¿Me estás espiando?

La repercusión mediática que está teniendo el proyecto PRISM no es para menos, lo he visto en televisión, escuchado en la radio y leído en prensa cómo la Agencia de Seguridad Nacional (NSA) perteneciente al Departamento de Defensa de EEUU está capturando, analizando y guardando toda la información que pasa por las líneas de comunicaciones para vigilar y evitar atentados terroristas. Obviamente todo ello con la ayuda de las principales compañías tecnológicas de EEUU como Microsoft, Apple, Facebook, etc, además de apoyarse en la ley FISA y el proyecto Einstein.

Mediante la ley FISA el gobierno de EEUU tiene permiso para vigilar y recolectar información sobre las comunicaciones electrónicas de potenciales sospechosos terroristas, mientras que el proyecto Einstein consiste en un sistema IDS formado por un conjunto de sondas ubicadas estratégicamente para colectar, correlacionar, analizar y alertas sobre cualquier intento de ataque, es decir un SIEM gestionado por US-CERT.

Según Barack Obama, las escuchas abortaron ataques en más de 20 países, entre ellos un atentado en el metro de Nueva York en el 2009, que lástima que no pudieron evitar el atentado de Boston. De todos modos hoy Obama tiene que defender el programa de ciberespionaje PRISM a los líderes europeos en la cumbre del G8, me gustaría ver las caras, tras la reunión, de los líderes europeos al conocer que el presidente de EEUU puede entrar en sus Facebook y leer sus correos personales.

En una entrada anterior dije que estamos vendidos, y que ante una futura guerra no tendríamos nada que hacer, ya que el mundo actual en el que vivimos está repleto de tecnologías que no controlamos y que han sido fabricadas fuera de España, permitiendo que los fabricantes nos manejen como marionetas. Un ejemplo muy llamativo es cómo Microsoft proporciona los exploits 0-day al gobierno de EEUU antes de parchear los sistemas, permitiendo a EEUU explotar las vulnerabilidades del software vendido a otros gobiernos extranjeros, y ¿qué empresa u organismo público no tiene sistemas Microsoft? Que yo conozca ninguno, en definitiva que estamos invirtiendo mucho dinero en sistemas de seguridad dejando la puerta abierta a EEUU.

A lo mejor aquí es donde debería entrar en juego el software libre, ya que mediante auditorías de código fuente tenemos la posibilidad de analizar los sistemas, y aún así, en todo caso siempre deberemos confiar en un tercero, por tanto en seguridad de la información cada vez es más importante la confianza y por ende la confidencialidad que el proveedor pueda entregar, que ni las más grandes como Microsoft o Google han podido respetar, parece ser que a partir de ahora además de nosotros como clientes de aceptar su política de no distribuir ni hacer copia de su software, tendremos que obligarles a que nos firmen nuestros acuerdos de confidencialidad que aparecen en los controles A.6.2 de la ISO 27001.

Para terminar, como la información es poder y EEUU tiene toda la información, esperemos que a Obama no le entre el gusanillo que tienen todos los adolescentes de saber la contraseña de sus novias, no sea que a nuestros políticos y gobernantes ...