Cyberguardian habla sobre Ciberpol

GUERRA AL CIBERCRIMEN

Marzo 2001
Nació con la Red y maduró con ella. Provoca pérdidas multimillonarias a las empresas y los expertos creen que "lo peor aún está por llegar"

Internet es, por ahora, un territorio sin ley. El año 2000 acabó con pérdidas multimillonarias para numerosas empresas relacionadas con las tecnologías de la información (TI), con el robo de datos estratégicos de los Estados y con la difusión de destructivos virus a través de la Red, amén de incursiones en las tarjetas de crédito y los datos privados de los grandes que en este mundo son, entre ellos el propio Bill Gates. Pero lo realmente preocupante no son estos hechos en si mismos, ni tan siquiera el que sólo se haya logrado detener al 1% de los ciberdelincuentes, sino el que los propios expertos reconozcan que lo peor "aún está por llegar".
Con 500 millones de internautas en todo el mundo, el año pasado fue el de la explosión de la Red. Este ha traído consigo cosas tan positivas como el auge del comercio electrónico, el acercamiento de los gobiernos a sus ciudadanos y, para éstos, posibilidades de mejora personal insospechadas, como puede ser el acceso a una amplísima variedad de información, hasta hace poco vedada a la mayor parte de los mortales.
Desgraciadamente, también los delitos que, directa o indirectamente, necesitan la tecnología para su comisión, han crecido de forma excepcional.
Las cifras, aunque marean, no engañan. Si en 1999 las empresas de todo el mundo perdieron unos 250.000 millones de pesetas por los ataques de hackers, para 2000, la firma Omni Consulting eleva esta cifra hasta casi un billón... sólo en Europa. La encuesta, realizada entre 3000 compañías de todo el continente, muestra que más del 5% de sus ingresos se evaporan en la Red. Aún más escalofriantes son las noticias que llegan desde el otro lado del Atlántico.
Un reciente informe de la agencia Meridien Research reveló que, durante el año pasado, el fraude en las tarjetas de crédito ascendió a 300.000 millones de pesetas. Peor todavía, sus estimaciones hablan de que, para 2005, habrá que multiplicar por 10 esta cifra. Y eso que el robo del número de las tarjetas tan sólo representa una pequeña parte del problema.

Un caso típico del proceder de estos nuevos delincuentes tuvo lugar hace unos meses en California. El modus opernadi de los hackers cosistía en acceder a las bases de datos de comercios online para apropiarse de los datos de sus clientes. Posteriormente, cargaban en las cuentas pagos por el acceso a una web de contenido pornográfico que, a tal efecto, ellos mismos habían puesto en marcha. Por lo que se ve, los ladrones confiaban, dada la naturaleza del servicio, en la discreción de los falsos clientes, ya que casi nadie se atreve a admitir públicamente que accede a un sitio web de contenido pornográfico.
Si bien es cierto que, a diferencia de Estados Unidos, en España el pago vía Internet está aún en pañales, la preocupación es creciente. Prueba de ello es la campaña publicitaria lanzada recientemente por American Express. Esta compañía acaba de presentar una nueva tarjeta con garantías antifraude. De esta manera, si el poseedor de una de ellas cree que un tercero la ha utilizado ilegalmente, sólo será necesario que lo comunique a la compañía y ella se encargue de buscar al usurpador.

De todas formas, si las empresas quieren que el comercio electrónico despegue de una vez en España, son ellas y no sus clientes las que deben mejorar la protección de sus servicios. Según datos de Cyberguardian, empresa especializada en ofrecer sistemas de seguridad a negocios y organismos que saltan a la Red, sólo el 5% de lo presupuestado por las compañías comerciales va destinado a diseñar un proyecto a prueba de los hackers.
Para su consejero delegado, José Ramón López, es una cifra insuficiente. "Es imposible la seguridad al 100% pero sí al 50%", afirma. Ante todo, se necesitan mecanismos de barrera (firewalls o cortafuegos) que impidan la entrada. Si, a pesar de todo, ésta tiene lugar, sólo una reacción rápida puede minimizar el daño. Esto se consigue, por ejemplo, con la existencia de servidores secundarios para reponer la información perdida.
En Cyberguardian han detectado que el número de los ataques a empresas se ha multiplicado por dos en lo que va de año. "Hasta 1999 los ciberdelincuentes eran expertos en informática, hoy en día cualquiera puede serlo", continúa este directivo. No en vano en la Red hay más de 100.000 páginas web dedicadas al hacktivismo, que cuenta con 30.000 seguidores. Está claro que el mayor número de internautas está provocando una democratización del fenómeno hacker.
Los hechos parecen darle la razón a López. Frente a figuras míticas del pasado reciente, como Kevin Mitnick, que poseían amplios conocimientos en materia de seguridad, hoy en día lo que predomina son los aficionados. Un jovencito canadiense de sólo 15 años, apodado Mafiaboy, es un buen ejemplo. Una de sus gamberradas provocó en febrero de 2000 una de las mayores catástrofes que, junto al virus I love you, se recuerdan en la corta historia de la Red. Mediante la técnica conocida como denegación de servicio (DoS) bloqueó los servidores de empresas de la talla de Ebay, Amazon, la cadena de Televisión CNN o la propia Microsoft. Tras varias horas de pánico y unos centenares de millones de pesetas perdidos, todo volvió a la calma. Mafiaboy, detenido tras meses de arduas investigaciones, fue llevado ante el juez, en enero pasado, por saltarse una de sus condiciones de la libertad condicional... la de asistir todos los días a clase.
Por otro lado, la creciente sofisticación de estas armas tecnológicas permite que cualquiera pueda ser, sin saberlo, un hacker. Cuando alguien se conecta a Internet, convierte su ordenador en puente para un posible ataque masivo. Hay programas como Nessus o Satan que rastrean la Red en busca de computadoras indefensas, con puertos abiertos. De esta manera, el intruso se adueña de la máquina y la utiliza para sus fines, ya se trate de un ladrón de datos, de un espía o de un simple bromista. En vista de esta situación, el miedo y el desconcierto se instalan entre los internautas y, sobre todo, entre los potenciales usuarios de los servicios de comercio electrónico.

