Ingresa o regístrate acá para seguir este blog.
@isitreallysafe

@isitreallysafe

Ya es cliché decir que cada día aparecen nuevas vulnerabilidades y que cada semana hay nuevos ataques que inutilizan servicios afectando a miles de usuarios o comprometen cantidades fenomenales de información. Es cliché pero lo seguimos repitiendo como un mantra de protección, tal vez buscando que muchas más personas sean conscientes de esta nueva realidad. Sobre todo quienes pueden ayudar a disminuir los riesgos, minimizar las amenazas y proteger a los usuarios.

Pero, ¿y a quién le importa que surjan tantas amenazas tan serias y tan frecuentes? ¿a quién le importa que haya tantos ataques que comprometan la información de millones de personas? ¿a quién le importa que los ataques inutilicen servicios que son necesarios para el normal funcionamiento de nuestra sociedad de hoy?

Aparte de los defensores de las libertades civiles (que van desde papás y mamás que entran en pánico cuando la base de datos de su supermercado es comprometida, hasta académicos del más alto nivel de sofisticación) parece que no le importa a nadie. No parece importarle a quienes pueden efectuar directamente cambios positivos en el escenario, no parece importarle a quienes pueden ejercer influencias para que esos cambios tengan lugar. No parece preocuparnos a nosotros mismos.

El sector privado es muy mediocre en la protección de sus redes, de su información y de la información de sus clientes y socios. Los que más recursos dedican no suelen ir más allá de lo que indican estándares como las normas ISO o del PCI Security Standards Council. Sin embargo, una entidad que en realidad se quiera proteger y quiera proteger a todo su entorno tiene que ir mucho más allá.

Cumplir con el checklist del estándar para el auditor es una decisión de management que no implica un real compromiso con la seguridad. Implica la intención de cumplir una obligación legal o contractual o es una simple expresión de conveniencia pública o política. Pero no implica más que eso. Y cuando las entidades cumplen los estándares se relajan y creen que todo va a estar bien. Un ejemplo de esto es el ataque en contra de Target. Si en realidad quieren asegurar sus redes, su información y la de sus clientes y socios, las entidades -como usuarias de Internet que son- deben ir más allá, mucho más allá.

Por otro lado, quienes operan partes de la infraestructura de Internet están en capacidad de generar cambios positivos para disminuir la cantidad de ataques y el impacto de cada uno (ver el Routing Manifesto y openresolverproject.org), pero usualmente no lo hacen. En este grupo caben, entre otros, los ISPs, los proveedores de servicios de hosting y los proveedores de servicios de DNS incluyendo el registro de nombres de dominio.

¿Y el sector público? Rezagado. En unos países menos que en otros. Pero, por lo general, ajeno completamente a estos asuntos. Hace unas semanas estuve en un país de América Latina en un evento en el que estaban presentes representantes del gobierno en el área de tecnología. En mi presentación me referí al papel que los estados pueden jugar respecto de validación de direcciones de origen y los resolutores abiertos de DNS (ver link en el párrafo anterior al Open Resolver Project) y no vi en esos funcionarios ni un solo gesto indicando acuerdo o, si quiera, entendimiento. Simplemente no hubo resonancia. Y la misma falta de resonancia se ve en muchos países, en muchas latitudes.

¿Y nosotros, usuarios del común? También vivimos ajenos a esto. Ajenos o enajenados. Qué importa que haya ataques. Eso pasa en otros países. Eso les pasa a otros. Y si me pasa a mí, si acaso usan mi número de tarjeta de crédito, la entidad financiera tiene la obligación de cancelar las transacciones fraudulentas, al menos en Estados Unidos, y no cobrarme por ellas. Que el seguro pague.

¿Hablamos ahora del Internet de las Cosas, el Internet of Things? Dispositivos capaces de conectarse a Internet, muchos de los que vienen de fábrica con vulnerabilidades en su código o en el hardware mismo, cuyo software -por diseño- con frecuencia no se puede actualizar y que utilizan protocolos fácilmente explotables por cualquier atacante. Según un estudio de ABI Research, 2014 terminó con dieciséis mil millones de dispositivos o ‘cosas’ capaces de conectarse a Internet, de los que solamente el 44% correspondió a computadores (portátiles, de escritorio, servidores), teléfonos celulares y tablets.

Es decir, el año terminó con diez mil quinientos sesenta millones de dispositivos como bombillos de luz, neveras, automóviles, relojes, hornos microondas, lámparas y porta-retratos, entre otros, capaces de conectarse a Internet. Y se prevé que este número suba a entre 40 mil millones (ver estudio de ABI Research mencionado en el párrafo anterior) y 50 mil millones para el año 2.020. Miles de millones de dispositivos que pueden ser usados en forma masiva para una cantidad enorme de cosas malas que pueden afectar miles y miles de usuarios.

Hay predicciones muy serias que se discuten en algunos círculos, que indican que en mucho menos de cinco años va a ocurrir un ataque exitoso contra la infraestructura crítica de algún país (las predicciones hablan de dos años, pero para efectos de este artículo y por no ser tan alarmista prefiero hablar de cinco años). Un ataque contra un acueducto en una ciudad que la deje sin agua durante varios días. O contra la red eléctrica en pleno invierno. O contra un aeropuerto en un día de mucho tráfico. Es claro que la pregunta es cuándo, no si ocurrirá. Aún así, salvo por el interés de la noticia del día, que se olvida con el siguiente titular, esto no parece importarle a nadie.

Para algunos, los jugadores relevantes (gobiernos, operadores de infraestructura de Internet, usuarios) solamente entenderán la importancia de la seguridad cuando algo muy malo pase. Quisiera imaginar un escenario en el que todos esos jugadores entienden desde ya la importancia de su papel, los cambios que pueden generar e influenciar y los implementan de forma adecuada.

¿Es muy ingenuo imaginar un escenario así? ¿Cuántas charlas más se deben dictar, cuantos artículos más se deben escribir, cuántos ataques más deben ocurrir, cuántas personas más deben ser victimizadas para que las cosas empiecen a verse desde una óptica más optimista?

Saludos desde California,

Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe

Compartir post