Lasciate ogne speranza voi ch’entrate
Si miramos con perspectiva temporal cómo han transcurrido los últimos 30 años de la ciberseguridad y vemos que la última moda la llaman Resiliencia, alguien con independencia intelectual suficiente podría pensar que ya están perdidas todas las batallas. Sea así o de otra forma, sólo nos queda seguir en el tiempo y dirimir si hay alguna esperanza en esto de proteger lo digital que, muy pronto, será lo único que tengamos, lo único que seamos. La inquietante frase de Dante Alighieri en su Divina Comedia: “...abandona la esperanza si entras aquí” (Lasciate ogne speranza voi ch’entrate)1, bien que encaja en estas reflexiones.
A principios del Siglo XIV, entre 1304 y 1308 un literato europeo intentó hacer poesía del todo, y escribió “La Divina Comedia”, o simplemente “La Comedia”. Ese hombre era Dante Alighieri2, “El Poeta Supremo” y el padre del idioma italiano (llamado volgare en aquella época). Empezó describiendo el “Infierno” (1304-1308), después pasó a describir el “Purgatorio” (1307-1314) para, finalmente, terminar haciendo otro tanto con el “Paraíso” (1313-1321). Por vicisitudes que no vienen al caso, Dante fue condenado al exilio y debió abandonar su querida Florencia, lo que supuso una especie de muerte en vida para él ya que se le despojaba así de su identidad y, al final, nunca pudo regresar. En 1318 fue acogido en Ravenna, importante ciudad costera de la Emilia-Romaña, y terminó el poema del “Paraíso”, muriendo el 14 de septiembre de 1321 a los 56 años por causa de la malaria; mal endémico de aquellas tierras. Dante fue un poeta y escritor italiano mundialmente conocido por escribir la Divina Comedia que es una obra esencial de transición del pensamiento medieval al renacentista, así como una de las cumbres de la literatura universal. Quizás en nuestros días haya llegado la hora de salir, en temas de ciberseguridad, de enfoques medievalistas para abrazar algunos más renacentistas, más renovadores, más revolucionarios.
Si miramos al principio de los principios, encontramos una alocada e insensata digitalización a toda costa de los
sistemas norteamericanos de información militar. La razón de ello estaba en que la Guerra Fría y el Terror Nuclear lo justificaban todo. De hecho, los primeros sistemas digitales/automáticos tuvieron mucho que ver con los sistemas de radares de alerta temprana de los
Estados Unidos y su sistema integrado de respuesta (NORAD)3.
En octubre de 1967, en una sesión de la Joint Computer Conference organizada por la Advanced Research Projects Agency, se empieza a hacer público lo que más tarde se conocería como el “Informe Ware” terminado y publicado en 1970 (o también conocido como el RAND Report R-6094: “Security Controls for Computer Systems”), que es el origen de la “Computer Security” que es como se llamaba entonces todo nuestro tinglado. En ese artículo se describe y se muestran los primeros fallos en los sistemas de acceso multinivel y de tiempo compartido de aquella época (SDC’s Q-32 y RYE de la NSA) y, así mismo, también se perfilan las posibles consecuencias que podrían tener esos fallos en lo que a la seguridad de lo tratado/ procesado por esos sistemas se refiere(información clasificada).
Ese informe no sólo incluye recomendaciones sobre la seguridad funcional que deberían tener esos sistemas para poder proteger información clasificada, sino que propone la certificación de productos para verificar que los productos (certificados) sí satisfacen esos criterios. De ahí nacieron los Trusted Computer System Evaluation Criteria (TCSEC)5, coloquialmente conocido como “The Orange Book”, que luego fue ampliándose hasta completarse las “Rainbow Series”.
Cumplir estándares es algo oneroso
Muchos años después, la experiencia ha dado pruebas más que suficientes para afirmar que cumplir con esos estándares es, sin duda, algo oneroso, tanto porque es caro en sí, como por requerir ingentes cantidades de tiempo y esfuerzo por ambas partes. Sin embargo, esa misma experiencia ha puesto de manifiesto que las vulnerabilidades de la seguridad han ido apareciendo regularmente en todos esos sistemas, y que algunas de ellas han sido fácilmente explotables por atacantes adecuadamente motivados. ¿Cómo es posible que esos fallos hayan pasado desapercibidos en el proceso de certificación?¿Fue un problema de esa evaluación en concreto o un fallo en el esquemade evaluación en sí? En muchos casos, estas mismas preguntas, todavía hoy, esperan respuesta.
03 junio 1983
El sábado 4 de junio de 1983, el Presidente Reagan se dispuso a ver una peliculita que le ponían en su residencia de Camp David para mayor solaz del defensor del mundo occidental. No sé quién fue el que la eligió, pero al septuagenario presidente le pusieron una de las últimas producciones (la habían estrenado en EE.UU. el día anterior) de Hollywood; su título era “Juegos de guerra” 6. Había una importante razón por la que “Juegos de guerra” era una ficción muy precisa de lo que podía ocurrir; los guionistas se habían entrevistado para su investigación con Willis Ware... 7
El miércoles de la semana siguiente Ronald Reagan se reunió con sus secretarios de Estado, Defensa y Tesoro, el presidente del Estado Mayor Conjunto y dieciséis miembros del Congreso para hablar de un nuevo misil nuclear. En cuanto Reagan les comenzó a explicar el argumento de la película que había visto el viernes, los asistentes pusieron los ojos en blanco8. De pronto, el presidente se volvió hacia John Vessey, jefe del Estado Mayor Conjunto, y le preguntó: “¿Algo así podría ocurrir de verdad?”. Una semana más tarde, Vessey regresó con una respuesta alarmante: “Presidente, el problema es mucho más grave de lo que usted cree”.
Las intrusiones en redes y el malware existen, y fueron utilizadas con objetivos inconfesables, desde la más temprana historia de los ordenadores. En 1986, el hacker alemán conocido como Marcus Hess se coló a través de una pasarela a Internet ubicada en Berkeley y utilizó esa conexión para deambular por la ARPANET. Con calma entró en unos cuatrocientos ordenadores militares, incluyendo algunos “mainframes” en el Pentágono. Su motivación era sencilla, vender secretos tecnológicos al KGB soviético. Su aventura recolectora terminó cuando un astrónomo sin beca para observar las estrellas, llamado Clifford Stoll, detecto la intrusión y tuvo la paciencia y el ingenio de pillarle con lo que fue la primera honeypot 9 de la ciberseguridad10.
En 1971 un hombre llamado Bob Thomas se dio cuenta que los programas podían migrar a través de las recién estrenadas redes 11 de computadores dejando un rastro por todos aquellos sistemas por los que había pasado. Al programa le dio el nombre de Creeper (enredadera) y lo diseñó para viajar entre maquinas corriendo TENEX12 y accesibles desde ARPANET 13, para imprimir en ellas el mensaje “I’M THE CREEPER : CATCH ME IF YOU CAN”14. Por su parte, Ray Tomlinson15 –inventor del correo electrónico– escribió un programa que llamo Reaper 16 (cosechadora, segadora), cuya misión era buscar/descubrir la presencia de Creeper y borrarlo. Con ello se inventó el primer software antivirus, pero también el primer programa auto-replicante; el primer gusano informático17.
No es cuestión de seguir con lo que nos trajo la década de los 80 en cuanto a la popularización de lo digital, de la informática. La llegada del Personal Computer18, termino con el reino de los titanes que representaban los mainframes 19 y fragmento hasta niveles nunca vistos la capacidad de calcular... cualquier cosa. El microprocesador en un solo chip fue posible gracias a la tecnología MOS20, y el primer chip con puertas MOS lo desarrolló Federico Faggin21 en 1968, el cual, más tarde, utilizaría esa misma tecnología para desarrollar, en 1971, el primer microprocesador en un solo chip22; el famoso Intel 4004. Tampoco es cuestión extendernos en el emocionante nacimiento de las redes por capas 23 de computadores con el advenimiento del protocolo “BBN Report 1822” en 1989 y, posteriormente, con la más importante asunción del protocolo TCP/IP24 para las redes militares en 1982.
