La ignorancia es la felicidad. Quien asiste a una conferencia de seguridad como RootedCON puede llevarse a casa muchas conclusiones, pero una de ellas es esa. Lo es porque este evento no hace más que demostrarnos lo vulnerables que somos y lo mucho que tanto nosotros como las empresas descuidan la seguridad de sus protocolos y servicios.
Uno sale de allí con una visión cruda y aterradora de un segmento en el que la avaricia por nuestra información lo domina todo. Más que nunca, la información es poder, y todos harán lo que sea por conseguirla. Es lo que nos cuenta Román Ramírez, cocreador y coorganizador de una de las ferias de ciberseguridad más importantes del panorama mundial.
Un año más, RootedCON como referencia del segmento
RootedCON crece. Eso se nota cada año —asistimos tanto en 2016 como en 2017—, y esta novena edición no ha sido la excepción. En 2017 la asistencia fue de 1606 personas, mientras que en la reciente edición de 2018 esa asistencia ha crecido hasta las 1825 personas.
Nos lo explica Román Ramírez (@patowc), que hace nueve años inauguró la primera de las ediciones de RootedCON. Este experto es arquitecto de seguridad en Ferrovial, profesor de los másters de ciberseguridad en el Instituto de Empresa (IE) y la Universidad de Granada, y CTO y cofundador de BeRealTalent.
Su labor al frente de RootedCON le ha permitido convertirse en alguien de referencia y muy influyente en el mundo de la ciberseguridad en España, y tuvimos la oportunidad de charlar con él durante una hora sobre este evento y el presente y futuro del mundo de la ciberseguridad.
El ámbito De RootedCON, nos comentaba, se ha ampliado: "la gente no percibe que esto sea un evento solo para técnicos", hay asistentes que provienen de todo tipo de ámbitos profesionales. También de todo tipo de ámbitos sociales, como demuestra la asistencia de miembros de La Nueve (@La9deAnon), el conocido grupo hacktivista.
De hecho la conferencia se ha convertido también en punto de encuentro para los grandes directivos en materia de seguridad: los CSO (Chief Security Officer) de todo tipo de empresas se acercan a estas jornadas —"todos los del IBEX35 están aquí", confiesa Ramírez— para tomarle el pulso a los grandes temas en el campo de la ciberseguridad.
El evento, además, se ha convertido en una constante en el panorama nacional e internacional de ciberseguridad. Esas nueve ediciones invitan a la reflexión a un Román Ramírez que confiesa que "nos hacemos mayores". Tanto él ("éste es mi bebé") como el resto de organizadores quieren evitar a toda costa que la RootedCON "no se vicie, no se empobrezca", y hay un debate sobre el futuro e inevitable traspaso del testigo.
Muchas sesiones para asustarnos
Esa preocupación no parece apreciarse por parte de los asistentes y conferenciantes: todo son elogios (por ejemplo, en redes sociales) a una conferencia de ciberseguridad que sigue siendo referente y que cuenta con una agenda realmente completa en esas tres jornadas que, además, multiplica por tres sus charlas gracias a los tres "tracks" en paralelo que se celebraban en tres salas distintas de Kinepolis en Madrid.
En esas sesiones, de todo y para todos, y como decíamos, era imposible no sentirse un poco (o mucho) más vulnerables y aterrorizados por el panorama que plantean las amenazas de ciberseguridad hoy en día.
Hubo sitio para hablar de esa famosa reserva de ciberhackers, de los bots y el malware en la IoT, cursos rápidos de técnicas de ingeniería inversa e iniciación al análisis de malware y charlas asombrosas de phreaking.
Más peligros por doquier: los riesgos de seguridad que impone el Windows Subsystem for Linux y ese bash son enormes (ya se habla de bashware), como también lo son los que imponen las empresas de mensajería, cuyos protocolos para proteger la información sobre sus envíos son, como poco, discutibles: vimos en directo cómo acceder a información de un envío al que solo el ciente debería tener acceso.
"Cocinar" drones para hacking, auditar aplicaciones de Android y de iOS, hackear videojuegos (pero no para hacer trampas, sino para "encontrar lugares fantásticos"), atacar a SmartTVs o incluso hablar sobre fake news, ciberseguridad y libertad de prensa fueron también charlas de estas jornadas. Todas ellas y muchas más impartidas por expertos y profesionales del mundo de la ciberseguridad que ofrecieron su visión al respecto.
La inteligencia artificial, la próxima gran amenaza
Mucho se habla de los avances que nos está brindando la inteligencia artificial (IA) en diversos campos, pero poco o nada se conoce de la aplicación de esta disciplina al mundo de la seguridad. El problema es que la magia de la IA ya se está comenzando a aplicar... para el mal.
Es lo que nos asegura Ramírez, que comentaba cómo la situación del mundo de la ciberseguridad no es especialmente buena. "Cada vez hay más amenazas, cada vez hay más dinero para robar. En esas amenazas crecientes es donde la IA podría ser utilizada para fines criminales a corto plazo.
Así es: como ocurre en otros muchos ámbitos, la inteligencia artificial es una herramienta que puede ser usada para el bien y para el mal. Avances como los que permiten a un sistema imitar nuestra voz a partir de una muestra mínima o aquellos que modifican un vídeo para superponer a alguien que no ha dicho o no ha hecho lo que estamos viendo lo demuestran.
Las empresas, mientras tanto "no avanzan, están ancladas, no reaccionan en el mundo de la seguridad", destacaba Ramírez. "No están haciendo nada en el campo de la inteligencia artificial para atajar esa 'mala IA'". El problema es enorme y muy preocupante, y este experto nos confesaba cómo la amenaza es "a nivel mundial, y la mayoría de la gente no lo entiende". Algunas como IBM, no obstante, lo están intentando.
Tenemos el ejemplo en el experimento que llevaron a cabo investigadores de Google Brain —la división de IA de la empresa— y en el cual tres redes neuronales se las ingeniaron para que dos de ellas se inventaran un algoritmo de cifrado desde cero y se pasaran mensajes sin que la tercera pudiera descifrar el contenido. Sin intervención humana, ojo.
No mucho después nos enterábamos de un experimento similar por parte de Facebook. En él los ingenieros pretendían desarrollar un sistema para que sus "agentes de diálogo" (bots para su mensajería) aprendieran a negociar, y se encontraron con que el sistema se inventó su propio lenguaje: uno que los humanos no podían interpretar. No sabían de qué estaban hablando las máquinas.
Facebook acabó desconectando el sistema, aunque argumentaron que no fue por no entender esa conversación, sino porque la idea era desarrollar un bot que pudiera hablar con la gente, y ese objetivo no se logró con ese desarrollo.
La información como petróleo del s. XXI
Uno de los temas centrales de la agenda de ciberseguridad es esa constante invasión a la privacidad de los usuarios. La recolección de datos por parte de todo tipo de empresas se ha convertido en una práctica habitual.
La información es el petróleo del siglo XXI, todos la quieren y harán lo que sea por conseguirla. Lo estamos viendo a diario en los movimientos que sobre todo las grandes empresas tecnológicas están haciendo.
Román Ramírez nos recordaba cómo por ejemplo el protocolo IPv6 que lleva tiempo tratando de sustituir al tradicional IPv4 no acaba de imponerse, y eso que por ejemplo mientras que en IPv4 IPsec es un componente opcional, en IPv6 es obligatorio. Solo por eso este protocolo es más seguro y plantea ese cifrado nativo de las comunicaciones, pero la industria no parece tener ninguna prisa por implantarlo.
¿Por qué? La razón es evidente: cada una de las grandes está tratando de imponer sus propios estándares para "proteger" nuestras comunicaciones y cifrarlas, eso sí, manteniendo ellos el control de dichos protocolos. Ramírez nos recordaba cómo IPv6 "tiene muchos mecanismos de seguridad que harían muy complejo que las agencias nos espíen, pero además los proveedores pierden visibilidad".
WikiLeaks #Vault7 confirms CIA can effectively bypass Signal + Telegram + WhatsApp + Confide encryptionhttps://t.co/h5wzfrReyy
— WikiLeaks (@wikileaks) 7 de marzo de 2017
¿Qué hay entonces del cifrado extremo a extremo del que tanto se habla en los últimos tiempos? Las aplicaciones de mensajería los aprovechan, pero para Ramírez "el cifrado es ahora mismo inexistente".
Incluso la seguridad del protocolo Signal utilizado por WhatsApp y otras herramientas parece ser inútil según destacaba este experto, que nos recordaba que entre los muchos documentos filtrados por Wikileaks en Vault 7 estaban los que indicaban que el cifrado de Signal podía ser superado por agencias como la CIA.
En Wired aclaraban esa amenaza y explicaban que al final esos documentos hablaban de tomar control del dispositivo de forma remota, no de la comunicación en sí. Eso haría que precisamente cifrar la información no tuviese sentido ya que un atacante tendría acceso a esa comunicación tal y como lo hace el usuario de ese móvil, por ejemplo.
Ese acceso a esas comunicaciones se suma a amenazas conocidas del propio sistema SS7 (Signalling System No. 7) que se usa en las llamadas de voz a nivel mundial. Basta un número de teléfono objetivo para hackear esas comunicaciones, cuyas comunicaciones con ese famoso cifrado extremo a extremo no son infalibles ni mucho menos.
En este punto Ramírez volvía a recordarnos cómo las grandes están tratando de controlar todo ese segmento. En Google, por ejemplo, "intentan que todo se mueva a través de los protocolos que ellos controlan, porque todo tiene que ver con el control de esos protocolos". No es la única que mueve ficha en ese sentido, y como decía este experto,
Google y Facebook intentan forzar el cifrado irrompible, no por quererte mucho, sino porque quieren tener la llave única para ese petróleo. Si va todo cifrado, los únicos que que pueden acumular info de los ciudadanos son ellos. Y con eso, se lo revenden a los gobiernos (si les apetece)
¿Cómo logran convencernos de que usemos esos protocolos? Una vez más, la respuesta es sencilla: haciendo que todo sea más cómodo y rápido para el usuario. Para Ramírez estamos sacrificando constantemente privacidad a cambio de comodidad, y las empresas no nos dan demasiadas opciones para que todo sea algo menos cómodo aunque ganemos en privacidad. "El diablo siempre te lo pone fácil", argumentaba.
En Xataka | NSA: un compendio del escándalo