Heartbleed abrió el debate sobre las necesidades de este software crítico

La falla de seguridad Heartbleed devela las contradicciones de Internet
Por Nicole Perlroth para The New York Times, publicado en La Nación.

El incidente que afectó a OpenSSL, sostenido por reducido grupo de ingenieros, abrió el debate sobre las necesidades de este software crítico, utilizado por las principales compañías tecnológicas y agencias de defensa.

SAN FRANCISCO - La falla (o "bug", en la jerga) bautizada como Heartbleed (Corazón Sangrante) que llegó a los titulares y llamó la atención sobre uno de los elementos menos comprendidos de Internet: gran parte de la columna vertebral invisible de los sitios de la red -que van desde el de Google, pasando por el de Amazon, hasta el del FBI-, fue construida por programadores voluntarios en lo que se conoce como la comunidad de código abierto.

Heartbleed se originó en esta comunidad, en la que estos voluntarios, conectado por la Red, trabajan juntos para crear software libre, para mantenerlo y mejorarlo y para buscar fallas. Idealmente, cada uno controla el trabajo de los demás, en un sistema de revisión por los pares similar al que se ve en las ciencias, o al menos en Wikipedia -sin fines de lucro- en la que voluntarios motivados regularmente agregan nueva información y corrigen los errores de los demás.

Según sus defensores, este proceso asegura la creación de código informático confiable.

Pero desde que la falla conocida como Heartbleed logró filtrarse, generando temores -que aún no se demuestran justificados- de problemas generalizados, los habitantes de ese mundo se preguntan si el sistema funciona como debiera.

"Esta falla se introdujo hace dos años y sin embargo nadie se tomó el tiempo para advertirla" dijo Steven M. Bellovin, un profesor de ciencia informática de la universidad de Columbia. "La tarea de todos es tarea de nadie".

Una vez que se reveló la presencia de Heartbleed, hace casi dos semanas, las compañías corrieron a crear parches para solucionarla. Pero investigadores de seguridad dicen que más de un millón de servidores de la red podrían aún resultar vulnerables a ataques.

Mandiant, una firma dedicada a responder a cíber ataques, dijo el viernes que había encontrado evidencias que atacantes usaron Heartbleed para violar el sistema informático de una corporación grande, aunque aún seguía evaluando si hubo daños.

Lo que hace tan peligrosa a Heartbleed, según expertos, es el llamado código OpenSSL que quedó comprometido. Ese código es sólo uno de los muchos mantenidos por la comunidad de código abierto. Pero tiene un rol crítico en cuanto a hacer que sea seguro utilizar nuestras computadoras y dispositivos móviles.

El código OpenSSL fue desarrollado por el OpenSSL Project, que tiene sus raíces en los esfuerzos realizados en la década de 1990 para hacer que internet estuviera a resguardo del espionaje. La sigla "SSL" hace referencia a "secure sockets layer" (nivel de socket seguro), una forma de encriptado. Los que usan este código no tienen que pagar por el mismo mientras reconozcan la autoría del OpenSSL Project.

El código OpenSSL ha sido utilizado en distintos momentos por compañías como Amazon, Facebook, Netflix y Yahoo y para garantizar la seguridad de sitios de entes oficiales como el del FBI y la oficina de impuestos de Canadá. Está incorporado a sistemas de armas del pentágono, dispositivos como los teléfonos inteligentes que usan Android, teléfonos de línea fija de Cisco y routers hogareños Wi-Fi.

Las compañías y entes oficiales podrían haber usado esquemas propios registrados para garantizar la seguridad de sus sistemas, pero el OpenSSL les daba una opción gratuita y, al menos en teoría, más segura.

A diferencia del software privado, que es creado y mantenido por unos pocos empleados, el código abierto como OpenSSL puede ser controlado por programadores de todo el mundo, dicen sus defensores.

"Si hay suficientes miradas, todas las fallas se encuentran" es lo que dijo Eric S. Raymond, uno de los fundadores del movimiento de código abierto en su libro de 1997 "The Cathedral & the Bazaar" (La Catedral y el Bazar), una especie de manifiesto de la filosofía de código abierto.

Pero en el caso de Heartbleed "no hubo miradas" dijo Raymond en una entrevista esta semana.

Si bien cualquier programador puede trabajar en el código OpenSSL, sólo unos pocos lo hacen regularmente, dijo Ben Laurie, un ingeniero de Google que vive en Gran Bretaña y que dona tiempo a OpenSSL por las noches y los fines de semana. Esto es un problema, dijo, agregando que las compañías y los entes gubernamentales que usan el código OpenSSL se han beneficiado del mismo, pero es poco lo que dan a cambio. "OpenSSL no tiene fondos" dijo Laurie. "es usado por compañías que ganan mucho dinero, pero casi ninguna de las compañías que lo usan aportan algo".

Según el sitio del proyecto, OpenSSL tiene un diseñador full-time -el doctor Stephen N. Henson, un programador británico- y tres programadores voluntarios centrales, incluyendo a Laurie en Europa.

Registros en el sitio de OpenSSL muestran que Henson controló el código que contiene la falla Heartbleed, luego de que esta fuera incluido por error en una actualización de código en la víspera del año nuevo de 2011 y la falla fue incluida inadvertidamente en una presentación de software de OpenSSL tres meses más tarde.

Ni Henson ni los otros dos voluntarios respondieron a pedidos de entrevista.

Pero los programadores de código abierto no le achacan la culpa a Henson, considerando que el proyecto OpenSSL ha operado con un presupuesto anual mínimo de US$ 2000 proveniente de donaciones -en su gran mayoría de individuos- lo que apenas alcanza para que los voluntarios cubran sus cuentas de electricidad.

Hace cinco años, a Steve Marquess, consultor de tecnología para el departamento de Defensa en aquel entonces, le llamó la atención que OpenSSL fuera "ubicuo", y sin embargo nadie de los que trabajaban en el código ganaba plata por ello. Cuando conoció a Henson, dijo Marquess, Henson trabajaba en el código OpenSSL full-time y "se moría de hambre".

Por lo que Marquess creó la Fundación de Software OpenSSL para ayudar a programadores como Henson a ganar dinero actuando como consultores para entes gubernamentales y compañías que usaran el código. También recibe algunas donaciones mínimas, dijo.

En los últimos cinco años la fundación nunca recibió más de US$ 1 millón en ingresos por contratos comerciales al año. Esto no es mucho para pagar el trabajo de los programadores, dijo Marquess.

La mayoría de los usuarios corporativos de OpenSSL no contribuyen fondos al grupo, dijo Marquess. Google y Cisco dicen que contribuyen alentando a sus propios ingenieros a buscar fallas en el código en horario de trabajo. El sitio de OpenSSL muestra que un ingeniero de Cisco y varios ingenieros de Google han descubierto fallas y creado soluciones a lo largo de los años.

Un ingeniero de Google, Neel Mehta, encontró la falla Heartbleed este mes y otros dos ingenieros de Google propusieron la solución.

Del mismo modo, Microsoft y Facebook crearon la iniciativa Internet Bug Bounty, que paga a ingenieros que informan de modo responsable de fallas en sistemas ampliamente usados como el OpenSSL. El grupo le pagó a Mehta US$ 15.000 por su descubrimiento -suma que donó a la Fundación por la Libertad de Prensa.

Pero los defensores del código abierto dicen que las organizaciones que utilizan el código debieran ayudar más. "El código abierto no es polvo mágico de hadas" que se produce automáticamente, dijo Tim O'Reilly, partidario desde sus inicios del código abierto y fundador de O'Reilly Media. "Se da porque hay gente que trabaja en eso".

Como mínimo, dicen expertos en seguridad, las compañías y los gobiernos debieran pagar por auditorías regulares del código, en particular cuando la seguridad de sus propios productos depende de la confiabilidad del código.

"Debieran asumir más responsabilidad por todo lo que incluyen en sus productos" dijo Edward W. Felten, profesor de ciencias de la computación de la Universidad de Princeton.

Hace diez años Laurie, por entonces programador free-lance, hizo una auditoría del OpenSSL para la Defense Advanced Research Projects Agency (Ente de Proyectos Avanzados de Investigación para la Defensa, conocido por la sigla Darpa). Le llevó un año entero. Hoy dijo Laurie, los voluntarios no tienen tiempo para hacer auditorías de ese tipo.

El problema, dicen Raymond y otros partidarios del código abierto, se reduce a que los incentivos no se corresponden con las necesidades. Raymond dijo que las firmas no hacen el mantenimiento del código OpenSSL porque no obtienen ganancias directamente del mismo, aunque está integrado a sus productos, y porque los gobiernos no se ven afectados políticamente cuando el código tiene problemas.

"No hay apoyo financiero, no hay sueldos, no hay seguro de salud para los que trabajan en esto" dijo Raymond. "Tienen que vivir como monjes o trabajar en el OpenSSL de noche y los fines de semana. Lo que es garantía de que habrá problemas serios".

Él y otros de los "ancianos" del movimiento de código abierto dicen que quieren crear un grupo sin fines de lucro para solicitar donaciones de gobiernos y compañías y en Kickstarter (sistema de donaciones online para nuevos emprendimientos, n. del t.) que se usarán para auditorías de OpenSSL y otros proyectos cruciales de código abierto.

Esta semana hubo alguna buena nueva. Marquess dice que luego de Heartbleed sacara a luz la falta de recursos del proyecto OpenSSL, el grupo recibió donaciones por US$ 17.000, casi todo de individuos fuera de Estados Unidos. La mayor donación individual fue de US$ 300; la menor fue de 2 centavos.

Pero hubo un problema, dijo: "Desgraciadamente los 2 centavos fueron donados a través de PayPal y PayPal se quedó con los dos centavos". / Por Nicole Perlroth para The New York Times, publicado en La Nación. Traducción de Gabriel Zadunaisky

---.---

Logo que representa el bug Heartbleed
Visto en Wikipedia

Post relacionados:

• Señalan que OpenSSL ya no puede ser rescatado. 23/04/2014.
• El bug en OpenSSL, Heartbleed, ¿un ataque gubernamental?. 11/04/2014.
• Dos notas interesantes sobre el bug en OpenSSL para tener en cuenta. 10/04/2014.
• Aconsejan cambiar contraseñas por el bug masivo de seguridad en OpenSSL. 09/04/2014.
• Bug masivo de seguridad en OpenSSL dejó desprotegidos desde contraseñas hasta tarjetas de crédito. 08/04/2014.

Opinión sobre el por qué la NSA espía a Brasil

Por qué la NSA espía a Brasil
Por Mary Anastasia O'Grady para The Wall Street Journal.

Algunos de los países menos libres del mundo, como Cuba, Irán y Venezuela, son sus aliados.

Los líderes europeos pusieron el grito en el cielo cuando trascendió que la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) había estado espiando en su continente así como en sus propias actividades. Aseguraron estar conmocionados, aunque desde entonces ha quedado claro que, en su mayor parte, la reacción era puro teatro.

