18 enero 2016

Libro: El Quinto Elemento


Hace casi un par de años que contactó conmigo el periodista Roberto Ruiz Ballesteros, formulándome unas preguntas que servirían como fuente para un libro que estaba escribiendo el conocido Alejandro Suarez Sanchez-Ocaña, autor del libro "Desnudando a Google".

Para mí fue un placer contestar las preguntas formuladas y estuve a la espera de noticias de Alejandro, para la publicación del mismo.

A finales de 2015, recibí un correo en el que se me invitaba a la presentación de un libro llamado El Quinto Elemento, que como pude comprobar posteriormente, tuvo una gran repercusión mediática. 

El evento se celebró en la antigua discoteca Pachá de Madrid, con speech del presidente de Ediciones Deusto y de Alejandro, dando sentido a todo un despliegue de "chicas soldado" con una careta dorada de Guy Fawkes, a modo de escoltas. Fundamentalmente explicó, al igual que se hace en el libro, que la Tercera Guerra Mundial no tiene fecha, sino que ya ha comenzado y que el elemento en el que se está desarrollando es el Quinto Elemento: el Ciberespacio.

Por supuesto, aproveché para hacerme con una copia firmada del libro, y comencé a devorarlo en los pocos momentos sueltos que me quedaban a fin de año. 

La obra es bastante interesante. Para mi gusto, la parte más curiosa es en la que se habla de espionaje industrial, así como de ciberguerra, en los que el autor narra diversas historias relacionadas con las acciones que se llevan a cabo para espionaje entre países. Agencias de gobiernos como el chino, americano o israelí se lo pasan bomba adelantándose a averiguar qué está haciendo el contrario. Incluso el gobierno francés espió, según se dice en el libro, al gobierno de Zapatero para ver cuáles serían los pasos del equipo socialista ante la crisis económica. Para ello reutilizó un malware llamado Babar, que habían utilizado previamente en Irán para otros menesteres. 

El Quinto Elemento habla de ciberguerra, ciberterrorismo, ciberseguridad y un montón de cosas más que empiezan por “ciber”. Asimismo se tocan temas ya manidos como la Deep Web, las revelaciones de Edward Snowden y el Internet de las Cosas, así como la explicación de diversas campañas de tipo Advanced Persistent Threat, pero todo ello explicado de una manera amena, con un lenguaje fresco, que deja entrever las preferencias y expresiones del autor ante determinados temas. 

En mi experiencia, la compra de este libro fue muy recomendable, porque no se me hizo aburrido ni un capítulo y me enteré de cosas que no sabía.

Y diréis: claro, ¡cómo no lo va a recomendar Lorenzo, si ha participado en el libro y seguro que hasta aparece en él! Pues estáis equivocados, finalmente decidieron que no hubiera testimoniales, menciones ni créditos, por lo que soy totalmente objetivo en la recomendación.

Bajo estas líneas, os dejo aquellas preguntas que me hicieron, para las que dí contestación. Tened en cuenta que el correo lo empecé a contestar el 6 de Mayo de 2014 en un avión, y que lo que menciono como "últimos escándalos de seguridad", son los conocidos en esas fechas: 

1. ¿Le sorprendió cuando salió a la luz que la NSA espiaba a dirigentes aliados? ¿Por qué?

Sinceramente, no. Cuando no sabes quiénes son tus amigos y quiénes tus enemigos, lo mejor es espiar a todos y así sales de dudas. La NSA es el caso que está en boca de más gente, pero todas las grandes superpotencias y países con menor poder ciber-armamentístico (como España, por ejemplo) tienen la capacidad de llegar muy lejos en cuanto a técnicas de ciberguerra y espionaje informático se refiere. Países como Rusia, China, Reino Unido o Estados Unidos disponen de unos adelantos que ni siquiera imaginamos. Lo que vemos ahora en las noticias, así como las piezas de malware que van apareciendo, vulnerabilidades puestas "a posta" como Heartbleed por ejemplo, están ahí desde hace años y salen a la luz ahora. Las vulnerabilidades que se estén utilizando con fines de ciberespionaje ahora mismo, las conoceremos dentro de varios años, y será un shock inmenso... y así podremos seguir sucesivamente. 


