Los mitos de la Seguridad Informática

Me propongo, con este artículo, empezar una serie sobre Seguridad Informática, materia en la que llevo trabajando unos cuanto años y sobre la que cada vez me siento más escéptico respecto a las ideas preconcebidas que se consideran por el sector como "buenas prácticas" y que a mí me parecen buenas únicamente para las economías de las empresas editoras de sistemas de Seguridad Informatica.

Aquí va, pues, la primera entrega:

"Todos" te dicen que tienes que tener un antivirus activado y actualizado en tu ordenador.

"Todos" te dicen que debes actualizar tu sistema, sobre todo si es Windows, con las últimas actualizaciones de seguridad.

"Todos" te dicen que es preciso proteger tu red local con un Firewall.

"Todos" te dicen que una barrera con dos Firewall de modelo diferente es la protección mínima para una red de empresa.

"Todos" te dicen que debes comprobar que el certificado del sitio que visitas con "https" está firmado por una autoridad de confianza y que está en vigor antes de hacer operaciones de comercio o banca electrónica.

"Todos" te dicen que un mecanismo de autenticación "fuerte" o "de doble factor" basada en un "token" con claves de un solo uso o en un certificado es obligatorio para el acceso remoto por Internet a tus sistemas.

Y a mí me gustaría saber quién se esconde detrás de ése "todos", quién es el que empezó.

Porque me da la impresión de que en materia de seguridad informática, en lugar de aplicar el sentido común tras una reflexión, estamos aplicando una serie de recetas que se han convertido en lo imprescindible e incontestable con argumentos excesivamente generales y sin un fundamento sólido.

Tengo el temor de que gente o entidades con intereses comerciales estén dirigiendo el pensamiento único en materia de seguridad informática.

Y cuando veo cosas como las historias alrededor de los dos últimos ataques a empresas emblemáticas de la seguridad informática, como RSA o Comodo, mi escepticismo no hace más que aumentar.

Porque el análisis de los expertos sobre el ataque a RSA, el fabricante de la famosa tarjeta SecureID, la más conocida y utilizada entre los sistemas de autenticación fuerte basada en códigos de un sólo uso, dice que no hay que preocuparse porque, aunque un pirata hubiera robado el algoritmo de creación de códigos de un solo uso (OTP) de RSA, no podría hacer nada si no consigue, además, el código pin y el identificador del usuario.
Pero eso significa que no me tengo que preocupar porque mi sistema está protegido por un nombre de usuario y una contraseña. Y entonces ¿Para qué necesito una tarjeta como la SecureID?

El otro caso, el de Comodo, también es significativo: Se trata de una de las tres principales autoridades mundiales de firma de certificados digitales. Para entendernos, cuando visito una página Web protegida por el protocolo seguro de Internet SSL (el que se distingue por la URL que comienza por "https") mi navegador utilizará el certificado que el sitio Web me envía para cifrar los mensajes que intercambie con él. Y para asegurarme de que el sitio es de verdad el que pretende ser, mi Navegador comprobará que el certificado está vigente, que no ha sido revocado, y que lo ha firmado una entidad de confianza. Comodo es una de esas entidades de confianza y, al igual que el resto de las más importantes, están registradas en todos los navegadores para garantizar la autenticidad de los certificados.
Pues resulta que unos piratas, desde Iran, han conseguido hacerse con un usuario y contraseña del servidor de Comodo y han generado varios certificados firmados para sitios Internet como Google, Yahoo y otros.
Esto significa que el pirata podría utilizar uno de estos certificados para hacer creer a mi navegador que está visitando el sitio de Google o Yahoo correspondiente cuando en realidad está en un sitio falso creado por el pirata para robarme las claves.

Y la comunicación oficial de Comodo sobre el asunto dice que no hay que preocuparse porque ya han revocado los certificados falsos generados por el pirata y que, en cualquier caso, el pirata tendría que piratear además el sistema de DNS público para engañarme, por lo que en realidad, no me veo afectado.

Y yo me pregunto también en este caso: si mi protección se basa únicamente en el sistema de DNS público para asegurarme de la autenticidad de un sitio en Internet ¿Para qué va a pagar la empresa propietaria del sitio (muy caro, por cierto) la firma de su certificado?

Cada vez me convenzo más de que debo analizar las medidas de seguridad de mis sistemas intentando olvidarme de ese "todos" que me da las recetas utilizadas por todo el mundo y que debo, más bien, reflexionar sin apriorismos sobre la mejor manera de protegerme aplicando el sentido común y tratando de ajustar la complejidad y el coste de mis medidas de protección al valor de mis activos informáticos y a la realidad de los riesgos que los acechan.

Y por eso estoy convencido de que la mejor manera de protegerme pasa por:

• Utilizar las versiones más recientes de los sistemas, como Windows 7, que son más seguras intrínsecamente que las anteriores y aplicar puntualmente todas las actualizaciones de seguridad que publique el editor del sistema.

• Disponer de un mecanismo sólido de gestión de identidades y aplicar un mecanismo de autenticación fuerte para proteger los recursos informáticos más sensibles.

• Mantenerme informado de la evolución de las amenazas a la seguridad informática para implantar las medidas que se consideren razonables ante cada nueva amenaza que se identifique.

Y todo ello tratando de huir del seguidismo automático de todas las medidas propuestas por los editores de seguridad Informatica siendo lo más escéptico posible y aplicando el criterio de proporcionalidad entre el valor del activo a proteger y el precio de la protección correspondiente.