“Hay millones de delitos informáticos que no se denuncian y de los que sí, sólo el 9 por ciento acaba en detenciones”, afirmó la investigadora Erin Kenneally en la reunión anual del Anti-Phishing Working Group (APWG), celebrada la semana pasada en Barcelona. Y eso no es nada según el asesor de las Naciones Unidas, Raoul Chiesa: “Por suerte, los terroristas aún no saben atacar las infraestructuras críticas, que están desprotegidas en todo el mundo”.

El pesimismo y las descripciones apocalípticas sobre la inseguridad en Internet dominaron la reunión del APWG, que congregó a expertos internacionales de la industria, las universidades y las fuerzas de la ley. Una representante del Federal Bureau of Investigation (FBI), Donna Peterson, aseguró: “Estamos desbordados, hay demasiada información por investigar y no podemos ir a más velocidad. Han robado mi propia identidad tres veces en el pasado año”.

La estrella: el robo de identidad

La suplantación de identidad, mediante el robo de contraseñas o de datos bancarios, es la estrella de los fraudes en Internet que, según la empresa S21sec, se ha doblado en un año. El 62 por ciento son casos de phishing, que se están cebando en el Sistema de Nombres de Dominio: los delincuentes registran o secuestran direcciones y los dan a computadoras infectados bajo su control, que actúan como señuelo para que los incautos introduzcan datos bancarios. Al cambiar velozmente el dominio de una máquina a otra, dificultan mucho su localización.

Esta es una de las tretas que usa el gusano Conficker, el más mencionado en la reunión como ejemplo del auge del código malicioso, que dobla sus cifras cada año y sobrepasa en ritmo de crecimiento al phishing. Panda Security detectó 20 millones de nuevos virus en 2008. Cambian muy rápido, tanto en su forma como en los mensajes de correo donde viajan, las páginas en las que se esconden y las direcciones IP de las mismas. Se necesitan meses para descifrar su código y antes se hacía en días.

“Sólo hay que ver los millones de números de tarjetas de crédito a la venta en la red para darse cuenta de que afecta a mucha gente”, afirmó Ero Carrera, de Hispasec Sistemas. Entre 30 y 40 grupos organizados que actúan como mafias dominan este mercado. La más conocida y perseguida, la ruso-ucraniana Russian Business Network, posiblemente autora de Conficker. Hasta ahora se creía que las mafias tradicionales no estaban en el cibercrimen, pero Shinichi Tankyo, representante de Hitachi, desmontó este mito al afirmar que, a finales de 2008, fueron detenidos en Japón miembros de la Yakuza por una estafa de phishing.

“Los atrapamos porque lo hicieron bastante mal, no estaban preparados, pero cada vez vemos más casos de crimen electrónico relacionados con la Yakuza”, afirmó Tankyo.

Una de las estrellas del congreso del Anti-Phishing Working Group fue el asesor de las Naciones Unidas Raoul Chiesa, quien añadió otro factor para la preocupación general: los terroristas. “Las infraestructuras nacionales críticas están desprotegidas en todo el mundo y los gobiernos no lo entienden. El mes pasado, el jefe de ciberterrorismo norteamericano se quejaba de que no podía hacer su trabajo porque nadie lo escucha”, explicó Chiesa.

Según el asesor, “los terroristas aún no se han dado cuenta del potencial de dejar a una ciudad sin agua o electricidad”.

Extraños acontecimientos

Ejemplificó el peligro con acontecimientos recientes como unos paneles luminosos en las carreteras de Texas, que alguien manipuló para que emitiesen el mensaje “zombis más adelante”; el cambio del trayecto de un tranvía en Polonia, hecho por un niño de 16 años, o la infección de aparatos médicos en hospitales de San Francisco por el gusano Conficker.

Chiesa aseguró: “China ataca regularmente a otros gobiernos” y le dio la razón el investigador Shishir Nagaraja, quien denunció los frecuentes ataques chinos contra la Oficina del Dalai Lama. El más crítico fue a finales del pasado año. “Secuestraron un mensaje de correo legítimo que alguien mandaba a la oficina, pusieron un virus en el adjunto y lo reenviaron a quien iba dirigido, infectando así nuestras máquinas y robando información confidencial”.

Nagaraja se quejó de que los gobiernos pequeños y ONG no pueden defenderse ante estas amenazas: “El costo no es asumible, necesitamos defensas más baratas. Lo que nos proponen las empresas es inútil. Sólo nos queda entrenar bien a los administradores y poner toda la información secreta fuera de Internet”.

¿Hay defensa posible?

Antes, defender una red informática se basaba en proteger su perímetro frente a Internet, con la ayuda de cortafuegos, detectores de intrusos o antivirus. Hoy, los expertos coinciden en que el uso de aparatos móviles y sistemas interconectados ha hecho desaparecer el perímetro y sólo queda defender globalmente Internet.

Según Dean Turner, de Symantec, la solución sería modificar el comportamiento de los internautas: “Necesitamos escritorios seguros donde los usuarios no puedan equivocarse, controlar qué tipo de información envían, limitar sus movimientos y formarlos”. En este sentido, Leonardo Amor, de Telefónica, recordó que su empresa ha bloqueado más de 250 mil ADSL por mandar spam y virus.

Ero Carrera, de Hispasec Sistemas, propuso modificaciones técnicas: “No hay que confiar en nada que venga de la web y usar cajas de arena o virtualización para todo lo que entre, de forma que no pueda afectar a las aplicaciones del sistema”. Carrera recordó que “hay muy buenos ingenieros en países sin industria y el cibercrimen es la forma de ganar dinero con lo que les gusta”.

Toralv Dirro, de McAfee, afirma: “Hay tanto dinero en juego que hay mil razones para pensar que seguirán. La solución sería que no fuese rentable, pero ¿cómo? Van a mucho más velocidad que nosotros, necesitamos la colaboración de gobiernos, fuerzas de la ley y fabricantes; ir todos a una”. Los representantes policiales, precisamente, pidieron un acercamiento de investigadores privados y públicos. Incluso hubo quien propuso la creación de brigadas para patrullar la web.

La mayoría denunció que tanto el intercambio de información entre ellos como las fórmulas para denunciar en línea son ineficaces y deben estandarizarse.

Los cortó Donna Peterson, del FBI: “No poder compartir datos entre países es un impedimento para las investigaciones, pero es también una forma de proteger tus datos”.

* De El País, de Madrid. Especial para Página/12.