Usted no los ve pero están ahí. Miles de programas trabajan a su alrededor cada día para hacerle la vida más fácil o para encontrar un punto débil en su seguridad. Así es la batalla diaria con los algoritmos.
Están ahí cuando usted se levanta y enciende el teléfono móvil, y estaban ahí mientras dormía, trabajando silenciosamente en la oscuridad. Son decenas de programas con instrucciones para rastrear datos, almacenar información y tomar decisiones por los humanos, con buenas o malas intenciones. Su actividad es tan frenética que un estudio reciente estimaba que hasta el 61% del tráfico en internet corresponde a estos agentes no humanos. «Las personas somos una parte muy pequeña de lo que ocurre cada día, la mayor parte del tráfico hoy en día son tareas automatizadas», asegura David Barroso, experto en seguridad informática.»En el momento en que enciendes el ordenador» añade, «muchos de los servicios que usas en internet tienen esos programas que hacen el trabajo para ti».
“Los algoritmos han empezado a moldear nuestra realidad”, sostiene Slavin.
Se les llama «bots», por acortamiento de “robots”, y una buena parte de ellos sirven para mejorar nuestras vidas. El espectro ’bondadoso’ del fenómeno abarca desde las arañas de Google, que captan la información de las búsquedas y las cruzan con su inmensa base de datos, a decenas de programas que rastrean Twitter y Facebook para informar a las empresas de cuál es el comportamiento de las redes sociales. Otros programas traducen entradas de Wikipedia o corrigen los errores, comparan los precios de billetes de avión y miles de pequeños robots toman decisiones sobre la compra y venta de acciones en los mercados a escala global. Como dice el especialista Kevin Slavin, es como si las matemáticas que los ordenadores utilizan para decidir cosas hubieran empezado a moldear nuestra realidad. Y a menudo estos bots compiten entre sí.
Javier es un aficionado a los libros antiguos y hace unos meses comenzó a buscar ejemplares a través del portal de compraventa eBay. «Me di cuenta de que los mejores libros me los quitaban en el último segundo», asegura. «Entonces, mirando el historial observé que había como 20 pujas en los últimos tres segundos de diferentes personas». Pero, ¿se trataba realmente de personas? Como otros usuarios, Javier empezó a buscar información y descubrió lo que estaba pasando. Ahora él también utiliza uno de estas herramientas llamadas ’snipers’, que son bots que pujan por ti de manera automática antes del límite de la subasta, hasta la cantidad que les indiques. «Es muy frecuente que varios bots pujen entre ellos», relata Javier, «y que un libro pase de valer 10 euros durante varios días a subir hasta 500 euros en los últimos segundos. Cuando miras las pujas ves que hay seis bots pujando entre ellos y que el que más dinero le puso como límite ha ganado la subasta».
La posibilidad de automatizar tareas es también una ventana abierta para aquellos que quieren cometer algún tipo de fraude. Igual que existen bots para pujar por un libro, otros cientos de programas actúan masivamente cuando se ponen a la venta las entradas de un concierto y tratan de hacerse con las mejores localidades para luego revenderlas. Otros bots están programados para pinchar en los banners de publicidad, o para votar por aplicaciones para que aparezcan entre los más valorados, hacerse pasar por jugadores de póker o sustituir al usuario en una partida de World of Warcraft.
En esta «batalla» entre robots y humanos, la principal defensa es conseguir diferenciar entre unos y otros, aplicando una especie de test de Turing. «Nosotros los humanos cuando visitamos una web tenemos nuestros tiempos, pinchamos, se cargan las imágenes, nos aseguramos… En cambio, cuando se trata de scripts el comportamiento es muy diferente», asegura Barroso. «Pero esto es como la carrera del gato y el ratón, los que diseñan estas herramientas las mejoran para intentar que su comportamiento se parezca cada vez más al humano. «Es una guerra constante», asegura Jorge, especialista en seguridad informática que trabaja para una empresa de software. «El día a día de cualquier empresa es una lucha contra decenas de bots que entran en busca de vulnerabilidades para sacarte datos, inyectar código, comprometer equipos y routers». Jorge fue uno de los pioneros en el diseño de bots a finales de los años 90, cuando automatizó las búsquedas de un servicio del comparador de precios Kelkoo y todo era mucho más «manual». «Ha habido un cambio brutal», explica a Next. «Ahora hacer un bot es mucho más sencillo». Y hay un ejército de personas tratando de aprovechar estas ventajas para ganar dinero.
