‘Hackers’ de Google para proteger las elecciones
El buscador probó en los comicios de Holanda herramientas que pueda alterar los resultados de unos comicios, algo que volverá a utilizar en Francia y Alemania
Rosa Jiménez Cano
San Francisco, El País
Mientras Estados Unidos sigue preguntándose cómo los rusos llevaron a cabo un ciberataque durante sus elecciones, Google quiere evitar que esto suceda fuera de sus fronteras. Jigsaw —filial de Alphabet que desarrolla herramientas de seguridad para grupos civiles— es, literalmente, un escuadrón de casi un centenar de hackers contratados por Google para crear herramientas que impidan que se hagan trampas, desde el punto de vista tecnológico, en los procesos electorales. Lo hacen sin cobrar, como parte de su misión para tener la información a salvo.
Google nació con un cometido, poner orden en la información de Internet. Una premisa clara con diferentes lecturas. La empresa es el adalid de neutralidad de la Red para que un contenido no prime sobre otro, pero también ha decidido tomar cartas ante aquellos que quieren usarla para alterar la política. Las recientes elecciones holandesas fueron su primera experiencia, su primer contacto con el mundo real: Jigsaw, junto con Google, defendió una página que proporcionaba información a los votantes y que había sido atacada durante las elecciones, informa Reuters.
Google no quiere exagerar, pero sí aporta algunos datos. Kieskompas, un comparador de propuestas electorales, y Nos, un medio local, fueron víctimas de DDoS (un ataque de denegación del servicio). Ahora han optado por añadir la capa de seguridad de Google. Los de Mountain View no cobran por ello: “Para nosotros es importante dar protección gratis a estas organizaciones, porque son los que dan información a los votantes para que tomen decisiones con conocimiento”.
Francia y Alemania serán los siguientes grandes países donde se celebrarán elecciones, en abril y septiembre, respectivamente. El gigante informático matizan que no se ciñe a Europa, que en el futuro cercano pretende seguir con el despliegue allá donde haya un proceso democrático.
Según la versión oficial, compartida por un portavoz del buscador, la compañía ofrece un paquete de herramientas para defenderse de los ataques más habituales, pero no se limita a ello, sino proporciona un despliegue específico para campañas. “Estamos inmersos en el programa Protect Your Election (protege tus elecciones), contactando también con medios, centros de monitorización de elecciones y los propios candidatos para asegurarnos de que tienen las herramientas que necesitan para estar seguros en el aspecto digital”.
Pero, ¿cuáles son las amenazas? En general, hay dos tipos de ataque que son recurrentes, bien conocidos y, si tienen éxito, de gran impacto. Los ataques de DDos y el phishing (suplantación de identidad). El primero es una denegación del servicio. El precio para llevar a cabo una de estas acciones puede ser muy bajo —se puede activar por apenas cinco euros—, pero sus consecuencias pueden extenderse durante horas. Consiste en la acumulación reiterada de peticiones a un servidor, tantas que es incapaz de gestionarlas y termina por dejar de ofrecer el servicio. La página, en apariencia, está caída. Simplificando mucho, podría hacerse un símil con una cafetería en la que entran tantos clientes, comienzan a encargar un desayuno, se pisan entre sí, se apelotonan alrededor de la barra, no se retiran y siguen entrando más y más clientes hasta que el local queda bloqueado. Es imposible servir un solo café. Project Shield, Proyecto Escudo, está pensando para evitar esta situación.
El phishing, popularizado por las incidencias de las páginas web de los bancos, es una suplantación para tomar datos o adentrarse en una página con las credenciales de otra persona. Se usa en su mayoría para acceder a cuentas privadas. Una forma muy extendida de fraude es la creación de una página o el envío de un correo que imita el de un servicio del que la víctima es cliente. Los atacantes simulan la web del banco, el cliente pone su nombre de usuario y contraseña pero no consigue acceder al servicio real, sino a una "copia" creada ad hoc por los ciberdelincuentes para robarle las credenciales. Una vez que los delincuentes tienen esa valiosa información, entran en la cuenta de la víctima y la liquidan, le cargan compras online o transfieren fondos. Esto se puede hacer igualmente con una dirección de correo. En política es lógico pensar que más que robar dinero o suplantar la identidad, lo que se quiere es información personal de los protagonistas de la contienda. El antídoto ideado para esta técnica es Password Alert, una extensión que funciona con Chrome, el navegador de Google, y que alerta al navegante si el sitio que visita está intentando robar sus datos.
