«Un gran poder conlleva una gran responsabilidad.»
Tio Ben, en Spiderman
Usar un equipo de tecnología no debería ser algo para todo el mundo, al menos para personas de alta jerarquía debería ser obligatorio tomar un curso básico que le permita conocer las normas esenciales de seguridad y sentido común. La familia presidencial desconoce el poder de un móvil conectado a internet.
Este es quizás el tema principal, el que mas morbo atrae, porque suena de pelicula, incluso el titular suena adecuado hasta para Hollyoowd: «Hackearon servidor en caso primera dama». Decirlo en voz alta suena a muchos periódicos vendidos; en el barrio suena a algo que todo el mundo quiere saber, para un informático conocedor de la seguridad online suena a puro disparate.
Pero vamos a las raíces. Ante todo es preciso aclarar algo: Por mucho que digan que sofisticados hackers penetraron servidores, eso es totalmente falso. Lo que ciertamente hubo fue abuso de confianza por parte de gente en el entorno de la primera dama y altos funcionarios.
Según la denuncia inicial, Margarita Cedeño de Fernández usa el servicio de Blackberry, mientras que Rosa Hernández de Grullón usa el servicio de GMail. Ciertamente es posible violentar esos servidores, pero también es altamente improbable, y aunque se consiga no es rentable. Se requiere alta tecnología que solo países como China, Israel, y otros pocos poseen; los chinos lo han intentado pero han sido detectados y bloqueados por Google, al punto de que retiró sus servicios a China por este atentado, incluyendo un complicado roce diplomático con la Casa Blanca. De hecho es tan asi que Google alegremente ofrece 1 millón de dólares a quien explote su navegador Chrome, el cual por definicion es mucho mas inseguro que el correo, pues el navegador lo tienes totalmente en tu PC, pero GMail esta todo en el servidor. Blackberry por otro lado es altamente conocido por sus altísimos estándares de seguridad. Empleados del pentágono, CIA, NSA, etc. utilizan el servicio Blackberry, pues hasta hace poco era el único fabricante que proveía el nivel de seguridad que esas instituciones requieren.
Piensen algo: si hay un hacker tan calificado que pueda violar la seguridad de una empresa de esa magnitud ¿lo haria por cheles? Si alguien pagara por esa información ¿se la entregaría a comunicadores de tercera categoría? Si de verdad fue un hackeo ¿Porque no sometieron a la justicia al principal sospechoso? Y sobretodo ¿Porque el PLD no ha presentado querella por hackeo?
Lo que sucedió en el primer capítulo con la primera dama fue muy simple y creo que fue una de dos posibilidades (o ambas):
- Abuso de confianza perpetrado por alguien cercano a ella, alguien que conocía, o al menos con acceso a su despacho.
- Usó una contraseña muy débil y fácil de adivinar.
El problema básico es la tendencia que tenemos a escribir contraseñas fáciles, de hecho la contraseña más común es 123456, la segunda mas popular es 12345 y la tercera mas popular es 123456789. ¿Porque la gente es tan estúpida? No dudo que ese haya sido el problema de la Primera Dama, no dudo que haya usado «leonel12-20» o quizás «Yolanda», el nombre de su hija; aunque los más aventureros se arriesgan a insinuar que su clave era «MeGustanLosSombreros» pero ya eso es otro tema.
El asunto indiscutible es que alguien adivinó (o de algún modo dedujo) y utilizó su contraseña por un descuido personal, no porque haya usado alta tecnología, a pesar de lo que digan los pseudo expertos y guruses gubernamentales o el señor Morrison.
Luego de aquel allanamiento con un aparataje increíble muchos dudamos que estuvieran supuestamente buscando hackers, pero vamos a darle el beneficio de la duda. Es en este punto que el circo comienza a soltar los payasos:
Luego salta a la palestra un comunicado de quienes se hacen llamar Anonymous Dominicanos, grupo que no tiene nada que ver con los Anonymous de otros paises, exigiendo a Margarita Cedeño someterse al escrutinio público. Quienes estamos en el mundo de la tecnología vimos las primeras apariciones de AnonymousRD como una broma de mal gusto, pero han llegado al punto que estoy saboreando el momento en que apresen 3 ó 4. Hasta me ofrezco de voluntario si el DICAT necesita ayuda para ubicarlos. Son esos mismos Anonymous quienes luego suministraron unas supuestas pruebas de la cuenta en Dinamarca, las cuales al parecer hicieron usando el sencillísimo paint de Windows. Eso no es hackeo, no es violentar servidores, no es crackear, solo es echar cizaña política.
Pero me adelanté, volvamos atrás: las denuncias de Marcos Martinez, quien admite que no es un hacker, veámoslo en youtube:
El comunicador cibaeño dice tener copias de cheques, depósitos y transferencias. Obviamente para conseguir copias de los cheques no es crackeando computadoras, sino porque tienen acceso físico (o porque alteraron alguna imagen como los pantallazos de Anonymous). Eso no es hacking.
Alterar una imagen no es hackeo, para nada, eso podría ser falsificación (en el caso de que ciertamente el documento exista y sea falso); y sobre todo que haya sido hecho con el fin de parecer original. Seamos serios: hay que ser de otro planeta para suponer que algo con ese nivel de «calidad» pretenda parecer original.
