Ecuador. lunes 18 de diciembre de 2017
  • Seguir en Facebook
  • Seguir en Twitter
  • Seguir en Google+
  • Seguir en YouTube
  • Seguir en Instagram
  • Seguir en LinkedIn

Las filtraciones del SENAIN y de la correspondencia del Presidente

Adnrés N. Robalino
Quito, Ecuador

¿Leyeron la noticia publicada por Univisión Noticias? Escribí previamente que ocurrieron algunas filtraciones y el intruso de por lo menos una de ellas es ecuatoriano. Hasta la fecha nadie del gobierno ha compartido detalles y es difícil inferir si se trata de ciberdelincuencia o delito informático. Ciberdelincuencia sucede cuando el hecho ocurre con el uso de redes (por ejemplo a través del Internet) mientras que un delito informático puede ocurrir con el uso de redes así como sin uso del mismo.

Andrés N. Robalino
Quito, Ecuador


Publicidad

¿Leyeron la noticia publicada por Univisión Noticias? Escribí previamente que ocurrieron algunas filtraciones y el intruso de por lo menos una de ellas es ecuatoriano. Hasta la fecha nadie del gobierno ha compartido detalles y es difícil inferir si se trata de ciberdelincuencia o delito informático. Ciberdelincuencia sucede cuando el hecho ocurre con el uso de redes (por ejemplo a través del Internet) mientras que un delito informático puede ocurrir con el uso de redes así como sin uso del mismo.

Será una tarea sumamente difícil para los que están investigando el asunto. Se requiere de conocimiento extenso de tecnología y es probable que existan varios grupos de investigadores que carecen de la experiencia y conocimiento para enfrentar el tipo de crimen en el espectro de ataques en seguridad informática y redes.

El lector que visitó la noticia enlazada y notó la información expuesta debe causarle incomodidad. Cuando somos víctimas de ataques informáticos da una mala imagen de la tecnología que disponemos. Personalmente lo que más me llamó la atención fue el mensaje:

“Estoy de acuerdo con Nathalie”

Es un mensaje enviado por Rafael Correa Delgado, Presidente de la República del Ecuador. Claramente algo anda mal y urge tomar las medidas necesarias para prevenirlas. Es importante una inversión seria en software libre -mirar el decreto 1014-, recursos técnicos, físicos y de factor humano para prevención de ataques de cualquier tipo. Una de las medidas que se puede implementar rápidamente es el uso de la Criptografía. Suena muy sofisticado y sus terminologías pero el usuario regular de Internet con una capacitación apropiada no tiene porque temer.

¿Quién(es) son los intrusos? ¿Qué hay de los documentos de la SENAIN?

Ecuatorianos, sin duda. Tuvo que haber sido producto de varios hacks. No tiene sentido que sea una sola penetración a sistemas informáticos y se filtren los documentos de SENAIN junto con la correspondencia privada con el presidente.

Los documentos filtrados incluyen compras de equipos de intercepción, drones, y monitoreo de redes. Desconozco las intenciones del whistleblower. Aparentemente también algunos han cuestionado extensivamente la autenticidad de las filtraciones. El Ministro de Gobierno y el Secretario de Comunicación también aclararon el asunto. Debo agregar que los medios que reciben filtraciones deben también tomar los pasos apropiados para verificar la autenticidad de los mismos.

También surgieron acciones legales para el retiro de dichos documentos. Estas filtraciones, en primer lugar, no veo la necesidad de que se tengan que mantener en secreto. Segundo, si se tomaron acciones legales para eliminarlos de Internet entonces mi única explicación es porque la revelación de esas acciones sería vergonzoso (asumiendo que es auténtico) -monitoreo de redes no es espionaje pero si es incómodo saber de su existencia- si yo camino en la calle no me sentiría cómodo sabiendo que me estan siguiendo. Tanto las redes sociales como las calles son espacios públicos.

Todos los gobiernos clasifican como secreto algunas decisiones donde no hay realmente necesidad. Sin embargo, cuando son expuestos hay la posibilidad que les dé vergüenza. Un ejemplo perfecto es el gobierno de los Estados Unidos ya que actualmente como dicen los mismos expertos en seguridad radicados ahí; siguen clasificando más que antes; ven una y otra vez que no es realmente porque tienen que ser secretos sino porque el conocimiento de las acciones sería vergonzoso.

Teniendo la confirmación que la filtración viene de un ecuatoriano tomé el siguiente paso e hice las siguientes preguntas a una de las personas que recibió las filtraciones y fue -tengo entendido- el primero en publicarlas:

Captura de pantalla 2013-07-10 a las 19.51.42

Captura de pantalla 2013-07-10 a las 19.53.11

Captura de pantalla 2013-07-10 a las 19.54.11

nterpretando su respuesta dice que forman parte del mismo hack. No estoy seguro si ambos tenemos la misma definición de “hack” y es difícil concluir. Tampoco estoy seguro si se refiere a funcionarios del gobierno directamente sacando la información de las máquinas.

Los documentos filtrados de SENAIN fueron escaneados y no hay manera de saber si físicamente buscaron los documentos y los escanearon o los documentos ya estaban escaneados guardados en la máquina y solo tuvieron que copiarlos para enviarlos por correo electrónico.

No respondió las preguntas adicionales. No le creo que la filtración de la correspondencia con el presidente forme parte de la misma filtración. Se sabe públicamente que dos personas disponían de los documentos filtrados. Se tiene que considerar que las filtraciones salieron al público y provocó tensiones durante los sucesos de Edward Snowden. Pero hay algo que no encaja en el rompecabezas, hay un tercer participante que indicó tener conocimiento de los documentos (pero no afirma si los tuvo en su posesión) tres semanas antes que la primera publicación fuera hecha por otra persona y la razón por la que no los publicó fue porque haciéndolo hubiera revelado la fuente. Si los documentos era de su conocimiento tres semanas antes siendo aquellas fechas donde el apellido Snowden era desconocido, entonces se garantiza que la correspondencia del presidente fue, de hecho, otra penetración informática.

¿Qué medidas debemos tomar para que esto no vuelva a pasar?

Se desea saber en este momento que aplicaciones de seguridad de redes podemos usar. Ahora solo nos importa una de ellas: aplicaciones de seguridad de correo electrónico. También nos importa que la aplicación que usemos sea de confiar al 100% -software libre ofrece esto por definición con beneficios adicionales comonos indica el Presidente de la República del Ecuador en este video y lo cito-.

… El software libre. De esa manera garantizaremos la soberanía de nuestros estados. Dependeremos de nuestras propias fuerzas no de fuerzas externas a la región. Seremos productores de tecnología.

Como estamos tratando con correo electrónico lo que nos puede proteger es la criptografía. La criptografía abarca las áreas apropiadas para hacerlo de forma segura. Fácilmente se puede llenar libros explicando los diversos cifradores y su aplicación para garantizarnos confidencialidad, autenticación, el intercambio de llaves, entre otras cosas que necesitamos para comunicarnos de manera segura.

Las buenas noticias es que el usuario no necesita saber esos detalles ya que el software hace todo el trabajo de manera automática.

¿Porqué el riesgo es muy alto al usar software propietario?

No existe software 100% correcto y eso obliga actualizarlo que requiere la notificación de la empresa dueña de la tecnología cuando lo vean necesario. Si disponemos de independencia tecnológica con Software Libre somos libres de descubrir, cambiar y mejorar el software en el momento que deseemos.

Generalmente cuando se anuncian actualizaciones de software es debido a errores internos del mismo. Para los hackers maliciosos los errores son un paraíso pues escriben software diseñado para explotar la vulnerabilidad -el error- permitiendo control total de la máquina -exponiendo toda nuestra información a un intruso-. El asunto se pone más grave si nos hacemos la siguiente pregunta: ¿Existen en este momento errores en nuestro software que la empresa que la vendió conoce y lo mantiene en secreto -errores día cero-? Ese tipo de error es presa millonaria en guerras informáticas y si ocurre un ataque se denomina Ataque de día cero (uno de los más peligrosos)

Si estamos usando software propietario y existen vulnerabilidades que la empresa dueña de la tecnología no ha anunciado -error día cero- seremos un blanco fácil a ataques sin ninguna manera de saberlo.

El mercado de las vulnerabilidades

Está claro que los gobiernos juegan un rol en este mercado. Pero más serio es lo que venden empresas de software a los gobiernos. ¿Qué compran los gobiernos? Compran las vulnerabilidades con el propósito de mantenerlos en secreto para que puedan hacer ataques de día cero. El mercado ya no solo trata de empresas de software ofreciendo recompensas para que investigadores descubran vulnerabilidades y notifiquen para luego la empresa actualizar el software. Tampoco organizaciones criminales pagando para vulnerabilidades que puedan explotar.

