Cuando un ‘exhacker’ avisa de que el software que compramos no es seguro

Es un mundo cada vez más complicado para aquellos que usamos móviles y ordenadores para desarrollar nuestra vida diaria. Es decir, para la práctica totalidad de mortales y de empresas sobre la faz de la tierra. O eso es, al menos, lo que nos suelen explicar los que se dedican a protegernos. Uno de ellos es Chris Wysopal, experto en seguridad informática y cofundador y CTO de Veracode. Fue miembro del colectivo hacker L0pht, ubicado en Boston, Massachusetts, entre 1992 y 2000. En 1998, este grupo aseguró que el software que entregaban los proveedores de software era inseguro y que, a pesar de ello, las autoridades no les exigían responsabilidades por ello. En su opinión, había pocas regulaciones gubernamentales o de la industria para poner freno al software y los dispositivos inseguros, y que los plazos para comercializar los productos pasaban por encima de la seguridad. "Somos capaces de tumbar internet en 30 minutos", aseguraron entonces.

20 años después, Wisopal mantiene sus avisos y sus advertencias contra la industria del software, Avisa, cómo no, de que estamos expuestos a muchos ataques. La peor parte, sin embargo, se la llevan (al menos por ahora) las empresas. "El riesgo para un ciudadano medio lo establecería en un 4 sobre 10", explica Wisopal en una entrevista llevada a cabo mediante cuestionario. "Los atacantes están mucho más interesados en las empresas, ya que tienen activos de mayor valor".  

• Las empresas, más rentables

Esta no es una opinión compartida por todos. Según datos del Ministerio de Interior, en 2017 hubo en España 123.064 incidentes relacionados con la ciberseguridad. De ellos, solo 885 se dirigieron a los llamados operadores críticos, como centrales eléctricas, bancos, etcétera. La inmensa mayoría recayeron sobre ciudadanos comunes, según explicó recientemente a EL PAÍS RETINA Alberto Hernández Moreno, director general del Instituto Nacional de Ciberseguridad (Incibe). “Al final, los cibercriminales se mueven por la relación coste-beneficio. Cuando desarrollan algo muy sofisticado es porque va dirigido a alguna organización de la que van a sacar muchísimo dinero, pero normalmente sale más a cuenta obtener un poquito de muchos”, opina.

Wisopal centra sus advertencias sobre los desarrolladores de software. Algunos, en su opinión, "sí que tienen cuidado" a la hora de desarrollar sus productos. "Especialmente aquellos con una importante imagen de marca por proteger. Pero muchos otros no [tienen suficiente cuidado] y simplemente esperan que si se descubre que sus productos son inseguros puedan resolverlo rápidamente antes de que los atacantes perjudiquen demasiado a sus clientes". Hoy en día, con el "alto riesgo del mundo online", toda empresa que desarrolle software debería tener en cuenta la seguridad en el momento en que está desarrollando sus productos.

En su opinión, el software de código abierto puede ser igual de seguro que el de código cerrado. "Los desarrolladores de código abierto pueden formarse en seguridad y utilizar las pruebas de seguridad para asegurar que su software es igual de seguro que el software comercial de código cerrado". Pero este no es, en su opinión, la clave. "La cuestión sobre no debería ser si se trata de código abierto o cerrado, sino qué se ha hecho para asegurar que ese software sea seguro cuando llega a los clientes".

Para este exhacker la clave para ofrecer software seguro radica en adoptar la mentalidad, precisamente, de los piratas: "Los profesionales de la seguridad deben asegurarse de que sus esfuerzos se mantengan al ritmo de la velocidad vertiginosa" con la que operan los hackers modernos. Una forma de hacerlo es alentar a estos constructores a mirar la seguridad a través de los ojos de un pirata informático y unirse al equipo amarillo, nombre por el que se conoce a los hackers que juegan en el bando de los fabricantes.

• Amenaza para los ciudadanos

Volvamos al ciudadano medio que no cuenta en nómina con un experto en seguridad. Wisopal advierte que la mayor amenaza estará en el robo de identidades. "Las empresas tienen dificultades para autenticar online a los consumidores, especialmente a los nuevos clientes", asegura. "Si te roban la información sobre tu identidad es fácil que un atacante se haga pasar por ti para solicitar una línea de crédito o un nuevo servicio. El reto, entonces, es convencer a la compañía de que no fuiste tú".

Evidentemente, todas estas amenazas se incrementan con la proliferación de dispositivos conectados. "El problema con el internet de las cosas es que los dispositivos no han sido construidos para ser seguros", asegura Wisopal. "Y se trata de sistemas de ordenadores en red con todos los problemas de otros ordenadores. Hemos visto errores de seguridad muy básicos como contraseñas por defecto que no se pueden modificar o con software que no admite actualizaciones para resolver problemas de seguridad. 

Esto mismo explicaba recientemente el jefe del Estado Mayor del Mando Conjunto de Ciberdefensa, el Capitán de Navío Enrique Cubeiro. "No somos conscientes de que la amenaza más importante ahora mismo para organizaciones y empresas está en las conexiones a internet".

O Mikko Hyppönen, experto en seguridad informática y privacidad y creador de la Ley Hyppönen sobre ciberseguridad que asegura que "todo lo que es inteligente es vulnerable"."Esta afirmación significa que cuando te dicen que un dispositivo es inteligente lo primero que deberías pensar es que es vulnerable", asegura. "No podemos instalar software antivirus en una lavadora o en una tostadora. Ni siquiera en una televisión inteligente. Así que los vendedores deberían construir la seguridad directamente en sus dispositivos".

"En Reino Unido ya existen regulaciones para que las funciones básicas de seguridad sean obligatorias", añade Wisopal. "Creo que en el futuro habrá estándares de seguridad mínima para IoT igual que los tenemos para dispositivos peligrosos".