Una red para hacer el mal
La parte más problemática del asunto es la de los bots capaces de infectar a servidores y equipos y crear una red de ordenadores cautivos, las llamadas «botnets». Las posibilidades para hacer el mal con estas herramientas son infinitas. Basta introducir un malware en el equipo de la persona y pasa a formar parte de una red zombi que se utiliza para realizar ataques de denegación de servicio (DDoS), mover dinero negro, hacer envíos masivos de spam o cometer otros delitos. Aparte del riesgo de que nos roben las cuentas bancarias y otros datos privados, una modalidad muy reciente es la de los ’cryptolockers’. El malware entra en tu disco duro, coge todos los archivos que encuentra, los cifra con una contraseña y luego pide un rescate. “Y están utilizando ordenadores de gente que ni siquiera saben que están comprometidos”, indica Barroso.
“Estos bots roban información privada ya sea de un ordenador, un móvil o una sandwichera”
La diferencia entre los bots legales como los que utilizan Google o Amazon y estas redes de bots ilegales es que, aunque ambos tienen como objetivo obtener información para explotarla, “los primeros recopilan información pública y los segundos roban información privada de la gente ya sea de un ordenador, un móvil o una sandwichera”, asegura Juan Antonio Calles, experto en ciberseguridad de Zink Security. Para comprender las dimensiones del fenómeno, basta citar las cifras de las tres mayores redes de bots desmanteladas hasta la fecha: Bredolab (con 30 millones de equipos infectados), Mariposa (12,7 millones) y Conficker (10,5 millones). La operación Mariposa se llevó a cabo en España en 2010 y terminó con la detención de tres chicos del DDP Team (Días de Pesadilla Team) que, según el informe de la Guardia Civil, «no cumplían con el estereotipo de genios de la programación». “Compraron un troyano en el mercado negro que se vendía a un precio de entre 500€ y 1000€ y lo que hicieron fue empezar a infectar a la gente”, explicas Calles. “El malware se extendió de uno a otro y se les fue de las manos hasta llegar a 190 países y 12 millones de máquinas infectadas. Habían infectado a más de la mitad de las 1.000 empresas más grandes del mundo y a 40 grandes instituciones financieras. No hay datos confirmados pero algunos expertos estiman que obtenían unos 100.000 dólares al día de beneficio”. ¿Cómo ganaban este dinero? Vendiendo la valiosa información de los usuarios, como claves bancarias, acceso directo a cuentas de gente, alquilando la red de bots y mediante fraude publicitario, redireccionando los ordenadores infectados a anuncios de publicidad monetizados con Google Adsense.
Robots contra depredadores sexuales
El equipo de Zink Security trabaja apagando los fuegos que causan las botnets y ayudando a empresas a prevenir este tipo de ataques entre otros. Hace unos años desarrollaron Flu project, un modelo de troyano para ayudar a estudiantes e investigadores a entender mejor cómo funciona uno de estos bots que introducen malware en los equipos. “Aquí vemos todos los ordenadores que están siendo controlados por el bot”, nos explica mientras abre el programa. “Aquí se ve la dirección IP y aquí nos dice qué instrucciones le hemos solicitado a ese ordenador que realice”. Una vez infectado el equipo, el dueño del malware puede tomar el control, bajarse archivos de la máquina, hacer capturas de pantalla de manera remota, usarla para mandar correo de forma masiva… Y todo mientras el usuario no se entera de nada.
Un bot puede tomar el control de un equipo de manera remota.
