Análisis informal de 2005 en materia de seguridad TIC

Los acontecimientos vinculados con la seguridad del manejo de la tecnología de la información y de las comunicaciones (TIC) suceden día tras día y, aquellos que lucen más relevantes, merecen ser revisados. Eso porque su análisis puede servir a efectos de comprender el panorama actual de esta disciplina y porque podría ser posible preveer algunas próximas situaciones.
Así pues, en nuestra humilde opinión, los acontecimientos que no pueden ser pasados por alto pueden ser agrupados de la siguiente manera:
• Malware y ataques
En general en el 2005 se mantuvo la tendencia de producción numerosa de «malware», incluso para sistemas de operación que actualmente se encuentran en pruebas beta. Hay que señalar que dicho fenómeno se enfocó principalmente en virus y gusanos para la plataforma de sistemas de operación de Microsoft Inc®. Así por ejemplo «Sober» y sus variantes, perjudicaron a numerosos usuarios e instituciones con daños económicos no despreciables de considerar. «Zafi.D» y «Zotob» también produjeron perjuicios notables a Internautas y redes de computadores con acceso a la red de redes. Sin embargo, la opinión de varios expertos es que la gravedad de esos daños no llegó a niveles comparables con los del 2004. Por su parte, en septiembre Marcus Ranum escribió un importante ensayo titulado «Las seis ideas calladas en la seguridad de computadores» en el cual criticó fuertemente la estrategia empleada por los fabricantes de software antivirus y antimalware. El punto en particular señalaba que, debido al volumen de productos malignos de hoy en día, es mejor identificar lo que se permitirá ejecutar dentro de los computadores, que lo que no se desea permitir. Una opinión importante de considerar.
En cuanto a los ataques del tipo «phishing», estos fueron evolucionando con grados de sofisticación importantes; principalmente porque muchos usuarios, ya informados del problema, no eran presa fácil de los ataques clásicos. Es de notar también, que en ciertos países se mejoró con relación a normas jurídicas que regularan tales actos, pero aún falta suficiente personal técnico con capacidades y autoridad suficiente, para determinar los autores de estos delitos con soporte electrónico.
El tema de los riesgos y peligros en sistemas «wireless» siguió cobrando importancia y demostrando cuanto falta por hacer. En particular nos llamó la atención una noticia que hacía referencia a la construcción de un dispositivo que actuaba como un «sniffer» de transmisiones Bluetooth con un alcance de cientos de metros. La gráfica mostraba, en el Downtown de Los Angeles, como el artificio tenía una forma similar a un rifle y se podía usar desde azoteas para escuchar indebidamente el tráfico de otros edificios cercanos.
El problema de los ataques del tipo «DDoS» y el reconocimiento de un aumento en la cantidad de «botnets» también es un asunto a indicar. Ello sigue recordando el grado real de indefensión en que se encuentran los usuarios de la ICT. Otro aspecto que mantuvo la tendencia de crecimiento, es la divulgación de informes que señalan que la mayor amenaza para las corporaciones modernas proviene de su personal interno; sea por daños deliberados, por negligencia, por ignorancia o por accidentes.
Resulta importante agregar en este renglón que, a finales de este año, la opinión de un alto directivo del SANS® sobre la posible participación del ejército chino en un ataque masivo a sistemas informáticos norteamericanos, que recibió nombre código «Titan Rain». La posterior y casi obligatoria negación oficial de Beijing, generó especulaciones sobre la cercanía de grandes operaciones de guerra electrónica y la necesidad de trabajar en temas como la «ciber-seguridad». Este panorama ahora no resulta tan absurdo de considerar, dado que se ha reconocido el peligro que significa un terrorismo globalizado que anda en busca de cualquier recurso tecnológico que le ayude en su propósito. Además de esto, hay que recordar que anuncios de años previos, como el norcoreano sobre ejércitos que disponen de grupos de «hackers» preparados para combatir en el ciber-espacio, agudizan la desconfianza entre las naciones.
