Se ha escrito ya mucho sobre el conflicto legal que mantienen la compañía Apple y el cuerpo policial posiblemente más conocido en el mundo gracias al cine, el FBI. La semilla del problema está en un teléfono iPhone encontrado entre las pertenencias de los autores de una matanza en San Bernardino.
El FBI quiere acceder a los datos almacenados en el terminal o en lo que pueda tener guardado en iCloud y ha solicitado, como supongo que hacen habitualmente con cualquier fabricante, ayuda para acceder a los mismos. El problema es que no se ha podido acceder a los datos y la agencia ha decidido pedir públicamente a la compañía que diseñe una versión de iOS que les permita romper la contraseña aunque sea mediante fuerza bruta. Y Apple se ha negado.
Apple alega que crear una vulnerabilidad, a cualquier nivel, en uno de sus equipos, supone poner en riesgo la información que cualquiera de los usuarios de iPhone en el mundo. Y yo estoy de acuerdo.
Las vulnerabilidades, los exploits, los hacks, son cosas que los ingenieros más avezados son capaces de descubrir aprovechando los defectos de diseño o de programación de cualquier tipo de sistema. Estos hackers, ya sean white o black hat, investigan y buscan algo que poder aprovechar cuando se enfrentan a una aplicación, servicio o sistema operativo. Imagina ahora que directamente se informa a los hackers de que el backdoor ha sido programado voluntariamente. Eso implica que en algún lugar, es backdoor está documentado, que alguien tiene un manual. Significa que no hay que averiguar si hay una vulnerabilidad aprovechable y luego cómo aprovecharla, el primer paso ya se lo darían hecho.
No, las empresas no deben diseñar, de forma voluntaria, sistemas inseguros. Y para hacer una simplificación máxima del problema, supongamos que el FBI consigue que la Corte Suprema o que el Congreso de su país obliguen a Apple ha satisfacer la petición de la agencia. El siguiente paso sería exigir lo mismo a cualquier otra compañía que venda dispositivos o software que puedan guardar información interesante en una investigación (computadoras, teléfonos, navegadores GPS, cámaras de fotos y de vídeo, ordenadores de abordo de vehículos, …).
El siguiente paso lógico sería que todas estas obligaciones fuesen internacionales, porque los demás países exigirían lo mismo que las compañías ya hacen en Estados Unidos. Ahora todo es oficialmente hackeable y todos los ciber criminales lo saben. Pueden investigar para encontrar dichos backdoor y si lo consiguen, podrían venderlos a organizaciones criminales y terroristas. Llegado este punto: ¿qué teléfonos podrían usar los miembros de las agencias policiales, de inteligencia, los gobiernos? ¿Cómo se convertirían ellos en no-hackeables si han obligado a las empresas que comercialicen productos en su país a ser hackeables?
Mi conclusión es que un problema de seguridad jamás debe ser una decisión voluntaria y consciente por parte del diseñador de cualquier tipo de sistema. Sería como fabricar cascos fáciles de romper y usarlos porque sólo la policía sabe que se pueden fracturar golpeándolos desde cierto ángulo.
Así que, si diseñas algo, hazlo tan seguro como te gustaría que fuese si los peores criminales del mundo te estuviesen persiguiendo.
Deja un comentario