David Barroso (Palencia, 1977), fundador de CounterCraft, una empresa de ciberseguridad, aprecia la facilidad de uso de la oferta de Google y la buena intención pero apunta a una vulnerabilidad difícil de frenar: la incapacidad de detectar, por ahora, el eslabón más débil, los humanos. “Jigsaw quiere ayudar a los partidos políticos y a los organizadores de elecciones, pero al final muchos de los ataques realizados utilizan ingeniería social y buscan debilidades en los seres humanos, no en la tecnología. Los grupos, los partidos políticos y los organizadores de elecciones deben de contar con una estrategia y medidas de seguridad adecuadas para intentar al menos minimizar las repercusiones de un incidente”.
Pablo San Emeterio López (Madrid, 1980), embajador de Seguridad de Eleven Paths, la unidad de Ciberseguridad de Telefónica, cree que la desinformación es un factor importante en procesos electorales, pero Google no ha puesto ninguna herramienta para frenarla: “Una campaña de desinformación se suele detectar cuando la noticia comienza a hacerse viral, existen servicios como Vigilancia Digital de Telefónica que pueden detectarlas antes de que esto ocurra”. También considera que, si las herramientas son complejas, si no se adaptan a los diferentes niveles de uso de las potenciales víctimas, es como si no existieran.
Tanto el FBI como la CIA y la NSA han dado por buenas las informaciones que sostienen que las elecciones de EEUU fueron blanco de técnicas invasivas como las descritas, desde la filtración de correos del Comité Demócrata, de la candidata Hillary Clinton, así como su director de campaña John Podesta. La semana pasada, James Comey, director del FBI, advirtió de lo que está por venir: cree que los hackers rusos estarán presentes en las próximas elecciones y que comenzarán a atacar en 2018. En el caso de Podesta, el bochorno se podría haber evitado con Password Alert. El jefe de campaña mordió el anzuelo y entregó su contraseña a una página maliciosa pensado que era Google.
Llama la atención que Jigsaw ofrezca sus servicios a periodistas cuando el cometido principal es asegurar la protección de las elecciones. Google aporta datos para defender esta decisión: “Muy a menudo los ataques DDos tienen como objetivo el trabajo de periodistas de investigación o grupos que garantizan la transparencia en las elecciones, como ha sucedido en Mexico, Holanda, Ecuador, Malaysia, Burma, Montenegro, entre otros. En los últimos años hemos visto un incremento de ataque contra medios y periodistas”.
Rosa Jiménez Cano
San Francisco, El País
Mientras Estados Unidos sigue preguntándose cómo los rusos llevaron a cabo un ciberataque durante sus elecciones, Google quiere evitar que esto suceda fuera de sus fronteras. Jigsaw —filial de Alphabet que desarrolla herramientas de seguridad para grupos civiles— es, literalmente, un escuadrón de casi un centenar de hackers contratados por Google para crear herramientas que impidan que se hagan trampas, desde el punto de vista tecnológico, en los procesos electorales. Lo hacen sin cobrar, como parte de su misión para tener la información a salvo.
Google nació con un cometido, poner orden en la información de Internet. Una premisa clara con diferentes lecturas. La empresa es el adalid de neutralidad de la Red para que un contenido no prime sobre otro, pero también ha decidido tomar cartas ante aquellos que quieren usarla para alterar la política. Las recientes elecciones holandesas fueron su primera experiencia, su primer contacto con el mundo real: Jigsaw, junto con Google, defendió una página que proporcionaba información a los votantes y que había sido atacada durante las elecciones, informa Reuters.
Google no quiere exagerar, pero sí aporta algunos datos. Kieskompas, un comparador de propuestas electorales, y Nos, un medio local, fueron víctimas de DDoS (un ataque de denegación del servicio). Ahora han optado por añadir la capa de seguridad de Google. Los de Mountain View no cobran por ello: “Para nosotros es importante dar protección gratis a estas organizaciones, porque son los que dan información a los votantes para que tomen decisiones con conocimiento”.
Francia y Alemania serán los siguientes grandes países donde se celebrarán elecciones, en abril y septiembre, respectivamente. El gigante informático matizan que no se ciñe a Europa, que en el futuro cercano pretende seguir con el despliegue allá donde haya un proceso democrático.
Según la versión oficial, compartida por un portavoz del buscador, la compañía ofrece un paquete de herramientas para defenderse de los ataques más habituales, pero no se limita a ello, sino proporciona un despliegue específico para campañas. “Estamos inmersos en el programa Protect Your Election (protege tus elecciones), contactando también con medios, centros de monitorización de elecciones y los propios candidatos para asegurarnos de que tienen las herramientas que necesitan para estar seguros en el aspecto digital”.
Pero, ¿cuáles son las amenazas? En general, hay dos tipos de ataque que son recurrentes, bien conocidos y, si tienen éxito, de gran impacto. Los ataques de DDos y el phishing (suplantación de identidad). El primero es una denegación del servicio. El precio para llevar a cabo una de estas acciones puede ser muy bajo —se puede activar por apenas cinco euros—, pero sus consecuencias pueden extenderse durante horas. Consiste en la acumulación reiterada de peticiones a un servidor, tantas que es incapaz de gestionarlas y termina por dejar de ofrecer el servicio. La página, en apariencia, está caída. Simplificando mucho, podría hacerse un símil con una cafetería en la que entran tantos clientes, comienzan a encargar un desayuno, se pisan entre sí, se apelotonan alrededor de la barra, no se retiran y siguen entrando más y más clientes hasta que el local queda bloqueado. Es imposible servir un solo café. Project Shield, Proyecto Escudo, está pensando para evitar esta situación.
El phishing, popularizado por las incidencias de las páginas web de los bancos, es una suplantación para tomar datos o adentrarse en una página con las credenciales de otra persona. Se usa en su mayoría para acceder a cuentas privadas. Una forma muy extendida de fraude es la creación de una página o el envío de un correo que imita el de un servicio del que la víctima es cliente. Los atacantes simulan la web del banco, el cliente pone su nombre de usuario y contraseña pero no consigue acceder al servicio real, sino a una "copia" creada ad hoc por los ciberdelincuentes para robarle las credenciales. Una vez que los delincuentes tienen esa valiosa información, entran en la cuenta de la víctima y la liquidan, le cargan compras online o transfieren fondos. Esto se puede hacer igualmente con una dirección de correo. En política es lógico pensar que más que robar dinero o suplantar la identidad, lo que se quiere es información personal de los protagonistas de la contienda. El antídoto ideado para esta técnica es Password Alert, una extensión que funciona con Chrome, el navegador de Google, y que alerta al navegante si el sitio que visita está intentando robar sus datos.
David Barroso (Palencia, 1977), fundador de CounterCraft, una empresa de ciberseguridad, aprecia la facilidad de uso de la oferta de Google y la buena intención pero apunta a una vulnerabilidad difícil de frenar: la incapacidad de detectar, por ahora, el eslabón más débil, los humanos. “Jigsaw quiere ayudar a los partidos políticos y a los organizadores de elecciones, pero al final muchos de los ataques realizados utilizan ingeniería social y buscan debilidades en los seres humanos, no en la tecnología. Los grupos, los partidos políticos y los organizadores de elecciones deben de contar con una estrategia y medidas de seguridad adecuadas para intentar al menos minimizar las repercusiones de un incidente”.
Pablo San Emeterio López (Madrid, 1980), embajador de Seguridad de Eleven Paths, la unidad de Ciberseguridad de Telefónica, cree que la desinformación es un factor importante en procesos electorales, pero Google no ha puesto ninguna herramienta para frenarla: “Una campaña de desinformación se suele detectar cuando la noticia comienza a hacerse viral, existen servicios como Vigilancia Digital de Telefónica que pueden detectarlas antes de que esto ocurra”. También considera que, si las herramientas son complejas, si no se adaptan a los diferentes niveles de uso de las potenciales víctimas, es como si no existieran.
Tanto el FBI como la CIA y la NSA han dado por buenas las informaciones que sostienen que las elecciones de EEUU fueron blanco de técnicas invasivas como las descritas, desde la filtración de correos del Comité Demócrata, de la candidata Hillary Clinton, así como su director de campaña John Podesta. La semana pasada, James Comey, director del FBI, advirtió de lo que está por venir: cree que los hackers rusos estarán presentes en las próximas elecciones y que comenzarán a atacar en 2018. En el caso de Podesta, el bochorno se podría haber evitado con Password Alert. El jefe de campaña mordió el anzuelo y entregó su contraseña a una página maliciosa pensado que era Google.
Llama la atención que Jigsaw ofrezca sus servicios a periodistas cuando el cometido principal es asegurar la protección de las elecciones. Google aporta datos para defender esta decisión: “Muy a menudo los ataques DDos tienen como objetivo el trabajo de periodistas de investigación o grupos que garantizan la transparencia en las elecciones, como ha sucedido en Mexico, Holanda, Ecuador, Malaysia, Burma, Montenegro, entre otros. En los últimos años hemos visto un incremento de ataque contra medios y periodistas”.