Autor: Jacobo Nájera

Internet en bicicleta

Publicado originalmente en Sursiendo

Si hago un recorrido por uno de mis primeros contactos con la artesanía, este sería, sin duda, andar en bicicleta. Porque para mí significa aquella experiencia para explorar sobre la confianza y la libertad, en donde el cuerpo conforma la memoria de tus trayectos realizados.

Con regularidad, de niño, unas veces con itinerario otras sin él, realicé recorridos sobre terrenos distintos, cada exploración una oportunidad para aprender de mí mismo. Sin embargo, había algo que con el tiempo sucedió: me volví mucho más consciente de lo que implicaba cada movimiento en tensión con la física, en donde las capas de conciencia no eran del todo verbalizables, pero sí habitables en cada recorrido, como sucede con la artesanía.

En uno de mis recorridos conocí a experimentadores de la radiofrecuencia. Supe que una fuente de poder es la encargada de suministrar y mantener con energía un circuito eléctrico, pero sobre todo que los circuitos eléctricos pueden ser conectados por transmisiones de ondas entre longitudes y distancias, y para ello existe técnica y pericia, además del conocimiento para calcular las características que requieres para transmitir en los 27 Mhz, que hay una Ley de Ohm, y que la potencia se mide en Watts.

Recuerdo la emoción de recibir, por primera vez, una tarjeta de papel desde el otro lado del Atlántico llamada QSL o tarjeta de confirmación de llamado, con la que termina el contacto entre dos corresponsales, enviada por correo postal después del contacto por medio de la radio. En la que se escribe un informe de recepción de sus emisiones.

Uno de los primeros retos fue la elaboración de un puente rectificador para transformar la corriente eléctrica del sistema de suministro eléctrico municipal a una corriente directa para alimentar el circuito del aparato transmisor de la radio. En suma, la posibilidad de aprender de ti mismo por medio de las cosas que construyes, prueba, ensayo y error, con el contacto con otros.

Más tarde realicé mi primera conexión a Internet vía dial-up, la que no llamó mi atención tanto como los trayectos con los dispositivos de telecomunicaciones analógicas.

Cuando de verdad generé una conexión con Internet fue hasta los 14 años que encontré comunidades que desarrollaban software (libre) bajo principios parecidos a las comunidades de radio experimentadores, eso me emocionó. Fue la posibilidad de entender los diferentes conceptos que hacen funcionar Internet experimentando al instalar software y lograr algún servicio para probarlo, como un sitio web o la resolución de nombres de dominio

La bióloga y hacktivista Mayeli Sánchez suele proyectar en presentaciones una imagen con las empresas actuales más conocidas de Internet y se refiere a ella como la nueva historia del internet, para posteriormente preguntarse que si esa nueva historia será la historia del Internet y de esta manera introducir y poner en discusión las disputas de los entramados de las historias y su no linealidad, y quién las cuenta.

Para Jamie McClelland, tecnólogo que ha participado dentro de los movimientos sociales como administrador y desarrollador de sistemas, señala que tanto Facebook y Twitter están basados en los diseños de la red social Indymedia o Centro de Medios Independientes de los movimientos sociales de los noventa, que tenía las capacidades democráticas para posibilitar la publicación de noticias y después comentarlas.

Pensar en Internet nos puede conducir al desarrollo de una arquitectura que toma como punto de partida la idea de que cada nodo de la red tendría igual capacidad para crear, transmitir y recibir mensajes, los cuales se dividirían en paquetes (Sterling, B.), lo que se materializa en protocolos como el del correo electrónico o el que permite funcionar a un sitio web, entre otros.

En ello es quehacer reconocer tres momentos de su génesis: la relacionada a los años setenta en donde se dieron las primeras investigaciones sobre el desarrollo de una red capaz de comunicarse ciudad a ciudad, en los laboratorios de la RAND, DARPA, MIT y NPL. Un segundo momento altamente colaborativo y comunitario donde toman forma muchos de los protocolos que actualmente usamos para comunicarnos. Un tercer momento que comienza tras la crisis de los punto com, en donde las compañías adoptan a los datos de las personas como uno de sus modelos de negocio Sparrow (2014).

Retomando las ideas del artesano Jamie, los protocolos adquirieron un claro sentido social en los años noventa a través de proyectos como Riseup Networks en Estados Unidos, SinDominio y Nodo50 en España, ASCII (the now silent Amsterdam Subversive Center for Information Interchange) en Holanda, Aktivix y Plentyfact en UK Reino Unido, SO36 y Nadir en Alemania y Autistici/Inventati en Italia, quienes reivindicaron la pertenencia de los protocolos Milan (2013) fuera del Estado y las corporaciones.

Actualmente observamos varias discusiones intensas y tensiones sobre el futuro de Internet en aspectos de regulación, uso-desarrollo, en un modelo centrado en los datos guiados por el valor de mercado.

Mientras, los operadores de telecomunicaciones dicen que todo mundo hace dinero sobre su infraestructura y que no reciben lo suficiente por el aprovisionamiento de la conectividad o los que dicen que necesitan incentivar el uso de sus redes y por eso hay que tener servicios “gratuitos” en donde ellos reciban algún tipo de intercambio por acuerdo con estos servicios.

Esto ocurre en un contexto donde los órganos reguladores estatales cada vez tienen menos información sobre los costos reales que implica el aprovisionamiento de infraestructura, así como datos de las formas de despliegue. Por otra parte, las corporaciones más importantes dependen cada vez menos de la infraestructura ‘pública’ de Internet y tiran sus propios cables para interconectar sus centros de datos.

Los pueblos que han decidido desarrollar tecnología autónoma de telecomunicaciones bajo los modelos económicos y sociales de su vida comunitaria se enfrentan no solo a que las fibras ópticas para interconectar sus propias redes lleguen a pocas ciudades y con altos precios, consecuencia de una sobreventa intencional, sino también a las implicaciones de conectarse a modelos guiados por la explotación de los datos lo que obliga en el mediano plazo a que estas comunidades tengan su propia infraestructura en las diferentes capas de aprovisionamiento, para que puedan tener la capacidad de autodeterminación (Gómez, T, 2017).

Los ataques informáticos y los colapsos por fallas que implican problemas de seguridad son constantes. Síntoma de ello es que también estos ataques de escala han adoptado modelos de monetizarse. No solamente por los secuestros remotos de computadoras, que posteriormente piden un rescate para regresar su acceso, sino por el mercado de vulnerabilidades que son parte de productos con diferentes finalidades y costos.

La computadora bajo el concepto de propósito general tiende a desaparecer por mecanismos de obsolescencia programada y licenciamiento, al no poder ser más dueños de las máquinas que compramos, solo son de alquiler mientras dura el período de los términos de la licencia del software.

Uno de los elementos que conforman el conjunto de tecnologías de Internet, es la confianza. Visualizar sus conexiones y mecanismos resulta ejercicio para saber sobre el futuro de estas tecnologías.

Imaginemos que alguien tiene el control de millones de computadoras en todo el mundo (incluyendo la tuya y mía) y que puede tener privilegios completos sobre nuestros dispositivos y actualizar software remotamente. Esto puede parecer problemático, pero depende desde la perspectiva que se vea. Porque siempre colocamos un nivel de confianza al usar un programa u otro.

