Pregunta al experto: Watch Dogs versus realidad

Igor Soumenkov, uno de los expertos de Kaspersky Lab que ha colaborado con Ubisoft en la creación de Watch Dogs, explica en una entrevista hasta qué punto es real el juego.

Experto

Con un récord de 4 millones de copias vendidas la primera semana, Watch Dogs ha entrado por la puerta grande en el ránking de los más vendidos de la industria de los videojuegos, gracias a su concepto bastante inusual y su modo de juego envolvente. La mecánica del juego está basada en la posibilidad de hackear los dispositivos conectados de una smart city: cajeros automáticos, puertas, semáforos, cámaras de vigilancia. Sólo de esta manera el jugador puede alcanzar sus objetivos. Los desarrolladores de Ubisoft querían que se ajustara a la realidad y que el jugador, efectivamente sólo pudiera hackear aquellos dispositivos que también pudieran sufrir estos ataques en la vida real. No es de extrañar, por tanto, que pidieran ayuda a los expertos de Kaspersky Lab para evaluar el guión del juego y que se ajustara a las prácticas de ciberataques que se registran en la actualidad. Ahora que el juego ha salido a la venta, muchos jugadores siguen preguntándose si esos trucos para hackear realmente existen. Hemos recopilado vuestras preguntas a través de nuestra página de Facebook y le hemos pedido a Igor Solomennikov, experto en seguridad de Kaspersky Lab, que nos cuente la verdad sobre Watch Dogs.

¿Cuánto de real tiene el juego?

Aunque algunos de los hackeos son muy similares a los que aparecen en la vida real, no debemos perder de vista que sigue siendo un juego, una simulación. Es muy importante que el jugador entienda que Watch Dogs no le enseña a hackear, pero le permite hacerse una idea bastante aproximada de las consecuencias que puede tener una herramienta de hacking.

De los hackeos que vemos en el juego, hay algunos casos que pueden darse en la vida real como estos:
– Interceptar datos (espiar contraseñas y paquetes Wi-Fi en Android)
– Hackear cajeros automáticos y puntos de venta (malware de cajeros automáticos, controlados por SMS, que dispensa dinero en efectivo),
– Hackear coches (Charlie Miller y Chris Valasek demostraron que es posible);
– Controlar los apagones, las luces y los semáforos de una ciudad (¿han hackeado el sistema operativo de los semáforos de Nueva York?)

¿Se pueden llevar a cabo estos hackeos usando sólo un teléfono móvil?

En la vida real, los delincuentes necesitan mucha más preparación para llevar a cabo estos ataques, no es cuestión sólo de escribir algo en Smartphone y utilizar exploits listos para atacar.
Por ejemplo, como ocurre con los ataques a cajeros automáticos: los criminales cargan un exploit y algunos programas maliciosos en un pen drive. Tras conectar el dispositivo al cajero automático, el exploit permite a los intrusos obtener un alto nivel de control y poner en marcha el malware. Podría tratarse, por ejemplo, de un Backdoor que controla el sistema operativo del cajero automático. Después de hackear el cajero, los criminales sólo tienen que esperar que el cajero escupa todo el dinero disponible activándolo a través de un Smartphone.

¿No crees que el juego puede darle ideas a los cibercriminales sobre cómo hackear y controlar una ciudad en la vida real?

Esperemos que el juego sea una oportunidad para que la gente recapacite sobre los futuros sistemas operativos de seguridad de las ciudades. La seguridad debe tomarse muy en serio en estos casos. En cuanto al juego, es una interesante simulación de qué podría suceder en el caso de que hiciera un mal uso de estos sistemas.

¿Cuál ha sido el incidente real de seguridad más preocupante o aterrador que se haya dado?

La mayor parte de los hackeos que se ven en el juego hacen referencia a sistemas automáticos de control que han sido comprometidos. Esta es una nueva y aterradora tendencia que se inició hace varios años, desde la aparición del gusano Stuxnet, que afectó a los sistemas de control de las industrias. Es un ejemplo de cómo un programa de ordenador puede destrozar cosas en el mundo real. Y eso es precisamente lo que vemos en el juego, que se está convirtiendo en algo cada vez más real.

¿Cuántas probabilidades hay de que se produzca un ciberataque en un juego online?

El riesgo existe y su gravedad depende del tipo de juego al que se esté jugando y de la forma en que se comportarte el usuario tanto cuando juega, como en la vida real. Desde hace más de 10 años, algunos modelos de troyanos son capaces de robar, por ejemplo, las propiedades de un jugador virtual. Hoy en día, los troyanos son increíblemente versátiles, así como los objetivos de los cibercriminales, con numerosas opciones que comprometen diferentes ámbitos de tu vida digital. Pueden elegir si robarte o no la contraseña de Skype, o si tener una configuración independiente para robarte específicamente las contraseñas de tus videojuegos. Esto último, les ayuda a hackear y secuestrar cuentas de juego.

