Hace unas de semanas nos desayunábamos con el que se considera mayor ataque a redes privadas de la historia, gracias al WannaCry y que algunos aprovecharon para meter cizaña. La seguridad en Internet es hoy día un asunto, ya no de máxima seguridad, sino de alerta máxima. Y cada día está más claro que va a ser un tema más y más candente.
Es cada vez más habitual que se descubran agujeros en diversas aplicaciones en la red y que se destapen millones de de contraseñas o terabytes de datos de usuarios, a veces por problemas de sistema, otras veces por desidia de los administradores o programadores, y otras veces simplemente porque van a por ti y te consiguen romper por algún sitio. En todo caso, el problema es cada día más habitual y os vamos a presentar dos casos de hace unos días para ver hasta que punto la cosa se está volviendo complicada.
OneLogin es un proveedor de servicios de acceso de usuarios para aplicaciones, ya sean web, móvil, etc… No es una compañía conocida en general pero provee estos servicios para importantes corporaciones como Citizen, Pinterest, Midas o Yelp, por citar algunos. Al parecer su sistema de SSO (identificación Single Sign-On) se vio comprometido el día 1 de junio, y avisó a todos sus clientes de que esto había ocurrido (claro, los clientes, lógicamente, son esas grandes empresas, con lo que nadie más se ha enterado). Como añadido, estos mismos clientes han tenido que renovar todos los certificados de acceso y servicio, con lo que tendrán que actualizar las apps y en general, mientras tanto, sus aplicaciones son vulnerables a ser atacadas. En el caso de la web es menos problemático porque se pueden hacer cambios rápidos, pero con las apps de móvil o escritorio la cosa ya es más complicada. Según informa OneLogin, el ataque ha sido dirigido por un “actor dañino” (vamos, que pretendían un robo de datos masivo) y según uno de los clientes contactados por Ars Technica, han tenido que reconstruir su sistema de seguridad entero… Realmente para OneLogin esto puede ser un palo gordo, ya que pueden perder algunos importantes clientes. Un sistema de login es algo sumamente importante y debe funcionar como un reloj, pero se demuestra que hasta los sistemas más teóricamente potentes pueden caer.
La otra noticia de seguridad de estos días tiene que ver con lo que manejamos a diario. Según informa BleepingComputer, más de 1000 aplicaciones en las tiendas ahora mismo están funcionando bajo plataformas de servidor inseguras. Aunque no se informa de cuales son esas aplicaciones (obviamente para no ponerlas en la brecha), estas aplicaciones funcionan contra servidores públicos con conjuntos de software abiertos que, sin las debidas medidas de seguridad como control de acceso y encriptación, pueden estar desplegando al menos 43 TB de información, alguna de ella sensible como en el caos de OneLogin. Más allá de la noticia, que no deja de ser un punto de visión sobre el asunto, el hecho es que 1000 aplicaciones es, en realidad, un número muy bajo. Yo ampliaría el rango a, posiblemente, cientos de miles. Lamentablemente es cierto que muchas apps (incluso algunas conocidas) funcionan bajo parámetros de inseguridad simplemente por dejadez o porque en un momento dado se tiene que tirar de maquinaria insegura y después ya no se actualiza, sobre todo en versiones antiguas de las aplicaciones. Esto no es más que la punta del iceberg: es cierto que muchos programadores no realizan las estimaciones correspondientes, dando lugar a que después se sufran ataques que dan lugar al descubrimiento de datos o incluso a la inutilización de los sistemas.
Pero tampoco alucinemos, no es un problema específicamente de empresas de software. Google y Microsoft tampoco encriptan completamente sus datos (sólo hace un par de años que Google comenzó a encriptar sus comunicaciones internas entre servidores, y que sepamos, ninguna de las dos encripta sus datos en la nube. Que se sepa, Amazon y Apple sí lo hacen (en el caso de Apple, menos el correo y las notas, que en todo caso viajan encriptados entre el cliente y el servidor), pero son casos concretos, aunque famosos. Apple por supuesto ha sufrido sus casos de ataque pero afortunadamente no porque el sistema no sea bueno, sino porque los usuarios muchas veces somos unos manosrrotas. Lo que demostró WannaCry en mayo es que cada vez más y de forma más evidente se van a sufrir ataques continuos y de mayor envergadura. En algunos los usuarios seremos afectados y en otros no, pero a partir de ya las guerras se van a librar antes en las redes que en los campos de batalla. Y eso, por paradójico que resulte, no es necesariamente algo mejor que lo que había antes. En todo caso, igual de malo, ya que por mucho que miremos a otro lado, nuestro mundo de hoy día es un mundo cibernético, un mundo totalmente aparte del real pero tan importante que puede colapsar nuestro día a día.
¿Soluciones? No sé si realmente hay una solución más allá de desconectarse. Internet se creó para ser teóricamente una red indestructible, pero vemos que en realidad puede ser relativamente sencillo hacer caer partes de ella, incluso importantes. Con los últimos ataques a DynDNS, que colapsaron partes de la red como redes sociales (Twitter), dejar sin servicio parece algo más sencillo de lo que quieren aparentar. Y que caiga Twitter probablemente sólo le haga daño a Twitter, pero… ¿Y Google? ¿Y Apple? ¿Y Amazon? Si caen estos, y caen bien (varios días, por ejemplo), el mundo estará paralizado por una buena temporada. Alguno se estará preguntando porqué meto a Amazon en esto. Amazon tiene, hoy por hoy, la nube comercial más grande del mundo. Miles y miles de webs, aplicaciones y servicios usan su nube para hacer un montón de cosas, y no sólo apps, sino backups y servidores. En general, un desastre si llega a pasar. Hace años tuvieron un traspiés con su copia de seguridad y literalmente dejaron sin servicio a miles de webs, como Menéame. Esta bien que nos apoyemos en la tecnología, pero tenemos que preguntarnos hasta que punto nos apoyamos o literalmente dependemos de ella para todo. Que no es lo mismo.