'Hackers éticos' batallan para evitar un 'apocalípsis informático'

Es raro  que pasen días sin que se sepa de alguna importante infracción de seguridad informática. La semana pasada una red de hackers llamada Hollywood Leaks comenzó un ataque contra los datos personales de las celebridades, añadiendo a algunos famosos a una lista infame que ya cuenta con objetivos como Sony, la Iglesia de la Cienciología y PayPal.

Sin embargo, sólo unos días antes de la aparición de esta nueva tendencia de piratería informática, un grupo mucho menos visible pero igualmente experto se reunió en un hotel de Londres para discutir el otro lado de todos los asuntos de la seguridad informática, también conocida como infosec.

La 44Con en Gran Bretaña es la primera conferencia para los chicos buenos de la infosec. Entre los 300 delegados y oradores estuvieron varios de los llamados sombreros blancos , que son programadores encargados de descubrir puntos débiles de las empresas.

Utilizando la información de estos hackers éticos, los fabricantes pueden remediar o parchar el problema antes de su lanzamiento y las empresas pueden adoptar medidas para salvaguardar sus datos.

Aunque sus contrapartes más destructivos siguen acaparando los titulares, la 44Con demostró que la lucha contra los piratas informáticos y otras amenazas más tradicionales a la seguridad informática también es fuerte.

“La forma en que la gente usa y consume los medios de comunicación, y comparte información ha cambiado drásticamente en los últimos diez años”, dijo Steve Lord, un profesional de la seguridad y cofundador de 44Con.

“La información que solíamos pensar que permanecería en una computadora, en un mundo cada vez más interconectado va a todas partes. Así que hay una creciente demanda por parte de la gente para proteger esa información, porque de lo contrario, la gente no la pondría ahí”.

44Con atrajo a representantes de gobiernos y miembros de las fuerzas armadas, junto con gestores de riesgos, consultores y estudiantes. De acuerdo con Lord, la lista de asistencia incluyó a "hackers, freaks, geeks, espías y excéntricos”, ninguno de los cuales tuvo que identificarse a sí mismo más allá de un nombre de pila .

“Estamos todos alrededor de una mesa mirando los mismos problemas y, con suerte, encontrando algunas soluciones”, dijo Lord.

Los hackeos de alto perfil son sólo un capítulo de la batalla en curso para proteger la información electrónica de daños o infiltración.

En la 44Con se realizaron desde talleres para demostrar la antigua práctica de abrir una cerradura con un clip , hasta discusiones de las amenazas contra la iPad y los teléfonos inteligentes, e incluso una presentación de cómo han sido interceptadas recientemente las transmisiones de la NASA a astronautas.

“Tenemos un serio problema... como la crisis financiera global”, dijo Haroon Meer, un investigador de la consultora de seguridad de la información, Thinkst. Pero aunque Meer también se refirió a “nuestro próximo apocalipsis de seguridad”, otros se enfocaron en cómo la inteligencia puede ser utilizada para predecir los ataques antes de que ocurran y, sobre todo, cómo ganar el respaldo de los Consejos para tomar mejores medidas de seguridad.

Los profesionales de la seguridad informática a menudo conversan en un lenguaje que no siempre es inmediatamente accesible para las personas comunes (incluyendo a los ejecutivos), pero el resultado de sus esfuerzos a menudo puede ser sorprendentemente claro.

“Cada hombre a nivel de Consejo al que le hablo dice: '¿Vamos a ser el próximo Sony?'”, dice Lord, refiriéndose al reciente y devastador hackeo contra el gigante de la electrónica . “Todo el mundo vio lo de Sony y pensó: 'Oh Dios, espero no ser el siguiente'”.

Diversas presentaciones en la 44Con ofrecieron espeluznantes demostraciones de las vulnerabilidades de los dispositivos de negocios comunes. Alex Plaskett, consultor de MWR InfoSecurity, quien se describió como alguien que ha estado “irrumpiendo en cosas de manera profesional” durante muchos años, realizó un incidente de seguridad llamado drive-by en un smartphone con Windows 7.

El consultor de seguridad independiente, Neil Caldera, expuso las fallas del reconocido software de seguridad de banca en línea de Trusteer Rapport, al ejecutar un programa de pantalla de acceso que replicaba en la pantalla cualquier cosa que un usuario pudiera estar introduciendo en los campos de contraseña supuestamente seguros.

Otro experto en seguridad Roelof Temmingh mostró la versión más reciente de Maltego, un software que analiza y compara la información disponible libremente en numerosos sitios de redes sociales.

Utilizando el sitio web de la Oficina Ejecutiva del Presidente a modo de ejemplo, Temmingh fue capaz de extraer información específica, como los restaurantes favoritos entre los empleados de la Casa Blanca, así como otras tendencias de comportamiento.

“Incluso si no queremos atacar, ¿qué podemos descubrir?” preguntó Temmingh, antes de revelar que al menos un miembro de la administración Bush era un fanático del Moody's Diner y un editor entusiasta de páginas de Wikipedia.

Los ejemplos fueron deliberadamente banales y anticuados, pero la implicación estaba clara. A través de rutas similares, los piratas informáticos con las más viles intenciones podrían determinar qué versiones de los navegadores se están utilizando en la Casa Blanca, por ejemplo, y explorar las vulnerabilidades específicas. “Si puedes vulnerar el navegador de un líder, entonces puedes vulnerar la PC de un presidente”, advirtió Temmingh.

Alexis Conran, un exdefraudador que apareció en un programa de televisión británico llamado The Real Hustle, resumió los desafíos que aún enfrenta el sector de la seguridad informática .

“El público en general sólo tomará medidas para protegerse a sí mismo si sabe cuáles son los peligros”, dijo.