comiencen a investigar por sí mismos y a entender los complejos procesos técnicos sin la ayuda de terceros. Así, el éxito de la comunidad cibernética rusa es el resultado de un deseo autodidacta y una fuerte formación académica básica.

Algunos datos:

¿Cuánto puede costar una vulnerabilidad del día cero?

Andréi: Todo depende de su seriedad y alcance, aunque en términos monetarios, una vulnerabilidad podría tranquilamente superar los 100.000 dólares. Hay que destacar además, que en forma paralela al mercado de las vulnerabilidades del día cero (ver el recuadro), existe el de los programas Bug Bounty (un sistema de recompensas que ofrecen las compañías a los programadores que encuentren fallas de seguridad).

Nikita: Una vulnerabilidad seria puede ser muy, muy cara. Esto, debido a que una violación de seguridad 'exitosa' puede costar a una empresa varias partes de su capitalización de mercado y todos saben cuál puede ser el precio de una compañía grande.

Yuri Naméstnikov (Kaspersky Lab): En la actualidad, la compañía de seguridad estadounidense Zerodium es la que mayor recompensa ofrece: hasta 1,5 millones de dólares por una serie de vulnerabilidades en el sistema iOS (Apple). Respecto a Microsoft, una falla a nivel de navegador Web puede costar entre 120.000 a 150.000 dólares.

Algunos datos:

¿Existen listas de los mejores 'hackers' del mundo? ¿Y de Rusia?

Nikita: Si estos listados existen, solo los encontrarán en círculos de acceso limitado, pues al tratarse de una actividad ilegal, nadie desea ser descubierto y constantemente utilizan pseudónimos. Jamás se sabrá quién y cuántas personas integran un grupo de piratas informáticos, pues cada uno de ellos trabaja tras el nombre de su grupo. Es muy probable inclusive que uno de estos grupos esté integrado por un solo experto en seguridad.

Andréi: Todo esto existe, pero este tipo de información debe ser tratada con cuidado. Muchos especialistas están interesados en pasar desapercibidos y aquellos que lo desean tienen un canal de comunicación directo entre sí y lo utilizan cuando es necesario. Por otro lado, existen muchos profesionales conocidos que desean la fama mundial, participan en programas de recompensas y brindan conferencias temáticas.

 

¿Cómo es posible acceder a la 'red oscura'?

Nikita: Solo hay que bajar e instalar el navegador Tor. Pero mejor no lo haga, los servicios de inteligencia no están llenos de tontos (sonríe).

Algunos datos:

¿Es posible 'hackear' una cuenta de correo electrónico sin utilizar la ingeniería social?

Andréi: Todo depende del objetivo planteado: violar la cuenta de una persona concreta o de un grupo de usuarios en Internet. Sin lugar a dudas, la ingeniería social (ver el recuadro) es uno de los métodos más efectivos que existe, pero no es el único. Por ejemplo, un pirata informático podría contar con una 'botnet' de unos 100.000 equipos infectados. Para 'hackear' sus cuentas, puede utilizar un 'software' especial y un listado de las 1.000 claves más usadas con una alta probabilidad de vulnerar más de 1.000 cuentas de usuarios de todo el mundo.

Nikita: Si hablamos por ejemplo de las grandes empresas que ofrecen servicios gratuitos de correo electrónico, como Yandex o Google, es prácticamente imposible. ¿Por qué? Nuevamente, el costo que para estas compañías representaría un evento como este les obliga a tomar medidas de seguridad mucho más fuertes. Respecto a las cuentas de correo electrónico corporativo, todo dependerá del servidor que se utilice. Algunos son fáciles de vulnerar, otros no. Pero siempre es más fácil utilizar la ingeniería social, ¿por qué no?

Yuri Naméstnikov (Kaspersky Lab): Sí, si el usuario no cuenta con un antivirus, es posible. Utilizando las vulnerabilidades del dispositivo es posible infectar el equipo y acceder a su cuenta. Existen otros métodos, como la búsqueda forzada de claves, la detección de respuestas fáciles a las preguntas de verificación o el robo de bases de datos con claves de usuario.

Algunos datos:

 

¿Qué consejos podría dar a los usuarios para asegurar sus cuentas en las redes sociales o el correo electrónico?

Las respuestas de los 3 entrevistados fueron muy similares:

Algunos datos:

Un 'software' especializado podría tardar:

Juan Carlos González Gusev