La seguridad en Internet es una sensación

#InternetResponsable

“La seguridad en Internet es una sensación”, sostiene el abogado argentino especialista en Derecho Informático y de Internet Miguel Sumer Elías, en una entrevista de Claudia Peiró para Infobae.

El experto explica cómo la protección que creemos tener en nuestras computadoras y dispositivos no es tal.

A fines de 2012, un video casero de la actriz Florencia Peña fue subido a la red por gente que lo obtuvo de modo ilegal. ¿Cómo pudo suceder? El experto, consultado por Infobae, traza un cuadro inquietante: la protección que creemos tener en nuestras computadoras no es tal. Archivos, programas y sitios web infectados con troyanos, software desactualizado, tentaciones virtuales o personas malintencionados son algunos de los caminos para espiar y robar nuestros contenidos.

Desde el año 2000 Miguel Sumer Elías es pionero en Latinoamérica en la investigación y análisis en los temas de Derecho, Tecnología e Internet, es fundador y Director desde ese año de www.informaticalegal.com donde se dedica al asesoramiento profesional en la materia.

¿Es posible capturar a distancia los contenidos de una computadora o dispositivo electrónico?

Claro que sí, de hecho es algo que ocurre a diario. Aunque todo depende de la forma en la que se obtengan esos contenidos. Si se realiza sin consentimiento del titular de esa información estamos hablando de delincuentes informáticos, lo que no debe confundirse con “hackers”.

¿Y entonces qué es un “hacker”?

Un “hacker” es en realidad un apasionado de la seguridad de la información que investiga cada avance, código y dispositivo tecnológico y conoce a la perfección el arte de acceder a datos y sistemas informáticos, penetrando -en especial- las barreras de seguridad. Por ejemplo a muchos hackers se los contrata como profesionales en seguridad informática para que analicen la vulnerabilidad de los sistemas de una empresa u organismo. Eso es algo completamente legal, y muy necesario para la salud de la información por cierto. Ocurre que el término quedó muy asociado social y periodísticamente al de delincuente, y esto no es así. No todos los hackers son delincuentes, del mismo modo que no todos los cerrajeros son ladrones.

¿Qué pasa con los antivirus?

La seguridad informática es una sensación. La gente cree que con un antivirus está protegida pero después tiene un comportamiento ilógico en la web, difundiendo datos que no proporcionaría nunca en el mundo físico, infectando su computadora al descargarse programas o juegos “desbloqueados” de sitios de dudosa reputación o haciendo click en cualquier enlace que tengan enfrente. Venimos además de una vieja concepción del “virus”. Antes era muy frecuente escuchar que a alguien le entró un virus y le borró todo el disco rígido, ¿no es cierto?. Hoy esto ya casi no sucede pero no es porque estemos más seguros.

¿Y a qué se debe entonces?

Es porque hoy ya no es negocio destruir datos sino que ahora todo pasa por infiltrar y controlar remotamente las máquinas sin que el usuario lo sepa. Hace no muchos años el virus era un peligro real y muy temido que nos generaba adrenalina y preocupación, en cambio ahora el peligro es más imperceptible, incoloro, inodoro, insaboro e insípido. La gente se relaja en materia de seguridad porque sigue creyendo que está a salvo ya que “no se le borró la información”, o sea, porque no se infectó con un virus.

¿Y cuál es el término a utilizar?

Por ello hoy ya no se habla de virus sino de malware, que es un nombre genérico que se refiere a todo software malicioso o  malintencionado creado con el objetivo de infiltrarse o dañar una computadora o sistema sin el consentimiento de su titular. Dentro del concepto de malware podemos incluir a los virus, troyanos, gusanos, spywares, etcétera. Se estima que sólo el 2% de todo el malware que circula en la web son virus. La mayoría son troyanos que pueden lograr que desde cualquier lugar del mundo se controle la actividad de una computadora, dispositivo móvil o tableta.

¿De qué otra forma puede robarse contenido?

Una forma muy común es estando en el lugar físico donde se encuentra el dispositivo electrónico. Por ejemplo, a una computadora se le puede incorporar un keylogger físico, que es un dispositivo externo que se coloca en el hardware y es capaz de capturar todas las pulsaciones de teclado o impresiones de pantalla y dejarlas almacenadas en una memoria interna. Más fácil aun es colocar un pendrive y copiar los datos. También lamentablemente es bastante común que copien a los datos si se lleva la computadora a un servicio técnico poco fiable. Pueden hacerlo en un suspiro, sobre todo si se trata de una persona famosa. La tentación de acceder a esa información es demasiado grande.

¿Y a distancia es fácil?

Depende. Si el dispositivo tiene vulnerabilidades, está conectado a Internet por banda ancha y no se desenchufa nunca el router, es mucho más fácil para el atacante. Tiene que haber una conexión con el mundo exterior. Casi la totalidad de las máquinas, sobre todo las que tienen Windows, tienen vulnerabilidades. El usuario debe aprender mucho en materia de seguridad de la información.

¿Qué cosas debería aprender por ejemplo?

