¿Qué es esto de la Ciber-Seguridad?

31/10/2017

Francisco Canos.

Decía Hemingway que nadie es una isla. Hoy en día, abrir las ventanas al mundo no sólo airea, sino que es absolutamente necesario. Este proceso tiene doble lectura. Accedemos al mundo, pero el mundo también puede acceder a nosotros. No habría reparos si todo el mundo fuera bueno, pero…, ya lo decía el emperador romano de origen hispano Marco Aurelio hace ya un tiempo: “Esperar que la gente mala no haga cosas malas es de locos, pues quien eso espera, desea un imposible”. Marco Aurelio no vivió en la era de la 4ª Revolución Industrial, pero algo sabía de la naturaleza humana, y esto nos lleva a la ciber-seguridad.

Dice la RAE que seguridad es la cualidad de seguro, y que seguro es algo libre y exento de riesgo. La RAE lo pone difícil. No se me ocurren muchas cosas seguras. ¿La muerte? ¿Pagar impuestos? Einsten hablaba de la estupidez humana…, en fin. Podemos acotar el riesgo en función de su origen. Si nos abrimos al mundo y nos conectamos a la red informática, los riesgos asociados se conocen como ciber-seguridad.

Esa ventana al mundo no crea que se abrió hace mucho. Internet es un conjunto de redes de comunicación que se pueden conectar entre sí debido a la utilización de protocolos estándares. Algo así como pensar que es más fácil que nos entendamos si todos utilizamos el mismo idioma que si cada uno utiliza el suyo. Nació allá por 1969 cuando tres universidades californianas se enlazaron entre si al establecer la primera conexión entre ordenadores (ARPANET). Ahora creemos que el famoso www.meconecto.com siempre ha estado ahí. Pues no, la World Wide Web es un servicio (de los muchos que hay) creado más tarde (1990) que utiliza internet como medio de transmisión y cuyo objetivo es permitir la consulta remota de archivos. A partir de esos años, su crecimiento ha sido absolutamente exponencial, convirtiéndose en algo tan cotidiano que, si hoy hablamos de la Red, como del futbol, todos decimos saber de qué estamos hablando.

¿Es importante la Ciber-Seguridad? Puede parecer obvio, pero por lo que se ve, hay gente que no lo piensa así. O, mejor dicho, tras ver la cantidad de ataques que se han producido sólo en este año y la alta tasa de éxito de estos ataques, parece que para mucha gente la ciber-seguridad no era una prioridad. Dadas las graves consecuencias que han tenido, el tema está cambiando. Siempre es bueno aprender de errores ajenos. Es menos doloroso que aprender de errores propios.

Como decía un buen amigo mío gran experto en ciber-seguridad, la mejor protección contra los ciber-ataques es ser irrelevante. Siempre nos puede caer una maceta simplemente porque pasábamos por ahí, pero parece más lógico pensar que quien utiliza recursos poderosos y costosos para romper protecciones y acceder a la información oculta detrás; lo haga cuando el trofeo a conquistar tenga un valor suficiente como para compensarle los esfuerzos. Tendría sentido que los esfuerzos por protegerse sean proporcionales al valor de la información que se quiere proteger. No olvidemos este punto, lo que se está protegiendo en la Ciber-Seguridad es la información. Una información que puede permitir conocer los datos personales, nuestras claves, realizar transferencias de nuestro dinero, grabarnos, controlar los procesos industriales, acceder a la sala de control de una central nuclear, o de un controlador aéreo. Es información, pero las consecuencias pueden ser muy físicas y muy graves. Veamos algunas:

La NSA o National Security Agency, es una de las más conocidas instituciones de inteligencia y seguridad de los EEUU, como el FBI o la CIA. Este año, un grupo de hackers denominado “Shadow Brokers” reclamó haberles pirateado (en la RAE ya existe la palabra hacker como pirata informático, pero no he visto que haya sido admitida aún la palabra hackear como acto de piratería del hacker. Todo llegará). ¿Qué les pirateó? Según ellos una herramienta que aprovecha (exploits) una vulnerabilidad del sistema Windows. Esta herramienta se llama EternalBlue. ¿Para que la utilizaba la NSA? Dejo a la imaginación del lector la respuesta, pero quiero resaltar un elemento: esa herramienta, tal y cómo la describen los Shadow Brokers, se encontraba alojada dentro de un programa (Windows) de difusión masiva. ¿Tiene usted Windows? Uhmmm.

El pasado mes de mayo, un tipo de virus se hizo famoso. Se le denominó WannaCry (Quiero Llorar). Este es un virus del tipo ransomware. En inglés la palabra ransom significa rescate. Su objetivo es bloquear los sistemas (secuestrar) o amenazar con publicar información sensible si no se paga un rescate (ramson). Todos sabemos los casos más llamativos de su acción. Compañías como Telefónica o el Sistema de Salud inglés sufrieron sus efectos. Su impacto pudo ser grave. Imaginemos las posibles implicaciones de retrasos en operaciones quirúrgicas o similares. El rescate pedido era mínimo, las autoridades americanas dijeron que con bastante probabilidad procedía de Corea del Norte. ¿Qué buscaba alguien con la capacidad de un Estado? Dinero parece que no.

Un comentario sobre lo que dije más arriba acerca de no darle importancia a la ciber-seguridad. Se dice que el virus WannaCry se introdujo en los sistemas a través de EternalBlue. Microsoft avisó y publicó la solución (patch en inglés) denominada MS17-010 en marzo de este año. WannaCry llegó a mediados de mayo.

La información es importante, el momento (timing en inglés) aún más. Dos días antes de que las elecciones presidenciales en Francia, unos hackers volcaron en la red unos cuantos gigas de información. Contenían emails de miembros del partido del hoy presidente Macron. El momento elegido no era baladí. Entraba de lleno en las dos jornadas de reflexión previas a la votación. Los partidos no podían seguir haciendo campaña. El daño ya estaba hecho, tocaba minimizar los efectos. La reacción de Macron no fue mala. Reconoció la fuga (leak en inglés) y advirtieron que no todo lo volcado era legítimo. Es la ventaja de aprender en errores ajenos. Que se lo digan a Hillary Clinton.

¿Te ha parecido interesante?

(+1 puntos, 1 votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.