Las habilidades de piratería del autor de la contraviolación de datos no convencen, afirma un experto en seguridad informática que siguió el juicio. También considera que el verdadero chantaje es torpe y elemental.
La audiencia principal del centro de psicoterapia Vastaamo sobre la violación de datos comenzó en noviembre en el tribunal de distrito de Western Uusimaa en Espoo.
El experto en seguridad Petteri Järvinen (izquierda) ha seguido de cerca el proceso de Vastaamo. En el centro está el ex director general de Vastaamo, Ville Tapio, a la derecha, Aleksanteri Kivimäki, acusado de piratería informática. Joel Maisalmi / Antti Nikkanen / Henri Kärkkäinen
Experto en seguridad de datos y redactor de información. Petteri Järvinen ha seguido de cerca el juicio. Iltalehti preguntó qué opinión tiene Järvinen sobre las habilidades informáticas del hacker de Vastaamo basándose en lo que ha surgido en el juicio.
Un joven hacker es sospechoso de la violación de datos de Vastaamo Aleksanteri Kivimäki26. Ha negado los cargos.
Las puertas de la recepción están «completamente abiertas»
Según Järvinen, en el juicio no se ha revelado ningún hecho que indique que el autor fuera al menos un hacker excepcionalmente hábil.
Antes de la violación de datos de Vastaamo, el acusado habría escaneado una gran cantidad de direcciones web en busca de vulnerabilidades y bases de datos abiertas.
– Según su propia explicación, pretendía convertirlo en un negocio y vender información a vendedores de ciberseguros, entre otras cosas. Este tipo de escaneo es común y cualquiera puede realizarlo, afirma Järvinen.
Sin embargo, en palabras de Järvinen, las puertas del mostrador estaban «completamente abiertas».
– El hacker no tuvo que forzar la cerradura ni idear nada inteligente, porque la puerta estaba abierta de par en par. Probablemente otros también encontraron el lugar, tal vez buscando números de tarjetas de crédito u otros objetos de valor, pero no entendían finlandés y por lo tanto no entendían el significado de la base de datos. Al parecer, el perpetrador tampoco investigó inmediatamente el robo, sino que se dio cuenta de la posibilidad de extorsión sólo un par de años después.
La historia continúa debajo de la imagen.
Aleksanteri Kivimäki, de 26 años, está acusado de piratear y chantajear al mostrador. Él ha negado los cargos. Henri Kärkkäinen
Järvinen califica la extorsión como elemental.
– El autor cometió un error básico al programar la publicación de información crítica. Su propio directorio personal habría quedado completamente expuesto si no se hubiera quedado sin espacio en el disco.
«No se requieren habilidades técnicas»
El experto en seguridad de datos también considera que el chantaje es una torpeza. Las víctimas debían pagar 200 euros en bitcoins inmediatamente o 500 euros después de un par de días.
– Secuestrar la base de datos de salud y chantajear a clientes individuales es una estrategia realmente excepcional y mala, porque es tediosa para el perpetrador y condenada por todos, dice Järvinen.
Según Järvinen, simplemente chantajear a la empresa no habría sonado tan mal.
– Vastaamo, que ha crecido con fuerza, bien podría haberse permitido pagar 366.000 euros, afirma Järvinen, refiriéndose a la exigencia dirigida a la dirección de la empresa de 40 bitcoins a cambio de no publicar información.
– En retrospectiva Ville Tapio (ex CEO de Vastaamo) también hubiera valido la pena hacerlo. Ahora Tapio lo perdió todo, incluso su reputación, descarga.
Negociar con extorsionadores no es un curso de acción generalmente recomendado. Experto en seguridad de la información del Centro de Ciberseguridad Matías Mesía habló a Iltalehte en noviembre sobre el «peor escenario posible», cuando tendría que hacerlo.
– Sí, la instrucción general para estos siempre es no pagar. Está bastante claro. Al pagar, se apoya el crimen, dijo Mesiä a Iltalehte en noviembre.
La historia continúa debajo de la imagen.