• Fabricantes de software
Las continuas vulnerabilidades en el software de múltiples fabricantes, incluyendo aplicaciones para proteger computadores y redes, que se divulgan prácticamente a diario, siguen demostrando, en el 2005, que un eje central de la seguridad de la TIC es la calidad del software que se elabora. El problema surge porque aplicar todas las pruebas y verificaciones que un producto de software requiere antes de comercializarlo es costoso y además consume tiempo significativo. Esa realidad a menudo choca con los intereses y aspiraciones de los fabricantes de software que deben considerar aspectos como posicionamiento en el mercado y disminución de costes. Aún con esta realidad, hay que señalar que para muchos programadores y grupos de desarrollo los tiempos para producir los «parches» correctivos continuaron decreciendo.
Obviamente el esquema de aplicar parches sigue dejando en manos del usuario la responsabilidad final de corregir el problema y ello apunta a pensar que ese es el eslabón más débil en «la cadena de la seguridad» asociada a ese tipo de amenazas. También hay que señalar que fueron notables en esta área de trabajo: el caso del experto que usando ingeniería en reversa logró generar un «exploit» a partir de un parche de seguridad, los parches provistos por un gran fabricante que después de ser aplicados, tal como se indicaba, se convirtieron en un daño para las plataformas ya operativas, y las críticas al mismo fabricante que modificó su comportamiento para generar un boletín mensual con los avisos y correctivos de sus productos. A todo esto hay que agregarle el descubrimiento de «nuevas capacidades» de operación, con un mínimo de procesos activos, de Windows XP® que la gente de SysInternals® divulgó y la curiosa respuesta que el gigante de la computación declaró ante semejante revelación. Este panorama mantuvo atento a especialistas como Bruce Schneier, quien durante este año insistió en su llamado para que se aplique algún tipo de control, a quienes sean responsables por vender productos de software con fallas trascendentales de seguridad.
Otro suceso importante de recordar fue el robo de una porción del código fuente del IOS a Cisco®, quién de inmediato señaló que ello no era un asunto grave. Adicionalmente, el «affair» de Michael Lynn vs. Cisco, vinculado con la ponencia expuesta en BlackHat 2005; no faltaron entonces algunas voces para cuestionar la correctitud de la aproximación de trabajo conocida como «revelación absoluta». El posterior anuncio de la «compra» de Blackhat no hizo entonces más que levantar mayores dudas.
Por otra parte, productos de importante uso como Skype® tampoco escaparon del anuncio de alarmas y avisos. En forma parecida, un estudio de mediados del año, reveló que navegadores muy empleados como son MS-Internet Explorer®, Mozilla Firefox® y Opera® presentaron riesgos para sus usuarios; el trabajo se enfocaba en el tiempo transcurrido desde el momento en que se anuncia alguna vulnerabilidad asociada al navegador, hasta el instante en que el fabricante pone a disposición del usuario el «parche». Es de hacer notar que en los indicadores cuantitativos expuestos en el documento, el navegador de Microsoft sale notablemente muy mal ubicado. El reporte es casi un llamado para que los usuarios de IE se cambien de inmediato.
Por su parte, la comunidad del software libre encara un hecho que podría traer consecuencias importantes, el cambio de «Nessus®» a software privativo. Es posible, que el asunto esté adquiriendo mayor importancia de lo que debería tener, dado lo notable del producto y su amplio empleo en actividades de «hacking» y «pentest».
• Criptografía
El problema de las colisiones detectadas para las funciones «Hash» más comúnmente usadas (MD5 y SHA-1), viene desde antes del 2005. Sin embargo el anuncio de S. Bellovin acerca de que la IETF requiere varios meses más para lograr un estándar adecuado para la industria, llevó el drama a su máxima expresión. Por supuesto que la academia ya ha planteado algunas soluciones mientras el nuevo estándar llega, pero la mayoría de los fabricantes de productos de seguridad y las plataformas actualmente en ejecución no incorporan esos tipos de «paños calientes».
El punto previamente mencionado también trae a la memoria los significativos éxitos de los investigadores chinos en el tema del criptoanálisis, al igual que las bochornosas complicaciones en EEUU para que esos científicos consiguieran visas y documentos legales que les permitieran viajar a tiempo a las prestigiosas conferencias en donde divulgarían sus descubrimientos.
También resulta notable percibir la intención cada vez más clara de la NSA para que el gobierno estadounidense emplee protecciones criptográficas con base en el procesamiento de curvas elípticas.
