Escrito por: Niklas Albin Svennson
Este fin de semana se ha producido un ciberataque masivo contra grandes corporaciones e instituciones públicas. La negligencia por parte de los gobiernos y las empresas permitió a los piratas informáticos encriptar datos de cientos de miles de ordenadores basándose en herramientas informáticas desarrolladas por la agencia nacional de seguridad de los Estados Unidos, la NSA.
En marzo, Wikileaks publicó 8.761 documentos relacionados con las actividades de pirateo informático de la CIA, destacando el riesgo que los departamentos de guerra cibernética de las agencias de inteligencia planteaban a la seguridad en Internet. La filtración consistió en un conjunto de herramientas de pirateo llamadas «Vault 7» que se usaban principalmente para espiar a los aliados y al espionaje industrial. Esto incluía herramientas para hackear computadoras conectadas a Internet, computadoras Mac, computadoras Windows, dispositivos conectados a Internet (monitores vigilabebés, cámaras CCTV, routers, impresoras, etc.), así como redes privadas sin conexión a Internet (departamentos gubernamentales, corporaciones multinacionales, etc.).
Estas herramientas permitieron a los agentes y contratistas de la CIA (empleados por empresas privadas) acceder a un almacén compartido de herramientas de hacking que podrían utilizarse para infectar computadoras y redes de destino.
Lo más controvertido, es que estas herramientas incluían el llamado «exploits 0-day», que son fallos de seguridad sin parches comúnmente utilizados en software. Esto fue un incumplimiento de una promesa hecha por la comunidad de los servicios de inteligencia de EE.UU. de notificar a los fabricantes de software y hardware de cualquier fallo que encontraran, para que pudiera solucionarse con un parche. Al mantenerse estos «exploits», y al colocarlos todos juntos en una carpeta mal guardada a salvo de los piratas informáticos, se pusieron en peligro millones, si no miles de millones, de dispositivos en todo el mundo.
El tamaño de la amenaza se reveló durante el fin de semana, cuando cerca de 200.000 ordenadores fueron afectados por el “ransomware” del virus informático WannaCry. Un ransomware es básicamente un pedazo de software que encripta todos los archivos en la computadora infectada y le pide al dueño que pague dinero al hacker para poder recuperar los archivos. Además, hay un virus de gusano que ayuda a difundir el ransomware de la computadora infectada a otras, por lo general utilizando correos electrónicos o redes sociales y, en este caso, las vulnerabilidades en la red informática que se ha infiltrado.
Este virus de gusano en particular no estaba basado en el Vault 7 de la CIA, sino en archivos que salían de la NSA (posiblemente del famoso Grupo Ecuación), y de alguna manera se encontró en manos del grupo de hackers Shadowbrokers, que publicó al menos algunos de los exploits en abril.
La vulnerabilidad particular que utilizó el WannaCry se vinculó al mecanismo de uso compartido de los archivos de Windows. Un parche para esto fue lanzado en marzo. Presumiblemente, la NSA después de darse cuenta de que el exploit había sido filtrado, decidió que era el momento de informarle a Microsoft sobre esto. La pregunta es, ¿durante cuántos meses o años conocían esta información, el conocimiento de una falla de seguridad crítica en uno de los sistemas operativos más utilizados en el mundo sin avisar a nadie? No sólo eso, obviamente ni siquiera mantuvieron sus herramientas muy seguras.
Ningún código de computadora o sistema informático puede ser 100% seguro. Un hacker siempre puede imaginar diferentes formas de subvertir perfectamente un código inofensivo para llevar a cabo una tarea nefasta. Las buenas prácticas de codificación ayudan (Windows es notoriamente malo en eso), pero el desarrollador de software siempre se enfrenta a millones de personas que tratan de subvertir el código, y encuentran formas imaginativas para lograr eso. Por esa razón, las empresas de software se basan en informes de las empresas antivirus, compañías de seguridad, computadoras infectadas y voluntarios para informar sobre las vulnerabilidades. Cada vez que alguien encuentra una vulnerabilidad en el software y no lo informa, aumenta el riesgo cuando lo comparte con otros. Y si además desarrollan un software para utilizar esos exploits, entonces difunden efectivamente nuevas técnicas en la red, lo que permite a otros hackers averiguar lo que han hecho. Este es el caso incluso si su carpeta de exploits no está liberada en la red como ha sucedido con el almacén de la NSA y el Vault 7 de la CIA.
