Ciber Seguridad

La seguridad en espacios como la Internet y las nuevas Tecnologías de Información Y Comunicación, representan un creciente desafío para los ciudadanos y, en especial, para los Estados, dado que, las nuevas y las más comunes amenazas a las que nos enfrentamos hoy, tienen, a través de la ciber-criminalidad, un carácter más amplio, inmediato, rápido, ambiguo, anónimo, pero a la vez, con mayor impacto en la sociedad y su desarrollo.

Es lógico pensar que, en los próximos años, la mayoría de acciones que realice el ser humano estarán aún más vinculadas al uso de tecnologías, que tendrán como principal característica su interacción y permanente comunicación entre sí, por medio de redes y plataformas mucho más amplias de las que hoy tengamos conocimiento. Y en ese escenario, los riesgos y amenazas serán cada vez mayores, con identidades diversas y con una magnitud mayor, que implicará incluso un riesgo a la propia seguridad nacional.

Por su parte, los Estados y sus administraciones no podrán hacer a un lado ni librarse de esta realidad, y conforme al avance tecnológico, se verán obligados a utilizar, de forma más constante y permanente, los sistemas integrados de comunicación y almacenamiento de información digital, lo que, como es obvio, los llevará a exponerse a riesgos no tan tradicionales, como para los que podrían estar hoy más preparados, sino a nuevas formas de ataques o guerras, que al presentar elementos nuevos en su ejecución, podrían significar un mayor riesgo en su seguridad y estabilidad.

Es en previsión de dicho escenario, presente hoy, pero con un futuro más amplio e incierto, que se hace imprescindible diseñar, con tiempo, estrategias y planes que tengan como objetivo central el implementar un adecuado Sistema Nacional para la Ciber-seguridad, el cual pueda hacer frente a las nuevas amenazas y riesgos provenientes del accionar de ciber-delincuentes o ciber-terroristas, que pudieran poner en serio peligro el desarrollo del país, su estabilidad y gobernabilidad.

Fallas endógenas comunes que ponen en riesgo la ciber-seguridad

Es común pensar que los principales riesgos en el ámbito informático o tecnológico provienen de fuentes externas, de personas o entidades que, por una u otra razón, desean vulnerar nuestra seguridad, sea para robarnos información, manipular o dañar nuestras bases de datos o simplemente utilizar nuestra plataforma para atacar a una tercera.

Sin bien todo ello, en gran medida, es cierto, no menos cierto es que la mayor cantidad de riesgos no provienen de fuentes extrañas o externas a nosotros, sino por el contrario, suelen provenir y originarse de y en nuestro propio entorno, casi siempre debido al mal uso que los propios usuarios hacen de los sistemas o por desconocimiento de ciertas practicas y protocolos de seguridad.

A continuación, se enumeran algunos temas que suelen no tomarse en cuenta por las empresas o entidades del Estado (principalmente por sus trabajadores o usuarios), que representan fallas en la seguridad, y que terminan por ponerlos en riesgo frente a la ciber-delincuencia.

a. Errores de origen en la programación de los sistemas operativos, programas o aplicaciones. No siempre un sistema operativo, un programa o una aplicación, por mejor marca que tenga de respaldo, está exento de errores o fallas de origen presentes en su misma programación. Muchas empresas, de renombre internacional, se han visto obligadas a retirar sistemas operativos, programas o aplicaciones con problemas de origen en su diseño o arquitectura, que ponían en riesgo la seguridad de quienes hacían uso del mismo. En aquellos casos donde los errores pudieron ser ubicados y solucionados a tiempo, las empresas pusieron a disposición de sus clientes “parches” o actualizaciones en línea, los cuales permitieron resolver los problemas o errores sin recurrir a su retiro y sin poner en riesgo la seguridad de sus usuarios.

b. Elección incorrecta del sistema operativo para el uso que se le quiere dar. Existe una diversidad de sistemas operativos, cada cual con algún elemento que lo hace diferente al resto. Algunos privilegian el diseño, su entorno amigable, su facilidad de manejo, otros la información y la gestión de datos, y hay quienes se preocupan por la privacidad y el anonimato de sus usuarios. Es importante por ello tener claro qué tarea debemos realizar, cuáles son nuestras metas y el uso que le daremos a nuestro sistema, para así poder elegir el sistema operativo más adecuado. Muchas veces los sistemas operativos más comunes, famosos o comerciales, terminan por ser blanco de mayores ataques. 

