Entrevista realizada por Cristina Casabón, Directora de Comunicación del Instituto de Seguridad Global (ISG) a Chema García de THIBER
http://www.institutodeseguridadglobal.com/chema-garcia-ingeniero-en-informatica-consultor-y-auditor-de-ciberseguridad/
Chema García, eres Ingeniero en Informática, consultor y auditor de ciberseguridad y analista de THIBER, the cybesercurity think tank, una referencia en lengua castellana en materia de seguridad y defensa en el ciberespacio.
Se ha puesto de relieve la altísima importancia y dependencia de la criptografía para garantizar la seguridad en las comunicaciones digitales. Antes de profundizar en este tema hay que responder una pregunta: ¿En qué consiste un programa de cifrado?
De manera gráfica, podemos decir que se trata de una “caja” en la que entra un mensaje, una clave secreta, y mediante la aplicación de algoritmos matemáticos, da como resultado un mensaje cifrado, ininteligible, el cual podrá descifrarse solo conociendo la clave secreta y algoritmos que que se utilizaron. Por otro lado, el criptoanálisis es el conjunto de técnicas cuyo objetivo es estudiar los sistemas criptográficos para romper su seguridad mediante la búsqueda de debilidades inherentes a estos sistemas.
Un sistema de cifrado puede ser abierto (público) o cerrado (privado), y por norma general no se recomienda modificar dichos algoritmos salvo casos concretos en los que esta labor es realizada por expertos, ya que es relativamente fácil cometer errores que debiliten la seguridad del sistema. Y por supuesto, el hecho de que un sistema de cifrado sea cerrado no implica que su seguridad sea más fuerte que la de un sistema de cifrado público.
ISG: En una publicación reciente usted describe un grave error de software descubierto en abril de 2014 y bautizado como “Heartbleed”, que ha comprometido desde finales de 2011 la seguridad. Pero esto no es todo, otro malware descubierto en septiembre, Shellshock, se cree podría afectar a cientos de millones de ordenadores, servidores y dispositivos. ¿Qué suponen estos errores para la seguridad?
CG: Los dos se llevan explotando desde hace bastante tiempo, casi de manera coetánea, utilizándose fundamentalmente para obtener información. Existen teorías que apuntan a que las vulnerabilidades que explotan han sido introducidas de forma voluntaria. Estos fallos de seguridad permiten que se pueda acceder a contenido interno del servidor vulnerable (espiar las comunicaciones, robar los datos directamente de los servicios web y sus servidores, por ejemplo).
Heartbleed afecta a una suite de cifrado (OpenSSL), usado en un alto porcentaje de los servicios web que usamos de forma diaria, estando presente tanto en sistemas Linux como Windows. La pregunta es, ¿puede el interés gubernamental en acceder a las comunicaciones e información cifrada estar detrás de Heartbleed?
ISG: Tras las revelaciones del ex empleado de la CIA, Edward Snowden sobre la Agencia Nacional de Seguridad de Estados Unidos se han puesto en duda algunas de las primitivas criptográficas y protocolos de seguridad que estaban recomendados por la NSA. ¿Es posible que esta agencia haya introducido “puertas traseras” en sus programas para espiar a los ciudadanos?
CG: Es viable. ¿Cuál es la labor de una agencia de inteligencia como la NSA? Entre otras, obtener información para explotarla y obtener datos de inteligencia. Los ciudadanos en el momento que nos registramos en una red social, por ejemplo, y aceptamos sus condiciones de uso, estamos exponiendo nuestros datos. Cuando algo es gratis, el producto eres tú. Los gigantes como Google viven de vender nuestros datos, y la información y el conocimiento que se genera de estos perfiles es brutal. Sin ir más lejos, en estos momentos pueden conocer perfectamente nuestra ubicación exacta, y saber que estamos en el mismo sitio a través de nuestros dispositivos móviles, sin que nos percatemos de ello.
ISG: ¿Crees que es moral que los gobiernos y sus agencias de seguridad espíen a los ciudadanos?
CG: Existe la opinión de que los datos de los ciudadanos son privados, pero los terroristas también son ciudadanos, y si llevan en un ordenador información cifrada sobre la hora, el lugar y el día en el que van a perpetrar un atentado, alguien tiene que ser capaz de acceder a esa información. Existe una visión, por un lado, de confiar en los ciudadanos, y también existe la visión de someterlos a vigilancia para conocer los perfiles de los individuos y encontrar posibles amenazas para la seguridad.
