Según el protagonista de uno de los mayores ciberataques de los inicios de la historia del internet, la combinación entre el desarrollo desenfrenado de la tecnología y la falta de regulación gubernamental es el mayor riesgo a la ciberseguridad contemporánea.
MafiaBoy tenía tan solo 15 años cuando protagonizó el ataque de denegación de servicio distribuido (DDos) contra páginas web comerciales en febrero de 2000. Empresas como Yahoo!, eBay, Amazon, Dell y CNN fueron las mayores afectadas y el ataque causó pérdidas por sobre el billón de dólares.
Actualmente, Michael Calce (el nombre real de MafiaBoy) es Presidente del consejo asesor de seguridad de HP y el presidente de su compañía, Optimal Secure. Trabaja como un hacker de “sombrero blanco”, guiando a las compañías para mejorar su ciberseguridad, localizando las vulnerabilidades de sus clientes.
En conversación con AméricaEconomía, Calce habla sobre las principales amenazas actuales, los riesgos que traen las tecnologías modernas, como también de la necesidad de que las empresas y gobiernos lleguen a un acuerdo para crear un estándar de seguridad que proteja a todos.
-Con el advenimiento de la computación cuántica, el protocolo de RSA, en la que se basan casi todas las encripciones actuales, podría estar en riesgo. ¿Es un peligro inminente y deberíamos cambiar el protocolo?
-Estamos viendo mucho desarrollo con la computación cuántica y un buen ejemplo es D-Wave, que están bastante avanzados. Aunque no hemos alcanzado una computación cuántica real todavía, podemos teorizar e imaginar qué podría hacer la computación cuántica a la computación tradicional y, una cosa muy clara entre los profesionales de ciberseguridad, es que la encripción se va a descomponer.
Esto obviamente significa mucho riesgo y muchos problemas, porque la encripción es utilizada en procedimientos de seguridad y protocolos de seguridad en muchos ámbitos. Y, con lo que he visto que la computación cuántica, absolutamente necesitamos prepararnos y creo que muchas compañías ya están comenzando en invertir en investigación y desarrollo para prepararse.
-Parece que actualmente no existe riesgo de que hackers utilicen la computación cuántica para hackear, pero recientemente IBM abrió sus capacidades y plataformas de su computadora cuántica. ¿Eso supone un riesgo?
-Sí. Mira, es lo mismo con todo lo nuevo que sale. Al inicio, las tecnologías son difíciles y caras de obtener, pero eventualmente las cosas se vuelven común y nadie puede negar que los hackers utilizarán y aprovecharán la capacidad de la computación cuántica de las empresas.
Ya hemos visto tácticas similares con los supercomputadores, que no son exactamente computadoras cuánticas, sino un montón de núcleos de procesadores. Los hackers han vulnerado estos establecimientos y han aprovechado el poder de procesamiento de estas instituciones y compañías. Lo mismo podría pasar con la computación cuántica.
-En otro tema más tangible, con el surgimiento de Smart Cities y tecnología del Internet of Things (IoT), hay muchos objetos conectados pero muy poca seguridad. ¿Cuán vulnerable están los ciudadanos actualmente y por qué sería atractivo hackear cosas?
-Un buen ejemplo de IoT y qué significa para los hackers e individuos fue el ciberataque DYN de octubre 2016, en el que usaron millones de dispositivos IoT para lanzar ataque de denegación de servicios. Lo interesante es que los hackers ni siquiera tuvieron que hackearon los dispositivos, sino que tuvieron acceso a través de nombres de usuario y contraseñas predeterminadas. Este es el gran problema con IoT: las personas sacan el dispositivo de la caja y lo conectan, sin cambiar la contraseña.
Y lo realmente aterrador es que a finales de este año existirán 25 mil millones de dispositivos IoT y constantemente estamos fabricando más. Heladeras inteligentes, TVs inteligentes, bombillas inteligentes… Básicamente estamos incrementando la superficie de ataque para los hackers.
