OPM

Si no es ya una máxima, debería serlo: cada gran hack descubierto, con el tiempo llegará a ser más grave de lo que en un principio se creyó. Esto se sostiene como especialmente apropiado con el pirateo que sucedió hace ya casi un año contra la Oficina Federal de Administración de Personal, la división de recursos humanos del gobierno estadounidense (la OPM, por sus siglas en inglés).

Al principio, el gobierno dijo que la brecha expuso la información personal de aproximadamente cuatro millones de ciudadanos, información tal como números de la seguridad social, fechas de nacimiento y direcciones de trabajadores federales actuales y ya jubilados. Poco más tarde, el director del FBI James Comey dio la cifra de 18 millones de personas. La violación de datos, que había comenzado en marzo de 2014 (o puede que antes), fue detectada por la OPM en abril de 2015, considerándola por las autoridades federales como uno de los mayores fallos de seguridad de los datos del gobierno en toda la historia de los Estados Unidos.

El 9 de julio de 2015, la estimación del número de registros robados había aumentado a 21,5 millones, esto incluía los registros de las personas que se habían sometido a verificaciones de antecedentes, pero que no eran empleados del gobierno actuales o anteriores. Poco después, Katherine Archuleta, a la sazón directora de la OPM, renunció «voluntariamente» a su cargo. El escándalo había sido mayúsculo.

Y es que resulta que los hackers, que se cree que pudieran ser de China, también pudieron acceder a los formularios conocidos como SF-86, documentos utilizados para la realización de controles de antecedentes y autorizaciones de seguridad de los trabajadores americanos. Estos formularios pueden contener una gran cantidad de datos sensibles, no sólo acerca de los trabajadores que solicitan autorizaciones de seguridad, sino también acerca de sus amigos, cónyuges y otros miembros de la familia. También pueden incluir información potencialmente sensible sobre las interacciones de los demandantes con ciudadanos extranjeros que podrían utilizarse en contra de esos ciudadanos en su propio país.

Sede de la OPM en Washington, D. C.

Las repercusiones podrían ser mucho más graves de lo que nadie pensó en su día. Aunque los informes son contradictorios acerca de cómo la OPM se habría dado cuenta de la infracción, lo que está claro es que los investigadores tardaron más de un año en descubrirla, lo cual significa que el sistema EINSTEIN (un software de detección de instrusión de la NSA) falló. De acuerdo con un comunicado de la propia Oficina, la violación fue encontrada después de que los administradores tuvieran que realizar mejoras en sistemas no especificados. Pero el diario Wall Street Journal informó de que la brecha de seguridad fue descubierta, realmente, durante una demostración de ventas de una empresa de seguridad llamada CyTech Services.

A medida que fueron saliendo más datos sobre los tipos de información a la que los hackers habían accedido, las repercusiones se antojaban mucho más graves de lo que nadie imaginó al principio, porque, de hecho, los datos consultados por los intrusos pudieron representar todavía un abanico mucho más amplio de pensado. Las 127 páginas de los formularios SF-86 que se cree que fueron visitadas por los hackers, también incluían información financiera, historias detalladas de empleo (con motivos de despidos), así como antecedentes penales, registros psicológicos e información sobre el consumo de drogas en el pasado.

Hubo otro motivo de mucha preocupación, también, incluso más allá del riesgo de chantaje por la información recabada. Los formularios SF-86, como decíamos antes, pueden incluir una lista de personas en el extranjero con las que un trabajador haya estado en contacto. Por lo tanto, diplomáticos y empleados con acceso a información clasificada se afanaron en proporcionar una lista de estos contactos (y de ir a avisarlos), pues existía la preocupación de que el gobierno chino se apoderara de relaciones con nombres de los ciudadanos de su país que hubieran estado en contacto con trabajadores del gobierno de Estados Unidos y que pudieran utilizar estos hechos para chantajearlos o castigarlos.

Los millones de víctimas de esta falla de seguridad de la OPM, como no puede ser de otra manera, expresaron su indignación por el derrame masivo de datos personales. J. David Cox, el presidente del sindicato de empleados del gobierno federal, escribió una enérgica carta a la directora de la OPM, Katherine Archuleta, censurando la mala gestión de la seguridad que llevó a la brecha y, también, la respuesta de la agencia a la misma.

Aún se sigue investigando aquella filtración de datos, pero no se ha sacado mucho en claro. El hecho fue tan extraordinario que hasta tiene su propia entrada en Wikipedia.

‘Grand Theft Auto’

Pues resulta que la historia siempre nos ha relatado que la primera versión del videojuego ‘Grand Theft Auto‘ (DMA Design, 1997) salió al mercado y, automáticamente, generó una enorme polémica por su contenido violento, agresivo, criminal y falto de sensibilidad para con la raza humana, ya que podíamos asesinar vilmente a los viandantes con nuestro coche y, de esa manera, conseguir puntos extra (algo inaudito para la época). No fue así.

La autoría de ‘GTA’ siempre se le atribuye al programador y empresario David Jones, quien fundó DMA Design (posteriormente Rockstar North, estudio escocés de la compañía americana Rockstar Games) en 1988 y logró varios éxitos, sobre todo con el videojuego ‘Lemmings‘ (1991). También al diseñador Mike Dailly por su primer prototipo del juego, sin embargo, para el momento en que vio la luz ‘GTA’ ya rondaban por allí Sam Houser y Dan Houser, hermanos y actuales presidente y vicepresidente (respectivamente) de Rockstar Games. El primero, Sam, fue el culpable de que ‘GTA’ fuera la franquicia que es hoy día.

Efectivamente, el juego ya estaba prácticamente desarrollado por David Jones cuando Sam Houser llegó, pero a éste no le acabó de convencer. Era un videojuego del tipo sandbox totalmente abierto, por lo que permitía a un policía conducir sin rumbo por una ciudad sin necesidad de realizar ningún objetivo concreto, eso sí, había que ser un buen agente y respetar las señales de tráfico, los semáforos, al resto de vehículos y ayudar a las personas frente a los malos.

A Sam Houser aquello le parecía muy, pero que muy, aburrido, y decidió proponer un cambio completo de tornas en el propósito del juego. Así pues, en lugar de ser buenas personas vamos a ser malos, que es más divertido; vamos a no respetar las normas, a conducir a lo loco y a atropellar a los peatones. Y, además, nos van a dar puntos por ello.

David Jones estaba atemorizado por el rumbo que estaba tomando el videojuego, pensaba que aquello iba a generar una controversia tal que, probablemente, no les permitiera ni publicarlo. Todos los políticos puristas y las instituciones casticistas se les iban a echar encima, y la gente los iba a tildar casi de terroristas digitales. Y aquella idea, a Sam Houser le apasionó, y buscó la manera de que aquello ocurriera con total certeza e infalibilidad. Algunos pensaban que aquel hombre estaba loco de remate.

‘Grand Theft Auto’

Sam Houser decidió contratar a Max Clifford, un controvertido agente publicitario británico famoso por generar campañas bastante despiadadas para limpiar el honor o la imagen de personajes públicos muy importantes que habían metido la pata hasta el fondo (por cierto, hoy entre rejas por un delito sexual). Entre sus clientes se había encontrado gente como O.J. Simpson, Rebecca Loos o Simon Cowell. Sin embargo, Houser no quería que Clifford le ayudara a limpiar un nombre, sino a ensuciarlo al máximo.

Sam Houser

A Max Clifford, el encargo le vino como anillo al dedo, y le pidió a Houser unos meses para que todo el mundo comenzara a hablar (mal) de su ‘GTA’. Y así fue, a los oídos de los políticos más conservadores llegaron rumores de que un videojuego que enseñaba a los niños a matar estaba a punto de ver la luz. También los periodistas, las asociaciones de padres, las instituciones y, en general, todo hijo de vecino empezó a despreciar y rechazar el título por criminal, perverso y facineroso mucho antes de que estuviera terminado y de que hubiera salido al mercado. Y no sólo a este lado del charco, en los Estados Unidos también.

En el Daily Mail aseguraban que «es un juego de ordenador criminal que glorifica a los matones que golpean y salen corriendo«. La propia BBFC (British Board of Film Classification), encargada de evaluarlo, declaró que se trataba de «una nueva forma de violencia que implica que el jugador adopte una conducta potencialmente criminal que imponga violencia contra los inocentes». Sin embargo, el juego no fue prohibido, y Sam Houser se frotaba las manos.

La campaña resultó tan redonda, que a las puertas de la salida del primer ‘GTA’ ya se habían agotado las existencias en pedidos y reservas. Logró pasar las duras trabas británicas de calificación por edades de la BBFC por los pelos y llegó a las estanterías para plataformas MS-DOS/Windows, PlayStation y Game Boy Color, convirtiéndose en un best-seller.

