Hablando sobre el supuesto espionaje de Huawei en La Razón

trump huawei

Juan Scaliter, periodista de La Razón, escribía la semana pasada al equipo de ConPilar (ES), el mayor evento de CiberSeguridad de Zaragoza en el que impartiré un taller sobre seguridad y privacidad a perfiles directivos el próximo 12 de abril (se llenó en menos de 24 horas, pero hay lista de espera por si quieres apuntarte), para pedirle si alguno de los ponentes podía responder a una serie de preguntas a colación del supuesto espionaje masivo de los productos de Huawei por parte del gobierno de su país.

Un tema del cual ya me expresé, aunque fuera off record, en la televisión, y al que por supuesto estuve a bien responder.

Parte de mis opiniones, junto con las de otros ponentes, dieron forma esta semana a este artículo publicado por el periódico (ES).

Dejo por aquí la conversación al completo:

¿Es posible detectar en un router, antena o smartphone, si hay algún software o hardware destinado a espionaje?

Hombre, posible es, la cosa es que según cómo se haya hecho, puede resultar muy díficil descubrirlo.

Casos recientes como ese micrófono (EN) incluido sin conocimiento por parte de los usuarios de algunos de los productos para hogar de Nest, empresa que forma parte del conglomerado de Google, o aquel The Big Hack que azotó el año pasado la prensa especializada al descubrirse que algunos servidores de uso masivo por buena parte de la industria tecnológica incluían, de paso, un chip que permitía el espionaje, son claros ejemplos de ello.

Hay que tener en cuenta que esto no es tan sencillo como abrir un dispositivo y revisar qué componentes tiene. E incluso si de verdad se descubriera algo que no debería estar ahí, quedaría la duda de ver quién es el culpable, ya que con toda la globalización y externalización de procesos industriales bien podría ocurrir que el fabricante del dispositivo, es decir, la empresa cuya marca lleva asociado el producto, realmente no tuviera conocimiento de ello.

Cualquier miembro de esa inmensa cadena de producción podría haber ofuscado algún componente, y éste pasar desapercibido en los múltiples controles que tienen que pasar estos dispositivos para llegar al usuario de a pie.

¿Cuánto tiempo toma llevar a cabo esta investigación?

Es difícil precisar un periodo. A veces, de hecho, estos descubrimientos surgen de la más pura casualidad.

Alguien está destripando un producto con el fin que sea, encuentra algo y va tirando del hilo, hasta descubrir que en efecto se trata de un problema de seguridad y/o privacidad. Demostrar luego que es algo que se ha puesto ahí conscientemente o no ya es otro tema.

También te digo que en el caso de Huawei, a día de hoy todavía no hay pruebas explícitas (ES) de tal espionaje más allá de lo que ha dicho EEUU. Un país que, recordemos, atacó por igual a otra empresa como es Kaspersky, que casualmente también pertenece a un país en guerra comercial con occidente.

La decisión de la UE, Canadá y el resto de países que se han sumado, total o parcialmente, a ese bloqueo, creo que va más por mantener contento al gobierno de Trump (ES), que porque realmente haya pruebas de la injerencia china en sus procesos de fabricación.

Si hay pruebas fehacientes de ello, no sé por qué están tardando tanto en sacarlas a la luz.

¿Es una tarea que precisa de una gran inversión?

Voy a parecer gallego en mis respuestas, pero es que depende. Como decía anteriormente, hay veces en las que el descubrimiento es fortuito, y otras en las que a base de buscar, acabas encontrando algo.

Que sea algo tan gordo como lo de Huawei o Karspersky ya es otro tema, y como quiero dejar claro, creo que antes de señalar con el dedo habría que mostrar las pruebas, cosa que no se ha hecho.

¿Hay alguna entidad que controle que estos dispositivos no llevan hardware o software intrusivo?

Todos estos dispositivos tienen que pasar bastantes controles (internos y por los reguladores de cada región) antes de llegar al mercado. Pero ten en cuenta que hecha la ley, hecha la trampa.

Resulta a veces muy pero que muy complicado saber qué hace exactamente un componente dentro de los millares de componentes que tiene un dispositivo. Y si por si esto fuera poco, ya no solo hablamos de hardware, sino de software.

Un mismo chip podría estar siendo utilizado para funciones esperables del sistema, y además, previa condición, transformarse en un dispositivo de espionaje o servir para los menesteres para los que quienes lo pusieron ahí esperan que haga.

Los sistemas de ofuscación de código anti-sandboxing están creados precisamente para evitar los controles, y que el malware pase desapercibido hasta que está siendo utilizado por la víctima.

Del mismo modo que un software se puede activar de forma remota, ¿se puede enviar un aviso cuando el software «haga cosas» que no debería (como consumir más energía, contactar con servidores diferentes, etc)?

Se puede. Todo en esta vida se puede. Otra cosa es que sea fácil.

Fíjate que hablamos de predecir algo que, a priori, desconocemos. Y ya no solo no conocemos sus objetivos, sino por supuesto los efectos físicos y cuantificables que se desprenden de esos objetivos.

Vaya, que si en un mundo utópico supiéramos de antemano que X dispositivo está comprometido y hace estas cosas que no debe, podríamos diseñar un sistema que lo controlase. Pero en la práctica no podemos hacer esto con absolutamente todos los dispositivos en el mercado y para todas las infinitas casuísticas que pueden darse.