“Todo software tiene vulnerabilidades hasta que se demuestre lo contrario”

El 19 de mayo de 1998, siete jóvenes de traje y con nombres inventados se sentaron ante el Congreso de los Estados Unidos para hablar de seguridad informática. Formaban parte del colectivo de hackers —en este caso más ciberexpertos que piratas informáticos— conocido como el L0pht y pasaron a la historia del sector por la contundencia de sus advertencias. Cualquiera de ellos tenía las habilidades para tumbar internet en menos de media hora, avisaron.

Uno de ellos era Weld Pond, conocido en su vida anterior y posterior como Chris Wysopal (Connecticut, 55 años). En sus intervenciones de aquel día señaló la falta de rendición de cuentas por parte de las compañías de desarrollo de programas informáticos y puso de ejemplo el sistema de extracción de contraseñas que había desarrollado con sus camaradas: “Antes de su lanzamiento, los expertos en seguridad aseguraban que se tardaría miles de años en descifrar una contraseña de Windows NT —sistema operativo dirigido a empresas—. Nuestro programa puede hacerlo en días e incluso horas”.

Pasados 23 años de aquella cita, el experto en seguridad informática y cofundador de la plataforma de revisión de código Veracode hace un balance agridulce de la comparecencia: “Estábamos tratando de crear conciencia de que la gente que estaba construyendo programas informáticos podían hacer un mejor trabajo y ofrecer sistemas seguros. Desde ese punto de vista, tuvimos éxito. Las cosas han mejorado, pero no lo suficiente”, razona el experto, que intervino la semana pasada en el evento tecnológico Collision, durante una entrevista por videollamada.

Wysopal vio nacer y crecer la industria de la seguridad informática. En sus inicios buscó vulnerabilidades —problemas que pueden ser explotados por cibercriminales— leyendo línea a línea el código de los programas y ahora lidera la división tecnológica de Veracode, una herramienta capaz de detectar estos fallos de forma automatizada y en multitud de lenguajes de programación en los productos de más de 2.500 clientes. Según la última entrega del informe del estado del sector que la compañía elabora desde hace más de una década, el 24% de las aplicaciones presentan fallos muy graves de seguridad.

Pregunta. ¿Necesitamos otra llamada de atención?

Respuesta. Nuestra llamada de atención fue teórica. Ese es uno de los inconvenientes de la investigación en seguridad. Dices que has encontrado unos fallos que pueden ser explotados y asumes que se van a arreglar antes de que alguien haga algo malo con ellos. En aquel entonces, la sensación era que nadie más podía hacer algo así. Nosotros conocíamos a un montón de gente capaz. Sabíamos que no éramos especiales. Pero para alguien sin nuestras habilidades, esto parecía magia negra. En aquel entonces, todo era teórico. La gente no actúa sobre teorías. Pero ahora tenemos ejemplos concretos ocurriendo todo el tiempo. Hace 23 años pusimos estas ideas sobre la mesa, pero no ha habido acción hasta que han empezado a ocurrir ataques realmente devastadores. Por desgracia ese es el modo en que funciona el mundo.

P. Ha seguido insistiendo en la necesidad de que las empresas se responsabilicen de sus productos informáticos. ¿Ve manera de que dejen de ser los ciudadanos quienes paguen el coste?

R. Es muy difícil cambiar eso. Hay mucho programa informático abierto ahí fuera y muchas startups ―empresas tecnológicas emergentes― trabajando en proyectos innovadores que no verían la luz si se les pusieran un montón de restricciones legales.

Además, es muy complicado que el consumidor promedio pueda marcar la diferencia porque no tiene influencia económica. Pero por ejemplo, el gobierno de los Estados Unidos o las grandes empresas tienen una ventaja económica tremenda. Si ellos hacen que los fabricantes creen mejores programas, los consumidores notarán el impacto. Lo mejor que los usuarios individuales pueden hacer es asumir que sus aplicaciones son vulnerables y asegurarse de actualizarlas.

P. ¿Seguimos exigiendo menos a los bienes y servicios digitales que a lo físico?

R. Sí. Las tratamos de forma diferente, pero tienen valor y pueden dañarnos. Creo que ahora que el software está cruzando al mundo físico, empezamos a entenderlo. Hablamos de infraestructuras críticas como presas y centrales eléctricas, y eso lo hace más real. El lado malo de lo virtual se está volviendo más relevante para la gente normal, porque estamos utilizando la tecnología de otra manera.

P. ¿Puede una herramienta como Veracode detectar cualquier tipo de vulnerabilidad?

R. El viejo tipo de ciberdelincuente que hinca los codos y profundiza en una pequeña parte de un programa informático aún puede encontrar cosas que son únicas y que no detectamos a escala. Ese miedo sigue ahí. Pero lo que intentamos hacer es quitarnos de encima las otras cien cosas que sabemos resolver. Si no abordas eso, eres una presa fácil para cualquiera que quiera explotar tu software.

P. ¿Siguen siendo necesarias esas revisiones línea a línea?

Si eres una gran tecnológica o trabajas con sistemas críticos, tienes que hacer ambas: automatizada y manual. Pero no creo que todos los programas lo exijan. Hay miles y miles de proveedores de software. Echa un vistazo a tu teléfono. Tendrá un centenar de aplicaciones de diferentes compañías. ¿Quién sabe quién las escribió? Ese es el problema que estamos intentando resolver, el de la empresa mediana. Creo que podemos bajar ese 24% de vulnerabilidades muy graves al 1% haciendo todo lo que muchas compañías están dejando de hacer porque dan más prioridad al tiempo que tardan en llegar al mercado o al futuro.

P. ¿Complica las cosas la evolución de los métodos y objetivos de los atacantes?

R. Sí. En los noventa, la finalidad era sencillamente hacer una demostración, o dejar mal a una empresa dejando inservible su página. Ahora las mismas vulnerabilidades se usan para robar datos y monetizarlos. Por eso, el impacto es peor.

P. También ha señalado el código abierto como fuente de problemas...

R. La gran ventaja del código abierto es que permite a los desarrolladores tener un montón de funcionalidades disponibles instantáneamente, sin tener que construirlas desde cero, de modo que ahorran tiempo y recursos. El lado malo es que tienes menos control de la seguridad del código que estás utilizando. Hay que monitorizar todas las distintas piezas de código abierto que se están empleando y actualizarlas si se descubre alguna vulnerabilidad.

Además, es una mayor fuente de problemas, porque lo utilizamos más. Es como construir una casa. Si lo haces tú mismo, no tienes problemas con los proveedores, pero si tienes a diez personas distintas fabricando distintas partes de tu casa, tendrás que gestionarlas a todas y asegurar que están haciendo un buen trabajo.

P. ¿Cómo encaja en este nuevo escenario la actividad de grupos como el L0pht?

R. Esa comunidad es superimportante porque hay un montón de cosas que no podrían ocurrir en un entorno 100% profesional. Mucha gente que estaba en esto hacia finales de los noventa que ahora ha cruzado al mundo comercial porque para resolver estos problemas tienes que construir algo que la gente pueda comprar y reforzarlo con gente que traje de nueve a cinco. Pienso que el mundo comercial tiene más posibilidades de resolver los problemas y la comunidad hacker tiene más posibilidades de hacernos conscientes de ellos.

P. Si volvieran a sentarle en el congreso, ¿Cuál sería su mensaje?

R. Les diría que hagan que los fabricantes rindan cuentas. Sé que pueden hacerlo mejor. Ahora sabemos construir tecnologías más seguras y más resistentes a los ataques. Este fue uno de los mensajes que dimos hace 23 años, y creo que está empezando a ocurrir ahora. Es increíble lo lento que cambian las cosas.

Y a los usuarios les diría que asuman que todo software tiene vulnerabilidades hasta que se demuestre lo contrario.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter.