[17] SUPERMERCADO DE INSEGURIDADES

vulnerabilidades

Nuevo mes, nuevo programa. Les damos la bienvenida y agradecemos a todas las estaciones radiales que nos retransmiten a través de la FM en Bolivia, Brasil, Venezuela, Uruguay y España.

Con frecuencia hablamos de la vigilancia y el monitoreo de las telecomunicaciones, pero hasta ahora no nos habíamos dado el tiempo para revisar a profundidad cómo se llevan adelante estas intrusiones, qué herramientas se usan y quienes desarrollan el software que posibilita la vigilancia.

En los treinta minutos que siguen indagaremos en un mercado extraño y muchas veces invisible, donde se intercambian grandes sumas de dinero por el conocimiento sobre vulnerabilidades informáticas o agujeros de seguridad. Comenzaremos por descifrar algunos aspectos técnicos, y luego indagaremos en las prácticas de gobiernos y corporaciones sobre el uso y comercio de software espía.

Nos acompaña un entrañable amigo, estudioso entre otras cosas de la cultura hacker y del mundo que la rodea.

Mi nombre es Jacobo Nájera y principalmente me dedico a investigar las relaciones entre artesanía, derechos humanos y ciencia.

. . .

¿Qué es una vulnerabilidad en un programa informático? Pues, primero vamos a recordar qué es un programa informático.

Dicho de forma muy sencilla: un programa informático es una lista de instrucciones escritas para que una computadora realice una tarea. No es muy diferente a hacer cuentas en una calculadora, o programar el microondas. La máquina ejecuta, línea por línea, el programa en código máquina, y este programa a su vez viene del código fuente que alguna persona escribió.

Entonces, básicamente una persona se sienta a escribir un conjunto de líneas de código en un lenguaje de programación que otras personas también pueden leer, luego este conjunto de líneas de código son compiladas, o sea, son traducidas a un lenguaje utilizable por la máquina, escrito en binario. Posteriormente el programa es ejecutado por el procesador central de una computadora, y así funcionan los programas que conocemos.

Dado que los programas informáticos son escritos por personas como tu y yo, vale la pregunta ¿tendrán errores? ¿fallas? ¿equivocaciones?, y más importante aún ¿qué implica la existencia de una falla informática en nuestras computadoras? A ver, a ver... vamos por pasos. Los programas informáticos contienen errores o fallos mucho más seguido de lo que pensamos. La wikipedia nos dice que un error de software, también conocido por el inglés "bug", es un problema o fallo lógico en un programa informático que desencadena un resultado indeseado.

En la historia de la informática han habido bugs famosos en ámbitos tan diversos como la industria automotriz, espacial o médica. Un caso emblemático fue la desviación inesperada de un cohete lanzado en 1962, el Mariner I, que iba a ir hasta Venus, pero que tuvo que ser destruido antes de caer en el Océano Atlántico - el error fue en parte provocado por la omisión de un guión en el programa de guiado del cohete.

Pero volviendo a la pregunta: ¿qué es una vulnerabilidad o agujero de seguridad?. De forma sencilla, es una falla en un sistema de información que se puede explotar para violar la seguridad del sistema. Un bug pasa a ser una vulnerabilidad si hace que el comportamiento del sistema sea tal que pueda ser aprovechado para conseguir acceso no autorizado, elevación de privilegios, fuga de información, denegación de servicio u otro tipo de control sobre nuestros dispositivos.

Un ejemplo: en 2017 se hizo público un fallo en un dispositivo llamado AMT incluido en los procesadores de Intel. Esta vulnerabilidad permitía a quien la explotase, tener control sobre nuestras computadoras, aunque estuviesen apagadas o desconectadas de Internet. ¿Cómo? pues el error era muy sencillo: el programa tenía que comprobar que nuestra contraseña fuese la correcta y para ello previamente comprobaba que tuviese el número correcto de caracteres. Pero, el programa no sabía cómo actuar en caso de que no introdujésemos ninguna contraseña, es decir, cero caracteres. El error, o bug, aquí da paso a una vulnerabilidad bien grave: al no introducir ninguna contraseña, el programa informático dejaba acceder al sistema, exactamente como si se hubiera introducido la contraseña correcta.

Si estás prestando atención habrás notado que dijimos dos cosas muy importantes: primero que la vulnerabilidad de Intel se hizo pública, y la segunda es que quien la explotase tendría acceso remoto a nuestra computadora. Más preguntas: ¿las vulnerabilidades se hacen siempre públicas? ¿quién las encuentra? y ¿qué es eso de explotar una vulnerabilidad?.

Generalmente son hackers quienes están a la caza de vulnerabilidades. Pueden tener motivaciones diversas para hacerlo: curiosidad, reputación, puro reto o desafío intelectual. También hay toda una industria que la convierte en una actividad económica. Dependiendo de la motivación para encontrar una vulnerabilidad, y del estilo de quien la descubre, esta puede hacerse pública o no.

