Snowden, la película de Oliver Stone sobre Edward Snowden, que se estrenó el viernes 16 de septiembre en Estados Unidos, le recuerda a mucha gente una de las mayores brechas de seguridad de la historia de este país, que fue revelada en junio de 2013.
En ese momento, el periódico británico The Guardian publicó información confidencial sobre la vigilancia electrónica a gran escala a manos de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y del Cuartel General de Comunicaciones del Reino Unido (GCHQ). La información se filtró en los periódicos gracias al exempleado de la CIA Edward Snowden, quien la obtuvo mientras trabajaba como consultor en un centro de operaciones de la NSA ubicado en Hawái (en el que trabajó primero para Dell y luego para Booz Allen Hamilton).
No creo que pueda ver esta película hasta fines de la semana, ya que estoy viajando por Europa, y esta coproducción de los Estados Unidos y Alemania no se estrenará aquí hasta el 22 de septiembre. Pero estoy ansioso de verla por varios motivos, entre los que destaco que he disfrutado de muchas otras películas de Stone, y que el servicio militar que ha prestado me genera un gran respeto. Prometo, entonces, escribir una reseña ni bien la vea, pero ahora quisiera explicar los 4 supuestos más importantes sobre seguridad y privacidad que quedaron refutados por el accionar y las revelaciones de Snowden.
Supuesto 1: las organizaciones pueden preservar la confidencialidad en los medios digitales
Antes de junio de 2013, la mayoría de los estadounidenses que habían oído hablar sobre la NSA sabían que la organización guardaba muchos secretos. Por eso, la mayoría daba por sentado que era un organismo muy seguro, famoso por contratar a las mentes más brillantes del área de la criptografía y de otras disciplinas relacionadas con la seguridad. De hecho, en la declaración de objetivos de la organización queda implícito su carácter secreto: “Proteger los sistemas de seguridad nacional de los EE. UU. y realizar inteligencia de señales extranjeras” (según se registró en la captura de mayo de 2013 de la página de inicio del sitio nsa.gov alojada en archive.org).
ninguna organización puede mantener la confidencialidad si un usuario en el que confía decide violarla
La organización se autodenomina Agencia de Seguridad Nacional / Servicio de Seguridad Central (NSA/CSS), es decir que no esconde su deber inexorable de preservar la seguridad informática del gobierno de los EE. UU. y de la nación entera. De allí su lema: “Defendemos la Nación. Aseguramos el Futuro”.
No resulta extraña, entonces, la repercusión que tuvo el hecho de que Snowden, un profesional de la informática que trabajaba para la NSA como consultor externo, pudiera recabar y filtrar cantidades enormes de información ultrasecreta desde su escritorio del centro de operaciones de Hawái. ¿Cómo lo había logrado? Snowden era un usuario que tenía permisos para acceder a una gran cantidad de sistemas confidenciales, y ninguna organización es capaz de mantener la confidencialidad si un usuario en el que confía decide violarla.
Sin embargo, esta dificultad no es nueva, sino que es anterior al surgimiento de las computadoras y las redes informáticas. Lo que Snowden llevó a cabo muestra que la tecnología ha aumentado exponencialmente las posibilidades de que se filtre información importante. Pensemos en el tiempo, el espacio y los recursos necesarios para copiar, almacenar y trasladar 400.000 hojas de papel desde Hawái hasta Hong Kong, y los necesarios para trasladar 400.000 páginas electrónicas.
Por desgracia, es probable que no todas las organizaciones hayan tenido en cuenta los peligros que supone esta gran transformación digital al definir la manera en la que operan. Podría decir que las operaciones y la estrategia comercial de una empresa corren un gran riesgo si dependen, en alguna medida, de la confidencialidad digital, aun cuando se trate de algo aparentemente trivial, como el intercambio de correos electrónicos sobre los clientes de la empresa cuya difusión pudiera resultar perjudicial. Por lo tanto, sería esperable que, tras la brecha de Snowden, las empresas hayan dejado de almacenar en presentaciones de PowerPoint detalles sobre prácticas sospechosas.
las operaciones de una empresa corren un gran riesgo si dependen de la confidencialidad digital
En definitiva, las empresas deben asegurarse de que, en lo que respecta a los peligros digitales, el análisis del riesgo que conllevan las decisiones comerciales sea integral y realista. La facilidad con la que se pueden hacer y distribuir copias digitales, incluso sin tener mucho conocimiento (por ejemplo, el caso de Manning, exsoldado estadounidense que copió centenas de miles de documentos confidenciales en un CD rotulado “Lady Gaga”), ha creado una realidad muy distinta al mundo analógico en el que nos desenvolvíamos hasta hace solo unas pocas décadas. Si alguien que tiene acceso a información digital confidencial decide compartirla con el mundo, tiene a su disposición cada vez más recursos para hacerlo.
