¡°Todo software tiene vulnerabilidades hasta que se demuestre lo contrario¡±

El 19 de mayo de 1998, siete j¨®venes de traje y con nombres inventados se sentaron ante el Congreso de los Estados Unidos para hablar de seguridad inform¨¢tica. Formaban parte del colectivo de hackers ¡ªen este caso m¨¢s ciberexpertos que piratas inform¨¢ticos¡ª conocido como el L0pht y pasaron a la historia del sector por la contundencia de sus advertencias. Cualquiera de ellos ten¨ªa las habilidades para tumbar internet en menos de media hora, avisaron.

Uno de ellos era Weld Pond, conocido en su vida anterior y posterior como Chris Wysopal (Connecticut, 55 a?os). En sus intervenciones de aquel d¨ªa se?al¨® la falta de rendici¨®n de cuentas por parte de las compa?¨ªas de desarrollo de programas inform¨¢ticos y puso de ejemplo el sistema de extracci¨®n de contrase?as que hab¨ªa desarrollado con sus camaradas: ¡°Antes de su lanzamiento, los expertos en seguridad aseguraban que se tardar¨ªa miles de a?os en descifrar una contrase?a de Windows NT ¡ªsistema operativo dirigido a empresas¡ª. Nuestro programa puede hacerlo en d¨ªas e incluso horas¡±.

Pasados 23 a?os de aquella cita, el experto en seguridad inform¨¢tica y cofundador de la plataforma de revisi¨®n de c¨®digo Veracode hace un balance agridulce de la comparecencia: ¡°Est¨¢bamos tratando de crear conciencia de que la gente que estaba construyendo programas inform¨¢ticos pod¨ªan hacer un mejor trabajo y ofrecer sistemas seguros. Desde ese punto de vista, tuvimos ¨¦xito. Las cosas han mejorado, pero no lo suficiente¡±, razona el experto, que intervino la semana pasada en el evento tecnol¨®gico Collision, durante una entrevista por videollamada.

Wysopal vio nacer y crecer la industria de la seguridad inform¨¢tica. En sus inicios busc¨® vulnerabilidades ¡ªproblemas que pueden ser explotados por cibercriminales¡ª leyendo l¨ªnea a l¨ªnea el c¨®digo de los programas y ahora lidera la divisi¨®n tecnol¨®gica de Veracode, una herramienta capaz de detectar estos fallos de forma automatizada y en multitud de lenguajes de programaci¨®n en los productos de m¨¢s de 2.500 clientes. Seg¨²n la ¨²ltima entrega del informe del estado del sector que la compa?¨ªa elabora desde hace m¨¢s de una d¨¦cada, el 24% de las aplicaciones presentan fallos muy graves de seguridad.

Pregunta. ?Necesitamos otra llamada de atenci¨®n?

Respuesta. Nuestra llamada de atenci¨®n fue te¨®rica. Ese es uno de los inconvenientes de la investigaci¨®n en seguridad. Dices que has encontrado unos fallos que pueden ser explotados y asumes que se van a arreglar antes de que alguien haga algo malo con ellos. En aquel entonces, la sensaci¨®n era que nadie m¨¢s pod¨ªa hacer algo as¨ª. Nosotros conoc¨ªamos a un mont¨®n de gente capaz. Sab¨ªamos que no ¨¦ramos especiales. Pero para alguien sin nuestras habilidades, esto parec¨ªa magia negra. En aquel entonces, todo era te¨®rico. La gente no act¨²a sobre teor¨ªas. Pero ahora tenemos ejemplos concretos ocurriendo todo el tiempo. Hace 23 a?os pusimos estas ideas sobre la mesa, pero no ha habido acci¨®n hasta que han empezado a ocurrir ataques realmente devastadores. Por desgracia ese es el modo en que funciona el mundo.

P. Ha seguido insistiendo en la necesidad de que las empresas se responsabilicen de sus productos inform¨¢ticos. ?Ve manera de que dejen de ser los ciudadanos quienes paguen el coste?

R. Es muy dif¨ªcil cambiar eso. Hay mucho programa inform¨¢tico abierto ah¨ª fuera y muchas startups ¨Dempresas tecnol¨®gicas emergentes¨D trabajando en proyectos innovadores que no ver¨ªan la luz si se les pusieran un mont¨®n de restricciones legales.

Adem¨¢s, es muy complicado que el consumidor promedio pueda marcar la diferencia porque no tiene influencia econ¨®mica. Pero por ejemplo, el gobierno de los Estados Unidos o las grandes empresas tienen una ventaja econ¨®mica tremenda. Si ellos hacen que los fabricantes creen mejores programas, los consumidores notar¨¢n el impacto. Lo mejor que los usuarios individuales pueden hacer es asumir que sus aplicaciones son vulnerables y asegurarse de actualizarlas.

