No es el primer desastre informático de la historia. Ni será el último. Pero no escarmentamos
Pueden
tomar al azar cualquier día del año y siempre darán con alguna brecha
de seguridad más o menos importante. Algunos ataques son tan
destructivos que llegan a la tapa de los diarios. Recuerdo la mayoría de
memoria. El gusano Morris, en 1988; el virus Melissa, en 1999; el Love
Letter, en 2000; el Code Red en 2001, y la lista sigue: Nimda, Slammer,
Sasser, Mydoom, Conficker.
Salvo el Morris, que ocurrió antes de
que Internet se volviera pública, me tocó cubrir todos estos ataques. Mi
absoluto pesimismo respecto de la seguridad informática no es paranoia.
Se basa en hechos. La obra social estadounidense Anthem perdió 80 millones de registros; al Servicio Nacional de Salud británico (NHS, por sus siglas en inglés) le robaron 26 millones de historias clínicas (en las dos semanas anteriores al WannaCry); Netflix perdió en abril 19 capítulos de Orange is the new black, y a Disney, estos días, un largometraje completo que estaba por estrenar; de Ashley Madison se llevaron los datos de 33 millones de cuentas de usuarios; a Ebay le sacaron los datos de 145 millones de miembros; al JP Morgan le extrajeron información financiera de 76 millones de individuos y 7 millones de pyme; a Home Depot se le escaparon los números de 56 millones de tarjetas de crédito de sus clientes, y a Friend Finder le sacaron 412 millones de correos electrónicos y sus correspondientes contraseñas. En 2014 Yahoo! perdió a manos de los piratas 500 millones de cuentas de sus usuarios (la
brecha se conoció en 2916). ¿Me olvido de alguien? El Facebook ruso,
llamado VK, fue hackeado. MySpace, también. La Comisión Electoral de
Filipinas, lo mismo. Hasta las elecciones presidenciales estadounidenses
fueron comprometidas. Aclaro que esta lista es una fracción
insignificante de las principales brechas de seguridad. El sitio Have I been pwned? tiene una base de datos de más de 3700 millones de cuentas comprometidas.
El
viernes 12 de mayo, que ahora figura en un lugar destacado en estos
anales aterradores, chocamos de nuevo contra un iceberg. Esta vez, fue
el WannaCry, contracción de WannaCrypt ("Quiero encriptar", en inglés) y un obscenamente sarcástico juego de palabras. WannaCry
significa en ese idioma "Quiero llorar", que es exactamente lo uno
siente si descubre que un virus le ha bloqueado todos los archivos
importantes de la computadora.
El WannaCry explotaba una
vulnerabilidad de Windows usando una de las ciberarmas robadas a la
National Security Agency de Estados Unidos (NSA, por sus siglas en
inglés). Por donde se lo mire, hay algo delirante en que le hayan robado
un arsenal de armas cibernéticas a la agencia nacional de seguridad del
país más poderoso de la Tierra. Si no están en condiciones de evitar
que esas armas lleguen a manos equivocadas, deberían empezar por no
crearlas. Pero es muy probable que creyeran en lo que, más o menos, todo
el mundo cree: que sí podían mantenerlas a buen resguardo, que con su
presupuesto astronómico eran invulnerables.
No lo eran.
En
realidad, no todo el mundo cree en tal invulnerabilidad. Los jefes de
seguridad informática intentan, en general sin éxito, que sus
organizaciones presten oídos a las reglas más elementales. No abrir
adjuntos sin pensarlo dos veces, digamos. Todos mis amigos en
departamentos de sistemas, sin excepción, me han contado de gerentes y
directores que, confiados en que su poder alcanza a los bits, han
abierto adjuntos indiscriminadamente. Hasta que al final causaron un
incidente.
Otra
regla básica: mantener el software actualizado. Es lo que la gente de
sistemas del NHS advirtió en marzo, cuando Microsoft liberó un parche
que habría evitado un ataque como el del WannaCry. No les prestaron
atención. "Esos paranoicos, siempre exagerando," habrán razonado.
¿Cómo
les robaron esas ciberarmas a la NSA? Ahí la cosa es más opaca, pero
casi con entera seguridad un empleado las sustrajo desde adentro.
Ahora,
imaginemos que un infiltrado, con el apoyo de una nación enemiga, se
roba los planos para fabricar un dispositivo termonuclear. O que se
roban esos planos hackeando un servidor. Para usarlo tendrán que, como
mínimo, refinar uranio. No es fácil. O comprar el material fisionable en
el mercado negro y contrabandearlo. Robarse la bomba atómica terminada
ya es más difícil. Digo, ¿cómo declarás algo así en la aduana? Por
último, se necesita un lanzador, un misil.
Con las armas digitales
ocurre algo completamente diferente. En un centímetro cuadrado de un
disco duro moderno caben, grosso modo, 12.500 millones de caracteres.
Eso equivale al texto de 12.500 Biblias, o una pila de Biblias de 625
metros de altura; diez veces el Obelisco.
Más fácil: en un
pendrive es posible transportar todo el código fuente de todas las
ciberarmas de destrucción masiva de todas las naciones del mundo. Y
sobrará espacio. Los 251.287 cables clasificados que dio a conocer
WikiLeaks en 2010 fueron transportados en una memoria flash. Ocupan algo
así como 1500 millones de caracteres (1,5 gigabytes). Un pendrive tiene
hoy no menos de cinco veces esa capacidad. Y los hay con 170 veces más
espacio. Se los consigue en Amazon por 23 dólares (el modelo a prueba de
agua).
Esta es la idea que no termina de prender. Intentamos
conducirnos en el espacio virtual según las mismas reglas del mundo
real. Las cosas van a salir mal de forma casi sistemática, como si
tratáramos de hacer una caminata espacial en traje de baño.
El
WannaCry no usó (al menos en la etapa aguda de la infección) ninguna
estrategia de ingeniería social. Se propagaba por las redes buscando el
puerto TCP 445. Si estaba expuesto y ese Windows había sido emparchado,
iniciaba el ataque. (Además verificaba si un cierto dominio estaba
online -el famoso kill-switch- y si existía una cierta clave en el Registro de Windows. Salvaguardias de los autores.)
No
es imposible que el paciente cero haya abierto un mail con un adjunto
infectado o un link malicioso, y que desde su computadora se haya
propagado el WannaCry. No lo sabemos, y es lo de menos. El hecho es que
antes había que enviar bombarderos y tanques para causar el mismo daño
que hoy puede provocar un fragmento de código que pesa menos que una
bacteria y se cuela en milisegundos por las redes sin hacer ningún
ruido.
El título de esta columna debería ser "Qué lecciones nos
deja el WannaCry". Pero voy a decirlo clarísimo: nos deja un montón,
pero no vamos a aprender ninguna. Si no lo hicimos con el Morris, el
Code Red o el Melissa, si ni siquiera escarmentamos con el catastrófico
Love Letter, esta vez tampoco va a ser la excepción. Puedo apostarlo. En
un mes, un año o un lustro vamos a volver a tener una epidemia como la
del viernes negro. Mucho peor, probablemente, a medida que nos volvemos
cada vez más dependientes de los dispositivos digitales e Internet.
¿Cuáles
son las lecciones que seguimos sin aprender? Muchas, en rigor. Aparte
de las que menciono a continuación, se pueden encontrar varios artículos
estos días sobre el particular. Este, por ejemplo, de Ericka Chickowski, y este otro, excelente, de un veterano administrador de sistemas, Dave Cartwright.
Es virtual
La
primera lección, la más difícil de incorporar, es la que mencioné
antes. Esto es virtual, muchachos. Dejen de pensar como si las
fronteras, las aduanas, los muros, los guardias armados o la logística
tuvieran algo que ver con el código. No pesa, no se ve, no hace ruido,
no aparece en el radar.
Las fallas no son la excepción
Las
vulnerabilidades son la regla, no la excepción. Tomo una semana
cualquier del año, la del 17 de abril, y cuento las vulnerabilidades
críticas informadas en ese período por el Centro de Respuesta a
Emergencias Informáticas de Estados Unidos (el US-CERT). Son 24. Hagamos
la mitad y extrapolemos. Son más de 600 fallas como la que le abrió las
puertas al ataque del 12 de mayo. En la lista aparecen productos de
todo pelaje, desde Ubuntu y el servidor Web Apache, hasta Android,
software de Cisco, Apple, Microsoft y Adobe; nombren un programa y en
algún momento se le encontrarán fallas críticas.
