Capítulo 2 – La Ley de la Jungla: Principios de Autoprotección
Capítulo 2 de 12
La Ley de la Jungla: Principios de Autoprotección
Antes de entrar de lleno en temas totalmente digitales, vamos a dar una vuelta por conceptos más cercanos al mundo físico con el que nos encontramos más familiarizados en relación con la seguridad, aunque sólo sea por el cine. De esa forma, estoy seguro de que comprender los aspectos digitales que se explican posteriormente será pan comido. Si eres expert@ en el mundo de la seguridad de personalidades, no esperes que explique en este libro conceptos complejos, como el de la causa de la relatividad en la percepción del peligro, porque lo que voy a hacer es una aproximación general a una especialidad de seguridad para establecer un paralelismo con la dimensión digital.
La protección de personalidades (escolta) es una especialidad de la seguridad relativamente sencilla desde el punto de vista teórico. Lo complicado es mantener un elevado nivel de seguridad de forma continuada, porque empiezan a entrar en juego otros factores fuera de nuestro control, que no son fáciles de gestionar. Intervienen tantos elementos y hay tal número de variables que el enfoque de los que buscan una alta tasa de seguridad debe ser muy estricto. Esto significaría reducir la comodidad tanto como sea necesario en pro de la seguridad y aquí es donde aparecen los problemas o incompatibilidades.
Las situaciones que pueden darse durante una operación de protección son diversas. Desde la protección estática (en domicilios o despachos, salas de prensa, auditorios, etc.) o dinámica (durante los trayectos, ya sea en vehículo o a pie), hasta las complejas situaciones de ataque o evacuación reactiva. Seguro que alguna vez has visto las imágenes del atentado contra Reagan o una película en la que los escoltas o guardaespaldas (como más comúnmente se les conoce fuera del ámbito profesional), se abalanzan sobre el protegido o VIP (también llamado principal) y lo sacan rápidamente del lugar donde está el peligro, a través de una ruta de escape preestablecida hacia un punto seguro o medio de transporte blindado. A nadie le gustan las prisas, ni las presiones, ni los empujones, ni los disparos, y menos cuando se reciben.
Estadísticamente hablando (valores orientativos para la peor de las situaciones), las posibilidades de tener éxito, o sea, que tanto los escoltas como el protegido salgan con vida, durante un ataque son cercanas al 2%. Eso quiere decir que el atacante, asesino o terrorista, según sea el caso, tendrá un 98% de posibilidades de matar a su objetivo una vez iniciado el ataque (no voy a entrar en los factores que determinan la capacidad letal de un atacante, que hacen variar lógica y notablemente los datos anteriores). Lo cierto es que hay una clara y amplia desventaja si uno no sabe quién, cómo, cuándo y dónde va a producirse el ataque. Pasmosas cifras. Tanto que hacen que la estrategia de protección tenga que ser revisada, porque con esos datos, la cosa da miedo.
Según sea el tipo de ataque predominante y los medios disponibles, suele aplicarse un estilo de protección u otro. Lo que hay que tener claro, antes de continuar es que la protección de personas requiere un equipo, esto es, un sistema de protección. Si eliminamos partes fundamentales de ese sistema, la eficacia disminuye hasta niveles inaceptables. Creo que aquí voy a extenderme un poquito para que luego no tenga que dar muchos argumentos.
Asumamos que el sistema de protección tiene como misión respirar, para lo que lo llamaré el sistema respiratorio. Como sistema que es, estará compuesto de órganos que a su vez están constituidos por tejidos. En el caso del sistema respiratorio, los órganos que lo forman son los pulmones, dos, las vías respiratorias, superiores e inferiores, y los músculos respiratorios ¿Qué pasa si arranco uno de los músculos respiratorios? Pues la respiración requerirá un esfuerzo extra al resto de los músculos, una sobrecarga en definitiva, y, por tanto, una eficacia respiratoria mucho menor. Si fuera necesario un ritmo respiratorio mayor, será más evidente esa carencia ¿Y si quito parte de las vías, pongamos el tracto superior? Vale, podrá seguir respirando si le practicamos una traqueotomía, pero en la ducha, como no lleve cuidado, se ahogará con el agua ¿Probamos con un pulmón menos? Correr será imposible.
