We trust in security

Blog

We trust in security - Blog
Humbert Costas
De cómo GDPR puede aumentar el precio de las criptomonedas

Hecha la ley, hecha la trampa

Así de entrada ya sé que parece un titular muy sensacionalista, pero dejen que trate de explicarme.

Como ya sabemos, la normativa GDPR está vigente desde el pasado 25 de mayo. Todos hemos recibido decenas de correos, incluso hoy en día siguen llegando algunos que van con retraso. Y, ¿ahora qué? Bueno, pues ahora tenemos internet con mayor seguridad respecto la privacidad de nuestros datos. Pero aún es muy temprano para cantar victoria y clamar que ha sido todo un éxito, porque... ¿y las consecuencias?

No solo las multas que están por llegar por el incumplimiento de la normativa, sino las repercusiones directas en servicios asociados a la privacidad de los datos. Por ejemplo: todos los registradores de dominio que ofrecían un servicio por ocultar los datos administrativos y técnicos de quien registraba un dominio en internet, ya no podrán cobrar por ello.

Un momento... para, para, ¡para! ¿Te has dado cuenta de lo que esto puede implicar? Gracias a la GDPR el anonimato del registro de dominios en internet queda garantizado, para lo bueno y para lo malo.

GDPR y el anonimato de los dominios en internet

Aquí hay algo que no encaja, no puede ser que no se haya tenido en cuenta. Vamos a tirar del hilo para ver quién gestiona en internet el tema del registro de dominios.

Como ya sabréis, u os podéis imaginar, esto no es fácil e implica a muchos actores relacionados entre ellos jerárquicamente (y un poco anárquicamente también).

The Internet Corporation for Assigned Names and Numbers (ICANN) es la organización sin ánimo de lucro responsable de coordinar el mantenimiento y la gestión de diversas bases de datos relacionadas con los dominios de internet, garantizando la estabilidad y seguridad de las redes.

Uno de los servicios relacionados con la información de registro de dominios que ofrece la ICANN y los registradores es el llamado Whois. Este servicio permite conocer los datos de contacto de la persona u organización que ha registrado un dominio. Whois deberá adaptarse a la nueva regulación y, ¿le afecta la GDPR?

No conozco cómo funciona la ICANN por dentro, pero parece ser que hay algún que otro lio que hace demorar algunos proyectos. Desde 2012 existe un grupo de trabajo dedicado a la protección de datos y aún no se han puesto de acuerdo en cómo afrontar el problema. De momento han publicado una especificación temporal para el registro de dominios gTLD para aplicar a partir del pasado 25 de mayo.

Por si no ha quedado claro el problema: lo más probable sea que Whois no pueda justificar legalmente la publicación de información en base al consentimiento del registrante ni por el interés legítimo de la persona que busca información. El litigio legal sigue en pie a la espera de saber si las cortes alemanas aceptan la petición de la ICANN para preservar los datos de Whois.

Una ventana de ofuscación

Si finalmente Whois deja de ser un servicio público con información del registro de dominios, entonces, todo malware o ataque que necesite de un dominio para su éxito puede contar con el anonimato garantizado por la aplicación de la GDPR.

Ya veremos qué ocurre, pero hay que tener en cuenta que mientras no se pueda conocer el registrador de un dominio, el riesgo aumenta y se abre una venta de tiempo donde esta ofuscación hará́, sin duda alguna, que la picaresca de los ciberdelincuentes sepa aprovecharla.

De hecho, puedes comprobar tu mismo que los campos admin-c y tech-c, correspondientes al contacto administrativo y técnico, aparecen con contenido dummy en las bases de datos de registro.

~$ curl https://ftp.ripe.net/ripe/dbase/split/ripe.db.domain.gz | zcat | more
# The contents of this file are subject to
# RIPE Database Terms and Conditions
#
# http://www.ripe.net/db/support/db-terms-conditions.pdf
#

domain:         200.193.193.in-addr.arpa
descr:          Splitblock-200
descr:          Lucky Line, Ltd.
admin-c:        DUMY-RIPE
tech-c:         DUMY-RIPE
zone-c:         DUMY-RIPE
nserver:        ns.lucky.net
nserver:        ns.gu.kiev.ua
mnt-by:         AS3254-MNT
created:        1970-01-01T00:00:00Z
last-modified:  2011-02-04T10:33:38Z
source:         RIPE
remarks:        ****************************

De todas las tendencias de ciberamenazas, me quedo con las que predicen un auge de una nueva variante de ransomware: aquél que amenazará con publicar datos sensibles si no se paga un rescate. Esta vez no te salvará un backup ya que, en caso de ser publicados habrá́ que gestionar el incidente y además asumir las sanciones por infringir la GDPR, que pueden llegar a ser un 4% de la facturación anual.

Donde hay mal, hay capital

Los objetivos de los ciberdelincuentes pueden ser diversos, pero en la mayoría de los casos implican el movimiento de dinero negro.

La primera oleada mundial de ransomware tuvo un efecto secundario de publicidad sobre las criptomonedas. En los telediarios hablaban del RamonWare, del bitcoin, un conocido se vio afectado y te habló de él, el amigo de un amigo ganó millones... Casualidad o no, meses más tarde hubo una subida espectacular del precio del bitcoin.

Si las casualidades no existen, la inestabilidad mundial, el mal de las guerras y otra oleada de publicidad sobre las criptomonedas y el anonimato de los dominios puede crear un espacio propicio para el movimiento de dinero basado en criptomonedas.

No sé ustedes, pero yo me ahorraré un par de cenas y las invertiré en un buen libro para alejarme un poco de estas locuras.