Canción triste de SITEL Street
También controlamos los excesos de velocidad en las autopistas de la información.
Después de varios meses de renquear entre los medios digitales y algunos blogs, parece que el asunto SITEL se encuentra ad portas del Congreso de los Diputados. Las declaraciones del vicesecretario de comunicación del PP Esteban González Pons con motivo de una rueda de prensa han sido respondidas el Ministro del Interior desde la tribuna de un seminario sobre seguridad de datos. González Pons había acusado al gobierno del Partido Socialista de estar utilizando SITEL desde el año 2004 para grabar conversaciones y hacer perfiles psicológicos a través de este sistema, además de realizar seguimientos de personas investigadas mediante “un sistema ilegal de grabación de conversaciones que no tiene la cobertura de ley orgánica que la ley exige”.
Durante su intervención en la 31 Conferencia de Autoridades de Protección de Datos y Privacidad, a la que también asistía Janet Napolitano, Secretaria de Seguridad Interior de Estados Unidos, el ministro respondió con verdades evidentes (SITEL fue adquirido cuando Rajoy era Ministro de Interior y puesto en funcionamiento por su predecesor Angel Acebes) y asertos cuestionables, que por ser benévolos y no emplear el calificativo de mendaz dejaremos en burdas exageraciones. Dijo, por ejemplo, que SITEL es un sistema más garantista que el anterior, y que funciona únicamente con autorización judicial. Véase aquí una crónica sobre las declaraciones del ministro en torno a SITEL y otros temas relacionados con la seguridad.
No tiene pérdida la frase estrella de su ponencia: “no somos una sociedad vigilada sino una sociedad protegida”. Tampoco sus comentarios sobre el tráfico, aunque uno se hace la pregunta: ¿entonces para qué todo ese costoso y sofisticado montaje de sistemas informáticos para escuchas telefónicas? En realidad tenemos un problema de seguridad vial. Lo que necesitamos son motoristas y radares.
Respecto a las complicaciones jurídicas de SITEL recomiendo la lectura de este artículo en el blog del abogado asturiano afincado en Bilbao Guillermo Díaz Bermejo.
Libro sobre programación en ensamblador
Hasta hace pocos años la mayor parte de los textos sobre ensamblador que se recomendaban en las facultades de Informática e Ingeniería eran específicos de las CPU 8088 y 8085. En una época de vertiginosos avances en computación, en la que se había pasado de los procesadores de 8 bits a los de 16, 32 y los primeros prototipos de 64 bits, la respuesta de algunos docentes a la pregunta de por qué la persistencia de unos libros referidos a un material tan arcaico, que solo funcionaba en modo real, no dejaba de tener su encanto corporativo. El 8085, según se sostenía en algún que otro prólogo, fue el primer chip utilizado a gran escala en ordenadores de sobremesa y proyectos de control industrial. Ofrecía un compendio ejemplar de todas las funciones y capacidades de una CPU, y por ello valía la pena servirse de él como referencia canónica para la enseñanza. No piensen que el argumento es nuevo. Lo mismo se lleva diciendo desde hace siglos en las facultades de Leyes con respecto al Derecho Romano: cierto que no se utiliza en nuestros días, pero al ser un sistema completo que además constituye la base de todos los aparatos legislativos de la actualidad, no se le puede dejar de lado. Por tanto el alumno tiene que fastidiarse y hacer un examen más en junio. Hay aquí parte de razón, pero en el caso de los microprocesadores el motivo de que se sigan distribuyendo manuales sobre el 8085 resulta más trivial: a los profesores les da pereza ponerse a actualizar los textos.
La guía práctica sobre Lenguaje Ensamblador, de Francisco Charte Ojeda, publicada por Anaya Multimedia, viene a cubrir este hueco, con un enfoque didáctico que va más allá de la simple ampliación temática. De hecho la programación en 16 bits para MS-DOS no constituye la base principal, sino un capítulo más del libro. En sus páginas el lector aprenderá no solo a utilizar instrucciones en ensamblador y a organizar sus programas, sino también valiosas nociones sobre tecnología de microprocesadores, incluyendo los actuales chips de 64 bits y núcleo múltiple. Aprenderá lo que son los modos de funcionamiento (real, protegido y largo), la estructura de los registros del microprocesador y su relación con las diferentes metodologías de elaboración de código.
La lectura de esta obra es altamente recomendable no solo para el programador, sino también para todo aquel cuyo trabajo o esfera de interés tenga que ver con la Informática. Para más información sobre Francisco Charte y sus libros puede hacerse una visita a su página web: Torre de babel.
Corrección política en Eudora
Después de varios años utilizando Eudora 7 acabo de descubrir una nueva funcionalidad en el programa. El otro día estaba escribiendo un mensaje privado y para realzar mi punto de vista decidí emplear -sin intención ofensiva- una palabra muy española que se pronuncia con no menor frecuencia en infinidad de contextos semánticos. En el momento de darle al botón de envío apareció un mensaje advirtiéndome que estaba utilizando lenguaje ofensivo, y si deseaba seguir adelante. Por dos razones me sorprende el hecho: en primer lugar porque esta versión del popular cliente de correo electrónica tiene ya algunos años, lo cual sugiere que esta manía por cuidar las formas, como la cruzada contra el tabaco, no es un fenómeno actual. Y segundo, para mi propia satisfacción personal, el que haya tardado tanto en descubrirlo -teniendo en cuenta que el e-mail es una de mis principales herramientas de trabajo- quiere decir que en el fondo soy una persona correcta.
No acostumbro a despotricar contra la ideología de la corrección política. Es más, pienso que en el fondo se trata de algo positivo, aunque el abuso de la misma con fines de control social haya terminado por devirtuarla. En un mundo tan convulsionado y complejo como este es conveniente no andar por ahí ofendiendo al prójimo, y también tener cuidado con lo que se habla. Pero activar por defecto estas funcionalidades del software resulta tan ridículo como inútil: un usuario cortés no necesita le tutelen, y los que quieren escribir tacos lo harán de cualquier modo. Es más, tales avisos constituyen el mejor acicate para porfiar en la infracción, como en aquella película de Sylvester Stallone titulada “Demolition Man“. Que tales cosas pasen en Estados Unidos resulta comprensible. Lo que no se entiende es la actitud servil de quienes adaptaron el programa para su distribución entre el público hispanohablante.
Tu peor enemigo: el PDA
Alguien me acaba de preguntar por qué las agendas electrónicas y los PDAs son objetos de interés forense. La respuesta es simple: se trata del único dispositivo que un sospechoso lleva consigo todo el tiempo, por razones de tamaño, comodidad y posibilidades de acceso inmediato al hallarse siempre en funcionamiento y no tener que realizar un ciclo de carga del sistema. Además son los aparatos que guardan nuestras pequeñas miserias, documentadas con fotos a todo color y mensajes de texto de lo más descriptivo. Por tanto, constituyen una fuente inapreciable de evidencia para el investigador. El PDA no solo persigue al criminal, sino también a las personas normales. Si usted ha metido en su agenda electrónica algo de lo que pudiera llegar a avergonzarse, o informaciones sujetas a cláusulas de confidencialidad de su empresa, piénselo dos veces antes de pasárselo a un familiar o a un amigo. Piénselo tres antes de subastarlo on line, porque entonces es mayor la probabilidad de que llegue a poder de alguien con experiencia en recuperación de datos.
Gracias a que el usuario siempre quiere estar a la última y comprarse el dispositivo último modelo, gran cantidad de PDAs cambian todos los días de manos en eBay. Compre algunos y se dará cuenta de que en la mayor parte de los casos siguen llevando los datos personales del vendedor. Dentro de estas máquinas podrá encontrar listas de direcciones y contactos, mensajes de correo electrónico relacionados con el trabajo, anotaciones e incluso fotografías tomadas en los momentos más personales. Si se molesta en llamar al antiguo propietario, este casi siempre le dirá que no tenía ni idea de que esa información hubiera podido quedar retenida en el dispositivo.
Pequeños y sucios secretos, listos para ser cosechados por un investigador forense: esto es lo que hace que los dispositivos móviles sean portadores de una evidencia en ocasiones crucial. La huella digital dejada en una agenda electrónica, un PDA, blackberry o teléfono móvil, por no hablar de un ordenador ultraportátil, es mucho más profunda e indeleble de lo uno cree. Del iPod como amenaza para la seguridad corporativa ya hablaremos, porque el tema da para largo y tendido.
Para saber más: Rick Ayers y Wayne Jensen: “PDA Forensics Tools: Overview and Analysis”.
Las orejas electrónicas del gobierno
Un post reciente en este blog ha recogido una cantidad inusual de comentarios críticos argumentando que la Constitución y el Código Penal incluyen garantías suficientes para la cobertura de escuchas telefónicas. Fue una discusión a la española, en la que se interpretan pejiguera y teatralmente los puntos y las comas de la ley, no tanto para llevar razón como para dejar en evidencia a quien sostiene la posición contraria, y en la que algunos llegaron a citar párrafos de leyes mal nombradas con una tendenciosidad en cualquier caso mucho mayor que la que se pretendía atribuir al autor del artículo. Todo ello para invalidar la tesis principal del post: que Sitel permite a las Fuerzas de Seguridad del Estado, y por extensión a quien las manda, un acceso a la privacidad del ciudadano tan solo limitado por la negativa de este a hacer uso de su propio teléfono. Muerto el perro, se acabó la rabia. Eso es precisamente lo que hacía un antiguo Canciller de la República Federal de Alemania. Enterado de que el sistema inalámbrico de su automóvil era objeto de seguimiento constante por parte de los servicios secretos de la R.D.A., mandaba parar al chófer ante una cabina telefónica y desde allí hablaba de asuntos importantes con los miembros del gabinete.
Eran los años 80. Con Sitel no habría podido utilizar el mismo ardid, a no ser que el Consejo de Ministros estuviera reunido en otra cabina telefónica o en un bar. La potencia de los sistemas de interceptación actuales, basados en la informática y en la instalación de interfaces adecuados en las compañías telefónicas al servicio de la autoridad (Esto no es cachondeo: lo decía la Ley General de Telecomunicaciones en su versión del 2003), permite realizar un seguimiento de llamadas en tiempo tanto real como diferido, por llamante y por destinatario de la llamada, y por extensión a toda la agenda de contactos telefónicos de uno y de otro. Sitel, además de una valiosa herramienta para la seguridad del Estado, es un tren de laminación para el derecho a la privacidad y las leyes de protección de datos.
La capacidad técnica de Sitel resulta tan sorprendente como endebles los bastidores jurídicos sobre los que se apoya. Este problema lo conocía de sobra el gobierno de Aznar, que hasta después de los atentados del 11 de marzo no pudo poner en marcha el sistema al no haber sido capaz de desarrollar un marco legal para su despliegue. El nuevo gobierno, tan poco respetuoso con las libertades del ciudadano como todos sus predecesores, y además con una tendencia a servirse de la ley y de las instituciones del estado con finalidades instrumentales al servicio de su propio poder, no tuvo tantos remilgos y se estuvo sirviendo de él durante un año sin cobertura legal alguna hasta la aprobación del primer reglamento regulador en abril de 2005. Consciente de los problemas jurídicos que causaba, el ejecutivo de Zapatero decidió enfocar el asunto Sitel como una cuestión meramente técnica, diseminando la normativa en forma de leyes de bajo rango y letra pequeña en los reglamentos del Ministerio de Industria.
En Estados Unidos (que por efecto de las series televisivas es el marco mental que inspira la argumentación bienintencionada de los partidarios conformistas del gobierno), cuando un investigador necesita huronear en la intimidad de un particular, solicita una orden del juez. En dicha orden el magistrado especifica con puntillosa exactitud los datos que hay que intervenir. Más allá no se avanza, y si el dispositivo o el ordenador pertenece a un periodista, entonces se vuelve intocable, porque hay una ley del Congreso (Privacy Protection Act § 42 U.S.C. 2000a) que lo protege. En España el procedimiento es otro. La Ley 25/2007 de 18 de octubre sobre conservación de datos permite al agente facultado, con carácter previo a la ejecución de la orden de interceptación, recabar de la compañia telefónica todas las informaciones relativas al servicio de telecomunicación utilizado por los sujetos a los que se quiere practicar el seguimiento: tipo de contrato, DNI, código de identificación fiscal, números de teléfono, etc. Para cuando la petición llega a la mesa del juez para que la firme, al individuo en cuestión -y también a sus interlocutores- ya les habrán escuchado de todo, hasta cantando en la ducha.
Escucharán al sospechoso y de paso a unos cuantos más, que no necesariamente habrían de guardar relación con el caso -Pruebas de funcionamiento, ya me entiende.¿Qué era el teléfono de un político del PP o de la Esquerra? Ay, disculpe usted, no nos dimos cuenta-. La naturaleza versátil y manipulable de los datos digitales también permite seleccionar el material. En otras palabras, unos jueces mayoritariamente legos en tecnología estarán firmando sin más lo que les presenten. No es como antes, que se entregaba la cinta entera y después era destruida. Por si fuera poco ahora también queda un backup en el ordenador de Sitel.
En 2008, y cuando ya había entrado en vigor la Ley 25/2007, el Tribunal Supremo dictaminó que el Real Decreto de 2005 era insuficiente para regular Sitel. Es aquí donde ha de verse el auténtico problema, no en el escaso rigor a la hora de citar la letra de una ley que por lo general en este país el gobierno y las administraciones públicas son los primeros en incumplir. Un sistema de intervenciones tan sofisticado y potente debería estar regulado por una ley orgánica. El objetivo no es iniciar un Watergate contra Zapatero, sino conseguir que esta problemática sea llevada al terreno del debate parlamentario.
Organización empresarial para delinquir en Internet
Esta es una de las conclusiones del informe semestral sobre seguridad publicado por CISCO. A lo largo del año 2009 los delincuentes informáticos (asi es como hay que llamarlos, y no hackers: el hacking es otra cosa) funcionan cada vez más como empresas, con una estrategia comercial bien organizada y estableciendo asociaciones para maximizar el beneficio de sus actividades criminales. Las bandas no solo utilizan herramientas lícitas, sino que además se sirven de todo un arsenal compuesto en ocasiones por los mismos programas que utilizan los administradores de redes y expertos en seguridad: motores de búsqueda, Saas, etc. El empleo de la ingeniería social ha llegado a extremos de refinamiento que incluyen la explotación a escala masiva de los temores y la codicia de los usuarios. Los objetivos principales, aparte del spam y el activismo político financiado por gobiernos extranjeros, son ataques contra sitios web empresariales y robo de informaciones secretas para fines de extorsión, delitos contra la propiedad intelectual, espionaje industrial y chantaje.
El informe de CISCO expone algunas de las técnicas y estrategias empleadas por los piratas para abrir huecos en las defensas de las redes corporativas. También incluye algunas recomendaciones que tienen en cuenta a personas, procesos y tecnologías, desde un enfoque global para la gestión de los riesgos. La agilidad con que los intrusos detectan nuevas debilidades en la red obligan a la empresa a desarrollar formas avanzadas para luchar contra el cibercrimen e incrementar la vigilancia en todas las posibles vías de acceso. Traducido al español: hay que espabilar.
Todos éramos informáticos forenses
En serio. Sucedió en los primeros tiempos del PC, cuando todo aquello era nuevo bajo el sol, MS-DOS el no va plus ultra y Bill Gates sentenciaba que nadie llegaría a necesitar más de 640 kilobytes de memoria. La frase es apócrifa, pero de todos modos hizo bien en callarse lo que pudiera haber opinado sobre discos duros o frecuencia de la CPU. En aquellos días el usuario de a pie, desde el momento en que aprendía a teclear ‘dir’ y ‘Control+Alt+Supr’, tenía un privilegio que luego perdió: acceso directo al hardware. Y gracias a esto muchos recibieron sus primeras lecciones de forénsica digital, aun sin darse cuenta. Les sucedió igual que al célebre personaje de Molière, Monsieur Jourdain, que hablaba en prosa sin saberlo.
No me creen, ¿verdad? Y sin embargo, ustedes también utilizaron un minúsculo programa llamado Undelete para recuperar archivos borrados, cambiando el signo de interrogación inicial por un carácter cualquiera y volviendo a la vida algo que parecía definitivamente perdido. Sus amigas abrían la boca de admiración cuando le veían cazar a mano el virus de la pelotita o el temido Viernes Trece rastreando sus delatoras firmas con el Norton Disk Editor. Y no intente negarlo: usted mismo, en la intimidad de su cuarto, se sirvió de este mismo editor hexadecimal para aumentar su cifra inicial de fondos en SimCity y algún que otro simulador con el que se entretenía los fines de semana antes del despegue de Internet.
La edad de los pioneros y del usuario experimentado -que aprendía a fuerza de horas ante la línea de comando- llegó a su fin. Después vino la era Windows, con sus interfaces gráficos y un kernel que se hizo con el control. Las Utilidades Norton quedaron reducidas a una insípida suite de herramientas tontas y conformistas, y jamás volvieron a alcanzar su primitivo ratio de cobertura entre lo que el usuario esperaba de ellas y lo que realmente obtenía.
El círculo se cierra hacia el cambio de milenio con las primeras distribuciones Linux. El usuario volvió a tener acceso al hardware -si bien indirecto y limitado-. bash le ayudó a recuperar la línea de comandos, donde ahora puede ejecutar software procedente del mundo Unix, con una potencia y una versatilidad desconocidas en la informática de consumo. Con un entorno hardware que dicho sea de paso, hoy se encuentra a años luz no ya del existente en los tiempos del primer PC, sino incluso a comienzos de los noventa: microprocesadores varios miles de veces más potentes, discos duros con una capacidad diez mil veces superior, y los míticos 640 K de Bill Gates multiplicados por más de seis mil.
Protegiendo datos confidenciales con TrueCrypt
Si eres abogado, ingeniero, o desempeñas un cargo público con competencias en la gestión de informaciones de acceso reservado, intenta imaginar la siguiente situación: para seguir trabajando desde tu domicilio en un caso importante has puesto todos tus datos en un pendrive de gran capacidad, o en tu último modelo de disco duro externo recién adquirido. En el camino lo pierdes: te lo has dejado sin querer en el mostrador de la gasolinera, o alguien te lo roba en el metro. Hay que reconocerlo: es bastante difícil que se de el peor de los casos, que los datos lleguen a poder de la competencia u originen un problema legal. Lo más probable es que el nuevo propietario se limite a reformatear el soporte y se sirva de él para sus propios fines. Pero de cualquier modo, y esto no deja de ser humillante, ahora mismo un individuo desconocido, en la intimidad de su cuarto, se regocija con los detalles morbosos de un caso de divorcio, ha conseguido la lista de tus clientes de telefonía móvil, o las hojas de mantenimiento de la piscina y del cuarto de máquinas del hotel, o intenta adivinar qué contienen todos esos archivos CAD del nuevo troquel en el que tu empresa lleva meses trabajando.
Todo esto se puede evitar con TrueCrypt, una herramienta gratuita y fácil de manejar, descargable desde el sitio web del desarrollador y con un excelente manual en castellano patrocinado por Kriptopolis. TrueCrypt funciona generando volúmenes encriptados en los que se puede cifrar prácticamente todo: desde archivos sueltos hasta la propia partición del sistema operativo (en Windows XP y Vista), pasando por carpetas, volúmenes e incluso discos duros completos. Dispone de un número de algoritmos de cifrado para elegir (AES, Serpent, Twofish) y también admite la creación de volúmenes ocultos, para dificultar todavía más la labor de mirones y hackers. El manejo es simple e intuitivo, tanto en Windows como en Linux. Una vez montados los volúmenes, el acceso es transparente, con posibilidad de copiar y arrastrar. El único defecto estético es la presencia visible de la papelera en el directorio raíz.
Utilizo TrueCrypt desde hace meses, y doy fe de que la inversión inicial de tiempo en el aprendizaje del mismo -que tampoco es gran cosa- queda de sobra compensada por las ventajas en cuanto a seguridad. Para quienes acostumbrar a trasladar información confidencial de la oficina a casa y viceversa, el perjuicio económico provocado por la pérdida de un soporte queda limitado a la reposición del hardware. Cuando el pelafustán que se lo llevó lo enchufe a su ordenador no verá nada, tan solo una unidad sin formatear. Ni siquiera con un editor hexadecimal podría llegar hasta los archivos, ya que todo está encriptado.