Hace 10 años, yo tenía una sola dirección IP en la casa. Ahora tengo 15. Ahora que tengo un hijo recién nacido, me compré un dispositivo conectado al internet para monitorearlo desde mi teléfono. Es práctico, pero hay muchos riesgos asociados. Entonces, hice mi tarea de investigar y me conseguí un dispositivo con seguridad incluida, pero no todos están haciendo esto.
Otro ejemplo: pude hackear al network de una empresa a través de una máquina dispensadora. Muchas veces el propósito no es acceder a las máquinas dispensadoras o a las impresoras, sino que los dispositivos IoT son la puerta de entrada a áreas más sensibles del network.
-Desde afuera, parece que los hackers siempre están un paso adelante de las empresas. ¿Hay alguna forma de prevenir esto?
-No hay una solución o respuesta fácil a este problema. Todo empieza con las grandes compañías fijando una tendencia, desarrollando y creando cosas que no son sólo tecnológicas, sino que tengan funciones de seguridad incorporadas.
Este es uno de los principales problemas. Lo más importante para estas compañías es que todo sea fast market. y esta mentalidad, de sacar un producto al mercado y resolver un problema una vez descubierta, nos va a traer un gran problema. Necesitamos cambiar la filosofía de cómo los productos son lanzados y los gobiernos necesitan intervenir y pasar legislaciones para que los productos lleguen a un cierto estándar antes de que sean lanzados.
El último paso, que probablemente sea el más difícil, es rediseñar el protocolo de internet. Es una gran tarea y necesitamos que las grandes compañías se involucren. Google ya está comenzando a recrear ciertos protocolos y tipos de paquetes de red, pero todos deben participar en este cambio.
-Lo cual es muy difícil.
-Sí. Pero las compañías de motocicleta ya lo han hecho. Antes, una compañía habría construido una moto con una potencia de 800, luego otra traería al mercado con 850, 900 y 950. No paraban nunca y las personas se mataban porque las motos eran demasiado rápidas. Entonces, todos se sentaron para conversar y acordaron en un tope de potencia que una moto puede tener.
Entonces, por un lado, la competencia paró y, por el otro, se garantizó más seguridad para todos. Creo que entre las compañías de tecnología necesitamos un acuerdo de este tipo. Necesitamos pausar un poco, estamos avanzando muy rápido.
-¿Cuáles son las otras grandes amenazas a la ciberseguridad?
-Estoy poniendo mucha atención en el espacio médico. Hay mucha innovación en términos tecnolo?icos, pero los hackers se están aprovechando de esto. Por ejemplo, ahora los marcapasos cardíacos son dispositivos IoT y alguien ya pudo hackearlo. Esto significa que puedes colocar un ransomware, amenazar a apagar el dispositivo si no pagan una tasa en bitcoins.
Además, se están creando sistemas de fármacos en el que los doctores pueden administrar remotamente los medicamentos a sus pacientes, desde cualquier lugar del hospital. Estos sistemas ya han sido hackeados. Ahora, puedes matar a alguien de forma remota por sobredosis.
Además, inteligencia artificial va a ser algo tremendo en términos de hackeo. Es un arma de doble filo: se puede usar para algo bueno, como resolver los problemas, pero también para causar daño, algo que ya estamos viendo mucho actualmente. Con inteligencia artificial y campañas de ingeniería social, ellos van a agarrar toda tu información personal, de las redes sociales y de tu compañía para crear un email diseñado exclusivamente para ti.
-¿La inteligencia artificial puede ser utilizada para prevenir?
-Claro. Podemos utilizar inteligencia artificial como un mecanismo de defensa como una tecnología autorreparadora. Puede identificar una amenaza, ponerlo en cuarentena y resolver el problema. Pero no es suficiente y tampoco hemos alcanzado la total capacidad de la IA, que todavía está en una etapa muy inicial.
CÓMO HACKEAR EN 2019
-Desde tu ataque D-Dos en febrero de 2000, ¿las compañías están más preparadas contra un ataque de un hacker de 15 años?
-Sí y no. Hay más tecnología de seguridad disponibles, pero uno, ¿están las compañías utilizándolas? y dos, hay una superficie de ataque mucho mayor y muchos más recursos para los hackers.
