La exfiltración de datos o fuga de información

Hace mucho, mucho tiempo, en una tierra lejana... vale, fue en Tarancón, Cuenca y a finales de los 90. Empecé a trabajar allí para la fábrica Thomson Televisión S.A. en el departamento de TI (entonces este era todo el departamento de informática: servidores, PCs, redes, etc.)

Una de mis primeras tareas fue migrar los equipos con Windows 3.11 for Workgroup a los nuevos Windows 4.0 Workstation, usando para ello una copia de una instalación mediante los primeros sistemas que Microsoft incorporaba para hacer Snapshots de las instalaciones.

Investigando el novísimo sistema del registro de Windows (aunque ya estaba incluido en la versión 3.1 de Windows) descubrí una ruta en la que poniendo a 0 un valor (al menos es lo que yo recuerdo) desconectaba las unidades de diskettes. No me percaté en seguida, claro, si no cuando apagué el PC y al volver a encenderlo me dí cuenta de que la unidad de diskette no funcionaba, como si no estuviese conectada al equipo. Informé sobre el "descubrimiento" y al poco tiempo tuve que ir a la fábrica que había en Angé, Francia; para mostrar cómo proteger la posible exfiltración de datos usando los diskettes que, por aquella época, todavía eran muy comunes.

Entonces no me percaté que, en muchas ocasiones, el problema no es de fuera sino de dentro, los "insiders" o personal que por alguna razón no está contento puede hacer mucho daño (que está en torno a un 22% de los actores implicados, según McAfee en 2015), y una de las acciones más peligrosas es llevarse información (otras pueden ser instalar malware, dejar puertas traseras para que otros actores puedan entrar, etc.). En aquel entonces, además, internet estaba muy restringido y la fuga de datos se hacía, generalmente, por medios físicos o, como mucho, usando algún FTP mal configurado.

Pero, ¿qué es una fuga de información?

Según la wikipedia, se entiende por fuga de información una salida no controlada de información que hace que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control. Por tanto, puede ser cualquier dato o información en la que ya no tenemos control, incluyendo documentos, fotos, etc.

Hoy día, mediante distintos sistemas de protección como los mismos antivirus o los DLPs (Data Loss Prevention), junto con contraseñas, doble factor de autenticación, cortafuetos y el resto de elementos de protección, podemos mitigarlo aunque no deja de ser un problema bastante recurrente.

Al final, en las siguientes empresas en las que estuve trabajando tuve también que bloquear los accesos a otros elementos más actuales como los pendrives (puertos USB), unidades de CDW-ROM, etc., y que no eran del agrado de muchos usuarios ya que no entendían el por qué se les privaba de estas funcionalidades cuando en sus pensamientos solo eran elementos para ayudarles en su trabajo diario.

Pero pensemos en la posible salida de información de elementos muy importantes como números de tarjetas de crédito, contraseñas, análisis médicos y cualquier otra información con la que podrían cambiarnos la vida o dejarnos sin un céntimo; poca broma con esto.

Por último, si queremos investigar si nuestros datos han sido exfiltrados, podemos ir a la página  Have i been pwned y comprobarlo.

Además, INCIBE tiene una guía sobre cómo gestionar fugas de información y que puede encontrarse aquí.

La IA no destruye trabajo, lo transforma

 

A finales de los 70 y principios de los 80, la industria del videojuego empezaba a brillar a través de empresas que desarrollaban juegos de forma muy artesanal. La "edad de oro" en España fue una época de los años 80 en la que muchas empresas emergieron y jóvenes programadores en BASIC y Ensamblador se hacían un hueco como "maestros" en este nuevo campo lúdico.

OperaSoft, Zigurat, Made in Spain, ERBE, y otras, contaban con programadores y grafistas que creaban juegos para los ordenadores de la época (ZX Spectrum, Commodore 64, Amstrad CPC, MSX, etc.)

En esta época, los equipos, generalmente lo formaban dos o tres personas, donde el programador era el más famoso o el más importante, por detrás quedaban el grafista y el músico que, incluso en muchas ocasiones, también lo hacía el propio programador. Existían excepciones, evidentemente, como el caso de La Abadía del Crimen, donde Paco Menéndez hizo un fantástico trabajo de programación, pero que, además, Juan Delcán hizo un trabajo gráfico tan bueno que le iba a la par con Paco.

Y así fue que, pasaron los años y la tendencia programador/diseñador/músico fue invirtiéndose de forma que los diseñadores gráficos y músicos han llegado a tener más protagonismo en los nuevos juegos donde el aspecto de las cinemáticas y efectos visuales son lo más importante y dejando a los programadores en la labor de "backend" o en la parte de atrás del escenario solamente manteniendo y creando los soportes necesarios para que estos diseños funcionen. Incluso, ya no se fabrican motores 3D, existen frameworks que hacen la mayor parte del trabajo y lo hacen muy bien, pero se sigue necesitando de la creatividad de los diseñadores gráficos y artistas para que el juego pueda crearse, mantenerse y, por supuesto, venderse bien.

