Ciberataque global: Una lección a aprender

shadow

 

La primera oleada de WannaCry deja 200.000 equipos infectados en más de 150 países y, según Europol, la cifra podría aumentar esta semana conforme los trabajadores de todo el mundo enciendan sus respectivos equipos. Nuevas variantes del gusano, que aprovecha una vulnerabilidad desconocida hasta hace sólo unas semanas, han comenzado a proliferar durante las últimas 48 horas.

El problema va más allá de la infección o la pérdida de archivos en un puñado de ordenadores. Máquinas industriales, equipo médico, cajeros, tableros de anuncios o terminales de punto de venta utilizan con frecuencia también versiones obsoletas de Windows. Son equipos con una vida media mucho más larga que la de un PC y que en ocasiones resulta imposible actualizar.

De este desastre la industria de la informática y las comunicaciones debería aprender algo pero, ¿cuál es la lección?

Microsoft, en una carta abierta publicada este domingo, apunta al enorme problema que supone el acopio de vulnerabilidades por parte de las agencias gubernamentales y servicios de espionaje. Reconoce que es responsable, en parte, del problema pero argumenta que este tipo de escenarios se podrían evitar si organismos como la NSA no mantuvieran en secreto estos fallos de seguridad, que utilizan de forma rutinaria para crear sus propios programas de infiltración.

«Los gobiernos del mundo deben tratar este ataque como una llamada de atención. Necesitan adoptar un enfoque diferente y usar en el ciberespacio las mismas reglas aplicadas a las armas en el mundo físico. Necesitamos que los gobiernos consideren los daños a los civiles que provienen de la acumulación de estas vulnerabilidades y el uso de las mismas. Esta es una de las razones por las que pedimos, en febrero, una nueva «Convención Digital de Ginebra», un foro para regular estos temas, incluyendo un nuevo requisito para que los gobiernos reporten vulnerabilidades a los vendedores, en lugar de almacenarlos, venderlos o explotarlos», asegura la compañía. En uno de los párrafos llega a comparar la situación con el robo de unos misiles Tomahawk a las fuerzas armadas.

Pero la NSA o la CIA no son agencias de debbuging, ni empresas de antivirus. No existe ningún incentivo para ellas en descubrir estas vulnerabilidades si se solucionan inmediatamente. En los últimos años han buscado justo lo opuesto, de hecho; exigir absoluta complicidad por parte de los fabricantes de sistemas operativos para descubrir aún más puntos débiles.

Hace sólo un año el FBI pretendía que Apple diese a los técnicos de la agencia el código fuente de iOS para poder acceder al móvil del autor del tiroteo de San Bernardino. Según el FBI la compañía tendría la garantía absoluta de que cualquier versión modificada del sistema operativo jamás saldría a la luz.

Aquí estamos, un año después, buceando en los catálogos de vulnerabilidades que durante años atesoraron la CIA y la NSA, agencias que tienen -o tenían- mejor reputación que el FBI a la hora de guardar secretos.

Para ellas la responsabilidad sobre estas vulnerabildiades termina en el momento que se hacen públicas, o unas semanas antes si se levantan de buen humor y deciden comunicarlas con algo de antelación a Microsoft, Google, las comunidades de desarrollo de Linux o Apple con algo de antelación.

Ángel Jiménez de Luis/el mundo.es/Foto Efe

 

 

 

336140