¿Para Cuándo el Seguro Obligatorio en Internet?
A las empresas que venden seguridad de sistemas de información, ya sea en forma de producto o de servicio, es normal que les interese que se conozcan determinadas cifras, como el número de ataques, el ritmo de aparición de nuevas amenazas, la cantidad de web infectadas diariamente, valoraciones de las pérdidas debidas al menoscabo de la reputación, estimaciones del riesgo, número de virus existente, etc.
Afortunada o desgraciadamente, según se mire, el impacto que provocan estas cifras en la población digital es mínimo, no consiguiéndose el efecto deseado: que el nivel de implementación de medidas de protección aumente.
Como os podéis imaginar, yo soy partidario de que la población digital se interese por cuestiones de seguridad de SU información, dado que llevo mucho tiempo observando, analizando e investigando la situación y los riesgos no son pocos, sino más bien, todo lo contrario, son muy numerosos y de diversa índole. Pero pocos son los realmente preocupados.
Parece que de nada sirve abrumar con información susceptible de distintas interpretaciones si no se percibe primero la realidad de la situación. Es del todo inútil tratar de vender protección si la gran mayoría de las personas que utilizan los sistemas de información no son capaces de comprender los mecanismos que se esconden en el complejo entramado digital, que no es sólo Internet.
Desgraciadamente, la situación es más grave de lo que la pintan, por el carácter discreto de la gran mayoría de los delitos informáticos que se están cometiendo. Aparte de los miles y miles de virus nuevos que aparecen cada día (y sus correspondientes mutaciones, que en muchas ocasiones se cuentan, por interés, como virus diferentes), hay otras muchas formas de ataque que pasan totalmente inadvertidas, no sólo para el ciudadano digital medio, sino también para muchos profesionales noveles de seguridad. El panorama se está complicando a pasos agigantados, porque cada vez más, los crackers están protegiendo mejor sus “conquistas”. Voy a explicarme con algún que otro ejemplo más concreto.
Si fueras un cracker, que gana dinero con actividades maliciosas, estoy seguro de que tratarías, por todos los medios, de explotar a tus víctimas lo máximo posible, sobre todo si conseguir romper su seguridad te ha costado mucho. Por tanto, lo que menos te interesa es que tu víctima se entere de tu presencia en su red o dispositivo (ya sea un ordenador, una tablet o un teléfono) y si para ello tienes que actualizar su software para evitar que otros puedan entrar, lo harás. Lo que trato de decir es que las conquistas se defienden porque se pueden explotar de múltiples formas y compartir víctimas significa una disminución de los ingresos. Veamos otro ejemplo, aparentemente aislado.
Poneos en situación. Para introducir un virus en una empresa preocupada por su seguridad, habrá que hacer uso de alguna que otra triquiñuela. No va a ser suficiente con enviar un archivo infectado vía e-mail (aunque siempre hay alguien despistado). Una de las vías más discretas que existen de colar un archivo malicioso en una empresa es forzar a sus empleados a visitar determinadas webs, algo que a veces no siempre es fácil. Sin embargo, para aquellos crackers pacientes y experimentados, resulta más sencillo averiguar los intereses de ciertos empleados, gracias a la infinita información que proporcionan a través de las distintas redes sociales (por decir una vía). La situación cambia mucho, porque el cracker se encuentra con que la seguridad que tiene que vulnerar es la de una web que no tiene relación alguna con la empresa objetivo y, muy probablemente, contará con un nivel de protección bastante inferior.
Recapitulando, la tendencia actual es la de conseguir el control del mayor número posible de webs, para posteriormente disponer de un amplio abanico de posibilidades, dependiendo del perfil a atacar. Es decir, que el objetivo de un ataque, pongamos como ejemplo un/a empleado/a de un banco, jamás sospecharía que se están robando sus credenciales de acceso en una web de ocio o profesional, porque es él o ella mism@ quien entra por iniciativa propia.
El problema amig@s, es que las empresas (entre las que se encuentran numerosos proveedores de alojamiento) no están dedicando tiempo ni atención suficiente a blindar sus páginas y servidores webs, porque piensan que no tienen nada que proteger. De hecho, recientemente, avisé a una organización internacional sobre un problema en uno de sus servidores web. Le indiqué que era recomendable reforzar la seguridad en ese servidor, a lo cual respondieron que por no contener información confidencial, que no era necesario y que muchas gracias.
En principio, puede parecer que si no hay nada que robar, para qué protegerlo con medidas extraordinarias, ¿no? Pues aquí está el error. Los procesos de clasificación de información provienen de la disciplina de seguridad de la información FÍSICA, que antiguamente estaba enfocada a proteger archivos en formatos tangibles que no eran susceptibles de infectarse, principalmente archivos en papel. No obstante, en el mundo digital YA no se puede basar la clasificación de los dispositivos y sistemas atendiendo a la información que contienen o procesan por razones obvias. El hecho de que una inmensa cantidad de servidores web en Internet sean tan vulnerables permite que los crackers dispongan de una gama de posibilidades maliciosas extensa. Por una parte, los servidores y páginas web de empresas que no están bien protegidos, sirven de punto de entrada de malware (lo que vengo llamando virus de forma genérica durante todo el post). Por otra parte, esos mismos servidores desprotegidos o descuidados, sirven de herramienta de infección de otras empresas fuertemente protegidas, porque sus inocentes empleados las visitan como consecuencia de sus actividades privadas y/o laborales.
