Un chiste gracioso, pero cierto, en TechCrunch es que el mostrador de seguridad bien podría llamarse el Departamento de Malas Noticias, ya que, bueno, ¿has visto lo que hemos cubierto últimamente? Hay un suministro interminable de violaciones devastadoras, vigilancia generalizada y startups dudosas vendiendo productos peligrosos.
Sin embargo, a veces —aunque raramente— hay destellos de esperanza que queremos compartir. No solo porque hacer lo correcto, incluso (y especialmente) en medio de la adversidad, ayuda a hacer el ciberespacio un poco más seguro.
Bangladesh agradeció a un investigador de seguridad por descubrir la filtración de datos de ciudadanos
Cuando un investigador de seguridad descubrió que un sitio web del gobierno de Bangladesh estaba filtrando la información personal de sus ciudadanos, claramente algo estaba mal. Viktor Markopoulos encontró los datos expuestos gracias a un resultado de búsqueda de Google inadvertidamente almacenado en caché, que expuso nombres de ciudadanos, direcciones, números de teléfono y números de identidad nacional del sitio web afectado. TechCrunch verificó que el sitio web del gobierno de Bangladesh estaba filtrando datos, pero los esfuerzos para alertar al departamento gubernamental inicialmente fueron recibidos con silencio. Los datos eran tan sensibles que TechCrunch no pudo decir qué departamento gubernamental estaba filtrando los datos, ya que esto podría exponer los datos aún más.
Fue entonces cuando el equipo de respuesta a incidentes informáticos de emergencia del país, también conocido como CIRT, se puso en contacto y confirmó que la base de datos filtrada se había corregido. Los datos se filtraban nada menos que desde la oficina de registros de nacimientos, defunciones y matrimonios del país. CIRT confirmó en un aviso público que había resuelto la filtración de datos y que no dejó «piedra sin mover» para entender cómo sucedió la filtración. Los gobiernos rara vez manejan bien sus escándalos, pero un correo electrónico del gobierno al investigador agradeciéndole por el hallazgo y la notificación del error muestra la voluntad del gobierno de comprometerse en ciberseguridad, algo que muchos otros países no hacen.
Apple está atacando su problema de spyware con determinación
Han pasado más de una década desde que Apple eliminó su ahora infame afirmación de que las Mac no tienen virus de PC (lo que técnicamente es cierto, esas palabras han perseguido a la empresa durante años). En la actualidad, la amenaza más apremiante para los dispositivos de Apple es el spyware comercial, desarrollado por empresas privadas y vendido a gobiernos, que puede perforar las defensas de seguridad de nuestros teléfonos y robar nuestros datos. Se necesita valentía para admitir un problema, pero Apple hizo exactamente eso al implementar soluciones rápidas de respuesta a la seguridad para corregir errores de seguridad explotados activamente por los fabricantes de spyware.
Apple implementó su primer «hotfix» de emergencia a principios de este año para iPhones, iPads y Macs. La idea era implementar parches críticos que se podrían instalar sin tener que reiniciar el dispositivo continuamente (indudablemente el dolor de cabeza para los que se preocupan por la seguridad). Apple también cuenta con una configuración llamada Modo de Restricción, que limita ciertas características del dispositivo que suelen ser blanco del spyware. Apple afirma que no tiene conocimiento de que alguien que haya utilizado el Modo de Restricción haya sido hackeado posteriormente. De hecho, investigadores en seguridad dicen que el Modo de Restricción ha bloqueado activamente hackeos dirigidos en curso.
El gobierno de Taiwán no dudó antes de intervenir después de una filtración de datos corporativos
Cuando un investigador de seguridad le dijo a TechCrunch que un servicio de transporte compartido llamado iRent, dirigido por el gigante automotriz taiwanés Hotai Motors, estaba filtrando datos de clientes que se actualizaba en tiempo real a Internet, parecía un problema simple. Pero después de una semana de enviar correos electrónicos a la empresa para resolver la filtración de datos en curso, que incluía nombres de clientes, números de teléfono celular y direcciones de correo electrónico, y escaneos de licencias de conducir de clientes, TechCrunch no recibió respuesta. No fue hasta que contactamos al gobierno de Taiwán para obtener ayuda al revelar el incidente que recibimos una respuesta inmediata.
