En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.

Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.

La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web

Si no estás al tanto de los pormenores de Silk Road, el resumen es que un hombre construyó un sitio web de comercio en la deep web, oculto a las miradas indiscretas del público en general y no visible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus hongos mágicos caseros, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la Princesa Prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma completamente anónima (y en el proceso, consiguieron que Bitcoin tuviera la reputación de ser la moneda preferida de los traficantes de drogas; un apodo del que apenas está empezando a desprenderse).

Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.

Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?

Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.

A pesar de la gran apuesta por la privacidad, con mensajes encriptados, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht pudo haber imaginado. Aquellos con los conocimientos necesarios (léase: programadores contratados por el FBI) lo desentrañaron lentamente, pero con seguridad, para revelar todo... incluyendo las identidades de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos de mala calidad hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento, como este tipo en Alemania. Vaya.

El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.

Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:

"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."

A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.

Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.

También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.

No eres un narcotraficante, así que ¿por qué debería importarte?

La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.

Los buenos, como tú, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen de forma eficiente. Si los desarrolladores están formados para codificar de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la mentalidad de la seguridad y que capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Estás preparado?