Hace casi un par de años que contactó conmigo el periodista Roberto Ruiz Ballesteros, formulándome unas preguntas que servirían como fuente para un libro que estaba escribiendo el conocido Alejandro Suarez Sanchez-Ocaña, autor del libro "Desnudando a Google".
Para mí fue un placer contestar las preguntas formuladas y estuve a la espera de noticias de Alejandro, para la publicación del mismo.
A finales de 2015, recibí un correo en el que se me invitaba a la presentación de un libro llamado El Quinto Elemento, que como pude comprobar posteriormente, tuvo una gran repercusión mediática.
El evento se celebró en la antigua discoteca Pachá de Madrid, con speech del presidente de Ediciones Deusto y de Alejandro, dando sentido a todo un despliegue de "chicas soldado" con una careta dorada de Guy Fawkes, a modo de escoltas. Fundamentalmente explicó, al igual que se hace en el libro, que la Tercera Guerra Mundial no tiene fecha, sino que ya ha comenzado y que el elemento en el que se está desarrollando es el Quinto Elemento: el Ciberespacio.
Por supuesto, aproveché para hacerme con una copia firmada del libro, y comencé a devorarlo en los pocos momentos sueltos que me quedaban a fin de año.
La obra es bastante interesante. Para mi gusto, la parte más curiosa es en la que se habla de espionaje industrial, así como de ciberguerra, en los que el autor narra diversas historias relacionadas con las acciones que se llevan a cabo para espionaje entre países. Agencias de gobiernos como el chino, americano o israelí se lo pasan bomba adelantándose a averiguar qué está haciendo el contrario. Incluso el gobierno francés espió, según se dice en el libro, al gobierno de Zapatero para ver cuáles serían los pasos del equipo socialista ante la crisis económica. Para ello reutilizó un malware llamado Babar, que habían utilizado previamente en Irán para otros menesteres.
El Quinto Elemento habla de ciberguerra, ciberterrorismo, ciberseguridad y un montón de cosas más que empiezan por “ciber”. Asimismo se tocan temas ya manidos como la Deep Web, las revelaciones de Edward Snowden y el Internet de las Cosas, así como la explicación de diversas campañas de tipo Advanced Persistent Threat, pero todo ello explicado de una manera amena, con un lenguaje fresco, que deja entrever las preferencias y expresiones del autor ante determinados temas.
En mi experiencia, la compra de este libro fue muy recomendable, porque no se me hizo aburrido ni un capítulo y me enteré de cosas que no sabía.
Y diréis: claro, ¡cómo no lo va a recomendar Lorenzo, si ha participado en el libro y seguro que hasta aparece en él! Pues estáis equivocados, finalmente decidieron que no hubiera testimoniales, menciones ni créditos, por lo que soy totalmente objetivo en la recomendación.
Bajo estas líneas, os dejo aquellas preguntas que me hicieron, para las que dí contestación. Tened en cuenta que el correo lo empecé a contestar el 6 de Mayo de 2014 en un avión, y que lo que menciono como "últimos escándalos de seguridad", son los conocidos en esas fechas:
Bajo estas líneas, os dejo aquellas preguntas que me hicieron, para las que dí contestación. Tened en cuenta que el correo lo empecé a contestar el 6 de Mayo de 2014 en un avión, y que lo que menciono como "últimos escándalos de seguridad", son los conocidos en esas fechas:
1. ¿Le sorprendió cuando salió a la luz que la NSA espiaba a dirigentes aliados? ¿Por qué?
Sinceramente, no. Cuando no sabes quiénes son tus amigos y quiénes
tus enemigos, lo mejor es espiar a todos y así sales de dudas. La
NSA es el caso que está en boca de más gente, pero todas las grandes
superpotencias y países con menor poder ciber-armamentístico (como
España, por ejemplo) tienen la capacidad de llegar muy lejos en
cuanto a técnicas de ciberguerra y espionaje informático se refiere.
Países como Rusia, China, Reino Unido o Estados Unidos disponen de
unos adelantos que ni siquiera imaginamos. Lo que vemos ahora en las
noticias, así como las piezas de malware que van apareciendo,
vulnerabilidades puestas "a posta" como Heartbleed por ejemplo,
están ahí desde hace años y salen a la luz ahora. Las
vulnerabilidades que se estén utilizando con fines de ciberespionaje
ahora mismo, las conoceremos dentro de varios años, y será un shock
inmenso... y así podremos seguir sucesivamente.
Es muy difícil para un país que tiene ese poder, aprovechar esas
técnicas únicamente a los países que puedan suponer un peligro. Para
ser el primero de todos, en un mercado tan competitivo, en el que la
ética está en un segundo plano, hay que adelantarse a lo que hacen
los demás, sean amigos o enemigos.
2. ¿Cree que pudo haber dirigentes que se rasgaran públicamente las vestiduras al conocer el espionaje masivo aunque en el fondo conocían que esto pasaba?
No me cabe la menor duda de ello. Y ahora todo son buenas
intenciones para regular lo que se puede y lo que no se puede
espiar, en las que si no se cumplen, y se descubren a los
infractores, seguramente se les castigará con una sanción económica.
¿Y qué? Se paga la sanción económica y se argumenta cualquier
necesidad o sospecha. El ejemplo más claro con que las leyes no son
para todos, son aquellas relacionadas con el respeto al medio
ambiente. Los países prefieren pagar las sanciones que acarreen la
emisión del exceso de CO2, o incluso comprar su cuota a otro país, a
costa de incrementar su PIB... Mientras el castigo sea económico,
hay países que lo asumen y ya está.
Todos los países destinan partidas de presupuesto libres de
explicaciones (o fondos reservados) a programas de espionaje y
defensa (tanto en el mundo físico como para ciberguerra). Por tanto,
que se descubra que un país espía a todos los demás, no sorprende
porque todos hacen lo mismo con todos: "The knowledge is the power"
3. ¿Cualquier persona con ciertos conocimientos técnicos puede espiar a otro, hackearle o robarle documentos confidenciales?
No es tan tan trivial como se plantea en la pregunta, pero digamos
que hay personas, grupos y organizaciones, en general, fuertemente
motivados económicamente, que son capaces de maquinar un plan basado
en diferentes técnicas, que no tienen por qué ser de hacking de
sistemas puramente, para conseguir información de determinados
sitios. Cierto es que con suficiente presupuesto, es posible comprar
vulnerabilidades aún no publicadas (los llamados zero-days) así como
desplegar malware desarrollado a medida, no detectable por software
antivirus, por lo que acotando mucho a los orígenes como los
destinos, se puede decir que sí.
4. ¿Considera que la legislación está a la altura de las posibilidades técnicas que hay para espiar o esto es una ciberguerra en la que se impone la ley del más fuerte?
En mi opinión, la legislación va siempre con años de retraso ante
los delitos de hoy en día. Es más, la legislación depende de cada
país. En cuanto a lo que en nuestro país consideramos como delitos
informáticos, hasta donde yo sé, no están tipificados como delitos
en tratados de derecho internacional. Cuesta un montón de tiempo
poner de acuerdo a gente de culturas similares para que aprueben una
ley, como para poner de acuerdo a todos los países a la vez... En
cuanto a ciberguerra se refiere, no hay Tratados de Ginebra, aquí sí
que todo vale y nada se respeta, como ha quedado patente, ni la
intimidad de los inocentes usuarios.
5. ¿Es posible establecer acuerdos entre países para evitar el ciberespionaje?
Acuerdos se pueden establecer todos los que se quiera. Que se
respeten es otra cosa. La diferencia entre una
"tregua/pacto/acuerdo" para la paz "física" es algo palpable y
comprobable. En el caso de la ciberguerra, ocultar tu origen es más
sencillo, por lo que el riesgo a que te pillen cuando el espionaje
entre gobiernos se trata, es aún menor.
6. ¿Entiende que el espionaje ha existido siempre y siempre existirá?
