El reciente estreno de Sin tiempo para morir baja el telón para la era de Daniel Craig. Con esto en mente, vamos a repasar las cinco aventuras de Bond desde el punto de vista de la ciberseguridad; nuestros hallazgos te dejarán agitado, pero, con suerte, no revuelto. Lo que conecta a las películas, a parte del mismo Craig, es la plena falta de entendimiento de los conceptos básicos de la ciberseguridad por parte de los empleados de MI6.
No es claro si este descuido es deliberado (lo que resalta qué tan obsoleto es el concepto de Bond y de toda la sección 00) o si se debe a la incompetencia de los guionistas y la falta de consultores especializados. Como sea, vamos a analizar los absurdos que detectamos en las películas, en orden de aparición. ¡Contiene spoilers!
Casino Royale
En la primera película de Craig como Bond aparece esta escena: Bond penetra en la casa de su superior inmediato, M, y utiliza la laptop de esta para conectarse a algún tipo de sistema espía para encontrar el origen de un mensaje de texto que se envió al teléfono de un villano. En realidad, Bond solo podría haber hecho esto si:
- MI6 no hubiese implementado un bloqueo de pantalla automático y una política de cierre de sesión, y M dejase su laptop siempre prendida y con su sesión iniciada.
- MI6 no implementa el uso de contraseñas seguras; las contraseñas de M pueden adivinarse con facilidad.
- M no sabe cómo mantener sus contraseñas en secreto de sus colegas, o utiliza contraseñas que ya fueron comprometidas.
Cualquiera de estas situaciones causa problemas, pero la tercera es la más probable; un poco más adelante en la historia, Bond otra vez inicia sesión de manera remota en un “sitio web seguro” con las credenciales de M.
Bond y sus contraseñas no son mejores. Cuando necesita crear una (de al menos seis caracteres) para la cuenta secreta en la que se guardarán sus ganancias del póker, utiliza el nombre de su colega (e interés amoroso), Vesper. Es más, la contraseña es una nemotecnia que corresponde a un número (como las phonewords -números con letras- obsoletas para recordar y marcar números en teclados alfanuméricos). Se trata de una contraseña de 6 dígitos, basada en una palabra del diccionario.
Quantum of Solace
Quantum of Solace es la película con menos contenido informático de las cinco; sin embargo, hay un momento que vale la pena mencionar. Al principio de la película, nos enteramos de que Craig Mitchel, un empleado que lleva 8 años en MI6 (cinco de los cuales fue guardaespaldas personal de M), es en realidad un agente doble.
Por supuesto, este es más bien un problema de seguridad anticuado que de tipo cibernético. Sin embargo, el descuido de M con las contraseñas, como se ve en la película anterior, indica que los secretos de MI6 bien podrían estar en manos de los supervillanos y sus gatos en todo el mundo.
Skyfall
Skyfall está en el otro extremo del espectro cibernético, ya que es la que incluye más contenido informático. Aquí, la seguridad de la información está justo en el centro de la trama. La locura cibernética es evidente desde la primera escena. Para comodidad, vamos a organizar nuestro análisis de manera cronológica.
Filtración de datos en Estambul
Un criminal desconocido roba el disco duro de una laptop que contiene “la identidad de todos los agentes de la OTAN inmersos en organizaciones terroristas en todo el mundo”. Ni siquiera los socios de MI6 están al tanto de la lista (la cual oficialmente no existe).
La sola idea de que exista este disco duro ya es una vulnerabilidad gigante. Vamos a asumir que la base de datos es vital para MI6 (lo es). Entonces, ¿qué hacía en un refugio en Estambul, protegido solo por tres agentes? ¿Incluso si el disco duro está, según dicen, cifrado y se alerta a MI6 de cualquier intento de descifrado?
Ataque ciberterrorista al SIS
El primer incidente cibernético real aparece un poco después: un ataque ciberterrorista a la sede del Servicio de Inteligencia Secreto Británico. El atacante intenta descifrar el disco robado, al parecer, y de acuerdo con el sistema de seguridad, desde la computadora personal de M. Los defensores tratan con desesperación de apagar la computadora, pero los criminales explotan el edificio del SIS a la orilla del río Támesis.
La investigación derivada revela que el agresor hackeó el sistema de control ambiental, bloqueó el acceso de los protocolos de seguridad y abrió el gas; pero antes de hacerlo, hackeó los archivos de M, incluido su calendario, y extrajo los códigos con los que la pregunta es cuándo se descifrará el disco y no si puede descifrarse.
