Parte de la evolución natural de una profesión o de un oficio es el surgimiento de grupos de afinidad o de interés en los que los pares se reúnen para compartir información y experiencias, buscando el crecimiento propio y el de toda la comunidad. En temas de ciber-seguridad, estos grupos suelen tomar la forma de listas de distribución que van desde las que son completamente públicas y abiertas a cualquier persona, hasta las que son cerradas o incluso secretas y a las que solamente se puede acceder por invitación, tras un proceso de aprobación o de ‘no rechazo’.
Estas listas, sean públicas, abiertas, cerradas o secretas, permiten a sus miembros compartir información y acceder a contactos en la industria y en agencias de policía. Y, dependiendo del objetivo que cada una persigue, se diferencian unas de otras, fundamentalmente, por la clase de información que puede ser compartida a través de ellas, que a su vez depende de la confianza que existe entre sus miembros.
Hablando de nuestra región en particular, la gran mayoría de las listas de seguridad existentes en América Latina no cuenta con procesos de aprobación de nuevos candidatos por parte de los miembros ya existentes y en ellas participan novatos, viejos lobos experimentados, hats de todos los tonos entre el blanco y el negro, representantes de empresas comerciales que venden servicios o soluciones de software o hardware, ISPs y otras cuantas categorías de interesados. Acá no me refiero a comunidades -usualmente cerradas- con una cierta tendencia a ser grey o black hats, debido a que estas comunidades no hacen parte de la industria de seguridad, así sean activas en el submundo del hacking.
Las listas que hay en la región no tienen un enfoque operacional y no existe confianza formal entre sus miembros. La información que se distribuye a través de ellas usualmente puede ser accedida por otras vías públicas, lo que las hace no necesarias, y suele además ser genérica, limitada y relacionada con publicaciones o eventos públicos pasados o por venir.
Ocasionalmente estas listas reciben preguntas relativamente sencillas relacionadas con la implementación de algún estándar o relacionadas con la implementación de alguna solución de hardware o software. A pesar de que la comunidad de seguridad en la región ha madurado considerablemente y, por ejemplo, hoy tenemos una cantidad creciente de equipos FIRST (2 en México, 1 en Guatemala, 7 en Colombia, 3 en Perú, 2 en Brasil, 1 en Chile, 1 en Argentina y 1 en Uruguay), falta todavía dar unos cuantos pasos importantes, a los que me refiero más adelante.
Aún no existen listas operacionales en la región, que se basen en la confianza y tengan entre sus objetivos la realización de investigaciones coordinadas con la participación del sector privado, las universidades, las agencias de policía, investigadores independientes y otros actores. Valga aclarar que los CERTs o los CSIRTs tienen objetivos muy específicos, ligados a las entidades que los han creado, por lo que ellos no deben ser considerados como operadores de listas en las que la comunidad en general puede participar.
América Latina no tiene aún listas en las que exista una garantía mínima de confiabilidad de sus miembros, de manera que se pueda compartir a través de ellas información de distribución restringida (es decir, que en ellas exista ‘libertad para hablar’), en las que de manera rutinaria sus miembros compartan información generada por ellos mismos que sea relacionada con amenazas actuales -identificación de atacantes activos, sus modus operandi, sus técnicas y herramientas de ataque, sus víctimas actuales o potenciales, inteligencia sobre sus vinculaciones y afiliaciones-, y, lógicamente, a través de las que se pueda coordinar la respuesta de los actores relevantes frente a cada amenaza (por ejemplo, arrestos, infiltraciones, seguimientos, interceptaciones, o sinkholing o takedowns de botnets, entre otros).
Es probable que las razones por las que en América Latina esta clase de listas operacionales de un alto nivel de confianza se han demorado en existir, estén relacionadas con el hecho de que los estándares, los protocolos, el hardware y el software son mayoritariamente definidos y desarrollados en otras latitudes, lo que ha hecho que muchos de los expertos de nuestra región sean en realidad más expertos en implementación que en investigación y desarrollo, por lo que de forma natural su mentalidad está más orientada a recibir lo que otros desarrollan, que a proactivamente investigar y desarrollar. Soy consciente de que esta es una afirmación peligrosa y no pretendo demeritar el trabajo de investigación que muchos realizan, pero definitivamente creo que hay una relación.
Sin embargo, tengo fe en que la maduración de la comunidad de seguridad entre la Patagonia y el Río Grande continúe el paso que lleva y las amenazas ya existentes ejerzan presión de forma natural hacia la consolidación de listas maduras, con procesos documentados y claros sobre admisión de nuevos miembros, niveles esperados de confianza, aceptación de niveles de confidencialidad y sanciones para quienes transgredan esa confianza depositada en ellos.
Solamente la existencia de esta clase de listas, en las que el sector privado puede compartir libremente información operacional –obviamente bajo parámetros de legalidad y respeto a las políticas corporativas de cada cual– con autoridades de policía nacionales o extranjeras, con sus pares en otras empresas así sean competidores y con investigadores académicos a quienes sus universidades pagan, precisamente, por investigar, permitirá a nuestros países asegurar un poco más el mundo latino en línea.
Un interesante proyecto inicial para una lista latinoamericana de este nivel sería una investigación acerca de un troyano específico que es vendido y comprado en varios países de la región por algunas bandas que han enviado mucho spam, han contaminado muchas máquinas y han victimizado a muchas personas y empresas logrando hacerse con una cantidad muy importante de dinero. Aunque, siendo francos, esto en inglés se llama ni más ni menos que wishful thinking.
Saludos desde California,
Carlos Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Nota: este artículo fue inicialmente publicado por techtarget.com acá.