Nuevas fuentes del derecho
Probablemente estas son las frases más acertadas que se hayan escrito jamás en el debate sobre el control político de las redes de telecomunicaciones:
“Ante todo es preciso superar un bloqueo mental: hasta la fecha ley y orden no parecían imaginables sin el estado. Y una renuncia a los mecanismos tradicionales de la soberanía estatal en la sociedad de las redes puede conducir al caos.”
Este, y no la pugna comercial en torno a los derechos de autor, ni la seguridad ciudadana, ni el proteccionismo cultural, es el centro de gravedad de la lucha por la red. Para saber de qué estamos hablando, he aquí un ejemplo procedente de la misma revista (Der Spiegel – Semana 33/2009) que publica el citado párrafo. Como sabemos, la posesión de un dominio de Internet constituye el salvoconducto de una persona, empresa u organismo administrativo para hacer visible su presencia en la red mundial. Los conflictos jurídicos relacionados con dominios actúan como catalizadores en la génesis de lo que podríamos denominar el borrador de una “constitución digital.”
La petrolera TotalFinaElf demandó a Greenpeace por usurpación de nombre en la página oil-of-elf.de, utilizada por ecologistas alemanes para polemizar contra la multinacional. La Audiencia de Berlín resolvió el caso aplicando leyes locales que prohibían a Greenpeace el empleo del dominio por abuso de la denominación comercial del gigante petroquímico. Sin embargo, la instancia inmediatamente superior falló a favor de Greenpeace al entender que el principio constitucional de la libertad de expresión tiene prioridad sobre el derecho de marcas.
Puesto que el secuestro de dominios se utiliza con frecuencia como arma para influir en la opinión pública, y en todo el mundo hay un ejército de abogados luchando contra esta forma de piratería, resultaba inevitable que ICANN, el organismo encargado de la asignación de nombres de dominio y rangos numéricos en Internet, interviniera en esta y otras disputas, constituyéndose en una especie de tribunal arbitral de la red. Este fue el dictamen de los guardianes del ciberespacio:
“Internet es principalmente un instrumento de comunicación global; su derecho se cimenta en la libertad de la palabra.”
La libertad es lo primero. Ningún tratado internacional, ni la Declaración de Derechos Humanos, ni la Ley Divina han sido citadas por los juristas de ICANN para emitir su veredicto. Lo escribieron sin más. Porque alguien, en última instancia, tenía que tomar la decisión. Hace años en la universidad aprendíamos que las fuentes del derecho son la ley, la costumbre y los principios fundamentales del derecho. La situación ha variado, y es en este cambio donde se encuentra el auténtico nudo gordiano de la era digital, con todos sus interrogantes del tipo: ¿quién manda en Internet? ¿qué está permitido y qué no? ¿deben existir organismos reguladores, guardianes, normativas, censura…?
Derecho sin estado: probablemente la red global es la primera estructura capaz de reemplazar el concierto internacional de unos estados en busca de consenso. Da la impresión de que el estado nacional ha entrado en una nueva etapa histórica caracterizada por la pérdida del monopolio legislativo, en la que se verá obligado a adaptarse a entornos nuevos, definidos por la actuación de una variedad de agentes que comprende no solo entes reguladores privados como ICANN, sino también ONGs, organismos internacionales, asociaciones políticas, etc.
Escuchas telefónicas y abuso de las instituciones
¿Cuántos de los lectores saben que en España los Cuerpos de Seguridad del Estado, es decir Policía Nacional, Guardia Civil, policías autónomas e incluso las Fuerzas Armadas, no necesitan una orden judicial para intervenir las comunicaciones telefónicas? A este respecto existe tan solo una normativa, la Ley 11/2002 de 6 de mayo que regula el funcionamiento del Centro Nacional de Inteligencia. Vemos demasiadas películas americanas. Por ello la primera reacción del público, característica de pueblos estúpidos y conformistas como el nuestro, fue llevarse las manos a la cabeza cuando María Dolores Cospedal se puso a buscar micrófonos en su despacho como una posesa y acusó al gobierno de estar pinchando teléfonos en Génova 13. “Si tienen pruebas que vayan al juzgado”, decía la gente. Un alterado Ministro del Interior se rasgó las vestiduras y habló de gravísimas infamias y falta de responsabilidad. Pero la cosa ha quedado en estival sierpe: nadie emprende acciones judiciales. Por buenas razones: si los unos en ningún caso han infringido la ley, aunque fueran culpables de la villanía que se les imputa, mal podría hacer valer la otra sus acusaciones, aun en el caso de que pudiera demostrarlas.
Tales pruebas no las va a encontrar la Sra. Cospedal, por más que ponga patas arriba su despacho y el rellano de la escalera. Los apaños chapuceros con pinzas metálicas, los cables tras el espejo del baño y los micrófonos inalámbricos son cosa del pasado. Ahora se emplean medios mucho más sofisticados: hacking informático, rootkits instalados por la mujer de la limpieza, ataques man-in-the-middle, la decodificación del GSM mediante tecnología israelí y, sobre todo, la interceptación directa de llamadas, tanto de fijos como de móviles, en las mismas centralitas digitales de la compañía de teléfonos.
Desde el año 2000 el gobierno español, en colaboración con la multinacional Ericsson y la empresa Indra, ha invertido alrededor de cuarenta millones de euros en SITEL, un sistema informático que permite a la policía interceptar directamente llamadas telefónicas en cualquier punto del territorio nacional sin tener que montar previamente dispositivos de escucha. La implantación del sistema se ha llevado a cabo sobre un reglamento del Ministerio de Fomento y no sobre una ley orgánica, que es lo que habría exigido una medida de tan amplia envergadura. Desde hace años Sitel se encuentra en el punto de mira de la Asociación de Internautas. El teniente fiscal de Madrid, Pedro Martínez, elevó en junio de 2005 un informe al Fiscal General del Estado las graves deficiencias jurídicas de Sitel. Según dicho informe las interceptaciones incumplen los requisitos exigidos por el Supremo para ser utilizados como medio de investigación y prueba, por no existir control judicial efectivo, lo cual afectaría a la validez de múltiples procesos. Hasta ahora el silencio ha sido la única respuesta.
Cuando Cospedal dice que se siente espiada por el gobierno yo la creo. Mucha más fe es la que se necesita para creer lo contrario, que siendo tan fácil y no existiendo una cobertura jurídica garantista de ningún tipo para los derechos del usuario telefónico, el gobierno de la Nación no se vea tentado de utilizar unos medios técnicos que le ponen en bandeja no solo las conversaciones de la oposición, sino las de cualquier ciudadano del país. El incidente podría haber servido para iniciar una sana polémica sobre la protección judicial de las telecomunicaciones, pero por desgracia ha degenerado en la rebatiña partidista de siempre.
