El lado oscuro de la seguridad

En ocasiones, las firmas de seguridad informática son más conocidas por el misterioso pasado de sus fundadores, el origen hacker de sus trabajadores o su indefensión ante los ataques, que por la fiabilidad de sus antivirus.

Y si los ciberdelincuentes son distintos de los hackers éticos, lo mismo sucede con los hacktivistas, que “utilizan las técnicas hacker para reivindicar sus ideas; ahí cada uno tiene su propia ideología y puede diferir mucho uno de otro, ya que no existe una ética hacktivista global”, apunta Alonso. Al contrario de lo que ocurre con los crackers, los hacktivistas no sólo no actúan para alimentar su propio ego, sino que tratan de salvaguardar su anonimato a toda costa.

Uno de los ejércitos de hacktivistas más conocido es Anonymous. El pasado mes de marzo, el colecivo LulzSec, integrado en este grupo, hackeó un servidor externo que alojaba campañas de marketing y blogs de Panda Security.

Tal y como explica Paula Quirós, “ninguno de los datos de nuestros clientes y partners se vio comprometido y nuestros productos y servicios siguieron funcionando con total normalidad”. La razón del ataque, según explicaron sus protagonistas, era denunciar que Panda ganaba dinero trabajando para la Policía como delatores, pues había ayudado a la detención de varios miembros de este colectivo.

En opinión de las compañías de seguridad, los hacktivistas no dejan de ser ciberdelincuentes, tal y como apunta Quirós: “Nosotros nos dedicamos a desarrollar software de seguridad para evitar que tanto ciberataques como infecciones de malware tengan lugar, por lo que, para los ciberdelincuentes, somos el enemigo y el target principal de muchos ataques”. Asimismo, añade, “precisamente por ser una empresa de seguridad, si consiguen su objetivo se apuntan un tanto muy goloso para su ego”.

Más allá de consideraciones nominales, lo cierto es que las compañías de seguridad figuran entre las más inseguras de la Red. En 2010, un ataque dejó al descubierto los sistemas y la información privilegiada de Verisign; y en febrero del año pasado, Anonymous accedió a la base de datos de HBGary, borrando datos y modificando su web, cuando el CEO de la compañía, Aaron Barr, se disponía a revelar los nombres de varios integrantes de este colectivo. Un mes después, un grupo de hackers penetró en la red de RSA Security, robando 40 millones de registros de empleados.

Chema Alonso explica la causa de estos ataques: “Hackear a hackers famosos es un reto para muchos”, y si no, añade, “que se lo digan a Dan Kaminsky, a quien hackearon justo cuando daba una conferencia en Black Hat”. En aquella ocasión, un grupo de hackers demostró que había tomado el control de servidores y sitios web mantenidos por expertos en seguridad, entre los que figuraba Kaminsky, experto de IOActive. “Lo que es peor”, añade Alonso, “es que te hackeen con algo básico y ridículo… eso queda fatal”.