Cuando yo estaba hackeando todo era muy privado. Tenías que buscar los recursos, la comunidad y diseñar los exploits todo solo. Pero ahora puedes googlear y bajarte Kali LInux, que es un sistema operativo gratuito para hackear con miles de herramientas de hackeo y exploits listos.
-¿Las compañías están protegiéndose?
-Están intentando, pero muchas compañías no entienden cómo un hacker trabaja. Por ejemplo, se compran la idea de que con un firewall están seguro. Pero eso no ha sido cierto desde hace muchos años.
Necesitas mirar a la seguridad como una pila. Empiezas desde el nivel del dispositivo y subes hacia el último nivel, como las soluciones en cloud. Es toda una pila que necesitas crear, pero muchas compañías se quedan en el primer nivel y piensan que están bien con eso, que no es el caso.
-Muchas compañías están trasladando sus datos desde sus bases de datos privados a la nube y las compañías proveedoras de la nube dicen que es más seguro. ¿Es así?
-En primer lugar, depende en qué país estás, porque todos los países tienen diferentes requerimientos para ser un proveedor cloud. Luego, también depende del tamaño de tu compañía, porque los proveedores están invirtiendo más en seguridad de lo que probablemente estarás haciendo, por lo que generalmente es más seguro estar en la nube.
Pero el problema es que hackear el cloud es muy atractivo porque toda la información está ahí. Entonces, es como poner todos tus huevos en un canasto. Además, tienes que darte cuenta que tu eres el creador del contenido y luego lo envías a la nube. Entonces, tu computador será siempre el portal de entrada, por lo que el riesgo siempre está.
-¿Cómo es el tema de la regulación de la seguridad en América Latina en comparación a otros países?
-Basado en lo que me han dicho y he visto, ustedes no tienen ciertas políticas y regulaciones que garantizan cierto estándar. Por ejemplo, mira a la Unión Europea y cómo han pasado el GDPR. El GDPR son políticas muy estrictas y se les rinde cuenta a todas las compañías, hasta a los proveedores de cloud. Si son vulnerados o si incumplen alguna norma del GDPR, están sujetos a una multa del 4% de los ingresos anuales globales de la empresa o hasta 20 millones de euros. Ustedes no tienen este tipo de política por lo que no hay mucho incentivo para no ser hackeado.
Latinoamérica está en una posición interesante, en el que hay una aceleración del crecimiento tecnológico muy rápido. Pero necesitan pasar estas legislaciones y no cometer las mismas equivocaciones que los otros países han hecho. Deberían prepararse desde el nivel fundacional e ir por el camino correcto.
-¿América Latina es atractiva para ser hackeada?
-Absolutamente. Tienen mucha transformación digital, pero no tienen estas políticas que obligan a las empresas a invertir en seguridad. Entonces, es como el paraíso de los hackers.
-¿Qué pueden aprender las compañías de tu ataque D-Dos del 2000?
-Lo que pueden aprender es que si yo fui un niño de 15 años que fue capaz de hacer eso en el año 2000, no quieres saber qué puede hacer un niño de 15 años en 2019. Es aterrador y deberían estar muy preocupados conversando con sus CFOs, CISOs y directores de TI, y trayendo un plan estratégico y dándose cuenta que la seguridad es lo más importante. Las ramificaciones de un hackeo hoy son muy graves.
-Hay alguna manera que las compañías y gobiernos puedan prevenir el surgimiento de los hackers?
-Puedes prevenir a la persona, pero tu probabilidad de ser un objetivo del hacker va a disminuir si inviertes en seguridad. Hoy, ser un hacker es un negocio y todo se basa en el retorno a la inversión. Si se tardan mucho para hackearte, van a seguir adelante y hackear a otro objetivo. No van a invertir en un día, una semana o un mes en tí, a no ser que fueron pagados para hackearte exclusivamente, que no hay mucho que hacer en esta situación.
Lo último es muy raro. La mayor parte del tiempo, los hackers están escaneando direcciones de IP de forma masiva y viendo dónde pueden entrar rápidamente. No quieres ser el low hanging fruit.
- Palabra Clave
- Seguridad
Comentarios