En los grupos de artesanos de tecnología que conozco, la confianza mantiene una relación profunda entre las limitaciones de la tecnología que desarrollan y sus errores. Sobre todo el reconocimiento de lo que el código no puede lograr en términos de sus características intrínsecas.

Uno de los valores culturales de la artesanía tecnológica conocida son los mecanismos tecnosociales para desarrollar la confianza. Estos no resuelven la complejidad de tensiones que se desprenden de toda tecnología, pero provoca condiciones para pensar-hacer como una tarea activa de reconocimiento de sus fallas y posibilidades.

Cuando entré en contacto con comunidades de software libre conocí que hay errores o fallas en el software que pueden implicar problemas de seguridad y que pueden ser explotadas como vulnerabilidades para lograr intrusiones, sin embargo dentro de las comunidades de software libre la relación entre error y posibilidad es una situación que se enmarca dentro de su propia cultura como suele indicarlo Richard Sennett: “…lo más frecuente es que cuando la gente resuelve un «error», vea abrirse nuevas posibilidades para el empleo del software. El código evoluciona constantemente, no es un objeto acabado y fijo”.

En las prácticas de desarrollo de tecnología un error dentro de, por ejemplo, un código de software es conocido en inglés como bug y una de sus localizaciones al español es la de «bicho». Hay discusiones sobre el momento en el que se hizo esta asociación conceptual por primera vez, pero dentro de los diferentes relatos se habla de polillas que generaban problemas en ordenadores electromecánicos o en otros términos algún tipo de interferencia o mal funcionamiento.

Conocí varios sistemas operativos de software libre y el que decidí que me acompañaría fue Debian GNU/Linux. A lo largo de su historia en el proyecto Debian han participado aproximadamente 5400 personas voluntarias en las diferentes tareas para su desarrollo. Se calcula que más de 50% de instalaciones GNU/Linux están basadas o corren sobre este sistema operativo (W3Techs,2016).

Quienes desarrollan Debian tienen la confianza de millones de personas. Cuando instalamos este sistema operativo, incluso desde su descarga, nos conectamos y nos ponemos en un entramado de cadenas de confianza. Desde esa dimensión su comunidad de desarrollo tienen el control de millones de computadoras en varias locaciones distintas en el mundo.

Debian es distribuido por medio de servidores, llamados espejos, en donde se descarga un sistema base, para su instalación. Estos servidores están en varias partes del mundo y se sincronizan para tener el mismo software, en cada uno de estos. Por lo general los servidores son mantenidos por voluntarios. También estos espejos cuentan con un repositorio de software, para instalar programas y recibir actualizaciones de seguridad vía red, en las instalaciones de este sistema operativo.

Los mecanismos para el desarrollo de la confianza y los entramados entre los colaboradores, desarrolladores y quienes instalan este sistema operativo es complejo. Pero desde la perspectiva de la artesanía destaca un punto en su contrato social, explícitamente el número 3, indica:

No ocultaremos los problemas. Mantendremos nuestra base de datos de informes de error accesible al público en todo momento. Los informes de error que los usuarios envíen serán visibles por el resto de usuarios de forma inmediata.” Contrato social Debian

Y por otro lado un sistema que hace uso de la criptografía y rituales de cooperación para el intercambio de llaves, realizada por medio de una reunión anual en la que intercambian identidades digitales por medio de la verificación in situ. Por medio de estas llaves se consigue la verificación del software que descargas, para saber que en efecto es preparado por esta comunidad y no por otras personas.

Esta comunidad se enfrenta todo el tiempo a aprendizajes que implican patentes, leyes, jurisdicciones, códigos de ética, métodos de licenciamiento, marcas, fuerzas económicas y políticas.

Si abordamos en los aspectos legales, no solamente han construido licencias que permiten que un código de software pueda ser usado, estudiado, modificado y redistribuido. También en el tránsito de lo legal y el código de software estas comunidades han aprendido que sortear una patente tiene tres posibilidades: evitar la patente, conseguir una licencia de uso o invalidar una patente en la corte Stallman (2002) o el uso de patentes para la defensa de proyectos de código abierto y software libre.

La dinámica que se da en este tipo de comunidades frente a sus fallos es que cuando se encuentra una vulnerabilidad, se corrige en el código y está disponible para quienes usan el sistema operativo. Sin embargo tenemos de frente el mercado de vulnerabilidades de reciente popularidad en los medios. Las llamadas vulnerabilidades del día cero, aquellas que su modelo de gestión está relacionado al desarrollo de tecnologías y servicios de vigilancia, al ser vulnerabilidades que solo conoce un grupo reducido de personas, no existe arreglo, son materia prima de productos de intrusión que buscan eficacia. Dentro de estos como lo son el malware.

Recientemente otro aprendizaje de espacios afines a estas prácticas de desarrollo, se ve reflejada en la declaración realizada por el proyecto Tor en la que dicen que “No podemos construir herramientas libres y de código abierto que protejan a periodistas, activistas de derechos humanos y gente común en todo el mundo si también controlamos quién utiliza esas herramientas”.

En estos últimos años los proyectos como Debian, F-Droid, FreeBSD, Fedora, Tails, Tor Browser, entre otros, han estado trabajando en algo llamado Reproducible Builds que tiene como objetivo el desarrollo de herramientas para la verificación de código binario para con esto verificar que el código binario que ejecutas en tu máquina, es en efecto el código preparado por estos proyectos. En sus propias palabras:

“Las Reproducible Builds son un conjunto de prácticas de desarrollo de software que crean una ruta verificable desde el código fuente legible por humanos al código binario utilizado por las computadoras”.

La tecnología siempre va a ser vulnerable, ya sea por su diseño intrínseco, su contexto o una mezcla de factores. La diferencia son los mecanismos que tenemos para confiar en ella. La artesanía tecnológica es un camino posible para aprender de nosotros al tiempo que construimos nuevas tecnologías.

El colectivo de comunicación y cultura digital Sursiendo (2017) refiere a que dentro de la biodiversidad tecnológica hay “grupos que siguen construyendo cotidianamente un entorno de internet que valora a las personas y los procesos colectivos, la privacidad y el anonimato, la circulación del conocimiento y los aprendizajes mutuos”.

Una de las principales tensiones para la artesanía tecnológica futura y presente es que los bugs conforman parte de la economía de los ataques informáticos, los mismos que han adoptado los mecanismos del capitalismo financiero.

La gestión de los errores y fallas es uno de los puntos de confianza entre los artesanos y la gente en el seno de sus comunidades. En el mediano plazo los mecanismos de reconocimiento del trabajo de las personas involucradas en la investigación de vulnerabilidades jugará un papel importante, ya que serán parte de los andamiajes que den la batalla a los ataques informáticos y sus economías.

Vale la pena reflexionar en estos procesos que han permitido construir tecnologías de gran calidad artesanal. Pero sobre todo en tecnologías que nos permitan aprender de nosotras y nosotros mismos.

Referencias
Milan, S, (2013). Social Movements and Their Technologies, Palgrave Macmillan
Sennett, R, (2009). El artesano, España, Anagrama
Sterling, B.(1993, febrero). A Short History of the Internet
Sursiendo. (2017). Biodiversidad tecnológica para saltar los jardines vallados de internet. Recuperado de https://sursiendo.com/blog/2017/05/biodiversidad-tecnologica-para-saltar-los-jardines-vallados-de-internet
Sparrow, E. (2014, 9 de octubre). How Silicon Valley Learned to Love Surveillance. Recuperado de https://modelviewculture.com/pieces/how-silicon-valley-learned-to-love-surveillance
Sánchez, M. (2016). Por Amor a La Libertad. Seminario de ética hacker. Universidad del Claustro de Sor Juana. México
Löding, T, Rosas, E., (productores). (2017). Telecomunicaciones Independientes en Resistencia. México: Producciones Marca Diablo
Contrato social de Debian. Recuperado de https://www.debian.org/social_contract.es.html
Murdock, I. (1993). El manifiesto de Debian. Recuperado de https://www.debian.org/doc/manuals/project-history/ap-manifesto.es.html
Hacking Team: a zero-day market case study. Recuperado de https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/
Tor Project. (2017). The Tor Project Defends the Human Rights Racists Oppose. Recuperado de https://blog.torproject.org/blog/tor-project-defends-human-rights-racists-oppose
W, Gunnar. Fortalecimiento del llavero de confianza en un proyecto geográficamente distribuido. Recuperado de https://gwolf.org/node/4055
W3Techs. (2016). Historical trends in the usage of Linux versions for websites. Recuperado de https://w3techs.com/technologies/history_details/os-linux
Reproducible Builds. Recuperado de https://reproducible-builds.org/
Stallman, Richard. Software patents — Obstacles to software development. Recuperado de >https://www.gnu.org/philosophy/software-patents.html
Gómez, T. (2017). Los hackers que conectan a pueblos olvidados. Recuperado de http://nwnoticias.com/#!/noticias/los-hackers-que-conectan-a-pueblos-olvidados

La participación de radiaficionados en el restablecimiento de las telecomunicaciones después del 19s

En la Ciudad de México un grupo de radiofacionados realizaba prácticas meses antes a la mañana del 19 de septiembre con la intención de participar en el simulacro en el marco de la conmemoración de los 32 años del sismo de 1985; sin embargo no pudieron participar porque la confirmación de parte de las autoridades llegó demasiado tarde.

 

Ese martes, después del simulacro, pasando el medio día,  se registró el evento sísmico de 7,1 Mw a las 13:14:40 horas con epicentro localizado a 12 km al sureste de Axochiapan, Morelos, según el informe especial preliminar del Servicio Sismológico Nacional de México.

Tras el terremoto las comunicaciones colapsaron, en muchos lugares las redes de telefonía móvil estaban caídas o funcionaban de manera  intermitente. Protección Civil solicitó al grupo de radioaficionados apoyo, en esos momentos sus habilidades, conocimientos así como sus  equipos de transmisión civil de telecomunicaciones eran muy necesarios, cuenta con pasión y orgullo Alejandro Sánchez, integrante del Radio Club Unión de Radioaficionados Mexicanos (URAM).

Con sus equipos de telecomunicaciones, Alejandro se instaló en una de las esquinas de las calles de Amsterdam y Laredo, sus compañeros del radio club se movilizaronn a las oficinas de Protección Civil y al Colegio Enrique Rebsamen.

Mientras tanto un remolque con las letras XE1CRG emprendió la marcha terrestre desde el Club de Radio Amateur del Estado de Guanajuato. Aquella es una unidad equipada con radios para operar en varias bandas del espectro radioeléctrico y con la capacidad de envío, por ejemplo, de correos electrónicos sin necesidad de una conexión a internet.

En entrevista Alejandro reflexiona que el objetivo no era que  “la comunicación tiene que pasar por nosotros, no vamos a solucionar nada, estábamos ahí por si nos necesitaban”.

Si bien las telecomunicaciones y las redes ya habían comenzando a trabajar, tuvieron caídas e interrupciones, los grupos de radioaficionados estaban listos para entrar por si algo no funcionaba. También prestaron sus equipos a los Topos.

Los radioaficionados mexicanos participaron activamente en restablecer las comunicaciones desde la Ciudad de México y otras localidades del país afectadas por los sismos, además de Alejandro, el radio club URAM fue parte del grupo de personas y colectivos que creen firmemente que en situaciones de emergencia tanto sus conocimientos, equipos y el espectro radioeléctrico deben estar al servicio civil y de la población.

 

Pero ¿qué significa ser un radioaficionado?, dejemos que nos lo cuente el mismo Alejandro.

JN: ¿Cómo te iniciaste en la radioafición y radioexperimentación?

AS: Me acuerdo perfectamente bien de todo eso. Si tomamos en cuenta que tengo 50 años, para ubicarnos en distancia de tiempo, mi papá trabajaba en la Ford Motor Company,  muchas veces traía revistas de ingeniería y cosas así, le gustaba mucho lo más nuevo, teníamos grabadoras de carrete abierto que eran como una maleta y grababan como cinco minutos. Desde entonces siempre me gustó la electrónica y todo esto; yo diseñé una videocasetera 10 años antes de que existiera una, imagínate. Nada más me faltaba la cinta, yo quería transmitir por mi televisión.

Cuando ya tuve edad suficiente para comprarme mis cosas, me compré mi primer radio de banda civil. Estamos hablando de hace 35 años. Lo puse aquí, y le daba lata a los vecinos, porque transmitía e interfería sus aparatos, lo tuve un tiempo, me gustó mucho, andaba yo con todo lo que es banda civil, pero luego llegaron las computadoras, y me gustaron más, vendí todo para comprarme una. Y ahí paró la radioafición. Tuve contacto con una persona que era radioaficionado y con los radios, pero las computadoras me atraparon más, y hace unos 4 o 5 años regresé nuevamente al tema de los radios.  Todo lo atribuyo a la edad, uno siempre regresa en el tiempo, cuando ves que la vida no va y te vas regresando, así regresé igual a la banda civil.

Después empecé a meterme más, porque la banda civil no te llena o no me llenaba, entonces investigué cómo ser radioaficionado. Lo que te digo, ser radioaficionado es casi una secta mística, filosófica, misteriosa. Los illuminati, son más vistos que los radioaficionados, yo quería ser radioaficionado y tardé un año en encontrar cómo serlo. O más bien: intenté ser porque todo es muy secreto, y luego ya entré al radio club.

El hobby del radioaficionado resulta peculiar, su experimentación tiene beneficios directos para la sociedad en la que se desarrolla, hay quienes incluso suelen decir que salva vidas y que genera conocimiento, riqueza y cultura para un país.

 

JN: ¿En qué momento pasaste del hobby, del experimento a otro tipo de actividades, por ejemplo en una emergencia?

AS: Bueno, la radioafición siempre ha sido y será un hobby pero uno de nuestros preceptos, es el de servir a la comunidad y eso lo hacemos, es parte del decálogo del radioaficionado. Uno de los preceptos es que nuestros equipos siempre estarán al servicio de la comunidad para lo que se necesite. La prueba más fuerte y de ahí la tradición fue el sismo de hace 32 años, cuando literalmente el mundo creyó que la Ciudad México se había destruido. La primera transmisión que sale es de un radioaficionado “aquí estamos, todavía existimos”. En aquel entonces no existía Protección Civil, ni por error. Protección civil nace de los sismos de 1985.

Alejandro Sánchez, conocido en el mundo de la radioafición como XE1GNU pronunciado con el alfabeto: X-ray, Echo, Uno, Golf, November, Uniform.

