Ciberataques, frente a las debilidades técnicas

El Telegrafo Domingo 21 de Agosto del 2011

Paola Ulloa

Pasaron del rumor a los hechos: todo empezó a las 11:30 del pasado 10 de agosto. Los anuncios a través de @anonopshispano, la cuenta del colectivo Anonymous en Twitter, eran reiterados, luego de que se iniciara la Operación Cóndor Libre en Ecuador.

En el transcurso de ese día se anunciaron por lo menos una decena de ciberataques, a sitios web gubernamentales y privados. Los sitios de Aliméntate Ecuador y de varios ministerios dejaron de estar en línea y evidenciaban que el servidor no respondía.

Los servidores de esas páginas de Internet colapsaron frente a un ataque DDOS (Ataque distribuido de denegación de servicio, por sus siglas en inglés), que consistió en crear una aplicación que disparaba un promedio de 10.000 hits por cada click que daban los visitantes al sitio web al que direccionaban los mensajes de Anonymous en Twitter.

Gustavo Buitrón, Product Manager de AccroachCode, explica que de esta manera la banda ancha donde están los servidores colapsa, ante el intenso tráfico de las miles de visitas que registra el site. “La banda de navegación de Internet en Ecuador no es igual que la de otros países, como Argentina, que tiene un terabit”, señala Buitrón.

Explica que en Ecuador la banda ancha de navegación es de apenas 30 gigabits, lo que es inferior si se toma en cuenta que un terabit tiene 1.024 gigabits. El desarrollador señala que esta situación permite que frente a un ataque la banda se sature con facilidad, por ello en Ecuador es más cómodo ejecutar un ataque DDos.

El 10 de agosto pasado, los comentarios sobre los pormenores de la Operación Cóndor estaban en IRC (Internet Relay Chat), una plataforma que permite que dos o más personas debatan, en tiempo real, sobre cualquier temática en diferentes canales, creados por los usuarios. Esa tarde, el usuario Chino_D colocó los enlaces que solicitaban a los internautas atacar el sitio web oficial de la Presidencia de Ecuador.

Desde @Anonopshispano se mostró un enlace que llevaba a los diagramas de lo que aparentemente eran las IP de la red local de los servidores de la Corporación Nacional de Telecomunicaciones (CNT). El link iba acompañado de la frase “un regalo”.

En caso de ser cierto, el anuncio era grave. Xavier García Bustamante, director de tecnología de Walker Brands, sostiene que la información que obtuvieron tiene mucha importancia, porque se trata de la estructura tecnológica de la CNT.

“Ellos quieren demostrar que lograron tener datos confidenciales con facilidad”, señala el experto en tecnología.
El uso de software libre y la falta de inversión en programas de seguridad permiten que los sitios nacionales sean vulnerables a los ataques electrónicos.

Buitrón explica que es común en Ecuador que los sites no tengan un software que les permita estar más protegidos frente a los ciberataques de piratas electrónicos. Los programas que permiten tener un escenario menos inseguro a los sitios webs cuestan hasta 150 mil dólares. Buitrón sostiene que es importante contratar programas pagados para hacer un sitio web, porque son menos vulnerables ante un ataque y existen manuales con claras advertencias para asegurar el site.

Pero no hay un software que sea 100 por ciento seguro ante los ataques de piratas electrónicos, afirma Luis Corrons, director del laboratorio de Panda Security. El 10 de agosto pasado también se registró un Deface, que consiste en un ataque que básicamente reemplaza la página principal de un site por otra. Esa tarde, los internautas vieron cómo el site de Hunter, una compañía privada especializada en equipos de seguridad de vehículos, mostraba una cara distinta.

Anonymous afirmó que atacaron el site de la compañía porque tenía agujeros en su seguridad. En esta operación se sustituyó la página principal del sitio por un mensaje con fotos y texto del colectivo de piratas electrónicos. El colectivo explicó que no tienen nada contra Hunter, pero que momentáneamente usaron su hompage para colocar su firma en los ataques del pasado 10 de agosto.

En los últimos meses ha sido evidente que se ha ejecutado una serie de ataques piratas en el mundo. En julio, la policía española detuvo a tres miembros de Anonymous y las autoridades de Turquía y Estados Unidos investigaban a sospechosos de ejecutar ataques electrónicos a sitios oficiales o de instituciones privadas. Y en Malasia se detuvo a 33 sospechosos de ejecutar ataques electrónicos a sitios web. Localizar a este tipo de agrupaciones es difícil para los equipos policiales. En España se lograron las detenciones tras una serie de correos en los que se acordó una cita con uno de los reos y posteriormente se llegó a otros dos involucrados.