En una hora de contactar al gobierno, la ministra taiwanesa de asuntos digitales, Audrey Tang, le dijo a TechCrunch por correo electrónico que la base de datos expuesta había sido marcada con el equipo de respuesta a incidentes informáticos de emergencia de Taiwán, TWCERT, y fue retirada de línea. La velocidad con la que respondió el gobierno taiwanés fue asombrosamente rápida, pero eso no fue todo. Taiwán posteriormente multó a Hotai Motors por no proteger los datos de más de 400,000 clientes, y se le ordenó mejorar su ciberseguridad. En sus secuelas, el viceprimer ministro de Taiwán, Cheng Wen-tsan, dijo que la multa de aproximadamente $ 6,600 era «demasiado baja» y propuso un cambio en la ley que aumentaría las multas por violaciones de datos en diez veces.
Los sistemas de registros judiciales con fugas de Estados Unidos generaron la alarma correcta
En el corazón de cualquier sistema judicial está su sistema de registros judiciales, la pila tecnológica utilizada para presentar y almacenar documentos legales delicados para casos judiciales. Estos sistemas a menudo están en línea y son buscables, al tiempo que restringen el acceso a archivos que de otra manera podrían poner en peligro un procedimiento en curso. Pero cuando el investigador de seguridad Jason Parker encontró varios sistemas de registros judiciales con errores increíblemente simples que eran explotables solo con un navegador web, Parker supo que tenía que ver que estos errores fueran corregidos.
Parker encontró y reveló ocho vulnerabilidades de seguridad en los sistemas de registros judiciales utilizados en cinco estados de EE. UU. —y eso fue solo en su primera divulgación. Algunas de las fallas fueron corregidas y algunas aún están pendientes, y las respuestas de los estados fueron mixtas. El condado de Lee en Florida tomó la posición contundente (y auto-incriminatoria) de amenazar al investigador de seguridad con las leyes de anti-hacking de Florida. Pero las revelaciones también generaron la alarma correcta. Varios CISO estatales y funcionarios responsables de los sistemas de registros judiciales en todo EE. UU. vieron la divulgación como una oportunidad para inspeccionar sus propios sistemas de registros judiciales en busca de vulnerabilidades. Govtech está roto (y desesperadamente desatendido), pero tener investigadores como Parker encontrando y revelando fallas que deben parchearse hace que Internet sea más seguro —y el sistema judicial más justo— para todos.
Google eliminó las órdenes de geovallado, aunque fue mejor tarde que nunca
Fue la codicia de Google impulsada por anuncios y crecimiento perpetuo lo que sentó las bases para las órdenes de geovallado. Estas llamadas órdenes de búsqueda «inversas» permiten a la policía y las agencias gubernamentales rebuscar en las vastas reservas de datos de ubicación de los usuarios de Google para ver si alguien estaba en las cercanías en el momento en que se cometió un crimen. Pero la constitucionalidad (y precisión) de estas órdenes inversas ha sido cuestionada y los críticos han pedido a Google que ponga fin a la práctica de vigilancia que en gran parte creó para empezar. Y luego, justo antes de la temporada navideña, el regalo de privacidad: Google dijo que comenzaría a almacenar datos de ubicación en los dispositivos de los usuarios y no centralmente, poniendo fin efectivamente a la capacidad de la policía de obtener la ubicación en tiempo real de sus servidores.
La medida de Google no es una panacea, y no deshace los años de daño (o evita que la policía acceda a los datos históricos almacenados por Google). Pero podría instar a otras empresas también sujetas a este tipo de órdenes de búsqueda inversas —hola Microsoft, Snap, Uber y Yahoo (la empresa matriz de TechCrunch)— a seguir el ejemplo y dejar de almacenar los datos sensibles de los usuarios de una manera que los haga accesibles a las demandas gubernamentales.