La ciberseguridad en el universo 007

¿Qué saben James Bond y sus compañeros del Servicio Secreto de Inteligencia sobre ciberseguridad?

Con la recién estrenada Sin tiempo para morir, Daniel Craig cierra su etapa como James Bond, momento perfecto para hacer un recorrido por sus 5 interpretaciones como el famoso agente británico desde una perspectiva de ciberseguridad y te aseguramos que te sorprenderán todos nuestros descubrimientos. A parte del propio Craig, otro punto en común de la saga es el desconocimiento total de los conceptos básicos de ciberseguridad por parte de los empleados del MI6 de la película.

Desconocemos si esto se debe a un descuido deliberado (cabe destacar la desactualización de Bond y del concepto de la sección 00), la incompetencia de los guionistas o la falta de unos consultores expertos en ciberseguridad. Sea como sea, a continuación, te ilustraremos con algunas de las absurdeces que nos hemos encontrado en las películas por orden de aparición. ¡Alerta de spoiler!

Casino Royale

En la primera película de Craig, nos encontramos con la siguiente escena: Bond se cuela en la casa de su superiora directa, M, y utiliza su portátil para conectarse a un tipo de sistema de espionaje con el objetivo de descubrir la fuente de un mensaje de texto enviado al teléfono del villano de la película. Lo cierto es que Bond podría haber hecho esto únicamente si:

  • El MI6 no hubiera aplicado una política de cierre de sesión y bloqueo de pantalla automático, y M hubiese dejado su portátil encendido e iniciado de forma permanente.
  • El MI6 no hubiera aplicado el uso de contraseñas fuertes y seguras y las contraseñas de M fueran fáciles de adivinar.
  • M no hubiera sabido cómo ocultar las contraseñas a sus compañeros o hubiera utilizado contraseñas comprometidas.

Cualquiera de estas situaciones pude generar problemas, pero la tercera es la más probable; de hecho, posteriormente, Bond vuelve a iniciar sesión en remoto en un “sitio web seguro” utilizando las credenciales de M.

Pero la actitud de Bon ante las contraseñas no parece mucho mejor, ya que cuando él tiene que crear una contraseña (de al menos 6 caracteres) para una cuenta secreta que alojará sus ganancias en el póker, utiliza el nombre de su compañera (y enamorada), Vesper. Además, la contraseña es en realidad una nemotecnia que corresponde a un número (como las teclas de los antiguos teléfonos para recordar y marcar números en teclados alfanuméricos). Efectivamente, es una contraseña de 6 dígitos y se basa en una palabra de diccionario.

Quantum of Solace

A pesar de ser la película menos informatizada de esta saga de James Bond, Quantum of Solace incluye un momento digno de mención. Pronto descubrimos que Craig Mitchell, empleado en el MI6 durante 8 años (5 como guardaespaldas personal de M) es realmente un agente doble.

Por supuesto, se trata de un problema de seguridad de la vieja escuela más que del tipo cibernético. Sin embargo, el descuido de M con las contraseñas, como se vio en la película anterior, sugiere que los secretos del MI6 podrían estar en manos de los supervillanos de todo el mundo.

Skyfall

Y en lado opuesto del espectro cibernético está Skyfall, la más informatizada de las cinco, donde la seguridad de la información es el corazón de la trama. De hecho, esta locura por la ciberseguridad resulta evidente desde la primera escena. Para más practicidad, vamos a dividir nuestro análisis de forma cronológica:

La filtración de datos en Estambul

Un delincuente desconocido roba el disco duro de un portátil que contiene “la identidad de todos los agentes de la OTAN involucrados en organizaciones terroristas de todo el mundo”. Ni siquiera los socios del MI6 tienen conocimiento de esta lista (la cual no existe oficialmente).

La mera existencia de un dispositivo de este tipo ya representa una vulnerabilidad masiva. Demos por hecho que la base de datos es vital para el MI6 (lo cual es cierto). Entonces, ¿qué hacía en un piso franco de Estambul, protegido simplemente por 3 agentes? Por mucho que el disco duro esté cifrado y el MI6 reciba una alerta de intento de descifrado, esto no es suficiente.

El ataque ciberterrorista en el SIS

El primer ciberincidente real sale de la nada un poco después: un ataque ciberterrorista en las oficinas centrales del Servicio de inteligencia secreta británico. El atacante intenta descifrar el disco duro desde el ordenador personal de M, de acuerdo con la información del sistema de seguridad. Los atacados intentan apagar el ordenador, pero los delincuentes hacen explotar el edificio del SIS a la orilla del Támesis.