Por lo tanto, y como ya aseguraron hace tiempo los propios David Jones y Mike Dailly (aunque Max Clifford dice no recordarlo muy bien por cuenta de sus múltiples trabajos), la controversia de ‘Grand Theft Auto’ no fue causada por el contenido del título en sí, sino que fue orquestada previamente a guisa de campaña publicitaria brutal con la consecuente propaganda que ello suponía. Un apuesta arriesgada que salió de lujo.

Pixel tracking

Es muy probable que nunca hayas oído hablar de empresas como Yeswear, Bananatag o Streak, sin embargo es casi seguro que ellas saben mucho acerca de ti. Concretamente conocen cuándo has abierto un correo electrónico enviado por uno de sus clientes, dónde te encuentras, qué tipo de dispositivo estás utilizando y si has hecho clic en un vínculo. Y todo ello sin tu conocimiento y sin tu consentimiento. ¿Cómo te quedas?

Ese tipo de mail tracking es más común de lo que piensas. Una extensión de Chrome, llamada UglyEmail, te muestra quién es culpable de hacerlo en tu bandeja de entrada. Sonny Tulyaganov, el creador de UglyEmail, dice que se inspiró para escribir el pequeño script cuando un amigo le habló sobre Streak, un servicio de seguimiento de correo electrónico cuya extensión de Chrome tiene más de 300.000 usuarios. Tulyaganov estaba consternado.

Streak permite a los usuarios rastrear correos electrónicos y ver cuándo, dónde y qué dispositivo se utiliza para abrir el mail. «Lo probé y me pareció muy preocupante, por lo que decidí ver quién es en realidad el que controla los mensajes de correo electrónico en mi bandeja de entrada. Una vez nació la idea, sólo bastaron un par de horas para que fuera una realidad».

La razón por la que fue tan fácil crear esta aplicación es porque el tipo de seguimiento que supervisa es, en sí mismo, un procedimiento muy sencillo. Los vendedores simplemente insertan una imagen transparente de 1 píxel × 1 píxel en un correo electrónico. Al abrir ese correo, la imagen se conecta con el servidor donde se originó (a través de la URL de su localización mediante, por ejemplo, PHP) extrayendo información como la hora, nuestra ubicación y el dispositivo que estamos usando. Es una confirmación de lectura con esteroides que no hemos aceptado.

El pixel tracking es una práctica extendida desde hace tiempo, y parece no haber nada remotamente ilegal al respecto; Google tiene incluso una página de soporte dedicada a orientar a los anunciantes a través de este proceso. Aunque eso no lo hace menos inquietante.

El uso de UglyEmail es tan simple como eficaz es el servicio. Una vez lo hayas instalado, el código identifica correos electrónicos que incluyen los píxeles de seguimiento de alguno de los tres servicios mencionados anteriormente. Aparecerán, pues, los mensajes en nuestra bandeja de entrada con un icono de un ojo junto al encabezado, de tal forma que nos permita saber que una vez hagamos clic, se alertará al remitente.

El pixel tracking no va a desaparecer en un corto plazo, y UglyEmail es una forma imperfecta de prevenirlo. Pero, aún así, ofrece una visión valiosa de las maquinaciones de marketing a las que estamos expuestos todos los días. Para asustar.

Smartphones en la India

Cuando el gobierno de un país tiene la obligación de llegar a estos extremos, es que algo no se está haciendo bien. Quizás vamos avanzando un pasito para adelante y dos para atrás.

Desde el 1 de enero del próximo año 2017, en la India será obligatorio que todos los teléfonos móviles vendidos, sean smartphone o no, incluyan un dispositivo de emergencia o botón del pánico como parte del esfuerzo para mejorar la seguridad de las mujeres de ese país. Esto lo ha confirmado hoy el Ministerio de Telecomunicaciones del gobierno de la república. El mandato requiere, pues, que los fabricantes de teléfonos implementen una función de emergencia que podría ser activada, por ejemplo, manteniendo presionadas la tecla numéricas del 5 o del 9 en el teclado.

Como decimos, la funcionalidad será obligatoria en todos los teléfonos desde el 1 de enero de 2017, mientras que los sistemas de navegación GPS también serán obligatorios en todos los dispositivos para el año 2018.

