Cargar la batería de un coche eléctrico, usar una app de citas y hasta actualizar Windows: toda actividad está expuesta.
Entre el 3 y el 8 de agosto se llevó a cabo en la ciudad estadounidense de Las Vegas la conferencia internacional de ciberseguridad Black Hat 2024.
En la meca de las apuestas se congregó lo más granado del mundo del espionaje, el delito y la vigilancia en el mundo virtual, e intercambiaron conocimientos y novedades al respecto.
La revista PC Magazine acudió al evento y publicó un resumen de lo más interesante de las ponencias, y los datos revelados pueden poner los pelos de punta hasta al menos aprehensivo de los seres humanos.
El evento comenzó con un panel de discusión principal sobre los problemas de ciberseguridad que afectan la seguridad electoral en todo el mundo. El asunto no es nada menor si se considera que durante el corriente año se realizarán unas cincuenta votaciones relevantes en el mundo, incluidas las de Uruguay. Por ello, resulta lógico las preocupaciones sobre los ciberataques y la desinformación generativa asistida por IA fueran los principales temas de discusión.
Los panelistas, todos representantes de alto rango de grupos de ciberseguridad globales, instaron a la comunidad de ciberseguridad a unirse para proteger a las democracias de la intromisión a través de ciberataques. La directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, Jen Easterly, pidió que más miembros de la comunidad “hacker” se convirtieran en trabajadores electorales. Luego, instó a los votantes en general a no dejarse influenciar por la desinformación obtenida de “influencers” o fuentes de noticias no oficiales.
Sobre esto último, una mesa redonda entre periodistas de tecnología de alto perfil reveló que los piratas informáticos ahora están utilizando estrategias clásicas de relaciones con los medios para dar a conocer sus delitos y presionar a las víctimas. Esta tendencia de “piratas informáticos convertidos en agentes de relaciones públicas” significa que los equipos de respuesta corporativa deben actuar con mayor rapidez y ser más receptivos al elaborar declaraciones públicas sobre incidentes de ciberseguridad.
Más alarmante resultó lo expuesto por un grupo de investigadores que analizaron el historial de noticias sobre delitos cibernéticos perpetrados a través de plataformas de apuestas deportivas. Allí, representantes de la empresa de seguridad cibernética Infoblox dijeron que las entradas de DNS (sistema de nombres de dominio que los a direcciones IP) los llevaron a vincular varios sitios web de populares de apuestas con mano de obra esclava y tráfico de personas.
Durante la conferencia también se demostró —por si hacía falta— que los gigantes de la industria no están a salvo del hackeo, ni mucho menos.
Por ejemplo, un proceso tan sensible y a la vez corriente como la actualización de Windows debería ser seguro, pero en realidad es un desafío que algunos hackers pueden asumir.
La mayor parte del proceso de actualización está blindado contra todo tipo de ajustes, pero un pequeño agujero en esa armadura fue suficiente para permitir que uno de los oradores del evento tomara el control total del proceso de actualización y lo obligara a degradar la seguridad de maneras ilimitadas. Este ataque resultó invisible para la seguridad e imposible de deshacer.
En otro momento de la convención, un equipo holandés mostró sus habilidades en varios cargadores de vehículos eléctricos domésticos. Sus ataques permitieron que cualquier persona dentro del alcance de Bluetooth tome el control de un cargador. ¿Qué les permite hacer ese control? El atacante podría sobrecalentar el cargador, limitar su corriente o interferir con su programa de carga.
Más allá de esas “bromas”, el atacante podrían disponer a su antojo del sistema de facturación de corriente del aparato, desde reducirla a cero hasta llevarla a una suma impagable. Si bien no deja de ser algo a escala doméstica, a los expertos les preocupa que por vías similares se pueda llegar a comprometer prácticamente cualquier dispositivo de Internet de las cosas.
Como no podía se de otra manera, la seguridad de los teléfonos celulares estuvo también en el centro de los debates. Sobre ello, se recordó en primera instancia que cualquier teléfono inteligente que se encuentre dentro del alcance de su enrutador doméstico puede identificarlo en una o más bases de datos de posicionamiento enormes, que son propiedad de potencias transnacionales como Apple, Google y Microsoft. La base de datos de Apple está abierta a cualquiera, lo que facilita la recopilación de información sobre millones de enrutadores en todo el mundo.
Con esa información sobre la mesa, una charla repasó cómo se puede usar o abusar de este conocimiento, desde rastrear a un cónyuge infiel que se fue de la ciudad hasta localizar áreas de preparación en la guerra de Rusia en Ucrania. Afortunadamente, Apple lanzó una solución de exclusión voluntaria para quien la desee, aunque los expertos consideraron que la empresa debió haber hecho mucho más. Por ejemplo, Starlink resolvió el problema para sus dispositivos, que a menudo se usan en áreas de conflicto.
Y siguiendo con los celulares, no faltaron quienes “destriparon” la poca intimidad de algo tan íntimo como la información almacenada en una aplicación para citas. De acuerdo con PC Magazine, un equipo de investigadores puso a prueba 15 aplicaciones populares de ese rubro y descubrió que filtran información personal de forma descontrolada, desde la orientación sexual hasta la ubicación exacta. Como suele suceder, muchas de las aplicaciones tomaron decisiones para mejorar la seguridad solo después de que los investigadores les advirtieran de sus vulnerabilidades.