La investigación posterior revela que el asaltante había accedido al sistema de control ambiental, bloqueado los protocolos de seguridad y activado el gas. Pero antes, hackeó los archivos de M, incluida su agenda, y extrajo los códigos para ayudar a descifrar el disco duro robado.

Supongamos que la alerta del disco duro robado de M representó un intento de desinformación o troleo (después de todo, el disco duro no pudo haber estado en el edificio). E ignoremos las preguntas sobre el suministro de gas del edificio: quién sabe, tal vez los pasillos del MI6 estaban iluminados con linternas de gas de la era de Jack el Destripador; después de todo, Gran Bretaña es una tierra de tradiciones.

En cualquier caso, hackear los sistemas de control de ingeniería es perfectamente factible. Pero ¿cómo iban a acabar estos sistemas y el ordenador de M, supuestamente el más seguro de toda Gran Bretaña, en la misma red? Se trata claramente de un problema de segmentación. Por no hablar de la idea de almacenar los códigos de descifrado del disco duro en el ordenador de M, otro ejemplo de pura negligencia. Al menos podrían haber usado un gestor de contraseñas.

El ciberacoso a M

Los delincuentes se burlan de M publicando periódicamente los nombres de los agentes en el dominio público. Al hacerlo, de alguna forma muestran sus mensajes en su ordenador portátil. (Parece haber una especie de puerta trasera; de lo contrario, ¿cómo podrían entrar en su equipo?). Pero los expertos del MI6 no están interesados en revisar el ordenador portátil, solo en rastrear la fuente de los mensajes.

Finalmente, los expertos concluyen que estos mensajes provienen de un algoritmo de seguridad asimétrico que rebota la señal en todo el mundo, a través de más de mil servidores. Esta táctica de ofuscación puede existir, pero lo que quieren decir con “algoritmo de seguridad asimétrico” en este contexto no queda nada claro. En el mundo real, el algoritmo de cifrado asimétrico es un término de criptografía; no tiene nada que ver con ocultar la fuente de un mensaje.

El ataque interno al MI6

Bond localiza y detiene al ciberdelincuente (un exagente del MI6 llamado Silva) y lo lleva, junto con su ordenador portátil, a la nueva sede del MI6, sin saber que Silva está jugando con él. Entonces aparece Q: nominalmente un intendente, funcionalmente el hacker al mando del MI6, pero en realidad, un payaso.

De nuevo, el razonamiento no queda del todo claro. ¿Es un payaso porque es gracioso? ¿O fue la decisión otra consecuencia del analfabetismo en ciberseguridad de los guionistas? Lo primero que hace Q es conectar el portátil de Silva a la red interna del MI6 y empezar a decir una serie de tonterías, que intentaremos descifrar:

  • “[Silva] ha establecido protocolos a prueba de errores para borrar la memoria si hay algún intento de acceder a ciertos archivos”. Pero si Q sabe eso, ¿por qué continúa analizando los datos de Silva en un ordenador con dichos protocolos instalados? ¿Y si se borra la memoria?
  • “Es su sitio omega. El nivel más cifrado que tiene. Parece un código ofuscado para ocultar su verdadero propósito. Seguridad por oscuridad”. Se trata básicamente de un flujo de términos aleatorios sin una lógica unificadora. Parte del código se ofusca (se modifica para dificultar el análisis) mediante cifrado, ¿y por qué no? Pero para ejecutar el código, algo tiene que descifrarlo primero, y ahora sería un buen momento para averiguar qué es ese algo. La seguridad por oscuridad es realmente una estrategia de la vida real para proteger un sistema informático para el cual, en lugar de mecanismos de seguridad sólidos, la seguridad se basa en hacer que los datos sean difíciles de descifrar para los posibles atacantes. No es la mejor práctica. Por tanto, lo que Q está tratando de transmitir a los espectadores no está tan claro.
  • “Está usando un motor polimórfico para mutar el código. Siempre que intento acceder, cambia”. Más tonterías… Dónde está el código y cómo intenta Q acceder a él es una incógnita. Si habla de archivos, existe el riesgo de que se borre la memoria (consulta el primer punto). Y no está claro por qué no pueden detener este motor mítico y deshacerse de la “mutación de código” antes de intentar averiguarlo. En cuanto al polimorfismo, es un método obsoleto para modificar código malicioso al crear nuevas copias de virus en el sentido más estricto de la palabra. No tiene lugar aquí.

Visualmente, todo lo que sucede en el ordenador de Silva se representa como una especie de diagrama espagueti de complejidad diabólica salpicado de lo que parece un código hexadecimal. Bond, con ojos de águila, ve un nombre familiar nadando en la sopa alfanumérica: Granborough, una estación de metro en desuso en Londres. Sugiere usarlo como clave.