Juan Antonio trabaja en sistemas de seguridad contra este tipo de ataques e incluso tienen diseñado un bot que aprovecha estas posibilidades para cazar a depredadores sexuales. «La idea es crear botnets con bots para combatir el crimen utilizando técnicas parecidas a las que usan los criminales», explica a Next. En el año 2009, la Asociación Anti-Depredadores, que colabora con las autoridades colombianas se puso en contacto con ellos para pedir esta herramienta en busca de una persona que estaba acosando a una chica de 13 años y había conseguido vídeos sexuales de ella haciéndose pasar por una amiga. «En Colombia había una ley que lo avalaba, así que les ofrecimos el desarrollo de un bot para introducirlo directamente en los sistemas informáticos del agresor», explica Calles. Y gracias al sistema localizaron al agresor a muchos kilómetros de la víctima, en Miami.
La operación la llevó a cabo la policía colombiana que, haciéndose pasar por la chica, pasó un archivo de malware al agresor. «En este caso era un ejecutable para Windows, un archivo que ocupaba 48K, muy poquito, y que se puede enviar de muchas maneras, camuflado en una fotografía, en un pdf, en un vídeo…», explica Calles. «Una vez instalado toman el control de la máquina, pueden acceder a todo. Lo más interesante es que estos software de interceptación cuentan con módulos de tipo ‘keylogger’, sistemas que capturan las teclas y las pulsaciones de ratón, lo que les permitió acceder a sus cuentas de correo. Y vieron que el hombre tenía la manía de mandarse a sí mismo correos con todas sus identidades digitales falsas. Descubrieron decenas de identidades de niñas a las que estaba extorsionando porque era un agresor bastante activo. Además le activaron la webcam y lograron grabarle y revelar su identidad. Creo que aún está en busca y captura».
Ataques masivos a la carta
Uno de los mayores problemas de las redes de bots es el uso de estos millones de máquinas comprometidas para tumbar webs y servidores a la carta y por un módico precio. En un informe de 2013, el CNI advertía del creciente número de ataques de Denegación de Servicio Distribuida (DDoS) a nivel global (ver PDF). Básicamente consisten en utilizar las redes de ordenadores zombis para entrar de forma masiva en determinados sitios y tumbarlos. “Se hacen muchas extorsiones, se amenaza a pymes y se les dice: o me pagas 500 euros o te dejo fuera de internet durante dos días”, explica David Barroso. “Las pequeñas empresas generalmente pagan para que no te dejen fuera de internet”. Incluso se ofrecen ataques a tus competidores a la carta en foros públicos. «Podemos tirar el sitio por días, semanas o meses», anuncia con alegría Gwapo, el propietario de una de las mayores redes de bots que se dedica a estos ataques a través de un actor en Youtube.
“Las tarifas para tirar la web de tu competencia son muchas veces ridículas”, explica Calles. “Hay estudios por ahí que hablan de 100 dólares al día. También hay bots para robar información de redes sociales. Hoy día, por ejemplo, obtener las claves de una cuenta de Facebook cuesta unos 90 dólares, aunque sube el precio si es de alguien famoso”. ¿Y para qué quiere alguien robar una cuenta de Facebook? Pues para vengarse de alguien, robar fotografías o intentar ganar dinero.
“Obtener las claves de una cuenta de Facebook cuesta unos 90 dólares”
“Cualquier creador de malware lo que quiere es dinero, así de sencillo”, asegura Fernando de la Cuadra, experto en seguridad informática que trabaja para ESET España. Casi todas estas transacciones y operaciones oscuras se producen en la internet profunda (“deep web”), donde el rastro es difícil de seguir y a menudo con bitcoins. “Imagina que puedes infectar una lavadora y avisar al usuario: o me pagas 200 euros o te has quedado sin lavadora. Esto pasará con el internet de las cosas”. Uno de los grupos más conocidos que se dedican a ofrecer sus servicios para ataques DDoS es la autodenominada “Lizard squad”, que las pasadas navidades tumbó las redes de las consolas Xbox y Playstation. Para sus ataques se cree que están utilizando una vulnerabilidad muy extendida entre los routers de los usuarios, que vienen programadas con contraseñas por defecto como admin/admin o 123456. Esto implica que en los ataques pueden participar todo tipo de aparatos, incluidos los electrodomésticos que tengamos conectados a internet.
