La trama delictiva viola la seguridad de más de 420.000 páginas web de todo el mundo.
El mayor robo de contraseñas de Internet hasta el momento. Una red de bandas rusas dedicadas al ciberdelito se ha hecho con más de 1.200 millones de nombres de usuario con sus correspondientes claves y unos 500 millones de direcciones de correo electrónico. Alex Holden, el fundador de Hold Security, una firma de seguridad informática con sede en Milwaukee y que ha descubierto la brecha de seguridad, ha explicado a EL PAÍS desde la cita anual de seguridad Black Hat, en Las Vegas, que el material sustraído pertenece a 420.000 webs de todo el mundo.
La intrusión afecta tanto a pequeñas firmas como a otras de gran tamaño dedicadas a ofrecer servicios de Internet. Un experto ajeno a Hold Security ha certificado, a petición de The New York Times, la autenticidad de la base datos con todas las claves y datos relevantes robados.
El director de Hold Security es un viejo conocido en el mundo del blindaje informático. Hace un año denunció el robo de varios millones de contraseñas de Adobe, compañía creadora de programas de diseño web, como Photoshop.
Con el pago por uso de programas online y las creaciones alojadas en la nube, las implicaciones de estos actos delictivos son más relevantes. En el caso de Adobe se pusieron en peligro tanto los números de tarjetas de crédito como la propiedad intelectual de los usuarios.
Pero en el nuevo episodio de sustracción de datos sensibles que se ha dado a conocer este miércoles la alerta va más allá de lo conocido hasta ahora. La mayoría de los afectados desconocen que sus datos están en manos de delincuentes o no han hecho nada para solucionarlo aún.
La intención de Holden es crear una herramienta gratuita para que los responsables de las webs atacadas sean quienes certifiquen la intrusión y puedan alertar a sus clientes. Desde el caso Heartbleed, que surgió de un error de programación y que convertía en vulnerables a algunas páginas, no se producía una grieta de tal envergadura.
Holden llegó a Estados Unidos en 1989 y trabaja como consultor de seguridad hace cuatro años. Ha dedicado los últimos siete meses a este caso sin esperar ninguna compensación: “sé que después de hacerlo público me esperan varias conversaciones con el FBI, pero es lo natural. Yo sólo quería dar el aviso y demostrar mis conocimientos. Ahora toca cooperar para dar tranquilidad a usuarios y los dueños de empresas”. Este experto se niega a identificar a las compañías afectadas, aunque detalla que no solo son de Estados Unidos.
Jaime Blasco (Madrid, 1986), director de AlienVault, empresa de seguridad radicada en San Francisco, explica cómo funcionan estos ladrones de contraseñas: “recolectan credenciales de correo, Twitter, servicios de redes sociales y después se adentran sus bases de datos”.
Ángel Prado, director de seguridad de la gestora de bases de datos de clientes Salesforce, desgrana algunas claves: “si bien el saqueo de contraseñas no es algo tremendamente innovador, el número de credenciales robadas no tiene precedentes. El modus operandi de estos individuos es buscar vulnerabilidades en sitios web de forma automatizada y extraer información sensible de las diferentes bases de datos. En función de cómo estén almacenadas estas credenciales (texto plano o cifrados), y dependiendo del algoritmo utilizado en su caso, será más o menos sencillo recuperar las contraseñas originales. Una vez hecho esto, podrán validarlas y probarlas en varios sitios de alto perfil (bancos, correos electrónicos, sitios de comercio electrónico, etc.)”.
Lo que más le preocupa a Prado es el uso que se puede dar a estos datos: “un grupo de estas características con acceso a 1.200 millones de posibles contraseñas tendrá la capacidad de construir algoritmos y encontrar patrones a largo plazo que generen métodos de descifrado más perfeccionados”.
Alberto García Illera antiguo pirata informático, es ahora compañero de Prado. En su opinión, este tipo de ataques “no son sofisticados, ya que ni siquiera los propios delincuentes encontraron los fallos, sino que se nutren de sistemas desactualizados o de código desarrollados por otras personas. El problema es que no hace falta ningún nivel de sofisticación para poder hacer uso de esos códigos y robar los datos de millones de personas. No es algo que a los técnicos nos sorprenda, pero para las personas ajenas a este mundo llama mucho la atención”.
En Estados Unidos un ataque parecido al que se ha destapado ahora le costó el puesto al máximo responsable de seguridad de la cadena de supermercados Target. Blasco cree que es posible que sea el mismo grupo: “no son solo rusos, sino diferentes grupos que operan en la zona. En el mercado negro se venden al peso, no es demasiado caro, aunque prefiero no dar precios. En foros especializados venden un millón de credenciales de Gmail como un paquete”.
Esto no quiere decir que Rusia esté libre del ataque. El propio Holden, que ha mantenido comunicación con el grupo de ciberdelincuentes, descarta una conexión entre el gobierno de Putin y los malhechores, pero sí los sitúa entre Rusia, Kazajstán y Mongolia.
Blasco considera que se puede hacer muy poco ante estas situaciones. Como precaución recomienda adoptar rutinas que hagan la navegación más segura: “una buena medida es cambiar las contraseñas cada dos semanas y no repetir entre diferentes servicios. Si roban una y prueban en más sitios, se harán con toda la información. Es de sentido común, pero casi nunca se evita”. En esta misma línea invita a probar, siempre que se ofrezca la autentificación en dos pasos: “Gmail ya lo ofrece. Se introduce la contraseña con el teclado, con normalidad, después llega un SMS al móvil y se debe meter el código temporal que llegue. Para atacar a alguien habría que tener su clave, pero también su teléfono, por lo que se reducen las posibilidades de infracción”.
Prado lamenta la indefensión de los usuarios y da una recomendación similar: “hay que evitar repetir claves. Como mínimo, debemos implementar varios anillos de seguridad: Una contraseña compleja y dedicada para nuestro correo electrónico personal; otra para la banca electrónica, otra para las compras online, y otras para diferentes grupos de páginas habituales (blogs, comunidades online, etc.). De este modo, si un servidor o base de datos es atacada por una brecha de seguridad, nuestra identidad principal no estará afectada”.
“Que no cunda el pánico”, insiste Holden, “si se han cambiado las contraseñas como debería hacerse, es posible que la que tengan esté caducada”. Y añade un último consejo: “procurar no dar demasiada información personal en sitios online”.