En Internet, en calidad de un estándar de la industria, el protocolo de redes, multiplexado y “ligero” de operaciones llamado “Quic”, hizo su aparición en 2021 bajo el formato de documentos para la Petición para Comentarios número 9000 (RFC 9000).
Su razón de ser es la de servir de nuevo transporte para agilizar la negociación y operación de intercambios entre aplicaciones webs, con mayor seguridad, baja latencia y facilidad de migración de rutas en la red; siempre que estas usen al menos el Protocolo de Transferencia de Hipertexto (HTTP) versión 3 en nivel L7 del modelo de Interconexión de Sistemas Abiertos (OSI). Específicamente se usa con comunicaciones de flujos hasta bidireccionales, entre una aplicación Cliente y un software del tipo Servidor. Lo relevante de este esfuerzo, que inició Google®, es que las comunicaciones de mensajes sufren menor demora y ganan en adaptabilidad y protección. Progresiva y calladamente viene sustituyendo al ampliamente usado Protocolo de Control de Transporte (TCP) y demostrando con ello, cómo las aplicaciones mejoran significativamente con un cambio en nivel L4 (capa de transporte). La lección número 1 derivada de esto es que no siempre la aspiración máxima debe ser ganar mayor ancho de banda, a veces un ajuste en el diseño del software de control puede ser más relevante en beneficios y hasta alterar menos la infraestructura física ya existente. Una alegría para el usuario, menos costo para el.
Sorprendentemente, esas notables ventajas de este moderno protocolo QUIC, que opera en modo orientado a conexión, se apoyan en el funcionamiento inferior del viejo Protocolo de Datagrama de Usuarios (UDP), que se diseñó en 1980 bajo un criterio opuesto, que es poco confiable, muy simple y no solventa casi nada de las imperfecciones de la red, únicamente hace “su mejor esfuerzo”. Un viejo truco de la ingeniería de redes, que muestra cómo el software bien articulado, entre varias entidades de comunicación, puede aprovechar el poder de cómputo y velocidad de transmisión física para generar una red virtual estable y con pocas fallas. La lección número 2 es que en la Internet moderna coexisten y funcionan tecnologías actuales con otras que datan hasta de 70 años. Es una amalgama de cosas viejas y recientes, y eso debería ser considerado con atención en los currículos de estudios universitarios.
Por otra parte, expertos estiman que al menos el 10% del tráfico web está usando QUIC. En algunas plataformas de Proveedores de Acceso a la Internet (ISP) se tienen datos de que el porcentaje es el doble. Así pues, se puede entender que esto genere atención en aquellos sistemas que vigilan y bloquean tráfico en tiempo real. Más aún, si las conexiones cruzan naciones con posturas ideológicas opuestas, donde la información que llegue o salga, puede producir efectos no deseados para algún gobierno. Ese es el caso de la gran muralla digital de China, más conocido por el “Gran Firewall” (GFW), que resguarda y regula las comunicaciones de los internautas chinos, inmersos físicamente en la nación asiática.
Lo peculiar de este sistema de seguridad es que según los estudios conocidos del área, a pesar del enorme volumen de carga que debe procesar, resulta bastante efectivo en sus prestaciones. Para tener sentido hoy, como un verdadero guardián de la red, las arquitecturas de “firewalls” de nuestros días deben examinar cada mensaje “en el vuelo”, buscando patrones de irregularidades en la carga útil (“payload”) del nivel L7 (capa de aplicación) y aplicando reglas de control de acceso en L4 y L3 (capa de red).
En modo semejante a como sucedió con la gran muralla física de ese gran país de oriente, las avalanchas peligrosas se detectan por el volumen de tráfico en las rutas próximas, pero las contaminaciones encubiertas, demandan reconocerlas en cada viajero que se presenta ante la alcabala. Lección número 3, los ataques de negación de servicio se controlan por desvíos o bloqueos en los caminos y ello se procesa en ámbitos de trayectorias, pero la censura y el software maligno (“malware”) que tanto nos angustia, requiere granularidad en el control.
Es por eso que las peticiones e intercambios con QUIC vienen siendo estudiadas por el GFW oriental desde inicios del año pasado y según las reglas técnicas de seguridad que posee, pueden incluso ser filtradas o bloqueadas. La actividad del GFW chino ha mejorado desde simple filtrado de direcciones del Protocolo de Internet (IP) o envenenamiento de consultas al Sistema Nombre de Dominios (DNS), hasta un nivel que parece emplear patrones adaptativos a los picos de tráfico presentes. También hay evidencia de que puede capturar el primer paquete QUIC, encapsulado en conexiones protegidas del protocolo de Capa de Transporte Segura (TLS), para descifrar el destino. Luego, si el sitio apuntado está vetado en una lista negra, entonces el GFW bloquea la comunicación. Nos guste o no, en general cada nación impone sus políticas de seguridad sobre el ciberespacio que le compete. En el caso de EEUU, esta nación incluso se reserva su derecho de aplicar “cibersanciones” a quienes atentan contra sus elementos críticos o sensibles de su “ciberdominio”. Si desea profundizar en esto, lea la última orden ejecutiva que en esta misma área tecnológica, promulgó el presidente Trump a inicios del pasado Junio. Lección número 4, si es mi casa, lo que allí impera son mis reglas. Aún así, en modo parecido a lo que aún predomina entre ciertos territorios entre naciones vecinas, algo complicado en la red de redes es acordar para todos, dónde comienzan y terminan las “ciberfronteras”.
Ahora bien, lo novedoso de QUIC es que varios investigadores han descubierto que, dado su diseño, los paquetes que se intercambian viajan encriptados y esto va más allá de únicamente cubrir datos, llegando también a ocultar ciertos metadatos. Usa para ello el algoritmo de cifrado conocido como Encriptamiento Avanzado Simétrico (AES), mientras que la clave es negociada por TLS y se deriva bajo la supervisión de un “observador pasivo”. El relevante campo Indicación de Nombre del Servidor (SNI) se transmite cifrado, por lo que cualquier pretensión de bloqueo de algún control de seguridad, por ejemplo, por razones de vetar los destinos prohibidos, exige descifrar su contenido. El GFW puede acometer esas tareas y esa es nuestra siguiente lección, la número 5, no creas que por estar cifrando tus comunicaciones verdaderamente nadie puede verte. Dicho de otro modo, en tecnología digital también debes separar ciencia y publicidad.
Ahora bien, en este complejo panorama computacional también surge una posibilidad inquietante para los defensores chinos que es el talón de Aquiles de todas las protecciones tipo “firewall”. Se trata de sobrepasar las capacidades reales de ejecución que pueden poseer los que protegen, en situaciones de ataques de saturación con señuelos. Y es que recientemente se han experimentado con sistemas que logran degradar la tasa de efectividad del GFW, hasta un modo donde deliberadamente se puede sobrepasar el control que este pretende aplicar. Usando un programa público y compartido a través de GitHub®, que genera tráfico simulando ser un Cliente QUIC, pero que permite adaptar el ataque a las respuestas y latencia del GFW, se logró descubrir parte de la lógica de las operaciones y rastreo del GFW. Además se pudo identificar puntos y operatividad de los elementos de filtrado.
Posteriormente, ese conocimiento fue aprovechado para constituir un “arma de software” que ataca la funcionalidad del GFW, logrando perjudicar su servicio de disponibilidad. Esto puede potenciar escenarios donde al maximizar los falsos positivos, el GFW bloquea todos los usuarios y se constituye en un enorme obstáculo que cierra por completo el perímetro que supuestamente protege. Como consecuencia, el control podría requerir ser desactivado para regresar a la normalidad. Otro caso fue donde se saturó la capacidad del GFW y se plantearon estrategias para rodear los controles, hasta un nivel de evasión que permitió hacer enlaces e intercambios con sitios originalmente vetados. Aunque inicialmente los investigadores compartieron sus primeros resultados con las autoridades chinas y los segundos, con los grupos adversos a la censura del gobierno asiático, el trabajo académico ya está disponible para todos los científicos del mundo. La dura lección número 6 es que contrario a lo que muchos creen, manipular inteligentemente software de comunicaciones y no poseer fantásticos dispositivos electrónicos o recursos costosos, es la principal fuente de peligros para un perímetro de red. En manos de un experto una navaja puede ser más temible que un sable samurai en la de un novato.
En nuestros días, hay quienes siguen pensando que la tecnología es un mero asunto de ingeniería, otros suponen que únicamente los expertos deben decidir en un campo tan complejo. A pesar de estas visiones, hechos muestran que con una tendencia creciente las mayorías se están viendo afectadas por las consecuencias y efectos de cómo se gerencia, administra y emplea la tecnología digital.
El mundo ha cambiado y las suposiciones de antaño, con “hackers” de sombreros de colores como villanos, hace tiempo que fueron sustituidos por gobiernos y poderosas empresas. Recuerde el “affair Stuxnet” y busque el rol activo de Palantir® como fuente común de instrumentos sofisticados para las agencias de inteligencia de poderosos países del mundo. La sombría lección número 7 afirma que actualmente controlar la inseguridad de tu “ciberdominio”, es un asunto que se enmarca en la dinámica y conflictiva geopolítica mundial. Si usted usa la tecnología de otro y no la conoce a cabalidad, puede resultar lastimado.
Si un atacante es un gobierno, altamente motivado, ingenioso y con suficientes recursos, no esperes que tu defensa, sin otro gobierno que la sustente a diario, por inteligente, moderna y costosa que sea se pueda sostener. Esto no es un asunto aislado de adquirir productos de seguridad de firmas o fabricantes reconocidos, este ecosistema es mucho más complejo y si uno no cuida bien los pasos puede caer en contradicciones que perjudican y luego resultan obvias. Se nos viene a la memoria un extracto de un reconocido artículo de tres notables profesores venezolanos de seguridad de computadoras y redes, Marco De Vivo, Gabriela Olaizola y Germinal Isern, quienes décadas atrás publicaron una interesante sentencia: “De modo, que a pesar de que pueda parecer extraño, es posible tener una política de seguridad débil aún cuando se empleen reconocidos mecanismos de protección”.
Yo apostaría a que los chinos deben estar haciendo re-ingeniería.
Autor: Miguel Torrealba Sánchez.
Universidad Simón Bolívar. Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
