-
Miguel Lora, durante su visita a la redacción de El Correo de Andalucía, donde desveló los riesgos de internet. / Rodríguez Aparicio -
La dependencia informática nos pone en manos de los hackers. / El Correo
Hackear una red wifi es más fácil de lo que parece. Al menos para Miguel Lora, experto en seguridad informática y un azote para los piratas del siglo XXI. Miguel llega a la redacción hablando por el bluetooth del móvil y cuando alguien cuestiona si será capaz de introducirse en la red de El Correo, él interrumpe la conversación y reconoce: «Ya lo he hecho. He entrado mientras aparcaba la moto». Nos miramos sorprendidos mientras que Juan Ramón Fernández, el responsable informático de la empresa, se lleva las manos a la cabeza.
El experto en seguridad saca de un maletín un pequeño portátil y un aparato cuadrado, una especie de disco duro con un par de antenas. «Es una piña wifi. Solo hay tres dispositivos como este en España.» El aparatejo sirve para suplantar la identidad de tu router, de manera que tu portátil, tablet o teléfono se conectan a él creyendo que es seguro. Toda la información pasa ahora por el dispositivo y queda almacenada.
«¿Ves el email que manda esa redactora? En cuanto lo envíe tengo su dirección de correo y contraseña. Pero también la conversación telefónica de aquel redactor del fondo, porque está hablando por OIP, un sistema que funciona a través de internet, cuando cuelgue sus voces estarán guardadas en un archivo de audio».
El dispositivo atacante ya forma parte de la red, es uno más, puede acceder a todos los servicios que tienen el resto de dispositivos e, incluso, dejar al resto sin conexión, tirar el sistema. Y lo hace. Miguel deniega el servicio al resto de usuarios. Internet deja de funcionar en El Correo. Los compañeros en la redacción ni se inmutan, son completamente ajenos a que sus contraseñas de acceso, servidores, transacciones de banco, datos en redes sociales... todo está ahora a merced del informático sin que puedan hacer nada.
Es una técnica avanzada de intrusión, la joya de la corona para las empresas que practican el espionaje industrial. Un delito que está de moda en tiempos de dificultades económicas y alta competitividad empresarial. Y es que siempre es más barato robar y copiar a la competencia que aumentar la plantilla de creativos o comerciales. Por ello el volumen de empleo de los expertos en seguridad informática está creciendo y, a la par, su remuneración: los salarios de estos ingenieros han aumentado un 10 por ciento en el último año. Sin embargo, solo una de cada diez industrias evalúa sus riesgos informáticos.
El Gobierno calcula que el pasado año las compañías españolas perdieron 14.000 millones de euros en ataques a través de la red, mientras que en los primeros meses de 2015 se han registrado más de 28.000 ataques cibernéticos.
«Estamos vendidos, pueden entrar hasta la cocina». Juan Ramón, el informático de la redacción, continúa ojiplático y reivindica: «Nos hicieron una auditoría de seguridad hace nueve meses; a raíz de ahí implantamos unos equipamientos que nos han ido muy bien, pero es cierto que el wifi lo tenemos fuera de este sistema. A partir de hoy debemos tomar medidas».
De momento el arma más potente que tienen los usuarios para defenderse de los ataque son las contraseñas. «Hay que poner contraseñas efectivas y renovarlas de manera constante, pero a los compañeros les da pereza hacerlo», justifica Juan Ramón, a lo que Miguel puntualiza que «la seguridad es inversamente proporcional a la comodidad».
Porque en materia de contraseñas no todo vale. Una clave eficaz debe tener trece dígitos como mínimo, combinando mayúsculas y minúsculas con caracteres especiales (números, signos de puntuación, etc.). A ello hay que sumar que el router esté actualizado y que los puntos de acceso no tengan vulnerabilidades conocidas. A pesar de todo no es infalible, el 95 por ciento de las redes españolas son vulnerables.
Nadie se libra de un ataque, ni empresas privadas ni la administración pública. El ejemplo más reciente es la web del Ayuntamiento de Sevilla. El agujero informático se detectó en la página de la oficina virtual de la Agencia Tributaria. Durante varios meses, datos personales de los ciudadanos han estado expuestos a merced del primero que haya querido sacarles partido: nombres, domicilios, número de cuenta bancaria, tributos o sanciones. Tan solo con introducir el DNI de una persona empadronada en Sevilla se podía acceder al registro de cualquier vecino. La auditoría anual que revisa los protocolos que rigen la página municipal se acometió en el mes de septiembre y además, se ha realizado una investigación específica sobre la oficina virtual que es gestionada por una empresa externa. Desde el consistorio aclaran que el error se ha debido a un cambio en los protocolos de seguridad y están rastreando las direcciones IP (los ordenadores) de quienes accedieron al sistema.
Ya tenemos todos los elementos para suplantar la identidad de otra persona: nombre y apellidos de la víctima, una fotografía reciente, número de teléfono, el DNI, dirección de correo electrónico y contraseña. Si además la víctima utiliza un localizador en su smartphone que señala dónde se encuentra en cada instante, la tarea es aún más simple porque indica cuál es el mejor momento para el ataque. El hacker ya tiene una nueva personalidad y carta blanca para infringir la ley a través del ordenador.
Son numerosos los famosos que se han visto implicados en este problema: el actor Will Smith, los cantantes Alejandro Sanz y Miguel Ríos, la escritora Lucía Extebarría, el futbolista Cristiano Ronaldo y hasta el presidente estadounidense Barack Obama forman parte de la lista de personajes públicos que han visto cómo en las redes sociales firmaban comentarios que jamás habían escrito.
En algunos casos la suplantación de identidad se realiza persiguiendo un fin concreto: la extorsión. Que se lo digan a algunos de los damnificados por la página de contactos Ashley Madison. Una web de citas que este verano ha visto como se hacía pública su confidencial base de datos. En el listado de 34 millones de infieles registrados en la web, 25.000 de ellos en Sevilla, muchos de los perfiles eran falsos. Ya hemos visto que no es difícil simular ser otra persona y cometer una infracción aunque sea en el plano sentimental. Puede que la víctima no haya oído jamás hablar de la página de relaciones extramatrimoniales, pero si en el perfil aparece su nombre, fotografía, dirección, teléfono y número de cuenta bancaria ¿podría negar ser usuario de Ashley Madison? La víctima entra al trapo y paga al hacker informático para evitar que se sepa.
Mayor fiabilidad tiene la fechoría si, además, se comete desde la dirección IP de la propia víctima. En farolas y marquesinas de autobuses proliferan los teléfonos de informáticos de medio pelo que se ofrecen a cambio de diez euros para engancharte a la red wifi de un vecino despistado. Es una práctica frecuente que sufre, entre otros ciudadanos, uno de los redactores de El Correo: «En mi bloque hay alguien que nos roba wifi, la mayoría de las conexiones inalámbricas han sido renombradas como OJO-VECINO-LADRON. ¿Qué hago?» El experto en seguridad informática, le contesta: «Actualizar tu router y cambiar la contraseña de manera frecuente, no hay otra forma».
Sus palabras evidencian un mal presagio; en plena era de la tecnología el usuario es el último eslabón de la cadena y, por tanto, el más débil. A nivel telemático, para los ciudadanos no existe seguridad alguna, «el malo siempre estudia más que el bueno, a día de hoy lo único que pretendemos es ponerle más trabas, más elementos disuasorios. Pero si alguien se centra en tu IP, si alguien se centra en tu router, serás una víctima».