sábado, 29 de enero de 2011

El último código del almirante Canaris

Estamos en Febrero de 1945.  Los ejércitos aliados, por Este y Oeste, penetran en Alemania.  El Tercer Reich, al que le quedan pocas semanas de vida, comienza a devorarse a sí mismo.  Miles de civiles y militares de todos los rangos languidecen en cárceles de las SS, a la espera de su ejecución.  Uno de ellos fue en su momento uno de los hombres más importantes de los servicios de espionaje alemán.  Su nombre era Wilhelm Canaris.  Su graduación, almirante.  Su crimen, no ser nazi.

En las fotografías que nos han llegado, podemos ver al almirante Canaris como un hombre de porte aristocrático, cabello plateado, ojos francos, mirada penetrante, aspecto de caballero.  Este hombre nunca mandó flotas al combate, pero durante la Primera Guerra Mundial fue oficial en el crucero Dresden.  Hundido su buque en el Atlántico Sur, Canaris se las arregló para escapar de su exilio chileno y volver a Alemania, toda una odisea digna de una película.

Pero no es ese el motivo por el que pasó a la historia.  Cuando Hitler llegó al poder, puso a Canaris al mando del Abwehr, el servicio de inteligencia militar del ejército alemán.  A pesar de ello, Canaris no era nazi.  Durante años, tuvo que pelear constantemente con Himmler, Heydrich y otros altos mandos de la SS, que pretendían que el Abwehr se integrase en sus estructuras de espionaje.  Según parece, maniobró no sólo para evitar la nazificación de su oficina, sino que también llegó a maniobrar en contra de los planes de Hitler.

Muy conocedor de España, donde conocía el idioma y tenía muchos amigos (fue un elemento clave en el apoyo alemán a Franco durante la Guerra Civil), fue enviado por Hitler para convencer a Franco de que entrase en la guerra mundial del lado alemán.  Canaris, por el contrario,  y contraviniendo sus órdenes iniciales, le aconsejó que se mantuviera al margen de la guerra, y le proporcionó los argumentos que podría esgrimir.  Franco utilizó esos y otros argumentos tan magistralmente que, tras la conferencia de Hendaya, dicen que Hitler dijo a uno de sus colaboradores: "antes que volver a hablar con [Franco], prefiero dejarme arrancar las muelas."  Según un biógrafo de Canaris, el propio Franco dio instrucciones para que la viuda de Canaris, Erika recibiera una pensión tras la Guerra Mundial, durante al menos diez años; dicen que incluso Erika Canaris vivió en España durante ese tiempo (este punto no lo puedo confirmar).

A la postre, las opiniones antinazis (o, como mínimo, no nazis) de Canaris le abocaron a la caída. A comienzos de 1944, Himmler consiguió aprovechar un escándalo en el que estaban involucrador miembros de la Abwehr para acabar con este servicio; sus oficinas y hombres engrosaron la Oficina Central de Seguridad del Reich (RHSA), dependiente de las SS.  A Canaris se le detuvo e investigó.  Irónicamente, se cree que el propio Himmler había conseguido que el almirante fuese exonerado de responsabilidad en el intento de asesinato contra Hitler en julio de 1944.  ¿El motivo?  Himmler no era tonto, y creyó que podría utilizar los canales de comunicación que Canaris tenía con los británicos, bien para lograr la paz, bien para reemplazar eventualmente al propio Führer.

Pero la suerte no duró para siempre.  En Febrero de 1945, después de meses de interrogatorios, Canaris esperaba su destino en el campo de prisioneros de Flossenburg.  Ocupaba la celda 22.  En la 21 estaba un colega de profesión: el capitán Lunding, en su momento jefe de la inteligencia danesa.  Los dos espías lograron comunicarse, y para ello improvisaron un código.  En realidad, se trata de un código secreto muy antiguo, denominado cuadrado de Polibio.  Se trata de colocar las letras del alfabeto en una rejilla cuadrada, de la siguiente forma:

  1 2 3 4 5
1 A F L Q V
2 B G M R W
3 C H N S X
4 D I O T Y
5 E K P U Z

Cada letra se convertía en dos números, uno que indicaba la línea y otro la columna.  Igual que en el juego de guerra de barcos, sólo que aquí el "A-5 agua" se convertía en "2,3, una M"  Su nombre proviene del escritor griego Polibio, quien describió este sistema, aunque con algunas diferencias.  Por ejemplo, su método de transmisión usaba antorchas, y su cuadrado es traspuesto al mostrado aquí, es decir, sustituye filas por columnas, pero las diferencias no son importantes.

