Maldito gusano
Pueden ser la peor pesadilla para usuarios y organizaciones. Detrás de programas aparentemente anodinos, se esconden virus capaces de infectar la computadora, robar información mediante suplantación de identidad (phishing) o crear una red autómata (botnet) con fines delictivos. Con el uso de las redes sociales y los teléfonos móviles, sus técnicas de propagación resultan cada vez más sofisticadas e involucran un enorme desafío para los especialistas en seguridad.
Todo comienza cuando recibimos un correo electrónico, en apariencia, inocente. Creemos que un amigo nos recomienda un sitio con vehemencia para ganarnos un premio, confiamos en su contenido y lo abrimos. En ese momento, nuestra computadora ejecuta un código muy poderoso, capaz de infectar el sistema operativo, robar información o instalar un programa para espiarnos, sin darnos tiempo para detectar el engaño.
Los virus informáticos son ni más ni menos que programas maliciosos (conocidos como malware en el lenguaje de la computación) que infectan a otros archivos del sistema con la intención de dañarlos. De este modo, incrustan su código malicioso en el interior del archivo “víctima”, normalmente un ejecutable, que pasa a ser portador de una nueva fuente de infección. Tomando la metáfora de los virus biológicos, los antibióticos ante este tipo de infecciones serían los programas antivirus, productos cada vez más comercializados por las empresas de seguridad informática.
Más allá de estas conocidas alimañas de la computación, existen otras amenazas como los gusanos (que a diferencia del programa malicioso no requiere de un archivo anfitrión) o troyanos (que simulan ser una aplicación inofensiva pero realizan tareas maliciosas sin el consentimiento del usuario). Ambos constituyen formas clásicas de virus dentro del campo informático.
Sin embargo, con más de 3000 millones de usuarios de Internet en todo el mundo, los virus pasaron de ser una forma de llamar la atención a una modalidad cada vez más común de estafa y hurto. Esta situación condujo a la diversificación de otros tipos de amenazas como el adware (para la descarga y/o visualización de publicidad no solicitada), spyware (software espía que roba datos), bots, que permiten a un atacante controlar un conjunto de equipos de forma remota (botnet) o ransomware, un tipo de malware que cifra la información y solicita un pago como rescate de los archivos.
Ante el incremento en la cantidad de servicios de Internet, como el correo electrónico, redes sociales, juegos o la banca en línea, los usuarios almacenan, procesan y transmiten cada vez más información a través de sus computadoras o dispositivos inteligentes, lo que ha significado un objetivo concreto para los ciberdelincuentes, que buscan beneficiarse de algún modo, principalmente económico. Al mismo tiempo, esta vulnerabilidad puede incrementarse si se utiliza un router de conexión inalámbrica sin contraseña, convirtiéndose en presa de cualquier tipo de fraudes.
Amenazas a la computación móvil
En los últimos veinte años el crecimiento de los virus ha sido exponencial. Un estudio de Kaspersky Lab reveló que en 1994, cuando las computadoras caseras se fueron expandiendo, se producía un nuevo virus por hora. En 2006, se creaba un virus por minuto y en 2012 uno nuevo por segundo. Actualmente, aparecen tres virus por segundo, según datos difundidos por esa compañía en la 4° Cumbre Latinoamericana de Analistas de Seguridad.
El estudio de Kaspersky Lab también detalló que el virus troyano Chepro fue el responsable del 42% de los ataques en Argentina durante 2014. En tanto que los dispositivos USB resultaron una fuente considerable de infección en nuestro país, con un incremento del 33%. Por último, señaló que Internet sigue siendo el principal camino de infección para los dispositivos y que en el mercado móvil nacional un 98% de los ataques fue contra el sistema operativo Android.
Por su parte, ESET Latinoamérica advierte que cada día se generan alrededor de 200 mil muestras de programas maliciosos, incluyendo no sólo los programas más comunes sino aquellos que actúan a través de Internet, redes sociales y celulares.
“Ahora encontramos códigos maliciosos en sistemas operativos móviles, principalmente Android. Una cantidad importante de las campañas de propagación de virus utiliza ingeniería social para cumplir sus objetivos. Se trata de un conjunto de técnicas y métodos para engañar a los usuarios de manera que realicen algún acto que los ponga en riesgo”, señala Miguel Ángel Mendoza, especialista en seguridad de ESET Latinoamérica.
Estos programas maliciosos simulan ser aplicaciones aparentemente inofensivas, motivo que lleva a las potenciales víctimas a ejecutarlas en sus equipos y, en algunos casos, robarles información sensible mediante phishing o suplantación de identidad.
