jueves, 8 de enero de 2015

Seguridad y riesgo informático: la partida de ajedrez eterna

El uróboros es un símbolo utilizado desde hace ya más de 300 años para representar diferentes ciclos eternos. Algunas veces en calidad de la lucha diaria, otras del esfuerzo inútil, de la unidad de todas las cosas, y así un largo etcétera. Y su representación gráfica suele ser la de un animal (real como el gusano o la serpiente, mitológico como el dragón) que se come su propia cola, formando una circunferencia con su cuerpo.


En seguridad de la información y riesgo informático, es habitual tener la impresión de que vivimos un continuo ciclo, un uróboros digital. Se aumentan las medidas de seguridad, y surgen nuevos riesgos, que obligan a aumentar las medidas, y que llevan a los ciberdelincuentes a desarrollar nuevos riesgos,...

Es la hora de la comida (o del descanso de media mañana), y te diriges a la cafetería más cercana. Es posible que vayas acompañado de algunos compañeros de trabajo, y seguramente, si en tu empresa uséis tarjetas de identificación, la lleves por comodidad colgada del cuello o en el bolsillo, lo que te hace un objetivo claro. E incluso es posible que alguien, interesado en acceder a las instalaciones, sea capaz de reproducirla (la mayoría utilizan códigos RFID para abrir las puertas) o realizar técnicas de ingeniería social para usurpar tu identidad mientras estás fuera del recinto.

Ni siquiera hace falta que el ataque se dirija contra una persona. Basta que haya un motivo (económico, hacktivista, político,...) para llevarlo a cabo. Varias de las webs del gobierno alemán han sido hackeadas en protesta por los lazos que unen a Berlín con el nuevo gobierno ucraniano. Detrás del ataque, CyberBerkut, un grupo relacionado con el gobierno del ex-presidente ucraniano Viktor Yanukovick.

El cuento de nunca acabar. ¿Cuántas veces hemos dicho que no se debe enviar contenido comprometido por internet, aunque sea bajo aplicaciones supuestamente seguras, como Snapchat? El caso de Jeffrey Sirois azota la actualidad tecnológica. Un entrenador de 57 años que en apenas 10 segundos de vídeo echó a perder su vida.

Otra constante en el mundo de la privacidad es la red TOR. Quizás uno de los uróboros más mitificado que existe en esto de Internet. ¿Es de verdad tan anónima como parece? ¿Cómo funciona a nivel técnico? Todas estas preguntas encuentran su respuesta en el tutorial que INCIBE (recuerda, la antigua INTECO) publicaba hace unas horas. Una red que promete el anonimato… siempre que el nodo de salida y el de entrada no estén corrompidos. Y según los últimos estudios, quizás incluso comprometiendo uno de ellos sea suficiente.

Así es como llegamos a filtraciones como las que sufrió recientemente Sony Pictures. Una lucha constante, eterna, por proteger los intereses del cliente y evitar poner en compromiso a los trabajadores. En TripWire se preguntan si tomar represalias contra los ciberdelincuentes es correcto. Y llegan a la conclusión que no,... pero sí. No porque resulta muy difícil fijar el origen real del ataque, e incluso teniendo la certeza, estarás realizando conductas delictivas. Y sí cuando el ataque se realiza con el apoyo de los órganos de seguridad adecuados, como  realizaba el año pasado Microsoft en una redada secundada por la Europol y el FBI.

Así que tenemos tema para rato. El pez que se muerde la cola de la seguridad, que nos afecta a todos y cada uno de nosotros. Si te quieres dedicar a este sector, deberías tener en consideración los puntos que Manuel Benet de Security ArtWork nos brinda: Fórmate, y mantente en beta permanente, siempre hay cosas que aprender. Crear un blog temático en el que publiques tu evolución ayuda, así como colaborar en comunidades. El inglés es necesario, como también la buena ortografía, las dotes de comunicación, el uso de herramientas de ofimática (no todo va a ser metasploit) y el pensamiento lateral, unido a la paciencia. Porque a veces, las evoluciones necesarias tardan en implantarse.

0 comentarios:

Publicar un comentario