Cada día nos enteramos nuevos incidentes de seguridad. Hoy más que nunca es fácil que cualquiera de nuestras computadoras forme parte de una botnet, misma que podría estar sirviendo para atacar la infraestructura crítica de un país o cualquiera de las empresas del Fortune 500.

¿Cuándo acabarán las noticias en primera plana sobre ataques a empresas o gobiernos? Todo parece indicar que no pronto, porque recordemos que cuando alguien te quiere hackear, te va a hackear, y de ahí que es importante enfocarse en dos frentes: por una parte tener infraestructura que permita detectar una intrusión en el menor tiempo posible, y por otro lado tener un programa de prevención que contemple tecnología, procesos y gente.

Precisamente quiero hablar de la gente como el eslabón más débil, en parte porque la naturaleza del ser humano es consumir aquello que es gratis, y es justamente esa vulnerabilidad la que es explotada.

Es importante recordar que en el ciberespacio lo gratis no siempre es gratis. Ejemplos hay muchos y muy  variados, una muestra de ello es que en el Centro de Ciberseguridad hemos detectado que cuando los usuarios bajan algún crack para generar números de serie de algún software, minutos, e incluso segundos después de esta descarga se detecta una llamada generada por la máquina del usuario a un equipo de comando y control (C&C), por lo que probablemente en ese momento el usuario forma ya parte de una botnet y, en la mayor parte de los casos, nunca se dará cuenta de ello.

Por otro lado, están las series de televisión y películas gratis. En la mayoría de los casos no solo  instalan adware al equipo del usuario final, sino que algunas veces instalan software para el robo de contraseñas, números de tarjeta de crédito y Bitcoins, entre  otros. Por supuesto lo mismo ocurre con los sitios de pornografía, donde incluso los que requieren de algún pago han sido comprometidos por terceras partes para distribuir malware a sus usuarios, de acuerdo con el sitio TechHive.

Otro ejemplo son los libros, donde aparentemente un buen samaritano quiere compartirlos con la comunidad subiéndolos a Torrent, Pirate Bay, Rapidshare o cualquier otro sitio parecido, pero en realidad pueden traer malware embebido. Y no olvidemos las aplicaciones para teléfonos móviles, si bien Android es el sistema más vulnerable, iOS no se salva ya que, como Charly Miller demostró hace tiempo, era posible que al instalar una app que parecía normal, el teléfono llamara a un servidor y a partir de ese momento el atacante podía ejecutar los comandos que quisiera, pudiendo robar las fotos, lista de contactos, etc. (Apple corrigió aquella vulnerabilidad, pero no sabemos que más puedan estar escondiendo las nuevas apps gratuitas). Recuerden: si parece muy bueno para ser verdad,  lo más probable es que no lo sea

Un caso especial de explotación de lo gratuito son aquellos interesados en aprender algo de hackeo. Existen muchos sitios que tienen información interesante al respecto, pero al mismo tiempo comprometen el equipo del “estudioso” al explotar vulnerabilidades de su navegador de Internet o de alguna aplicación como Flash o Java.

Tampoco hay que confiar en los proxies gratuitos, usados por aquellos que buscan navegar anónimamente. Hay sistemas con mecanismos para robar las credenciales de todo aquello que pueden, además de agregar un payload malicioso que infecta el equipo de la víctima y lo hace formar parte de una botnet (esto último fue demostrado por el hacker español Chema Alonso en una plática en Defcon en  2012).

Aunque existen muchos ejemplos más de que lo gratis no siempre es gratis, me permito mostrarles este párrafo de las condiciones de uso de las cuentas de Gmail, que a pesar de que se puede leer de muchas formas, pareciera que al aceptar sus condiciones les cedemos todos los derechos sobre aquello que guardamos en sus servidores de correo.

Imelda Flores - Fig 1

Más que alarmar, la idea de este texto es tener conciencia de todas las implicaciones que existen cuando descargamos algún contenido para reflexionar sobre los riesgos de lo “gratuito”. Finalmente, si quieren seguir disfrutando lo que es gratis en Internet, recomiendo que al menos lo hagan desde una máquina virtual con Linux ejecutada desde un Live CD para disminuir las probabilidades de infección. Recuerden también que mientras estén usando un proxy gratuito no deben entrar a ningún sitio que implique el uso de credenciales. Finalmente, si quieren disminuir el riesgo, lo mejor es pagar por el contenido o servicios de manera legal, ya que al haber un contrato con un proveedor, se le puede responsabilizar por sus servicios y entregables.

[email protected]