cisco40 40x40f oracle40 oracle40 lgo4

Así se protegen los Bancos contra los hackers como los de Mr. Robot

mrobot

Puedes reírte si quieres, pero la serie estadounidense Mr. Robot apasiona a los — siempre quisquillosos y perfeccionistas — expertos en seguridad informática y a los piratas del ciberespacio precisamente porque se acerca a la verdad. A veces se aproxima mucho, como cuando se inspira en ataques como el presunto del Mossad, la CIA y la NSA al programa nuclear iraní mediante el virus Stuxnet, y a veces algo menos, como cuando habla de reventar las tripas del sistema financiero y borrar nuestras deudas sin dejar rastro.

Daniel Medianero, gerente de marketing de servicios de la consultora de ciberseguridad s21sec, recuerda lo que haría falta para convertir en realidad esa pesadilla bancaria: «Una ayuda interna de los trabajadores que nos dé pistas sobre su infraestructura, su metodología y sus planes de contingencia, si lo atacan; entrar en unas áreas de acceso muy restringido con unas máquinas que los bancos no suelen tener conectadas a la red; y asumir el riesgo de dejar demasiadas pistas».

Dicho de otro modo, los bancos intentan impedir grandes ataques utilizando armas como los planes de contingencia secretos, los cortafuegos de seguridad que proporcionan las consultoras informáticas y evitando la conexión a internet y el acceso de más de un puñado de técnicos a las máquinas que representan el corazón y los pulmones de la entidad.

Vicente Pérez, gerente de la cuenta que se ocupa de proporcionar seguridad informática a grandes entidades financieras en la consultora Sophos, coincide con Medianero y añade que, a pesar de todo, «lo que cuentan en Mr. Robot es posible técnicamente», pero que, siendo sinceros, no sabe «muy bien cómo podrían hacerlo». Ni él ni casi nadie, por supuesto.

Tampoco tiene claro «hasta qué punto podría compensarle a alguien», porque «existen otras posibilidades de atacar sistemas llevándose dinero — con un impacto menor, eso es cierto — sin asumir tantos riesgos». Esta es otra de las estrategias de los bancos: hacer que los atracos espectaculares que puedan prender la desconfianza de sus clientes no les compensen a los criminales, porque los obligan a descender del mundo virtual dejando pistas en el mundo físico, a buscar colaboradores internos entre los empleados y a introducirse a veces personalmente en infraestructuras muy vigiladas.

Fallos en el sistema

Por supuesto, la lógica que se esconde tras esta protección tiene sus puntos débiles. Este año, sin ir más lejos, unos hackers sustrajeron 101 millones de dólares de las cuentas del Banco Central de Bangladés en la Reserva Federal de Nueva York y quedan por recuperar 63 millones. En mayo, con el reconocimiento por parte de la firma de seguridad FireEye de que se estaban produciendo ataques similares en 12 entidades financieras, casi todas en países emergentes, la agencia Bloomberg concluía que podíamos encontrarnos ante «una campaña amplia y seria para violar el sistema financiero internacional».

Es evidente, por lo tanto, que cientos o quizá miles de personas en todo el mundo están dispuestas a exponerse a un peligro fabuloso a cambio de millones de dólares y la posibilidad de presumir de haber cometido algunos de los atracos más cuantiosos de la historia.
El mundo físico y el virtual no son tan distintos después de todo. En febrero de 2003, unos ladrones se llevaron 100 millones de euros en diamantes de una cámara acorazada de Bruselas y la banda, que se autodenominaba ‘La Scuola di Torino’ como si se considerasen un grupito de artesanos renacentistas, tuvo la cara dura de alquilar una oficina en frente de la institución que iban a robar y uno de ellos llegó a reunirse con directivos haciéndose pasar por comerciante de piedras preciosas.

