Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros.
Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.
*******
Negocios Seguros
Tanto de lo bueno, puede llegar a ser malo
Patrick Howell O’Neill publicaba estos días una pieza para el MIT Technology Review (ES) sobre cómo la política hiper restrictiva de los sistemas operativos de Apple estaba a la vez jugando a favor y en contra de la seguridad de sus sistemas.
El artículo en sí no descubre nada que no hayamos dicho ya por estos lares en más de una ocasión, y lo hace, ya de paso, tipificando a los cibercriminales como hackers. Algo que ya sabes que me jode bastante.
Pero hay algunas frases que merecen consideración, como esa en la que se hace eco de las declaraciones de Bill Marczack, principal investigador del organismo de control de ciberseguridad Citizen Lab, y quien allá por 2016 publicó el informe Million Dollar Dissident sobre el negocio turbio (pero turbio turbio) que tiene ese unicornio israelí de la ciberseguridad llamado NSO Group:
Marczak argumenta que, aunque la seguridad del iPhone es cada vez más fuerte a medida que Apple invierte millones para aumentar su muro, los mejores
hackerscibercriminales tienen sus propios millones para comprar o desarrollar los exploits de día cero que les permitan apoderarse de los iPhones de manera invisible y acceder a las partes restringidas del teléfono sin dar a la víctima ninguna señal de que ha sido atacada.
Y cuando logran llegar tan adentro, la seguridad se convierte en una barrera que evita que los investigadores detecten o comprendan el comportamiento malicioso, hasta el punto en el que Marczak sospecha que ninguno de los ataques se nota, salvo una pequeña parte, porque no son visibles detrás de la cortina.
Esto significa que incluso para saber si alguien está siendo atacado, es posible que haya que confiar en la suerte o en una vaga sospecha en vez de en pruebas claras. El periodista de Al Jazeera Tamer Almisshal se puso en contacto con Citizen Lab después de recibir amenazas de muerte por su trabajo en enero de 2020, pero, al principio, el equipo de Marczak no encontró ninguna evidencia directa del hackeo en su iPhone. Se quedaron observando el tráfico de internet del teléfono para ver a quién le susurraba, hasta que al final, en julio del año pasado, los investigadores detectaron los pings del teléfono en los servidores pertenecientes al NSO. Era una fuerte prueba que señalaba el ataque con el software de la compañía israelí, pero no reveló el propio hackeo en sí.
Esto explica cómo ataques tan sofisticados como el que hace un par de años sufría Jezz Bezos, fundador de Amazon, y que expliqué en profundidad en una pieza también exclusiva para vosotros, pueden afectar a perfiles a priori tan avanzados como el de este tipo de personalidades en un sistema operativo a priori mucho más seguro.
Para un cibercriminal es mucho más complicado atacar a un iPhone o iPad actualizado y sin jailbreak (una gran ventaja ya que evita, de facto, la mayor parte de ataques que sí pululan en otros sistemas como Android). Pero aquellos que consiguen evadir estas medidas tan restrictivas se benefician precisamente de ese «jardín vallado«, y pasan más desapercibidos, siendo por tanto más dañinos.
Simple y llanamente porque los sistemas antivirus no pueden operar al nivel que operan este tipo de ataques.
Y ojo, que este paradigma está cada vez más presentes en nuestros dispositivos.
MacOS con chips M1 es de facto más seguro precisamente porque los M1 trabajan de forma compartimentada, evitando así que los programas puedan analizar la memoria de otros procesos en ejecución. Y ahí tenemos plataformas como los Chromebooks, que encapsulan toda la operativa del sistema en el propio navegador, no pudiendo meterle mano de forma directa a los permisos que hay por debajo.
Que a sabiendas de esto, lo fácil sería pensar que Apple debería ofrecer mayores permisos a según qué firmas (antivirus, apps de desarrollo, etc etc)… pero entonces se abre la veda a que también organismos como la NSA o el FBI reclamen ese tipo de permisos para sus propios quehaceres (ya sabes, salvaguardar la seguridad nacional, que es una manera bonita de denominar a los sistemas de espionaje masivo gubernamental).
Así que ahí está el dilema.
La tendencia es, en efecto, hacia sistemas operativos cada vez más capados, lo que por un lado mejora la seguridad global (menos perímetro de exposición para los usuarios), y por otro complica aún más identificar los potenciales ataques.
Con grandes compañías herméticas (véase Apple, véase Nintendo…) que ante cualquier potencial ataque, reescriben el código sin alertar a la comunidad de su impacto.
Y mientras tanto grandes organismos gubernamentales encontrando excusas loables en la petición de otros organismos corporativos que demandan mayor control y monitorización en los dispositivos de sus clientes.
¿Dónde está el equilibrio?
No sabría decirte, la verdad. Aunque quizás sea cierto que el escenario actual es de facto más recomendable (aunque como hemos visto entraña también sus riesgos) que el del paradigma abierto que muchos abrazamos de forma nostálgica.
Mal que nos pese decirlo, por cierto.
________
Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».