Resulta, a primera vista, extraño que dos personas consigan acordar un sistema de cifrado sin verse siquiera las caras, pero no resulta tan sorprendente.  Canaris y Lunding eran jefes de espías, y tenían mucho tiempo libre en sus celdas.  No creo que les resultase difícil dar con un sistema de cifra sencillo de usar, que aunque fuese criptográficamente débil permitiese al menos una comunicación privada.  No creo que ninguno de sus guardianes de las SS supiese quién era ese tal Polibio.

Posteriormente, Lunding desvelaría que sus charlas con Canaris le daban la impresión de que, de alguna forma, el almirante confiaba en una posible salvación.  Claro que aún no habían aparecido pruebas concluyentes en su contra.  Cuando dichas pruebas aparecieron, Canaris fue juzgado sumarísimamente, y encontrado culpable.  El último mensaje a Lunding decía: Muero por mi Patria.  Tengo la conciencia limpia.  Era mi deber, por mi país, intentar enfrentarme a la locura criminal de un Hitler que ha llevado a Alemania a la destrucción.  Cuida de mi mujer y de mis hijas.
El día siguiente, 9 de Abril, Canaris fue ejecutado.  Aquella misma tarde, el estruendo de la artillería aliada les recordó a los guardianes de Flossenbeug que la guerra estaba perdida.  Un mes después, Alemania capituló.

lunes, 24 de enero de 2011

Lo más triste de la Ley Sinde


Hace unos minutos escribí este mismo post en mi blog de filmica.com. Aunque el Taller de Criptografía no se dedica ya al luchar contra molinos digitales, hubo un tiempo en que sí lo hizo.  Disculpen el tono pesimista que me ha salido, pero tampoco estoy para tirar cohetes hoy.


Que quede claro: odio profundamente decir "te lo dije" Pero odio aún más estar en una situación tal que lo único que me queda por decir es "te lo dije."

Porque el problema mayor de la Ley Sinde, lo más triste, es que esta guerra ya la vivimos hace una década. Entonces se llamaba LSSI, y mucha gente avisó de lo que se venía encima.






Estuvimos a punto de ganar. Pero ya ven cómo acabó la cosa. Mucha disensión, mucho interesado en mediar, mucha indiferencia, y al final tuvimos LSSI. Y antes fue Enfopol. Y después fue la LISI. Y ahora es la LES.

Disculpen, por tanto, si no me uno a la lucha, pero es que ya estoy cansado. No me arrepiento de todo el esfuerzo invertido, pero no voy a hacerlo otra vez. Ánimo, David Bravo y compañía. Suerte a todos los que (!por fin!) habéis visto las orejas al lobo y procuráis cortárselas. Buena suerte en nombre de los que hemos defendido una trinchera fría y sucia para nada. Nos queda el magro consuelo de ver que, al final, teníamos razón.
 
No sé si tenéis alguna posibilidad. Pero contáis con mi simpatía

miércoles, 19 de enero de 2011

Los criptógrafos de ETA

La semana pasada, el Ministerio del Interior nos informaba sobre la detención en Francia de Iraitz Gelasaga Fernández, en el marco de la llamada Operación Linux.  Lo relevante para nuestro blog es que Gelasaga es considerado el experto en informática y encriptación de ETA.

