Con la adopción generalizada de internet, los hackeos, las vulneraciones de datos y otras ciberamenazas se han vuelto algo común: empresas y gobiernos deben desarrollar nuevas tecnologías y estrategias constantemente para defenderse. Pero la ciberseguridad plena resulta muy difícil alcanzar. ¿Seremos capaces de aprender de algunos de los errores cometidos en el pasado?

El CTO y cofundador de Veracode, Chris Wysopal, ha estado involucrado en la ciberseguridad desde el principio. De hecho, como investigador de vulnerabilidad del influyente equipo de hackers L0pht, lleva varias décadas reclamando tecnologías seguras a las grandes compañías tecnológicas.

Ahora, Wysopal explica su trabajo desde los primeros años de la ciberseguridad, con anécdotas como la de cuando testificó en el Senado de EE. UU. en 1998 sobre seguridad informática. En aquel entonces, defendía que las grandes empresas como Microsoft debían adoptar una serie de reglas para respetar las responsabilidades. También abogaba por el desarrollo de un código prudente y seguro que protegiera la privacidad del consumidor. Estas primeras preocupaciones han ido creciendo, de hecho, la protección contra el código y el firmware es tan escasa que todavía permite las vulneraciones de datos.

En este contexto, ¿qué podemos esperar en el futuro? Wysopal ha compartido su sabiduría y algunas advertencias en Business Lab, un pódcast dirigido por la CEO y editora de MIT Technology Review, Elizabeth Bramson-Boudreau. A continuación, ofrecemos la trascripción editada del programa.

Soy Elizabeth Bramson-Boudreau. Y esto es Business Lab: el programa que ayuda a los líderes empresariales a entender las nuevas tecnologías que salen del laboratorio y entran al mercado. Hoy nos centraremos en la historia y la evolución de la ciberseguridad y en cómo esos primeros enfoques siguen vigentes en la actualidad. En otras palabras, ¿la respuesta a las primeras ciberamenazas ha determinado nuestra forma de abordar la seguridad hoy en día?

Elizabeth Bramson-Boudreau: ¿Existe alguna lección sobre cómo practicamos nuestra seguridad digital actualmente? Esta es la segunda entrevista de nuestra serie sobre ciberseguridad en la que analizamos desde los últimos ciberataques hasta lo que las organizaciones pueden hacer para proteger mejor a su gente y a sus datos. Nuestro invitado de hoy es el CTO y cofundador de Veracode, Chris Wysopal, quien ha participado en la continua batalla por la seguridad digital desde el principio. Incluso antes de Veracode, Chris ya tenía una larga experiencia en ciberseguridad y creo que vamos a empezar por ahí. ¿Puede hablarnos un poco sobre sus primeros pasos en ciberseguridad?

Chris Wysopal: Empecé con la ciberseguridad a finales de la década de 1980, en los sistemas de tablones de anuncios que existían antes de internet y eso tenía un cierto atractivo clandestino como los medios alternativos, como el mundo 'zine' en el que nos comunicábamos directamente con ese espacio alternativo. Algunos de los archivos de aquellos sistemas hablaban de hackear el sistema telefónico y era el tipo de información que no se podía conseguir en ningún otro sitio. En ese momento era estudiante universitario. Todo era muy intrigante y creo que eso me llevó a intentar explorar la información sobre los ordenadores y las redes, a lo que me dediqué a lo largo de la década de 1990.

Elizabeth: Entonces, ¿cómo ha evolucionado ese campo? Con una carrera tan larga en el sector, ha podido ver cómo cambiaba el panorama en esos 20 o 30 años. ¿Qué es lo que ha notado? ¿Cómo explicaría los cambios que ha observado?

Chris: A principios de la década de 1990 yo era ingeniero de software. De hecho, trabajé en Lotus y nos conectamos a internet. Empezamos a pensar en qué pasaría si nuestro software se ejecutara en internet para que las personas pudieran conectarse a nuestro software. Y eso me abrió la mente a la idea de que "podría haber problemas de seguridad".

