Ciber(in)seguridad social, política de estado

Posted on by lobo
🇺🇸 Read in English

Los hackers van evolucionando sus capacidades. Los agentes de inteligencia van evolucionando sus habilidades. Ambos se han fusionado para convertirse en la nueva arma de guerra. Un arma que no se siente, pero nos está afectando. Un arma bajo el amparo del gobierno, pero sin control real.

Cuando me iniciaba como usuario de computadores y sistemas tecnológicos me interesó bastante el mundo “under” formado por ciudadanos sin rostro que eran capaces de sacar ventaja de las puertas abiertas que siempre ha dejado toda tecnología.

Recuerdo varias revistas informáticas que entregaban cd-roms cargados de utilidades y, no en pocas ocasiones, dichas aplicaciones servían para implantar “backdoors”, que son programas que quedan instalados en computadores ajenos para dar acceso no autorizado a visitantes, o para explotar vulnerabilidades en sistemas operativos como Windows o aplicaciones como Mosaic o Netscape (levante la mano quien fue “Netscaper” hasta que Internet Explorer lo devoró). Cualquiera con un poco de curiosidad podía transformarse en uno de estos “aprovechadores” anónimos.

El nombre colectivo de estos tipos de usuarios aprovechadores es “hacker”, sin embargo este nombre abarca una gran cantidad de tipos de actividades del bajo-mundo tecnológico. Eticas, poco éticas, nada éticas y de aquellas que son de tonos grises imposibles de identificar.

Gracias a las noticias del último tiempo, se ha ganado bastante conciencia respecto de actividades de parte de hackers, casi siempre con una connotación negativa por la forma en que se presentan las noticias por los medios.

Todos sabemos la importancia de contar con un antivirus, por ejemplo. No hay empresa seria que no tenga una estrategia de seguridad, al menos básica, y la importancia de tener contraseñas fuertes ha quedado de manifiesto una y otra vez en noticias con resonancia mundial, como fue el hackeo de Sony en 2014 o la seguidilla de brechas de Yahoo entre 2015 y 2016 (algunas incluso sin necesidad de vulnerar las claves), entre tantas otras grandes empresas que han sufrido la astucia de anti-héroes anónimos.

Cuando se trata de ataques a empresas, es fácil ver los perjuicios, desde la pérdida de credibilidad y confianza en los clientes hasta la fuga de información y robo de activos. ¿Pero en qué afecta a individuos y a usuarios independientes los ataques a grandes compañías como bancos y servicios en línea? La respuesta reside en un tema relacionado a la seguridad, la gestión de la información.

Big-Data

La Cacería De Información

El objetivo de muchos ataques apunta a los datos, en todos los niveles. Información estratégica de las compañías o bases de datos de clientes y usuarios. ¿Para qué? Probablemente para ser vendidas u obtener beneficios derivados de la extorsión, el conocimiento privilegiado de ciertas condiciones o la posibilidad de acceder a un premio mayor, como instrumentos o activos financieros.

Entonces, ¿qué tipo de información de gente común es la que se busca y qué la hace tan interesante y valiosa? Bueno, hace mucho tiempo, en los años ’60, American Airlines empezó a usar los datos del comportamiento de sus clientes para fijar el precio de sus boletos. Esto les permitió maximizar las ganancias con costos marginales adicionales e inició una era en la que la información es clave para impulsar un negocio exitoso. Desde Data Warehouse a Business Intelligence a Big Data, la sofisticación de las técnicas para manejar bases cada vez más complejas y más grandes ha tenido un gran impacto en la comercialización de todas las industrias. Incluso la del sistema político.

Según fuentes, uno de los factores clave que jugaron en la elección presidencial de EE.UU. en 2016 fue el uso de Big Data en la campaña Trump. Una compañía llamada Cambridge Analytica había recopilado datos de “gustos” de Facebook de 30 millones de personas y categorizado los usuarios y sus interacciones según el modelo de personalidad OCEAN para saber a qué le están diciendo “me gusta” los diferentes grupos y para predecir qué “les gustará” a tales grupos. Trump utilizó esta información para escoger cuidadosamente a su público, sus temas y sus momentos durante la campaña. ¿Recuerdas esos tuits que pensábamos que eran enajenados? Podrían haber sido todos parte de un plan. Y funcionó.

Entonces los datos que las empresas, los gobiernos y los políticos necesitan de nosotros son, bueno, todos los que puedan conseguir. Cuanto más información recolecten, más preciso será su análisis en el caso de explotarlos para uso propio y más compradores tendrán en el caso de venderlos. Podemos preguntarnos ¿a quién le importa cuál es nuestra ruta rutinaria del trabajo a casa? Tal vez a los anunciantes dispuestos a conocer a su público, a los políticos dispuestos a conocer la eficacia de su campaña, a las tiendas dispuestas a conocer a los clientes potenciales de un nuevo punto de venta.

