Por Alejandro Hevia, director CLCERT, profesor del Depto. de Ciencias de la Computación, FCFM, Universidad de Chile.

Hace un par de semanas supimos del caso del espionaje de correos de autoridades chilenas por un espía (¿hacker?) argentino. Más allá de las consecuencias políticas, hoy me gustaría discutir con ustedes las razones fundamentales subyacentes en un problema de filtración de información como éste. No debiera ser sorpresa para nadie que esta situación no sólo tenga raíces tecnológicas sino legales y culturales; lo interesante es cómo la tecnología nos obliga a mirar estos últimos con nuevos ojos.

De acuerdo a los antecedentes disponibles, el espía en cuestión logró recuperar direcciones de correos y contraseñas usando la técnica de “phishing“, la que recibe su nombre de la palabra inglesa “fishing” (pescar), donde la “f” es reemplazada por una “ph”; suena igual pero no es lo mismo, es algo falso. Aparentando ser algo que no es, se intenta “pescar” o estafar a quien caiga.

Técnicamente el phishing consiste en enviar miles de correos falsos (aunque hoy por hoy lucen sorprendentemente reales) que solicitan datos personales simulando venir de instituciones con las cuales el receptor pudiera mantener algún tipo de relación comercial. Para alguien desprevenido, un correo de su banco solicitando actualizar sus claves bajo amenaza de cerrar su cuenta puede sonar tanto o más grave que una carta de embargo. Afortunadamente, con el tiempo muchos de nosotros hemos aprendido a detectar e ignorar estos correos y este “cuento del tío” ya lo conocemos. Por lo mismo, hoy la técnica de moda es la llamada “spear phishing“, es decir, “pesca con lanza”. Aquí el correo es dirigido a una persona especifica, con nombre y apellido, y es usual que en el saludo incluya una referencia muy protocolar al cargo. Es probable que este tipo de fraudes, más difícil de detectar, haya sido una de las técnicas usadas por el espía argentino.

El phishing es esencialmente un problema de autentificación, esto es, de cómo el receptor sabe si el que envía el correo es quien en efecto dice ser. Esto no es nuevo y existen tecnologías para resolverlo tales como firmas digitales (por ej. GPG, S/MIME con certificados). Sin embargo, por simplicidad o quizás falta de adopción de estas tecnologías, nos hemos aburguesado en el uso de la red y confiamos en la capacidad humana para detectar quién está del otro lado, frecuentemente con pésimos resultados. Más aun, el phishing funciona porque nosotros (los receptores) tenemos algo valioso para el criminal cibernético: contraseñas, números de cuenta, claves y PINes, direcciones, fechas de nacimiento y expiración de tarjetas. Todo este material es reusable remotamente por el criminal para conseguir bienes, dinero o como punto de partida para realizar estafas más elaboradas.

Por lo mismo, resolver el problema del phishing tiene varias aristas. Por un lado, la persecución policial y judicial de los causantes es ciertamente algo muy importante e imprescindible. Pero  sólo aborda la situación a posteriori. Por el otro, la identificación de correos fraudulentos requiere principalmente de educación pura y simple respecto a cómo detectar fraudes; algo ya conocido por los autores de la Caperucita Roja hace mucho tiempo. Y aunque algunas herramientas automáticas pudieran ayudar (como detección semiautomática, alertas visuales en navegadores y lectores de correo, whitelisting de sitios web, etc.) no es claro que dichos mecanismos sean suficientes en un entorno donde no sólo necesitamos interactuar frecuentemente con potenciales desconocidos, sino que la decisión de hacerlo o no es tomada por un ser humano. Puesto en palabras de un antiguo profesor en la Universidad de Chile, “los programas a prueba de tontos no existen, pues ¡los tontos son muy inteligentes!”.

En mi opinión, el problema más profundo reside en el valor de la información que tenemos y debemos entregar online (sino ¡pregúntenselo a Google!). Si una contraseña, clave o número de cuenta sólo puede ser usado una sola vez es probable que su valor disminuya para el criminal que la roba. Este tipo de tecnologías existe desde hace algún tiempo: en el caso de contraseñas, se denominan tokens de autentificación o generadores de contraseñas de uso único. Y aunque es tecnología más cara, tiene el beneficio que sube la vara para el criminal online. Algunos bancos ya la usan para transacciones comerciales en la red. Pero hay quienes recomiendan extender contraseñas de uso único en otros sistemas más pedestres (el correo por ejemplo). Otra técnica útil en este sentido es la utilización de números de tarjeta de crédito de uso único, donde el número de tarjeta usado en cada compra es generado de forma dinámica exclusivamente para esa compra especifica. Tarjetas con “chip”, en vez de banda magnética o virtuales (generadas dinámicamente por el banco), son las opciones comunes.

Ahora bien, disminuir el valor a la información no es la panacea pues hay información intrínsecamente valiosa de la cual no podemos prescindir, como el nombre personal o el historial médico. La solución reside en exigir mecanismos y procedimientos públicos (bancarios, de gobierno, etc.) donde la privacidad de nuestros datos valiosos (”robables”) se garantice, o al menos existan incentivos legales y comerciales para que quienes los almacenan los cuiden. Si cada vez que entregamos nuestros datos privados ellos pueden ser mal usados o robados, ¿por qué no disminuir la frecuencia de dicha entrega? Para una persona/cliente no tiene utilidad alguna que instituciones de gobierno o bancarias le soliciten los mismos datos personales (dirección, teléfono, etc.) una y otra vez tras cada nueva petición de servicios. Sin embargo, sí tiene beneficios para estos organismos pues dicha información o su uso posee valor monetario. Incluso peor: si esta información es luego filtrada o robada debido a negligencia o hackeo es la persona/cliente la principal afectada, aun si el robo ha sido producto de mecanismos de seguridad defectuosos usados por quienes debían protegerla; algo desafortunadamente común. Para el cliente los costos de recuperarse de un robo de información privada comercial son altísimos, y éste paradójicamente no tiene cómo mejorar los mecanismos de seguridad deficientes que causaron su pérdida en primer lugar.

Por fortuna, muchos países, en particular EE.UU., han encontrado maneras interesantes de disminuir el problema, como obligar a reportar públicamente posibles hackeos. Algo que tal vez no disminuye el apetito de información de las instituciones comerciales y de gobierno, pero en el largo plazo las fuerza a hacer un mejor trabajo para protegerla.

El camino para mantener segura nuestra información, comercial o personal, no sólo pasa por perseguir a quienes lanzan millones de anzuelos digitales cada día, sino en educarnos y poner mecanismos en nuestra sociedad que nos ayuden a andar con la boca cerrada.