Esta situación generó una serie de manifestaciones de respaldo, en varios países de Europa. En las marchas, grupos de personas salían a demandar la libertad de sus compañeros apresados, pero los manifestantes cubrían sus rostros con una máscara de un personaje de V de Vendetta, símbolo de Anonymous. V de Vendetta es el personaje de una historia ambientada en Gran Bretaña durante un futuro cercano y tras una guerra nuclear parcial, con la mayor parte del mundo destruido. En la película, un partido fascista ostenta el poder en el Reino Unido.

Pero un misterioso anarquista revolucionario apodado «V», oculto tras una máscara de Guy Fawkes, empieza una elaborada y violenta campaña con el fin de derrocar al gobierno e incitar a la población a adoptar una sociedad anarquista. Corrons sostiene que las operaciones de hackers no son más frecuentes ahora, pero admite que son más evidentes.

Ahora los ciudadanos comunes se enteran de las acciones de los grupos de piratas porque tienen una comunicación directa con ellos, a través de las redes sociales, como Twitter, sostiene Corrons. Anoymous usa por lo menos cuatro cuentas oficiales en Twitter, donde anuncia sus acciones o el resultado de ellas.

La popularidad del colectivo es tal que solo en una de sus cuentas de Twitter, @anonymouspress, utilizada para sus comunicados a la prensa, sumó hasta la tarde del viernes 23.588 seguidores. El colectivo de hackers aceptó la autoría de Operación Cóndor Libre, que contó con el apoyo de miembros radicados en Colombia, México, Perú, Argentina y otros países de hispanoamérica. Explicaron que las páginas atacadas tenían fallas básicas en su seguridad y ello facilitó la ejecución de las acciones.

Los piratas señalaron que no pueden definir un número de integrantes porque todos son Anonymous. Tampoco creen que se deba identificarlos como hackers de sombrero blanco o negro, ni como crackers. Explican que la agrupación refleja el sentir de los pobladores cansados de tanto abuso en el mundo. Admiten que están trabajando en América Latina y en otras regiones.

Corrons explica que el colectivo no tiene una estructura que permita visualizar un líder o jerarquías. “Se trata de un grupo heterogéneo a cuyas acciones se pueden sumar todos, sin que haya un filtro que detenga a ciertos elementos”. Asimismo, el experto en seguridad informática destacó que las decisiones sobre sus operaciones las toman sobre la marcha.

“Todos somos iguales y tenemos las mismas funciones (…) la toma de decisiones se basa en un foro común de libre acceso, pero se le da prioridad a los nativos del lugar donde se ejecuta la operación, ya que ellos conocen mejor que nadie la situación de su país”, confirmaron los miembros del colectivo sobre la estructura de su agrupación.

La falta de seguridad en los sitios web es el escenario ideal para que actúen los hackers. Corrons destaca que en esas circunstancias está Latinoamérica, por ello, los piratas pueden actuar y tirar abajo un site. Buitrón explica que luego de los ataques electrónicos que se han producido en las últimas semanas, las empresas privadas se han preocupado por proteger sus sitios. Pero explica que la vulnerabilidad de los sitios nacionales es el resultado de años de despreocupación en cuanto a seguridad informática.

“Me parece que la página web de Banco del Pacífico es segura”, señala Buitrón. Explica que el hecho de que tenga un servidor en el exterior, sumado a que se ha utilizado software pagado, con seguridad, lo hace menos vulnerable. “Pero vemos otras instituciones que evidentemente están mal asesoradas, una de ellas es Banco Pichincha”, destaca el desarrollador.

Buitrón señala que el site de la institución financiera advierte a los usuarios sobre la utilización de la clave biométrica, que consiste en responder una serie de preguntas. “Primero, si la clave fuera biométrica se trataría de la huella digital, pero no es así”, señala el experto en tecnología. Esa, opina, es una señal clara de la mala asesoría que recibe el banco.

Por su parte, García-Bustamante señala que el modo de operación de Anonymous no indica que se trate de un grupo que robe cuentas para ganar dinero con las ventas de ellas en el mercado negro. “Su intención es demostrar cuán vulnerables pueden ser los sitios web”, sostiene.

La semana pasada la agrupación ejecutó otra operación contra sitios gubernamentales, esta vez, en Colombia. Esta operación fue similar a la ejecutada en Ecuador. Pero el tema de debate entre los seguidores de Anonymous, en Twitter e IRC es otro: Operación Facebook, que consiste dejar offline la popular red social.

Corrons cree que el anuncio es solo una leyenda urbana, que difícilmente podrá ejecutarse. Asimismo, los blogs especializados han indicado que al parecer en la agrupación no hay un acuerdo. Anonymous admite que aún no hay un consenso al respecto, porque un grupo de sus agremiados no apoya la ejecución del plan. Argumentan que OpFacebook se realizaría porque dicha empresa vende los datos privados de sus usuarios. Pero, la posición de los miembros que se oponen es que Facebook es un medio de comunicación.

Anonymous explicó que pese a los desacuerdos internos, un grupo de integrantes ejecutará la operación, el 5 de noviembre. Señalan que así demuestran que su agrupación es una organización horizontal. La administración de la red social no se ha pronunciado aún. Por otro lado Buitrón cree que difícilmente los desarrolladores de Facebook permitirán que su site sea vulnerado.

Facebook filosofía: Actuar con rapidez y romper las cosas

IEEE Spectrum, Cultura hacker está vivo y bien en Facebook por David Kushner / junio de 2011

Esto es parte de IEEE Spectrumdel informe especial sobre la batalla por el futuro de la Web social.

Un chico joven desaliñado de blanco con gafas de sol y un cabo largo azul grita en un pequeño megáfono negro: «Bienvenido a hackmeeting 23!»

Pero él no es un infame cibercriminal. Es un ingeniero de Facebook, y él esta permanente en la sede de Palo Alto a las 17:00h, rodeado de otros 60 programadores ansiosos de iniciar lo que parece ser un partido de programación de forma libre, toda la noche. Pero un hackmeeting no es solo diversión y juegos. Mientras el público en general ha llegado a asociar hacking con black hat crooks, Facebook busca reclamar el término que evoca sus raíces «hacking ético» de laboratorios de informática en la década de 1970.

Hacking en Facebook es un ejercicio intelectual y creativo y mucho más. De estos eventos hackaton interno anual, aproximadamente bimensual se abre la Copa Hacker a los programadores de todo el mundo, hacking es, como el hacker fundador Mark Zuckerberg dice, «una impresionante parte de nuestra cultura.»

«La idea es trabajar con pasión hacia un objetivo y dejar de lado normas estándar, convencionales, que otros piensan aplicar,» dice Pedram Keyani, Gerente de ingeniería de equipo de integridad de sitio de Facebook. «Imagínese si usted no tiene que preocuparse de escalar; ¿Qué producto puede construir? Imagine que no está limitado por procesamiento de velocidad; ¿Qué puede desarrollar? Para nosotros, hacking es apasionadamente estar trabajando hacia una meta y no tener miedo del fracaso».

Hacking en Facebook no es nuevo. De hecho, la película dramatizada La red Social, muestra como el sitio comenzó cuando su fundador Zuckerberg una noche se sentó en su equipo en Harvard y ha escrito las infames palabras «Que el pirateo inicie…». Su intención era entrar en Facebook de la Universidad para hacer algo nuevo, y el éxito de ese momento aún inspira la actual empresa.

Como la compañía creció, «cada noche era hackmeeting,» recuerda Keyani, que estudió ingeniería informática en Stanford y fue el Gerente de ingeniería en Google antes de venir a Facebook en 2007 para iniciar su equipo de integridad del sitio, que busca estafas y otras cuestiones de seguridad. Ingenieros de Facebook se reunirían durante la cena y hablarían de nuevas características para el sitio, para luego permanecer hasta llevarlas a la vida toda la noche. «, Fue sólo parte de la cultura de empresa», añade. «Usted sólo puede seguir trabajando hasta que tenga algo que mostrar.»

Hackathons escala que el personal creció a aproximadamente 500 ingenieros de hoy (la empresa quiere tener al menos un ingeniero por cada millón de miembros en todo momento). «La única regla», ha dicho Zuckerberg, «es que no está permitido trabajar en lo mismo que su trabajo es».

¿Hackathons generalmente comienzan cuando un ingeniero de Facebook envía un correo electrónico alrededor preguntando, nadie quiere quedarse hasta hacking todos de noche? Word se propaga. Se establece una fecha. Se piden alimentos y barriles. Frigoríficos están provistos de Red Bull. La cocina: Comida China — no varía, aunque, como Facebook sí, ha madurado. La empresa utilizada para ordenar un conjunto de barrio, pero hoy en día sus cocineros los encuentras en casa. Una vez, post-hackmeeting, docenas de frikis cansados apareció en la Casa Internacional de panqueques, causando revuelo. Un ingeniero mencionó posteriormente, «mi Consejo: no rodar en 45 profundo a un IHOP a 6 de la mañana»

Consumidores aún son tímidos ante compras en la web

El Universo, 7 de febrero 2011

Vender productos por internet es la opción de solo el 5% de las tiendas dentro del país que comercializan ropa, accesorios y libros, en un intento de exportar productos y mejorar el servicio a sus clientes locales.

