El asalto informático más importante del que quizás nunca oíste hablar

Muy buenas:

De pronto, en la vorágine de la vida personal, me encuentro con ganas de escribir y contar historias que, para variar, no tienen mucho que ver con Holanda pero que, por mi vida, me interesan sobremanera.

Desde hace unos días, poco a poco, gracias al iPhone, estoy cambiando todas las contraseñas de todos los servicios que estoy utilizando (Apple tiene una utilidad, llamada "Keychain", donde va guardando todas las contraseñas que utiliza y, a partir de esa información, analiza si ese usuario, contraseña y servicio han sido asaltados o son recurrentes, haciéndote recomendaciones para cambiarlos y así evitarte disgustos).

En esas estaba yo, haciendo mis cositas, cuando un artículo de la revista tecnológica "Wired" lo puso todo patas arriba, circunstancia suficiente para pararlo todo y, simplemente, deleitarme con la lectura del mismo.

En ese momento, me acordé de aquella vez en la que me vi involucrado en una historia más o menos parecida, pero mientras lo mío no fue nada grave en absoluto, esto representó el primer ataque donde se decidió que, en lugar de intentar penetrar directamente en el objetivo del mismo, alguien pensó que era más fácil atacar a una empresa o servicio adyacente, con quizás menos medidas de seguridad y que, de alguna forma, les permitiera el acceso que estaban buscando.

Esto es lo que hoy en día se llama un "ataque a la cadena de suministro" y supuso en su momento un problemón de tres pares de narices.

Otra oscura historia de seguridad informática...

Sipe: me temo que tienes razón. Ésta, es otra de esas batallitas que, cuando por fin salen a la luz, nos explican el mundo en el que vivimos y la silenciosa guerra digital que, desde hace más de 15 años, países de varios lugares del mundo ejecutan de forma implacable, bien para robarse secretos, bien para robar información estratégica de empresas que producen bienes súper especiales y raros o bien, simplemente, para hacerse daño entre sí.

Esta historia tiene la peculiaridad de que el objetivo fue uno de los paradigmas de la seguridad mundial, esto es, las aplicaciones o servicios de autenticación segura que casi todas las empresas del mundo utilizan para permitir a usuarios y sistemas ponerse conectar en remoto a sus redes internas.

Si trabajas en una de esas empresas, ya sabes el proceso: hay una VPN (una "red virtual privada") que te permite conectarte desde tu casa a la red y los recursos de tu empresa y, para que esa VPN te permita conectarte, tienes que, antes de todo, introducir una contraseña y luego utilizar algún tipo de dispositivo o aplicación que genere algún otro codiguito para, finalmente, verificar que tu eres tu.

Esos "codiguitos" o aplicaciones son claves para actuar como un segundo factor de autenticación: quizás le puedas robar el usuario y la contraseña a alguien, pero sin ese segundo factor, probablemente, si tu empresa ha hecho un buen trabajo, no podrán hacer mucho.

Pero, si tuvieras los dos... Entonces tenemos un problema.

Esta historia va de eso: el día que se consiguió acceder a la matriz de una de las empresas más importantes del mundo que, precisamente, ofrecía esos servicios de doble autenticación y que, durante 10 años, a través de acuerdos de confidencialidad con las personas que estuvieron involucradas en toda la historia, no se ha podido saber exactamente qué pasó o cómo.

Hasta hace una semana, cuando esos acuerdos de confidencialidad expiraron y, finalmente, pudimos saber lo que allí pasó.

Cómo se hizo...

La compañía RSA es un líder mundial en sistemas de autenticación segura: esa responsabilidad, como nos explicó el tío de Peter Parker en Spiderman, supone que, ante tal poder, tu responsabilidad es proporcional a la misma y, en su haber, los tipos montaron en un momento un sistema para hacer que la creación de esas herramientas fuera "casi perfecto".

Ese "casi perfecto" es el fruto de la debacle: el sistema que generaba los códigos que, uno a uno, se imprimían en esas aplicaciones o cacharritos que, cada equis segundos, cambian para producir otros nuevos, tienen un laborioso proceso donde su génesis se encuentra en una granja de servidores que, se suponía, estaba literalmente aislada del resto del mundo, ideal para evitar cualquier tipo de problema (si pones una serie de ordenadores o servidores dentro de una red y esa red no tiene acceso físico a cualquier otra red que pueda salir a Internet, salvo que alguien entre físicamente adonde están situados, no hay forma humana de asaltarlos).

Pero, en la investigación, se descubrió que sí, que había una conexión que daba a otra red de la empresa que, esa sí, daba salida a Internet.

