Vulnerabilidades y exploits

En 2016 noté algo extraño en Twitter: sin contexto ni explicación, Andrea Shepard, una desarrolladora de Tor, había publicado una cadena de letras y números al azar. Unos días más tarde, saltó la noticia de que el Proyecto Tor había cortado lazos con Jake Appelbaum, un elogiado activista y el más destacado de sus desarrolladores, en respuesta a las acusaciones de acoso sexual. Shepard volvió a tuitear, revelando que el misterioso mensaje era un hash SHA-256 de la frase: «Parece que un violador es un violador de más».

Era una acusación velada, que omitía el nombre de Appelbaum o el contexto de sus presuntos actos – una declaración que sólo tuvo un golpe cuando se alineó junto a la declaración oficial del Proyecto Tor y las muchas cuentas que siguieron. Podría haber sido un momento Weinstein, pero en 2016, sus acusadores se encontraron con el acoso de muchos sectores. Aunque Appelbaum había sido una conocida escalera desaparecida durante muchos años, el momento fue una «controversia», no un ajuste de cuentas.

En 2017 hemos pasado de las palabras veladas ocultas tras el cifrado, a que las víctimas tuiteen sus cuentas y nombren a sus presuntos agresores. Las redes de susurros se han convertido en transmisiones en voz alta, e incluso -por un breve y desastroso momento- en hojas de cálculo públicas de Google sobre las fechorías.

Este momento post-Weinstein no tiene que ver solo con el sexo, o con el género, pero aun así, casi toda la reciente avalancha de acusaciones se han dirigido a hombres y casi todas las víctimas (con algunas excepciones notables) han sido mujeres. Pero no vivimos en un mundo binario donde los cromosomas y los fenotipos pueden determinar las propensiones morales. No hay nada inherente a los hombres que los convierta en depredadores sexuales; el acoso sexual, especialmente del tipo que se está revelando una y otra vez en este momento, es un fallo cultural sistémico en el que los hombres reciben repetidamente un pase cuando no lo merecen.

El sistema está encarnado por los ejecutivos de Miramax que se mantuvieron al margen y no dijeron nada; los departamentos universitarios que permitieron que sus hombres problemáticos se marcharan en silencio y se convirtieran en los hombres problemáticos de otras universidades; el personal de recursos humanos que disuadió a las víctimas de escalar sus quejas. El sistema no siempre victimiza activamente a las mujeres, pero perdona sistemáticamente a los hombres cuando se niega a perdonar a quienes no son hombres.

Esta estructura es dolorosamente visible dentro de la comunidad tecnológica: de hecho, el infame «Memorándum Damore» de este verano, un manifiesto escrito por un empleado descontento de Google que plantea que las diferencias biológicas hacen que las mujeres sean menos aptas para la programación informática, no sólo ofrece una visión de una desagradable corriente subterránea dentro de Silicon Valley. También expone la ciencia chapucera y el pensamiento perezoso que los hombres de la industria saben que pueden salirse con la suya. Los hombres, especialmente los blancos, pertenecen a la industria tecnológica, después de todo, son la industria tecnológica. Todos los demás tienen que demostrar que pertenecen a ella.

El momento posterior a Weinstein ha dejado a muchas mujeres pensativas y ansiosas, esperando que caiga el otro zapato, esperando que una serie de acusaciones poco sólidas desencadenen una inevitable reacción. «Un hombre despedido injustamente por un golpe mal interpretado en el ascensor podría transformarnos a todas las mujeres en agresoras merodeadoras, y a los hombres en nuestras desventuradas víctimas», escribe Rebecca Traister. Pero también nos ha hecho preguntarnos si algo va a cambiar. ¿Se trata sólo de una breve ventana de transparencia durante la cual los peores agresores asumen toda la culpa de lo que obviamente es un profundo fracaso institucional? Unas cuantas docenas de hombres de alto perfil han caído en desgracia; el público ha leído los relatos de primera mano de sus víctimas con horror, repugnancia y rabia, pero ¿ahora qué?

Extrañamente, un rincón del sector tecnológico ha producido la señal más prometedora de que el momento post-Weinstein no es sólo un momento, y no es del sector corporativo, donde el acoso sexual está legalmente definido y teóricamente vigilado por los departamentos de recursos humanos. En noviembre, The Verge informó de que Morgan Marquis-Boire, un investigador de seguridad estrella, había violado supuestamente a varias mujeres, con acusaciones que abarcan más de una década. Y la comunidad de la seguridad de la información -que tiene una reputación de misoginia atroz incluso para la tecnología en general- ha respondido en gran medida con creencia e incluso con un examen de conciencia.