Es virtual, pero también es real
Un
fragmento de código puede causar daño en el mundo real. Esto tampoco es
nuevo. El Love Letter, en 2000, sobrescribió con datos al azar imágenes
y documentos de Office. El daño se estimó en 15.000 millones de
dólares. ¿Habrá causado alguna muerte el WannaCry? No se sabe de
ninguna, pero esta vez atacaron centros de salud.
¡Actualizar, actualizar, actualizar!
Los
jefes de seguridad informática repiten esto sin que nadie les preste
atención. Si Telefónica, el NHS y las demás organizaciones afectadas
hubieran actualizado a tiempo, el WannaCry habría tenido un impacto
mínimo.
OK, sí, es cierto, emparchar las computadoras de una
compañía con muchos empleados (Telefónica tiene unos 120.000) es
complicado y las cosas pueden salir mal. Pero cuando se trata de
vulnerabilidades críticas hay que poner manos a la obra. Especialmente
si, de pronto, les roban a la NSA ciberarmas que explotan precisamente
algunas de esas vulnerabilidades.
Por otro lado, si es complicado,
pero hay que hacerlo porque un ataque podría dejarte fuera de combate,
¿cuál sería la solución? ¿Destinar más recursos para los sufridos
muchachos de seguridad o postergarlo porque "es complicado"? Todo es
complicado cuando tenés varias decenas de miles de miembros. Lo que no
cuaja es el concepto de que sí, es complicado, pero primero que nada es
urgente.
Backup
Hasta da un poquito de vergüenza insistir
con esto. Es viejo como las tarjetas perforadas. Si no había tiempo o
voluntad para emparchar, el WannaCry habría encontrado un rival
formidable en un buen sistema de backup (inaccesible para el gusano). En
el nivel individual eso puede hacerse con un simple y accesible disco
externo. La medida no sólo es útil contra los ransomware, sino contra cualquier falla catastrófica del disco, la pérdida o robo del equipo, y así.
Software original
La
mayoría de los ataques opera, en algún punto, sobre vulnerabilidades.
Desde el gusano Morris, que aprovechaba fallas de varios programas de
Unix -sendmail, finger y otros-, hasta el WannaCry, el patrón es
ineludible, siempre van a caer más las computadoras con sistemas
desactualizados.
Windows XP al principio del ataque del WannaCry
parecía estar a salvo, porque Microsoft no lo listaba entre los sistemas
vulnerables. La verdad es que no lo listaba porque el ciclo de vida de
este sistema se terminó en abril de 2014 y, por lo tanto, ya no recibe
actualizaciones. Al final, Microsoft tuvo que publicar una solución para
XP. Lo hizo el lunes 15 de mayo. Les guste o no allá en Redmond,
todavía hay unos 140 millones de computadoras con XP. Entre otros, el
NHS.
El ejemplo de XP es interesante por otro motivo. A los fines
prácticos, un sistema operativo que ya no recibe soporte del fabricante
es equivalente a un sistema operativo (o cualquier otro software) sin
licencia original. Esta es la razón por la que algunos técnicos que
instalan Windows pirateados aconsejan "no instalar actualizaciones
porque pueden dañar el sistema". En realidad, las actualizaciones sólo
van a dañar los bolsillos del técnico, porque el sitio de Microsoft
alertará al usuario de que su Windows no es original. Si el presupuesto
realmente no alcanza para Windows, un Linux puede reemplazar sin
problemas al sistema de Microsoft en la mayoría de las aplicaciones.
El factor humano
En
2011 hackearon la compañía de seguridad RSA, proveedora de seguridad
informática de la banca y la industria bélica estadounidense; era,
posiblemente, la organización mejor blindada del planeta. Lograron
entrar y robar información extraordinariamente sensible porque un
empleado de bajo rango abrió una planilla de cálculo de Excel infectada.
Este frente, el humano, es el eslabón más débil de la cadena. Es allí
donde las compañías y organismos de gobierno deben invertir dinero y
esfuerzos para reducir las superficies de ataque. Porque ésta no admite
parches.
