Mientras el mundo recompensa a quien encuentra agujeros de seguridad, el gobierno de España los denuncia

Mientras el mundo recompensa a quien encuentra agujeros de seguridad, el gobierno de España los denuncia

46 comentarios Facebook Twitter Flipboard E-mail
Mientras el mundo recompensa a quien encuentra agujeros de seguridad, el gobierno de España los denuncia

La polémica generada con el increíble fallo de seguridad de LexNET sigue siendo enorme, y tras la confusión, los parones y las verdades a medias este sinsentido continuaba con la denuncia del Ministerio de Justicia al usuario que avisó del problema.

La situación no habla muy bien de nuestros dirigentes en la gestión de una crisis de la que 1) ellos tienen la culpa por no proteger bien esa red y 2) acaban culpando precisamente al experto que avisó del problema con la mejor intención en lugar de recompensarle o al menos darle las gracias públicamente.

Un escándalo que no parece tener fin

El joven de 20 años denunciado por el Ministerio de Justicia se dio cuenta del fallo de seguridad el pasado jueves 27 de julio. ¿Qué hizo? No se aprovechó del problema de forma ilícita ni vendió esa información a potenciales ciberatacantes, no. Informó del problema a través de Twitter citando tanto al Ministerio de Justicia como a la cuenta de soporte de LexNET.

Catala
Rafael Catalá, ministro de Justicia en España

Este organismo no respondió a dicho mensaje, pero comenzaron a trabajar para tratar de resolver el problema. Mientras tanto el hacker borró los mensajes de Twitter para evitar su difusión y según el Ministerio de Justicia descargó el contenido, que compartió con varias personas. Ese fue el argumento de una denuncia que le acusa de "acceso irregular e ilegal" a sus sistemas además de "difundir el contenido a terceros".

El cruce de argumentos es el que se podría esperar: el Ministerio de Justicia argumenta que el hecho de que la página tuviera acceso público no significa que pudiera descargarse y compartirse la información allí recogida. En El Confidencial el joven explicaba que eso no tenía sentido y que si todo estaba abierto se podía hacer lo mismo con esa información que con un documento que buscas en Google.

Como explicaba el abogado e ingeniero Sergio Carrasco, esta acción no es un hackeo porque el joven no se saltó ninguna medida de seguridad. "El código penal exigen, como requisito, el eludir medidas de seguridad". En ese caso no habría problema, pero sí en una amenaza que hizo el joven tras descargar todo el código fuente completo de LexNET, que también estuvo disponible por ese problema de seguridad. Se trataría de la revelación de secretos de empresas, y según este experto, "habría más dudas".

Román Ramírez, experto en seguridad y co-organizador de RootedCon, nos aclaraba que en realidad aquí hay dos accesos separados. El primero era LexNET, que pedía certificado de cliente para autenticarte, algo que luego te podía dar acceso a directorios a los que teóricamente no debías tener acceso, algo que también nos explicaba José Muelas, uno de los primeros abogados en detectar el error.

A raíz de ese problema se descubrió uno aún más importante: Orfila, que estaba en la misma red, estaba totalmente abierto, y este servicio "que funcionaba como un intercambiador de archivos", nos explicaba Ramírez, podía ser accedido por cualquiera. Mientras que en este caso no parece que haya nada encausable, el de Lexnet es más dudoso.

En España nos gusta matar al mensajero

En artículos como este de El Diario se explica en detalle cómo funciona un sistema judicial de pandereta en el que las causas complejas en las que trabaja el personal del Ministerio de Compleja acaban siendo trasladadas a copias en DVD o en unidades USB para su revisión porque esos documentos y vídeos quedan sin accesos fuera de la red interna.

Justicia1

Ese trasiego de información clasificada que pulula en estos medios y ordenadores sin apenas protección —a no ser que quienes los transportan se ocupen de ese apartado— es solo una gota más en un vaso que se colmó en 2015, cuando la reforma del Código Penal endureció el delito de acceso no consentido a sistemas informáticos previsto en el artículo 197 bis. Román Ramírez ya nos hablaba sobre el tema en 2015:

Incluso poseer herramientas de análisis como la archiconocida nmap puede acabar siendo un delito por el que un usuario podría ser investigado, perseguido e incluso arrestado. Aquí el argumento de Ramírez era contundente: estas reformas están "criminalizando al investigador de seguridad", y haciendo que esa labor sea cada vez más compleja e incluso peligrosa para quien precisamente trata de ayudar a que estemos más seguros.

¿Qué significa esto? Que como indicaba Ramírez, en España se mata al mensajero, sin más. Un hacker 'de sombrero blanco', bienintencionado y que se dedica a avisar a empresas, organismos o particulares de cierto agujero de seguridad en sus sistemas, acaba siendo condenado por la Justicia española. Mientras eso ocurre aquí, en otras partes del mundo se recompensa a este tipo de hackers por su labor. Y se les recompensa la mar de bien.