España aun se encuentra lejos de convertirse en un estado policíaco -aunque no tanto como pensamos-. La realidad de fondo es más banal: la de un partido que intenta hundir a otro que hace esfuerzos desesperados para mantenerse a flote. El Presidente Zapatero llegó al poder navegando sobre una almadía de mentiras. Dijo a los ciudadanos que no había crisis, y vaya si la había. Ahora no sabe lo que hacer y da manotazos a todas partes, utilizando al Fiscal General para sus fines políticos y lo que haga falta.
¿Serían ustedes demasiado duros conmigo si les digo que el gobierno sí está llevando escuchas telefónicas y una labor de espionaje dirigida no solo a la oposición, sino a los restantes grupos políticos? Les propongo que se sumen a la acusación, aunque solo sea por higiene democrática. No se preocupen, el gobierno no es una persona, y no se le puede aplicar el criterio de presunción de inocencia. Es culpable por defecto, asi que pongámosle en la picota. Después se verá si ha habido escuchas o no. Y en este último caso no pediremos disculpas, sino que nos limitaremos a decir: “De acuerdo, gobierno, ya hemos visto que lo estás haciendo bien. Ahora vuelve a lo tuyo y ándate con cuidado porque seguimos vigilándote. Eres tú quien nos perteneces a nosotros y no al contrario”.
Y esto habría que decírselo no solo a Zapatero, sino también a la Sra. Cospedal cuando sea Presidenta del Gobierno.
Pánico en la cabina
En su edición del 27 de julio (Nr. 31/2009) la revista alemana “Der Spiegel” publica un artículo que además de invitar a la reflexión sobre la fragilidad de la vida humana y la relación hombre-máquina,puede también arrojar alguna claridad sobre algunos de los más espectaculares y horrendos accidentes aéreos de los últimos tiempos. En el caso del AF447 de Air France, siniestrado sobre el Atlántico con 230 personas a bordo, ¿fueron algunos componentes electromecánicos, como el sensor de velocidad, los que fallaron, o pudo deberse la catástrofe a un mal funcionamiento de los ordenadores de a bordo, similar al detectado en otros aviones de Airbus, como en el vuelo QF 72 de la compañía australiana Qantas el pasado 7 de octubre de 2008? En cualquier circunstancia se trata de la misma máquina: un Airbus A330.
El avión australiano volaba desde Singapur a Perth en condiciones de absoluta normalidad cuando repentinamente el piloto automático se desconectó y el aparato comenzó a experimentar una avalancha de anomalías como las que tal vez ocho meses más tarde provocarían la caída sobre el océano del AF447, y de las cuales se pudo captar un registro fragmentario en los ordenadores de control de París y Toulouse: códigos de alarma en ráfaga, exceso de velocidad, caída en barrena. Durante unos segundos que pudieron resultar trágicos los pilotos perdieron por completo el control del avión, en una pesadilla que se repitió al cabo de varios minutos. Al final la máquina pudo aterrizar en Perth con 115 heridos en el pasaje, 12 de ellos graves.
Hasta la fecha no se ha podido averiguar lo que sucedió en el ordenador de a bordo. El incidente ha reactivado la polémica en torno a la tecnificación de las cabinas y su relación con la seguridad de vuelo, tema recurrente en la industria aeronáutica desde que en los años 80 la clásica columna de dirección en forma de manillar comenzó a ser reemplazada por un nuevo concepto denominado “flying by wire“, en el cual el piloto actúa sobre las superficies de control aerodinámicas no de manera directa tirando de cables de acero o proporcional a través de servomecanismos, sino indirectamente, con un ordenador que recoge los impulsos transmitidos por el brazo y los traduce a movimientos mecánicos del timón, los alerones, el empenaje de cola y los flaps.
El triunfo del “flying by wire”, junto con la incorporación masiva de la informática a los aviones de línea, es lo que ha dado a las cabinas Airbus su aspecto actual, con una especie de joystick como los que se utilizan para los juegos de ordenador, desde el cual el piloto dirige el avión. El control está cada vez más en manos de los ordenadores y menos en las del ser humano. El avión ya no es esa máquina romántica y traquetante con la que unos individuos con chupas de cuero, gorras con orejeras y gafas protectoras sobrevolaban cordilleras agrestes con las ventanillas cubiertas de hielo, sino una especie de cyborg volante, con climatización artificial y tapizado de pantallas, en el que no se sabe bien dónde acaban las neuronas humanas y comienzan los circuitos impresos. Las ventajas de esta tendencia son incontrovertibles, para empezar una mayor seguridad de vuelo. Los expertos aseguran, respaldados por las estadísticas de accidentes aéreos, que lo más peligroso de ir en avión es el viaje en coche hasta el aeropuerto.
Sin embargo la sobrecarga de tecnología en la cabina también plantea inconvenientes. Presa de temores luditas que le acechan desde los inicios de la Revolución Industrial, el hombre se resiste a ceder el control a la máquina. Bueno está que en caso de que el piloto mueva el joystick a un lado y el copiloto al contrario los movimientos se compensen automáticamente y el rumbo del avión quede como está. También que cuando uno de ellos por error aplique una fuerza excesiva al bastón, el ordenador reinterprete los impulsos en función de parámetros de seguridad estrictos, llevando el avión solamente hasta el límite de sus posibilidades de maniobra sin dejar que pierda estabilidad.
Pero, ¿qué hay de aquellas situaciones, inevitables en todo sistema informático como resultado de defectos en la programación o incidencias imprevisibles, en las que el ordenador se engaña con respecto a las circunstancias reales y actúa mecánicamente configurando un funcionamiento inadecuado del avión. Por ejemplo, cuando por alguna emergencia necesita volver a levantar el vuelo después de haber tocado la pista, pero el contacto de una rueda con el firme hace que el ordenador, creyendo que la máquina ya está en tierra, repliega automáticamente los flaps y reduce el empuje de los motores.
Todo avión moderno lleva como mínimo tres ordenadores de a bordo, con sistemas operativos y software diferentes para minimizar la probabilidad de fallo, sin contar los innumerables dispositivos basados en microprocesador que lo controlan todo, incluyendo funciones tan triviales como los pestillos de cierre interior de los cuartos de baño. A pesar de todo, hechos inesperados como una descarga de partículas alfa procedente del espacio galáctico puede alterar el funcionamiento de los circuitos. La tragedia puede incluso comenzar por algo tan absurdo como un muelle defectuoso dentro de un interruptor de plástico que obliga a uno de los ordenadores a reiniciar una y otra vez, arrastrando a los demás en una esquizofrenia de datos mal interpretados.
Uno de los factores que favorecen la incorporación del ordenador al avión es indudablemente económico. En una época de expansión del tráfico aéreo y de las líneas comerciales en todo el mundo no hay manera de conseguir los profesionales suficientes, a no ser que se acorte su período de instrucción. Las cabinas informatizadas, sin embargo, no solo reducen la experiencia del piloto al necesitarse menos horas de vuelo para aprender a llevar un avión actual. También suponen un obstáculo que impide aprovechar el talento creativo y la capacidad decisoria del ser humano en situaciones límite.
La polémica termina aquí: en términos de seguridad la automatización compensa con creces el malestar producido por la cesión de poder a las máquinas. Y si a usted no le gusta esto, haga como un servidor: no vuele, a no ser que no le quede otra opción. Consuélese con el hecho de que estos problemas están generando un debate muy interesante, y seguramente prometedor, en torno a un nuevo tema: cómo mejorar la interacción hombre-ordenador en una época en la que nos estamos dando cuenta de que la Humanidad cruzó ya hace tiempo el Rubicón de la Alta Tecnología. Como escribió Isaac Asimov al final de una de sus novelas sobre robots: “a partir de ahora, solo las máquinas serán inevitables”.
Web 2.0 y Software Libre
Cuando anuncian una charla sobre redes sociales cabe esperar, por lo general, una arenga a cargo de líderes de opinión empeñados en convencernos de que la Web 2.0 es el cúlmen definitivo de dos siglos de avances informáticos (de Charles Babbage a esta parte). Por ello ha sido una grata sorpresa acudir a esta exposición de Lorena Fernández dentro del ciclo de ponencias veraniegas del grupo E-Ghost de la Universidad de Deusto, planteada desde un ángulo realista y crítico, en la que se han dicho cosas que no agradarán a esa legión de betatesters que entrenan día y noche en el manejo de herramientas de moda como Facebook y Twitter, tan inasequibles al desánimo como ignorantes de los peligros que acechan en las profundidades del ciberespacio.
Aparte de la situación desastrosa de la seguridad personal en la Web 2.0 (ingeniería social, robo de identidades, linchamiento moral y persecución implacable del más tonto), hay varias cuestiones de problemática resolución. Sí, es cierto, todo el mundo está en las redes: empresas, particulares, organismos públicos… O si no, pronto lo estará. Pero, ¿qué hay de la propiedad y la disponibilidad de los datos? ¿Qué quieren hacer de verdad con ellos quienes tan solícitamente se ofrecen para custodiarlos? ¿Qué sucede si el gestor de una red social quiebra y sus servidores desaparecen de la Web 2.0? ¿Cómo garantizar que los propietarios de la información sigan siendo dueños efectivos de la misma en un entorno informático dominado por la descentralización, el cloud computing y la letra pequeña de licencias abusivas?
Sin el Free Software no habrían sido posibles las redes sociales. Pero estas redes no son del todo libres. La impresión es que nos hallamos a mitad de camino entre una propiedad exclusiva al estilo Microsoft y las soluciones libres al 100%, donde Richard Stallman no tendría motivos para ponerse borde y el usuario podría decidir soberanamente sobre sus propios datos. Nos ayudarán a llegar más cerca de este extremo, alejándonos del otro, las propuestas tecnológicas basadas en estándares abiertos: OpenID, OAuth, OPML, APML y microformatos (adición de significado semántico a los contenidos). Más en el blog de Loretahur.
Esclavos de la S.G.A.E.
Llevo algún tiempo sin comprar discos duros por aquello de la crisis. Como tengo una pila de ellos me dedico a reutilizar los antiguos para almacenamiento de datos, experimentación o a veces como simples pisapapeles. Pero el otro día necesitaba uno de mayor capacidad para guardar imágenes forenses y fue entonces cuando me enteré de la última felonía de la Sociedad General de Autores de España. Resulta que de un tiempo a esta parte existen soportes PATA de dos tipos: disco maestro de sistema y disco esclavo. Hasta ahora en el sistema IDE, utilizado en ordenadores domésticos y de oficina desde comienzos de la década de los 90, los discos duros se conectan por parejas sobre el mismo cable, uno como master (maestro) y el otro como slave (esclavo). En cualquier caso se trata del mismo dispositivo: la configuración se lleva a cabo mediante jumpers. Por razones de economía y logística parece absurdo fabricar dos productos cuando se puede hacer uno solo adaptable a voluntad. La dependienta me comentó que no había habido ninguna modificación física. Los aparatos son los mismos de siempre. La distinción entre maestro de sistema y esclavo obedece al impuesto de la S.G.A.E.
El argumento es que el sistema operativo ha de ser instalado en el maestro, y no queda bien cobrar por algo que el ordenador necesita para funcionar, aun cuando dentro del mismo disco existan cientos de gigas para almacenar películas de Angeles González Sinde o canciones de Miguel Bosé bajadas de la red. Pero si se quiere instalar un segundo disco duro (esclavo), la S.G.A.E. entiende que la intención del usuario es guardar datos, o mejor dicho cometer delitos contra la propiedad intelectual, y preventivamente le requiere para que pase por caja. Ni qué decir tiene que los discos esclavos cuestan más que los maestros.
Todo esto plantea algunas implicaciones tan injustas como disparatadas. Aparte de que tanto el maestro como el esclavo sirven para guardar datos, no es cierto que un sistema operativo no pueda ir instalado en el esclavo. Es el caso frecuente de quienes como el que suscribe utilizan Windows y Linux en sistemas de arranque dual. Aplicando esta lógica no solo habría que cobrar el impuesto en todos los discos, sino cuatro veces por cada uno, ya que este es el número de particiones primarias que pueden crearse en un soporte IDE.
En esta particular visión del mundo creada por los razonamientos de la S.G.A.E., más típica de la escolástica medieval que de la ciencia jurídica moderna, la mayor melonada concierne a los discos SATA, una variante moderna del sistema IDE en la que no existe la relación maestro-esclavo. Pues bien, estos dispositivos también son vendidos unos como maestros y el resto como esclavos a un precio más alto. Algunos pensarán que tienen la solución: no quejarse tanto, comprar maestros y luego hacer con ellos lo que nos de la gana. No es tan simple: a la infamia del oráculo sigue la picaresca del comerciante: el disco duro maestro de sistema solo lo venden instalado en ordenadores nuevos. El resto, incluyendo al esquilmado usuario, son esclavos. Simples siervos de la gleba en el cortijo del irascible y artísticamente improductivo Teddy Bautista.
¿Cómo podía saberlo Skynet?