Pero como están las cosas no dudo que el gobierno trate de someter a alguien por «falsificación» en base a la foto adjunta, la cual circula por Internet desde hace semanas, donde Margarita posa con el supuesto cheque de la supuesta cuenta, en el supuesto banco.
También dice el señor Martínez que tiene estados de cuenta. Ciertamente podría ser hacking, pero volvemos a lo mismo: ¿Un hacker tan sofisticado que penetre servidores de bancos suizos va a prestarse a este disparate? Descartado. En el caso hipotético de que Marcos tenga pruebas reales sería nuevamente producto del abuso de confianza de alguien con acceso a esa documentación. Alguien que tenía acceso y filtró datos que estaban bajo su cuidado, al mas puro estilo wikileaks. Lo cual coincide con lo adquisición de los estados de cuenta de la Dani-Card.
Mas tarde vimos como que el servidor utilizado fue del PLD, tal como muchos sospechábamos, y ellos admitieron, reafirmando la teoría del trabajo interno, el abuso de confianza. Sin embargo, enviar un correo utilizando un remitente ajeno es muy fácil, y no necesariamente implica indicios de hacking, sin emabrgo quedó demostrado con aquello que el trabajo había sido interno cuando la empresa en cuestión procedió al despido en masa de los empleados (algo comentado en los círculos informáticos) muestra claramente que ellos no saben a quien acusar. Asi que se deciden a buscar el chivo expiatorio, y para ello eligen (quizás al azar) a un ex-agente de la DNCD, con experiencia en intercepción de llamadas, y de quien parece que tenia 6 años «desaparecido», quizás lo daban por muerto, quizás no esperaban que el agente de la DNCD diera la cara, pero el salió en su defensa con el agravante de que el circo les quedó mal montado.
Todo lo que vemos es un show mediático/político donde la tecnología tiene muy poco que ver.
En realidad si tiene que ver: ¿Como es posible que «la primera familia» tanto la política como la financiera, estén usando servicios de correos gratuitos de terceros, cuando deberían tener sus correos protegidos, asesorados por expertos, no guruses ni expertos de pacotilla, técnicos que conozcan las medidas de seguridad siguiendo los estándares que sus investiduras ameritan? ¿Como es posible que un partido en el gobierno tenga sus instalaciones, sus documentos, temas comprometedores, al alcance de empleados mal pagados? De hecho la pregunta sobra: ¿Para que esta la Oficina Presidencial de Tecnologías de Información (OPTIC)? Su función dice ser:
¿QUÉ ES LA OPTIC?
Es la Oficina Presidencial de Tecnologías de la Información y Comunicación de la República Dominicana, institución con dependencia del Poder Ejecutivo, creada con la responsabilidad de planificar, dirigir y ejecutar las acciones necesarias para implementar el Gobierno Electrónico en el país mediante la difusión y uso de las Tecnologías de la Información y Comunicación (TIC).
Peor aún, con la excusa de la afrenta a la familia presidencial (olvidando de paso los delitos que admiten con la admision del «hackeo») surge la iniciativa de la mas disparatosa ley, una que va mas allá de la Iniciativa SOPA:
Indotel aprueba implementar un reglamento que obliga a los proveedores de internet de acceso público a llevar un registro por 90 días de sus usuarios. Así como lo oyen: todo centro de internet o proveedor de puntos de acceso público wi-fi como los que aparecen en las plazas comerciales, restaurantes, telefónicas, hoteles, etc. tendrán que guardar los datos de sus usuarios, y quienes vayan a usar primero deberán presentar identificacion para el debido registro. Osea: harán que el uso de estos servicios sea tan complicado, burocrático e incómodo que nadie querrá usarlos. Sólo Irán, un pais donde no hay libertad, ni siquiera para ir al baño, tiene este tipo de restricciones.
Ya otros blogs se han referido al tema: GikPlus da la noticia y en Tecnología 100 nos hablan de los riesgos de la privacidad que tal medida conlleva.
Al ver todo el trasfondo de la cuestión termino deduciendo que en cuanto a este tema nada es lo que parece. No se trata de privacidad, ni seguridad, ni libertad de prensa; simplemente es parte del espectáculo político montado por los mismos de siempre; pero ya eso es un tema del próximo post.
Y la gran excusa se trata de «evitar el hacking», una medida sin pies ni cabeza, todo el problema actual (y los futuros) se resolvería de forma mucho mas fácil quitándole la Blackberry a Margarita; pues ciertamente no es hackeo cuando por causa de estupidez o fuerza mayor sus secretos más oscuros llegan a la luz pública. Pero quizás me equivoco, quizás no son los secretos mas oscuros.
Pensamiento para mis adentros:
Esperemos que no haya más, que ningún hacker haya encendido el acceso remoto al móvil, pues si aparecen escenas íntimas de la primera familia seguro que volveremos a ver cepillos en las calles.
Mas sobre este tema:
Margarita Cedeño y la cuenta en Dinamarca (1/4)
Margarita Cedeño y la cuenta en Dinamarca: el papel de la prensa (2/4)
El supuesto hacker de la primera dama