15.3.12

El peligro de las personas con acceso físico a nuestro ordenador

Originalmente publicado por  Luis Enrique Corredera en elreservado.es, 05 de octubre de 2010  

 

 Privacidad


Trucos para que la seguridad de tu ordenador

Le ocurre a todo el mundo, o casi. A diario vemos cosas a nuestro alrededor que nos resultan normales y ni siquiera nos planteamos la posibilidad de que esos sucesos puedan tener un comportamiento fuera del esperado, a pesar de que los damos por probados y verificados sin habernos cuestionado su validez.

Con frecuencia me oiréis decir que la mayoría de los incidentes de seguridad en Internet y en informática son debidos a un profundo desconocimiento de la tecnología arraigado fuertemente a una gran parte de la población. Que un simple símil de las situaciones “electrónicas” con el mundo real sería suficiente para que los usuarios adoptasen posturas defensivas que evitarían la exposición al riesgo.

Uno de mis ejemplos favoritos es el del chicle en el suelo: cuándo caminas por la calle y encuentras un chicle tirado en el suelo, ¿lo coges y te lo metes en la boca? Entonces, ¿por qué cogéis cualquier programa que encontráis en internet y lo ejecutáis en vuestros ordenadores? Por favor, si respondiste sí a la pregunta del chicle, olvídate de lo de los programas; es el menor de tus problemas :-)

Sin embargo, hay un punto en que el mundo electrónico de la informática y el mundo real se entrelazan de forma peligrosa y este punto es el mundo físico que nos rodea, el que tocamos con nuestras propias manos, el que vemos con nuestros ojos cuando miramos fuera de la pantalla: el mundo real.

La disciplina que se encarga de los problemas de seguridad relacionados con la seguridad en “el mundo material” recibe el nombre de seguridad física, y tiene como objeto estudiar los riesgos que entraña el acceso físico a los dispositivos informáticos y cómo mitigarlos.

Unos trucos de cerrajería informática

Un importante punto de control en seguridad física es el acceso físico a los ordenadores y sistemas informáticos, y no es sólo una cuestión de evitar el robo del ordenador propiamente tal o el daño físico del mismo.

Para todos nosotros debería ser ya un hecho consumado que cualquier persona con acceso físico a un ordenador puede ganar acceso al sistema con permisos de administrador del ordenador con algunas herramientas interesantes disponibles en Internet que permitirán recuperar la clave: [1] cambiar la clave existente [2] o incluso a través del disco de instalación del propio Windows [3] para colocar una “puerta trasera” al ordenador.

Los usuarios de MAC pueden recuperar “su clave olvidada” con disco de arranque del sistema operativo [4], entre otros métodos, y los amantes de Linux, también tenemos nuestro talón de Aquiles [5,6], pudiendo forzar un arranque sin introducir ningún password, y cambiar la clave del administrador.

Los 6 métodos citados son “trucos” de cerrajería informática que nos permitirían recuperar el control sobre un ordenador del que hubiéramos olvidado el password, aunque además de permitírnoslo a nosotros, también le brinda la oportunidad de tomar control total a cualquier persona que tenga acceso físico a nuestro ordenador.

¡Cuidado! Las siguientes frases pueden herir la sensibilidad del lector no geek.

Los lectores con más conocimientos del tema habrán pensado rápidamente en los discos duros cifrados con Bitlocker en algunos Windows [7], el sistema de archivos criptográfico de Windows (EFS) [8] (cuyas debilidades incluso se citan en la Wikipedia [9]), o las unidades cifradas con TrueCrypt [10] o bien lo los discos duros con limitación de acceso por password o huella dactilar, que sirven para evitar la recuperación de información de forma inmediata.

Sin embargo, en estos momentos, y con acceso físico a un ordenador, incluso los discos cifrados con BitLocker y TrueCrypt pueden ser descifrados con software especializado y un método de adquisición muy refinado [11], y el desbloqueo de discos duros limitados con password puede llevarse a cabo con software especializado al alcance de todos [12].

Conclusiones

Tanto en la vida real como en Internet debemos tratar de preservar la seguridad física de nuestros equipos informáticos limitando el acceso físico a los mismos. Ganar acceso físico a los ordenadores y equipos aumenta drásticamente las probabilidades de un ataque exitoso, que puede conllevar la divulgación completa de toda la información almacenada en el ordenador, además de otros riesgos, como la colocación de programas espía para vigilar el uso de los ordenadores e incluso controlarlos remotamente sin nuestro conocimiento.

Hemos visto como el medio físico compromete la seguridad informática, pero lo contrario también ocurre. En el siguiente artículo revisaremos cómo la informática e Internet han puesto en jaque la seguridad física. Como siempre, te espero en ElReservado.es.

Referencias Web
1. Recuperar claves de Windows con Ophcrack live CD:http://sourceforge.net/projects/ophcrack/
2. ERD Commander para Window Vista y XP: http://www.taringa.net/posts/downloads/4558553/ERD-Commander-para-Vista-y-para-Xp-_MU_.html
3. Vídeo tutorial para cambiar clave a un Windows usando el disco de arranque: http://www.youtube.com/watch?v=Tfs3JcktCOk
4. Cómo recuperar la password en un sistema MAC con OSX: http://www.tech-recipes.com/rx/712/mac-os-x-recover-lost-root-password/
5. Recuperar la clave de usuario en Linux usando LILO como gestor de arranque: http://www.linuxinsight.com/what-to-do-if-you-forget-root-password.html
6. Recuperar la clave de usuario en Linux usando GRUB como gestor de arranque: http://www.cyberciti.biz/tips/howto-recovering-grub-boot-loader-password.html
7. Guía para usar Bitlocker paso a paso: http://technet.microsoft.com/es-es/library/cc766295(WS.10).aspx
8. Microsoft EFS: http://technet.microsoft.com/en-us/library/cc700811.aspx
9. Algunas debilidades del sistema EFS: http://en.wikipedia.org/wiki/Encrypting_File_System#Vulnerabilities
10. Truecrypt: http://www.truecrypt.org
11. Descifrado de discos duros con Passware Password Recovery Kit: http://www.lostpassword.com/hdd-decryption.htm
12. AFF Repair station: http://hdd-tools.com/products/rrs/

8.3.12

Secuestro de clics en Facebook

benleto
10 años de Iloveyou
Originalmente publicado por Por Luis Enrique Corredera en elreservado.es, 11 de junio de 2010

No es ningún secreto que una gran mayoría de los usuarios no son conscientes de los riesgos asociados a la navegación en Internet. El uso social de Internet por un gran número de personas (Facebook ha declarado ya 400 millones de usuarios) ha provocado un perverso efecto dominó sobre las relaciones de confianza representado por una sucesión en cadena de una aporética relación de confianza: "si Paco ha metido ahí sus datos, y las fotos de los chiquillos, yo también puedo. Y Paco es buena gente, me puedo fiar de él". No juzgaremos si los "Pacos" del ejemplo son gente de fiar, pero confiar en el uso de una Web, y facilitarle los datos sin pensarlo, por el simple hecho de que otros lo hagan, puede tener un efecto muy nocivo.

Las redes sociales se comportan como arquillos para pescar cangrejos, usando a nuestros amigos y conocidos como cebo para atraernos, hacernos entrar y ver que luego no podemos salir. El exhibicionismo de los usuarios y "la confianza en Paco" han permitido a las redes sociales recopilar una gran cantidad de información, gustos, hábitos y aficiones que permiten segmentar el objetivo de la publicidad de forma muy eficiente. Los gustos los expresamos mediante los botones "me gusta" en las contribuciones de conocidos, o gracias a las nuevas funciones de Facebook, en cualquier página web que se haya subido al carro de lo social. De esta forma compartimos aficiones con los ciberamigos de Facebook, y expresamos que nos gusta lo que le gusta a otros usuarios que conocemos (o que son conocidos de los que conocemos). Apretar el botón "me gusta" se ha convertido ya en un hábito, y consultar lo que "le gusta" a los más allegados forma parte de la agenda diaria ya de muchos (¡eh!, no mires para otro lado, que te estoy viendo). Y es que cuando un sitio Web aglutina 400 millones de usuarios, es fácil convertirse en un objetivo claro para ataques como los ya conocidos spam (correo basura, no deseado), phising (para el robo de  usuarios y claves), y la aparición de otros ataques tal vez no tan conocidos.

