Troyanos materiales o la seguridad de las ‘cosas’

‘Troyanos’  es como ahora mal llamamos a los ‘caballos de Troya’, sometidos, como solemos estar, a la presión terminológica gringa.  Igual que ahora llamamos ‘químicos’ (y no ‘productos químicos’) al gas sarín y similares; además de  a ese viejo y respetable señor de la barba y la bata blanca. 

Los  caballos de Troya han sido físicos –materiales– siempre, desde hace 44 siglos [i], donde las leyendas recogidas en La Odisea de Homero y en La Eneida de Virgilio sitúan al precursor: el de Troya. Físicos, huecos y de madera. 

Con el surgir de la informática, los ‘troyanos’, en los últimos digamos 40-50 años,  se han sublimado y -de físicos y de madera- han pasado a ´lógicos’, al software y a la Nube. Y de algún modo, nos hemos acostumbrado a su presencia entre nosotros. Presencia ‘lógica’ pero no física, y nos hemos acostumbrado / resignado a su vida expansiva, a los riesgos que suponen, a los antivirus…

Vivimos –es ya un tópico-  en un mundo crecientemente interconectado e interdependiente, caracterizado por la alta  ‘interconexión de las ‘cosas’ [ii]. El  "Internet de las ‘cosas’ [things]".

Troyanos sólo lógicos, hemos tenido en los últimos 40-50 años; ¡pero sólo hasta ahora!

Porque, ahora, ya hay ‘troyanos’ físicos’ (aunque no de madera, sí de silicio). Las sospechas enunciadas en los últimos años, se han convertido en evidencias [iii].

En  mi opinión, la diferencia fundamental –desde un punto de vista de seguridad (seguridad de las cosas)- entre los troyanos ‘lógicos’ y los’ físicos’ es que mientras los primeros, los lógicos, dependen de una probabilidad de infección  (0 ≤ p ≤1), el parque de productos o componentes con un troyano ‘físico’ tienen la infección con toda certeza (p=1). 

Si un producto o componente tiene un subcomponente que contiene un troyano, también lo tendrán todos sus hermanos de lote o de serie de fabricación, y todos los ensamblajes y sistemas ulteriores que contengan dicho producto o componente [iv].

Y esto plantea --a gobiernos, empresas, científicos y profesionales-- un reto enorme  y probablemente muy subestimado [v].  Porque el alcance del riesgo rebasa --en órdenes de magnitud-- a las hasta ahora consideradas ‘infraestructuras críticas’  (como señala la Nota 4), para potencialmente alcanzar la totalidad de nuestro actual modelo de vida: automóviles, fotografías y ‘youtubes’, teléfonos, tráfico, iluminación, distribución de electricidad, agua, gas, sensores, controles, parquímetros, sanidad, equipos médicos, meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, el comercio y el ocio en la Red, y un muy largo etcétera.

Abordar a tiempo y con eficacia esta temática exigirá, con toda seguridad, esfuerzos titánicos (en concienciación, divulgación, conciertos internacionales, tratados y leyes, marcos y normas,  grandes inversiones) que se traduzcan  en gestión y control de calidad, evaluaciones y certificaciones de procesos y productos y sus productores, auditorías y aseguramiento.  

Y que las evaluaciones, auditorías y certificaciones se realicen con competencia e independencia extremas. ¿Será esto posible?

No parece que estemos aún en esa senda, por lo que la seguridad de las cosas está en entredicho y por ende la seguridad de las personas y de su modelo de vida, que es lo que al final debe importar. Por ello son loables algunas iniciativas prometedoras, que intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario y tratamiento tradicionales [vi]. 

Por acabar con una nota más ligera, no todo es malo en el tema de los ‘troyanos materiales’ (potenciales o reales). Acabo de adquirir un excelente portátil “Lenovo” con una calidad- precio muy atractiva, probable consecuencia del boicot a dicha marca (razonable, a mi juicio) de muchas agencias gubernamentales y –por su influencia—de muchas grandes empresas.  

Pienso que la sensibilidad de la información que yo manejo, frente a supuestos intereses chinos, es muy baja. Aunque, claro, no se debe olvidar que la mejor definición de ‘sensible’ es la que dé (o piense y calle) el atacante.

* * *

Este artículo se publicó por primera vez en la revista "Magazcitum", el 5 de Febrero del 2014. 

----------------------------------------------

[i]  http://en.wikipedia.org/wiki/Trojan_War 

[ii] “Ubiquitous Computing is fundamentally characterized by the connection of things in the world with computation”.  Mark Weiser and John Seely Brown: The Coming Age of Calm Technology. OCT 1996.

[iii] Pierluigi Paganini An undetectable Hardware Trojan is reality

[iv] Con algún mayor rigor técnico, en los ensamblajes y sistemas, sólo quedarían afectados aquellos que –por configuración HW o SW- dejaran activos los componentes con malware, no los que los dejaran inhibidos.

[v] "In recent years, hardware Trojans have drawn the attention of governments and industry as well as the scientific community. One of the main concerns is that integrated circuits, e.g., for military or critical- infrastructure applications, could be maliciously manipulated during the manufacturing process, ..." Stealthy Dopant-Level Hardware Trojans. 

[vi]  Por ejemplo,  el recientemente creado Centro de Ciberseguridad Industrial que se centra (en español) en la seguridad de la información industrial, intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario natural de desarrollo  -el mundo corporativo-.  O el proyecto CLDFP (Cyber Leader Development Framework) [actualmente –OCT 2013- en revisión] de CSFI, que se ha propuesto desarrollar un marco de competencias de los futuros ciber-líderes incluyendo temas de ciencias políticas, sociología, estrategia, y comunicación, entre otros.