Sin embargo, en ninguna parte esta indignación fingida contra la NSA ha sido más falsa que en el caso de Brasil, que también ha sido blanco del espionaje estadounidense. La presidenta Dilma Rousseff ha señalado que se trata de una violación de los derechos humanos y propone que Naciones Unidas asuma "un rol de liderazgo" en la regulación de Internet. No se ría.

Los países europeos pueden, por lo menos, sostener que son aliados de EE.UU. Sin embargo, los mejores amigos de Brasil durante la gestión del Partido de los Trabajadores de Rousseff y su antecesor en el cargo, Lula da Silva, son Cuba, Irán y Venezuela. Si los espías de EE.UU. no están prestando atención a Brasil, entonces no están prestando atención.

La retórica que emana de Europa bajó de tono la semana pasada. Los líderes del Viejo Continente empezaron a solicitar la colaboración de EE.UU. para hallar una forma de restaurar la "confianza" entre los aliados.

¿Se debió eso a la revelación de que otros países que son parte de la Organización del Tratado del Atlántico Norte (OTAN) habían reunido parte de la información en poder de la NSA? ¿O fue tal vez porque, como indicó el ex director de los servicios franceses de inteligencia Bernard Squarcini en una entrevista con Le Figaro, "los servicios de inteligencia franceses saben muy bien que todos los países, sean o no aliados en la lucha contra el terrorismo, se espían entre ellos todo el tiempo"? El ex canciller alemán Helmut Schmidt corroboró tales declaraciones al señalar que durante sus ochos años en el poder siempre asumió que su teléfono estaba intervenido.

La canciller alemana, Angela Merkel, necesita cubrirse las espaldas en su país y EE.UU. debe hacer todo lo que esté a su alcance para ayudarla. Pero no hay nadie que crea que si EE.UU. disminuyera sus operaciones de espionaje, ni Merkel ni cualquier otro jefe de Estado o de gobierno podría sentirse seguro acerca de la privacidad de sus comunicaciones. Todos los países europeos probablemente seguirían espiando tal y como lo han hecho desde que se tiene memoria. Además, el espionaje cubano, ruso, chino, venezolano e iraní seguiría rampante, dándoles a sus gobiernos la posibilidad de sacar ventaja de esta información.

Lo que nos lleva de nuevo a Brasil. No es ninguna coincidencia que algunos de los países menos libres del mundo figuren entre los principales socios en política exterior de la presidenta Dilma Rousseff. En una columna publicada en septiembre en el Miami Herald titulada "Por qué Estados Unidos Espía a Brasil", el escritor oriundo de Cuba Carlos Alberto Montaner transcribió una conversación con un embajador estadounidense cuyo nombre no fue revelado. "Los amigos de Luiz Inácio Lula da Silva, de Dilma Rousseff y del Partido de los Trabajadores son los enemigos de Estados Unidos: la Venezuela chavista, primero con Chávez y ahora con Maduro, la Cuba de Raúl Castro, Irán, la Bolivia de Evo Morales. Libia en época de Gadafi, la Siria de Bashar el-Asad". El diplomático resaltó que "en casi todos los conflictos, el gobierno de Brasil coincide con la línea política de Rusia y China frente a la perspectiva del Departamento de Estado (de EE.UU.) y la Casa Blanca".

La relación de Brasil con Cuba causa particular preocupación. En lugar de mostrar solidaridad con la víctimas de la opresión en Cuba, manifestó el embajador, "el expresidente Lula da Silva suele llevar inversionistas a la Isla para fortalecer la dictadura de los Castro. Se calcula en mil millones de dólares la cifra enterrada por los brasileros en el desarrollo del super puerto de Mariel, cerca de La Habana".

El apoyo a Cuba, cuya adoración del totalitarismo donde sea que se encuentre en el mundo sigue siendo inclaudicable, deja a Brasil en el lado equivocado de la geopolítica. Panamá interceptó en julio un buque de Corea del Norte que había salido de Cuba en dirección a Asia. La embarcación transportaba armas que no habían sido declaradas, combustible y dos aviones caza MiG-21. Cuba se defendió diciendo que se trataba de equipo militar viejo que necesitaba reparaciones. El 10 de octubre, sin embargo, la empresa de diarios McClatchy informó que funcionarios panameños dijeron que los aviones estaban en buenas condiciones y que "habían volado hace poco y estaban acompañados de dos motores de avión 'completamente nuevos'".

El espionaje de EE.UU. es, por lo tanto, lógico, aunque no es difícil ver las razones por las que Rousseff quiere aumentar el cociente de indignación. Bajo la tutela de su partido, que ha gobernado desde 2002, el país ha pasado de ser una estrella en ascenso a una economía cuyo mejor momento ya quedó atrás. Brasil está creciendo a una tasa anémica para un país en desarrollo que necesita sacar a su población de la pobreza.

John Welch, analista de CIBC Macro Strategy, subrayó la semana pasada que las advertencias de las calificadoras de crédito sobre rebajas inminentes a la clasificación de la deuda de Brasil se basan en el deterioro de las cuentas fiscales y un aumento de la deuda y la inflación. Los brasileños están disconformes, pero el equipo económico de Rousseff parece estar mal equipado para mejorar la política económica.

La filtración de la NSA es, por ende, útil. Luego de haber desperdiciado la oportunidad de transformarse en un importante actor económico en los mercados internacionales en un futuro cercano, el gobierno brasileño se comporta como si su relevancia global dependiera de elevar la reputación del país como uno de los niños malos de Sudamérica.

