Què passa quan els Mossos conviden un 'hacker' perquè els ensenyi com els poden enganyar?

Les denúncies relacionades amb internet s'han quadruplicat en quatre anys i els servidors de la Generalitat reben una mitjana de cinquanta ciberatacs al dia

Una imatge de les jornades de 'Ciberseguretat' que se celebren a l'ISPC de Mollet del Vallès / ACN
Enric Borràs
04/06/2015
4 min

BarcelonaUn 'hacker' vestit amb una samarreta amb l'emblema d'Anonymous –la màscara de Guy Fawkes– ha clonat avui la web d'entrada al correu corporatiu de la Generalitat en un auditori amb més d'un centenar de persones, la majoria agents dels Mossos d'Esquadra, per demostrar fins a quin punt pot ser fàcil enganyar algú. Davant seu ha enllestit una pàgina de 'phishing' preparada per intentar enganyar el director general de la Policia, Albert Batlle. Era l'expert en seguretat informàtica Jordi Serra, i ho ha fet en poc més de cinc minuts, amb eines d'una versió de Linux que qualsevol es pot descarregar i sense teclejar ni una línia de codi.

"Ja veieu com qualsevol noi jove que no tingui res a fer en una tarda pot fer bastant", ha dit Serra després d'ensenyar en directe com n'és de fàcil preparar un clon fals d'una web real i enviar un correu electrònic per enganyar un incaut i aconseguir totes les dades que hi escrigui. Ha demostrat com funciona el 'phishing' i ho ha fet sense haver de patir perquè el detinguessin perquè era un dels ponents de la Jornada de Ciberseguretat que s'ha fet a l'Institut de Seguretat Pública de Catalunya (ISPC) per conscienciar els agents, empresaris i la societat en general.

Serra, membre de l'entitat que organitza el congrés de 'hacking' i seguretat informàtica més veterà de l'Estat, el No cON Name, ha fet la demostració en directe pensant sobretot que el receptor obriria el correu des d'un iPad o un mòbil, on ens fixem molt menys en si l'adreça del navegador és la correcta –tot i això es pot falsejar– o si hi ha el símbol de cadenat que indica que és una web segura. Però no és l'únic expert en seguretat que els Mossos han dut avui al seu camp: Marc Rivero, que treballa a Deloitte, i David Ávila, director de frau i crim electrònic a S21 Sec, han parlat de les últimes tendències en programari maligne. Rivero no s'ha estat de dir amb ironia que, davant de tants policies, es negava a dir que sabia on es pot comprar 'malware'.

Jordi Serra, fent la demostració de 'phishing' davant dels Mossos

Els ponents han coincidit en el fet que l'última tendència, que creix exponencialment, és la del 'ransomware', virus que quan es descarreguen a l'ordinador de la víctima en xifren alguns arxius, de manera ja no hi pot accedir, i l'extorsionen reclamant-li que pagui un rescat a canvi de tornar-li l'accés. "Els últims set o vuit anys hi ha hagut un increment del 100% anual en 'malware' però els casos de 'ransomware' han augmentat un 1.000% i encara creixeran més", ha dit Ávila. Segons Rivero varietats d'aquesta mena de programari maligne com els del virus CryptoLocker o el del fals missatge electrònic de Correus s'han multiplicat especialment des de Nadal.

Mig centenar d'atacs al dia a la Generalitat

Els servidors de la Generalitat reben una mitjana de cinquanta atacs al dia, segons el sotsinspector en cap de Seguretat en Tecnologies de la Informació dels Mossos, Marc Tortellà, tot i que la gran majoria no són atacs dirigits específicament al Govern, com sí que ho van ser els del 9-N, sinó que són hams que s'escampen per la xarxa preparats per pescar qualsevol que cliqui on no toca. A més, és "molt difícil" saber-ne l'origen perquè "van botant de servidor en servidor i la cerca en la majoria de casos és internacional, s'escapa fora de la zona Europol". Tortellà admet que aquesta mateixa dificultat la tenen per trobar els autors dels ciberatacs del 9-N.

Les denúncies relacionades amb internet s'han quadruplicat en tan sols quatre anys: si el 2010 se'n van fer 3.000, el 2014 es va arribar a les 12.600, segons el recompte dels investigadors facilitat per fonts d'Interior. Les més nombroses són les relacionades amb estafes en la compravenda a través de la xarxa, però just darrere hi ha l'espionatge industrial i l'assetjament a través d'internet. "Hi ha molta impunitat en el cas dels delictes amb targetes de crèdit per la dificultat d'obtenir dades de les operadores estrangeres", ha admès el comissari en cap dels Mossos d'Esquadra, Josep Lluís Trapero, i ha dit que Catalunya és dels llocs de l'Estat amb més delictes a través d'internet.

Trapero ha admès que la resposta policial contra aquest tipus de delinqüència és encara "feble" i ho ha atribuït a la "nul·la legislació", la burocràcia i les dificultats per obtenir dades internacionals. A més, ha dit, "el delinqüent ha anat evolucionant" i cal que els que es dediquen a la seguretat informàtica de les organitzacions s'especialitzin més. A tot això cal afegir-hi el mercat negre a internet de programes i eines per fer cibercrim, el "crime as a service", tal com ha dit el sotsinspector en cap de la Unitat Central de Delictes Informàtics dels Mossos, Rubén Mora. Hi ha pàgines on es pot comprar qualsevol eina necessària per fer ciberdelinqüència, de manera que gairebé només cal muntar-la, pràcticament com si fos un moble d'Ikea, i deixar-la a punt per enganyar l'objectiu.

Enginyeria social

Encara que hi ha una gran varietat d'eines i de webs on es poden comprar, la majoria es basen a enganyar l'internauta, a fer-lo clicar a un enllaç perquè sense voler-ho es descarregui un programa maliciós, o a convèncer-lo perquè posi l'usuari i la contrasenya del seu correu electrònic en una web falsa. Aquesta mena d'enganys s'anomenen "enginyeria social", ha explicat el sergent en cap de la Unitat de Ciberseguretat dels Mossos d'Esquadra, Roger Martínez. Es basen en el mateix principi que la clàssica estafa de l'estampeta, ha dit, però la diferència principal és que no són un robatori puntual, sinó que permeten que programes amb mala fe entrin a l'ordinador de la víctima i n'aconsegueixin tota la informació possible o l'estafin fins que se n'adoni i els aturi.

Tots els experts han insistit que el que cal és conscienciar els usuaris d'ordinadors, tauletes i 'smartphones' perquè actuïn a internet amb el sentit comú que van servir fora de la xarxa. "Ja hauríem de saber que ni els bancs ni Correus no ens enviaran correus electrònics per demanar-nos dades personals", ha dit l'expert David Ávila. Però les dades demostren que la majoria dels ciutadans encara no ho tenen clar. Per això Martínez deia que més que "conscienciar" la societat el que cal és "entrenar" la gent perquè estigui prou preparada.

stats