Misc 06/06/2015

“Els directius d’empreses i els polítics són el blanc més accessible per a un atac”

Entrevista a J. Nicolás Castellano, organitzador del Congrés de 'hacking' No cON Name i consultor en seguretat informàtica

i
Enric Borràs
4 min
“Els directius d’empreses i els polítics 
 Són el blanc més accessible per a un atac”

J. Nicolás Castellano es dedica professionalment a buscar forats de seguretat en els sistemes informàtics d’empreses, per ajudar-les a millorar, i a assessorar companyies i administracions sobre com defensar-se dels ciberatacs. És mallorquí però viu a Sabadell, ha treballat al Cesicat i com a assessor per al govern espanyol. Va anar a parar al món de la seguretat informàtica gairebé per atzar, tot i que des de petit ha estat envoltat d’ordinadors i són la seva afició. També coordina l’organització del congrés de hacking i seguretat informàtica més veterà de l’Estat, el No cON Name.

¿S’ha trobat enmig de ciberatacs entre empreses competidores? Sí, però en la majoria de casos no m’ho expliquen. Per exemple, operadores d’internet que m’han contractat perquè patien atacs i en sospitaven l’origen. A vegades el responsable pot ser un extreballador o algú de la competència. Però és molt complicat saber segur quin és l’origen real d’un atac, pots aconseguir una adreça IP però després cal una investigació policial per saber qui hi ha al darrere. Fins i tot empreses relacionades amb el sector del reciclatge m’han demanat que els protegís els mòbils i els ordinadors. Amb el coure es mouen molts diners i hi ha molta competència. Hi ha directius que tenen diferents mòbils i els van canviant per evitar que els espiïn.

Un informe del Centre Criptològic Nacional, que depèn del CNI, diu que “el ciberespionatge és la principal amenaça per a la ciberseguretat dels interessos nacionals” espanyols. Sí, i això augmenta. De fet, a la majoria d’empreses, quan els prenen dades, no se n’adonen perquè no saben prou seguretat informàtica. En teoria els governs estan preparats però a la pràctica és més complicat, perquè és un tema que també depèn de la burocràcia, del pressupost... de molts factors. De fet, en el cas d’Espanya, alguns hackers han tret a la llum accessos a dades sensibles i ho han posat a disposició a les autoritats perquè arreglin els forats.

Si cada vegada hi ha més ciberespionatge, ¿com haurien de reaccionar els governs? Sé que s’estan preparant, tot i que això s’hauria hagut d’anar fent des de molt abans. També hi ha empreses que no han cregut mai en la seguretat i ara s’han de posar al dia i ja és molt complicat en les més grans. Aquestes són guerres com les de fa 300 o 400 anys però els camps de batalla i les armes són diferents. Són pel mateix: pel poder, però ara el poder és el coneixement i la informació. I la majoria de gent no està familiaritzada amb la tecnologia. Com a molt coneix les xarxes socials, però no sap coses tan senzilles com que no s’ha de clicar al correu electrònic de Correus, perquè Correus no envia correus electrònics... i segurament és una trampa.

¿Passa el mateix amb els directius i els polítics? Són el blanc més accessible per a un atac. Molts demanen accés a tota la informació al·legant que són VIP a l’empresa, i exigint fer servir l’ordinador personal, que no està protegit. I després hi ha casos d’espionatge en empreses en què aconseguir contractes depèn de tenir certa informació. M’han arribat a demanar que entrés al correu electrònic d’un polític per revelar que havia passat informació confidencial a la competència perquè s’asseguressin un contracte. No ho vaig fer.

Quines conseqüències pot arribar a tenir un ciberatac? Hi ha una llista secreta d’infraestructures crítiques que no poden deixar de donar servei. Si patissin un atac hi podria haver una situació com la de La jungla de cristal 4. ¿Imagina què pot passar si deixa de funcionar la torre de control d’un aeroport? És imprevisible.

Però ¿és factible aquí un atac a infraestructures crítiques? Depèn de quina infraestructura, sí. Totes tenen els seus riscos, per això tenen departaments de seguretat. La seguretat no és només tenir un sistema gairebé invulnerable, també és contenir riscos i baixar al mínim possible l’impacte que poden tenir les amenaces. S’ha d’esperar el pitjor.

El 9-N les webs de la Generalitat ja van patir un atac, encara que no va afectar infraestructures crítiques. Se’n podrà trobar el responsable? És difícil, per les tècniques que es van fer servir en l’atac. Eren botnets -xarxes d’ordinadors de particulars infectats per un atacant- que envien moltes peticions als servidors objectiu fins que els col·lapsen. I a més potser ho va fer una persona contractada. A YouTube, per exemple, pots trobar gent que s’anuncia per fer atacs com aquell a webs a partir de 50 dòlars al dia.

¿Hi ha una indústria de la ciberdelinqüència? Sí, sobretot amb el malware -el programari maliciós- com el ransomware, uns programes que et xifren el disc dur i t’exigeixen diners a canvi de tornar-te la informació. Creix de manera exponencial i hi ha governs que comparteixen llistes per bloquejar les webs que instal·len aquest programari maliciós. A Espanya, sobretot a Catalunya i les Balears, hi ha especialistes a analitzar malware i descobrir les tàctiques dels ciberdelinqüents.

stats