Zero days – Security leaks for sale – Docu – 2014

Mientras navegamos
tranquilamente por Internet… los hackers más inteligentes
la escanean… buscando agujeros de seguridad… y convierten
estas filtraciones secretas… en pilares para armas cibernéticas… que venden
por cantidades de dinero astronómicas: a organizaciones criminales,
pero también a servicios de seguridad… y ciberejércitos… permitiéndoles infiltrarse
sin ser vistos en tu ordenador… tu cuenta bancaria
e incluso en centrales nucleares. Los hackers padecen una fiebre del oro
por esos lucrativos agujeros de seguridad. Ellos llaman a este oro "día cero".
Esto es lo que verán a continuación. Si hace 10 años alguien me hubiese dicho
que en 2014 sería común y corriente… que gobiernos democráticos occidentales… creasen virus,
troyanos y puertas traseras… me hubiese sonado a ciencia ficción. Al hablar de mercados gris y negro,
hablamos sobre lo que es legal o no. Todo esto es legal actualmente. La venta de exploits es actualmente legal. En 2007 o 2008, le vendí un virus
al gobierno de los Estados Unidos… por unos 50.000 o 80.000 dólares. Esto es VPROs Backlight. Bienvenidos al ciberespacio. días cero Durante años…

Hemos admirado al ciberespacio
como un mágico mundo nuevo. Hechizados
por sus infinitas oportunidades online… no nos preocupamos demasiado
por nuestra seguridad virtual. Mientras estamos despertando de ese sueño
gracias a las revelaciones de Snowden… una pequeña comunidad online
mantuvo la calma en los últimos 20 años… y prestó mucha atención… cuando nuestra infraestructura digital
se desarrollaba. Ha comenzado
una Edad de Oro para los hackers… que buscan en Internet los días cero: misteriosos agujeros de seguridad… que forman
la materia prima para ciberarmas. En la víspera de la mayor conferencia
de hackers del mundo… la DefCon, en Las Vegas… los hackers aficionados al tiro
se reúnen en el desierto. ¿Está todo claro? Las ciberarmas pueden robar tecnología,
desviar políticas… robar nuestra privacidad,
saber cosas sobre ti que no deberían. Mientras la "Internet de las cosas",
llamémoslo así… se vuelve más común,
la realidad de este tipo de cosas…

Y la seguridad de los ordenadores
puede invadir el mundo físico. Cuando hablamos de coches inteligentes
que tienen sistemas "fly drive"… si no lo hacen bien,
si no aíslan esos sistemas conectados… la realidad de armas y ciberarmas
capaces de matar converge. Y creo que nos acercamos
más y más a esa realidad. Ahora somos conscientes
de que nuestros datos personales… información bancaria y privacidad
en Internet no son totalmente seguros. Pero ¿podría nuestra seguridad física
ser también hackeada en un futuro? ¿Cómo de grande es el espacio
entre armas reales y los hackers… que aprietan el gatillo online? Dentro del sombrero, hay un rúter wifi. Si puedes conectarte al rúter
y cargar cualquier página web… te da un tablero
y una lista de 40 usuarios y contraseñas. Si parcheas uno,
puedes meterte en el tablero… y hacer que el sombrero
diga lo que quieras.

La DefCom es la mayor conferencia mundial
de hackers. Esta es su 22 edición. Creo que esperan 20.000 personas este año. Son un grupo de hackers buenos,
malos o indiferentes. Se cree que los hackers son un peligro
pero la mayoría somos sombreros blancos: usamos nuestro talento para convertir
el mundo en un lugar más seguro. Joshua Corman es un pionero
dentro de la comunidad de hackers. Fundó "I Am The Cavalry"… un movimiento
que intenta motivar a los hackers… a usar su talento
para hacer software más seguro. Creo que esto es un barómetro
de hacia dónde se dirige la sociedad…

Porque es la mezcla
de una sociedad de cultura tecnológica… que muestra que estamos teniendo
un mayor impacto en geopolítica… políticas públicas, seguridad
y cosas como dispositivos médicos… nuestros coches, casas,
nuestra infraestructura pública. Y lo que una vez fue una afición es ahora
una parte increíble de la sociedad. Y solo ahora lo estamos entendiendo… y empezando a actuar
y a salir a tomar esa responsabilidad. La piratería es una forma de poder. Y ha estado mucho tiempo bajo el dominio
de la comunidad de hackers exclusivamente. Ellos eran los magos primitivos… sin mucha motivación por usar su talento
políticamente o para cualquier otra cosa. La primera generación de hackers
ha alcanzado la mayoría de edad. Solían ser nerdos inofensivos,
pero ahora pueden afectar a la sociedad. A finales de los 80, desarrollaron
su talento creando el primer malware: software que controla tu sistema operativo
de una forma divertida. Este malware
era claramente visible e inofensivo… porque se quitaba
cuando reiniciabas tu ordenador.

