Se oyen voces protestando porque los acuerdos de control de armas hayan vuelto su mirada a los distintos sistemas y equipos propios de los test de penetración y demás florituras de la ciberseguridad práctica; sin embargo no queda claro a qué bien mayor sirven los que protestan. La guerra fría sobrevive en la necesidad del control armamentístico y el software no se va a librar de ello,… ¿o sí? Es tiempo de echar un vistazo al resbaladizo tema de si se debe o puede prohibir o controlar la proliferación de armas cibernéticas.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

En diciembre de este año se celebra el vigésimo aniversario del acuerdo de Wassenaar que se firmó en aras a contribuir a la estabilidad y seguridad mundial a través de la transparencia y una mayor responsabilidad en el tráfico de armas convencionales y tecnologías de doble uso. Además de eso, el acuerdo serviría para prevenir las acumulaciones desestabilizadoras de armas en cualquier región y para impedir la adquisición de esos materiales por parte de grupos terroristas.

Los estados firmantes del acuerdo buscan, a través de sus políticas nacionales, asegurar que las transferencias de esos materiales no contribuyan al desarrollo o a la ampliación de capacidades militares que pudieran minar esos objetivos de estabilización armamentista. El acuerdo se tomó el 19 de diciembre de 1995 en la localidad de Wassenaar, cerca de La Haya, Holanda. La primera reunión plenaria se celebró el 12 y 13 de diciembre de 1996 en Viena, Austria.

El esquema del acuerdo se describe en el documento “Guidelines & Procedures, including the Initial Elements”^[1]. En él, la “Lista de Tecnologías Restringidas” está compuesta por dos partes, la “Lista de Materiales y Tecnologías de Doble Uso”, también conocida como la lista básica, y la “Lista de Municiones”. La lista básica está compuesta de diez categorías que van, de menor a mayor sofisticación, desde (1) Materiales Especiales y Equipos Relacionados con ellos, (2) el Procesado de Materiales, (3) la Electrónica, (4) los Ordenadores, (5) las Telecomunicaciones, (6) la Seguridad de la Información, (7) los Sensores y Láseres, (8) la Navegación y la Aviónica, (9) la Marina, (10) las tecnologías Aeroespacial y de Propulsión.

Por su parte, la Lista de Municiones^[2] tiene 22 categorías que no están etiquetadas o clasificadas de ningún modo. Cuando se quiere colocar un elemento en esta lista, los estados miembros deben tener en cuenta (1) la disponibilidad de esas tecnologías fuera de los estados miembros, (2) la capacidad efectiva que pueden tener de controlar la exportación de esos materiales, (3) la capacidad de hacer una especificación clara y objetiva de lo que se quiere incluir, y (4) que no esté controlado ya por alguna otra norma.

Actualmente son 41 los firmantes del acuerdo pero China e Israel no lo son a pesar de que ambos son importantes exportadores de armas. Sin embrago, ambas naciones tienen alineados sus controles de exportación con los de la lista Wassenaar lo cual es importante. La admisión de nuevos miembros requiere el consenso de todos los miembros.

Criptografía y criptoanálisis

Uno de los elementos conflictivos que están incluidos en la lista Wassenaar son muchos aspectos de la criptografía y del criptoanálisis. Sin embargo, son varias las razones por las que no debería estar ahí.

En principio, la criptografía es algo de carácter eminentemente defensivo, incluso cuando forma parte de elementos militares, y como tal no tiene uso ofensivo alguno. Los productos criptográficos son completamente pasivos y su único cometido es el de proteger y defender la información de todos aquellos que intenten conseguir el acceso a ella.

Sin embargo, las últimas y masivas campañas de ransomware^[3] nos han puesto de manifiesto que el cifrado se puede volver contra nosotros cuando es otro el que lo utiliza. En esos casos de secuestro de información, el atacante utiliza la criptografía para hacerse en exclusiva con la copia de información que tiene a su alcance. Que esta captura merezca un rescate y pueda ser vista como un ataque exitoso depende de la ausencia de copias de seguridad por parte de su legítimo dueño, en cuyo caso, de existir, hace que el incidente se quede en una gamberrada molesta. Aun así, es difícil justificar por qué los productos criptográficos están dentro del Acuerdo.

