El negocio del miedo: Branding de vulnerabilidades

Heartbleed, Shellshock, POODLE ¿Le suena alguno de estos términos?

vulnerabilidad Heartbleed

Exacto, hablamos de las tres grandes vulnerabilidades publicadas este mismo año ¿y qué tienen las tres en común? Ya no únicamente que afectan a buena parte de la infraestructura en la que se asienta la sociedad de la información, sino que han nacido bajo un paraguas que amenaza por imponerse en el sector: el del branding de exploits.

Vamos a contar una historia. Corrían los años ochenta (los finales de los 90, si miramos hacia España), y la informática era un mundo distinto al que tenemos actualmente entre manos. Los hackers (hackers en su correcta definición) campaban a sus anchas por esa recién llegada Internet, entrando en ordenadores de universidades y compañías por el simple placer de ver qué tenían, o por la necesidad de encontrar salida al resto de la Red (por si se lo pregunta, Internet NO llegaba hasta todas las casas).

Hablamos de una época en la que la seguridad informática no existía como tal. Existía el hacking, y el hacking no era un negocio, era un simple hobby.

Entonces surgen los primeros miedos. Algunas compañías y algunas universidades, descubren que alguien está entrando en sus ordenadores. En algo que es suyo, y que solo Dios sabrá lo que han podido llegar a hacer. El temor a ese asalto de privacidad fuerza la aparición de los primeros juicios contra esos adolescentes “juguetones”, que por lo general, acaban en fracaso estrepitoso.

Sí, ese niño de 16 años ha entrado digitalmente en un servidor, pero ¿ha robado algo? ¿ha causado daños? ¿hay leyes que cubran los bienes en el tercer entorno? La respuesta a todas estas preguntas era que no, y sin ello, poco se podía hacer, y los niños salen inmunes y siguen realizando, no sin mayor paranoia (porque entonces el pinchar líneas también se llevaba), sus fechorías.

¿Qué solución hay entonces? Industrializar ese hobby. Volverlo un negocio, tanto para bien como para mal. Y aquellos hackers que explotaban al máximo las posibilidades de la informática se dividen. Unos tiran al lado oscuro, preparando virus (después malware) no ya para el hacktivismo o por “reputación”, sino por billetes. Otros, son fichados por las primeras consultoras, que encuentran en el miedo de esos recién surgidos clientes el negocio del siglo: cobrarles por auditar el sistema, por buscarle vulnerabilidades. Por hacer lo que antes hacían, pero ahora cobrando.

Año 2014, dos o tres décadas más tarde: El hacking es ahora seguridad informática, y mueve unos porcentajes cada vez mayores. La maquinaria para mantenerlo es cara, y hay que reavivar el miedo. Hay que hacer sentir a los clientes que no están seguros, que necesitan protección. Clientes, por cierto, que no son únicamente las grandes compañías, sino cualquier usuario, pero la estrategia es la misma.

¿Es el 2014 el peor año de la historia respecto a vulnerabilidades? Nada más lejos de la realidad. No hemos hecho más que mejorar los porcentajes. Nuestros dispositivos son más seguros que nunca. Hay cada día más conciencia en materia de privacidad y conocimiento. 

Pero esto no vende. Lo que vende es que surge Heartbleed, la gran brecha de seguridad en el protocolo OpenSSL. Que es lo mismo que decir CVE-2014-0160, el nombre técnico que hasta ahora se ha usado como nomeclatura. Pero el usuario se queda con Heartbleed, y no con CVE-2014-0160. Se entrega a los medios lo que quieren escuchar: la mayor vulnerabilidad de la historia, que tiene hasta nombre propio y todo. Y al usuario se le ponen los pelos de punta.

¿Es grave? Claro que lo es. Tan grave como las miles de vulnerabilidades anteriores. Pero esta tiene nombre. Hablamos de una estrategia heredada del marketing de producto. Y me parece importante señalarlo porque tiene efectos secundarios nocivos que todavía ni imaginamos. Cuando esta fase inicial de susto acabe por volverse habitual, y degenere en una trivialización del riesgo.

A nivel psicológico, Heartbleed (o Shellshock, o POODLE) no es una nueva vulnerabilidad, es LA vulnerabilidad, y el resto, que pueden ser tanto o más importantes, pero que no cuentan con el marketing necesario para viralizarse, pasan a un segundo plano. Se enfocan recursos en llamar la atención en un punto, y se termina el juego de magia desde otro.

En un año (y aún no hemos acabado) tres “grandes” vulnerabilidades. Prepárese para el año que viene. La estrategia no durará mucho (quizás una o dos décadas tirando por alto), pero para entonces ya nos buscaremos una forma nueva de llamar la atención, de volver a llenar la caja de billetes. Porque no se lleve a engaño. De lo que hablamos aquí no es de seguridad informática, es de negocio. Puro y duro.