Twitter, el pollo está en el horno
por Jose SalgadoHace muchos años, cuando no existía ni Google, ni la nube ni nada por el estilo, los ISP tenía que montar sus sistemas para funcionar de un modo continuo sin pasarse en los costes de mantenimiento, y creerme que era algo complicado allá por el año 95. De vez en cuando, pasaba que algo dejaba de funcionar, un PC, un cable, se caía la luz, y el código que usábamos para saber si era algo de fácil solución o no era la frase el pollo está en el horno. Si veías a alguien del departamento técnico o de soporte corriendo y al preguntarle que pasaba te daba esa respuesta, era el momento de prepararse para algo grave.
Todos corriendo arriba y abajo porque se había ido la luz y al SAI[1] le quedan veinte minutos, toca enchufar el generador, conectarlo a los cables y rezar que funcione, o cualquier otro tipo de histeria que pasada la histeria de los primeros momentos siempre han dejado como recuerdo unas buenas historias para contar cuando contrataban a alguien nuevo.
El caso es que la mayoría de estos casos, la responsabilidad era toda nuestra y del mismo modo eramos nosotros que teníamos que arreglarlo. Sólo en una ocasión sufrimos un ataque DOS[2] y por suerte no existían los script kiddies[3] y lo pudimos solventar en menos de diez minutos.
Este viernes pasado Twitter sufrió una caída de servicio[4] que no era culpa suya. Por lo poco se conoce parece ser que una red de Botnets[5] le ha dado por crear un ataque DOS y dejar fuera de servicio a esta empresa y a otras cuantas. Esto, que puede sonar divertido y revolucionario no es más que un delito, un delito que ha provocado unas pérdidas económicas a las empresas y han dejado sin servicio a millones de usuarios.
Quizás penséis que como no pagamos nada a Twitter o como no han reclamando nada no hay intención de beneficio o que lo del lucro cesante no aplica para el resto del mundo. Ahora imaginaros que les da por atacar a los servidores de un hospital, o a la red que controla el tráfico aéreo, o la red de la policia o directamente hacen caer todos los bancos y nadie puede sacar ni ingresar dinero e incluso, no pueden pagar la cena o la comida que se están tomando. ¿Sería igual?, el perjuicio provocado sería tan grande que tendríamos que replantearnos la pregunta.
No cometáis el error de mezclar el volumen con el delito en sí. Robar un euro es igual que robar un millón de euros, es robar nos pongamos como nos pongamos, lo que si podemos estar de acuerdo es en la sanción aplicable que debería ser distinta, pero la base ética, moral y legal es la misma. Este mismo principio se aplica a jugar a tumbar servidores, sigue siendo algo reprobable ya sea la web de ISIS o de la Cruz Roja.
Lo problemático es que hay una especie de carta blanca en estos temas, si tu no tienes conocimientos técnicos, cualquiera puede infectar tu ordenador y usarlo como parte de una red, y lo más increíble es que tu serás considerado culpable. Es como cuando dejas una ventana abierta para que se ventile el piso, te roban, y la culpa es tuya por no tomar las precauciones necesarias.
En nuestro día a día usamos cada vez más tecnología, la cual es susceptible de ser atacada e infectada: ordenadores, móviles, routers, televisiones y la lista se incrementa si pensamos en temas como IoT[6]. Se nos exige ser responsables de todos estos cachivaches, es decir, no solo instalarlos sino reconfigurarlos para evitar que alguien nos secuestre el dispositivo y honestamente, no veo a mi abuela abriendo una sesión SSH para cambiar el firewall.
La ventaja con la que juega esta gente es que los estados no están dispuestos a mover un dedo para unificar una normativa conjunta, con lo que tu puedes vivir en brasil, usar ordenadores de Rusia saltando por una red que te lleva de España a Marruecos pasando por las Bahamas, y a ver quién es el guapo que, primero te detecta porque todos sabemos lo rápidos que son los países a la hora de colaborar, y segundo, cuando te han detectado detenerte.
Yo no quiero una internet militarizada, pero si quiero una internet con cierta seguridad y confianza de que si monto una web, a mi competencia o a quién quiera amargarme el día no le salga gratis dejarme fuera del negocio a base de usar técnicas que están muy bien para aprender, pero que cruzan una línea peligrosa si se usa para perjudicar a terceros.
Creo que los hackers[7] que desarrollan estos scripts, que buscan fallos, que entran en sistemas son personas que hay que admirar. Son ellos que nos enseñan los errores de diseño y los que nos ayudan a mejorar la seguridad, pero el salto cualitativo es cuando este conocimiento se usa para perjudicar a un tercero, ya sea por ellos mismos o se vende a otros, es en este momento cuando el argumento de explorar, descubrir y aprender deja de tener peso moral y se convierten en mercenarios. La única diferencia es que unos van con armas y los otros con teclados, pero ambos dejan un reguero de víctimas.
[1] Sistema de Alimentación Ininterrumpida
[2] “What is a DDoS Attack?” Digital Attack Map
[3] “Script Kiddie” Seguridad Informática
[4] “Un ciberataque masivo inutiliza las grandes páginas web en EEUU y Europa” El Confidencial. 2016-10-21
[5] “Qué es una botnet o una red zombi de ordenadores”
[6] Rivera, Nicolás, “Qué es el Internet of Things y cómo cambiará nuestra vida en el futuro” Hipertextual. 2015-06-20
[7] Quintana, Yolanda. “Mercè Molist: El verdadero hacker brilla por sí mismo”. eldiario.es 2014-09-12