Elizabeth: Fue en ese momento. ¿Qué le hizo pensar que el acceso a internet conduciría en ambas direcciones?

Chris: Empecé a trabajar en un software conectado a internet y me costó mucho hacerlo seguro para que las personas no pudieran tener acceso a los datos que había detrás. La verdad es que resulta difícil construir un software seguro. Era casi como si no supiéramos hacerlo. Eso  me abrió los ojos y me di cuenta de que a medida que cada vez más cosas estuvieran conectadas a internet, el tema se volvería realmente problemático.

Elizabeth: Entonces, ¿cuál considera que es el mayor problema ahora mismo? Ya que conoce la situación y estaba allí desde el principio, habrá visto surgir muchas cosas. Desde su propia experiencia de pasar un período de tiempo como hacker. ¿Qué es lo que le mantiene despierto por la noche y en lo que deberían estar pensando nuestros legisladores y líderes?

Chris: Lo que me asusta es que las personas crean sistemas, software, internet de las cosas (IoT) pero no piensan en la seguridad desde el principio, o no piensan en ella en absoluto, como si no les importara, o piensan en ella al final y hacen lo mínimo. Al final acaban lanzando un producto inherentemente vulnerable. Creo que estamos lanzando mucha tecnología continuamente que resulta inútil desde el punto de vista de la seguridad. Y tenemos que arreglarla constantemente.

Elizabeth: Entonces, ¿se refiere a software? ¿A los dispositivos habilitados para IoT? ¿Todo eso? ¿Y por qué las personas que lo crean no se preocupan por su seguridad?

Chris: Sí. Fue algo de que comenté cuando testifiqué ante el Senado en 1998, que fue la primera comparecencia sobre seguridad informática del Gobierno. Hablamos de que los proveedores no sabían qué hacer. No les importaba porque sus clientes no lo pedían. No eran los responsables. Patentaban el software. Si algo salía mal, renunciaban a cualquier responsabilidad. Teníamos un mercado en el que las personas podían comercializar algo sin sufrir ningún inconveniente por los problemas asociados a su incapacidad de asegurarlo. Uno de los actores más importantes en ese momento era Microsoft, que vendía software con muchas vulnerabilidades. Y cualquier empresa que ejecutara el software sufría vulneraciones. Era una especie de status quo, ya que Microsoft afirmaba que creaba software seguro y nosotros decíamos que no lo hacía. Quisimos mostrarle las vulnerabilidades de su software. Hubo un período en el que había que crear conciencia y, prácticamente, avergonzar a estas compañías para que construyeran mejores productos para la venta.

Elizabeth: Así que, ¿cree que entonces Microsoft realmente sabía que estaban creando productos que no eran seguros y no eran sinceros cuando decían que sus productos eran buenos?

Chris: Creo que no entendían lo que estaban construyendo. Creo que la línea corporativa de su marketing era "creamos software seguro. Esa es nuestra meta". Crearon medidas de seguridad similares a la autenticación y la criptografía. Pero lo hicieron bastante mal porque no entendían las vulnerabilidades. No entendían que los atacantes podían aprovechar los errores de código para obtener los datos detrás de la aplicación y ejecutar sus propios comandos en el software. Y ahí fue cuando entramos los hackers y demostramos lo malos que podíamos ser. Y ahí fue cuando supe que era un hacker. Así es como veo mi rol y el rol que teníamos en L0pht, el grupo de hackers del que yo formaba parte, y que difundía que los proveedores no sabían lo que estaban haciendo y que tenían que empezar a construir su software de otra manera.

Elizabeth: Así que testificó en el Congreso en 1998, ¿podría explicarme un poco cuáles fueron las razones por las que lo hizo y sus objetivos? Luego le pediré que lo vincule a la situación actual, ya que recientemente hemos visto a algunas personas en el Congreso, a Mark Zuckerberg en concreto. ¿Qué opina sobre ese tipo de cosas, después de todos estos años?

