El año 2010 tocaba a su fin, y la industria bancaria se recuperaba de los varapalos recibidos. Podían sacar pecho, ya que a despecho de las afirmaciones de Ross Anderson y su equipo sobre que “Chip y PIN está roto,” las cifras de fraude por tarjetas seguían bajando. El fraude mediante tarjetas clonadas o robadas había caído otro 40%, y soluciones como SecureCode de MasterCard o Verified by VISA estaban reduciendo el impacto del fraude en las compras online.
Pero la “patrulla X” de la Universidad de Cambridge estaba allí para fastidiarles el día. Quizá les sorprenda la fijación que tiene el grupo de Ross Anderson con las tarjetas EMV. Que yo sepa, no es nada personal, sencillamente, es su trabajo. No se pueden establecer sistemas informáticos seguros si no se analizan y destripan a conciencia, de igual modo que no podemos luchar contra el SIDA sin conocer su mecanismo de actuación. El grupo de Cambridge continuó trabajando para mostrar que las vulnerabilidades que habían descubierto eran algo más que un ejercicio académico. Existían y eran potencialmente peligrosas. Ellos mismos desarrollaron una solución: si un metomentodo atacante puede insertarse en el sistema para robar información, otro metomentodo “amigo” podría ayudar a protegerlo. Sería una especie de verificador de confianza, presta a advertir de cualquier acción no autorizada.
La teoría estaba ya desarrollada, pero había que comprobar la validez práctica de la solución. El encargado de la tarea fue un estudiante de doctorado llamado Omar Choudary, nacido en Madrid y titulado por la Universidad Politécnica de Rumanía. Su tesis doctoral trata precisamente de cómo se puede crear, con medios técnicos modestos, un “interceptor,” es decir, un dispositivo que pudiese proteger al cliente contra los ataques que ya se conocían. El dispositivo, al que llamaron Smart Card Detective, sería portátil, asequible, fácil de manejar y de dominio público.
La información del proyecto Smart Card Detective (SMD) es accesible desde Internet. Se puede descargar todo el software en código libre[64], adquirir el hardware por poco más de quinientos euros[65], consultar documentación adicional[66] y hasta la tesis doctoral de Choudary[67]; quien, por cierto, afirma que el dispositivo puede construirse por poco más de cien euros y que podría hacerse una versión industrial por unos veinte.
Una de las opciones en el SMD permite efectuar el ataque “fish’n chips”. Esto no es parte de la solución de seguridad, ni es algo que se debiese incorporar a un SMD vendido comercialmente. De hecho, el autor tuvo mucho cuidado de no incluir esta opción en la documentación pública por motivos de seguridad. Se trata de una prueba de concepto, una forma de demostrar que dicho ataque es factible con equipo electrónico sencillo y barato. Choudary logró comprobar la validez del ataque en la cafetería de la Universidad de Cambridge, tras haber pedido permiso. También comprobó que funcionaba en los pequeños lectores del tipo Programa de Autenticación de Chip (CAP).
A continuación, hizo la prueba en algunas tiendas de la ciudad, y sólo tras lograr el éxito advirtió del hecho a los tenderos. Uno de ellos, sorprendentemente, dijo que ese tipo de ataques ocurrían con frecuencia, aproximadamente una vez por semana durante las navidades. Esto era un detalle preocupante, porque una de dos, o alguno de los investigadores del grupo de Ross Anderson se dedica a complementar la beca con compras gratuitas, o bien las bandas criminales ya se saben el truco y lo aplican de forma habitual.
En general, el dispositivo de Choudary muestra que es posible utilizar el SMD como mecanismo de seguridad adicional, lo que puede ser útil en transacciones electrónicas cuantiosas. Tal vez sea más engorroso para llevar de forma habitual, pero sospecho que sólo es cuestión de mejorar la tecnología, bajar el precio por unidad y concienciar a los clientes de su conveniencia. En cuanto a la industria bancaria, su utilidad para encontrar vulnerabilidades no tiene precio.
Omar Choudary presentó su tesis en junio de 2010. En octubre fue entrevistado por un equipo de Canal+ (Francia). El 2 de diciembre, una segunda entrevista fue televisada por el programa Rip Off Britain, del canal BBC1. Finalmente, la industria bancaria británica decidió tomar medidas al respecto, aunque no precisamente para proteger a sus clientes. Según su punto de vista, una cosa es publicar ataques teóricos o probar un ensayo práctico en condiciones controladas ante un equipo de televisión, y otra muy distinta regalar los secretos del ramo a cualquiera que tenga una conexión a Internet.