Fabricio Echeverría, especialista en Monitoreo Web de la Escuela Superior Politécnica del Litoral, explica que según análisis del Observatorio de Internet de la Espol, ese porcentaje podría aumentar al 10% en los próximos 5 años.

Sin embargo, primero deben superar problemas como el miedo en el sistema de cobros –pues significa colocar datos personales en las páginas–, la desconfianza en la forma de envíos, además de la tendencia local a comprar en percha.

Ante eso, Echeverría sostiene que la mayoría de las empresas que apuestan a comercializar en internet lo usan como una estrategia de marketing para exponer sus productos.

Las aerolíneas, según Echeverría, son las únicas con éxito en esta clase de ventas.

Azael Torres, propietario de la marca Camisetas Bacanes, cuenta que su negocio comenzó en internet hace cuatro años, pero tuvo que colocar puntos de venta un año después, ya que el comprador nacional mantiene el interés de probar los artículos antes de comprarlos.

Pese a eso, Torres dice que el 5% de sus ventas las hace por web. Ese porcentaje se divide en compras realizadas en el 60% desde Estados Unidos y Europa, y el restante en otras provincias, pues solo tiene locales en Guayaquil y Quito.

Torres destaca que la forma de pago es un inconveniente al hacer esos negocios. El primer problema es la desconfianza al ingresar claves y números de tarjetas de crédito, sumado a que estas transacciones tienen un costo del 2% extra a la salida de capitales, pues el servicio de cobranzas que utiliza (Paypal) está en Estados Unidos.

Otra empresa que experimentó vender en web desde sus inicios es Daltónica, que tiene un taller de producción artesanal de billeteras, maletas y carteras, en la cdla. Los Ceibos.

Su propietario, Edmundo Acosta, explica que su idea de comercializar en la internet apuntaba a colocar sus productos fuera del país, pero los clientes aún no tienen confianza en el servicio de envío, pues ciertas empresas que lo proveen demoran mucho la entrega, alentando el miedo a que lo comprado no llegue.

Ese fue el problema que tuvo cuando envió dos de su artículos a Brasil, el año anterior.

El paquete, cuenta, demoró más de una semana en llegar y la transacción tuvo fallas.

Por ello decidió suspender hace tres meses sus ventas en esta modalidad y ahora sondea reactivarla a través del programa para microexportadores Exporta Fácil, apoyado por el Ministerio de Industrias.

Las tiendas más grandes, como almacenes Makro y De Prati, en cambio, utilizan la web para captar clientes y aumentar sus servicios en el mercado, pues aún están direccionadas a puntos de venta físicos.

Sin embargo, José Rivera, jefe de Publicidad y Promociones de almacenes Makro, comenta que la web le pareció un campo poco explotado, por lo que desde agosto habilitaron la opción de venta.

Hasta ahora agrega que el 4% de las compras se hacen por ese medio, aunque –según sus planes– en cinco años podrían llegar al 10%.

La página de almacenes De Prati, según Viviana Arroyo, gerente de Comercio Electrónico, es una opción que complementa las compras en tiendas, pero resalta que su importancia ha crecido en el 2010, impulsada por factores como el mejor acceso a internet desde oficinas, cibers y hogares.

Una de sus ventajas, añade, es la facilidad de comprar desde cualquier parte de la ciudad y esperar hasta 72 horas para que se realice la entrega.

Librerías apuestan a transacciones

Para evitar el obstáculo de la falta de confianza al ingresar datos personales necesarios en compras a crédito por internet, las empresas LibriMundi y Mr. Books dan a sus clientes el servicio de pago al momento de la entrega o a través de transferencias bancarias o depósitos.

Alexandra Vallejo, jefa de ventas por internet de Mr. Books, comenta que su página fue inaugurada en noviembre y hasta ahora tiene unas 50 visitas diarias, de las que el 50% realiza compras.

La mayor parte de los cobros se hacen por depósitos. La opción de pago al momento de la entrega, que aplica en Quito y Guayaquil, es menos preferida. El envío, añade, toma 24 horas.

Alfonso Reece, representante de LibriMundi, afirma que su tienda virtual vende como un local mediano, pues la empresa es constante en su promoción web desde hace 9 años. Ahora compran hasta 30 libros diarios.

Reece resalta que el 50% de esas transacciones las hacen clientes en el extranjero que demandan libros de autores nacionales y que en su mayoría prefieren hacer transferencias bancarias.