Si bien en estas fechas en las que nos encontramos lo más habitual es que apenas se susciten noticias de relevancia en la actualidad informativa y los noticieros hayan rellenado con temas mundanos o imágenes recurrentes de las abarrotadas playas de las costas españolas, en el sector de la ciberseguridad no ocurre lo mismo.
Quienes llevamos años ya formando parte de dicho sector sabemos que, aunque podamos permitirnos el lujo de bajar el ritmo en aras de descansar un poco y recargar pilas, la ciberseguridad pertenece a un mundo en el que constantemente surgen nuevas noticias, contenidos, papers, vulnerabilidades, herramientas, etc.
Por ello, es imprescindible intentar mantenerse mínimamente conectado para seguir la actualidad en la medida de lo posible, aunque cambiemos la oficina por una terraza de verano.
De hecho, lo habitual es que las noticias que surgieron en este sector por estas fechas, hayan tenido relación con lo descubierto en los trabajos de investigación presentados por hackers de todo el mundo en las conferencias más importantes y sonadas del sector: BlackHat y DEFCON, que se celebran anualmente en Las Vegas durante la primera semana de agosto.
Noticias actuales sobre ciberseguridad
Sin embargo, este año, además de este tipo de noticias relativas a innovación y avances técnicos, el verano ha estado cargado de noticias en materia de ciberseguridad, que además han generado bastante revuelo mediático en la actualidad general.
Es significativo porque, además, hablamos de noticias totalmente dispares de diferente tipología.
El héroe de WannaCry
Precisamente una de ellas tuvo lugar a la conclusión de las conferencias mencionadas, concretamente en el Aeropuerto de Las Vegas, donde el FBI detuvo a Marcus Hutchins, el popular investigador alemán de 23 años que saltó a la fama por detener la propagación de WannaCry en mayo del presente año.
Este joven hacker, al que también muchos conocerán por el alias que utiliza en su cuenta de Twitter, «MalwareTech», recibió el reconocimiento del mundo entero cuando aquel famoso día de locura consiguió reducir el efecto del popular ransomware WannaCry, al encontrar el «kill switch» que los creadores del malware habían introducido en el código de cara a poder detenerlo en caso de que así lo quisieran.
Este kill switch se podía activar mediante el registro de un dominio, que podía obtenerse al comenzar a destripar la muestra de WannaCry mediante ingeniería inversa, disciplina utilizada por los especialistas en análisis de malware.
Muchos pudieron percatarse de esto, pero Hutchins fue el primero en verlo y registrar el dominio que neutralizaba la amenaza.
Esta acción llevó al investigador a escribir su nombre en los anales de la historia, así como a ser reconocido por la prensa internacional como «el héroe de WannaCry».
Su cuenta de Twitter supera a día de hoy los 100.000 seguidores.
La detención de Hutchins
No obstante, la noticia acerca de su detención que nos llegaba hace unas semanas de los Estados Unidos causó muchísimo revuelo, tanto en la comunidad investigadora como en la opinión pública.
El asombro y la confusión eran unánimes. Muchos medios generalistas abordaron por ello la noticia, ya que la gran masa social no ha olvidado aún la hazaña del alemán.
Según parece, Hutchins fue arrestado por participar presuntamente en la creación, difusión y mantenimiento del conocido troyano bancario Kronos, entre 2014 y 2016.
El alemán se enfrenta hasta a seis cargos por su supuesta participación en la trama vinculada a Kronos.
Las primeras horas tras la detención de Marcus fueron convulsas. En primera instancia, la comunidad investigadora se posicionaba a favor del alemán, puesto que en los instantes iniciales se desconocía incluso el motivo de su detención.
Conforme iban pasando las horas se iban conociendo detalles; circulaba en Twitter una foto del documento de su detención, así como algunas pistas que podrían vincular a Hutchins con la creación de este malware.
Dichas pistas consistían en pantallazos de mensajes en foros de malware, publicados con varios nicks que se asociaban a su persona, donde anunciaba la venta de Kronos.
Pese a esto, en la comunidad y en el sector se mantiene la cautela a la hora de especular con la inocencia o culpabilidad de Hutchins.
Como siempre, se barajan muchas teorías y posibilidades, pero lo cierto es que a todo el mundo le genera cierto escepticismo la acusación. Cuesta creer que este alemán, que se dedica profesionalmente a la ciberseguridad y que ha dado muestra de su buena voluntad con actos como el del kill switch de WannaCry, estuviera involucrado en la gestación del malware de una campaña de cibercrimen.
