Sophos dice: #nobackdoors

El trending topic de 2016 en ciberseguridad es #nobackdoors. Explicado de una manera sencilla, las puertas traseras (o backdoors), son debilidades programadas a propósito que nos ofrecen una oportunidad para saltar la seguridad del dispositivo cuando convenga.

En otras palabras, es como esconder una llave de casa debajo de la alfombrilla por si nos quedamos encerrados fuera. Sabes que te estás burlando de la fiabilidad de la cerradura que compraste para protegerte, pero mientras nadie mire debajo de la alfombrilla todo irá bien.

Desafortunadamente, todo el mundo conoce el truco, por lo que mirarán ahí debajo, y toda la seguridad que implementes no vale para nada.

Ese es exactamente el mismo riesgo que encaramos si aceptamos puertas traseras en nuestros productos de seguridad.

Algunos ejemplos de estas puertas traseras son:

• Establecer una contraseña “secreta” en el software de autenticación, que siempre nos dé acceso al dispositivo.
• Obligar a los fabricantes a que todos los aparatos que vendan tengan dos contraseñas. Una será la que te dan, y que puedes cambiar o eliminar, y la otra se mantendrá “segura” en algún lugar y no se podrá ni cambiar ni eliminar.
• Disminuir deliberadamente la potencia del cifrado, de manera que sea lo suficientemente seguro para evitar un ataque normal, pero no detendrá uno fuerte como el que la NSA podría realizar.

Estos enfoques presentan graves y obvios problemas:

• Las contraseñas secretas universales son como poner la llave debajo de la alfombrilla. Tan pronto como alguien desvele el secreto, no servirán para nada nuestras medidas de seguridad.
• Las contraseñas almacenadas por los fabricantes suponen una espada de Damocles tecnológica. En cuanto alguien tenga acceso a esa base de datos, a través de una filtración o por una orden legal, volveremos a estar sin ningún tipo de protección.
• Los cifrados débiles se vuelven más débiles con el paso del tiempo ya que los ordenadores son cada vez más rápidos.

Simplemente, debilitar la seguridad para avanzar en la seguridad no tiene ningún sentido. Por esto hemos publicado nuestra página de #nobackdoors en la propia web de Sophos.

Posicionarse en contra de las puertas traseras es de vital importancia en estos momentos, al estar preparando Apple su batalla legal contra una orden del FBI de desbloquear un iPhone que forma parte de una investigación criminal.

Se trata de un caso muy conocido en el que piden que se desbloquee el iPhone de Syed Rizwan Farook. Farook no va a dar la contraseña ya que lo abatieron junto a su mujer después de haber asesinado a 14 personas y herido gravemente a otras 22 en un tiroteo en San Bernardino, California el pasado 2 de diciembre de 2015.

Sin embargo Apple se niega a programar una puerta trasera ya que consideran, pese a lo trágico del caso, que hacerlo sería como abrir la caja de Pandora. Otras muchas empresas americanas, como Google, WhatsApp y Microsoft apoyan a Apple y dicen #nobackdoors.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: