Views
6 months ago

La red oscura - Eduardo Casas Herrer

¿Qué es la web profunda (deep web) o red oscura (dark net)? ¿Hay que tenerles miedo? ¿Es, acaso, como pasear por los bajos fondos de una ciudad? ¿Hemos de cuidar nuestra confianza en la red? No solemos pararnos a pensar cómo funciona un motor de búsqueda de Internet y, precisamente, en su manera de actuar se encuentra su punto débil: la araña. Por mucho que se esfuerce el robot, hay lugares a los que no es capaz de llegar porque no está diseñado para ello. Y de esa red oscura a la que no puede acceder solo es visible el uno por ciento, el resto está escondido, como si de un iceberg se tratara. Negocios ilegales, tráfico de armas y de productos, muertes retransmitidas, pornografía infantil… conforman el lado negativo de Internet; un pozo sin fondo que se abre desde nuestras pantallas. El autor de este libro, miembro del Cuerpo Nacional de Policía, que lleva desde 2004 trabajando en la Unidad de Investigación Tecnológica (UIT), nos explica con notable claridad cómo persiguen sin tregua y sacan a la luz los delitos de ese universo desconocido de la red.

extraían y lo enviaban

extraían y lo enviaban fuera de la Unión a través de los medios habituales. EL DELICADO LÍMITE ENTRE LA ESTAFA Y EL ATAQUE INFORMÁTICO El phishing requiere de la cooperación de la víctima para conseguir su objetivo. Los verdaderos maestros del crimen tratarán de evitar la voluntad del pardillo e ir un paso más allá, que el responsable del engaño sea el ordenador y no la inocencia. Como vimos en el capítulo uno, Internet funciona a través de direcciones IP. Que cada una esté asignada a un nombre (como esferalibros.com, cuya IP es 84.246.209.30) es algo que se gestiona a través de los llamados Servidores de Nombres de Dominio —DNS por sus siglas en inglés— y que sirve para hacer la vida más fácil al usuario, al que recordar números al azar suele resultarle complicado. Nuestros ordenadores guardan en sus tripas un archivo donde están las correspondencias para las páginas que consultamos de forma habitual. De esa forma, al evitar consultas, se gana velocidad de navegación. ¿Qué pasaría si alguien pudiera modificar el servidor o nuestro ordenador y poner, en lugar de las direcciones de los bancos, la suya propia? Esto requiere una mayor sofisticación. No solo hay que crear y alojar las páginas falsas en sitios, sino realizar ataques informáticos a los servidores o preparar un virus que infecte los ordenadores de los usuarios y les cambie ese archivo. Esta modalidad se llama pharming, del inglés farming, labranza, por un juego de palabras con la pesca del phishing. El primer tipo de acción es muy difícil. Los servidores DNS son máquinas con una gran seguridad y cualquier modificación se detectaría en un breve periodo de tiempo. Sin embargo, los ordenadores particulares son mucho, mucho más vulnerables. Sorprende encontrar, todavía hoy, una ingente cantidad de personas que no tienen ningún antivirus instalado. Como ya dijimos, la pregunta no es si sufrirá una intrusión, sino cuántas está sufriendo ya. El esquema de esta estafa se inicia de forma similar al de phishing. Siempre hay que llegar al incauto, de una u otra manera. En este caso el objetivo es colocarle el bichito que han creado —o comprado— los mafiosos. Aunque se puede intentar ubicar en páginas web aprovechando vulnerabilidades, eso requiere un trabajo extra para el que no todos están capacitados. El método más habitual vuelve a ser el correo electrónico con gancho. En este caso basta con que abra un archivo infectado. Intentan que el mensaje cause engaño suficiente. Son habituales mensajes como «¿Esta foto que me han pasado es tuya?» o «Le adjunto la factura por valor de 200 dólares». Por supuesto, no es una foto —no son ejecutables, es decir, no tienen un programa dentro, y nunca puede estar infectado— ni una factura, sino el temido virus que modifica las DNS del ordenador. La inmensa mayoría de antivirus identifica esas amenazas, pero claro, es necesario tenerlo. www.lectulandia.com - Página 128

Una vez que ha efectuado su magia y cambiado el pequeño fichero de Windows que almacena a qué IP corresponde cada página web, solo tienen que esperar. Cuando el usuario teclee en su navegador la dirección de su banco, la página a la que accederá será la fraudulenta. En todos los sentidos parecería la correcta, por lo que el incauto, confiado, está mucho más dispuesto a introducir las claves. Una vez hecho, actúa como en la tipología anterior, redirige a la web legítima y los ladrones ya pueden vaciar los fondos del ciudadano. Cuando se detectó la vulnerabilidad, Microsoft se apresuró a corregirla, protegiendo el archivo —llamado host— de forma que en cualquier sistema operativo actualizado el ataque tiene muy pocas posibilidades de tener éxito. En otros entornos, como los basados en Unix, la protección es menor, aunque debido a la escasez de víctimas potenciales, apenas tienen amenazas. Cuesta lo mismo generar un virus para Windows que para Unix, pero los primeros son más del noventa por ciento del mercado. La amenaza del pharming prevalece. Hay una manera de sufrir el ataque de forma que ningún antivirus puede protegernos. Además de en el ordenador hay otro lugar que almacena una lista de correspondencias entre IP y webs: el router. En principio, para infectarlo haría falta meter un malware que, de nuevo, los antivirus detectarían, puesto que deberían pasar por el PC. Uno de esos encontró, en enero de 2008, la compañía de seguridad informática Symantec. Los delincuentes enviaron de forma masiva correos electrónicos, como ya hemos visto en casos anteriores, que simulaban ser una postal electrónica de la empresa gusanito.com, una web legítima dedicada a remitir ese tipo de animaciones en las que se puede esconder un virus con facilidad. Al ejecutarlo, se modificaba la configuración del router, de manera que reemplazaba la página web de un banco mexicano cuyo nombre no trascendió. Todos los que accediesen desde ese instante a la red que gestionaba ese dispositivo, eran conducidos a la página fraudulenta. Con la extensión de las redes inalámbricas —casi cada hogar tiene una en España — aumenta la posibilidad de esos ataques sin necesidad de programar complicados bichitos. Por desidia o desconocimiento, muchos usuarios no cambian la configuración por defecto de sus routers. Desconocen que las contraseñas son estándar. Es decir, que por cada modelo hay un número escaso y concreto de cifras y números que introducir. Una vez que el intruso ha accedido a la red —hay programas gratuitos que lo hacen y se pueden descargar para cualquier teléfono móvil— puede modificar lo que le interese. Incluido, por supuesto, el archivo de DNS del router, con el que pueden jugar como más les interese. Como el ordenador no ha sido afectado, no es fácil darse cuenta de lo que está pasando. Hacerle esa operación —para la que hay que estar relativamente cerca— a un usuario doméstico puede no salir a cuenta, pero la cosa cambia con WiFis públicas. Las más fáciles de atacar son las de comercios pequeños y restaurantes, que a menudo no incorporan más seguridad que la de un domicilio. Las de centros comerciales o aeropuertos son un objetivo mucho www.lectulandia.com - Página 129

la red oscura