Cuando pienso en un hacker, admito que lo primero que me vienen a la mente son los típicos hackers o especialistas informáticos de las películas.
Pienso por ejemplo en las mega-pantallas que usa Lucius Fox en El Caballero Oscuro (que no es un hacker per se pero es Morgan Freeman y a él se lo perdono todo):
Pienso en Mr. Robot, una serie en la que un grupo de súper hackers luchan por hundir a empresas multinacionales que controlan el mundo:
Pienso en la película Blackhat, en la que nuestro destino pende del hilo de un duelo entre hackers:
Los medios de comunicación nos han ofrecido una imagen de los hackers muy diferente de la realidad. Creemos que los métodos de hackeo son impresionantes, complejos y están a rebosar de monitores con gráficos en 3D:
Creemos que los hackers usan miles de monitores como Lucius Fox, que deben imitar a Los Vengadores y formar equipo como en Mr. Robot, que controlan nuestro destino como en Blackhat...
En la tele o en Facebook también te toparás con noticias de hackers reales. Los más populares son los que conforman Anonymous. La sobreexposición de este grupo me ha provocado, por ejemplo, que creyera que los hackers anuncian a bombo y platillo sus ataques antes de efectuarlos o que lo único que hacen son DDoS o ataques de degenación de archivos (o "petarlo todo".
Lo que no sospechas es que los hackers aprovechan esta desinformación para engañarte. Ellos saben que tú esperas que cuando seas hackeado de repente te aparezca una gran ventana en el monitor de tu PC con una calavera riendo malignamente mientras de fondo suena alguna música dramática a cargo de Hans Zimmer... Lo que no esperas, y lo que realmente ocurre, es que es posible que ya te hayan hackeado sin que te hayas dado cuenta. Los métodos de hackeo reales son más simples, rápidos y rutinarios de lo que crees. No hay fuegos artificiales que te avisen.
Dicho de forma simple: sobrevalorar los métodos de los hackeros ha sido tu mayor error.
Te traigo los auténticos métodos de hackeo, algunos de ellos revelados por auténticos hackers que no tienen reparos en afirmar, por ejemplo, que tan solo necesitan 3 horas o menos para hackear tu router.
1. La herramienta hacker que puede usar cualquiera contra ti
Uno de los métodos de hackeo más clásico es también uno de los más siniestros: un software, o incluso un dispositivo, que registra cada tecla que presionas en el teclado. Archiva cada mensaje personal, cada contraseña, cada tarjeta de crédito... para pasarlo a un tercero.
Los keyloggers son el sistema de malware más popular, tanto que puede que tengas uno instalado ahora mismo de la mano de alguien conocido. Un compañero sentimental que sospeche de la fidelidad de su compi puede usarlo para confirmar o negar su paranoia. Las leyes de algunos países son demasiado flexibles con este método así que quizás tu jefe lo ha instalado para averiguar si le criticas o no.
2. Los hackers atacan al Pc más vulnerable: tu mente
A continuación tienes una serie de imágenes del blog oficial de seguridad de Malwarebytes. La imagen de la izquierda es siempre la oficial mientras que la derecha es una página web "falsa" cuyo propósito es engañarte para conseguir tus datos privados (lo que se conoce como phishing).
Voy a ser sincero: si no fuese por el "good" y el "bad", no tendría NI IDEA que me estoy adentrando en el famoso engaño del phishing.
"Seamos honestos: el phishing es el tipo de ciber-ataque más simple y a la vez el más peligroso y efectivo", explica Malwarebytes en su artículo. "Eso es porque ataca al ordenador más vulnerable y poderoso del planeta: la mente humana".
3. Con una herramienta común te lo pueden arrebatar todo
Los Packet Sniffers o analizadores de paquetes son herramientas que suelen usar técnicos informáticos para diagnosticar problemas relacionados con la red. Un Packer Sniffer analiza el tráfico de una red y lo presenta de forma que los humanos podamos entenderlo. Si existe un problema en la red, un Sniffer te permite descubrir el dispositivo del que nace el error en cuestión.
El problema es que un Packet Sniffer ofrecerá a un hacker toda la información que intercambias si logra instalarlo en tu red. Y uno de los datos que te puede robar es tu contraseña como administrador de tu ordenador. Si se hace con ella, tiene el poder de hacer lo que quiera en tu red: borrar datos, modificarlos...
Los hackers no necesitan miles de ordenadores ni un súper-equipo de frikis para atraparte: necesitan instalar una herramienta común y conseguir una simple contraseña.
4. Un hacker confiesa su sencillísimo método con Word
Investigando sobre los métodos de hackeo, me he encontrado con una confesión de Lucas Gates en Quora. Gates se considera "hacker profesional".
"Uno de mis métodos favoritos para entrar dentro de una organización es enviarle a alguien un documento Word con un macro `malicioso´. Cuando el empleado abre el documento, aparece este botón amarillo:
"Si el empleado hace clic en el botón, mi malware se instala en su PC. Después, cada 30 minutos, su ordenador se conecta a mi servidor y me permite acceso completo. Desde la perspectiva del usuario, no hay indicación alguna de que su ordenador está controlado a distancia".
