11/05/2005 16:38


DIEZ AÑOS "APATRULLANDO" LA RED

Los dos equipos españoles de respuesta a incidentes informáticos (CERTs) celebran un década de lucha contra virus y "crackers"


Mercè Molist
Son el teléfono al que llamar cuando intrusos o virus provocan estragos en las redes de empresas y universidades. Se les considera como los bomberos de Internet y, en España, llevan diez años apagando fuegos. Lo han celebrado por todo lo alto, con conferencias y una regata en la playa de Barcelona.


Todo empezó por un virus: el "Gusano de Morris". En 1988, un estudiante creó un código autorreplicante que colapsó por primera vez la incipiente Internet. El Departamento de Defensa de los Estados Unidos encargó a la universidad Carnegie Mellon la creación de un equipo para que aquello no volviese a suceder. Así nació el "Computer Emergence Response Team Coordination Center" o CERT/CC.

Pronto empezaron a surgir equipos similares en Europa, siempre ligados a las universidades. Manel Medina, director del esCERT, lo recuerda: "Fue una corriente liderada por la red académica alemana, con soporte de noruegos, holandeses y franceses. Los primeros CERTs se crearon en 1992, aunque fue en 1995 cuando se generalizaron, a petición del CERT/CC en Estados Unidos, que reclamó soporte europeo ante el aumento de incidentes y la dificultad de atenderlos, debido a la diferencia horaria".

A principios de 1995 se creaba en la Universitat Politècnica de Catalunya (UPC) el esCERT, dedicado a asesorar, prevenir y resolver gratuitamente incidencias de seguridad en la red académica catalana y empresas y administraciones nacionales. En noviembre del mismo año, nacía en Madrid IRIS-CERT, que ofrecía el mismo servicio a la comunidad académica y de investigación española. Rubén Martínez lideraba el proyecto de Madrid, mientras Manel Medina y Jordi Buch hacían lo propio en Barcelona.

Fueron los primeros equipos de seguridad cibernética en España. La criminalidad entonces no era muy elevada, dice Medina: "Más bien había inconsciencia, promiscuidad e irresponsabilidad. Considerábamos que el hecho de que el uso de la red se estuviera extendiendo podía comportar problemas de seguridad y confianza, que frenarían el desarrollo del incipiente comercio electrónico. Creamos el organismo de reacción y prevención antes de que el problema fuera incontrolable".

El primer año, el esCERT trabajó sólo en media docena de intrusiones: "Los atacantes no estaban acostumbrados a ser detectados y no tomaban precauciones. También había empresarios preocupados por castigar a empleados que les habían robado información y demandaban apoyo pericial. No había tradición de sanciones por mal uso de sistemas informáticos y mucho menos legislación", explica Medina.

Desde entonces, los incidentes atendidos no han parado de crecer. En IRIS-CERT se ha pasado de 110, en 1998, a 1.714, el año pasado. Dice Chelo Malagón, miembro del equipo: "Ha habido notables modificaciones en el modus operandi de los atacantes y los tipos de ataques, que han ido siendo más masivos, como gusanos o denegaciones de servicio, lo que dificulta su seguimiento y coordinación".

Añade Medina: "Ha habido una profesionalización de los atacantes. Cada vez hay herramientas más sofisticadas que facilitan su uso a atacantes inexpertos y más maliciosos. La diferencia cualitativa está en la confección de programas maliciosos usados de forma privada por atacantes profesionales, para robar información confidencial de las empresas".

Otro cambio ha sido el tipo de ordenadores objetivo de los ataques, explica Malagón: "Antes eran los servidores pero, al existir mayor conscienciación en estas instalaciones, ahoran son las máquinas de los usuarios finales, que se usan para bombardear sitios o enviar correo basura. Hoy en día son el verdadero talón de Aquiles de Internet".

Medina lo ratifica: "El aumento de ancho de banda no ha ido acompañado de la formación necesaria entre los usuarios para utilizarlo de forma segura. Además, la aparición de programas "peer to peer" ha provocado el crecimiento de los delitos contra la propiedad intelectual y el robo de información".