Es noticia, pero realmente no es nuevo. Y es que los terroristas no son tontos, y si Internet está a su disposición para comunicarse, no van a hacerlo en texto llano.  El uso de cifrado por parte de la banda terrorista se remonta, al menos, a finales de los 90.  Nacho García Mostazo, en su libro Libertad Vigilada, lo contaba así:

Desde finales del año 2001, agentes de la Oficina Federal de Investigación (FBI) de Estados Unidos empezaron a colaborar con la Policía española para descifrar la información contenida en los ordenadores intervenidos a ETA, según confirmaron fuentes de la lucha antiterrorista a la agencia Europa Press. Según las mismas fuentes, esta cooperación es fruto de los acuerdos suscritos entre Washington y Madrid tras los atentados del 11 de septiembre. Una de las peticiones de colaboración en la que insistieron especialmente las autoridades españolas fue la de compartir tecnologías que sirvieran, sobre todo, para poder descifrar la información de los ordenadores incautados a ETA. Al parecer, la dificultad para romper la clave que los protege obstaculiza la lucha antiterrorista. Por eso España tenía gran interés en contar con tecnología y expertos que contribuyeran a descifrar la información cifrada en soportes informáticos, y además, con la premura requerida para que los datos se mantuvieran vigentes y, por lo tanto, útiles para la investigación (Todo el capitulo aquí).

A finales de 2001, George Bush ponía a disposición de Aznar los medios técnicos de EEUU en la lucha contra ETA.  Se dijeron muchas tonterías sobre la red Echelon y el uso de satélites, a estilo 007, pero la verdadera ayuda estaba en la obtención de tecnología más mundana pero altamente eficaz, como material de cifrado o medios para pinchar móviles.  Y me refiero a antes del 11-S.  De hecho, yo publiqué  un artículo al respecto el 5 de Septiembre.

Eso hizo que ETA reaccionase protegiendo sus comunicaciones, y que las fuerzas de seguridad del Estado intensificasen su preparación en criptoanálisis.  Desafortunadamente, dicen que la verdad es la primera víctima de la guerra.  Quiero con ello decir que el uso de criptografía por parte de los terroristas vino a teñir esa herramienta de un halo malévolo.  Cuando la cripto se usa para proteger nuestros datos, parece que es buena; pero luego llegan los malos y la usan.  ¿Conclusión?  Hay que restringirla, o cuando menos, dar la impresión de que es un instrumento del mal.

En 2008, el etarra Txeroki era detenido por la policía francesa. Entre otras noticias, se hizo público que utilizaba el programa de cifrado PGP para proteger la información.  Oscar de Otálora, un periodista, escribió en el Diario Vasco un artículo lleno de despropósitos sobre la relación entre ETA y PGP.  Pueden leer su artículo, y después contrastarlo con mi contestación que le envié al día siguiente, y de la que nunca obtuve respuesta (tampoco la esperaba).

De hecho, resultaría raro que la banda terrorista NO utilizase PGP, ya que se trata de un programa de eficacia probada y que se usa desde hace veinte años (si les interesa su historia, pueden comenzar por aquí).  Venir en pleno 2008 a asombrarse porque ETA utiliza PGP es como escandalizarse porque un etarra se ha comprado un Seat León.

Sin embargo, las fuerzas policiales siguieron dando palos al entramado etarra, incluyendo sus comunicaciones.  El hecho de que consideren la información digital como tema prioritario puede verse claro cada vez que se hace una redada: además de las armas y municiones, casi siempre nos cuentan que se ha incautado "material informático", que por supuesto es analizado hasta el último bit.

Quizá a algunos les sorprenda que, incluso usando PGP, las fuerzas de seguridad consigan éxitos contra las comunicaciones etarras.  Los expertos saben bien que el mejor sistema de seguridad es inútil si se utiliza mal.  No voy a darles demasiadas pistas, pero uno de los ataques criptográficos más eficaces pasa por intentar averiguar la clave.  En ocasiones, las partes no usadas del disco duro albergan información sobre dicha clave.  Otras veces, sencillamente, es que -parafraseando mal a House- el usuario es idiota.  No encuentro otra explicación ante este artículo de Enero de 2009. Resulta que la clave privada que usa PGP ha de ser protegida mediante una contraseña.  Cuanto más difícil sea la contraseña de adivinar, peor lo tendrá un atacante.  Pues fíjense cómo recomienda ETA a sus miembros que escojan la contraseña:

Según las fuentes consultadas por ECD, los etarras eligen para sus contraseñas privadas oraciones, eslóganes o consignas, casi todo en euskera antiguo. Incluso escogen estrofas de canciones, también en euskera.

