La mayoría de las personas ignora lo vulnerables que son los datos que guarda en su ordenador. En efecto, utilizamos contraseñas para acceder a nuestra información financiera, o para guardar aquellos documentos que consideramos importantes. Sin embargo, tal como lo han demostrado en la Universidad de California, las redes de ordenadores zombis son capaces de machacar nuestros passwords sin despeinarse.
A la hora disminuir el tiempo necesario para averiguar una contraseña desconocida por el sistema de “fuerza bruta” –aquel en que se prueba con todas las combinaciones posibles- solo hay dos alternativas: o aumentamos la velocidad de proceso del ordenador encargado de la tarea o bien utilizamos más de un ordenador a la vez. Si dispusiésemos de una red de ordenadores lo suficientemente grande, seríamos capaces de descubrir cualquier contraseña en solo segundos. Con esta idea en mente, los investigadores de la Universidad de California utilizaron una “botnet” –una enorme red de ordenadores “secuestrados” mediante algún malware – para atacar otros ordenadores y romper sus claves.
Los resultados, publicados en un paper, son inquietantes. A lo largo de los diez días que duró el “experimento”, los investigadores recogieron unos 70 GB de datos provenientes de los ordenadores atacados. Dentro de ese impresionante volumen de bytes se encuentran las contraseñas quebradas, que se violaron a un promedio de 56 mil por hora. Esta información les permitió a los científicos comprobar el funcionamiento interno de la botnet y determinar qué tan seguros se encuentran nuestros datos cuando uno realiza actividades en línea. Teniendo en cuenta los resultados obtenidos, parece que no hay demasiado margen para sentirse a salvo.
El experimento también reveló lo bien que hace su trabajo la red basada en Torpig. Este malware se instala en los ordenadores victimas sin que su dueño lo advierta, y pasan a formar parte de una red especialmente concebida para el delito. Los investigadores descubrieron que eran capaces de leer los mensajes de e-mail, los comentarios en los foros y las conversaciones mediante chat recogidos por el programa. Dentro de esas conversaciones “a menudo se encuentran detalles privados sobre la vida de sus autores”, entre los que se incluyen detalles de sus operaciones financieras o números de cuentas bancarias y tarjetas de crédito. A lo largo de esos 10 días, se consiguieron datos de 8,310 cuentas bancarias en 410 entidades financieras, como así también información sobre cuentas en PayPal, Capital One, E*Trade, etc. Si hubiesen decidido aprovechar esos datos, podrían haber estafado a las victimas por un total estimado de 8.3 millones de dólares. ¿Quién dijo que el delito no paga?
Sin embargo, hay una luz de esperanza. La mayoría de las contraseñas violadas eran ridículamente poco seguras: palabras de solo 2 o 3 caracteres, fechas, palabras que figuran en el diccionario, nombres propios, etc. En caso de utilizar contraseñas largas, que mezclen letras mayúsculas y minúsculas con números, la posibilidad de ser quebradas por estas redes de ordenadores zombis disminuye notablemente.