Mucho se habla de la ciberseguridad y de los cibercriminales. Pero por alguna razón a pesar de todo, no entiendo bien el cibercrimen, porque hay puntos grises.
Cibercrimen
Se dice que el cibercriminal usa las computadoras de tres maneras: la computadora es el blanco de la diana, es el arma o es un accesorio. Se usa para subvertir el funcionamiento (virus, spyware), borrado o robo de datos, dinero o identidad, ingeniería social (engaños) o actividades ilegales.
- Si hablamos de "legales", miramos todos los países del mundo y vemos sus distintas leyes y distintas culturas jurídicas, y nos preguntamos, ¿cuál país impone la ley, cuál es la jurisdicción del "gobierno mundial" que gobierna internet?
- Si es un crimen, ¿por qué hay gobiernos promoviéndolo y financiándolo? Por un lado se habla de proteger a las personas, pero por otro lado se les vigila, y los gobiernos quieren vigilar a los propios y proteger a los opositores de otros países. ¿Enfoque reversible de cibercrimen?
- Cuando hablamos de robo de datos, en realidad miramos que cada app o programa o servidor puede estar grabando paquetes acerca de tí. Los cookies son una manera de robar información, las apps de móviles piden acceso a tu ubicación en GPS, tus contactos de redes sociales, tus posts, tus imágenes en el móvil, etc. Al final usan tu información como se les antoje y no parece haber ente supervisor que vigile ese robo de datos. ¿Eso no es cibercrimen?
Los motivos de cibercrimen son: dinero, emociones destructivas, impulso sexual, política, religión o "por diversión" (travesura de adolescentes). Entonces tenemos, agresión, víctima y policía, tres etiquetas de un "triángulo del drama". ¿Cómo sabemos que el policía no es agresor? ¿Cómo sabemos que el agresor no es en realidad una víctima? ¿En el relativismo de las etiquetas, quién pone las etiquetas? Y aunque se digan negocio legítimo, al final usan tus datos, tu navegación, para construir un perfil tuyo, y todo por dinero, ¿y eso convierte a las empresas que usan información de los usuarios en cibercriminales?
La ciberseguridad
Cuando se habla de ciberseguridad es como hablar de un oleoducto seguro. Entra material en un lado de la tubería, pasa por un tubo, y sale por el otro lado. Al final toda la seguridad se reduce a varios problemas básicos para la custodia de lo que pasa por la tubería:
- La llave y las puertas traseras
- Seguridad del lado equivocado
- La tubería
La llave y las puertas traseras
Para robar en el oleoducto se diseña seguridad, y te pintan la imagen de un castillo medieval con fosa con agua y una única entrada. Entonces el problema se resume a un asunto de custodia de la llave de la puerta. Pero si te quedas afuera con las llaves adentro o viceversa, quizás quieras crear puertas traseras, un acceso privilegiado para alguien. ¿Quién es ese que tiene más derechos y privilegios? ¿Por qué debe tenerlos? Si se trata de alguien responsable, no importa, pero ¿y si el custorio de las llaves o el que accede a la puerta secreta no es tan honesto?
La ingeniería social trata de conseguir llaves para entrar, por medio del spam, phishing y otros medios. Sin embargo existen otros tipos de agujeros "exploit" de seguridad donde no hay intervención del usuario. Si tu ordenador fuera un coche, esencialmente toma el control del coche o lo frena o le usa para propósitos que no eran los que tenías en mente al usar el coche.
Hay distintas hipótesis acerca de por qué existen las puertas traseras. Unas dicen que son el producto de la incompetencia de los diseñadores, y otros dicen que fueron colocadas intencionalmente para ser utilizadas por el gobierno o algún ente o persona con propósitos sombríos.