Capacidades nunca antes vistas en el tratamiento de la información
Todo esto sembró de capacidades nunca antes vistas en el tratamiento de la información, en la monitorización remota y la tele operación. Sin embargo, esto mismo también empapó de riesgos las redes, por entonces, sólo militares.
Hubo que esperar a terminar la década de los ochenta para que surgiese el concepto y la semilla del primer ente esencialmente inmaterial, geo-disperso y amorfo que controla nuestras (actuales) vidas. Entre 1989 y 1990, en el CERN de Ginebra (Suiza), un científico británico llamado Tim Berners-Lee25 concibe la World Wide Web, más conocida como La Red, que no era otra cosa que un sistema de información que permitiese, mediante hipertextos 26, “HiperText Transfer Protocols” e hiperenlaces, el acceso a cualesquiera documentos o recursos a través de una red telemática. A esa red, poco después la bautizaron como Internet27.
Solo hubo que esperar unos años, hasta 1995 para que el recién nacido ente, la nunca bien ponderada Internet, se desparramase por todos los ámbitos de la vida civil. El despegue de Internet en el escenario global de las comunicaciones de todo tipo, fue extremadamente rápido en términos históricos28: en 1993 Internet sólo era responsable de un 1% de las comunicaciones, pero en el año 2000 esa cifra ya había llegado al 51%, y en 2007 ya era de 97%. Imagine cuánto será ahora mismo, en 2023.
El que controle Internet controla el mundo
Hemos llegado a un punto en el que se puede afirmar, sin miedo a caer en exageraciones, que el que controle Internet controla el mundo; no sólo sus naciones y economías, sino a todos los individuos que pueblan el planeta. Sin darnos mucha cuenta hemos creado (y aceptado a ciegas) una arquitectura tecno-social que puede dar al traste con este experimento que es la humanidad. Pero la pregunta es ¿se puede controlar Internet? Por el momento la respuesta es negativa, pero eso no quiere decir que no haya fuerzas telúricas que lo estén intentando tenazmente. Por una parte, están las Agencias de Inteligencia, por otra parte, está lo que se conoce como la Industria del Cibercrimen, pero también hay que incluir en esta lista a las muchas empresas tecnológicas o tecno-dependientes cuyo negocio (la publicidad en la mayor parte de los casos) se basa directa o indirectamente en ‘ordeñar’ los flujos de lo que circula por Internet.
El problema no es que haya gente intentando hacerse con el mundo, lo verdaderamente grave es que puedan hacerlo. El mejor ejemplo lo tenemos en la misma existencia de la Ciberseguridad como concepto, como actividad y negocio, y como moda social. Si no hubiésemos construido nuestra realidad planetaria sobre sistemas plagados de vulnerabilidades, quizás hoy no tendríamos motivos para tener(ese) miedo.
El imperativo categórico
Las tecnologías digitales están plagadas de errores, pero la culpa, la inseguridad en última instancia, no es suya, sino de los que han comulgado con ellas a ciegas. En informática necesitaríamos algo parecido al imperativo categórico 29 de Kant publicado en su obra “Fundamentación de la metafísica de las costumbres” (1785). En nuestro caso ese imperativo podría ser algo así como “Programa y digitaliza de tal modo que tu creación pueda ser segura para todos y al mismo tiempo en cualquier escenario universal”. En otras palabras “Si no es realmente segur@ no lo implantes, no lo utilices, no lo permitas”. El siguiente nivel del problema lo plantea el mismo concepto de seguridad. ¿Qué es la seguridad? No es que “la seguridad universal / total no exista”, lo que no existe es una respuesta racional a pregunta tan mal planteada. La seguridad se define frente a un atacante, a un ataque y a unas circunstancias concretas, por lo que casi nunca estamos hablando de lo mismo al mencionar el término seguridad.