Investigadores en ciberseguridad
Por otra parte, además del escepticismo, en la comunidad han saltado las alarmas y ha cundido el pánico entre muchos investigadores en ciberseguridad que en su día a día se dedican específicamente a la labor del análisis de malware.
Este tipo de profesionales, además de dedicarse a realizar tareas de análisis estático o dinámico de las muestras utilizando técnicas como la ya mencionada ingeniería inversa, muchas veces como parte de su trabajo intentan moverse en foros vinculados al underground y, en ocasiones, al cibercrimen para recabar información, relacionar alias o nicks, direcciones de correo, etc.
Así, pueden generar inteligencia valiosa para el seguimiento de estas campañas masivas. Por ello, en ocasiones han de moverse en esa delgada línea gris que existe entre el bien y el mal para poder desempeñar con eficacia su trabajo.
A tenor de lo sucedido con Hutchins, muchos especialistas han mostrado su miedo a poder verse envueltos también en una acusación de este tipo, sin tener que ver en absoluto con el mundo del cibercrimen ni tener otra motivación que no sea la de contribuir a erradicar el malware.
Lo único que se puede afirmar a deducir de las informaciones que se han ido sucediendo es que, sin duda alguna, Hutchins cuenta con skills avanzados en lo que al mundo del malware se refiere.
Es un verdadero hacker. Sobre si es un cibercriminal o no, habrá que esperar a que la investigación siga avanzando y se continúen conociendo detalles.
Hay investigadores que han afirmado haber colaborado en los últimos meses con él intercambiando información valiosa específica.
El miedo de éstos es que, en caso de confirmarse efectivamente que Marcus pertenece al lado oscuro, esta información esté en manos de los malos y pueda además comprometer a estos investigadores.
La última noticia al respecto es que Hutchins ha sido puesto en libertad condicional, se le ha concedido acceso a Internet y ha vuelto a comunicarse con el mundo a través de su cuenta de Twitter, declarándose inocente de todos los cargos.
Sin duda alguna, aún nos quedarán capítulos por ver de esta historia, que seguro nos seguirá deparando más sorpresas.
El ciberataque a HBO
Y hablando de capítulos, otra de las noticias sonadas a las que hacíamos referencia al inicio de este post viene dada por otro ciberataque que, siguiendo el esquema del ransomware tan lucrativo para los malos, ha copado las portadas de todos los medios en todo el mundo, a raíz de la trascendencia de la organización atacada.
Hablamos, por supuesto, de la popular cadena HBO, productora entre otras de la serie «Juego de Tronos».
Hace unas semanas, un grupo de hacktivistas saltó a la palestra afirmando haber comprometido la infraestructura de HBO, y obtenido 1.5 Terabytes de información de la prestigiosa compañía.
Entre esta información se encontraban, por supuesto, capítulos de sus principales series, guiones, etc., así como datos de contacto del reparto de varias de estas series.
Por qué se filtró el capítulo de Juego de Tronos
De cara a demostrar que el hackeo a la compañía americana era real, los hacktivistas filtraron resúmenes detallados de dos capítulos de Juego de Tronos, así como capítulos completos de otras series: Ballers, Barry , Insecure.
Además de un archivo con las contraseñas de una empleada responsable de asuntos legales de HBO. Posteriormente, apareció filtrado el capítulo completo de Juego de Tronos 7×04 antes de su emisión al mundo entero.
Para no seguir filtrando información al mundo, los atacantes pedían a la cadena una recompensa en bitcoins de alrededor de 6 millones de dólares. Aseguraban que reunir el material comprometido les había llevado cerca de 6 meses, por lo que exigían un salario «acorde» al esfuerzo invertido.
La cadena americana, según informaciones que fueron apareciendo, aceptó pagar a los hacktivistas no el rescate de 6 millones de dólares, pero sí una recompensa de 250.000 dólares por haberles encontrado una vulnerabilidad crítica.
Es decir, en lugar de acceder a la extorsión y al chantaje impuesto por quienes han comprometido toda su infraestructura, les ofrecía premiarles con una recompensa como suele hacerse con los programas Bug Bounty que se establecen para retribuir económicamente a cualquier investigador que reporte una vulnerabilidad.
Constituye sin duda todo un cambio de enfoque. En vez de ver a estos hacktivistas como ciberdelincuentes, HBO pretendía reconocer su trabajo como hackers y premiarles con este Bug Bounty.
Parece ser que, pese a la intención de empatizar con los atacantes, el resultado no fue el esperado por los responsables de la cadena americana.
Pasados unos días, volvieron a filtrarse nuevos episodios de series y más información.
Con este acto, los hacktivistas dejaban claro que no consideraban los 250.000 dólares remuneración suficiente al esfuerzo invertido en su labor.
De hecho, en este punto decidieron elevar la cantidad del rescate a 15 millones de dólares como castigo a HBO por no haber abonado los 6 que solicitaban en un principio.
A raíz de las últimas filtraciones, portavoces de HBO han declarado que no piensan «jugar al juego de los hackers». Que no harán más declaraciones ni negociarán con ellos un rescate. Sin duda alguna, esta lucha se prevé tan interesante como el desenlace de la lucha por el trono de hierro.
Veremos cuál concluye antes y con menos heridos.
Ciberataque a la Administración Pública española
La tercera noticia a comentar no es de dimensión internacional como la detención de Hutchins o el hackeo a HBO, sino que circunscribe su ámbito de relevancia a nuestro país. Pero no por ello es menos relevante.
Se trata de las noticias publicadas hace unas semanas sobre las vulnerabilidades reportadas que afectan a LexNet, una plataforma de intercambio de información que el Ministerio de Justicia pone a disposición de todos los abogados españoles, para enviar documentación a procuradores o jueces, por ejemplo.
Pese a tratarse de un software que el público general no tiene por qué conocer, pues es utilizado sólo en el ámbito legal por profesionales dedicados a la justicia y al derecho, ha suscitado el interés de la prensa y ha sido comentado en diferentes medios a causa de la relevancia de las vulnerabilidades encontradas.
Si bien ya se había denunciado en su día el mal funcionamiento del aplicativo en cuanto a prestaciones, lentitud y comportamiento errático por parte de los profesionales que lo utilizan, el escándalo ha venido por una vulnerabilidad que permitía a cualquiera acceder a la documentación privada de todos los casos que se gestionaban a través de la plataforma.
Esto es, la documentación de todos los casos que se están tramitando ahora mismo en España. Sí, todos. Cualquiera que podamos pensar o que nos venga a la cabeza.
Los expertos que han tenido la posibilidad de examinar el aplicativo han afirmado que la vulnerabilidad era muy fácil de explotar.
Es decir, cualquier persona sin un excesivo nivel de conocimiento ha podido tener acceso a todos estos documentos.
Por otra parte, a raíz del escándalo generado se han ido sucediendo muchísimas informaciones acerca del proceso de desarrollo, contratación, entidades y empresas envueltas. La presión que una noticia de este tipo ha generado en el entorno del Ministerio de Justicia es considerable.
Desde el punto de vista técnico, ingenieros que han estado involucrados en diferentes etapas del desarrollo de LextNet y que han sido consultados por los periodistas a la hora de elaborar los artículos al respecto, confirmaban que
el aplicativo presentaba carencias y errores flagrantes de diseño, algunos propios de un alumno de «1º de ingeniería informática».
Lo que está claro es que, una vez más, queda demostrado que lo que hoy es seguro, mañana puede no serlo, y que en el panorama actual que vivimos, la ciberseguridad juega un papel fundamental.
Como podemos ver, además, a raíz tan sólo de estas tres noticias, el espectro de amenazas diferentes es tan amplio que los conocimientos necesarios ya no sólo para combatirlas, sino tan sólo para entenderlas con detalle, es altamente avanzado y, sobre todo, muy específico.
Las empresas demandan profesionales especializados en las diferentes áreas de conocimiento necesarias para desempeñar correctamente la labor de experto en ciberseguridad.
La ciberseguridad es un sector en auge que seguirá dando de qué hablar, para bien o para mal. De ahí que animemos a todos aquellos que aún estén valorando la posibilidad de formarse para iniciarse en él a que no se lo piensen dos veces.
Aún queda mucho por hacer.
Happy Hacking ????
Deepak Daswani (@dipudaswani)
Ingeniero en Informática. Experto en Ciberseguridad Deloitte CyberSOC Academy. Conferenciante y colaborador de medios de comunicación.