Cuando el remedio es peor que la enfermedad

Ariel Torres
(0)
5 de julio de 2014  

Esa computadora es de lo más confiable que hay en casa. No tiene un empleo complicado: sólo recibe una vez al día el backup de mi equipo principal y, durante las 24 horas, me sirve como cámara de vigilancia en mi estudio. Pero siempre está ahí, firme. Por eso, cuando el martes quise contactarla desde el diario y no me respondió supuse que se había cortado la luz y el UPS la había puesto en hibernación. Probé con la máquina del living. Contestó de inmediato.

No había sido un corte. La robusta PC tampoco se había colgado. El responsable de que no pudiera acceder a esa máquina era nada menos que Microsoft. Voy a rebobinar un poco, para entender este blooper tecno-legal que dejó a muchas personas sin acceso a sus sitios Web, servidores FTP, redes privadas virtuales y cámaras Web.

¿Te llamo?

Todo dispositivo conectado a una red debe tener alguna clase de identificación, de tal modo que los datos destinados a ella sepan adónde dirigirse. En el caso de Internet, esa dirección es un número, conocido como número IP o dirección IP. Tu notebook, cuando estás navegando desde el jardín un bonito día de primavera, tiene asignado un número IP. Los servidores Web de lanacion.com, también. Las impresoras en red, lo mismo. El smartphone en el que acabás de recibir un correo electrónico, igual. Todo dispositivo conectado a Internet tiene asignado un número IP.

Sin embargo, durante la mayor parte de la historia de la Red no hubo suficientes direcciones IP para darle a cada dispositivo un número fijo. ¿Por qué? Porque el espacio para direcciones del protocolo de Internet (conocido como IPv4) tiene un tamaño de 32 bits. Es decir, se pueden establecer unos 4300 millones de números IP diferentes. Parecen muchos, pero cuando en la década del '90 Internet empezó a abrirse al público, el número de dispositivos trepó a cifras descomunales y tuvimos que empezar a poner en práctica algunos trucos para que las direcciones IPv4 alcanzaran. Así, mientras que a las grandes organizaciones se les asignan uno o más IP fijos, a los particulares nos proporcionan IP dinámicos. Es decir, que cambian periódicamente: por ejemplo, cuando te volvés a conectar al proveedor.

A propósito, hoy estamos migrando a la nueva versión del protocolo de Internet, la sexta, conocida como IPv6. Su espacio para direcciones es de 128 bits. Eso es un número seguido de 38 ceros.

Siempre online

Con la llegada de las conexiones de banda ancha domésticas, a principios de este siglo, pudimos mantenernos conectados todo el día. Pequeños estudios y oficinas hogareñas podían ahora alojar un sitio Web de forma local. Pero había un problema. El IP de ese servidor Web podía cambiar varias veces por semana. Es como si tu número de teléfono se modificara cada tanto. No habría forma cierta de llamarte, a menos que avisaras a cada rato a todos tus contactos tu nuevo número. Imposible.

Esto se resolvió con los servicios de DNS dinámico. Uno de los más populares es el que ofrece No-IP (http://www.noip.com), que tiene unos 4 millones de usuarios. Su servicio básico, sin costo, es suficiente para la mayoría de las pymes y particulares, y su interfaz es muy fácil de usar.

¿Cómo funciona No-IP?

Es simple. Primero registrás un nombre de dominio en No-IP, es decir, la dirección que vas a escribir en el navegador para llegar a tu sitio, cámara Web o servidor FTP. La primera parte podés elegirla libremente; la segunda parte se elige de una lista que ofrece No-IP. Tu dirección quedaría con un formato de esta clase.

Luego, instalás una aplicación –en la computadora que querés que esté siempre accesible por Internet– que se encargará de informarle a No-IP cada vez que tu dirección IP cambie. Informado del nuevo IP, la empresa actualizará la información en sus servidores DNS y http://miempresa.ddns.net seguirá online.

Es automático, transparente y muy robusto. A menos, claro, que Microsoft decida presentar una demanda judicial y obtenga una autorización para secuestrar los dominios de No-IP.

Todos presos

¿Conocés el refrán "El camino al infierno está pavimentado de buenas intenciones"? Bueno, esta historia se trata exactamente de eso. Resulta que los IP dinámicos pueden servirle no sólo a un pequeño empresario o a un particular que quiere poner una cámara Web en su casa, sino también al delincuente informático que quiere contar con acceso constante a máquinas infectadas; típicamente, botnets.

No-IP es consciente de esto e intenta que no se produzcan abusos. Según algunas fuentes de la industria, la empresa coopera activamente para eliminar dominios infectados o cuya actividad se probaba delictiva. Eugene Kaspersky, en cambio, opina que No-IP es la que menos colabora con la erradicación de malware. Pero, según sus números, tampoco es la que más delincuentes aloja.

Sin embargo, la Unidad de Crímenes Digitales de Microsoft tomó un camino inesperado. En lugar de informarle a No-IP sobre los dominios (supuestamente) infectados, el 19 de junio hizo una denuncia en la corte de distrito de Nevada, Estados Unidos, donde opera No-IP, para obtener el control de 23 dominios que, según Microsoft, estaban siendo activamente utilizados por delincuentes informáticos. El 26 de junio la jueza Gloria Navarro le otorgó la autoridad DNS sobre esos dominios, cuyo tráfico empezó a ser gestionado por los servidores de Microsoft. La orden tuvo carácter temporal y la jueza dictaminó que Vitalwerks, la empresa detrás de No-IP, no estaba involucrada en la actividad criminal y que sólo había sido negligente al controlar su red.

Según Vitalwerks, Microsoft nunca se comunicó con ellos. Microsoft no refutó esta afirmación.

Aunque la intención de la compañía fundada por Bill Gates era la de suspender la actividad de unos 18.400 dominios infectados, no dieron abasto con el tráfico (o, como luego comunicaron, "sufrieron una falla técnica"), y todos los sitios registrados con esos dominios secuestrados a No-IP desaparecieron de Internet esta semana. Entre otros, el de mi camarita Web.

"En estos temas hay una competencia entre varios factores, todos importantes: la necesidad de seguridad, de protección de la Red, infraestructura abierta y también jurisdicción legal. Me parece que todavía no hemos encontrado el mejor equilibrio para garantizar todas esas cosas a la vez. Y se da lugar a malas soluciones, que además pueden ser mal implementadas", me dijo Sebastián Bellagamba, director de la oficina regional de la Internet Society (ISOC) para América latina y Caribe, al hablar de este tema.

Acción y reacción

Microsoft es un registrador acreditado por la autoridad de números y nombres de Internet, así que puede asumir la autoridad DNS sobre dominios. Por su parte, Vitalwerks opera en el estado de Nevada, así que está sujeta a sus leyes. En teoría, toda la movida es legal. Pero hay varios problemas. Incluso para considerar esto legal.

El problema más serio, por supuesto, fue la suspensión de un servicio legítimo que formaba parte de las actividades privadas y comerciales de individuos, pymes y oficinas domésticas. En muchos casos (las quejas de esta clase arreciaron) quedaron fuera de línea personas que habían contratado alguno de los planes comerciales de No-IP. Sea por un error técnico o porque la medida adoptada por Microsoft fue desproporcionada, de todas formas podría enfrentarse con las demandas de todos esos usuarios que, durante más de dos días, no pudieron operar sus sitios y servicios.

El segundo problema es que Microsoft incluyó a Vitalwerks en la conspiración criminal. No sólo acusa a la empresa de ser negligente para detectar y suprimir abuso, sino también de ser parte del delito. Si esto no es así, Microsoft enfrentará otra situación legal delicada. Hay dos posibilidades aquí: o la Unidad de Crímenes Digitales de la compañía tiene pruebas muy sólidas de que Vitalwerks es una organización criminal o siguieron este procedimiento porque no contaron con el error técnico que –según Microsoft– hizo saltar todo el asunto. Me inclino más por lo segundo: trataron de actuar de forma encubierta para poder capturar toda la información posible de los administradores de esas botnets. Entiendo eso, pero Vitalwerks tenía derecho a defenderse.

Hay algo más. En su declaración, la jueza dice que la actividad de los acusados (incluyendo a Vitalwerks) " daña a Microsoft, los clientes de Microsoft y el público en general" . El orden de aparición de los perjudicados es de lo más significativa. Es sincericidio también, porque las botnets que buscaba desactivar esta movida atacan exclusivamente a Windows.

No es que los otros sistemas estén libres de ataques, pero, precisamente, si universalizamos la táctica de Microsoft, es decir, si Adobe manda a cerrar todos los sitios que explotan las vulnerabilidades de sus programas, y si Apple hace lo mismo, y así, eso equivaldría a apagar Internet.

Más problemas con este proceder. Ir contra las empresas que ofrecen dominios dinámicos para resolver un problema de seguridad es equivalente a ir contra las automotrices para terminar con los accidentes de tránsito. A menos, insisto, que Microsoft tenga pruebas de que Vitalwerks está involucrada en crímenes digitales, lo correcto hubiera sido que le informara a No-IP las direcciones infectadas. Si tiene pruebas de que Vitalwerks es una organización criminal, deberían haber allanado sus oficinas y arrestado a sus responsables.

Por otro lado, y como señala esta excelente nota de Thomas Brewster en Forbes, la movida afecta una industria legítima en territorio estadounidense y ahora "los proveedores de DNS dinámico en países con cortes más comprensivas súbitamente se convirtieron en una opción mucho más atractiva".

El martes le pregunté a Microsoft sobre esto. Me respondieron con algo que ya había leído.

Más tarde ese mismo día me enviaron una comunicación emitida por David Finn, director ejecutivo y consejero general asociado de la Unidad de Crímenes Digitales: "Ayer por la mañana, Microsoft tomó medidas para desbaratar un ataque cibernético que subrepticiamente instaló malware en millones de dispositivos sin el conocimiento de sus propietarios a través del uso de No-IP, un servicio de soluciones de Internet. Debido a un error técnico, sin embargo, algunos clientes cuyos dispositivos no estaban infectados por el malware experimentaron una pérdida temporal del servicio. A las 6 de la mañana, hora del Pacífico de hoy, todo el servicio se restableció. Lamentamos las molestias que estos clientes experimentaron".

Desafortunadamente, los dichos de Finn no se probaron ciertos. Los dominios de No-IP siguieron offline ese día y el siguiente. El miércoles el sitio de No-IP sufrió un ataque de denegación de servicio que lo mantuvo fuera de línea durante varias horas. Peor, imposible.

Doble filo

Lo más tragicómico de todo esto es que No-IP también es usado por los investigadores de seguridad informática. "Es cierto que servicios como No-IP son utilizados por autores de malware. Pero también son utilizados por millones de usuarios en forma legítima, e incluso son usados por equipos de investigación de seguridad para que cuando se realizan ciertas acciones, los criminales no puedan encontrar fácilmente la fuente –me dijo Ignacio Sbampato, chief Sales & Marketing officer de la compañía de seguridad ESET–. La Unidad de Crímenes Digitales de Microsoft puede haber logrado detener alguna botnet con su acción, pero en el proceso complicó otras tantas operaciones de otras organizaciones que luchan contra los criminales, creó problemas para millones de usuarios y afectó la imagen de la industria de seguridad en general y de otras áreas de Microsoft que trabajan de otras maneras por la seguridad de sus usuarios".

No porque sí, el jueves, Microsoft dio marcha atrás y devolvió a No-IP las direcciones secuestradas. Los dominios terminados en .ORG fueron los que más tardaron en volver a estar online. Sólo en la tarde del jueves mi camarita reapareció en la Web. Pero las más de 48 horas que duró el bloqueo constituyen una lección sobre cómo atacar el delito informático.

Ninguna de las etapas, de forma aislada, estuvo mal. Las órdenes judiciales para bloquear dominios constituyen una de las muchas formas de ponerles coto a los criminales, pero, como agudamente me señaló Bellagamba, "no se debe señalar un dominio como culpable a priori, prefiero esperar que la justicia lo diga en firme". Son una medida demasiado extrema, además, para volcarla en masa sobre 23 dominios que conciernen a unos 4 millones de usuarios. Como dijo Brian Krebs, que escribió entre 1995 y 2009 sobre seguridad informática en The Washington Post y que tiene hoy un popular blog sobre estos asuntos (http://krebsonsecurity.com): "Fue como matar una mosca con una bomba atómica".

La lección más clara, una que por otro lado ya conocemos del mundo real, es que las acciones contra el crimen sólo funcionan si son coordinadas. De haber Microsoft hablado con el resto de las empresas de seguridad, y no sólo con la corte de Nevada, es muy probable que le hubieran desaconsejado la medida.

ENVÍA TU COMENTARIO

Ver legales

Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales. Aquel usuario que incluya en sus mensajes algún comentario violatorio del reglamento será eliminado e inhabilitado para volver a comentar. Enviar un comentario implica la aceptación del Reglamento.

Para poder comentar tenés que ingresar con tu usuario de LA NACION.