Pongamos un ejemplo popular y bien conocido; el ransomware 30¿Qué es? La Wikipedia sabiamente dice que es un tipo de malware dentro de la “criptovirología” 31 (¡toma pretenciosidad!) que amenaza con (1) publicar los datos de la víctimao (2) bloquear permanentemente su acceso a ellos, si no se les paga el correspondiente rescate. Pero, ¿es éste realmente el fallo de seguridad? Los que hayan sido víctimas de un ataque de ransomware y se hayan encontrado todas sus pertenencias digitales cifradas, ya saben cuál es la cara que se les queda a las agencias de inteligencia y a las fuerzas de seguridad cuando alguien sube a la nube sus cositas convenientemente cifradas. Desde este punto de vista, debemos descartar que encontrarse los ficheros cifrados sea algo malo, todo lo contrario, debería ser lo habitual si queremos ser “propietarios” (o dueños efectivos) de nuestro patrimonio digital.
Cuando la información digital esta en claro, no es de nadie. Es ingenuo pensar que uno puede tener su patrimonio digital guardado en claro en sistemas propietarios y dentro del “perímetro” (o en una nube alquilada). Ese escenario es como tener las reses en un corral y, además sin marcar. En ese caso, cualquiera puede, por la noche, abrir la puerta, llevarse el ganado y decir que es suyo. Así mismo, el nivel tecnológico del atacante no es necesariamente muy alto, sólo necesita saber abrir una valla y pastorear lo que dentro del corralito haya.Los sistemas informáticos actuales son meros corralitos de informaciones sin firmar. El ransomware nos ha venido a enseñar quién es realmente el dueño de la información. No es el que sólo tiene el fichero, sino el que tiene en exclusiva las claves con las que conseguir recuperar/acceder a ese fichero en claro. Aquí es donde aparece la coacción: (1) “o pagas, o te despides de todo porque destruyo la única copia de la clave que necesitas” y también, “o pagas, o hago público lo que tu mantenías en privado y yo conozco en claro”. El que tiene la clave en exclusiva es el que realmente posee la información. Tener un fichero cifrado no es nada, no significa nada ya que copias puede haber muchas y en muchos sitos. El que comparte una clave con alguien (con La Nube, por ejemplo) lo que tiene es una peligrosa, incómoda y esencialmente insegura copropiedad de la información.
La esencia del ransomware, en lo que al primer ataque se refiere (denegación de acceso), no es que te cifren los ficheros, sino que te borren las copias en claro. Por ello Microsoft incluyó en Windows el servicio de Shadow Copy 32(VSS) en sus sistemas de archivo conocidos como New Technology File System (NTFS) 33 y Resilient File System (ReFS) 34. La estrategia es crear copias de sólo-lectura en un instante de tiempo de todo el volumen o de ficheros concretos. Esas copias congeladas en el tiempo pueden crear salvaguardias (backups) de un sistema de ficheros asegurando que su contenido no cambia y son accesibles durante la realización de la copia de salvaguardia. Lógicamente, éste el primer servicio al que corre el malware a desactivar en el inicio de un ataque de ransomware, para luego borrar todas las copias (snapshots) que pudiera haber en él. Por lo tanto, hay solo dos estrategias válidas para neutralizar la amenaza Ransomware: 1) que el atacante no tenga acceso a las copias de salvaguardia y no pueda borrarlas/alterarlas, o 2) que los ficheros propiamente dichos no existan como tales, sino que sean una secuencia temporal de modificaciones de los mismos, y que esa secuencia se escriba en algún medio indeleble con características de read-only.