“Conocer estas amenazas y estar conscientes de los riesgos es básico para evitar ser víctimas del malware y recordar que en el ámbito de la informática, si algo suena demasiado bueno para ser cierto, es muy probable que sea malicioso”, puntualiza Mendoza. Y agrega que “contar con una solución antivirus, tanto en la computadora como en el smartphone, es la principal recomendación técnica para los usuarios. El principal propósito es evitar una infección a través del uso de herramientas de seguridad y la aplicación de buenas prácticas, como métodos proactivos”.
El dinero no es todo
Los especialistas coinciden en que originalmente los virus empezaron como un juego informático, que infectaba a las computadoras personales o grandes redes para atraer la atención de los medios de comunicación. En muchos casos, se trataba de fenómenos individuales y aislados, jóvenes programadores que buscaban promocionarse “hackeando”, por ejemplo, el sistema de defensa de Estados Unidos.
Pero señalan que poco a poco fueron evolucionando hasta constituirse en grupos organizados con mayores recursos y conocimiento disponible y con objetivos que van más allá de lo comercial e incluyen desde el espionaje industrial o gubernamental hasta el robo de información confidencial o intrusión en las operaciones de una compañía.
“En este momento observamos un claro pasaje de la infancia de los virus, de tipo dañinos, a virus más pragmáticos, con organizaciones destinadas a robar información o dejar fuera de combate a una compañía. Son ataques directos a empresas con formas de ‘denial of service’, para que su página web no funcione, donde muchas veces no hay ningún tipo de prevención”, explica Hugo Scolnik, investigador y consultor en seguridad informática.
La peligrosidad y complejidad en el funcionamiento de estos programas, conlleva también a que haya diversas variantes de software malicioso. “Los virus más riesgosos son los polimórficos porque mutan la mayor parte de su código, se disfrazan de diferentes maneras, cambiando de nombre y de forma y son los más difíciles de detectar. Incluso existen virus encapsulados, donde se oculta al virus detrás de un código y los antivirus no lo encuentran fácilmente”, comenta Scolnik, quien también es profesor consulto de Exactas-UBA.
“Una categoría de virus muy molesta es la de los gusanos lógicos, programas que se reproducen accediendo a las bases de contactos de redes sociales, buscan atacar a usuarios específicos y con ese mecanismo se propagan”, relata Juan Pedro Hecht, docente y consultor en seguridad informática.
Pero también se conocen virus fabricados por servicios de inteligencia o sistemas de defensa. Entre este tipo de infecciones se encuentran las de propósitos especiales, destinadas a atacar la infraestructura industrial, como fue el Stuxnet, que mediante un dispositivo USB retrasó al sistema nuclear de Irán.
“Claramente, existe otra categoría de malware producida directamente por los gobiernos. Las sospechas fundadas implican a la Agencia de Seguridad Nacional estadounidense (NSA) y sus equivalentes en Canadá, Inglaterra y países aliados. Lo que hacen estas organizaciones es generar mecanismos de ataque muy específicos para ciberespionaje y ciberdefensa, donde un gobierno puede atacar a otro”, sostiene Hecht.
Adaptarse al dinamismo
Tanto Scolnik como Hecht son docentes de Criptografía en la Maestría en Seguridad Informática de la Universidad de Buenos Aires y referentes en la temática.
Explican que las computadoras y los celulares se ven afectados por la misma clase de virus pero que los dispositivos móviles resultan cada vez más vulnerables –por ese motivo está apareciendo un sinnúmero de software destinado a celulares con funciones de bloqueo del teléfono, localización y administración remota.
En ese contexto, recomiendan utilizar gestores de contraseñas, para un acceso y almacenamiento más seguro de la información en los equipos.
Al mismo tiempo, comentan que –de acuerdo a las estadísticas actuales– en este momento los sistemas operativos más vulnerables son los de Mac OS, seguidos por Linux y Windows.
A pesar de contar con una amplia trayectoria en el tema, ambos no dejan de sorprenderse por la cantidad de novedades que surgen cada día, lo que los obliga a estar permanentemente actualizados.
“Recientemente se difundió el ataque a la empresa Hacking Team, que proveía servicios de cibervigilancia para gobiernos de todo el mundo. Una organización del tipo Anonymous divulgó quiénes habían sido los gobiernos que compraron software de espionaje y publicó el código fuente de algunos de los programas fabricados por Hacking Team”, comenta Hecht, argumentando que le llamó la atención este acontecimiento por ser una especie de “WikiLeaks” de los virus informáticos.
“Si me hubieran consultado ayer habría dicho que los virus masivos de gusano tipo conficker eran los últimos que había en el mundo. Pero acaba de reaparecer un ataque masivo del Sobig.F, que infectó a miles de computadoras en Europa a través de Internet. Hace tiempo que no se veía algo tan masivo y esto hace que los antivirus no sean infalibles”, observa Scolnik.
