Un año de ataques
La actividad de los ciberdelincuentes se mantiene al alza en todos los frentes, tanto públicos como privados
El año 2014 ha estado plagado de ataques de internet, aunque uno de los más impactantes fue el llamado Celebgate, en el que cerca de un centenar de famosas, como Jennifer Lawrence, vieron publicadas en internet fotografías íntimas suyas. En muchos casos, desnudas. Las fotografías fueron conseguidas a través de la nube de Apple, iCloud, aunque la compañía de la manzana, después de una investigación de 40 horas, determinó que el acceso no se había hecho por una brecha de seguridad de sus sistemas, sino que el atacante se había hecho con las contraseñas de las famosas mediante técnicas de ingeniería social.
Según Apple, el acceso a los archivos privados de las famosas se hizo mediante la utilización de las propias contraseñas de las interesadas. La hipótesis es que el ciberdelincuente pasó un tiempo recopilando datos de plataformas sociales sobre las interesadas y acabó por enviarles un correo que simulaba proceder de iCloud en el que se les pedía su contraseña, cosa que hicieron ajenas al hecho de que estaban siendo víctimas de un delito.
Aunque Apple declaró que nadie había podido vulnerar sus sistemas a la fuerza, el consejero delegado de la compañía, Tim Cook, se mostró preocupado: “Cuando pienso en esta situación terrible que ocurrió y pienso qué más podría haber hecho yo, me digo que la concienciación es la clave. Tenemos la responsabilidad de mejorarla. No se trata realmente de algo de ingeniería”.
Apple y otras compañías tecnológicas con servicios en la nube, como Google o Dropbox, tienen un servicio de “verificación en dos pasos” que recomiendan utilizar a todos sus usuarios. Básicamente, se trata de que, después de introducir la consabida contraseña, hay que dar otra nueva clave temporal aleatoria que la compañía envía en ese mismo instante al teléfono o tableta que desea el usuario. De esa forma, al delincuente no le basta con robar una contraseña, ya que sin la segunda clave no puede acceder a la cuenta.
El sistema de verificación en dos pasos es muy efectivo, pero todavía no es muy popular, pese a que las compañías recomiendan activarlo.
En otro ámbito diferente, en el 2014 ha quedado evidente el grado de vulnerabilidad de los servidores oficiales. Un día antes de la consulta independentista del 9-N, la web de la Generalitat sufrió un ataque que la mantuvo caída varias horas. Se trataba de un ataque como muchos de los que se producen en el mundo a lo largo del año. Ordenadores de cualquier país se coordinan para entrar en una misma página al mismo tiempo. Esto se consigue muchas veces mediante PC infectados por vi- rus que actúan sin que su propietario sea consciente de ello. Simplemente son activados a distancia para conectarse con una página web concreta. Como los servidores se ven incapacitados para satisfacer la demanda, el servicio se interrumpe. Es lo que se conoce como DDoS, o ataque de denegación de servicio.
Pocas semanas antes, la web del Tribunal Constitucional cayó también mediante métodos similares. Ahora, los gobiernos de Estados Unidos y de Corea del Norte están en tensión por el reciente ataque a Sony. Los conflictos, cada vez más, se libran en el ciberespacio.