Si una vulnerabilidad se hace pública - es decir, se comunica de su existencia de forma abierta y extensiva -, existirá una presión para que el error sea arreglado, o "parcheado" cuanto antes. Con un poco de suerte, el fabricante del programa analizará el error en un tiempo razonable, identificará el problema, y publicará una versión del programa que arregle la vulnerabilidad.

Mientras una vulnerabilidad no se hace pública, es probable que sea utilizada para obtener algún tipo de beneficio - ya sean datos que luego se puedan vender, acceso a cuentas bancarias y cosas por el estilo, o puede ser que el conocimiento, el secreto de que esta vulnerabilidad existe, esté siendo vendido en el mercado de vulnerabilidades.

Conociendo una vulnerabilidad, puede desarrollarse código para un programa que permita aprovecharse de, o explotar, esta vulnerabilidad. Esto es lo que hace un exploit: "explota" el conocimiento de un bug para conseguir algo, como ejecutar código malicioso, u obtener privilegios de administrador en un sistema. Lo repetimos porque es muy importante: un error sin parchear en tu teléfono, significa que las personas que sepan de ese error pueden tener acceso a tu teléfono. Por eso es importante actualizar nuestros programas: una actualización, muchas veces, arregla un fallo para que nuestros dispositivos ya no sean vulnerables a un ataque en particular.

Cuando existe un exploit que aprovecha una vulnerabilidad aún desconocida hablamos de un "zeroday", o un ataque de día cero. Esto se refiere a que tenemos un ataque del que todavía no se sabe nada, de forma que las personas que lo exploten juegan con una gran ventaja. Si la gente en general y los fabricantes del programa desconocen la vulnerabilidad, es muy probable que siga sin arreglar todavía por un tiempo.

Pero, ¿qué tiene todo esto que ver con el software de espionaje digital del que habíamos prometido hablar el día de hoy?

Jacobo: Yo partía del punto que la tecnología puede tener fallos, y esos fallos pueden implicar problemas de seguridad y mayormente lo que está en el centro es que al ser la tecnología vulnerable - es decir, que las personas pueden encontrar esos fallos -, la forma de entenderlos puede tener diferentes miradas. Puede ser la mirada de una comunidad que bajo un contrato dice "cuando encuentre un error lo vamos a comunicar y vamos a intentar arreglarlo". Esa es una mirada, una aproximación, pero al mismo tiempo también hay quienes pueden decir "sabes que, encontré esta vulnerabilidad, encontré esta falla en la tecnología y no la vamos a compartir, sino la vamos a vender, digamos ese conocimiento lo vamos a vender a alguien quien pueda utilizarlo para algún fin". Hay quienes compran ese documento donde está la vulnerabilidad y la usan para hacer productos de vigilancia.

Ponía algunos ejemplos como Hacking Team, como NSO group, como Gamma group, que se dedican a fabricar tecnología de vigilancia y para poder hacer intrusiones, buscan vulnerabilidades. Hay un concepto que explica esto y son las vulnerabilidades del día cero, entendidas como aquellas que solamente un grupo muy reducido conoce, por lo tanto es una vulnerabilidad que puede ser más exitosa en su intrusión, en su ejecución, y a la par también tiene un valor en un mercado. Entonces las empresas que se dedican a desarrollar tecnologías de vigilancia dependen de vulnerabilidades que encuentre alguien, o que encuentre un grupo y que no se pongan en lo público. Ese es un elemento que permite que existan esas tecnologías de vigilancia, no es la única parte, pero desde la perspectiva del desarrollo es muy importante.

Como señala Jacobo, existe un mercado en el que se compran y se venden vulnerabilidades informáticas, las más de las veces, para construir software de vigilancia explotándolas. Así como existe una demanda, existe una oferta, y las vulnerabilidades informáticas terminan siendo productos con un precio. Si no te lo crees, puedes visitar el sitio web de Zerodium, un gran conglomerado de vendedores de vulnerabilidades.

También existen empresas de seguridad informática cuyo negocio es la compra de vulnerabilidades de día cero con exploits funcionales, para luego investigarlos y venderlos junto con medidas de protección y recomendaciones de seguridad a sus clientes, generalmente corporaciones y entidades gubernamentales.