Los aficionados a la mitología Terminator se sienten decepcionados por culpa de un gravísimo defecto en el guión de la última secuela. La película comienza con una jauría de armatostes cibernéticos persiguiendo al protagonista principal, por figurar en una lista negra de la red informática Skynet. Pero esto es del todo inverosímil. Aunque las máquinas hubiesen podido intuir que John Connor, gracias al exitoso historial de acciones militares de su batallón, estaba destinado a convertirse en el líder mundial de la resistencia humana, Skynet no tenía ninguna manera de averiguar que Kyle Reese era su padre, ya que la acción del filme transcurre en 2018, cuando aun faltan diez o doce años para inventar la máquina del tiempo y enviar al primer T-800 con la intención de eliminar a la madre del protagonista antes de que este llegue a ser concebido. Mientras algunos incondicionales se devanan los sesos intentando hallar una explicación al problema, otros juran que no volverán a ver más películas de una serie cuyos guionistas han demostrado tener tan bajo concepto de la inteligencia del espectador.
Las películas del Terminator, con Schwarzenegger o sin él, son cultura popular en estado puro. El reflejo de la realidad social del momento en que fueron rodadas es tan nítido que algunos críticos las comparan con El Mago de Oz, legendario relato de L. Frank Baum que por debajo de su nivel interpretativo infantil oculta una parodia del conflicto económico librado entre partidarios del patrón oro y defensores del bimetalismo hacia el año 1900. En el futuro, quien quiera estudiar la historia de Estados Unidos a finales del siglo XX no puede dejar de ver Terminator 2 – El Día del Juicio Final. En esta película no hay ni una sola escena que no contenga una alegoría de los principales hechos económicos y sociales de su tiempo: el papel económico de la alta tecnología, la crisis de las industrias tradicionales, la liberación de la mujer, la lucha por los derechos civiles, la amenaza de la competencia japonesa y el N.A.F.T.A.
Consolémonos de esta charranada espacio-temporal con la intervención estelar de un joven intérprete (Sam Worthington) recién llegado a Hollywood, pero prometedor. A diferencia de la tercera y harto penosa secuela de la serie, intitulada La Rebelión de las Máquinas -cuyo significado político era más que evidente en el año 2003, época de guerras preventivas y capitalismo financiero desbocado-, T-4 Salvation prefiere apostar por una simbología más trascendente y con notas líricas, presentándonos al primer terminator existencialista y trágico (Marcus Wright), perteneciente al mismo linaje de ficción que la criatura de Frankenstein y Eduardo Manostijeras.
Volviendo a la inexplicable omnisciencia de Skynet, quizá el informático forense pueda acudir en auxilio del atribulado forofo de la serie Terminator explicando lo que pudo suceder. Entre las ruinas de un hospital psiquiátrico las máquinas debieron hallar un disco duro perteneciente al Dr. Silberman, reputado psicólogo criminalista incapaz de creer en cyborgs asesinos aunque los vea destrozando comisarías de policía, apaleando enfermeras o pegando tiros en un camposanto. Dicho soporte magnético contenía todos los informes correspondientes al caso Sarah Connor. Tras desencriptar y leer los archivos, Skynet se da cuenta de que allí puede haber algo más que simples desvaríos de una perturbada mental, y es entonces cuando decide montar su anacrónica operación de búsqueda y captura.
Microsoft y la L.O.P.D.
Acabo de leer el libro “La Protección de Datos Personales: Soluciones en Entornos Microsoft”, de J.M. Alonso, J.L. García, Antonio Soto, David Suz, José Helguero, Mª Estrella Blanco, Miguel Vega y Héctor Sánchez, editado por Microsoft Ibérica en colaboración con la Agencia Española de Protección de Datos y el organismo Red.es, y tengo que decir que me parece un trabajo con múltiples virtudes, comenzando por la de la economía. No solamente los hard-copies de la obra están hechos con papel reciclado, sino que además Microsoft Ibérica distribuye una versión gratuita en PDF que se puede descargar de Technec.
La primera mitad de este libro de más de 400 páginas está dedicada a explicar los conceptos principales de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, asi como el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la misma. La segunda expone los medios y mecanismos de seguridad disponibles en los propios productos Microsoft (Windows Server 2008, Windows 2007, Exchange 2007 y otros) para garantizar el cumplimiento de la Ley de Protección de Datos y los preceptos de su reglamento de desarrollo, que aunque no nos demos cuenta, ya está desempeñando un papel importante en nuestra vida profesional y particular.
Lejos de limitarse a facilitar una serie de recetas para eliminar archivos temporales y encriptar el archivo de paginación, el manual transmite una visión global del funcionamiento de los subsistemas de seguridad en las diferentes versiones de Windows (autentificación del usuario, gestión de contraseñas, registro e interpretación de eventos). Especialmente útil para el profesional de la seguridad y el ingeniero informático es el ejemplo de aplicación del reglamento en SQL Server, tema al que dedica un capítulo entero, y donde se especifica la seguridad de acceso de cada uno de los objetos que componen una base de datos, incluyendo las columnas de las tablas. Otro de los méritos de este libro reside en su implícita contribución al sostenimiento de la dignidad profesional del informático: para garantizar la seguridad de los datos no necesitamos costosos desarrollos de software, certificaciones ni servicios de consultoría, sino tan solo un administrador de sistemas competente y responsable.
Más sobre los contenidos de este libro en una fuente autorizada, el blog de Héctor Montenegro, Director de Tecnología de Microsoft Ibérica.
¡Hackers, comedme viva!
Las empresas que se esmeran publicando cuentas anuales y memorias de actividad causan buena impresión. Pero, ¿qué diríamos de un ente que no satisfecho con eso ofreciera además información detallada sobre el hardware, los sistemas y la topología de su red informática. Imaginen que la casa de la que hablamos es una empresa pública creada para facilitar servicios informáticos a la administración local, que gestiona toda la actividad financiera del sector público de su distrito y los impuestos de más de un millón de personas físicas y jurídicas. Excelente polígono de tiro para hackers, ¿verdad?
Por las señas debe tratarse de una empresa norteamericana. Solo en Estados Unidos son tan idiotas como para exponerse a un ataque procedente del exterior mostrando hasta la posición del último enchufe más recóndito del edificio. O tal vez no exista una empresa asi. Seguramente debe tratarse de un escenario virtual creado para entrenar a los especialistas en guerra informática del ejército alemán.
En realidad esta empresa existe. Se llama Lantik, y es la columna vertebral de todo el sistema informático de la Diputación Foral de Bizkaia. En su página web muestra no solamente una relación precisa de todos los equipos de hardware alojados en sus dependencias, sino también un plano en PDF de toda la red que la conecta con las diferentes instituciones de la administración local de Bizkaia, con cada tipo de línea marcado en un color diferente, para que no haya posibilidad de equivocarse.
No soy partidario de la seguridad por ocultación, pero en todo ha de haber un punto medio. Se puede convencer al público de que se están haciendo las cosas bien sin necesidad de dar una clase magistral de análisis de sistemas. La prudencia tiene que ser una norma superior, más en una época de incertidumbre y crisis económica. Los señores de Lantik deberían generalizar algo más en la información facilitada al público, siquiera para dar algo más de trabajo a los ingenieros sociales. O al menos quitar ese plano a todo color de la red informática de la Diputación Foral de Bizkaia.