Ville Tapio, ex director general de Vastaamo. Antti Nikkanen
En abril, el Tribunal de Distrito de Helsinki condenó a Tapio a tres meses de prisión suspendida por un delito de protección de datos. Según el fiscal, Tapio habría sabido de las debilidades en la seguridad de la información de su empresa y de la filtración de datos, pero en lugar de intervenir en ellas, encubrió el asunto.
Los errores del contraextorsionista Järvinen los pone en un largo seguimiento o en tensión. Según Järvinen, no se trataba en absoluto de una actuación que requiriera habilidad.
– No hay nada en las actividades que requiera conocimientos técnicos o una planificación decidida.
Sobreestimate a ti mismo
Según la valoración de Järvinen, el acusado no sólo sobreestimó las suyas propias, sino que también subestimó las capacidades de la policía. Por ejemplo, las autoridades lograron descifrar la contraseña de 64 caracteres del acusado.
– No sé cómo carajos (la policía logró hacerlo), Järvinen está asombrado.
– Además, en los servidores eliminados se encontraron copias de seguridad de otros servidores que contenían información referente al acusado. Los pagos con tarjeta de crédito podrían estar relacionados con él y la policía identificó sus huellas dactilares a partir de la fotografía enviada a Ylilauda. En un servidor se encontró una fotografía de la cabaña de sus abuelos, Järvinen enumera los hechos que surgieron en el tribunal.
– Un criminal experimentado no se dejaría engañar por tales trucos. El perpetrador probablemente actuó como un lobo solitario en sus intentos criminales, lo que por supuesto aumenta la probabilidad de errores humanos. Los policías criminales pueden actuar de forma más planificada y cuidadosa.
Hackear no es difícil
Järvinen dice que básicamente cualquiera puede convertirse en hacker, porque las herramientas son prácticamente gratuitas y están disponibles para todos.
Según Järvinen, convertirse en hacker requiere habilidades de codificación e interés en el campo, además de paciencia.
– Pero no es difícil, afirma.
Järvinen afirma que se pueden encontrar «objetivos fáciles» escaneando Internet.
– Incluso mi propia red puede recibir miles de intentos de acceso al día, afirma Järvinen y afirma que sólo el jueves se registraron casi 15.000 «llamadas» en el registro del cortafuegos.
– Los objetos difíciles requieren entonces una acción de varias fases, afirma Järvinen.
Este tipo de actividad puede incluir, por ejemplo, recopilar números de teléfono, crear sitios web falsos y enviar mensajes atractivos.
– En resumen, se puede aprender a hackear, pero el verdadero cibercrimen requiere cooperación con otros, afirma Järvinen.
Una carrera jurídica también es posible.
Si está interesado en la búsqueda de lagunas en la seguridad de la información, Järvisen puede sugerirle carreras profesionales jurídicas.
– Las empresas de seguridad de la información contratan expertos en este campo y siempre puedes empezar a vender tu propia experiencia de forma independiente, aconseja Järvinen.
También se paga dinero por los agujeros de seguridad descubiertos, de forma bastante legal, a través de varios programas de recompensas por errores.
– Convertirse en delincuente es una elección consciente de la que hay que asumir las consecuencias, advierte Järvinen.
El fiscal pide una pena de prisión de años
En noviembre, Aleksanteri Kivimäki fue acusado de más de 30.000 delitos en el tribunal de distrito de Länsi-Uusimaa. Los títulos penales incluyen violación de datos agravada, extorsión agravada y difusión de información agravada que viole la vida privada.
El fiscal exige una pena de siete años para Kivimäki, que se encuentra en prisión preventiva.
Kivimäki ha negado todos los cargos y, según sus propias palabras, no está detrás de la violación de datos y la extorsión.
El caso fue corregido el 16.12. a las 11.38: Se aclaró la historia de que negociar con extorsionadores no es un curso de acción generalmente recomendado y
El caso fue corregido el 16.12. A las 11.44: Se corrigió el punto donde la opinión del fiscal sobre las actividades de Ville Tapio estaba escrita en la forma «se consideró que fue». Sin embargo, era sólo el punto de vista del fiscal.