"Nuestra red es atacada 6 veces por segundo"

Por Ariel Torres

Uno se preocupa si le entra un virus en la computadora. Imaginate si tuvieras que desvelarte por la salud de gran parte de la infraestructura de Internet. Es el caso de Chris Richter, vicepresidente de Level 3 Communications, una compañía de las que pocos han oído hablar, pero que gran parte de las personas usa (sin saberlo, claro) cuando está online.

Level 3 Creció mucho desde su fundación, en 1985, como una rama de Peter Kiewit Sons' Inc., el gigante estadounidense de la construcción y la minería, y hoy tiene una de las redes IP más grandes del mundo. Entre otras cosas, administra el cable submarino que conecta a la Argentina con Internet desde Las Toninas. (¿Por qué las Toninas? Porque es lo más cerca que se encuentra una playa sin piedras que puedan dañar los cables.)

Richter, que trabaja codo a codo con el CSO (por Chief Security Officer), tiene mucho para decir acerca del no del todo feliz escenario de seguridad en línea. Antes de entrar en el reportaje, una aclaración: verán que la palabra hacker aparece aquí asociada a actividades ilícitas. Favor de no escandalizarse. He tratado el tema en otras ocasiones, sobre todo aquí, y creo que es una pena que esta palabra haya rotado tanto en su significado. Pero al hablar en inglés es muy usual pasar rápidamente, de acuerdo con el contexto, de esta connotación negativa a su denotación más legítima.

-Para el resto de nosotros, ¿cuál es su trabajo?

-Esencialmente, proteger los clientes de la red de Level 3 de los hackers.

-Tenemos demasiados ataques a diario. Cualquier otra industria, desde los vuelos comerciales hasta la alimentación, sería inviable con estos niveles de inseguridad. ¿Qué es exactamente lo que está pasando, por qué tenemos estos niveles de inseguridad?

-Hay diferentes tipos de motivaciones entre los atacantes. Por un lado están los hacktivistas, el tipo de individuo que no va tras el dinero ni busca robar información, sino que que quiere hacerse de un nombre o, en el caso de Ashley Madison, emitir una declaración, algo así como Lo que hacen en Ashley Madison está mal, les roban a sus clientes, así que vamos a exponerlos.

-Lo lograron, dicho sea de paso.

-Así es. ¿Sabe usted que el nombre de la organización es Impact Team? Lograron impacto. También hay organizaciones de hacktivistas que buscan hacer declaraciones de tipo político, como es el caso de Anonymous. Luego está el cibercrimen. Los cibercriminales están en esto por el dinero. El FBI ha logrado establecer que un número de organizaciones que antes se dedicaban a la venta de drogas se pasaron al cibercrimen porque pueden hacer más dinero y es menos probable que mueran o que los atrapen. Es más seguro.

"En tercer lugar, hay ciertos gobiernos rebeldes, que roban información para conseguir avances militares o para explotarla económicamente. China ha sido acusada de robar información de gobiernos y compañías en todo el mundo.

"La cuarta categoría es la amenaza interna, un empleado o una persona que tiene acceso al sistema. Lo que vuelve este escenario aterrador es que las naciones rebeldes están empezando a contratar cibercriminales para que los ayuden.

-Bueno, en varias ocasiones en la historia hubo naciones que contrataron piratas de los mares. De todos modos, los problemas climáticos están ahí afuera, todo el tiempo, y sin embargo volar en avión es muy seguro. Mi pregunta es: ¿cómo es posible que prácticamente toda red informática en el planeta haya sido hackeada? ¿Qué es lo que no se ha hecho para evitarlo?

-Esa es la gran incógnita. Estamos en guerra con los maleantes. Es una carrera. El US-CERT y otras organizaciones alrededor del mundo buscan vulnerabilidades en el software, las así llamadas vulnerabilidades de día cero son las más peligrosas. Podría decirse que cada programa tiene alguna vulnerabilidad que aún no ha sido descubierta. Los hackers descubren estas fallas y las venden a organizaciones o gobiernos. Lo que realmente me da miedo son las vulnerabilidades en el software que controla la infraestructura crítica, como centrales nucleares, el sistema de transporte, las telecomunicaciones. Si sos un hacker y encontrás una falla en esa clase de software podrías venderle la información a una nación rebelde por dinero, millones y millones de dólares. Es un gran negocio.