El 1 de diciembre, la UK Cards Association (UKCA) envió una carta a la Universidad de Cambridge. Afirmando que se habían sobrepasado “las fronteras de lo que constituye una revelación responsable,” la UKCA sostenía que la tesis de Choudary, hecha pública, no solamente facilitaba la tarea a los amigos de lo ajeno sino que también “podría minar la confianza del público en [el sistema de tarjetas de pago]”. No está claro qué les preocupaba más, si la pérdida económica o quedar como unos idiotas ante sus clientes. En consecuencia, solicitaban que los datos de la investigación se retirasen del dominio público[68].
En este punto, y como profesor universitario, debo declarar con tristeza que, si esto hubiese sucedido en España, todos los responsables académicos, desde el director de tesis hasta el rector, habrían competido en rapidez y diligencia a la hora de retirar la información, pedir disculpas por la torpeza y culpar al pobre investigador. Pero estamos hablando del Reino Unido y de la Universidad de Cambridge. El día de nochebuena, Ross Anderson respondió con una contundente carta[69]. Comenzó dejando claro que ciertas cosas, sencillamente, no son aceptables en el Reino Unido:
“Parece creer usted que podemos censurar la tesis de un estudiante, legal y en dominio público, simplemente porque intereses poderosos lo encuentran conveniente. Esto muestra una concepción profundamente errónea de lo que son las universidades y de cómo trabajamos. Cambridge es la Universidad de Erasmo, de Newton y de Darwin; censurar escritos que ofenden a los poderosos es ofensivo para nuestros más profundos valores. Así pues, aunque la decisión de poner la tesis online fue de Omar, no tenemos más opción que respaldarlo. Eso sería así ¡incluso si no estuviésemos de acuerdo con el material! En consecuencia, he autorizado que la tesis sea publicada como Informe Técnico del Laboratorio de Informática. Eso hará más fácil que la gente lo encuentre y cite, y hará que su presencia en nuestra web sea permanente”.
A continuación, dejó las cosas bien claras. Ni la tesis de Omar contenía información novedosa, ni incluyó la información sobre el ataque “fish’n chips” en el código fuente de su dispositivo, ni estaban minando la confianza del público. En este punto, Anderson fue abrasivo en su respuesta:
“Lo que dará confianza al sistema de pagos es la prueba de que los bancos son francos y honestos al admitir sus debilidades, y diligentes al poner los remedios necesarios. Su carta muestra que, por el contrario, sus bancos miembros hacen lamentables esfuerzos por denigrar el trabajo de los que se encuentran fuera de su club, y de hecho los censuran”.
Mi parte favorita es el párrafo final, cargada de fina ironía británica: “Me alegro de constatar en su carta que el ataque ya no funciona, y de que la industria haya conseguido tratar por fin con este problema de seguridad, aunque se tomaron su tiempo tras la revelación original allá por 2009”.
No sé qué cara pondrían en la UKCA al leer la carta de Ross Anderson, pero me encantaría que alguien hubiese sacado una foto. Lo cierto es que este ataque a la integridad de una de las más prestigiosas instituciones académicas del país les costó cara. Los principales medios de comunicación recogieron la noticia[70]. El intento de censura contra el trabajo de Choudary fue visto como la constatación de que los emisores de tarjetas tenían más empeño en ocultar los trapos sucios que en lavarlos. Ni que decir tiene que las vulnerabilidades del sistema EMV se hicieron más conocidas que nunca. Sólo hubo consuelo para un banco. Por lo visto, Barclays contactó con el grupo de Cambridge no para amenazarlos, sino para pedir una solución. La obtuvo, y gracias a eso las tarjetas emitidas por Barclays ya son seguras contra el ataque “fish’n chips”.
La UKCA prosiguió con sus esfuerzos de censura, y en abril de 2011 envió una segunda carta, más amenazadora que la primera. En lugar de solicitar amablemente la retirada de materiales que pudieran ayudar a los criminales, hizo hincapié en que esa conducta rozaba lo ilegal, ya que podría considerarse ayuda a la comisión de un delito. En consecuencia, reiteraba la necesidad de que la Universidad de Cambridge se adhiriese a una política de “revelación responsable,” so pena de ver dañada su reputación[71].
La respuesta de Anderson se hizo esperar hasta el 2 de diciembre, pero valió la pena. Al leerla, la primera palabra que me viene a la mente es “enfurecido”. Harto de tanta amenaza, pasó al contraataque, enumerando algunas de las veces en las que la UKCA declaró enfáticamente que los sistemas de seguridad de la banca eran inmejorables. A continuación, acusó a la propia UKCA de actitud delictiva al “efectuar declaraciones falsas con resultado de ganancias propias y ajenas”. Terminaba exigiendo una disculpa a su grupo y a las víctimas de fraude de tarjetas que fueron acusadas de fraude[72]. No consta que esas disculpas se hayan llevado a efecto. En mi opinión, tardarán en volver a meterse con él.