Twitter, el pollo está en el horno

Hace muchos años, cuando no existía ni Google, ni la nube ni nada por el estilo, los ISP tenía que montar sus sistemas para funcionar de un modo continuo sin pasarse en los costes de mantenimiento, y creerme que era algo complicado allá por el año 95. De vez en cuando, pasaba que algo dejaba de funcionar, un PC, un cable, se caía la luz, y el código que usábamos para saber si era algo de fácil solución o no era la frase el pollo está en el horno. Si veías a alguien del departamento técnico o de soporte corriendo y al preguntarle que pasaba te daba esa respuesta, era el momento de prepararse para algo grave.

Todos corriendo arriba y abajo porque se había ido la luz y al SAI¹ le quedan veinte minutos, toca enchufar el generador, conectarlo a los cables y rezar que funcione, o cualquier otro tipo de histeria que pasada la histeria de los primeros momentos siempre han dejado como recuerdo unas buenas historias para contar cuando contrataban a alguien nuevo.

El caso es que la mayoría de estos casos, la responsabilidad era toda nuestra y del mismo modo éramos nosotros que teníamos que arreglarlo. Sólo en una ocasión sufrimos un ataque DOS² y por suerte no existían los script kiddies³ y lo pudimos solventar en menos de diez minutos.

Este viernes pasado Twitter sufrió una caída de servicio⁴ que no era culpa suya. Por lo poco se conoce parece ser que una red de Botnets⁵ le ha dado por crear un ataque DOS y dejar fuera de servicio a esta empresa y a otras cuantas. Esto, que puede sonar divertido y revolucionario, no es más que un delito, un delito que ha provocado unas pérdidas económicas a las empresas y han dejado sin servicio a millones de usuarios.

Quizás penséis que como no pagamos nada a Twitter o como no han reclamando nada no hay intención de beneficio o que lo del lucro cesante no aplica para el resto del mundo. Ahora imaginaros que les da por atacar a los servidores de un hospital, o a la red que controla el tráfico aéreo, o la red de la policía o directamente hacen caer todos los bancos y nadie puede sacar ni ingresar dinero, e incluso no puedan pagar la cena o la comida que se están tomando. ¿Sería igual? El perjuicio provocado sería tan grande que tendríamos que replantearnos la pregunta.

No cometáis el error de mezclar el volumen con el delito en sí. Robar un euro es igual que robar un millón de euros. Es robar, nos pongamos como nos pongamos. Lo que sí podemos estar de acuerdo es en la sanción aplicable que debería ser distinta, pero la base ética, moral y legal es la misma. Este mismo principio se aplica a jugar a tumbar servidores, sigue siendo algo reprobable ya sea la web de ISIS o de la Cruz Roja.

Lo problemático es que hay una especie de carta blanca en estos temas. Si tú no tienes conocimientos técnicos, cualquiera puede infectar tu ordenador y usarlo como parte de una red, y lo más increíble es que tu serás considerado culpable. Es como cuando dejas una ventana abierta para que se ventile el piso, te roban y la culpa es tuya por no tomar las precauciones necesarias.

En nuestro día a día usamos cada vez más tecnología, la cual es susceptible de ser atacada e infectada: ordenadores, móviles, routers, televisiones y la lista se incrementa si pensamos en temas como el IoT.⁶ Se nos exige ser responsables de todos estos cachivaches, es decir, no solo instalarlos sino reconfigurarlos para evitar que alguien nos secuestre el dispositivo y, honestamente, no veo a mi abuela abriendo una sesión SSH para cambiar el firewall.

La ventaja con la que juega esta gente es que los estados no están dispuestos a mover un dedo para unificar una normativa conjunta, con lo que tú puedes vivir en Brasil, usar ordenadores de Rusia saltando por una red que te lleva de España a Marruecos pasando por las Bahamas, y a ver quién es el guapo que primero te detecta porque todos sabemos lo rápidos que son los países a la hora de colaborar, y segundo, cuando te han detectado detenerte.

Yo no quiero una internet militarizada, pero si quiero una internet con cierta seguridad y confianza de que si monto una web, a mi competencia o a quién quiera amargarme el día no le salga gratis dejarme fuera del negocio a base de usar técnicas que están muy bien para aprender, pero que cruzan una línea peligrosa si se usa para perjudicar a terceros.

Creo que los hackers⁷ que desarrollan estos scripts, que buscan fallos, que entran en sistemas, son personas que hay que admirar. Son ellos que nos enseñan los errores de diseño y los que nos ayudan a mejorar la seguridad, pero el salto cualitativo es cuando este conocimiento se usa para perjudicar a un tercero, ya sea por ellos mismos o se vende a otros. Es en este momento cuando el argumento de explorar, descubrir y aprender deja de tener peso moral y se convierten en mercenarios. La única diferencia es que unos van con armas y los otros con teclados, pero ambos dejan un reguero de víctimas.