En lugar de bloquear los ataques, una 'start-up' distrae a los atacantes con información falsa.
La mayoría de los programas de seguridad defienden a los PC y sitios web actuando como si fueran una puerta cerrada con la que bloquear a los piratas informáticos. En lugar de eso, una nueva empresa de seguridad, Mykonos Software, hace que los hackers entren a través de una puerta falsa y los engaña hasta que se dan por vencidos.
"Me voy a divertir con el que entre en el sitio", afirma David Koretz, director general de Mykonos. Koretz asegura que la industria de la seguridad informática es muy tímida, y aboga por hacer la vida de los piratas informáticos tediosa y difícil.
Mykonos vende software diseñado para proteger a sitios web contra ataques destinados a acceder a datos valiosos, como las credenciales de los usuario. Un ejemplo de este tipo de ataques fue el que sufrió la web de Sony el año pasado, que acabó con el robo de miles de números de tarjetas de crédito. Cuando el software de Mykonos identifica a un atacante, intenta hacerle perder el tiempo ofreciendo datos falsos, tales como vulnerabilidades de software y contraseñas. Esta semana, la compañía (con 19 empleados) anunció haber recibido 4 millones de dólares (3,05 millones de euros) en inversiones de una serie de empresas líderes en Internet y tecnología, entre ellos Jeff Clark, presidente de Orbitz.
El software de la compañía está dirigido principalmente a los piratas informáticos que utilicen herramientas automatizadas para identificar y explotar las vulnerabilidades de sitios web, afirma Koretz. Estas herramientas permiten incluso a hackers relativamente poco cualificados, a veces conocidos como script kiddies, causar un daño considerable.
Hacer perder el tiempo a los asaltantes "cambia la economía" de los ataques, señala Koretz. "A fin de cuentas, el número de hackers es finito, y si bloqueamos todos los tipos de automatización, se convierte en algo que solo algunas personas pueden hacer", afirma. "Con esto intentamos lograr que sea más como robar un banco, un problema manejable".
En primer lugar, el software de Mykonos tiene que identificar con precisión a los atacantes, para evitar que bloquee a los usuarios legítimos. Esto se lleva a cabo mediante el uso de pequeños fragmentos de código insertados en páginas web, formularios y otros datos enviados al ordenador que esté accediendo al sitio. Los fragmentos están colocados de forma que se vean alterados por los métodos más comunes utilizados para buscar vulnerabilidades en la seguridad. Cuando estos fragmentos se alteran, el software de Mykonos anota de forma automática la dirección IP del atacante potencial.
Si un atacante está utilizando un navegador web para entrar en un sitio, se inyecta un pequeño archivo de rastreo, difícil de borrar, conocido como 'supercookie'. Si se está utilizando un programa distinto a un navegador, se toman "huellas digitales" de las características del ordenador del atacante. Cuando el mismo ordenador vuelve, el software de defensa lo sabe y puede responder de manera adecuada.
El software de Mykonos hace creer al hacker que está haciendo progresos. "Podemos interceptar sus exploraciones e inundarlas con valores falsos", indicó Koretz. "Se necesita mucho más tiempo [para que un atacante explore un sitio], y los resultados no sirven para nada".
Una exploración que por lo general llevaría 5 horas, podría llevar 30, indica Koretz. Otras tácticas incluyen ofrecer archivos de contraseñas falsas, que pueden ayudar a rastrear a un atacante cuando él o ella traten de usarlas. "Les permitimos romper el cifrado y presentamos una página de inicio de sesión falsa. Tenemos la capacidad de hackear al hacker", indica Koretz.
Como herramienta promocional para impresionar a los potenciales clientes, los ingenieros de Mykonos han construido versiones del software capaces de burlarse de los atacantes. Una de ellas dirige al hacker a una búsqueda de mapas de Google sobre abogados de derecho criminal. Otra hace una parodia del ahora difunto y antropomorfo Clippy de Microsoft, con el mensaje: "Da la impresión de que eres un script kiddie no demasiado sofisticado. ¿Necesitas ayuda para escribir el código?"
Mykonos podría utilizar su sistema para simplemente bloquear a los atacantes, pero Koretz afirma que los piratas informáticos esperan tal comportamiento y se limitarán a seguir buscando nuevas formas de entrar. Si solo los bloqueas, encontrarán una ruta distinta de ataque. Si los atrapas de forma angustiosa, cambias la economía del ataque y se vuelve mucho más caro".
Sven Dietrich, experto en seguridad informática y profesor de la Universidad Stevens (EE.UU.), afirma que molestar a los atacantes puede ser una mala idea. "Es concebible que cuando él o ella se enteren de que se les ha tomado el pelo, busquen venganza", señala Dietrich.
Los investigadores de seguridad utilizan a menudo ordenadores "cebo" que puedan sacrificar, como forma de estudiar de cerca los ataques en un ambiente seguro. Dietrich afirma que es importante separar cuidadosamente estas máquinas de otras redes de ordenadores para reducir el impacto potencial de ataques de venganza, aunque esto no es una opción en el caso de una empresa que utilice el software de Mykonos. "Si se utiliza en un sistema de producción, entonces saben quién lo creó y está tratando de engañarlos".
Koretz argumenta que las frustraciones que provoca su software pueden surgir de forma natural en el curso del pirateo de un sitio, con lo que es probable que muchos atacantes las atribuyan a la mala suerte y pasen a otro posible objetivo.
Dietrich también afirma que explorar de forma activa, o instalar piezas de código de seguimiento en otro ordenador, podría hacerlo inestable. Si un atacante compromete un equipo inocente, "el riesgo es que puede afectar a sistemas que sean críticos o hagan que alguien pierda sus bienes digitales, o algo peor", asegura.
Koretz cree que el enfoque se hará más común a medida que el software de seguridad convencional resulte cada vez más ineficaz. "El engaño es una defensa legítima", concluye.