Este cambio específico de valores es un marcador importante de lo mucho que han cambiado las cosas. La seguridad de la información, como industria y como cultura, no sólo sufre el sexismo que es endémico en muchas industrias, o incluso el sesgo implícito impregnado en el sector tecnológico dominado por los hombres. El culto al hacking, después de todo, también valoriza la violación no consentida de los límites. La cultura hacker ha hecho recaer durante mucho tiempo en el objetivo la responsabilidad de no ser hackeado en primer lugar: la culpabilización de la víctima está profundamente arraigada en los valores de esa subcultura. No es de extrañar que esta actitud tóxica se traslade al mundo real. Todos los que han asistido a DEFCON, la mayor conferencia de hackers de Norteamérica, han sido advertidos de que no deben conectarse al wifi del hotel y de que deben llevar dispositivos de grabación a la conferencia. Es un rito de paso. Pero si eres una mujer que ha asistido a DEFCON, probablemente hayas recibido la segunda perorata extra de alguien que sabe: no lleves falda, no te quedes hasta muy tarde en las fiestas, vigila tu bebida en todo momento. Si te hackean en una conferencia de hackers, bueno, ya estás advertida. Si te violan en una conferencia de hackers, bueno, estabas advertida.

Esa toxicidad cultural es aún más preocupante dada la enorme importancia que la cultura de la infoseguridad ha tenido para la tecnología dominante. En 2017, Silicon Valley puede ser un respetable oligopolio de corporaciones abotonadas, pero para bien o para mal, su alma se ha nutrido durante mucho tiempo de los extraños y salvajes valores atípicos que conforman la subcultura hacker. El amor por moverse rápido y romper cosas es poco más que la idolatría de los hackers, y por eso las peculiaridades y debilidades de una pequeña subcultura infunden la tecnología que impulsa el mundo moderno. El legendario hacker y phreaker Captain Crunch solía correr con Steve Jobs y Steve Wozniak; la estrategia de código abierto de Google desciende de un movimiento ideológico encabezado por un hombre tambaleante con barba de mago que se come cosas del pie. Personas como Morgan Marquis-Boire, que trabajó en Google durante muchos años, están a caballo entre ambos mundos, inyectando los valores de los hackers en las políticas corporativas oficiosas. El HTTPS no se habría extendido por la mayor parte de la web si los jefes de seguridad de todo el Valle no fueran también devotos de Black Hat y DEFCON; la postura de Apple contra el FBI fue impulsada por la ideología de sus bases.

En la seguridad de la información, como en muchas otras industrias en las que el acusado es una figura prominente, las acusaciones pueden convertirse en una competición de capital social, y el acusado casi siempre gana a sus acusadores. Pero en esta comunidad, dar un pase a un acusado de violación se ha enmarcado a menudo como un imperativo moral con cuatro palabras: «Hace un buen trabajo». Se asume que el talento es escaso y que la mala conducta sexual debe tolerarse por el bien de la sociedad. Apenas se tiene en cuenta lo que perdemos al no creer en las víctimas: sus contribuciones técnicas y sociales, cualquier contribución futura de personas que razonablemente decidan evitar una cultura tóxica, e incluso más allá de eso, la silenciosa erosión de la confianza entre los espectadores. La complicidad nos deja una mancha a todos.

Pero las cosas están cambiando. La respuesta a las acusaciones contra Marquis-Boire contrasta notablemente con la respuesta a las acusaciones -que van desde el acoso menor hasta la violación- formuladas contra Jacob Appelbaum. La presencia de Appelbaum en la esfera pública se ha visto gravemente reducida, pero su carrera en el ámbito de la seguridad de la información continúa: actualmente está realizando un doctorado en la Universidad Tecnológica de Eindhoven, en los Países Bajos, bajo la dirección de Tanja Lange y el célebre criptógrafo Daniel Bernstein.

«Se hablará con la gente que importa, en voz baja», escribió Lex Gill en 2016, esbozando lo que, hasta ahora, ha sido una respuesta estándar a las acusaciones de abuso. «Dirán a los demás cómo lo está ‘destruyendo’, cómo ha sufrido bastante. Es ‘complicado’, pero no están en libertad de discutir. Lo mantendrán en nómina, en algún lugar».

Casi todas las personas de la escena de la infoseguridad con las que he hablado han expresado su sorpresa por el hecho de que Marquis-Boire haya sido rechazado universalmente, mientras que Appelbaum -a pesar de que su comportamiento fue un secreto a voces durante muchos años antes de las acusaciones públicas- no lo fue. «Es tentador pensar que todos hemos aprendido algo de lo que pasó con Jake», me dijo un activista.

Es posible que Marquis-Boire vuelva a aparecer; después de todo, Appelbaum está reapareciendo en sus antiguos círculos de activistas, sin pedir disculpas. Pero hay algo en la reacción de la comunidad que parece muy diferente.

Tal vez las acusaciones contra Marquis-Boire eran más creíbles simplemente por el hecho de llegar en medio de revelaciones en toda la sociedad. Y Marquis-Boire no fue la única figura prominente de la infoseguridad acusada de conducta sexual inapropiada en el momento post-Weinstein: Buzzfeed informó en noviembre de que el Capitán Crunch, cuyo nombre legal es John Draper, había sido expulsado de las conferencias de seguridad por acosar sexualmente a hombres jóvenes, a veces incluso a adolescentes.

