Por Leandro Africano
La seguridad de la información corporativa, individual y del Estado nunca tuvo tanto interés como en estos días. La pelea judicial entre Apple y el FBI por el acceso a los datos encriptados de un iPhone, el robo de información de la compañía de seguros de salud estadounidense Anthem, el hackeo de los datos de tarjetas de créditos de la compañía de retail Target y la publicación de los usuarios del sitio de citas Ashley Madison son solo algunos de los casos que en los últimos meses protagonizaron diferentes compañías y que les permitieron a los oradores y expositores de la nueva edición de RSA Conference en la ciudad de San Francisco mantener el tema de la inseguridad bien en alto.
Amit Yoran, presidente de RSA, compañía que organiza el encuentro en el que participa toda la comunidad que ofrece soluciones y productos para la seguridad de la información, inauguró el encuentro y dejó en claro “el paradigma general informático no se puede asegurar. Hay un conjunto de sistemas complejos interconectados. Y con la aparición de IoT el problema solo va a aumentar. Por lo tanto, dedicarnos tan solo a predecir es un error. Según datos de la consultora internacional Gartner, en 2020, 60% de los presupuestos de seguridad de las empresas estarán destinados a la detección y respuesta rápida, por lo que nos dirigimos hacia un error”.
Según el punto de vista de la compañía, “en esta nueva etapa es necesario hacer hincapié en el seguimiento y la respuesta. No hace falta decir que el sistema de contraseñas ha fracasado totalmente. Por eso, además de gestionar y autenticar nuestras identidades, tenemos que controlar y gobernar de manera efectiva”. Yoran hizo foco en el tema de la “visibilidad del análisis de la captura completa sobre lo que está sucediendo en nuestras redes. Tenemos que entender la telemetría que podemos obtener de nuestros puntos finales para ver exactamente lo que está sucediendo en nuestro entorno. Los registros simplemente no son suficientes. La visibilidad integral es el bloque de construcción básico para obtener un análisis verdaderamente interesante y de alcance sobre los hechos, de manera apropiada”.
Amit Yoran
¿Problema de tecnología?
Para muchos oradores y expositores de la conferencia lo importante es pensar tal y como lo hacen los hackers y ser igual de creativos y pacientes. “La solución es simple, vamos a aprovechar nuestras propias creatividades inteligentes y nuestros analistas pensarán y rastrearán a nuestros oponentes para darles caza”.
“La construcción de muros más altos y fosos más profundos no está resolviendo nuestros problemas”, explicó a Mercado Kayvan Alikhani, Senior Director of Technology de RSA. “La forma de pensar de construir un perímetro todavía se aferra a nosotros. En nuestro caso decimos que esta forma de proteger nuestros sistemas está muerta y agregamos que el adversario está en el interior, pero no cambiamos nuestras acciones. El error más común cometido por profesionales de la seguridad es pasar por alto incidentes y apresurarse a limpiar antes de entender plenamente el alcance del incidente y el objetivo de la campaña”, expresó.
Rogerio Morais, vicepresidente de América Latina de RSA explicó a Mercado que “el panorama de las amenazas actuales muestra que es momento de cambiar las reglas, incidentes como el robo de información sensible del sitio de citas secreto para personas casadas, Ashley Madison o el caso de Juniper Networks, compañía dedicada al desarrollo de ruteadores y gestión de redes, cuando develó que un agujero de seguridad se instaló de manera desconocida en su sistema operativo; son claras señales de cambio en el rubro de seguridad”. La opción, de acuerdo a la firma RSA es migrar de la tecnología de prevención a una seguridad de “visibilidad completa y analítica” en el que el futuro de la seguridad recaerá en la visibilidad analítica obteniendo y viendo una imagen completa de lo que sucede. Esta es la base para obtener una verdadera visión analítica y evaluar los complejos incidentes de manera correcta”, especificó Morais.
