Chris Wysopal: “Todo software tiene vulnerabilidades hasta que se demuestre lo contrario” | Tecnología

Chris Wysopal: “Todo software tiene vulnerabilidades hasta que se demuestre lo contrario” | Tecnología


Chris Wysopal, cofundador de Veracode, durante su intervención en la conferencia RISE de 2018S3studio / Getty Images

El 19 de mayo de 1998, siete jóvenes de traje y con nombres inventados se sentaron ante el Congreso de los Estados Unidos para hablar de seguridad informática. Formaban parte del colectivo de hackers —en este caso más ciberexpertos que piratas informáticos— conocido como el L0pht y pasaron a la historia del sector por la contundencia de sus advertencias. Cualquiera de ellos tenía las habilidades para tumbar internet en menos de media hora, avisaron.

Uno de ellos era Weld Pond, conocido en su vida anterior y posterior como Chris Wysopal (Connecticut, 55 años). En sus intervenciones de aquel día señaló la falta de rendición de cuentas por parte de las compañías de desarrollo de programas informáticos y puso de ejemplo el sistema de extracción de contraseñas que había desarrollado con sus camaradas: “Antes de su lanzamiento, los expertos en seguridad aseguraban que se tardaría miles de años en descifrar una contraseña de Windows NT —sistema operativo dirigido a empresas—. Nuestro programa puede hacerlo en días e incluso horas”.

Pasados 23 años de aquella cita, el experto en seguridad informática y cofundador de la plataforma de revisión de código Veracode hace un balance agridulce de la comparecencia: “Estábamos tratando de crear conciencia de que la gente que estaba construyendo programas informáticos podían hacer un mejor trabajo y ofrecer sistemas seguros. Desde ese punto de vista, tuvimos éxito. Las cosas han mejorado, pero no lo suficiente”, razona el experto, que intervino la semana pasada en el evento tecnológico Collision, durante una entrevista por videollamada.

Wysopal vio nacer y crecer la industria de la seguridad informática. En sus inicios buscó vulnerabilidades —problemas que pueden ser explotados por cibercriminales— leyendo línea a línea el código de los programas y ahora lidera la división tecnológica de Veracode, una herramienta capaz de detectar estos fallos de forma automatizada y en multitud de lenguajes de programación en los productos de más de 2.500 clientes. Según la última entrega del informe del estado del sector que la compañía elabora desde hace más de una década, el 24% de las aplicaciones presentan fallos muy graves de seguridad.

Pregunta. ¿Necesitamos otra llamada de atención?

Respuesta. Nuestra llamada de atención fue teórica. Ese es uno de los inconvenientes de la investigación en seguridad. Dices que has encontrado unos fallos que pueden ser explotados y asumes que se van a arreglar antes de que alguien haga algo malo con ellos. En aquel entonces, la sensación era que nadie más podía hacer algo así. Nosotros conocíamos a un montón de gente capaz. Sabíamos que no éramos especiales. Pero para alguien sin nuestras habilidades, esto parecía magia negra. En aquel entonces, todo era teórico. La gente no actúa sobre teorías. Pero ahora tenemos ejemplos concretos ocurriendo todo el tiempo. Hace 23 años pusimos estas ideas sobre la mesa, pero no ha habido acción hasta que han empezado a ocurrir ataques realmente devastadores. Por desgracia ese es el modo en que funciona el mundo.

P. Ha seguido insistiendo en la necesidad de que las empresas se responsabilicen de sus productos informáticos. ¿Ve manera de que dejen de ser los ciudadanos quienes paguen el coste?

R. Es muy difícil cambiar eso. Hay mucho programa informático abierto ahí fuera y muchas startups ―empresas tecnológicas emergentes― trabajando en proyectos innovadores que no verían la luz si se les pusieran un montón de restricciones legales.