El falso comerciante, que casi inevitablemente se llamaba Leonardo (Notarbartolo), fue el único condenado y no cumplió los diez años que le correspondían entre rejas porque salió en libertad condicional. Fue un caballero en prisión, pero los zafiros nunca se recuperaron y la banda se convirtió en leyenda exactamente igual que los hackers que atracaron los bancos de los emergentes y engañaron con códigos a la Reserva Federal de Nueva York.

De todos modos, es verdad que en un escenario en el que los atracos virtuales asedian a las entidades financieras y existen piratas de distinto cuño y habilidad, los bancos han recurrido a especialistas como Daniel Medianero y Vicente Pérez para blindarse con distintos anillos de seguridad que, por lo general, se centran en repeler ataques más modestos que los que dibuja Mr. Robot. Tiene sentido: sería absurdo que Francia se centrase únicamente en evitar un ataque yihadista con bombas nucleares en vez de atentados suicidas, que son los más comunes y probables.

El primer anillo que dibujan los expertos en seguridad informática de las entidades financieras es lo que Vicente Pérez, de Sophos, denomina «perímetro de seguridad». Aquí los ataques son tan directos y toscos como un puñetazo en la mandíbula a traición. Según Daniel Medianero, de s21sec, estos ataques consisten en «rastrear fallos, sobre todo relacionados con la falta de actualización del software, que se venden después en el mercado negro». Los servidores virtuales también se convierten en un raro objeto de deseo.

El segundo anillo, advierte Medianero, es el de «la seguridad de las aplicaciones», entre las que destacan las que hacen posible la banca electrónica. Los hackers intentan manipular los movimientos de la propia entidad financiera para que empiece a enviar transferencias con cargo a las cuentas de sus clientes.

El tercer anillo pasa por que los hackers reconozcan una evidencia: es muy difícil robar directamente a un banco. Aquí es donde optan, según Vicente Pérez, por el «rastreo de vulnerabilidades de los usuarios». Saben que es más fácil robar a un cliente que a su propia entidad y por eso clonan páginas web, cajeros e incluso TPV idénticas a los de los bancos donde metemos nuestros datos alegremente o se hacen pasar por las entidades financieras en correos electrónicos alarmantes para que los clientes les proporcionen toda su información y contraseñas.

El dinero, tanto en el caso de la seguridad de las aplicaciones como en el de impostar la voz amiga del banco, acaba en un sinfín de eslabones de intermediarios y testaferros llamados muleros que cobran a veces 1.000 euros al mes por recibir la transacción y reenviársela a otros destinatarios. Estos muleros no suelen saber quién les ha contratado ni por qué exactamente: cuando les pregunten, dirán que les ofrecieron cobrar por no hacer nada y, sobre todo, por no hacer preguntas.

Secuestros y convulsión

El cuarto anillo es el de los troyanos bancarios. Aquí Daniel Medianero destaca esencialmente la capacidad de que «los delincuentes tomen el control de los ordenadores, los sistemas informáticos o los navegadores y sean capaces de utilizarlos en su beneficio tanto para obtener información sobre las páginas en las que navega el usuario [incluidas las contraseñas que ponemos en tiendas virtuales y bancos digitales] como para coordinarlos para atacar webs [de bancos, por ejemplo] en contra de los deseos de sus dueños». Un buen día observamos un comportamiento extraño en nuestro equipo y descubrimos que está asediando la página de la CIA sin que nosotros podamos hacer nada para evitarlo.

También, advierte el consultor, pueden «pedir un rescate a cambio de liberar los ordenadores». Los ejemplos pueden ser dramáticos y van más allá del sector financiero. Este año múltiples hospitales estadounidenses se han encontrado con que un grupo de piratas no les dejaban acceder a los historiales de sus pacientes y temieron que se los pudieran modificar. Uno de los últimos, en Hollywood, tuvo que pagar 17.000 dólares para volver a acceder a ellos.

Todos estos anillos de seguridad y el éxito de una serie como Mr. Robot muestran que vivimos tiempos convulsos en el ciberespacio. También es obvio que internet permite la coordinación de muchos cerebros que trabajan en red y que nunca se hubieran conocido sin ellas.

Además, los sistemas de los bancos nunca habían estado tan expuestos digitalmente porque sus propias estructuras de están virtualizando a marchas forzadas (a veces, revelando fallos enormes como Deutsche Bank) y dependen cada vez más de los datos masivos de los servidores. La guinda del pastel es que, por fin, existe un mercado negro y sumamente estructurado en internet, apuntalado por países más o menos permisivos como Rusia o Corea del Norte, donde se pueden vender y comprar los botines de los robos, desde tarjetas de crédito hasta el control de una legión de computadoras.

Es verdad que las entidades financieras rara vez habían sido tan impopulares y que el dinero es sólo uno de los dos grandes motivos que mueven a los hackers. El otro es el prestigio y, en algunos casos, convertirse en leyenda antisistema, en un Che Guevara con sonrisa de bits y ojos de Snowden. Hay miles de hackers dispuestos a arriesgarse a la cárcel para permanecer en la memoria de todos.
La historia decidirá si permanecerán como simples ladrones o como esos héroes contra un sistema opresivo que afirman, con el orgullo de Philip Price, que «la política sólo es para las marionetas». Una parte de la población pagará inevitablemente el precio de sus ambiciones. Tú y yo, para ser exactos.

Fuente: Medium

FIWARE, el estándar open source para Internet de las Cosas

smart-cities-security-challenge-showcase image-6-a-7968

FIWARE es una iniciativa open source (código abierto en español) que pretende impulsar la creación de estándares necesarios para desarrollar aplicaciones Smart en diferentes dominios: Smart Cities, Smart Ports, Smart Logistics, Smart Factories, entre otros. Cualquier aplicación Smart se caracteriza por recoger información relevante para la aplicación de diferentes fuentes sobre lo que está pasando en un momento dado. Esto se conoce como “información de contexto”. La información de contexto actual e histórica se procesa, visualiza y analiza a gran escala. De esta forma, se produce el comportamiento inteligente esperado.

FIWARE quiere impulsar un estándar que describe cómo recopilar, gestionar y publicar información de contexto y adicionalmente aporta elementos que permiten explotar esta información una vez recopilada. Ese estándar no existe en la actualidad y resulta clave para construir un mercado digital único para las aplicaciones inteligentes donde las apps y soluciones pueden portarse de un cliente a otro sin grandes cambios. También resuelve de manera sencilla cómo capturar información procedente de redes de sensores, aunque se comunican usando diferentes protocolos y lenguajes IoT. En ese sentido es capaz de resolver la complejidad de tratar la información recogida por los sensores y traducirlos a un lenguaje común.

En el entorno de Smart Cities, tenemos un estándar sobre cómo recoger información, gestionarla y publicarla, describiendo qué está pasando en la ciudad en cualquier momento en tiempo cuasi-real. El procesamiento y análisis de la información actual e histórica proporciona a las ciudades una visión holística, ayudándole a obtener mayor control y monitorización de la calidad del servicio que ofrece a los ciudadanos. Adicionalmente la ciudad es capaz de exportar y publicar parte de esa información para que terceros puedan desarrollar aplicaciones interesantes para el ciudadano, para la economía local y para los procesos productivos de la ciudad. Por este motivo, se dice que adoptar estándares FIWARE convierte a las ciudades en motores de crecimiento.

Tal y como se indicó en un informe reciente de Machina Research, uno de los problemas es que para las ciudades inteligentes no existen estándares. Según su análisis, usar soluciones para IoT sin estándares en vez de soluciones estandarizadas incrementará el coste del proyecto, pondrá el riesgo la adopción a gran escala y dañará de manera global la innovación tecnológica para iniciativas de Smart City. Hay muchas ciudades que presumen de haber desarrollado iniciativas de Smart City en los últimos años pero no existen estándares. Esta ausencia de estándares hace que una solución que funciona en una ciudad, no pueda funcionar en otra sin esfuerzos de adaptación muy relevantes.

