Criminalizando el cifrado de las comunicaciones

Por David Ormeño @Arcanus_tco

Leía este fin de semana dos informes.

El primero, de A10 Networks, hacía hincapié en el crecimiento del tráfico cifrado en ataques (EN). Según el mismo, cerca del 50% de los ciberataques se realizan bajo conexiones cifradas. Y dos tercios de los trabajadores de empresas del sector financiero, de sanidad y del sector público reconocen que no están preparados para monitorizar y, en definitiva, analizar y paliar este tipo de ataques.

Por otro lado, Cisco, en su Informe Semestral de Ciberseguridad (EN), centrado más en la evolución del cibercrimen (ya sabe, más ransomware, más exploit kits, demasiado tiempo entre que se descubre un 0 day y se difunde un parche...), comentan de pasada algo parecido. Que el tráfico HTTPs ha aumentado cinco veces en este último semestre como el protocolo de comunicación de la mayoría de los ataques, sea en la propia operativa del mismo o en los canales de comunicación y extorsión posteriores.

Soy consciente de que el tráfico HTTPs plantea nuevos retos. A fin de cuentas, hablamos de un protocolo de comunicación creado precisamente para anonimizar las comunicaciones, y que por ello afecta cada vez más a todos aquellos sectores que beben de una u otra manera de la analítica, sea la ciberseguridad, sea el marketing, sea el desarrollo de negocio.

Pero temo que esta mirada se haga desde una óptica demasiado limitante. Que el aumento de este tipo de tráfico no afecta únicamente a las aspiraciones de la industria del crimen, sino en definitiva a todo el sector tecnológico, y por ende, a toda la sociedad. Y que para colmo tiene más puntos positivos que negativos, como comentaremos a continuación.

Entendiendo las implicaciones de unos ataques realizados bajo protocolo seguro

Llegará el momento en que la práctica totalidad de los ataques se realicen bajo conexiones cifradas. Esto es un hecho, tan real como que la Tierra es redonda, y ocurrirá, además, antes de que la industria esté preparada para afrontarlo.

Simplemente porque el cibercrimen se mueve más rápido que el resto de industrias. Les va (literalmente) la vida en ello, habida cuenta de que dependen de estar unos pasos por delante para maximizar su rentabilidad.

El ransomware es un claro ejemplo. Hablamos de una tipología de ataque que se ha vuelto de las más socorridas (y peligrosas) de la actualidad. De pronto, parte de los archivos que tiene en su dispositivo son cifrados con una clave que usted no tiene. ¿Que los quiere recuperar? Por supuesto, solo tiene que pagar X$ y recibirá (con suerte (ES)) la llave para hacerlo.

Está claro que quienes están detrás de este tipo de ataques no van a usar un número de cuenta o un servicio de pago que sea fácilmente rastreable. Apuestan por Western Union, por bitcoin, y en líneas generales, por canales de intercambio que ofrezcan una suerte de anonimato que les permita seguir operando el mayor tiempo posible sin ser descubiertos.

No es algo nuevo, es puro sentido común.

Ahora, y motivado por esa paulatina evolución hacia una web basada en protocolo seguro que afecta a TODOS por igual, la industria del cibercrimen mueve ficha lo antes posible y aplica este "nuevo" protocolo a cada vez más ataques. Se cifra el tráfico de los CdC de las botnets, las comunicaciones con los servidores donde están alojadas las webs gancho de las campañas de phishing, se ofusca la petición de recursos en malware bajo conexiones TLS, y además, se hace uso de canales como el publicitario para campañas de malvertising que de por sí ya se está pasando a este tipo de protocolos.

Y el resultado final es que en efecto es cada vez más complicado analizar los logs de un ataque o defenderse ante éstos, a sabiendas de que hay una capa de cifrado por el medio que entorpece la labor de los equipos azules de las empresas.

Pero la situación es la misma de siempre.

Quiero decir con esto que no hay nada nuevo bajo el Sol. El cibercrimen se apropia de cualquier metodología que les permita tener un ciclo de vida más alto. Punto. Y la labor de los equipos azules es, nuevamente, adaptarse a los tiempos que corren implementando sistemas que sean capaces de analizar y anteponerse a ataques ofuscados bajo conexiones HTTPs.

¿Es fácil? Pues no, pero es lo que hay. Lo mismo que experimentará una empresa a la hora de tener que entender cuál es su target de cliente en base a la cada vez mayor cantidad de tráfico anonimizado. Lo mismo que le pasa a un profesional del marketing de cara a preparar una campaña u optimizar una en marcha en base a unos sistemas de analítica cada vez menos exactos.

Hacia dónde nos dirige un protocolo cifrado por defecto

Demonizar el TLS es lo mismo que pegarnos un tiro en el pie. Las comunicaciones seguras son una herramienta que en todo caso resulta útil para cualquier usuario, sea éste un lector de esta página, o un cibercriminal.

Criminalizando este tipo de tecnologías lo que conseguimos es generar un caldo de cultivo perfecto para que algunos gobiernos se encuentren con la legitimidad de restringir o incluso prohibir algo que claramente es positivo para la sociedad. Excusándose, eso sí, en la lucha contra el cibercrimen, o contra el terrorismo, o contra lo que sea. Pero con el único objetivo de facilitarles la labor de control masivo.

No hablo de una lectura conspiranoica ni distópica. Hablo de hechos reales que han salpicado la mayoría de países en estos últimos años. El cuñadismo político junto a la desfachatez de un sistema que ansía cada vez más poder, y la ignorancia de un pueblo atemorizado por terrores minoritarios.

No. Por mucho que lo repitan, prohibir el cifrado en las comunicaciones no minimiza el impacto del cibercrimen. Tampoco el del terrorismo.

Aquellos interesados en hacer el mal siempre van a encontrar vías alternativas para pasar desapercibidos. Y en primera instancia, el único afectado es el usuario de a pié. Ese que no tiene los conocimientos necesarios para proteger por si mismo su privacidad.

Así que puedo estar de acuerdo con la mayoría de las observaciones de A10 Networks y Cisco. Puedo entender que es un nuevo reto al que hacer frente. Pero no defenderé una criminalización de una tecnología cuyo impacto va mucho más allá del eventual de la ciberseguridad. Uno de los mayores cambios que ha vivido nuestra civilización a nivel comunicativo, y que en todo caso, plantea un escenario muchísimo más interesante y seguro para el grueso de la sociedad.