P. ?Seguimos exigiendo menos a los bienes y servicios digitales que a lo f¨ªsico?

R. S¨ª. Las tratamos de forma diferente, pero tienen valor y pueden da?arnos. Creo que ahora que el software est¨¢ cruzando al mundo f¨ªsico, empezamos a entenderlo. Hablamos de infraestructuras cr¨ªticas como presas y centrales el¨¦ctricas, y eso lo hace m¨¢s real. El lado malo de lo virtual se est¨¢ volviendo m¨¢s relevante para la gente normal, porque estamos utilizando la tecnolog¨ªa de otra manera.

P. ?Puede una herramienta como Veracode detectar cualquier tipo de vulnerabilidad?

R. El viejo tipo de ciberdelincuente que hinca los codos y profundiza en una peque?a parte de un programa inform¨¢tico a¨²n puede encontrar cosas que son ¨²nicas y que no detectamos a escala. Ese miedo sigue ah¨ª. Pero lo que intentamos hacer es quitarnos de encima las otras cien cosas que sabemos resolver. Si no abordas eso, eres una presa f¨¢cil para cualquiera que quiera explotar tu software.

P. ?Siguen siendo necesarias esas revisiones l¨ªnea a l¨ªnea?

Si eres una gran tecnol¨®gica o trabajas con sistemas cr¨ªticos, tienes que hacer ambas: automatizada y manual. Pero no creo que todos los programas lo exijan. Hay miles y miles de proveedores de software. Echa un vistazo a tu tel¨¦fono. Tendr¨¢ un centenar de aplicaciones de diferentes compa?¨ªas. ?Qui¨¦n sabe qui¨¦n las escribi¨®? Ese es el problema que estamos intentando resolver, el de la empresa mediana. Creo que podemos bajar ese 24% de vulnerabilidades muy graves al 1% haciendo todo lo que muchas compa?¨ªas est¨¢n dejando de hacer porque dan m¨¢s prioridad al tiempo que tardan en llegar al mercado o al futuro.

P. ?Complica las cosas la evoluci¨®n de los m¨¦todos y objetivos de los atacantes?

R. S¨ª. En los noventa, la finalidad era sencillamente hacer una demostraci¨®n, o dejar mal a una empresa dejando inservible su p¨¢gina. Ahora las mismas vulnerabilidades se usan para robar datos y monetizarlos. Por eso, el impacto es peor.

P. Tambi¨¦n ha se?alado el c¨®digo abierto como fuente de problemas...

R. La gran ventaja del c¨®digo abierto es que permite a los desarrolladores tener un mont¨®n de funcionalidades disponibles instant¨¢neamente, sin tener que construirlas desde cero, de modo que ahorran tiempo y recursos. El lado malo es que tienes menos control de la seguridad del c¨®digo que est¨¢s utilizando. Hay que monitorizar todas las distintas piezas de c¨®digo abierto que se est¨¢n empleando y actualizarlas si se descubre alguna vulnerabilidad.

Adem¨¢s, es una mayor fuente de problemas, porque lo utilizamos m¨¢s. Es como construir una casa. Si lo haces t¨² mismo, no tienes problemas con los proveedores, pero si tienes a diez personas distintas fabricando distintas partes de tu casa, tendr¨¢s que gestionarlas a todas y asegurar que est¨¢n haciendo un buen trabajo.

P. ?C¨®mo encaja en este nuevo escenario la actividad de grupos como el L0pht?

R. Esa comunidad es superimportante porque hay un mont¨®n de cosas que no podr¨ªan ocurrir en un entorno 100% profesional. Mucha gente que estaba en esto hacia finales de los noventa que ahora ha cruzado al mundo comercial porque para resolver estos problemas tienes que construir algo que la gente pueda comprar y reforzarlo con gente que traje de nueve a cinco. Pienso que el mundo comercial tiene m¨¢s posibilidades de resolver los problemas y la comunidad hacker tiene m¨¢s posibilidades de hacernos conscientes de ellos.

P. Si volvieran a sentarle en el congreso, ?Cu¨¢l ser¨ªa su mensaje?

R. Les dir¨ªa que hagan que los fabricantes rindan cuentas. S¨¦ que pueden hacerlo mejor. Ahora sabemos construir tecnolog¨ªas m¨¢s seguras y m¨¢s resistentes a los ataques. Este fue uno de los mensajes que dimos hace 23 a?os, y creo que est¨¢ empezando a ocurrir ahora. Es incre¨ªble lo lento que cambian las cosas.

Y a los usuarios les dir¨ªa que asuman que todo software tiene vulnerabilidades hasta que se demuestre lo contrario.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter.