Ciberseguridad Club de Libros: “This is How They Tell Me the World Ends” por Nicole Perlroth
Introducción
¿Qué tienen en común los hackers argentinos, empresas israelíes de seguridad, cibercriminales chinos, y el gobierno estadounidense? Todos son participantes claves en el comercio negro de vulnerabilidades de días cero, que son fallas desconocidas de software por parte del proveedor. Por décadas, los hackers, empresas privadas, y aún gobiernos han comprado estos días cero.
En su libro, This is How They Tell Me the World Ends, la autora Nicole Perlroth demuestra cómo el mercado clandestino de días cero se ha convertido en una carrera absoluta de armamentos cibernéticos. La acumulación de días cero, Perlroth discute, directamente facilita el mundo digital actual y los ataques cibernéticos constantes. El libro detalle cómo el comercio de días cero formó un ciclo de guerra cibernética: alguien descubre vulnerabilidades, las utiliza para explotar a víctimas, devasta sistemas informáticos, y después sigue buscando más días cero.
Este libro nos muestra la historia de armas cibernéticas – la cual ha persistido durante unos 30 años. Desde el descubrimiento de transmisores soviéticos dentro de dispositivos diplomáticos estadounidenses hasta campañas de desinformación durante las elecciones presidenciales en 2016, Perlroth explica cómo se proliferaron armamentos cibernéticos y cómo el mundo puede afrontarlos.
Estudios de caso: Cómo días cero causan cero seguridad
Frecuentemente, es mejor mostrar en vez de contar. Después de entrevistar a más de 300 personas durante 7 años, Perlroth definitivamente nos muestra la realidad amenazante de ciberataques globales. En el submundo profundo de días cero, su libro revela cómo este arsenal de armas digitales hace posible el spyware comercial en iPhones, desconexiones peligrosas de plantas químicas y atómicas, interferencia electoral, apagones eléctricos, y crimenes de lesa humanidad.
El libre detalle los efectos desastrosos que tienen los días cero, incluidos los siguientes ejemplos:
Todos pierden la batalla de armamentos cibernéticos
A pesar de su análisis amplio de la historia, This is How They Tell Me the World Ends también mira adelante. La autora se asegura de que sus lectores entiendan la urgencia de carrera de armamentos cibernéticos y cómo se afecta el futuro. En el epílogo, Perlroth destaca unas recomendaciones de cómo afrontar este dilema digital.
“Tenemos que proteger el código.” Perlroth dice que esto es la primera etapa en proteger nuestra infraestructura digital. Es necesario que sea más difícil para cibercriminales a identificar y explotar fallas de software. Por lo tanto, el sector tecnológico tiene que cambiar. La autora sugiere que la industria ya no recompense a los desarrolladores cuyos productos vienen al mercado lo más pronto. Como ella dice, “La velocidad siempre es el enemigo natural del diseño suficiente de seguridad.”
Restablecer el equilibrio entre la defensa y la ofensiva dentro del Vulnerabilities Equities Process (VEP) de EEUU. El gobierno estadounidense utiliza el VEP tomar decisiones de o divulgar días cero al público o mantenerlos secretos para proteger la seguridad nacional. Perlroth discute que se usa el VEP desproporcionadamente a favor de la ofensiva, entonces vulnerabilidades normalmente están retenidas. Para equilibrar la función del VEP, ella sugiere que el Department of Homeland Security (DHS) controle la implementación del VEP y que los Inspectors General y el Privacy and Civil Liberties Oversight Board lo audite.
Fechas requeridas de vencimiento para días ceros no revelados. Lo más tiempo se guarda un día cero, habrán más oportunidades para estas vulnerabilidades se caen en manos equivocadas. Esta paradoja es especialmente importante cuando una vulnerabilidad afecta sistemas muy utilizados. Según Perlroth, el día cero existe por un año en promedio antes de ser descubierto por otros jugadores en el mercado digital. Por lo tanto, mantener un día cero durante mas de un año posibilita que la misma vulnerabilidad sea utilizada contra nuestros propios intereses.
Gobernanza mejorada sobre el mercado de días cero. El libro se requiere que los intermediarios y hackers de días cero entreguen control exclusivo sobre sus herramientas después de cada transacción. Esto prevendría a los hackers de vender un día cero específico a múltiples clientes. Además, Perlroth mantiene que empresas que venden equipo de vigilancia, como NSO y Hacking Team, no deban trabajar con los que violan derechos humanos. Por fin, la autora apoya la creación de leyes que subrayan las llamadas “líneas rojas” de guerra cibernética – a los que hackers, intermediarios, y naciones no pueden cruzar.
¿Por qué nos importa este libro?
Hay casi ninguna parte de la vida humana que no es controlada por procesos tecnológicos. Nuestra economía, educación, democracia, y socialización ahora es dirigida por conectividad a internet. Por muchos años, el mundo hizo pocas preguntas antes de conectarse con el próximo dispositivo. El problema es que esta interconectividad presenta una paradoja: exposición es la criptonita de innovación rápida. Como nos demuestra el libro de Perlroth, esta paradoja nos enfrenta actualmente. Es decir, más automación trae más susceptibilidad. Una vulnerabilidad del iPhone potencialmente podría afectar a cada usuario. Del mismo modo, no se puede utilizar un día cero de sistemas Windows sólo contra un adversario específico – hay un riesgo grande en que todos los dispositivos de Windows pudieran resultar atacados.
“Mi esperanza es que mi trabajo puede traer un rayo de luz en la industria clandestina y invisible de armamentos cibernéticos para que nosotros, una sociedad apunta de este tsunami digital llamado la red de cosas (IoT), podamos tener algunas de las conversaciones necesarias ahora, antes de que sea demasiado tarde.” - Nicole Perlroth
Este libro no fue escrito ni para los expertos en tecnología, programadores ni ejecutivos – fue escrito para el usuario cotidiano. La audiencia intentada por Perlroth es los grupos que activamente utilizan tecnología, pero no consideran sus implicaciones - o sea, los que no tienen conciencia de su propio papel en el escenario global cibernético. Esto es un libro para todos, entonces podemos considerar cómo resolver estas preguntas difíciles.
Approved for Public Release; Distribution Unlimited. Public Release Case Number 22-2361. The author's affiliation with The MITRE Corporation is provided for identification purposes only, and is not intended to convey or imply MITRE's concurrence with, or support for, the positions, opinions, or viewpoints expressed by the author.©2022 The MITRE Corporation. ALL RIGHTS RESERVED.