Está claro que todos los jugadores de la era digital están preocupados por la seguridad. Es un problema creciente a medida que más y más dispositivos se conectan y se comparte más información entre ellos pasando por todo tipo de redes. Cualquier intento de neutralizar las amenazas de seguridad deben ser bienvenidas, aunque lo ideal sería intentar crear algún tipo de esquema de colaboración global, una especie de súper comunidad replicando algunos de los mecanismos de las de código abierto para ser lo más rápidos y efectivos en detectar y neutralizar fallas de seguridad, independientemente de quién las sufra.
Hace algo más de una semana Project Zero de Google alertaba sobre un problema de seguridad en los dispositivos iOS. Este proyecto de Google asegura que ya trabajan en colaboración con otras compañías para encontrar e informar vulnerabilidades de seguridad, con el objetivo final de abogar por mejoras de seguridad estructural en los sistemas para ayudar a proteger a las personas en todas partes. Sin embargo, si bien el proyecto tiene una misión muy loable, la forma de comunicar podría ser algo más colaborativa para evitar que haya réplica y contra réplica que deje confundidos a todos los usuarios.
Recapitulemos. A principios de este año, el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google descubrió una pequeña colección de sitios web pirateados que hackeaban el sistema iOS de Apple. El simple hecho de visitar algunos de estos sitios web pirateados era suficiente para que el servidor atacara al dispositivo. Google estimaba, y si alguien sabe de esto deben ser ellos, que estos sitios recibían miles de visitantes por semana.
TAG, dice el post de Google, pudo recopilar cinco cadenas de ataques que cubrían casi todas las versiones del iOS de Apple, desde iOS10 hasta la última versión de iOS12. Y este ataque se produjo de forma sostenida durante un período de, al menos, dos años.
Evidentemente ante esta noticia, que corrió por internet a la velocidad de la luz, Apple salió al paso la semana pasada haciendo referencia al blog publicado por Google, un competidor, adelantando que las vulnerabilidades descritas por Google habían sido corregidas en febrero de este año, lo que añade un nuevo grado de incertidumbre a todo este incidente.
Apple quiere dejar claro que el ataque no fue masivo sino de un alcance limitado y parece indicar que este sería ya un fallo de Google a la hora de comunicarlo. El ataque afectó a menos de una docena de sitios web que se centraban en contenido relacionado con la comunidad Uigur (Turquía).
“La publicación de Google, emitida seis meses después del lanzamiento de los parches de iOS, crea la falsa impresión de ‘explotación masiva’ para ‘monitorear las actividades privadas de poblaciones enteras en tiempo real’, avivando el temor entre todos los usuarios de iPhone de que sus dispositivos se habían visto comprometidos. Este nunca fue el caso”, dice Apple en su comunicado.
En segundo lugar, Apple también asegura que “toda la evidencia indica que estos ataques al sitio web solo estuvieron operativos durante un breve período, aproximadamente dos meses, no ‘dos años’ como lo implica Google. Solucionamos las vulnerabilidades en cuestión en febrero, trabajando extremadamente rápido para resolver el problema solo 10 días después de que nos enteramos. Cuando Google se nos acercó, ya estábamos en el proceso de corregir los errores”.
Y es evidente que llegados a este punto, solo sabemos que hubo una vulnerabilidad, no tenemos claro su alcance por culpa del fuego cruzado, y encima nos queda la sensación de que aquellos que deberían cooperar para asegurar a sus usuarios —cooperar de forma abierta y transparente— dicen que lo hacen pero en realidad parecen aprovechar las vulnerabilidades de sus competidores para sacar rédito como los salvadores de los usuarios. Está claro que divulgar esta información es lo correcto, pero sería interesante que inicialmente estas divulgaciones fuesen coordinadas para evitar justamente lo que ha provocado todo este asunto: más confusión.
No cooperar de forma “noble” en temas de seguridad deja a todo el sector expuesto a desconfiar de los que deben protegernos, y en un mundo tan propenso al escepticismo, si con la seguridad no se elimina, entonces todos acabaremos perdiendo, incluidos Google y Apple.
