Con el fin de julio llegaron los veinte años de la conferencia conocida como Black Hat USA, la gran peregrinación hacia Las Vegas de profesionales de la seguridad informática que ocurre cada verano.
Nombrada irónicamente como los informáticos criminales de quienes los expertos en ciberseguridad se defienden cada día (y algunas noches), Black Hat se ganó rápidamente una buena reputación por su excelente contenido técnico.
Tiene lugar justo antes de la conferencia de hackers original de las Vegas: DEF CON. De hecho, Black Hat surgió de DEF CON como una versión más "respetable" hecha a mitad de semana, de manera que fuera más fácil para los profesionales de seguridad obtener aprobación de viajar en sus empresas, en contraposición a un alocado fin de semana llamado DEF CON.
los seres humanos siempre usaron tratados y convenciones para promover el buen comportamiento
En 2017, DEF CON cumplió 25 años y llevó al Caesar’s Palace una marea de camisetas oscuras y pantalones cargo. ¿Cuántos miles de personas había? No lo sé, pero digámoslo así: por momentos, había largas filas para subir a las escaleras mecánicas que permitían salir del área de eventos.
Una forma en la que Black Hat prosperó fue convirtiéndose en el lugar elegido por los investigadores de seguridad que buscan mostrar nuevas formas de hackear algo interesante, como automóviles, cajeros automáticos o bombas de insulina.
Pero estos eventos no se tratan solo de romper o comprometer cosas; en este artículo hablaré de una de las charlas de este año que lo demostró de manera efectiva.
Por cierto, si quieres leer sobre el aspecto de exposición de vulnerabilidades y ataques de Black Hat, lee la cobertura de mi colega Cameron Camp, que también asistió. Y para ser claro, en este evento se puede aprender mucho sobre cómo derrotar a las nuevas amenazas, incluso cuando se están presentando.
¿En qué parte del ciberespacio están las normas?
Si tu trabajo tiene que ver con proteger información sensible o asegurar que la cantidad adecuada de información esté disponible para las personas adecuadas en el momento adecuado, entonces Black Hat puede hacerte sentir agobiado y atormentado.
Tantas amenazas y tantos vectores de ataque contra los escasos recursos de seguridad de tu organización... Claro, todo eso no sería un problema tan grave si el ciberespacio solo estuviera poblado por ciudadanos digitales respetuosos de la ley que acatan normas civilizadas.
el mundo todavía no se puso de acuerdo en cuáles son las normas en el ciberespacio
Me refiero a las normas como estándar de comportamiento aceptable. Claro que, como dijo uno de mis músicos favoritos, "sin desviación de la norma, el progreso no es posible". Pero también es cierto que, sin normas, el progreso no se puede sostener. Entonces, ¿cuáles son las normas en el ciberespacio y quién las va a hacer cumplir?
Una mirada a cualquier listado reciente de noticias de ciberseguridad te dirá que el mundo todavía no se puso de acuerdo en cuáles son las normas en el ciberespacio. Robar propiedad intelectual como películas o series y exponer información privada son cosas aparentemente cool en algunos círculos.
Lograr un acuerdo a nivel generalizado de que estas cosas no se deben tolerar claramente llevará mucho tiempo, y requerirá de algunas mentes brillantes. Y aquí es donde hay buenas noticias.
Este año, algunas mentes brillantes se juntaron para resolver este problema. La Comisión Mundial sobre la Estabilidad del Ciberespacio (Global Commission on the Stability of Cyberspace o GCSC, en inglés) fue lanzada en febrero de 2017 con el objetivo de "ayudar a promover la concientización y el entendimiento mutuo entre las diversas comunidades del ciberespacio trabajando en temas relacionados con la ciberseguridad internacional".
Sobre la GCSC
Los miembros de la GCSC son un grupo impresionante, incluyendo los tres copresidentes: Michael Chertoff, Secretario del Departamento de Seguridad Nacional de los Estados Unidos de 2005 a 2009; Marina Kaljurand, ex canciller estonia y embajadora de Estonia en varios países, entre ellos Estados Unidos y Rusia; y Latha Reddy, la ex Asesora de Seguridad Nacional de la India.
La Comisión confía en que puede hacer una contribución seria "a una tarea global esencial: apoyar la coherencia de las políticas y las normas relacionadas con la seguridad y la estabilidad en y del ciberespacio".
Fue iniciada por dos grupos de reflexión independientes, el Centro de Estudios Estratégicos de La Haya (HCSS) y el EastWest Institute (EWI). Los socios fundadores incluyen los gobiernos de Singapur y los Países Bajos, así como Microsoft. Los patrocinadores incluyen la Sociedad de Internet (ISOC) y el gobierno de Estonia.
Entonces, ¿qué tiene esto que ver con Black Hat? Bien, los primeros partidarios del GCSC incluyen a la conferencia, y ellos organizaron una reunión de la Comisión durante Black Hat USA 2017. Esto incluyó una charla titulada "Desafíos de la cooperación a través del ciberespacio", y contó con la participación de cinco miembros: Marina Kaljurand, Joseph Nye, Bill Woodcock, Khoo Boon Hui y Wolfgang Kleinwachter.
La sesión del panel fue moderada por Jeff Moss. Más conocido en algunos círculos como DT o Dark Tangent, Jeff es no solo el fundador de DEF CON y Black Hat, sino que también es miembro vitalicio del Consejo de Relaciones Exteriores y miembro del Consejo de la Agenda Global de ciberseguridad del World Economic Forum.
Sobre escepticismo y esperanza
Todos los panelistas presentaron sus opiniones sobre las perspectivas de establecer y hacer cumplir las normas en el ciberespacio. Todos expresaron su esperanza, aunque a distintos niveles, de que se pudieran alcanzar acuerdos internacionales para reducir el ciberconflicto y desalentar el cibercrimen.
Varios citaron el hecho de que, durante cientos de años, los seres humanos han utilizado tratados y convenciones como una estrategia para limitar los comportamientos dañinos y promover el buen comportamiento. Aunque ha habido muchos fracasos y violaciones de tratados, el efecto ha sido positivo en áreas como armas químicas, minas antipersona y armas nucleares.
Como el presidente de Microsoft, Brad Smith, observó a principios de este año, la Convención de Ginebra definitivamente ha ayudado a salvar vidas civiles en tiempos de guerra. Esto implica que los esfuerzos por acordar y hacer cumplir las normas en el ámbito cibernético son al menos dignos de contemplación.
No creo que nadie en el escenario haya dudado en cuanto al nivel de escepticismo con el que se encontrará cualquiera de sus propuestas para llevar la ley y el orden al ciberespacio. Yo mismo he experimentado este escepticismo cuando, en varias conferencias y eventos de networking, propuse la idea de un "tratado de prohibición de pruebas de malware". He oído todo, desde "no va a suceder" a "buena suerte con eso".
Huelga decir que estaré siguiendo de cerca a la GCSC e informando sobre los nuevos desarrollos. Puede haber oportunidades para que los expertos de la industria, los investigadores y el público en general se involucren. Si es así, los informaré aquí y en mi cuenta de Twitter: @zcobb. Si deseas seguir a la GCSC, echa un vistazo a cyberstability.org.