CLCERT-ED09-001

En boca cerrada no entran anzuelos

Combatir efectivamente y a largo plazo los intentos de robar nuestra información no solo pasa por elegir usar tecnologías más astutas que no requieran transmitirla sino también por simplemente dejar de darla, al menos a quienes no la cuidan como debieran.

Hace un par de semanas supimos del caso del espionaje de correos de políticos chilenos por un espía (hacker?) argentino. Más allá de las consecuencias políticas, hoy me gustaría discutir con Uds. las razones fundamentales subyacentes en un problema de filtración de información como éste. No debiera ser sorpresa para nadie que el problema no solo tenga raíces tecnológicas sino legales y culturales; lo interesante es cómo la tecnología nos obliga a mirar estos últimos con nuevos ojos.

De acuerdo a los antecedentes disponibles, el espía en cuestión logró recuperar direcciones de correos y contraseñas usando la técnica de "phishing", la que recibe su nombre de la palabra inglesa "fishing" (pescar), donde la “f” es reemplazada por una “ph”: suena igual pero no es lo mismo, es algo falso. Aparentando ser algo que no es, se intenta "pescar" o estafar a quien caiga.

Técnicamente, el phishing consiste en enviar miles de correos falsos (aunque hoy por hoy lucen sorprendentemente reales) que solicitan datos personales simulando venir de instituciones con las cuales el receptor pudiera mantener algún tipo de relación comercial. Para alguien desprevenido, un correo de su banco solicitando actualizar sus claves bajo amenaza de cerrar su cuenta puede sonar tanto o más grave que una carta de embargo. Afortunadamente, con el tiempo muchos de nosotros hemos empezado a detectar e ignorar estos correos y este “cuento del tío” ya lo conocemos. Por lo mismo, la técnica de moda hoy en día es la llamada "spear phishing", literalmente pesca con lanza. Aquí el correo es dirigido a una persona especifica, con nombre y apellido, usualmente incluyendo una referencia muy protocolar al cargo en el saludo. Es probable que este tipo de fraudes, más difícil de detectar, haya sido una de las técnicas usadas por el espía argentino.

El phishing es esencialmente un problema de autentificación, esto es, de cómo el receptor sabe si el que envía el correo es quien en efecto dice ser. Este problema no es nuevo y existen tecnologías para resolverlo tales como firmas digitales (por ej. GPG, S/MIME con certificados). Sin embargo, por simplicidad o quizás falta de adopción de esta tecnología, nos hemos aburguesado en el uso de la red y confiamos en la capacidad humana para detectar quién está del otro lado, frecuentemente con pésimos resultados. Más aún, el phishing funciona porque nosotros (los receptores) tenemos algo valioso para el criminal cibernético: contraseñas, números de cuenta, claves y PINes, direcciones y fechas de nacimiento y expiración de tarjetas. Todo este material es reusable remotamente por el criminal para conseguir bienes, dinero o como punto de partida para realizar estafas más elaboradas.

Por lo mismo, resolver el problema del phishing tiene varias aristas. Por un lado, la persecución policial y judicial de los causantes es ciertamente algo muy importante e imprescindible, pero que desafortunadamente sólo aborda el problema a posteriori. Por el otro, la identificación de correos fraudulentos requiere principalmente de educación pura y simple respecto a cómo detectar fraudes, algo ya conocido por los autores de la Caperucita Roja hace mucho tiempo. Y aunque algunas herramientas automáticas pudieran ayudar (como detección semiautomática, alertas visuales en navegadores y lectores de correo, whitelisting de sitios web, etc.) no es claro que dichos mecanismos sean suficientes en un entorno donde no sólo necesitamos interactuar frecuentemente con potenciales desconocidos sino que la decisión de hacerlo o no es tomada por un ser humano. Puesto en palabras de un antiguo profesor en la Universidad de Chile, "los programas a prueba de tontos no existen, pues ¡los tontos son muy inteligentes!".

En mi opinión, el problema más profundo reside en el valor de la información que tenemos y debemos entregar online (si no, ¡pregúntenselo a Google!). Si una contraseña, clave o número de cuenta sólo puede ser usado una sola vez es probable que su valor disminuya para el criminal que la roba. Este tipo de tecnologías existe desde hace algún tiempo: en el caso de contraseñas, se denominan tokens de autentificación o generadores de contraseñas de uso único. Y aunque es tecnología más cara, tiene el beneficio que sube la vara para el criminal online. Algunos bancos ya la usan para transacciones comerciales en la red. Pero hay quienes recomiendan extender contraseñas de uso único en otros sistemas más pedestres (el correo por ejemplo). Otra técnica útil en este sentido es la utilización de números de tarjeta de crédito de uso único, donde el número de tarjeta usado en cada compra es generado de forma dinámica exclusivamente para esa compra especifica. Tarjetas con "chip", en vez de banda magnética o virtuales (generadas dinámicamente por el banco), son las opciones comunes.

Ahora bien, disminuir el valor a la información no es la panacea pues hay información intrínsecamente valiosa de la cual no podemos prescindir, como mi nombre o mi historial médico. La solución reside en exigir mecanismos y procedimientos públicos (bancarios, de gobierno, etc.) donde la privacidad de nuestros datos valiosos ("robables") se garantice, o al menos existan incentivos legales y comerciales para quienes los almacenan los cuiden. Si cada vez que entregamos nuestros datos privados ellos pueden ser mal usados o robados, ¿por qué no disminuir la frecuencia de dicha entrega? Para una persona/cliente no tiene utilidad alguna cuando instituciones de gobierno o bancarias le solicitan los mismos datos (dirección, teléfono, etc.) repetidamente en cada nueva solicitud de servicios. Sin embargo, sí tiene beneficios para la institución solicitante, pues esta información o su uso tienen valor monetario. Peor aún, si esta información es luego filtrada o robada debido a negligencia o hackeo, es la persona/cliente la principal afectada - aun si el robo ha sido producto de mecanismos de seguridad defectuosos usados por quienes debían protegerla, algo desafortunadamente común. Para el cliente los costos de recuperarse de un robo de información privada comercial son altísimos, y éste paradójicamente no tiene cómo mejorar los mecanismos de seguridad deficientes que causaron su pérdida en primer lugar.

Afortunadamente, muchos países, en particular EE.UU., han encontrado maneras interesantes de disminuir el problema como obligar a reportar públicamente posibles hackeos. Algo que, aunque quizás no disminuye el apetito de información de las instituciones comerciales y de gobierno, en el largo plazo las fuerza a hacer un mejor trabajo para protegerla.

El camino para mantener segura nuestra información privada comercial o personal no sólo pasa por perseguir a quienes lanzan millones de anzuelos digitales cada día, sino en educarnos y poner mecanismos en nuestra sociedad que ayuden a andar con la boca cerrada.

(Una versión de este artículo fue publicado originalmente en la Columna DCC de Terra dccblogs.terra.cl, 24-Abril-2009