“Las ciudades incorporan cada vez más tecnología y esto las hace vulnerables a los hackers”

hacking city

Entrevista con César Cerrudo, hacker y experto en seguridad informática, sobre el cibercrimen y el lado negativo de las “ciudades inteligentes”.

Por Federico Millenaar y Groger Gutiérrez Ilustraciones: Groger Gutiérrez.

La tecnología continúa con su marcha arrolladora y a los “smart-phones” y “smart-cars” ahora le siguen las “smart-cities” (ciudades inteligentes). Al mismo tiempo, el robo de datos, los ataques a servidores y sitios de todo tipo, el ciberespionaje y el terrorismo digital de a poco se vuelven prácticas menos extrañas. Ya no parecen sacadas de películas de ciencia ficción sino que llenan las páginas de los diarios. El ataque a Sony y el millonario robo en Estados Unidos son solo algunos ejemplos del llamado “cibercrimen”.

A medida que una mayor parte de la infraestructura de las ciudades se confía a sistemas informáticos, la amenaza de ataques que antes sólo podían verse en las escenas futuristas  se vuelve más real. Por esta razón es válido preguntarse sobre los riegos implícitos en la era cibernética. ¿Existe un lado negativo de la visión utópica de ciudades controladas por computadoras que nos hacen la vida más fácil?

Diferentes especialistas aseguran que la tecnología utilizada para volver “inteligente” a las ciudades es vulnerable a ataques digitales y no está siendo probada en profundidad.

César Cerrudo, un hacker argentino y especialista en seguridad informática, demostró que podía acceder al sistema de tráfico de Washington DC y alterar su funcionamiento. Su experimento fue reseñado en varios medios del mundo y despertó nuestra curiosidad.

LBF decidió entrevistarlo para adentrarnos en el mundo de los ciberataques y los peligros que enfrentarán las ciudades del futuro.

¿Crees que la psicosis que generaron algunos ataques de hackers va a servir de excusa para restringir la libertad en Internet o es algo imposible de lograr?

No creo que puedan hacer algo para restringirla. El diseño de Internet siempre fue para que sea abierta, para interconectar redes. La idea inicial fue que sea de fácil acceso. Hay muchos gobiernos que restringen su uso pero siempre la gente encuentra alguna forma, de pasar el bloqueo, ya sea con softwares o distintas herramientas. No suele ser algo muy efectivo. Por otro lado, los Estados monitorean mucho las comunicaciones y pueden llegar a saber quiénes son los responsables de los ataques, sobre todo cuando son personas sin muchas habilidades. Alguien con más conocimiento puede realizar ataques más complejos o difíciles de detectar, por ejemplo utilizando un navegador Tor (que esconde tu IP). Otro ejemplo: muchos atacantes primero hackean máquinas en un  país y las utilizan para atacar objetivos en otro.

 Cada vez hay más cosas conectadas a Internet y eso hace que los ataques puedan tener más impacto. Hay objetivos a los que antes no se podía acceder y  ahora sí, por ejemplo las armas

¿Qué hay de cierto en que algunos Estados tienen ejércitos de hackers? Se habló mucho del tema luego del aparente ataque norcoreano a Sony.

En Estados Unidos sí tienen gente en la parte militar y de inteligencia que se dedica a las operaciones cibernéticas, ataques ofensivos para espiar o para defenderse. China también tiene gente entrenada dentro del Ejército y contrata gente externa. En el caso de Norcorea, no hay mucha información porque es un país que está muy aislado. La acusación de que fueron los norcoreanos quienes atacaron Sony tampoco está probada, el gobierno de Estados Unidos salió a decir que fueron ellos sin evidencias. Además, como dije antes, siempre se puede hacer parecer que el atacante proviene de un país cuando en realidad no es así. Es algo fácil de falsear. Todos lo saben pero igualmente es utilizado con fines políticos, tal vez les conviene culpar a Corea del Norte. Es probable que haya sido un ataque de “falsa bandera”, como se le dice. Yo no creo que haya sido Norcorea. Todo indicaría que fue alguien que trabajaba internamente en Sony, tenía acceso a esa información y ayudó a alguien de afuera. Pero es muy difícil de probar.

 ¿Los ataques pueden ir más allá de hacer colapsar servidores o robar información? ¿Se puede tomar el control de una red como sucede en las películas?

Hoy en día todo está automatizado. Lo que antes era una máquina manual, ahora tiene un software y está conectada a Internet. Cada vez hay más cosas conectadas y eso hace que los ataques puedan tener más impacto. Hay objetivos a los que antes no se podía acceder y  ahora sí, por ejemplo las armas. Si bien tienen muchos controles y medidas de seguridad, es posible que un atacante entre al sistema y las maneje. Un ejemplo claro son los drones militares de Estados Unidos que se controlan remotamente; si alguien pudiera hackear ese sistema tendría el control sobre una nave que lleva misiles. Esos sistemas tienen varios niveles de seguridad pero no significa que sea imposible poder acceder.

  Lo que hoy se conoce como “Internet de las cosas” es la conexión de todo a una red, y la mayoría de esos dispositivos no tienen mucha seguridad

Samsung anunció que planea conectar a Internet todos sus aparatos de acá a cinco años. Teniendo en cuenta la facilidad con la que demostraste que se puede hackear un sistema de tráfico, ¿podemos imaginar un futuro de ciudades muy conectadas pero vulnerables?

Si, es así. Ya es una realidad que hay electrodomésticos conectados a Internet. Se está conectando todo. Justamente en unos días tengo una charla que se llama Hacking Smart Cities y está relacionada con cómo las ciudades están incorporando cada vez más tecnología que, por un lado, ayudan a vivir mejor. Por ejemplo, en una gran ciudad con una aplicación del celular podes saber el clima y cuándo va a pasar el colectiv. Pero a su vez, hace que todo sea más vulnerable. Muchas de las empresas que brindan estas soluciones las están haciendo muy inseguras. Esto hace que las ciudades que más tecnología implementan sean las más vulnerables. Gente de la Universidad de Michigan hizo algo parecido a la mi presentación sobre los sistemas de control de tráfico. Ellos hackearon el sistema de comunicaciones inalámbrico de los semáforos porque encontraron que las comunicaciones no eran encriptadas. En ese caso, ello sí podían cambiar directamente de un color a otro un semáforo. Esto pasa hoy en día y cada vez se ve más. Lo que hoy se conoce como “Internet de las cosas” es la conexión de todo a una red y la mayoría de esos dispositivos no tienen mucha seguridad. No veo muy imposible que te hackeen tu heladera y te encuentres que está mandando spam por Internet. No sería algo de película sino algo muy real.

César Cerrudo

César Cerrudo

¿Podes contarnos sobre otro caso de hackeo concreto que conozcas?

Lo que hacen mucho es hackear lo carteles digitales que hay en la ruta que dicen “despacio” o “cuidado”. Cambian los mensajes y generalmente ponen cosas graciosas. Hasta el momento no ha habido ataques a alguna estructura que hayan causado un fuerte impacto. Pero tarde o temprano va a empezar a pasar. En la actualidad, en el plano del terrorismo podemos encontrar gente de todas las edades, algunos muy capacitados, que puede empezar a utilizar estos medios digitales. Las comunicaciones de Internet también le sirven para incrementar el impacto de sus acciones, para causar más temor en la gente.

¿El fenómeno de Anonymous le dio una dimensión más política a los hackers?

Si, puede ser, aunque también es un poco arbitrario porque al ser anónimo no se sabe quién es. Uno no conoce realmente de quién se trata cuando se hace una campaña de atacar a alguna empresa o país, no se sabe cómo se origina. Es un movimiento que por la forma en que trabaja puede ser manipulado por otros entes externos. Como no tiene cara, ni líder, agentes de inteligencia lo podrían utilizar para atacar una empresa o un país. Algunas cosas que hacen están bien pero siempre hay que ver cuál es el verdadero objetivo de las acciones.

 En las películas se muestra algo que es muy falso: hackean cosas en cinco minutos. No es así, para hacer un ataque hay que planearlo, hay que conocer los sistemas, hay que saber qué vulnerabilidades podría tener, cómo se lo va a penetrar y planear bien la operación para que no te detecten

Cuando pensamos en hackers, muchos tenemos la imagen de un tipo que trabaja solo en un sótano, ¿es una idea equivocada? ¿Para realizar ataques grandes es necesario trabajar en equipos?

Si. Puede ser que lo haga una persona sola pero necesita mucho trabajo y tiempo. Es más fácil si hay más gente involucrada. No hay que descartar que una persona sola lo pueda hacer, pero tendría que ser alguien con mucha paciencia y mucho tiempo. Si tiene una vida normal y de noche se dedica a hacer esto le llevaría mucho tiempo. En las películas se muestra algo que es muy falso: hackean cosas en cinco minutos. No es así, para hacer un ataque hay que planearlo, hay que conocer los sistemas, hay que saber qué vulnerabilidades podría tener, cómo se lo va a penetrar y planear bien la operación para que no te detecten. No es algo simple, no se hace al boleo.

