Seguro que a muchos les suena ya el término ciberseguridad: son habituales las noticias sobre empresas y personas que han sufrido las consecuencias de virus informáticos, intentos de suplantación de identidad, ataques de hackers malintencionados u otras amenazas de Internet. La mayoría de la gente, en su día a día, utiliza diversos servicios a través de aplicaciones móviles. Nuestros datos se suelen almacenar en entornos de nube alojados por empresas y Gobiernos en sus centros de datos. Cada uno de esos lugares está expuesto a distintas amenazas de ciberseguridad y sujeto a diferentes leyes (por ejemplo, de privacidad).
Pero ¿qué significa todo esto en la práctica y qué debes saber para proteger tu vida digital? La ciberseguridad es un tema complejo y para entenderlo se necesitan años de experiencia, pero queremos que aprendas los conceptos básicos, de modo que puedas adquirir las competencias digitales esenciales para protegerte en Internet.
Este curso está dividido en varias secciones fáciles de entender, pero también incluye enlaces externos para obtener información más detallada. Empecemos por la definición de ciberseguridad.
Definición de ciberseguridad
El diccionario Merriam-Webster define la ciberseguridad como «las medidas adoptadas para proteger un ordenador o sistema informático (por ejemplo, en Internet) contra los ataques o el acceso no autorizado».
En esta definición solo se habla de los ataques o el acceso sin autorización a sistemas informáticos, pero en Wikipedia, este tema se contempla como algo más amplio. La definición de Wikipedia es la siguiente:
«La seguridad informática, ciberseguridad o seguridad de las tecnologías de la información (seguridad de TI) es la protección de los sistemas y redes informáticos contra el robo o los daños de su hardware, software o datos electrónicos, así como contra la interrupción o el desvío de los servicios que prestan».
Así que, básicamente, la ciberseguridad es el arte de proteger los sistemas informáticos contra los hackers malintencionados y contra las amenazas accidentales o no intencionadas (como fallos del sistema, desastres naturales o accidentes). Esta es la definición que utilizaremos en este curso.
Por otra parte, así es como Wikipedia define el término hacker:
«Un hacker informático es un experto en informática que emplea sus conocimientos técnicos para lograr un determinado objetivo, o superar un determinado obstáculo, dentro de un sistema informático. Aunque el término “hacker” puede hacer referencia a cualquier programador experto, en la cultura popular se ha asociado a los “hackers de seguridad”. Son personas que utilizan sus conocimientos técnicos sobre errores de software o exploits para introducirse en los sistemas informáticos y acceder a datos que, de lo contrario, no estarían a su alcance. A veces, las fuerzas policiales aplican técnicas propias de los hackers para recopilar pruebas sobre delincuentes y otras personas malintencionadas. Por ejemplo, pueden usar herramientas de anonimato (como una VPN [red privada virtual] o la dark web [Web oscura]) para encubrir su identidad en línea, haciéndose pasar por delincuentes. Los agentes de diferentes Estados también han empleado técnicas de hackeo y ciberataques como medio en conflictos bélicos».
Breve historia del hackeo
Vamos a ver más detalles sobre qué es exactamente el hackeo (en inglés, hacking). El término hacking se originó en la asociación de estudiantes Tech Model Railroad Club del Instituto de Tecnología de Massachusetts (MIT), donde se utilizaba para describir el acto de idear una solución innovadora para un problema tecnológico. Los miembros del Tech Model Railroad Club querían entender cómo funcionaban las cosas y llegar a ser expertos en su uso. Con el tiempo, el hackeo se ha convertido en un término mucho más amplio. En la mayoría de los casos, se presupone que es malintencionado.
Sin embargo, en un principio, el hackeo no estaba relacionado con intenciones ni acciones maliciosas. Varios gurús de la informática, como Bill Gates y Steve Jobs, se consideraban hackers. Su trayectoria profesional comenzó en los círculos de hackers que, por entonces, se concentraban en la informática doméstica (y en el phreaking o pirateo telefónico, pero esa es otra historia). Con el tiempo, las empresas que fundaron estos hackers en los años setenta se han situado entre las mayores compañías de la historia. Sin el espíritu hacker, seguramente, el mundo sería totalmente distinto.
Durante décadas, los hackers han sido estigmatizados como frikis. Se les veía como adolescentes solitarios que pasaban el día delante de un ordenador en un cuarto cerrado. Tal vez tenga algo que ver cómo se ha representado a los hackers en las películas de Hollywood. Pero la realidad es mucho más compleja y, hoy en día, cualquiera puede ser hacker. También cabe destacar que el hackeo es una herramienta que utilizan incluso las agencias de inteligencia de todo el mundo, así como los grupos de delincuencia organizada. Todos los grandes actores del panorama político mundial usan el hackeo como medio para conocer mejor las capacidades de sus adversarios o para reforzar su propia posición.