El ingenio de Mitnick


En el mundo de la seguridad informática hay diferentes tipos de ataques y amenazas y, si bien me confieso admirador de la elegancia de los ataques y riesgos que aprovechan sutiles debilidades en los protocolos (como las que nos dejó el “verano negro de 2008” [1] y [2]), no puedo negar el ingenio de los ataques sociales que popularizó Kevin Mitnick [3], y que se han ido adaptando en el paso del tiempo a los nuevos hábitos de las personas.

En la primera semana de junio de 2010 hemos asistido a la “puesta de largo” de un nuevo tipo de ataque denominado “LikeJacking” [4,5], y que ha usado Facebook como campo de prueba de su efectividad. El ataque original consiste en la existencia de una página con un atractivo título para los usuarios que incita a visitarlo (además de que “Paco” ha dicho que le gusta): “Un tipo que se saca una foto todos los días durante 8 años” (aunque ahora ya hay variantes con el Mundial de fútbol, Shrek, y otros temas relacionados con famosos como Justin Bievers o el grupo Paramore). Si el usuario sigue el enlace, se le muestra una página que solicita pinchar con el ratón en algún enlace para acceder al contenido (por ejemplo, declarando que es mayor de edad). En este mismo momento y sin que el usuario lo sepa, queda publicado en su perfil que “te gusta” la página que has visitado, como por arte de magia. ¿Magia? ¿Cómo lo han hecho?

De forma simple diremos que la página Web tenía un botón invisible me gusta” de Facebook programado para colocarse justo debajo del ratón en todo momento, manteniéndose invisible (para los puristas de la seguridad, concretamente es un botón en un IFrame que se sitúa debajo del ratón de forma dinámica). ¿Qué ocurre entonces cuando pinchas el enlace declarando que eres mayor de edad, y que quieres ver esas fotos? Pues que pinchas el botón invisible “me gusta”, y con ello de forma implícita invitas a todos tus amigos de Facebook a que visiten la página Web “malvada”. Al más puro estilo romántico de algunos primeros virus de los años 80, el único objetivo de este primer ataque de LikeJacking ha sido demostrar la propagación del problema, sin ningún efecto nocivo, aunque con total seguridad que no tardaremos [6] en ver este tipo de propagación aplicado a troyanos Web y otro tipo de malware y riesgos a los que estamos expuestos al navegar por Internet, así como nuevas formas de propagarse a través de redes sociales [7].

El gusano de Morris


Para los “viejos del lugar” de la seguridad informática este tipo de ataque es una obvia evolución del gusano de Morris [8], aprovechando los vectores de ataque en aplicaciones Web como las peticiones CSRF [9], la técnica de secuestro de clics “ClickJacking” [10] y apoyándose en los mensajes atractivos de la ingeniería social como ya hiciera el virus LoveLetter [11]. Pero no quiero asustaros con todo este alud de tecnicismos, así que vamos por partes.

El gusano de Morris fue el primero de Internet. Un gusano es un tipo de virus (hoy llamados malware) que tiene como objetivo propagarse a sí mismo. Su puesta en marcha en el año 1988 consiguió la infección del 10% de los ordenadores de Internet. Sin duda un clásico para recordar.

