En muchos círculos (no de Google+, de amigos) se habla de los hackers con cierto romanticismo, o más bien condescendencia. Como se habla de un amigo un tanto idealista que se ha ido a recorrer Africa en moto o a un monasterio a escribir una novela. Nadie los defiende abiertamente, pero despiertan cierta simpatía. Son unos «antisistema», jóvenes, desorientados… no aprobamos lo que hacen pero tampoco se les trata como criminales.
Es un poco como lo de copiar música, libros o películas: no pasa nada, no hacemos daño a nadie, las multinacionales tienen mucho dinero…
Pero esta imagen poco tiene que ver con la realidad. Y como muestra, una historia real. Un suceso que ocurrió en mi propia ciudad hace solo unas semanas. Esto es lo que le pasó a una pequeña empresa de distribución (no daré el nombre pero eso no quiere decir que no sea una historia real).
Un lunes, al entrar en la oficina y sentarse delante de los ordenadores los empleados se encontraron con la desagradable sorpresa de que no podían entrar en su programa de gestión. La contabilidad, el CRM (programa de gestión de clientes), sus documentos con contratos y facturas… No había ningún dato accesible. Con la comprensible alarma empiezan a comentarlo entre ellos y descubren que a todos les pasa lo mismo y lo comentan con el gerente.
Mientras tanto, el gerente abre su correo y encuentra una desagradable sorpresa. Un autodenominado «hacker» ruso le informa de que se ha introducido en su red durante el fin de semana y ha ido encriptando todos los ficheros de datos de los ordenadores, incluyendo el servidor. La copia de seguridad, en un disco duro externo conectado al servidor, también estaba encriptada.
Pero no tenía que preocuparse: solo tenía que hacerle una transferencia de 5.000€ a una cuenta y le «desencriptaría» todos los ficheros.
En otro momento el correo habría parecido una estafa o una broma, pero con todos los empleados parados delante de sus pantallas estaba claro que el asunto era muy serio.
El gerente llamó a la policía, a su proveedor de software, a algún que otro amigo. No encontró ninguna solución.
Así que negoció con el hacker. Fue bastante compresivo: le hizo una rebaja de 500€. Incluso le dejó pagar solo la mitad por adelantado para una primera «desencriptación» de parte de los ordenadores y, una vez comprobado que el hacker era «de fiar», le pagó el resto, tras lo cual el ruso le devolvió todos sus archivos a su estado inicial.
¿Qué le dijo la policía? Que no tenían jurisdicción para actuar contra un ruso que estaba en Rusia (aparentemente) con una cuenta en un banco extranjero.
¿Os podéis imaginar la frustración y el cabreo de que te roben 4.500€ de una manera tan impune?
No es una broma. Los ordenadores conectados a Internet son blanco fácil para estos «profesionales» que entran y salen en las redes de las PYMES que no tienen un sistema de seguridad adecuado.
Antes, los ladrones rompían la cerradura de la puerta y se llevaban los ordenadores debajo del brazo. Ahora entran por la conexión a Internet.
¿Podemos hacer algo para evitarlo?
Obviamente no podemos «desconectarnos» de Internet. Y no hay cerradura (virtual) que un experto no pueda forzar. Pero sí hay algunas cosas sencillas que todos debemos hacer. Estas son algunas, que no todas:
1.- Las copias de seguridad deben estar en un lugar distinto físicamente del servidor con los datos.
2.- Hay que tener instalado un antivirus y firewall. No será infalible, pero alguno hay que tener. Hay muchos y no son caros.
3.- Un sencillo pen-drive o una cuenta en drop-box no son el mejor sistema de seguridad pero para documentos corrientes, de uso frecuente, nos pueden salvar de alguna situación comprometida.
4.- Y lo más importante: los documentos y datos deben estar en un gestor de base de datos (como Oracle, SQL Server, MySQL…). No evitaremos que los encripten o destruyan pero sí que accedan a la información. Y es mucho más sencillo hacer copias de uno o dos ficheros que contienen todo los datos que copiar con regularidad cientos de documentos dispersos por la red.
La próxima vez que hablen de hackers delante tuyo, no pienses en ellos como en unos modernos Robin Hood. Algunos son, simplemente, unos modernos ladrones.