Supuesto 2: los atacantes externos son la peor amenaza
Hoy en día, cualquier sistema informático que esté conectado a Internet puede sufrir ataques externos. Por ejemplo, si se monta un sitio web desde los EE. UU., será cuestión de minutos hasta que algún desconocido sin autorización intente acceder al servidor que utiliza el sitio.
Los atacantes suelen usar direcciones IP registradas en lugares distantes, como China o Ucrania, y que, en realidad, hacen escaneos automáticos para acceder a las computadoras ajenas con intenciones maliciosas. Por eso, en general se cree que hay una mayor probabilidad de que las amenazas a la seguridad informática provengan del exterior. En la práctica, es así desde que las empresas comenzaron a conectar sus sistemas a Internet de manera masiva. Pero no siempre fue así.
Si recorremos la historia de la seguridad informática, veremos que algunos de los primeros “delitos informáticos” fueron obra del personal interno de las organizaciones (escribo el término entre comillas porque algunos delitos se cometieron antes de que existieran leyes que los definieran como tales). La primera persona condenada por dañar información mediante un código malicioso fue un empleado interno de una aseguradora que trabajaba como programador pero, en 1985, después de que lo despidieran, implantó una bomba lógica que había desarrollado para destruir 168.000 registros.
Los aficionados a la historia de la informática ya conocen el debate eterno entre amenazas externas versus internas. El resultado de mi investigación demuestra que este debate comenzó en la década de 1980, cuando un miembro de las fuerzas de seguridad aplicó el principio de Pareto a lo que en ese entonces se llamaba “fraude y abuso informático”, y postuló que el 80% de los ataques eran internos y el 20% eran externos.
Desde 1996, el Instituto de Seguridad Informática (CSI) comenzó a realizar una encuesta anual sobre los delitos y la seguridad informática, en la que un tema recurrente era la proporción de amenazas externas en relación con las internas. ¿Podrían las amenazas externas superar en algún momento a las internas?
A medida que los sistemas internos se abrían al mundo exterior, y que se multiplicaban los casos de ataques externos (es decir, que atacantes ingresaban en las computadoras de las empresas), los profesionales de la seguridad se vieron ante un dilema que sigue vigente en nuestros días: cómo lograr que las organizaciones mejoraran las defensas frente a atacantes externos sin perder de vista las amenazas internas. Sobre este tema escribí un ensayo como parte de mi posgrado en seguridad y gestión del riesgo, del que compilé algunas notas y referencias útiles para los interesados en esta cuestión. El dilema persiste y Snowden nos recuerda lo perjudicial de hacer caso omiso a las amenazas internas.
Supuesto 3: las comunicaciones digitales son privadas y seguras
Algunos de mis amigos que tienen más experiencia en seguridad informática siempre dieron por sentado que podían interceptarse todas sus comunicaciones digitales. Por mi parte, recuerdo que cuando el correo electrónico era una novedad, siempre les aconsejaba a mis lectores que no enviaran un correo que no querrían que su madre leyera. Ese consejo estaba más relacionado con la poca fiabilidad que tenían los sistemas y los usuarios de correo electrónico que con la vigilancia ejercida por el Estado.
los ciudadanos no estaban preparados para enterarse de que su propio gobierno los espiaba masivamente
Pero, a fines de la década de 1980, mientras realizaba la investigación para mi primer libro sobre seguridad informática, había conseguido estudiar en detalle todo lo que podía sobre el accionar de la NSA y del GCHQ (recuerdo que llamé al GCHQ, con gran ingenuidad, para pedir información sobre el programa TEMPEST y que me respondieron: “No sé de qué me habla, señor, y ¿cuál dijo que era su nombre?”). Leí los libros The Puzzle Palace de Bamford e Information Warfare de Schwartau y todo lo que pude recabar sobre el programa ECHELON. Sin embargo, me di cuenta enseguida de que la mayoría de los ciudadanos estadounidenses y británicos no estaban preparados para enterarse de que su propio gobierno los estaba espiando masivamente.