En España deberíamos aprender de los 'bug bounties'

Ser cazarrecompensas de bugs informáticos se han convertido en una jugosa y lucrativa profesión para muchos expertos en seguridad informática, sobre todo ahora que cada vez más empresas y organismos han entendido que dar premios y recompensas porque descubran vulnerabilidades en sus sistemas puede ser mucho más barato que solucionarlos si alguien con mala intención los aprovecha para todo tipo de fines.

Facebook

En nuestro repaso a ese fenómeno hablábamos en marzo de 2017 con Borja Berástegui y Omar Benbouazza sobre esa nueva tendencia de un mercado que ha dejado de condenar el hacking ético para recompensarlo como se merece. Empresas como Apple ofrecen hasta 200.000 dólares de premio para quien descubra vulnerabilidades de seguridad críticas, y muchas otras como Microsoft, Facebook, Google o Yahoo! tienen campañas similares que hacen que los expertos en seguridad tengan un incentivo importante para hacer el bien y no el mal. Empresas como Tesla tienen también contemplada este tipo de actividad, incluso en Europa, donde explican cómo reportar vulnerabilidades de forma segura.

Como exlicaba Berástegui, en nuestro país reportar esas vulnerabilidades de seguridad de forma pública puede tener consecuencias legales para el investigador. Nos comentaba que en España "la manera más segura suele ser contactar con un intermediario, dependiendo del tipo de vulnerabilidad que encuentres, con ZDI, CERT, o alguna plataforma de Bug Bounties", algo con lo que coincidía Benbouazza, que recomendaba otras alternativas como INCIBE.

La cosa no termina ahí, y no solo las empresas se están concienciando del problema. Como señalaban en El Confidencial, el año pasado el Gobierno de Estados Unidos organizó un proyecto llamado 'Hack the Pentagon' en el que animaban a toda la comunidad de ciberseguridad a encontrar fallos en los sitios web del Departamento de Defensa durante tres días. Pagaban entre 100 y 15.000 dólares por vulnerabilidad dependiendo de su gravedad, y además crearon un ránking de los expertos que tuvieron más éxito para promocionar su trabajo y que ésto pudiera servir como argumento para futuras oportunidades profesionales.

Hackpentagon

Lo mismo hizo la Fuerza Aérea de los Estados Unidos y su ejército, y en Holanda el National Cyber Security Centre (NCSC) cuenta con información para que la comunidad de expertos en seguridad pueda reportar vulnerabilidades de la forma adecuada. En ese documento aseguran que la comunicación con el experto será confidencial, que habrá acuse de recibo y que si se hace de la forma adecuada "no tendrá consecuencias legales". Incluso te regalan "una camiseta o un máximo de 300 euros en cupones para compras", que sin ser recompensas tan llamativas como las de Apple desde luego son muy distintas a lo que ocurre en nuestro país.

En Europa las políticas varían de país en país, pero la European Union Agency for Network and Information Security (ENISA) publicaba en 2016 un documento que recomienda estas prácticas sin condenarlas y de hecho tiene una guía de buenas prácticas para reportar esas vulnerabilidades.

Al final, nos explicaba Ramírez, hay de todo en todos lados: en Estados Unidos también hay casos de reporte de vulnerabilidades que acaban con demandas al experto en seguridad, y en España hay casos en los que las empresas han premiado a quienes les han ayudado a descubrirlas. Este experto nos comentaba el caso de Coowry, una plataforma de pagos para usar el saldo del móvil para hacer transferencias de dinero. En RootedCon 2017 Borja Berastegui descubrió una vulnerabilidad XSS que reportó públicamente y la empresa le felicitó y le agradeció esa información tras corregir el fallo.

Lo importante al hacer ese tipo de revelaciones públicas, nos explicaba Ramírez, es "hacerlo con una pantalla de por medio", es decir, hacer uso de entidades como CERT, INCIBE o, como apuntaba él, algún broker de vulnerabilidades o la Guardia Civil, que suele tratar estos problemas con una diligencia absoluta.

Todo esto quizás debería ser tenido en cuenta por el Ministerio de Justicia para plantear una modificación de unas políticas que provocan el efecto contrario del que deberían. Si un experto en seguridad (un hacker, aunque el término siga teniendo connotaciones negativas) descubre una vulnerabilidad en sistemas de nuestro país, estará mejor calladito. Es triste, pero es una vez más la realidad de un país en el que seguimos sin adaptarnos a la realidad tecnológica de un mundo que sobrepasa a quienes lo gobiernan.

En Xataka | ¿Es correcto que las autoridades usen malware para sus investigaciones?

Comentarios cerrados
Inicio