Cuando la industria musical descubrió que un CD puede almacenar música de alta calidad, era también consciente de que resultaba muy fácil de copiar. El ordenador personal no solamente era un lugar lógico para efectuar copias, sino que los usuarios utilizaban cada vez más el ordenador para reproducir su propia música. El reto consistía en permitir la reproducción de discos originales y negar al usuario cualquier otra posibilidad.
Para ello, es necesario controlar el entorno en que se reproducen, es decir, insertar protecciones de tipo DRM en el propio sistema operativo. Eso es lo que intentó Microsoft en 2006 con Windows Vista, que básicamente es una nueva versión diseñada para, entre otras cosas, incorporar masivamente sistemas DRM a petición (digámoslo así) de Hollywood. Los resultados fueron desastrosos. El uso masivo de tecnología de protección se cobró un alto precio en prestaciones, y los usuarios le dieron la espalda. La revista PC World calificó Windows Vista como “la mayor decepción de 2007 en el mundo de la técnica”[1]. Cuando yo consideré adquirir el ordenador con el escribo estas líneas, el fabricante me ofreció dos posibilidades: usar Windows Vista o utilizar un disco de “desactualización” (downgrade) a Windows XP. ¡Y eso era considerado un regalo por parte del vendedor! A tenor de lo visto, ciertamente lo era. Por cierto, finalmente mi ordenador vino con Windows 7 de serie, así que nunca he tenido una versión de Vista en mis manos.
Pero Windows Vista fue anunciado en 2005, y los vendedores de CD no estaban dispuestos a sentarse y esperar que Microsoft resolviese sus problemas. Diversas empresas ensayaron soluciones dispares. Una de las más desafortunadas fue la perpetrada por la empresa SunnComm, que desarrolló software de protección para el gigante musical BMG (Bertelsmann Music Group). En septiembre de 2003, se anunció el lanzamiento del primer álbum musical protegido por el sistema MediaMax CD3 de SunnComm. Cada canción del disco tenía dos versiones; la primera sería reproducible en reproductores CD estándar pero no podría ser copiada en un ordenador, y la segunda podría reproducirse en un reproductor Windows Media dotado con protecciones DRM.
¿Cómo puede conseguirse una reproducción en Windows al tiempo que se impide la copia? La única solución viable consistía en que el CD instalase un paquete de software en el ordenador, y eso es lo que hacía. Para ello, el sistema MediaMax CD3 aprovechaba una opción de Windows llamada autorun, (ejecución automática). Cuando dicha opción está activada, cualquier disco que insertemos en la lectora de CD/DVD se leerá y ejecutará automáticamente. Esta opción es muy útil a la hora de, por ejemplo, instalar software o visualizar una película.
Cuando la opción autorun está activada, MediaMax CD3 ejecuta un archivo llamado LaunchCD.exe, que proporciona el acceso a las canciones protegidas por DRM; al mismo tiempo, ejecuta un driver (controlador) para que se almacene en la memoria del ordenador. Si el usuario acepta las condiciones del contrato de licencia, el controlador permanecerá cargado en memoria para siempre, incluso si el ordenador es apagado y encendido de nuevo. La misión del controlador es “controlar” los contenidos de cada CD insertado en la unidad lectora, permitiendo su reproducción pero impidiendo su copia.
Resulta sorprendente que SunnComm pretendiese vender esta solución como segura y sólida. Y digo esto porque las contramedidas son tan sencillas que rozan lo absurdo. Voy a mencionarlas en orden creciente de sencillez. En primer lugar, el controlador puede ser deshabilitado fácilmente. El problema es que vuelve a instalarse en memoria, de modo que su erradicación permanente es más difícil.
Afortunadamente, hay una forma más sencilla de evitar la protección de MediaMax CD3, y es tan sencillo como desactivar la opción autorun del sistema operativo. Tras hacerlo, insertar el CD de música no activará el programa LaunchCD.exe, a menos que el usuario lo ejecute deliberadamente. De ese modo, se podrá copiar todo el contenido del disco.
Pero hay una tercera vía. La descubrió en octubre de 2003 J. Alex Halderman mientras trabajaba como profesor en el departamento de informática de la Universidad de Princeton. Podríamos pensar que este investigador de currículum impecable, trabajando en una de las mejores universidades del mundo, desplegó todo su saber en un ataque criptoanalítico brillante. Nada más lejos de la realidad. La receta de Halderman para saltarse el sistema MediaMax CD3 consiste en los siguiente pasos:
—Pulsar la tecla Mayúsculas (sí, esa que tiene una flechita hacia arriba y permite escribir A en lugar de a)
—Insertar el CD.
