Las empresas siguen imaginando a los hackers como programadores con capucha escondidos en salas de servidores, escribiendo interminables líneas de código para atacar a sus objetivos. Pero todo el campo de la ciberdelincuencia se ha transformado de forma casi irreconocible. El hackeo ha pasado de ser un pasatiempo de la contracultura a un sector que implica a empresas y políticos.
Adrianus Warmenhoven, asesor de ciberseguridad y portavoz de Nord Security, tiene cierta experiencia con el hackeo de sombrero blanco. Hablamos con él sobre cómo ha cambiado el hackeo en las últimas décadas, qué mueve a los ciberdelincuentes, cuál ha sido el impacto de los recientes avances en IA y por qué la verdadera amenaza que acecha en las sombras no son los humanos, sino los bots.
Empecemos hablando de quién y qué es el objetivo de los hackeos. Las pequeñas empresas, por ejemplo, suelen tener la idea de que son demasiado pequeñas para interesar a los ciberdelincuentes. ¿Qué les dirías?
R: Al fin y al cabo, el hackeo es un negocio. Ningún hacker se levanta pensando: «Hoy voy a hacer la vida de alguien realmente interesante». Lo que de verdad quieren es dinero. Si consiguen cinco céntimos de un millón de personas, siguen siendo cinco millones de céntimos.
Las técnicas utilizadas por los hackers pueden variar en función del tamaño del objetivo, pero el interés sigue siendo el mismo: todo el mundo es una posible víctima. En el caso de las grandes empresas, los hackers suelen atacar las cuentas de los administradores, pero en el caso de los particulares, utilizan métodos como el phishing.
¿La información de cuentas empresariales tiene el mismo precio que la de cuentas personales en la dark web?
No se trata tanto del precio como de lo que puedes hacer con la información. Las cuentas de empresa suelen ser más valiosas, pero también son efímeras y volátiles: el equipo de seguridad puede solucionar el problema y restablecer las cuentas en cuanto detecte una filtración.
Puedes conseguir unas 10 000 direcciones de correo electrónico verificadas por 5 dólares, son realmente baratas. Asimismo, las contraseñas son extremadamente baratas: se pueden conseguir un par de miles por uno o dos dólares. Realmente depende de lo que puedas hacer con la información.
¿Diría que la mayoría de los hackers lo hacen por dinero?
Sí. De hecho, muchos hackers de hoy en día que trabajan para organizaciones criminales ni siquiera saben que eso es lo que están haciendo. Básicamente trabajan como desarrolladores.
Antes veíamos hacktivistas, pero su identidad ha cambiado con el tiempo. Solían protestar contra las compañías petroleras y similares. Hoy en día, vemos que cada vez más hacktivistas se alinean con Estados nación para conseguir su patrocinio. Sigue tratándose de beneficios económicos, pero la política empieza a colarse.
En Europa, también se percibe el afán por obtener el reconocimiento de tus semejantes, de otros hackers. A un amigo mío, por ejemplo, ya no le importa el dinero —tiene suficiente—, pero está con Microsoft, y así puede decir: «He hackeado la red de Xbox», y eso le daría mucha credibilidad.
¿Es difusa la línea que separa el hackeo de sombrero blanco del hackeo de sombrero negro?
Todo el asunto del sombrero blanco es difícil y empeora con cosas como la divulgación coordinada de vulnerabilidades. Las empresas dicen: «Si encuentras un fallo y nos lo dices, prometemos una recompensa». Nord también lo hace. Muchos hackers ganan dinero cazando fallos para empresas como Microsoft y Apple: descubrir un solo fallo puede valer un par de cientos de miles de dólares.
Los cazadores de fallos no lo hacen por dinero, sino por la emoción. Son muy técnicos y se aburren muy rápido. Hay que vigilar a esos hackers para que no se pasen al lado oscuro.
En los Países Bajos, los hackers, las empresas, los servicios secretos, los militares, las fuerzas de seguridad... todo el mundo conoce a todo el mundo, y forma parte de la cultura. Si un hacker llamara a las fuerzas de seguridad, no le dirían: «Como eres un hacker, no te vamos a atender». Todo el mundo se ayuda mutuamente en el ámbito de la seguridad doméstica. Espero que el resto del mundo se dé cuenta.
La legislación europea ha sido muy favorable en este sentido. Estás protegido por la ley si puedes demostrar que has hackeado algo con buenas intenciones. En los Países Bajos, se ofrece aún más protecciones: si informo inmediatamente al fabricante o a la persona hackeada, no puede haber repercusiones legales. De hecho, el gobierno holandés te regala una camiseta que dice: «He hackeado al gobierno holandés y lo único que he conseguido es esta mierda de camiseta». Es algo muy codiciado porque es como una insignia de honor de la que puedes presumir. En Estados Unidos, el gobierno reparte medallas. Estas muestras de reconocimiento son muy valiosas para los hackers.
¿Motiva esto a los hackers a cambiar de bando?