c. Incorrecta configuración de los sistemas operativos y de los programas o aplicaciones delas PCs o los Servidores. Cada sistema operativo, programa o aplicación que utilizamos diariamente, ha sido diseñado y elaborado para cumplir ciertas tareas específicas, bajo condiciones propias de cada usuario y bajo los parámetros personalizados que éste le señale. Para ello, el programador ha optado por permitir que cada usuario defina el modo y la forma en que dicho programa trabajará para alcanzar su objetivo. La personalización o configuración no es sino la oportunidad que tiene el usuario de indicarle al sistema, programa o aplicación, el modo en que deberá desarrollar la tarea encomendada. Sin embargo, la libertad que tiene el usuario podría terminar por convertirse en un elemento generador de riesgo, cuando por desconocimiento o falta de experiencia, utiliza inadecuadamente las herramientas de configuración que le ha otorgado el programador, lo que podría generar vulnerabilidades en el propio sistema, programa o aplicación.

d. Sistemas operativos y programas para el soporte del sistema desactualizados o piratas. Los programas destinados al soporte del sistema, suelen ser los principales objetivos de ataque por parte de "crackers" (especialistas en lenguaje de programación que buscan la introducirse, robar, adulterar o dañar un sistema o soporte informático), quienes suelen concentrarse en encontrar las vulnerabilidades y errores que pudieran tener estos programas, para utilizarlos como puertas de ingreso o "back doors".

Para evitar que esta situación de riesgo se produzca, las empresas diseñadoras de sistemas operativos trabajan en la búsqueda de soluciones y mejoras de sus propios programas, lo que se traduce en actualizaciones de los mismos, para que sus clientes cuenten con mejores sistemas de defensa y se corrijan así las vulnerabilidades que se hayan encontrado en los productos. Sin embargo, para que estas actualizaciones puedan llevarse a cabo, es imprescindible que el programa en cuestión haya sido adquirido legalmente, y se cuente con la licencia respectiva, ya que de lo contrario, la actualización no surtirá efecto, manteniéndose así la vulnerabilidad del producto, lo que pone en riesgo la seguridad del propio sistema y sus componentes.

e. Equipos obsoletos o incompatibles entre sí. El imparable y exponencial avance tecnológico y el diseño de programas acordes a dicho avance, terminan por excluir y hacer a un lado a aquellos productos que, a pesar de su corta vida útil, van convirtiéndose en obsoletos. La obsolescencia de un equipo tecnológico ya no está definida por el desgaste de sus piezas ni por los años en los que ha estado en uso, sino por la incapacidad de éste para cumplir las nuevas funciones y procesos que se presentan cada día y que requieren nuevas características y nuevas respuestas frente a retos diferentes. Por ello, la renovación y actualización constantes de los equipos tecnológicos debe ser parte del plan operativo de toda empresa o entidad, más aún si lo que se busca, además de la efectividad y eficacia de dichos aparatos, es proteger la información que ha sido alojada en ellos, buscando además que entre estos equipos exista la compatibilidad necesaria que lo convierta en un sistema dinámico, comunicativo y sólido.

Debemos tener presente que, no todos los equipos son compatibles entre sí, pues, en muchos casos, dependerá de la marca, el modelo o el país de procedencia, el correcto funcionamiento de los mismos. No observar este detalle puede llevar a construir un sistema con espacios de vulnerabilidad considerables.

f. Uso indiscriminado de conexiones bluetooth y wi-fi, con configuración abierta o incorrecta. El acceso a Internet, la comunicación inalámbrica y la transmisión de datos por medio de tecnología libre de conexiones físicas, ha llevado a los usuarios a utilizar, masivamente, conexiones wi-fi y transmisión de datos vía bluethooth, lo que sin duda permite una interacción y acceso a datos sin complicaciones de cables.  Sin embargo, son justamente estas “facilidades” y “beneficios” nacidos del uso de conexiones inalámbricas, las que permiten que terceras personas puedan encontrar nuevas vías de ingreso a nuestros sistemas, y con ello a nuestra información.

Los principales riesgos que se presentan a partir de las conexiones inalámbricas nacen de una mala configuración del equipo modem (router), pues en la mayoría de veces, dicho equipo es utilizado sin cambiar la configuración de origen, es decir, con la que vienen por defecto desde la fábrica. Y es que debe entenderse que la configuración de fábrica suele ser una muy básica, general y que tiene por norma ser lo suficientemente ágil y amigable, que permita una pronta conexión a la red, sin mayor problema. Una adecuada configuración de este dispositivo puede asegurarnos menos dolores de cabeza, al reducir los espacios de vulnerabilidad y riesgo.

g. Uso inadecuado de los sistemas operativos y de las aplicaciones por parte de los usuarios. En ocasiones, el riesgo no radica ni en el equipo ni en los programas que este pueda contener, sino en el uso que pueda hacerse de ellos. Muchas veces, son los propios usuarios los que, sin deseo y sin conciencia alguna, terminan por facilitar el trabajo de terceras personas que buscan irrumpir sin autorización en el sistema. El uso inadecuado de un sistema operativo, un programa o una aplicación por parte de una persona, termina por ser el factor más relevante en la generación de riesgos, pues la mala utilización de un programa es la vía más rápida para el ingreso de programas maliciosos, los cuales tienen como objeto apropiarse del control del sistema, o robar o dañar parte de él. La frase más escuchada en estos últimos años, como es “me hackearon” debería ser expresada en su correcta dimensión como “regalé o permití el acceso de terceros por no tener el mínimo cuidado”.

h. Elección incorrecta del navegador web. Existen actualmente una serie de sistemas de navegación para acceder a Internet, en diversas plataformas (computadoras de escritorio, laptops, tablets, móviles, servidores, etc.), muchas de las cuales ofrecen distintos elementos de seguridad y control sobre la información. No obstante, similar a lo que ocurre con la elección de los sistemas operativos, es necesario que los usuarios (personas, empresas o instituciones) tengan en claro el uso que le darán al equipo o sistema, pues de ello dependerá la mejor elección del navegador web.

En el mercado de programas, existen navegadores que procuran el acceso a mayor cantidad de información en el menor tiempo posible de respuesta. Otros sin embargo, privilegian la privacidad y el anonimato de sus usuarios. Otros han sido diseñados para interactuar de la mano con otros elementos o programas, mientras algunos pueden trabajar solos. Por ello, al momento de decidir el navegador que se utilizará, debe tomarse en consideración el objeto, fin y uso que se le dará a dicho equipo.

i. Servicios de hosting y dominio vulnerables. De nada vale que cuides tu dinero, si al llevarlo a un banco, eliges uno que no invierta en su seguridad. Similar cosa sucede cuando hablamos de la seguridad de nuestra información que se aloja en servidores externos o que utiliza servicios de alojamiento (hosting) y de dominio (dirección web) privados. De nada sirve que se implementen procedimientos y protocolos de seguridad internos, si al final la vulnerabilidad de nuestro sistema radica en la fragilidad que tienen nuestros socios (empresas que nos brindan soporte o servicio), los que  pueden convertirse en el objeto de ataque o nuestro talón de Aquiles. Es importante que, al momento de requerir los servicios de hosting y de dominio a un tercero, externo a nuestra empresa o entidad, se tome en cuenta la seriedad, el profesionalismo y los controles de seguridad que ofrezca dicha empresa, frente a la información que recibirán de nosotros.

j. Ausencia de firewalls y antivirus, o presencia de estos pero desactualizados. Como es lógico, un usuario, una empresa o una entidad, no pueden dedicarse a diseñar respuestas diarias frente a programas maliciosos, pues de hacerlo, terminarían por descuidar las labores propias de su quehacer cotidiano. Frente a ello, se hace necesario que estos usuarios cuenten con sistemas de protección básicos que sirvan para frenar cualquier intento de ingreso de programas espías.

Cada día, cada hora, cada minuto y cada segundo, en el mundo son creados programas maliciosos o espías, que buscan ingresar ilegalmente a sistemas privados, robar información, manipularla, dañarla o adulterarla. Estos programas maliciosos son envueltos, cual caramelos, en atractivos anuncios, en mensajes o noticias supuestamente reales, en portales para adultos, entre otros, y son tirados, cual anzuelos, a la espera de que alguien los acepte, los muerda, los haga ingresar a su sistema. Frente a ello, diversas empresas, dedicadas exclusivamente a la producción de vacunas, remedios y antídotos informáticos, ofrecen sus servicios de protección mediante programas denominados “antivirus” o “anti-espías”, los cuales contienen una lista inmensa de posibles amenazas, para impedir que éstas puedan acceder a nuestros sistemas. Dichas listas (bases de datos) se actualizan diariamente, ya que cada día también aparecen nuevas amenazas. Así, un programa antivirus, que no se actualice constantemente, termina por convertirse en un programa vacío, sin capacidad de descubrir un riesgo ni mucho menos frenarlo.

Por lo tanto, no basta sólo con tener un programa antivirus, sino es necesario que éste pueda actualizarse diariamente.

Algunos presupuestos a tener presente

Existen ideas simples que, por serlo, suelen pasar desapercibidas ante un público usuario poco atento a los cambios tecnológicos. Muchos usuarios basan sus creencias de seguridad en elementos anteriores de la aparición y crecimiento de las nuevas Tecnologías de Información y Comunicación. Esas creencias, en el ámbito de la ciber-seguridad, lo llevan a elaborar y aceptar ideas como “seguridad al 100%”, “la inseguridad se encuentra de la puerta de mi casa hacia la calle”, “el mundo real es diferente al mundo digital”, “yo me cuido, por lo tanto estoy seguro”, “mi cuenta de correo y mis perfiles son impenetrables”, “mi dispositivo tiene password y por lo tanto es seguro”, etc.

Sin embargo, y a pesar de que dichas creencias se encuentran enraizadas fuertemente en los usuarios, las empresas y las entidades, la realidad nos demuestra que no existe la seguridad total de algo; que la inseguridad generada por las nuevas TIC hace de nuestro hogar, nuestra empresa o nuestra entidad, un escenario natural para la aparición de riesgos mucho más peligrosos que los existentes en la calle; que el mundo digital es cada vez más parecido al mundo real, y que ambos interactúan de forma tal que es muy difícil diferenciarlos; que la seguridad no depende sólo del usuario, de la empresa o de la entidad que la persigue, sino también de las personas o socios con los que éste interactúa; que en tanto seamos usuarios de sistemas, programas o aplicaciones que no hayamos diseñado ni programado nosotros mismos, estaremos supeditados a la seguridad que las empresas que lo hicieron nos quieran o pudieran dar, por lo que, al utilizar una cuenta de correo electrónico por la cual no hemos tenido que pagar, y a la cual accedimos aceptando unos términos y condiciones que nunca leímos, estaremos en permanente riesgo; y que en tanto hagamos uso de contraseñas que son almacenadas en grandes bases de datos de las que no somos dueños ni frente a las cuales tenemos injerencia, la seguridad sólo será una mera percepción e ilusión tan real como lo es un unicornio.

Por ello, la necesidad de construir ideas nuevas, que describan, a través de palabras simples pero directas, la real situación de seguridad en la que nos encontramos, se convierte en una necesidad casi evangelizadora, que pretende remover creencias antiguas y reemplazarlas por unas nuevas. Así tenemos:

a.       No existen sistemas 100% seguros.

b.      El sistema más seguro es aquel que no tiene contacto con el exterior

c.       Cuando un archivo es borrado, en realidad no desaparece del soporte donde estaba. Lo único que sucede es que se coloca una marca en dicho soporte, advirtiendo que el archivo ya no está disponible, pero al seguir existiendo, puede ser recuperable.

d.      No existe privacidad ni anonimato al 100%. Si algo está en la Internet, es hackeable y puede ser compartido, manipulado, adulterado o dañado.

e.      Con tiempo y motivación, cualquier portal, sistema o plataforma puede ser vulnerado.

f.        La seguridad informática no depende de un área, depende de todos los miembros del equipo, y aún con ello, nunca es 100% seguro.

g.       No existen sistemas, programas ni aplicaciones gratuitas en la Internet. En cuestión de ciber-seguridad, “la carne viene con hueso”.

Dimitri N. Senmache Artola

Presidente de la Red Peruana contra la Pornografía Infantil

Especialista en gestión y seguridad de la información

Director asociado de CW&D Senmache Consultores y Asociados SAC

senmache@gmail.com 

Twitter: @senmache