Y eso es sólo el uso comercial de los datos. ¿Qué sucede cuando hackers sin escrúpulos obtienen esta información?

ashley-madison
Millones de registros de usuarios del sitio de citas Ashley Madison fueron expuestos públicamente por un grupo de hacktivistas que lo consideraban “inmoral”.

La Pérdida De Información

Cuando la empresa de citas en línea Ashley Madison, cuyo lema solía ser “la vida es corta, ten una aventura”, sufrió un incidente de seguridad y perdió millones de cuentas y datos de sus usuarios, el origen estuvo en una brecha en los sistemas de la empresa aprovechadas por un acto de “hacktivismo”, protestas civiles dirigidas normalmente contra objetivos gubernamentales y corporativos, pero fueron los usuarios quienes tuvieron que responder a las consecuencias, no solo de los atacantes que robaron la información, sino a cualquiera que accediera a ella (fue dejada en repositorios públicos) con el fin de extorsionar a gente de la que tenían direcciones, teléfonos y un secreto. Por supuesto, prácticamente nadie ejerció acciones legales para no exponerse aún más como usuario del servicio.

Otro ejemplo de vulneración de un servicio que debería ser discreto ocurrió con el hackeo contra la Cruz Roja de Australia en octubre de 2016. Más de medio millón de donantes vieron sus datos expuestos, incluyendo sus declaraciones confidenciales de “comportamiento sexual riesgoso”.

No solo servicios donde la discreción debiera ser obvia se ven afectado de esta manera. Un ejemplo particularmente grave fue la brecha de seguridad reconocida por el fabricante de juguetes tecnológicos VTech en 2015, donde millones de registros quedaron expuestos, lo que incluía información de menores de edad, incluidos nombre, dirección, familiares, colegio y datos financieros de sus padres.

Si ya mencionábamos la información como un tema trascendental en la ciberseguridad, esta exposición de datos sensibles lleva a un tema vinculado, pero un mundo en sí mismo: la privacidad.

Todos tenemos derecho a la privacidad y deberíamos ejercerlo tanto como podamos. Sin embargo, la gente no recibe educación sobre este tema, principalmente porque no es un derecho considerado esencial por los gobiernos.

Un ejemplo en Estados Unidos ocurrió en abril de 2017, cuando la administración de Trump firmó una derogación de las normas de privacidad que impedirían a los Proveedores de Servicios de Internet (ISP, por su sigla en inglés) vender el historial de navegación y los metadatos de sus clientes.

Las personas pueden preferir servicios que cifran las comunicaciones, utilizar VPN (redes privadas virtuales) para ocultar sus movimientos en línea, mantener bases antivirus y anti-malware actualizadas, cambiar las contraseñas con frecuencia, evitar ingresar datos confidenciales en formularios en línea, especialmente en las redes públicas, jamás subir fotos de su casa con GPS habilitado, nunca compartir información sobre menores y un largo etcétera.

Pero al final, cada día estamos dispuestos conscientemente a entregar datos personales a grandes compañías a cambio de servicios “gratuitos”. Un cliché de Internet dice que “si no pagas por lo que recibes, tú eres el producto”, pero en realidad el producto son los datos, tanto para individualizar a consumidores, como para generar bases de comportamiento y tendencia que después son utilizadas por la maquinaria de la publicidad. Entre otros.

En cierta medida avalamos esta transacción, pero desde otra óptica no sabemos fehacientemente lo que estamos cediendo o la relevancia de su contenido. Tampoco sabemos a quién llega o puede llegar realmente esta información. Por una parte, están las propias empresas que coleccionan y comparten sus bases de datos con fines comerciales, luego están los “intrusos” que pueden obtener esa información para distintos fines como el caso Ashley Madison. Pero hay un tercer actor que es el menos temido, pero con certeza el más poderoso.

criticalInf
Las Infraestructuras Críticas son el foco principal de las inversiones en ciberseguridad defensiva.

La Mejor Defensa Es El Ataque

Es innegable que las tecnologías, y sobre todo Internet, representan una extensión de los espacios públicos, universidades, compañías, hospitales y nuestros propios hogares. Por lo tanto, si debemos proteger, por ejemplo, nuestros hogares con cerraduras, también deberíamos pensar en proteger la extensión tecnológica de esos hogares. Nuestro correo electrónico, nuestras cuentas bancarias, la privacidad familiar.