!Qué listos!  Seguro que a la Guardia Civil jamás se le hubiera ocurrido.


En cualquier caso, hay que recordar que PGP fue diseñado para proteger el correo electrónico.  Si te cogen el ordenador, la información suele estar "en claro", esto es, no cifrada.  Sería preciso usar un programa que cifrase todo el disco duro.  Y eso es lo que hicieron los etarras.  Para ello, decidieron usar TrueCrypt, un programa de cifrado integral que, bien usado, protege todo el contenido del disco duro de un ordenador.  Es el programa que recomendaría yo mismo para proteger un ordenador.  De hecho, se lo instalé a un cliente que tenía sospechas de espionaje por parte de un organismo estatal llamado [lo siento, no daré detalles].


Es tan sólo una hipótesis por mi parte (la nota de prensa no da detalles), pero supongo que lo que hacía el "experto en informática y encriptación" Iraitz Gelasaga Fernández era, sencillamente, instalar TrueCrypt en los ordenadores y luego enseñar a los demás cómo usarlo.  Aunque, si el etarra medio sigue usando contraseñas como Patxi123, no creo que les sirva de mucho.

APÉNDICE: ¿a usted le molestó que la policía denominase al operativo Operación Linux?  No es el único.  De hecho, se han reído de nosotros hasta en Inglaterra.  El propio Ministerio de Interior ha tenido que pedir disculpas en una nota de prensa.  Aunque no explican el motivo por el que se les ocurrió utilizar ese nombre, al menos piden disculpas por la metedura de pata.  Afirman asimismo que ellos mismos son usuarios habituales de Linux.  Por mi parte, disculpas aceptadas.  Pero como a la próxima redada la llamen Operación Apple, que se preparen para el chaparrón.

martes, 11 de enero de 2011

Las claves (desveladas) de la PlayStation 3

Uno de los puntos de fricción más activos en la eterna guerra de usuarios contra fabricantes compete las videoconsolas.  Los grandes fabricantes desean que los usuarios se limiten a comprar el aparato, comprar los juegos y callarse.  Sin embargo, una Wii, una Xbox360 o una PS3 tienen tanta potencia de cómputo como un ordenador.  Y hay por ahí mucha gente con conocimientos técnicos, que piensan que usar una consola solamente para jugar es un desperdicio.  Puede sonar raro a algunos que alguien quiera instalar Linux en una PS3, ya que no están diseñadas para eso.  Pero si puede hacerse, ¿por qué no hacerlo?

Hasta la fecha, la PlayStation3 era la videoconsola más resistente a "usos no autorizados".  Sony la ha protegido criptográficamente hasta el límite, de forma que lo único que puedes hacer con ella es jugar y punto pelota.  Pero incluso ella ha sucumbido al "chipeado."  Esto es, se le pueden introducir chips modificados para poder realizar operaciones prohibidas, como por ejemplo jugar con juegos piratas o instalar Linux en ellas.  El problema para los fabricantes es que, al menos en España, eso no es legal.  La ley prohibe la fabricación, venta o uso de medios técnicos diseñados específicamente para neutralizar protecciones informáticas, pero la clave está en la palabra "específicamente".  Los jueces han dictaminado que usar un dispositivo que tenga también otros fines legítimos son legales.  Es decir, digamos que yo tengo un chip que me permite hacer copias de seguridad de mis partidas.  Si además sirve para reproducir juegos piratas, es otra cuestión.

Recomiendo a los interesados en el aspecto legal la excelente web del bufete Almeida, que de esto sabe la tira.  Lean las últimas sentencias sobre el asunto.  En el fondo, se trata del viejo asunto de quién controla la consola: ¿el fabricante o el usuario?  El primero la vende para ganar pasta, y pretende que el segundo la use de forma limitada y controlada; pero el usuario no es tonto, y piensa que si la consola es suya, debería poder hacer con ella lo que quiera.