Suena como un plan del Partido de los Trabajadores y un buen motivo para que la NSA siga en alerta. / Por Mary Anastasia O'Grady para The Wall Street Journal.

Nota relacionada:

• Denuncian que Brasil vigiló a diplomáticos de Rusia, Irán e Irak.- "El informe de Folha de Sao Paulo detalla diez operaciones realizadas por espías brasileños entre 2003 y 2004 y en las que se reportan tareas de vigilancia a diplomáticos de países con los que Brasil ha estrechado relaciones en los últimos años, como Rusia e Irán".- Por AméricaEconomía - Tecnología.

Post relacionados:

• Él espía, tu espías, ellos espían ¿a todos nos espían?. 30/10/2013.
• El espionaje electrónico entre países, incluso aliados, es algo habitual. 22/10/2013.
• Rusia supervisará 'todas las comunicaciones' en los Juegos Olímpicos de Invierno. 07/10/2013.
• Brasil y Argentina anuncian acciones de cooperación en Defensa Cibernética. 17/09/2013.
• Eric Schmidt sobre el espionaje gubernamental. 17/09/2013.
• Rumor de ciberguerra. 05/09/2013.

Más sobre el tema Cyberwar (Ciberguerra) en éste blog.

Eric Schmidt sobre el espionaje gubernamental

Eric Schmidt sobre el espionaje gubernamental: “Es la naturaleza de nuestra sociedad”

Publicado por Diario TI 17/09/13.

El presidente ejecutivo de Google prefiere "no juzgar" las operaciones de espionaje global de la NSA. Asimismo, advierte que la publicidad que ha recibido el tema podría resultar en una balcanización de Internet.

Después de conocerse el programa Prism, varias de las grandes empresas que han participado en el programa han intentado explicar que, en realidad, se ha tratado de una participación forzada. También han mencionado la frustración que les ha causado no poder explicar libremente la situación a la opinión pública.

Un común denominador es que las empresas han optado por no referirse al programa Prism en sí, poniendo únicamente de relieve que su participación es el resultado de una imposición administrativa y legal. Las voces más críticas han sido la de Marissa Mayer y Mark Zuckerberg, que dijeron sentirse indignados con la NSA.

Google, que anteriormente se ha asociado a Microsoft para requerir apoyo de los tribunales de justicia, con el fin de transparentar los hechos, se refirió directamente al espionaje en si, por conducto de su presidente ejecutivo Eric Schmidt.

Según el diario británico The Guardian, Schmidt habría declarado durante un debate realizado la semana pasada en Nueva York que: “El espionaje y la vigilancia han tenido lugar durante años. Prefiero no emitir juicios sobre la materia, ya que es la naturaleza de nuestra sociedad”.

Schmidt agregó que es legítimo debatir los procedimientos empleados por la NSA para llevar a cabo sus actividades de espionaje. A entender del presidente ejecutivo de Google, la mayoría de los estadounidenses están a favor de que la NSA trabaje para proteger a los estadounidenses, pero que también quieren sentirse protegidos del abuso gubernamental de sus datos.

Luego dijo sentir preocupación por la publicidad que han recibido las filtraciones de Edward Snowden, en el sentido que podría restar globalidad a Internet, ya que algunos países quizás opten por establecer sistemas nacionales de protección para sus ciudadanos.

Balcanización

“El peligro real de la publicidad que ha tenido este tema es que otros países comiencen a instalar sistemas de cifrado -usamos el término balcanización- para fragmentar Internet, que podría llegar a ser mucho más específica para cada país. Esto sería algo muy negativo, que atentaría contra el funcionamiento en sí de Internet”. / Diario TI 17/09/13.

Nota fuente: Google's Eric Schmidt says government spying is 'the nature of our society'

Tech giant's executive chairman calls for greater transparency but declines to 'pass judgment' on spying operations. Por Amanda Holpuch para The Guardian.

Más sobre el tema Prism y los programas de vigilancia en éste blog.

Gobierno uruguayo compró tecnología de espionaje, El Guardían, ¿el PRISM Uruguayo?

En junio pasado, tras el "descubrimiento" del asunto Snowden, publiqué aquí un post con el título "Tanto escándalo sobre Prism, ¿se olvidaron de ECHELON y tantos otros?", sencillamente porque me parecía hasta hipócrita hacer tanto escándalo cuando en todos los medios de información, que se precien de serios, se conoce y hasta tienen algún especialista en los temas alrededor del espionaje.

Me parece que nadie serio puede ignorar que existan sistemas de vigilancia gubernamentales desde hace décadas, y mucho más a partir del trágico 11 de septiembre de 2001, que alentó en el mundo entero nuevas y más profundas políticas contra el terrorismo y consecuentemente potenció a las entidades de seguridad de los estados, y obviamente la implantación de complejos sistemas de seguridad y vigilancia.

Me parece que se debe hacer hincapié en la legalidad de la acción de vigilancia, que las políticas de prevención y represión de la delincuencia estén debidamente encuadradas en un marco legal.

Hoy es noticia, una más en relación a la vigilancia gubernamental, que el gobierno uruguayo ha adquirido tecnología, a una empresa brasilera, que permite el monitoreo de celulares, teléfonos, mails y tres redes sociales.

