Reportatge de la setmana
Alerta a la xarxa
Els atacs de ciberdelinqüents que han assetjat empreses del país les darreres setmanes no són un fet aïllat a Internet i han arribat a un nivell de sofisticació que els fa molt difícils de contrarestar.
El primer va ser el 28 de juny. L’endemà hi van tornar. Dilluns, una altra vegada. I pel que han dit, repetiran. Els ciberatacs contra empreses andorranes han causat greus problemes a les companyies assetjades, han fet anar de corcoll els tècnics d’Andorra Telecom i han generat malestar, desesperació i sensació d’impotència a la ciutadania. Pràcticament tot el país s’ha vist afectat per unes agressions a través de la xarxa que van deixar sense Internet bona part dels andorrans. En els darrers dies s’ha sabut que al darrere hi hauria un grup de pirates informàtics txetxens. Però, com actuen exactament? Què volen? A quins riscos estem exposats? I, sobretot, ho podem aturar?
Entesos en ciberseguretat aclareixen que el primer que s’ha de tenir clar és el concepte de hacker, que en la seva opinió s’usa de manera incorrecta. “Un hacker és un virtuós. Una persona que programa més enllà dels límits de la tecnologia. Els que han atacat les empreses no són hackers, són delinqüents”, expressa Franc Rodríguez, expert en sistemes de Tecob. Per tant, cal diferenciar aquests “malfactors”, com els qualifica Jordi Clua, d’MYP, dels comunament anomenats hackers, que són “lícits i correctes”, per Rodríguez.
DENEGACIÓ DE SERVEI
Els ciberdelinqüents tenen com a principals objectius rebentar o accedir a una web, un servidor o un ordinador, ja sigui per inutilitzar-lo o per robar-ne informació. Ho poden fer de diverses maneres. La que s’ha usat en els darrers dies a Andorra és la que es coneix com a denegació de servei (DDoS per les sigles en anglès). Es tracta de col·lapsar una pàgina web a partir de multiplicar les demandes d’accés. “Si ajuntes milers de màquines des de diferents llocs del món cap a un mateix punt pots saturar-lo”, assegura Pedro Miranda, expert en ciberseguretat de l’empresa STO. De retruc, si l’atac és extremadament potent, “hi ha afectació i caiguda del servei” d’Internet, manifesta.
Gerard Marsal, consultor d’Andorsoft, ho explica amb un exemple: “És com si en un bar hi ha tres cambrers i de cop entren 500 persones. N’atendran tres i les altres 497 hauran d’esperar, i poden arribar a col·lapsar el carrer.”
Això s’aconsegueix gràcies a “màquines zombi”. És a dir, “la teva màquina la utilitza un tercer i no te n’adones”, indica Miranda. “Aquestes màfies controlen els ordinadors i dirigeixen l’atac”, concreta Rodríguez. Marsal, però, aclareix que “afortunadament això no ho pot fer qualsevol. És gent amb una capacitat operativa molt gran”.
MOLT BARAT
La prevenció és complicada, ja que, segons expliquen els entesos, “atacar és barat i defensar-se és car”, reconeix Clua. “Quan reps un atac mai tens prou defensa”, assenyala. “Centenars de milers d’euros en prevenció no et garanteixen res. Si no aconsegueixen tombar-te en un primer moment, posaran més ordinadors. Tard o d’hora cauràs”, apunta.
En canvi, perpetrar una acció d’aquestes característiques és assequible: “Hi ha webs especialitzades que et deixen contractar milers d’ordinadors per 300 euros. Potser amb 1.000 euros pots col·lapsar Andorra”, diu Clua. De tota manera, creu que “no s’ha intentat col·lapsar un país, sinó una companyia, i per efecte col·lateral s’ha col·lapsat el país”. De fet, l’any passat Anonymous, el grup d’atacants cibernètics més conegut del món, va aconseguir bloquejar el Pentàgon. La Casa Blanca, la CIA, una televisió francesa o bancs alemanys també han estat víctima del DDoS.
Tot i que els atacs registrats a empreses del Principat han estat de menor envergadura que els recentment citats, han estat “molt potents”, segons els experts. Segons va explicar Andorra Telecom, en la primera envestida del 28 de juny es va multiplicar el trànsit internacional habitual en un 400%. Tot concentrat en un mateix punt. El director general de la companyia, Jordi Nadal, va relatar que el trànsit normal d’Internet al país és d’entre 6 i 7 gigabytes (Gb) per segon, i que en els pics més alts es pot arribar als 8,5. En aquell moment es va incrementar en 3,2 Gb. Els sistemes no van aguantar. L’endemà va ser encara més fort, i es va doblar el volum de dades sol·licitades, format per connexions procedents d’ordinadors maliciosos. El mateix grup que ha envestit empreses del país, Kadyrovtsy, va perpetrar al maig un atac de 90 Gb contra un banc del Regne Unit.
Per rematar-ho, aquest augment de volum de dades Andorra Telecom l’haurà de costejar, segons Clua: “Els proveïdors de connexió internacional li diran a Andorra Telecom que aquest mes ha consumit molt. Et bloquegen i a sobre pagues.” De fet, segons la seva opinió, “que et petin el servidor és el de menys perquè el pots desconnectar, però les dades estan passant, estàs consumint i a ulls dels tècnics és una petició d’informació normal i legítima”, ja que els ordinadors zombi que perpetren l’acció són d’usuaris normals i corrents.