Chris: Testificamos en 1998, pero un par de años antes habíamos empezado a llevar a cabo lo que llamamos investigación de vulnerabilidad. Cogíamos un producto popular como Internet Explorer, lo instalábamos en un laboratorio y realizábamos la ingeniería inversa. Tratábamos de descubrir qué problemas tenía y buscábamos formas de arreglarlos. Quiero decir, ahora pensamos en ello como algo que todos saben, entramos en un enlace y nuestro ordenador ejecuta el software de otra persona, bajo el control de otra persona. Creo que ahora todo el mundo conoce el riesgo de que, si entramos en un enlace y es malicioso, podría hacer que otra persona controle nuestro ordenador. Ese es exactamente el tipo de vulnerabilidades que investigábamos en 1996 y 1997 para intentar que la gente prestara atención. Nuestro objetivo era investigar y explorar. Pero después de un tiempo nos dimos cuenta de que los usuarios no sabían que esto era un problema. Los proveedores tampoco lo sabían. Y así, asumimos el papel de defensores del consumidor difundiendo que el software inseguro pondría en peligro nuestros ordenadores.

Tuvimos algo de publicidad y creo que fue lo que nos puso en el radar del Senado cuando empezaban a abordar este problema. En 1998 se publicó el primer informe de la Oficina de Responsabilidad Gubernamental que examinó, por primera vez, la seguridad de todas las diferentes agencias federales. Y así, el senador Thompson que era el presidente en ese momento de la Comisión de Asuntos Gubernamentales, quería una comparecencia para hablar sobre los resultados, que en el caso del Gobierno eran bastante malos, probablemente porque usaban mucho software de Microsoft en ese momento, aunque también de otros proveedores. No sé de quién fue la idea, pero no querían tener solo el punto de vista del Gobierno, querían escuchar un punto de vista externo. Y nos contactaron, para la opinión de expertos, una especie de visión externa de los hackers.

Elizabeth: Entonces, la relación entre esa experiencia y la más recientemente como la de Mark Zuckerberg. ¿Le ha sorprendido, en primer lugar, le parece diferente después de todos estos años lo que vio cuando él estaba allí hablando de Facebook? ¿O le resulta familiar? ¿Cuáles son las comparaciones y las diferencias que podría compartir con nosotros?

Chris: Facebook ha tenido muchos problemas diferentes, bastantes de ellos de su propia creación, como la forma en la que tratan la privacidad y su modelo de negocio. Algunos de los problemas se deben a que es un desafío asegurar un software tan grande y complejo y han tenido vulneraciones de datos, ¿verdad? Es un tema tanto de seguridad como de privacidad. La diferencia consiste en que los riesgos son mucho más altos porque hay bastante más dependencia de los sistemas como Facebook. Toda esa cantidad de información personal alojada en Facebook se podría usar contra las personas que claramente no querrían estar expuestas. Y hasta cierto punto sí que se está utilizando contra todo nuestro sistema de democracia. ¿No? Y contra la sociedad y no solo contra los individuos. Por eso, lo que está en juego ahora parece mucho más importante que en 1998 cuando estábamos intentando crear conciencia, diciendo que "se trataba de un problema que iba a peor". Y luego miro hacia atrás y creo que en realidad, muchas cosas no han cambiado. Básicamente, todavía no hay responsabilidad para el software. Si se vulneran los datos de Facebook la explicación es: "Oh, bueno, es difícil construir un software seguro", y parece que a todos los que crean software se les permite eso. Así que, eso no ha cambiado realmente. Pero creo que lo que ha cambiado es el impacto de estas infracciones en la sociedad. Simplemente domina nuestras vidas por completo.

Elizabeth: ¿Cree que la solución está en manos de los reguladores y legisladores, en la creación de nuevas leyes para implementar una mejor ciberseguridad? Y si es así, ¿hay medidas concretas que le gustaría que se adoptaran?