En segundo lugar los controles de exportación de los productos criptográficos tienen un impacto negativo muy significativo sobre la protección de procesos y aplicaciones civiles. La protección de la información nacional, el desarrollo de un comercio electrónico seguro, la protección de la privacidad de los ciudadanos y muchas cosas más, dependen de productos criptográficos desarrollados por civiles y para civiles. Es sorprendente que se les aplique unos controles de exportación netamente militares.

Control del uso y diseminación de la criptografía

Por otra parte, desde principios de los noventa, todo el mundo reconoce la dificultad esencial para controlar el uso y diseminación de la criptografía, en su versión software, bajo cualquier posible acuerdo nacional o internacional. De hecho, muchos de los firmantes de ese acuerdo militar evitan poner en práctica literal esos controles sobre productos criptográficos ya que impactan directa y negativamente en el mercado (civil) mundial. Sólo los EEUU y otras pocas naciones continúan blandiendo el Acuerdo Wassenaar de un modo que afectaría seriamente el uso civil de la criptografía.

Por si esto fuera poco, en diciembre de 2013, se enmendó la lista de tecnologías de exportación restringida para incluir en ella los sistemas de vigilancia en Internet^[4]. Las nuevas tecnologías puestas bajo el control de exportación incluyen el “software de intrusión” –software diseñado para engañar a las medidas de protección de ordenadores y redes y que permiten extraer datos e información–, así como los sistemas de vigilancia en redes IP.

Los motivos de las nuevas inclusiones^[5] son recoger en su seno a sistemas, equipos, componentes y software especialmente diseñados para la generación, operación o distribución de, o comunicación con, software de intrusión. De este modo se engloba a todos los productos dedicados a la realización de pruebas de intrusión y para la identificación de vulnerabilidades en ordenadores y dispositivos capaces de integrarse en una red.

Algunos de esos productos ya están clasificados como cifradores debido a que tienen ciertas propiedades criptográficas y/o criptoanalíticas, pero la nueva enmienda afecta de lleno a los sistemas o equipos de vigilancia en redes digitales que utilizan el protocolo de Internet (IP).

Según sus promotores, el propósito de estos cambios es prevenir la venta de esa tecnología de empresas occidentales a gobiernos de los que se sabe que “no respetan los derechos humanos”, lo cual es siempre muy discutible si se ve la lista de “aliados naturales” de algunos promotores. Sin embargo, algunas compañías tecnológicas (norteamericanas) han expresado su preocupación de que los objetivos de esos controles son demasiado amplios, limitando así la capacidad de los investigadores a identificar y corregir vulnerabilidades de seguridad. En concreto, imperios como Google^[6] y Facebook^[7] han criticado el acuerpo por las restricciones que impone sobre (1) los Test de Penetración, (2) la compartición de información sobre amenazas, y (3) los Programas de Recompensas por vulnerabilidades^[8]. Ambos coinciden en que estas restricciones debilitarán la seguridad de las naciones signatarias y contribuirán poco a frenar las amenazas de los países no participantes.

Coalition for Responsible Cybersecurity

Por otra parte, recientemente se ha constituido la autodenominada “Coalition for Responsible Cybersecurity” con el ánimo de presionar al gobierno norteamericano para evitar que adopte unas nuevas regulaciones de exportación que perjudicarían seriamente la efectividad de la ciberseguridad de los EEUU, en tanto que debilitaran la tecnología, los procesos y las herramientas que la industria de ciberseguridad utiliza para mantenerse en la vanguardia defensiva de las instituciones. Según su forma de ver el problema, esas normas pondrían a los EEUU y al resto del mundo en un serio riesgo y al albur de hackers maliciosos.

Según sus detractores, la norma propuesta tendría cuatro impactos negativos para las empresas y tecnologías de la ciberseguridad:

• La investigación en Ciberseguridad se vería reducida, en tanto que impide a los investigadores de probar las redes, e intercambiar entre naciones información técnica sobre vulnerabilidades.

• La disponibilidad de herramientas de ciberseguridad se verá limitada.

• Los controles sobre las técnicas de vigilancia de red podrían obstaculizar el desarrollo eficaz de tecnologías innovadoras de seguridad perimetral.

• La monitorización de la red y el lanzamiento de acciones pre programadas (p.ej., el bloqueo de direcciones IP) podría requerir un licencia gubernamental para poder ser vendidos fuera de los EEUU y Canadá.

La Coalición representa a un amplio espectro de intereses norteamericanos en ciberseguridad^[9] pues incluye a Cisco, Arbor Networks, Intel, Microsoft, Oracle, Symantec y FireEye, entre otras. Según parece, en respuesta a los esfuerzos del mencionado lobby, el Departamento de Comercio de los EEUU ha decidido revisar sustancialmente los controles propuestos para la exportación de herramientas de ciberseguridad y buscar incluir aportaciones de la industria antes de abrir una segunda ronda de negociación sobre esas reglas.

Un debate hegemónico-comercial

Está claro que ese debate es simplemente hegemónicocomercial y que esa Coalición y muchos otros lobbies, sólo miran por sus intereses económicos nacionales y nada más. Sin embargo, el problema sigue abierto para los preocupados del interés general.

Los que conocimos el Siglo XX estamos acostumbrados a los acuerdos de no proliferación armamentista y a los curiosos intentos de poner algo de control en las armas que unos venden y otros compran. Es fácil entender que las grandes potencias tengan cierto recelo en que “otros” puedan conseguir armas importantes que puedan suponerles algún riesgo o incomodidad, pero ven muy bien que se vendan otras armas más “pequeñas” que sirven para mantener bien encendido el hornillo de la guerra en varios focos del mundo, a la vez que mantienen el muy beneficioso negocio civil de las armas.

Es natural, por tanto, que los sistemas consolidados mantengan actualizadas sus listas de armas según estas van apareciendo. Sin embargo, con la década de los noventa, con la llegada de internet a todas las empresas y hogares del mundo desarrollado, tanto en occidente como en oriente, se establecen nuevos “escenarios de batalla”, como a algunos les gusta denominarlos, en los que las naciones y sus poblaciones “de orden” quedan expuestas a un nuevo tipo de amenazas.

“Con las cachas al aire”

La excesiva y descontrolada infiltración de las redes digitales, de Internet, del exhibicionismo de las redes sociales, de las campañas cada vez más inteligentes y mejor informadas de publicidad y marketing y la escasa calidad de la “transformación digital” de nuestra sociedad, han confeccionado un nuevo escenario en el que todos estamos “con las cachas al aire”. Tal exposición sólo puede causar preocupación en aquellos que ven lo fácil que es tumbar periódicamente Internet^[10] y sus tenderetes cibernéticos que tan pingües beneficios les están dando^[11].

Sin embargo, esas mismas naciones han visto el potencial bélico que tienen las debilidades de los otros. Tener las Infraestructuras Críticas conectadas en red es una oportunidad maravillosa para los fabricantes de armas. En lugar de tener que estudiar cómo construir bombas termobáricas^[12] más potentes o misiles aire-tierra más precisos para arrasar una central de distribución de cualquier cosa (electricidad, petróleo, gas, agua), basta con introducir en sus redes algún software maligno que las destruya irreversiblemente. Lo que una intensa onda expansiva de muy altas temperaturas sólo puede hacer con una estación eléctrica, un pequeño software bien diseñado lo puede hacer con toda la red en un mismo instante.

Inconsistencia y flancos débiles

No hay duda entonces de que la inconsistencia y flancos débiles de nuestras redes digitales han convertido en arma al software y en negocio a lo que ya todo el mundo llama Ciberseguridad. Si insistimos en tener redes digitales, entonces para resolver un ataque e incluso para evitar que exista, lo único que se puede hacer es erradicar la vulnerabilidad o vulnerabilidades que lo hacen posible. Si no se pueden eliminar “aguas arriba” mediante una programación segura y responsable de todos y cada uno de los componentes de los sistemas cibernéticos, lo que habrá que hacer es “descubrirlas” en nuestras redes. El inconveniente surge cuando esas técnicas de descubrimiento, en sí neutras e imparciales, son las mismas que utilizan los atacantes, lo que las convierte en tecnologías “de doble uso”.

Mientras que los objetos físicos como las bombas y cualquier otro tipo de munición se pueden controlar en lo que a su fabricación masiva se refiere, la producción del software con interés armamentístico es tan controlable como pueda serlo la poesía o la creatividad literaria.

Dificultad a poner límites

La imposición de restricciones sobre determinados tipos de software sólo afecta a aquellas compañías que quieran hacer de ellos su negocio, pero en ningún caso pueden evitar o mitigar la producción clandestina de malware. A menos que algún ministro de interior o defensa esté pensando en montar, al más puro estima McCarthyano, un cuerpo de bomberos pirómanos con tintes policiales como el de Farenheih 451^[13], va a ser difícil poner límites a la producción de software, tenga o no valor armamentístico. Aunque los ministros del interior francés y alemán^[14] quieran abrir un nuevo capítulo de las “crypto wars”^[15] en Europa con eso de conseguir que los jueces obliguen a descifrar los datos de clientes y usuarios para simplificar y abaratar el trabajo policial, no les va a resultar fácil. En última instancia, podrían ser los mismos usuarios y ciudadanos los que optasen ellos mismos por cifrar sus actividades digitales, en cuyo caso de nada serviría “presionar” a las compañías más garantes de la privacidad (que no lo son todas^[16]) para que abran sus sistemas.

Algunos, seguro que ven bien avanzar un paso más y prohibir el uso civil y personal de la criptografía (y de paso quemar los libros ya que no esencial que la ciudadanía lea) pero, aunque lo consiguiesen, eso no daría más seguridad a sus redes digitales, ni más estabilidad a esa sociedad o sistema que dicen defender. Los fuera de la ley, los criminales, los delincuentes, los terroristas y, sobre todo, los hackers expertos a sueldo de otros países siempre seguirían escribiendo “su poesía”. El resultado neto sería el de una ciudadanía con la madurez cultural y social de un hooligan^[17], y unas redes cibernéticas, un tejido digital, tan inseguro como al principio.

Las protestas de la “Coalición”

Sin embargo, no hay que olvidar que las empresas de Ciberseguridad que ahora protestan por estas iniciativas para el control gubernamental de los materiales y técnicas de doble uso que constituyen su caja de herramientas, igual que defienden, pueden atacar, por lo que están muy cerca del atractivo y generoso negocio que es el desarrollo de armamento, incluso aunque sea digital. Las protestas de la “Coalición” no van en la dirección de proteger la privacidad de los ciudadanos, de los clientes o usuarios, sino en defender cuotas de actividad muy lucrativas al estilo del no escarmentado Hacking Team^[18].

Habría que ver si esas mismas empresas están dispuestas a renunciar a los beneficios que les ha proporcionado y les proporciona, desde finales del Siglo XX, observar los asuntos humanos de forma tan detallada y atenta con sus “inteligencias” (artificiales o no) superiores a las del ciudadano común. Mientras los usuarios de Internet se ocupan de sus cosas, sus actos están y han estado siendo estudiados del mismo modo que un sabio con su microscopio estudia las pasajeras criaturas que se agitan y multiplican en una gota de agua.

Con infinita complacencia, los internautas han continuado con sus ocupaciones y tendencias en su ciberplaneta ideal, abrigando la ilusión de controlar su destino. Casi nadie piensa que los emporios comerciales pudieran ser fuentes de peligro para ellos o, si alguno lo pensó, fue sólo para descartar como imposible o improbable la idea de que pudieran estar interesados en ellos en concreto o en lo que hacían o pudieran hacer^[19]. Resulta curioso recordar hoy algunos de los hábitos mentales de aquellos locos días ya pasados de los noventa; sin embargo, desde otros puntos del ciberespacio, intelectos fríos y calculadores, mentes muy especiales y superiores a las nuestras, observaban esta indefensa población de internautas con ojos codiciosos mientras urden, con lentitud, sus planes contra nuestra intimidad/ libertad^[20].

Documento en PDF