RSA, compañía que pertenece a EMC y que a su vez el año pasado fue adquirida por Dell, organiza esta conferencia desde hace 25 años y ha logrado en esta edición convocar a unas 40.000 personas batiendo récords de audiencia y participación. Para el cierre de la conferencia inaugural el presidente de la compañía recurrió a un discurso en el que interpeló a la comunidad: “La seguridad no es para los débiles de corazón. El mundo cibernético es un lugar peligroso, pero no uno que puede ser evitado. Si vamos a sobrevivir, tenemos que seguir los mismos procesos rigurosos en la planificación y preparación”, dijo Yoran. “Vamos a reclamar nuestra herencia de curiosidad intelectual y a reavivar ese espíritu loco y creativo que trae diversas perspectivas. Recuerde: usted es cómo se comporta. Nuestra industria necesita despertar, así que: ¿qué va a hacer de manera diferente este año?”.
¿A quién reportar?
Uno de los temas centrales que se planteó en la RSA Conference 2016 fue la relación entre los responsables de áreas y los altos ejecutivos que conducen las compañías. La seguridad de la información ocupa ahora el centro en las agendas de los directorios de las organizaciones, pero la mayoría de los directores de seguridad de la información (Chief Information Security Officer, CISO) aún tienen que ganarse un lugar en la mesa. De acuerdo con un estudio realizado por ISACA y RSA Conference, 82% de los profesionales de seguridad de la información y de ciberseguridad consultados en la encuesta señala que la junta directiva de sus empresas está preocupada o muy preocupada por la ciberseguridad, pero solo uno de cada siete (14%) de los CISO reporta al gerente general.
Esta brecha entre la creencia y las acciones en los más altos niveles de la gerencia se está manifestando en un ambiente donde 74% de los profesionales de la seguridad esperan un ciberataque en 2016 y 30% experimenta ataques de phishing (robo de identidad) todos los días, de acuerdo con el estudio Estado de la Ciberseguridad de ISACA/RSA Conference. “Si bien hay indicios de que los ejecutivos de nivel C (en inglés hace referencia a cada chief) entienden cada vez más la importancia de la ciberseguridad, todavía hay oportunidades para mejorar”, dijo Jennifer Lawinski, editora en jefe de RSA Conference. “La mayoría de los CISO todavía son subordinados de los directores de TI, lo que demuestra que la ciberseguridad se considera un asunto técnico más que un asunto comercial. Esta encuesta pone de manifiesto la discrepancia que existe para proporcionar una oportunidad de crecimiento para la comunidad de InfoSec en el futuro”.
La brecha de habilidades en lo que se refiere a la ciberseguridad plantea sus propias amenazas para mantener una empresa segura. El año pasado se produjo una caída de 12 puntos en el porcentaje de profesionales de la seguridad que tienen confianza en la capacidad de su equipo para detectar y responder ante incidentes, lo que representa una reducción de 87% en 2014 a 75% en 2015. Entre ese 75%, seis de cada 10 profesionales no creen que su personal pueda manejar asuntos que vayan más allá de los incidentes de ciberseguridad básicos.
Además, la cantidad de profesionales que afirman que menos de la mitad de los candidatos laborales se consideraron “calificados al momento de la contratación” ha aumentado de 50% a 59% en un año. 27% de los empleados necesita seis meses para poder ocupar un puesto de ciberseguridad, lo cual representa un aumento de tres puntos en comparación con 2014.
“La falta de confianza en los niveles actuales de habilidades de ciberseguridad mostró que los enfoques convencionales de capacitación son deficientes”, afirmó Ron Hale, director de Investigación de ISACA. “La capacitación práctica y basada en habilidades es fundamental para cerrar la brecha de habilidades de ciberseguridad y desarrollar efectivamente una fuerza laboral cibernética sólida”.
El debate del momento
Como era de esperar la pelea entre Apple y el FBI por el pedido de facilitar el acceso al iPhone de uno de los autores del atentado en la ciudad de San Bernardino se coló en la RSA Conference. La compañía de California se ha negado a modificar el sistema operativo de sus móviles y tabletas para que las autoridades policiales puedan acceder a los datos del iPhone 5C propiedad del autor del tiroteo. La decisión de la empresa de la manzana y la carta de Tim Cook, su consejero delegado, abrieron un debate sobre las implicaciones que tiene tanto su rechazo a la colaboración como la propia petición del FBI. Pero causó mucho más revuelo cuando en mitad de la conferencia la Justicia le dio la razón a Apple.
La compañía se ha involucrado en más de 70 casos en los que se le ha pedido ayuda para obtener contenido de aparatos suyos que pueden ayudar a resolver delitos. Apple se ha negado, sin embargo, a cambiar su sistema operativo para que el FBI pueda acceder a cualquier dispositivo de la firma sin necesidad de pedirles ayuda con una orden judicial en la mano.
