30.3 C
Resistencia
15 noviembre, 2024

Black Hat USA 2024: cómo las aplicaciones más descargadas ocultan su falta de privacidad

“La privacidad de una aplicación significa que lo que se ve en la pantalla sea transparente con el usuario. Si enviás un mensaje a una persona, sólo esa persona tiene que ver el mensaje. Y creo que muchas aplicaciones no buscan tener esa consistencia entre cómo se ven y cómo funcionan”, dijo Moxie Marlinspike, fundador de la aplicación de mensajería Signal y uno de los creadores de los mensajes encriptados en aplicaciones de chat. Fue en el segundo día de la edición 2024 de la conferencia de ciberseguridad Black Hat USA.

Marlinspike dio una charla en la que repasó distintas maneras de pensar a la tecnología y las aplicaciones junto a Jeff Moss, fundador de Black Hat y DEF CON, dos de las conferencias de hackers más importantes del mundo. Ambos investigadores debatieron sobre las dificultades del equilibrio entre seguridad y privacidad, además de por qué el cuidado de la información personal debe ser tan importante para grandes empresas como Google, Meta, Amazon y Microsoft.

“Moxie es uno de los pocos criptógrafos que entiendo cuando hablan”, dijo Moss, que tiene una amplia trayectoria en ciberseguridad, durante la presentación de Marlinspike. Signal está considerada como una de las aplicaciones de chat más seguras y privadas, además de tener una política de privacidad que asegura no guardar los mensajes en sus servidores si el usuario los elimina (algo que es discutible en Telegram y WhatsApp).

“El objetivo de un proyecto de privacidad es hacer que el software se vea de la misma forma en la que funciona. Si tenés una aplicación de mensajería, ¿cómo opera? Tipeás un mensaje, lo enviás y ese mensaje lo ve la persona que lo recibe. El problema es que en el pasado esto no funcionaba así: muchas personas podían acceder a ese mensaje”, explicó el especialista.

Su referencia tuvo que ver con que WhatsApp adoptó el cifrado de mensajes de punta a punta (es decir, que sólo los interlocutores puedan ver los mensajes) en 2016, más de 15 años después de que la aplicación ya fuera usada de manera masiva.

La charla entre Jeff Moss y Moxie Marlinspike fue en el Michelob Ultra Arena del Mandalay Bay. Foto: Prensa Black HatLa charla entre Jeff Moss y Moxie Marlinspike fue en el Michelob Ultra Arena del Mandalay Bay. Foto: Prensa Black Hat“Si la experiencia de usuario hubiese estado diseñada para representar que cada mensaje que vos enviabas iba a ser una suerte de chat grupal entre tu interlocutor, Mark Zuckerberg y todos los que trabajan en Facebook, eso hubiera sido una interfaz de usuario [UI] más honesta”, ironizó. Esto es una referencia a que, hasta la implementación del encriptado de mensajes, cualquiera dentro de la compañía tenía acceso a leer lo que escribían los usuarios.

“Creo que es exactamente esa la oportunidad que las tecnologías tienen por delante en relación a la privacidad: encontrar esos puntos donde lo que ve el usuario no coincide con cómo funcionan las aplicaciones y servicios, para tratar de hacerlos coincidir”, agregó.

Software y ciberseguridad: diseñar para las masas

Marlinspike, criptógrafo y experto en seguridad. Foto: Prensa Black HatMarlinspike, criptógrafo y experto en seguridad. Foto: Prensa Black HatMatthew Rosenfeld (verdadero nombre de Moxie Marlinspike), es un criptógrafo e investigador en ciberseguridad que realizó junto a un colega, Trevor Perrin, el Signal Protocol. Se trata de un protocolo criptográfico que encripta mensajes enviados y que adoptaron empresas como WhatsApp, Facebook y Google en sus sistemas de mensajería.

En 2018 creó Signal Technology Foundation, de la cual fue CEO hasta 2022, y que logró establecer como una de las aplicaciones para chatear de las más seguras del mundo. “No podemos leer tus mensajes ni escuchar tus llamadas y nadie más puede hacerlo tampoco. La privacidad no es una opción: es la forma en que funciona Signal. Cada mensaje, cada llamada, todo el tiempo”, expresa la página de descarga de la app.

Jeff Moss, fundador de Black Hat y DEF CON, es uno de los hackers más reconocidos de la comunidad. Conocido como The Dark Tangent, desde 2021 forma parte de un consejo asesor de ciberseguridad para el gobierno de los Estados Unidos. Como dato de color, asesoró en la parte técnica de la serie sobre hackers Mr. Robot. Su historia y la de DEF CON se pueden ver en este documental online, de manera gratuita.

Ambos, con un fuerte foco en la seguridad de las aplicaciones y la privacidad, llevaron a cabo un “fireside chat”, un tipo de charla muy común en conferencias que se inspira en una serie de conversaciones que el expresidente de los Estados Unidos Franklin D. Roosevelt realizaba por la radio entre 1933 y 1944.

“Las nuevas tecnologías son el resultado impredecible de tecnologías ya existentes”, disparó Marlinspike en su charla de apertura, antes de la conversación con Moss. Entre los tópicos que tocaron, más allá de los relacionados a ciberseguridad, hablaron también del desarrollo de software y cómo está operando en la actualidad el mundo tech. Y, sobre todo, en qué lugar queda la privacidad de los usuarios cada vez que descargan y usan una aplicación como WhatsApp, Instagram o Facebook.

El primer punto que señaló Marlinspike es el estado actual de la industria del software, donde hay que construir “al menos tres versiones de cada cosa” (una para Android, otra para iOS -Apple- y una versión de escritorio).

Construir software es caro. Admiro a los escritores, cineastas, músicos que pueden crear algo y terminar. Podés grabar un disco y ya está, no hay un trabajo que tenés que hacer para «mantener» ese álbum. Simplemente existe, la gente puede escucharlo durante 20 años, más y ya está. El software no funciona así: nunca termina su desarrollo”, reflexionó el fundador de Signal.

“El software requiere que por lo menos una persona, o grupo de personas, estén sentados frente a una computadora, para siempre. Eso hace que la industria sea cara, hay un costo permanente que no termina nunca. Si queremos vivir en un mundo donde sigan existiendo programas que sirvan a nuestros intereses, necesitamos convertir al desarrollo del software en algo más barato”, agregó.

A todo esto hay que sumarle el desarrollo en seguridad, pero sobre todo en relación a la privacidad: ¿cuán resguardados están los derechos de los usuarios cuando descargan y usan de manera cotidiana una aplicación?

El viejo paradigma vs. el actual: complejidad detrás, simplicidad para el usuario

La sesión tuvo una duración de cerca de una hora. Foto: Prensa Black HatLa sesión tuvo una duración de cerca de una hora. Foto: Prensa Black HatPara Marlinspike hubo un cambio de paradigma en relación al concepto de seguridad en las aplicaciones y programas que usamos todos los días. “Creo que un problema que tenían los primeros desarrollos de tecnología focalizada en la privacidad es que se hacían en una era en la que las computadoras eran para ‘gente de computadoras’. Había ‘gente normal’ y ‘gente de computadoras’”.

“Era una división muy clara: la gente normal no usaba computadoras. Cuando los visionarios de la computación empezaron a darse cuenta de lo importantes que iban a ser las computadoras para todos, imaginaron que iban a desarrollar herramientas muy poderosas para ellos mismos y luego enseñarle al resto a ser como ellos. Y eso no funcionó”, siguió.

“Creo que lo que pasó fue que la gente que entendía cómo hacer esas cuestiones técnicas empezó a construir una identidad alrededor de ellas. A veces pienso en Napster: ¿por qué la idea de compartir archivos tardó tanto en llegar a un público masivo? La difusión de MP3s tardó bastante en aparecer en relación a la historia de internet. Y creo que la respuesta tiene que ver con que la gente que entendía el poder de una tecnología para compartir archivos había desarrollado una identidad alrededor del conocimiento arcaico del compartir archivos. Pero eso se hizo masivo cuando llegó un grupo de gente que dijo ‘vamos a crear Napster’”, complementó.

En este sentido, contó su camino en el desarrollo de Signal y lo puso como ejemplo de una forma de trabajo complejo que intentó, en el camino, simplificar. “Lo que es difícil es tener la intuición para desarrollar un producto que mucha gente va a usar. Uno de los problemas es que yo vengo de un mundo de herramientas arcaicas. Cuando empecé a trabajar en Signal tenía un interruptor físico para desactivar el micrófono del teléfono, tenía mi propio servidor de mail encriptado con una llave PGP [un tipo de cifrado] y más”, dijo, mientras enumeraba una enorme serie de cuestiones técnicas que aplicaba durante la creación de Signal.

“El objetivo de todo el desarrollo del software es administrar la complejidad: el gran problema de los desarrolladores históricos dentro de la seguridad es que querían tomar la complejidad y transmitírsela al usuario, cuando en realidad el objetivo es no trasladar eso a la persona de a pie que va a terminar usando el software”, cerró.

Sobre Black Hat 2024

Black Hat USA 2024: apertura centrada en elecciones. Foto: Prensa Black HatBlack Hat USA 2024: apertura centrada en elecciones. Foto: Prensa Black HatBlack Hat es una de las conferencias de hackers más grandes del mundo, que alberga a más de 20 mil profesionales de la ciberseguridad, hackers y pesos pesados de la industria como Microsoft, IBM, Cisco, Trend Micro, SentinelOne y otras.

Este miércoles, Jen Easterly, directora de la agencia de ciberdefensa de Estados Unidos, se refirió a Argentina en la charla de apertura: “Hemos visto usos de inteligencia artificial (IA) generativa en Moldavia, Eslovaquia y Argentina y si bien esto tuvo un impacto en las elecciones, la IA va a intensificar los riesgos pero no va a crear nuevos”.

La temática de este año tuvo que ver con las elecciones. “Una gran cantidad de países tienen elecciones este año: cerca de 2 mil millones de ciudadanos van a ir a las urnas. Algunos como India ya votaron, otros como Estados Unidos se preparan para elegir presidente en unos meses. Por eso cabe la pregunta: ¿qué significa votar en este ecosistema y cómo asegurar los procesos electorales”, disparó Jeff Moss en la apertura.

Durante la edición del año pasado, Las Vegas albergó cerca de 20 mil asistentes de 127 países en el Mandalay Bay Convention Center, centro de convenciones de uno de los hoteles más populares del Strip, la avenida principal de la ciudad de las luces.

Últimas Noticias
NOTICIAS RELACIONADAS