Si miras al ¡®hacker¡¯, no ves el agujero
La noticia no es que hayan detenido a un sofisticado genio del crimen. La noticia es la vulnerabilidad del servidor donde se guardan todas las causas del Consejo General del Poder Judicial
El mercado de vulnerabilidades (exploits, zero-days, puertas traseras, agujeros que permiten entrar sin consentimiento en un sistema operativo, aplicaci¨®n o red comercial) no hace m¨¢s que crecer. Los m¨¢s peligrosos son los que permiten entrar en los sistemas comerciales de control industrial, como los que fabrican Siemens y Schneider Electric. Pero tambi¨¦n son los m¨¢s dif¨ªciles. Los m¨¢s cotizados son aquellos que permiten entrar en los principales sistemas operativos comerciales (Android, iOS, Microsoft) de forma global, invisible y remota, sin acceso f¨ªsico al dispositivo. Por eso, la mayor ambici¨®n de un adolescente aficionado a la seguridad inform¨¢tica ya no es salir en los peri¨®dicos o fichar por Google, Oracle o el Ministerio de Defensa. Es encontrar una puerta trasera a los Android o iPhone para vend¨¦rsela por un mill¨®n de d¨®lares al NSO Group. La culpa la tienen las autoridades. Explico brevemente por qu¨¦.
Hist¨®ricamente, el incentivo principal de los hackers hab¨ªa sido el prestigio que ganaban encontrando y se?alando vulnerabilidades, para verlas parcheadas en lugar de ser explotadas silenciosamente durante a?os por esp¨ªas, Estados rivales y ciberdelincuentes de verdad. En un mundo perfecto, los hackers son una capa importante del sistema inmunol¨®gico de la Red. Es humillante para las empresas, administraciones y multinacionales cuyos agujeros se destapan, pero las obliga a proteger mejor sus servicios y es m¨¢s barato que pagar una auditor¨ªa de seguridad. Al final, todo el mundo gana. En nuestro ecosistema, sin embargo, el acceso no autorizado a un sistema inform¨¢tico ha sido perseguido como delito, independientemente de su intenci¨®n.
La escena hacker espa?ola es rica en persecuciones y demandas a hackers, perseguidos por denunciar vulnerabilidades. Hay casos emblem¨¢ticos como el de Alberto Garc¨ªa Illera, demandado en 2012 por denunciar fallos en las m¨¢quinas expendedoras de billetes de Metro de Madrid y Renfe, que terminan en absoluci¨®n, pero despu¨¦s de un proceso disuasorio que contagia al resto de la escena. Ten¨ªan que surgir alternativas al martirio y surgieron varias. Por un lado, est¨¢n los programas de recompensas (bug bounties) que ofrecen empresas como Google, Microsoft, Facebook o Apple por encontrar un agujero de seguridad. Los premios son variables y el proceso requiere entregar el ¡°bot¨ªn¡± sin garant¨ªa de recibir recompensa. Si rechazan el ¡°producto¡±, es imposible saber si el agujero fue parcheado o no. Pero al menos sabes que el agujero no caer¨¢ en malas manos y que la empresa no tomar¨¢ medidas legales contra ti. La otra opci¨®n es un oscuro mercado de br¨®kers donde se subastan las vulnerabilidades al mejor postor.
El segundo paga m¨¢s, pero tiene grandes desventajas. Es peligroso, te pueden trincar. Y, si tienes un m¨ªnimo de conciencia, nunca sabes si tu bot¨ªn servir¨¢ para que un Gobierno totalitario acose activistas a trav¨¦s de la plataforma Pegasus o para que un grupo organizado de ciberdelincuentes extorsione hospitales durante una pandemia. Pero a¨²n m¨¢s: no lo puedes contar. El precio de forrarte es que nadie puede saber lo genio que eres y de lo que eres capaz.
La primera regla del mercado de vulnerabilidades es que no se habla del mercado de vulnerabilidades. Un br¨®ker llamado The Grugq dio una entrevista en Forbes contando c¨®mo funcionaba el mercado y presumiendo de ganar un mill¨®n al a?o. Al d¨ªa siguiente su negocio se esfum¨®. Hay marcos que trascienden a esa regla. Las empresas como NSO mandan scouts a ciertos congresos de hackers donde se exponen exploits conocidos con la esperanza de vender los m¨¢s frescos al mejor postor. Pero sabemos que Alcasec, el ¡°ciberdelincuente m¨¢s buscado de Espa?a¡±, hab¨ªa hackeado a la Polic¨ªa Nacional, a Bicimad, Burger King y que ten¨ªa una base de datos robados de millones de personas porque contaba sus haza?as en el podcast Club 113. La noticia no es que la polic¨ªa haya detenido a un sofisticado genio del crimen. La noticia es lo fr¨¢gil que es el servidor donde se guardan todas las causas del Consejo General del Poder Judicial.
Dicen que, cuando se?alas, los tontos te miran el dedo. La ret¨®rica del ¡°peligroso ciberdelincuente¡± nos distrae de lo d¨¦bil que sigue siendo la protecci¨®n de los datos administrativos en Espa?a. En 2017, el Ministerio de Justicia denunci¨® al hacker que hab¨ªa descubierto y denunciado un fallo en la configuraci¨®n de LexNET, el servicio online del organismo para compartir documentos de los procesos penales. El agujero era tan grave que dejaba todos los ficheros de la administraci¨®n de la justicia espa?ola al descubierto, permitiendo modificaciones, adem¨¢s de acceso a la informaci¨®n. Si seguimos centr¨¢ndonos en el hacker, en lugar de invertir tiempo, recursos y energ¨ªa en garantizar la seguridad de las plataformas que recogen nuestros datos, estamos expuestos a peligros mayores que un amigo del Peque?o Nicol¨¢s.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