Gobierno compró plataforma para espiar llamadas y mails 

Publicado por El Observador (observa.com.uy) 

El Guardián, comprado de forma “secreta” por US$ 2 millones a una empresa brasilera permite el monitoreo de 800 celulares, 200 teléfonos, 100 mails y tres redes sociales.
El Ministerio del Interior compró un software de dos millones de dólares que permite que al mismo tiempo 30 personas monitoreen el tráfico que generan hasta 800 celulares y 200 teléfonos fijos; además de crear cuentas espejo de 100 emails y relevamiento de tres redes sociales, informa El País esta mañana en base a un documento de Presidencia de la República.
El nombre de la plataforma web es El Guardián, y fue comprado a la empresa brasilera Digitro Tecnología Ltda. Tiene un costo de mantenimiento de 200.000 dólares anuales.
"La incorporación de dicha tecnología permitirá desarrollar con eficacia una tarea de importancia en la investigación de delitos complejos, logrando así una mejor gestión en la Seguridad Pública, incidiendo directamente en las políticas de prevención y represión de la delincuencia, cometido esencial que desarrolla la Policía Nacional y demanda urgencia en su atención", establece la resolución que habilitó la compra y no fue publicada ni en Presidencia ni en la Agencia de Contrataciones y Compras del Estado.
El mismo documento establece que "la operación de compra debe mantenerse en secreto" y que "la difusión de la contratación podría irrogar graves perjuicios para la Seguridad Pública, tanto desde el punto de vista técnico como estratégico".
La empresa proveedora, que en su página web se identifica como una empresa de inteligencia y tecnología de información, establece que "la complejidad de la sociedad actual y de las relaciones entre Estado y ciudadano exige herramientas de análisis para agilizar los procedimientos y facilitar la implementación de acciones preventivas o correctivas".
Y en la presentación del producto que acaba de comprar el Estado uruguayo, establece que "el sistema realiza monitoreo de voz y datos y ofrece recursos avanzados de análisis de audio e identificación de locutores. Es una solución hecha especialmente para las operaciones de investigación legal. Flexible y modular, puede ser dimensionada de acuerdo con la necesidad del órgano de investigación. Su interface es 100% web, permitiendo al analista acceder al sistema desde cualquier lugar, de forma segura".
También la web oficial determina: "El sistema posee herramientas avanzadas para un análisis de vínculos textuales, georreferenciados, estructurados y gráficos, permitiendo un análisis integrado de información al posibilitar el tratamiento de las interceptaciones en un ambiente que integra grabaciones telefónicas, de radio y datos traficados en internet", y "pone a disposición módulos específicos para la creación de un banco de voces e identificación de locutores para el análisis de audio utilizando tecnología de keyword spotting". / El Observador (observa.com.uy).-

No sería ninguna sorpresa que estemos vigilados, como en "Enemy of the State". Más sobre el tema Prism y los programas de vigilancia en éste blog.

Contratistas privados, protagonistas del enorme aparato de inteligencia de Estados Unidos

Las empresas que ganan millones por el espionaje de EE.UU.
Por Daniel Pardo para BBC Mundo, Londres

Instalaciones generales de la NSA en Fort Meade, Maryland.
Visto en Wikipedia

El enorme aparato de inteligencia y vigilancia que Estados Unidos construyó en los últimos 50 años cuesta cerca de US$50.000 millones anuales. Y el 70% de su presupuesto se canaliza mediante contratistas privados, protagonistas de una industria de alto crecimiento.

Edward Snowden era parte de este complejo público-privado de espionaje.

El hombre que reveló documentos secretos del espionaje estadounidense y solicitó asilo a Ecuador, inició su carrera en inteligencia trabajando para el gobierno pero en 2009 pasó al sector privado, donde fue eventualmente contratado por una consultora llamada Booz Allen Hamilton (BAH) que opera como contratista de la Agencia de Seguridad Nacional (NSA, por sus siglas in inglés).

Según un informe de la revista estadounidense Businessweek, 99% de los ingresos de presta BAH, una empresa con 25.000 empleados que tuvo US$5.760 millones en ventas en 2012, provienen de contratos con el gobierno estadounidense.

Y no es la única firma con grandes contratos. Compañías como General Dynamics, Lockheed Martin y Science Applications Internacional, entre muchas otras, son también importantes beneficiarios del gasto en inteligencia de EE.UU..

La filtración de Snowden de documentos de la NSA en los que se detalla una polémica campaña de ciberespionaje por parte de EE.UU. revitaliza un viejo debate en ese país: el papel de estas empresas privadas en el campo de la seguridad.

Mientras unos las ven como una necesidad para que el sector de la seguridad funcione, otros creen que su poder es desmedido y que por eso, en parte, fue que Snowden, como empleado de BAH, tuvo acceso a documentos de la NSA.

Pero, ¿cuál es la historia de estas empresas? ¿Cuál es su lógica? ¿Cómo se mantienen a flote?

De dónde salieron

El estrecho vínculo del gobierno con BAH se remonta a la Segunda Guerra Mundial, cuando la Alemania nazi desarrolló una poderosa flota de submarinos y la consultora, contratada por la Armada estadounidense, desarrolló un sistema de sensores capaz de detectar las comunicaciones de radio que entablaban los barcos alemanes.

Con la ayuda de BAH, los aliados hundieron o destruyeron la mayor parte de la flota submarina alemana, recordó esta semana la revista Businessweek.

No obstante, fue tras los ataques del 11 de septiembre de 2001 que la inteligencia estadounidense aumentó de manera exponencial su uso de firmas privadas.

El entonces director del Comité de Inteligencia del Senado, Bob Graham, pidió "una relación simbiótica entre la comunidad de la inteligencia y el sector privado".

Y así ocurrió. Según una investigación de 2011 del diario The Washington Post, un total de 265.000 de los 854.000 empleados del gobierno con autorización de tener acceso a información secreta trabajan para el sector privado.