Desde que ha habido guerras en las civilizaciones, ha existido la
necesidad de saber qué hace el bando contrario. La idea es siempre
la misma, adelantarte a sus ataques y poder defenderte, o atacar en
un momento que sabes que no tienen defensa. Ya en la Segunda Guerra
Mundial, los ingleses, con Alan Turing a la cabeza, y gracias a las
investigaciones que comenzaron los polacos, fueron capaces de
descifrar los mensajes cifrados con la máquina Enigma, que enviaban
los alemanes.
Igualmente, tal cual los libros y las películas de Hollywood nos han
mostrado una y otra vez, la necesidad de saber qué hacen los demás,
ha existido siempre y siempre existirá. Sucede en muchos sectores de
nuestro entorno, aunque los que más impacto nos produce su
descubrimiento son los relacionados con la revelación de secretos
industriales, económicos y por supuesto en el que los protagonistas
son los servicios de inteligencia de superpotencias mundiales (es
decir, gobiernos).
7. ¿Entiende que hay algunos consejos que se pueden dar a la ciudadanía para evitar que le espíen?
El problema es más complejo de lo que parece, porque si queremos
estar adaptados al siglo en el que vivimos, tenemos obligatoriamente
que ser consumidores de servicios online, modas que hacen que nos
quedemos atrás si no lo hacemos. No me refiero a la interacción con
redes sociales, que hay gente que incluso no tienen cuentas.
Simplemente el hecho del envío de un correo electrónico no cifrado
desde el origen (es decir, utilizando una tecnología bastante vieja:
PGP/GPG) es susceptible de ser monitorizado. La utilización de
dispositivos inteligentes como smartphones o tablets que tienen una
conexión con Internet, que hacen backups "automáticos" en la nube,
que se comunican con el fabricante de forma silenciosa y no
controlable por el usuario, ya nos hacen susceptibles de ser
espiados. Nuestras llamadas de teléfono ya sea fijo o móvil, en
algún punto de las operadoras irá en claro, y en ese momento, aunque
sea por el prestador del servicio, estamos a su merced. Si un juez o
un servicio de inteligencia decide que eres sospechoso y que tus
conversaciones son importantes para un determinado caso, alguien más
aparte de tu interlocutor, sabrá de lo que has hablado, sea o no
relevante. Obviamente, si se quiere vivir en el siglo que marca el
calendario, no se puede vivir desconectado del mundo, por lo que hay
que asumir algunos riesgos a la hora de usar ciertos servicios.
Sin embargo, es sabido que Google, que nos ofrece un sinfín de
servicios de forma gratuita a cambio de "nada", procesa nuestras
comunicaciones para ofrecernos publicidad adecuada y afinada, en
base al contenido de lo que hablamos.
En los últimos años, el programa rey de mensajería instantánea que
utilizamos es Whatsapp. Se ha demostrado varias veces que, desde las
primeras versiones, éste es inseguro. Inicialmente, las
conversaciones iban en claro (lo que en determinados entornos
wireless hace que puedan leerse las conversaciones), el proceso de
autenticación era vulnerable a suplantación, etc,... Con la compra
de Whatsapp por parte de Facebook, a los usuarios se nos abren todo
tipo de nuevos miedos, puesto que la política de privacidad de
Facebook es bastante más relajada y si bien podía darse el caso de
usuarios que no tuvieran cuenta en la red social, pero sí utilizasen
Whatsapp ¿qué pasará con sus conversaciones futuras? ¿y con las
pasadas?
