La carta de un hacker a los Reyes Magos

miércoles, 4 de enero de 2017


Queridos Reyes Magos,
Hace años que no les escribo pero este he querido volver a hacerlo porque, a pesar de todos los avances conseguidos en 2016 por parte de todos los integrantes del sector de la ciberseguridad, todavía persisten ciertos aspectos que necesitan mejorar y necesito que me echéis una mano.

La asignatura en la que peor nota hemos sacado ha sido en colaboración entre Fuerzas y Cuerpos de Seguridad y empresas tecnológicas. Los primeros tratan de hacer su trabajo con la dificultad que entrañan aquellos delitos que se comenten a través de la red o que se ha utilizado como herramienta para la comunicación. Y, algunos de los segundos, en aras de luchar por la privacidad de los usuarios se han negado a compartir su información. Aunque, ahora que no nos escucha nadie, creo que tampoco les interesa demasiado cuando esta colaboración no les genera un rédito económico.

La masacre de San Bernardino desató una guerra tanto legal como mediática entre gran parte de los fabricantes de tecnología y el FBI después de que Apple se opusiera fuertemente a liberar un iPhone propiedad de un presunto terrorista. Sin embargo, no ha sido la única compañía que ha tenido problemas con la justicia este año. El vicepresidente de Facebook en Latinoamérica también fue detenido por la Policía Federal de Brasil al negarse a compartir información con las autoridades por una investigación sobre el tráfico de drogas.

En 2016 algunos de los fabricantes comenzaron a tomar medidas para adecuarse a las necesidades de los nuevos tiempos en materia de privacidad. La implementación del cifrado punto a punto, como fue el caso de Whatsapp, o el reporte periódico que hace Google sobre el número de peticiones de información sobre sus usuarios por parte de las Fuerzas y Cuerpos de Seguridad han sido algunas de ellas.

Sin embargo, esta situación también ha provocado que en algunos países como Rusia se presione desde el gobierno a la implantación de backdoors por ley o que en otros como China se obligue a las tecnológicas a «colaborar» en aquellos temas considerados como seguridad nacional. ¡Miedo me da saber qué significa para ellos seguridad nacional! Aunque a veces veamos muy lejanas estas medidas, se tiene cierto temor que el terrorismo yihadista que tanto está impactando en Occidente pudiera provocar cierto cese de nuestras libertades a cambio de una mayor sensación de seguridad.

Pero ojalá solo lleváramos una asignatura suspensa en el zurrón. Un viernes del pasado mes de noviembre, Twitter, Spotify y Netflix dejaron de funcionar. Hecho que dio lugar a que muchos comenzaran a interesarse por la ciberseguridad. ¡Qué pena que tenga que pasar este tipo de incidentes para que nos demos cuenta de la importancia que tiene! Esa misma tarde, la empresa Dyn publicó que no fue capaz de soportar un ataque DDoS masivo procedente de cerca de 10 millones de direcciones IP.

Finalmente, se consiguieron identificar dispositivos IoT infectados por la botnet Mirai. ¿Sería posible que estos incidentes motiven a los fabricantes a considerar en 2017 la seguridad desde el diseño y la seguridad en sus dispositivos como algo necesario de implantar por defecto?

Nuestro tercer suspenso se veía venir desde octubre de 2013. Momento en el que se hizo pública la fuga de información de Adobe. Pues no debió ser suficiente, ya que el año 2016 ha sido el de las fugas de información. Han afectado principalmente al sector sanitario, seguido por el del entretenimiento, las redes sociales y el gubernamental.

A raíz de esto, el actual CSO de Facebook, Alex Stamos declaró que su compañía compraba contraseñas en el mercado negro. Esta medida me ponen los pelos de punta solo con pensar que pueden estar almacenando gigas y gigas de información tanto de sus usuarios como de los que no son ni clientes suyos, además de estar contribuyendo a financiar la actividad de ciberdelincuentes comprando bases de datos. Si realmente el problema es la reutilización de contraseñas, me gustaría ver en 2017 diferentes sistemas de autenticación.

Aunque no os lo creáis, existen más factores los que han provocado nuestros últimos suspensos. Las cifras de 2016 sobre el número de infecciones por ransomware son alarmantes. Se estima que la frecuencia de infección en empresas es de una cada 40 segundos y uno cada diez segundos en usuarios individuales. El cibercrimen evoluciona a pasos agigantados a costa de la poca concienciación que existe sobre los peligros de internet.

En relación con este último aspecto, estas navidades se hizo viral un discurso de un profesor donde explicaba a sus alumnos los motivos por los que necesitan formarse para la vida. Pero ahora la vida también se encuentra en la red. Internet ya avisó hace tiempo que venía para quedarse y todavía la gente necesita herramientas para manejarse en este ámbito. Pero no sólo los usuarios sino también los medios de comunicación. Siempre se ha dicho que el periodismo hace la función de watchdog de los gobiernos, pero la complejidad de internet hace que muchos medios prefieran permanecer en la superficialidad a la hora de señalar quiénes son nuestros verdaderos enemigos. Los periodistas acuden a zonas de conflicto para conocer lo que sucede de primera mano. Pero, ¿y lo que ocurre en la red? ¿Quién hace esa función de vigilante si realmente no se comprende?

Realmente, si tengo que definir a mis compañeros de profesión lo haría con las siguientes palabras: talento, constancia y amor por lo que hacen. Sin embargo, la Administración española no está consiguiendo adaptarse a las necesidades de estos perfiles. No son perfiles al uso y si quieren que el talento español no se esfume deberán realizar modificaciones en sus procesos de selección, al igual que han hecho Estados Unidos y Reino Unido.

Bueno, os tengo que ir dejando. Nos han quedado muchas asignaturas para final de curso y nos tenemos que preparar. Imaginemos que todos formamos parte de un gran equipo y que cada asignatura suspensa es una prueba de un gran capture the flag. Así nos costará menos.

Yaiza Rubio
Intelligence Analyst at ElevenPaths

No hay comentarios:

Publicar un comentario en la entrada