Es muy difícil para un país que tiene ese poder, aprovechar esas técnicas únicamente a los países que puedan suponer un peligro. Para ser el primero de todos, en un mercado tan competitivo, en el que la ética está en un segundo plano, hay que adelantarse a lo que hacen los demás, sean amigos o enemigos.



2. ¿Cree que pudo haber dirigentes que se rasgaran públicamente las vestiduras al conocer el espionaje masivo aunque en el fondo conocían que esto pasaba?


No me cabe la menor duda de ello. Y ahora todo son buenas intenciones para regular lo que se puede y lo que no se puede espiar, en las que si no se cumplen, y se descubren a los infractores, seguramente se les castigará con una sanción económica. ¿Y qué? Se paga la sanción económica y se argumenta cualquier necesidad o sospecha. El ejemplo más claro con que las leyes no son para todos, son aquellas relacionadas con el respeto al medio ambiente. Los países prefieren pagar las sanciones que acarreen la emisión del exceso de CO2, o incluso comprar su cuota a otro país, a costa de incrementar su PIB... Mientras el castigo sea económico, hay países que lo asumen y ya está. 
Todos los países destinan partidas de presupuesto libres de explicaciones (o fondos reservados) a programas de espionaje y defensa (tanto en el mundo físico como para ciberguerra). Por tanto, que se descubra que un país espía a todos los demás, no sorprende porque todos hacen lo mismo con todos: "The knowledge is the power"


3. ¿Cualquier persona con ciertos conocimientos técnicos puede espiar a otro, hackearle o robarle documentos confidenciales?

No es tan tan trivial como se plantea en la pregunta, pero digamos que hay personas, grupos y organizaciones, en general, fuertemente motivados económicamente, que son capaces de maquinar un plan basado en diferentes técnicas, que no tienen por qué ser de hacking de sistemas puramente, para conseguir información de determinados sitios. Cierto es que con suficiente presupuesto, es posible comprar vulnerabilidades aún no publicadas (los llamados zero-days) así como desplegar malware desarrollado a medida, no detectable por software antivirus, por lo que acotando mucho a los orígenes como los destinos, se puede decir que sí.


4. ¿Considera que la legislación está a la altura de las posibilidades técnicas que hay para espiar o esto es una ciberguerra en la que se impone la ley del más fuerte?

En mi opinión, la legislación va siempre con años de retraso ante los delitos de hoy en día. Es más, la legislación depende de cada país. En cuanto a lo que en nuestro país consideramos como delitos informáticos, hasta donde yo sé, no están tipificados como delitos en tratados de derecho internacional. Cuesta un montón de tiempo poner de acuerdo a gente de culturas similares para que aprueben una ley, como para poner de acuerdo a todos los países a la vez... En cuanto a ciberguerra se refiere, no hay Tratados de Ginebra, aquí sí que todo vale y nada se respeta, como ha quedado patente, ni la intimidad de los inocentes usuarios.


5. ¿Es posible establecer acuerdos entre países para evitar el ciberespionaje?

Acuerdos se pueden establecer todos los que se quiera. Que se respeten es otra cosa. La diferencia entre una "tregua/pacto/acuerdo" para la paz "física" es algo palpable y comprobable. En el caso de la ciberguerra, ocultar tu origen es más sencillo, por lo que el riesgo a que te pillen cuando el espionaje entre gobiernos se trata, es aún menor. 

6. ¿Entiende que el espionaje ha existido siempre y siempre existirá?