En esa investigación del Post se demuestra que, para ese momento, unas 2.000 empresas privadas eran contratadas por el departamento de Defensa.

Por qué existen

Para muchos, la existencia de estos contratistas privados es una necesidad.

"En todas las áreas de cualquier gobierno hay contratistas que prestan servicios que el gobierno no tiene dinero ni tiempo de desarrollar, sobre todo en campos como la tecnología de información y la administración de sistemas", le dice a BBC Mundo el experto en seguridad de la computación de la Universidad de Surrey Alan Woodward.

El también exasesor del gobierno de Reino Unido en seguridad cibernética apunta que "tras el final de la Guerra Fría la inteligencia estadounidense se redujo mucho, en parte porque ya no había quien le compitiera; y después del 11 de septiembre vio en el sector privado una forma de crecer con mayor rapidez y eficiencia".

Por otro lado, se dice que los contratistas privados son necesarios porque no todas las tareas implican un empleado de tiempo completo y, en teoría, es más barato.

Pero si bien hay una lógica en la contratación de estas compañías, algunos creen que su poder es excesivo. "Es inusual", dice Woodward, "que una empresa como BAH tenga un 99% de dependencia de los contratos que tiene con el gobierno".

¿Puerta giratoria?

Muchos hablan de un estilo de puerta giratoria que le ha permitido a compañías como BAH tener privilegios en la contratación del gobierno.

Bussinessweek anota que aunque BAH tiene un perfil bajo y hace poco lobby, "su habilidad en mantener esos contratos está asegurada por la lista de pesos pesados de la inteligencia que trabajan allí".

El actual director nacional de inteligencia, James Clapper, fue un alto ejecutivo de BAH; y el vicepresidente de la empresa, Mike McConnell, fue director de la NSA y asesor del presidente George W. Bush.

"Por la naturaleza de lo que hace el sector de la inteligencia, donde la confianza es fundamental, es inevitable que el círculo de personas contratables sea pequeño", dice Woodward.

"Parte de lo que demuestra el caso de Snowden", explica, "es que la inteligencia debe llevar a cabo dispendiosos y costosos procesos de selección para poder confiar en las personas que contrata y de ahí que sea un círculo pequeño".

Pero Mike Rispoli, quien habló con BBC Mundo en representación de Privacy International, una organización no gubernamental que lucha contra la intromisión estatal y corporativa en la vida privada, disiente: "Entre sus conocimientos y conexiones, estas firmas se valorizan y crean círculos viciosos donde el gobierno se vuelve dependiente del sector privado en su campaña de espiar a la gente".

El caso Snowden puede ser un punto decisivo en lo que se refiere al papel de las empresas privadas en la inteligencia estadounidense. La pregunta es si las volverá más secretas y cerradas o más abiertas y sujetas al escrutinio público. / BBC Mundo.-


Más sobre el tema Prism y los programas de vigilancia en éste blog.

Tanto escándalo sobre Prism, ¿se olvidaron de ECHELON y tantos otros?

PRISM logo. Visto en Wikipeda

En junio del año pasado publiqué aquí un post con el título Vigilados, como en "Enemy of the State", que comienza con la oración "Hablando de "amenazas a la privacidad", sistemas de vigilancias y yerbas afines".

Hoy lo traigo a colación en relación a todo éste escándalo que se está montando tras el "descubrimiento" de Prism, un programa de vigilancia electrónica calificado de alto secreto, a cargo de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos desde 2007, y denunciado la semana pasada por los diarios The Guardian y The Washington Post tras las revelaciones de un ex contratista de la CIA, que trabajó para una gran empresa contratista, Booz Allen Hamilton, se dedica a la prestación de servicios de consultoría de gestión y tecnología para el gobierno de Estados Unidos.

Se debe tener presente que la tecnología avanza de manera extraordinaria, estamos insertos en un cambio de época, y tras el tema seguridad se han realizado muchas concesiones que de alguna manera afectan nuestra privacidad.

Hay que tener claro que es una tendencia que se potencia luego del ataque al WTC en 2001, pero se inició varios años antes. Alguna vez se habló de ECHELON, considerada la mayor red de espionaje y análisis para interceptar comunicaciones electrónicas de la historia, de la cual se ha señalado que tiene sus orígenes en la guerra fría. La existencia de ECHELON fue hecha pública en 1976.

Cerca del final de los 90' se conoció la existencia de Carnivore, un sistema implementado por la Oficina Federal de Investigaciones (FBI), diseñado para monitorear las comunicaciones electrónicas y correos electrónicos. El software se instalaba en los proveedores de acceso a Internet y, tras una petición proveniente de una instancia judicial, rastrea todo lo que un usuario hace durante su conexión a Internet. Para el año 2005 había sido sustituido por el software comercial mejorado conocido como NarusInsight, según se informó (Foxnews.com. Associated Press. 2005-01-18 . Consultado el 2008-10-29). El sistema es un producto de Narus, una compañía estadounidense que produce sistemas de vigilancia masiva.

La verdad es que se podría hablar largo y tendido de todo lo que hay dando vueltas desde hace ya muchos años en función de la seguridad. En fin, como ya lo dijimos "Nada nuevo bajo el sol"

La seguridad y como se la establece es un tema que se debe discutir pero con responsabilidad, conocimiento, y en ámbitos correctos. Todos deberían evaluar bien que es lo que se informa y como se informa, porque no se debe contribuir a la paranoia y al pánico.

Coincido con lo que señalan que "la gente común" no tienen nada que temer de éstos sistemas de espionaje, los ciudadanos que no hemos hecho nada malo no tenemos nada que temer, y lo señalo con convencimiento.

Post relacionados:

• Algunos temen más a los ciberdelincuentes que a los gobiernos y/o compañías de Internet. 12/06/2013.
• Sobre los programas de vigilancia. 11/06/2013.
• Vigilancia gubernamental. 14/12/2012.

Ciberseguridad: amenazas persistentes pero irreconocibles

Imagen: "Ciberseguridad" de Jorge S. King
©Todos los derechos reservados

Se complica el panorama entorno a la ciberseguridad a nivel mundial. No sin sentido dos de los principales "esquemas" lideres en el mundo, como lo son Estados Unidos y la Unión Europea, están perfeccionando sus estrategias de ciberseguridad.

En EE.UU., el presidente de Estados Unidos, Barack Obama, luego de anunciarlo en el discurso sobre el Estado de la Unión, firmó un decreto con fuerza de ley de ciberseguridad.

En la Unión Europea, la Comisión Europea, junto con la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, ha publicado una estrategia de ciberseguridad acompañada de una propuesta de Directiva de la Comisión sobre la seguridad de las redes y de la información.

Y no pocos países tienen en sus agendas éste tema en carácter prioritario con la consigna de seguir el consejo de utilizar criterios militares para enfrentar los ciberataques, y preparar equipos especializados para ello.

Hoy leyendo noticias respecto del tema destaque dos que fueron publicadas por DiarioTi en éstos días:

• Las amenazas persistentes avanzadas se hacen irreconocibles.- "Los fabricantes de seguridad se enfrentan a un panorama de amenazas muy hostil y duro, tal y como se pone de manifiesto desde Trend Micro, desde donde subrayan que, en esta última etapa, “nuestro principal objetivo es ser capaces de detectar y mitigar las cada vez más conocidas como Amenazas Persistentes Avanzadas (APT)”. Este tipo de amenazas se caracteriza por ser capaces de perdurar en el tiempo (infectando una máquina), poder aprovecharse de vulnerabilidades desconocidas oficialmente (lo que las hace pasar desapercibidas) y, sobre todo, tratarse de amenazas dirigidas contra un objetivo muy específico (habitualmente los recursos de una compañía). El principal fin de este tipo de ataques es el espionaje, principalmente empresarial, gubernamental y militar, obteniendo y manipulando información contenida en sus sistemas, más que atacando a objetivos físicos". Por DiarioTi.
• Hackean a gigante de la seguridad informática.- "Al menos 20 estados federados de Estados Unidos, servicios de inteligencia y ministerios son clientes de Bit9. Bit9 es una empresa estadounidense que proporciona servicios y productos de seguridad informática a las autoridades de ese país y, al menos, a 30 de las 100 mayores empresas estadounidenses. El viernes 8 de febrero, la empresa admitió haber sido objeto de un ciberataque que habría afectado su producto más relevante: tecnologías de contención de malware e intrusiones". Por DiarioTI.

Ante éste panorama y pensando localmente, más aún tras los últimos papelones sucesos que afectaron websites oficiales de Argentina como el del Ministerio de Defensa, de la Policía Federal, de la Provincia de Buenos Aires y del INDEC, uno no puede dejar de preguntarse nuevamente ¿estamos preparados? ¿hay equipos técnicos que se estén preparando adecuadamente, en el marco de una política de estado, para afrontar estos peligros y defender el e-government y el comercio electrónico que estamos desarrollando? y ¿hay algún avance en la necesaria adecuación del marco jurídico?.

Todas las fotografías con Todos los derechos reservados por Jorge S. King© 2007-2013 Absténgase de utilizarlas.

Sobre CISPA, una iniciativa para regular Internet

Foto de Roland Zumbühl.
Visto en Wikipedia.

Luego del freno de las leyes SOPA y PIPA, avanza una nueva iniciativa que apoya la "ciber-seguridad" que pretende otorgar facultades a las empresas poveedoras de servicios sobre Internet para espiar a los usuarios tras la figura de 'ciber-amenaza'.

El tema es que los esfuerzos corporativos y gubernamentales para regular Internet siguen adelante, el Congreso estadounidense está estudiando la aprobación de una nueva ley que facultaría a las empresas, según sus detractores, espiar la actividad online de los usuarios.

El proyecto de ley llamado Cyber Intelligence Sharing and Protection Act CISPA (Ley de Intercambio y Protección de Información de Inteligencia Cibernética), pretende otorgar facultades a empresas para monitorear la actividad de los usuarios cibernautas que "consideren sospechosos" de infringir leyes de derecho de autor, sin la necesidad de obtener una orden judicial.

En resumen, ésta ley busca fomentar el intercambio de información y el desarrollo de herramientas de monitoreo entre los actores privados de la Web y las autoridades, otorgando mayores facultades de acceso a los datos gestionados por dichos privados (como el correo electrónico, o la información en redes sociales) a la comunidad de inteligencia. Se fundamenta, y se limita, en la necesidad de aumentar la protección contra ciber-amenazas y reforzar la protección de la información gubernamental y la propiedad intelectual en Internet.

Ésta nueva iniciativa fue presentada por el republicano Mike Rogers y el demócrata C. A. Ruppersberger a finales de 2011, cuenta con el apoyo de por lo menos 100 legisladores, también cuenta con el apoyo de muchas importantes empresas, entre las cuales está Facebook. Y según los detractores de ésta ley, se trata de una forma de espionaje corporativo. Y la Electronic Frontier Foundation EFF señala que "compañías como Google o Facebook podrían interceptar emails, compartir copias entre ellas y/o el gobierno, modificar esas comunicaciones para prevenir que lleguen a su destino".

