¿Existe el espionaje en hardware y software?

¿Existe el espionaje en hardware y software?

Invitamos a @SamuraiBlanco a opinar sobre las motivaciones de distintos sectores y las posibles medidas para prevenir el espionaje en hardware y software.

Invitamos a @SamuraiBlanco a opinar sobre las motivaciones de distintos sectores y las posibles medidas para prevenir el espionaje en hardware y software.

Mucho se ha escrito y tratado en los diferentes medios tanto de prensa escrita como hablada; todos a nivel mundial conocemos de “trabajos” realizados por entidades de Gobierno como la NSA, y es por lo anterior que hoy en día no se puede confiar en que todo el hardware ni todo el software sea original o no. Por lo menos yo no lo hago.

Noticias como las siguientes se han venido convirtiendo en “el pan de cada día”:

  • “LG investiga reclamo de espionaje no autorizado en Smart TV” (BBC)
  • “17.233 tabletas Android vendidas en Amazon poseen un troyano llamado Cloudsota que habría sido pre-instalado en ellas” (prefieroandroid.com)
  • “PC con virus incorporado” (El País)
  • “Los tentáculos de la NSA también llegan a los ordenadores sin Internet” (TICbeat)
  • “Deteniendo troyanos de hardware en sus huellas” (IEEE Spectrum)
  • “Teléfonos “clones” ya vienen con virus pre-instalados en Android” (gadgeteros.co)
  • “Detectan más móviles chinos con malware preinstalado” (Redes Zone)
  • “El Xiaomi Mi4 podría incluir malware preinstalado” (ComputerHoy)

Sin embargo, también cabe aclarar que son muchísimas pero muchísimas más las que rondan en Internet y no precisamente de portales sin credibilidad, sino todo lo contrario. Son producto de investigaciones de grandes medios periodísticos con el músculo financiero para hacerlo y/o con los recursos técnicos para lograrlo; son innumerables las notas y los informes de periódicos, gobiernos, profesionales independientes y datos filtrados del mismo espionaje que se han publicado o conocido en los que se revela este tema.

Muchos aspectos relacionados con el espionaje están a la orden del día y no es solo desde el punto de vista gubernamental, sino también entre gobiernos, a nivel industrial, por parte de organizaciones de seguridad nacional o cuerpos de investigación, e incluso a nivel cibercriminal con fines delictivos: ellos encuentran la forma de “contaminar” el hardware y el software para obtener información de usuarios sin su consentimiento.

¿La motivación? Varía según el actor que esté detrás. Puede ser tratar de tener el control de la información o el medio necesario para poder ir detrás de la ciberdelincuencia (como en el caso de cuerpos de investigación), pero en el otro extremo las mismas técnicas también pueden ser el medio de la ciberdelincuencia para desarrollar sofisticadamente sus intereses. Para los estados, puede ser tener herramientas para mejorar la ciberdefensa de un país y poder hacer frente ante probables ataques contra su ciberseguridad nacional, que pueden venir por parte de otros estados, organizaciones terroristas, etc. Y es así como podría, desde mi humilde punto de vista, seguir mencionando más razones.

espionaje-hardware

Aunque seamos ciudadanos/usuarios del común, nuestra información puede ser objeto de uno u otro bando, ya sea una organización cibercriminal que nos quiera robar nuestros datos o convertirnos en zombis dentro de una botnet para un ataque cibernético en masa, o también que un ente oficial de investigación quiera nuestra información como instrumento para aumentar su capacidad de procesamiento simultánea en la investigación. Y eso por mencionar tan solo unos pocos ejemplos.

Pero surgen algunos interrogantes como, por ejemplo, ¿qué medidas se pueden tomar para evitar este tipo de incidentes?

Creo, sin poderlo asegurar del todo, que ya este tema se ha salido de las manos. Es probable que muchas de las medidas preventivas que podamos implementar coadyuven a disminuir estos incidentes, pero no creo que los eviten del todo. Son muchas las medidas que se podrían proponer para tratar de evitar este flagelo, porque hay mucha tela que cortar alrededor de esta temática. No obstante lo anterior, considero que para poder implementar algunas medidas se deben tener en cuenta entre otros aspectos:

  • Capacidades económicas
  • Limitantes legales
  • Capacidades tecnológicas
  • Conocimiento tecnológico

Desde mi punto de vista, podría iniciarse por crear modelos de evaluación y certificación de las tecnologías por parte de cuerpos especializados, ya sean de índole privada o gubernamental, pero eso sí: bajo la vigilancia y el actuar de este último o, mejor aún, de una organización multinacional que dictamine parámetros de actuar y tenga la capacidad de sancionar a las naciones o grandes líderes de tecnología tras no cumplir con los lineamientos designados. Tal vez una organización bajo el paraguas de la ONU podría ser parte de la solución (eso desde el punto de vista gubernamental), pero desde el punto de vista privado/comercial tocaría buscar otra salida.

Y si tratáramos el interrogante “¿son actos de sabotaje, guerra o espionaje entre estados?”, el realizar una afirmación al respecto puede ser algo bastante osado. Sin embargo, creo que los principales detonadores del espionaje basado en la “contaminación” del software y el hardware son los mismos estados que tendrían el poder para hacerlo. Desde mi punto de vista, probablemente propendiendo o no por salvaguardar principalmente la seguridad nacional.

Un ejemplo de ello fue lo sucedido en el caso de Stuxnet, el primer gusano conocido por espiar y reprogramar sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares. En 2010, cuando se descubrió y analizó, se describió como el programa malicioso más sofisticado desarrollado para un ataque dirigido hasta ese entonces, capaz de permanecer sin ser detectado por un periodo sustancial sin que nadie note nada sospechoso. Dado que SCADA permite controlar procesos industriales complejos y críticos de un país, como por ejemplo la infraestructura de energía eléctrica, generalmente se encuentra en la mira de los atacantes en conflictos de ciberguerra.

Por consiguiente, podemos concluir que efectivamente el espionaje sí existe en el hardware y en el software. Independiente de las razones que motivan estos actos, hay que aprender a convivir con ello y entender que es una realidad que nos obliga a tomar medidas para intentar proteger nuestra “vida digital”.

Juzguen ustedes, queridos lectores, si el ciberespionaje es una realidad latente o no… Hasta una próxima oportunidad.

Leonardo Huertas Calle (@SamuraiBlanco)
CSA-Chief Security Ambassador
ElevenPaths (Telefonica Cyber Security Unit)

Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor en carácter de invitado y no necesariamente representan la opinión de ESET.

Discusión