5. "Puedes hackear cualquier router WiFi en menos de 4 horas usando nada más que un ordenador viejo y polvo de hadas"
No nos alejemos de Quora todavía. En esta misma página de preguntas y respuestas, Stephen Punwasi ("Rompiendo Internet desde antes de que eso molase" explica lo fácil que es hackear un router WiFi.
"Todos los routers creados después de 2007 tienen algo llamado WiFi Protected Setup o WPS. Es un sistema que conecta dispositivos con solo pulsar un botón. Como si fuera magia, se intercambia un pin de 8 digitos y tu dispositivo se conecta al router. Genial, ¿verdad? Pues no".
"¿No nos habían dicho que nuestras contraseñas debían tener 16 dígitos o más, contener letras y números y algunos caracteres aleatorios por si acaso?".
"Con un pin de solo 8 cifras, solo hay 10.000.000 posibles combinaciones; un número muy trivial. Tardarías horas, en lugar de años, en dar con el pin en cuestión. Pero hay más".
"El WPS está diseñado para romperse en dos contraseñas de 4 dígitos cada una y te da el pin como suma. Eso significa que solo hay 11.000 combinaciones más o menos. En 3 horas puedes entrar en cualquier router".
¿Cómo puedes protegerte de este método en concreto? "Desactiva WPS. No hay solución a esto, es un problema de fábrica".
6. Y el método más sencillo y estúpido es 100% culpa tuya
Acabo este repaso con un método rematadamente sencillo que se debe a un error que cometes tú, tu vecina y una servidora de ustedes. En palabras de Ryan McGeehan, consejero fundador de HackerOne:
"Los hackers esperan que uses siempre la misma contraseña de mierda para todos tus logins porque es para ti la forma más sencilla de usar Internet".
Para un hacker, existen muchas posibilidades de que hackearte en un sitio signifique hackearte en todas partes, ¡incluso si usas una contraseña compleja! "Algunas páginas hacen un trabajo pésimo guardando tus contraseñas para evitar que las roben los hackers. Si los hackers te la quiten de una de estas páginas pésimas, la usarán en las otras páginas con mayor protección".
Que sepas que a veces los hackers no van a por adrede. No tienen una vendetta personal porque les miraste mal en la calle. "Simplemente procesan una especie de contenedor de contraseñas y tú estás dentro de una lista enorme de personas a las que spammean".
Exacto: tu hackeo puede ser una simple casualidad.
¿Y qué puedes hacer tú contra todo esto?
Existen trucos para evitar que te hackeen pero por desgracia no son definitivos porque siempre existe algo que puede fallar: tu mente. Aún así, te he recopilado acciones concretas que puedes iniciar nada más terminar de leer este texto.
- Lucas Gates, el hacker del Word, te recomiendas que uses SIEMPRE la autentificación en dos pasos. "Con este método el atacantes no podrá acceder a la aplicación web con una contraseña robada"
- Ya que estamos, asegúrate de que tu sistema de correos puede filtrar documentos de Office con macros. No sea que caigas en las garras de alguien que sigue los métodos de Gates
- Usa contraseñas diferentes para cada servicio. Es un maldito coñazo. Lo sé. Pero de lo contrario te pasará como a mi: me hackearon World of Warcraft y a partir de ahí me lo hackearon TODO. Ah, y este consejo también cuenta con las contraseñas de administrador
- Práctica la ciber-higiene: ¿verdad que te duchas cada día? (ESPERO) Pues con tu ciber-vida pasa lo mismo. Cada cierto tiempo usa un antivirus como Avast o compañía para limpiar tu ordenador. ¿Cada cuánto tiempo deberías ciber-ducharte? Piensa de tanto en cuando lo siguiente: "hmmm... ¿si mi ordenador fuese una persona, tendría moscas a su alrededor?". En caso afirmativo: ¡a limpiar!
- Utiliza VPN para proteger tus envíos de paquetes de información
- Si recibes un correo extraño, investiga sin hacer clic: ¿el enlace del email es extraño? ¿la ortografía deja mucho que desear? ¿el miedo es un factor importante en el mensaje? Desconfía con tan solo levantar una sospecha
- ¿Crees que has entrado en una web phishing? Introduce una contraseña inventada que no sea la tuya. Si "entras" es que era una estafa como una catedral
- Por el amor de dios: no guardes todas tus contraseñas en un documento llamado "AQUÍESTANMISCONTRASEÑAS.docx". Ahora he exagerado, pero te sorprenderías de la de gente que hace eso
- Acabo con la regla de oro: utiliza el sentido común. A lo largo de este artículo, hemos comprobado que el hacker no ataca al ordenador sino que engaña al usuario. Si sospechas de una página o de un archivo que te acaban de pasar, haz caso de tu instinto y toma precauciones antes de seguir adelante.
No hay comentarios:
Publicar un comentario