De todas formas, según el director del esCERT, aunque los incidentes y vulnerabilidades crecen constantemente, "si lo miramos respecto al número de usuarios, veremos que su valor relativo disminuye. Además, los servicios y herramientas que permiten utilizar Internet con seguridad también han crecido".

Con el tiempo, los CERTs han creado una tupida malla en Europa, con 42 equipos coordinados entre sí, lo que conforma un red única en el mundo de seguimiento de incidentes de seguridad informática. Por su origen universitario, han hecho especial hincapié en la formación dirigida a empresas, instituciones y fuerzas de seguridad, con las que mantienen una constante colaboración.

La mejor preparación de las fuerzas de la ley no es una amenaza para la supervivencia de los CERTs, dice Malagón: "Somos complementarios, atendemos incidentes diferentes. Ellos se centran en pedofilia, amenazas, fraudes. Además, somos un enlace entre ellos y nuestra comunidad, proporcionando asesoría para agilizar las denuncias en caso de que una institución lo necesite". Añade Medina: "Somos como los investigadores privados o los vigilantes jurados".

A pesar de sus méritos, la constante en los CERTs españoles ha sido la falta de recursos, que han suplido con imaginación. La financiación de IRIS-CERT procede del Plan Nacional de I+D. El esCERT se financió en un primer momento con ayudas de la Unión Europea y la administración. Cuando se acabaron las subvenciones y sólo quedó la ayuda de la UPC, crearon una empresa de servicios de seguridad, InetSecur.



TRES CASOS QUE HAN HECHO HISTORIA


El director del esCERT, Manel Medina, destaca los tres principales incidentes de seguridad de los últimos diez años en España:

1. La detención de dos hackers, con la colaboración del esCERT, en mayo de 1997, por haber accedido a cuentas de correo de profesores de la Universitat Rovira i Virgili de Tarragona, que sentó un precendente en la intervención de las fuerzas de seguridad en los delitos informáticos. Los  jóvenes, estudiantes de la universidad, fueron los primeros detenidos en España por intrusión en redes informáticas. Se les acusaba de ataques en ordenadores de diversas universidades, el Centre de Supercomputació de Catalunya, un congreso de Internet, una empresa de Canarias, la red ciudadana TINET y el Registro Mercantil de Tarragona. Al final, la universidad retiró los cargos y fueron absueltos.


2. El gusano "I love you", aparecido el 4 de mayo del 2000, que constituyó la explotación masiva de una técnica de ingeniería social para engañar a los usuarios y propagar mundialmente un virus en pocos días. Llegó a infectar al Pentágono y el Parlamento Británico. Se transmitía a través del correo electrónico, como un archivo adjunto a un mensaje con el tema "I love you" (te quiero), lo que provocó que mucha gente lo abriera, creyendo que recibían una carta de amor. Cuando infectaba un ordenador, se autoenviaba a los contactos de su libreta de direcciones. Se cree que procedía de Filipinas.

3. El gusano "SQL Slammer", aparecido el 26 de enero de 2003, que perpetró un ataque de denegación de servicio extremadamente rápido, afectando a una gran mayoría de ordenadores de todo el mundo en muy pocas horas, se dice que infectó a más de 200.000 servidores en un fin de semana. En España tuvo especial incidencia en la red académica. Este pequeño gusano, de sólo 376 bytes, no se transmitía por correo ni necesitaba de la intervención humana directa para infectar los ordenadores. Aprovechaba un agujero en los servidores MS-SQL para colarse automáticamente y, desde allí, buscaba nuevas víctimas en las subredes cercanas, mediante una técnica muy rápida pero que consumía mucho ancho de banda, lo que provocaba que las comunicaciones en las redes afectadas fuesen cada vez más lentas, hasta el colapso.





10 años cuidando la red
http://www.cuidandolared.org
IRIS-CERT
http://www.rediris.es/cert
esCERT
http://escert.upc.edu/index.php/web/es/index.html
CERTs en Europa
http://www.ti.terena.nl/teams/country.html



Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.


<<