Ilustrado con el ejemplo médico que ya utilicé en un artículo y en muchas otras conversaciones, queda claro que un sistema de protección necesita órganos y coordinadores para esos órganos ya que, entre otras, las actividades que son necesarias en un sistema ideal de seguridad pasan por la detección de vigilancia, la contravigilancia, la grabación, el análisis de coeficientes de seguridad, establecimiento de rutas de seguridad creciente, evaluación del lenguaje no verbal, respuesta conjunta de supervivencia, ataque, evacuación preventiva o reactiva y un muy largo etcétera. Por eso me río tanto cuando me dicen que un señor tiene un servicio de protección porque dispone de un único escolta a su servicio durante un número de horas al día (risa que se duplica en intensidad cuando me dicen que un ordenador está seguro porque dispone de un antivirus básico instalado). Eso sólo sirve para dos cosas: disuasión de nivel bajo y capacidad de supervivencia ante ataques de letalidad reducida. Cualquier persona que tenga algo de experiencia seria en protección sabe que ante un atacante motivado, entrenado y decidido, un escolta no representa obstáculo alguno. En fin, que supongo que, a estas alturas, ya queda claro que hace falta una estructura de varias capas para proteger nuestros bienes (las famosas esferas de protección), ya sean humanos o materiales. Así pues, la respuesta a una muy frecuente pregunta es: hacen falta tantos escoltas como sean necesarios, para cubrir las áreas de posible peligro con un reparto equilibrado de carga de trabajo y perfectamente coordinado.
Volviendo al tema de las cifras, ¿para qué quiero un sistema de protección si resulta que sólo tengo un 2% de posibilidades de sobrevivir ante un ataque? Porque la prioridad de un sistema o servicio de protección no debe ser el contraataque, sino la evacuación preventiva y no reactiva. Es decir, el sistema de protección debe enfocar la gran mayoría de sus esfuerzos a detectar con antelación suficiente las amenazas para proceder a evacuar antes de que comience una situación de riesgo (algo que en el ciberespacio no es tan fácil porque aparecen amenazas nuevas e impredecibles cada día). El contraataque o la supervivencia es la función principal de la cápsula de protección, el último nivel de seguridad antes de llegar al protegido. Si se da lugar a que tengan que entrar a jugar estos señores, mucha suerte tendremos que tener para que no se produzcan daños irremediables. Barrera de personal, barrera de fuego, parapeto provisional, evacuación segura… , suelen ser algunas de las medidas de supervivencia y protección que se aplican una vez llegado el ataque. Cada país, en base a su historia, marco legal, experiencia previa y capacidad, tiene sus propias preferencias. Después hay ciertas corrientes que tratan de reinventar la rueda añadiendo complicaciones cuando lo que debe primar es la simplicidad, dado que en situaciones de alto estrés y complejidad, sobra casi todo. Keep it simple!
Pues ahora imagina todos esos conceptos pero aplicados al entorno digital. El protegido o VIP es tu información valiosa, el ordenador de tus hijos, o el tuyo. Ahora hay que estudiar la amenaza, las vulnerabilidades y los riesgos. Elegir sensores que habrá que posicionar adecuadamente, por ejemplo, a modo de avanzada, como evaluadores de comportamiento no verbal o como detectores de metales y analizar la información que recogen adecuadamente para tomar decisiones acertadas.