Y las revelaciones en torno a Morgan Marquis-Boire llegan tras las continuas historias de acoso sexual también en la corriente tecnológica. Para cualquiera que esté familiarizado con los repetidos fracasos de la industria tecnológica en torno a la misoginia sistémica, la publicación del blog de Susan Fowler podría haber sido impactante, pero no sorprendente. Lo que sí fue sorprendente fue la falta de duda en el tribunal de la opinión pública. Si una mujer en el sector tecnológico alega mala conducta sexual y discriminación, la primera pregunta que se hace es si era una zorra y una incompetente. Los desarrolladores de alto nivel son culpados de su propio acoso, e incluso las capitalistas de riesgo relativamente privilegiadas, como Ellen Pao, se enfrentan a ataques ad hominem sobre su carácter y capacidades personales.

Fowler, en cambio, fue creída casi universalmente. La sorprendente reacción del público se convirtió en un momento decisivo: semanas más tarde, las empresarias hablaron a The Information y a The New York Times de haber sido acosadas sexualmente por capitalistas de riesgo, lo que provocó dimisiones e incluso el cierre de una empresa de capital riesgo. Las empresarias se sinceraron con la prensa: Fowler las había inspirado. Algo había cambiado. Como se había creído a una mujer, más mujeres se sintieron preparadas para denunciar.

Como más mujeres denunciaron, los hombres bien intencionados pero poco observadores ya no podían ignorar el sexismo como un problema sistémico. Lo que les ocurría a sus compañeras no eran incidentes individuales de mal comportamiento: era una acusación contra toda una industria. Y una vez que pudieron ver eso, se sintieron menos inclinados a dudar de las denunciantes de inmediato.

Es un gran cambio, pero en el mundo corporativo, las cosas aún parecen cambiar lentamente. Los consejos de administración, las salas de reuniones de los ejecutivos, las empresas de capital riesgo y las filas de los trabajadores técnicos más preciados están dominados por los hombres, especialmente los blancos. Pero de nuevo, los vientos de cambio se agitan, saliendo del lugar más improbable: la infoseguridad.

Los hackers son el alma de la industria tecnológica y los propios hackers están cambiando: los héroes caen, el capital social se redistribuye y los depredadores sexuales son los nuevos enemigos del día.

«¿Quién más hay? ¿Cuántas personas más conozco que son un peligro para la gente de la comunidad? Me asusta», me dijo un investigador de seguridad.

La paranoia está muy arraigada en la infoseguridad; es casi un requisito del trabajo. Después de perfeccionar ese sentido profesional del miedo contra los gobiernos y las corporaciones durante años, de repente la paranoia del sector se ha vuelto hacia dentro, enfocada con láser hacia sus héroes masculinos.

En una conversación con otro investigador de seguridad que anteriormente había admirado a Morgan Marquis-Boire, le aseguré de improviso que no era como si todos los hombres de la infoseguridad fueran violadores, que no tenía que ir por ahí con un sombrero de papel de aluminio, preocupado por todos los violadores secretos que le rodeaban. Se rió amargamente. «Es demasiado tarde, Sarah. Ya llevo el sombrero de papel de aluminio».

En retrospectiva, me pregunto por qué me tomé un momento para tranquilizarlo. Tal vez eso se debió a un instinto inculturado de añadir «no todos los hombres» cuando se habla de sexismo, tal vez se debió a mi propio y profundo deseo de dejar de lado mi exacerbada paranoia post-Weinstein. No todos los hombres son violadores, pero cualquier hombre puede serlo, y eso es algo que sé y trabajo activamente para no saberlo. Estoy harta de pensar, hablar y escribir sobre el abuso, pero la conversación nacional es omnipresente e ineludible y, a pesar de mi cansancio, ya es hora.

Desde el otoño, he notado que los hashtags de SHA vuelven a aparecer en mis redes sociales: hashtags de las iniciales de los hombres o a veces de sus nombres completos. Estas cadenas no se pueden descifrar, pero si sabes o sospechas cuál es la solución, puedes intentar ejecutar el mismo algoritmo sobre ellas y ver si el hash coincide. Las mujeres describen cómo ellas o una amiga fueron acosadas o agredidas, describen en términos vagos al hombre en cuestión. Y luego publican el hash, para que sus amigas puedan comprobar si han sido atacadas por el mismo hombre.

Es un paso adelante con respecto a la hoja de cálculo «Hombres de mierda de los medios de comunicación» que se hizo viral hace un par de meses, un medio de compartir información que es bastante fácil entre las mujeres que son capaces de abrir una ventana de línea de comandos y ejecutar SHA-256 sobre el nombre de un hombre, mujeres que se ocupan profesionalmente de los secretos, la privacidad, la verdad y la verificación. Son mujeres cuyas capacidades técnicas, cuyo lugar en su mundo, han sido cuestionadas durante mucho tiempo. Han sido tratadas como falsas, posers, intrusas y caramelos. Pero están aquí y siempre han estado aquí. Y cuando todos los hombres malos que «hacen un buen trabajo» hayan caído de sus pedestales, esas mujeres están esperando, listas para heredar la industria tecnológica.