La Cámara se inicia 23 de abril en lo que se ha denominado "Semana de la Seguridad Cibernética", y una vez más, los activistas de Internet están preocupados que el Congreso se extralimite, que pueda estar por sobre las buenas intenciones.

Es la tercera vez en la que los legisladores estadounidenses tratan de aprobar una ley de regulación en Internet, luego de que la Stop Online Piracy Act (SOPA), que pretendía detener la piratería de contenidos legales en internet, y la PROTECT IP Act (PIPA), que quería registrar el contenido descargado en la red, fueran suspendidas en meses pasados.

El gobierno de Estados Unidos ha señalado en un comunicado que el proyecto no es una amenaza como para ser vetado, aunque deberá “preservar la intimidad y las libertades civiles”, ante todo tendrá que resguardar la privacidad de los usuarios y la información confidencial asociada a estos.

Repito algo ya señalado en éste espacio respecto a mi posición a los temas de propiedad intelectual y seguridad, considero que se deben respetar las dos. Si alguien desarrolla un producto con fines comerciales, se debe respetar esa posición, pagando el producto y respetando las condiciones de uso del mismo. Considero que de esa manera se apoya a la consolidación de un circulo virtuoso en donde tanto el desarrollador como el usuario se beneficia y se aporta al crecimiento, tanto de la industria como de la economía. También apoyo al desarrollo de productos libres, no propietario.

Insisto, el tema seguridad es un asunto delicado, considero que debe haber seguridad, se necesita, debemos estar resguardados ante las acciones delictivas, y se debe garantizar la seguridad jurídica. Considero que los estados deben necesariamente buscar desarrollar herramientas jurídicas comunes que protejan, a la industria y a los usuarios, de acciones ilegales.

El gran tema en éste asunto pasa en validar o no, si se "sacrifica la privacidad en el nombre de la seguridad". Como están las cosas es muy difícil definir una posición. Depende da cada uno.

Post relacionados

• Un escenario de conflicto en el ciberespacio es cada vez más factible. 15/04/2012.
• Comprar armas cibernéticas. 13/04/2012.
• ¿Guerra digital contra la censura? mi opinión. 20/01/2012.
• Dos posiciones que afectan seriamente a Internet. 17/11/2011.

El control de los correos de los empleados

Ayer, en un post que publicó Marta Salazar en su blog Alemania: Economía, Sociedad y Derecho, comentando sobre "Mails privados en el lugar de trabajo" opinaba que "de acuerdo a la legislación, a la jurisprudencia de los tribunales y a la costumbre (una de las fuentes del derecho) alemanas, usar la conexión internet desde el lugar de trabajo para fines privados, no es permitido", y daba su posición al respecto.

Le comenté que en Argentina, a partir de la promulgación de la ley de delitos informáticos que sancionó el Congreso Argentino (consultar aquí), en junio del 2008, las empresas deben poner en práctica y comunicar internamente una política de privacidad que en forma clara y definida, informe a sus empleados cuáles son los límites en el uso de las herramientas tecnológicas de la empresa, y cuáles son las consecuencias.

Hoy llega la noticia que "el Eduskunta (Parlamento finlandés) aprobó una polémica ley que autoriza a las empresas y organismos públicos a investigar los registros del correo electrónico de sus empleados para evitar la filtración de secretos industriales".

"El nuevo texto legal fue bautizado como Ley Nokia, debido a la presión del fabricante finlandés de teléfonos móviles para su aprobación, después de sufrir varios presuntos casos de espionaje industrial".

"En la votación celebrada este miércoles, tras más de dos años de trámites, la nueva ley recibió 96 votos a favor, principalmente de diputados de la coalición gubernamental de centro-derecha, y 56 votos en contra". iProfesional.com.

Como comenté en el post de Marta, en lo personal creo que el tema es definir un criterio válido que debe ser compatible, con las prioridades e intereses de la empresa, pero adecuado a los tiempos que corren en el uso de las TICs. Seguramente será muy discutido en los ámbitos donde se pretenda imponer una norma semejante.

¿Se modernizan los Servicios?

Seguimos en el tema, parece que los buenos muchachos de los servicios de inteligencia en varios países están modernizándose. Así lo cuenta Juan Freire en su blog

"Las agencias de inteligencia tratan de adaptarse a las nuevas realidades, pero en algunos casos “la realidad” que empiezan a descubrir hace ya bastantes años que se ha vuelto obsoleta", comenta.

Freire hace referencia al New York Times, que publico un artículo sobre Open Source Spying, en el cual se explica como las diversas “agencias de tres letras” dedicadas a la “inteligencia” en Estados Unidos (especialmente la DIA, Defense Intelligence Agency, el FBI y la CIA), están sufriendo los cambios.

También comenta la publicación del diario español El País. En un artículo del mismo, Espías “cum laude”, explican que el Centro Nacional de Inteligencia "ha decidido acercarse al mundo universitario para reclutar personal y, especialmente, para buscar la colaboración de la comunidad académica en su trabajo de espionaje".

Juan Freire, tal como lo comenta en el post, ya ha publicado dos post anteriores donde enlaza con otros posts y artículos que tratan esta cuestión: Cómo usa la CIA los blogs y los wikis para la gestión del conocimiento: ¿espionaje open source? y Cuando la inteligencia gubernamental se hace social y digital, ¿es analógico el futuro de la libertad?.

Interesante ¿no?