Así fue que, en algunos círculos, hubo muchas personas que sintieron que se corroboraba su hipótesis conspiracionista cuando Snowden comenzó a filtrar los documentos internos de la NSA y del GCHQ a la prensa. Por fin tenían pruebas firmes de las sospechas que muchos se habían guardado para sí por temor a que se los considerara paranoicos. Sí, era verdad, los gobiernos tenían organizaciones dedicadas a monitorear todas las comunicaciones digitales, cuya finalidad era “recopilarlas a todas”, como expresó el General Keith Alexander, quien estaba a cargo de la NSA/CSS en ese momento.
A medida que iban surgiendo nuevas revelaciones sobre esta vigilancia masiva secreta en la segunda mitad del año 2013, muchas reacciones usuales del momento podrían resumirse en la frase “si no hiciste nada malo, no hay de qué preocuparse”. Hay miles de razones por las que no sirve ese argumento, pero analicemos por lo menos una: si acumular información sobre las personas en un soporte digital es arriesgado, aun si se hace de manera legítima (o, si no, pregúntenles a las víctimas de violación a la información), ¿cómo podemos asegurarnos de que esta información esté libre de cualquier perjuicio?
Supuesto 4: las innovaciones tecnológicas seguramente solucionarán estos problemas
Las revelaciones de Snowden no llegaron a su fin, como tampoco los intentos de la NSA de preservar sus secretos, incluyendo el hecho de que, en pos de lograr sus objetivos, intenta subvertir algunos productos comerciales. Hace poco vimos salir a la luz algunos de sus métodos de hacking, lo que nos recuerda que no todo el malware es desarrollado por bandas delictivas ubicadas en tierras extranjeras, sino que nuestro propio gobierno escribe e implanta código diseñado para acceder a sistemas confidenciales, del mismo modo que lo hacen los delincuentes. Este código malicioso no se transforma en algo benigno por el solo hecho de que el gobierno crea tener derecho a acceder a tal o cual sistema.
Por ese motivo, decidí denominarlo “malware legítimo” en el artículo “Malware is called malicious for a reason: The risks of weaponizing code”, que escribí en colaboración con Andrew Lee, investigador en seguridad informática de gran trayectoria y actual CEO de la rama norteamericana de ESET (el paper está disponible en IEEE y también se puede descargar como PDF desde el sitio web del Centro de Excelencia para la Ciberdefensa Cooperativa de la OTAN).
no todo el malware es desarrollado por bandas delictivas en tierras extranjeras; nuestro propio gobierno escribe e implanta código para acceder a sistemas confidenciales
El término “malware legítimo” es un oxímoron que intenta mostrar que la legitimidad es subjetiva: todo depende de si uno es el desarrollador del código o el propietario del sistema en riesgo. Precisamente, una de las lecciones más importantes que aprendemos de las revelaciones de Snowden es que, si autorizamos a alguien a actuar en secreto y le adjudicamos un presupuesto considerable, no podemos suponer que, por ser buena persona, va a hacer lo correcto, de la forma correcta y sin consecuencias perjudiciales. Más allá de que la NSA y el GCHQ hayan violado alguna ley o no, mi conclusión es que sí socavaron la confiabilidad de la tecnología digital en términos de privacidad y seguridad, lo que podría atentar contra la esperanza de tener un mejor porvenir a través de esta tecnología.
¿Qué obtenemos si sumamos además el problema de los delitos informáticos y la escasez de trabajadores capacitados para el manejo de sistemas? Obtenemos una mayor probabilidad de acabar en situaciones poco prometedoras. Sin dudas, podemos dar con un mundo que avanza con dificultad, siempre frustrado por delincuentes informáticos oportunistas que violan sin cesar generación tras generación de sistemas fallidos. O quizá tengamos una economía mundial que no pueda salir de la recesión porque la sociedad le ha dado la espalda a la productividad que prometían generar las tecnologías digitales, cuyos beneficios cayeron en el olvido a causa de los incesantes delitos informáticos y de la vigilancia irrestricta del gobierno.
No sé si la película Snowden dará cuenta o no de alguna de estas posibilidades, pero prometo verla y comentarla lo antes posible. Mientras tanto, quienes la hayan visto pueden compartir sus opiniones en la sección de comentarios.