Traducción del artículo original «The internet is breaking. Here’s how to save it.» en @CyberScoopNews (actualmente disponible en archive.org) escrito en 2016 por Dan Kaminsky
GOBIERNO
Internet se está rompiendo. He aquí cómo salvarla.
Escrito por Dan Kaminsky
OCT 3, 2016 | CYBERSCOOP
Podríamos perder este Internet. O podríamos salvarla.
Yo prefiero esto último. Y me dirijo a ustedes como una especie de forastero -un hacker durante décadas, con sede en San Francisco- Necesito su ayuda. Creo firmemente que necesitamos algo parecido a un Instituto Nacional de Salud para la Ciberseguridad.
Internet ha impulsado la mayor expansión de la economía mundial desde la Revolución Industrial. La promesa de la tecnología de la información es extraordinaria. Pero sigue siendo una promesa, y es una promesa que la gente está empezando a cuestionar. La NTIA* ha anunciado recientemente que la mitad de los estadounidenses se alejan de Internet por temores relacionados con la seguridad y la privacidad.
¡La mitad! No debería sorprendernos. A estas alturas, ¿Quién no ha recibido un aviso de difusión de datos, clonado de tarjeta de crédito de o ha tenido que enfrentarse a algo peor?
Y por eso me preocupo. No soy partidario de recurrir al FUD**, pero ¿Cómo podemos esperar que la innovación prospere en estas condiciones? Por poner un ejemplo, el Internet de las Cosas es la culminación de una docena de grandes tendencias que por fin alcanzan la madurez. Es asombroso ver cómo la gente explora lo que de repente es posible, conectando las capacidades de las TI con el resto del panorama de la ingeniería.
También es la primera tecnología que he visto que la gente asume que es completamente insegura durante la fase crítica de adopción temprana.
Es decir, la gente tiene razón, pero normalmente una nueva industria tiene algo de tiempo para ponerse al día. Los teléfonos inteligentes no eran buenos cuando llegaron por primera vez. (Muchos todavía no lo son.) Mientras tanto, el mayor flood*** de Internet en la historia acaba de producirse por una enorme red de cámaras pirateadas****. El Internet de las Cosas ya está siendo abusado en el mundo real.
Estados Unidos solía ser el líder en una tecnología de alto rendimiento y baja fiabilidad: Los automóviles. Japón innovó y ofreció vehículos mucho más fiables. Detroit, de hecho, estuvo a la altura del desafío y nuestra calidad de fabricación mejoró. Con el tiempo. No de forma indolora.
La realidad es que quien descubra cómo hacer un código fiable y seguro a gran escala va a albergar el próximo Silicon Valley. Preferiría que fuera nuestro Silicon Valley, pero no somos la única nación con programadores de talento.
Se necesitará un trabajo fundacional para hacer frente a la crisis de ciberseguridad. En el camino hay dos creencias: Que defender el software es imposible, y que aunque pudiéramos, el gobierno no tiene ningún papel que desempeñar. Hablemos de ello.
Los fallos no son aleatorios. Las vulnerabilidades no existen por simples probabilidades, al igual que los puentes se derrumban porque eso es lo que hace el metal y el asfalto rotos. Hay patrones que los hackers explotan y los defensores gestionan. He visto y hecho ambas cosas, y puedo decir que hay lugares en los que hemos visto mejoras espectaculares en la calidad. Necesitamos más lugares así. Los atacantes, muchos de ellos extranjeros, están pidiendo un rescate por nuestros hospitales, sondeando nuestros sistemas electorales y perturbando la vida de toda la ciudadanía.
Si el gobierno tiene un papel que desempeñar -y creo que lo tiene- es el de hacer algo más que volar cosas y espiar a todo el mundo. Hay trabajo que hacer, por ingenieros, para ingenieros*****. Abogo por un «NIH (Institutos Nacionales de Salud por sus siglas en inglés) para los cibernéticos» porque no evitamos que nuestras ciudades ardieran haciendo que el fuego fuera ilegal ni curamos a los enfermos haciendo que la enfermedad fuera un delito. No es la primera vez que aparece una nueva tecnología con un tremendo potencial y muchos problemas.