JN: El uso del espectro con fines civiles por los radiaficionados, ¿cómo es reconocido por los gobiernos?

AS: Depende, en México pareciera que nos quieren destruir. En Japón, Estados Unidos y Europa están de la mano con los gobiernos. Cuando vino la ley Televisa, se cambió toda la Ley de Telecomunicaciones en México y se les olvidó que existían los radioaficionados, entonces como que alguien en el último momento se acordó y dijo: “chin qué hacemos con estos cuates” pues “pónlos al mismo nivel de Televisa” y ahora no tenemos una licencia de uso sino ahora son concesiones. Se les olvidó ponernos frecuencias, y de pronto nos dijeron: “¿pues sabes qué?, ya no las tienen” y nosotros les dijimos “lo sentimos mucho porque esas son frecuencias internacionales amparadas por tratados internacionales ratificados por el Senado y las tienen que regresar”, y no las regresaron, no había vuelta de hoja.

 

JN: Cuando veo las tecnologías sobre las que trabajan, veo que una parte importante son sistemas analógicos, ¿qué representan los sistemas digitales para la radiación?

AS: Básicamente lo digital es lo que tenemos, pero ahora vamos a transmitir en unos y ceros. Los aparatos van a poder hacer más cosas, qué cosas, todavía no sabemos, no existen radios digitales para radioaficionado. Todo lo digital que hay es a nivel comercial, para las empresas. Pero, como buenos experimentados estamos tomando esos radios, estamos modificándolos y se están haciendo cosas.  Lo digital es una bocanada de aire fresco.

La hipótesis sobre el 19s de los radioexperimentadores coincide en que las redes de telecomunicaciones no tuvieron daños físicos, o al menos no de gran impacto, lo que permitió levantar con relativa velocidad las redes, y lo que causó la intermitencia y su colapso fue debido a que las redes están sobrevendidas, en la explicación de Sánchez.

AS: Cada antena tiene un número de posibles conexiones, hay una estadística que hacen las empresas que dicen: a ver, en esta calle cuánta gente vive, no pues mil, entonces la estadística dice que de esas mil se van a conectar siempre al mismo tiempo 300, ah ok, entonces mi antena debe ser para 300, ok, pero yo voy a vender 900.

Básicamente esa es nuestra participación, estar ahí. De haber sido un terremoto de dimensiones del 85, pues sí hubiéramos sido la columna vertebral, quizá, de la comunicación.


Remolque de la unidad movil de radioaficionados del Club de Radio Amateur del Estado de Guanajuato,

Así  termina mi charla con Alejandro Sánchez conocido en el mundo de la radioafición como XE1GNU pronunciado con el alfabeto: X-ray, Echo, Uno, Golf, November, Uniform.

Testimonios como el de los radiaficionados nos recuerdan el papel que pueden llegar a tener el uso de un bien público desde una perspectiva civil, en este caso el espectro radioeléctrico, donde la tecnología ––de acuerdo a su aceptación social–– se vuelve un espacio propio para entretejer comunidades que buscan dar una interpretación al uso de la tecnología hecha desde dentro. Como también lo fue la red de personas y organizaciones que impulsaron #Verificado19s para priorizar y hacer fluir las tareas de rescate y salvar vidas.

Por mi parte, me uno respetuosamente a la reafirmación y sentir de que el terremoto cambió nuestra historia, en donde la vida de quienes murieron no puede reducirse sólo a una cifra más, y comparto el Memorial19s.mx, una de las iniciativas colectivas que busca recordar a las víctimas del sismo.

Las batallas por la estandarización técnica de la internet

A la memoria de Maria Elena Meneses

Wikipedia recientemente amaneció cerrada en protesta a la directiva sobre derechos de autor que se votó el 20 de junio de este año en el Parlamento Europeo. Durante 26 horas al tratar de acceder al contenido habitual de la enciclopedia se podía leer el mensaje de oposición a dicha propuesta, ya que “de aprobarse, debilitará los valores, la cultura, y el ecosistema en los que se basa Wikipedia”.

Lo que hace peculiar y polémica esta directiva es su búsqueda de impactar directamente en las configuraciones tecnológicas de los servicios de la internet. El artículo 13, uno de los más criticados, propone obligar a los proveedores de servicios a que implementen filtros automáticos que detecten el contenido de los archivos que los usuarios carguen a través de su servicio.

De implementarse dicha resolución habría un impacto en la libertad de expresión y la privacidad de los usuarios de internet. En la privacidad debido a que los servicios desplegarían mecanismos de vigilancia para poder determinar qué contenidos pueden ser subidos a los servidores y cuáles no; y para la libertad de expresión ya que la implementación automática de criterios mayormente definidos por un sector industrial podría devenir en casos de censura previa que contravienen los principios de libertad de expresión.

Para Joe McNamee de European Digital Rights dicha legislación “apoya un «algoritmo de verdad» para filtrar el material protegido por derechos de autor. ¿Por qué? El copyright desde siempre se usa como punta de lanza de políticas muy invasivas”.

A lo cual desde la Fundación Wikimedia responsable legal de la Wikipedia Allison Daveport y Anna Mazgal respondieron con el mensaje: “No obliguen a las plataformas a reemplazar las comunidades con algoritmos” para advertir que quienes escriben las leyes poco a poco introducen soluciones tecnológicas para hacer frente a contenido que puede ser infractor de derechos de autor. En otras palabras les pedían a los legisladores “que consideren los derechos de los usuarios de internet y que dejen margen para el lado humano de la moderación de contenido”.

Cuando delegamos tareas a los algoritmos computacionales, por ejemplo, ordenar y clasificar a las personas en bases de datos, en ese proceso hay dos insumos centrales que los algoritmos necesitan para hacer esta tarea: datos y definiciones. En esa dimensión los algoritmos parten de sistemas de creencias que comienzan desde su diseño. Hay quienes por estos motivos suelen decir que los algoritmos son opiniones que se embeben en código.

En la línea del análisis de McNamee la propuesta representa una ventaja competitiva para Google o Facebook debido a que, para la imposición de un “algoritmo de verdad” con base en los criterios definidos por el sector industrial editorial o musical y dada la naturaleza de diseño de esta legislación de amplio espectro en los estándares tecnológicos, dichas compañías “ya tienen sus filtros en marcha —porque no quieren estar sujetos a licencias—, [si fuera el caso] sólo ellos tendrán el poder financiero para lidiar con el desarrollo de los mecanismos de filtrado en constante cambio, algo que será exigido por los tribunales”.

Una de las primeras discusiones alrededor de la autonomía en la toma de decisiones sobre el diseño de las tecnologías que conforman la internet, sucedió en 1992 en torno a los protocolos. En ese momento, el grupo de Ingeniería y estandarización de internet (IETF), con la meta de “mejorar” y “expandir” el servicio entre las primeras redes disponibles, empujó la problemática sobre quién decide sobre el futuro de internet desde los aspectos técnicos: su propia comunidad o la Junta de Arquitectura de internet (IAB), creada por la Agencia de Proyectos de Investigación Avanzada de Defensa del Departamento de Defensa (DARPA) de los Estados Unidos. La discusión antes mencionada arribó en una reestructuración del grupo de trabajo encargado de la estandarización técnica de internet con la que IAB ya no estaría involucrada en la aprobación de los estándares. Lo cual significó una victoria para la comunidad en su posibilidad de tomar sus propias decisiones.