Según el abogado Carlos Sánchez Almeida, especializado en ciberdelitos y derechos en Internet, una de las causas, ignorada hasta ahora por los economistas, de la reciente crisis de las punto.com ha sido la pérdida de confianza en su seguridad. Para este colaborador de la revista Kriptópolis, una de las referencias obligadas en esta materia, "pese a quien pese, Internet es, por definición, un medio inseguro". Las empresas y los gobiernos d eben invertir más dinero para defenderse y garantizar su seguridad, pero sin hacerse ilusiones. "Los hackers siempre irán por delante", añade Sánchez. Igual que en la vida no virtual, el delincuente siempre va por delante de la Ley.
Para este abogado, la situación es explosiva a medio plazo, porque "Internet es un coto privado de los informáticos, sus conocimientos parecen esotéricos a ojos de los demás, los ejecutivos de las empresas y los altos funcionarios del Estado están en sus manos" y, por el momento, no parece que esta premisa vaya a cambiar. Sin embargo, esto no quiere decir que todo joven con conocimientos de programación sea, en potencia un hacker. Sánchez Almeida afirma que "la imagen tradicional sobre estos técnicos es falsa". Su afición por burlar la seguridad de los sistemas de comunicación no basta para considerarles delincuentes, es necesario comprobar sus intenciones. Para los defensores de este movimiento, no es lo mismo alterar el aspecto visual de una web que el espionaje industrial. De hecho, en sitios como Ciberpol hay ejemplos de hackers buenos, también conocidos como hackers blancos, especializados en buscar, bloquear y denunciar páginas relacionadas con la pornografía infantil o el terrorismo. También los hay que se introducen en las páginas de las grandes corporaciones y de las entidades financieras para dejar el típico mensaje de "he estado aquí", a fin de demostrar la falta de seguridad de alguno de estos sitios. Una broma no siempre apreciada.

Buena parte de las denuncias recibidas por las unidades centrales de delitos tecnológicos, tanto de la Policía como de la Guardia Civil provienen de ciberdelincuentes que han violado la ley.
Además de las medidas de autoprotección de las empresas y de la intencionalidad de los hackers, hay un tercer aspecto que se debe tener en cuenta, como es la legislación contra el cibercrimen. Aunque es propio del Derecho ir por detrás de los cambios sociales, en lo que se refiere a Internet el retraso tiene tintes preocupantes, cuando no simplemente alarmantes. El concepto del tiempo y de la distancia, en la era del ciberespacio, ha cambiado radicalmente y los legisladores no parece que se hayan percatado aún de ello. Esto es lo que se deduce de un demoledor informe publicado en diciembre. El estudio, realizado por la asesoría McConnell International, analiza las leyes de 55 países y sus esfuerzos para adaptarlas a los nuevos tiempos. Destaca, en primer lugar, que sólo 10 estados cuentan con normas para combatir, si no todos, sí alguno de los delitos más habituales. A la cabeza de las reformas figura Estados Unidos pero también países como Turquía, donde parece primar el control de la información sobre la seguridad. En este apartado, España se encuentra en el grupo de gobiernos que han iniciado el proceso de reformas. Entre sus conclusiones sobresalen0 la necesidad de aplicar las leyes existentes y, ante la universalidad de la Red, la coordinación entre el mayor número posible de naciones. Siguiendo esta indicación, el Consejo de Europa está elaborando una Convención sobre el delito cibernético. Su aprobación definitiva se prevé para este verano.
El informe concluye con una seria advertencia, aquellos países que no se doten de nuevas leyes, "se volverán cada vez más incapaces en la nueva economía". Se trataría de una nueva división entre un primer y un tercer mundo tecnológico.