En inglés se llama backdoor (puerta trasera) a ciertos atajos en los programas informáticos para poder acceder a datos. En ocasiones son errores de programación, que suelen explotar los hackers para acceder. Otras, es deliberado de modo que se provea de acceso solo a algunos usuarios. El FBI le pedía a Apple una pasarela para acceder a esa puerta trasera.
Tanto los sistemas operativos de Apple como de Google en las versiones de los últimos cuatro años funcionan con capacidad de encriptación de la información. Sirve para añadir una capa extra de protección al contenido de los usuarios, de modo que no sea sencillo sacar los datos personales en caso de pérdida o extravío. Es necesario saber la clave personal para poder acceder.
Desde Microsoft dejaron en claro la posición de la empresa sobre el caso Apple y las consecuencias que puede acarrear abrir una puerta trasera que permita a los Estados descifrar dispositivos en nombre de la seguridad. Esta vez ha sido Brad Smith, presidente y director legal de la compañía, que en su conferencia en San Francisco aseguró que “el camino al infierno se inicia abriendo ‘la puerta trasera” y que puede servir de salvoconducto para que el Gobierno norteamericano acceda a cualquier dato de los dispositivos de los ciudadanos”.
El empresario, que defendió esta postura ante el Congreso de Estados Unidos, ha destacado la necesidad de mantener “un cifrado fuerte” que mantenga intactos los derechos de los ciudadanos.
Además, Smith ha revelado que, tras los atentados de París de 2015, su compañía recibió 14 peticiones de información sobre posibles sospechosos terroristas. Ante tal horizonte, ha expresado la obligación del estado de actualizar la legislación. “Podemos hacer algo mejor en materia de leyes. Estamos en el siglo 21 y no nos hemos actualizado”.
Adi Shamir es la “S” de RSA, y el autor del primer sistema de cifrado de clave pública que diseñó en 1978 junto con Ron Rivest y Len Adleman. Además de ser el padre del algoritmo asimétrico más usado en la actualidad, también es de las pocas personalidades del mundo de la seguridad de la información que se posicionan a favor del FBI en el caso contra Apple.
“No tiene nada que ver con poner una trampilla en millones de teléfonos de todo el mundo”, explicó Shamir en una mesa redonda de la RSA Conference. “Este es un caso en el que está claro que esas personas son culpables. Están muertos; sus derechos constitucionales no están comprometidos. Se trata de un delito grave por el que murieron 14 personas. El teléfono está intacto. Todo esto se alinea a favor de la FBI”.
Además, algunos miembros del Gobierno han participado también en la conferencia. La procuradora general de los Estados Unidos, Loretta Lynch, pidió encontrar un “terreno común” del que ambos actores salgan satisfechos. Sin embargo, su posición es que la empresa debe cumplir con las instituciones. “El término medio es hacer lo que exige la ley. Que hagan de una vez lo que han estado haciendo durante años”, dijo Lynch. Por su parte, Mike Rogers, director de la NSA (Agencia Nacional de Seguridad), ha dicho que el Gobierno no puede actuar sin la colaboración del gigante tecnológico. Rogers ha subrayado que lo importante es “limar asperezas”, y encontrar respuestas comunes que sirvan al país y que den respuesta a “qué hacer cuando nos sentimos atacados”.
Entre la espada y la pared
El trasfondo de la pelea entre Apple y el Gobierno
Si a la firma tecnológica la obligan a violar su propio sistema de seguridad para poder entrar al interior de un teléfono que la compañía había asegurado era inviolable, la supuesta seguridad en un futuro se hace pedazos. Si todos los dispositivos nos pueden vigilar y todos ellos pueden ser “pinchados”, nadie podrá nunca tener una verdadera conversación privada.
En realidad Apple se encuentra acorralada ante una demanda del FBI. El buró le exige que le ponga a los iPhones una especie de puerta trasera para poder entrar en caso de que lo necesite por “razones de seguridad”.
El CEO de Apple, Tim Cook, dice que la aplicación de esta disposición “no tiene precedentes en la historia de Estados Unidos y afirma que una exigencia de ese tipo debe ser debatida en el Congreso y no en los juzgados del país.