Con respecto al desarrollo local de las soluciones de seguridad informática e inversión en el área, la visión de los especialistas deja un saldo pendiente.
“Las principales soluciones provienen del exterior. Tenemos grandes especialistas en seguridad de redes pero no así en temas de malware. La prueba más contundente es que aún no hay ningún antivirus potable desarrollado en Argentina”, concluye Hecht.
“Para un proyecto informático en Argentina, el presupuesto que se le asigna a la parte de seguridad es normalmente el 10% de lo que se le destina en Estados Unidos”, sostiene Scolnik. Y señala que, generalmente, la seguridad informática en la industria nacional está concebida como contratar un seguro, “sin profundizar sobre su complejidad técnica ni los riesgos o los costos que puede acarrear una organización por problemas de este estilo”.
¿Cuál es el balance entonces? La seguridad informática no es una opción sino una necesidad concreta. Para la industria, la inversión en seguridad informática significaría un cambio de cultura organizacional que involucre mayor conciencia sobre su importancia e incluiría poder contar con especialistas que –al interior de las empresas y organizaciones– dediquen su atención a un problema sumamente dinámico. Mientras que para los usuarios hogareños, la información y prevención con las herramientas adecuadas demostraría ser mejor antídoto que la cura. Sin dudas, en materia de virus informáticos, resta un largo camino por recorrer.
Qué dice la legislación nacional ante los delitos informáticos
El 4 de junio de 2008, Argentina sancionó la Ley 26.388, promulgada de hecho el 24 de junio de ese año. Esta disposición modifica el Código Penal con el fin de incorporar al mismo diversos delitos informáticos, tales como distribución y tenencia con fines de distribución de pornografía infantil, violación de correo electrónico, acceso ilegítimo a sistemas informáticos, daño informático y distribución de virus, daño informático agravado e interrupción de comunicaciones.
Cualquier intrusión indebida a una comunicación electrónica, dato o sistema informático, está tipificada en el artículo 153 del Código Penal y establece la pena de 15 días a 6 meses de prisión. La pena será de hasta 1 año de prisión cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros. Al mismo tiempo, el artículo 157 bis contempla la pena de 1 mes a 2 años por el hackeo a un banco de datos personales o la divulgación de datos personales.
Específicamente, la modificación del artículo 173 incorpora la figura de defraudación mediante manipulación informática y el artículo 183 contempla la alteración, destrucción o inutilización de datos, documentos, programas o sistemas informáticos; o la venta, distribución, circulación indebida o introducción en un sistema informático, de cualquier programa destinado a causar daños o sabotaje, con una pena similar al artículo 157. Al mismo tiempo, el artículo 184 agrava la pena, hasta 4 años, si se cometiera el delito con daño a un programa o sistema informático público o a sistemas informáticos destinados a la prestación de servicios de salud, comunicaciones, provisión o transporte de energía, medios de transporte u otro servicio público.
Los hechos más comunes de hackeo se encuadran en la categoría de delitos como defraudaciones, estafas o abusos de confianza. La Ley 26.388 establece una simetría entre los delitos informáticos y los convencionales. Por ejemplo, el daño a un sistema informático tiene la misma pena que el daño a un bien tangible. Lo mismo en otros delitos.
A fines de 2012, se creó la primera Fiscalía Especializada en Delitos Informáticos dependiente del Ministerio Público Fiscal de la Ciudad de Buenos Aires. También ya existen otros organismos que actúan ante delitos informáticos como la División Delitos Tecnológicos de la Policía Federal Argentina o la División de Delitos Telemáticos de la Policía Metropolitana de la Ciudad Autónoma de Buenos Aires.
En general, estas instituciones tienen una competencia acotada ya que no suelen realizar investigaciones profundas (a modo de las organizaciones estadounidenses) sino que suelen actuar en un aspecto pericial con el operativo ya en marcha, contando con limitaciones (técnicas y de recursos humanos) para responder a los requerimientos judiciales habituales.
El panorama se agrava teniendo en cuenta que algunas acciones se encuentran en un limbo legal. Por ejemplo, el robo de identidad a través de medios tecnológicos no está previsto como tipo penal. En muchos casos, las empresas que sufren ataques no los difunden por miedo a perder el prestigio. Al mismo tiempo, no se practican medidas informáticas disuasivas por parte de las empresas de seguridad informática o del Estado sino más bien defensivas.
Con la actividad típica de los hackers, no es sencillo determinar la comisión del delito. La dificultad radica en establecer dónde se cometió el mismo y quién es el damnificado. Ciertos delitos informáticos pueden ser llevados a cabo por personas de un país diferente al de las computadoras o redes que se utilizaron para perpetrar el delito e incluso afectan a usuarios que residen en diferentes países, por lo tanto requieren de colaboración internacional.