PAL·LIAR-HO
Tots estem exposats que el nostre ordinador estigui controlat per un tercer. Malgrat això, “hi ha eines per saber si la teva màquina està sent utilitzada per a algun fi”, assegura Miranda. És tan senzill com entrar en webs no fiables i, sense voler, descarregar un petit programa que s’instal·la automàticament i comença a treballar d’amagat de l’usuari. La principal recomanació és tenir un antivirus actualitzat que detecti i bloquegi l’entrada d’aquest software. Però la garantia no és total. “Alguns programes estan amagats a l’ordinador i només actuen quan es fa l’acció, i a vegades no els coneix ni l’antivirus”, revela Marsal. Són els denominats troians, que “normalment” no fan cap mal al PC de l’usuari. Per tant, l’única garantia per estar net és “formatar l’ordinador”, recomana Marsal. Tot i que assumeix que “quan tornis a entrar a Internet segurament et tornaran a entrar”. Un bucle.
Des de les empreses, i en concret Andorra Telecom, Miranda comenta que “hi ha sistemes i experts en ciberseguretat, tallafocs i altres coses que poden minimitzar l’impacte”, com ara “màquines que poden netejar el trànsit”, incideix Rodríguez. Marsal aposta per “limitar el nombre de peticions” que rep el web atacat. “La pàgina potser no funcionaria però la xarxa d’Internet del país no es bloquejaria”, apunta. Tot i això, la solució és complicada i “hi ha hagut vegades que atacs de DDoS han durat setmanes”.
Clua, però, proposa la creació d’un CERT, que per les sigles en anglès correspon a un equip de resposta a emergències informàtiques. Es tracta d’un organisme que tenen molts països, que a Andorra no existeix, i que estan en coordinació els uns amb els altres per passar-se informació i mitigar conjuntament atacs cibernètics potents. Per Clua, “és una cosa que surt cara, tenint en compte que potser només tens dos o tres atacs grans per any, però potser s’haurà de plantejar”.
RECORREGUT POLICIAL
Les empreses atacades, a banda de pagar el rescat o incrementar el seu nivell de seguretat, poden presentar denúncia a la policia, que intenta esbrinar d’on ve l’atac. En última instància se n’acaben ocupant cossos internacionals com ara Interpol. De tota manera, atrapar els ciberdelinqüents és molt difícil. “A Internet tot deixa rastre, però hi ha països com Rússia o Vietnam que blinden dades i és complicat seguir-los la pista”, lamenta Miranda. Per ell, ens trobem davant “la nova guerra del segle XXI”.
L'ENCRIPTACIÓ DE DADES, UN ALTRE TIPUS DE XANTATGE
No tan sols d’atacs de denegació de dades viuen els grups de ciberdelinqüents. També és força comú el ransomware, que traduït correspon al xantatge de programes. Un dels més habituals i temuts és el CryptoLocker. És un programa que es descarrega involuntàriament l’usuari i que generalment s’activa en obrir un correu electrònic d’un remitent que es fa passar per una empresa coneguda, però que en realitat és una falsificació. Un cop al PC, automàticament tot el que hi ha queda encriptat. “Et deixen un fitxer de text, una imatge i un codi HTML on et diuen que has estat infectat i que si per a tu la informació té un preu has de pagar”, explica Pedro Miranda.
Per recuperar les dades creen una clau pública, que s’ha de completar amb una contraclau que es queden les màfies. És un sistema de seguretat a Internet que utilitzen, per exemple, els bancs.
El sistema de xantatge és similar al dels atacs de denegació de servei: “Va per hores. Si pagues en menys de 24 o 48 hores, 500 dòlars. De 2 a 4 o 5 dies, 1.500. I si tardes més es destrueix la contraclau.” Sense aquesta contrasenya és pràcticament impossible recuperar els arxius.
Tal com detalla l’expert, “tothom està exposat” a ser víctima del CryptoLocker. L’única manera d’evitar-ho és no estar connectat a Internet. Una possibilitat avui en dia pràcticament remota. “Pel que fa a empreses i particulars l’únic consell que puc donar és fer còpies de seguretat de tant en tant”. De tota manera, si la còpia es troba en un disc dur extern però connectat a l’ordinador afectat també quedarà infectada.
La complexitat del programa “evoluciona a velocitats increïbles”, detalla Miranda. Segons explica, ja es troba en la quarta o cinquena versió. Un desenvolupament tecnològic que s’ha finançat a partir dels diners que les víctimes han pagat i que els ciberdelinqüents han reinvertit per poder millorar el CryptoLocker.
De fet, pel que comenta el tècnic, molta gent acaba cedint al xantatge. No tan sols empreses privades, també administracions i particulars, com “gent gran, que no té coneixements d’informàtica i a l’ordinador hi tenen fotos d’éssers estimats o dades personals”.
La moneda a utilitzar, com no podia ser d’una altra manera, és el bitcoin. La raó, tal com explica Gerard Marsal, és que “per a la policia és impossible seguir la traça”, ja que es tracta d’una moneda virtual. “Si un pagament es fa en un comte corrent es pot seguir, però el bitcoin és totalment eteri”, raona.