¡No andaba muerto, andaba de parranda! Esa quizá sería la frase perfecta para definir al hoy extinto-revivido (cual ave fénix) grupo hacktivista, Lulzsec. El tema es que muchos pensaron que cuando anunciaron su retiro de los escenarios del cibercrimen gran parte de los ciberataques también lo harían. Pero como podemos leer últimamente, eso en definitiva no pasó y los ataques contra diversas corporaciones, sitios de internet, gobiernos, se han vuelto una constante.

Probablemente Lulzsec, así como Anonymous y el fenómeno Wikileaks, lo que dejarán como legado –entre otras cosas- habrá sido despertar un sentimiento revolucionario en muchas personas y grupos a diferentes niveles. Platicando con gente de diversos círculos, en medios electrónicos o, siguiendo conversaciones en foros de internet, redes sociales me doy cuenta que en algunos se ha insertado una sensación de que las empresas y gobiernos “se merecen” esos ciberataques y más. Si se lo merecen o no, no lo discutiré en este artículo ya que no lo pretendo politizar, creo que para política con la maestra Gordillo basta. A mí lo que me preocupa es que hoy existan tantas herramientas y mecanismos para atacar organizaciones o robar información. ¿Por qué me preocupa? Pues porque no quiero que mi cuenta y contraseña estén publicados en sitios como Pastebin.com, o mis correos electrónicos y archivos puedan ser descargados en un archivo Torrent, ¿o ustedes sí quieren eso?

Observo que mucha gente sin siquiera conocer el fenómeno Wikileaks o Julian Assange, apoyan completamente cualquier ataque o robo de información a gobiernos o corporaciones. Ojo yo respeto cualquier postura, siempre y cuando esté bien fundamentado y no sólo por decir: “pues se lo merecen” –“¿porqué?” -“pues porque sí, porque se lo merecen”. Imaginen que sus fotos, correos electrónicos, sus cuentas, sus gastos, sus SMS, sus chats, sus mensajes directos de redes sociales, sus teléfonos y más, pueden ser subidos a sitios web públicos ¿ustedes se lo merecen? …¡exacto! Pienso lo mismo.

Ciberguerra

Algunos aseguran que lo que se está viviendo es una ciberguerra; otros creen que es muy osado y aventurado usar este término. Según el diccionario de la Real Academia de la lengua española, ‘guerra’ se define cómo:

  1. Desavenencia y rompimiento de la paz entre dos o más potencias.
  2. Lucha armada entre dos o más naciones o entre bandos de una misma nación.
  3. Lucha o combate, aunque sea en sentido moral.
  4. Oposición de una cosa con otra.

Hoy vemos ataques de forma masiva contra gobiernos y sus proveedores, compañías y corporativos, iniciativas privadas, políticos, medios de información, redes sociales, sociedades anónimas, marcas de tarjetas de crédito, etcétera mediante diferentes técnicas como: DDoS (denegación de servicio distribuido), SQL Injection, hijacking y otros más específicos y especializados como el famoso Stuxnet que controla procesos industriales (todos ellos elementos muy parecidos a los de una novela cyberpunk. ¿Acaso estos no son actos bélicos que toman como escenario el ciberespacio y la tecnología como medio? ¿Constituyen o no entonces una ciberguerra? Como decía mi abuelita, si camina como pato, grazna como pato y hace como pato, pues naturalmente que es un pato. Pero nuevamente, es difícil utilizar un término que a algunos incluso les da temor mencionar. A veces la ignorancia nos genera una sensación falsa de seguridad. ¿O tal vez sólo es una ciberguerrilla?

Herramientas + conocimiento + sublevaciones = Ataques masivos

Encierren, extraditen o no a Julian Assange; desaparezca o no Lulzsec; continúe o no Anonymous; hay una nueva ola ‘rebelde’ y ‘sediciosa’ que va perpetrando objetivos. #AntiSec entre es una de muchas otras iniciativa que siguen en pie. Al final, podrán o no apoyar ciertas causas, pero tenemos una responsabilidad al ser profesionales de Seguridad o de IT o incluso como parte de una corporación, independientemente del nivel o puesto que desempeñemos, de proteger datos e información tal y como nos gustaría que estuviera custodiados los nuestros. Imprescindible contar con el apoyo o asesoría de gente con conocimiento, hacer conciencia en la gente (un inception de seguridad), no vivir con la constabte misión de ‘darle la vuelta’ [sic] a las políticas, normas y estándares; y por supuesto, reportar o escalar en caso de que se sospeche de que una vulnerabilidad haya sido explotada. Termino con una analogía que ya mencioné antes, pero con una pequeña modificación:

Si camina como pato, grazna como pato y hace como pato, podría ser un dragón haciendo una imitación de pato.

¿O tal vez el dragón hizo un robo de identidad al pato ya que su información fue hackeada?

Mind the Information Security Gap!

Alberto Ramírez Ayón, CISM, CISA, CRISC

Twitter @cyberpostpunk