1
Seguridad digital: secretos y mentiras
Para el autor de esta nota el mayor factor de riesgo es el error humano
1 minuto de lectura'
A comienzos de la década del 90, mientras me desempeñaba como editor de una publicación sobre informática, contraté a un experto independiente en seguridad para evaluar programas antivirus. Después de una serie de pruebas exhaustivas, aquél nos envió por fax los resultados pero, lamentablemente, éstos llegaron a uno de nuestros competidores directos.
Su gaffe demostró la razón por la cual nunca veremos sistemas de seguridad informática infalibles: el error humano. Esta premisa surgió como el tema central de un nuevo libro escrito por dicho experto, ahora de gran renombre en la industria.
Secrets and Lies: Digital Security in a Networked World ( Secretos y mentiras: seguridad digital en un mundo en red ), de John Wiley & Sons, 2000, por Bruce Schneier, es un informe convincente sobre la ansiedad más obsesiva en el mundo de la informática. No es, precisamente, un relato para débiles.
El mundo de terror de Schneier hace que el salvaje Oeste -con lo que con frecuencia se compara a Internet- se vea como un jardín de infantes. (Si desea información sobre cada detalle sangriento del delito informático, consulte Tangled Web ( La Web enmarañada ), de Richard Power, Que, 2000). Secrets and Lies viene de perillas en esta ola desenfrenada de equivocaciones en los sistemas de seguridad, de hackers y de revelaciones de secretos de Estado. Los ataques más conocidos -como lo demostró la irrupción en la red corporativa de Microsoft unas semanas atrás, los problemas de Yahoo!, eBay y otros sitios top a comienzos de año, y el virus Love Letter , que infectó millones de computadoras- ocuparon la primera plana de los periódicos. Los paranoicos se deleitaron con las recientes revelaciones sobre Echelon , el sistema de seguimiento de transmisiones de voz y datos de alcance mundial, que en una época fue supersecreto, y la tecnología del Carnivore del FBI, que husmea millones de mensajes supuestamente privados.
Una resistencia de vándalos de Internet, nihilistas de las redes, ladrones de datos y aquellos que sondean la vulnerabilidad como un ejercicio intelectual exige la distinción entre hackers y crackers .
Los programadores amateur que utilizan herramientas de hacking llave en mano que encuentran en la Web pueden estar emergiendo como la mayor amenaza. Schneier explica las razones de este escenario sombrío en verdades sencillas: en las guerras del hacking, la tecnología favorece la ofensa por sobre la defensa. La complejidad es el enemigo de la seguridad, e Internet es la madre de todas las complejidades. El software no es perfecto. Los expertos calculan que cada 1000 líneas de código de programación se encuentran entre 5 y 15 errores (o bugs ), algunos de los cuales abren inevitablemente agujeros de seguridad. Sin ir más lejos, Windows 2000 salió con 63.000 bugs conocidos e incompatibilidades.
La gente a menudo es imprudente. A principios de diciembre último, el Instituto Nacional de Normas y Tecnología de los Estados Unidos adoptó un algoritmo de encriptación (una fórmula utilizada para codificar datos) que decían que llevaría más de 149.000 millones de años el poder descubrirlo. Pero, una vez más, si uno usa su nombre o la palabra password (contraseña) como clave de decodificación -algo típico entre los usuarios perezosos- incluso un hacker neófito necesitaría menos de cinco minutos.
Todo esquema de seguridad es susceptible de ser subvertido y, de hecho, lo será. No ha de sorprendernos que la licencia de uso de los programas evada toda responsabilidad al respecto, como lo especifican las cláusulas que contiene la caja. No es difícil imaginarse por qué a los desarrolladores de software de seguridad les falta confianza: sus productos casi siempre se generan en un vacío. "Una broma habitual que hacíamos en las clases de física de la Universidad consistía en suponer una vaca esférica de densidad uniforme -escribe Schneier-. Sólo podíamos hacer cálculos sobre sistemas idealizados, el mundo real era demasiado complicado para la teoría. La seguridad del sistema digital es lo mismo, quizá confiable en el laboratorio, pero siempre vulnerable en la práctica. Parte del problema radica en que el pensamiento convencional sobre la seguridad en Internet sale del mundo de lo físico, donde algunos tipos de seguridad son lo suficientemente buenos .