La forma en la que los hackers llegaron hasta ella supone un proceso laborioso donde la cuenta de un usuario es comprometida, después se le consiguen cambiar sus permisos de administración y, con mucha paciencia e intentando no levantar sospechas, tienes que ponerte a investigar qué hay dentro de esa empresa que te lleve hasta ese pequeño punto que te permitirá acceder a lo que buscas.

Para entendernos: si no sabes lo que estás haciendo exactamente, es buscar una aguja en un pajar pero, por lo que parece, los tipos que lo asaltaron (se sospecha que fueron hackers al servicio de la inteligencia militar china) sí sabían lo que estaban haciendo, lo cual nos hace pensar que, de alguna forma u otra, tuvieron que conseguir algún tipo de información adicional para, sin perder tiempo, poder entrar, buscar ese punto de conexión entre la red convencional de la empresa y ese pequeño punto donde la otra red donde se producían esos códigos de autenticación se unían, acceder a ella, extraer toda la información y salir en el menor tiempo posible.

La parte más aterradora es que, para poder ayudar a sus clientes en el caso de que tuvieran problemas, los millones de códigos que generaban para sus clientes eran almacenados en lo que se suponía que era esa "red híper-segura", así que los hackers, cuando accedieron a la misma, no sólo se encontraron con "la máquina que genera códigos", sino que también se encontraron el repositorio con las copias de seguridad de todo lo que se ha ido haciendo.

En su día, para entender lo que decía antes de " salvo que alguien entre físicamente adonde están situados, no hay forma humana de asaltarlos", se pensó que alguien había tenido que acceder físicamente a esa zona de la empresa...

Se sospechó de todo el mundo que hubiera estado dentro de la oficina donde todo esto pasó (incluyendo a los empleados de la limpieza) y, para demostrar el grado de paranoia, cuando la empresa se dio cuenta de lo que estaba sucediendo, todas las personas que se pusieron a trabajar en intentar solucionar el desaguisado fueron investigadas, porque se sospechaba que alguien con los conocimientos lo suficientemente avanzados, como estos tipos, podría ser el candidato perfecto para poder guiar a los asaltantes hacia esa aguja en ese enorme pajar.

El artículo lo tienes aquí (está en inglés) y, aunque no tengas ni idea de informática, te lo recomiendo encarecidamente: es un relato fascinante de todo lo que allí sucedió, con las personas que lo vivieron porque, más allá de lo que podamos creer o pensar, más allá de que algo sea técnico o no, estas cosas tienen el ritmo de un thriller policiaco, con los malos haciendo de las suyas y los buenos intentando, por todos los medios, seguir las pistas y encontrar tanto la solución como los culpables.

Porque la bromita de ese asalto supuso que, durante meses, organizaciones públicas y privadas de medio planeta estuvieron expuestas a ser asaltadas y robadas a placer, sin que nadie pudiera hacer mucho al respecto.

Y yo no sé tu, pero yo recuerdo, hace unos años, que los dispositivos que teníamos en mi empresa para generar esos codiguitos, curiosamente de dicha compañía, fueron un día reemplazados por otros nuevos...

Y tiempo más tarde, otros años más tarde, esos dispositivos desaparecieron, dando paso a otros sistemas, más avanzados, que se utilizan hoy en día para, sobre todo ahora más que nunca, poder trabajar desde casa y poder conectarte a tu empresa demostrando que tu eres tu.

Sólo quería contarte esto hoy: ya sabes que este tema me apasiona y, en este caso, repito, es una historia que da para una película de espías (porque, literalmente, estas cosas son la versión moderna de aquellos agentes que, con gabardina y periódicos con agujeros, en su día, ayudaron a entender los más profundos secretos del mundo).

Seguiremos informando...

Paquito

Emilio: sugerenciasapaquito (arroba) yahoo (punto) es

Twitter: @paquito4ever

Comentarios

Publicar un comentario

Todo comentario, siempre y cuando sea educado, es bienvenido.

Quizás te pueda interesar...