Como Estado somos vulnerables a ciberataques, a nivel gubernamental hay mucho atraso

¿Argentina tiene capacidad para enfrentar este tipo de ataques? ¿Hay equipos especiales?

Hay gente, pero no mucha. Yo conozco gente que está en la policía haciendo investigaciones de este tipo, pero no hay mucho personal disponible. La gente capacitada es poca y por lo general ya tiene trabajo. A nivel país, el Ejército todavía no hizo mucho en ese tema. Lo que conozco es que han creado un organismo de ciberdefensa pero tiene el nombre nada más, hay muy pocas personas trabajando y no cuenta con presupuesto para desarrollo. Como Estado somos vulnerables a ciberataques. A nivel gubernamental hay mucho atraso en ese sentido.

¿En Argentina la infraestructura crítica está conectada a Internet?

No creo que todo. De todas maneras eso no es un limitante porque hay sistemas que están conectados a las redes internas de una empresa, que no están conectados a Internet directamente, pero cualquier computadora que sea hackeada dentro de esa red te permite tener acceso al sistema interno. Como atacante lo único que necesitas es un acceso a esa red interna, que puede ser cualquier computadora o dispositivo, por ejemplo si alguien se conecta con su smartphone.

Hacking

¿Hay grandes beneficios con poco riesgo en el cibercrimen?

Si, igualmente depende del país y su legislación. En algunos países con la más mínima prueba te meten preso por varios años, en Estados Unidos está tendiendo a ser así. En otros países no hay tanta legislación o no están muy desarrolladas las investigaciones informáticas, porque no hay gente capacitada o se complica conseguir personal que haga análisis de ataques. Si no se hace bien ese trabajo es muy fácil para el que defiende al atacante tirar abajo una investigación. Como todo es digital hay muchas formas de decir que la evidencia no es real, como decir “me hackearon la máquina e hicieron un ataque con ella”.

¿El usuario promedio no tiene idea de la cantidad de datos personales que está compartiendo?

Si, es cierto. El usuario promedio instala cualquier cosa en sus celulares o PC. Un tema aparte es que también ponen toda su información personal en Facebook.

Antes si a una persona le pedían su nombre, edad, dirección, profesión, etc. no la hubiera brindado pero si se lo pide Facebook o Google ni se lo cuestiona. ¿Hay un abuso por parte de estas grandes empresas?

La mentalidad no cambó mucho porque si le tocás el timbre a alguien y le pedís todos esos datos te va a cerrar la puerta en la cara. En cambio, si se lo pide una aplicación no duda en ponerlo. Es una contradicción. Al ser servicios gratuitos necesitan tu información para poder generar ingresos. Igualmente en general, esa información no se comparte sino que se hace un perfil del usuario para hacerle llegar publicidad de cosas que le interesan.

 Todo lo que sea robo de información va a ser cada vez más común

¿Se está volviendo más común la práctica de secuestrar información?

Lo que suelen hacer es hackear una máquina, encriptar toda la información, y te piden un depósito para darte la clave para que recuperes tus datos. Conozco gente a la que le ha pasado y en general todos pagan porque la mayoría no tiene back-up de su información y la necesitan para su negocio. Además, no se suele pedir mucho dinero. Creo que es una práctica que se va a seguir extendiendo. Además lo automatizan completamente, hacen programas que se encargan de contactarse con las personas y gestionar los pagos. Ni siquiera hace falta tener muchos conocimientos porque estas herramientas se pueden comprar. Todo lo que sea robo de información va a ser cada vez más común. Viendo el lado positivo, si es que lo tiene, le va a servir a la gente para ser consciente de lo importante que es hacer back-up y del valor de sus datos.                                                      

Cuándo esté todo conectado te van a hackear tu casa…

Si, te van a secuestrar la heladera y vas a tener que pagar para que vuelva a funcionar. Va a ser cada vez más común y va a ir mutando de acuerdo a cómo cambie la tecnología.  Antes no eran comunes los virus o malwares en celulares y ahora lo es cada vez más, sobre todo en Android porque se volvió masivo el uso de celulares inteligentes. Cada vez que una tecnología se vuelve masiva la gente que se dedica a este tipo de crímenes la empieza explotar. Lo mismo va a pasar con Apple.

Lee también: 

Viaje al interior del Partido Pirata, por Diego Labra

Historia del éxtasis: bailar drogados es bailar, por Alan Ojeda