Sí, y hoy en día vemos a muchos hackers trabajando en empresas de seguridad. Pero esto ha formado parte de la cultura del hackeo desde los años 90, cuando hackeabas a alguien y ellos te lo hacían a ti también. Se trata de ver quién es el más listo del barrio.
Hablemos del hackeo como servicio. ¿Pueden las empresas contratar hackers para sabotear a sus competidores?
Pueden, y lo hacen. Incluso hay subastas de vulnerabilidades, en las que pujan por igual empresas y Estados nación. Si entras en la dark web, encontrarás muchos anuncios del tipo «puedo hackear», pero también otros más especializados, como «puedo eliminar a tu competidor de la lista de Google» o «puedo dar a tu oponente 10 000 valoraciones negativas». Si tienes suficiente dinero, puedes comprar casi cualquier cosa.
¿Existe una forma definitiva de protegerse de los hackers, o basta con hacerlo lo mejor posible con las herramientas de que se dispone?
Hay que dejar de usar Internet. ¡Es broma!, por supuesto, pero la identidad digital es algo que siempre intento explicar a la gente. La gente cree que la persona física es lo importante, pero en realidad no lo es. Tu identidad digital vale más que tú. Si te murieras ahora mismo —y que conste que no se lo deseo a nadie—, tu identidad digital seguiría haciendo transacciones, seguiría recibiendo mensajes, seguiría teniendo valor en el mundo. Una vez eliminado el cuerpo físico, es terrible, pero ya está. Pero tu identidad digital forma parte de ti y debes cuidarla. Se mantiene aunque te desconectes o fallezcas, sigue haciendo cosas. Todos tus perfiles, cuentas bancarias, notificaciones... lo que tengas, sigue formando parte de ti, como tu avatar en el mundo digital, y sigue funcionando.
¿Ayuda la IA a los hackers a adivinar y robar contraseñas?
¿Las adivina? No. ¿Las roba? Sí. Te lo explico.
Una IA no puede adivinar las contraseñas debido a cómo se almacenan. Las contraseñas no son más que combinaciones complejas, y su dificultad depende de su longitud. Forzarlas con IA es una imposibilidad matemática, sobre todo porque la IA no puede hacer mejores conjeturas que las fórmulas matemáticas optimizadas que ya existen.
Dicho esto, hay que matizar. Si siempre utilizas el mismo tipo de contraseña, una IA puede predecir el patrón de uso de tu contraseña. Los hackers no empiezan con AAAAA, empiezan con las contraseñas más probables para el usuario. Básicamente, un hacker puede comprar todas tus contraseñas de una filtración. Luego se añade alguna información extra, como tus cuentas en redes sociales, y se deja que la IA prediga cuál sería el primer millón de intentos de contraseña. Así pues, una IA puede ayudarte a hacer estas conjeturas, pero no puede adivinar la contraseña mejor que los algoritmos utilizados hasta ahora.
En cuanto al robo de contraseñas, la IA puede ser muy útil. La gente desarrolla todo tipo de códigos maliciosos utilizando la IA sin conocer ni un solo lenguaje de programación; lo único que necesitan es copiar y pegar. También puedes utilizar la IA para la suplantación de identidad analizando cómo se comunica alguien en las redes sociales y con quién habla.
Digamos que hablas con una persona de confianza en las redes sociales. Si yo entrenara a la IA con las respuestas de esta persona, podría escribir como ella. Entonces, podría intentar hacerte un spearphishing enviándote un correo electrónico que sonara exactamente como esa persona para reducir tus sospechas.
¿Significa eso que la IA puede utilizarse para predecir un patrón de contraseñas?
Sí. Por ejemplo, si usas el nombre del álbum de un músico como contraseña, la IA puede predecir que, cuando salga un nuevo álbum, lo usarás como contraseña. Por eso deberías utilizar un generador de contraseñas: crea ruido de líneas aleatorias sin nada que predecir, eliminando por completo la IA de la ecuación.
Verdadero o falso: la típica imagen del hacker con capucha ha muerto. Las víctimas están a merced de los bots.
Lo curioso es que yo personalmente nunca he llevado sudadera con capucha; me resulta muy incómodo trabajar con ella. Bromas aparte, esta idea del hacker con capucha en realidad tiene su origen en el cine, pero eso no viene al caso.
Tienes razón al decir que los hackers singulares ya casi no existen. Claro, puedes encontrarlos de vez en cuando, pero no son una amenaza estructural. Hackearán una escuela o a un vecino que les caiga mal. En este punto, es básicamente como que alguien te dé un puñetazo en la cara en plena calle.
En cuanto a los bots, los delincuentes —especialmente las organizaciones criminales— han descubierto que muchos de los pasos se pueden automatizar. A medida que se automatizan, se puede escalar: los 5 céntimos que mencionaba al principio ahora no solo se pueden recopilar de un millón de personas, sino de mil millones. Se necesitan muchos bots para conseguirlo, y eso, una vez más, pone en la diana a todo el mundo. Probablemente no serás el objetivo de ningún hacker a menos que seas su especialidad. Incluso hackear un hospital es ahora todo un proceso formal. Digamos que alguien hackea un hospital. El hospital envía un negociador de ransomware, mientras que los hackers tienen su propio negociador que no sabe quiénes son los verdaderos hackers. También está creando nuevos puestos de trabajo en ciberseguridad. Todo es un negocio, y los bots no son más que otra herramienta, como una carretilla elevadora para cargas pesadas.
¿Está de moda el hackeo de la cadena de suministro?
Depende. En los Países Bajos, los servicios secretos gestionaban un servicio de cifrado al que todos los delincuentes compraban, y la policía neerlandesa se limitaba a sentarse y reírse mientras toda la información de las compras llegaba a sus servidores en texto plano.
El hackeo de la cadena de suministro será sin duda el objetivo de los Estados nación en un futuro próximo. Puede acarrear una serie de consecuencias. Supongamos que hackeas un hardware crucial —como ASML, una empresa neerlandesa que fabrica piezas necesarias para crear chips— para pedir un rescate no solo al fabricante, sino también a sus clientes. Intel, Apple, Nvidia... todas las empresas que dependen de ASML se hundirían porque ya no podrían producir nuevos chips. Puedes apostar a que todos colaborarían para encontrarte, y los servicios secretos también se unirían a la caza. Te convertirías en el centro de atención de casi todas las fuerzas de seguridad del mundo.
El envenenamiento de la cadena de suministro —la introducción de programas maliciosos en algún punto de la cadena— será cada vez más frecuente debido a todas las cosas baratas que compramos online. Hay tal vez ocho fábricas en el planeta que fabrican todo el material de dropshipping que compramos; lo único que hacen es ponerle una etiqueta diferente, pero todo procede de la misma fuente. Un hacker puede pagar a esos proveedores y decirles: «Por cada una de esas memorias USB que envíes con mi firmware, te pagaré un dólar». Entonces la gente compra esas memorias USB, las conecta a sus dispositivos y así se hackean todos los equipos; así de fácil.
Imagino que los hackers harán cosas más específicas. Por ahora, los ciberdelincuentes aún no lo han monetizado ni han descubierto cómo hacerlo de forma eficiente sin hacer mucho ruido, pero llegará a ser algo importante. Los mundos empresarial físico y digital están ahora ineludiblemente entrelazados. Por ejemplo, el puerto de Róterdam. Allí gastan cantidades desmesuradas de dinero en ciberseguridad porque los narcotraficantes de los Países Bajos causan interrupciones todo el tiempo. Este mismo año, algunas personas fueron detenidas intentando extraer un contenedor con suministros.
Así pues, los ataques a la cadena de suministro aún no son la norma, pero estoy bastante seguro de que lo serán en los próximos años, especialmente debido a la influencia de los hackers de Estados nación.
¿Qué es más rentable para los hackers: robar y vender datos o pedir un rescate?
Con el ransomware se hacen ambas cosas. Antes era solo el rescate o solo el robo, pero ahora el malware lo cubre todo. Los hackers envían todos los archivos robados a un almacenamiento remoto mientras los cifran. Luego, pueden revender los datos si la víctima no paga el rescate; de este modo, no te quedas tirado por haber malgastado todo este esfuerzo a cambio de nada.
En realidad, los grupos de malware más grandes siguen una especie de principio de «honor entre ladrones». Si pagas el rescate, descifrarán tu disco y eliminarán los archivos de copia de seguridad por su parte porque —y sé que lo de confiar en los delincuentes suena totalmente contrario a la intuición— la confianza es lo que hace que la gente pague más fácilmente.
Otra razón para robar es evitar poner desencriptadores en su malware. Por ejemplo, las empresas europeas pueden dirigir desencriptadores gratuitos a través de nomoreransom.org, una herramienta de Europol. Una vez que encuentran fallos en el código de cifrado, pueden averiguar cómo descifrarlo de forma gratuita. La policía comparte entonces esos descifradores. Si tu malware no contiene descifradores, no se puede analizar. Incluso si estropeas el cifrado, puedes tener una copia de seguridad en tu propio almacenamiento. Si alguien acaba pagando, le envías la copia de seguridad.
Muchos siguen sin pagar el rescate por esa típica política según la cual, si no pagabas, los delincuentes dejarían de hacer estas fechorías. Pero los delincuentes no se dan la vuelta y dicen: «Otra vez hemos fracasado, hagamos otra cosa». Aunque se dediquen a otra cosa, se aseguran de conseguir su dinero como sea.
Has mencionado que algunas personas no saben que están trabajando con ciberdelincuentes. ¿Cómo encuentran los hackers a estos cómplices involuntarios?
Hay todo un campo de estudio sobre la psicología de los ciberdelincuentes que analiza cómo consiguen involucrar a gente. Por ejemplo, los empleados de los centros de llamadas que se encargan de dar soporte al ransomware no suelen saber que están trabajando para delincuentes. Solo se les contrata como mano de obra barata para sentarse detrás de una pantalla de chat y seguir un guión como si fuera cualquier otro producto legítimo. No saben para quién trabajan y les da igual: hoy dan soporte a un hacker, mañana atienden llamadas de IBM o de donde les paguen.