Seguramente es obvio ya que un antivirus como única medida de seguridad no es gran cosa. Su función, que depende del tipo como explicaré en breve con relativo detalle, es como la del banquero, esto es, comprobar la firma (o el PIN si estamos frente a un cajero automático) del cliente antes de dejarle acceder a su cuenta para retirar dinero. Sí, así de simple, en principio, es la función del antivirus clásico. Todos los archivos o programas contienen una información determinada. A esa información se le aplican unas operaciones matemáticas que dan como resultado una serie de números y letras (una cadena alfanumérica). Esa cadena alfanumérica es lo que se entiende como firma o huella. Según sea el tipo de operación matemática que se aplique al archivo o programa, se tendrá una firma u otra, más o menos larga. Por lo que, para identificar la firma de un programa, siempre hay que aportar como dato también el tipo de operación matemática que se empleó para obtenerla. Esas operaciones matemáticas son en realidad algoritmos y los más famosos son MD5, SHA-0, SHA-1, SHA-2 y SHA-3 (de reciente adopción por parte del National Institute of Standards and Technology —NIST—). Es posible que alguna vez hayáis visto una serie de números y letras junto al botón de descarga de un programa. Pues es la firma (también conocida como hash) para que comprobéis que lo descargado es exactamente lo que el autor subió a esa web (por dos motivos, uno por si hubo errores en la descarga y otro para evitar descargar troyanos u otros tipos de malware). Ahora entenderás mejor si te digo que cuando estás actualizando el antivirus, lo que haces en verdad es descargar las firmas de los nuevos “virus” descubiertos.
En realidad lo que acabo de contar es incompleto, pero este libro no se va a caracterizar por ser exhaustivo, sino cercano y sencillo para lograr que personas sin apenas conocimientos informáticos sean capaces de comprender las líneas generales de la seguridad informática. Así pues, no te preocupes que en dos o tres páginas más se acaba la única parte compleja del libro.
Como decía, lo descrito arriba es incompleto porque los antivirus han evolucionado arrastrados por el ritmo impuesto dada la rápida y constante aparición de malware, cada vez más complejo. Por ende, comparar las firmas de los programas (el método tradicional) ya no es suficiente, pues sólo se detectarían virus conocidos; una protección demasiado básica. Por consiguiente, se hace necesaria la incorporación de nuevos sistemas de detección de software malicioso. Por ejemplo, mediante un análisis del comportamiento del programa sospechoso, que puede realizarse en una sandbox, es decir, en un espacio digital cerrado para evitar que el software dudoso se expanda en nuestro sistema (Adair et al., 2011), constituyendo este caso un ejemplo de antivirus heurístico. Igualmente se puede realizar esa tarea de comprobación en el propio sistema en lugar de en la sandbox, analizando qué acciones realiza el software sospechoso, interrumpiéndolo en caso de que se considerasen maliciosas.
Como parece un poco lioso, resumiré de forma muy general el asunto: las soluciones antivirus del mercado pueden ser de distintos tipos. Básicas, limitándose a comparar listados de firmas con las firmas del software presente en tu ordenador. O pueden ser avanzadas, añadiendo a esa revisión de firmas, un análisis o evaluación de comportamiento del software sospechoso, de forma estática (revisando su código) o dinámica (observando su comportamiento).
Comparar firmas es mucho más sencillo y menos costoso (en cuanto a recursos) para el ordenador. En cambio, ejecutar un software sospechoso en un espacio virtual, en el que hay que evaluar su actividad (emulación), verificar que no contiene instrucciones peligrosas (análisis de código) y comprobar si existen patrones conocidos de datos contenidos en código ejecutable (algo así como búsqueda por parecido en lugar de por coincidencia) requiere usar muchos recursos del ordenador. Vamos, que nos va a ir más lento, o dicho de forma publicitaria, va a interferir en la experiencia del usuario, que es una manera elegante de decir que se produce una disminución del rendimiento de nuestro ordenador. Ahora daré algunos motivos para preferir perder rendimiento a desactivar el antivirus, pero antes, seguiré con aspectos negativos de un antivirus “potente”.