—Esperar unos segundos.
—Soltar la tecla Mayúsculas.
Eso es todo. El propio autor realizó una prueba empírica adicional sobre la robustez de MediaMax CD3. Razonó que, si el sistema de protección es bueno, pasaría bastante tiempo hasta que los discos que protege se filtrasen a las redes de intercambio. Para ello se fijó en un álbum en particular (Coming from Where I’m From, de Anthony Hamilton). Halderman lo encontró en Kazaa el día 27, apenas cuatro días después de ponerse a la venta[2].
Tras la divulgación del “truco de las mayúsculas”[3], la reacción de la empresa SunnComm fue tan decepcionante como predecible: amenazó al autor de la revelación con una demanda judicial. SunnComm afirmó que Halderman violó la DMCA al revelar el nombre del programa instalado y al deshabilitar el driver. Alegando que los daños a su reputación provocaron una caída en su cotización en bolsa del 30%, la empresa reclamó al investigador la friolera de diez millones de dólares en concepto de indemnización[4].
Sin embargo, el daño estaba hecho. No fueron las acciones de Halderman las que provocaron la bajada en bolsa de las acciones de SunnComm, sino el hecho de que la técnica de MediaMax CD3 no cumplía las promesas de seguridad hechas en el pasado. Si algo podía dañar más aún la reputación de la empresa, sería un empeño en demandar a un investigador por decir a la gente que pulse una tecla del ordenador. La EFF (Electronic Frontier Foundation) se ofreció a defender a Halderman, y finalmente, prevaleció la lógica: SunnComm rectificó y retiró la amenaza de una demanda judicial[5].
El propio presidente de SunnComm, Peter Jacobs, comentó que “son diez millones de pavos [perdidos], pero tal vez podamos reponernos”[6]. En efecto, la empresa plegó velas y se justificó con el argumento de que su sistema de protección tan sólo se había diseñado “para dar a los amantes de música honrados una oportunidad para hacer copias de uso personal, no para detener la piratería a gran escala”[7]. Eso les llevó a otro escándalo aún mayor, con repercusiones serias para todos los implicados.
En 2004, BMG se fusionó con Sony Music Entertainment para formar Sony BMG. Cada una de ellas aportó su propio sistema de protección de información: MediaMax para BMG, y un sistema llamado XCP (Extended Copy Protection) para Sony. XCP había sido desarrollado por la empresa First4Internet, y se trataba de un paso más en la pugna por controlar el ordenador del usuario.
Como ya hemos visto, si se instala un sistema de protección que pueda desactivarse, resulta inútil. ¿Cómo evitarlo? First4Internet abogó por eliminar al usuario de la ecuación. Para ello preparó un paquete de software que no pudiera ser detectado ni desinstalado. XCP es lo que en jerga informática se llama un rootkit, un programa que toma el control del ordenador, atribuyéndose privilegios ilimitados al tiempo que permanece oculto al propio ordenador. El acuerdo de usuario final ni siquiera mencionaba su existencia.
Cualquier informático les dirá que un rootkit es una herramienta muy peligrosa. Al proporcionar acceso total y ocultación, es el arma perfecta para hackear un ordenador, robar sus datos, instalar virus o troyanos, cualquier cosa. Es el equivalente de tener a un espía del CNI como director de la CIA. Que una empresa decida utilizarlos de forma furtiva sin solicitar siquiera el permiso de los usuarios es una práctica cuando menos cuestionable, peligrosa y al borde de lo ilegal. Tales dilemas éticos no influyeron en las decisiones comerciales de Sony BMG, y en marzo de 2005 comenzó a vender CDs de música protegidos con el rootkit XCP.
Aunque entonces no se conocía el motivo, ahora se sabe que desde al menos agosto de 2005 algunos usuarios tuvieron problemas de estabilidad causados por XCP: el sistema se colgaba y tenía que ser reiniciado. El fallo se debía a un archivo llamado aries.sys, que más tarde se descubrió formaba parte del rootkit.
El escándalo saltó el último día de octubre. Mark Russinovich, de Sysinternals, reveló la existencia del rootkit, que descubrió accidentalmente mientras probaba un programa para detectar rootkits. Al intentar eliminarlo, descubrió que los archivos necesarios para utilizar el lector de CD quedaban inutilizados[8]. La noticia se diseminó con gran velocidad [9].
La respuesta de Sony fue rápida, y en apenas dos días anunció la presentación de un parche que supuestamente eliminaba la capa de secreto. Aprovecharon para anunciar que “[XCP] no es malicioso y no compromete la seguridad… esta actualización permitirá a los usuarios eliminar este componente de sus ordenadores”[10]. Sin embargo, ni pidieron disculpas ni reconocieron lo peligroso de su actividad (por no decir ilegal). En declaraciones a una cadena de radio norteamericana el día 4 de noviembre, el propio presidente de la división de negocios digitales globales de Sony se enfrentó a Russinovich: “La mayoría de la gente ni siquiera sabe lo que es un rootkit, así que ¿por qué debería preocuparles?”[11]. Parecía como si el único pecadillo cometido hubiera sido dejarse coger con las manos en la masa.
Por supuesto, la gente que sabía del asunto estaba preocupada, no sólo por la peligrosidad del rootkit en sí, sino por la desfachatez con que Sony trataba todo el asunto. Ed Felten, en un excelente artículo publicado el día 3 en su blog, afirmó que la “actualización” que Sony hacía pasar por solución al problema no era sino más de lo mismo: incluía casi todos los archivos del rootkit original, y algunos nuevos[12].
Lo que resulta más aterrador es que las mismas características que hacían tan valioso el rootkit XCP para Sony BMG podría permitir a terceros el acceso no autorizado a cualquier ordenador. Mientras Felten descargaba su furia contra Sony, la empresa responsable del juego online World of Warcraft reconocía que un hacker podría usar XCP para entrar en su sistema de juego online y hacer trampas sin ser detectado[13].
Los vendedores de software antivirus tomaron cartas en el asunto casi desde el primer día en que el problema fue relevado. A algunos puede parecerle raro que empresas de software antivirus, que se ganan el pan buscando amenazas como rootkits, virus y troyanos, no hubiesen detectado este problema durante los meses en que Sony BMG estuvo vendiendo impunemente sus productos. Hay quien llegó a afirmar que la propia ley DMCA se lo impedía a estas empresas[14].
Sea así o no, la publicidad les obligó a pasar a la acción. El 5 de noviembre, Computer Associates lo calificó como un spyware (programa malicioso espía) con categoría de peligro alta[15] y el 8 modificó su programa antispyware Pest Patrol para detectar y eliminar el rootkit[16]; McAffee hizo otro tanto[17]. El 13, Microsoft anunció que el rootkit XCP era una amenaza de seguridad para Windows y que modificaría su herramienta Windows Defender para erradicarlo[18].
El día 10 se descubrió la primera aplicación maliciosa (malware): una versión del troyano Breplibot que aprovechaba la tecnología del rootkit de Sony para instalarse sin ser detectado. Ya no se trataba de una vulnerabilidad potencial, sino de un fallo de seguridad probado de consecuencias potencialmente catastróficas. Enfrentado a una tormenta de críticas, Sony BMG claudicó. El 11 de noviembre anunció que suspendía la fabricación de CDs equipados con la tecnología de First4Internet[19]. Tres días después, retiró de la venta todos los CDs protegidos con XCP y anunció un programa para los 2,1 millones de discos ya vendidos, sustituyéndolos por copias nuevas sin rootkit[20].
Pero la pesadilla estaba muy lejos de terminar. Un estudio efectuado por el investigador Dan Kaminski reveló que el rootkit de Sony había infectado más de medio millón de redes. Eso se pudo averiguar porque Kaminski se dio cuenta de que el rootkit, tras instalarse, enviaba a Sony un mensaje. Es decir, XCP no solamente se instalaba en silencio sino que además filtraba información al exterior[21].
Para empeorar las cosas, el procedimiento establecido por Sony BMG para que los usuarios se librasen del rootkit tenía sus propios fallos de seguridad. El procedimiento pasaba por la instalación de una aplicación ActiveX llamada CodeSupport, que posteriormente autorizaría la descarga del programa de desinstalación del rootkit. El problema es que CodeSupport no verificaba de dónde provenía la descarga, lo que significa que en principio cualquier página web podía engañarle y hacer que descargase software malicioso[22].
Cuando parecía que las aguas volvían lentamente a su cauce (excepción hecha de la mala publicidad, las pérdidas económicas y las posibles demandas judiciales), llegó la tormenta perfecta. Con el escándalo del rootkit XCP en portada, algunos foros especializados advirtieron de la existencia de otro sistema de seguridad escondido en los CDs de Sony BMG. Se trataba de nuestro viejo amigo MediaMax, ahora en su versión 5. Sin ser realmente calificable como rootkit, MediaMax 5 compartía características similares: se instalaba sin aviso ni consentimiento, activaba un controlador incluso si el consumidor se había negado a aceptar el contrato de usuario final, no podía ser desinstalado fácilmente y transmitía información subrepticiamente a SunnComm[23].
Aunque el aviso se dio hacia el 11 de noviembre, la atención del público estaba puesta en el rootkit XCP. La propia existencia de MediaMax 5 pasó inadvertida durante un mes, y eso le vino muy bien a Sony BMG porque así al menos un elemento de seguridad podría permanecer oculto en sus discos. Salvo que el 6 de diciembre saltó de nuevo la noticia: MediaMax 5 tenía sus propios fallos de seguridad. En este caso se trataba de lo que denominaron “ataque de escalada de privilegios,” gracias al cual en el sistema operativo se lleva a cabo un cambio que aparentemente resulta inofensivo pero que permite a un atacante hacer cambios reservados al administrador del sistema. Para entendernos, es como si el MediaMax 5 se hubiese dejado puestas las llaves del coche: cualquiera que pase por allí puede meterse dentro, robar la radio y darse un paseo gratis.
La nueva vulnerabilidad fue descubierta el 29 de noviembre por iSEC Partners[24] y hecha pública el 6 de diciembre, y en esta ocasión Sony BMG respondió con mayor rapidez y eficacia: al día siguiente habían preparado un paquete de actualización. Para su desgracia, la actualización resultó tener fallos de seguridad[25].
Podríamos pensar que Sony BMG recibió su merecido, pero no es así. Las demandas contra la empresa fueron liquidadas de un modo u otro, a base de indemnizaciones y de programas de intercambio de CDs. Queda para el usuario el amargo regusto de la diferencia de trato: lo que hizo Sony BMG hubiera llevado a la cárcel a un particular durante muchos años en Estados Unidos.
Sin embargo, los malos no quedaron del todo sin castigo. El caso de los rootkits puso de manifiesto las malas prácticas de las empresas discográficas a la hora de proteger sus contenidos, y convirtió a Sony en un enemigo declarado de la comunidad hacker. La mala publicidad, combinada con la facilidad con la que se desarrollaron contramedidas (algunas tan sencillas como la de pulsar la tecla de mayúsculas), fueron un factor determinante en el proceso que finalmente acabó con los intentos de las discográficas por controlar el uso de sus CDs. A lo largo de 2007, los principales sellos musicales anunciaron el abandono de los sistemas de gestión de derechos digitales (DRM): EMI en abril[26], Vivendi/Universal en agosto[27] y Warner en diciembre[28]. La última en abandonar el barco fue la propia Sony BMG, en enero de 2008[29].
Aunque los sistemas DRM mencionados aquí no estaban basados en principios criptográficos, tienen una característica común a muchos sistemas de cifrado mal empleados: el secreto mediante oscuridad. Este principio afirma que, para garantizar la seguridad de un sistema, lo mejor es que el atacante no conozca sus detalles. El problema consiste en que el atacante, tarde o temprano, conocerá esos detalles. La gente habla, los espías extraen información, los programas filtran datos. Tarde o temprano, el enemigo sabrá dónde se encuentra la puerta para entrar.
La seguridad mediante oscuridad se ha mostrado inútil una y otra vez a lo largo de la Historia. La seguridad realmente eficaz no consiste en esconder la puerta, sino al contrario, en hacerla visible. Si el enemigo sabe dónde está la puerta, cómo está hecha, qué vulnerabilidades tiene, y a pesar de ello no consigue abrirla, entonces estamos hablando de una puerta segura.
La industria discográfica probó con la seguridad mediante oscuridad, cifrando sus esperanzas en el secreto: controladores furtivos, programas que se instalan sin aviso previo, rootkits que nadie sabe que existen. Finalmente aprendieron la lección de la forma más dolorosa y tiraron la toalla. Pero sus primos de Hollywood no estaban dispuestos a ceder tan fácilmente. Próximamente veremos cómo los principales estudios de cine desarrollaron y utilizaron sus propios sistemas de gestión de derechos, cometiendo nuevos errores en el proceso.