Las peticiones CSRF (peticiones de sitio cruzado, en nuestro idioma) son un tipo de ataque que se conoce desde principios de los 90, que fuerzan a un usuario a realizar acciones en páginas Web sin que él lo sepa ¿cómo? Pues incluyendo una imagen en una página Web que realmente no contenga una imagen, sino un enlace a una operación que el atacante quiere que el usuario ejecute. (Si eres un purista de la seguridad, pasa al siguiente párrafo, por favor). Por ejemplo, si en una página Web incluyo una imagen cuya dirección sea " ", en el momento en que un usuario cargue la página Web que tiene la imagen, si tiene abierta una sesión de Hotmail, automáticamente borrará el segundo mensaje que tengas en el buzón. Este ejemplo no funcionará con Hotmail, pero hay muchos productos de correo Web que funcionan de esta forma y son sensibles a estos ataques.

El ClickJacking es uno de los riesgos más peligrosos a los que nos exponemos con la navegación Web al que deberíamos un monográfico, y que literalmente “secuestra los clics" de los usuarios. (Amigo purista, visita esta presentación de la BlackHat [12], a cargo de nuestros ya conocidos Jeff Moss y Jeremiah Grossman [11]).

Y el gancho, lo que pica la curiosidad del usuario es un mensaje atractivo, como nos enseñó el virus LoveLetter, que allá por el año 2000 nos enviaba correos electrónicos con asunto “I love you”, y que superó los 50 millones de infecciones en 8 días. ¿Quién podía resistirse a un correo tan sugerente?

No cabe duda de que las redes sociales han cambiado la forma de vida de los usuarios, empresas y, por supuesto, la delincuencia informática. Me alegra deciros que quienes hayáis seguido los consejos que os dimos en El Reservado en mis artículos anteriores y hayáis navegado con Firefox [13 ] y NoScript [14] habréis sido inmunes a este ataque y sus derivados, mientras que los usuarios de Internet Explorer y Chrome siguen expuestos a los riesgos del ClickJacking. Como dicen los anuncios, no podemos navegar por ti, pero en El Reservado nos comprometemos a enseñarte cómo puedes ir haciéndolo de forma segura, y lo seguiremos intentando artículo tras artículo. Si has confiado en “Paco” y sus enlaces, dale una oportunidad a nuestros buenos consejos ;-)

1. Vulnerabilidad DNS de Dan Kaminsky: http://securosis.com/blog/dan-kaminsky-discovers-fundamental-issue-in-dns-massive-multivendor-patch-r
2. Vulnerabilidad BGP de Anton Kapela y Alex Pilosov: http://www.wired.com/threatlevel/2008/08/revealed-the-in/
3. Kevin Mitnick: http://es.wikipedia.org/wiki/Kevin_Mitnick
4. Gusano de Facebook LikeJacking: http://www.sophos.com/blogs/sophoslabs/?p=9783
5. Facebook Likejacking: http://www.crn.com/security/225300204
6. Gusano Viral en Facebook: http://www.csospain.es/El-gusano-viral-Like-infecta-cuentas-de-Facebook-mediante-cl/seccion-actualidad/noticia-95320
7. Auto-invitación en Facebook: http://www.sophos.com/blogs/sophoslabs/?p=9809
8. El primer gusano de Internet: http://es.wikipedia.org/wiki/Gusano_Morris
9. Ataques de tipo CSRF: http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery
10. Virus Loveletter: http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/I-love-you
11. Jereimah Grossman: http://jeremiahgrossman.blogspot.com/
12. BlackHat Webminars Clickjacking: http://www.blackhat.com/html/webinars/clickjacking.html
13. Firefox: http://www.mozilla-europe.org/es/firefox/
14. Noscript: http://noscript.net/

2.3.12

Aumenta el número de ataques de Phising

Originalmente publicado por  Luis Enrique Corredera en elreservado.es, 29 de mayo de 2010 

 

Málaga. Día 25 de marzo de 2009. Como todos los días 25 de cada mes, Manuel abre su navegador Web, teclea en la barra de direcciones la página Web del banco y se dispone a realizar los periódicos pagos a los proveedores. Con total confianza y naturalidad introduce su usuario y una larga clave compuesta por números y letras que le asignaron en su banco, mientras recuerda cómo tenía que hacer las cosas antes: imprimir la relación de liquidaciones y cuentas, acercarse a la oficina del banco, esperar su turno en una larga cola y ordenar las trasferencias pertinentes. Posiblemente después habría tomado café con el director de la sucursal, y hubieran comentado las dichas y desdichas de sus equipos de fútbol. Sin embargo, ahora podía, gracias a la Internet y los servicios online de la banca, realizar este mismo trabajo en muy poco tiempo.