• Compañías privadas
En este punto hay que escribir que «Sony®» adquirió gran notoriedad. El caso del «Rootkit» que incorporó en sus productos, sin advertir a los compradores volvió a traer a la mente «fantasias» como las descritas por Peter Howitt en el film Antitrust: Cracking the Code del 2001. También resultó preocupante saber que el problema se remontaba desde el 2004 y que hasta computadoras del gobierno estadounidenese estaban infectadas. Además, extrañó conocer que la gran corporación había ignorado recomendaciones, algunas de firmas dedicadas a la protección informática, para no aplicar ese proceder. Dado ese escándalo, no tomó mucho tiempo para que por la red de redes se divulgara un programa tipo peste que se aprovechaba de ese rootkit para comprometer la seguridad de los equipos que habían instalado el producto de Sony. ¡Una historia de película!.
A pesar de eso, lo sucedido a Visa® y MasterCard® con el robo de su base de datos de 40 millones de clientes, posiblemente deba ser considerado como el mayor problema de seguridad que sufrió corporacion alguna en el 2005. Lo más asombroso puede ser advertir, en la difícil situación de riesgo económico en que quedaron los usuarios de ese tipo de tarjetas.
• Hackers
En el 2005 se hicieron públicos los resultados de algunos estudios que demostraban que ha habido cambios en la tendencia de comportamiento de los «hackers». Específicamente se indicó que ellos ahora prefieren atacar objetivos que les puedan resultar en un mayor lucro personal o que están más dispuestos para alquilar sus talentos a competidores comerciales o a delincuentes profesionales u organizados.
Tampoco faltaron los «desfiguramientos» de sitios webs, incluso con intenciones propagandísticas y políticas. El anuncio del cierre de «Phrack» también causó estupor en ciertos grupos, con sombreros blancos o negros, que estan interesados en documentos que muestren en forma pragmática y detallada como suceden los ataques. A pesar de eso, otros e-zines dedicados al «hacking» fueron liberados para mayores audiencias o traducidos rapidamente, para darlos a conocer en otras latitudes.
Igualmente es significativo el crecimiento de textos y revistas, que incluso atraviesan oceános para velar los misterios del «hacking». Una clara evidencia de que pretender que ciertas informaciones no se divulguen es un problema mayúsculo y que la estrategia de seguridad a través de la oscuridad, en un mundo con poderosos medios de comunicación, es muy difícil de implementar.
También aparecieron nuevas empresas que ofrecen cursos en línea para aprender a ser «hackers». Negocio que sigue adelante a pesar de voces reconocidas como la de Eugene Spafford que han cuestionado seriamente esa intención.
• Gobiernos y la lucha contra el terror
La Internet siguió demostrando ser un medio para que grupos minoritarios y hasta proscritos sigan dando a conocer sus acciones y manifiestos. De esa forma grupos afines a Al-Qaeda divulgaron sus mensajes y hasta videos escalofriantes con decapitaciones humanas. Por supuesto que todos tipos de especulaciones han surgido a partir de entonces; incluso hay quien señaló que semejante proceder favorecía más bien a quien proclama combatir al terrorismo. A pesar de eso, hubo casos como el desfiguramiento de un sitio web militar estadounidense en Guantánamo que parecen contradecir la hipótesis previa.
También siguió el debate acerca de la correctitud de las medidas tomadas para luchar contra la piratería y copia ilegal de la información. Tampoco faltaron fugas de información y torpezas memorables, como la equivocada divulgación de un discurso de George W. Bush ante la Academia Naval estadounidense denominado «Plan para la victoria en Iraq». Algunos malintencionados expresaron entonces lo dificil que sería alcanzar la victoria, si antes no se podía corregir «errores técnicos» como esa equivocada revelación de un documento en formato PDF.
También se escucharon evaluaciones y opiniones de expertos sobre las medidas tomadas por los estados para prevenir ataques terroristas en el ciber-espacio, casi siempre ellos indicaban que estas aún son deficientes y que las amenazas van en aumento. En esta materia también llamó la atención del rol de los grandes medios de comunicación.
La guinda del arbolito la puso sin embargo el mismo gobierno estadounidense, al estallar el escándalo de que ahora la NSA está facultada por el presidente Bush para espiar, sin consentimiento judicial, dentro de EEUU. El tema resulta preocupante al haber indicios de que grandes empresas de telecomunicaciones y servicios de acceso a la Internet estarían siendo obligados a apoyar ese tipo de operaciones. «sniffing», «Intercepciones de llamadas y de e-mails», «Spyware» y otras técnicas más, fueron expresadas como los mecanismos que ahora la NSA aplica.
