"La vulnerabilidad de Microsoft permite al atacante hacer cualquier cosa"

El 1 de abril de 2014, el mundo de la informática se tambaleó cuando el equipo de Seguridad de Google anunció el descubrimiento de Heartbleed, un agujero de software que permite a un atacante leer la memoria de un servidor o un cliente. El fallo, presente en el código abierto OpenSSL, afectaba a dos terceras partes de los sitios web del mundo.

Foto: A oldo Müller-Molina.

Para el presidente de la empresa de análisis de big data simMachines, A oldo Müller-Molina, el fallo de seguridad detectado por su equipo es "mucho peor que Heartbleed". Pero, ¿cómo ha descubierto un experto en análisis de datos masivos una vulnerabilidad de software? En realidad, Müller-Molina no estaba buscando este fallo sino comparando datos mediante técnicas de similitud. Estas técnicas permiten, por ejemplo, detectar a los mejores candidatos para un puesto de trabajo, establecer las probabilidades de sufrir cáncer de próstata y, en este caso, detectar vulnerabilidades informáticas.

La pericia de Müller-Molina para comparar datos le sirvió para conseguir en 2014 el reconocimiento de MIT Technology Review en español en el certamen Innovadores menores de 35 Centroamérica. Lo que no sabía es que también iba a ser capaz de detectar este fallo presente en el Active Directory, el sistema de Microsoft que controla las redes inte as de las empresas. Gracias a ello, este experto en big data ha colaborado con la compañía de Bill Gates para desarrollar un parche de seguridad para el problema que fue lanzado ayer.

¿Cuál es el alcance de la vulnerabilidad?

Este problema ha estado presente durante 10 años en los sistemas de empresas que usan el servicio Active Directory de Microsoft y permite la ejecución de código de forma remota en cualquier ordenador de la red inte a que gestiona este. Es como tener un agujero en la pared de una casa donde cualquiera podría entrar.

El problema es que por el tipo de agujero ha sido muy difícil de detectar ya que no es un fallo puntual sino que afecta a toda la arquitectura del sistema. No se sabe si se han hecho ataques porque, hasta que detectamos la vulnerabilidad, no se sabía que existía, aunque la puerta haya estado abierta tanto tiempo.

¿Cómo detectaron este fallo?

A principios de 2014, empezamos a trabajar con ICANN (Corporación de Inte et para la Asignación de Nombres y Números, por sus siglas en inglés) para evaluar la seguridad de los nuevos dominios (.corp, .jazz, etc) que se iban a añadir a los tradicionales .com, .org y .net. Gracias a las técnicas de similitud, detectamos unos patrones comunes en los datos que se habían ido acumulando en los servidores. Son varias enumeraciones normales, pero una de ellas captó la atención de la compañía de seguridad con la que trabajamos, JAS Global Advisors.

Hicieron una prueba y comprobaron que, gracias a esa vulnerabilidad, se podía ejecutar código de forma remota en cualquier ordenador de una red que usara Active Directroy. Comunicamos la vulnerabilidad al fabricante y empezaron a desarrollar el parche que ha tardado un año en estar listo.

¿Qué puede conseguir un atacante con esta vulnerabilidad?

Pueden hacer cualquier cosa. Cuando ejecutas código en un ordenador tienes acceso a todos los datos, a información confidencial, a archivos personales, a todo. Afecta a todas las empresas que utilicen Active Directory y puede afectar también a los clientes de estas empresas. Por ejemplo, si estás usando el wifi en una cafetería que utilice este sistema, un atacante que explote esta vulnerabilidad podría acceder a tus datos.

¿Cómo es posible que nadie lo detectara antes?

Nadie sabía que existía este problema, estaba ahí pero nadie lo había detectado. Nosotros encontramos algo que no esperábamos. Estábamos buscando problemas de otro tipo y, de repente, nos lo encontramos.

Ha sido muy emocionante, porque hemos descubierto una vulnerabilidad gracias al big data y a la correlación de datos. Los datos que pasan por los servidores son como sedimentos, cada año se van acumulando y empiezan a crecer, pero nadie se enteraba que el problema estaba ahí. Lo importante es ver los datos y saber interpretarlos.

¿Cuál es la importancia actual del big data?

Este caso muestra lo importante que es el big data, no sólo para la seguridad de inte et, también para otras materias. Si alguien hubiera analizado bien los datos, se hubiera podido predecir la crisis financiera de EEUU. Por eso, siempre digo que si la gente entendiera la importancia del big data, el mundo iría mejor.

Solo con los datos podemos llegar a tomar las mejores decisiones y alcanzar nuevas metas. Aunque todavía no tenemos robots caminando, sí tenemos mucha inteligencia artificial que nos ayuda a muchas cosas y cuánto más exista, más lejos vamos a poder llegar.

Además de proyectos de seguridad, ¿en qué trabaja simMachines?

Utilizamos las técnicas de similitud para hacer predicciones, encontrar anomalías y para recomendar cosas. Por ejemplo, puedes saber si una persona es la idónea al hacer correlación de datos con su currículum. Imagina que una empresa tiene una base de datos con los currículums de las personas contratadas y de las que no han conseguido trabajar allí. Cuando llega un nuevo solicitante, puede comparar su currículum por similitud con los que tiene en la base y ver si tienen potencial para ser contratado.

Es como el momento en el que uno va a un supermercado a comprar un tomate y sabe si es bueno porque se parece a buenos tomates que uno ha comido. Es lo mismo pero aplicado a grandes volúmenes de datos en los que se pueden establecer correlaciones automáticas.