El pasado domingo por la noche se desataba una tormenta singular. El grupo HackingTeam, especializado en el descubrimiento de vulnerabilidades y desarrollo de exploits que luego vendían a terceras partes, había sido hackeado. La publicación de 400 GB de datos -correos electrónicos, facturas, código fuente, todo disponible por aquí- ha revelado cómo este grupo con dudosa ética actuaba comercializando esas herramientas de ciberguerra a todo tipo de clientes y todo tipo de gobiernos.
El debate sobre lo ocurrido ya ha generado todo tipo de comentarios en redes sociales y medios de comunicación. Nosotros mismos analizamos la trayectoria de este grupo de expertos en seguridad, pero queríamos acudir a expertos para obtener sus impresiones sobre lo ocurrido. Hemos podido hablar con Román Ramírez (@patowc, Responsable de Seguridad en Ferrovial), Yago Jesús (@yJesus, profesional de la Seguridad Informática, editor en SecutiryByDefault) y Chema Alonso (@chemaalonso, consultor de seguridad en Eleven Paths), y estas son sus impresiones.
Del hacking ético a un modelo de negocio éticamente discutible
La seguridad informática se ha convertido en un verdadero negocio. Y no hablamos de las empresas responsables del desarrollo de antivirus -que también se nutren de ese pastel-, sino de la investigación pura en seguridad informática. Yago Jesús nos comentaba cómo "ha habido una transición de personas que se dedicaban a la investigación y que liberaban productos a la comunidad, a modelos de comercialización".
El referente en este segmento era posiblemente Vupen, la conocida consultora de seguridad francesa que a grandes rasgos podría considerarse como un HackingTeam, pero -al menos, por lo que sabemos- con una "ética razonable", y que como ella proporcionaba servicios de desarrollo de exploits -este PDF publicado por WikiLeaks da pistas sobre ellos- a partir del descubrimiento de vulnerabilidades en todo tipo de soluciones software. IOActive, Immunity o Crowdstrike son algunas de las empresas que también tienen ese tipo de modelo de negocio, y que supieron dar el salto desde esa orientación más relacionada con el mundo académico y de investigación a una filosofía mucho más comercial.
"Ha habido una transición de personas que se dedicaban a la investigación y que liberaban productos a la comunidad, a modelos de comercialización de esos desarrollos"
En HackingTeam esa transición se produjo hace ya unos años. Como nos relataba Román Ramírez -que de hecho impartió cursos de formación a los que asistieron miembros de ese grupo ya en 2001- la empresa nació aproximadamente en 2003. Lo hizo con la misma mentalidad que otras empresas más tradicionales en el sector: "hacían servicios típicos de seguridad: revisiones, consultoría... y entonces empezaron a torcerse".
Este experto en seguridad explicaba que la trayectoria de este grupo es muy conocida entre esta comunidad: "en 2011 y 2012 se convirtieron en una de las empresas más odiadas, y por ejemplo intentaron infectar a WikiLeaks". Uno de los afectados fue Jacob Appelbaum (@ioerror, miembro de WikiLeaks) fue crítico con esas actividades, y que en su Twitter ha estado especialmente activo en las últimas horas, e incluso demostró su alegría por la revelación de estos datos:
Whoever owned Hacking Team: I love you with all of my heart.
— Jacob Appelbaum (@ioerror) July 6, 2015Esa visión negativa de HackingTeam por una hipotética ética cuestionable (cada vez menos hipotética, eso sí) ha sido bastante frecuente en los últimos análisis que se han visto en los medios, pero Chema Alonso -que ayer mismo comentaba el suceso en su blog, Un informático en el lado del mal- prefería ver las cosas desde otro prisma. HackingTeam era "tan odiada como todas" las empresas que realizan este tipo de actividad: esas herramientas son muy delicadas, y como cualquier otra herramienta, destacaba este experto, puede ser utilizada para buenos fines... y para malos fines.