Algo relacionado con este último enfoque es lo que propusieron 35 Michael Coden y Michael Stonebraker del MIT durante la RSA Conference el pasado 27 de abril. Ellos proponen un nuevo sistema operativo estructurado en torno a bases de datos que guardan todo lo que alguna vez hubo en el sistema, y en las que se apuntan en el tiempo todos los eventos y cambios que ocurren dentro del sistema operativo. Si eso resultase eficiente, una consecuencia inmediata de este proceder sería, que se podría viajar en el tiempo hacia atrás tanto como la memoria del sistema permitiese. Este regreso a tiempos mejores sería “mano de santo” para recuperarse de un ataque exitoso de ransomware, bastaría con: 1) retroceder la máquina al estado antes de que el ataque ocurriese, 2) convertirlo en el presente y 3) seguir evolucionando en el tiempo desde ese punto inma- culado (Vamos, un “borrón y cuenta nueva”).
Podríamos analizar más ejemplos,
pero no aportarían mucho más de lo
ya visto; el problema real/importante
es que hemos construido nuestra
realidad digital con un tejido esencialmente vulnerable. La culpa no es
del tejido, que hace para lo que fue
diseñado, sino del que usa esa tecnología sin miedo alguno a (todas) sus consecuencias.
La ciberseguridad ha evolucionado
desde los años 60 de una forma que
hoy solo hablamos de la Ciberseguridad Reactiva; la de ir apagando incendios, pagando las pérdidas, y siempre
colocados por detrás de los atacantes,
tanto si son legales como ilegales. La única posibilidad que tenemos es embarcarnos en una Ciberseguridad Preventiva, que se guíe por ese Imperativo Categórico Digital(aún pendiente de perfilar) que debería asumir todo el
mundo, empezando muy especialmente por los que tienen algo de poder (y de responsabilidad, al menos histórica) en este proceso global de digitalización.
No creamos que vamos a tener tanta suerte como en el final de la película Juegos de Guerra, en la que la inteligencia artificial es realmente inteligente (aunque no del todo pues acepta jugar al tres en raya36 consigo misma) y llega a la conclusión de que una “Guerra Termonuclear Total” en la que está asegurada la destrucción mutua 37, “es un juego extraño” en el que “el único movimiento vencedor es no jugar”, y es mejor distraerse con “un buen juego de Ajedrez”.
Podemos 1) seguir como estamos o 2) empezar a hacer las cosas de otro modo. Podemos plantearnos la posibilidad de 1) hacer una digitalización realmente segura para el dueño y generador de los datos/información, pero también podemos 2) mirar hacia otro lado, al de los beneficios que a algunos les está proveyendo este monstruito digital 38 que nos acuna 39. Pero recordad que, antes de entrar al infierno, Dante y su guía Virgilio, ven a aquellos que nunca se comprometieron con nada, las almas de aquellos que jamás hicieron algo bueno o malo, y para los que “los problemas siempre eran de otros”. Según Dante, estas almas no están ni en el Infierno ni fuera de éste, pero se ven obligados a existir en las orillas del Aqueronte (“el río del dolor”). Su castigo sería el de “perseguir eternamente una bandera en blanco mientras son atacados por abejas y avispas que continuamente los pican, mientras gusanos y otros insectos succionan su sangre y lágrimas”. Según el poeta, este castigo es el que se debe a los que en vida no fueron capaces de abanderar ninguna causa; y ahora deben correr detrás de un estandarte vacío, no por motivación propia, sino para huir de las eternas y dolorosas picaduras de unas feroces avispas (infernales).