En este caso particular, quieren entrar al teléfono de uno de los asesinos en la matanza de San Bernardino, Syed Farook. Tim Cook responde que el pedido es escalofriante, peligroso y sin precedentes.
En realidad, el caso podría llegar hasta la Corte Suprema, porque la ley que se está invocando fue firmada por George Washington en 1789 y da a las cortes de Estados Unidos amplia competencia para situaciones legales no comunes para emitir una orden que sea “necesaria o apropiada para acudir en ayuda de sus respectivas jurisdicciones de acuerdo con los usos y principios de la ley”. La ley en cuestión se llama “All Writs Act”.
El proceso se desencadenó a mediados de febrero pasado. Apple fue citada ante la corte donde su intención fue demostrar que crear el software que le piden sería no solamente una carga absurda para la compañía. Más importante, su intención fue impugnar las bases sobre las cuales aquella ley fue redactada.
¿Qué le pide el Gobierno? Que escriba un programa de software que permita al FBI entrar por la fuerza a un dispositivo usando muchas contraseñas posibles hasta que logre la correcta. Esa herramienta podría hacer tres cosas: inhabilitar la función de auto-borrado que hace desaparecer todos los datos guardados en un iPhone cuando se pone una contraseña equivocada más de 10 veces. Segundo, superar el mecanismo automático de demora que pone límites a la velocidad con que se pueden probar nuevas contraseñas; y tercero, crear nuevas formas para que el FBI pueda introducir electrónicamente contraseñas posibles y así acelerar la prueba de diferentes posibilidades. O sea que el FBI quiere impedir que el teléfono se autoborre. Quiere automatizar el proceso de probar diferentes combinaciones hasta encontrar la contraseña pero hacerlo sin perder mucho tiempo y controlar el proceso aunque no sepa cómo se hace.
Antes de entregarles el software, Apple también debería introducir en los dispositivos un identificador de 12 dígitos.
La respuesta de Apple
La firma de Cupertino considera que el pedido supera toda lógica. Sería un desastre para la compañía y también para la seguridad de la sociedad entera. Quien consiga ese identificador de 12 dígitos podría abrir cualquier iPhone. Sería colocar deliberadamente una vulnerabilidad en un aparato que luego alguien puede violarlo. El identificador sería como tener una llave maestra para abrir un iPhone.
En una carta a sus usuarios Cook dijo que no desea introducir lo que en tecnología se conoce cómo “puerta trasera” aunque los propósitos enunciados sean por un buen fin.
Además del FBI otros organismos del Estado podrían pedirle a un juez autorización para usar el software para indagar casos que nada tienen que ver con el terrorismo. Y no solo en Estados Unidos, en cualquier país donde se venda el iPhone.
Los efectos de una cosa así, especialmente en China, serían catastróficos. Google se tuvo que ir de ese país por negarse a aceptar las exigencias de censura del gobierno.
Peor además, ¿Cómo estar seguros de que esa llave maestra está a buen recaudo? Ese software sería tan valioso al permitir introducirse en cualquier iPhone que atraería a los hackers y a los servicios de seguridad como la miel a las moscas. También, con que haya un solo empleado disgustado con la empresa, existiría la posibilidad de que lo filtre desde adentro. Y entonces, andaría suelta por el mundo una nueva herramienta para hackear el iPhone.
Apple pidió a la corte, a finales de febrero, que se desestime la demanda judicial que la obliga a ayudar al gobierno a hackear un iPhone. Cita en su pedido una serie de temas de orden legal.
En primer lugar dice que la ley que cita el FBI, The All Writs Act, para obligar a la obediencia, no da a los jueces el poder para ordenar el tipo de ayuda que quiere el gobierno. En primer lugar porque significaría un problema muy pesado para Apple.
Luego cita la primera y quinta enmiendas a la Constitución para explicar que este no es este un caso para que lo decida un juez porque sentaría un precedente alarmante. “No se trata de hackear un teléfono”, explica el abogado de Apple, “se trata de que el Departamento de Justicia y el FBI buscan, a través de la corte, conseguir un poder peligroso que el Congreso y el pueblo de Estados Unidos no le han concedido: la posibilidad de obligar a empresas como Apple a debilitar la base de seguridad y el interés de privacidad de cientos de millones de individuos en todo el globo”.
