Confundir la privacidad con la seguridad: el error fatal

En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.

Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.

La Ruta de la Seda: lecciones de la mazmorra de la Deep Web

Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).

Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.

Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?

Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.

A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.

El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.

Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:

«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».

Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.

Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.

También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.

No eres un capo de la droga, así que ¿por qué debería importarte?

La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.

Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?