Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE

WikiLeaks: El abismo de la fuga de información

Julian Assange marca un antes y un después en la Seguridad de la Información 01/04/2011 - Ángel Gallego
La mayor revelación de material clasificado en la historia generó una tormenta mediática que invita a la reflexión: ¿Se podía haber evitado?, ¿cómo lograr que mi organización esté protegida? los principales expertos españoles de seguridad TIC responden.
El portal sin ánimo de lucro WikiLeaks, fundado por Julian Assange en 2006, puso en evidencia al Gobierno estadounidense.

Ríos de tinta han corrido, pero más aún correrán en torno a WikiLeaks, un fenómeno que ha marcado un antes y un después en el modo de entender la Seguridad de la Información, la Diplomacia y el Periodismo.

El portal sin ánimo de lucro fundado por Julian Assange en 2006, puso en evidencia al Gobierno estadounidense, mediante la publicación de 250.000 cables diplomáticos, 79.000 documentos sobre el conflicto de Afganistán y unos 391.000 de la guerra de Irak.

El propósito de este reportaje no es repetir lo que se ha venido publicando en los medios de comunicación de todo el mundo, sino analizar cómo impactará este hecho en la industria de la Seguridad TIC y en los organismos públicos y privados, que han comprobado que la protección de la información es un problema grave por resolver.

En torno a la mayor filtración de la historia confluyen detractores y grupos de apoyo, como Anonymous -los mismos enemigos de la Ley Sinde-, que lideran el hacktivismo, una corriente que supone que los hackers no sólo están dispuestos a actuar por motivación económica, sino también por causas sociales.

Para los más puristas, WikiLeaks vela por la verdad, por el derecho a saber a qué se dedican los gobiernos que rigen el mundo, y Assange es poco menos que un mártir al que Estados Unidos desea condenar por espionaje. Para los más críticos, WikiLeaks pone en riesgo vidas humanas y no respeta el orden establecido.

Sin embargo, los más especuladores van más allá, aduciendo que puede ser una maniobra sin precedentes de la CIA, la Agencia de Inteligencia norteamericana, para detectar a todo ente subversivo o antiamericano que se manifieste a favor de Assange y su causa.

La imaginación es libre, por supuesto, no como Bradley Manning, un joven militar y analista de Inteligencia del Ejército estadounidense, supuesto autor material de la filtración que espera la llegada de un juicio marcial en el que se enfrentará a penas que lo condenarían a pasar el resto de su vida entre rejas.

Toda esta historia podría servir para ‘cocinar’ el mejor de los best sellers, con todos los ingredientes necesarios (espionaje, medios de comunicación, política, sexo, etc.).

Pero volviendo a la repercusión de este caso, llama poderosamente la atención el hecho de que la sustracción de documentos confidenciales en sí, es decir, el hecho de que una persona se marchase con toda esa información del Departamento de Defensa norteamericano no haya tenido gran relevancia. Una acción que se podría haber cortado de raíz si la mayor potencia del mundo hubiese contado con las herramientas oportunas y unas políticas de accesos definidas.

Todo parece indicar, según la opinión general, que Manning no quebró el sistema, simplemente accedió a los datos; lo que no respetó fue el acuerdo de confidencialidad. En caso de que por sus propios medios hubiese burlado la Seguridad de su destacamento en Irak, algún responsable debería responder por ello, tal y como indica Sergio de los Santos, consultor de Seguridad de Hispasec.

¿Un nuevo 'Watergate'?

¿Cómo es posible que un soldado raso tuviese acceso a esta ingente cantidad de información clasificada? Luis Corrons, director técnico de Panda Labs, se pone en la piel de la organización en cuestión: “Tener que gestionar el acceso de cada soldado (En 2009, EEUU contaba con 549.015 soldados en servicio activo), de uno en uno, es algo que marea sólo con pensarlo”.

La simplificación del control derivó en que algunos usuarios tuviesen al alcance de su mano documentos que podían consultar, pero ¿debían tener permiso para copiarlos? Éste es el quid de la cuestión.

A pesar de todo, cabe destacar que la situación del militar es inusual por enfrentarse a un vacío legal, debido a que su revelación no cayó en manos de un medio de comunicación, sino en un portal llamado WikiLeaks. La normativa vigente ofrece protección jurídica a informantes y testigos, en virtud del Derecho de Información y Libertad de Prensa, pero no así a aquellos que filtran datos sin un cometido claro a empresas que no están catalogadas como informativas.

Ésta es la principal diferencia de las revelaciones de Julian Assange con el ‘Caso Watergate’, que puso en jaque al Gobierno del presidente Richard Nixon en Estados Unidos. Los periodistas Bob Woodward y Carl Bernstein, del Wahsington Post destaparon una red de espionaje contra el Partido Demócrata -entonces en la oposición-, gracias a la información facilitada por Garganta Profunda, seudónimo de William Mark Felt, que mantuvo su anonimato durante más de 30 años hasta que, por voluntad propia, decidió confesar su identidad.

Ambos casos comparten similitudes al haber difundido material reservado de Estados Unidos y haber desatado sendas revoluciones mediáticas. Sin embargo, WikiLeaks no ha traído consigo ninguna dimisión, mientras que el ‘Watergate’ significó el triste colofón para la Administración Nixon.

Otra gran diferencia es la rapidez con que Bradley Manning fue capturado por las autoridades norteamericanas. Hoy aguarda un proceso judicial en la base de Quantico (Virginia), sometido a un controvertido régimen de aislamiento, que ha agitado conciencias en EEUU. El militar, poco después de pasar toda la documentación a Julian Assange, confesó su hazaña al  hacker Adrian Lamo, que interpretó que podía estar en juego la seguridad de su país por los hechos de que fue informado y acabó delatándole. El incierto futuro de Manning aún está por escribir, pero no es nada deseable.

¿Qué hubiese ocurrido si en vez de ceder esta información al conocido portal, Bradley Manning hubiese actuado como Garganta Profunda en el 'Caso Watergate', filtrando la información a un medio de comunicación, con la protección correspondiente como fuente confidencial? En este caso, estaríamos ante una fuente anónima y protegida.

Como bien apunta Luis Corrons a RED SEGURIDAD: “Esto va más allá de Internet en sí mismo, trata sobre la libertad. Por el escándalo Watergate no se intentó cerrar el Washington Post. Si hubieran llegado a cerrar el periódico, otros medios habrían salido en su ayuda. Lo mismo ha sucedido en el caso de WikiLeaks. ¿Tiene sentido ponerle puertas a la libertad de expresión?”.

Para Manning fue más sencillo acceder a esa información desde Irak, según el director de la división de eCrime de S21sec, David Barroso, ya que los sistemas de seguridad “puede que no fueran tan rígidos como en sus oficinas de EEUU”. Dos datos son claros: que el soldado accedió a información para la que estaba autorizado -o bien cualquiera podía acceder a ella- y que tenía posibilidad de copiarla en varios CD, algo que nunca debería haber consentido el responsable de Seguridad TIC del Departamento de Defensa, según De los Santos.

¿Se podía haber evitado?

Algunos técnicos apuntan que el problema se debió a que Defensa se encontraba en una fase de reunificación de Sistemas, lo cual no sirve de excusa, atendiendo a lo que nos comenta De los Santos: "Quizás un estado inestable del sistema facilite la explotación, pero un sistema estable debe estar extremadamente bien diseñado, vigilado y mantenido para que no se produzcan fugas de información bajo ninguna circunstancia".

La Seguridad no existe al cien por cien, pero la tecnología puede ayudar a salvaguardar la información vital para la organización, acompañada de la concienciación de los empleados.
La Seguridad no existe al cien por cien, pero la tecnología puede ayudar a salvaguardar la información vital para la organización, acompañada de la concienciación de los empleados.

Sin embargo, para Barroso una herramienta DLP (Data Leak/Loss Prevention)no hubiese garantizado frenar la fuga: “El caso de WikiLeaks ha sido el detonante para que todos los fabricantes comenten que si ellos hubieran estado presentes, este incidente no hubiera tenido lugar, pero la realidad es que los DLP aún están en una fase de inmadurez tecnológica y no son capaces de evitar todas las fugas de información”.