La definición de los estándares tecnológicos que conforman la internet siempre ha llevado tensiones entre las comunidades de usuarios, legisladores, proveedores de servicio y compañías de internet. Un ejemplo es la incorporación de candados digitales conocidos como Digital Restrictions Management en el protocolo HTTP para la web, introducidos por Microsoft, Netflix y Google como recomendación de estándar bajo el nombre de Encrypted Media Extensions World Wide Web Consortium (W3C).

Frente a la inminente incorporación del controvertido estándar EME en 2016, un grupo de investigadores y tecnólogos enviamos una misiva al W3C donde expresamos lo siguiente:

“[…] los navegadores del futuro serán la interfaz universal para todos nuestros sistemas automatizados, desde los implantes médicos hasta los vehículos. Los investigadores de seguridad del mundo deben saber que las empresas no tendrán la capacidad de amordazarlos con amenazas legales cuando avergüencen a las empresas al revelar sus errores”.

La preocupación principal es que cuando se establecen sistemas de candados digitales para el estudio de la seguridad, estas herramientas pueden devenir en medidas de carácter punitivo o en la criminalización de quienes estudian o aprenden tecnología, investigadores o a cualquier usuario del internet.

Esto nos permite comprender el papel que tienen los estándares en la definición del uso de las tecnologías. El hecho de restringir el uso de las arquitecturas de internet desde su diseño coloca al usuario en una situación de desventaja para explorar en ellas.

Regresando a la emblemática Wikipedia, un proyecto que en su ADN tiene principios fundacionales del software libre. Se trata de una enciclopedia en donde las personas han jugado un papel en la escritura de sus herramientas, mecanismos de confianza y acoplamientos comunes para la moderación de sus contenidos, con sus batallas culturales. Finalmente la propuesta de reforma a la ley de copyright fue rechazada por el Parlamento Europeo y con ello se contuvo el impulso de dar a la industria musical y editorial el control de regular la actividad de los usuarios de internet, por ahora. Pero habrá que estar atentos debido a que el el texto regresará nuevamente a discusión en septiembre.

Para Danny O’Brien y Dia Kayyali, el internet ha abierto posibilidades para la comunicación pero también refleja problemas sociales como el acoso. De cara a ello mantienen un escepticismo sobre las “soluciones” centralizadas y en manos de las empresas. Se inclinan más por pensar que un camino posible es “la descentralización, la creatividad, la comunidad y la capacitación del usuario”.

Si bien es cierto que podemos pensar que estas directivas proponen algo que, incluso técnicamente es ineficiente, no podemos subestimar la intencionalidad de las ideas detrás de una propuesta de ley como esta. La fuerza que se esconden detrás de esta propuesta de directiva sobre los derechos de autor de la Unión Europea, hace visible lo que entienden, tantos los prestadores de servicio, los monopolios y los legisladores, de las tecnologías que conforman internet o lo que quieren entender por ellas.

La autodeterminación de la red refuerza la naturaleza distribuida de internet, dice Luca Belli cuando habla de la internet como derecho humano al tomar como ejemplo los ejercicios de comunidades que desarrollan sus propias redes y las gestionan bajo modelos alternativos para conectarse a la Internet. En un escenario donde parecería que el paradigma de los servicios escalables y masivos es inevitable no dependa de infraestructuras, servicios y plataformas chinas y norteamericanas.

 

Fotografía “cell tower near railway” por Acid Pix bajo licencia CC BY 2.0

¿Cuál es el futuro de GitHub tras su compra por Microsoft?

Los sistemas de los que dependemos son complejos y los componentes que los integran no son desarrollados por una única comunidad o un grupo de programadores. Son interdependientes, como los sistemas operativos de nuestras computadoras, teléfonos, tabletas. Necesitan desde editores de texto, compiladores, controladores y muchas otras partes que vamos instalando como aplicaciones día a día, cada una con diferentes orígenes y autores.

Para desarrollar sistemas de gran dimensión y complejidad se requieren de plataformas y herramientas en las que los desarrolladores puedan trabajar en cada una de las piezas conjuntamente, ver las modificaciones y cambios entre versiones. Estas herramientas reciben el nombre de sistemas de control de versiones.

El sociólogo Richard Sennett suele decir que el “código evoluciona constantemente, no es un objeto acabado y fijo” para referirse a la manera en que comunidades de programadores encuentran errores y realizan mejoras en nuevas versiones de software, al tiempo que encuentran nuevas posibilidades, como una práctica cultural en las comunidades de software libre.

Fuente: http://codicesoftware-es.blogspot.com/2010/11/la-historia-del-control-de-versiones.html

Uno de estos sistemas populares entre los desarrolladores es Git, un software de control de versiones creado ex profeso para el desarrollo de Linux. Fue una respuesta a las problemáticas del licenciamiento de la herramienta utilizada antes para el control de versiones, BitKepper, que era incompatible con los principios del software libre para ser estudiada, usada, modificada y distribuida.

Uno de los servicios basados en Git y que cobró popularidad en los años recientes, y no sólo entre programadores, es GitHub.com. Según sus propios reportes, al 2017 24 millones de personas hicieron uso de esa plataforma. Contaba con 67 millones de repositorios de software.

Sitio web de github.com, en 2008.

Gabriela Rodríguez Berón, desarrolladora que ha estado usando GitHub desde casi el principio del servicio en 2007, describe en entrevista: “Tenía muchas funcionalidades que eran muy potentes en la época y nos dejaban compartir código de mejor manera, con muchas más funcionalidades que otros servicios de repositorios”.

El 4 de junio se conoció en los medios informativos que Microsoft anunció la compra de GitHub por 7,500 millones de dólares, en una operación que se espera cierre antes de fin de año. Nat Friedman asumirá la dirección, según se publicó en el blog de GitHub.

Las reacciones en medios sociales comenzaron con la etiqueta #movingtogitlab para señalar la migración masiva de proyectos de desarrollo de software libre de GitHub al servicio GitLab, un control de versiones y desarrollo de software colaborativo basado también en Git. Los propios reportes del servicio sobre los proyectos importantes desde GitHub comenzaron a crecer por día a más de 10,000.

GitLab felicitó publicamente a GitHub por el anuncio de compra y dijo que su estrategia difiere en enfoques porque “Ser ‘núcleo abierto’ significa que todos pueden construir las herramientas”.

Nat Friedman en la red social reddit expresó que se tomará con seriedad “la responsabilidad de ganarse la confianza” de los desarrolladores y dijo que se sintió triste al ver que distintos desarrolladores sintieran la necesidad de mover su código a otra plataforma.

Para Rodríguez Berón, la compra de GitHub es el anuncio oficial de su muerte. “GitHub ha estado perdiendo desde hace un tiempo a quienes están codeando (escribiendo código) de forma abierta. Y se ha convertido en una herramienta mucho más corporativa. Por un lado han tenido que buscar un modelo de negocios que los ayude a sostenerse y a la vez han escalado demasiado y muy rápido más allá de las propias capacidades. De alguna forma se han tomado el koolaid de scaling de donde están plantados”, en referencia a que se han tragado el cuento de que todo servicio en internet tiene que escalar.

Reporte de GitLab sobre importación de proyectos desde GitHub. Tomado de https://twitter.com/gitlab/status/1004777869862580224

El desarrollador Benjamin Mako Hil suele dar conferencias sobre las herramientas de desarrollo en el contexto de las comunidades de software libre y su opinión de GitHub es que le resulta irónico: “Git fue creado como una forma de escapar de la dependencia de una compañía de software prrivativo que opera un servicio centralizado. Y de muchas maneras, GitHub ha creado muchos de los problemas por los que Git había sido creado”. Se refiere así a la posibilidad de las herramientas de desarrollo para ser replicadas, ejecutadas y construidas de manera descentralizad, como lo es el diseño de Git. Además de no tener que confiar en un sistema central, sino poder colocar instancias independientes o diferentes servicios.

Rodríguez Berón consideró que un aspecto positivo es la oportunidad para la descentralización de los repositorios de software libre, porque “GitHub ha centralizado demasiado el desarrollo de software y es muy bueno que podamos tener otras instancias de Git servers”. Auguró que GitHub va disminuir su uso entre proyectos de software libre y se convertirá más en un proyecto para empresas.

Fotografía “GitHub Office” Por Ben Scholzen
Bajo licencia
CC BY 2.0

Publicado en El Economista en linea el 11 de junio de 2018, y en su versión en papel el 12 de junio de 2018.

Una nueva herramienta de censura en Internet ha sido aprobada en México

La censura en internet por la vía legal ahora es más fácil en México, con la reforma a la ley del derecho de autor.

El pasado jueves 26 de abril el Senado mexicano aprobó un problemático dictamen que reforma la Ley Federal del Derecho de Autor, el cual habilita a las y los jueces para ordenar que se bajen contenidos de Internet que presuntamente violen derechos de autor, sin necesidad de probarlo mediante juicio o sentencia alguna.

Dentro de las medidas que contempla se encuentran la suspensión y remoción de contenidos públicos, e incluso “el aseguramiento cautelar”  de los equipos que permiten la difusión de los mismos.

Además, la aprobación de la reforma se realizó de forma apresurada, sin haberse llevado conforme al proceso legislativo.

La noticia circuló ampliamente bajo la etiqueta #MadrugueteAInternet:

Esta reforma a la ley ha sido criticada por organizaciones, colectivos y asociaciones que trabajan en temas relacionados con derechos digitales, internet y tecnologías de la información y comunicación, por considerar que esto abre paso a la censura previa en internet y atenta contra la libertad de expresión en el ámbito digital.

Por su parte el capítulo mexicano de la Fundación Wikimedia alertó que las modificaciones aprobadas “criminalizan el acto de la copia” y “legalizan actos de violación a derechos fundamentales y constitucionales de difusión de las ideas, libertad de expresión, imprenta, comunicación personal, difusión e información”.

Cabe señalar que toda iniciativa o dictamen que se somete a discusión del Senado de la República debe atravesar un proceso legislativo específico, el cual, en este caso, no fue respetado.

Dicho proceso contempla que toda iniciativa debe someterse a discusión de aquellas Comisiones que estén relacionadas con el tema del proyecto, las cuales analizan y discuten los asuntos que se les turnan, para después elaborar y votar un anteproyecto. Una vez que este anteproyecto es aprobado por las Comisiones respectivas, se debe notificar al Presidente de la Mesa Directiva del Senado para que el dictamen se pueda presentar y votar en el pleno.

Usuarios que han dado seguimiento al tema denunciaron en redes sociales las irregularidades en las que incurrieron los senadores que empujaron la presentación del dictamen ante el pleno:

Así, pareciera que los senadores empujaron por modificar el orden del día, lo cual sólo podrían haber conseguido con la anuencia del presidente de la Mesa Directiva, puesto que actualmente ocupa Ernesto Cordero, quien votó a favor de la reforma en cuestión.

El dictamen ya ha sido enviado al poder Ejecutivo, por lo que sólo resta la aprobación del presidente para que los cambios empiecen a surtir efecto.

Ante este panorama, organizaciones tales como la Red en Defensa de los Derechos Digitales (R3D) han manifestado su interés de impugnar el dictamen a través de un amparo para lograr, no sólo que se declare su inconstitucionalidad, sino para exigir que la reforma no surta efectos sino hasta que la Corte determine su validez. De otra manera, la impugnación podría llevar un proceso de años, periodo en el cual el derecho a la libertad de expresión de las y los usuarios de Internet se vería violentado.

Escrito por Giovanna Salazar y Jacobo Nájera. Publicado en Global Voices Advox, el 1 de mayo de 2018.

Fotografía: The Problem with Censorship is XXXXXXXXX por Cory Doctorow, bajo licencia CC BY-SA 2.0.

 

Reporte de vulnerabilidades en software para servidores de correo: urge actualización en máquinas de todo el mundo

Es común que se encuentren fallas en el código informático que permite el funcionamiento de servicios en Internet, como lo son el correo electrónico, sitios web, mensajería, entre otros; estas fallas pueden ir desde un problema de funcionalidad o estético, hasta brechas de seguridad que exponen la integridad de los sistemas que usamos.

Hoy vamos a realizar el recuento de dos fallos de seguridad descubiertos y publicados del software para servidores de correo Exim (software publicado en 1995 con Licencia Pública General del proyecto GNU), su proceso de solución en una nueva versión de código y la actualización en los servidores del mundo, conectados a Internet.

El 23 de noviembre de 2017 fue reportado un fallo en bugs.exim.org, el sistema de reportes del software con el número 2199. Posteriormente fue incorporado a la lista de vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures o CVE), donde se documentan vulnerabilidades de seguridad conocidas. Al día siguiente otro fallo fue reportado, quedó registrado como CVE-2017-16944.

Estas dos fallas no se trataban de un problema meramente de funcionalidad sin una implicación mayor, sino que representan fallas que han sido y son aprovechadas para realizar ataques remotos como denegaciones de servicio o ejecución remota de código.

Exim como proyecto vivo y activo estudió estos reportes para sacar un arreglo que hiciera frente a estas vulnerabilidades, para ello publicó una nueva versión de software sin estas fallas, la 4.89.1. Proyectos como el sistema operativo Debian han lanzado actualizaciones de este programa, con arreglos a estos ataques.

En Enjambre Digital corrimos un análisis sobre Internet en Ipv4 que muestra que 13 millones de máquinas tienen los puertos para dar servicios de correo electrónico, de ahí solo 336542 máquinas resultaron analizables al tener los letreros/banderas/anuncios de software activados.

A continuación de muestran por nombre de software los resultados:

Del 4% correspondiente al software Exim con 15009 instalaciones de software, sólo el 9% tiene la versión 4.89.1 que hace frente a las dos vulnerabilidades aquí tratadas, para el 8 de diciembre de 2017.

Esta vez Exim ha reaccionado como proyecto, así que si eres un administrador o tienes alguna máquina a tu cargo corriendo con Exim para entregar correos, ten en mente que es necesario actualizar inmediatamente.

Fotografía: Felipe Vidal, CC BY-SA 3.0

El gobierno mexicano ha sistematizado el espionaje de sus ciudadanos

La industria de tecnologías para actividades de vigilancia ha llegado a México para quedarse. Anualmente no solamente se desarrollan ferias comerciales, sino también la relación entre empresas fabricantes y distribuidores con el gobierno mexicano se ha intensificado y se comienzan a ver síntomas y los efectos de las tareas de espionaje.