Chris: Sí, me gusta ver analogías en otros negocios, en otras industrias que el Gobierno ha regulado, como los alimentos que están regulados con etiquetas de ingredientes y la higiene etcétera. La seguridad está regulada en muchos sitios: en los coches, en los aviones, en todo tipo de transporte, en el lugar de trabajo e incluso en los productos de consumo. Me gusta ver esas analogías y preguntar: "¿Cómo conseguimos eso? ¿Cómo obtener el beneficio sin sofocar esas industrias?" Quiero decir, obviamente, la seguridad en los coches ha sido un gran éxito. ¿Verdad? Ahora conducimos de forma mucho más segura. Y la verdad es que a la industria automovilística no le va nada mal. Entonces, ¿cómo podríamos lograr una regulación que mejoraría la seguridad, que es bastante parecida a la protección, especialmente cuando hablamos de IoT y de dispositivos controlados por ordenadores? ¿Cómo hacerlo sin reprimir esas industrias? Hay que tener mucho cuidado y analizar lo que ha funcionado para los alimentos por ejemplo, como las etiquetas de ingredientes. Así que, basta con transparencia sobre lo que hay dentro y dejar que el consumidor decida. Obviamente, si algo resulta que causa cáncer, lo eliminamos del mercado.

Creo que las etiquetas de ingredientes y la transparencia son un buen comienzo. Pero otra cosa que creo que debe cambiar es lo que pasa cuando se producen importantes vulneraciones de datos. Deberíamos tratarlas como si fuera un accidente de transporte e intentar llegar a la raíz del problema. Siempre hacemos eso con el transporte y muchas veces, cuando se trata de una vulneración de datos, decimos algo así como: "Oh, bueno, esta es la cantidad de informes afectados. Vamos a comprar a todos sus informes de crédito o el control de crédito e intentaremos que no vuelva a suceder". Pero realmente no sabemos qué sucedió. Creo que el 10 % de las veces sale en las noticias y generalmente es porque el grupo atacante lo reclama.

Elizabeth: Es muy interesante lo que explica acerca de este tipo de análisis post mortem, porque, ciertamente cuando ocurren los accidentes de aviación, se expone cada pieza sobre eso en un almacén y observan absolutamente todo para averiguar exactamente qué les dice la caja negra. Pero hay algunas diferencias con los accidentes de seguridad alimentaria, nunca encontraremos la lechuga que se ha puesto mala hasta que esa crisis haya pasado. Y creo que hay algún beneficio real de ese tipo de enfoque.

Pero entiendo los desafíos son esos y me interesa su punto de vista sobre si hay algo inherentemente más fácil para que las personas comprendan cómo se hizo una ensalada y cómo se preparó o sobre cuáles son las diferentes piezas en el avión que interactúan entre sí. Y de alguna manera, cuando se trata de vulnerabilidades de software y de las grandes infracciones de seguridad en la red, tal vez sea la falta de conocimiento y de comprensión real sobre cuáles son todos los ingredientes. Pero creo que, si se presentan todos los ingredientes, solo tendrían sentido para unas pocas personas.

Chris: Pero hay expertos que están por encima de lo básico, como los nutricionistas y los médicos y ellos pueden dar consejos según ​​ esos conceptos básicos. Y diría que cualquier tipo de accidente aéreo es muy complicado, como el más reciente con Etiopía y Lion Air, es una cadena bastante complicada de software, que tal vez acabó con un mal diseño dentro. Nunca se trata de algo tan simple como el fallo de un sensor provocó un error algún software y luego hubo una falla del sistema. Suelen ser dos o tres cosas combinadas. Y, por eso, creo que en realidad es bastante similar a lo que vemos en el ciberespacio.

Elizabeth: La verdad es que creo que estoy pensando más en los legisladores. Quiero decir que no puedo evitar repetir en mi mente las preguntas a Mark Zuckerberg como: "Bueno, ¿cómo gana el dinero?" El engaño a causa de esa falta de conocimientos por parte del Congreso sobre cómo funcionan esos negocios y probablemente muchos otros me lleva a pensar que es difícil que podamos llegar a una autoridad reguladora con una capacidad real de desmontarlo. También me pregunto, particularmente porque antes se involucró con Microsoft, cuál es su punto de vista en torno al poder de estas grandes compañías de internet y de cómo responden a algunas actitudes similares de los legisladores. Creo que las aerolíneas y las compañías de alimentos están en una situación diferente. ¿Cómo cree que Facebook o Instagram o Twitter o Google u otros responderían o han respondido hasta ahora a este tipo de ideas?

Chris: En 2002, Bill Gates salió y dijo: "Vamos a detener el desarrollo y todos van a recibir formación de lo que llamamos computación confiable". Y empezaron su camino hacia la construcción de un software seguro y luego, probablemente 10 años después de eso, hicieron un trabajo realmente bueno. ¿Cierto? Creo que en parte fue para proteger su marca, tenían que hacerlo. Eso lo veo mucho, las compañías lo hacen para proteger su marca. Como por ejemplo los proveedores de la nube como Amazon y AWS, son muy seguros porque necesitan apostar fuerte por la seguridad o nadie querrá usar su servicio. De modo que creo que podría funcionar si la marca de la compañía y sus productos se alinean en torno a la seguridad. Pero creo que el problema con Facebook es que esa alineación no es necesaria ni obligatoria debido cómo las personas ofrecen su información. La alineación no siempre existe. Y si miramos lo baratos que son los fabricantes de IoT de China que tienen nombres que nunca hemos escuchado, no tienen ninguna alineación de marca y no les importa en absoluto. Ahí es donde creo que reside el mayor problema, no está en los jugadores más grandes, sino en los siguientes 1.000 jugadores que siempre tienen una vulnerabilidad en algún lugar y hacen que toda la red sea vulnerable. Si miramos cualquier tipo de sistema, cuanto más nos alejamos de los mejores jugadores y del nombre de la marca el problema crece, como WordPress, que en realidad funciona bastante bien. Pero podríamos añadir un complemento de algún jugador desconocido en nuestro WordPress y así aparece la vulnerabilidad. Ahí es donde creo deberían centrarse la regulación y la transparencia, en mejorar la situación desde la base hacia arriba y no fortalecer a los jugadores más fuertes.

Elizabeth: Quiero pasar ahora a lo qué está sucediendo hoy en día y a algunas de las innovaciones que se han desarrollado para una mayor seguridad. Ahora la autenticación de dos factores envuelve nuestras contraseñas. ¿Cuánto tiempo cree que este será el estándar y hacia qué otros factores, como la biometría y demás, cree que avanzaremos?

Chris: Creo que la autenticación de dos factores es una de las mayores innovaciones, especialmente si podemos usar nuestro dispositivo móvil como el segundo factor, porque es casi tan fácil de usar y configurar como una contraseña. Creo que veremos la autenticación de dos factores durante mucho tiempo. La biometría está bien para un dispositivo de hardware como la cerradura de una puerta o el teléfono. Se vuelve más problemático cuando esas biometrías se tienen que compartir ampliamente en muchos sistemas y hay que mantener todo eso seguro. Cuando la gente empieza a hablar sobre biometría en un cajero automático o en otros lugares conectados a la red general, entonces empiezo a preocuparme. Hay un riesgo real allí porque nuestra huella dactilar es única, podemos cambiar nuestra contraseña, pero no podemos cambiar de pulgar o al menos no tal fácilmente.

Elizabeth: ¿Qué me dice de los problemas de ciberseguridad en las aplicaciones de aprendizaje automático? ¿Cuáles son algunas de las preocupaciones que debería tener en cuenta la gente que trabaja con esta técnica?

Chris: El aprendizaje automático se puede utilizar para resolver algunos problemas de ciberseguridad. Creo que cuando intentamos separar el comportamiento normal del comportamiento malicioso entramos en un terreno peligroso porque son muy parecidos. Quiero decir que hay casos extremos como, por ejemplo, siempre iniciamos sesión desde un sitio y, de repente, lo hacemos desde China por primera vez y en realidad eso es bueno para ese tipo de cosas. Es una especie de detección antifraude que utilizan las compañías de tarjetas de crédito. Y ese tipo de anomalías extremas me parecen bien. Pero resulta más difícil cuando intentamos comprender el comportamiento comportamiento malicioso en comparación con el comportamiento normal humano. Como si alguien estuviera accediendo a una hoja de cálculo por primera vez porque le acaban de decir que haga algo. ¿Habría que bloquear esa actividad? ¿Alguien realizará un seguimiento físico de esa actividad? Eso podría llevar a muchos falsos positivos. Así que, cuando se trata del comportamiento humano, que sería solo una especie de protección para el PC o para la red, creo que es un reto y aún no estamos lográndolo.

