En este artículo vamos a tratar la osmosis por Internet.
Tradicionalmente se entiende a la red Internet como un mundo virtual aparte, sin una relación evidente y constatada con el mundo físico en el cual desarrollamos nuestra vida.
Cada vez más, nuestras vidas se entrelazan con este “escenario virtual”, debido en su mayor parte al uso intensivo del correo electrónico que hacemos, la digitalización de los datos por las administraciones, el uso de la banca electrónica, las bases de datos informatizadas de publicidad, el uso de las news, etc.
Al contrario de lo que la gente piensa, Internet esta tejiendo lazos cada vez más inseparables con el mundo físico y, cada vez más, es importante cuidar de nuestra seguridad en ese mundo virtual como si del mundo físico se tratase.
Este disociación entre la red Internet y el mundo físico que algunos tratan de promover , no es más que pura ilusión.
Precisamente debido a esta pretendida disociación, hemos relajado la guardia en lo que a aplicación de unas normas de seguridad básicas se refiere. Cierto es que en algunos casos la aplicación de dichas normas no depende de nosotros, sin embargo este paradigma también se da en la sociedad física de hoy en día.
Vulnerabilidad de Concepto
La asociación entre el mundo físico y el virtual en este caso se materializa en la disponibilidad pública de información personal de personas relevantes en algunas entidades (bancos, cajas, empresas, etc).
Esta disponibilidad pública es evidentemente una “vulnerabilidad” de concepto, ya que los mismos podrían ser empleados para incidir en el mundo físico realizando un ataque desde Internet contra dichas personas.
De ahí el nombre de este articulo “Osmosis por Internet”, ya que realmente conseguimos un traspaso unidireccional de “problemas” de un medio virtual a un medio físico.
Vamos a ver solamente dos ejemplos, aunque las posibilidades son muchísimo mayores.
Preparando el ataque
Supongamos que un atacante especialmente molesto con el banco X (le acaban de denegar un crédito para comprarse la moto que tanto ansiaba) decide tomar represalias contra la compañía.
Decide igualmente que no es suficiente el daño que podría causar por Internet al negocio, y opta por realizar un daño físico desde su ordenador en su casa.
En cualquier buscador de Internet (por ejemplo Google) busca los componentes del cuadro directivo del banco X.
Se pueden obtener fácilmente los siguientes datos:
- Director General X1
- Director General Adjunto X2
- Director General Adjunto 2 X3
Una vez que se conocen los datos identificativos vamos a proceder a buscar datos personales de los mismos. El primer sitio a buscar son evidentemente los registros locales de donde la compañía tenga su sede social. La base de datos más completa para buscar datos personales (direcciones, teléfonos, etc.) públicamente disponible hoy en día en Internet es la de Telefónica.
Consultando www.paginasblancas.es se obtienen muchos datos personales de los objetivos, así como de sus familiares (a los que nuestro supuesto atacante también pretende incordiar).
Buscando por los apellidos de los integrantes del cuadro directivo (y alguno más a efectos demostrativos), se obtiene:
Nombre
Dirección
Ciudad/Provincia
Teléfono
Familia
X1
Calle Fulanito de cual
28230 perico de los palotes
915555555
Hermana de X3
Calle Amanece que no es poco
Madrid
917777777
Si
X3
Bartola
Majadahonda
917723762
Hijo de X1
Amanecer 8
Madrid 28034
915565555
Si
X2
Avenida de la desesperación 2
Madrid 28033
915556643
Si
Esta información esta disponible también en Offline en las bases de datos de Infobel (búsquese en la mula).
El ataque
El ataque va a tener dos vertientes, la primera es fastidiar todo lo que se pueda de forma anónima y la otra será perpetuar el fastidio de forma casi permanente. (No olvidemos que el atacante quiere fastidiar tanto como le ha fastidiado a él quedarse sin la moto de sus sueños)
Perpetuación
Ya que los datos personales están disponibles sólo en algunos sitios Web consultables públicamente, es menester hacerlos públicos y lograr la mayor difusión posible (el atacado, en cuanto se de cuenta, los intentará borrar de Internet ¿no?)
El mejor sistema para hacer esto es insertar unos cuantos mensajes en las news con todos los datos personales de estas personas. Una vez distribuido por Internet, no se podrán borrar de forma total, debido a su particular naturaleza descentralizada no es posible borrarla para que quede oculta. (Este fue uno de los objetivos de su diseño)
Las news se conservan auto-replicándose por todos los nodos del mundo en Internet, por lo que una vez publicada una información, estará disponible durante varios años y no será técnicamente posible borrarla.
Denegación de servicio
Nuestro atacante, utilizando Google, localiza (para empezar) los formularios online disponibles en Internet para solicitar el envio de publicidad y catálogos de productos.
De un primer vistazo se ve que existen 8.690.000 formularios Standard para introducir los datos y que nos envíen publicidad/información. El construir un software que automáticamente nos introduzca los datos basados en campos fijos en el formulario y que lo envíe de forma automática es trivial. Incluso suponiendo que finalmente solo el 0.5% fuesen validos o que procesasen correctamente la información (links inválidos, paginas desatendidas, empresas quebradas, etc), significan más de 400.000 links válidos.
Una vez se ha dado de alta a toda la dirección del banco X de alta en todos estos formularios, le empezarán a llegar correos e información de todo tipo. Este “Flood” le evitará poder separar el correo legítimo del correo publicitario o SPAM.
Este flood se puede completar con formularios en otros idiomas (chino, ucraniano, alemán, español, etc) los cuales a su vez suman unos cuantos millones más. Es una práctica habitual que estas bases de datos de direcciones se vendan entre unas compañías y otras, por lo que el problema, lejos de arreglarse con el tiempo, es probable que empeore.
Evidentemente, para anonimizar la tarea y/o dificultar la búsqueda del “origen” del ataque, se usará una batería de proxys anónimos y una conexión WIFI convenientemente sin securizar.
Este ataque no creará sino un flood constante de correos de publicidad a la dirección de nuestro objetivo, lo cual le invalidará su dirección postal real como dirección donde recibir cartas personales o de trabajo. Esto, aunque parezca trivial, no tiene fácil solución, ya que será necesario contratar un apartado postal o cambiar de dirección para recibir su correo. Para algunos procedimientos (sobre todo legales) esto es un verdadero quebradero de cabeza, si no inviable por motivos evidentes.
Cuando hablamos de flood, hablamos de sacas y sacas de correos diario al domicilio de nuestro objetivo, no de unos cientos de cartas, por lo que la vulnerabilidad de concepto es grande.
Solución
La solución a esta vulnerabilidad de concepto, es relativamente sencilla de aplicar. Hay que declarar todos los datos personales y los de nuestros familiares como confidenciales.
Para que tal medida se lleve a efecto, se deberán escribir cartas firmadas por los interesados a las distintas organizaciones que los publican solicitando su retirada inmediata de las bases de datos online. Esta solicitud de exclusión ha de extenderse a todas las compañías que comercializan datos privados de personas en Internet.
También deberían establecerse controles para vigilar que no se pongan datos confidenciales de las personas consideradas sensibles para la seguridad de la compañía en un medio público como Internet.
Recordemos que no hace falta ser un virtuoso de la tecnología para atacar a una empresa o persona, basta con tener imaginación (o bastante mala idea). Por ello es primordial que nos protejamos lo mejor posible contra cualquier tipo de ataque de concepto, que sin duda son mucho más peligrosos que los ataques tecnológicos (y costosos).