El culebrón de John McAfee llega hasta límites insospechados

Desde luego que la noticia de la detención de John McAfee por la policía de Belize llamó la atención de propios y extraños. Desde el primer momento el caso causó revuelo y parecía un guión de novela negra mas que una historia real, un famoso, un asesinato, una escapada, el descubrimiento del escondite de McAfee a través de los datos EXIF. Pero lo que ha publicado el señor McAfee en su blog es digno de película.

Al parecer tras el allanamiento de su propiedad y el asesinato de su perro, John pasó a la ofensiva, compró 75 portátiles a los que instaló un troyano y empaquetó de nuevo como si fuesen nuevos para enviarlos como regalo empleados gubernamentales, oficiales de policía, asistentes del gabinete de ministros y parejas de gente poderosa. Tras esparcir el hardware contrató a 4 personas a tiempo completo para controlar la información recibida y proveer las contraseñas de email, Facebook y otros servicios.

Por si todo esto no se queda corto, afirma que contrató a 23 mujeres y 6 hombres para llevar a cabo una compleja labor de ingeniería social, a estas personas se les entrenó para instalar software en los ordenadores de los objetivos en poco tiempo, mientras dormían, comían o se duchaban ademas de conseguir acceso a los SMS de los objetivos debido a la proximidad.

Por otro lado McAfee utilizó ingenieria social por si mismo para acceder a datos confidenciales de dos compañías de telefonía y así conseguir la red de contactos de sus objetivos principales. Simultáneamente se envió a los ingenieros sociales a realzar una labor de inteligencia a personas clave relacionadas con los ministros gubernamentales equipados con una grabadora, software, regalos, una historia y una sonrisa seductora mientras que McAfee enviaba semanalmente un email al primer ministro reclamando una disculpa que nunca recibió.

Según el autor de toda esta historia, lo que buscaba era algún tipo de revancha y por lo visto encontró algún que otro "trapo sucio" como escarceos amorosos, la presumible homosexualidad del presidente del UDP o la orden de asesinato de Arthur Young por parte del Presidente.

Y la historia no acaba aquí pero no quiero extenderme mucho en esta entrada, podeis seguir leyendo este historia en el blog de McAfee si queréis entreteneros un rato, ya que en mi opinión esto no son mas que los delirios de un señor con ganas de llamar la atención dado lo inverosímil de esta historia.

¿Y vosotros que opináis, creeis que McAfee ha llevado a cabo una de las tramas de espionaje mas elaboradas por una persona o por el contrario veis en esto los delirios de un hombre viejo conocido por sus experimentos con las drogas?

¿Se está librando una ciberguerra?

Si bien hasta hace unos pocos años era bastante escéptico cuando se leia algun artículo en la prensa sobre como la ciber-guerra era un concepto real y que estaba ocurriendo más allá de los sistemas telemáticos standares que supongo utilizaran todos los ejércitos; hoy en día tengo bastante claro que esto está pasando.

Tal vez tanto la opinión pública como los políticos, o incluso los militares, tienden a subestimar las amenazas que no vemos y que son muy técnicas. Todo el mundo entiende y siente una bomba, o un tanque enemigo como una amenaza, sin embargo, poca gente ve en una caja de control scada un potencial agujero en las murallas de la defensa de un país, o en un pendrive en el suelo con fotos de gatitos una amenaza de estado. 

De la misma manera, también es bastante más dificil justificar el gasto público en construir un programa que poca gente pueda ver o manejar, y nadie pueda tocar, y que además, puede quedar obsoleto en cuestión de horas. 

Así, aunque yo no sea especialmente partidario de las soluciones militares a problemas políticos, si que creo que proteger nuestro país, y más concretamente nuestras empresas e infraestructura crítica frente a ataques informáticos ha de ser una prioridad de la defensa.

Tenemos que diferenciar varios tipos de amenazas electrónicas:

• Ciber-crimen: Robo de información bancaria, espionaje industrial, spam, usurpación de identidad, etc.
• Ciber-guerra: Virus para alterar sistemas de enriquecimiento de uranio, intervención de comunicaciones, ataques dirigidos contra centrales eléctricas o oleoductos, etc.
• Ciber-activismo: DDoS, robo de información, ataques de alto impacto mediático, pero técnicamente bastante simples.

Si bien la tercera de estas amenazas la podemos considerar de gran fuerza mediática, el impacto suele ser bastante bajo. El problema radica en las dos primeras, y en la peligrosa mezcla que están haciendo algunos países como China. De manera oficial no está reconocido, pero hoy en día es bastante claro que China cuenta con un ejército de ciber delincuentes en nómina para lanzar ataques precisos contra empresas de todo el mundo (RSA o Google son por ejemplo dos de los casos más sonados).

Y, os preguntaréis ¿Qué es lo que hace falta para tener estas capacidades militares o paramilitares? Dinero. Cuando se habla de ciber ejércitos hay que diferenciar a dos partes: por un lado están los que diseñan los sistemas, crean las armas, y por otro lado están los que las utilizan. De la misma manera que un usuario puede saber hacer un escaneo de puertos, pero puede no conocer como están programados los sockets del programa.

Como con todo, fabricar buenas armas informáticas cuesta bastante dinero. Hay que comprar vulnerabilidades que explotar para que las armas sean efectivas; en caso de defensa, hay que invertir en soluciones y comprar vulnerabilidades de nuestro software antes de que otra gente lo haga.

En conjunto, tanto la ciber defensa, como la ciber guerra, es algo muy caro, y que mueve bastante dinero a lo largo y ancho del mundo. Hay que invertir en seguridad, hay que simular ataques, y hay que ver como nos afectaría, esa es la única manera efectiva que tenemos de poder desarrollar buenas defensas.