Elizabeth: Y los ejecutivos que dirigen compañías que necesitan pensar en su seguridad, ¿deberían preocuparse mucho? A menudo me pregunto, ¿se podría comparar con un ataque terrorista, que estadísticamente es poco probable? ¿O se parece más al riesgo de un accidente de tráfico de camino al trabajo? ¿Dónde debería centrar mis preocupaciones? Además, hay un montón de compañías a las que les encantaría decirme que la situación en términos de riesgos de ciberseguridad a la que me enfrento aquí en MIT Technology Review es terriblemente peligrosa . ¿Y cómo filtro la información real del ruido?

Chris: El desafío es que no sabemos qué nivel de riesgo deberíamos tolerar, ya que diferentes empresas tienen distintos niveles de riesgo, como es obvio, un banco tiene un nivel de riesgo diferente al de una empresa de medios de comunicación. ¿Verdad? Una empresa de medios puede sobrevivir si su página web es hackeada, pero un banco no puede sobrevivir si pierde miles de millones de euros. Hay diferentes tolerancias al riesgo para cada tipo de negocio. Pero cuando se trata de un ataque dirigido, la cosa cambia. Algo que me preocupa es el aleatorio ataque indiscriminado que vimos con el virus NotPetya que derribó a Merck y creo que a un par de compañías internacionales de transporte. No pudieron operar sus negocios globales durante semanas. Eso es algo de lo que toda empresa tiene que preocuparse. Yo mismo, si fuera a centrarme en mi ciberseguridad, primero me enfocaría en ese tipo de ataques generalizados, y vería en si existen objetivos directos en mi negocio. ¿Y sabe cómo los trataría? Creo que habría que separarlo todo en dos y sería un poco diferente para cada negocio.

Elizabeth: ¿Y qué les diría a las personas que están entrando en el campo de la ciberseguridad ahora? ¿O han sido hackeadas o que simplemente tienen interés ​​en hacer una página web y que su empresa funcione de forma más segura en internet? Las cosas han cambiado mucho. Usted sabe que los hackers y los hackeos se han vuelto mucho más sofisticados. Ya no hay duda de que se trata de una herramienta de los estados. ¿Qué consejos les daría?

Chris: Estuve en un evento en el que 13 diferentes equipos universitarios se unieron para capturar una bandera cibernética.  Les dije lo que me gusta decir: "empezar con lo básico". Es necesario entender cómo funciona la red TCP/IP y cómo funciona internet. Hay que comprender cómo funcionan los sistemas operativos como Unix y Windows. Hay que tener una amplia base sobre código. Todo eso es necesario solo para empezar, luego hay que decidir en qué especializarse. ¿En la defensa o en el equipo rojo? ¿Responder a incidentes y hacer análisis forense? Lo que terminé haciendo yo fue trabajar con personas que desarrollan software para ayudarles a hacerlo mejor. Creo que todos necesitan esa base porque hay muchos diferentes niveles en los que se pueden atacar los sistemas. Es posible atacar la red, el sistema operativo y supongo que otra área entera sería la humana. ¿Cómo engañar a la gente para que haga algo? Creo que habría que entender los conceptos básicos de todos esos niveles y luego centrarse en las aptitudes. Obviamente, algunas personas por su naturaleza gravitan en ofensiva o en la defensa. Yo empecé en la ofensiva y luego pasé a la defensa porque me gusta más así. Probaría diferentes cosas y luego profundizaría y me centraría en un área.

Elizabeth: Genial, ha sido una conversación muy interesante y realmente aprecio el tiempo que nos ha dedicado.

Chris: Gracias por invitarme.