lunes, 16 de febrero de 2015

Crimen, seguridad y leyes, todos beben de la misma fuente: La Digital

El mundo digital ha cambiado para siempre nuestra realidad. Cada vez más elementos del nuestro mundo pasan a ser gestionados digitalmente. Entre sus ventajas, la accesibilidad, la inmediatez y el mayor control (monitorización) que ofrece un sistema basado en la informática. Pero con él, llegan también los riesgos.


Según la firma Kaspersky, al menos 100 bancos, la mayoría rusos, ucranianos y chinos, habrían sido objetivo del mayor robo cibernético de la historia, valorado en alrededor de un billón de dólares. Las técnicas usadas han sido varias, desde ingeniería social a trabajadores “de bajo nivel” de las compañías y entidades financieras asociadas, hasta la instalación de malware en ordenadores y dispositivos conectados del banco.

Por Forbes debatían en un artículo en formato long post sobre cómo el crimen está evolucionando en el mundo digital. Y llegaban a la conclusión de que el tracking de dispositivos móviles, el neurohacking y las inteligencias artificiales jugarán (o están jugando) un papel cada vez más crítico en la industria del cibercrimen, llegando incluso a poner en peligro la vida de los usuarios.

Dick Costolo, CEO de Twitter, acaparaba portadas a finales de la semana pasada por unas declaraciones muy humanas: El acoso en línea se ha convertido en un gran problema, y nuestra compañía no está poniendo las barreras necesarias para controlarlo. Teniendo en cuenta que el 40% de las personas han sufrido abusos en la web, el problema no afecta únicamente a la red de microblogging, sino en definitiva a la arquitectura técnica y social de todo internet.

Y pasa lo mismo en materia de seguridad digital. Saber que detrás del protocolo GPG (GnuPG) utilizado por buena parte de los servicios de mailing cifrados, está una sola persona, y que para colmo, se estaba encontrando con problemas ya no solo para mantener un nivel de seguridad aceptable sino incluso para mantenerse él mismo al día con las facturas, reabre el debate sobre la capacidad de generar negocio tras un proyecto open source. Porque Werner Koch tenía la responsabilidad de mantener actualizado él solito uno de los protocolos de comunicación más críticos de Internet. Y ese trabajo no le daba ni tan siquiera el dinero suficiente para pagar su piso.

Afortunadamente, varias donaciones han asegurado que Koch pueda dedicarse exclusivamente a su servicio y contratar a trabajadores para que le ayuden.  Situación que viven muy pocos expertos en auditoría, pese a que el exploit que encuentren ponga en peligro la integridad del negocio de una compañía como Facebook. El último afortunado ha sido Laxman Muthiyah, que encontró la manera de utilizar la Graph API para borrar fotos de contactos, y que fue recompensado con 12,5k de dólares. No corría la misma suerte Khail Shreateh, un palestino que hace ya unos meses informó a la compañía de otro exploit que permitía escribir en el muro de terceros, y que no fue recompensado incluso después de dejar palpable la situación escribiendo en el muro propio de su fundador, Zuckerberg.

Existe por tanto un desequilibrio que crea confusión en el gremio, y que estallaba estos días con motivo de la celebración de la Pwn2Own, una de las conferencias Canadienses más conocidas. ¿Es legal presentar exploits 0-days en una conferencia de un país extranjero? ¿Estaremos con ello incurriendo en un delito? ¿Tenemos que pedir permiso a nuestro gobierno para hacerlo? Preguntas que esperan, a día de hoy, una respuesta clara y concisa por parte de los cuerpos del orden de cada país.

Porque todo al final acaba por afectar a nuestras vidas. Desasociar el mundo digital del mundo real es, y será, una labor cada vez más compleja.

0 comentarios:

Publicar un comentario