¿Ciencia o arma? Censys, en la encrucijada entre hackers y gobiernos

Censys Inc., desarrolladora de la herramienta homónima para mapear Internet, advirtió sobre intentos de organismos estatales de usar su programa de investigación haciéndolo pasar por proyectos académicos. La empresa presentará documento en la conferencia SIGCOMM, donde hablará de las dificultades para verificar solicitudes y de la evolución de su servicio.

Censys fue creada en 2015 como un proyecto universitario para analizar los servicios accesibles en la red y proporcionar datos a la comunidad investigadora. En 2017 el desarrollo se convirtió en una empresa comercial que elabora un mapa de Internet y afirma que sus datos ayudan a los equipos de seguridad a identificar vulnerabilidades con antelación y a reaccionar antes de que se conviertan en un problema. A pesar de la comercialización, el programa de apoyo a investigadores sigue vigente, pero ha enfrentado serios desafíos.

Los autores del informe reconocen que verificar la identidad de científicos conocidos, que publican en Google Scholar o participan en conferencias como BlackHat y BSides, es relativamente sencillo. Sin embargo, esas solicitudes representan solo una pequeña parte. El flujo principal proviene de estudiantes y profesionales independientes sin reputación pública. En esos casos Censys evalúa las solicitudes según varios criterios: la existencia de un plan de investigación detallado, la intención de publicar los resultados y la confirmación de que el trabajo se realiza en nombre de organizaciones no lucrativas o universidades. Las decisiones las toma un equipo interno que examina cada petición.

El proceso a menudo se complica. Muchos estudiantes presentan planes mal estructurados, y sin largos intercambios es difícil distinguir a un investigador novato de quien oculta motivos reales. La barrera del idioma agrava la situación con solicitudes internacionales, y los casos acumulados muestran que en algunos países los recursos universitarios se usan como cobertura para operaciones ofensivas de organismos gubernamentales. Esto convierte la decisión de conceder acceso en un asunto político. Además, el personal de la empresa ha registrado intentos de utilizar el programa investigador para localizar sistemas vulnerables con fines de explotación.

Para reducir riesgos, Censys introdujo varios niveles de acceso: algunos usuarios reciben los datos con retraso o solo un conjunto limitado de información. Pero incluso ese modelo no ha evitado problemas. El documento señala que los administradores se enfrentan a correos agresivos y ofensivos, acusaciones e incluso amenazas, lo que vuelve su labor comparable a la difícil tarea de mantener grandes proyectos de código abierto.

El informe también revela la evolución de la plataforma. Si en 2015 el sistema permitía ver alrededor de 275 millones de servicios IPv4, hoy la cobertura ha crecido hasta 794 millones. Se han mejorado las capacidades de escaneo de IPv6 y de recursos HTTP(S) por dominio. En la empresa subrayan que la precisión de su cartografía es superior a la de competidores como Shodan, Fofa, ZoomEye y Netlas. La finalidad de la publicación es documentar la historia y la experiencia de Censys en la literatura científica y llamar la atención de la comunidad de redes sobre los retos que surgen.