Gestión Documental Para Gente (Casi) Normal 
Fernando, como siempre con tus blog muy claro y acertado. Es una pena lo de esa empresa, pero es cierto, esas cosas ocurren. Un abrazo
Hola «tocayo»:
Efectivamente, la historia es real, también he tenido acceso a la noticia de una fuente directa. Es cierto que el «hacker» como palabra de persona que sabe todo de un determinado sistema como para arreglarlo o modificarlo a su antojo (no solo pensar en ordenadores, un técnico muy bueno arreglando televisores, radios o calefactores también lo sería en su campo) se ha desvirtuado bastante. Esa palabra, se piensa que proviene de los antiguos técnicos de la AT&T que eran capaces de arreglar los cajetines de teléfono con chicles y a base de golpes «hacks».
Sobre la seguridad en las empresas, es abrumador el porcentaje de estas que no tienen personal ya sea contratado o subcontratado que sea experto en seguridad. Como dices, no hay cerradura totalmente segura pero si que «tu seguridad será tan sólida como lo sea el eslabón más débil de tu cadena», o lo que es igual, de nada sirve que controles a tus empleados, los hagas fichar, no puedan meter pen-drives, etc. si luego tienes un acceso desde el exterior por protocolos tan vulnerables como FTP, HTTP, etc.
Además de los puntos que das, en los que estoy totalmente de acuerdo y que todas las empresas deberían de tener en cuenta, está otro elemento, es el IDS o sistema de detección de intrusión, este software, incluido en muchos cortafuegos (firewalls) o instalable por separado, hace un análisis constante a como lo hace un antivirus pero para detectar posibles intrusiones y accesos no autorizados.
Por otra parte, a veces es más caro contratar un estudio forense de intrusión por el trabajo que supone y que no te asegura que pueda ser arreglado pero en cualquier caso es una opción a estudiar en determinadas situaciones en las que el hacker no se identifica y no hay interacción con él, solamente el destrozo.
Sobre el caso que mencionas he oído que esta persona estaba identificada por la Interpol pero que mientras no se mueva de su «redil» no se puede hacer nada.
Solo repetir que las PYMES hagan más inversión en securizar sus sistemas, no es caro y seguro que les ahorra muchos quebraderos de cabeza. Y que este caso no es el único, ha trascendido algo más por el modus operandi del ataque pero casos de intrusión y espionaje empresarial hay todos los días y dentro de nuestro propio entorno.
Enhorabuena por tu post que además se sale algo de la temática habitual nuestra.
Un saludo.
Gracias por tu comentario. Como ocurre en algunas publicaciones on-line, los comentarios llegan a ser más importantes que el contenido propio.
Creo que la seguridad es una de las razones (killing questions como dicen los americanos) para montar un sistema de gestión documental basado en un gestor de bases de datos, así que me pareció apropiado.
Un saludo.
Hola Fernando, buen artículo como siempre. Igual que ha dicho mi amigo Fernando Gonzalez me gustaría comentarte que el que ha hecho eso no es un hacker, es un delincuente, un cracker. Un hacker no hace eso, lo que pasa es que la palabra hacker se ha desvirtuado mucho en la prensa, cine, etc…
Estas cosas pasan y pasarán desgraciadamente más de lo que se piensa, en PYMES y empresas de todos los tamaños, pero las empresas no suelen hacerlo público por miedo a mofa y vergüenza, por lo que sorprende cuando pasan estas cosas.
Comparto totalmente los puntos que has indicado para prevenir y los que ha añadido Fernando Gonzalez. Adicionalmente diría que aplicar estándares de seguridad tipo ISO 27.000 ayuda para tener conciencia de lo que tenemos entre manos y concienciar (que es importantísimo) y contar un tercero experto que te audite de forma continua (no puntual!) la red y servicios tanto mediante un Hacking Ético de Caja Blanca como de Caja Negra. En España tenéis muchos expertos en seguridad, hay un nivel increíble, encontrar a gente que haga estas cosas es fácil y quita muchos dolores de cabeza. Pagar por servicios de seguridad tanto físicos como virtuales en muchos países es una commodity, algo con lo que cuentas en tus presupuestos. No queda más remedio.
Entiendo que no es fácil pagar 3000 o 4000€ anuales o semestrales para tener un respaldo de una empresa en cuanto a tu seguridad, pero justificar ese gasto (o sería una inversión?) es tan fácil como poner este ejemplo que mencionas. Si el delincuente hubiese pedido 8000 en lugar de 4500 igualmente hubiera tenido que pagarlos.
Saludos.
No me manejo muy bien con la terminología hacker, cracker… pirata… desde luego era, es, un delincuente.
Lo importante es destacar el hecho de que estamos conectados al «mundo exterior» para lo bueno y para lo malo y que estas historias pasan en Granada, no solo en Nueva York y en las películas.
Un saludo y gracias por la aportación.
Me gustaría aportar algo a este artículo que me parece de gran interés. Como en todo lo referente a la seguridad reina gran confusión. Empezaré por la conclusión y luego expondré de forma breve los motivos:
¡Mantener servidores locales es una temeridad!
Tengo larga experiencia en el tema, ya en el período de 2002-2006 en el que yo era responsable de un agente financiero a nivel de Wall Street estuve involucrado en sendos proyectos de migración de servidores desde las empresas hacia proveedores de servicios, osea lo que ahora se llama Cloud. Los dos motivos: Seguridad y evitar que los servidores estuviesen localizados en las dependencias de las empresas.
A día de hoy me sorprende que haya tantos servidores en las oficinas tentando la suerte.
Los crackers (en españa mal llamados hackers) de los que se está hablando aquí todavía tienen menos de idílico o de admirable. Os explico, cualquiera, digo bien cualquiera con un poco de interés puede «hackear» un servidor de una empresa. Nos basta con que ese servidor tenga una IP fija. El resto lo proporciona el lamentable nivel de seguridad que tienen los servidores en las empresas.
No quiero dar muchas pistas pero ya hay programitas que instalados en tu móvil Android te permiten escanear todo el edificio desde el bar de abajo, ¡los resultados son sorprendentes! Por otro lado, también hay listas en «algunos sitios» con información de las IP vulnerables. Hay muchos programas Spider que una vez se lanzan se traen las IP y las vulnerabilidades de los servidores. Se buscan servidores de empresas. No soy un experto en seguridad pero si conozco estas herramientas, dispongo de una red de colaboradores que me mantienen al día y delego estás labores a los expertos.
La inmensa mayoría de los servidores Windows de oficina son vulnerables porque no se toman las medidas adecuadas. Tres son los motivos:
1) Esos servidores Windows no están actualizados.
2) Las comunicaciones no son SSL.
3) Se abren cuentas FTP y acceso a archivos sin cuidado ni cautelas ni conocimiento.
4) No se dispone de corta-fuegos adecuados.
El Ruso es un maleante que además no tiene ni puñetera idea de informática o sistemas. Simple y llanamente es un delincuente. El Ruso forma parte de una cuadrilla que usa los programas disponibles para esto. Basta con contratar un servidor en Cloud y echar a andar las herramientas. Os aseguro que sólo con las IP fijas de Movistar en poco tiempo se pillan 50 servidores en Granada (si quires darles localización) si te lo propones.
Las pequeñas empresas tienen dos opciones para la seguridad:
1) Que un administrador de sistemas o un especialista en seguridad les lleve los servidores (externalizar la administración de las máquinas)
2) Llevar las máquinas de forma virtual o en hosting a un proveedor, osea ponerlas en Cloud.
En ambos casos habrá alguien que cuide de la seguridad del sistema y una infraestructura detrás. La decisión es como la de tener el dinero en un banco o guardarlo en casa.
Tener un servidor local abierto a Internet es una temeridad increible también lo referente a los ataques de denegación de servicio DOS. Por unos pocos euros un «personaje» puede tener un servidor en Cloud de 16 procesadores. Imagina este servidor puesto ha hacer peticiones a uno de una oficina, peticiones en paralelo, pongamos unas 6000 por segundo. El resultado es que lo tumban cuando quieran. Estas cosas solo las evitan los routers grandes de los proveedores.
Los servidores locales están más que vendidos y si no hay más ataques, creedme es porque no quieren. Si el Ruso no vuelve a por más es porque ya tiene a otra víctima.
Gracias por tu comentario Javier. Aporta más información que mi post original.
Como ocurre en algunos periódicos, en algunos casos los comentarios son más interesantes que las noticias o post.
Estoy de acuerdo contigo en casi todo. El «casi» es a la utilización de servidores en la nube para todo. Aunque tienen ventajas, también tienen inconvenientes. Nunca hay una solución ideal. Hay que valorar las ventajas, ciertas, que comentas, pero no hay que olvidar algunas ventajas de los servidores locales. Para mí, la principal, la inmediatez en la respuesta.
Como este post no trata del tema, no me alargo más. Otro día discutimos de la nube, que tanto te gusta.
Un saludo y gracias de nuevo.