A pesar de los alarmantes titulares, como los de los recientes casos HeartBleed o ShellShock, la población sigue sin identificar la magnitud del problema, creyendo que una simple actualización junto con el preceptivo cambio de contraseña serán suficientes. Pero no es así, queridos lectores/as. Las fases del hacking no se acaban con la explotación de los sistemas, sino que los crackers se aseguran de infectar los sistemas vulnerados a un nivel tan profundo y discreto, que los esfuerzos de los administradores de seguridad por blindar sus servidores y sistemas es, bastantes veces, inútil. Vivir pensando que nuestras actualizaciones de seguridad surten efecto siempre antes de que alguien haya franqueado las medidas de seguridad implementadas es un planteamiento demasiado optimista (aunque dejando a un lado la diplomacia y la sutileza, el adjetivo más adecuado en entornos profesionales es “negligente”).
Es fácil que predominen los enfoques conformistas o conspirativos. Los primeros se refieren a aquellos individuos que por no percibir la gravedad de la situación de inseguridad, se conforman con su situación de desconocimiento, porque no parece haber motivo de preocupación. Los segundos, también por desconocimiento, atribuyen el alarmismo a maniobras comerciales destinadas al enriquecimiento de la industria de seguridad. Ambos puntos de vista me parecen lógicos dado que los criminales digitales persiguen la absoluta discreción en todas sus operaciones. Los continuos informes alarmistas de medios especializados, empresas de seguridad y organizaciones dedicadas a la ciberseguridad siguen sin tener el efecto deseado porque los ciudadanos digitales continúan sin sentir en sus carnes las consecuencias del crimen digital.
Los profesionales de seguridad de la información vamos a tener mucho trabajo, porque mientras unos se preocupen tanto por la seguridad y otros tan poco, las brechas de seguridad en hogares, empresas, industrias, organizaciones y gobiernos van a ser continuas, tanto si se detectan como si no. La seguridad digital es un proceso que debe enfocarse matemáticamente, pero los humanos somos humanos y no a todos nos gustan las matemáticas.
Sin embargo, tampoco nos gustan las multas como las de 100 millones de euros que se plantea la Comisión Europea en la redacción de la nueva Ley de Protección de Datos que el Parlamento podría aprobar el año que viene. Como siempre, las reacciones vendrán a consecuencia de sanciones, porque no es normal que el 87% de las empresas europeas, según Compuware, no estén ya preparadas para afrontar de manera seria la protección de los datos que manejan ¿Será entonces, para derivar el riesgo de pérdidas económicas que suponen las mencionadas cuantías, cuando empiece de verdad a implantarse lo que vengo denominando “infosurance”, es decir, un seguro para usar Internet, como el que tenemos que contratar obligadamente para conducir?
¿Qué pasa entonces con las PYMES o los autónomos que no disponen de una infraestructura suficiente para dedicar recursos a la ciberseguridad y mucho menos a tan desproporcionadas sanciones? ¿Y con las familias? Mientras no haya una concienciación uniforme y una respuesta uniforme, la situación de inseguridad continuará siendo preocupante. Ya hemos visto el ejemplo de las webs “poseídas” por los crackers como herramienta para lograr acceder a los ordenadores de infraestructuras críticas, bancos, ministerios, embajadas, cadenas de televisión, etc. Con semejante panorama, refiriéndome a las multas, que no os extrañe que las empresas traten de derivar la responsabilidad en acciones llevadas a cabo por sus empleados…
No sólo lo confidencial merece ser protegido. La seguridad de la información necesita que las distintas disciplinas de seguridad se solapen perfectamente sin dejar huecos y, aunque muchos de los conceptos tradicionales tengan cabida en el entorno digital y otros sean adaptables, no son dimensiones equivalentes. Perseguir el 100% de seguridad con recursos económicos limitados no va a ser posible (y seguramente tampoco práctico si no se respetan los criterios de funcionalidad), pero lograr el nivel de concienciación necesario tampoco lo será, mientras se sigan publicando informes, artículos y estudios alarmistas sin evidencias que el público objetivo de esa concienciación sea capaz de entender. Una vez más, la disciplina forense, herramienta fundamental en contrainteligencia digital (ver artículo completo aquí) no se está utilizando adecuadamente. Se siguen diseñando multitud de herramientas de seguridad incompletas, desde el punto de vista forense, disciplina que ya no puede ir más tiempo separada de la seguridad. No basta con eliminar un troyano de nuestro sistema. Necesitamos saber desde cuándo está en él, qué información ha recopilado y enviado, además de investigar si ha adoptado nuevas formas que pasen desapercibidas para el antivirus.
¿Crees que no hay nadie dentro de tu ordenador porque tu antivirus dice que estás protegido con un icono verde gigante? ¿Seguro? ¿Crees que no vas a tener que preocuparte a pesar de que consideras que la información que contienen tus dispositivos no reviste interés para nadie? Si es así, tarde o temprano serás de los primer@s en pagar alguna multa, a no ser que tengas seguro de navegación…
=======================================================================
Eduardo Orenes
Autor de «CiberSeguridad Familiar: Cyberbullying, Hacking y otros Peligros en Internet»
=======================================================================
«Hoy es Mañana…»
Leave a Reply
Want to join the discussion?Feel free to contribute!