EscucharEl mundo se digitaliza cada vez más y, por consiguiente, necesitamos confiar más en los productos y servicios digitales que consumimos, en ocasiones sin percatarnos.
Miles de millones de seres humanos dedican tiempo a las redes sociales diariamente, confiando en que su privacidad e intimidad serán respetadas. Sin embargo, hay poca evidencia de que así sea.
Una cantidad, probablemente similar, de personas utiliza servicios financieros de manera digital, con fe en que sus fondos son respetados. Esta confianza se basa en múltiples capas de seguridad y supervisión, ejecutadas a gran costo y esfuerzo, precisamente para infundir confianza.
Obviamente, valoramos más nuestros fondos que nuestra privacidad. También es posible que valoremos más el entretenimiento y la socialización que el ahorro de tiempo.
Algunos sistemas de mensajería emplean criptografía de extremo a extremo, lo cual parece haber generado mucha confianza entre los usuarios que recurren a ella extensivamente. Aparentemente, las conversaciones por estos medios no son fácilmente interceptadas y, además, el servicio es gratuito. Por ello, han ganado el favor de miles de millones de personas.
Lo que la gran mayoría no percibe es que, en ambos extremos, la información se guarda sin protección. Es probable que por ello se haya introducido la posibilidad de que los mensajes se borren automáticamente tras un tiempo determinado. Pero el malware móvil prolifera. Con tanta confianza (injustificada) que tenemos, resulta moderadamente fácil introducir software malicioso en dispositivos móviles ajenos. Estos programas acceden a los datos del teléfono y los envían a su operador.
Hace unos diez años, en un evento TED en Oxford, sorpresivamente, anunciaron a Edward Snowden como expositor. Para nuestro asombro, se conectó por videoconferencia, ya que estaba escondido en Rusia debido a que tenía, y supongo todavía tiene, orden de captura.
Poco tiempo antes, había divulgado información confidencial de la Agencia Nacional de Seguridad de los EE. UU., conocida como NSA por sus siglas en inglés. Entre los informes divulgados, había numerosas instancias de recolección de información privada y confidencial alrededor del mundo, frecuentemente con la participación de operadores de telecomunicaciones. Todos nos sentíamos vulnerables y despertó nuestra curiosidad oír lo que tenía que decir.
Habló del interés público y la libertad de expresión y, en general, defendió lo mejor que pudo el acto criminal que había cometido al violar todos los acuerdos de confidencialidad que había firmado. Pero bueno, era de esperar.
Lo que más vívidamente recuerdo fue cuando le preguntaron cómo defendernos de las amenazas cibernéticas que ya eran inminentes en esa época. Contestó sin titubear que debíamos cifrar todos los datos, tanto en tránsito como en reposo.
Los datos en reposo, obviamente, son todas las bases de datos del planeta. Muchos consideramos la recomendación poco práctica en ese tiempo: era demasiado caro hacerlo. Hoy ya no tanto, y las amenazas son mucho mayores.
Cuando adquirimos un software, debemos confiar en el proveedor. Hoy lo hacemos fundamentados en su reputación, la cual, a su vez, se basa en incidentes pasados.
Es difícil encontrar un software al que nunca se le hayan detectado vulnerabilidades. Los proveedores con mejor reputación son aquellos que ofrecen arreglos a las vulnerabilidades más rápidamente, ya que el tiempo que pasa desde que se detecta hasta que se libera el parche deja a los usuarios desprotegidos.
Yo preferiría poder evaluar la reputación a partir de estándares internacionales de calidad. Sería ideal tener evidencia, por ejemplo, de que al código fuente se le haya aplicado un software estándar que detecte fallas de calidad. Por supuesto, esto no implica que esté libre de fallos, pero sí que no tiene ninguna de las que detecta ese software.
Todo se resquebraja cuando recordamos el caso de CrowdStrike el año pasado, cuando liberó una nueva versión de su costoso software y dejaron de funcionar ocho millones de máquinas Windows alrededor del mundo.
Sin embargo, si queremos utilizar software, debemos confiar en los proveedores. Uno esperaría que hicieran un mayor esfuerzo para ganarse la confianza, en lugar de concentrarse únicamente en las funcionalidades nuevas que ofrecen.
Con los nuevos sistemas de inteligencia artificial, el asunto es aún más complicado, ya que suelen ser una caja negra muy poderosa, pero desconocemos por completo otras consecuencias de su uso. ¿Debemos confiar en quienes emplean la inteligencia artificial o en los que producen el software? ¿O en ambos? Menudo problema.
Más difícil aún es confiar en los servicios de telecomunicaciones, es decir, en los operadores de redes y otros proveedores relacionados. La información que divulgó Snowden fue alarmante. Las agencias de inteligencia de los EE. UU., en colusión con grandes operadores, espiaron a personas y organizaciones. Esto asusta porque demuestra lo fácil que es para quienes manejan las redes asomarse y ver qué está pasando por ahí. No es ético ni legal, pero es fácil.
La trama se complica aún más porque, aunque confiemos plenamente en nuestro operador de redes, este no produce ni el hardware ni el software que opera en las redes. Ellos también deben confiar en sus proveedores.
Pensemos en la posibilidad de que un proveedor de equipos de redes haya incorporado código malicioso en los dispositivos. Supongamos que esos proveedores deben dar mantenimiento con cierta frecuencia a tales equipos y actualizar el software con versiones más eficientes y resilientes. Debemos confiar en que no exista ni una sola línea de código indebida. ¿En qué se apoya esa confianza?
Es razonable que los proveedores sean seleccionados según criterios como precio, calidad y riesgo. Pero ¿cómo medir el riesgo? ¿Es razonable incluir criterios geopolíticos en esa medición?
Como todos saben, el software está en todas partes. Un automóvil moderno contiene millones de líneas de código. ¿Debemos confiar en que todas son correctas y que no hay ninguna que no debería estar ahí?
Las industrias que dependen de productos y servicios digitales deben enfocarse más y mejor en maneras de promover y verificar la confianza. Se necesitan medios automáticos de verificación, no solo del software de aplicación, sino también de los sistemas operativos, tanto de computadoras multipropósito como de aquellas especializadas en transmisión de datos.
El software completo debe ser verificable, y esto se realiza analizando el código fuente. Esto no significa que los proveedores deban entregar su código a terceros, sino que debe ser analizado por un software estandarizado (tal vez con inteligencia artificial).
Es un tema difícil, pero la dificultad no es motivo para hacer la vista gorda. Hay que abordarlo. Que sea complicado lo hace atractivo, ya que la mayoría imita al avestruz, dejando así una enorme oportunidad para ser aprovechada por una empresa pequeña en un país diminuto.
El Dr. Roberto Sasso es ingeniero, presidente del Club de Investigación Tecnológica y organizador del TEDxPuraVida.
