Archivo de la etiqueta: Privacidad

Ransomware

Una confluencia de avances tecnológicos, ineptitud y errores en el diseño del sistema operativo Windows es lo que permitió que cibercriminales estén extorsionando en este momento a cientos de miles de individuos y empresas en todo el mundo, incluyendo en México. La empresa de entrega de paquetería FedEx y el sistema nacional de salud de Inglaterra son algunas de las víctimas más prominentes del crimen digital conocido como ransomware.

ransomware

La palabra ransomware viene de ransom, que en inglés significa rescate. El sufijo ware se le agrega a palabras para representar a un conjunto de elementos. Los términos más conocidos son hardware y software. El ransomware permite que criminales penetren las computadoras para cifrar sus datos y de esa manera bloquear el acceso a sus dueños. Por ejemplo, los hackers pueden bloquear el acceso a los expedientes médicos de los pacientes de un hospital. Como esto pone vidas en peligro, el hospital se ve obligado a pagar un rescate para que se liberen los datos.

Aunque el ransomware no es algo nuevo, este último ataque es de proporciones épicas y consecuencias quizás catastróficas. La Agencia de Seguridad Nacional (ASN) de Estados Unidos, supuestamente la más capaz y secreta del mundo, inventó este último método de ataque para fortalecer su armamento cibernético. Aunque parezca increíble: ¡hackers robaron la tecnología de la ASN!

¿Cómo pudo la ASN encontrar esa vulnerabilidad en Windows? Porque desde su inicio hace más de treinta años estuvo mal diseñado. En cuanto a seguridad, tiene más hoyos que una barra de queso suizo. Sería nula sin los programas de protección de datos que ofrecen otras empresas. Microsoft constantemente tiene que tapar los hoyos con “parches”. Es tan serio este último ataque, llamado WannaCry, que Microsoft distribuyó un parche para Windows XP, la versión más vulnerable, la que más se usa en México, y la que se discontinuó hace tres años.

¿Y por qué los usuarios no actualizan Windows? Primero porque les cuesta. Segundo porque hay docenas de versiones diferentes, lo cual crea confusión. Y para cada versión hay variaciones con precios y características diferentes para hogares y empresas. En contraste, las actualizaciones del sistema operativo de Apple, MacOS, son gratuitas y no hay variaciones. Una campaña de relaciones públicas de Microsoft está culpando a los usuarios por no actualizar sus sistemas, aunque la empresa tenga gran parte de la responsabilidad debido a sus políticas.

¿Y por qué no atrapan a los hackers siguiéndole la pista a los rescates? Porque cobran en Bitcoin, una moneda digital cuya característica principal es la privacidad. Las transacciones no dejan huellas y los criminales pueden rápidamente convertir el Bitcoin a efectivo. Esta moneda no es algo esotérico solo para el uso de criminales. En todo México hay cajeros automáticos que aceptan Bitcoin.

Finalmente, y para colmo, es tan grande el potencial de este tipo de crimen, que existen estuches de herramientas para los emprendedores sin moral que quieran extorsionar. No es necesario ser experto en hacking. Cualquiera puede hoy adquirir las herramientas para iniciarse en el mundo del crimen cibernético.

Phishing

Frecuentemente me llegan correos electrónicos que aparentan ser de compañías legítimas que tienen mi dirección de email. El mensaje que más recibo es de FedEx. El texto dice que hay un paquete que no me han podido entregar y que oprima un botón para obtener más información. Hacerlo equivale a abrirle la puerta a un hacker para que invada mi computadora y pueda robar mi identidad.

phishing

A este tipo de crimen cibernético se le llama phishing. Los phishers usan una estrategia compleja para invadir nuestra privacidad. Primero identifican a la compañía que quieren atacar y cómo obtener una lista de correos electrónicos de sus clientes. Esto es más fácil de lo que se imaginan pues muchas empresas venden sus propias listas de clientes o utilizan las mismas. Después construyen una imagen falsa de la empresa desarrollando un sitio de Internet apócrifo con la fachada del original. El siguiente paso es enviar correos masivos para atraer a sus futuras víctimas al peligroso botón.

Al penetrar nuestro recinto cibernético, los phishers colectan información ya sea sin que nos percatemos de que lo estamos haciendo, o, asombrosamente, con la total cooperación de quienes la ofrecen sin darse cuenta del riesgo. Con esta información pueden hacer compras con nuestras tarjetas de crédito, involucrarnos en lavado de dinero, extorsionarnos, o dañar nuestra reputación publicando información comprometedora.

Algunos de ustedes se preguntarán: ¿Cómo es posible que alguien caiga en esta burda trampa? De la misma manera que ha sucedido durante toda la historia de la humanidad. Los que quieren robar siempre encuentran a los que se descuidan. Phishing es equivalente a recibir mensajes de texto o llamadas telefónicas para extraer información tentándonos diciendo que nos ganamos un automóvil en un sorteo al cual nunca entramos.

Uno de los principales desastres que sufrió Hillary Clinton durante su fallida candidatura que dio como consecuencia el ascenso inverosímil del inepto presidente Donald Trump, fue la publicación de los correos privados de los empleados de su campaña electoral. Los mensajes no eran fuera de lo común si se hubiesen mantenido en privado. No se cometió ningún delito; sin embargo los Republicanos pudieron utilizar la información robada y publicada por Wikileaks para dañar a Clinton.

¿Cómo obtuvieron los hackers esta información? ¡Phishing! John Podesta, el mismo jefe de campaña de Hillary y anterior jefe de gabinete de la Casa Blanca de Bill Clinton, fue quien oprimió el fatídico botón que contribuyó a la derrota de su candidata.

Hay una manera fácil de saber si un correo es apócrifo. El nombre que aparece de quién envió el correo es arbitrario. La verdadera dirección está oculta pero se puede revelar haciendo click en dicho nombre. Las direcciones de los empleados de una empresa siempre contienen la identidad de la empresa. Por ejemplo, el correo falso que mencioné de FedEx, aunque el contenido está bien presentado y tiene el logo falsificado de la empresa, dice que viene de Bailey. Si hago click en Bailey, se ve que la dirección verdadera es farley@astudillo.com, que no tiene nada que ver con FedEx. ¡Cuidado!

Apple vs. FBI

Algún día iba a llegar el momento en que el conflicto entre la privacidad y la seguridad en esta era en que predomina la tecnología tomaría un giro extraordinario. Apple, la compañía pública más valiosa del mundo, está rehusándose a ayudar al FBI a desbloquear el contenido del teléfono iPhone que usaba la pareja de terroristas que el año pasado asesinó a 14 personas en San Bernardino, California. El gobierno quiere ver si el teléfono contiene información de contacto de otros terroristas.

Sigue leyendo