De hecho, señalaba Alonso, la calificación de "Enemigos de Internet" de la que tanto eco se han hecho los medios, proviene de una ONG, y no de la ONU, para quien Sudán o Etiopía siguen siendo países miembros, por muy totalitarios que sean considerados sus regímenes en otros países del mundo o por parte de diversos colectivos (como ocurre en Sudán) o por muchos debates que pueda haber sobre el uso de esas herramientas en esos países.
Sobre este tema hay numerosos datos que apoyan una y otra visión. Hace unas horas The Intercept publicaba un análisis de algunos de los mensajes de correo electrónico que se habían filtrado como parte de ese hackeo, y en ellos se mostraba la actitud de los responsables de Hacking Team en sus acuerdos con países como estos. En Etiopía, por ejemplo, esas soluciones por las que el gobierno etíope pagó 700.000 dólares se utilizaron por su agencia de seguridad para atacar a los periodistas de la Ethiopian Satellite Television, algo que fue analizado en detalle por Citizen Lab el pasado mes de marzo.
Las dudas sobre su ética en países como Sudán o Marruecos aparecen una y otra vez si uno se lee esos correos, pero como afirmaba Alonso, HackingTeam no es el único grupo que tiene este modelo de negocio. empresas como las ya mencionadas también se dedican a encontrar vulnerabilidades y desarrollar exploits para ellas, o a desarrollar troyanos y aprovechar 0-days para luego comerciar con ellos. Aunque hace tiempo lo habitual era contactar con los desarrolladores del software para que pudieran parchear ese problema, hoy en día muchos expertos en seguridad saben que este tipo de descubrimientos pueden hacerles ganar mucho dinero, bien en forma de recompensas en esos célebres programas bug bounty, bien vendiéndolos al mejor postor en esa parte más oscura de la red, o bien vendiéndoselo a gobiernos y agencias de seguridad e inteligencia.
Yago Jesús comparaba la situación en este último caso con la que se da en el mundo de las drogas: esos gobiernos y esas agencias acaban colaborando con las empresas de seguridad porque esos acuerdos son beneficiosos para ambas, pero lo mismo ocurre cuando una agencia de lucha antidroga "hace la vista gorda" con ciertos traficantes de pequeña entidad para tratar de acceder a responsables más importantes de esas operaciones.
Aquí Román Ramírez volvía a incidir sobre algo sobre lo que ya se mostró muy firme en nuestro anterior encuentro durante la celebración de la Rooted CON: "soy partidario del full-disclosure: los "malos" suelen tener la información, así que es mejor publicarla para toda la comunidad. Eso permite que haya transparencia, que toda la industria y los usuarios siempre tengan todos los datos y puedan actuar en consecuencia".
El cuento del Seat León y el Lamborghini
Nuestros protagonistas coincidían en una triste ironía al hablar de lo que ha ocurrido en nuestro país con HackingTeam. Sus servicios son utilizados por el CNI. No parece que la Policía Nacional haya sido usuaria de esas herramientas a pesar de la información publicada en algunos medios, y es que como indicaba Chema Alonso, en la tabla Excel que se filtró -no en el fichero de texto que apareció en Pastebin- no aparecía más que el CNI como cliente de HackingTeam.
Sea como fuere, todos ellos dejaban claro que veían absolutamente lógico que nuestro gobierno -y por extensión, cualquier otro- utilice estas herramientas para combatir todo tipo de amenazas a la sociedad. Román Ramírez hacía una comparación sencilla: "la policía no puede perseguir a un tío en un Lamborghini con un Seat Toledo". Este experto dejaba claro que las labores de investigación tradicional son importantes, pero que además debes proveer de tecnología avanzada a estos cuerpos de seguridad. "Pero deberían haberlo hecho en nuestro país", afirmaba Ramírez, que se quejaba de que "en España hay gente extremadamente buena en este apartado. El talento está aquí, como se demuestra cada año en la Rooted CON. Lo que no hay es voluntad por parte de la Administración para aprovecharlo".