-Da la impresión de que estas vulnerabilidades son inherentes al software, y que desde que Ritchie y Thompson crearon Unix y C hemos hecho todo mal.

-En la época de Ritchie y Thompson el hackeo no era un problema.

-Es cierto, pero entonces es como si hoy voláramos a 35.000 pies de altitud en aviones sin ventanas, simplemente porque los hermanos Wright no usaron ventanas en el Flyer 1. Lo que quiero decir es que en cualquier otra industria ya se habrían replanteado la forma en que se hacen las cosas, para que esa actividad fuera más segura. ¿Hay alguien replanteándose como hacer que la computación sea más segura?

-Sí, constantemente, pero no podemos hacer los cambios de manera inmediata. Si lo hiciéramos, se detendrían las otras industrias y el comercio. Incluso en la industria de las tarjetas de crédito no podemos tomar medidas demasiado estrictas para proteger esa actividad, porque si lo hiciéramos el cliente empezaría a usar otras formas de pago. Así que hay un balance aquí. El asunto es administrar el riesgo. Determinar cuánto riesgo es demasiado.

"La seguridad informática es un poco como los frenos del auto. No tenemos los frenos para poder ir más lento, sino para poder ir más rápido. La seguridad informática debe permitir a la industria, el comercio y las telecomunicaciones moverse más rápido, pero de forma segura. Esa es probablemente la mejor analogía en la que puedo pensar.

-Antes le di los ejemplos de los vuelos comerciales y la alimentación. Pero los vuelos y la comida no pueden digitalizarse. En cambio sí estamos digitalizando la información, y hemos empezado a usar herramientas que, al revés que todas las otras herramientas creadas por el hombre, pueden programarse. Creo que en realidad no hay una solución definitiva para hacer una computación más segura, al menos por ahora, porque si algo puede programarse, entonces puede hackearse.

-Usted está absolutamente en lo cierto. Si se basa en tecnología digital, habrá alguna vulnerabilidad que podrá explotarse, quizás no sea conocida ahora, pero podría serlo dentro de 5 años. Es cuestión de administrar el riesgo. La administración de riesgo es posiblemente el eslabón más débil de la cadena de la seguridad, es una disciplina difícil de adoptar y la que menos se pone en práctica en el ambiente de las tecnologías de la información. Sabemos que la revolución digital no se va a detener, y que va a haber víctimas en el camino. Lo que debemos comprender es si vale la pena el riesgo, y, si lo vale, cómo administrarlo.

"Por ejemplo, en una organización puede hacer falta contratar personal externo que tenga acceso a los datos de tarjetas de crédito. ¿Cómo sabemos que no van a robar esa información? Ese es un riesgo que debemos asumir, y por eso verificamos los antecedentes de ese personal externo. Si esos antecedentes están OK, entonces aceptamos el riesgo.

-Pero eso ocurre no sólo con los datos de tarjetas de crédito. Para en casi todo los niveles. Me atrevería a decir que en todos los niveles. Si la computadora de un avión estuvieran accesibles por medio de Wi-Fi o del sistema de entretenimiento de abordo, también se lo podría hackear.

-Bueno, eso ocurrió hace poco.

-Sí, el sujeto dijo que había logrado incluso mover las superficies de control. Me permitiré dudar de eso. Cambiar la configuración de una avión a altitud de crucero es extremadamente peligroso.

-Algunos informes dicen que entró en la computadora y cambió los niveles de combustible. En todo caso, lo detuvieron varias horas en el aeropuerto.

-Así es. ¿Piensa que el público es consciente de todos estos riesgos?

-No. Quiero decir, las personas leen sobre los hackers y tal, pero no creen que les vaya a ocurrir a ellos. Y probablemente ya les ha ocurrido, ya han sido comprometidos, parte de sus datos han sido robados, sólo que no lo saben. Y nadie es demasiado pequeño, ni ninguna compañía es demasiado pequeña para no ser víctima. Todos son blancos. Los datos están siendo robados, muchas veces sin que nos demos cuenta. Es un problema muy serio, pero no creo que el público sea consciente de este riesgo.

-¿Cuál es el principal tipo de ataque que recibe Level3, si puede decirlo?

-Level 3 es atacada, promedio, 6 veces por segundo.

-Seis veces por segundo.

-Así es, 6 veces por segundo con prácticamente todo posible exploit: ataques distribuidos de denegación de servicio, malware, phishing, ingeniería social, PDF, haga clic aquí, abra este link, y así. Se ha vuelto tan malo que debemos tomar medidas extraordinarias, pero en el proceso nos hemos vuelto muy buenos en ciberseguridad, o al menos creemos que es así. No hay una forma de arreglar el asunto de manera completa, porque los creadores de malware y los atacantes evolucionan muy rápido y emplean a gente muy inteligente. Pero la de Level 3 es una de las redes IP más grandes del planeta, así que tenemos que protegerla muy bien.

-Alguien dijo que la seguridad es un proceso.

-Es una práctica, como la medicina. Es muy similar a encontrar maneras de defendernos de las nuevas enfermedades que aparecen, a medida que los virus y bacterias evolucionan.

-De modo que usted diría que hay un estilo de vida saludable también en términos de seguridad informática.

-Buena higiene de datos, así lo llamamos. Por ejemplo, un pendrive es como un cepillo de dientes. ¿Usaría el cepillo dientes de otra persona? No. En ese caso, tampoco debería usar un pendrive de terceros en su computadora.

-¿Cuáles serían los principales consejos para una buena higiene de datos? Dicho sea de paso, creo que no va a sonar muy bien en español.

-Es algo repugnante, pero por eso mismo no se va a olvidar [risas].

-Eso es verdad. ¿Cuáles serían esos consejos? Por favor, no me diga que instalar un buen antivirus.

-No. De hecho, 8 de 10 CSO con los que hablé hace poco en una convención me dijeron que estaban dejando de usar antivirus, porque lo encontraban inútil. Las cosas verdaderamente malas pasan inadvertidas. De hecho hay servicios que se contratan para que ningún antivirus detecte el malware con el que se va a realizar un ataque.

"Hay algunas buenas prácticas de higiene de datos, pero las personas pueden ser engañadas. No se trata sólo de no abrir los archivos adjuntos que llegan de desconocidos. Si reciben adjuntos de una persona conocida y hay algo extraño o raro en ese mail, tampoco hay que abrirlo. Sería mejor llamar a esa persona y asegurarse de que se lo envió voluntariamente. Recibo mails de ese tipo todo el tiempo, de personas a las que conozco, con adjuntos.

-Creo que lo que ocurre es que la mayoría de las personas cree en lo que ve en la pantalla. Es lógico que lo hagan, porque en el mundo real las cosas son concretas y reales. Lamentablemente, las pantallas son por completo una ilusión.

-Sí, pero las personas pueden protegerse del 80 al 90 por ciento de los ataques informáticos simplemente usando cuentas de usuario que no tengan privilegios de administrador. Eso significaría que no pueden instalar programas, y por lo tanto cualquier malware que descarguen no tendrá la posibilidad de ejecutarse. Pero la mayoría de las personas compra una computadora, la enchufa y ya, no se preocupan por estos detalles.

-Tengo la impresión de que estamos bastante lejos de una buena higiene de datos.

-Sí, pero creo que es cuestión de crear consciencia. En las escuelas les enseñamos a los chicos a lavarse las manos y otras cosas que van a evitar que tengas problemas. También necesitamos enseñar ciberseguridad en el nivel escolar.

-De nuevo, creo que el problema es hablar de cosas que no existen de la manera en que estamos acostumbrados a que las cosas existan.

-Deberíamos cambiar entonces la forma de pensar. Mis hijos tienen 21 y 24 años, y si se corta Internet pierden la cabeza. Para ellos es real. Quizás incluso más que el mundo físico.

-La experiencia de Internet lo es, no el código. ¿Usted vio The Matrix?

-Sí.

-Es una metáfora perfecta de lo que nos está pasando.

-Necesitamos enseñar a programar en la escuela. Como cualquier otro lenguaje extranjero.

-Coincido, ¿pero, extranjero? Es nuestro idioma ahora.

-Es verdad, es nuestro idioma ahora.

-¿Qué piensa del voto electrónico?

-Creo que hay una manera de hacerlo seguro, pero si el público no confía en el voto electrónico, entonces es inútil. En Estados Unidos el público no confía en el voto electrónico.

-¿Es su primera vez en la Argentina?

-Sí, primera vez.

-¿Pudo ver algo ya de esta ciudad?

-Llegué ayer, así que no he visto mucho.

-¿Y cuando se va?

-Mañana a la noche.

-Bueno, quizá tenga la oportunidad de ver un poco de Buenos Aires, por lo menos.