¿Y si... todo el mundo realmente coopera para detectar y corregir vulnerabilidades de día cero y en el proceso nos ayuda a mantenernos más seguros?

Cómo salvar al mundo una vulnerabilidad de día cero a la vez

Tanto 2019 como 2020 fueron años difíciles: los ciberataques maliciosos y desestabilizadores, muchos de ellos explotando vulnerabilidades de día cero, se convirtieron en cosa de todos los días. A pesar de las interminables reuniones multilaterales diseñadas para crear confianza, los estados no lograban ponerse de acuerdo sobre posibles normas de comportamiento con respecto a la denuncia, el almacenamiento o el uso de las vulnerabilidades de día cero.  Más allá de todas las conversaciones, el resultado era siempre un círculo vicioso: desconfianza que generaba cada vez más acusaciones; malos resultados para los usuarios finales, que aumentaban la desconfianza, y así sucesivamente.

La clave de la solución llegó del lugar más inesperado. En febrero de 2021, un grupo no identificado creó una malla altamente distribuida de repositorios protegidos mediante criptografía, colectivamente conocidos como BlackBox. Subieron cientos de archivos .txt con descripciones de vulnerabilidades de día cero. Como prueba de la credibilidad de BlackBox, enviaron correos electrónicos a los CTO o CIO de las empresas de software y hardware implicadas, con credenciales para acceder a una vulnerabilidad específica. La única trampa: cada empresa solo obtendría más información a medida que fuera demostrando acciones de buena fe. Divulgue cuántas vulnerabilidades no solucionadas conoce y sabrá cuántas conoce BlackBox; publique un parche y obtendrá una clave para el siguiente; cargue una de sus propias vulnerabilidades y obtendrá un dos por uno, y así sucesivamente. La lógica de BlackBox era que los programas de recompensa y reconocimiento para quienes informan vulnerabilidades (bug bounty) no habían sido suficientes para mejorar la seguridad del ecosistema en su conjunto.

Al principio, solo unos pocos respondieron porque muchos pensaron que se trataba de una forma de phishing o de una acción previa al chantaje. Pero el pedido de rescate nunca llegó. Poco a poco, de forma gradual, los canales de retorno entre investigadores que habían realizado juntos sus trabajos de posgrado fueron generando confianza en la buena fe de la operación. La información también se propagó entre la comunidad de seguridad del estado cuyos miembros, entre las soluciones y parches publicados, vieron vulnerabilidades de día cero que creían ser los únicos en conocer y otras que ni siquiera habían encontrado. Pronto, los entendidos en el tema —entre ellos las principales empresas globales y agencias estatales— no solo estaban bajando la información sobre sus propias vulnerabilidades, sino que también estaban aportando información.

Los académicos vieron que, si informaban vulnerabilidades de día cero a BlackBox, las soluciones se lograban de forma más rápida, lo que les ofrecía una vía rápida y segura para la publicación de su trabajo. En menos de un año, varios gobiernos relajaron sus políticas sobre el procesamiento de quienes hackeaban con fines de investigación, con la condición de que BlackBox se utilizaría como un centro de intercambio de información. El grupo BlackBox respondió superponiendo una criptomoneda a su arquitectura de malla, como mecanismo de recompensa para las contribuciones de terceros y una “prueba de primer informe”.  En dos años, el mundo entero se ha beneficiado de una reducción del 70% de los ciberataques.

Estas preguntas exploran cómo Internet podría evolucionar. Pero el camino que tomamos depende de nosotros.

Perteneciente a