Mucho se está hablando estos días sobre el posible uso de troyanos por parte de las Fuerzas y Cuerpos de Seguridad del Estado debido al anuncio de un borrador de la comisión Gallardón, que propone el uso de troyanos y colaboración de hackers para acceder a ordenadores, tabletas y móviles en el curso de investigaciones de delitos de especial gravedad.
Disclaimer: soy el fundador de VULNEX, una boutique española altamente especializada en ciberseguridad que ofrece servicios y productos ofensivos y defensivos por lo que quizás no sea objetivo, pero tampoco pretendo serlo.
Como era de esperar, se están diciendo auténticas barbaridades en muchos medios de prensa, imagino que por la falta de conocimiento en la materia, por lo que expresaré mi opinión al respecto e intentaré arrojar un poco de luz sobre el asunto.
Personalmente no estoy en contra de la utilización de troyanos por parte de las Fuerzas y Cuerpos de Seguridad SIEMPRE Y CUANDO sea para capturar criminales (pederastas, terroristas, mafias, etc.) y NUNCA para otros fines (políticos, espionaje, etc.). Aunque estando en España y con la clase política que tenemos esta cuestión es realmente preocupante.
Vayamos por partes:
- Los criminales se han modernizado y utilizan sofisticadas medidas de seguridad informática (equipos de última generación, cifrado seguro, servidores por diferentes países sin tratados de extradición, etc.), por lo que es absolutamente necesario que las Fuerzas y Cuerpos de Seguridad se modernicen y utilicen las últimas tecnologías ofensivas y defensivas para la seguridad nacional.
- Pensemos que esto es el equivalente a las escuchas telefónicas (por las que nadie protesta) en el mundo digital.
- El uso de troyanos por parte de los gobiernos no es nada nuevo, solo que se mantiene en secreto o se intenta al menos (por ejemplo, Alemania o el FBI en los EE.UU.).
- Lo que se propone en el borrador no es pecata minuta, ya que escribir un troyano no es nada trivial. Para esta tarea vamos a requerir un equipo muy preparado con diferentes perfiles (jefes de proyecto, programadores para las diferentes tecnologías, expertos en vulnerabilidades, equipo de testeo, etc.). Vamos, unas capacidades ofensivas que actualmente no existen en este país y sobre todo que no son baratas. (Ejemplo estimación del equipo desarrollo de Stuxnet)
- Aparte del troyano con soporte para diferentes plataformas hay que contar con una infraestructura de comunicaciones, soporte y almacenamiento de datos. ¿Cómo y dónde se almacena la información recolectada? ¿Podrían los criminales atacar la infraestructura o subvertir el troyano?
- Si este troyano existiera, ¿cómo se haría llegar e instalaría en los equipos de los sospechosos? La seguridad en los entornos desktops (Windows, Linux, MacOS) no tiene el mismo nivel de seguridad que en móviles (Android, iPhone/iOS, BlackBerry, Windows Phone, Firefox OS, etc.). Hoy en día existen varias compañías que ofrecen troyanos profesionales y que aún no han resuelto este problema.
- Respecto a la colaboración de hackers, tendremos que ver en que consiste exactamente la colaboración. La cuestión es si será por la fuerza y gratis o remunerada. ¿Qué tipo de hackers: buenos/éticos o detenidos anteriormente? ¿Tendrían acceso al troyano? ¿A qué tipo de información tendrían acceso? ¿Podrían sabotear la operación?, etc.
- Los antivirus no serían un impedimento como se dice en algún medio, ya que esta tecnología presenta diversos problemas (por mucho que lo nieguen y les pese a las casas antivirus). Si son tan fiables que se lo digan a Google, RSA, Lockheed-Martin entre otros muchos que han sido atacados y comprometidos y que por supuesto contaban con antivirus, así como otros mecanismos de seguridad (ojo, estoy a favor del uso de los antivirus, pero como una medida más dentro de una estrategia de Defensa en Profundidad).
- El desarrollo y uso de tecnologías ofensivas y defensivas por parte de agentes del gobierno deberían estar enmarcados dentro de un plan nacional (Estrategia de CiberSeguridad), que tanto reclama el sector privado. Tema que la EU está trabajando.
- Nos quejamos del uso de troyanos por parte de los gobiernos, que lo que buscan es capturar criminales, argumentando que se vulneran nuestros derechos cuando nosotros mismos no paramos de subir información y fotos tanto propias como de nuestro entorno totalmente gratis a todo tipo redes sociales, que son empresas privadas que ganan mucho dinero ofreciendo esta información a terceros y que saben demasiado.
En España hemos sufrido y seguimos sufriendo el azote del terrorismo y demás lacras, todo lo que sea acabar con ello me parece fantástico siempre que se respete la libertad y el derecho de los ciudadanos.
¿Y cuál es tu opinión al respecto sobre esta cuestión: a favor o en contra?
— Simon Roses Femerling
Pingback: El “modelo de negocio” de los troyanos gubernamentales – Javier Tobal