Algunos de los hackeos más importantes del año 2020 han sido ejecutados por agentes gubernamentales. Ese tipo de hackers suelen contar con el respaldo de un país y tener acceso a sus recursos. Aunque la mayoría de los hackeos malintencionados siguen siendo obra de delincuentes aislados o pequeños grupos, los de mayor impacto suelen provenir de organizaciones delictivas o de estos grupos de APT (amenazas persistentes avanzadas).
Una fuente muy interesante sobre la historia del hackeo y los hackers es Hackers: Heroes of the computer revolution (Hackers: héroes de la revolución informática), de Steven Levy.
Tipos de hackers
Normalmente, los hackers se dividen en tres grupos: white hats, grey hats y black hats (es decir, de sombrero blanco, gris o negro). El color del sombrero describe sus intenciones.
Los hackers de sombrero blanco se consideran hackers éticos, interesados en encontrar vulnerabilidades de seguridad con la intención de corregir los sistemas informáticos. Suelen ser responsables al revelar sus hallazgos y no intentan hacer un mal uso de los fallos que encuentran. Algunos hackers de sombrero blanco pueden ganar bastante dinero participando en programas de recompensas denominados bug bounties, en los que las empresas que hay detrás de los servicios pagan por que se les informe de los problemas de seguridad detectados.
Los hackers de sombrero negro se consideran delincuentes malintencionados. La motivación de los hackers de sombrero negro es el beneficio personal. Este tipo de hackers son los que ejecutan ataques como los de ransomware (secuestro de datos). Pueden utilizan lo que averiguan en su propio beneficio, o bien vender las vulnerabilidades detectadas a otras personas que quieran aprovecharlas. A los hackers de sombrero negro los llamaremos delincuentes, para diferenciarlos de los aficionados al hackeo y los investigadores de seguridad.
Los hackers de sombrero gris son aquellos que pretenden trolear o molestar a otros o que describen el hackeo como una mera diversión o una forma de ganar reputación. Algunos indican que realizan sus ataques for the lulz (por las risas) y, normalmente, informan a todo el mundo de sus descubrimientos para alardear de sus habilidades. Pueden aprovechar sus hackeos para obtener un beneficio personal o pueden no hacerlo, pero su objetivo suele consistir en ganar reputación.
Confidencialidad, integridad y disponibilidad
Una clasificación que se suele utilizar para explicar el concepto de ciberseguridad es lo que se conoce como la tríada de seguridad del software CID, por sus siglas. Los términos confidencialidad, integridad y disponibilidad se suelen considerar los tres pilares de la seguridad. Como ocurre con cualquier clasificación, hay quien opina que la tríada CID no engloba todos los conceptos y que quedan fuera algunos aspectos fundamentales de la seguridad del software, como el de no repudio. En cualquier caso, la tríada CID es una herramienta muy útil para reflexionar sobre los diversos aspectos de la seguridad.
Los tres términos suelen definirse así:
Confidencialidad: los datos y recursos se mantienen protegidos del acceso no autorizado.
Integridad: los datos están protegidos frente a los cambios no autorizados, es decir, se asegura su integridad, veracidad y exactitud.
Disponibilidad: los usuarios autorizados tienen acceso a los datos o recursos.
La confidencialidad se puede proteger mediante cifrado, o protegiendo el acceso a los datos si estos se almacenan sin cifrar. El robo de un portátil es una amenaza para la confidencialidad de los datos que contiene.
La integridad significa que los usuarios legítimos deben poder confiar en que los datos son veraces y exactos. Ningún usuario no autorizado debe poder modificar los datos, ni estos deben ser alterados de forma accidental, ni siquiera por parte de usuarios autorizados. Un ejemplo de esto es la protección contra la falsificación de transacciones bancarias, operaciones en las que se retiran fondos de una cuenta y se eliminan todas las formas de rastrear esa retirada.
La disponibilidad es un aspecto al que no solemos prestar la suficiente atención. Si los usuarios legítimos no pueden acceder a los datos, dichos datos no tendrán prácticamente ninguna utilidad. Si un programa malicioso (malware) elimina o cifra una base de datos donde se almacena la única copia de unos datos, estamos ante un problema de disponibilidad. En los ataques de denegación de servicio (DoS o DDoS, de distributed denial of service), que bloquean el acceso de los usuarios legítimos a los datos, se manifiesta otra consecuencia de la falta de disponibilidad. En el caso de los dispositivos personales, hacer una copia de seguridad de los datos es esencial para la disponibilidad. La mayoría de los proveedores de teléfonos móviles ofrecen un servicio de pago para conservar en la nube una copia de seguridad cifrada de los datos del usuario. Con los ordenadores personales, se pueden utilizar servicios en línea, dispositivos de copias de seguridad en red o unidades USB para realizar copias de seguridad.
