Confundir la privacidad con la seguridad: el error fatal

En un vuelo de larga distancia reciente, aproveché la oportunidad para devorar un volumen, francamente, descabellado de episodios de podcasts. Mantenerme al día con tantas series diferentes significa que nunca me falta algo para escuchar, con una conversación convincente, aunque unilateral, con solo tocar la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Archivo de caso. Esta serie dramática y sin límites (con un presentador anónimo y con una voz inquietante) profundizó en un tema que fascina incluso a los tecnólogos más expertos y expertos: la red profunda y el cataclísmico ascenso del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road sin duda habrían seguido las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y vanguardista.
La Ruta de la Seda: lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen de TL; DR es que un hombre creó un sitio web comercial en la red profunda, oculto a las miradas indiscretas del público en general e invisible sin el uso de un software especial: el navegador Tor, para ser exactos. Al principio, el sitio solo ofrecía hongos mágicos de cosecha propia, pero, prácticamente de la noche a la mañana, explotó con vendedores que ofrecían de todo, desde drogas peligrosas hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio usó el seudónimo inspirado en Princess Bride, Dread Pirate Roberts. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una gran cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, han hecho que Bitcoin se gane la reputación de ser la moneda preferida de los traficantes de drogas; un apodo que apenas está empezando a perder).
Sin embargo, el experimento antisistema de Dread Pirate Roberts fue una bestia en sí mismo. Pronto, los asesinos a sueldo empezaron a anunciar sus servicios. La gente mala hacía cosas malas... y estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un asesino a sueldo anunciado para deshacerse de un antiguo empleado. Resumiendo, esta fue una de las muchas decisiones imprudentes que provocaron su perdición. Lo han desenmascarado bajo el nombre de Ross Ulbricht y actualmente se está pudriendo en una celda de una cárcel estadounidense, cumpliendo una doble condena a cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo lo atraparon si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un programador bastante malo. El sitio de la Ruta de la Seda en sí era como una vieja barcaza con goteras abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad), no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio ilegal de tráfico de drogas, probablemente no sea fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de habilidades - incluso publicó con su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de «frosty» menos de un minuto después de publicarlo, pero está claro que esto no ayudó... de hecho, probablemente causó más daño: la clave de cifrado del servidor de Silk Road terminaba con la subcadena «frosty @frosty «, lo que lo implicó aún más cuando el FBI se enteró de su olor.
A pesar del enorme impulso a favor de la privacidad, con mensajes cifrados, moneda e instrucciones explícitas para proteger el propio contrabando durante el tránsito y la entrega, el sitio no era la fortaleza impenetrable de la fantasía libertaria que Ulbricht podría haber imaginado. Los que tenían las habilidades necesarias (léase: programadores empleados por el FBI) lo desentrañaron de manera lenta pero segura para revelarlo todo... incluso las identidades de miles de personas que realizaban transacciones en el sitio. Es posible que quienes compraron artículos de mala calidad hace muchos años sigan recibiendo en algún momento un golpe del brazo largo de la ley.
El FBI publicó documentación describiendo cómo pudieron penetrar en Silk Road, con la explicación general de que utilizaron una filtración de direcciones IP. Una mala configuración de la página de inicio de sesión de Silk Road reveló la dirección IP y, por lo tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de hackeo clandestino. Un error de novato, sin duda, y que finalmente llevó al FBI directamente a buscar a Ross Ulbricht.
Se especula que esta falla, si es que existió, habría sido descubierta mucho antes de este momento por uno de los muchos profesionales de seguridad que monitorean el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
«No hay forma de que puedas conectarte a un sitio de Tor y ver la dirección de un servidor que no sea un nodo de Tor. La forma en que intentan hacer creer a un jurado o a un juez lo que ocurrió simplemente no tiene sentido desde el punto de vista técnico».
Cubrilovic continúa aludiendo a que la información puede haber sido obtenida mediante prácticas ilegales de hackeo. Esa práctica parece ser la inyección de SQL, un rumor no probado que se ha discutido como método plausible de extracción en muchos sitios desde.
Las legalidades que rodean las tácticas del FBI son una discusión completamente diferente. El hecho de que se pudiera obtener la información es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que los usuarios suelen entender que el sitio es «privado». Cuando se confunde la privacidad con la seguridad, sin duda aumenta la posibilidad de exposición a vulnerabilidades.
También existe la posibilidad de que el sitio siguiera funcionando (al menos en su forma original; ha resucitado varias veces e incluso hay sitios más grandes como este que funcionan ahora mismo) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que se convirtiera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con conocimientos técnicos ligeramente superiores a la media del planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la manera de abrir la puerta.
No eres un capo de la droga, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste y comprensiva, pero es un fascinante estudio de caso sobre las diferencias matizadas entre la privacidad y la seguridad verdadera y sólida del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas (piense en los registros médicos digitalizados o incluso en los millones de números de tarjetas de crédito que tiene un banco grande), pero si no se protegen también con un desarrollo de software férreo, un atacante podría seleccionar esa información (e, irónicamente, terminar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener un software que sea vulnerable a los ataques de inyección de SQL y a otras vulnerabilidades del Los 10 mejores de OWASP, por lo que es vital que estén preparados y mitigados de manera eficiente. Si los desarrolladores están capacitados para programar de forma segura desde el principio del proceso, estas fallas no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y en capacitar a sus equipos de desarrollo para que puedan programar de forma segura. Podemos mostrarle cómo hacerlo de una manera divertida, medible y gamificada. ¿Estás preparado?
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.