Seguridad del lado equivocado
El accidente del Airbus A320 mostró que la seguridad de las puertas se diseñó del lado equivocado. Entre una jaula segura y una trampa, la única diferencia es el lado en que está el depredador. En el Airbus se presumio que el depredador es un pasajero, la presunción del 11S, y las puertas no se podían abrir desde afuera. Pero el depredador estaba dentro, y por eso todos murieron. La seguridad estaba del lado equivocado.
Quizás por eso es que los que vigilan a la gente en internet vigilan a todos, porque quieren seguridad, aunque eso de la seguridad no es tan cierto. Sólo mira quienes se enteran de cosas que deberían ser secretas. ¿Acaso la información secreta está en manos de algunos millones de personas? ¿Acaso el secreto de un país es manejado por outsourcing en otro país? ¿Y los estándares de seguridad de la empresa de outsourcing que hace outsourcing son los mismos? ¿Acaso contratan a los empleados por confiables, o sólo por ser baratos y sobornables?
¿Cómo sabes que el custodio de la llave no es el ladrón? ¿Cómo sabes que el soldado dentro del castillo no le abrirá la puerta a los invasores?
La tubería
Si vas a robar lo que pasa por la tubería, sólo debes perforar un agujero. la infraestructura informática está llena de agujeros. El Wifi puede presentar problemas de seguridad, o incluso debilidades de los dispositivos mismos, o a veces hasta los vigilantes de la tubvería trabajan para el otro bando.
¿Alguien garantiza el vallado de toda la tubería? Los bancos mismos dicen ser seguros, pero en lugar de gastar en hacer segura su infraestructura y afirmar ser inexpugnables, venden seguros contra robos online, y así dejan de gastar y obtienen ingresos con la falta de seguridad. Es como cobrar un seguro contra invasión de muralla china, ahorrándose los costos de contratar guardias.
Hay bancos que sí tienen empleados enclaustrados y encerrados, aislados del mundo. ¿Acaso ese seretismo sirve para ocultar lavado de dinero también? Es que para el banco el dinero ilegal es una captación, una recapitalización, un rescate, y no hay muchos motivos de negocios para andar supervisando el origen de los dineros.
El dinero lavado tiene como clientes a los políticos corruptos, a los mafiosos, a los espías, a los terroristas. Y una tubería demasiado segura en un banco sin motivos reales para vigilar ilegalidad de sus clientes, puede terminar promoviendo el crimen con su seguridad, en cuyo caso el concepto de cibercrimen parece ser promovido por el exceso de seguridad y secretismo, porque el lavador de dinero necesita secreto, opacidad y anonimato para operar.
Miras programas como Ultrasoft que facilita el anonimato de opositores en China, pero ¿eso no le sirve también a los "cibercriminales"? ¿Entonces, los opositores en Chian están en la misma tubería de los cibercriminales? ¿Son ellos también cibercriminales?
Miras los bugs persistentes de Excel donde abres workbooks en blanco en Excel de Microsoft , o abres hojas existentes y el programa no te deja pasarse a ellas. Es claro que o los programadores son deficientes, o los estándares de diseño de Office son deficientes, o simplemente hay agujeros de seguridad que permiten que un bug semejante se cole de manera tan persistente y permanente. Y claro, negar su existencia es la manera en que se vuelve seguro. Si se les cola un bug semejante, yo me pregunto si acaso no se les puede colar un spyware de un "insider" también.
Sabemos que Windows fue un DOS con esteroides. Por razones de arquitectura no era tan seguro como los sistemas basados en Unix. Y la adquisición de compañías apunta a una cultura de poca innovación, donde se compra todo hecho en lugar de desarrollarlo. Y entonces es posible que la descoordinación de culturas corporativas distintas que resultan de las adquisiciones, pueda jugar un rol en los bugs, y quizás en las vulnerabilidades también. ¿O será porque ahora los desarrolladores están al otro lado del mundo en un país que no es precisamente amigo del país de la casa matriz? Tantas pueden ser las posibles explicaciones, pero no apunta a un diseño donde el bosque fue diseñado, sino donde los árboles se plantan arbitrariamete sobre la base de la comodidad o la necesidad inmediata.