"Si se tuviera un plan para estafar a la gente, pero sólo funcionara una vez cada cien mil intentos, uno se moriría de hambre antes de robarle a alguien -asegura el autor-. En el ciberespacio, podemos configurar la computadora para buscar la posibilidad de una en cien mil. Probablemente encontremos unas veinte por día." Gran parte de la solución, continúa, es aceptar que "la seguridad es un proceso y no un producto". El software antivirus y los firewalls diseñados para proteger las redes privadas pueden ser efectivos sólo como parte de una estrategia global sobre seguridad. Esto significa que los usuarios de redes -como individuos o empleados- deben comprender el papel que desempeñan en la protección de la información, en lugar de confiar en el software que opera sin vigilancia humana.
Entonces, ¿cómo llegar a la gente con este material poco atractivo? Schneier, fundador de Counterpane Internet Security Inc. en San José, se esfuerza por amenizar el libro con aforismos y anécdotas interesantes, haciéndolo sumamente accesible. Pero para mi modo de ver, sigue siendo inapropiado para el lector común, por eso me sorprendí al enterarme de que Secrets and Lies ocupa el puesto 68 de los libros más vendidos de Amazon.com. A menos que todos los compradores sean hackers, se trata de un signo esperanzador.
Por eso, siga el buen consejo de Schneier, pero no entre en pánico. Al igual que la seguridad, especular con el miedo es un proceso. Explotar ese miedo se ha convertido en una industria creciente. Cientos de compañías de seguridad exageran desvergonzadamente la peligrosidad de cada nuevo virus para darles impulso a sus ventas.
Si consideramos que mientras es teóricamente posible dejar fuera de línea gran parte de los contenidos de Internet con un simple ataque orquestado, los episodios más dañinos hasta el momento han afectado sólo unos pocos sites entre millones. Los peores, como el virus Love Letter , aunque genuinamente destructivo, se esfuman en un par de semanas. La estrategia estúpida es una amenaza más grande para los puntocom que lo que puedan llegar a ser los hackers.
Protección personal en un mundo interconectado
Hay dos cosas por hacer para estar aceptablemente seguro al entrar a Internet. Una es dejar la paranoia de lado e informarse.Si al evaluar sus hábitos en línea (ver columna La Compu , página 2) decide que está dentro de un grupo de riesgo, puede apelar a alguno de los muchos paquetes de software que rodean la PC con una suerte de vallado de seguridad.Se los conoce como firewalls y en las grandes corporaciones este sistema corre en computadoras diferentes del servidor que se intenta proteger. En nuestro caso, todo se instala en el mismo equipo.
En el mercado local, Symantec ( http://www.symantec.com ) ofrece su Norton Personal Firewall (49 pesos), que protege del hacking , impide que los sitios Web registren actividades del usuario y ayuda a mantener la información personal en secreto.
McAfee ( http://www.mcafee-at-home.com ) tiene su McAfee Firewall , aunque todavía no ha llegado a la Argentina.Lo hará en el corto plazo, según Acron, distribuidor en el país de esta línea de productos.
Entre los programas gratuitos que se pueden bajar de la Web, el ZoneAlarm ( http://www.zonelabs.com ) ha recibido el aplauso de las publicaciones especializadas y es relativamente fácil de usar. El Tiny PersonalFirewall ( http://www.tinysoftware.com/pwall.php ) también es amigable y eficiente. El sitio del Sygate Personal Firewall ( http://www.sygate.com ) permite probar los puntos vulnerables de nuestra PC.
