Heartbleed, Shellshock, POODLE ¿Le suena alguno de estos términos?
Exacto, hablamos de las tres grandes vulnerabilidades publicadas este mismo año ¿y qué tienen las tres en común? Ya no únicamente que afectan a buena parte de la infraestructura en la que se asienta la sociedad de la información, sino que han nacido bajo un paraguas que amenaza por imponerse en el sector: el del branding de exploits.
Vamos a contar una historia. Corrían los años ochenta (los finales de los 90, si miramos hacia España), y la informática era un mundo distinto al que tenemos actualmente entre manos. Los hackers (hackers en su correcta definición) campaban a sus anchas por esa recién llegada Internet, entrando en ordenadores de universidades y compañías por el simple placer de ver qué tenían, o por la necesidad de encontrar salida al resto de la Red (por si se lo pregunta, Internet NO llegaba hasta todas las casas).
Hablamos de una época en la que la seguridad informática no existía como tal. Existía el hacking, y el hacking no era un negocio, era un simple hobby.
Entonces surgen los primeros miedos. Algunas compañías y algunas universidades, descubren que alguien está entrando en sus ordenadores. En algo que es suyo, y que solo Dios sabrá lo que han podido llegar a hacer. El temor a ese asalto de privacidad fuerza la aparición de los primeros juicios contra esos adolescentes “juguetones”, que por lo general, acaban en fracaso estrepitoso.
Sí, ese niño de 16 años ha entrado digitalmente en un servidor, pero ¿ha robado algo? ¿ha causado daños? ¿hay leyes que cubran los bienes en el tercer entorno? La respuesta a todas estas preguntas era que no, y sin ello, poco se podía hacer, y los niños salen inmunes y siguen realizando, no sin mayor paranoia (porque entonces el pinchar líneas también se llevaba), sus fechorías.
¿Qué solución hay entonces? Industrializar ese hobby. Volverlo un negocio, tanto para bien como para mal. Y aquellos hackers que explotaban al máximo las posibilidades de la informática se dividen. Unos tiran al lado oscuro, preparando virus (después malware) no ya para el hacktivismo o por “reputación”, sino por billetes. Otros, son fichados por las primeras consultoras, que encuentran en el miedo de esos recién surgidos clientes el negocio del siglo: cobrarles por auditar el sistema, por buscarle vulnerabilidades. Por hacer lo que antes hacían, pero ahora cobrando.
Año 2014, dos o tres décadas más tarde: El hacking es ahora seguridad informática, y mueve unos porcentajes cada vez mayores. La maquinaria para mantenerlo es cara, y hay que reavivar el miedo. Hay que hacer sentir a los clientes que no están seguros, que necesitan protección. Clientes, por cierto, que no son únicamente las grandes compañías, sino cualquier usuario, pero la estrategia es la misma.
¿Es el 2014 el peor año de la historia respecto a vulnerabilidades? Nada más lejos de la realidad. No hemos hecho más que mejorar los porcentajes. Nuestros dispositivos son más seguros que nunca. Hay cada día más conciencia en materia de privacidad y conocimiento.
Pero esto no vende. Lo que vende es que surge Heartbleed, la gran brecha de seguridad en el protocolo OpenSSL. Que es lo mismo que decir CVE-2014-0160, el nombre técnico que hasta ahora se ha usado como nomeclatura. Pero el usuario se queda con Heartbleed, y no con CVE-2014-0160. Se entrega a los medios lo que quieren escuchar: la mayor vulnerabilidad de la historia, que tiene hasta nombre propio y todo. Y al usuario se le ponen los pelos de punta.
¿Es grave? Claro que lo es. Tan grave como las miles de vulnerabilidades anteriores. Pero esta tiene nombre. Hablamos de una estrategia heredada del marketing de producto. Y me parece importante señalarlo porque tiene efectos secundarios nocivos que todavía ni imaginamos. Cuando esta fase inicial de susto acabe por volverse habitual, y degenere en una trivialización del riesgo.
A nivel psicológico, Heartbleed (o Shellshock, o POODLE) no es una nueva vulnerabilidad, es LA vulnerabilidad, y el resto, que pueden ser tanto o más importantes, pero que no cuentan con el marketing necesario para viralizarse, pasan a un segundo plano. Se enfocan recursos en llamar la atención en un punto, y se termina el juego de magia desde otro.
En un año (y aún no hemos acabado) tres “grandes” vulnerabilidades. Prepárese para el año que viene. La estrategia no durará mucho (quizás una o dos décadas tirando por alto), pero para entonces ya nos buscaremos una forma nueva de llamar la atención, de volver a llenar la caja de billetes. Porque no se lleve a engaño. De lo que hablamos aquí no es de seguridad informática, es de negocio. Puro y duro.
asi como lo comentas (puedo tutearte?) entonces el hacking es la evolucion del virus, asi las compañias se hacian de dinero alertando de un virus mas poderoso que el anterior, y dando mejores soluciones, AV, antispam, netprotection, etc. ahora es el hacking y las vulnerabilidades, pero que no se puede volver negocio hoy en dia?
Por supuesto John. Por defecto en mis artículos intento mantener un tono más profesional ya que no sé quien estará detrás leyéndolo. Caso aparte son los comentarios. Ni espero que me traten de usted (tengo menos de 30 años jejeje) ni haré lo propio si la persona veo que prefiere tutearse.
Respecto a tu pregunta, no sé muy bien si es que no has entendido el discurso. A lo que voy es que en su momento el hacking no era un negocio. El negocio llegó con las consultoras, propiciado por la necesidad de “cazar” a esos hackers que se suponía eran peligrosos (y algunos lo eran, ojo).
Se instauró un miedo, que llevó a una necesidad, y este a un negocio. Ahora vivimos una situación semejante. Hay tanta información que lo mejor es seleccionar algunas vulnerabilidades dándole un nombre propio, que sea fácilmente “vendible” entre la sociedad, generando miedo, generando una necesidad, y por tanto, generando más negocio.
No es que estemos peor que nunca. Posiblemente estemos hasta mejor, pero nunca tuvimos entre manos exploits con nombre propio, y eso facilita que los medios lo recojan y que la sociedad se preocupe.
Interesante,
Evidentemente que existe un gran marketing detrás de esto. El mercado de las vulnerabilidades siempre ha estado ahí, lo que ocurre es que está creciendo de manera descontrolada; por un lado tenemos aquellos que trabajan de manera autónoma para descubrir los fallos, un poco como los caza-recompensas de “wild-west” y por otro aquellas empresas que desean vender licencias de productos. Es parte de la vida misma, como quien descubre una nueva enfermedad y casualidades de la vida también tiene la vacuna.
Poodle, ShellShock… no son más críticas que otras vulnerabilidades surgidas, simplemente, como comentas, tienen más alcance, más expansión en los medios y cuando estas palabras tan fáciles de memorizar llegan hasta los grandes directivos, la tierra tiembla un día más y parece que en lugar de enfrentarnos a una nueva vulnerabilidad informática, nos enfrentamos a un apocalipsis zombie.
Así es Facundo. Exactamente tal cual lo has comentado.
¡Muchas gracias!