Los criminales están utilizando la computación en nube para compartir información y aumentar la potencia de sus técnicas de piratería.
La nube abre un mundo de posibilidades para la delincuencia informática. A diferencia de los ordenadores zombi y el malware, que han supuesto el pilar principal de la delincuencia informática en la última década, la computación en nube permite disponer de una infraestructura bien gestionada, fiable, escalable y global que, por desgracia, se adapta casi tan bien a las necesidades de cómputo ilícitas como a las comerciales legítimas.
La masa de información almacenada en la nube -incluyendo, seguramente, nuestros números de tarjeta de crédito y de la seguridad social- la convierte en un blanco atractivo para los ladrones de datos. No solo los datos están más centralizados, sino que para los expertos en seguridad y los organismos que vigilan el cumplimiento de la ley y se dedican a hacer de la nube un lugar seguro, su naturaleza misma hace que sea difícil atrapar a los delincuentes. Imaginemos una gran Estación Central virtual donde fuera fácil mezclarse con la multitud o tomar un tren a una jurisdicción lejana más allá del alcance de la ley.
Por encima de todo, la nube pone una inmensa potencia de computación a disposición de casi cualquier persona, incluyendo a los criminales. Los delincuentes tienen acceso a una tecnología de encriptación de fácil uso, así como a canales de comunicación anónimos, que hacen que sea menos probable que sus actividades sean inteligibles o interceptadas por las autoridades. En aquellas ocasiones en que los delincuentes son perseguidos, la capacidad de encontrar y desconectar rápidamente recursos de computación en nube reduce considerablemente las posibilidades de que queden pistas para un análisis forense.
Ampliamente disponible para los criminales
Una de las opciones más sencillas que los criminales están utilizando es simplemente registrar una cuenta (con un nombre falso, por supuesto) y "legítimamente" obtener servicios con fines ilícitos. Los criminales usan Gmail o el sitio de intercambio de texto Pastebin para planificar delitos y compartir información robada con total impunidad. Solo hay que navegar hasta Pastebin.com y teclear "Visa" en el campo de búsqueda para obtener una clara demostración de cómo los números de tarjetas de crédito robados son comprados y vendidos en la nube. A pesar de que estos usos están prohibidos por los acuerdos de términos de servicio de la mayoría de las empresas, la supervisión de la nube resulta cara y, francamente, no muy gratificante.
Los delincuentes con mayores necesidades de computación usan tarjetas de crédito robadas para comprar el acceso a ordenadores y almacenamiento en la nube. Uno de los usos emergentes de la computación en nube es para el descifrado de contraseñas. Para entrar en archivos cifrados, los atacantes ejecutan programas que reiteradamente intentan diferentes contraseñas hasta que se encuentra la correcta. Muchos de los protocolos de seguridad de hoy día fueron diseñados en una época en que los aspirantes a crackers de contraseñas podían tener acceso a solo unos pocos ordenadores. En aquel entonces, los expertos en seguridad consideraban seguro cualquier régimen de seguridad capaz de soportar 30 años de ataques de fuerza bruta. Hoy día, los ordenadores son decenas de veces más rápidos y, gracias a servicios como el Elastic Computing Cloud de Amazon (EC2), un atacante puede alquilar tiempo en cientos de ellos a la vez. El resultado: una contraseña que solía tardar 30 años en ser descifrada ahora puede ser averiguada en pocos días.
Esto no es solo especulación. Los atacantes que irrumpieron en la red de juegos de Sony PlayStation el pasado abril presuntamente utilizaron el EC2 de Amazon para averiguar algunas de las claves cifradas, que les dieron acceso a la información de tarjetas de crédito de decenas de miles de personas. Los hackers llevan discutiendo cómo utilizar el servicio de Amazon para descifrar contraseñas desde el año 2009. Sin embargo, las cosas se pusieron realmente interesantes el pasado año, cuando Amazon añadió capacidad de supercomputación basada en GPU a su oferta en nube. El especialista en seguridad informática alemán Thomas Roth calcula que puede usar las máquinas de Amazon para descifrar el tipo de clave cifrada utilizada para proteger la mayoría de redes Wi-Fi en seis minutos.
El coste, según Roth, sería de tan sólo 1,68 dólares (1,2 euros).
Sin huellas dactilares
Una empresa que trata de negar el acceso por parte de criminales a sus servidores basados en nube es Terremark Worldwide, subsidiaria de Verizon. Según Christopher Day, su vicepresidente de servicios de información segura, la compañía ha desarrollado un sistema capaz de marcar aquellas cuentas que parezcan haber sido creadas por delincuentes. Durante una charla que tuvo lugar en agosto en una conferencia de informática forense en Nueva Orleans (EE.UU.), Day explicó que los delincuentes tienden a encargar máquinas virtuales que tengan la máxima cantidad de memoria, velocidad de procesador y almacenamiento en disco. Los ordenadores de Terremark marcan automáticamente los intentos de solicitud de estos sistemas para proceder a una mayor investigación por el equipo de seguridad de la empresa, señaló.