Otra iniciativa relevante es el programa de Smart City del TM Forum. Este organismo intenta ofrecer recomendaciones y estrategia a proveedores de servicio como las operadoras de comunicaciones. En el marco de las Smart Cities, TM Forum ha creado un programa cuyo objetivo es establecer una visión y una estrategia para las Smart Cities que las operadoras puedan adoptar. TM Forum se ha aliado a FIWARE y promueven que FIWARE NGSI sea el primer estándar que las ciudades puedan adoptar y así formar parte de un gran ecosistema. TM Forum junto a, FIWARE, está intentando determinar cómo se puede establecer una economía del dato (economy of data).

La Casa Blanca muestra interés en FIWARE

La Casa Blanca anunció la creación de un grupo internacional de trabajo el pasado septiembre dirigido por el Instituto Nacional de Estándares y Tecnologías (NIST en inglés) con dos objetivos:

  • Estudiar casos de éxito de iniciativas de Smart Cities por todo el mundo para extraer un conjunto de buenas prácticas.
  • Identificar estándares exitosos que puedan ser adoptados como puntos de interoperabilidad pivotantes para las Smart Cities.

FIWARE no pertenece a nadie, FIWARE pertenece a todo el mundo. Será gratuito para siempre

Estos reconocimientos sirven para que las ciudades que están valorando entre FIWARE y otras plataformas (alguna de ellas propietarias) decidan optar por FIWARE sobre otras opciones. Optar por FIWARE sobre otras opciones también permite contar con entidades expertas (como Telefónica) con resultados contrastados en implantación de soluciones basadas en una plataforma de Smart City FIWARE. Las ciudades que escogen FIWARE se benefician de estándares reconocidos y protege su inversión. Le permite además sumarse a más ciudades y unirse a un mercado mayor. Eso servirá para atraer nuevos desarrolladores que generen soluciones nuevas de las que se pueden beneficiar todas las ciudades participantes, creando un ecosistema más sostenible para el mercado de las Smart Cities.

FIWARE está demostrando ser útil en otros ámbitos del IoT como Smart Agrifood o Smart Industry (Industria 4.0), donde la estandarización está jugando un papel crucial. La Comisión Europea incluyó en abril entre sus recomendaciones sobre digitalización a FIWARE como plataforma sobre la que basar su estrategia. Creemos que deben romperse las barreras tradicionales que compartimenta de manera estanca las soluciones Smart (Smart Cities, Smart Industry, Smart Homes…), pues todo forma un espacio continuo inteligente entre las personas y las empresas.

Efecto 2038 ¿el nuevo Efecto 2000?

2038

Era el año 1999 y quedaba muy poco para que todas las computadoras y sistemas del mundo se enfrentaran al temido “efecto 2000”. Las principales revistas de informática regalaban un disquete que te permitía comprobar si tu ordenador estaba afectado. Iba a ser el Apocalipsis de las máquinas, el fin del mundo, todo iba a dejar de funcionar… y finalmente, nada. En un altísimo porcentaje de los casos se corrigió sin problemas y todo siguió funcionando. Este “efecto 2000” podría repetirse en unos años, sólo que ahora se llamará “efecto 2038”.

Todos los sistemas siguieron funcionando perfectamente y las empresas se actualizaron a tiempo para evitar cualquier problema. Bastó con retocar el código más viejo y adaptar algunos sistemas para añadir cuatro dígitos al año y terminar con el problema para siempre. ¿Para siempre? Bueno, ahora tenemos en el horizonte otro “bug” informático que se ha bautizado como “efecto 2038”.

El “efecto 2038” o Y2K38 se producirá cuando pasen 7 segundos de las 3:14 de la madrugada del martes 19 de enero de 2038. No es algo que esté a la vuelta de la esquina, pero esto nos da un montón de tiempo para abordarlo y solucionarlo sin tener que llegar a las cotas de pánico del efecto 2000. El problema afecta a las aplicaciones que utilicen la representación del tiempo basada en el sistema POSIX.

