Política & tecnología

San Bernardino y las puertas traseras

24 Feb, 2016 - - @mgilbir

Nota del editor (Gonzalo): El pulso entre Apple y el FBI sobre el iPhone de San Bernardino reabre el debate clásico en política pública entre privacidad y seguridad, esta vez en el contexto de las telecomunicaciones e Internet. Hemos invitado a Miguel Eduardo Gil (@mgilbir), ingeniero experto en sistemas de seguridad, para que nos ayude a entender mejor las diferentes piezas del problema y su contexto.

El 2 de Diciembre de 2015 en San Bernardino, California, 14 personas fueron asesinadas y 22 gravemente heridas en lo que podría haber sido uno más de los habituales tiroteos en Estados Unidos. Roger evocaba al final de su artículo: “de aquí unos días nadie se acordará de San Bernardino”, y sin embargo, dos meses después, San Bernardino vuelve a estar de actualidad. La razón es que el FBI y Apple han decidido convertir este caso en el campo de batalla del debate entre privacidad y seguridad.

Farook, el terrorista empleado del condado, tenía al menos dos teléfonos: uno personal que había destruido y un iPhone, para uso profesional, que el FBI ha encontrado y trata de analizar. El FBI, en colaboración con el propietario del teléfono, es decir, con el departamento de sanidad del condado, cambiaron la contraseña de iCloud del empleado. Posteriormente, solicitaron a Apple, fabricante del iPhone recuperado, ayuda para acceder a los datos que estuviesen almacenados en el dispositivo. Apple ha colaborado en casos similares para extraer la información de dispositivos involucrados en casos legales y en este caso también proporcionaron posibilidades para acceder a los datos. Sin embargo, al haber cambiado la contraseña de iCloud, los métodos habituales y ofrecidos por Apple ya no funcionaban.

Llegados a este punto es cuando las cosas se ponen interesantes. El FBI tiene una orden de registro en el que un juez ordena a Apple a crear una forma de saltarse las protecciones del iPhone y entregarsela al FBI para que el FBI pueda acceder a los datos. La respuesta de Apple vino en forma de artículo publicado en su web oficial firmado por el CEO, Tim Cook. En él, hace una defensa apasionada de la privacidad y promete que recurrirán en los tribunales esa orden de registro.

Con frecuencia las leyes y nuestra intución tienen problemas para adaptarse al mundo digital en el que vivimos. La razón de ello no es únicamente que la tecnología avanza a un ritmo frenético, sino que los sistemas sobre los que se sustentan son muy complejos, tienen el potencial de afectar a mucha gente a la vez y son muy sensibles a cómo se implementan. Para ilustrarlo, pensemos en qué consistía una orden de registro hace 50 años. El juez autorizaba a la policía a acceder a una propiedad privada (domicilio) para buscar información. Esto implica que la policía tenía que personarse físicamente en un lugar, y podían acceder a ese lugar en concreto.

Cuando hablamos de una orden de registro para acceder a un dispositivo, hoy en día las cosas no están tan claras. Es cierto que la orden puede darse para acceder a un dispositivo en concreto, y en la mayoría de los casos en los que las empresas tecnológicas han colaborado con las fuerzas de seguridad el acceso ha sido así. Sin embargo, lo que se debate en la actualidad es obligar a los fabricantes de dispositivos a crear puertas traseras en sus sistemas para uso gubernamental. Esto son mecanismos mediante los cuales las fuerzas de seguridad pueden saltarse las protecciones de seguridad de un dispositivo. Aunque inicialmente puede parecer algo bueno y lógico en aras de la tan manida seguridad nacional, lo cierto es que la tecnología necesaria para hacerlo permite acceder a cualquier otro dispositivo del mismo tipo. Por seguir con la analogía del registro de una casa, pensemos en una llave maestra que permite acceder a todas las casas, sin necesidad de estar físicamente allí, sin necesidad de que el propietario sepa que ha habido un registro.

Una puerta trasera no es algo que pueda ser usado únicamente por las fuerzas de seguridad de un país en concreto en un momento determinado para acceder a un dispositivo en particular. Si existe una puerta trasera, el sistema no es seguro. Cualquier actor interesado encontrará una forma de entrar. Se podría pensar que la existencia de la puerta trasera se mantendrá secreta y que solo será usada por personas autorizadas, de la misma manera que se puede pensar que los Reyes Magos vienen de Oriente. Sin embargo, solo hace falta un desliz una vez para que la magia desaparezca para siempre. De la misma manera, no existe ninguna razón por la cual se de acceso al Gobierno de Estados Unidos y no al de China o al de Irán. Una vez abierto el melón de las puertas traseras se convierte en una barra libre para cualquiera que de forma legal, o ilegal, tenga acceso a utilizarla.

Hoy en día los dispositivos y servicios que utilizamos a diario para comunicarnos y relacionarnos con el mundo, son sistemas que tienen una complejidad dificil de comprender por la mayoría de los usuarios. Y no sería lógico esperar que pudiesen hacerlo. La cantidad de información almacenada en formato digital en nuestros teléfonos, ordenadores y en los servidores de empresas como Amazon, Apple, Facebook o Google permite reconstruir una imagen de quien somos y como nos relacionamos con el mundo. Tampoco es lógico esperar que nos convirtamos en Amish y que abandonemos el progreso tecnológico de vivir en el siglo XXI. Sin embargo, si es lógico esperar que toda esa información sea protegida de la mejor manera posible.

Los servicios de inteligencia van a seguir intentando acceder a la información que necesitan para sus investigaciones en defensa de la seguridad nacional. Parafraseando a Michael Hayden, ex-director de la NSA: Cuando no podiamos tener acceso a la información directamente, recurrimos a la recogida masiva de metadatos. En el mundo digital las legislaciones locales tienen bastante poco sentido y es muy difícil asegurar su cumplimiento. La labor tradicional de las agencias de inteligencia usando espías (HUMINT) no escala de la misma manera que les proporciona la inteligencia de señales (SIGINT). Los costes son mucho menores cuando se explota un sistema digital porque una vez que se accede a un sistema es sencillo acceder a sistemas similares, el tiempo desde la adquisición de la información hasta que se analiza disminuye, y se puede obtener mucha más información.

Las empresas tienen que responder a una demanda de más seguridad por parte de sus clientes. Ya sean usuarios, como usted o como yo, que quieren que sus fotos, contactos y comunicaciones permanezcan privadas. Ya sean empresas, que quieren que sus secretos corporativos no puedan ser utilizados por sus competidores. Imaginen el escenario en el que se pierde un teléfono con datos sensibles, o que al cruzar una frontera, sus dispositivos digitales quedan brevemente fuera de su control o directamente son requisados como puede ocurrir al entrar, entre otros lugares, a Estados Unidos. ¿Desearía que los datos pudiesen ser accedidos por terceros? Yo tampoco.

En ese caso, la mejor solución que disponen los fabricantes es implementar criptografía fuerte, sistemas que entorpezcan la labor del atacante y sistemas que destruyan la información si se intentan manipular indebidamente. La criptografía fuerte se basa en resolver un problema matemático que es sencillo calcular en una dirección y extremadamente costoso en la otra. Para ilustrarlo, imaginen que tienen que calcular qué numero hay que multiplicar a cuatro para obtener 28. Si se saben la tabla del cuatro es muy fácil y dirán inmediatamente siete. Imaginen ahora que no se saben la tabla del siete y cuando les preguntan por qué numero hay que multiplicar a siete para obtener 28, tienen que empezar a restar sucesivamente: 28-7=21; 21-7=14; 14-7=7; 7-7=0. Ha hecho la operación cuatro veces, que es la respuesta correcta, pero el proceso le ha llevado más tiempo. La mayor parte de las veces que oimos hablar de que cierto algoritmo criptográfico no es seguro, lo que quieren decir es que con la tecnología actual la parte costosa del problema ya no lo es. En la analogía anterior, alguien le ha dado la tabla del siete y, de repente, ya no tiene que hacer todas esas restas.

En este contexto, los gobiernos tienen incentivos a regular el uso de la criptografía fuerte, con el fin de apoyar a sus fuerzas de seguridad, y mantener a la opinión pública tranquila. Sin embargo, a veces se comportan como el Dr. Jekyll y Mr. Hyde. Defendiendo las puertas traseras y la abolición de la encriptación fuerte por un lado, y creando leyes ridículas y peligrosas como la ley de cookies europea o el infierno legal que son las leyes de protección de datos a nivel europeo.

Al mismo tiempo, los usuarios tienen que educarse y adaptar sus hábitos a la nueva realidad digital. Aunque no necesiten comprender cómo funciona la tecnología que usan, si tienen que entender que existen prácticas de riesgo y que no todo lo que hacen con un dispositivo digital está únicamente bajo su control. Es curioso que la gente reconoce los riesgos existentes en comer caramelos ofrecidos por un extraño a la puerta de un colegio, o en montarse en un coche con desconocidos, pero muy pocos se lo piensan dos veces antes de conectarse a una WiFi gratis, descargarse un libro pirata, conectar un pendrive a su puerto USB, o registrarse en una página con el login de Facebook. Sin embargo, cada uno de esos casos tienen implicaciones de seguridad y privacidad que aceptan ciegamente sin ser conscientes de los riesgos. Imagine que usted no tiene nada que ocultar pero su teléfono está comprometido e infectado con un virus. Se conecta al WiFi de la empresa para la que trabaja, e inmediatamente la red de la empresa puede estar comprometida. La empresa puede que no tenga nada de valor, pero el consultor que está trabajando allí queda infectado y cuando vuelve a las oficinas de la consultora, bingo, los atacantes tienen acceso a la red que buscaban.

Cuando hablamos de seguridad, no se puede hablar de seguridad total. No existe un sistema seguro que haga algo útil.Para poder trabajar y hablar de seguridad, tenemos que hablar del modelo de riesgo. Quién me quiere atacar, quién me puede atacar, a qué información tengo acceso, a qué gente tengo acceso. Cuando analizamos esto, y si consideramos un ataque como una inversión, siempre que el retorno de inversión sea positivo, podemos estar seguros de que el hackeo ocurrirá. La solución si la analizamos en términos económicos es sencilla, aumentar los costes en los que incurre el atacante, y tener información poco valiosa y acceso limitado. Además los riesgos evolucionan en el tiempo, en palabras de Bruce Schneier, los programas secretos de la NSA de hoy, son las tesis doctorales de mañana, y las herramientas de los hackers de la semana que viene. Es por ello que cuando diseñamos sistemas digitales, ya sean dispositivos, servicios o aplicaciones tenemos que hacerlo pensando en cómo de seguros son ante cualquier atacante ahora y en el futuro.


5 comentarios

  1. Carlos Alonso dice:

    Buen artículo: escribí algo al respecto, aunque desconociendo el cambio de contraseña de iCloud, yendo un poco al fondo filosófico de tema.

    http://gananzia.com/de-quien-son-los-productos-que-compras

    • Miguel Eduardo Gil Biraud dice:

      Por motivos de espacio no entré en detalles sobre el «Error 53» que comenta en su post. Mi reacción inicial al leer las primeras noticias al respecto, y que carecían de detalles, fue similar.

      Sin embargo, ahora que han salido más detalles a la luz, creo que es una medida que se queda corta y podría haber sido implementada de otra manera.

      Se queda corta, porque el error se produce cuando un servicio técnico no oficial reemplaza el botón que proporciona el TouchID. Ese sistema forma parte de los sistemas de seguridad del dispositivo y en un uso normal no debería de sufrir modificación alguna. Si por cualquier motivo sufre modificaciones, se debe de considerar la integridad del dispositivo como comprometida y eliminar los datos del mismo. Personalmente, no haría distinciones entre servicio técnico oficial y no oficial, ya que no se puede asegurar la integridad del teléfono.

      La implentación podría haber sido diferente ya que hacer que el teléfono deje de funcionar y mostrar un críptico «Error 53» no comunica nada a los usuarios. En su lugar se podría hacer que los datos que tuviese ese dispositivo no sean accesibles (i.e. eliminando las claves de encriptación del dispositivo) y haya que reiniciar el teléfono como si se le hubiese hecho un reset de fábrica.

      Bajo este otro punto de vista, no estamos en una situación en la que fabricante quite funcionalidad a un dispositivo que hemos comprado, sino que el dispositivo hace todo lo posible por asegurar la integridad de los datos.

      Esto nos lleva de nuevo al punto del artículo en el que la sociedad no siempre entiende las implicaciones de seguridad. No hay más que ver la reacción que suscitó este tema.

      http://www.theguardian.com/technology/2016/feb/19/error-53-apple-issues-fix-bricked-iphones

  2. […] Actualización 25/05/2016: la clave parece estar en este detalle que comenta Miguel Eduardo Gil Biraud en San Bernardino y las puertas traseras: […]

  3. Carlos Alonso dice:

    De acuerdo, el aparato se protege ante un posible acceso indebido, pero la respuesta no debiera ser perder toda funcionalidad y datos, sino tener que ir a un servicio técnico oficial para desbloquearlo acreditando tu identidad, por ejemplo. Y desde luego, haber informado antes de esa funcionalidad a los usuarios, puesto que muchos han hecho reparaciones sin saber que se exponían a ese peligro (por ejemplo, el caso del periodista que la hizo en un país donde no hay servicio oficial).

  4. Miguel Eduardo Gil Biraud dice:

    Como comentaba anteriormente, el error fue hacer el dispositivo no funcional al modificarlo. Borrar los datos y permitir usar el dispositivo habría sido una solución mucho mejor.

    Respecto a no borrar los datos al hacer la reparación en el servicio técnico oficial, es lo que se llama «security theater». Puede que sea una medida efectiva de cara a la galería, pero, desde el punto de vista de seguridad, completamente inútil. La razón es sencilla de entender: Apple es una organización muy grande, con muchas tiendas y personas trabajando en sus servicios técnicos oficiales. Como tal, es imposible garantizar que los incentivos de todas y cada una de esas personas están alineados con la seguridad de nuestros datos. Si se tienen copias de seguridad de los datos del dispositivo, aunque este destruya los datos, se perderán muy pocos (ie. horas). Un compromiso aceptable frente a una mayor seguridad.

Comments are closed.