Ahora, 25 años después, toda la sociedad
está conectada a Internet: agua, energía y redes industriales,
todos tienen una dirección IP… lo que los hace accesibles a los hackers. La seguridad en la red y la física,
dominios tradicionalmente separados… lentamente comienzan a unirse. Y por primera vez, el malware
puede traer consecuencias desastrosas. Todas nuestras fuentes de energía
pueden ser desconectadas. Nuestros sistemas, controlados. Los hospitales, privados de energía,
dejarían de funcionar. No es un "y si", es un "cuándo". La infraestructura fundamental
se digitaliza increíblemente rápido. La pregunta es: ¿Podemos mantenerla segura
a esa misma velocidad? Ronald Prins es criptógrafo…

A veces descrito como
"el nerdo más poderoso de Holanda". Su compañía, Fox-IT… protege la información confidencial
de grandes compañías… y encripta los secretos de estado
del gobierno holandés. Internet se ha convertido
en el pilar de la economía holandesa. Si no funciona,
todo se queda en punto muerto. Las tiendas no se abastecerán.
Las autovías se colapsarán. Los controles de velocidad no funcionarán. Todo depende
de unos pocos circuitos cruciales. Estos deben estar siempre operativos. Mi mayor miedo es que ni siquiera sabemos
lo relevante que es Internet. No sabemos qué navegador,
qué sistema operativo de Windows usamos. Si un eslabón falla en esa larga cadena
que hace que todo funcione… eso afectará a muchas otras cosas. Pero no hay ningún diagrama de flujo
que nos ayude a predecir… como afectarán unas cosas a otras. ¿No hay una visión de conjunto completa?
– No, y nunca la tendremos.

Antiguamente decíamos:
"Tracemos todo correctamente… y hagamos pruebas
para comprobar que funciona". Pero es un entorno tan dinámico.
Cambia cada dos segundos. Así que se necesita
una estructura diferente. Y quizás no deberíamos luchar
por la seguridad absoluta. Es mejor poder ser defendible. Aceptar que las cosas irán mal
y que no sabrás por qué. Pero asegúrate de que no habrá
una reacción en cadena. Esta mañana tuvimos
un bot de fraude de clic.

En realidad, la semana pasada
surgió dos veces más… con diferentes clientes.
Así que se le hizo un seguimiento rápido. Jóvenes hackers vigilan la red… e intentan detectar
malware realmente peligroso… entre las miles de irregularidades. No existe la seguridad perfecta. Si pudiese proporcionar
una seguridad al 100%, lo haría. Pero no puedo, así que no lo haré. Mikko Hyppönen es
un famoso finés experto en antivirus… que viaja por todo el globo
intentando combatir el malware. Cuando comencé a analizar virus… se trataba tan solo de niños
creándolos por diversión. No obtenían nada de ello,
solo era un reto. Sobre el 2003, 2004 empezó a verse
el primer malware lucrativo… que inicialmente eran solo spammers
usando botnets para enviar spams… cooperando con creadores de malware. Y entonces fue cuando estos aficionados
se dieron cuenta… de que podían usar
sus habilidades para hacer dinero. Y empezamos a ver… un cambio de aficionados a colaboradores
con spammers y otros delincuentes online. Y en un par de años,
los aficionados desaparecieron. Todo el malware que vemos hoy está creado
por criminales o bandas de hackers…

O por los propios gobiernos. Señoras y señores, demos
una cálida bienvenida a Mikko Hyppönen. Gracias por estar aquí. Hablaremos sobre el papel de los gobiernos
como autores de malware. Si hace 10 años alguien
me hubiesen dicho… que gobiernos democráticos occidentales
crearían malware ofensivo… y los usarían contra gobiernos aliados,
me hubiese sonado a ciencia ficción. Pero eso es exactamente lo que sucede hoy.

Por ejemplo, la inteligencia británica
lanza ataques de malware… contra las telecomunicaciones belgas.
Cosa que sucedió. Probablemente no habríamos adivinado
lo activos que se habrían vuelto… los gobiernos en 2014,
creando malware ofensivos… para los ordenadores, teléfonos
y tabletas que usamos todo el tiempo. Una visualización en tiempo real
de los mayores ataques de malware… que están ocurriendo en el ciberespacio. Una guerra mundial
combatida con unos y ceros.