Lo que está completamente claro es que es una completa estupidez decir que las actividades de las agencias de inteligencia, y sus métodos de vigilancia masiva, son sólo un problema si eres culpable de un delito. Los accesos ilegales (para eludir el cifrado por ejemplo) que estas agencias piden a los desarrolladores de software, y los exploits que almacenan y desarrollan, se suman a los riesgos a los que se enfrentan los usuarios de Internet. En lugar de ayudar a hacer de Internet un lugar más seguro, lo están haciendo más inseguro.
Además, a partir de los documentos de Wikileaks sobre el Vault 8, los blancos de estos ataques no son «terroristas», como se afirma a menudo para justificar este tipo de actividades. Más bien, son gobiernos y compañías extranjeras, incluidos supuestos aliados. Wikileaks no ha publicado la lista, pero he aquí cómo los describen:
“Entre la lista de posibles objetivos de la colección se encuentran «Activos», «Activos de enlace», «Administradores de Sistemas», «Operaciones de Información Exterior», «Agencias de Inteligencia Extranjeras» y «Entidades de Gobiernos Extranjeros». Notablemente, está ausente cualquier referencia a extremistas o criminales transnacionales».
Por lo tanto, el objetivo de estas actividades no es la aplicación de la ley o la protección en absoluto, sino dar a las empresas y a los diplomáticos de EEUU ventajas de primera mano en la competencia con otros Estados.
Esto significa que los pacientes del servicio de salud en el Reino Unido, los clientes de Telefónica en España y los pasajeros de trenes rusos han visto el pasado fin de semana sus vidas en riesgo o interrumpidas en gran escala porque el gobierno de EEUU quiere que Boeing obtenga ventaja de primera mano en la competencia con Airbus para obtener pedidos.
A medida que la crisis económica se intensifica, y el proteccionismo sea puesto aún más en el orden del día, es probable que veamos aún más este tipo de ataques.
En octubre, no está claro para qué propósito, la infraestructura de Internet fue atacada por millones de pequeños dispositivos conectados a Internet. Este ataque podría haber sido obra de un grupo amateur de hackers, pero tal vez más probablemente fue un intento organizado por una gran institución. Es un secreto a voces que no sólo las agencias de inteligencia estadounidenses, sino también las rusas, israelíes y chinas han hackeado e infectado cientos de miles de computadoras para dar a sus compañías o diplomáticos una ventaja.
Las empresas y los gobiernos que se apresuran a ahorrar dinero tampoco realizan las medidas de seguridad más sencillas. Los fabricantes de pequeños dispositivos conectados a Internet a menudo utilizan contraseñas predeterminadas para sus dispositivos como «administrador» y «contraseña», lo que significa que los hackers pueden entrar en estos dispositivos con particular facilidad. Esto no sólo compromete la privacidad del usuario del dispositivo (encontrar sus imágenes privadas por Internet, por ejemplo), sino que también representa una amenaza para todos si un hacker lo infectara y lo utilizara en sus ataques.
La forma irresponsable con que actúan los gobiernos y las empresas pone en peligro toda la existencia de Internet. Amenaza con parcelarlo dentro de las fronteras nacionales (como ya ha ocurrido en gran medida con China). Esto erradicará uno de los logros tecnológicos más significativos de los últimos 20 años.
La única manera de combatir esto es desarmar los servicios de seguridad, publicar todos sus exploits (después de dar algún tiempo a los fabricantes de software para que parcheen su software), publicar el código fuente de Windows y otros software para su inspección. Las compañías de software más grandes deberían nacionalizarse y ponerse bajo el control de los trabajadores. No más defectos de seguridad descubiertos y sin parches. La única forma de avanzar es la cooperación entre países y compañías. Extirpar el afán de lucro de Internet es la única manera de asegurar su futuro a largo plazo