De hecho, "el entorno militar es ideal para implementar una solución de este tipo, debido a la fuerte clasificación de material confidencial, pero aún así no se está a salvo de un robo de información perpetrado por personas expertas", puntualizó Barroso.

Más importante que las tecnologías es la confianza en las personas a las que damos acceso a la información corporativa. Como siempre, nos encontramos, una vez más, ante el eslabón más vulnerable. La opción de blindar completamente el acceso a la información es una medida a todas luces inefectiva en un entorno de trabajo como el del caso que nos ocupa, sin ir más lejos.
En definitiva, la Seguridad total no existe.

Chema Alonso, consultor de Seguridad de Informática 64, sostiene que determinadas actitudes espontáneas son muy difíciles de controlar: “Alguien puede sacar una foto con el móvil a la pantalla de un ordenador o puede copiar los datos de otra persona que abre su portátil en el avión o en el tren. Evitar las fugas al cien por cien es imposible, pero sí que se pueden minimizar con políticas de seguridad corporativas, herramientas DLP, una configuración de permisos mucho más ajustada que evite usuarios ‘demasiado poderosos’ en sus puestos y, por supuesto, concienciación y control de los trabajadores”.

Con esta lección, el Chief Information Security Officer (CISO) se enfrenta a un nuevo horizonte, en el que debe hacer partícipe al director general de su compañía de los riesgos reputacionales que asume la organización si no comienza a tomar medidas como las que apunta Chema Alonso.

Los expertos y analistas consultados por RED SEGURIDAD coinciden en señalar la necesidad de crear una estructura fiable y un equipo competente. No conviene que una compañía afectada emprenda ninguna acción hasta que la causa de la pérdida de información sea identificada, llamando, si fuese necesario, a un equipo forense para analizar las evidencias electrónicas.

Por otra parte, tanto la escasez de copias de seguridad, como no cumplir las normativas en vigor dificultan la persecución del atacante. Toda organización que se precie ha de grabar todo, debe disponer de documentación que permita saber por dónde se ha fugado la información crítica o desde dónde se ha podido completar una descarga o copia de archivos.

A estas medidas, que deberían ser de obligado cumplimento, conviene añadir el control de dispositivos, ya que en el ‘Caso WikiLeaks’ la fuga fue posible por no determinar políticas de uso de los mismos y por no limitar la tecnología al usuario, lo que permitió la posibilidad de grabar datos en DVD.

La primera reacción de EEUU fue prohibir el uso de memorias USB el pasado mes de enero, una medida efectiva, pero tardía. Además, el control de identidades y credenciales se debe aplicar en función del rango profesional y la responsabilidad en la organización, diferenciando así, por ejemplo, a los soldados rasos de los de rango superior.

La figura de Julian Assange

El australiano Julian Assange, fundador de WikiLeaks, vive en la cresta de la ola desde que puso en jaque a Estados Unidos con sus revelaciones. Su portal fue nominado al Premio Nobel de la Paz y él mismo no fue 'Hombre del año' de la revista Time por decisión editorial, ya que fue el más votado, superando al creador de Facebook, Mark Zuckerberg, quien se quedó al final con la distinción.

Actualmente, Assange -hacker, físico y matemático- espera el resultado de su apelación para no ser juzgado en Suecia por supuestos abusos sexuales, después de que Reino Unido aceptase su extradición. Allí se encontraba en libertad vigilada a la espera de ser procesado y todo indica que así seguirá siendo hasta el próximo mes de mayo.

Como ocurrió con el 'Caso Watergate', WikiLeaks sitúa a Estados Unidos en el foco de la atención mundial. El origen es el mismo: filtraciones de material clasificado.
Como ocurrió con el 'Caso Watergate', WikiLeaks sitúa a Estados Unidos en el foco de la atención mundial. El origen es el mismo: filtraciones de material clasificado.

