Views
3 months ago

La red oscura - Eduardo Casas Herrer

¿Qué es la web profunda (deep web) o red oscura (dark net)? ¿Hay que tenerles miedo? ¿Es, acaso, como pasear por los bajos fondos de una ciudad? ¿Hemos de cuidar nuestra confianza en la red? No solemos pararnos a pensar cómo funciona un motor de búsqueda de Internet y, precisamente, en su manera de actuar se encuentra su punto débil: la araña. Por mucho que se esfuerce el robot, hay lugares a los que no es capaz de llegar porque no está diseñado para ello. Y de esa red oscura a la que no puede acceder solo es visible el uno por ciento, el resto está escondido, como si de un iceberg se tratara. Negocios ilegales, tráfico de armas y de productos, muertes retransmitidas, pornografía infantil… conforman el lado negativo de Internet; un pozo sin fondo que se abre desde nuestras pantallas. El autor de este libro, miembro del Cuerpo Nacional de Policía, que lleva desde 2004 trabajando en la Unidad de Investigación Tecnológica (UIT), nos explica con notable claridad cómo persiguen sin tregua y sacan a la luz los delitos de ese universo desconocido de la red.

legítimos propietarios

legítimos propietarios sean conscientes de ello. No le roban sus contraseñas bancarias, no hacen que se conecte la cámara web, no le cifran sus archivos… En apariencia, nada ocurre, por lo que desconoce que su equipo es un zombi al servicio de un desconocido. Se calcula que hay al menos cien millones de PC en todo el mundo que forman parte de alguna botnet. Estas permiten a un criminal realizar operaciones que no podría llevar a cabo solo con una conexión o con un pequeño grupo de ellas. Puede habilitar los ordenadores de las víctimas como una suerte de servicio de proxies, utilizando las conexiones a Internet de aquellos como si fueran la propia, dificultando así su detección y arresto. Para ello, el hacker, en vez de realizar sus consultas a Internet, hace que uno o varios de los infectados lo hagan por él y después le envíen la respuesta. Incluso puede decidir utilizar aquellos que estén conectados pero no estén consumiendo ancho de banda —por ejemplo, porque su dueño no está usándolo—. El problema de este uso es que si uno de los equipos comprometidos está en manos de la policía, puede rastrear de forma relativamente fácil el lugar del que han salido las conexiones y encontrar así lo que se conoce como servidores de mando y control, esto es, el lugar desde el que se dirige toda la botnet. Por eso los criminales, en vez de realizar la petición directa desde su centro, hacen dos o tres saltos previos, de forma que cada uno lleve a otro ordenador infectado de los, en ocasiones, miles a su disposición. Otro de sus usos más sofisticados es guardar en los zombis porciones de archivos, como una suerte de disco duro virtual. Esto se hace con un sistema redundante para compensar la posible entrada y salida de equipos de la red. De esta forma, aunque alguien detecte lo que está ocurriendo y elimine la infección —con frecuencia, la única forma de hacerlo es volver a instalar un sistema operativo, esta vez legal, tras formatear el disco duro—, los datos seguirán a salvo. Más común es utilizar los ordenadores infectados para enviar correo electrónico no deseado. Estas redes de zombis son responsables de la mayor cantidad de mensajes que nos invitan a comprar falso Viagra o que nos informan de que una señorita rusa imaginaria quiere conocernos. En 2011 las autoridades de Estados Unidos desmantelaron, con la inestimable colaboración de Microsoft, la botnet Rustock, que había operado desde 2006. Tenía bajo su control un millón de ordenadores en todo el mundo, cada uno de los cuales, enviaba veinticinco mil mensajes por hora. Entre el spam se incluían de vez en cuando archivos con un troyano. Si el incauto lo ejecutaba y no tenía antivirus, comenzaba a su vez a ser parte de la red. Los especialistas de Microsoft, después de varios meses de investigación, lograron ubicar los servidores de mando y control, que estaban en cinco ciudades estadounidenses. También la policía holandesa aisló los que se encontraban en su territorio y las autoridades chinas colaboraron para bloquear los dominios de Internet que Rustock utilizaba para funcionar. También la farmacéutica Pfizer, perjudicada por los falsos anuncios en su nombre, la empresa de seguridad FireEye y la Universidad de Washington trabajaron en la operación. Se calculó que hasta el cuarenta por ciento www.lectulandia.com - Página 166

de todo el tráfico mundial de correos no deseados procedía de esta red. Una función de nuevo cuño que tienen las botnet es la minería de Bitcoins, como vimos en el capítulo anterior. Como hace falta mucha capacidad de proceso para conseguir realizar el cálculo de seguridad a tiempo, un hacker que haya tomado el control de doscientos o trescientos equipos tiene una buena oportunidad de hacer un dinero rápido. Otros han sido más agresivos y han diseñado botnets para robar los monederos virtuales de terceros. Aunque, sin duda, el propósito estrella es realizar ataques distribuidos de denegación de servicio. Es una de las acciones más típicas y molestas que llevan a cabo los hacktivistas y, aunque no causan un daño en equipos, sí que pueden causar pérdidas millonarias por la bajada de actividad de las webs involucradas. Consiste en dejar sin servicio un sitio determinado de Internet. Una forma de hacerlo es tener las claves que dan acceso al servidor donde se aloja y, una vez dentro, eliminar su contenido. Ante una página con una protección media esto es muy difícil y, además, puede ser solucionado en cuestión de horas en el peor de los casos. Hay otra forma de evitar que nadie la pueda ver. Una web recibe peticiones de contenido de otros lugares del mundo a las que va respondiendo en orden de llegada. A cada una le envía una serie de datos —que suele ser su propio contenido, lo que cada uno visualizamos en el ordenador—. La cantidad de peticiones que puede responder al mismo tiempo depende de la capacidad de proceso del lugar en que esté alojada y del ancho de banda del que disponga, que suele ser muchas veces superior al de cualquier equipo doméstico. Para saturarlo, solo necesitamos enviar las suficientes peticiones a esa web para que sea incapaz de contestarlas a todas, por ejemplo si tenemos a nuestra disposición otra conexión de capacidad similar a la que queremos dejar fuera de servicio. Es algo parecido al ataque a las conexiones inalámbricas del hotel con el que hemos abierto este capítulo. Eso se conoce como ataque de denegación de servicio básico o simple y es fácil de contrarrestar. Una vez que el defensor sabe qué dirección IP le ataca, le basta con bloquearla, ordenar al sistema que no haga caso a ninguna petición de la misma. La situación se complica si el ataque se lleva a cabo de forma distribuida, desde cientos de ubicaciones diferentes al mismo tiempo, situadas en cualquier lugar del mundo. No hay una pauta que permita realizar una defensa preventiva. Lo único que precisa el atacante, por tanto, es tener a su disposición una botnet que no necesita ser muy grande, pero sí muy dispersa, en cuantos más países diferentes, mejor. Hay empresas que ofrecen esos servicios en foros para hackers dentro de TOR. Ni siquiera es necesario tener los conocimientos necesarios, tan solo pagar por ello. Aunque hay un rango de precios bastante amplio, algunas de las más fáciles de encontrar cobran el equivalente a doscientos dólares en Bitcoins para saturar durante un día un sitio web cualquiera. El portal de Internet sobre información general Prnoticias, conocido por su mordacidad a la hora de informar sobre otros medios, recibió, entre septiembre y octubre de 2013, miles de peticiones por segundo de ordenadores ubicados por todo www.lectulandia.com - Página 167

la red oscura