Cubadebate

Sean bienvenidos mis estimados lectores una vez más a Código Seguro. Hay que decir que en el complejo mundo de las redes informáticas existe una técnica que podríamos comparar con enviar una carta dentro de otra carta, como en aquellas películas de espías donde un mensaje secreto viaja oculto en un paquete aparentemente inocente. Esta técnica, conocida como tunelización o tunneling, constituye uno de esos conceptos tecnológicos fascinantes por su naturaleza dual: es a la vez una herramienta esencial para proteger la privacidad de empresas y usuarios, y un peligroso mecanismo que los ciberdelincuentes aprovechan para colarse en los sistemas más protegidos sin levantar sospechas.

Para entender de qué estamos hablando, imaginemos que trabajamos en una empresa nacional con oficinas en La Habana y en Santiago de Cuba, incluso pudiendo tener sedes a nivel internacional. Todas estas sedes necesitan intercambiar información constantemente a través de internet, ese océano digital por el que navegan todo tipo de datos, desde los más inocentes hasta los más confidenciales. La tunelización funciona entonces como un tren subterráneo que conecta las estaciones: los datos viajan encapsulados, protegidos del exterior, como si los pasajeros de ese tren viajaran en vagones sellados que impiden que alguien desde fuera pueda ver qué llevan dentro o incluso modificarlo. Este proceso de encapsular un protocolo de comunicación dentro de otro permite que la información viaje segura a través de redes públicas, creando lo que los expertos denominan una red privada virtual o VPN (según sus siglas en idioma inglés), esa tecnología que tanto escuchamos mencionar desde que el teletrabajo se convirtió en parte de nuestras vidas.

Las aplicaciones legítimas de esta técnica son innumerables y verdaderamente valiosas para cualquier organización moderna. Cuando un empleado se conecta desde una cafetería con wifi público a los sistemas de su empresa, la tunelización crea un pasadizo secreto y cifrado a través del cual sus datos viajan sin que nadie pueda interceptarlos. Es como si, en lugar de gritar información confidencial en medio de una estación de tren abarrotada, pudiéramos susurrarla al oído de nuestro interlocutor a través de un tubo acústico que solo nosotros dos compartimos. Del mismo modo, cuando dos sedes de una misma organización necesitan comunicarse utilizando protocolos diferentes, la tunelización actúa como un traductor universal que permite que sistemas aparentemente incompatibles entiendan y compartan información.

Pero como ocurre con tantas herramientas poderosas, la tunelización encierra una paradoja inquietante: aquello que protege la privacidad legítima también puede ocultar las intenciones más dañinas. Los ciberdelincuentes han aprendido a utilizar esta misma técnica para camuflar sus actividades maliciosas, aprovechando que el tráfico encapsulado viaja invisible a los ojos de los sistemas de seguridad tradicionales. Es exactamente igual que si los contrabandistas utilizaran los mismos trenes subterráneos construidos para el transporte legal de mercancías, mezclando sus paquetes ilegales con la carga legítima y confiando en que nadie se atreverá a revisar todo el convoy.

Uno de los ejemplos más reveladores de este uso perverso lo encontramos en la tunelización DNS. Para comprenderlo, necesitamos explicar brevemente qué es el DNS, ese sistema que podríamos definir como la guía telefónica de internet. Cuando escribimos el nombre de una página web en nuestro navegador, el sistema DNS se encarga de traducir ese nombre legible para humanos en la dirección numérica que las computadoras entienden. Es un servicio tan básico y omnipresente que los cortafuegos corporativos suelen permitir sin demasiadas preguntas todo el tráfico relacionado con él. Los atacantes, conscientes de esta confianza casi ciega, comenzaron a esconder información robada dentro de las consultas y respuestas DNS. Imaginemos a un empleado de banca que sin saberlo tiene su computadora infectada con un malware sofisticado: mientras él trabaja aparentemente sin incidencias, el programa malicioso va troceando los datos bancarios confidenciales en pequeñas porciones que introduce dentro de peticiones de resolución de nombres que parecen inofensivas. "www.cliente5453-secreto2341.ejemplo.com" podría ser, en realidad, un fragmento de información sensible codificada que viaja hacia el servidor del atacante sin que ningún sistema de seguridad salte porque, oficialmente, solo estamos preguntando por una dirección web.