Diversas filtraciones, investigaciones periodísticas, así como independientes realizadas por organizaciones de la sociedad civil han dado cuenta de esta relación desde 2013.

Las compras de equipos de espionaje

Desde 2013, el laboratorio Citizen Lab de la Universidad de Toronto publicó que el equipo de espionaje de la empresa Gamma Group estaba operando en las telecomunicaciones mexicanas, lo que desembocó en una investigación empujada desde varias organizaciones de la sociedad civil. Se logró documentar, junto con trabajo periodístico, que en efecto, el software de espionaje FinFisher/FinSpy había sido adquirido por varias autoridades mexicanas a través de la empresa Obses de México.

En 2015, a raíz de una filtración masiva, supimos que el gobierno mexicano adquirió software espía de la controversial empresa italiana Hacking Team, a través del intermediario Teva Tech de México S.A de C.V. Los documentos mostraron que México es el principal cliente de esta firma a nivel mundial, habiendo adquirido licencias para el uso de las herramientas de vigilancia Galileo y DaVinci (nombres comerciales para los sistemas de control remoto Remote Control System o RCS).

Asimismo, apenas en septiembre del 2016, el New York Times revelaba que el gobierno mexicano también habría celebrado dos contratos con la empresa israelí NSO Group para adquirir el software de espionaje Pegasus.

Para finales del mismo año, se reportaron compras de equipos con capacidades de intervención de teléfonos móviles conocidos como IMSI-Catchers en 2012, 2013, 2014 y 2015 provenientes de Finlandia y Suiza.

Ahora bien, no conforme con lo anterior, el escándalo más reciente de espionaje gubernamental tuvo lugar este 19 de junio, en donde, gracias a la investigación, documentación y publicación de un informe de las organizaciones Artículo 19, Red en Defensa de los Derechos Digitales (R3D) y SocialTIC, el cual contó con la asistencia técnica del Citizen Lab, se revelaron 76 nuevos casos de intentos de infección con el malware Pegasus en contra de periodistas y defensores de derechos humanos en México.

The New York Times realizó un detallado reportaje sobre la investigación, el cual ocupó la portada del diario estadounidense:

¿Cómo se utilizan estos software?

A pesar de que el marco legal mexicano autoriza la intervención de comunicaciones privadas para la investigación de delitos – previa aprobación de la autoridad judicial federal – y de que el gobierno ha insistido en que los sistemas de vigilancia adquiridos cuentan con el aval requerido (así lo declaraba el vocero de la embajada de México en Washington, Ricardo Alday, al New York Times cuando el periódico norteamericano publicó que el gobierno de México habría celebrado, desde 2013, contratos millonarios con la empresa israelí NSO Group), la evidencia muestra que tales herramientas han sido utilizadas contra activistas, periodistas y personas que, de alguna forma, tienen opiniones disidentes o se oponen de alguna forma al gobierno en turno.

De hecho, ante las múltiples pruebas de vigilancia digital ilegal realizada con software de uso exclusivo del gobierno, el pasado 23 de mayo de 2017, organizaciones sociales que formaban parte del Secretariado Técnico Tripartita (STT) de la Alianza para el Gobierno Abierto (AGA) se retiraron del mismo:

Previo al más reciente informe, apenas el 11 de febrero, el propio The New Yok Times informó que dos miembros de organizaciones que defienden el derecho a la salud, Alejandro Calvillo, director general de El Poder del Consumidor y Luis Encarnación, coordinador de la Coalición ContraPESO, así como un investigador adscrito al Instituto Nacional de Salud Pública, el Dr. Simón Barquera, habían recibido mensajes de texto que contenían códigos invasivos del programa espía conocido como Pegasus, desarrollado por NSO Group.

El centro de investigación Citizen Lab confirmó que, durante 2016, dicho spyware buscó tomar control sobre los dispositivos de dichos activistas para espiar sus comunicaciones mientras preparaban una campaña en respaldo al impuesto a las bebidas azucaradas en el país. De acuerdo con lo señalado por el diario norteamericano:

El descubrimiento de los programas espías en los teléfonos de los impulsores de un impuesto desata preguntas sobre si las herramientas están siendo usadas para promover los intereses de la industria refresquera de México.

En su informe respecto a este caso, Citizen Lab detalla que la misma infraestructura de NSO Group fue utilizada durante 2016 en contra del periodista mexicano Rafael Cabrera – al tiempo que colaboraba en la investigación de Aristegui Noticias sobre la “Casa Blanca”, que involucra a la pareja presidencial de México en actos de corrupción. Junto con el centro Lookout detectaron y reportaron en agosto de 2016 intentos para intervenir los teléfonos celulares tanto de Cabrera como de Ahmed Mansoor, un defensor de los derechos humanos de los Emiratos Árabes Unidos.

En el reportaje especial Ciberespionaje a periodistas, la revista Proceso señala precisamente que la presencia de las compañías que comercializan este tipo de herramientas de espionaje no es nada nueva.

En julio de 2015, Proceso reveló que Hacking Team catalogaba a sus clientes mexicanos en la categoría de “ofensivos”, es decir, los que utilizan los programas espías para penetrar y manipular los aparatos de sus objetivos.
También reportó que el Cisen utilizó el programa espía de la empresa italiana con fines políticos: durante 2013 la instancia solicitó más de 30 veces a Hacking Team que contaminara archivos titulados, entre otros: “Propuesta reforma PRD”, “Reforma Energética”, “La policía secuestra”, “CNTE” o “Marcos y Julio Sherer” (sic). Para infectar al objetivo, éste debe abrir un archivo y para ello, el título le debe llamar la atención.
Los correos electrónicos mostraron que NSO operó en México antes que HT y que la empresa italiana tenía la firme intención de rebasar a su homóloga israelí, la cual había obtenido jugosos contratos con dependencias federales y estatales en la administración de Felipe Calderón http://www.sildalisonline.com/.
Una detallada investigación emprendida por los medios digitales Animal Político y Lado B, da cuenta de cómo el aparato de espionaje en manos del gobierno, es utilizado para vigilar ilegalmente a opositores políticos. Tal es el caso del gobierno poblano encabezado por Rafael Moreno Valle, quien utilizó el software de Hacking Team para espiar a sus contrincantes en tiempo electorales.

 

Es claro que la industria enfocada en el desarrollo y comercialización de productos de espionaje y vigilancia para las telecomunicaciones ha encontrado en México un paraíso para la venta de sus productos, en un marco de alta opacidad por parte de agentes del Estado, tanto al momento de las compras como en su uso.

Escrito por Giovanna Salazar y Jacobo Nájera. Publicado en Global Voices, 19 de junio de 2017.

Mural No Más Espionaje Masivo de @WarDesignCo. Imagen de usuario de Flickr Klepen, reproducida bajo licencia CC BY-SA 2.0.

Botnet contra sitios web de medios independientes en México

Existen grupos que utilizan fallos de la tecnología para hacer negocio, al explotar sus vulnerabilidades con fines específicos; tal fue el caso del ataque informático WannaCry, que secuestra computadoras y dispositivos para posteriormente demandar dinero.

A continuación se da cuenta de la botnet que estuvo detrás del ataque informático al medio de comunicación Másde131 durante 2016, en el contexto de una serie de ataques temporalmente cercanos -y con similitud en técnicas- realizados contra los sitios de Rompeviento TV y Radio Zapote.