Y no es solamente una tontería de cuatro frikis con demasiado tiempo libre.  Una Playstation3 es un ordenador por derecho propio, y si los usuarios pudiesen usarlo como ordenador. el propio mercado informático podría cambiar sustancialmente.  Hasta tal punto es eficiente, que se han llegado a unir diversas PS3 en un "cluster" para realizar tareas de supercomputación.  Vean, por ejemplo, cómo se pueden combinar ocho PS3 para formar un superordenador. Un proyecto de la Universidad de Stanford reclutaba voluntarios para que donasen su tiempo no usado de PS3 con fines de computación científica, como el antiguo Seti@home.  Las posibilidades solamente estaban limitadas por la imaginación...

... y por Sony.  En este punto, y antes de continuar, es interesante resaltar que la PlayStation 3 tuvo en un principio la capacidad de ejecutar Linux y otros sistemas operativos desde su disco duro.  De hecho, Sony se ha aprovechado de esta capacidad y la ha usado como argumento de ventas desde 2000, cuando la PS2 era su videoconsola estrella.  Por algún motivo, Sony acabó hartándose, y en la revisión 3.21 del firmware (1 de abril de 2010) eliminó dicha posibilidad.  Se acabó usar la PS3 para supercomputar, ejecutar Linux o cualquier otra cosa que no fuese jugar y callar.

Este fue un punto de no retorno, puesto que impulsó a muchos hackers a lanzarse sobre la PS3 para volver a convertir esta máquina en un aparato interactivo más allá de lo que sus fabricantes impusieron.  Que no se queje Sony ahora, porque en los próximos meses recogerán las tempestades que han sembrado en 2010.

La ventaja para Sony y otras empresas, dentro de lo malo, es que la modificación de consolas requiere algún tipo de chip, ya sea en USB o insertado en la consola.  Es lo que se denomina Jailbreaking.  Es algo que no puedes hacer en tu casa, así que tienes que ir a una tienda, pagar la modificación ... y esperar que funcione, cosa que no siempre está asegurada.

Ahora bien, en una reciente reunión de hackers (de los de verdad) en Alemania, varios de ellos han mostrado las claves criptográficas de la PlayStation3. Ello permite ejecutar cualquier tipo de software, incluidos juegos piratas, caseros, todo.

Para entenderlo, hemos de entender cómo funciona el mecanismo interno de la PS3.  Seguro que es un jaleo tremendo, pero vamos a ir al cogollo.  La consola no ejecuta cualquier cosa, así que debe tener un procedimiento para poder discriminar las aplicaciones autorizadas. Las webs gubernamentales lo llaman pomposamente "certificados," pero en general se conoce con el término de firma digital. Una firma digital es una operación que involucra un archivo y una clave privada.  El procedimiento consiste en tomar el archivo, convertirlo en un "destilado" muy pequeño (gracias a las denominadas funciones hash), cifrar dicho destilado con una clave privada, y listo.  He aquí, por ejemplo, el resultado de firmar el primer párrafo de este post con mi clave privada:

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.8 for non-commercial use <http://www.pgp.com>

iQA/AwUBTSWLog7Y43Xkw2u9EQI/HACgoekeVXhZ5KKlWkzdp6Q8Rmjn3rQAoKzW m+e7oh1JPdH4hJ4yS6rYwPNX=BAjH
-----END PGP SIGNATURE-----

Otros usuarios podrán verificar mi firma, es decir, comprobar que la he firmado yo y que el archivo que he firmado no ha sido alterado. Eso es lo que hace la PlayStation3.  En algún lugar de Sony Corporation hay una cámara acorazada con una clave criptográfica guardada.  Cuando hay que "firmar" un juego, usan dicha clave y luego le dan el resultado al programador del juego para que la incluya en el disco. Al insertar el disco en la consola, ésta verifica la firma digital.  Si no coincide con lo que tiene que dar, una de dos: o se ha firmado con otra clave distinta no autorizada, o bien el juego ha sido modificado.  En cualquiera de los dos casos, rechaza ejecutar el juego.  De ese modo, la firma digital permite a la consola determinar qué programas de pueden ejecutar en ella.  Imagínense lo que podría hacer Ethan Hunt con dicha clave.  El desafío de robarla sería una auténtica Misión Imposible, pero los resultados serían espectaculares.

