En esencia, la piratería gira en torno a tres cosas:
- Seguridad
- Usabilidad
- Confiar
Comencemos con una analogía rudimentaria. ¿Cómo define el auto más seguro del mundo? ¿El que tiene cerradura electrónica? Huellas dactilares? No. El auto más seguro del mundo es uno en el que nadie puede entrar, ni siquiera el propietario.
Verá, una vez que permita que el propietario suba al vehículo, cualquier otra persona puede hacerlo. Pueden crear un duplicado de la llave, pueden robar el original, pueden poner un arma en la cabeza del propietario y hacer que desbloquee el auto, pueden cortarle los dedos, etc.
Ahora, introduzcamos las claves. Pero todos perdemos llaves de vez en cuando, ¿verdad? Ese es un problema de usabilidad . Imaginemos el automóvil más fácil de usar del mundo, uno en el que el propietario nunca se molestaría con ningún mecanismo de seguridad. Es un automóvil en el que cualquiera puede entrar y conducir. Como probablemente haya descubierto, también es el vehículo más inseguro del mundo.
Imagine un control deslizante que se mueve entre extremos utilizables y seguros . La seguridad tiene el costo de las molestias. Para que los sistemas sean útiles, deben ser utilizables. Para que sean utilizables necesitamos confiar en alguien (al menos el usuario). Una vez que introduce esa palabra sucia en la mezcla, todo es pirateable.
Los fabricantes del automóvil confían la llave al propietario. El propietario a su vez puede confiar en otra persona, por ejemplo, un valet con la llave. El flujo de confianza en un sistema es el aspecto más crítico de cómo hackearlo.
Al pasar a las computadoras, se debe establecer un nivel de confianza alucinante para que sean útiles. Crear una computadora desde cero es mucho trabajo, por lo que las personas e incluso los gobiernos confían en varios componentes (CPU, SO) para no hacer nada sin querer.
Pero así como alguien puede drogar su valet y tomar su automóvil, los hackers explotan estos componentes confiables. A veces también pueden ganar su propia confianza y hacerse pasar por un amigo y pedirle las llaves de su automóvil.
Volvamos a la analogía de nuestro automóvil e introduzcamos el software en la mezcla. El fabricante decide que las llaves son lo peor que ha pasado desde la plaga y las reemplaza con almohadillas para un código de 4 dígitos (como en cajeros automáticos y casilleros). Probablemente ahora sea más útil, pero ahora decides que olvidar el pin es un gran inconveniente. Es por eso que nunca lo cambia del valor predeterminado “0000”. ¡Día de campo para hackers! Piensa en un alfiler realmente bueno y lo guarda en una hoja de papel en caso de que lo olvide, alguien podría tener acceso a esa hoja de papel. Estableces el año de nacimiento de tu pareja como el pin, alguien puede adivinarlo. En el peor de los casos, alguien puede probar las 10,000 combinaciones para encontrar cuál funciona.
¿Qué tal aumentar la longitud a 50 dígitos? Ahora, es más difícil para las personas probar todas las combinaciones, pero también es mucho más difícil para ti recordar e ingresar el pin. Más seguro, menos utilizable.
Eso es más o menos que un resumen de cómo funciona la piratería en teoría. Dado que su pregunta es específica sobre la intrusión en los sistemas informáticos, hablemos de eso ahora y enumeremos algunas de las formas más populares de hacerlo.
- Ingeniería social : como su nombre indica, pedirle a alguien su nombre de usuario / contraseña después de hacerse pasar por su amigo / CEO. Te sorprendería la frecuencia con que esto funciona.
- Archivos infectados : confía en Acrobat Reader y lo instala en su sistema. Tiene una vulnerabilidad . En términos de automóviles, digamos que su ayuda de cámara es estupendamente crédulo y actúa según las instrucciones escritas de cualquier persona. Su valet y su software Acrobat Reader son vulnerables. Ahora abres un archivo PDF malicioso enviado por el hacker en tu computadora, explota la vulnerabilidad y transfiere el control de tu sistema al hacker. Volviendo atrás, imagine que el pirata informático le entrega a su ayuda de cámara un sobre que contiene la instrucción “deje el auto en el Starbucks más cercano”.
- Snooping : tu esposa quiere subirse al auto y necesita el pin, así que se lo dices por teléfono. Hay un hacker fuera de su casa que está escuchando la conversación. Bingo. Del mismo modo, sus contraseñas deben comunicarse a los sitios web y pueden interceptarse mediante una variedad de métodos. En mi universidad fui suspendido por un par de semestres después de que irrumpí en los sistemas simplemente husmeando en las contraseñas. También pude acceder a los documentos de preguntas, ya que fueron enviados a la impresora de red para su impresión. La efectividad de esta línea de ataque depende mucho de la infraestructura de red.
Si bien hay formas de proteger los sistemas de cierto tipo de ataques, es un error fundamental pensar en la seguridad como un producto. Parafraseando a Bruce Schneier (una luminaria en el campo de la criptografía), la seguridad es un proceso . Requiere educación y disciplina por parte de todos los involucrados, no solo de los fabricantes del producto. Una vez que han decidido un equilibrio de seguridad / usabilidad, los fabricantes del automóvil deben comunicar buenas prácticas a los usuarios del pin-pad. Los usuarios necesitan educarse y comprender el flujo de confianza, que es considerablemente complicado en el caso de las computadoras.
Por ejemplo, en la mayoría de los casos se ignoran las oscuras “advertencias” que las personas reciben de sus navegadores cuando visitan un sitio web. Imagine llamar a una línea directa para comprar algo y recibir una advertencia al principio que diga claramente que alguien podría estar escuchando la llamada. ¿Cuántos aún regalarán sus números de tarjeta de crédito? Ahora traduzca eso al mundo de las computadoras y se sorprenderá de cuántos lo hacen.
Incluso si la gente prestara atención a las advertencias, los navegadores mismos confían en algo llamado las Autoridades de Certificación. Estos son esencialmente los que certifican que es poco probable que alguien escuche tu conversación. También pueden ser engañados, lo que demuestra que es casi imposible en un mundo digital mantener un flujo seguro de confianza y garantizar la usabilidad .
Solo recuerde, alguien en algún lugar está confiando en algo para que las cosas sucedan en su computadora. El viejo adagio de que esa cadena es tan fuerte como el eslabón más débil se aplica tan bien a las computadoras como a cualquier otro campo.