Es de dominio público que la mayoría de la tecnología que usamos proviene de la industria militar. Así es, por ejemplo, la construcción del primer vehículo aéreo no tripulado (VANT) en 1916 por el capitán A.H. Low al que denominó “Aerial Target” y que se utilizaría como defensa ante los zepelines. Desde entonces, esos vehículos aéreos han tenido mucha historia y evolución hasta que han llegado a la sociedad como ‘drones’. Estoy seguro de que ya has visto a alguien jugar con un VANT.
¿Qué me dices del GPS que usas en tu móvil?, realmente fue la Armada Estadounidense la que aplicó la tecnología de navegación por satélite para proveer a los sistemas de navegación de sus flotas observaciones de posiciones actualizadas y precisas.
Aunque para adentrarnos en el tema que nos ocupa, nos referiremos a un conflicto bélico que proviene de la mitología griega ¿os suena la guerra de Troya?. Seguro que sí. Explicado en pocas palabras, uno de los puntos destacables de esta historia es cómo los aqueos , que eran un pueblo indoeuropeo de la edad de bronce , se introdujeron en la ciudad fortificada de Troya, a la cual acechaban desde hacía 10 años. Éstos hábiles estrategas, simularon partir, no sin antes hacerles un regalo a los troyanos. El famoso Caballo de Troya, como ofrenda a Atenea, era hueco y en él se ocultaron unos cuantos soldados. Una vez los troyanos habían celebrado la huida y estaban descansando, los aqueos aprovecharon para abrir las puertas de la ciudad y permitir al resto de las fuerzas del ejército aqueo hacerse con ella.
Esta estrategia de ataque que usaron los aqueos, caracterizada por la ocultación de los soldados en el supuesto ‘Caballo de Troya’, fue la que dio nombre a lo que hoy conocemos en el mundo informático como Troyanos.
Y es que los Troyanos informáticos tampoco son tan nuevos y os voy a explicar por qué. Según cuenta en su libro “At the Abyss: an insider’s history of the Cold War. «, Thomas Reed, que fue secretario de la Fuerza Aérea y miembro del Consejo de Seguridad Nacional bajo la presidencia de Reagan (1981-1989), durante los comienzos de los 80, cuando Gorvachov y Reagan se enfrentaban en plena guerra fría, los soviéticos no solo estaban interesados en recomponer su maltrecha economía con la producción y transporte de petróleo y gas, sino que también dedicaron mucho esfuerzo en el espionaje tecnológico de su enemigo. Tal fue el interés, que el KGB soviético tenía un departamento llamado División T, cuyo objetivo era robar y evaluar la tecnología occidental. Pero esta información ya era sabida por los estados unidos gracias a que Francia había conseguido reclutar a un agente de esta sección de investigación tecnológica.
Este mismo agente de la KGB fue el que avisó a los estados unidos que los soviéticos se disponían a comprar un software canadiense para automatizar los sistemas de control de un nuevo gasoducto siberiano. Es ahí donde entra en juego nuevamente el ‘cabayo de troya’, esta vez, convertido en un programa oculto. El llamado ‘Dossier Farewell’, que es el nombre que se le dio a toda esta operación de espionaje, revela que los estados unidos, amparados por la CIA, manipularon el software antes de que los soviéticos lo compraran a los canadienses. Esta manipulación del software de control, permitió que, después de un intervalo de tiempo indicado, el sistema enloqueciera de tal modo que resetearía la velocidad de las bombas y la configuración de las válvulas y de esta manera producir una presión muy por encima de la que las juntas de la tubería podrían soportar. Así pues, en el verano de 1982 los satélites infrarrojos advirtieron de un extraña y potente señal de calor en medio de un lugar del territorio soviético. El gasoducto había explotado.
Antes de que tales indicios pudieran convertirse en una crisis internacional, dado que el comando de defensa aeroespacial norteamericano podría suponer que era un lanzamiento de misiles, Gus Weiss , asesor político de la Casa Blanca en materia de tecnología, inteligencia y asuntos económicos llegó por un pasillo para decirles a sus colegas del CSN (Consejo de Seguridad Nacional) que no se preocuparan, según cuenta Thomas Reed en su libro.
Los troyanos, a los que nos referimos en este artículo, son la evolución del arma utilizada en las historias que os he contado y se puede describir como un programa informático de tipo malware (software malicioso) que intenta colarse en nuestros dispositivos, con la apariencia de un programa normal, una película, un fichero de audio o un documento, y que, si consigue hacerlo, permitirá a los malos controlar y espiar nuestro ordenador para robarnos datos, encriptarlos y pedirnos un rescate o simplemente para hacerlo formar parte de una red de ordenadores con fines maliciosos.
Los troyanos básicos son relativamente fáciles de crear y de distribuir. En Youtube podemos encontrar muchos tutoriales, pero básicamente lo que realizan las herramientas destinadas a ello es crear un programita llamado ‘servidor’ capaz de comunicarse con otro programita llamado ‘cliente’ y que es operado por un hacker. El programa servidor, que seguramente tendrá un envoltorio en forma de programa inofensivo (el caballo) como una linterna para el móvil, un simple juego o similar, avisa al hacker cuando ha infectado a un dispositivo y en ese momento el hacker dispone de un ‘menú’ de acciones para realizar. Desde acceder remotamente al escritorio (pantalla principal) del dispositivo, ver, borrar, o insertar ficheros, activar su micrófono, la cámara de video, o incluso infectar el ordenador con otro virus.
Un troyano se distribuye de muchas formas diferentes teniendo en cuenta quién será el objetivo y la seguridad que éste emplea. Por eso es muy importante para los hackers que atacan un blanco específico hacer uso de la ingeniería social, mediante la cual recopilan previamente todos los datos necesarios para conocer a la víctima y averiguar dónde es vulnerable. Por ejemplo, una estrategia de ingeniería social clásica es dejar caer un pendrive dentro de una empresa. Seguramente algún empleado curioso insertará el lápiz en una computadora y “despertará” al troyano. El hacker ya tendrá control sobre ésta y posiblemente sea capaz de acceder a la red de la empresa.
Pero los hackers también actúan de modo pasivo, es decir, ocultan el troyano en una app para el móvil y esperan a que alguien la descargue, por ejemplo, otra de las formas de distribución clásica, sobre todo para los troyanos bancarios, es mediante el correo electrónico. Por ejemplo, el troyano ‘Dridex’ se distribuía en dos fases. En la primera, mediante un documento Word en forma de factura que llegaba por el correo electrónico. Al abrir el documento, en una segunda fase, se conectaba a un servidor desde el cual se descargaba el código maligno. Después, es cuestión de esperar a que el usuario teclee la dirección del banco para así mostrarle una simulación de la web bancaria y capturar nuestras claves en el momento que intentamos entrar. Lo demás, ya te lo puedes imaginar.
Aquí llegamos a un punto en que podríamos decir que los hackers son malos por robarnos los datos confidenciales con un fin ilícito, ¿no es así? Pero en realidad, en la era del Big Data, es cuando la frase de moda “los datos son el petróleo del siglo XXI” va cobrando cada vez más sentido y tanto hackers anónimos como empresas aparentemente confiables nos pueden estar robando los datos.
Y sino, para muestra un botón, este año, sin ir más lejos se descubrió que la aplicación para Android ‘CamScanner’, una aparentemente inofensiva aplicación para crear documentos PDF, la cual había sido descargada por más de 100 millones de descargas, estaba infectada con un troyano que permitía descargar e instalar cualquier tipo de contenido en el dispositivo de la víctima.
¡Pero aquí no acaba la cosa!, un estudio reciente realizado por Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI) en Berkeley, IMDEA Networks Institute de Madrid, la Universidad de Calgary y AppCensus revisaron el comportamiento y el tráfico de red para más de 82.000 aplicaciones de la Play Store de Google que componían la investigación y que vienen preinstaladas en más de 1.700 dispositivos fabricados por 214 marcas. Dicho estudio concluye en la existencia de un complejo ecosistema de fabricantes, operadores móviles, desarrolladores y proveedores de servicios, además de organizaciones especializadas en la monitorización y rastreo de usuarios y en proporcionar publicidad en Internet. Muchas de las apps preinstaladas facilitan el acceso privilegiado a datos y recursos del sistema sin posibilidad de que un usuario medio pueda desinstalarlas.
Vamos a pensar mal, vamos a suponer que el robot aspirador nos espía para saber el plano de tu casa, que tu cepillo de dientes que se conecta a tu teléfono para monitorizarte la salud dental no envía los datos a una aseguradora de salud sin tu consentimiento , e incluso, vamos a suponer que la muñeca ‘conectada’ que compraste a tu hijo o hija no puede ser hackeada.
En efecto, el Internet de las Cosas (IoT por sus siglas en Inglés) supone una nueva amenaza para la privacidad y la seguridad de las personas. La hiperconectividad en todos los aspectos de nuestro hogar, ropa y ‘wereables’ y demás dispositivos conectados hacen de nosotros una pepita de oro.