1 Ver https://ca.wikipedia.org/wiki/Dante_Alighieri és la frase final del texto sobre las puertas del infierno en la Divina Comèdia
de Dante Alighieri. (“Infierno”, canto 3, estrofa 3) Dante pasa a través de la puerta del infierno, que tiene una inscripción,
cuyo texto dice: «Es por mí que se va a la ciudad del llanto, es por mí que se va al dolor eterno y al lugar donde sufre la
raza condenada, yo fui creado por el poder divino, la suprema sabiduría y el primer amor, y no hubo nada que existiera
antes que yo, abandona la esperanza si entras aquí’». Está formada por 33 cantos, más uno de introducción, cada canto
está subdividido en tercetos cuya rima está intercalada. De hecho, su estructura doctrinal hace un uso constante del
número tres: los condenados están repartidos en tres categorías
2 Ver https://es.wikipedia.org/wiki/Dante_Alighieri
3 North American Aerospace Defense Command. Ver https://en.wikipedia.org/wiki/NORAD
4 Ver https://www.rand.org/pubs/reports/R609-1.html
5 Ver https://en.wikipedia.org/wiki/Trusted_Computer_System_Evaluation_Criteria
6 Ver https://en.wikipedia.org/wiki/WarGames y https://youtu.be/tAcEzhQ7oqA
7 Ver https://en.wikipedia.org/wiki/Willis_Ware
8 Fred Kaplan: “Dark Territory: The Secret History of Cyber War” Simon & Schuster; Reprint edition (March 28, 2017)
ISBN-13: 978-1476763262
9 Ver https://www.kaspersky.com/resource-center/threats/what-is-a-honeypot
10Ver https://en.wikipedia.org/wiki/The_Cuckoo’s_Egg_(book)
11Ver https://en.wikipedia.org/wiki/Computer_network#History
12Ver https://en.wikipedia.org/wiki/TENEX_(operating_system)
13 Las técnicas utilizadas por Creeper fueron más tarde utilizadas en el simulador de tráfico aéreo McROSS para permitir
que partes de la simulación se muevan a través de la red. ¿No resulta sorprendentemente moderno? Pues era 1973. Ver
https://www.rfc-editor.org/rfc/rfc426.txt
14 “Soy una enredadera... ¡Atrápame si tú puedes!”
15Ver https://en.wikipedia.org/wiki/Ray_Tomlinson
16Ver https://corewar.co.uk/creeper.htm
17Ver https://en.wikipedia.org/wiki/Core_War
18Ver https://en.wikipedia.org/wiki/History_of_personal_computers
19Ver https://en.wikipedia.org/wiki/Mainframe_computer
20Ver https://en.wikipedia.org/wiki/MOSFET
21Ver https://en.wikipedia.org/wiki/Federico_Faggin#Silicon_Valley_career
22Ver https://www.computerhistory.org/siliconengine/microprocessor-integrates-cpu-function-onto-a-single-chip/
23Ver https://en.wikipedia.org/wiki/OSI_model
24Ver https://en.wikipedia.org/wiki/Internet_protocol_suite#Adoption
25Ver https://es.wikipedia.org/wiki/Tim_Berners-Lee
26Ver https://en.wikipedia.org/wiki/Hypertext y https://en.wikipedia.org/wiki/Hyperlink
27Ver https://en.wikipedia.org/wiki/ENQUIRE y https://en.wikipedia.org/wiki/Internet
28M. Hilbert, P. López: “The World’s Technological Capacity to Store, Communicate, and Compute Information”. Science,
Vol 332, Issue 6025, pp. 60-65, 10 Feb 2011:
29 «Obra de tal modo que la máxima de tu voluntad siempre pueda valer al mismo tiempo como principio de una legislación
universal» Ver https://es.wikipedia.org/wiki/Imperativo_categórico
30Ver https://en.wikipedia.org/wiki/Ransomware
31Ver https://en.wikipedia.org/wiki/Cryptovirology
32Ver https://en.wikipedia.org/wiki/Shadow_Copy
33Ver https://en.wikipedia.org/wiki/NTFS
34Ver https://en.wikipedia.org/wiki/ReFS
35Ver https://www.rsaconference.com/USA/agenda/session/Opensource OS Approach SelfDetects Attacks%20 SelfRestores
in Seconds
36Ver https://en.wikipedia.org/wiki/Tic-tac-toe
37Ver https://en.wikipedia.org/wiki/Mutual_assured_destruction
38Ver Arthur C. Clarke: “Marque F de Frankenstein”: “El 1 de diciembre del año 2005, a la 1:50 según el meridiano de
Greenwich, todos los teléfonos del mundo sonaron a la vez...”
39Ver “The father of the internet, Sir Tim Berners-Lee, credits Clarke’s short story, Dial F for Frankenstein, as an inspiration”
https://historyofinformation.com/detail.php?id=2137