Sin duda, un par de agentes de inteligencia experimentados deberían darse cuenta de que una información vital que se deja a la vista, justo en la interfaz, es casi con certeza una trampa. ¿Por qué si no lo dejaría un enemigo allí? Pero el despistado Q introduce la clave sin pensarlo. Como resultado, las puertas se abren, los mensajes de “violación de seguridad del sistema” parpadean y todo lo que Q puede hacer es darse la vuelta y preguntar: “¿Alguien puede decirme cómo diablos ha entrado en nuestro sistema?”. Unos segundos más tarde, el “experto” finalmente decide que podría tener sentido desconectar el ordenador portátil de Silva de la red.

En general, nuestra pregunta principal es: ¿Los guionistas describieron a Q como un aficionado torpe a propósito o simplemente decidieron rellenar el guion con términos aleatorios de ciberseguridad con la esperanza de que Q parezca un genio?

Spectre

En teoría, Spectre tenía la intención de plantear la cuestión de la legalidad, ética y seguridad del programa global de vigilancia e inteligencia Nueve Ojos como una herramienta antiterrorista. En la práctica, el único inconveniente de crear un sistema como el que se muestra en la película es si el jefe del Servicio Conjunto de Inteligencia (tras la fusión del MI5 y el MI6) está corrupto, es decir, como antes, un villano interno que trabaja para el enemigo acérrimo de Bond, Blofeld, consigue acceder a los sistemas de información del gobierno británico. Otras posibles desventajas de dicho sistema no se consideran en absoluto.

Como si fueran adictos a los intrusos, Q y Moneypenny pasan información clasificada a Bond, oficialmente suspendido a lo largo de la película. Ah, y desinforman a las autoridades sobre su paradero. Sus acciones pueden ser por el bien común, pero en términos de trabajo de inteligencia, filtrar datos secretos los hace culpables de mala conducta profesional como mínimo.

Sin tiempo para morir

En la última película de la era Craig, el MI6 desarrolla un arma ultrasecreta llamada Proyecto Heracles, un arma biológica que consiste en un enjambre de nanobots codificados en el ADN individual de las víctimas. Usando Heracles, es posible eliminar objetivos rociando nanobots en la misma habitación o introduciéndolos en la sangre de alguien que seguramente entrará en contacto con el objetivo. El arma es una creación del científico del MI6 y agente doble (o triple, ¿quién sabe?) Valdo Obruchev.

Obruchev copia los archivos secretos en una memoria USB y se los traga, después de lo cual los agentes (los pocos que no fueron rematados en la última película) de la ahora no tan secreta organización Spectre irrumpen en el laboratorio, roban algunas muestras de nanobot y secuestran al científico traidor. Ya conocemos los problemas de las verificaciones de antecedentes del personal, pero ¿por qué no hay un sistema de prevención de pérdida de datos (DLP) en un laboratorio que desarrolla armas secretas, especialmente en el ordenador de alguien con un apellido ruso, Obruchev? (Ruso = villano, eso lo sabe todo el mundo).

La película también menciona brevemente que, como resultado de múltiples filtraciones de grandes cantidades de datos de ADN, el arma puede volverse contra cualquiera. Por cierto, esa parte no es del todo inverosímil. Pero luego nos enteramos de que esas filtraciones también contienen datos sobre agentes del MI6, y eso pone a prueba la credibilidad. Para hacer coincidir los datos de ADN filtrados con los de los empleados del MI6, las listas de esos agentes deberían estar disponibles públicamente. Eso es un poco exagerado.

Y, como guinda del pastel, está el ojo artificial de Blofeld, que, mientras su dueño está en una prisión de máxima seguridad durante años, se entera de todo a través de uno de sus secuaces. Seamos generosos y supongamos que es posible no darse cuenta de un implante biónico en un recluso. Pero el ojo tendría que cargarse con regularidad, lo que sería difícil de hacer de manera discreta en una prisión de máxima seguridad. ¿Qué han estado haciendo los guardias? Además, al final, Blofeld es detenido sin el dispositivo ocular, por lo que alguien debe habérselo dado después de su arresto. ¿Otro intruso?

No es un epílogo

Uno quisiera creer que todos esos absurdos son el resultado de una escritura perezosa y no de un reflejo auténtico de la práctica de ciberseguridad en el MI6. Al menos, esperamos que el servicio real no filtre armas ultrasecretas ni almacene códigos ultrasecretos en texto sin cifrar y en dispositivos que ni siquiera se bloquean automáticamente. En conclusión, solo podemos recomendar a los guionistas que aumenten su conocimientos en materia de ciberseguridad, por ejemplo, con un curso de ciberseguridad.

 

Consejos