Jacobo: Hay un punto de partida que permite anclar un poco las dinámicas que hay alrededor de este tipo de formas de mercado de vulnerabilidades. Uno de ellos es lo que pasó con Hacking Team. Esta es una empresa que se dedica a hacer tecnologías de vigilancia, hubo una filtración de sus correos electrónicos y también incluso de documentos, software y otros tipos de archivos. En los correos electrónicos se establece cómo es que realizan la búsqueda de grupos que les puedan vender este tipo de vulnerabilidades. Ese caso lo menciono porque desde mi punto de vista ha sido importante para entender una dinámica y que podamos tener una suerte de documentación de cómo funciona. Sin embargo yo creo que en este momento podemos decir que hay partes que son oscuras, que son grises, pero sí es un mercado altamente lucrativo. Creo que parte del quehacer es entender cuáles son estas dinámicas, cuáles son los diferentes agentes, como es que se configuran, creo que eso es una tarea pendiente, hay camino pero es una tarea pendiente el poder entender cómo son las dinámicas, cómo son los incentivos, y bajo que contextos suceden. Creo que eso es muy importante.

El creciente interés de nuestros gobiernos por vigilarnos, añadido a cuán lucrativo es el mercado de las vulnerabilidades informáticas, da como resultado la existencia de empresas como las que Jacobo mencionaba: la italiana Hacking Team, la israelí NSO Group y la angloalemana Gamma Group. Estas empresas inescrupulosamente desarrollan software espía con el cual los gobiernos infectan a periodistas, defensores de derechos humanos, y cualquier perfil activista que les represente una amenaza, con el fin de tener acceso a su información y desmantelar su accionar político. Uno de los casos más aberrantes fue la infección con software espía a periodistas, investigadores, y abogadas que estaban llevando casos contra el gobierno mexicano por la desaparición de los 43 estudiantes de Ayotzinapa en 2014. Otros casos han incluido a activistas que trataban de impulsar un impuesto a las refresqueras que fabrican bebidas con un alto contenido en azúcar, también en México.

En un círculo vicioso peligroso, existe gran interés por parte de gobiernos de fortalecer a estas empresas que desarrollan software de vigilancia intrusiva para continuar abusando de estas tecnologías, al igual que existe gran interés por parte de estas empresas en el crecimiento y afianzamiento del mercado de vulnerabilidades.

Jacobo: México se ha convertido en un paraíso para la venta de tecnologías de vigilancia. Esto es palpable desde varios lugares, uno de ellos son los espacios que se llaman ferias comerciales donde van esas empresas y venden su tecnología, se hacen varias al año en México, donde hay una participación activa por parte de gobiernos. Eso es un síntoma de que al menos en términos de aprovisionamiento de tecnología existe - esto por un lado; y a la par también hay esfuerzos independientes que han mostrado que este tipo de tecnologías o las características que tiene indican que se están usando este tipo de productos. Aquí el asunto central es que este tipo de productos de vigilancia se usan contra activistas, contra defensores de derechos humanos, contra periodistas, contra la propia sociedad y sobre todo contra espacios que están trabajando en ciertos aspectos - por ejemplo quienes están buscando a sus familiares que han sido desaparecidos. Entonces básicamente esto muestra la posición del gobierno en el sentido de que hacen caso omiso y se muestran completamente cínicos e indiferentes a apoyar a familiares que tienen a sus seres queridos desaparecidos, no hay un apoyo para realizar estas investigaciones, y a la par los investigo para posiblemente entorpecer sus avances, sus esfuerzos.

Este tipo de tecnologías, las que se han logrado documentar - más bien con las personas que se han utilizado o se han intentado utilizar este tipo de tecnologías, tienen algo en común, y es que son temas que impactan directamente al gobierno y en algunos de los casos también ponen en cuestión la propia existencia del estado. Tal es el caso de quienes han tenido por sus propios medios que buscar a sus familiares, e incluso han tenido que aprender sobre ADN, sobre lo que se supone tendría que estar facilitando el estado, entonces comparten eso, también personas relacionadas a corrupción, desapariciones forzadas, a violaciones sistemáticas de derechos humanos. Esa es, digamos, una de las formas de vigilancia, sin embargo existen formas de vigilancia a muchos niveles.

Va siendo hora de preguntarnos qué podemos hacer. ¿Qué papel jugamos las internautas ante las relaciones de poder que amenazan nuestra seguridad de una forma tan silenciosa y desapercibida?. ¿Qué hacer frente a este panorama?.

Jacobo: Yo creo que no hay una respuesta única, sin embargo hay una tensión, ésta tensión que cada vez es más visible, sobre todo en comunidades de software libre. Es decir, aquellas que comparten el código de cómo esta hecho el software, bajo licencias que lo permitan y sobre todo bajo un andamiaje muy específico en términos sociales, y que históricamente han generado confianza a través del error. ¿En qué sentido? Voy a poner un ejemplo: la comunidad de Debian, del sistema operativo libre, establece en una parte de su contrato social que los errores se mantendrán de manera pública y se publicarán inmediatamente cuando sean conocidos. Ésto nos hace varias preguntas: si existen comunidades que miran así la vulnerabilidad, si miran así la falla; y al mismo tiempo hay personas, grupos organizados, o no organizados, semi-organizados, que comercian con errores que encuentran en la tecnología: pues tienes un punto de tensión. Hay una parte que me parece que es quizá la más clara, que es la económica, y es que uno de los incentivos de estos grupos para comercializar pues es la parte económica, y como tal no se si exista, o al menos no tengo muy clara una posible respuesta, pero si creo que es esencial entender sobre todo cómo es que están funcionando este tipo de grupos. Creo que en la medida en la que podamos entender cómo funcionan podamos dar más respuestas y entender sobre todo cómo es que impacta o puede impactar a las comunidades en el futuro. Creo que eso es esencial, y sí podemos hablar de un aspecto económico pero también de reconocimiento social, creo que son los aspectos más marcados.

Desde esta perspectiva, se hace necesario afianzar las bases de otro modo de accionar sobre las construcciones tecnológicas. Por ejemplo, es muy relevante el que ciertos proyectos como el sistema operativo Debian, en la actualidad anclen su práctica en un contrato social con su comunidad. Cómo se entiende la seguridad desde este contexto es crucial, ya que estamos hablando de una cadena de confianza: hay un grupo de personas en que confío que ha auditado los programas que yo voy a instalar en mi computadora. No me estoy bajando cualquier programa de internet, hay una desarrolladora de Debian que eligió ese programa, verificó que ese programa no hace nada malicioso, no incluye publicidad, no recoge mis datos, y los mantenedores del programa me certifican que el programa que yo me estoy instalando se ha construido a partir del código fuente que ellos han revisado. Todo eso ocurre cuando instalo un programa de Debian, Ubuntu, o cualquier otra distribución de GNU/Linux.

Jacobo: Si partimos del hecho que la tecnología es desarrollada por seres humanos, creo que podemos también aproximarnos desde otras herramientas, creo que como punto de partida eso nos pone en otro lugar en el sentido de la perspectiva: por eso partía de la idea de que la tecnología es vulnerable, o digamos puede estar sujeta a que se le encuentren vulnerabilidades, y esas vulnerabilidades dependiendo del contexto, dependiendo de donde estén insertadas pueden ser explotadas, pero en sí mismo podríamos decir que una vulnerabilidad o una falla no necesariamente tendría que ser un problema. Por ejemplo, si pensamos en un lugar que no tiene una puerta, en el contexto en el que estamos puede ser un problema, pero en determinadas formas de convivencia puede no ser un problema. Sin embargo cuando tienes una predominancia en la forma de cómo se capitalizan las vulnerabilidades, la hostilidad en el contexto digital, pues tienes una configuración distinta. Yo creo que el contexto digital es altamente hostil, parece que cada vez es más hostil desarrollar incluso tecnología, es decir las formas en que se establecen los estándares, las formas en las que se construye la expectativa sobre la tecnología, y creo que si regresamos en parte por ese lado, si partimos de que la tecnología es desarrollada por personas, creo que la perspectiva nos puede generar cierta sabiduría, y sobre todo tener las condiciones para construir tecnología que nos permita aprender de nosotros mismos en ese proceso. Es decir, pensar que vamos a seguir desarrollando tecnología y necesitamos andamiajes que nos permitan recorrer y nos permitan transitar.

Hay un aspecto que creo podría en el presente y en el futuro establecer un poco de luz, y creo que tiene que ver con la aceleración. Creo que también tenemos que pensar en la aceleración porque muchas veces la tecnología - no se si en expectativa, no se si en el día a día realmente sea así- , pero parece ser que hay algo muy masivo, ¿no? esta idea de lo inmediato, y quizá en parte la vitalidad de la confianza tiene que ver también con poder explorar otras formas de comunicación. Es decir, quizá tengamos que explorar otras formas de consumo, y otras formas de experimentar la tecnología. No necesariamente dar el mayor peso a la aceleración, porque si no, tenemos soluciones en busca de problemas. Entonces, creo que es la pregunta, y creo que parte del ejercicio es, desde los espacios que quizá nos han permitido aprender sobre esto, comenzar a plantearnos juntas y juntos esta pregunta. Sobre todo porque cada vez la tensión es mayor.

. . .

Como siempre sucede, algunas cosas se nos han quedado en el tintero, como indagar cuáles pueden ser los roles de los gobiernos y de la comunidad internacional ante estos problemas, y en qué medida podría ser útil aplicar normas legales, reglamentarias y de responsabilidad social corporativa. Sin embargo son ejes temáticos que dejamos para las que les interese indagar en ello, que a nosotras se nos acabó el tiempo por hoy.

Les agradecemos habernos seguido una vez más y las esperamos en el próximo programa.

Jacobo: gracias por la curiosidad :)

NUESTRAS FUENTES

EN TEXTO

EN AUDIO

ALGUNOS ENLACES DE INTERÉS