"De pensamiento es la guerra mayor que se nos hace: ganémosla a pensamiento" José Martí

jueves, 16 de junio de 2016

Hackers cubanos recorren la wifi

Eileen Sosin Martínez • 16 de junio, 2016 

LA HABANA. El rumor –ese noticiero extraoficial- esta vez tiene razón: las cuentas Nauta de Internet están siendo atacadas en los puntos de acceso wifi. Para los usuarios es difícil percibirlo, y para los “piratas” resulta fácil robar tiempo de conexión. Muy fácil.

Una forma común de ataque radica en generar una señal falsa, que puede llamarse igual o parecido a la red de Etecsa. “El phishing consiste en simular algo con el objetivo de obtener información –explica Andy Velázquez (*), cibernético-. Por ejemplo: cuando alguien se conecta al Nauta, tiene que pasar por una página de registro, en la cual pone su nombre de usuario y contraseña. Lo que la persona ve es puro diseño. Quiere decir que, con un poco de conocimiento de diseño web, se puede montar una página idéntica a la de Nauta, y engañar al usuario común”.

Así, el malhechor conserva los datos de registro del cliente. Ante el fallo, este pensaría que el servicio está saturado, como suele ocurrir. La próxima ocasión que esa persona se conecte pueden suceder dos cosas: el temporizador muestra un número menor que el dejado por la persona la vez anterior; o el sistema responde que hay otro usuario conectado –con la misma identidad-, por lo tanto no se puede acceder.

En la segunda variante, si el usuario no se fijó cuánto tiempo le quedaba, apenas se da por enterado, hasta que simplemente no tiene saldo. “Tan sencillo como abrir una computadora en medio de un parque”, reafirma el informático Camilo Díaz (*).

Otra posibilidad, algo más elaborada, es el llamado Man in the middle, cuando el atacante se coloca como intermediario entre el portal de entrada y el usuario. En este caso también ocurre una suplantación de identidad: el “hacker” dice ser ETECSA y todo el tráfico del cliente pasa a través de él.

“De hecho, puedes llegar a navegar –describe Camilo-, porque tú me estás dando tu nombre de usuario y contraseña, y yo me voy a conectar con eso; y cuando lo haga voy a proporcionarte servicio a ti. Entonces te permito unos minutos de navegación, para que no sospeches, después te desconecto, y a ti te parece que hay dificultades en la red; lo normal. O puedo quedarme conectado, termino lo que necesito, y si pasa algo malo es culpa tuya, porque se conectaron desde esa dirección IP”.


Ante tal situación los usuarios permanecen vulnerables en extremo; apenas existen maneras individuales de protegerse contra un ataque. De todos modos, Andy recomienda evaluar siempre el saldo, antes y después de cada conexión, y si hubiera problemas, reportarlo a ETECSA, y cambiar el nombre de usuario y contraseña.

Mario Carreras (*) no sabe cuándo ni dónde usurparon su identidad, solo que cuando volvía a navegar, tenía menos tiempo del que dejaba. Como quien llega a casa y nota que le falta algo. “No puede ser que se pierdan cinco horas”, anota. Sin embargo tampoco ha ido a reclamar a ninguna oficina de ETECSA. “Cuando me conecto gasto todo el saldo, así ya no pueden utilizar mi cuenta”.

En este ambiente donde unos devienen presas y otros cazadores, Mario ha sido las dos cosas. Sí, él también le ha quitado Internet al prójimo, y aunque reconoce esa contradicción “difícil de explicar”, no le remuerde demasiado la conciencia. “Yo estoy cogiendo la conexión de alguien, pero quizás esa persona se la puede estar robando a otro. Porque al final, lo que a mí me estafaron, ¿quién me lo repone?”.

Navegar… a la deriva

A nivel mundial resultan frecuentes los Brute Force attacks: un programa empieza a probar combinaciones de usuarios y contraseñas, hasta que logre entrar. “En realidad, a veces el hackeo a un cliente no es culpa del proveedor de servicio –señala Andy-. Si tú te llamas Fefa, y el password es 1234, un ataque de fuerza bruta tomaría poco en acceder a tu cuenta”. Aun así, la Empresa de Telecomunicaciones no debería cruzarse de brazos.

“¿Te has leído el contrato de Nauta?”, pregunta Camilo. La verdad, no. Pero, ¿quién lo lee? El documento tiene una letra diminuta, se obtiene después de esperar en una cola, y la ejecutiva de ventas observa (des)esperando por que uno acabe de firmar. Además, si la persona estuviera en desacuerdo, tampoco tiene otras opciones: firma o no firma; lo toma o lo deja.

