Buenas noticias para los bribones modernos

Por Iván Krsul Andrade
© 1997 Iván Krsul Andrade - Copyright 1997 by Iván Krsul Andrade - Todos los derechos reservados. (Comentario sobre los derechos de distribucion de este artículo)
 
El su columna del 18 de Mayo(*), Mario Rueda Peña escribe sobre cómo la
introducción de un sistema de "huella dactilar computarizada", dentro del
programa RUN, solucionará todos los problemas relacionados a la utilización
de documentos de identidad falsos para propósitos delictivos.  Rueda Peña
está tan convencido que estos sistemas de computación constituyen una panacea
a los problemas de abuso de documentos de identidad que apuesta doble contra
sencillo que los terroristas, narcotraficantes, bribones, etc., irán presos
porque "[Bolivia] le prepara una emboscada de la cual no podrá escapar así
acudan en su ayuda todos los diablos del averno."

En esta premisa estoy de acuerdo.  A los bribones chapados a la antigua no
podrán ayudarlos todos los diablos de averno, después de todo, esos diablos,
también chapados a la antigua, se encuentran tan desubicados en relación a la
computación como los bribones.  Para ellos las computadoras representan una
muralla insalvable, incomprensible e incorruptible, con atribuciones casi
oraculares, de la cual no se puede escapar.  Sin embargo, para los bribones
modernos, la introducción de sistemas computarizados como el mencionado por
Rueda Peña representa nuevas oportunidades de efectuar los mismos delitos,
con la agravante de contar con la protección del mismo sistema, haciéndolos
indetectables para los agentes policiales, tan chapados a la antigua como los
criminales que Rueda Peña dice estarán pronto presos en Chonchocoro.

Como saben todos los que han intentado contratar a un programador para que
diseñe e implemente un sistema de mediana complejidad, pueden pasar años para
que funcionen de acuerdo a especificaciones. Aún así, éstos ocasionalmente
fallan por razones misteriosas que ni el propio programador puede comprender.
 Este fenómeno es agudo cuando los programadores son mediocres, pero no deja
de ser serio aún para los más hábiles.  Hay un postulado interesante: "Es
teóricamente imposible garantizar que un progama esté libre de errores" y en
particular si son complejos como los del RUN.  ¡Si señores! Contrario a lo
que Microsoft diga de su sistema operativo NT, no se puede garantizar que un
programa sea 100% correcto.

Podemos asumir que -aunque los programadores del RUN sean competentes,
expertos en ingeniería de software y seguridad en computación- dicho sistema
es propenso a errores ideales para la explotación de lo que en seguridad en
computación llamamos vulnerabilidades: hay algún agujero en el sistema que
permite que una persona no autorizada efectúe operaciones no permitidas
normalmente.  En COAST, el conocido laboratorio de investigación sobre
seguridad en computación de la Universidad de Purdue, hay una lista de miles
de agujeros en sistemas desarrollados por las mejores compañías del mundo.

Cierto que se necesita una persona muy hábil para la detección y explotación
de dichos agujeros.  Sin embargo, solo se necesita una persona y ésta ni
siquiera necesita estar en Bolivia.  Una módica inversión de $100,000,
compría a un Kevin Mitnik(**) el cual causaría más estragos en los sistemas
del RUN de lo que los ejecutivos de la Corte Electoral se imaginan en sus
peores pesadillas.

Algunos lectores podrán descartar esta posibilidad porque suene demasiado a
ciencia ficción.  Asumamos entonces que los sistemas están correctamente
implementados.  ¿Todo está bién? No, amigos.  Es más. Acabamos de empezar.
Muchos de los sistemas que requieren altos niveles de confiabilidad son
suceptibles a abusos porque no funcionan aislados en un vacío. Los sistemas
incluyen a humanos que siguen siendo tan sobornables como antes.  Los
norteamericanos, creadores de la mayor parte de la terminología del ámbito lo
llaman "Social Engineering": el proceso de penetrar un sistema manipulando a
sus operadores.  Hasta hace poco uno de los problemas más grandes en el
sistema de cajeros automáticos era precisamente la falta de controles que
hacía posible que los operadores roben sin dejar rastros.

¿Que garantías ofrecen los sistemas del RUN para impedir que la nueva
generación de criminales no compre a los operadores para ingresar identidades
falsas al sistema, cambiar huellas dactilares, alterar fotografías, etc.?
Aquí apuesto doble contra sencillo que no existen. En gran parte estoy seguro
porque estos controles son casi inexistentes aún en los sistemas más
sofisticados.  En paises como Estados Unidos, el freno es un sistema legal
agil y eficiente -por lo general- que cuenta con la tecnología para
detectarlos y que impone sanciones elevadísimas.

Lo importante es comprender que sistemas como el del RUN pueden ser abusados
tan fácilmente como los sistemas tradicionales.  No constituyen una panacea
para las deficiencias jurídicas existentes, ni para la corrupción.

Los sistemas de computación son buenos y necesarios. En particular el RUN es
un loable avance. Sin embargo no debemos dormirnos en nuestros laureles y
debemos capacitar a nuestra gente y sistema legal para lidiar con la nueva
ola de bribones que de seguro viene y mucho antbes de lo que nos imaginamos.

(*) La Razón - Bolivia
(**) Kevin Mitnik es un famoso "hacker" que logró penetrar los sistemas de
compañías como AT&T, supuestamente uno de los más seguros del mundo.