Si bien han surgido una miríada de alternativas como Snapchat,
Viber, Line, etc,... parece que a día de hoy (20/05/2014) es
Telegram la que plantea un paradigma basado en la seguridad desde
todos los puntos de vista, con la posibilidad de cifrado de las
comunicaciones, auto-destrucción de las mismas, etc,... El problema
sigue siendo el de siempre: nos tenemos que fiar que el proveedor de
servicio en Rusia, respete nuestra privacidad y los datos
almacenados en sus servidores no sean utilizados para otra cosa
8. En su opinión, ¿qué grandes cambios ha aportado la tecnología al espionaje?
Como medio por el que los usuarios podemos ser espiados, los avances
tecnológicos de los últimos 50 años han llevado como denominador
común la utilización de ordenadores y servidores conectados entre sí
para generar la evolución de todo lo que conocemos, para hacernos la
vida más fácil. Desde el sector industrial, pasando por el personal
(los que llevamos un smartphone en el bolsillo, llevamos un
ordenador encima), domótica en nuestras casas (para hacernos la vida
más cómoda), social (todo se hace desde ordenadores, incluso la
declaración de la renta), etc... Habiéndose cumplido con creces el
sueño de Bill Gates, en el que cada hogar tiene un ordenador (y
bastantes, más de uno), y siendo el software (y a veces el
hardware), susceptible de diferentes vulnerabilidades que permiten
comprometer dispositivos completos, esta claro que el habernos
ligado tanto a la tecnología para nuestro quehacer diario, nos pone
en el punto de mira para poder ser espiados.
Como medio para poder espiar, está claro que la tecnología sirve
como herramienta, a aquellos que quieran espiarnos, para poder
llevar a cabo sus objetivos cómodamente y en remoto. Incluso
utilizando soluciones de cifrado en comunicaciones o en la
protección de nuestra información, gracias a la tecnología y la
computación distribuida, es posible romper esquemas de cifrado, en
tiempos récord, que en otras épocas era impensable.
9. Estamos en un momento de debate sobre el espionaje preventivo. ¿Tienen razones millones de personas para pensar que están siendo espiados por grandes corporaciones y gobiernos o se trata simplemente de un cambio de modelo social al que debemos acostumbrarnos?
Por supuesto que sí. En muchos casos de forma justificada y por
"seguridad nacional" (sobre todo en USA escudándose en el Patriot
Act) parece que hay carta blanca para poder hacer cualquier cosa.
Desde poner puertas traseras en dispositivos hardware que
interconectan tráfico en Internet, hasta introducir vulnerabilidades
como Heartbleed o debilidades en protocolos de cifrado, conocidas
por no se sabe quién, con el fin de poder acceder a información
sensible de usuarios. Y esto es lo que sabemos... seguramente la
punta del iceberg de lo que realmente puede existir, que nos
parecería ciencia ficción.
Si pensamos en malware hecho a medida o ataques dirigidos en
entornos industriales (como la Operación Aurora en Google China,
malware como Stuxnet, Duqu, Flame, Careto, etc,...) que llevan años
ejecutándose hasta haber sido descubiertos, con unos niveles de
sofisticación increibles y explotando vulnerabilidades 0Day
impensables, lo que se puede estar gestando para espiar en los
próximos años escapa a nuestras mentes.
Las revelaciones expuestas al mundo por parte de Julian Assange o
Edward Snowden por ejemplo, no hacen más que abrirnos los ojos ante
lo que realmente sucede por parte de gobiernos, y la colaboración
entre diferentes empresas punteras en tecnología a la hora de
incluir puertas traseras en su propio software/hardware para poder
permitir acceso cuando sea necesario.
10. ¿Existe la privacidad total una vez que un individuo tiene un ordenador o smartphone y está conectado a internet?
Rotundamente NO. De hecho, no existe la privacidad total, y en
muchos casos, dependiendo de las condiciones de la conexión y del
dispositivo utilizado, ni siquiera la privacidad parcial. Muchas
veces somos nosotros mismos, los usuarios, los que enviamos a las
empresas nuestra propia información. Somos nosotros los que
conscientemente enviamos, con fines de backup, el historial de
llamadas que hacemos desde un dispositivo móvil (obviamente, no el
contenido de la llamada, pero sí el origen, destino, fecha/hora y
duración de la llamada). Aunque por otra parte, somos incapaces de
saber si el contenido de la llamada está siendo grabada o procesada
en algún otro sitio. De hecho, proyectos como Echelon o Carnivore
por ejemplo, llevan operando desde hace años analizando nuestras
comunicaciones en busca de posibles amenazas a algunos gobiernos.
0 comments :
Publicar un comentario