Ahora bien, si por una tubería pasa petróleo, por una red pasa dinero electrónico. Pero a diferencia del oleoducto el dinero no es un fluido, sino un concepto. ¿Cómo se transporta y custodia por una tubería un concepto que es abstracto?
Se dice que el cibercrimen está al alza, y quizás eso sea porque el concepto de ciberseguridad, blanco y negro, está lleno de grises, lo que permite inflar los números. O tal vez se trate sólo de un asunto entre gobiernos, o tal vez se trate de puro marketing para vender, o tal vez es real.
Miras comentarios contradictorios, noticias que hablan de alza en cibercrimen, y también clientes que dicen que nunca han tenido problemas con sus compras online. ¿Cual es al realidad?
Inconsistencia
El problema de tanto gris es que al tratar de pasar a blanco o negro, es muy fácil asumir que los grises son de uno color u otro. Si no hay una definición concreta y genérica, ¿Cómo va a la gente de distintas culturas a entenderla?
Miramos el concepto de propiedad intelectual, por ejemplo, que originalmente venía del monopolio de las imprentas, y que se convierte en un concepto de propiedad sobre las ideas. ¿Acaso adueñarse de las ideas no es una manera de impedir la comunicación y la libertad de expresión? Los dipolos extremistas nunca conducen a nada bueno, y cuando la interpretación es ambigua, la inconsistencia se vuelve arbitrariedad de dictadura.
Con una definición inconsistente de ciberseguridad, donde quieren algo seguro pero lleno de puertas abiertas para entar si es necesario, entonces termina siendo como ordenar subir hacia abajo, y luego bajar hacia arriba.
Un diseño seguro
Un diseño seguro es uno donde no haya lado equivocado y todos sean amigos, donde no sea necesario cuidar la llave porque nadie entrará con malas intenciones, y con tuberías cortas donde es imposible abrir agujeros.
Suena a utopía de soñador, pero hay utopias del pasado que hoy son reales. En la antigüedad no existía el concepto de estado de derecho o de derechos y deberes ciudadanos, algo que es hoy algo que damos por hecho. El diseño seguro vendría cuando la canción sea una realidad, una canción que decía "con más gente a favor de gente en cada pueblo y nación, habría menos gente difícil y más gente con corazón".
Y si eres usuario en ambiente inseguro sólo debes cuidar las llaves evitando los engaños, cuidarte de la falsa seguridad del lado equivocado, y mantener tu porción de tubería sin invasores. Es decir, evitar en la medida de lo posible que te usen por engaño o descuido para entrar. Y claro, eso no basta, pero ayuda. El resto le toca a los expertos de la TI.
Sin una definición clara
Puedo entender la molestia de un usuario cuando algo no funciona, ya sea porque alguien le adulteró la computadora, o porque el Internet Service Provider (ISP) no funciona como debiera y corta descargas o se cae, o cuando un software presenta bugs, conductas que no deberían ser, o cuando el ISP ralentiza la conexión para ganar más dinero ofreciendo un peor servicio, o cuando un software es incómodo de usar. Puedo entenderlo y solidarizarme con el usuario que no altera negativamente la vida de nadie, especialmente cuando ser usuario es su trabajo, el que le pone pan en la mesa, y el incidente amenaza ese pan sobre la mesa.
Puedo entender cuando algo que pasa en internet causa esas molestias, pero desafortunadamente no entiendo el concepto de cibercrimen, porque está lleno de grises y no hay una Real Academia de Internet, ni tampoco un gobierno de la República de Internet que diga a ciencia cierta lo que es un cibercrimen de una manera en que cualquier niño de cualquier cultura pueda comprenderlo. Supongo que será que mi nivel no está a la altura para comprenderlo, y entonces agradecería que los que lean, me lo aclaren.