Bueno, pues precisamente el contrato de cuenta Nauta establece entre las Obligaciones del usuario: “Informar a ETECSA de cualquier sospecha de acceso fraudulento al servicio mediante el uso de sus códigos personales y contraseñas. El costo por el tiempo utilizado de esta forma, será asumido por el usuario.”


Y más adelante: “ETECSA queda exonerada de responsabilidad civil por las limitaciones de acceso a los contenidos (…), así como por pérdida de datos por el actuar de terceros”. En suma, para estos ladrones no hay policía. “El texto es muy ambiguo –señala Camilo-, pero básicamente exime a ETECSA de toda responsabilidad, y te la transfiere a ti”.

En días recientes, la empresa desarrolla una campaña de Protección al Consumidor, que incluye su sitio web y sus cuentas de redes sociales. El correoatencion.usuarios@etecsa.cu está disponible para quejas, reclamos e información (el contrato también lo dice). Sin embargo, al escribirle como usuario averiguando por este fenómeno, ETECSA no responde. En Twitter tampoco.

Si preguntamos lo mismo en el 118, número de Información Comercial yProtección al Consumidor, atiende Daniela: “¿En la wifi? ¿Están robando las contraseñas?… No tenemos ninguna información de eso”. Volvemos a intentar y Deysi asegura: “No tenemos ninguna información de que eso esté pasando”.

Una vez más, y Anabel repite: “Nosotros como empresa no contamos con información alguna”. Insisto un poco, y la voz de mujer comienza a impacientarse: “A ver, señorita, usted sabe que en todo hay quien se dedica estafar”, y agrega que si me conecto “normal” con mi teléfono no pasa nada; la cuenta “se queda enganchada” cuando alguien se conecta a través de otra gente, y a lo mejor por ahí les estafan. “Pero la señal de ETECSA no tiene problema ninguno”, remata, convencida de sus palabras.

No obstante, la empresa conoce lo que ocurre. En el programa Mesa Redonda del 30 de marzo, el ingeniero Eliécer Samada, alertaba sobre “personas inescrupulosas que están robando las credenciales de algunos usuarios”, y luego agotan la cuenta o la revenden. “Ese cliente, cuando logra darse cuenta de lo que pasó, no sabe a quién reclamarle, y el sistema no detecta ese proceder porque no hay anomalía en el acceso”.

El cliente –medio diezmado en su “tiene siempre la razón”- sí sabe a quién reclamar. En la unidad comercial del Edificio Focsa (en el Vedado), un custodio afirma que cada día muchas personas llegan con el mismo problema, y el procedimiento radica en modificar su nombre de usuario y contraseña. Solo eso. Y si les roban de nuevo, les vuelven a cambiar los datos. “No te sientes cercar de las laptops”, aconseja el hombre, en tono subrepticio.

Camilo opina que la cuestión de fondo reside en el Certificado de Seguridad (SCL) que utiliza ETECSA, el cual no está avalado por ninguna entidad pertinente a nivel internacional. Eso explica la advertencia que aparece cuando los usuarios se registran. “El navegador no puede comprobar matemáticamente que está conectado a ETECSA, porque no tiene ese certificado válido”. Por demás, las wifis constituyen ambientes colaborativos, no concebidos para resistir ataques.

La Resolución 127 / 2007, del Ministerio de Informática y Comunicaciones, establece el Reglamento de Seguridad para las Tecnologías de la Información. Esa normativa se centra principalmente en las instituciones, en detrimento de los usuarios individuales, y no hace referencia a la conexión wifi.

Claro, en aquel momento la penetración de Internet era menor y no existían puntos públicos de acceso. En materia de tecnología de la información y las comunicaciones, una normativa en vigor hace casi 10 años equivale a regirse por leyes del siglo pasado.

“No hay que ‘acabar con los estafadores’: ellos surgen porque no se cubren las necesidades”, sentencia Camilo. A su juicio, la solución implica necesariamente firmar un Certificado de Seguridad correcto. Y se atreve a soñar: “Quizás parece un poco surrealista, pero Cuba no lo pensó dos veces para implementar un montón de cosas gratuitas ¿Por qué la wifi no puede ser una de ellas?”.

Mario (el cazador cazado) comparte una opinión parecida: “Para mí la única salida está en bajar el precio de la conexión. En definitiva, Internet no es un lujo; es para aprender, comunicarse, resolver problemas… Es para mejorar la calidad de vida de la gente”.

(*) Los nombres han sido cambiados a solicitud de los entrevistados.

Ilustración de portada: J. Longo. Tomada de The Kernel Magazine.

Progreso Semanal/ Weekly autoriza la reproducción total o parcial de los artículos de nuestros periodistas siempre y cuando se identifique la fuente y el autor.

No hay comentarios:

Publicar un comentario

Gracias por opinar

Related Posts Plugin for WordPress, Blogger...