Nosotros sabemos que gracias a estos sistemas de vigilancia están siendo interceptados sospechosos terroristas, por ejemplo. El ciudadano lo puede ver aberrante, pero igual desde el punto de vista de las agencias de inteligencia, la vigilancia masiva de los ciudadanos se puede legitimar. Una agencia de inteligencia llega hasta donde tenga que llegar, y más siendo ellos los que desarrollan estos sistemas, y teniendo el 98% de la infraestructura y la tecnología que se utilizan para llevar a cabo estos sistemas de cifrado.
ISG: Sabemos que los yihadistas de al-Qaeda y Estado Islámico han desarrollado sus propios sistemas con programas de código abierto, y han renovado su software de inteligencia en 2013. ¿Podemos llegar a descifrar estos mensajes?
CG: Cada vez los grupos terroristas tienen tecnologías de cifrado más sofisticadas. Ni siquiera los que nos dedicamos a esto podemos descifrar los mensajes de estos grupos por lo que podemos decir que no hay capacidad de hacer frente a este tipo de amenazas, a menos que se introduzcan puertas traseras.
Hace seis años en el País Vasco francés se detuvo a un grupo de terroristas de ETA cuyos equipos contenían datos cifrados. En un cajón encontraron una hoja de papel con un texto en euskera antiguo y con ella, consiguieron descifrar los mensajes. Su sistema de cifrado no se podía descifrar, a no ser que se conociese la contraseña, y ante este tipo de situación lo que se hace es probar contraseñas (el número de teléfono, el nombre del perro, la dirección, etc.) hasta que consigues descifrar el mensaje. El sistema de cifrado era público, pero aún sabiendo como funciona y teniendo el texto de salida, no es posible conocer el mensaje original sin la clave.
ISG: ¿Puede que en el futuro haya conflictos de espionaje entre las agencias de espionaje y los gobiernos que las albergan, o entre las agencias de distintos gobiernos?
CG: Esa “guerra” ya existe. “Red October”, por ejemplo, es una filtración de que se ha descubierto hace unos meses, y que demuestra que todas las embajadas de países europeos afectadas por este virus han sido interceptadas durante siete años. Es imposible conocer la procedencia del malware, no tiene un “Made in China” escrito en ningún lado.
Otro ejemplo es el caso de “Careto”, un malware que estaba operativo en países de interés estratégico. “Caguen1aMar” era una de las contraseñas que utilizaba para cifrar la información (y también una expresión andaluza). Hablamos de una guerra que se gesta entre los gobiernos por el acceso a la información, y la Guerra Fría es un juego de niños comparada con esto.
ISG: ¿Para qué se diseña una Política de Ciberseguridad Nacional Española y quienes responden en caso de un ataque al Estado español o a sus empresas?
CG: El impacto que puede tener una potencial interrupción o destrucción de las redes y sistemas que proporcionan servicios esenciales a la sociedad española es de proporciones incalculables. Para hacer frente a estos problemas de seguridad tenemos los llamados Centros de Respuesta a Incidentes Informáticos (En inglés, CERT: Computer Emergency Response Team), equipos altamente cualificados a los que acudir cuando sufrimos algún problema de seguridad. A nivel nacional, tenemos que distinguir dos organismos clave:
El Centro Criptológico Nacional (CCN) es un organismo del estado español anexionado al Centro Nacional de Inteligencia, Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifrado. Su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las tres administraciones públicas existentes en España (general, autonómica y local).
Por otro lado, el Instituto Nacional de Ciberseguridad (INCIBE) se ocupa del ámbito privado, respondiendo ante incidentes de seguridad del sector empresarial.
Pero también hay un listado de hasta 3.500 Infraestructuras Críticas, que son vitales para la seguridad del país (publicas y privadas). Esta información permanece clasificada por razones obvias, darla a conocer sería como señalar el camino a quien quisiese poner en entredicho a la seguridad nacional. Siempre que las empresas de esta lista tienen un problema de seguridad, acuden al CCN, ya que la interrupción o destrucción de este tipo de infraestructuras puede tener repercusión en el eficaz funcionamiento del Estado.
