Si el Imperio Galáctico de Star Wars hubiera tenido solo unos conocimientos básicos de ciberseguridad, la famosa saga sólo habría dado para hacer un breve cortometraje de diez o quince minutos, en vez de tres trilogías.
Esto se debe a que los fallos de ciberseguridad de la Estrella de la Muerte, así como los protocolos de actuación de los soldados imperiales son tan pobres, que en vez de Jedis armados con espadas láser, con mandar a un hacker con conocimientos básicos habría sido más que suficiente para derrocar al ejército de Darth Vader y el Emperador.
Es más, si en la estrella de la muerte hubiera un CISO, no les haría falta sables de luz ni “blasters” láser para defenderse de la intrusión de Luke Skywalker, Obi-wan Kenobi, Han Solo y Chewbacca. De ser así, el anciano personaje interpretado por Alec Guinness jamás hubiera conseguido desconectar el campo de tracción gravitatoria que tenía atrapado al Halcón Milenario, ni R2D2 hubiera sido capaz de encontrar la celda en la que estaba retenida la princesa Leia.
Como la saga de Star Wars es demasiado extensa para analizarla en un solo post, nos centraremos solo en la primera entrega de Star Wars: Una nueva esperanza.
Fallos en la vigilancia contra el spoofing
Los errores en la ciberseguridad del Imperio Galáctico no sólo se encuentran en la Estrella de la Muerte. Los soldados imperiales son el eslabón más débil en toda la cadena de ciberseguridad del Imperio. En esto hay poco de ciencia ficción, ya que en la vida real pasa lo mismo. En cualquier compañía las personas somos el primer punto de ataque para los hackers.
Por ello, es muy flagrante la escena en el puerto de Mos Eisley en la que Obi-wan utiliza un viejo truco mental Jedi para obligar a que los “storm troopers” les dejen entrar al pueblo. De haber contado con un sistema anti-spoofing para redes neuronales, el anciano caballero Jedi y su aprendiz nunca hubieran llegado más lejos que ese punto.
El spoofing es una suplantación de identidad en la que el atacante se hace pasar por una persona o entidad distinta a la que realmente a través de la falsificación de los datos que se comparten durante un proceso de comunicación.
Una inapropiada segmentación de los datos del sistema
Nada más llegar a la Estrella de la Muerte y burlar a los soldados imperiales que vigilan la zona de aterrizaje del Halcón Milenario, los protagonistas de Star Wars se cuelan en un centro de control en el que hay un punto de acceso al ordenador central de la estación de combate.
Sin dudarlo un instante, Obi-wan le dice a los droides que se conecten a la computadora, porque desde ahí “tendrán acceso a toda la red imperial”. Esto no hubiera ocurrido si ‘los malos’ hubieran segmentado de forma correcta la información de su sistema.
Acceso permitido a ‘dongles maliciosos’
Aunque el término ‘dongle’ es poco conocido entre el gran público, todos reconocemos para qué sirven esas pequeñas piezas que se acoplan al móvil o al ordenador para añadirles una función adicional. Un dongle, por ejemplo es esa antenita que se conecta por USB a un ordenador para que reciba la señal de un ratón inalámbrico. También son son muy habituales en los dispositivos de la marca Apple, que se suelen usar para conectar por medio del puerto USB otras funcionalidades como los cables HDMI para conectarse a una pantalla, etc.
En el caso de la Estrella de la Muerte, el propio R2D2 utiliza su pequeño brazo giroscópico a modo de dongle para conectarse a la red imperial. De este modo, ‘los buenos’ obtienen toda la información que necesitan para atacar su sistema y encontrar a la princesa Leia. Con un sistema que deshabilitase el acceso a dispositivos no autorizados, le hubiera bastado a Darth Vader para evitar que rescatasen a su hija del cautiverio.
Ausencia de seguridad y encriptación en documentos críticos
Mientras Luke Skywalker y sus amigos siguen escondidos en el centro de control de la Estrella de la Muerte, se vuelve a producir otro fallo grave de ciberseguridad. Una vez que R2D2 ha accedido al sistema informático del Imperio galáctico, consigue los planos de la estación espacial sin ningún problema.
Tratándose de unos datos tan valiosos para la seguridad de todos los habitantes de este gigantesco planeta artificial, lo lógico es que, como mínimo, los ingenieros imperiales hubieran restringido la apertura de estos ficheros con una contraseña.
Asimismo, hubiera sido más que recomendable que todos estos datos estuviesen cifrados para evitar que cayesen en malas manos.
Physical access not controlled
Tampoco tiene sentido la poca vigilancia que tienen los mandos que regulan el campo gravitatorio de la Estrella de la Muerte que modifica Obi-wan Kenobi para permitir que la nave de Han Solo y Chewbacca pudiera escapar casi sin problemas. Si los arquitectos que diseñaron la estación espacial sólo hubiesen puesto una puerta delante de estos mandos, seguro que los Jedi lo hubieran tenido más complicado para escapar.
Necesidad de mejora en los protocolos de actuación en los incidentes
Por suerte de Luke, Han y Chewie, los soldados imperiales no contaban con un protocolo de respuesta ante incidentes de seguridad. En cualquier empresa de ‘nuestro mundo’ en la que se guarde información o material de gran valor (por ahora ninguna empresa retiene cautivas a princesas galácticas en sus sótanos), la respuesta contra el ataque a los calabozos de la Estrella de la Muerte hubiera sido mucho más efectiva.
Parece increíble que transcurra tanto tiempo desde que Han y Chewbacca destruyen toda las cámaras de vigilancia del centro de control de las celdas, hasta que alguien pregunte qué está ocurriendo y decida mandar tropas para controlar qué está pasando.
Directivos poco sensibles a los consejos del CISO
Si se tratase de una empresa real y no de una película, el almirante Wilhuff Tarkin, a cargo de todo el funcionamiento de la Estrella de la Muerte, sería algo así como el office manager de la estación. Conocedor de todos los entresijos y del potencial de su gigantesca nave, es más que curioso que no haga caso de los avisos sobre riesgos de seguridad.
Al final de la película, durante el ataque de las naves “Ala X” de la rebelión, un oficial de la Estrella de la Muerte, que en un mundo real hubiera sido un CISO o alguien del equipo de seguridad de la compañía, avisa Tarkin de ciertas vulnerabilidades. Si el almirante hubiera sido más sensible a los ciber-riesgos, hubiera evacuado a todo el personal de su estación espacial.
Ausencia de parches para las vulnerabilidades
El último y más grave error de seguridad de la Estrella de la muerte es la vulnerabilidad que encuentran los rebeldes para destruirla. Se trata de un pequeño hueco de apenas dos metros de diámetro que Luke Skywalker aprovecha para lanzar dos torpedos de protones y destruir toda la estación espacial.
Sin embargo, minutos antes de que el joven Jedi consiguiese disparar sus proyectiles, los ingenieros de la Estrella de la Muerte también localizan la vulnerabilidad. Si hubieran instalado un parche de seguridad, probablemente el Imperio Galáctico seguiría gobernando la Galaxia.
Realidad y Ficción
“Curiosamente una vez más se mezclan los mundos de la ficción y realidad” advierte Hervé Lambert, Global Retail Product Manager en Panda Security. “Se puede hackear casi cualquier dispositivo conectado y reprogramarlo para apagarlo o usarlo para un fin muy diferente a su uso habitual. Los creadores de nuevos dispositivos y/o programas deben endurecer sus protocolos de seguridad.
Los objetivos de los malos han cambiado, las técnicas se han sofisticado, los vectores de entrada se han multiplicado y las herramientas se diseñan de forma más específica. Cada vez más, los atacantes estudian minuciosamente a sus víctimas para adaptar su estrategia de ataque y conseguir provocar el mayor impacto posible.
La eficiencia, eficacia y rentabilidad del lado oscuro en la vida real quedan demostradas,solo podemos esperar que los humanos estemos vigilantes y nos obliga a implantar cambios de mentalidad y estrategias para conseguir las mayores cotas de seguridad”.