La segunda semana de junio de 2016 la infraestructura que hace funcionar el sitio de www.masde131.com detectó que la base de datos encargada de almacenar los contenidos para el sitio había sufrido de una modificación inusual, misma que posteriormente se identificó como realizada por un intruso. Frente a esta situación de inmediato la redacción tomó la decisión de deshabilitar temporalmente el sitio web hasta tener un diagnóstico sobre el nivel de compromiso de la seguridad, con el fin de proteger la navegación de los lectores y editores.

El proceso de análisis inició con la preservación de los registros del sistema y sus configuraciones, para después extraerlos. Dichos registros permiten reconstruir las diferentes fases, técnicas involucradas y su desarrollo para determinar el nivel de compromiso; en otras palabras, los niveles de control que el atacante logró obtener ya sea parcial o completamente.

A través de pruebas de integridad de los archivos antes mencionados, los análisis identificaron lo siguiente:

  1. El atacante logró obtener el control de un usuario con privilegios para escribir artículos, no para publicarlos, esto fue logrado por medio de intentos continuos de acceso con contraseñas aleatorias.
  2. Con este acceso intentó repetidamente modificar las últimas entradas para colocar etiquetas html que permitieran introducir anuncios.

Una vez que logró determinarse el nivel de compromiso se decidió ejecutar un plan de recuperación desde los respaldos, tomando consideraciones y medidas de seguridad; entre ellas, un sistema especial de contención contra ataques desarrollado por Deflect de la organización Equalit.ie. Posteriormente, la investigación continuó para conocer más sobre el perfil del ataque y documentar la infraestructura involucrada.

Algunos de los requerimientos para materializar un ataque como el tratado aquí son capacidades de ancho de banda y procesamiento para realizar las peticiones de forma continua, recurrente y automática. Existen varias maneras documentadas sobre cómo obtener máquinas con ancho de banda y procesamiento para realizar los ataques, una de ellas es alquilándolas o pagando por la infraestructura directamente; otra es por medio de control remoto de computadoras o dispositivos de otras personas, usando una parte de sus recursos disponibles para así tener un conjunto de computadoras… Lo que también se conoce como un tipo de botnet.

La botnet que realizó el ataque contra el Másde131 contaba con al menos 25 mil direcciones IP, de las cuales tomamos una muestra de 1200 para posicionarla en un mapa a modo que la dirección geográfica correspondiera con el registro asociado. Esto quiere decir que cada punto en el mapa está asociado a un registro de dichas direcciones, aunque esto no necesariamente implique que la conexión provenga de los puntos señalados.

Un análisis coincidente por técnica e infraestructura, que incluso comparte varias de las direcciones IP con este caso, fue publicado por la empresa WordFence a comienzos de este año. El reporte de WordFence apunta a que una vez que la botnet logra el control de algún sitio web, busca colocar banners de anuncios de Google en los archivos de encabezado del sitio comprometido como una forma de monetizar el ataque.

Explotar la vulnerabilidad de una contraseña débil en el sitio made131.com, permitió que se obtuviera el control temporal sobre su base de datos. Sin embargo lo que realmente permitió realizar el ataque es un problema exponencial en el que estamos involucradas todas las personas que usamos tecnología, así como los fabricantes y proveedores de servicios; ya que nuestra relación con la tecnología genera un espacio en el que pueden existir grupos que exploran modelos de negocio desde la explotación de vulnerabilidades tecnológicas para generar ganancias.

Publicado en Enjambre Digital, 3 de agosto de 2017

Acuerdo entre Google y Cuba solo mejora el acceso a los productos de la compañía

Google y la empresa estatal de telecomunicaciones cubana ETECSA han firmado un acuerdo, contrario a los que varios medios de comunicación masivos indicaron en sus titulares, con el acuerdo solo mejorará el acceso a los productos de Google y no a internet en general.

En un comunicado de ETECSA, el acuerdo “…permitirá a los usuarios en Cuba acortar el tiempo de acceso a los contenidos de Google en internet, proporcionando una mayor velocidad y calidad en el servicio y la optimización de las capacidades de la red internacional de ETECSA”.

Por el comunicado y las declaraciones públicas de Mayra Arevich, presidenta ejecutiva  de la empresa de telecomunicaciones cubana, sobre el acuerdo firmado el primer lunes de diciembre del 2016 en La Habana, Cuba, sabemos que es para que se pueda acceder a Google Global Cache, parte de la infraestructura de Google enfocada en mejorar los tiempos de respuesta a sus servicios.

El cacheo es una técnica usada por proveedores de contenidos y servicios de Internet para, entre otros objetivos, mejorar la velocidad de acceso a sus contenidos. Por lo tanto, la mejoría en los tiempos de respuesta de acceso, que se estima será de un 20%, solo será para los servicios de Google y no para el acceso general a Internet.

Google y el gobierno cubano han firmado un acuerdo. La imagen es una captura de pantalla.

 

La cobertura, calidad y costo para la conexión a internet en Cuba no se verá afectada por este acuerdo, solo mejora la velocidad de acceso a los productos de Google debido a la instalación de servidores de la compañía que tendrán copias locales de lo más solicitado en la isla. Actualmente, las personas en Cuba se conectan por medio de puntos de acceso WiFi colocados en 35 áreas públicas, por lo que pagan 2CUC por hora (alrededor de $2.00 USD) con una conexión de hasta 1 Mbps (1 megabit por segundo). El salario estatal promedio en Cuba es de unos $20 USD mensuales.

Google cuenta con 15 centros de datos distribuidos geográficamente en América, Europa y Asia. Además, tienen servidores distribuidos para cacheo en centros de datos que no son de su propiedad. En el siguiente mapa se muestra la distribución geográfica de los servidores para cacheo:

Mapa de la distribución de los servidores de caché de Google

 

Pablo Mestre, integrante del Grupo de Usuarios de Tecnologías Libres de Cuba, considera que este acuerdo no afectará directamente a los cubanos y explica:

“Estos servidores están pensados para dar un acceso más rápido a los servicios de Google, pero primero debemos solucionar los problemas y limitaciones de la ultima milla para que este cambio realmente se note”.

Mestre también indicó que la conexión tendrá que ser provista por ETECSA, y por el momento no ve posible que Google tenga un centro de datos exclusivo. Esto debido a las políticas cubanas, ya que las mismas señalan que todo el tráfico y conexiones son responsabilidad exclusiva de ETECSA.

Jorge Luis Batista, coorganizador de la Conferencia Internacional de Sobre Libre en La Habana, comentó en entrevista que hay otros factores a considerar para que la instalación de servidores en Cuba de Google implique un cambio para los cubanos. En primer lugar:

“Tenemos que ser usuarios de Google, masivamente digo, y después habría que ver porque el límite de la velocidad de acceso lo pone el componente más lento. Pienso que los que tienen una conexión muy restringida, los que se conectan a través de una línea conmutada o los que tienen límite de ancho de banda como es mi caso, o los que comparten una sola conexión entre muchos van a seguir teniendo de su lado el cuello de botella y por tanto la causa de la demora en el acceso a los contenidos”.

El Consejo Económico y de Comercio de Estados Unidos y Cuba informó que los costos resultado del acuerdo serán cubiertos por Google.

Publicado en Global Voices,