Seguridad informática: ojo con los criminales en la nube
Primero fue Sony, luego Honda y ahora Lokheed Martin. Pero, ¿qué tanto deben preocuparnos las noticias sobre hackers y robo de información personal
Primero fue el ataque contra la red de juegos en línea de Sony, Play Station Network, que comprometió los datos personales de más de 100 millones de usuarios.
Luego, la semana pasada, la empresa japonesa reportó incursiones ilegales en varias de sus páginas en Canadá, Grecia, Indonesia y Tailandia, que también afectaron a miles de usuarios.
El turno fue después para Honda: piratas informáticos se apropiaron de información de cientos de miles de clientes de la automotriz japonesa luego de entrar ilegalmente (hackear) a la página de Honda Canadá.
Y esta semana inicia con noticias de que una de los principales fabricantes de material bélico de Estados Unidos -Lockheed Martin, uno de los principales proveedores del Pentágono- también fue objeto de un ataque similar.
La empresa publicó un comunicado afirmando que había detectado el ataque “casi inmediatamente”, evitando así el robo de información personal.
Pero estas noticias no resultan nada tranquilizadoras cuando cada vez más compañías planean guardar al menos partes de sus datos en , como se denomina a la práctica de almacenar información en la red en lugar de en el disco duro de la computadora local.
Un lugar para esconderse
En el caso del Reino Unido, por ejemplo, casi siete de cada 10 compañías están planeando usar “la nube”, según un estudio de la consultora Axios.
Y entre más empresas sigan ese camino, más frecuentes serán las filtraciones como las padecidas por Sony, explicó Alex Hudson, de BBC Click.
“Cada vez tenemos una mejor idea del potencial de la computación en la nube, pero también de sus vulnerabilidades”, le dijo por su parte el ministro del Interior de Australia, Brendan O’Connor, a la Asociación Internacional de Profesionales de la Seguridad.
Y, en opinión de O’Connor, si los criminales son lo suficientemente inteligentes también pueden esconder información ahí.
“Algunos proveedores de servicios de computación en nube poco escrupulosos, basados en países con leyes poco estrictas en materia de cibercriminalidad, pueden ofrecer servicios confidenciales de almacenamiento de datos”, explicó el ministro.
“Esto haría más fácil guardar y distribuir información criminal, y más difícil el trabajo de las agencias encargadas de hacer cumplir la ley”, afirmó.
Hudson ofrece como ejemplo la forma en la que algunos bancos suizos operaban en el pasado.
“Estos bancos le ofrecían a sus clientes absoluta discreción sobre sus operaciones financieras. Y la misma cortesía podría ser ofrecida a aquellos interesados en esconder información sensible”, explicó el reportero de BBC Click.
Robando secretos
Según Hudson, los cibercriminales también están usando la nube para mejorar su capacidad para robar secretos informáticos.
Y es que, para proteger la información que se guarda en la nube, los datos por lo general son “encriptadas” (es decir, cifradas) con cierta regularidad.
Hasta hace muy poco tiempo esto hacía necesario contar con una supercomputadora para regresar los datos a un estado en el que se pudieran usar.
Pero ahora la internet misma le ofrece a los criminales la posibilidad de aumentar significativamente su capacidad de procesamiento para hacer el descifrado cada vez más rápido, fácil y barato.
“Incluso si la información sobre nuestras tarjetas de crédito está cifrada, hay programas que permiten descifrarla si cuentan con suficiente poder de procesamiento”, le dijo a la BBC William Beer, director del departamento de seguridad de Prix Price Waterhouse Cooper.
“Y la nube puede proporcionar una inmensa capacidad de procesamiento… La ironía es que están usando las tarjetas de crédito robadas para pagar por esa capacidad”, agregó.
El investigador alemán en temas de seguridad informática Thoma Roth ha probado este sistema.
Roth usó una técnica de “fuerza bruta”, que antes hubiera requerido de una supercomputadora, para hackearredes inalámbricas cifradas.
“Esta técnica permite probar 400,000 contraseñas diferentes por segundo. Es algo así como golpear la puerta hasta que esta se abre. No se necesitan habilidades especiales de hacker”, explicó Hudson.
Y Roth lo hizo usando un servicio de computación en nube que sólo cuesta unos pocos dólares por hora: el Elastic Cloud Computing (EC2) de Amazon.
Amazon dice que trabaja permanentemente para garantizar que sus servicios no son empleados para actividades ilegales.
Pero aunque Roth no hizo la prueba con fines ilícitos, y podía haber usado cualquier otro proveedor, la técnica también podría ser empleada, en principio, para descifrar la información de las tarjetas de crédito.
Y el investigador alemán afirma haber experimentado con velocidades que le permitirían probar un millón de contraseñas por segundo.
La “llave maestra” de los hackers
Lo que más asusta a otros, sin embargo, es que los criminales que usan la nube también son muy difíciles de rastrear.
Y es que la mayoría de las compañías que manejan información financiera tienen estándares muy estrictos de seguridad.
“Todo se resume a qué tan bueno es el sistema de encriptado”, explica Mark Bowerman, portavoz de Acción contra el Fraude Financiero, el grupo que coordina las iniciativas de seguridad del sector en el Reino Unido.
“Incluso teniendo supercomputadoras, o el poder de cientos de miles de computadoras conectadas en red, si el encriptado es lo suficientemente fuerte se necesitarían años para poder romper nuestras contraseñas”, aseguró.
Pero, desafortunadamente, muchas personas tienen la costumbre de utilizar la misma contraseña para varios servicios.
“Y, por eso, una vez que un hacker se adueña de un correo electrónico, esa es como una llave maestra para todo lo demás”, explicó Rik Ferguson, de la compañía de seguridad Trend Micro.
“Por eso, la gente debería de ser más cuidadosa con sus contraseñas y emplear contraseñas diferentes para cada cuenta en línea”, recomienda en consultor en seguridad informática Graham Cluley.
De lo contrario, podríamos estar aumentando el riesgo de caernos de la nube, incluso si nuestro banco es una garantía de seguridad.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.