Borrado de datos seguro al 100%
Esta es la mejor forma de garantizar la privacidad de la información al dar de baja un ordenador. Estoy pensando en comprarme algo asi para la oficina…
Reciclaje de discos duros en China
La revista alemana c’t – magazin für computer technik informa en su número de abril de 2009 sobre las peripecias de varios usuarios que habiendo adquirido discos duros externos a un comerciante chino a través de eBay (you_shopping_tube Company Ltd), recibieron mercancía por debajo de sus expectativas. La queja más frecuente es que los dispositivos entregados por el vendedor chino llevan en su interior discos duros usados procedentes de iPods de cuarta generación. Sobre ello existen denuncias de un penoso servicio al cliente, de gestión engañosa de las reclamaciones e incluso de amenazas e insultos por parte del comerciante chino. Todo ello sin contar el perjuicio a los productores originales (Toshiba, Samsung, Hitachi), cuyas marcas a menudo figuran en etiquetas falsificadas o incluso en modelos inexistentes, empaquetados con un encomiable despliegue de imaginación por parte de los piratas de producto.
La experiencia negativa de los clientes de eBay no es algo nuevo. En el portal de subastas el género falsificado en China forma ya parte de la gama habitual. Con frecuencia, y a petición de los fabricantes afectados, los administradores suspenden operaciones de subasta, pero resulta imposible combatir con eficacia la plaga. La piratería de producto afecta a todas las marcas y a todos los ramos de la industria (se quedaría de una pieza el lector si le dijéramos algunos de los objetos que han llegado a clonarse). Sobre el tema concreto de los discos duros puede consultarse este enlace.
Rootkits de cuarta generación
Microsoft Inc. forma parte de la conspiración mundial, del contubernio, del Número de la Bestia y de toda suerte de manejos relacionados con ese comodín mediático que denominamos el Eje del Mal, otorgándole después el significado que mejor convenga. Pero no por sus oscuras manipulaciones para limitar la competrencia empresarial, porque de eso nadie se ve libre ni justificado para lanzar la primera piedra. Todos, salvo Linus Torvalds, han sido cocineros antes que monjes. Y algunos incluso madamas de burdel. No, lo que convierte a los sistemas operativos de Microsoft en un heile Welt burgués apoyado sobre cimientos tenebrosos es la conjunción de dos hechos que constituyen el signo de los tiempos: primero, casi todo el mundo tiene Windows 2000, XP o Vista instalado en su ordenador, y lo utiliza para casi todo: el ocio, el trabajo, los negocios, las relaciones interpersonales y la seguridad nacional. Segundo, los sistemas poseen unas determinadas características de diseño y funcionamiento (hasta cierto punto inevitables) que los hacen vulnerables al ataque de los rootkits.
¿Hemos leído bien? ¿Nos está diciendo que los virus no son la principal lacra del universo Windows? Pues eso, ni más ni menos. Los virus, la publicidad no deseada y el spam se combaten mal que bien con la prudencia del usuario y software especializado. Pero para comprender lo que significa la amenaza de los rootkits, imagine que su ordenador le miente ocultando archivos o falseando la cifra sobre espacio disponible en el disco duro, que le espía y le roba sus datos, que cuando usted no mira realiza tareas de fondo a las órdenes de una red delictiva o de una agencia gubernamental. Imagínese que no hay modo de detectarlo, salvo llamando a la experta en software maligno Joanna Rutkowska, de la empresa Invisible Things. Entonces sí que comenzará a preocuparse.
Los primeros rootkits fueron diseñados a finales de los 80 del siglo pasado para sistemas Unix, y consistían en versiones modificadas de comandos típicos como ‘ls’ o ‘ps’, que al ser ejecutados ocultaban los archivos y procesos del pirata. Para protegerse de ellos los administradores solían comparar los programas instalados con listas de hashes o utilizar comandos ‘limpios’ desde diskettes o CD-ROMs. Hacia el cambio de milenio comenzaron a extenderse los denominados rootkits de segunda generación, en los que se modificaba el flujo de ejecución a base de alterar las estructuras de datos del kernel, más difíciles de detectar, ya que el sistema engañaba al usuario aun estando limpios los comandos.
Los rootkits de tercera generación, mucho más recientes, son capaces de alterar las estructuras de datos del kernel de modo dinámico, modificando la memoria a través del objeto //PhysicalMemoryDevice. Finalmente existe una cuarta generación de software malicioso, descubierto en 2006, que explota las características hardware de virtualización de los nuevos procesadores de AMD, funcionando en modo hipervisor por debajo del propio sistema operativo. Asi, un rootkit como blue pill, diseñado por Joanna Rutkowska para MS-Vista, podría atrapar una instancia en ejecución del sistema operativo en una máquina virtual, actuando como hipervisor y obteniendo un control absoluto de la máquina. La única defensa practicable contra este tipo de rootkits consiste en desactivar en la BIOS las extensiones de virtualización.
Contraseñas inseguras: la historia interminable
Podría pensarse que los organismos públicos y las grandes empresas utilizan contraseñas seguras para proteger sus sitios de Internet. Desgraciadamente no es asi. En su edición 19/2009 del 4 de mayo, la revista alemana Der Spiegel asegura disponer de una lista confidencial de contraseñas corporativas recolectadas por el experto Sebastian Schreiber de la empresa de seguridad informática SySS en una base de datos de Internet denominada Ripe. Las palabras clave de algunos sitios que consideramos serios (entre ellos una gran cadena de tiendas de alimentación, consultoras de empresas y un reputado proveedor de servicios de alojamiento web), son tan triviales que incluso un aficionado las puede adivinar en cuestión de minutos.
Todas estas grandes compañías tienen mucho que perder en caso de ser atacadas por delincuentes informáticos. Schreiber: “Sería un juego de niños estrangular su tráfico de Internet, redirigirlo a otros sitios o leer su correo electrónico sin que nadie se diera cuenta”. Para conseguir una contraseña segura se necesita no menos de una docena de caracteres -letras mayúsculas y minúsculas mezcladas con números-, y en caso de duda, suplir con cadenas aleatorias la falta de imaginación. La base de datos de Ripe abunda en limacos deprimentes de todo tipo: “aventura”, “TestTest”, “password”, “666″, “Keira”, “halloween”, “Obama”, etc. Una compañía de seguros escogió “tranquilos”; una asociación de nutricionistas “zanahoria”, y un aeropuerto “purgatorio”. Lo más sorprendente de todo es que muchos de los avisados por Sebastian Schreiber no reaccionaron en absoluto. Después de varios meses, y a pesar de las repetidas advertencias, sus penosísimas e inseguras contraseñas continúan colgando de una base de datos pública en Internet.
Un enlace de interés: ¿Sabía usted que Windows XP incluye un generador oculto de contraseñas seguras?