Forbes publicó una noticia el año pasado sobre una historia de un hacker que recibió $250.000 USD de un “contratista norteamericano” así como información de una empresa que se dedica a vender vulnerabilidades de día cero. Lo más impactante fue la publicación de los precios:

Software Precio
ADOBE READER $5,000-$30,000
MAC OS X $20,000-$50,000
ANDROID $30,000-$60,000
PLUGINS DE JAVA/FLASH $40,000-$100,000
MICROSOFT WORD $50,000-$100,000
WINDOWS $60,000-$120,000
FIREFOX/SAFARI $60,000-$150,000
CHROME/INTERNET EXPLORER $80,000-$200,000
IOS (Sistema Operativo del iPhone/iPad/Ipod Touch) $100,000-$250,000

Requerimientos para confiar en la tecnología criptográfica

Las filtraciones realizadas por Edward Snowden y prácticamente informando al mundo que somos víctimas del espionaje informático nos obliga a promover fuertemente el decreto 1410 de Software Libre. No se puede confiar la compra de software propietario para aplicaciones de seguridad de correo electrónico. ¿De qué sirve confiar toda nuestra confidencialidad y privacidad a tecnologías que ni podemos ver (ni ajustar a nuestras medidas) como están hechas? Por esta razón se requiere lo más importante que cumple lo siguiente:

  • Es software libre que podemos descargar mundialmente. Tiene que correr en varias plataformas incluyendo UNIX, MAC OS X, Windows (si se está usando), entre otros.
  • Tiene que hacer uso de los algoritmos -lo que la tecnología usa para encriptar datos- que se han sometido de manera fuerte y han sobrevivido a la opinión pública -expertos académicos en criptografía- y tenga estatus de seguridad extrema.
  • Tiene un rango amplio de aplicabilidad. Los consumidores si desean adaptar y establecer un esquema estandarizado para encriptar archivos y mensajes entre usuarios que deseen comunicarse de manera segura mundialmente a través del Internet.
  • No puede ser desarrollado ni controlado por ningun gobierno u organización de estándares.

¿Porqué la criptografía pudo haber ayudado asumiendo que de alguna forma la información cifrada igual fue filtrada?

Se necesita hacer un estudio y considerar todas las posibilidades de la intrusión. Si los involucrados en la correspondecia privada hubieran usado criptografía, las posibilidades de analizar la instrusión bien pudieron haberse disminuído de manera substancial.

Asuma, por un momento, que los participantes disponían de aplicaciones de seguridad de correo electrónico. Una buena aplicación -en la literatura de criptografía- es aquel que ofrece servicios de confidencialidad y autenticación que incorpore los mejores algoritmos criptográficos como bloques de construcción siendo integrados en una aplicación de propósito general incluyendo una interfaz fácil de usar.

Dicho esto, si el presidente junto a los funcionarios del gobierno intercambiaron correspondecia cifrada, entonces el intruso tuvo que haber penetrado a las computadoras (remotamente o en persona) de cualquier participante de la correspondencia -y adicionalmente saber la clave privada del participante-. Esto disminuye considerablemente el tiempo para los investigadores saber que ocurrió. Se puede descartar también la posibilidad de que el administrador del servidor haya sido el filtrador (o un intruso que haya logrado penetrar el servidor) ya que por más que pueda acceder directamente a la correspondencia -cifrada- no es posible descifrarla sin las claves privadas que cada participante de la correspondencia tiene guardada en un lugar seguro.

Haber mencionado el término claves privadas quizá sonó confuso para el que desconoce de la criptografía. La inversión para instruir a los usuarios sobre el uso de criptografía y los términos que vienen son fáciles de aprender a corto plazo. Una clave privada forma parte de un par de clave. Un par de clave es simplemente disponer de dos claves donde una la tiene que tener en secreto -o privada- mientras que la otra es pública -se la puedes enviar a quién desees- y es un mecanismo útil para beneficiarse de lo que criptografía ofrece.

¡Entendí el mensaje! ¿Dónde empiezo? ¿Solo es para funcionarios del gobierno?

¡No! Es para todos. Necesitas poner las cartas al asunto y protegerte del espionaje informático en este momento. Para nuestro gobierno es sumamente importante también ya que es más probable que sean atacados. Una aplicación de seguridad de correo electrónico que cumple todos los requerimientos y es tecnología sólida: Pretty Good Privacy (PGP). Escribiré blog posts demostrando como usarlo pero si estás ansioso de encriptar tu correspondencia empieza con el buscador. Tutoriales para usar PGP con el sistema operativo de tu elección.

Por otro lado, quizá también te llame la atención de cifrar tus conversaciones mientras chateas para evitar el espionaje. Para esto, dirígete a un blog post escrito por mi amigo Rafael Bonifaz.

Para el lector que estudió ciencias computacionales y tiene interés en la rama de Criptografía está invitado a ver ejemplos del cifrador asimétrico RSAlograr confidencialidad y autenticación en un criptosistema de clave públicaejemplo de distribuición de claves públicasfunciones hash regulares y criptográficasel esquema de intercambio de llaves Diffie-Hellman, y finalmente una búsqueda de un sistema jerárquico de autoridades certificantes (ACs) del estándard X.509 que hice para la conferencia que di “Arquitectura SSL/TLS y Aplicaciones” el año pasado en la Feria Play 2012.

* El texto de Andrés N. Robalino ha sido publicado originalmente en blog.andresrobalino.com