Por desgracia, automatizar el proceso de clasificación de software en maligno o benigno, legítimo o fraudulento, es complicado con amenazas desconocidas o nuevas y se producen errores. No es del todo infrecuente que un antivirus heurístico clasifique un programa totalmente legítimo como malicioso. Es lo que se llama un falso positivo. Que es un problema menos grave que si se da el caso contrario, un falso negativo, que sería cuando un programa malicioso se etiqueta como inocuo, dejándole habitar en nuestro ordenador a sus anchas. Ahí sí que tenemos un problema, de mayor o menor gravedad según sea el caso. Podríamos decir que la parte negativa de un antivirus potente con sistemas de detección combinada (tradicional y heurístico) es que podremos encontrarnos con que algunos programas totalmente legítimos sean bloqueados o incluso eliminados del sistema si así lo hemos configurado. Normalmente los usuarios inexpertos suelen temer borrar archivos, y sabemos por experiencia que un antivirus heurístico es un pesado que no para de preguntarnos qué hacer con lo que va analizando, provocando dos respuestas normalmente: bien el usuario, ya cansado de tanta interacción, permite por defecto todos los programas, bien elimina todo, con el riesgo de borrar algo que realmente no era una amenaza. Todo lo radical trae problemas.
Al principio del capítulo, en el ejemplo de la protección de personas, decía que para mantener un porcentaje de seguridad alto (o aceptable, incluyo ahora) era preciso reducir la comodidad tanto como fuera necesario en pro de la seguridad y que era ahí, precisamente, donde aparecían los problemas o incompatibilidades. En pocas palabras, el protegido prefiere su comodidad o actuar de acuerdo con intereses particulares, a su seguridad en muchas ocasiones, originándose numerosos conflictos con su servicio de protección. Se dice que has tenido suerte si te toca un VIP que te obedece y cancela su comida por consejo de sus escoltas. En el mundo digital pasa exactamente lo mismo, sólo que tú eres el VIP y el guardaespaldas al mismo tiempo.
Los usuarios de las nuevas tecnologías suelen preferir que su ordenador vuele a que corra; que nunca aparezcan molestos avisos; no tener que tomar ninguna decisión adicional. Se niegan a introducir contraseñas constantemente para autorizar la ejecución de algunos programas. Optan por ver la página web del enlace en el que han hecho clic, a pesar de que los modernos antivirus, que incorporan un asesor basado en reputación web, les recomienden no acceder a esa página. Digamos que no se sienten en peligro. Reconozco que es difícil sentirse en peligro en un entorno tan familiar y conocido como tu propia casa, con los niños jugando y tu mujer dándote un beso mientras te pregunta qué prepararéis para cenar. Es normal que se baje la guardia. De hecho, los momentos de mayor vulnerabilidad se dan cuando la guardia está baja, por fatiga, por exceso de confianza, o por un engaño (tranquilo que hablaré de la ingeniería social más adelante).
El entorno en el que nos encontramos condiciona al cerebro a la hora de tomar decisiones. Si nunca has viajado a Rusia y de repente te ves en Moscú, seguro que tu grado de alerta será mucho más alto que si estás aparcando en tu garaje una vez acabada la jornada laboral, aunque luego resulte que estás a salvo en ambos lugares. No podrás evitar estar más atento en Moscú. No es un entorno familiar. Pero no sólo eso. El mero hecho de usar un terminal propio (no corporativo) para trabajar desde un restaurante, hace que se relajen las medidas de seguridad que tomamos. Así que comprendo las opiniones de aquellos que prefieren vivir sin preocuparse por la seguridad digital, porque se sienten seguros. Si bien, también he de reconocer que me parecen unos insensatos, incautos, imprudentes, inconscientes y despreocupados. Como decía en la introducción, hay que empezar a abrir los ojos, ¡por favor! El ciberespacio es una jungla ¿Acaso te acercarías a beber agua al río donde habitan los cocodrilos sin unas precauciones mínimas, simplemente porque tienes mucha sed? ¿Dormirías sin mosquitera en Zambia, porque tienes mucho sueño? Si la respuesta es sí, ¿se lo consentirías a tus hijos? Como me digas que sí, ¡cierra el libro, anda! De verdad, en