Además, es muy complicado que el consumidor promedio pueda marcar la diferencia porque no tiene influencia económica. Pero por ejemplo, el gobierno de los Estados Unidos o las grandes empresas tienen una ventaja económica tremenda. Si ellos hacen que los fabricantes creen mejores programas, los consumidores notarán el impacto. Lo mejor que los usuarios individuales pueden hacer es asumir que sus aplicaciones son vulnerables y asegurarse de actualizarlas.

P. ¿Seguimos exigiendo menos a los bienes y servicios digitales que a lo físico?

R. Sí. Las tratamos de forma diferente, pero tienen valor y pueden dañarnos. Creo que ahora que el software está cruzando al mundo físico, empezamos a entenderlo. Hablamos de infraestructuras críticas como presas y centrales eléctricas, y eso lo hace más real. El lado malo de lo virtual se está volviendo más relevante para la gente normal, porque estamos utilizando la tecnología de otra manera.

P. ¿Puede una herramienta como Veracode detectar cualquier tipo de vulnerabilidad?

R. El viejo tipo de ciberdelincuente que hinca los codos y profundiza en una pequeña parte de un programa informático aún puede encontrar cosas que son únicas y que no detectamos a escala. Ese miedo sigue ahí. Pero lo que intentamos hacer es quitarnos de encima las otras cien cosas que sabemos resolver. Si no abordas eso, eres una presa fácil para cualquiera que quiera explotar tu software.

P. ¿Siguen siendo necesarias esas revisiones línea a línea?

Si eres una gran tecnológica o trabajas con sistemas críticos, tienes que hacer ambas: automatizada y manual. Pero no creo que todos los programas lo exijan. Hay miles y miles de proveedores de software. Echa un vistazo a tu teléfono. Tendrá un centenar de aplicaciones de diferentes compañías. ¿Quién sabe quién las escribió? Ese es el problema que estamos intentando resolver, el de la empresa mediana. Creo que podemos bajar ese 24% de vulnerabilidades muy graves al 1% haciendo todo lo que muchas compañías están dejando de hacer porque dan más prioridad al tiempo que tardan en llegar al mercado o al futuro.

P. ¿Complica las cosas la evolución de los métodos y objetivos de los atacantes?

R. Sí. En los noventa, la finalidad era sencillamente hacer una demostración, o dejar mal a una empresa dejando inservible su página. Ahora las mismas vulnerabilidades se usan para robar datos y monetizarlos. Por eso, el impacto es peor.

P. También ha señalado el código abierto como fuente de problemas…

R. La gran ventaja del código abierto es que permite a los desarrolladores tener un montón de funcionalidades disponibles instantáneamente, sin tener que construirlas desde cero, de modo que ahorran tiempo y recursos. El lado malo es que tienes menos control de la seguridad del código que estás utilizando. Hay que monitorizar todas las distintas piezas de código abierto que se están empleando y actualizarlas si se descubre alguna vulnerabilidad.

Además, es una mayor fuente de problemas, porque lo utilizamos más. Es como construir una casa. Si lo haces tú mismo, no tienes problemas con los proveedores, pero si tienes a diez personas distintas fabricando distintas partes de tu casa, tendrás que gestionarlas a todas y asegurar que están haciendo un buen trabajo.

P. ¿Cómo encaja en este nuevo escenario la actividad de grupos como el L0pht?

R. Esa comunidad es superimportante porque hay un montón de cosas que no podrían ocurrir en un entorno 100% profesional. Mucha gente que estaba en esto hacia finales de los noventa que ahora ha cruzado al mundo comercial porque para resolver estos problemas tienes que construir algo que la gente pueda comprar y reforzarlo con gente que traje de nueve a cinco. Pienso que el mundo comercial tiene más posibilidades de resolver los problemas y la comunidad hacker tiene más posibilidades de hacernos conscientes de ellos.

P. Si volvieran a sentarle en el congreso, ¿Cuál sería su mensaje?

R. Les diría que hagan que los fabricantes rindan cuentas. Sé que pueden hacerlo mejor. Ahora sabemos construir tecnologías más seguras y más resistentes a los ataques. Este fue uno de los mensajes que dimos hace 23 años, y creo que está empezando a ocurrir ahora. Es increíble lo lento que cambian las cosas.

Y a los usuarios les diría que asuman que todo software tiene vulnerabilidades hasta que se demuestre lo contrario.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter.

Lo más vendido de tecnología informática

RebajasBestseller No. 1
HP Chromebook X360 14a-ca0003ns - Ordenador portátil de 14" FullHD Convertible táctil (Celeron N4020, 4GB RAM, 64GB Emmc, Gráficos Intel UHD, Chrome OS ) Plata - teclado QWERTY Español
  • Pantalla FHD (1920 x 1080) de 14" (35,6 cm) en diagonal, táctil, IPS, bisel micro-edge, antirreflectante, 250 nits, 45 % NTSC
  • Procesador Intel Celeron N4020 (2 núcleos, 1,1 GH/ 2,8 GHz, 4 MB)
  • Memoria RAM de 4 GB LPDDR4-3733 MHz
  • Almacenamiento de 64 GB eMMC
  • Tarjeta gráfica integrada Intel UHD 600
Bestseller No. 2
Law & Order: Special Victims Unit - Season 11
  • Amazon Prime Video (Video on Demand)
  • Mariska Hargitay, Christopher Meloni, Richard Belzer (Actors)
RebajasBestseller No. 3
Bestseller No. 4
VASAGLE Escritorio de la Computadora Blanco Mesa de Ordenador en Forma de Z Escritorio para hogar o Oficina LCD811W
  • ¿QUIERES CAMBIAR TU LUGAR DE TRABAJO? ¡Este escritorio está equipado con 4 ruedas para moverlo de la oficina a la sala de estar o incluso al balcón! 2 ruedas están equipadas con frenos para mantener el escritorio en su lugar
  • ESPACIO PEQUEÑO: Este escritorio compacto, de 60 x 48 x 73 cm, cabe en espacios reducidos y ofrece espacio para tu PC o portátil. La unidad central y la impresora se pueden colocar en el estante inferior
  • ESTRUCTURA EN FORMA DE Z ESTABLE: Está hecho de tubos de acero y tablero de aglomerado de 15 mm de espesor. La parte superior soporta hasta 30 kg. El enchapado en melamina es resistente al desgaste y a la decoloración. Se puede limpiar con un paño húmedo
  • CON SOPORTE DE TECLADO: El soporte de 54 x 26 cm está equipado con rieles silenciosos para crear un ambiente de trabajo tranquilo. El teclado no ocupa espacio en la parte superior, así que hay más espacio para mirar las notas
  • QUÉ HAY EN LA CAJA: Instrucciones ilustradas, piezas numeradas, agujeros pre-perforados en el lugar correcto, la herramienta necesaria para el montaje y lo más importante. Este compacto escritorio de VASAGLE se puede montar en pocos minutos
Bestseller No. 5
NITROPC - PC Gamer Nitro AMZ 2021 *Rebajas* (CPU AMD 2/4N x 3,50 GHz, T. Gráfica 2 GB, HDD 1 TB, Ram 16 GB, W10) + WiFi de Regalo. pc Gamer, pc Gaming, Ordenador para Juegos (actualizado Julio 2021)
  • CPU: AMD 3000G 3,50 GHZ (Turbo) x 2/4 núcleos / Placa base Chip AM4 A320 DDR4
  • GRÁFICA: AMD VEGA 3 2GB (integrada CPU)
  • RAM: 16 Gb (8 GB X 2) 2400 MHZ
  • HDD: 1 TB SATA 6 GB/S
  • Producto 100% Español* Windows 10 Pro de 64 bits activado, 100% testeado, 2 años de garantía Premium incluida.

Fuente original