Aún así, la nube puede dificultar a las autoridades o compañías el seguimiento del crimen digital. Una de las razones es el auge de la, así llamada, tecnología de virtualización, que crea servidores virtuales a partir de numerosos ordenadores reales. Es decir, el ordenador de Terremark que un usuario alquila en realidad podría estar repartido entre una docena o más de unidades físicas de disco dispersas por todo el centro de datos de la empresa. Cuando la máquina virtual se apaga, el almacenamiento asignado a los discos virtuales es rápidamente reutilizado por otras máquinas virtuales, de modo que la información del criminal se sobrescribe con datos de clientes legítimos. Aunque la respuesta ante incidentes y los organismos de aplicación de la ley pueden recuperar datos de utilidad forense de una máquina virtual en funcionamiento, es casi imposible recuperar estos datos después de que la máquina haya sido asignada a otro usuario. En sentido estricto, la máquina ya no existe. Y tampoco existen las pruebas.
Los delincuentes podrían desaparecer incluso de otra manera. Muchos proveedores de servicios en nube ofrecen "diversidad geográfica", es decir, la capacidad de crear máquinas virtuales que se encuentren en diferentes ubicaciones físicas. Los delincuentes pueden utilizar esta función para lograr un tipo de arbitraje jurisdiccional, por ejemplo, para atacar a Estados Unidos desde Asia, o viceversa. Este tipo de ataques a través de las fronteras podrían añadir obstáculos políticos y técnicos a la hora de que las autoridades busquen su fuente.
Software engañoso
Otra de las debilidades explotadas por los delincuentes se deriva de las aplicaciones basadas en Internet, u ofertas de software como servicio, proporcionadas por muchas empresas en nube. Puesto que existen millones de usuarios mezclados entre miles o decenas de miles de máquinas, un criminal puede mezclarse entre dichos usuarios legítimos. Lo que complica más aún a las autoridades y las víctimas es que estos ataques provienen de los programas en nube que utilizamos y en los que confiamos.
Por ejemplo, varios investigadores de la firma de seguridad F-Secure informaron que habían detectado varios sitios de phishing alojados en Google Docs, el software de productividad de oficina basado en nube. Lo que posibilitó los ataques fue una función dentro del sistema de hoja de cálculo de Google que permite a los usuarios crear formularios basados en Internet, con títulos como "Actualización de Cuenta de Correo Electrónico" e "Informar de un Error". Estos formularios, localizados en un servidor de Google, fueron autenticados con un certificado de cifrado de Google y solicitaban información confidencial como por ejemplo el nombre completo del usuario, su nombre de usuario, la contraseña de Google y así sucesivamente, explicaron los investigadores de F-Secure. "Estos ataques son especialmente desagradables, puesto que las páginas dephishing están alojadas en el verdadero google.com, con un certificado [de seguridad] válido", afirmaron.
Riesgo de ataques en masa
Todos compartimos la infraestructura en nube y eso significa que los ataques de piratería podrían causar daños generalizados que afecten a cientos de empresas y millones de usuarios. Ya conocemos algunos casos de "daños colaterales" en nube. En 2009, Twitter fue cerrada durante varias horas después de que un único blogger en Europa del Este se convirtiera en el blanco de los hackers. Los desconocidos utilizaron un ataque de "denegación de servicio", en el que se envía una enorme cantidad de tráfico a un sitio para bloquearlo. Del mismo modo, en marzo pasado un ataque similar procedente de China interrumpió los sitios web de 18 millones de editores con páginas alojadas en WordPress.com, incluyendo el popular blog TechCrunch.
Algunos expertos temen que los piratas comiencen a buscar la manera de infectar el propio tejido de la infraestructura de una nube. Muchos sistemas en nube han sido diseñados asumiendo que los atacantes vienen de fuera, y que ningún usuario malintencionado podría estar presente en el software utilizado para administrar la infraestructura de nube. Day, desde Terremark, por ejemplo, señaló que su compañía descubrió que las herramientas que había comprado para mover máquinas virtuales de un equipo físico a otro lo hicieron utilizando un protocolo de transferencia de archivos sin encriptar. En términos sencillos, esto significa que la máquina virtual de un usuario podría, en teoría, infectarse con malware simplemente moviéndola desde un servidor A a un servidor B. Day no quiso comentar si la vulnerabilidad era algo más que una teoría o si había sido utilizada por atacantes, aunque señaló que Terremark modificó el software una vez que descubrió la vulnerabilidad.
Estos ejemplos representen, quizá, tan solo la superficie del problema. En palabras similares a las del ladrón de bancos Willie Sutton, los datos cada vez están más presentes en la nube. Eso significa que será el blanco de ataques por parte de aquellos dedicados a robar identidades y otra información. Irónicamente, la nube en sí podría proporcionar la potencia de computación necesaria para llevar a cabo estos planes nefastos. Para los criminales, como para los usuarios legítimos, la nube promete computación ilimitada a un coste muy, muy bajo.
Copyright Technology Review 2011.
No hay comentarios:
Publicar un comentario