lunes, 8 de agosto de 2016

No te la jueges: mejor una vez

Existe una expresión en español, con alguna que otra variante, sobre la importancia de afrontar decisiones complicadas antes de que se compliquen más: mejor una vez colorado que ciento amarillo. Es curioso, pero hace hoy un año se nos acumularon en el terreno de la ciberseguridad no una, ni dos, ni tres noticias, que daban fe de que también en este mundillo esta expresión es acertada. 

Y si de ponerse amarillo hablamos, qué mejor que hablar de... China. En estas fechas de 2015 supimos que los ciberespías chinos habían estado entrando y saliendo en las cuentas de correos de altos mandos de la Administración Obama desde al menos el año 2010. Al menos, y si nos fiamos de la versión que entonces se dio, las cuentas accedidas habían sido las privadas, ya que las de trabajo eran "más seguras". Puede, pero los chinos llevaban cinco años poniendo amarillos a los oficiales de EEUU.

¿Qué buscará un tipo que consigue colarse en las cuentas de correo de otro? Fisgones aparte, que son los menos peligrosos, el objetivo es siempre el mismo: dinero. Es lo que buscaba una trama criminal desmantelada hace ahora un año, cuya especialidad era acceder a datos confidenciales de grandes empresas que operan en Bolsa, para poder realizar operaciones bursátiles sobre la base de información que conocían antes que los demás inversores. Inversores que se quedaron también amarillos después de destaparse este asunto.

También van tras la pista del dinero los tipos que buscan estafar mediante las cuentas de correo electrónico del trabajo, como los que en 2015 lograron provocar un agujero de 39,1 millones de dólares en las cuentas de Ubiquiti Networks, según tuvo que reconocer la propia compañía en una nota de prensa también ahora hace un año. Si alguien tuvo conocimiento previo de esa brecha, y en lugar de comunicarlo en su momento, la empresa esperó a la presentación de la cuenta de resultados, estaríamos ante otro ejemplo de quien opta por ciento amarillo, antes que por una colorado.

Otra firma que dejó bien claro su rechazo a ponerse colorada fue Oracle, cuando hace un año publicó un post que duró menos de una mañana, en el que enseñaba los dientes a esa "costumbre" de algunos usuarios de hacer ingeniería inversa con el código para detectar bugs. "Para eso ya están nuestros expertos", decía este post, que también rechazaba políticas de bug bounties. El post duró lo que duró, porque alguien debió ver que ese empecinamiento en el mundo actual es de los que acaban dejándote cien veces amarillo.

Y para rematar la actualidad de hace un año, vimos no uno sino dos epic fails de empresas de amplio renombre y trayectoria: un investigador presentó en la BlackHat una vulnerabilidad que afecta a todos los procesadores Intel y AMD (la práctica totalidad del mercado de PCs), por un fallo de diseño industrial que se remonta... ¡¡al año 1997!!! Y otro investigador de seguridad declaraba que se acababa de encontrar en su máquina Lenovo con un rootkit perfectamente diseñado para espiar y hacer funcionar un equipo a distancia. Extremo que la propia compañía tuvo que confirmar. Dos de esas noticias que no sabes si te dejan colorado, o amarillo para toda la eternidad.

Lo importante de conocer los propios agujeros de seguridad no es solo que permite evitar mejor los ataques: también es el mejor antídoto para no quedarnos con el pie cambiado, sin saber qué decir, y reaccionando tarde y de forma torpe, cuando alguien nos descubre una puerta trasera, un error de diseño, o un bug grave en el código.


Imagen: Flickr, licencia CC.

0 comentarios:

Publicar un comentario