Aún más peligrosa resulta la tunelización HTTP y HTTPS, que utiliza el tráfico web convencional como vehículo para el robo de información. Dado que prácticamente todas las organizaciones permiten a sus empleados navegar por internet, y que gran parte de ese tráfico viaja además cifrado mediante el ícono del candado verde que vemos en los navegadores, los atacantes disponen de un escondite perfecto. Es como si en una biblioteca pública, donde está permitido entrar y salir con libros constantemente, alguien empezara a esconder documentos robados dentro de las cubiertas de novelas populares, confiando en que los vigilantes de la puerta solo cuentan el número de volúmenes que salen sin detenerse a examinar su contenido real.

Durante años, los expertos en seguridad han advertido también sobre los riesgos de la tunelización ICMP, que utiliza los mensajes de control y error de las redes, esos famosos "pings" que verifican si un ordenador está activo, para establecer comunicaciones encubiertas entre el malware y sus controladores. Un ping parece inofensivo, apenas un "hola, ¿estás ahí?" digital, pero convenientemente manipulado puede transportar en su interior instrucciones completas para que un virus despierte y ejecute acciones determinadas. El famoso malware conocido como Ping Tunnel llevó esta técnica a un nivel casi artístico, demostrando cómo era posible mantener durante meses el control remoto de sistemas infectados utilizando únicamente paquetes de datos que, individualmente considerados, parecían simples comprobaciones de conectividad.

Pero quizás el riesgo más extendido y menos comprendido por las organizaciones sea el llamado túnel dividido o split tunneling, una configuración aparentemente inofensiva de las VPN corporativas que puede convertirse en el talón de Aquiles de toda la seguridad empresarial. Cuando un empleado trabaja desde su casa, lo habitual es que active la VPN para conectarse a los recursos de la empresa. En condiciones normales, todo el tráfico de internet de ese empleado debería pasar por el túnel cifrado hacia la compañía y desde allí salir a la red. Sin embargo, muchas organizaciones permiten lo que se conoce como túnel dividido: el tráfico dirigido a la empresa va por la VPN, pero el resto de la navegación personal, como consultar el correo personal o las redes sociales, sale directamente desde el domicilio del empleado a internet, sin pasar por los filtros de seguridad corporativos.

La comodidad es evidente: el empleado no satura la conexión de su empresa con su serie favorita de Netflix y la compañía ahorra ancho de banda. Sin embargo, las consecuencias pueden ser catastróficas. Pensemos en Marta, una directora financiera que trabaja desde casa con túnel dividido activado. Mientras accede con toda seguridad a las cuentas bancarias de su empresa a través de la VPN, simultáneamente navega por páginas de decoración en su tiempo libre. Sin que ella lo sepa, una de esas páginas ha sido comprometida por ciberdelincuentes y, en el momento de cargar un anuncio aparentemente normal, su computadora se infecta con un malware de robo de información. Como ese tráfico no pasaba por la VPN corporativa, ningún sistema de seguridad de su empresa puede detectarlo ni bloquearlo. El malware, ahora instalado, puede comunicarse libremente con sus servidores de control sin levantar sospechas, observar las pulsaciones del teclado cuando Marta introduce contraseñas bancarias y, lo que es peor, puede esperar el momento en que la VPN esté activa para saltar desde el ordenador doméstico directamente a la red corporativa, utilizando a Marta como caballo de Troya involuntario.

La historia reciente está repleta de incidentes donde la tunelización maliciosa jugó un papel protagonista. Recordemos el caso del malware T9000, descubierto por los laboratorios de Palo Alto Networks, que implementaba mecanismos de tunelización DNS tan sofisticados que fue capaz de operar durante más de un año en redes gubernamentales europeas sin ser detectado. Sus creadores habían comprendido perfectamente la lección: no hace falta atacar con violencia las puertas de una fortaleza si podemos colarnos gota a gota a través de las cañerías que nadie vigila.