A nivel gubernamental, la demanda de protección más importante es aquella asociada con las llamadas infraestructuras críticas, aquellas instalaciones que permiten que un país esté en funcionamiento y no pierda productividad, seguridad ni provisiones. Los hospitales son infraestructura crítica porque son imprescindibles para asegurar las condiciones sanitarias. Así también lo son las compañías de servicios básicos como el agua y la luz. La energía, en la forma de extracción, refinado y distribución de combustibles, también lo es. Las telecomunicaciones y la propia Internet han sido declaradas infraestructura crítica por diversos países y estados.

Con toda la importancia de estas áreas, es de esperar que los gobiernos tengan como prioridad la defensa de las instalaciones y esto incluye a sus extensiones tecnológicas de las que son todas altamente dependientes. Por ello es que los presupuestos en ciberseguridad se han ido multiplicando año a año, sobretodo en países desarrollados.

El problema ocurre cuando se piensa que la defensa no es suficiente y, entonces, la estrategia de ciberseguridad se complementa con dos tipos de ofensiva, una pasiva, que consiste en reunir inteligencia sobre potenciales ataques y potenciales enemigos; otra activa, que se basa en infiltrar y, eventualmente, explotar las vulnerabilidades en sistemas potencialmente peligrosos. Existe un ejemplo ampliamente estudiado de este último caso en el año 2010, cuando el aparato de inteligencia de Estados Unidos ayudó a la Unidad 8200 de la inteligencia israelí a implantar el gusano informático Stuxnet en las instalaciones nucleares de Irán, logrando retrasar varios años el programa nuclear de Teherán.

En los últimos meses, el mundo ha sido testigo de un sinnúmero de eventos que han sido atribuidos, con pruebas o sin ellas, a hackers estatales. Un ejemplo de una acusación sin pruebas es la obtención de miles de correos electrónicos provenientes del Comité Nacional Demócrata en EE.UU. y de la cuenta del jefe de campaña de Hillary Clinton en 2015-2016, John Podesta, que fueron atribuidos a hackers rusos patrocinados por el gobierno del Kremlin.

Los hackers de Rusia, China, Israel y Estados Unidos están entre los hackers más activos de los apoyados por naciones. Un ejemplo con suficiente evidencia lo representan las propias agencias de inteligencia estadounidenses, la CIA y la NSA.

Edward Snowden trabajó para ambas instituciones y terminó por desertar de las filas de la NSA en 2013, denunciando el programa de espionaje a gran escala que llevaba la agencia, donde todos los estadounidense podían ser sujetos de escuchas y recolección de datos de comunicación sin necesidad de órdenes judiciales o investigaciones abiertas.

Durante 2017, Wikileaks ha estado publicando documentos bajo el título Vault 7 (bóveda 7) que demuestran que la CIA tiene un departamento dedicado a crear programas maliciosos para intervenir sistemas operativos, teléfonos inteligentes, enrutadores, incluso televisores y aplicaciones específicas como antivirus. Symantec, un gigante de las seguridad informática, reconoció entre los documentos de Vault 7, técnicas y programas que coinciden con un grupo clasificado como malicioso que denominaron “Longhorn” y al que le atribuyen responsabilidad en ataques contra “40 objetivos en 16 países distintos”.

1984
Una escena de 1984, la película basada en la obra de George Orwell, donde la privacidad es no habida y el gobierno lo controla todo. Una profecía cumplida, dicen algunos.

El Que Nada Hace, ¿nada teme?

O Por Qué Debería Importar La Privacidad

Nuevamente planteamos la pregunta: ¿En qué medida afectan estas prácticas gubernamentales a individuos específicos?

La respuesta es la misma, la disminución del derecho a privacidad, pero esta vez basada en intereses socio-políticos.

Mucha gente argumenta que “el que nada hace nada teme”, indicando que no hay problema con que otros accedan a nuestros datos si no se ha cometido ningún delito ni se tiene un pasado o presente “manchado”. Pero esta forma de pensar es errónea porque nuestra privacidad existe para protegernos y no para esconder nada. Cuando perdemos esta protección, quedamos expuestos al menos de cuatro formas:

La primera es la interpretación, que habla del significado que el propietario le da ha su información privada. Cualquiera que acceda a ellos podrá calificarlos como buenos o malos según su punto de vista, que puede ser distinto al del propietario. Por ejemplo: saber que alguien estuvo involucrado en un aborto puede ser visto como un crimen por una persona identificada con los movimientos pro-vida o con compasión por alguien que haya pasado por lo mismo.

La segunda es la contextualización, referida a entender adecuadamente los escenarios y símbolos privados que se manejan en la intimidad de las relaciones familiares, de amistad, laborales y otras. La falta de contexto lleva a entendimientos incompletos de la realidad. Por ejemplo: si se intercepta un correo electrónico en respuesta a un mensaje de texto y este correo se titula “Derrocar al gobierno”, seguido por un paso a paso de acciones que servirían a ese propósito, es fácil armar un caso acusatorio de conspiración. ¿Pero qué falta? El mensaje de texto que originó todo y que pudo haber dicho “Necesito redactar un informe, ¿me ayudas con un escenario de política ficción?”

La tercera es la contención, que se condice con tener claridad, en todo momento, de dónde está y quien accede a nuestra información privada. Considere el caso de nuestros registros civiles o vitales y la confianza que depositamos en los gobiernos para su custodia. ¿Significa que confiamos en todas las personas que trabajan en el gobierno, ahora y para siempre? El propio Edward Snowden confesó haber accedido a registros confidenciales de su novia solo porque podía. La Consejera de Seguridad Nacional de Barack Obama, Susan Rice, utilizó información confidencial (obtenida de vigilancia “incidental”) para deslegitimar al actual Presidente de EE.UU. en tiempos de campaña.

La cuarta es la transitividad, que implica tener la capacidad de considerar la privacidad como un derecho inalienable para asegurar todas las otras libertades que debe garantizar cualquier democracia sana. Quizás esto se explica de mejor forma con una frase de Edward Snowden, quien aseguró que “decir que no me preocupa el derecho a la privacidad porque no tengo nada que esconder es como decir que no me importa la libertad de expresión porque no tengo nada que decir”.

state-sponsored-hackers-suspected-targeting-kazakh-lawyers-dissidents-cyberattacks

Vigilando A Los Que Vigilan

Los hackers patrocinados por estados, sean en Rusia, China, Israel o EE.UU., exponen la privacidad de sus propios ciudadanos en estos cuatro ámbitos cuando se comprometen en actividades de ciberseguridad ofensiva. Además, existen otros efectos dañinos de estas cuestionables actividades. Julian Assange, editor de WikiLeaks, ha denunciado que la CIA no solo creó un arsenal de herramientas de ataque cibernético, sino que cuando perdió control de él no informó a los fabricantes sobre las vulnerabilidades en distintos sistemas tecnológicos, exponiendo a millones de usuarios.

Recientemente, el grupo de hackers The Shadow Brokers dejó en evidencia que la NSA incurrió en la misma falta y ha expuesto a decenas de millones de usuarios de Microsoft Windows. Microsoft declaró que nadie los había alertado sobre dichas vulnerabilidades, excepto por los reporteros cuando se hicieron públicas. Sin embargo, un mes antes de el conocimiento público de las brechas en sistemas Windows, Microsoft ya había liberado un parche de seguridad resolviendo la mayoría de ellas.

Los publicadores independientes están liderando la defensa, pero la Comunidad de Inteligencia en EE.UU. está respondiendo. En abril de 2017, Mike Pompeo, Director de la CIA, acusó a WikiLeaks de ser una agencia de inteligencia hostil y agregó que “Julian Assange no tiene ningún derecho basado en la Primera Enmienda“, la cual habla de la libertad de expresión.

Según reportes del ex-director adjunto de la NSA, Rick Ledgett, el 90% del gasto en ciberseguridad de EE.UU. está dedicado a la ofensiva, solo un 10% es defensiva. Quizás el mejor ejemplo de que un nuevo tipo de guerra se cierne sobre nosotros.

Pero la advertencia queda resumida por WikiLeaks de este modo:

Las “ciberarmas” no pueden mantenerse bajo control efectivo.

Mientras que la proliferación nuclear se ha visto restringida por los enormes costos y la infraestructura visible necesaria para reunir suficiente material fisible para producir una masa nuclear crítica, las “ciberarmas”, una vez desarrolladas, son muy difíciles de contener.

Las “ciberarmas” son, de hecho, solo programas informáticos que pueden ser pirateados como cualquier otro. Dado que están totalmente compuestos de información, pueden copiarse rápidamente sin coste marginal.

Asegurar estas “armas” es particularmente difícil ya que las mismas personas que las desarrollan y las utilizan tienen las habilidades para sacar copias sin dejar huellas…

Por eso es que ahora la mayor amenaza, para estados e individuos, no son los virus informáticos que se vienen creando desde los ’70, ni los troyanos o backdoors que proliferaron con la masificación de Internet, ni siquiera el hacktivismo que promocionó Anonymous, ya en este siglo. El hacker más peligroso tiene a su disposición un presupuesto desbordante y creciente, capacidades técnicas y de procesamiento impensadas y lleva una credencial que lo protege bajo el secretismo propio de una agencia de inteligencia.