La información personal y confidencial, en peligro por la ciberguerra
Hay una guerra en el ciberespacio. Es enorme, complicada y los soldados no son exactamente los que esperarías.
Para entender sólo una de las maneras en la que esta guerra se realiza , considera el impacto de largo alcance de las redes sociales y una historia que un empleado del Gobierno, quien trabaja para una agencia de defensa de Estados Unidos, expuso recientemente.
La historia habla de una incursión de las Fuerzas Especiales de Estados Unidos en 2009 que involucró a las tropas estadounidenses y con la cual liberaron a un rehén en la que fue considerada una operación de rescate “exitosa” en un lugar sin precisar fuera de Estados Unidos. El problema, dijo el director del programa, cuyo nombre no puede revelarse debido a lo sensible de su trabajo, vino después de que las tropas se retiraron.
En 45 minutos, “los malos” entraron, reorganizaron los cuerpos de los secuestradores que murieron, tomaron fotografías, escribieron un comunicado de prensa y lo publicaron en una red social .
A Estados Unidos le tomó tres días responder.
“El daño ya estaba hecho”, dijo el director.
Ya sea la manipulación de la información, o el robo de información, entender el campo de batalla en el ciberespacio es clave para salvaguardar la información, ya sea de tipo personal, o de una forma más general de seguridad nacional, o del tipo que los empleados del gobierno protegen con nerviosismo; la información de infraestructura crítica , desde sistemas de filtración de agua hasta los sistemas de control de tráfico aéreo que operan con computadores .
“Cuando se trata de estos temas, básicamente todo el mundo miente”, dijo.
Es difícil ser más contundente que eso, pero esa honestidad cruda y frustración eran casi esperadas en la reciente reunión llamada Suits & Spooks (ejecutivos y espías) en Arlington, Virginia. Se anunció como 'la anticonferencia'.
“Empecé con la premisa que todo el mundo reconoce como verdadera: que no estamos seguros”, dijo el organizador de la conferencia, Jeffrey Carr, quien también es el autor del libro Inside Cyber Warfare (Dentro de la guerra cibernética).
“La estructura de ciberseguridad está completamente rota”.
Para organizar la conferencia, Carr contactó a todas las personas a quienes conoce, y resulta que conoce a personas muy interesantes y diversas.
La lista de invitados incluía a un hacker de 25 años, quien prefiere el título de “investigador independiente de seguridad”; una actriz que actúa en un popular drama de vampiros y está interesada en que los actores protejan su imagen en línea; un exoficial de inteligencia y profesor de Derecho Internacional en la Universidad de Georgetown, y un emprendedor web que inició una empresa de pagos en línea y a quien incluyeron en la lista de los “30 menores de 30” de la revista Forbes.
Una de las empresas patrocinadoras de la conferencia es una compañía que tomó su nombre, Palantir, de la película El señor de los anillos. ¿Ya te lo imaginas?
“Está completamente rota”, dice Carr.
“¿Cómo la arreglamos? Espero que se logre un avance, y muchas de las personas que están aquí son de una agencia de gobierno o de una enorme corporación, así que pueden llevarse esto a casa y empezar a conectar algo con lo que aprendimos en estos días de trabajo. Eso hará que todo se dirija hacia reformar una revolución en asuntos de seguridad, lo que es el objetivo del evento”.
Hackeando el problema
El hacker de 25 años, Travis Goodspeed, es fácil de reconocer. El cabello le llega hasta la espalda. Dice que es por su padre, quien leyó un libro de L. Ron Hubbard (fundador de la Iglesia de la Cienciología), y cuando era niño le dijo que el peluquero le cortaría las orejas, sólo para ver si se lo creía. Ahora ya sabe que no, pero comprueba que a veces incluso las cosas más absurdas se quedan contigo. Ahora se gana la vida asesorando a empresas que preferirían que sus clientes crean que hacen negocios de forma segura en el ciberespacio, pero que conocen los riesgos reales, razón por la cual contratan a personas como Goodspeed.
“Un par de empresas me contrataron para mostrarles cómo haría trampa con mis facturas de electricidad, para solucionarlo antes de que le gente haga trampas en sus cuentas de electricidad de la misma forma”, dice Goodspeed.
“Mi especialidad es atacar computadoras pequeñas o construir cosas extrañas con ellas. Hay un juguete rosa para niños, y escribo un software nuevo en él, lo que le permite hacer todo tipo de cosas raras. Puedes hacer un analizador de espectros con eso, puedes atacar a un medidor inteligente (de electricidad, gas o agua) con eso, puedes grabar lo que otros tipos de radios están transmitiendo”.
Con una tecnología de autoadaptación similar logró penetrar las medidas de seguridad de un sistema de radiocomunicaciones, dice Goodspeed. El gobierno de Estados Unidos estaba considerando ese sistema para hacer frente a los problemas de comunicación que pudieran surgir entre los primeros en responder después de un ataque terrorista o de otra catástrofe .
Las habilidades de Goodspeed son un poco diferentes a las de otro conferencista, Ben Milne, empresario web y CEO de la empresa de pagos en línea Dwolla.
“Es extremadamente único”, dijo Milne en la conferencia, agregando que la razón por la que asistió es por las preocupaciones que comparten la seguridad nacional y la industria de los negocios digitales .
“Todos quieren ser capaces de reconocer a los malos. Todo, desde el robo de identidad, la protección de la identidad, la protección de datos, cualquiera que maneje datos críticos tiene que lidiar con todos esos problemas y entonces tiene que averiguar cómo analizarlos, responder a ellos e informar sobre ellos. Así que es un flujo bastante complejo, pero todo el mundo que maneja algún punto de ese flujo obviamente está en la sala”.
A lo largo del día, un ingeniero en computación se sentó en la fila de atrás. Mientras escuchaba a los oradores, escribía rápidamente en un teclado, mientras la pantalla al frente de la sala compartía la pantalla de su computadora. A medida que los oradores mencionaban proyectos, o debilidades de las estructuras de seguridad, o incluso los nombres de los grupos que se sabía habían participado en violaciones de seguridad , Scott Stevson, un ingeniero de Palantir, contratista del gobierno estadounidense, empezó a crear vínculos.
Pronto se hizo evidente que lo que este hombre podía hacer con un motor de búsqueda era simplemente temible.
“En este caso estoy usando Google como mi interfaz primaria de búsqueda, porque esta instancia de Palantir que estoy usando no está ligada a lo que nosotros llamaríamos un conjunto de datos empresariales, lo que significa que no tengo un conjunto de datos proporcionado por un cliente. Uso Google y una interfaz que construimos y que me permite llamar a un URL e importarlo a Palantir para crear un documento en el momento”, dijo Stevson.
“Puedes verme destacar a personas, relacionarlas entre sí, y publicar constantemente esos resultados para que de esa manera, si estuviera trabajando con otro equipo de analistas, pudieran jalar también esa información”.
El final del día el mensaje fue cuán interconectados estamos todos en internet, y lo vulnerables que somos todas las personas o cualquier cosa ante los malos del ciberespacio. La mayoría de la gente inteligente que enfrenta este problema está de acuerdo en una cosa: no hay respuestas fáciles para mantener los sistemas completamente seguros.
Actualmente hay decenas de fragmentos de legislación cibernética que abren su camino a través del proceso , impulsando a algunas personas a decir que necesitamos ver el problema de una manera diferente si queremos encontrar una solución viable y efectiva.