¿Y qué tiene esto que ver con la IA?, pues mucho, no solo porque los videojuegos cada vez más se basan en motores de IA para el desarrollo de la jugabilidad (de hecho, juegos como la mencionada Abadía del crimen ya contaban con rudimentarios motores de IA para los personajes no jugadores) si no por la evolución que está tomando.

En los años 70, 80 y 90 se produjeron varios inviernos de IA en los que, debido a limitaciones tecnológicas, las empresas dejaron de invertir. En estas épocas, siempre era trabajo de los investigadores, matemáticos e informáticos desarrollar distintos algoritmos para simular el pensamiento o inteligencia humana. Desde la salida de la IA generativa la cosa parece estar invirtiéndose como ha pasado en la industria del videojuego. Ahora están tomando mucha relevancia los autores de prompts o personas que saben cómo realizar las preguntas correctas a sistemas de IA, lo que puede estar indicando que la tendencia de la IA se está re-orientando hacia nuevos tipos de trabajos.

Como yá vaticinó Isaac Asimov con su imaginación e interés por la robótica (no en vano él acuñó dicho término), podríamos estar cerca de tener psicólogos o terapéutas especializados en sistemas con IA, abogados expertos en defender a inteligencias artificiales o ingenieros de IA.

Los trabajos repetitivos podrán ser sustituidos por IAs generativas o generales o desarrolladas específicamente para esos dominios, pero siempre surgirán nuevos trabajos que los humanos tengamos que desarrollar de forma más imaginativa, creativa o también en un aspecto tecnológico y ayudado por las propias IAs.

Y entre todo estos nuevos trabajos o trabajos evolucionados tenemos la parte de ciberinteligencia y ciberseguridad, donde las IAs podrán ayudar mucho a los técnicos y expertos en estos campos y, como no, en el análisis forense, donde podrán acelerar la parte de investigación operativa de forma indiscutible.

Un par de libros que me han gustado sobre este tema y que recomiendo son: "Cómo crear una mente" de Ray Kurzweil y "Abstenerse humanos: Guía para la riqueza y el trabajo en la era de la inteligencia artificial" de Jerry Kaplan.

Ciberseguridad, hacking y certificaciones

La primera vez que oí hablar de hacking sería en los albores de los 90, cuando un amigo me habló de un libro sobre esto que se titulaba «El huevo del cuco» y que me leí en «cuatro tardes» de verano. Tiempos en España de la red Fidonet y modems de 2400bps, 9600bps y alguno más rápido que acababa de salir y costaba un riñón. Sería por la época dorada de mi Amstrad PC-1512 (o puede que otro algo mejor ya que se pierde en los albores de la historia de la segunda edad, como diría Tolkien) cuando recibí una invitación para participar en una reunión de hackers y que, a día de hoy, sigue siendo un misterio para mí cómo recibí dicha invitación por carta. En esta reunión conocí a una persona que se convertiría en uno de mis mejores amigos y con el que aprendí mucho ya que no había cursos ni certificaciones para poder saber cómo entrar en un ordenador, sin ser invitado, o hacer ingeniería inversa.

Fue una época donde empezaba con Minix y Xenix a ver el potencial de los sistemas Unix y más tarde con GNU Linux cuando me aficioné a aprender a recompilar el kernel para tener más fiabilidad y estabilidad, recompilar comandos para jugar con los procesos y ficheros (ps, ls, etc.), mejorar mis conocimientos en el lenguaje C y ensamblador, y que me sirvió para, más adelante, desensamblar y realizar ingeniería inversa de virus como NATAS, de Jame Gentile, o investigar sobre diversos juegos y programas de laboratorio cuyas protecciones eran bastante buenas.

Y qué decir del sistema láser de diskettes, «¡ese lo inventamos mi amigo Ivan y yo!», agujereando físicamente el disco que queríamos que fuera el original para luego usar el formateo de esos sectores y comprobar si nuestro programa se había copiado. Vale, cierto que no lo inventamos nosotros porque ya habíamos oído algo de dañar físicamente partes de los discos para realizar las verificaciones, pero nos sirvió para investigar la BIOS y los servicios del MS-DOS a fondo 😉

Han sido unos años en los que para trabajar no podías decir que eras hacker, porque en primer lugar no se entendía y en segundo porque si alguien conocía la palabra directamente no te contrataba y te echaba a patadas. No había todavía esa acepción de «ético» que ahora está tan de moda aunque sí empezaban a dividirse entre hackers y crackers sin que tampoco quedase bien descrito que un hacker es una persona curiosa a la que le gusta investigar y, quizás, salirse algo de la norma establecida, pero que como con todo, puedes ser más tímido con tus conocimientos o más «osado» y simplemente aprender cómo puedes crear una escalada de privilegios por un problema en el kernel o usarlo para fines no lícitos.

Pero ahora todo es distinto, ahora si tienes estudios de ciberseguridad y, sobre todo, alguna certificación tienes hasta posibilidades de trabajar en esto. Eso si, el abanico de posibilidades de formación es inmenso y de hecho es un negocio: cursos, hackatons, laboratorios, boot camps y, como no, certificaciones.

En mi caso, creo que las OSCP y OSCE son las que más me atraen, claro, es evidente que me gusta la parte más práctica pese a mi edad, pero existen multitud de certificacciones desde las más teóricas hasta estas más prácticas con precios diversos, si bien, como con todo, esto ahora es un negocio y depende de la dificultad y prestigio de la empresa que expide estas certificaciones para que sean tomadas más o menos en cuenta a la hora de servir, como reclamo, para un puesto de trabajo desde analista de nivel 1 hasta CISO.

Desde los 80 y 90 hasta nuestros días se han producido muchos cambios, cambios en el significado de la palabra hacker o jáquer, cambios en la concienciación por la ciberseguridad, cambios en los sistemas de detección de malware, amenazas e incidentes y hasta cambios estéticos y de imagen, como es crear logos con aspecto militar (puñales, escudos, águilas, etc.) para proporcionar un impacto más directo de seguridad «ofensiva» a los clientes. La vida cambia y los conceptos y sensibilidades también

El hombre del IBM

Sería el año 84 o quizás el 85 y estaba en unos grandes almacenes por la tarde. Serían las 20:30 o las 21:00 horas y estaba cerrado, solo la sala de exposiciones de arte, por la que se entraba desde otro lado, estaba abierta.

Centro Hogar Sánchez era un referente en Granada en cuanto a localización y prestigio en una época de Galerías Preciados y sastrerías. Tenía una galería de arte donde mi padre solía exponer sus obras durante una o incluso dos veces al año.

Estaba "gamberreando" por las distintas plantas de las que constaba el edificio y donde los guardias jurados hacían la "vista gorda" porque me conocían de sobra tanto de estar por allí "danzando" en la zona de micro-informática como de mis escapadas durante el tiempo de apertura de la galería de arte. Y allí, paseando de arriba para abajo fue cuando lo vi. Era una habitación del tipo "pecera" en la que había un gran cristal en el que se podía ver dentro de esta una mesa con su silla de despacho y un ordenador, un flamante IBM de los de pantalla verde. Un hombre estaba mirando la pantalla fijamente y tecleaba de vez en cuando. Como amante de los pequeños cacharros digitales de la época y en particular del ZX Spectrum y del Laser 200, este segundo solo porque se veían muy pocos, no podía dejar de mirar ese ordenador de "gente mayor", de personas que sabían programar en lenguajes que no eran el popular BASIC, aunque, seguramente era en lo que estaría programando...

En poco tiempo tendría mi primer ordenador, un Hit-Bit de Sony, el HB-75P de la norma MSX, la norma que quería la compatibilidad entre sistemas hardware pero que, como se vería en poco tiempo, era muy difícil de mantener.

No sé si el ordenador era un IBM PC 5110 como yo lo recuerdo o fuese una edición posterior, pero aquello me dejó perplejo. Supongo que en una época donde películas como “Juegos de guerra” o “Tron” que nos ofrecían un mundo donde los “hackers” podían hacer casi cualquier cosa, el ver una máquina tan imponente a los ojos de un preadolescente era como un sueño hecho realidad. Con mis parcos conocimientos de BASIC todavía y que ponía en práctica en casa de algún amigo con Spectrum o algún Spectravideo SVI-318 sin embargo me sentía importante. Ningún niño de mi clase sabía programar y yo… bueno, yo más o menos, ponía un bucle FOR…NEXT o un IF y poco más, pero ya sabía que una variable guardaba valores numéricos o cadenas de texto con las que podía jugar.

Quizás, ese conocimiento era lo que hacía volar mi imaginación más de lo que, seguramente, podía hacer ese aparato, pero sin duda alguna fue una tarde para recordar durante tantos años.

Esa misma sensación la tendría años más tarde con varias experiencias y etapas, como cuando instalé por primera vez Xenix y Minix o cuando me metí de lleno a estudiar y “cacharrear” el sistema GNU/Linux en épocas donde en el primer caso era MS-DOS y en el segundo Windows los sistemas que usaba la gente común, la gente que usaba el ordenador para jugar o como usuario básico, pero no como un gurú o como una persona curiosa. Donde más tarde recompilaba el kernel para modificar comandos de listado de procesos o de ficheros con la intención de gastar bromas. Siempre, como no, llevado más por la curiosidad de aprender que de hacer algo productivo al final pero que reportaba una gran sensación de placer como cuando uno no puede dejar de ir un día al gimnasio o de salir a correr.

Ese ordenador con su fósforo verde y sus unidades de disco flexible de 5 ¼ apareció allí, en ese momento, seguramente para enseñarme que los sueños, en algunos casos se cumplen y que las sensaciones y recuerdos, a veces, cuando te vienen, te hacen esbozar una sonrisa picarona y nostálgica.

Señor del IBM, gracias por ese/este momento.