viernes, 25 de abril de 2014

Ciberseguridad "a la portuguesa"


“Grándola, villa morena / Tierra de la fraternidad / El pueblo es quien más ordena / Dentro de ti, oh ciudad”. Hace hoy 40 años, esta canción revolucionaria sonaba en la radio portuguesa. Era la segunda señal que el Movimento das Forças Armadas (MFA) esperaba para ocupar los puntos estratégicos del país e iniciar la conocida como “Revolución de los Claveles”.

El movimiento que puso fin a la dictadura en Portugal es uno de los procesos revolucionarios menos violentos y sangrientos de toda la historia. Se conoce como “Revolución de los Claveles” por el impulso de unos soldados que compraron claveles para ponerlos en sus fusiles, en señal de que no deseaban un derramamiento de sangre. Quizá una llamada al sentido común que hoy podemos echar de menos, y del que podríamos aprender alguna lección, en el entorno de riesgos de la ciberseguridad.


Porque aquí no hay sangre, o al menos no siempre es visible. Pero ojo con tu propia sangre, con tus leucocitos, con tus células, con tu salud. El FBI ha vuelto a avisar a las autoridades sanitarias que es un sector en riesgo. En grave y permanente riesgo, y que en su mayoría no se ha puesto las pilas: los datos son vulnerables, las máquinas son vulnerables, y los ciberdelincuentes tienen un gran campo en el que extender sus acciones. En un mundo en el que todo está conectado, la salud no puede pretender vivir en un “espléndido aislamiento” como pretendía vivir la dictadura portuguesa.

Como en la medicina, en la ciberseguridad nada hay mejor que la prevención. Pero si la prevención falla, hay que aplicar parches. Y a veces los parches también fallan. La Fundación Apache acaba de anunciar que el parche liberado para una serie de vulnerabilidades halladas en sus frameworks Struts y Struts 2 no es completamente fiable, y que está trabajando en uno nuevo. Los claveles en los fusiles están muy bien, pero ojo que el enemigo, si puede disparar, disparará.

Imaginemos cómo habría terminado la revolución portuguesa si los altos mandos de la dictadura hubieran logrado intervenir las comunicaciones del MFA. Como el rosario de la aurora. Pues eso, en el siglo XXI, se llama “Man In The Middle” (MITM), y es una de las peores cosas que te pueden suceder. ¿Usas Viber para mensajería instantánea? Pues has de saber que, a día de hoy, eres vulnerable a un MITM.

Y si la canción de José Afonso (Grándola villa morena) determinaba que “el pueblo es quien más ordena”, un alumno del afamado investigador español Chema Alonso cuenta en el blog de este hacker, cómo avisó recientemente a los desarrolladores de Google Chrome que se había encontrado con un 0Day… y cómo en menos de 24 horas estaba subsanado. Como siempre decimos: tú puedes ser el siguiente en hallar una vulnerabilidad y ayudar a que Internet sea una revolución sin sangre. Si quieres, puedes.

En todo caso, si no quieres que una revolución se te vaya de las manos, una de las cosas que debes tener controladas son los elementos descontrolados (valga la redundancia). Ese es el origen de los Blackhole DNS Servers o “agujeros negros de Internet”, cuya jugosa historia nos recuerda Vicente Motos en un reciente post en HackPlayers.


La red es un lugar para los riesgos, o una tierra de oportunidades. Depende del uso que hagamos de ella. Ojalá llegue el día en que podamos cantar a Internet como Afonso a Grándola: “En cada esquina, un amigo / En cada rostro, igualdad”.

0 comentarios:

Publicar un comentario