Desde que ha habido guerras en las civilizaciones, ha existido la necesidad de saber qué hace el bando contrario. La idea es siempre la misma, adelantarte a sus ataques y poder defenderte, o atacar en un momento que sabes que no tienen defensa. Ya en la Segunda Guerra Mundial, los ingleses, con Alan Turing a la cabeza, y gracias a las investigaciones que comenzaron los polacos, fueron capaces de descifrar los mensajes cifrados con la máquina Enigma, que enviaban los alemanes.
Igualmente, tal cual los libros y las películas de Hollywood nos han mostrado una y otra vez, la necesidad de saber qué hacen los demás, ha existido siempre y siempre existirá. Sucede en muchos sectores de nuestro entorno, aunque los que más impacto nos produce su descubrimiento son los relacionados con la revelación de secretos industriales, económicos y por supuesto en el que los protagonistas son los servicios de inteligencia de superpotencias mundiales (es decir, gobiernos).


7. ¿Entiende que hay algunos consejos que se pueden dar a la ciudadanía para evitar que le espíen?



El problema es más complejo de lo que parece, porque si queremos estar adaptados al siglo en el que vivimos, tenemos obligatoriamente que ser consumidores de servicios online, modas que hacen que nos quedemos atrás si no lo hacemos. No me refiero a la interacción con redes sociales, que hay gente que incluso no tienen cuentas. Simplemente el hecho del envío de un correo electrónico no cifrado desde el origen (es decir, utilizando una tecnología bastante vieja: PGP/GPG) es susceptible de ser monitorizado. La utilización de dispositivos inteligentes como smartphones o tablets que tienen una conexión con Internet, que hacen backups "automáticos" en la nube, que se comunican con el fabricante de forma silenciosa y no controlable por el usuario, ya nos hacen susceptibles de ser espiados. Nuestras llamadas de teléfono ya sea fijo o móvil, en algún punto de las operadoras irá en claro, y en ese momento, aunque sea por el prestador del servicio, estamos a su merced. Si un juez o un servicio de inteligencia decide que eres sospechoso y que tus conversaciones son importantes para un determinado caso, alguien más aparte de tu interlocutor, sabrá de lo que has hablado, sea o no relevante. Obviamente, si se quiere vivir en el siglo que marca el calendario, no se puede vivir desconectado del mundo, por lo que hay que asumir algunos riesgos a la hora de usar ciertos servicios.
Sin embargo, es sabido que Google, que nos ofrece un sinfín de servicios de forma gratuita a cambio de "nada", procesa nuestras comunicaciones para ofrecernos publicidad adecuada y afinada, en base al contenido de lo que hablamos. 
En los últimos años, el programa rey de mensajería instantánea que utilizamos es Whatsapp. Se ha demostrado varias veces que, desde las primeras versiones, éste es inseguro. Inicialmente, las conversaciones iban en claro (lo que en determinados entornos wireless hace que puedan leerse las conversaciones), el proceso de autenticación era vulnerable a suplantación, etc,... Con la compra de Whatsapp por parte de Facebook, a los usuarios se nos abren todo tipo de nuevos miedos, puesto que la política de privacidad de Facebook es bastante más relajada y si bien podía darse el caso de usuarios que no tuvieran cuenta en la red social, pero sí utilizasen Whatsapp ¿qué pasará con sus conversaciones futuras? ¿y con las pasadas?
Si bien han surgido una miríada de alternativas como Snapchat, Viber, Line, etc,... parece que a día de hoy (20/05/2014) es Telegram la que plantea un paradigma basado en la seguridad desde todos los puntos de vista, con la posibilidad de cifrado de las comunicaciones, auto-destrucción de las mismas, etc,... El problema sigue siendo el de siempre: nos tenemos que fiar que el proveedor de servicio en Rusia, respete nuestra privacidad y los datos almacenados en sus servidores no sean utilizados para otra cosa


8. En su opinión, ¿qué grandes cambios ha aportado la tecnología al espionaje?


Como medio por el que los usuarios podemos ser espiados, los avances tecnológicos de los últimos 50 años han llevado como denominador común la utilización de ordenadores y servidores conectados entre sí para generar la evolución de todo lo que conocemos, para hacernos la vida más fácil. Desde el sector industrial, pasando por el personal (los que llevamos un smartphone en el bolsillo, llevamos un ordenador encima), domótica en nuestras casas (para hacernos la vida más cómoda), social (todo se hace desde ordenadores, incluso la declaración de la renta), etc... Habiéndose cumplido con creces el sueño de Bill Gates, en el que cada hogar tiene un ordenador (y bastantes, más de uno), y siendo el software (y a veces el hardware), susceptible de diferentes vulnerabilidades que permiten comprometer dispositivos completos, esta claro que el habernos ligado tanto a la tecnología para nuestro quehacer diario, nos pone en el punto de mira para poder ser espiados.
Como medio para poder espiar, está claro que la tecnología sirve como herramienta, a aquellos que quieran espiarnos, para poder llevar a cabo sus objetivos cómodamente y en remoto. Incluso utilizando soluciones de cifrado en comunicaciones o en la protección de nuestra información, gracias a la tecnología y la computación distribuida, es posible romper esquemas de cifrado, en tiempos récord, que en otras épocas era impensable.



9. Estamos en un momento de debate sobre el espionaje preventivo. ¿Tienen razones millones de personas para pensar que están siendo espiados por grandes corporaciones y gobiernos o se trata simplemente de un cambio de modelo social al que debemos acostumbrarnos?



Por supuesto que sí. En muchos casos de forma justificada y por "seguridad nacional" (sobre todo en USA escudándose en el Patriot Act) parece que hay carta blanca para poder hacer cualquier cosa. Desde poner puertas traseras en dispositivos hardware que interconectan tráfico en Internet, hasta introducir vulnerabilidades como Heartbleed o debilidades en protocolos de cifrado, conocidas por no se sabe quién, con el fin de poder acceder a información sensible de usuarios. Y esto es lo que sabemos... seguramente la punta del iceberg de lo que realmente puede existir, que nos parecería ciencia ficción. 
Si pensamos en malware hecho a medida o ataques dirigidos en entornos industriales (como la Operación Aurora en Google China, malware como Stuxnet, Duqu, Flame, Careto, etc,...) que llevan años ejecutándose hasta haber sido descubiertos, con unos niveles de sofisticación increibles y explotando vulnerabilidades 0Day impensables, lo que se puede estar gestando para espiar en los próximos años escapa a nuestras mentes.
Las revelaciones expuestas al mundo por parte de Julian Assange o Edward Snowden por ejemplo, no hacen más que abrirnos los ojos ante lo que realmente sucede por parte de gobiernos, y la colaboración entre diferentes empresas punteras en tecnología a la hora de incluir puertas traseras en su propio software/hardware para poder permitir acceso cuando sea necesario.


10. ¿Existe la privacidad total una vez que un individuo tiene un ordenador o smartphone y está conectado a internet? 

Rotundamente NO. De hecho, no existe la privacidad total, y en muchos casos, dependiendo de las condiciones de la conexión y del dispositivo utilizado, ni siquiera la privacidad parcial. Muchas veces somos nosotros mismos, los usuarios, los que enviamos a las empresas nuestra propia información. Somos nosotros los que conscientemente enviamos, con fines de backup, el historial de llamadas que hacemos desde un dispositivo móvil (obviamente, no el contenido de la llamada, pero sí el origen, destino, fecha/hora y duración de la llamada). Aunque por otra parte, somos incapaces de saber si el contenido de la llamada está siendo grabada o procesada en algún otro sitio. De hecho, proyectos como Echelon o Carnivore por ejemplo, llevan operando desde hace años analizando nuestras comunicaciones en busca de posibles amenazas a algunos gobiernos.