Hackear un correo electrónico cuesta unos 100 euros

La inmensa mayoría de usuarios de internet apenas conocen la punta del iceberg. Asentadas, junto con millones de websites legítimas, en las profundidades ocultas de internet, acecha la ‘deep web’ o ‘web oscura’.

Desde pistolas y drogas hasta detalles de tarjetas de crédito y malware, cualquiera con un conocimiento más o menos avanzado puede tener acceso a cualquier cosa allí por un precio.

Las investigaciones muestran que solo cuesta 450€ comprar una pistola en la web oculta, y si le añades un pasaporte estadounidense y un carnet de conducir cuesta unos 800€. Solo cuesta 100€ piratear una cuenta de correo electrónico, y los informes indican que el targeting de los emails de Hilary Clinton en la polémica campaña americana pudo originarse en esta parte oscura de la web.

Sin embargo, también existe un próspero mercado negro de datos e información corporativos. Una investigación realizada por el Cyber Security Research Institute (CSRI) encontró certificados de firma de código a la venta por unos 1200€ cada uno. Un certificado de estos, en las manos equivocadas, puede comportar serias implicaciones para cualquier organización o persona física. La gran pregunta es: ¿cómo pueden las empresas proteger sus activos para que no se conviertan en otro artículo a la venta en mercados ilícitos online?

 

Una puerta trasera en tus sistemas

Los certificados de firma de código se utilizan para verificar la autenticidad e integridad de las aplicaciones informáticas y el software, y constituyen un elemento vital de Internet y la seguridad de las empresas y los gobiernos. Más importante aún, los certificados de firma de código ayudan al dispositivo de un usuario a determinar que todo el software es auténtico al validar que la aplicación y su desarrollador han sido identificados correctamente por su dispositivo.

El mismo certificado se puede usar en miles de sistemas si todos ejecutan el mismos software, como por ejemplo una aplicación de correo electrónico. Imagina los peligros que entraña que se pueda utilizar un solo certificado de firma que esté comprometido para instalar malware en miles de redes comerciales y dispositivos de consumo. Esto hace que los certificados de firma de código sean extremadamente valiosos para los piratas informáticos y su venta sea extremadamente grave para las empresas puesto que, pensando que están protegidos, tienen un agujero inmenso de seguridad.

Para que os hagáis una idea aproximada del valor de los certificados de firma de código en perspectiva, por el mismo precio que alrededor de 25 certificados de firma de código (25,000 €), es posible contratar a un asesino (si, la deep web tiene de todo).

El uso de certificados de firma de código es una forma de construir una ‘puerta trasera’ en sus aplicaciones y, en última instancia, en el dispositivo que está utilizando para acceder a esos sistemas. Un certificado de firma de código para un sistema operativo móvil, por ejemplo, podría permitir que un hacker se mueva a través de las diversas aplicaciones instaladas en su teléfono que son confiables para el sistema operativo, que ha validado su identidad verificando que su certificado sea auténtico. Esto puede permitir a un experto informático ver todo lo que sucede en su computadora portátil, teléfono móvil o incluso su sistema de calefacción inteligente.

Además de ser utilizado para instalar malware en redes comerciales y dispositivos de consumidores, los certificados de firma de código también se pueden usar para realizar ataques de hombre en el medio (suplantación), permitiendo que un pirata informático extraiga datos de los usuarios.

 

¿Podemos confiar en Internet?

Con más de 30 mil millones de dispositivos que se espera que necesiten llaves y certificados para 2020, un aumento de cinco veces desde 2015, es probable que este mercado aumente. La prueba de que ahora hay un mercado criminal significativo para los certificados pone en duda todo nuestro sistema de autenticación para Internet. También señala la necesidad urgente de desplegar sistemas tecnológicos para contrarrestar el uso indebido de certificados digitales, protegiendo tanto a las empresas como a los consumidores. Pero no solo eso, los gobiernos desprotegidos pueden llevar a crisis de cualquier nivel, incluso mundiales y guerras. Y aunque no lleve a guerras, ¿te imaginas lo que puede hacer una persona con los correos electrónicos privados de un simple alcalde o de un presidente, o de todo un gobierno? Conseguirlos es barato en la deep web y protegerse al 100% es imposible.