El asalto informático más importante del que quizás nunca oíste hablar

Muy buenas:

De pronto, en la vorágine de la vida personal, me encuentro con ganas de escribir y contar historias que, para variar, no tienen mucho que ver con Holanda pero que, por mi vida, me interesan sobremanera.

Desde hace unos días, poco a poco, gracias al iPhone, estoy cambiando todas las contraseñas de todos los servicios que estoy utilizando (Apple tiene una utilidad, llamada "Keychain", donde va guardando todas las contraseñas que utiliza y, a partir de esa información, analiza si ese usuario, contraseña y servicio han sido asaltados o son recurrentes, haciéndote recomendaciones para cambiarlos y así evitarte disgustos).

En esas estaba yo, haciendo mis cositas, cuando un artículo de la revista tecnológica "Wired" lo puso todo patas arriba, circunstancia suficiente para pararlo todo y, simplemente, deleitarme con la lectura del mismo.

En ese momento, me acordé de aquella vez en la que me vi involucrado en una historia más o menos parecida, pero mientras lo mío no fue nada grave en absoluto, esto representó el primer ataque donde se decidió que, en lugar de intentar penetrar directamente en el objetivo del mismo, alguien pensó que era más fácil atacar a una empresa o servicio adyacente, con quizás menos medidas de seguridad y que, de alguna forma, les permitiera el acceso que estaban buscando.

Esto es lo que hoy en día se llama un "ataque a la cadena de suministro" y supuso en su momento un problemón de tres pares de narices.

Otra oscura historia de seguridad informática...

Sipe: me temo que tienes razón. Ésta, es otra de esas batallitas que, cuando por fin salen a la luz, nos explican el mundo en el que vivimos y la silenciosa guerra digital que, desde hace más de 15 años, países de varios lugares del mundo ejecutan de forma implacable, bien para robarse secretos, bien para robar información estratégica de empresas que producen bienes súper especiales y raros o bien, simplemente, para hacerse daño entre sí.

Esta historia tiene la peculiaridad de que el objetivo fue uno de los paradigmas de la seguridad mundial, esto es, las aplicaciones o servicios de autenticación segura que casi todas las empresas del mundo utilizan para permitir a usuarios y sistemas ponerse conectar en remoto a sus redes internas.

Si trabajas en una de esas empresas, ya sabes el proceso: hay una VPN (una "red virtual privada") que te permite conectarte desde tu casa a la red y los recursos de tu empresa y, para que esa VPN te permita conectarte, tienes que, antes de todo, introducir una contraseña y luego utilizar algún tipo de dispositivo o aplicación que genere algún otro codiguito para, finalmente, verificar que tu eres tu.

Esos "codiguitos" o aplicaciones son claves para actuar como un segundo factor de autenticación: quizás le puedas robar el usuario y la contraseña a alguien, pero sin ese segundo factor, probablemente, si tu empresa ha hecho un buen trabajo, no podrán hacer mucho.

Pero, si tuvieras los dos... Entonces tenemos un problema.

Esta historia va de eso: el día que se consiguió acceder a la matriz de una de las empresas más importantes del mundo que, precisamente, ofrecía esos servicios de doble autenticación y que, durante 10 años, a través de acuerdos de confidencialidad con las personas que estuvieron involucradas en toda la historia, no se ha podido saber exactamente qué pasó o cómo.

Hasta hace una semana, cuando esos acuerdos de confidencialidad expiraron y, finalmente, pudimos saber lo que allí pasó.

Cómo se hizo...

La compañía RSA es un líder mundial en sistemas de autenticación segura: esa responsabilidad, como nos explicó el tío de Peter Parker en Spiderman, supone que, ante tal poder, tu responsabilidad es proporcional a la misma y, en su haber, los tipos montaron en un momento un sistema para hacer que la creación de esas herramientas fuera "casi perfecto".

Ese "casi perfecto" es el fruto de la debacle: el sistema que generaba los códigos que, uno a uno, se imprimían en esas aplicaciones o cacharritos que, cada equis segundos, cambian para producir otros nuevos, tienen un laborioso proceso donde su génesis se encuentra en una granja de servidores que, se suponía, estaba literalmente aislada del resto del mundo, ideal para evitar cualquier tipo de problema (si pones una serie de ordenadores o servidores dentro de una red y esa red no tiene acceso físico a cualquier otra red que pueda salir a Internet, salvo que alguien entre físicamente adonde están situados, no hay forma humana de asaltarlos).

Pero, en la investigación, se descubrió que sí, que había una conexión que daba a otra red de la empresa que, esa sí, daba salida a Internet.

La forma en la que los hackers llegaron hasta ella supone un proceso laborioso donde la cuenta de un usuario es comprometida, después se le consiguen cambiar sus permisos de administración y, con mucha paciencia e intentando no levantar sospechas, tienes que ponerte a investigar qué hay dentro de esa empresa que te lleve hasta ese pequeño punto que te permitirá acceder a lo que buscas.

Para entendernos: si no sabes lo que estás haciendo exactamente, es buscar una aguja en un pajar pero, por lo que parece, los tipos que lo asaltaron (se sospecha que fueron hackers al servicio de la inteligencia militar china) sí sabían lo que estaban haciendo, lo cual nos hace pensar que, de alguna forma u otra, tuvieron que conseguir algún tipo de información adicional para, sin perder tiempo, poder entrar, buscar ese punto de conexión entre la red convencional de la empresa y ese pequeño punto donde la otra red donde se producían esos códigos de autenticación se unían, acceder a ella, extraer toda la información y salir en el menor tiempo posible.

La parte más aterradora es que, para poder ayudar a sus clientes en el caso de que tuvieran problemas, los millones de códigos que generaban para sus clientes eran almacenados en lo que se suponía que era esa "red híper-segura", así que los hackers, cuando accedieron a la misma, no sólo se encontraron con "la máquina que genera códigos", sino que también se encontraron el repositorio con las copias de seguridad de todo lo que se ha ido haciendo.

En su día, para entender lo que decía antes de " salvo que alguien entre físicamente adonde están situados, no hay forma humana de asaltarlos", se pensó que alguien había tenido que acceder físicamente a esa zona de la empresa...

Se sospechó de todo el mundo que hubiera estado dentro de la oficina donde todo esto pasó (incluyendo a los empleados de la limpieza) y, para demostrar el grado de paranoia, cuando la empresa se dio cuenta de lo que estaba sucediendo, todas las personas que se pusieron a trabajar en intentar solucionar el desaguisado fueron investigadas, porque se sospechaba que alguien con los conocimientos lo suficientemente avanzados, como estos tipos, podría ser el candidato perfecto para poder guiar a los asaltantes hacia esa aguja en ese enorme pajar.

El artículo lo tienes aquí (está en inglés) y, aunque no tengas ni idea de informática, te lo recomiendo encarecidamente: es un relato fascinante de todo lo que allí sucedió, con las personas que lo vivieron porque, más allá de lo que podamos creer o pensar, más allá de que algo sea técnico o no, estas cosas tienen el ritmo de un thriller policiaco, con los malos haciendo de las suyas y los buenos intentando, por todos los medios, seguir las pistas y encontrar tanto la solución como los culpables.

Porque la bromita de ese asalto supuso que, durante meses, organizaciones públicas y privadas de medio planeta estuvieron expuestas a ser asaltadas y robadas a placer, sin que nadie pudiera hacer mucho al respecto.

Y yo no sé tu, pero yo recuerdo, hace unos años, que los dispositivos que teníamos en mi empresa para generar esos codiguitos, curiosamente de dicha compañía, fueron un día reemplazados por otros nuevos...

Y tiempo más tarde, otros años más tarde, esos dispositivos desaparecieron, dando paso a otros sistemas, más avanzados, que se utilizan hoy en día para, sobre todo ahora más que nunca, poder trabajar desde casa y poder conectarte a tu empresa demostrando que tu eres tu.

Sólo quería contarte esto hoy: ya sabes que este tema me apasiona y, en este caso, repito, es una historia que da para una película de espías (porque, literalmente, estas cosas son la versión moderna de aquellos agentes que, con gabardina y periódicos con agujeros, en su día, ayudaron a entender los más profundos secretos del mundo).

Seguiremos informando...


Paquito

Emilio: sugerenciasapaquito (arroba) yahoo (punto) es

Twitter: @paquito4ever

Comentarios

Quizás te pueda interesar...

Cuando sí puedes soportar la verdad

Cuando redescubres tu antiguo trabajo

Un sistema político cualquiera

Querer, Amar, Estimar...

Cuando los partidos políticos juegan sucio con tus datos