La seguridad total no existe

Más que preocuparse hay que aprender a querer a los <I>hackers</I>, virus y otros bribones de la al
David H. Freeman

Un buen día, un joven hacker, conflictuado y sin ningún talento, llamado Phantom D se las ingenió para introducirse en al menos 1,000 sistemas de computadoras en un año, entre ellos el de los laboratorios de investigación de armas militares, de proveedores líderes de computación y de redes de cajeros automáticos. Conozco detalles del caso porque el periodista Charles C. Mann y yo escribimos un libro sobre Phantom D en 1997, cinco años después del hecho.

- En ese momento supimos, gracias a algunos de los expertos en seguridad más importantes del mundo, que es fácil meterse hasta en los sitios más sensibles de internet. Nuestra predicción fue que la situación no iba a mejorar. En realidad, era muy probable que  empeorara.

- Actualmente, las compañías parecen estar cediendo mucha de su información a los hackers, al menos cuando no están ocupadas deshaciéndose de los virus. ¿Qué se puede hacer al respecto? Es posible que lo que lea no le agradará, pero tiene que entenderlo. Piense lo siguiente: si fuera un consultor de seguridad, un líder informático en una compañía o un funcionario a cargo de aplicar la ley para hacer que los sistemas de computación sean seguros, ¿qué tan rápido anunciaría que no hay manera de hacer su trabajo?, ¿cuán dispuesto estaría a admitir este hecho?

- La gente lee las historias sobre ataques a la información de empresas como Time Warner o Bank of America y a veces mueve su cabeza ante la seguridad tan laxa en las compañías afectadas. Otros consideran llamarle al director de informática para reforzar la seguridad de las computadoras. La verdad es que tanto Time Warner como Bank of America han hecho un trabajo bastante bueno para cumplir y hasta exceder los estándares de la industria para la protección de sus sistemas de computación y de datos. Y no es que los responsables de informática de todas las otras firmas estén dormidos y sin hacer nada. Al contrario, las encuestas revelan que la seguridad siempre es la prioridad número uno de los CIOs de la industria. Ellos tienen varios niveles de contraseñas, filtran los correos antes de que lleguen a las máquinas de los usuarios y tienen antivirus que son constantemente actualizados. Los hackers siguen metiéndose en sus sistemas, los virus continúan atacando y los datos desaparecen. ¿Cuál es el problema? La fe del mundo en la santísima trinidad de la seguridad en computación (los firewalls, los sistemas de detección de intrusión y el software antivirus) está mal ubicada.

- Adiós al mito
Jim Settle, ex titular de la brigada de delitos de computación del FBI y actual asesor de seguridad en computación, a menudo es contratado para probar los sistemas de seguridad de computación intentando introducirse en ellos, generalmente después que se ha instalado un software de seguridad de última generación de algunos millones de dólares.

- Los gerentes se preguntan: ¿Nuestros datos están seguros? Cualquier experto en seguridad sabio, con experiencia y honesto puede darle la respuesta sin necesidad de saber nada sobre los sistemas de su compañía. No, sus datos no están seguros. Y aquí viene lo que le prometí que no quería escuchar: no hay nada que pueda hacer al respecto. ¿Por qué? En primer lugar, lo mismo que hace que el internet sea tan útil, emocionante y transformador –conecta a todos con todos, es anónimo y no hay nadie que lo controle– es lo que hace que sea tan fácil para un tonto en Latvia entrar a una computadora en Topeka. La protección completa de una red requeriría anticipar una cantidad infinita de técnicas que podrían usarse para irrumpir en el sistema; por otro lado, los hackers necesitan descubrir sólo una. Cuando los expertos en seguridad descubren una nueva vulnerabilidad, la mantienen en secreto por razones obvias, lo cual impide la distribución y desarrollo de parches. Los hackers no sólo comparten la información libremente, sino que distribuyen las herramientas que automatizan el proceso de hacking para que cualquier miembro de su vasto ejército pueda sumarse a la diversión.

- Esto no significa que usted no pueda disminuir riesgos. Como incluir contraseñas en donde los nombres de parientes, mascotas y fechas de nacimiento estén completamente prohibidas. Incluso así, cualquier persona de su compañía podría revelar la contraseña en respuesta a un correo electrónico habilidoso o con que se llevara trabajo a casa en un disco y fuera sorprendido por un hacker desde la computadora de su casa… o con que un ejecutivo perdiera su portátil, como sucedió en mayo pasado con una laptop encontrada, propiedad de un empleado de agencia de viajes que tenía información sobre 80,000 miembros del Departamento de Justicia.

- Creo que la táctica más inteligente es aceptar las múltiples oportunidades de ser atrapados, aun cuando le digan que su red es segura. Esto le hará pensar en el tipo de información que recolecta y qué le dirá a sus empleados si se pierde. Si sus computadoras contienen cualquier información sobre cuentas, documentos o correos electrónicos que pudieran abatir a su compañía si cayera en manos equivocadas, entonces está sentado sobre una bomba de tiempo. A menos que esté totalmente seguro de que puede hacer un trabajo mucho mejor en la protección de datos que el que hace el gobierno de Estados Unidos para proteger la información secreta sobre armas nucleares contenida en sus computadoras.

- Inc. distribuido por Tribune.

Ahora ve
No te pierdas