POSIX es Portable Operating System Interface, con la X de UNIX. En este sistema encontramos la normalización de algunos de los estándares de las aplicaciones multiplataforma. Entre ellos, el que nos afecta es el encargado de medir el tiempo en los sistemas de 32 bits y el que utilizan en sus relojes.

Concretamente, se basa en contar los segundos transcurridos desde el 1 de enero de 1970 a las 00:00:00. Es decir, el reloj de muchos de los sistemas es un mero contador de segundos que suma una unidad con cada uno que pasa. Después se convierte al sistema estándar de día – mes – año – hora – minuto y segundo para tener la fecha.

El contador de segundos se define como un entero de 32 bits con signo, pudiendo representar un rango entre -2 147 483 648 y 2 147 483 647 (-231 y 231-1). El último segundo representable con este formato corresponderá a las 03:14:07 del 19 de enero de 2038. Un segundo después, el contador se desbordará y saltará al valor más bajo, es decir, -2 147 483 648.

En ese momento, los sistemas que cuentan el tiempo de esta forma “volverán” a 1901, concretamente al 13 de diciembre de ese año, confundiendo así la fecha real del sistema. Básicamente, ocurrirá algo similar al efecto 2000 y es que los sistemas pensarán que estamos en una fecha muy diferente con los problemas que eso puede acarrear.

Por el momento, nadie ha sabido afirmar a ciencia cierta lo que ocurrirá si no se soluciona el problema en algún sistema. Puede que haya sistemas donde no termine de pasar nada mientras otros dejen de funcionar o muestren un comportamiento totalmente erróneo.

Esto puede resultar especialmente problemático en sistemas que utilicen POSIX para contar el paso del tiempo como algunos sistemas de vuelo, GPS o automóviles. En todos ellos se utiliza algún reloj de este tipo. También los servidores de Internet, routers o puntos de acceso WiFi.

El problema no afectará a muchos dispositivos actuales. Todos los basados en 64 bits no sufrirán de estos problemas ya que manejan combinaciones de muchos más dígitos binarios. Esto permite un rango de fechas muy superior. Eso sí, si queda alguno vivo para el 4 de diciembre de 292.277.026.596 es posible que tenga algún problemita con sus sistemas. (Esto corresponde a 220 veces la edad aproximada del Universo)

El problema, como siempre, son los sistemas más antiguos que no son compatibles con 64 bits o en los que sería muy cara la migración. Por suerte, los expertos en la materia tienen 22 años por delante para buscar una solución, tiempo más que suficiente para evitar campañas del miedo.

  1. El nuevo estándar 802.3bz llevará 5 gigabits por segundo a tu Red
  2. Cisco se une a Microsoft para las comunicaciones empresariales
  3. Marc Prensky: el problema no es la tecnología, sino cómo se consume
  4. La auto-corrección de textos surgió para ayudar a China
  5. ¿Y si aprovechamos los algoritmos informáticos para organizar mejor las tareas cotidianas?

FUNDACION PROYDESA academia@proydesa.org | [+54] 9 11 5184-5746 (Celular - WhatsApp) | Suipacha 280 | Ciudad Autónoma de Buenos Aires | Argentina

© Copyright 2025
Cursos disponibles
Inscribite hoy mismo!
Cableado Estructurado de Datos
Inicia: 10/11/2025
Online | Intensiva
Inteligencia Artificial y Ciencia de Datos
Inicia: 12/11/2025
Online | Regular
CCNA 1 v7: Introduction to Networks
Inicia: 15/01/2026
Online | Intensiva
CCNA 2 v7: Routing, Switching and Wireless Essentials
Inicia: 15/01/2026
Online | Intensiva
CCNA 3 v7: Enterprise Networking, Security and Automation
Inicia: 15/01/2026
Online | Intensiva
ver todas