Por tanto, los hackers acechan tanto a los desarrolladores de juegos, como a los jugadores,conel objetivo de ir más allá de robarlesla propiedad intelectual, creando servidores ilegales de juegosonline

En el modo multi-jugador (juego online), cuando los jugadores se encuentra cerca los unos de los otros, se acelera el proceso de descodificación… ¿Se puede hacer también en la vida real? Tengo entendido que diferentes dispositivos pueden trabajar juntos sobre una misma tarea o varias, compartiendo su capacidad de procesado, ¿cómo funciona realmente esto?

Así es. Hay procesos computacionales que van más rápido si se utilizan recursos compartidos. El ataque de contraseñas es uno de ellos. Se puede distribuir el trabajo de procesado para probar combinaciones de contraseñas  entre diferentes dispositivos. Existe un software para poder gestionarlo, pero es posible desarrollar una aplicación independiente que ayude a compartir las tareas en una serie de dispositivos que se encuentran en una red inalámbrica.

Experto 2

¿Cuál crees que es el mayor obstáculo para la implementación de una verdadera “ciudad inteligente” como la de #Watch Dogs?

Los obstáculos del ámbito tecnológico no son tan significativos. Todo se reduce a derechos administrativos. En Watch Dogs, los semáforos, tuberías de gas, cajeros automáticos, sistemas de vigilancia, y puentes levadizos virtuales de Chicago, están todos interconectados a una sola red. Esto significa, que una sola organización es la responsable de toda la infraestructura y tiene un único centro de datos.

En Watch Dogs, una sola organización es la responsable de toda la infraestructura y tiene un único centro de datos. Y eso no se da en la vida real.

En la vida real, aún tenemos un largo camino por delante: todos los sistemas están controlados por diferentes organizaciones. Por ejemplo los cajeros automáticos: cada banco tiene una red independiente de cajeros automáticos. Por tanto, el mayor obstáculo con el que nos encontramos es el de unificar todos estos negocios y organizaciones independientes bajo el mismo techo, en el mismo centro de datos.

Por otro lado, unificar los sistemas tiene un punto débil: si se hackea el sistema, el riesgo y la gravedad de las consecuencias serían nefastas. Aunque, al mismo tiempo, sería mucho más fácil proteger un sistema si está interconectado. Es decir, cuanto menor es el número de empresas, menor es el número de servidores y, por tanto, menor es la superficie de ataque. O dicho con otras palabras, si una empresa de seguridad sólo tiene que encargarse de proteger un centro de datos, gasta menos recursos.

Se rumorea que los hardwares utilizados hoy en día para hackear requieren de un mínimo presupuesto pero, sin embargo, pueden utilizarse con éxito para hackear toda la infraestructura de una ciudad. ¿Qué opina al respecto?

Hablando de hackear toda “la infraestructura de una ciudad”, como ya he dicho, no tenemos un sistema que controle la totalidad de la vida de una ciudad. Tenemosmuchas infraestructurasdiferentes: unareddecámaras de control de velocidad, una red decajeros automáticos, etc. Eso hace que seaimposiblehackeartoda la infraestructurade una ciudad.

Respondiendo a la pregunta del hardware, en la mayoría de los casos es algo secundario, puesto que un hacker puede trabajar incluso con un ordenador básico para principiantes que cueste 100 dólares. Lo que realmente necesitas es un monitor, un teclado, un sistema operativo, y un conjunto de conocimientos y herramientas. Las herramientas se encuentran fácilmente en Internet, tanto softwares gratuitos como premium o de otro tipo.

¿Cuál es el mejor teléfono móvil para hackear?

Este tipo de hackeos requieren teléfonos móviles con unos sistemas operativos especiales, o bien un Android con un root o un iPhone con jailbreak. Estos dispositivos permiten, entre otras cosas, modificar la dirección MAC de la Line Card, para trabajar en un nivel más profundo de la red. Pero lo que importa no es el dispositivo, lo más importante es contar con un conjunto de aplicaciones y herramientas especializadas, que están disponibles tanto para Android como para iOS.

¿Crees que es posible que un día una sola empresa controle toda una ciudad y que un pequeño grupo de rebeldes intente hackear su sistema?

Que una sola compañía se haga con el poder de una ciudad me parece poco probable. Por lo menos, contradice el principio de la libre competencia de mercado: cada organización quiere tener el control de su sector y no le interesan los monopolios. Por tanto, la concepción de un futuro así no es realista: después de todo, concederle todo el control a una sola empresa contradice las reglas de la libre competencia. Así que no hay razones para pensar que la idea del juego pueda llegar a ser, algún día, real.

Pero cuando hablamos de las conocidas como smart cities o “ciudades inteligentes”, sí que nos estamos acercando poco a poco. Pero esto es algo distinto, incluso en este caso, la infraestructura estaría gestionada por diferentes organizaciones, con diferentes responsabilidades.

¿Qué consejos le darías a aquellos usuarios que traten de hackear a otros jugadores de juegos en modo individual?

Nosotros somos responsables del juego y la seguridad en el mundo real así que, por favor, dirige las preguntas sobre el proceso de juego y los trucos a Ubisoft :).

¿Existen hoy día dispositivos para piratear similares a las cajas azules de los años 70?

Por supuesto, y hay muchos. ¡Coge una computadora de enchufe por ejemplo! Tiene el tamaño de una pastilla o un cargador de teléfono viejo. Se enchufan en la toma eléctrica y se conectan a Internet. Existe una gran variedad de dispositivos de este tipo: GuruPlug, DreamPlug, etc. Todos ellos son pequeños ordenadores diseñados para ejecutar pruebas de seguridad de red. Hay una pequeña caja conocida como “Pawn Plug”, que está configurada para analizar automáticamente la red, encontrar vulnerabilidades y elaborar informes.

¿Existe alguna diferencia entre piratear, por ejemplo, un ordenador y un aire acondicionado o un semáforo?

Todos estos dispositivos, aunque no estoy seguro acerca del aire acondicionado, están conectados en algunos aspectos, y estoy hablando de semáforos, puertas y puentes levadizos. Están conectados a los ordenadores o controladores, que son, a su vez, gestionados por los operadores. Eso significa, que hackear una señal de stop requiere hackear primero el sistema operativo del ordenador. Este es el enfoque más viable, y es lo que hemos hecho con Watch Dogs. Se trata de piratear ordenadores o los equipos de gestión.

¿Hubo algún hackeo interesante que se eliminara del juego después de la verificación de Kaspersky?

Dado que estamos especializados en la detención de amenazas informáticas y de personas que deseen manipular los sistemas de tecnología de la información, hemos sido capaces de proporcionar una consulta técnica y recomendaciones para los ciber-escenarios teóricos en el juego, tanto durante el juego en sí, como en el desarrollo de los personajes y el argumento. Hemos revisado el guión y proporcionado sugerencias sobre lo que pensamos que era más adecuado o podía ser modificado, editado o cambiado, para hacer el juego o el desarrollo de la trama más auténtica desde el punto de vista técnico.

No hemos borrado nada del juego. Cuando nos dieron el guión ya se había hecho una selección de hackeos. Lo estudiamos, aprobamos algunos de ellos y corregimos otros, pero nunca eliminamos nada. Pero claro, no podemos hablar por Ubisoft.

¿Cómo se siente uno al tener conocimientos profesionales de todas las amenazas cibernéticas actuales y potenciales? ¿Consigue conciliar el sueño?

Sí, claro que descansamos. Por supuesto, somos conscientes de que los sistemas 100% seguros no pueden existir. Eso significa que el hecho de que se den casos de hackeo es solo una cuestión de tiempo, presupuesto y voluntad. Siempre habrá vulnerabilidades. Uno no puede estar seguro de todo: ni de sus ordenadores, routers, redes de la empresa, redes Wi-Fi, ¡ni siquiera de las televisiones! Pero sabemos cómo actuar cuando nos hackean o incluso cuando sospechamos que nos están hackeando. Eso nos hace sentirnos más seguros.

¿Existe una base de datos como la del juego, que permia acceder rápidamente a la información personal y perfil de las personas? ¿O se creará en la próxima década?

Hay varias bases de datos de este tipo y todos vosotros las conocéis. Se llaman, por ejemplo, Facebook, LinkedIn y Vkontakte. Sólo se necesita un determinado tipo de tecnología para que se dé la correlación entre una persona y esa base de datos.

No hace falta que trabajes en el servicio secreto para ser capaz de hacerlo. Hay empresas de inteligencia de fuentes abiertas que analizan los datos abiertos. Crean cuentas virtuales en las redes sociales, instan a la gente a hacer amigos o añadirlos y luego, cuando se tienen varios miles de amigos, tienes acceso a prácticamente cualquier perfil, igual que al añadir a un amigo, tienes acceso a los perfiles de sus amigos. Teniendo varios amigos con miles de conexiones, puedes cubrir, de hecho, la totalidad de miembros de una red social.

Como ya debéis saber, existe la teoría de que dos individuos escogidos al azar están conectados por 6 pasos. Lo que significa, que sólo necesitas unos cuantos amigos para encontrar a cualquier persona en la red. Después, sólo tendrás que correlacionar la información descubierta con la realidad. Hay muchos métodos que son accesibles para todo el mundo: la geolocalización, el reconocimiento de rostros, reconocimiento de voz, etc. Cuando se utilizan en conjunto son muy eficientes y son capaces de deshacerse de la información innecesaria, encontrar a una persona e identificarla por su perfil.

Consejos