“Esto va a seguir a peor porque cada vez tenemos más dispositivos conectados”, explica Barroso, “y con esta burbuja del internet de las cosas va a haber más cosas conectadas y un montón de bots que van a intentar abusar de ellas”. Para mostrar la vulnerabilidad de este tipo de equipos, un usuario estadounidense ha publicado la web Shodan (shodanhq.com) que rastrea los aparatos conectados y susceptibles de ser controlados a distancia. “Es lo mismo que hace Google pero con los puertos abiertos en internet, con cada IP”, explica Barroso. Entramos en la web, hacemos una búsqueda y en pocos segundos tenemos acceso a dos webcams de dos lugares del mundo (un paisaje nevado en Japón y lo que parece una gasolinera en EEUU), viendo la señal en directo porque están sin proteger.
Las contraseñas por defecto hacen vulnerables millones de dispositivos.
La vulnerabilidad es tal, que un usuario ruso subió hace unas semanas una web en la que podían verse imágenes de cámaras en todo el mundo, tanto de tiendas o lugares públicos como en el interior de algunas casas. “Las tenía ordenadas por países y ciudades”, explica Barroso. “Entrabas en Madrid y veías una tienda, una casa, un dormitorio… No solo veías todo, en algunas hasta podías manejar la cámara”. “El tema es más serio de lo que parece”, indica Jorge, “porque a los fabricantes de estos aparatos les da igual, lo importante son los costes. A medida que haya más dispositivos en los que vayamos registrando datos sobre nuestra salud, como lo que comemos o el ejercicio que hacemos, habrá gente interesada en robar esa información y vendérsela a tu seguro médico, por ejemplo”.
Los antivirus actuales tienen pocas armas contra este tipo de malware.
¿Tenemos alguna manera de defendernos de esta amenaza o de saber si nuestro ordenador está comprometido? Los especialistas consultados por Next coinciden en que los antivirus actuales tienen pocas armas contra este tipo de malware que cambia constantemente. Juan Antonio Calles recomienda algunas herramientas sencillas, de software libre, pero hay que tener algunos conocimientos. Y algunas las utilizan para sus exámenes forenses, cuando se ha producido un ataque. Una es Wireshark, que monitoriza todo el tráfico entre dos puntos. La otra es Network Miner, algo más visual. Abrimos el primer programa y nos muestra una serie de paquetes de información y mensajes de confirmación de que se han descargado. “Aquí vemos que se han recibido muy poquitas, si fuera un bot esto sería masivo”, asegura Juan Antonio.
Cuando realizan un análisis forense de los equipos y servidores emplean una técnica llamada ‘sniffing’, observan el tráfico y buscan posibles patrones. “Si se comunican con la misma IP en el mismo intervalo de tiempo todos los días, sabemos que es un bot”, indica el especialista. Jorge recuerda un caso reciente de una máquina infectada de un cliente que se enteró porque su correo empezó a aparecer en listas de spam. “Habían inyectado código en uno de los puertos abiertos en WordPress y estaban usando sus recursos para mandar correos de spam”, recuerda. Pero hasta que no comprobaron los servidores los usuarios no notaban nada.
Conociendo todas estas amenazas, ¿se puede dormir tranquilo por la noche? “¡Jajaja!”, se ríe Calles. “Tengo un amigo que dice que cuando vas por la calle y ves a un tipo sospechoso te cambias de acera, pues en la red hay que tener los mismos criterios de seguridad”. “No tener una contraseña para todas tus cuentas ni hacer cosas raras”, especifica. “La mayoría del malware proviene porque la gente se descarga cosas sin tener en cuenta lo que puede haber detrás, bajan programas gratis para crackear contraseñas o visitan páginas de pornografía o de deportes en directo donde hay muchos banners de publicidad. Si no tienes un bloqueador de JavaScript en el navegador te puede descargar un software malicioso”. Estos problemas casi siempre suelen estar vinculados a acciones ilícitas, así que “el mejor antivirus”, concluye, “eres tú mismo”.
via Web Tortuga