Mientras asumimos que estos ataques
no tienen consecuencias físicas… mapas como estos parecen videojuegos. Pero en 2010 quedó claro
que algunas de estas líneas de colores… podían ser armas poderosas,
con consecuencias en el mundo real. En junio del año pasado, se descubrió
un virus informático llamado Stuxnet… espiando bancos de datos
de centrales eléctricas… sistemas de control de tráfico y fábricas. 20 veces más complejo
que cualquier virus anterior… tenía muchas capacidades,
entre ellas, la de subir la presión… dentro de reactores nucleares
o apagar oleoductos. Y podía decir a los sistemas operativos
que todo estaba normal.

¿Qué pretendía apagar? El centrifugador
que gira materiales nucleares… en unas instalaciones en Irán. Stuxnet era un arma.
La primera hecha enteramente de códigos. Una ciberarma es un malware o software… que puedes usar para dañar un sistema. Se trata de algo más que de un software. Se trata también del modo
en que insertas el malware… dentro del sistema que quieres dañar. Se trata de la vulnerabilidad que usas. Y de ser capaz de orientarlo. El año pasado, el ejército holandés
empezó a entrenar a cibersoldados… para ser capaz de defender
y atacar a otros en el ciberespacio. Buenos días. Nuestro cuerpo especial
comenzó hace dos años y medio… a hacer Cyber
una parte esencial de Defensa. Comenzamos reforzando… nuestra capacidad defensiva,
nuestra protección.

Y ahora nos centramos
en implementar una ciberofensiva… como parte de las operaciones militares: usar nuestros recursos digitales
para interrumpir, afectar o destruir… los recursos digitales del enemigo. ¿Cuál es la definición
que Defensa utiliza para ciberguerra? Bien, es de este modo. Nosotros operamos como fuerzas conjuntas:
Ejército, Fuerza Naval y Fuerza Aérea. Y Cyber es parte de eso. No pensamos
en términos de una ciberguerra pura. Si me preguntas:
"¿Cuándo hablaríamos de un ciberataque?" Yo diría: "Si es algo similar
a un ataque armado convencional… queriendo decir
que implica daño físico real… y víctimas
y una interrupción en nuestra sociedad". Eso sería un ataque armado. Y eso justificaría una respuesta. Puede que no hayamos visto aún
una ciberguerra real… pero no es impensable
que pueda ocurrir en un futuro cercano. Infraestructuras cruciales
están expuestas.

Así que si quisieras cortar
el suministro de energía de la ciudad… o causar problemas de tráfico, se crean
daños como con el centrifugador… en la instalación iraní
a través de Stuxnet. No tendrá el mismo estallido
que un arma nuclear. Eso sería una equivalencia falsa horrible.
Pero es muy generalizado el punto… de que uno puede afectar esas cosas.
La conclusión es que estamos poniendo… tanta tecnología conectiva vulnerable
en tantos lugares… que nos dispone a la fuerza de voluntad
de cualquier enemigo potencial.

La naturaleza de este dominio,
la naturaleza de lo cibernético… es que la ofensa es realmente fácil. Realmente fácil. Y la defensa
es realmente complicada. Si estás en un evento deportivo
donde puedes marcar muchos goles… pero no puedes defender muchos goles,
piensa en un mundial… pero con una puntuación muy alta… es tu privilegio biológico,
es tu imperativo de ser realmente bueno… metiendo goles. Así que trato de verlo
de forma menos moralista. Este campo de batalla
favorece los ataques. Supone una abstracción de la realidad.
Es muy diferente… a cuando, hace unos siete años, un piloto
podía ver lo que estaba haciendo. O un soldado con su fusil, que puede ver
en lo que está metido. Hasta un punto. Eso está cambiando en el mundo real,
pero en el mundo virtual también. No sabemos qué hay ahí fuera. Flame,
el malware que afectó a Windows… estuvo cinco años sin ser detectado.

¿Qué hay actualmente indetectable?
No sabemos, no lo detectamos. El ciberespacio es como el Salvaje Oeste,
con el malware campeando a sus anchas. Este mal invisible
puede dañar nuestro ordenador… aprovechándose de sus agujeros
de seguridad. Los hackers buscan esto. Día cero son filtraciones en el sistema
de seguridad de valor incalculable. Se conoce así porque ninguna persona
de seguridad sabe de su existencia. Los hackers usan esas filtraciones
como llaves maestras digitales… permitiéndoles infiltrarse sin ser vistos… en tu ordenador, su cuenta bancaria
e incluso en centrales nucleares. Una vez dentro, sin que el sistema detecte
nada, pueden instalar cualquier malware. Se estima que Stuxnet, el virus que atacó
a centrifugadoras nucleares iraníes… usó cerca de 20 exploits de día cero.

Cuando hallas una filtración… y eres capaz de programar
un código exploit para aprovecharla… tienes en tus manos un arma muy potente,
en función del software vulnerado. Si es software de uso masivo
como Explorer, Firefox o un lector PDF… ese arma es capaz de entrar
en un ordenador que use ese software. Las opiniones de los hackers sobre cómo
usar esa información son diversas. ¿Lo hacemos público
para que todo el mundo lo sepa? ¿Informamos al fabricante
para que arregle la filtración? ¿O vendemos el código exploit
al mejor postor? Cada hacker es un mundo. Antiguamente, lo máximo a lo que
un investigador de seguridad aspiraba… era a un reconocimiento por descubrir
y notificar una vulnerabilidad.

Y ese reconocimiento se consideraba
una divisa, un trampolín para su carrera. Era un beneficio. Eso ha sido sustituido
por una compensación económica por virus. Sabemos que el software
tendrá siempre vulnerabilidades. Mientras el ser humano programe,
los códigos tendrán defectos. Cuando pienso en el mercado
de las vulnerabilidades… veo un mercado blanco, gris o negro. Al hablar de mercados gris y negro,
hablamos de lo que es legal o no. Todo esto es legal actualmente. La venta de exploits es actualmente legal. En el mercado blanco se compran
vulnerabilidades para reforzar el sistema. El vendedor compra directamente o a través
de un bróker de forma altruista… para que lo arreglen
y proteger a los usuarios. Las tarifas son inferiores
a las de los otros dos mercados.

El mercado gris es una mezcla. Hay material que se vende
como información de vulnerabilidades. Otra parte se vende
como kits de exploits listos para usar. Es lo que llamamos exploits armados.
Y, obviamente, se usarán para ataques. El mercado negro es solo para los ataques.
Y las tarifas son las más altas. ¿Queréis hablar de la venta de exploits?
– No. Hablemos de ello.
– ¿Quieres comprar alguno? Sí, ¿dónde puedo comprarlos?
Empecemos por ahí. E-bay.
– E-bay. No, no voy a hablar
de la venta de exploits. ¿Por qué no? Mercado blanco, gris, negro.
¿Hay de todo en el mismo sitio? Por supuesto. Katie Moussouris juega un importante papel
en el mercado de exploits de día cero. Trabaja para HackerOne, donde los hackers
registran sus exploits a cambio de dinero. Esto se llama bug bounties y suponen,
en ocasiones, grandes sumas de dinero.

Las empresas de Internet quieren
que los hackers de sombrero blanco… hagan más seguro Internet. Y el campeón, ¡200.000 dólares! Un hacker de sombrero blanco
y con éxito… es el joven de 17 años, Oliver Beg. Ganó miles de dólares
buscando días cero para Yahoo. Oliver también piratea
bancos holandeses con regularidad… y pirateó la Agencia Tributaria Holandesa. Me interesaban los ordenadores… y luego aprendí a programar
y a buscar filtraciones en códigos. Así empezó todo. ¿Cómo aprendiste a programar? Estudiando códigos,
documentación y lenguaje de programación. Automáticamente captas cómo se hace.
Muchos de los lenguajes son parecidos.

Los dominas todos
y creas sobre ello. Muy útil. ¿Buscar estos agujeros es
parecido a programar o es diferente? Es ir descubriendo
lo que el programador olvidó. Necesitas conocimientos de programación
que van más allá que simples análisis… de cosas comunes, supongo. Puedes llegar muy lejos
con conocimientos de programación. Una web tenía una cesta de compra online
con un cupón de descuento. Oliver detectó un ataque
de día cero en el código básico… y descubrió unos datos falsos
que reducían su factura a cero dólares.

Pudo haber comprado gratis,
pero envió este vídeo a Yahoo… para ayudarlos a resolver
su vulnerabilidad. ¿Hiciste un vídeo para mostrarle
a Yahoo el agujero en su sistema? Sí, así es. ¿De dónde sacaste la idea
de meter esas cosas? De libros. Aquí tengo uno, por ejemplo. Mira. Te explica todo tipo de vulnerabilidades. Déjame ver. Este lo explica. Selecciona parte del usuario
cuyo nombre no sea ni este ni 1=1. Así consigues todos los usuarios. ¿Es piratería para tontos? El manual "Web Application
Hacker's Handbook".

Segunda edición. Oliver encuentra estos ataques
en grandes páginas web. Para ellos, lo siguiente es buscar
los ataques en softwares conocidos… con los que trabajamos. Por ejemplo,
un programa operativo o tu navegador. Esto es un ejemplo de lo que solía ser
un exploit de día cero. ¿La línea gris es la clave del exploit? Es lo que se conoce como carga dañina. La carga dañina es lo que ejecutamos
una vez que controlamos el software. Si lo comparamos con un análogo,
con un arma no electrónica… la carga dañina sería la ojiva nuclear. Podría explicarlo paso a paso,
pero nos llevaría todo el día… y aun así no entenderías todo. Esto lo resume en general,
en el sentido… de que los que son capaces de encontrarte
conocen las vulnerabilidades más simples. Hay cientos de miles
de estos investigadores en el mundo… pero los que pueden evitar
grandes programas de protección… son solo unos 1.000 en todo el mundo.

Ellos saben qué hacer
en los sistemas operativos y software. De esos 1.000, menos de la mitad
están dispuestos o son capaces… de trabajar con los buenos,
con los comerciantes y los defensores. Es un mercado muy escaso. Lo sabes… cuando buscas atraer a esos investigadores
para que trabajen contigo… o en el caso
del mercado blanco, con dinero… si intentas atraerlos hacia ti para vender
sus vulnerabilidades y su exploit. Existe una élite mundial
de unos 1.000 piratas informáticos… que pueden ser de sombrero blanco o negro. Se unen una vez al año en Las Vegas… en fiestas patrocinadas
por grandes empresas de Internet. Así conocimos al antiguo criptógrafo
de la Agencia de Seguridad Nacional. Charlie Miller pirateó el primer iPhone
y MacBook Air.

Es una autoridad cuando se trata
de los exploit de día cero. Si hago que tu ordenador
me mande un correo con tus fotos… he ganado,
no puedes discutirme que no lo hice. Por eso creo que es divertido.
No hay medias tintas… o te pirateo o no. Si lo hago, puedo demostrártelo
y me tendrás que escuchar. Por eso me gusta. No es tan emocionante como piensas
porque quizás tardas un mes de trabajo… y siempre estás cada vez más cerca
y llega un punto en que sabes que ganarás. Es una cuestión de tiempo. Y cuando pasa, te sientes feliz,
pero sabías que pasaría… así que no es "Dios mío",
no es como en la tele. No funciona así. Piratear son días y semanas de esfuerzo… y al final todo se junta y lo logras. Hay varias formas de ver
vulnerabilidades en el software. La manera más fácil es fuzzing…

Es decir, con eso envías
mucha información a un programa… y el programa debe decir cosas como: "Es incorrecto".
Y lo estás enviando al lugar equivocado. Dice: "Es incorrecto o no me sirve". Lo que no debe hacer es agotarse. Pero si mandas
demasiada información puede agotarse. Quizás esto solo pasa una vez
entre un millón, es algo extraño. Pero si mandas cientos de millones
de informaciones, ocurre más a menudo. Es una cuestión de envergadura. Si mandas
suficiente información bien elaborada… al final el programa acaba fallando,
a veces, de una manera inofensiva. Pero a veces, falla de una manera segura. Entonces, debes testarlo
durante un tiempo: días, semanas, meses. Cuando te funciona ya el ordenador
y te levantas todos los días: "Mira, nada ha cambiado". De vez en cuando dices:
"Mira lo que he encontrado". Tengo un gráfico divertido
que enseño a veces: mi factura de la luz. Puedes ver mi factura en línea recta,
luego rechacé mis fuzzers y subió… porque los ordenadores
están trabajando constantemente.

Hay una gran demanda de hackers capaces
de encontrar días ceros complejos. Pueden ofrecer sus servicios
a los del sombrero blanco, negro o gris. Los tres mercados son legales.
¿Qué ética usan para su elección? Yo no tengo problema en que la gente
quiera vender exploit a los militares… pero incluso, si es un uso indebido… ¿son los vendedores
o los investigadores responsables de ello? Lo hemos vendido… pero si su uso viola leyes internacionales
o principios morales… ¿por qué de repente es mi problema? ¿Tienes cinco minutos? ¿Tres?
– Sí, tengo tres.

¿Puedo preguntarte el nombre?
– Sí, soy Dan. Hemos hablado de la cultura
de la piratería y por qué se hace. La principal razón es ética,
el vender exploit al Gobierno. ¿Qué cambios hicimos
y cuáles deberíamos hacer? Bueno…
– No tiene que ser político. No, es un juego de envergadura. Por un lado, dices: "Si tengo esto… puedo venderlo
por 500.000 dólares o por un millón". Cuando manejas esas cantidades,
los motivos de la gente cambian. Porque si te digo: "Quiero que piratees
la NSA, toma cinco dólares"… tú dirías: "Estás loco, vete".

Pero si te digo que piratees la NSA
y tengo un camión lleno de oro para ti… te lo pensarías. Un camión lleno de oro… podría huir de muchas cosas
con un camión lleno de oro. Las cosas cambian rápido… cuando aceptas el dinero
que la gente pasa de un lado a otro. Se venderán virus. No importa a la gente que odies por ello
o si crees que son lo peor, lo harán. También la gente venderá armas
y matarán hasta que quieran.

Los virus van a existir y se venderán. A veces, describo la sociedad… como una sociedad que es capaz
de investigar en asuntos nucleares… sabiendo que crearán una bomba nuclear… porque creen que está bien,
por otros motivos. Y llegan a un acuerdo
en ese tipo de cosas. ¿Cómo hacemos
para que la mayoría nos defienda? Mira en los pasillos del Defcon… algunos se han dado cuenta
del poder geopolítico que tienen… o del papel que pueden jugar
en cosas como esta. El despertar no se ha dado aún. El año pasado, tras la filtración
de Snowdon, estaban motivados. Se preocupaban
por la censura y la seguridad. Crearon nuevas herramientas. Tenían
conversaciones privadas más seguras. Esto era la minoría. A veces, pienso en esto
como un cómic: los Mutantes o X-Men. Los X-Men se crearon
para tener un uso positivo de su poder.

Y Magneto creó a los Mutantes… para ser el siguiente paso
de la evolución… sin meterse en los típicos cómics. La razón por la que decidí hacer
"I Am the Cavalry"… es para dar un uso constructivo
a nuestro poder: la comunicación. La alternativa podría ser peor. Los piratas informáticos tienen poder… y Joshua quiere usarlo para el bien…

Motivando a los hackers
no solo a crear softwares seguros… sino a desarrollar
equipos médicos, aviones y coches. ¡Buenos días!
– ¡Buenos días! En lo que estamos atascados, pero funciona
con las autoridades y el público… es la pura verdad.
Nuestra dependencia a la tecnología… crece más de lo que la protegemos. Queremos asegurarnos de que el impacto
que tiene en la vida sea de confianza. No significa que lo podamos arreglar,
pero haremos todo lo posible…

Colaborando con industrias y asegurándonos
de conseguir estos objetivos. Pero, te gustó, ¿no? ¿Te gusta el bullpup también?
– Sí, pero pesa. Sí, pero no te golpea mucho. No tiene un gran retroceso.
– No, para nada. Mi mujer usaba mi Glock 40 y le gustaba. Empezó a usar el 45 y se enamoró de ese. Ahora tiene una del 45. La parte filosófica
de todo esto son estas armas… con las que te enfrentas a los malos.
No siempre se sabe quiénes son. La tecnología por sí misma es neutral. No hace nada. Lo que tú hagas
con ella determina lo bueno o lo malo. Con las armas pasa igual:
son objetos que lanzan proyectiles y se usan para el bien o mal. Puedes defenderte,
puedes cazar para comer… puedes hacer cosas horribles… o puedes ser el Gobierno
y hacer muchas cosas horribles.

Pero sin ellas,
estás indefenso frente a todo. Y no solo en tecnología e Internet,
en mi opinión, las armas también. ¿Tienen los holandeses
un arsenal de armas cibernéticas? Los países no tienen esos arsenales. Los sistemas digitales son
un conjunto de softwares. Series de unos y ceros. Y ese software tiene vulnerabilidades. Algo falla en su seguridad. Si quieres explotar eso,
necesitarás información… sobre el sistema al que quieres atacar. Estamos hablando de ataques de día cero. Se han detectado vulnerabilidades
en los días cero… pero no se han arreglado.

¿Es lo primero para un arma cibernética?
– Sí. ¿Tienen los holandeses días cero? No puedo hablar de eso. Se debe… a que sabemos que otros países
tienen días cero a su disposición. Sabemos que están negociando. Si quieres atacar un sistema… pero no tienes información
sobre sus vulnerabilidades… tendrás que mirar
en las no detectadas. Los días cero. Los días cero tienen
una vida útil limitada… porque el sistema será actualizado… y el agujero desaparecerá. Es muy probable que Defensa los tenga. Si quieres atacar un sistema,
tienes que usar las no detectadas. Los días cero son
un tema controvertido que usan… los servicios de inteligencia
y los ministerios de Defensa…

Para instalar softwares de vigilancia
y construir armas cibernéticas. Hay una paradoja curiosa
en el ciberespacio: para un mundo más seguro,
usan los agujeros de seguridad… para crear softwares inseguros. El gobierno de Malmö
ha creado un mercado… para vulnerabilidades,
exploits y días cero. El gobierno nos atacará como sea… para saltar de la red
a los sistemas propuestos. Y ya que son incapaces de crear
suficientes exploits por ellos mismos… están subcontratando su desarrollo
a otros, asesores externos en defensa… y también a pequeños negocios
que crean vulnerabilidades… o encuentran vulnerabilidades
y crean exploits para ellos. Convierten en arma esos exploits
y los venden a diferentes gobiernos. ¿Cómo de grande es su industria?
– Nadie lo sabe con certeza. Está en las decenas de millones cada año. Lo sabemos mirando
las listas de precios que tenemos. Este es un servicio
de suscripción a exploits… que te garantiza al menos
25 días cero al año… a un precio de 2 millones y medio.

Es un buen trato, estoy seguro. Una industria mundial
de seguridad informática… cubre las necesidades de los gobiernos
de controlar el dominio digital. Provee complejos productos… en los que los día cero
tienen un papel importante. Uno de los negocios
más controvertidos es VUPEN… una empresa francesa
que abiertamente dirige… un negocio de exploits de días cero. Al vender el exploit, no hay garantía
de que se usará para ciertas cosas. Y ¿eso no les preocupa? No, porque eso no es verdad. Los exploits
no matan. Los ordenadores no matan.

Si un régimen represor
quiere matar gente… tienen métodos antiguos.
No necesitan exploits de días cero. Aunque trabajé de 2000 a 2005
para la Agencia de Seguridad Nacional… y realmente ya no sé qué sucede allí,
no puedo hablar de gobiernos y exploits. Vale. ¿Firmaste eso?
– ¿Cómo? ¿Firmaste eso, no hablar sobre ello o…? No específicamente… pero no puedo decir nada
relacionado con lo que hice con ellos. Vale. Pero ¿le vendiste a gobiernos o…? Sí. En 2007 o 2008, le vendí un virus
al gobierno de los Estados Unidos… por unos 50.000 o 80.000 dólares… y escribí sobre ello porque pensé… que todos saben que eso ocurre
pero, por entonces, nadie hablaba de ello. Así que pensé
que era importante que se supiese… que hay gente buscando virus
y vendiéndolos para ganar dinero… pero no los arreglan. Y yo quería al menos
sacarlo, así que escribí ese artículo…

Sobre el virus, y cómo no lo arreglaron
en mucho tiempo y todo eso. ¿Qué opinas de compañías vistas
como controvertidas como VUPEN? ¿Qué crees?
¿Tienes alguna postura ética sobre eso? No. Creo que si queremos sacar
a VUPEN del negocio… debemos hacer sofware seguro. Si ellos no pueden hackear
nuestras cosas, no pueden vender nada. VUPEN es una distracción. No os preocupéis
por ellos. Ellos harán sus cosas… pero si nosotros creamos
software seguro…

Los sacaremos del negocio
de forma natural. Centrémonos en eso. Una solución simple
para cualquier amenaza online… sería crear software realmente seguro. Intentamos lograrlo
actualizando constantemente… nuestros móviles, tabletas y ordenadores. Aunque las autoridades fomentan esto… esas actualizaciones de seguridad
son un problema para ellos… porque un software seguro significa
perder posibilidades de detección. Para que las naciones puedan hackear… algunas empresas de seguridad
juegan al gato y al ratón… con los grandes proveedores de software. Hoy, tienes nuevos retos. La información confidencial es transmitida
a través de canales encriptados. A menudo, la información que quieres
no es transmitida en absoluto. Tu objetivo puede estar
fuera de tu dominio de seguimiento. ¿Es suficiente un seguimiento pasivo? Necesitas más. Quieres mirar
a través de los ojos de tu objetivo. Tienes que hackear a tu objetivo.

Digamos que hablamos de un ordenador. Podrías ver todas las teclas presionadas
que usó el operador. Podrías meterte en su memoria,
ver los documentos almacenados allí… la información disponible en esa máquina. Si utiliza Skype,
podrías controlar esa llamada. Podrías encender la cámara, el micrófono,
sin que el sujeto lo supiera. Oír y ver lo que ocurre
frente al ordenador. Todo eso es posible.
Así pues, es un sistema muy poderoso. Y reconozco que mucha gente
encuentra esto aterrador. Pero también es una capacidad
que está disponible para los malos. No solo nosotros podemos hacerlo. Está disponible
en diferentes páginas web ilegales… que proveen este tipo de capacidades
a criminales y terroristas.

Y si está instalado en mi dispositivo,
¿yo no me daré cuenta? Ese es el objetivo de los hackers. Que quien lo está usando, el sujeto
que es objeto de investigación no lo sabe. Además del software de vigilancia… que opera invisiblemente
en tu ordenador… la industria de seguridad informática
ofrece fuzzers a los gobiernos: costosos softwares que pueden rastrear
días cero automáticamente… mientras tu antivirus
va buscando a ciegas en la oscuridad. Como consumidor, creo que me he asegurado
usando un programa antivirus. ¿Cuál es la diferencia
con ese tipo de programas? Los programas antivirus intentar detener
vulnerabilidades ya conocidas. Si yo soy un hacker
y no quiero ser descubierto… no voy a usar una amenaza conocida,
sino una desconocida y crear un exploit. Así que nosotros encontramos
lo que los hackers usan… para hallar amenazas desconocidas
y crear exploits de días cero…

Que nadie conoce
hasta que alguien lo encuentra. ¿Tiene algún código ético
de a quién vende? Sí, vendemos
a grandes empresas, gobiernos… militares que quieren proteger sus redes,
infraestructuras cruciales. No le vendemos a cualquier hacker
que viene a nosotros. Así que tenemos esos clientes,
sobre todo organizaciones muy grandes. ¿Podrían los militares usar su producto
para desarrollar productos ofensivos? Podrían. Lo que nosotros encontramos
es la materia prima de ciberarmas. Si quisiera comprar
el paquete completo, ¿cuánto valdría? Si quisieras todo lo que tenemos,
hablaríamos de dos millones de euros. Más o menos. Probablemente un poco más. Estamos en mitad
de una carrera de ciberarmas. Cualquier organización militar
que tiene la capacidad…

Está apilando esa capacidad
de lanzar ciberataques… en caso de necesitarlo
para una futura crisis. Y en ese sentido, estamos
en medio de una guerra fría cibernética. No creo que la red pueda ser controlada. Y me temo que el intento de hacerlo
solo empeorará las cosas. Estás aquí en la DefCon,
la mayor conferencia de hackers. No importa qué gente intente controlarla,
siempre habrá modos de minarla. El ministro holandés
de Seguridad y Justicia… el señor Ivo Opstelten. La sociedad holandesa
debe ser capaz de disfrutar totalmente… los beneficios de la era digital
de manera segura. Tenemos que colaborar.
Solo con nuestros socios…

Podemos asegurar que Holanda
es segura y se mantiene segura. Offline y online. ¿Puede el Gobierno
protegernos de lo cibernético? ¿O deberíamos confiar
en jóvenes hackers éticos? Es difícil de predecir qué ocurrirá. Tradicionalmente, el Gobierno
se encarga de nuestra seguridad física. Pero ¿será capaz
de asegurar nuestra seguridad digital? Hay otras formas de perturbar
su entendimiento de una situación. ¿Pueden los civiles estar seguros
en lo referente a Internet? ¿Podemos esperar
esa seguridad de ustedes, de Defensa? Defensa no es
un cuerpo de bomberos digital. No somos responsables… de la seguridad
de vuestros móviles o portátiles. Eso es cosa vuestra. Todos los holandeses
deberían asegurarse… de que su entorno digital es seguro. La charla debe ir hacia cuál es el papel
del Gobierno protegiendo al ciudadano. Las cosas se pueden poner
muy feas en muy poco tiempo. Y esa es una de las razones
por las que estoy intentando avanzar… no enfocándome en las armas
o los días cero o en ofensas o defensas… sino en un panorama más general… de cómo debería ser
la nueva conducta social. El ciberespacio no tiene
fronteras ni jurisdicciones claras.

Y probablemente nunca las tendrá. Es una amenaza existencial
al estado nación. Las naciones
luchan por el control del ciberespacio… invirtiendo a gran escala
en vigilancia y ciberarmas. ¿Qué papel queremos
que jueguen nuestros gobiernos… si al mismo tiempo tienen intereses
en agujeros de seguridad? Y ¿cómo podemos nosotros, los ciudadanos,
organizar nuestra propia ciberseguridad? Así que necesitamos que eches una mano.
Necesitamos que entiendas… que no todo se trata de crear
la herramienta más chula. A veces es crear la herramienta más chula
y ayudar a la gente. O crear la herramienta más chula
y entender que esa cosa tan genial… que nos da privacidad… o esa fantástica plataforma nueva
de encriptación… no solo nos permite encriptar
los emails que enviamos… sino que ayuda a una persona
al otro lado del mundo, el activista… el que está tratando de salvar su país,
a tratar de mejorar..