Caballo de Troya como servicio, patrocinado por China

22 febrero 2023

Hace un par de días leí la noticia “Olvídate de los globos. ¿Están los chinos espiando a todo el mundo a través de cámaras de vigilancia convencionales?” (en inglés). Este artículo relata las sospechas del Gobierno de Australia de que el Partido Comunista Chino y el Gobierno Chino están recibiendo imágenes capturadas con esas cámaras de vigilancia. De hecho, el senador australiano James Patterson afirmó en un tweet que “Hay casi 1.000 cámaras vinculadas al Partido Comunista Chino instaladas en algunos de nuestros departamentos y organismos más sensibles del Gobierno de la Commonwealth.”. La “crisis de los globos” ha generado gran preocupación en todo Occidente, pero quizá la mayor amenaza no sea tan fácilmente visible. Quizá el mayor peligro tenga forma de un “Caballo de Troya como servicio” en dispositivos en los que invertimos para proteger nuestro entorno.

Durante mucho tiempo nadie le daba importancia a que un país tan autoritario y opaco como China fuera el origen de la mayoría de los dispositivos tecnológicos de seguridad en funcionamiento en Occidente. Y eso que es de sobra conocido que el Gobierno Chino está detrás de diversas APT y multitud de ciberataques a organizaciones públicas y privadas en todo Occidente. Estos son solo algunos ejemplos de los muchos casos recientes: [1] [2] [3], incluso hay un artículo en Wikipedia sobre la “Ciberguerra de China” y desde Australia se asegura que China es responsable de 2 de cada 3 ciberataques patrocinados por estados. Por suerte, cada vez hay más conciencia del peligro que supone confiar en tecnología que proviene de países donde los Gobiernos controlan a las empresas y que buscan, potencialmente, comprometer a empresas y organismos públicos legítimos mediante un Caballo de Troya escondido en un dispositivo de seguridad.

Detectar un Caballo de Troya en un dispositivo no es tarea fácil

El reto de detectar cuándo un dispositivo está comprometido es difícil de superar. Normalmente, los indicios solo aparecen después de detectar un ataque, y muchos de ellos pueden pasar desapercibidos durante mucho tiempo. Es por eso que tenemos que exigir transparencia en el proceso de fabricación. Y cuando hablo de fabricación, no lo limito al desarrollo del software, ni siquiera al procedimiento de ensamblado, sino a la fabricación de todos los componentes electrónicos. Un procedimiento de fabricación realmente transparente debe incluir la trazabilidad de los componentes electrónicos del dispositivo.

No es mi intención señalar a ningún fabricante de hardware concreto, pero en este punto me veo en la obligación de hablar de lo que creo que es un error de, no un fabricante de hardware, sino un gigante tecnológico que está entre las 4 mayores empresas del mundo, Google, y que podría poner en peligro a multitud de organizaciones legítimas. Igual que le hemos agradecido repetidamente a Google que fuera, junto con Yubico, el principal impulsor de la creación de FIDO U2F, el estándar que revolucionó el MFA hace ya casi 10 años, ahora toca darle un tirón de orejas al gigante con sede en Mountain View.

Google comercializa unas llaves de seguridad fabricadas por una compañía china, y las vende con la marca “Google”. Google asegura que sus llaves incluyen un firmware diseñado por sus ingenieros que impide que la llave sea comprometida. No obstante, multitud de expertos en ciberseguridad consideran esta acción insuficiente para garantizar que las llaves no están comprometidas [4] [5] [6]. Esto ya ha ocurrido con el hardware de otras compañías en el pasado que incluían un Caballo de Troya, llegando a afectar en algún caso a compañías como Amazon o Apple, según publicó Bloomberg.

La transparencia es la clave para confiar en un dispositivo

La muestra de que las cosas se pueden hacer de otra forma la tenemos muy cerca. En DotForce hemos apostado muy fuerte por Yubico, un fabricante de llaves de seguridad de origen europeo con una política de transparencia ejemplar.

Yubico apuesta firmemente por la transparencia en el proceso de fabricación y solo fabrica sus llaves en Suecia y Estados Unidos. Además, los componentes electrónicos utilizados son fabricados en la Unión Europea. Sus estándares de calidad son muy altos, al igual que los de seguridad. Un ejemplo es que, al igual que otros fabricantes, Yubico desarrolló una llave de seguridad Bluetooth, pero tras exhaustivas pruebas, desechó comercializar ese producto, a pesar de haber realizado una inversión importante en este desarrollo. El motivo fue que la tecnología inalámbrica Bluetooth presenta unos inconvenientes que pueden comprometer la seguridad y usabilidad de un dispositivo de seguridad.

Además, en el marco de su programa “Secure it Forward“, por cada 20 llaves vendidas Yubico dona una llave para proteger a entidades y organizaciones amenazadas y sin ánimo de lucro que protegen a periodistas en países autoritarios, organizaciones de derechos humanos, redes que luchan por preservar la integridad democrática y organizaciones que trabajan para fomentar la diversidad en la tecnología y la seguridad.

En conclusión, es importante que las organizaciones de todo tipo sean conscientes del riesgo asociado con los dispositivos fabricados en países con regímenes autoritarios como China, que habitualmente seducen a los compradores por su precio más bajo.

Es responsabilidad de los fabricantes y los gobiernos garantizar que los dispositivos sean seguros y no comprometan los derechos fundamentales de los usuarios. Los fabricantes deben ser transparentes sobre los países en los que se fabrican sus dispositivos y tomar medidas para garantizar la seguridad y la privacidad de los usuarios.

PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde
PUBLICADO POR:<br>José Luis Pozo Valverde
PUBLICADO POR:
José Luis Pozo Valverde

Artículos relacionados

DNS sobre HTTPS, cómo y por qué debes activarlo

DNS sobre HTTPS, cómo y por qué debes activarlo

Cuando tu navegador accede a un sitio web, primero necesita traducir la URL amigable (como dotforce.es) a la dirección IP del servidor público que aloja ese sitio web. Esto se conoce como búsqueda DNS. El DNS tradicional no está cifrado, a diferencia del tráfico web...