El problema consiste en el tipo de firma digital escogida por Sony.  En lugar de usar criptografía de clave pública (más adecuada en algunos aspectos, pero que consumen más memoria y tiempo de computación), la PS3 incorpora un sistema de firma denominado ECDSA (Elliptic Curve Digital Signature Algorithm).  Esta firma tiene como elementos secretos una clave k y un número aleatorio m.  A partir de ahí se obtienen dos elementos R,S que forman la firma digital.  No voy a detallarles los entresijos del sistema de curvas elípticas porque, sinceramente, apenas los entiendo yo mismo.  Pero voy a decirles un detalle importante: cada firma digital precisa de un número aleatorio m.

Y aquí comienza el hackeo.  Debido a las características del algoritmo ECDSA, cada firma digital necesita usar un número m distinto; si dos firmas tienen el mismo valor de m, el parámetro secreto k puede ser recuperado.  !Pero la PS3 usa el mismo valor de m siempre!  Los hackers alemanes aprovecharon esa vulnerabilidad (que no es un fallo criptográfico, sino de implementación) y sus conocimientos técnicos sobre la consola (que Sony, en un habitual ejercicio de arrogancia, pensaba que nadie más sabría) para obtener la clave k.  Pueden ustedes ver la conferencia aquí (en inglés).  Me gustó especialmente el momento en la que el hacker dice: por alguna razón, Sony usa el mismo número todo el tiempo (parte 3, minuto 7:09).  !El auditorio estalló en risas y aplausos!  Era el momento en el que los asistentes proclamaban el descubrimiento como un epic fail, que es la forma técnica de decir "la gran cagada."

¿Y qué se puede hacer con la clave k?  Pues firmar cosas.  Y con ello se desmonta toda la seguridad de la Playstation 3.  Todas las capas de algoritmos, protocolos y cifrados que Sony ha instalado en la PS3 se vienen abajo, igual que un castillo de cartas.  Epic fail.

El problema es de solución muy difícil.  Aunque puede fabricarse una nueva clave k, en la práctica eso significaría un problema aún mayor.  Sony tendría que distribuir su clave nueva a todas las PS3 del mundo.  ¿Cómo harían eso?  La única forma práctica sería mediante una actualización del firmware, y a bote pronto se me ocurren cuatro motivos por los que no sería una buena idea:
  • La nueva clave sería muy vulnerable, ya que se debería transportar hasta la consola.  Cualquiera podría captar la actualización de firmware y obtener la clave. 
  • La nueva clave tendría que ser almacenada de forma segura en algún lugar de la PS3.  ¿Cómo hacerlo, y al mismo tiempo evitar que alguien la encuentre?
  • Las actualizaciones son voluntarias.  Si un usuario no puede o no quiere actualizar su firmware ¿cómo le van a obligar?
  • En el caso de que la actualización se llevase a caso correctamente, los juegos antiguos (que están firmados con la clave antigua) dejarían de funcionar.
La alternativa sería efectuar un "recall" a escala mundial y hacer que todos los usuarios llevasen sus antiguos juegos y PS3 a un centro autorizado por Sony para cambiar las claves y/o cambiar el juego antiguo por uno nuevo (que llevase la nueva clave).  Cualquiera que sea la opción escogida por Sony, se trataría de un problema de re-distribución de clave sin precedentes en la historia.  Los costes serían astronómicos, por no hablar de la pérdida de credibilidad y de cuota de mercado.  En los próximos meses, veremos cómo Sony intenta salir de esta.  Pero creo que, hagan lo que hagan, van a llevar el Epic Fail tatuado en la frente.

Es el tipo de cosas que pasan en nuestro interconectado siglo XXI cuando alguien olvida la regla de oro del buen vendedor: EL CLIENTE SIEMPRE TIENE RAZÓN.

PD: He aquí la clave k, escrita en lenguaje hexadecimal, (web original)

BA 90 55 91 68 61 B9 77 ED CB ED 92 00 50 92 F6 6C 7A 3D 8D

Actualización:  A los pocos minutos de escribir este post, me encuentro con un artículo en el que un portavoz de Sony reconoce el hackeo y afirman que "arreglaremos el asunto mediante actualizaciones de red, pero puesto que es un asunto de seguridad, no vamos a proporcionarle [al periodista] más detalles".

martes, 4 de enero de 2011

Censurando los ataques a tarjetas con chip

El uso de chips en tarjetas de crédito está creciendo como la espuma en los últimos tiempos.  La industria nos lo vende como un método más seguro, y ciertamente parece más difícil adivinar un PIN que leer una banda magnética.  Resulta curioso cómo les ha entrado a los bancos la prisa para colocarnos estas nuevas tarjetas.  Yo ya había oído en 2002 hablar a técnicos del BBVA sobre este sistema, y de cómo iban a implantarlo de hoy a mañana.  Por fin, se ha  decidido.Y ahora, yo mismo tengo dos tarjetas con chip en el cajón.  Me las ha enviado mi banco, sin yo pedirlas, un año antes de que las antiguas caduquen.  En el Mercadona de mi barrio, siempre que pueden, usan el chip antes que la banda magnética.

Resulta conmovedor lo que nos quieren los bancos.  Siempre pensando en nuestra seguridad.  Por supuesto, reducir el fraude también les beneficia a ellos. Pero hay un pequeño detalle que nos cuentan.  Resulta que la responsabilidad por un uso fraudulento o incorrecto de una tarjeta bancaria varía según el método utilizado.  Si usamos la banda magnética y firmamos el recibo, se supone que lo hemos hecho todo correctamente, y si hay algún problema, la culpa se achaca al vendedor o al banco emisor de la tarjeta.  Sin embargo, se supone que el PIN del chip es personal e intransferible, así que en caso de fraude el bando supone que el responsable del mal uso es el usuario.  De ese modo, transfieren la responsabilidad al usuario, quien se las verá canutas para demostrar que no le dejó a nadie su PIN.

En el contrato con mi banco, por ejemplo, hay una cláusula que dice que será mi responsabilidad custodiar en secreto mis elementos de seguridad identifativos (PIN).  Si alguien me los copia, deberé comunicarlo sin tardanza.  De otro modo, lo que compre el ladrón a mi nombre lo tendré que pagar yo.  Aunque una sentencia del Tribunal Supremo lo considera práctica abusiva y por tanto nula, tengo mis dudas sobre sus efectos.

Todo esto no debería ser problema si el sistema de chip fuese realmente seguro.  Pero resulta que no lo es.  En Febrero de 2010, un grupo de investigadores de la Universidad de Cambridbe encontró una forma de solventar la seguridad del sistema.  El problema surge porque los sistemas de chip y de banda magnética deben coexistir.  En ciertas circunstancias, un intermediario malicioso puede introducirse en el sistema par que la tarjeta no verifique el PIN introducido, y al mismo tiempo engaña al terminal (el tarjetero de un restaurante, por ejemplo) para que se crea que el PIN es válido. El ataque, que yo denominé "Fish ´n chips" (ver el Boletín Enigma 74), se basa en una vulnerabilidad conocida desde al menos 1999, y no es sólo un ejercicio teórico sobre el papel.  Según los investigadores de Cambridge "contactan con nosotros, de forma regular, clientes bancarios que sufrieron transacciones fraudulentas poco después de que les robaran la tarjeta, que declaran que no escribieron en ninguna parte su PIN, pero que a pesar de eso el banco les acusa de negligencia y rehúsa cubrir las pérdidas. El ataque que describimos aquí puede explicar algunos de esos casos"

Ahora la industria bancaria da un nuevo giro de tuerca.  En lugar de reconocer el problema o intentar arreglarlo, intenta acallar a los mensajeros.  La víctima ahora es Omar Choudary.  De origen rumano (y madrileño de nacimiento), en la actualidad es doctorando en la Universidad de Cambridge, y trabaja en temas de autenticación y seguridad en móviles.  Una de las cosas que Choudary ha hecho es construir un aparato llamado "SmartCard Detective", diseñado para demostrar la vulnerabilidad antes mencionada en los sistemas EMV (se llama así al protocolo que utilizan las tarjetas con chip) y, más importante, para prevenirla.  Es un módulo de seguridad adicional.  El SmartCard Detective es su trabajo para obtener el título de Master of Philosophy.

