"Tu Coche Ya Está Conectado a Internet y Ahora Cualquiera Puede Usarlo para Matarte"

"¿Alarmista? ¡Qué va! Es un gran título, estoy orgulloso de él. Recuerda: los títulos están para vender libros". Bruce Schneier suelta una carcajada recostado en el sofá de su casa en Minneapolis (Minesota), donde vive desde hace años. En realidad tendría que estar en Madrid con motivo de la publicación en castellano de su último libro, 'Haz clic aquí para matarlos a todos" (Ed. Temas de Hoy - Planeta), pero al final el café se ha quedado en videollamada. Criptógrafo, profesor en Harvard y uno de los expertos en ciberseguridad más renombrados a nivel mundial, solo escucha propuestas si le llegan con más de medio año de antelación. "Si alguien me llama ahora para marzo o abril, podemos hablar. Si me quieren en septiembre, imposible".

Schneier es lo más parecido a una vieja gloria del rock en el mundo de la ciberseguridad. El 'look' no falla: camisas estampadas, 'ponytail' y gorra Ivy (la inconfundible 'gorra de abuelo'). Tampoco fallan las batallas vividas. Con más de una decena de libros a sus espaldas, varios años en IBM y muchos otros destripando en la Universidad de Harvard la relación amor-odio entre poder y tecnología (llegó a testificar en el Congreso de EEUU como asesor de ciberseguridad), cree que nos asomamos a un peligroso punto de inflexión tecnológico: o los gobiernos toman medidas (léase regulan y frenan a Silicon Valley) o pronto lo lamentaremos. Con muertes. Literalmente. "Imagina un marcapasos conectado a internet que, al ser 'hackeado', puede matar a alguien. Lo mismo ocurre con los coches conectados. Es algo que va a comenzar a suceder si los gobiernos no lo impiden", vaticina.

Pregunta: 'Hackeos' y clics que se cobran vidas. Suena alarmista pero asegura que no solo no lo es, sino que acabará ocurriendo.

Respuesta: Por supuesto. Al conectar un dispositivo a internet lo hacemos vulnerable de una forma que no lo era hasta ahora. Los coches ya matan a miles de personas al año. Son el aparato más letal en EEUU, más que las armas incluso. Si a los problemas actuales de los coches unes las vulnerabilidades propias de un ordenador, entonces tendrás ataques a un coche. El "matar a todos" es el gran cambio. Cuando hay un accidente de coche, son incidentes individuales, uno o dos coches, un peatón.... Pero los ordenadores se caen todos a la vez. Si hay una vulnerabilidad en el iPhone, son todos inseguros. Todos los que hay en el mundo. Esto va a empezar a ocurrir con cada vez más aparatos.

P. No habla de fallos de software, sino de vulnerabilidades que permitan ataques personalizados. ¿Nos debe preocupar esto a todos por igual?

R. Creo que sí. No son solo los coches conectados o dispositivos médicos. ¿A quién le debe preocupar la seguridad de las centrales elécticas o nucleares en España? Es un problema enorme. Sabemos que muchos países están 'hackeando' las centrales de otros países. Ya vimos a Rusia desconectar una central en Ucrania. EEUU, Rusia y China están haciendo lo mismo. ¿A quién le debe preocupar? A todos. Puede que aún no hayamos visto un 'hackeo' a gran escala contra automóviles, pero sí los hemos visto contra ordenadores, teléfonos, neveras, cámaras web, grabadores de vídeo… Todo esto es más benigno, los coches no. Como sociedad somos terribles en preocuparnos de las cosas antes de que ocurran, pero estaría bien que lo hiciéramos.

P. Cuenta en su libro cómo intentó comprarse un coche completamente offline, sin nada conectado a internet, y no lo consiguió.

R. Es verdad, de los coches que me interesaban ninguno venía sin conexión a internet. Y eso va a ser así cada vez en más productos. No vas a poder comprar una tele que no esté conectada a internet, no lo podrás hacer con casi ningún electrodoméstico. Lo vas a poder desconectar de la red de forma ocasional, pero no va a ser algo permanente. Ese es el problema de decir "el mercado se encargará de regular esto". Y no, no lo podemos dejar en manos del mercado, son lo gobiernos los que tienen que tomar medidas. Esto es más sencillo en países como España o en Europa que en EEUU, pero es algo que hay que superar, son riesgos que la sociedad debe abordar de forma colectiva.

P. ¿Qué hay de los electrodomésticos conectados que pueden espiar nuestras conversaciones? Puede que no causen muertes, pero generan mucha histeria, como el micrófono escondido en el robot de cocina de Lidl.

R. Esto pasa todo el rato. Ocurrió algo parecido a comienzos de año cuando varios clientes descubrieron que los sistemas de entretenimiento de algunas aerolíneas, como Delta o Singapore Airlines, tenían cámaras en las pantallas que se instalan en cada asiento. Las compañías dijeron que no estaba activada, que no querían espiar a nadie, lo de siempre. La razón por la que esto ocurre es parecido a lo que contaba del coche: cuando una compañía compra una pantalla para un sistema de entretenimiento abordo, ya viene con todas estas cosas integradas, con cámara, micrófono etc. No puedes comprarlo sin estas funcionalidades o te sale más caro. Esto va a ocurrir cada vez más. Es más barato conectar un cacharro a internet que quitarle la conexión.

P. Algunos especialistas en ciberseguridad aconsejan no usar estos aparatos conectados en casa.

R. Es un consejo absurdo. Sí, puedes no comprar un móvil, no usar email, no usar tarjeta de credito, ni nevera, ni coche… ¿Lo ve? Es absurdo. En teoría puedes hacerlo, pero no es un consejo práctico. No puedes ser una persona completamente funcional en el siglo XXI sin email ni móvil. Sí puedes serlo sin un altavoz conectado. Pero esto es hoy. Dentro de unos años no se sabe. Cuando una tecnología se convierte en esencial no tenemos elección, tenemos que usar lo que hay.

P. Habla de la regulación como la única salida. Sin embargo, Silicon Valley es el lugar menos regulado y más exitoso del mundo en términos de negocio tecnológico. No parece que EEUU esté interesado en regular nada.

R. Nunca dije que esto fuera a ser sencillo. Pero fíjese en las tecnologías que han mejorado su seguridad en los últimos 150 años: todas han sido forzadas por los gobiernos a hacerlo. Coches, aviones, dispositivos médicos, compañías farmacéuticas, industria alimentaria, restaurantes, oficinas, productos de consumo… En todos estos casos los productos eran inseguros o presentaban fallos hasta que el gobierno les forzó a solucionarlo. Si queremos que todos estos nuevos aparatos sean más seguros, lo tenemos que lograr de forma colectiva como sociedad, no lo vamos a lograr de forma individual como consumidores.

P. Hace un par de semanas EEUU lanzó un ciberataque para anular el sistema de misiles de Irán tras derribar este país un dron estadounidense. Los propios gobiernos son usuarios de la tecnología que deberían regular. ¿Es ese parte del problema?

R. Sí, pero tampoco estoy seguro que este último ciberataque cambie nada, es algo que lleva mucho tiempo ourriendo. EEUU 'hackeó' el sistema de misiles de Corea del Norte. Irán atacó a Arabia Saudí, Rusia a Ucrania, China a EEUU…. Recordemos Stuxnet y Flame en el 2010. Han habido ya muchos países atacándose mútuamente durante las dos últimas décadas. No creo que este sea diferente, pero sí es preocupante que sigan ocurriendo. Son ataques que se usan en esa especie de zona gris entre los tiempos de guerra y paz y que pueden suponer una escalada hasta desembocar en una guerra convencional.

P. Se nos olvida, pero este tipo de ciberataques en realidad sí causan un gran daño a civiles, a la gente de a pie.

R. Cuando Rusia tumbó los sistemas de las centrales de Ucrania la capital se quedó sin luz en pleno invierno. Esto afectó a muchísima gente. Igual que cuando Corea del Norte atacó Sony. Lo preocupante es que hace unos años estas acciones necesitaban una inversión enorme que solo un gobierno podía financiar. Ahora ya no es así. Cualquiera con una conexión y conocimientos técnicos puede hacerlo. El ataque a Sony tuvo lugar en 2014 y todavía hoy hay debate en mi comunidad sobre si lo hizo una potencia militar como Corea del Norte con un presupuesto de defensa de 20.000 millones de dólares, o un par de tipos en un sótano. Y sigue siendo un debate legítimo: podrían haber sido dos tipos en un sótano en cualquier parte del mundo. Lo mismo ocurrió con el 'hackeo' a Ashley Madison o el bufete panameño que dio lugar a la publicación de los Panama Leaks, fue cosa de un activista.

P. Usted es criptógrafo y siempre hay el mismo debate: ¿qué es más seguro, usar WhatsApp o Telegram? Ayúdenos.

R. Yo recomiendo a la gente usar Signal, creo que es la que mejor está diseñada desde un punto de vista técnico y la más segura. A veces, dependiendo de dónde estés, solo tener Signal en tu móvil puede hacer que te arresten. Si ese es el caso, usa WhatsApp. Mejor que Telegram.

P. Hablando antes de gobiernos, precisamente muchos quieren cargarse el cifrado de aplicaciones como WhatsApp. El ministro de interior alemán fue el último en proponerlo. ¿Lo llegaremos a ver?

R. Muchos países hablan de ello, pero hasta ahora no ha habido ninguna acción concreta. Es lo que ocurrió con el ministro alemán, habló de ello pero al final quedó en nada. En EEUU, de vez en cuando algún cargo gubernamental lo menciona. También ha pasado en Australia, Reino Unido… Espero que no ocurra, sería muy peligroso e inseguro para todos. A medida que los móviles se hacen más y más potentes, sería estúpido hacerlos más inseguros. Pero nunca se sabe, como sociedad podemos ser estúpidos, puede llegar a ocurrir.

P. Si los gobiernos no lo hacen, ya hay compañías como la israelí Celebrite que aseguran poder desbloquear cualquier iPhone.

R. No sabemos si es verdad. Lo dijeron como algo promocional, desde luego es posible, pero simplemente no lo podemos saber. Ellos dicen que sí lo pueden hacer, y venden su producto a gobiernos que probablemente no deberían tener esta capacidad. Estoy seguro que los ingenieros de Apple están mirando ahora cómo Cellebrite puede desbloquearlos para evitarlo. No creo que mientan sobre ello, sobre todo si cobran un millón de dólares al FBI y a policías en medio mundo por desbloquear un iPhone, pero sí que pueden estar exagerando.

P: ¿Le parece ético lo que hacen?

R. Es una pregunta difícil. Hay una demanda para este tipo de cosas, pero prefiero que el FBI 'hackee' móviles concretos usando software y tecnología como la de Cellebrite que instale puertas traseras en los móviles de todo el mundo. Puestos a escoger, Cellebrite es, de lejos, el menos malo de todos los demonios.

Categories: Spanish, Text, Written Interviews

Sidebar photo of Bruce Schneier by Joe MacInnis.