Al navegar por Internet deberían tomarse recaudos similares a los que se tienen para conducir un vehículo. O sea, de manera segura y responsable. Un conductor con licencia conoce las normas de tránsito, sus responsabilidades y los aspectos más generales de la mecánica. En materia informática por lo general, se recomienda tener en el mundo virtual un comportamiento similar al que se tiene en el mundo físico, usar mucho el sentido común, no abrir archivos o links dudosos o de personas que no se conoce, visitar sitios con buena reputación, no ingresar datos personales en cualquier lado, tener buenas claves, utilizar software original, antivirus, firewall y aceptar los avisos de actualizaciones de software, pues los usuarios tienden a rechazarlos ya que suelen ser molestos. Eso incrementa el riesgo porque los delincuentes estudian cada versión nueva de cada programa para buscar sus vulnerabilidades y, cuando las encuentran, generan un código llamado “exploit” que permite explotar dicha vulnerabilidad y acceder a las máquinas en cuestión. Estos hallazgos se comparten en todos los foros y así simplifican la tarea de infiltrar aquellas máquinas que tengan ese software desactualizado o infectado.

¿Y qué pueden hacer una vez que infiltran las máquinas?

Si tienen acceso remoto pueden hacer lo que quieran, casi siempre sin que el usuario se entere. Pueden acceder a los archivos, borrarlos, copiarlos, modificarlos. Todo.

¿Cuál es la finalidad?

Un ejemplo claro es cuando escuchamos que tiraron abajo un sitio web, sobre todo los gubernamentales, de partidos políticos o de compañías multinacionales. Esto se logra a través de algo llamado botnet, que son redes zombie de computadoras infectadas con troyanos. Como cada sitio tiene un ancho de banda determinado, para tirarlo abajo es suficiente saber cuál es la capacidad máxima de usuarios o de paquetes de datos simultáneos que toleraría esa conexión. Entonces hago que esas miles de computadoras zombies ingresen simultáneamente y logren superar ese límite para denegar el servicio a Internet. Esto se conoce como DDoS o ataque distribuido de denegación de servicio. Un usuario puede creer que su computadora está limpia y por ahí en realidad está atacando a un sitio en ese mismo momento sin que él lo sepa.

¿Para qué les sirve hacer eso?

Esto es un negocio impresionante pues se alquilan o venden estas botnet ya que hay gente poderosa que paga mucho dinero por sabotear sitios opositores o con intereses distintos. Por ejemplo, un partido político que quiera sabotear el sitio web de un rival, o cuando Anonymous ataca sitios que atentan contra la libertad de expresión o de la independencia de Internet. Según varias fuentes, el negocio de las botnet genera más dinero que el propio narcotráfico.

Pero si quiero infiltrar tan solo una computadora en particular, ¿es posible? ¿y cómo?

Claro que es posible y sucede con mucha frecuencia. Generalmente existe previamente un interés especial contra el individuo que será infiltrado o atacado, como ser por espionaje, curiosidad, celos, rencor, resentimiento… Ocurre mucho con parejas, ex parejas o en el ámbito laboral, gubernamental o corporativo. Muchas veces se utiliza una técnica denominada “ingeniería social” que consiste en averiguar los usos, gustos y costumbres de la o las personas en cuestión. Si se trata de un político o un intelectual, se les mando un mail con una invitación tentadora: un congreso en Brasil en el cual se lo invita a ser disertante en el tema que más le gusta. El correo dice “cliquee aquí para ver el Programa” y lo más probable es que hasta un usuario precavido cliquee, creyendo que sólo entra a leer algo y en ese mismo momento se infecta su computadora.

¿Esto está sancionado en el Derecho argentino?

Así es. En caso de encontrar al culpable, éste puede ser sancionado desde la justicia penal, civil y hasta contravencional. En materia civil se lo demandará a reparar económicamente los daños y perjuicios ocasionados por su accionar.

¿Y penalmente?

Penalmente también puede ser castigado, porque en 2008 se incorporaron al Código Penal los llamados “delitos informáticos” a través de la Ley 26.388. Entre otras cuestiones se equiparó la correspondencia electrónica a la de papel y se sancionó tanto el acceso ilegítimo informático como la modificación o borrado de datos. Aunque las penas son ínfimas y hasta ridículas, de 1 mes a 3 o 4 años en el peor de los casos, por lo que difícilmente haya prisión efectiva, a diferencia de lo que pasó con el hacker de las fotos de Scarlett Johansson en Estados Unidos, que recibió 10 años de prisión. Por último, el hostigamiento o el bullying son considerados meras contravenciones para la Ciudad de Buenos Aires, con multas o simbólicos trabajos de utilidad pública.

¿Existe “savoir faire” en Argentina para perseguir estos delitos?

Sí, absolutamente. Hay gente muy capacitada que “sabe hacer” muy bien su trabajo. Existen funcionarios, jueces, fiscales, peritos informáticos y abogados especialistas y dedicados exclusivamente a estos temas. Incluso la Policía Federal Argentina cuenta con una División Delitos en Tecnología y Análisis Criminal y la Policía Metropolitana de la Ciudad de Buenos Aires posee una entrenada División Especial de Investigaciones Telemáticas. Pero se necesita aun más capacitación, financiamiento, reestructuraciones institucionales y vocación política.

¿Esto garantiza el éxito de las investigaciones?

No. Porque a pesar de contar con gente capaz, en la generalidad de los casos la gente no denuncia estos casos por desconocimiento y, una vez denunciado, suelen generarse muchas dificultades en la investigación posterior.

¿Por qué pasa eso?

Por un lado, si los delincuentes son verdaderos profesionales de la seguridad informática, difícilmente dejen huellas rastreables. En cambio, si son más amateurs es otra cosa pues a la enorme mayoría de los delitos informáticos los comete alguien no del todo profesional que deja rastros interesantes. Pero contar con estas huellas no es suficiente pues a veces intervienen personas de áreas no especializadas que suelen cometer muchos errores en la recolección de la evidencia que terminan viciando la prueba informática y generando una nulidad en toda la causa.

Fuente: Infobae e Informática Legal