Otro ejemplo particularmente disruptivo lo encontramos en el ransomware WannaCry, que aunque no utilizaba directamente técnicas avanzadas de tunelización, inspiró a toda una generación de ciberdelincuentes para combinar el cifrado de archivos con canales de comunicación encubiertos. Hoy día, los ataques de ransomware más sofisticados incorporan túneles DNS o HTTP que permiten a los atacantes negociar el rescate y recibir las criptomonedas sin que las fuerzas de seguridad puedan seguir fácilmente el rastro de las comunicaciones.

La pregunta inevitable es qué pueden hacer las organizaciones para protegerse sin renunciar a los beneficios legítimos de la tunelización. La respuesta, como suele ocurrir en ciberseguridad, no pasa por prohibir la tecnología, sino por entenderla y supervisarla inteligentemente. Los cortafuegos tradicionales, esos guardianes que durante décadas protegieron los perímetros empresariales, resultan completamente ciegos ante el tráfico tunelizado porque, sencillamente, ven lo que esperan ver: peticiones web, consultas DNS o mensajes ICMP. Para detectar túneles maliciosos se necesitan herramientas de inspección profunda de paquetes y, sobre todo, sistemas de análisis de comportamiento que aprendan qué es "normal" en cada red y puedan alertar cuando algo se desvía de ese patrón.

Así, una organización puede establecer que un equipo concreto realice un determinado volumen de consultas DNS por minuto. Si ese mismo equipo, sin previo aviso, comienza a generar cientos o miles de consultas extrañas, con nombres de dominio sospechosamente largos y aleatorios, probablemente esté utilizando tunelización DNS maliciosa. Del mismo modo, si los horarios de conexión de un empleado cambian drásticamente o si su computadora se comunica con servidores en países con los que la empresa no tiene relación comercial, esos pueden ser indicadores de que algo anómalo está ocurriendo.

Las empresas más avanzadas están implementando también políticas estrictas respecto al túnel dividido, obligando a que todo el tráfico de los empleados remotos pase por los filtros corporativos, aunque ello suponga una experiencia de navegación ligeramente más lenta. En el fondo, lo que nos enseña la historia de la tunelización es una lección aplicable a muchos ámbitos de la tecnología: las herramientas no son intrínsecamente buenas o malas, sino que su impacto depende del uso que les demos. Un cuchillo puede cortar el pan para una comida familiar o puede convertirse en un arma. La tunelización, esa capacidad de esconder unos datos dentro de otros, es la misma tecnología que facilita a un grupo de ciberdelincuentes saquear las cuentas bancarias de cientos de empresas. La diferencia no está en la técnica, sino en quienes la manejan y, sobre todo, en quienes están preparados para detectar cuándo se utiliza con fines perversos.

Los responsables de seguridad empresarial deben asumir que la tunelización maliciosa existe, que evoluciona constantemente y que probablemente ya esté operando en algún rincón de sus redes sin que los sistemas tradicionales puedan detectarla. La única estrategia viable pasa por asumir que el perímetro tradicional ha muerto y que hay que supervisar todo el tráfico, interno y externo, con herramientas inteligentes capaces de distinguir entre el uso legítimo de un túnel VPN y la presencia de comunicaciones encubiertas que buscan robar, destruir o secuestrar la información más valiosa de la organización.

Porque al final, en esta guerra silenciosa que se libra cada día en las redes de medio mundo, la capacidad de esconder información y la capacidad de descubrir esos escondites se disputan una partida sin fin. La tunelización seguirá siendo ese doble filo que debemos aprender a manejar con destreza, conscientes de que protegerse no significa construir muros más altos, sino desarrollar la inteligencia necesaria para distinguir, entre millones de mensajes que viajan cada segundo, aquellos que esconden intenciones dañinas bajo una apariencia inofensiva. Por hoy nos despedimos. Hasta la próxima semana.