La seguridad de las mujeres en la India ha llamado la atención en todo el mundo tras los informes de violaciones en grupo y otras formas de violencia sexista. En el año 2014 se denunciaron más de 330.000 casos de violencia contra la mujer, según las estadísticas del gobierno, un nueve por ciento más respecto al año anterior. Este asunto ha estimulado a algunas empresas para desarrollar aplicaciones y servicios que hagan más fácil para las mujeres ponerse en contacto con los servicios de emergencia.

Todavía no está muy claro cuáles de estos servicios serán los receptores del aviso a través de la nueva función de botón del pánico, y es que la India no tiene un sistema nacional del tipo 112 europeo, sino que tiene cuatro números diferentes para distintos servicios. Aunque es posible que se produzca un cambio hacia dicho número.

La India, un país con más de 1.240 millones de habitantes, un lugar para la preocupación en cuanto a agresiones de género se refiere. Es una pena que esto suceda aún hoy en nuestro planeta.

Sistema ¿seguro?

Los sistemas informáticos aislados del exterior por técnicas de air gap no están conectados a otros sistemas ni a Internet, están aislados físicamente porque, por lo común, son equipos que demandan medidas de muy alta seguridad debido a la sensibilidad de sus datos. Se utilizan en redes militares clasificadas, redes de transacciones de crédito o en sistemas de control industrial que operan con infraestructuras críticas. Para extraer datos de estos sistemas, normalmente suele ser necesario acceder físicamente al equipo con algún medio de almacenamiento externo (o no).

Sin embargo, investigadores de seguridad en la Universidad Ben Gurion (Israel) encontraron una manera de recuperar los datos de un equipo air gap utilizando sólo las emisiones de calor de éste y una serie de sensores térmicos incorporados. El método podría permitir a los atacantes obtener subrepticiamente contraseñas o claves de seguridad de un sistema protegido y transmitirlos a otro sistema cercano conectado a Internet. Así mismo, también podrían utilizar el equipo conectado a Internet para enviar comandos maliciosos al sistema air gap con la misma técnica de calor y los sensores.

A continuación podemos ver una demostración en vídeo en la que se enseña cómo fueron capaces de enviar un comando de un ordenador a una máquina air gap adyacente para mover un juguete de lanzamiento de misiles.

El ataque de prueba de concepto requiere que ambos sistemas, antes que nada, sean comprometidos con malware. Además, en la actualidad, el ataque permite sólo ocho bits de datos que transmitir de forma fiable, y no grandes cantidades. También funciona sólo si el sistema air gap se encuentra a 40 centímetros del otro equipo de control de los atacantes. Todo ello por ahora, en un futuro dicen que las posibilidades pueden ser infinitas.

¿Y cómo funciona todo esto? Los ordenadores producen diferentes niveles de calor en función de la cantidad de procesos que estén ejecutando. Además de la CPU, el chip gráfico y otros componentes de la placa producen un calor significativo. Para controlar la temperatura, las computadoras tienen una serie de sensores térmicos incorporados que detectan fluctuaciones de calor y provocan que entre en funcionamiento un ventilador interno para enfriar el sistema cuando sea necesario o, incluso, apagarlo para evitar daños.

Este nuevo ataque, al que estos investigadores han llamado BitWhisper (algo así como el susurrador de bits), utiliza estos sensores para enviar comandos a un sistema air gap. La técnica funciona un poco como el código Morse, con el sistema de transmisión provocando aumentos controlados de calor para comunicarse con el sistema de recepción, que utiliza sus sensores térmicos integrados para detectar los cambios de temperatura y traducirlos en dígitos binarios, esto es en ceros y unos.

Precisamente en comunicar un 1 binario consiste esta demostración del vídeo de ejemplo. Los investigadores aumentaron las emisiones de calor del equipo de transmisión sólo 1 grado sobre un marco de tiempo predefinido. Después transmitieron un 0 para restaurar el sistema a la temperatura base durante otro periodo de tiempo predefinido. El equipo que recibe los bits traduce este código binario en un comando que causa la reubicación del lanzador de misiles de juguete (ello gracias al malware que hay por detrás, claro).

Los investigadores diseñaron su malware para tomar en consideración las fluctuaciones de temperatura normales de un ordenador y distinguirlas de las fluctuaciones que señalan que un sistema está tratando de comunicar. Y, aunque este malware aumenta la temperatura un único grado en señal de comunicación, un atacante podría aumentar la temperatura en cualquier cantidad, siempre y cuando sea dentro de lo razonable para evitar la creación de la sospecha que puede levantar un ventilador hiperactivo si el ordenador se sobrecalienta en exceso.