Los sistemas centrales que manejan la información más valiosa desde la década de 1960 se integran a internet sin la seguridad adecuada
Imagen: La pantalla de registro que presenta un ordenador central libremente accesible desde Internet. Los ordenadores centrales manejan datos clave, pero reciben poca atención por parte de los expertos en seguridad en comparación con otros tipos de ordenador.
Son las máquinas que no mueren. En los años 60, muchas líneas aéreas, bancos y gobiernos empezaron a procesar transacciones sensibles usando ordenadores centrales gigantes y sus descendientes siguen activos. Ahora resulta que estos dinosaurios vivos de la computación también tienen un vicio muy moderno: cuentan más de lo necesario en Internet.
El investigador en seguridad Phil Young explica que ha encontrado alrededor de 400 ordenadores centrales en internet que ofrecen una pantalla de registro a cualquiera que se conecte. El martes pasado, en la conferencia Security BSides celebrada en Las Vegas, relató cómo había descubierto ordenadores centrales pertenecientes al Departamento de Agricultura de Estados Unidos, los Institutos Nacionales de Salud, la base de datos de conductores del estado de Nuevo México, los Servicios de Salud y Recursos Humanos del estado de Carolina del Sur, la línea aérea Egyptair y muchos sistemas de administración de universidades. Young tiene un blog en el que un programa de software publica automáticamente pantallazos registros de ordenadores centrales que encuentra en línea.
Young encontró esos ordenadores centrales usando herramientas desarrolladas para buscar software y dispositivos vulnerables en internet. Afirma que sus hallazgos son preocupantes porque, aunque los ordenadores centrales han evolucionado mucho a lo largo de los últimos 50 años, no tienen las funciones de seguridad modernas necesarias para sistemas a los que se puede acceder libremente a través de Internet. Y a pesar de que los ordenadores centrales manejan datos valiosos, como las transacciones bancarias y los datos personales, son un nicho pequeño y especializado que es básicamente invisible para la industria de la seguridad informática, que funciona para mantener seguras cosas como los PC, los móviles y los sitios web.
Eso significa que probablemente existan fallos de seguridad que se puedan aprovechar para entrar en ordenadores centrales colocados alegremente en línea, según Young. “Hay una falsa sensación de seguridad porque durante años la gente ha oído que los ordenadores centrales son seguros”, afirma. “Pero en realidad no es que sean seguros, es que no le importan a nadie”.
La buena práctica comúnmente aceptada para mantener la seguridad del software, Windows de Microsoft, por ejemplo, es que las empresas hagan anuncios públicos de los fallos descubiertos en sus productos junto con parches de software para solucionarlos. Eso permite al personal de los departamentos de informática que intentan mantener muchos productos actualizados, a conocer los riesgos a los que se enfrentan y den prioridad a los parches que usan.
IBM no usa ese modelo para su software de ordenador central, que es el que domina el mercado. Mantiene en secreto los detalles sobre agujeros de seguridad en su software de ordenador central y contacta en privado con sus clientes para avisarles de que deben aplicar un nuevo parche de seguridad, sin explicar exactamente por qué, explica Young.
“En esta plataforma la seguridad no se está gestionando bien y empresas y gobiernos la están usando para cosas que nos importan a todos”, sostiene Young. “Es muy posible que se produzca un ataque sorpresa”.
En respuesta a una pregunta sobre las prácticas de seguridad de IBM, una portavoz de la empresa ha dicho que: “El ordenador central de IBM es el sistema de ordenador más seguro del mundo y cuenta con tecnologías criptográficas únicas”.
Hay ejemplos recientes de las peligrosas consecuencias de ataques sobre los ordenadores centrales y los datos críticos que manejan. En 2014, un fundador del sitio para compartir archivos Pirate Bay, fue hallado culpable de acceder a un ordenador central perteneciente a un contratista de servicios informáticos y acceder a datos del gobierno danés, incluyendo números de la seguridad social y antecedentes penales.
Más recientemente, cuando los líderes de la oficina de gestión de personal de Estados Unidos comparecieron ante el Congreso para explicar cómo los piratas habían podido acceder a datos sensibles de millones de empleados federales, apuntaron a un código escrito hace décadas en un lenguaje de programación llamado COBOL. COBOL se inventó en 1959 y su uso principal en la actualidad es en ordenadores centrales.
Esta misma semana, en la conferencia de hackeo DEF CON, Young y un colaborador, Chad Rikansrud, presentarán varias herramientas de código abierto para ayudar a los investigadores en seguridad a sondear el software de los ordenadores centrales en busca de fallos de seguridad que se puedan aprovechar. Esperan iniciar una ola de control de los ordenadores centrales, parecida a lo que ahora se aplica a los sistemas de control industrial tras el descubrimiento del ataque Stuxnet en el programa nuclear iraní y tras los escaneos de Internet que hallaron cientos de miles de sistemas vulnerables en línea.