La información es poder (y en Internet está toda la necesaria)

asesinato diital

Durante las últimas horas me han estado llegando alertas sobre lo que podrían ser dos de las noticias más importantes del mes.

Las autoridades americanas desmantelan una red de insider trading (EN), o lo que es lo mismo, una compañía aparentemente legítima que se dedicaba a suministrar periódicamente a sus clientes información confidencial de la competencia, o de las empresas analizadas.

Por otro lado, en la DefCon celebrada estos días, Chris Rock, CEO de Kustodian, impartió una conferencia titulada I will kill you (EN) en la que presentaba la “facilidad” con la que un experto puede asesinarte, digitalmente hablando.

Internet como fuente “fidedigna” de información

La forma de trabajar de esta red deja claro que estamos ante una organización profesional, una pata más de esa nueva industria del cibercrimen, cuyas diferencias con el modus operandi de una compañía 100% legal es prácticamente nulo.

Los clientes accedían a una plataforma que contaba incluso con videotutoriales en los que aprender a manejarla, y claro está, servicio de atención al cliente. Y estos pagaban únicamente en función del beneficio obtenido por las filtraciones.

Por debajo, una cadena de subsidiarias ramificadas en diferentes grupos encargados de suministrar información a la plataforma mediante el aprovechamiento de vulnerabilidades y 0Days en algunos de los servidores de servicios de difusión de notas de prensa más importantes del mundo, como PRNewswire, Marketwired y Business Wire.

Servicios que las compañías usan habitualmente para ofrecer información confidencial bajo un estricto timing de publicación a los medios abscritos o propietarios de estos servicios.

De esta manera, los clientes de la red de insider trading tenían acceso a información confidencial antes de que fuera pública, lo que además de ilegal es una ventaja estratégica de cara a realizar movimientos de accionariado, compras, ventas o virajes en sus propias cuentas y/o compañías.

Una suscripción a un servicio que de pronto, podía permitir a un inversor conocer que X empresa va a ser comprada por X otra para inflar sus acciones, o sacarlas justo antes que el resto del mercado conociera unos resultados trimestrales por debajo de lo esperado.

La industrialización de una tipología de crimen (el del fraude de inversiones) que lleva años con nosotros, pero que hasta entonces seguía una estrategia totalmente distinta.

De un entorno en el que ese potencial defraudador tenía acceso puntual a una información confidencial, y se aprovechaba entonces para hacer “el robo del siglo” (sacar el mayor beneficio posible de ese golpe), pasamos a otro en el que la información confidencial llega periódicamente, y por tanto, el objetivo no es pegar el mayor golpe posible, sino justamente mantener un negocio aparentemente legal (con sus idas y sus venidas) que en conjunto salga rentable.

Un “ataque persistente” al sistema que no llame la atención, a fin de cuentas, minimizando el riesgo a que los organismos encargados de controlar el fraude bursátil se dieran cuenta de lo que estaba ocurriendo, y lo mejor de todo, sustentable en el tiempo.

Así de fácil es “matar” a una persona por internet

En el otro extremo, la presentación de Chris Rock en la DefCon de este año saca a relucir la poca seguridad que tienen los sistemas electrónicos de control de defunciones o Electronic Death Record System (EDRS), que son a su vez los usados por los organismos públicos para gestionar los datos clínicos de una persona.

Gracias a ello Chris Rock presentaba una PoC en el que la víctima elegida sería considerada administrativamente muerta, lo que le afectará en su día a día en numerosos escenarios. Desde historial médico (que quedará inaccesible), pasando por la imposibilidad de realizar acciones en sus cuentas bancarias, el cierre automático de los seguros contratados, o cualquiera gestionado por la administración pública.

Además, tan vulnerable es este como el que gestiona los nacimientos, y que permitiría a un atacante modificar información de su identidad o tergiversar la identidad de la víctima, transformándole de facto en un inmigrante en su país (lo que podría afectar a la capacidad de trabajar o disfrutar de los servicios con los que cuenta el ciudadano) o modificando sutilmente la fecha o el nombre para crear problemas con posibles premios, patentes o contratos firmados.

Y lo mejor de todo, es que para realizar estas acciones únicamente se necesita conocer el nombre del doctor asignado a la víctima, su dirección y el número de licencia. El sistema no tiene ningún control extra.

El negocio de la información es un negocio de oro

Decía en el título de este artículo que la información es poder, y creo que queda patente en estos dos casos.

Nos enfrentamos a un entorno en el que el verdadero peligro no es un joven de 15 años oculto en la habitación de casa de sus padres con un ordenador en la mano. Hablamos de una industria que se mueve por lo mismo que se mueven todas las industrias, por el olor del dinero.

Y la información es todavía más valiosa que este, lo que lleva a empresas legítimas a contratar servicios de redes del cibercrimen como las mencionadas. Redes capaces de operar bajo identidades creadas ex profeso para cada campaña, debido principalmente a la lentitud con la que se mueve el sistema.

Nuestra información está cada vez más expuesta en la red, lo cual no estaría mal si se hiciera con las medidas de seguridad oportunas.

Entiendo que el mantenimiento de estos sistemas, habida cuenta de la velocidad a la que se mueve la industria de la informática, es terriblemente complejo de sustentar. Pero de ello dependen nuestros ahorros, nuestro negocio, nuestros derechos y libertades, e incluso nuestra propia vida.

Es crítico que tomemos conciencia del entorno en el que nos movemos. Banalizarlo es como jugar con fuego.