Resulta que dicho trabajo (que pueden consultar aquí) ha irritado a la industria más de la cuenta.  La UK Cards Association (UKCA) envió el pasado 1 de Diciembre una nota a la Universidad de Cambridge, en la que afirman que la publicación de esa tesis sobrepasa las fronteras de la "revelación responsable", y piden que la investigación de Choudary "sea retirada del acceso público inmediatamente".  Los motivos son los de siempre en estos casos: los malos podrán usar esos conocimientos para perpetrar fraudes.  Como si no lo supiesen a estas alturas.

Cualquier universidad española se hubiera arrugado de inmediato y les hubiera puesto la cabeza del investigador en bandeja de plata.  No así Cambridge. Ross Anderson, investigador en Cambridge, co-tutor de Choudary y una autoridad mundialmente reconocida en el campo de la criptografía (además de ser co-autor del artículo de Febrero de 2010), les puso las peras a cuarto en una carta escrita el día de Nochebuena.  Negó que se hubiese revelado información nueva y rechazó las acusaciones de la UKCA.  Ante la acusación de que estaban minando la confianza del público, replicó:

"Lo que dará confianza del público a esos pagos es la prueba de que los bancos son francos y honestos al admitir sus debilidades, y diligentes al poner los remedios necesarios.  Su carta muestra que, por el contrario, sus bancos miembros hacen lamentables esfuerzos por denigrar el trabajo de los que se encuentran fuera de su club, y de hecho los censuran."

También, con cierto deje de sarcasmo, escribe: "Me alegro de constatar en su carta que el ataque ya no funciona, y alegre de que la industria haya conseguido tratar por fin con este problema de seguridad, aunque se tomaron su tiempo tras la revelación original allá por 2009"

Y añade con esta andanada, que creo vale la pena resaltar:

"Ustedes parecen creer que nosotros podríamos censurar una tesis que es legal y ya en dominio público, tan sólo porque un poderoso interés lo encuentra inconveniente.  Esto muestra una profunda incomprensión hacia lo que hacen las universidades y cómo trabajamos.  Cambridge es la Universidad de Erasmus, de Newton y de Darwin; censurar escritos que ofenden a los poderosos es de lo más ofensivo contra nuestros valores.  Aunque la decisión de poner la tesis online fue de Omar, no tenemos otra alternativa que la de respaldarle.  !Esto sería así aunque no estuviésemos de acuerdo con el material [de la tesis]!.  Por consiguiente, he autorizado que la tesis sea reproducida como Informe Técnico del Laboratorio Informático.  De esa forma será más fácil de encontrar y citar, y asegurará su presencia permanente en nuestra web

Aquí me temo que la cosa no pasaría de una nota de prensa, una Universidad atemorizada y un investigador amordazado.  Como profesor universitario, debo declarar que ojalá tuviésemos aquí ese coraje e independencia. !Qué envidia!

En cuanto a la UKCA, ya en Febrero de 2010 publicaron un comunicado en el que negaban la mayor: el sistema Chip+PIN es estupendo, no hay pruebas de que se esté usando en la práctica, lo estamos haciendo muy bien, gracias por llamar.  En lo que respecta a su intento de censura, guardan silencio.  Hasta el momento de escribir estas líneas, la última palabra la tiene Cambridge.  En el Light Blue Torchpaper (el weblog del grupo de seguridad de laboratorio informático de Cambridge), un artículo titulado Feliz Navidad a todos los banqueros, el propio Ross Anderson afirma que presentarán los resultados en la conferencia Financial Cryptography de 2011, el próximo 2 de Marzo.

Al menos, hay un consuelo.  El banco Barclays Bank ya ha arreglado esta vulnerabilidad.  Lo que demuestra que, si hay ganas, el problema se arregla.  Por lo menos, en el banco Barclays de Inglaterra.  Mientras no llegue aquí la solución, creo que mis relucientes tarjetas nuevas se van a quedar en el cajón una temporada.