Los hackers hablan mucho del snake oil******, pero nosotros no inventamos el término. La gente solía coger serpientes de verdad, prensarlas en aceite de verdad y venderlo como una panacea. El diseño farmacéutico necesitaba una fabricación fiable y un régimen de pruebas. Teníamos que saber qué procesos y tecnologías conducían de forma fiable a los resultados deseados, no de forma teórica, sino experimental, en poblaciones reales. La ciberseguridad es, en última instancia, un problema de ingeniería de la comunicación humana: tenemos lenguajes de programación, no ecuaciones de programación, después de todo.
Será un trabajo caro, a largo plazo, difícil y a veces aburrido, que necesita ejércitos de empollones y una financiación que no se vea amenazada por los beneficios del próximo trimestre. El gobierno puede apoyarlo. Tiene sus propios riesgos: Martin Shkreli y las payasadas de Mylan demuestran las distorsiones que permite la captura regulatoria. Y hemos visto empíricamente que las agencias que intentan tanto atacar como defender, no lo consiguen. Eso está bien. El NIH no es una rama de los marines.
Estamos en un momento de grandes oportunidades. Más gente que nunca está aprendiendo a codificar por primera vez. Podemos estudiar ese proceso, aprender de sus errores, comprender qué aportaciones a un desarrollador conducen a resultados seguros para nuestra sociedad. Podemos permitir, proteger y fomentar la creación y el consumo de la innovación: todo ello sin miedo.
Los individuos están haciendo un extraordinario trabajo de ingeniería en ciberseguridad, pero hay más de un tipo trabajando para curar el cáncer. Demasiado trabajo de ingeniería depende del tiempo libre de muy pocos. Necesitamos instituciones, con una financiación buena y estable, y un cortafuegos burocrático contra los que tienen otras motivaciones.
Las innovaciones tecnológicas se han convertido en el motor de nuestra economía, nuestra sociedad y nuestro modo de vida. Nuestra crisis de ciberseguridad es un problema que debe abordarse a nivel nacional. Debe ser posible dirigir una pequeña empresa sin tener que desplegar una pequeña unidad militar para defenderse de una agresión extranjera.
El CIO de Francia, Henri Verdier, acuñó este sorprendente término: El Estado como plataforma. Ha reconocido que hay servicios que sociedades enteras pueden aprovechar y que un Estado legítimo puede muy bien proporcionar.
Desde la seguridad alimentaria hasta la supercarretera original, desde los productos farmacéuticos hasta impedir realmente que nuestras grandes ciudades ardan, los problemas a escala social han atraído una respuesta gubernamental. La clave está en acertar. A nadie le impresionan las amenazas de sanciones legislativas, ni la distracción en que se ha convertido el debate sobre el cifrado.
Un NIH para el ciberespacio, centrado en nuestros auténticos retos de ingeniería, podría salvar este Internet.
Dan Kaminsky es un tecnólogo de prestigio internacional que lleva casi dos décadas protegiendo Internet. Es uno de los siete «accionistas clave» capaces de restablecer el Sistema de Nombres de Dominio de Internet si fuera necesario. Dan es conocido por su trabajo en la búsqueda de un fallo central en Internet, y por liderar la carga para repararlo. Colaborador activo del W3C , la organización que dirige la Web, es cofundador y científico jefe de White Ops, una empresa de ciberseguridad. Puede seguirlo en Twitter: @dakami
Dan Kaminsky murió el 24/04/2021 a la edad de 42 años | circleid.com
*National Telecommunications and Information Administration (Administración Nacional de Telecomunicaciones e Información)
** Del inglés, Fear, Uncertainty and Doubt, en español Miedo, Incertidumbre y Duda.
*** Flood es un término en inglés que significa literalmente inundación. Se usa en la jerga informática para designar un comportamiento abusivo de la red de comunicaciones, normalmente por la repetición desmesurada de algún mensaje en un corto espacio de tiempo. Wikipedia
**** La botnet mirai, responsable de los ataques más potentes y devastadores | akamai.com
***** no solo ingeniería (nota personal)
****** Snake oil | searchsecurity.techtarget.com
Agradecimientos a TheGoodKnowmad por el «ping» sobre el artículo.