Supongamos que la alerta del disco duro robado en la computadora de M representó un intento de desinformar o trolear (después de todo, el disco no podría haber estado en el edificio). Y vamos a ignorar las preguntas sobre el suministro de gas del edificio –no sabemos, tal vez los corredores de MI6 se iluminaban con linternas de gas de la época de Jack el Destripador, después de todo el Gran Bretaña es una tierra de tradiciones.
De cualquier manera, sin duda se pueden hackear los sistemas de control de ingeniería. Pero ¿cómo terminaron en la misma red los sistemas de control de ingeniería (supuestamente “el sistema informático más seguro de la Gran Bretaña”) y la computadora de M? Este es claramente un problema de segmentación. Cabe mencionar que almacenar los códigos de descifrado del disco en la computadora de M es otro ejemplo de negligencia pura. Al menos podrían haber utilizado un administrador de contraseñas.
Acoso cibernético a M
Los criminales se burlan de M al publicar periódicamente los nombres de agentes en el dominio público. Al hacerlo, de alguna forma pueden mostrar los mensajes en su laptop. (Parece que hay un tipo de puerta trasera; ¿si no, cómo podrían entrar?) Pero a los expertos de MI6 no les interesa revisar la laptop, solo rastrear el origen de los mensajes.
Concluyeron que se enviaron mediante un algoritmo de seguridad asimétrico que rebotó la señal en todo el mundo, a través de más de miles de servidores. Es posible que esta táctica exista, pero no queda nada claro a lo que se refieren por “algoritmo de seguridad asimétrico”. En el mundo real, algoritmo de cifrado asimétrico es un término de la criptografía; no tiene nada que ver con ocultar el origen de un mensaje.
Ataque mediante infiltrado a MI6
Bond localiza y aprehende al cibercriminal (un antiguo agente de MI6 de nombre Silva), y lo lleva a él y su laptop a la nueva sede de MI6, sin darse cuenta de que Silva lo está engañando. Aparece Q: nominalmente un intendente, funcionalmente un hacker en jefe en MI6, en realidad un payaso.
Este razonamiento tampoco queda completamente claro. ¿Es un payaso porque esto es gracioso? ¿O la decisión fue otra consecuencia del analfabetismo en ciberseguridad de los guionistas? Lo primero que Q hace es conectar la laptop de Silva a la red interna de MI6 y empieza a decir jerigonza, la cual trataremos de descifrar:
- “[Silva] configuró protocolos de respaldo para borrar la memoria en caso de que hubiera intentos de acceder a ciertos archivos”. Pero si Q lo sabe, ¿entonces por qué continúa analizando los datos de Silva en una computadora con estos protocolos instalados? ¿Qué pasa si se borra la memoria?
- “Es su sitio omega. El nivel más cifrado que tiene. Parece un código ofuscado para ocultar su verdadero propósito. Seguridad por oscuridad.” Esto es básicamente una sarta de términos aleatorios que no tienen lógica unificadora. Algunos códigos sí están ofuscados (alterados para impedir su análisis) mediante cifrado, y ¿por qué no? Pero para ejecutar el código, primero hay que descifrarlo, y este sería buen momento para averiguar cómo. Seguridad por oscuridad sí es un enfoque de la vida real para asegurar un sistema informático para el cual, en lugar de mecanismos de seguridad robusta, la seguridad depende de dificultar que los datos sean descifrados por potenciales atacantes. No es la mejor práctica. Lo que Q quiere transmitir exactamente a la audiencia no es claro.
- “Usa un motor polimórfico para mutar el código. Cuanto trato de acceder, cambia.” Estas son más incoherencias. Nadie sabe dónde está el código y cómo es que Q intenta llegar a él. Si se refiere a archivos, existe el riesgo de borrar la memoria (ver el primer punto). Y no es claro por qué no pueden detener este motor mítico y deshacerse de la “mutación del código” antes de intentar descifrarlo. En cuanto al polimorfismo, es un método obsoleto para modificar el código malicioso al crear copias nuevas de virus en el sentido más estricto de la palabra. Aquí no sirve de nada.
De manera visual, todo lo que sucede en la computadora de Silva se representa como una especie de diagrama de espagueti de complejidad diabólica aderezado con lo que parece ser un código hexadecimal. Bond y su vista de águila descubren un nombre familiar dando vueltas en la sopa alfanumérica: Granborough, una estación de metro en desuso en Londres. Sugiere utilizarla como clave.
Seguramente un par de agentes de inteligencia experimentados deberían darse cuenta de que una pieza vital de información que ha sido dejada a plena vista, justo en la interfaz, debe ser una trampa. ¿Por qué otro motivo un enemigo la dejaría ahí? Pero el ingenuo Q ingresa la clave sin pensarlo. Como resultado, las puertas se abren, aparecen mensajes de “brecha de seguridad en el sistema” y lo único que Q puede hacer es voltear y preguntar, “¡¿Puede alguien decirme como demonios entró a nuestro sistema?!” Unos segundos más tarde, el “experto” finalmente decide que podría tener sentido desconectar la laptop de Silva de la red.
En general, nuestra pregunta principal es: ¿Los guionistas decidieron retratar a Q como un aficionado torpe, o solo sazonaron el guion con términos de ciberseguridad aleatorios en espera de que Q pareciera un genio de la tecnología?
007: Spectre
En teoría, Spectre tenía por objetivo plantear el tema de la legalidad, la ética y la seguridad en el programa de vigilancia mundial e inteligencia, Nueve Ojos, como herramienta contra el terrorismo. En la práctica, la única desventaja de crear un sistema como el que se muestra en la película es si el jefe del Servicio Conjunto de Inteligencia (después de la fusión de MI5 y MI6) está corrupto, es decir, si como antes, un villano infiltrado que trabaja para el enemigo declarado de Bond, Blofeld, obtuviera acceso a los sistemas de información del gobierno británico. Otras desventajas potenciales de este tipo de sistemas no se consideran para nada.
Además del tema del infiltrado, Q y Moneypenny pasan información clasificada a Bond, quien está suspendido, a lo largo de la película. Y, además, dan información errónea a las autoridades sobre su paradero. Es posible que sus acciones sirvan a un bien mayor, pero en términos de trabajo de inteligencia, están filtrando información confidencial y son culpables, al menos, de conducta profesional indebida.
Sin tiempo para morir
En la película que da fin a la era de Craig, MI6 desarrolla en secreto una arma ultrasecreta llamada Proyecto Heracles. Esta es un arma biológica que consta de un enjambre de nanobots que están codificados con el ADN individual de las víctimas. Con Heracles, es posible eliminar los objetivos al rociar nanobots en el mismo cuarto, o al introducirlo en la sangre de alguien que se tiene la seguridad de que estará en contacto con el objetivo. El arma es producto de la mente de los científicos de MI6 y del agente doble (o triple, perdimos la cuenta). Valdo Obruchev.
Obruchev copia los archivos secretos en una unidad de memoria flash y se la traga. Después, los empleados (los pocos que no fueron eliminados en la última película) de la ahora no tan secreta organización Spectre entran al laboratorio, roban algunas muestras de los nanobots y secuestran al científico traidor. Ya sabemos sobre los problemas con las verificaciones de antecedentes del personal, pero ¿por qué un laboratorio que desarrolla armas secretas no cuenta con un sistema de prevención de pérdida de datos (DLP), especialmente en la computadora de alguien de apellido ruso, Obruchev? (Ruso = villano, todo el mundo lo sabe.)
La película también menciona brevemente que, como resultado de varias filtraciones de grandes cantidades de datos de ADN, el arma puede usarse contra cualquier persona. Por cierto, esta parte no es completamente inviable. Pero después nos enteramos de que estas filtraciones también contenían datos de los agentes de MI6, y esto ya es muy difícil de creer. Para poder concordar los datos de ADN filtrados con los de los empleados de MI6, las listas de estos agentes debieron haberse hecho públicas. Esto es un poco exagerado.
La cereza en el pastel, mientras tanto, es el ojo artificial de Blofeld. Mientras su dueño estuvo por años en una prisión de máxima seguridad, mantuvo una conexión de video las 24 horas del día con un ojo similar en uno de sus secuaces. Vamos a ser generosos y asumir que es posible no ver un implante biológico en un prisionero. Pero sería necesario tener que cargar el ojo de manera regular, lo cual sería difícil en una prisión de máxima seguridad. ¿Qué han estado haciendo los guardias? Es más, al final, Blofeld es detenido sin el ojo, así que alguien debió habérselo dado después de su arresto. ¿Otro infiltrado?
No es un epílogo
Nos gustaría creer que todos estos absurdos son resultado de un guion deficiente, y no un reflejo genuino de la práctica de la ciberseguridad en MI6. Esperamos que al menos el servicio real no filtre armas ultrasecretas o almacene secretos ultaconfidenciales en texto legible en los dispositivos que ni siquiera se bloquean de manera automática. En conclusión, solo nos queda recomendarles a los guionistas que sean más conscientes de la ciberseguridad, y que, por ejemplo, tomen un curso en ciberseguridad[KASAP Placeholder]tomen un curso en ciberseguridad[/KASAP Placeholder].