Es cuestión de organizarse

Buenas: Hoy me he despertado pronto y, leyendo la prensa, encuentro un muy interesante artículo de el diario español "EL PAÍS" donde se habla de las condiciones de trabajo de consultores y de personas que trabajan en el mundo de las finanzas. El artículo es accesible haciendo click aquí : ¿Qué nos cuenta el artículo? Básicamente, el artículo nos cuenta lo que la mayoría de nosotros sabemos o ya deberíamos saber: en ciertos sectores, el abuso de las condiciones laborales está a la orden del día, con la promesa de que, si sobrevives, un día empezarás a ganar dinero suficiente para reparar los primeros años de sufrimiento. Esto, repito, no es nuevo y, si no lo sabías, bienvenido al mundo real: es el modelo que, durante décadas, muchos han aguantado sin rechistar aunque, en los últimos años, con las sucesivas crisis económicas, ha empeorado, poniendo todavía más presión en la base de esa pirámide laboral donde, de una forma perfectamente definible como "darwiniana", sól
Sigue leyendo

Tener un coche en Holanda

Buenas, Una de las ventajas (o desventajas, según se quiera ver) de empezar a desplazarse a distancias medias de forma regular es que, llegado el momento, tienes que plantearte dos opciones: 1. Transporte Público. 2. Transporte Privado. Quienes me conocen saben de mi amor por el primero: en este país, además, literalmente tienes un tren, metro, tranvía o autobús a una distancia relativamente pequeña, lo cual es un lujo asiático. El problema con el transporte público es la velocidad, el precio y las conexiones: no sé porqué pero mientras que en otros países, por poner un ejemplo, el metro vuela, aquí en cambio se lo toma más tranquilo, lo cual hace que, relativamente pequeñas distancias lleven comparativamente más tiempo que en otros lugares (en especial también por la cantidad de paradas y porque, curiosamente, este es el único país que conozco donde el metro se retrasa más que los autobuses). El transporte privado te ofrece más flexibilidad y, en mi caso, unas
Sigue leyendo

ChatGPT - Ahora empieza lo bueno

Imagen
Buenas: Hace unos años, en los albores de la revolución digital que estamos disfrutando en estos últimos meses, Google estrenó un tipo de librería para programar cosas donde se podían hacer todo tipo de historias para establecer mecanismos de aprendizaje de máquinas. Aquella librería se llamaba (y se llama) " tensorflow " y en su momento fue una revolución para aquellos que buscaban fórmulas para poder, a partir de un cierto grupo de datos, explorar proyecciones de los mismos para predecir cosas a través de la automatización de un programa informático. Recuerdo que, en aquel entonces, una de las cosas que pensé, al ir leyendo algunas de las posibles aplicaciones, que si pudiera coger todo mi correo electrónico corporativo (años y años de cientos de miles de mensajes cruzados con gente de la organización para la que trabajo) y cargarlo en un tensor para analizarlo, estoy seguro de que podría crear un procedimiento para responder automáticamente a los mensajes que podría recibi
Sigue leyendo

"No hay huevos" - La compra de Twitter por Elon Musk

Buenas: Hacía un montón que no me sentaba a escribir... Lo sé: en realidad, el propósito del blog fue siempre utilizarlo como una válvula de escape para hablar de cosas que me interesaban o que me sucedían, pero este año ha sido "peculiar" por muchos motivos (no sé si quiero escribir al respecto: uno nunca sabe quién lo lee y quién puede atar cabos). Dicho lo cual: vamos al turrón, que la cosa empieza fuerte... Hace unos meses, el multimillonario Elon Musk empieza a comprar acciones de Twitter: lo hace en grandes cantidades y, eventualmente, traspasa el límite por el cual debe informar a la comisión de valores bursátiles estadounidense (la "Stock Exchange Commission", conocida por sus siglas SEC). La cosa empieza mal... De momento, la cosa empieza mal porque, cuando se producen compras a grandes escala, se debe declarar a dicha comisión, por cuanto eso puede afectar al precio de las acciones y la dinámica de compra y venta de las mismas... Para los que no sepan el p
Sigue leyendo

Para mí Tanya es Ucrania

Buenas: No está siendo una buena semana en mi vida personal: hace unos días, Rusia decide invadir Ucrania, a pesar de que se veía venir y aquí, unos y otros, decían que aquello que iba a pasar o, peor, que no sólo no iba a pasar, sino que encima esto poco menos que lo ha provocado Occidente. Aforismo: "las cosas que están lejanas son conceptos". Cuando uno dice la palabra "Marte", se le viene a la cabeza la imagen de un planeta rojito en el sistema solar, con extraños cachivaches que el ser humano ha sido capaz de enviar para explorarlo y entenderlo, en algunos casos o, en la gente más joven, el objetivo de conquista de Elon Musk, el multimillonario americano de origen sudafricano que con su empresa, SpaceX, nos fascina tanto por sus emprendimientos o por su histriónica personalidad. Pero, salvo que seas un marciano infiltrado entre los seres humanos preparando la conquista planetaria, en realidad es que Marte no te sugerirá nada personal: es algo que no puedes toca
Sigue leyendo