"Los gobiernos no se toman la tecnología en serio"

26/06/07 19:40:14 

"LOS GOBIERNOS NO SE TOMAN LA TECNOLOGÍA EN SERIO"

Mercè Molist

Tarjetas de crédito, mandos a distancia, puertas de garaje,
sistemas de televisión de hoteles, billetes de avión y de
metro. No hay código de seguridad que se resista al
británico Adam Laurie, veterano hacker del lado del bien. Su
última hazaña ha sido demostrar que los flamantes
pasaportes biométricos de Gran Bretaña se pueden clonar.

-Llega tarde.

-Disculpe. Estaba copiando para unos chicos unas tarjetas con chips
RFID, esas que la industria dice que es imposible clonar. Una era para
entrar en su oficina y la otra, para la máquina de café. 

-A usted le gusta "jugar" con todo. ¿Tiene alguna pauta común?

-Investigar la seguridad de las tecnologías que afectan al consumidor.

-¿Cómo consiguió romper la protección del chip de los pasaportes británicos?

-La clave está formada por tres elementos: el número de
pasaporte, la fecha de expiración y la fecha de nacimiento. No
fue difícil descubrir las fechas. En cuanto al pasaporte, les
dan números secuenciales, así que sólo tuve que
buscar dentro de un rango. Fácil.

-¡Lo parece!

-Este es el problema. La solución también es fácil: no dar números secuenciales a los pasaportes.

-¿El gobierno ha dicho que lo solucionará?

-A mi no me dicen nada. Nos comunicamos a través de los periódicos.

-¿Los gobiernos no saben usar la tecnología?

-No se la toman seriamente, tampoco la industria. Hablan mucho de
estándares, protocolos, pero no viven en el mundo real, no
piensan que están diseñando algo que debe ser seguro. Se
creen infalibles, gastan mucho dinero en cosas equivocadas y
después no lo quieren admitir. 

-¿Como los chips RFID?

-Sí. Un ejemplo: el chip tiene un número de
identificación y con eso ya te autentifican. Es como si, para
sacar dinero, sólo fuese necesario que el cajero leyese el
número de la tarjeta de crédito, sin poner el PIN. 

-Usted conoce muchos fallos de seguridad. ¿Qué tanto por ciento hace públicos?

-Todo. Creo en el "full disclosure" (divulgación total) porque
quiero que se arreglen los agujeros que descubro y también
porque la gente tiene derecho a saber.

-Pero eso incluye a los chicos malos...

-Si hay un agujero en tu banco y yo soy un chico malo, sacaré
dinero sin que nadie lo sepa. Si soy un buen chico y lo descubro, puedo
ir al banco y avisarles. Ellos lo arreglarán o no. Si no lo
hacen, el próximo paso será hacérselo saber al
público, para que pueda defenderse.

-La actividad criminal está llenando Internet de porquería. Ya no miro mi correo, ahora miro mi "spam".

-El correo basura es una parte aislada del problema porque es muy
difícil de manejar. Pero a largo plazo morirá. A medida
que el público se eduque, entienda cómo funciona y deje
de comprar Viagra, desaparecerá.

-¿Y en cuanto al resto de delincuencia?

-La cuestión de fondo es que los gobiernos no han resuelto a qué nivel deben luchar contra esto.

-¿Habla de hacer más leyes?

-No. Deben reforzarse las existentes y necesitamos más
investigación. No me refiero sólo a Internet sino a la
tecnología en general. Alguien me robó la tarjeta de
crédito, la usó para comprar en gasolineras hasta 400
dólares y, cuando lo denuncié a la policía,
dijeron que no era un monto suficiente para investigarlo. Pero esta
banda está organizada, tiene otras tarjetas robadas y saca miles
de dólares diarios sin que nadie lo investigue. 

-¿La red está tan llena de criminales como parece?

-Sí. La prueba es que si conectas un ordenador sin
protección, se infectará en minutos. Pero esto
también pasa en la calle, si dejas la puerta de tu casa abierta.
La diferencia es que la gente que se hace responsable de tu seguridad
en Internet no tiene interés en hacer productos seguros. Lo
importante es sacarlos al mercado, hacer dinero y después, si
acaso, se preocuparán por la seguridad. 

-Usted ha organizado reuniones clave de la comunidad hacker como la DEFCON o la Black Hat.

-La DEFCON es un lugar de reunión para todo el mundo, sean
vendedores de programas, empresas de seguridad, agencias del gobierno,
buenos y malos chicos. Es importante que no se excluya a nadie porque
la cuestión es compartir cuanto más conocimiento mejor.
De lo contrario, salen las leyes que salen.

-¿Qué leyes?

-Basadas en favorecer a la industria: leyes contra la ingeniería inversa, la revelación de información...

-...las herramientas de hacking...

-Y de esta forma ilegalizan también la investigación.

Copyright 2007 Mercè Molist. 

Verbatim copying, translation and distribution of this entire article
is permitted in any digital and no commercial medium, provide this
notice is preserved. 

<<