Internet hay auténticas guerras ¿Has oído hablar del libro “El lado oscuro de la red” de Misha Glenny? En él se relatan intensas batallas diarias entre crackers y diversos grupos policiales involucrados en el desmantelamiento de la web Dark Market, dedicada a la compra y venta de datos bancarios (información robada de tarjetas de crédito) de ciudadanos de todo el mundo entre 2005 y 2008. Léelo después de este libro —con calma, porque es muy denso— para que veas lo fácil y lucrativa que es la delincuencia digital. Te impresionará. Siguiendo con guerras, ¿has oído hablar del informe Mandiant sobre China? En él se habla sobre una unidad de ciberespionaje chino que, según el informe, diseñó y envió malware complejo y discreto para espiar a Estados Unidos. Usar la palabra guerra en este ámbito no es una exageración, es un hecho basado en datos documentados y minuciosamente analizados, créeme (el sector aeroespacial y de defensa reciben el máximo número de ataques reiterados, según Mandiant M-Trends, 2013). La suplantación de identidad, por ejemplo, es cada vez más frecuente, aunque, bueno, dejaré la descripción de ese tipo de amenazas para el siguiente capítulo. No trato de alarmarte, pero sí de que comprendas que navegar por Internet entraña unos riesgos y las medidas de seguridad son necesarias. La equivalencia de estas medidas de seguridad que voy proponiendo no es un simple cinturón de seguridad. Al fin y al cabo, en el coche, si choco, tengo delante la infraestructura del coche, las puertas o el airbag. En el ordenador no hay ni airbag, ni puertas, ni ventanas, ni carrocería. Toda esa infraestructura tienes que añadirla tú.
Me gusta lo de la seguridad vial para lograr explicarme. Imagina que muchas de las calles fueran malware (virus, troyanos y “esas cosas”), en las que si te introduces con el coche, disparan sobre él, sobre sus ocupantes, lo golpean con martillos, le tiran piedras, le sacan las maletas del maletero, abusan de sus ocupantes, o una combinación de lo anterior. También podrían “pedirte” usar tu coche para perpetrar unos cuantos robos, secuestrar otros vehículos, transportar sustancias ilegales o incluso obligarte a que lo hagas tú mismo de forma inconsciente. Si llevas antivirus, puede que te avise para no entrar en determinadas calles, pero si no es heurístico (evaluador de comportamientos), seguramente no detectará una calle recién infectada. Si no tienes sistemas de seguridad adicional y los gestionas con atención e interés, prepárate, porque sin puertas ni ventanas, los martillazos duelen, los disparos no te digo nada y los abusos provocan un daño que se prolonga en el tiempo más allá del dolor físico. Sin mencionar lo que supone perder el dinero de toda tu cuenta o ser acusado de un crimen que no sabrías ni cometer.
¿Todavía pretendes viajar en el coche con tu familia sin antivirus y el resto de medidas de seguridad que van a ir introduciéndose en este libro? Si la respuesta es sí, ya te dije que cerraras el libro. Aunque yo, al menos, me leería la escalofriante historia del capítulo 11.
Bienvenido a la jungla del conocimiento, donde no es recomendable adentrarse sin saber gestionar adecuadamente los niveles de alerta.
<- Ir al capítulo anterior Ir al capítulo siguiente ->
=======================================================================
Eduardo Orenes
Autor de «CiberSeguridad Familiar: Cyberbullying, Hacking y otros Peligros en Internet»
=======================================================================
«Hoy es Mañana…»
NOTA:
Todo el contenido de la categoría «Libro» está protegido por Copyright. Está prohibido copiar el contenido para publicar en otros medios sin la autorización expresa del autor (aunque sí puedes, y te invito a ello, compartir los enlaces libremente).
Además, si vas a utilizar contenido parcial de este blog (cualquier otro post o entrada), debes mencionar al autor y la página web (con hipervínculo). No ya sólo por cuestiones de Copyright, sino también por temas de clonado de contenido que Google penaliza a la hora de posicionar. Por si se te olvida, he añadido un código que lo hace automáticamente cada vez que copies y pegues algún fragmento de texto de esta web 😉
Leave a Reply
Want to join the discussion?Feel free to contribute!