Tras seleccionar la opción de envío de trasferencias, eligió la cuenta del primer proveedor, escribió la cifra y pulsó el botón enviar. Inmediatamente, la pantalla le pidió, mostrando un teclado dibujado, que introdujera la clave número 46 de su tarjeta de coordenadas. Manuel no dudó en buscar la clave correspondiente y escribirla pulsando estas teclas virtuales con su ratón. No cabía la menor duda de que su banco se preocupaba por la seguridad de sus clientes y exigía estas claves en cada operación que comportara movimientos de dinero. Esto lo reconfortaba. No así el mensaje que mostró su navegador, indicando que el saldo de la cuenta era insuficiente para realizar la operación. Extrañado, obtuvo un extracto de las operaciones y pudo comprobar de la existencia de 5 trasferencias internacionales, por un importe total de 72.000 euros, realizadas apenas dos días antes, a diferentes cuentas, dejando prácticamente a cero la liquidez de su cuenta. Llamó por teléfono al banco para preocuparse por las trasferencias que, por supuesto, él no había ordenado. En el banco le dijeron que habían sido realizadas por Internet, y que sólo él tenía acceso a la gestión online de su cuenta.

Manuel, siendo plenamente consciente de no haber realizado las trasferencias internacionales, acudió a la Policía para interponer una denuncia, sin saber exactamente qué había ocurrido y apurado por la incapacidad de hacer frente a los pagos pendientes. La Policía, con el ánimo de ayudarle, sometieron a Manuel a una larga ronda de preguntas, durante las cuales reconoció haber recibido una notificación por email de su banco, pidiéndole que validara los datos de acceso a la Web en una dirección que adjuntaban en el correo. También pedían, en esa dirección, que introdujera los valores de su tarjeta de coordenadas para validar que fuera correcta.

Facilidad para falsificar un correo electrónico

Para los agentes de policía, no había la menor duda. Manuel, al igual que varios miles de españoles, había sido víctima de un ataque de Phising. Al igual que Manuel, mucha gente cree recibir por email una notificación de su banco habitual, y sigue las instrucciones que aparecen en el email de forma cándida y confiada. No son conscientes de la facilidad que presenta la falsificación de un correo electrónico. España ha sido en 2008 el “líder mundial” en envío de correos electrónicos orientados al robo de credenciales bancarios [1]. Y es que el robo de credenciales bancarios ya no es un ámbito de trabajo de delincuentes de poca monta con un nivel de tecnificación alto [2], ahora es territorio copado por el crimen organizado [3], incluso con su propia bolsa de trabajo para ayudar con el blanqueo y transporte de dinero [4].

Manuel disponía de un software de antivirus. En su empresa había instalado un sistema firewall celosamente configurado y las políticas de seguridad de su sistema informático eran estrictas e infranqueables. Las medidas de seguridad que ofrecía el banco también parecían adecuadas (aunque hemos podido comprobar que insuficientes de todo punto). Miles de personas se esfuerzan cada día por la “seguridad electrónica” de los usuarios de informática e Internet. Sin embargo toda la cadena de protección depende del eslabón más débil: el usuario con escasa cultura tecnológica.

Cada día son más frecuentes los ataques de diversos tipos que tienen éxito por una falta de cultura tecnológica del usuario. Normalmente este tipo de ataques se fundamentan en la materia conocida como ingeniería social [5], de la que su mayor exponente ha sido el mítico hacker Kevin Mitnick (alias Condor) [6], y la única forma de combatirla es a través de la formación. Es cada día más frecuente escuchar cómo personas comentan que han hecho compras por Internet, que consultan sus cuentas bancarias por Internet, o que incluso hacen negocios mediante subastas en Internet, sin ser conscientes del riesgo que asumen a través de su desconocimiento.

Al igual que cualquier otro ámbito de delincuencia, mientras hay gente que trabaja por nuestra seguridad, hay cada día más gente que urde nuevas formas de comprometer nuestra seguridad. Además, cada vez nos encontramos con perfiles más profesionales en el lado de los delincuentes, más preparados y con ataques más elaborados en muchos casos respaldados por organizaciones criminales internacionales.

A pesar de que los bancos son un goloso tarro de miel para los “pescadores” de credenciales, esta práctica se ha visto extendida a otros servicios online con millones de usuarios. Podemos encontrar intentos de phising de credenciales de EBay [7], Skype [8], Gmail [9], Facebook [10], etc.

La combinación de técnicas como el robo de historial (explicado ya en El Reservado en el artículo de Ubercookies) permite saber qué servicios online son usados por la víctima, mejorando así la efectividad del ataque.

Un troyano contra las entidades bancarias

El phising tuvo una gran repercusión entre 2006 y 2008, pero aunque los medios parecen haber enmudecido, el problema sigue existiendo, y cada vez con un mayor grado de especialización. El phising ha evolucionado y el uso de troyanos bancarios [11], que son pequeños programitas que normalmente no detectan los antivirus, y que sirven para robar los credenciales al usuario sin usar email-cebo. Hay troyanos sofisticados, que capturan las pulsaciones de teclado, y capturas de la pantalla para los teclados que tienes que pulsar con el ratón, y que se mueven. Yo mismo he desarrollado uno que comprometía la seguridad de las más grandes entidades bancarias de España en las VI Jornadas Nacionales de Avances de Seguridad en Internet [12], en el año 2008, que aún hoy sigue funcionando, y sin ser detectado por los principales antivirus. Incluso se han encontrado ya especímenes de troyanos bancarios que son capaces de falsificar la información que las páginas Web de los bancos muestran a los usuarios para ocultar las trasferencias que han sido realizadas a través del troyano [13].

La única forma que tendremos de poder defendernos de estos peligrosos ataques es a través de la formación sobre seguridad informática y la desconfianza sistemática de todo lo que te llegue por internet. Procura no hacer caso de correos electrónicos que te pidan tus datos de acceso, aunque lleguen en nombre de tu banco, o de Gmail, de Ebay, o de Facebook, etc. Te lamentarás si lo haces. También evita el uso de software pirata descargado del eMule, Rapidshare, Ares, Pando, o que te haya pasado el vecino en un súper DVD-Todo-En-Uno. Muchos programas pirateados o sus cracks llevan “premio”. Y por supuesto, mantente al día con las actualizaciones de los programas que tienes en tu ordenador: el propio Windows, el Office, el Adobe Reader, el Flash Player,… pues los fallos en el software es hoy uno de los principales vectores de infección, y estos fallos se arreglan con las actualizaciones del fabricante. Si no quieres tener algo en común con nuestro “Manuel” del ejemplo, sigue estrictamente estos consejos.

Nosotros seguiremos poco a poco adentrándote en la culturilla sobre seguridad informática en el El Reservado, desmitificando aquellas amenazas que te acechan mientras tú las ignoras.


Referencias:

   1. España es el país que mas correos de Phising envió en 2008: http://www-03.ibm.com/press/es/es/pressrelease/26643.wss
   2. 7 Detenidos en España por phising: http://muycomputerpro.com/Actualidad/Noticias/7-detenidos-en-Espana-phishing/_wE9ERk2XxDBQjFytuJ1nBx86jHfi-XoGApy7YuiuUA00wphxFgMS3ZC4f6lqz4iP
   3. La Policía Nacional desmantela la ramificación española de una organización criminal rusa dedicada al phising. http://www.policia.es/prensa/090526_1.htm
   4. Bolsa de trabajo para Phising: http://blog.s21sec.com/2010/01/si-no-encuentras-trabajo-es-porque-no.html
   5. Ingeniería social: http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29
   6. Kevin Mitnick: http://es.wikipedia.org/wiki/Kevin_Mitnick
   7. Phising EBay: http://soporte.pandasecurity.com/foro/viewtopic.php?f=169&t=2273
   8. Phising Skype: http://www.vsantivirus.com/phishing-skype-131007.htm
   9. Phising Gmail: http://www.computerworld.com/s/article/9139023/Google_confirms_Gmail_phishing_attack
  10. Phising a Facebook: http://siblog.mcafee.com/consumer/consumer-threat-alerts/facebook-password-reset-scam-threatens-computers-worldwide/
  11. Phising y el troyano bancario: http://www.empresasmantenimientoinformatico.com/blogmantenimientoinformatico/?p=1023
  12. Jornadas Nacionales de Avances de Seguridad en Internet: http://gsii.usal.es/seguridad/
  13. Falsificación de Saldo mediante troyanos bancarios: http://www.pcworldenespanol.com/pcwla2.nsf/articulos/98951988B1E215688525769E000E1322

1.3.12

El poder que acapara Google da miedo

Originalmente publicado por Por Luis Enrique Corredera en elreservado.es, 23 de abril de 2010


Todos conocemos a Google, “El Buscador”. Google llegó en una etapa temprana de Internet para ayudarnos, poniendo orden en esa magnífica caja de pandora llena de información. Recuerdo con cierta nostalgia aquellas primeras veces que entré en el buscador, que no sólo me daba resultados similares o mejores que Altavista, o Yahoo!, sino que además con mi módem de 28,800 kilobauidos descargaba a una velocidad endemoniada gracias a su espartano diseño. No tardó en convertirse en mi buscador de cabecera.

A pesar de su simpleza, Google fue incorporando nuevos servicios de Internet sin entorpecer sus búsquedas: directorio, buscador de grupos de noticias (no las noticias como las conocemos ahora, sino las de Usenet, que usaban el protocolo NNTP y complejas estructuras de servidores, clientes [1] y cachés [2]).

En 2004 Google marcó una importante distancia con otros proveedores de Internet a través de un innovador servicio de correo gratuito, Gmail. Google estaba en boca de todo el mundo, y ofreció Gmail inicialmente como un sistema de suscripción viral, por el cual sólo podías usar Gmail si alguien te había invitado, y a su vez, te concedían un pequeño número de invitaciones. Esta aura de exclusividad se vio incrementada por el hecho de ser el primer sistema de correo gratuito que ofrecía… ¡1 GB por cuenta! Prácticamente acabó con la hegemonía de Hotmail para el correo electrónico. Ofrecía 500 veces más de espacio, y además contaba con la bendición de los reaccionarios grupos de usuarios anti Microsoft.

Maneja gran cantidad de información

Con la incorporación de Gmail, y la increíble velocidad a la que insertaba publicidad relacionada con los correos electrónicos (publicidad con verdadera relación semántica con el contenido de los correos recién recibidos),  muy pronto me hizo mirar de reojo al buscador y rechazar su uso para asuntos profesionales. Google empezaba a dar miedo. No sólo manejaba una gran cantidad de información: también era capaz de relacionarla prácticamente en tiempo real.

¿Recordáis los relatos de Isaac Asimov sobre el futurista computador “Multivac”?  Al más puro estilo de asimoviano, Google es accedido desde millones de terminales de todo el mundo, aunque sin necesidad de un operador que introduzca las preguntas e interprete las respuestas. Ha terminado de forma impune cualquier disputa típica de tarde de café entre amigos: ¿qué es más frío, Ávila o Segovia? ¿En que año se empezaron a emitir los Simpson y en qué cadena? Incluso para personas con un “perfil tecnológico bajo”, entrar en Internet significa abrir Google y escribir allí la dirección que quieren visitar: http://www.elreservado.es. Millones de personas confían ciegamente en Google. Para mucha gente, Internet es Google.

Google ha ido introduciendo nuevos servicios y aplicaciones como Google Desktop, Google Toolbar para los navegadores, que ya me hacían desconfiar y mirar con recelo hacia Mountain View. Mi paranoia con respecto a Google llegó al máximo histórico cuando publicaron el servicio Google Historial Web, que presentaba entre otras cosas, todas búsquedas que un usuario había hecho mientras tenía sesión abierta en Gmail, o las que había hecho a través de la Google Toolbar:  Google te espiaba sin avisarte.

También presentó su navegador web Google Chrome, que además de tener problemas de seguridad desde el primer día [3], al usarlo autorizas irrevocablemente a Google “reproducir, adaptar, modificar, traducir, publicar, ejecutar públicamente, exhibir públicamente y distribuir cualquier contenido” que envíes o muestres con Google Chrome [4], sin importar la autoría, derechos o la clasificación del contenido (¿te imaginas que publican tus correos?). Google recoge muchísima información, la relaciona de forma muy eficiente, y además sabe quién eres. Google acapara mucho poder y da miedo; da mucho miedo.

El impacto de un gran ataque

Con toda esa información de las personas, ¿os imagináis el impacto que podría tener un ataque exitoso a Google?

El pasado día 13 de Enero de 2010 escuchando la radio mientras me afeitaba, un sobresalto acabó con mi perilla: “Google ha detectado un ataque muy sofisticado y dirigido contra (su) infraestructura empresarial, proveniente de China y que ha resultado en un robo de propiedad intelectual” [5].  Según el hacker Jeff Moss (fundador de BlackHat [6], DefCon [7] y actual responsable de seguridad informática de la administración Obama), “esos ataques están bien concebidos y no son el resultado de una simple banda de piratas”. Según Dmitri Alperovitch (Symantec) [8], de una complejidad nunca vista para ataques con fines comerciales, dignos de ámbitos de espionaje gubernamental. Las investigaciones del incidente apuntan a escuelas chinas de científicos especializados en informática como procedencia de los ataques [9], aunque algunas han apresurado a rechazar la autoría de los hechos [10].

No es la primera vez que China toma la primera línea en materia de ataques informáticos [11,12], como por ejemplo la red de espionaje Goshtnet con la que espiaban al Dalai Lama y otros responsables del Tibet, así como embajadas de Alemania, Portugal, India, el Ministerio de Exteriores iraní, etc.

En la declaración oficial [13] del suceso Google reconoce que el objetivo del ataque era conseguir información y acceso a cuentas de correo de activistas chinos a favor de los derechos humanos (contrarios al gobierno chino). Técnicamente, el vector de infección del ataque chino fue la combinación de dos factores explosivos: una versión vulnerable de navegador Web (Internet Explorer 6, aunque el problema de seguridad aprovechado no era públicamente conocido) y la ingeniería social [14] suficiente para hacer que unas personas clave accedieran a páginas Web que habían sido maliciosamente diseñadas para explotar el fallo [15] y colocar los sofisticados sistemas de control remoto.

El choque entre China y Google no se ha quedado en unas declaraciones [16,17], Hillary Clinton ha instado al gobierno chino a investigar los incidentes [18], que también han afectado a un importante número de empresas, entre las que están Adobe y Verisign. Google ha contraatacado, eliminado la auto-censura de los resultados en sus búsquedas [19,20], cosa que ha enfadado bastante a China. El pasado 22 de Marzo de 2010 Google dejó de operar bajo el dominio chino (.cn) y redirigió todas sus clientes al servicio de Hong Kong [21,22,23]. China no hizo esperar su respuesta, y ha estado bloqueando de forma intermitente los accesos a Google.com.hk, y también a Youtube y Blogger. Incluso han anunciado que quitarán a Google de las búsquedas desde los teléfonos Android (móviles de Google) [24].

Sigue atento a El Reservado, tenemos mucho que contarte de privacidad en Internet, ataques, redes zombies y de espionaje, ingeniería social, fallos de seguridad… y recuerda: la próxima vez que consultes algo a “Gooltivac”… desconfía.