Si a esa situación se le suma que han sucedido sentencias en tribunales que colocan el uso de software para ocultar datos, como por ejemplo el PGP®, en el ámbito delictivo, cuando surgió para proteger la confidencialidad y privacidad de informaciones personales, no es de extrañar el temor de muchas comunidades pro derechos civiles, que ven reducirse sus libertades y no creen que el mundo esté más seguro hoy de lo que estuvo en años previos.
• Educación de los usuarios finales
En el 2005 los ciudadanos siguieron recibiendo información pobre y confusa. Principalmente porque los medios masivos de comunicación siguen combinando ficción con realidad; además se transmiten mezclas de informaciones con propagandas. En Latinoamerica esto ocurre principalmente porque muchos comunicadores sociales que cubren el área no poseen experiencia suficiente para manejar los sucesos o, porque consultan a gente con poca preparación técnica en el área.
A pesar de eso, la difusión de información correcta siguió creciendo, lo cual no quiere decir que la misma llegó correctamente al usuario final. La Internet, principalmente permitió emitir datos en forma rápida y actualizada. Así por ejemplo Avi Rubin hizo pronunciamientos importantes con respecto al tema de la votación electrónica en EEUU, pero lamentablemente, ese tipo de información se difundió, principalmente, entre conocedores y expertos. Por el contrario, no fue difícil escuchar a políticos y vendedores de soluciones tecnológicas, emitiendo opiniones con intención de influenciar a las masas, sobre aspectos tan delicados o trascendentales como es por ejemplo el fraude electoral con apoyo telemático. No es que se aspire a cohartar sus derechos a expresarse, es que a veces hay que cuidar mucho el peso que puede tener un juicio, ante una comunidad que aún no ha sido educada para diferenciar, claramente, una especulación de un hecho plenamente demostrado.
Por otra parte, crecieron los cursos técnicos en el área; algunos de origen netamente comercial saltaron, gracias a su calidad, al ámbito académico. Ese es el caso por ejemplo de la maestría ya anunciada por el SANS. En forma similar, las universidades y organismos de investigación científica fomentaron un mayor crecimiento de conferencias, jornadas, talleres y diplomados relativos a la seguridad de la ICT.
• Venezuela
En nuestro país, Suscerte, organismo adscrito al Ministerio de Ciencia y Tecnología y la Universidad Experimental de las Fuerzas Armadas (Unefa) mantuvo el esfuerzo para promover la formación e información en el tema. Algo parecido hizo la Camára Venezolana de Comercio Electrónico, que llevó a cabo un evento de menores proporciones pero igualmente valioso. Por su parte, los fabricantes hicieron su parte para promover sus productos de seguridad e incluir charlas del tema dentro de sus eventos tradicionales. Netriders 2005, vinculada con Cisco, es un ejemplo de ello.
A finales del año, se informaba que un «troyano» de nombre Banker.BSX se difundía entre los usuarios que hacen uso de los servicios de la Banca en Línea del país, para recabar contraseñas de acceso y otros datos confidenciales. La noticia expresó además que medidas de protección comunes, como el «teclado virtual», no servían para detener ese tipo de peligros.
Aún así, creemos que la debilidad más notable que todavía parece afectar negativamente a la sociedad venezolana sigue siendo el hecho de que el principal cuerpo de policía técnica de la nación, CICPC, sigue sin disponer de un grupo de altos expertos técnicos en el combate de los delitos informáticos. Hasta ahora lo que se trata es fundamentalmente fraudes con tarjetas de crédito, débito y cajeros automáticos; no hay, por ejemplo, experticia en computación forense de alto nivel técnico, que permita rastrear o identificar a delincuentes que han actuado remotamente. Es posible que una causa de este problema lo tengan las universidades nacionales, que aún no ofrecen carreras que proporcionen la respuesta correcta ante ese tipo de demanda de la sociedad venezolana.
En fin un año con claras señales de que el área cobra mayor importancia para todos y que ahora es que hay trabajo por hacer. Y ésta, puede ser la conclusión principal de este primer análisis informal, que de seguro debe tener omisiones considerables e imprecisiones significativas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.