Assange, con la ayuda de filtradores como Bradley Manning, ha revelado en tres años más exclusivas que los medios de comunicación en toda su historia, según sus palabras. Para él, el fin justifica los medios y su vía rápida para denunciar es Internet. “Hay un plan de emergencia por si soy arrestado o desaparezco. WikiLeaks seguirá siendo operativa sin mí, aunque menos efectiva”, comentó con cierto narcisismo.

WikiLeaks nació en 2006 con una vocación de transparencia hacia la sociedad, un camino en el que siempre buscó el amparo de medios de comunicación, ONG y donaciones privadas. Mucho antes, a principios de los 90, Julian Assange había sido imputado en su país de origen por adentrarse en sistemas informáticos ajenos, pero quedó libre al demostrarse que no hubo mala intencionalidad en sus acciones. Hoy, en España, con el nuevo Código Penal, no le habría sido útil este argumento.

Sorprendente es también que el hacker tuviese acceso a través de una backdoor al Centro de Coordinación de Seguridad Militar de Estados Unidos durante dos años, según reveló a SVT, una televisión de Suecia, país donde 'emigró' para instalar la infraestructura de WikiLeaks, por tratarse de uno de los países con leyes más avanzadas en torno a libertad de expresión.

La ironía que la vida le tenía reservada es que el paraíso de las libertades podría convertirse, si se celebra finalmente el juicio, en su trampolín hacia Estados Unidos, donde no es demasiado apreciado. Si se cumple esta hipótesis, el australiano podría ser procesado por alta traición y espionaje, por lo que se enfrentaría incluso a la pena de muerte.

El portal WikiLeaks denunció en 2006 las injusticias del régimen de David Arap-Moi en Nigeria y se vio amenazado seriamente cuando reveló secretos de la Cienciología. A partir de ahí, Assange continúo sin reparos, más convencido aún de que las injusticias sociales debían ser reveladas sin tapujos. Para ello, y con el propósito de revestirse de oficialidad, el aparato de WikiLeaks contó con la colaboración de prestigiosos medios de comunicación: The Guardian, que fue el primero, aunque acabó sustituyéndolo por su rival Daily Telegraph; The New York Times, Der Spiegel, Le Monde y El País.

No entraba esta múltiple colaboración dentro de los planes iniciales de la organización, que esperaba que el portal se pudiera gestionar con colaboradores voluntarios que, al estilo de Wikipedia, seleccionasen, analizasen y publicasen la información. No resultó, como es sabido.

Sin embargo, no fue bienvenida por la mayoría de empresas editoras la decisión de Assange de privilegiar a unos medios frente al resto. En virtud de este acuerdo de exclusividad, los medios citados han gozado de unos ingresos extra en base a un criterio totalmente arbitrario y a costa de una fuente protegida que hoy está en prisión (Manning).

Precisamente, decisiones como ésta y la falta de transparencia económica en la gestión de la empresa, llevaron al que fue su mano derecha, Daniel Domscheit-Berg, ex portavoz y número dos de WikiLeaks, a manifestar públicamente sus divergencias con el fundador a finales del año pasado. El alemán publicó Inside WikiLeaks, libro cuyos derechos ha comprado Steven Spielberg para dar forma a una película sobre Assange.

Además, el próximo verano arrancará su proyecto alternativo OpenLeaks, un portal paralelo de intercambio de información entre los medios de comunicación que deseen suscribirse y los filtradores anónimos.

Las cuestiones económicas comenzaron a ser un problema desde que PayPal, Master Card y Visa dejaron de prestar sus servicios a WikiLeaks, que veía como su modelo de financiación se venía abajo. De momento, todo parece haber quedado en stand by, con demasiadas dudas en el aire: ¿Quién financiará el proyecto de OpenLeaks? ¿Sobrevivirá WikiLeaks o las presiones indirectas acabarán con él? ¿Qué ocurrirá con Julian Assange?

Lo verdaderamente desalentador es que todos los secretos sacados a la luz no inspiren ni una sola dimisión. La Seguridad de la Información ha de plantearse una actuación en positivo tras aprender la lección, mientras el futuro de un Internet libre pende de un hilo.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual