Sometidos a la presión terminológica de los EE.UU. “troyanos” es como ahora mal llamamos a los “caballos de Troya”, de la misma forma que hoy decimos “químicos” (y no ‘productos químicos’) al gas sarín y similares, como a esos viejos y respetables señores de la barba y la bata blancas.

Los caballos de Troya han sido físicos –materiales–desde hace 44 siglos[1], cuando las leyendas recogidas en La Odisea de Homero y en La Eneida de Virgilio sitúan al original, hueco y de madera.

Vivimos en un mundo crecientemente interconectado e interdependiente, caracterizado por la interconexión de las cosas[2]: el “Internet de las cosas [things]”. Con el surgir de la informática, en los últimos 40 o 50 años los troyanos se han sublimado, y de físicos y de madera han pasado a lógicos, al software y a la nube. De algún modo hemos aceptado su presencia lógica pero no física, y nos hemos acostumbrado/resignado a su vida expansiva, a los riesgos que suponen, a los antivirus, etcétera.

Troyanos sólo lógicos, hemos tenido en los últimos 40 o 50 años; ¡pero sólo hasta ahora! Resulta que los troyanos físicos vienen de regreso (aunque no de madera, sí de silicio)[3]. En mi opinión, la diferencia fundamental entre los unos y los otros –desde un punto de vista de seguridad- es que mientras los lógicos dependen de una probabilidad de infección  (0 ≤ p ≤1), el parque de productos o componentes con un troyano físico tiene la infección con toda certeza (p=1).

Si un producto posee un subcomponente que contiene un troyano, también lo tendrán todos sus hermanos de lote o de serie de fabricación, y todos los ensamblajes y sistemas ulteriores que contengan dicho producto o componente[4]. Esto plantea -a gobiernos, empresas, científicos y profesionales- un reto enorme y probablemente muy subestimado[5], porque el alcance del riesgo rebasa -en órdenes de magnitud- a las hasta ahora consideradas “infraestructuras críticas” (como señala la nota 4), para potencialmente alcanzar la totalidad de nuestro actual modelo de vida: automóviles, fotografías, teléfonos, sistemas de tráfico, iluminación, distribución de electricidad, agua, gas, sensores, equipos médicos y de meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, comercio y ocio en la red, y un muy largo etcétera.

Abordar a tiempo y con eficacia esta problemática exigirá esfuerzos titánicos en concienciación, divulgación, tratados, leyes, marcos y normas, que requerirán grandes inversiones que se traduzcan en una adecuada gestión, control de calidad,  evaluaciones y auditorías que certifiquen procesos, productos y productores. Además será necesario que dichas evaluaciones se realicen con competencia e independencia extremas ¿Será esto posible?

No parece que estemos aún en esa senda, por lo que la seguridad de las cosas está en entredicho y, por ende, la seguridad de las personas y de su modelo de vida, que es lo que al final debe importar. Por ello son loables algunas iniciativas prometedoras que intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario y tratamiento tradicionales[6].

Para acabar con una nota más ligera, no todo es malo en el tema de los troyanos materiales. Acabo de adquirir un excelente portátil con una relación calidad-precio muy atractiva, probable consecuencia del boicot a la empresa productora (razonable a mi juicio) de muchas agencias gubernamentales y grandes empresas. Pienso que la sensibilidad de la información que yo manejo, frente a supuestos intereses chinos, es muy baja. Aunque, claro, no se debe olvidar que la mejor definición de ‘sensible’ es la que dé, o piense y calle, el atacante.

[email protected]

Nota: deseo agradecer a mi compañera en iTTi,  Mª José de la Calle, que me sugiriese el planteamiento de este artículo, aunque de su desarrollo, acertado o no, soy el único responsable.

 

[2] “Ubiquitous Computing is fundamentally characterized by the connection of things in the world with computation”.  Mark Weiser and John Seely Brown: The Coming Age of Calm Technology. OCT 1996.

[4] Con algún mayor rigor técnico, en los ensamblajes y sistemas, sólo quedarían afectados aquellos que –por configuración HW o SW- dejaran activos los componentes con malware, no los que los dejaran inhibidos.

[5] “In recent years, hardware Trojans have drawn the attention of governments and industry as well as the scientific community. One of the main concerns is that integrated circuits, e.g., for military or critical- infrastructure applications, could be maliciously manipulated during the manufacturing process, …” http://people.umass.edu/gbecker/BeckerChes13.pdf

[6] Por ejemplo,  el recientemente creado Centro de Ciberseguridad Industrial (www.cci-es.org) que se centra (en español) en la seguridad de la información industrial, intenta ampliar el horizonte de la seguridad de la información, más allá de su escenario natural de desarrollo  -el mundo corporativo-.  O el proyecto CLDFP (Cyber Leader Development Framework) [actualmente –OCT 2013- en revisión] de CSFI http://www.csfi.us/, que se ha propuesto desarrollar un marco de competencias de los futuros ciberlíderes incluyendo temas de ciencias políticas, sociología, estrategia, y comunicación, entre otros.