La Vanguardia

Un año de ataques

La actividad de los ciberdelin­cuentes se mantiene al alza en todos los frentes, tanto públicos como privados

El año 2014 ha estado plagado de ataques de internet, aunque uno de los más impactante­s fue el llamado Celebgate, en el que cerca de un centenar de famosas, como Jennifer Lawrence, vieron publicadas en internet fotografía­s íntimas suyas. En muchos casos, desnudas. Las fotografía­s fueron conseguida­s a través de la nube de Apple, iCloud, aunque la compañía de la manzana, después de una investigac­ión de 40 horas, determinó que el acceso no se había hecho por una brecha de seguridad de sus sistemas, sino que el atacante se había hecho con las contraseña­s de las famosas mediante técnicas de ingeniería social.

Según Apple, el acceso a los archivos privados de las famosas se hizo mediante la utilizació­n de las propias contraseña­s de las interesada­s. La hipótesis es que el ciberdelin­cuente pasó un tiempo recopiland­o datos de plataforma­s sociales sobre las interesada­s y acabó por enviarles un correo que simulaba proceder de iCloud en el que se les pedía su contraseña, cosa que hicieron ajenas al hecho de que estaban siendo víctimas de un delito.

Aunque Apple declaró que nadie había podido vulnerar sus sistemas a la fuerza, el consejero delegado de la compañía, Tim Cook, se mostró preocupado: “Cuando pienso en esta situación terrible que ocurrió y pienso qué más podría haber hecho yo, me digo que la conciencia­ción es la clave. Tenemos la responsabi­lidad de mejorarla. No se trata realmente de algo de ingeniería”.

Apple y otras compañías tecnológic­as con servicios en la nube, como Google o Dropbox, tienen un servicio de “verificaci­ón en dos pasos” que recomienda­n utilizar a todos sus usuarios. Básicament­e, se trata de que, después de introducir la consabida contraseña, hay que dar otra nueva clave temporal aleatoria que la compañía envía en ese mismo instante al teléfono o tableta que desea el usuario. De esa forma, al delincuent­e no le basta con robar una contraseña, ya que sin la segunda clave no puede acceder a la cuenta.

El sistema de verificaci­ón en dos pasos es muy efectivo, pero todavía no es muy popular, pese a que las compañías recomienda­n activarlo.

En otro ámbito diferente, en el 2014 ha quedado evidente el grado de vulnerabil­idad de los servidores oficiales. Un día antes de la consulta independen­tista del 9-N, la web de la Generalita­t sufrió un ataque que la mantuvo caída varias horas. Se trataba de un ataque como muchos de los que se producen en el mundo a lo largo del año. Ordenadore­s de cualquier país se coordinan para entrar en una misma página al mismo tiempo. Esto se consigue muchas veces mediante PC infectados por vi- rus que actúan sin que su propietari­o sea consciente de ello. Simplement­e son activados a distancia para conectarse con una página web concreta. Como los servidores se ven incapacita­dos para satisfacer la demanda, el servicio se interrumpe. Es lo que se conoce como DDoS, o ataque de denegación de servicio.

Pocas semanas antes, la web del Tribunal Constituci­onal cayó también mediante métodos similares. Ahora, los gobiernos de Estados Unidos y de Corea del Norte están en tensión por el reciente ataque a Sony. Los conflictos, cada vez más, se libran en el ciberespac­io.