La policía no puede perseguir a un tío en un Lamborghini con un Seat Toledo
De hecho, Ramírez aboga por la creación de un grupo especializado en este área en nuestro país que alimente al Gobierno y a las diversas agencias. "En lugar de comprarles esas herramientas a unos mercenarios italianos, que las compren en España", se lamentaba. Pero atención, porque también dejaba claro el alcance de esas operaciones:
Las fuerzas del Estado deben contar con herramientas especializadas, deben tratar de competir en ese apartado. Deben usar troyanos, vulnerabilidades 0-day.... pero con un control constitucional estricto. Excederse es muy fácil, y el uso de dichas herramientas debe estar controlado por un juez, debe ser auditable, debemos poder saber quién ha usado qué en cada momento.
Que es exactamente lo mismo que criticaba Yago Jesús, que nos hablaba de cómo la Ley Mordaza convierte la investigación de este tipo de temas en algo susceptible de ser un delito. La nueva Ley de Seguridad Ciudadana, destacaba, "restringe el uso de herramientas de seguridad. Si publico una prueba de concepto de un keylogger con esta ley Mordaza estoy cometiendo un delito, liberando un programa que podrían vulnerar la seguridad de un tercero". La ironía es evidente:
Aquí se ponen trabas para el desarrollo de la seguridad informática, no como ocurre por ejemplo en Israel donde ese campo se mima y se cuida. Aquí el sector está amenazado, varios investigadores han cerrado sus repositorios, estas leyes criminalizan la investigación. Y por otro lado estás financiando con millones de euros ese tipo de desarrollos en el extranjero, en un clima de crisis nacional. Criminalizas un sector aquí y compras fuera. Es absurdo.
¿Eran realmente buenos los hackers de Hacking Team?
Uno de los aspectos más curiosos de la revelación de esa enorme cantidad de datos filtrados por el hackeo a Hacking Team ha sido el hecho de que este grupo, que a priori parecía ser notable en su actividad comercial, ha descuidado de forma igualmente notable su propia seguridad. Les preguntamos a nuestros participantes cómo era eso posible. Román Ramírez nos explicaba que eso es algo muy habitual en el mundo de la seguridad informática:
La investigación de exploits es muy especifica: puedes ser muy buen exploiter y luego ser muy malo en otras cosas como seguridad de red. Muchos especialistas en este tema no saben apenas nada en aspectos legales, perimetrales, cómo afecta a su negocio, el ciclo de vida de la seguridad, etc. Eso es peligroso y es algo en lo que incidimos mucho en Rooted CON. [Los miembros de HackingTeam] Eran muy malos gestores de su propia seguridad, es muy típico. Es necesaria mucha disciplina.
Lo mismo opinaba Yago Jesús, que afirmaba que en HackingTeam tenían un catálogo híbrido en el que además de 0-days -la relativa a Flash ha sido analizada en detalle, entre otros, por un experto chino en seguridad- contaban con kits para hacer exploiting y, sobre todo, sus célebres herramientas de monitorización, el famoso RCS que Chema Alonso analizó en detalle en noviembre del año pasado. Aún así, explicaba, "encontrar una vulnerabilidad es una cosa, pero hacer un exploit efectivo no es nada fácil. Hacerlo para un XP SP2 es una cosa, pero para SSOO más modernos y parcheados la cosa cambia. Eso es casi un arte".
En este sentido nuestros tres expertos indicaban que las soluciones de HackingTeam no eran especialmente famosas por su calidad. El propio Alonso publicaba ayer un análisis de los troyanos para Android detectados en esa filtración. Este experto destacaba que en su opinión más que herramientas trabajaban con esquemas de ataque (ataques Man In The Middle, ataques a redes WiFi) y que su capacidad de desarrollo propio no era tan destacable. La diferencia con la gente de Vupen, según Jesús, era clara: "tienen una calidad técnica brutal", afirmaba este investigador en materia de seguridad informática.
Encontrar una vulnerabilidad es una cosa, pero hacer un exploit efectivo no es nada fácil. Es casi un arte.
Donde sí incidieron tanto Ramírez como Jesús fue en la existencia de troyanos capaz de dejar falsas evidencias en el ordenador de la víctima. Entre el código fuente filtrado en este hackeo estaban pequeños programas como este que serviría para introducir ficheros relacionados con la pederastia, el islamismo o la elaboración de bombas. Suficiente material para poner en muchos problemas legales a cualquier usuario al que se dirijan estos ataques. Tenemos un buen ejemplo en este apartado de su suite de control remoto RCS:
Atentos a la línea resaltada: esos ficheros eran introducidos en el disco duro de la víctima para potenciales incriminaciones.
Yago Jesús y Román Ramírez se mostraban especialmente preocupados por este tipo de herramientas, que podrían entre otras cosas desmontar campañas políticas sembrando dudas en el perfil de cualquier candidato. Tanto en este caso como en el resto del código fuente detectado, hay una clara ventaja y una clara desventaja. Por un lado, ese código permite que parchear esas vulnerabilidades o reforzar la seguridad sea más sencillo. Por otro, ese código puede inspirar nuevas ramificaciones que apunten a ataques que partan de esas ideas.
Deja de ser un unicornio feliz
Ya lo mencionamos entonces, y lo repetimos ahora: la lección aprendida ante este tipo de sucesos es una que en realidad ya era conocida: todos somos potenciales víctimas de este tipo de ataques, y eso incluye a las empresas de seguridad. De hecho, no es la primera vez que se da un caso de este tipo: ocurrió el año pasado con FinFisher , ocurrió en 2011 con otra empresa llamada HBGary -el propio Alonso relataba aquel suceso y también analizó el caso FinFisher- y este experto dejaba claro que la mayoría de estas empresas precisamente se preocupan bastante de estas cosas. Román Ramírez coincidía con esa valoración:
Todo el mundo es vulnerable. Si les hackean a ellos, se puede hackear a cualquiera. La gente tiene que dejar de vivir en el país de los unicornios felices. Hay espionaje, espías malos y espías peores. El mundo tecnológico es muy peligroso, y hay mucha gente que que quiere controlarlo.
Este experto nos ponía a todos en nuestro sitio: "los usuarios normales poco pueden hacer", puesto que la mayoría de ellos no tienen conocimientos suficientes para protegerse con garantías de este tipo de amenazas. De hecho, este experto indicaba que la opción es esperar a que el sector reaccione y se ponga a parchear. "Esto está dentro del Gran Juego, como diría Kipling", en el que los gobiernos son los que tienen la última palabra. De hecho este organizador de la Rooted CON apoyaba ese comentario con el informe Global Risks 2015 (PDF), que ya tiene a los ciberataques y al fraude y robo de datos como dos de los 10 grandes riesgos por la probabilidad de que ocurran en la actualidad.
Aquí surgen situaciones curiosas como el tratamiento de este tipo de actividades en nuestro país, o su comparación con los Estados Unidos, donde la Patriot Act, nos indicaba Ramírez, precisamente seguirá protegiendo la aparición de este tipo de modelos de negocio e investigación. "La única protección real es que la información se difunda y que la gente sea plenamente consciente de lo que ocurre". Y que con ello, añadía, la gente pueda formarse una opinión y validarla en las urnas.
La gente tiene que dejar de vivir en el país de los unicornios felices.
En opinión de Yago Jesús, la lección aprendida era también conocida. "Es lo que todos sabíamos, los servicios secretos que antes desarrollaban sistemas de escucha han movido toda esa industria a una versión digital, era obvio". Su perspectiva es "más permisiva" que la que parecían apoyar algunos medios de comunicación, afirmaba. Todos -y me incluyo- hemos acudido al viejo "el cazador cazado", cuando en realidad hubo casos más paradigmáticos como el de la RSA, cuya seguridad se vio comprometida en 2012 con un truco muy sencillo: recolectar direcciones de correo @rsa.com en Internet, mandarle a todas esas direcciones un correo con una tabla Excel infectada con falsas mejoras salariales, y bingo. En cuanto un empleado picó, los hackers lograron acceder a su ordenador y desde ahí todo fue un camino de rosas.
Todos pueden (podemos) caer en la trampa. Como diría el famoso meme: y lo sabes.
En Xataka | Si eres paranoico respecto a la seguridad y la privacidad, tenías razón
Ver 19 comentarios