Ciber Seguridad
La seguridad en espacios
como la Internet y las nuevas Tecnologías de Información Y Comunicación,
representan un creciente desafío para los ciudadanos y, en especial, para los
Estados, dado que, las nuevas y las más comunes amenazas a las que nos enfrentamos
hoy, tienen, a través de la ciber-criminalidad, un carácter más amplio,
inmediato, rápido, ambiguo, anónimo, pero a la vez, con mayor impacto en la
sociedad y su desarrollo.
Es lógico pensar que, en
los próximos años, la mayoría de acciones que realice el ser humano estarán aún
más vinculadas al uso de tecnologías, que tendrán como principal característica
su interacción y permanente comunicación entre sí, por medio de redes y
plataformas mucho más amplias de las que hoy tengamos conocimiento. Y en ese escenario,
los riesgos y amenazas serán cada vez mayores, con identidades diversas y con
una magnitud mayor, que implicará incluso un riesgo a la propia seguridad
nacional.
Por su parte, los Estados
y sus administraciones no podrán hacer a un lado ni librarse de esta realidad,
y conforme al avance tecnológico, se verán obligados a utilizar, de forma más
constante y permanente, los sistemas integrados de comunicación y
almacenamiento de información digital, lo que, como es obvio, los llevará a
exponerse a riesgos no tan tradicionales, como para los que podrían estar hoy
más preparados, sino a nuevas formas de ataques o guerras, que al presentar
elementos nuevos en su ejecución, podrían significar un mayor riesgo en su
seguridad y estabilidad.
Es en previsión de dicho
escenario, presente hoy, pero con un futuro más amplio e incierto, que se hace
imprescindible diseñar, con tiempo, estrategias y planes que tengan como
objetivo central el implementar un adecuado Sistema Nacional para la Ciber-seguridad,
el cual pueda hacer frente a las nuevas amenazas y riesgos provenientes del
accionar de ciber-delincuentes o ciber-terroristas, que pudieran poner en serio
peligro el desarrollo del país, su estabilidad y gobernabilidad.
Fallas endógenas comunes
que ponen en riesgo la ciber-seguridad
Es común pensar que
los principales riesgos en el ámbito informático o tecnológico provienen de fuentes externas, de personas o entidades que, por una u otra
razón, desean vulnerar nuestra seguridad, sea para robarnos información,
manipular o dañar nuestras bases de datos o simplemente utilizar nuestra plataforma para
atacar a una tercera.
Sin bien todo ello, en gran
medida, es cierto, no menos cierto es que la mayor cantidad de riesgos no provienen de fuentes extrañas o externas a nosotros, sino por el
contrario, suelen provenir y originarse de y en nuestro propio entorno, casi
siempre debido al mal uso que los propios usuarios hacen de los sistemas o por
desconocimiento de ciertas practicas y protocolos de seguridad.
A continuación, se
enumeran algunos temas que suelen no tomarse en cuenta por las empresas o
entidades del Estado (principalmente por sus trabajadores o usuarios), que
representan fallas en la seguridad, y que terminan por ponerlos en riesgo
frente a la ciber-delincuencia.
a. Errores de origen
en la programación de los sistemas operativos, programas o aplicaciones. No siempre un sistema
operativo, un programa o una aplicación, por mejor marca que tenga de respaldo,
está exento de errores o fallas de origen presentes en su misma programación.
Muchas empresas, de renombre internacional, se han visto obligadas a retirar
sistemas operativos, programas o aplicaciones con problemas de origen en su
diseño o arquitectura, que ponían en riesgo la seguridad de quienes hacían uso
del mismo. En aquellos casos donde los errores pudieron ser ubicados y
solucionados a tiempo, las empresas pusieron a disposición de sus clientes
“parches” o actualizaciones en línea, los cuales permitieron resolver los
problemas o errores sin recurrir a su retiro y sin poner en riesgo la seguridad
de sus usuarios.
b. Elección
incorrecta del sistema operativo para el uso que se le quiere dar. Existe una diversidad de
sistemas operativos, cada cual con algún elemento que lo hace diferente al
resto. Algunos privilegian el diseño, su entorno amigable, su facilidad de
manejo, otros la información y la gestión de datos, y hay quienes se preocupan
por la privacidad y el anonimato de sus usuarios. Es importante por ello tener
claro qué tarea debemos realizar, cuáles son nuestras metas y el uso que le
daremos a nuestro sistema, para así poder elegir el sistema operativo más
adecuado. Muchas veces los sistemas operativos más comunes, famosos o
comerciales, terminan por ser blanco de mayores ataques.
c. Incorrecta
configuración de los sistemas operativos y de los programas o aplicaciones
delas PCs o los Servidores. Cada sistema operativo,
programa o aplicación que utilizamos diariamente, ha sido diseñado y elaborado
para cumplir ciertas tareas específicas, bajo condiciones propias de cada
usuario y bajo los parámetros personalizados que éste le señale. Para ello, el
programador ha optado por permitir que cada usuario defina el modo y la forma
en que dicho programa trabajará para alcanzar su objetivo. La personalización o
configuración no es sino la oportunidad que tiene el usuario de indicarle al
sistema, programa o aplicación, el modo en que deberá desarrollar la tarea
encomendada. Sin embargo, la libertad que tiene el usuario podría terminar por
convertirse en un elemento generador de riesgo, cuando por desconocimiento o
falta de experiencia, utiliza inadecuadamente las herramientas de configuración
que le ha otorgado el programador, lo que podría generar vulnerabilidades en el
propio sistema, programa o aplicación.
d. Sistemas
operativos y programas para el soporte del sistema desactualizados o
piratas. Los programas destinados al soporte del sistema, suelen ser
los principales objetivos de ataque por parte de "crackers" (especialistas
en lenguaje de programación que buscan la introducirse, robar, adulterar o
dañar un sistema o soporte informático), quienes suelen concentrarse en
encontrar las vulnerabilidades y errores que pudieran tener estos programas,
para utilizarlos como puertas de ingreso o "back doors".
Para evitar que esta
situación de riesgo se produzca, las empresas diseñadoras de sistemas
operativos trabajan en la búsqueda de soluciones y mejoras de sus propios
programas, lo que se traduce en actualizaciones de los mismos, para que sus
clientes cuenten con mejores sistemas de defensa y se corrijan así las
vulnerabilidades que se hayan encontrado en los productos. Sin embargo, para
que estas actualizaciones puedan llevarse a cabo, es imprescindible que el
programa en cuestión haya sido adquirido legalmente, y se cuente con la
licencia respectiva, ya que de lo contrario, la actualización no surtirá
efecto, manteniéndose así la vulnerabilidad del producto, lo que pone en riesgo
la seguridad del propio sistema y sus componentes.
e. Equipos obsoletos
o incompatibles entre sí. El imparable y exponencial
avance tecnológico y el diseño de programas acordes a dicho avance, terminan
por excluir y hacer a un lado a aquellos productos que, a pesar de su corta
vida útil, van convirtiéndose en obsoletos. La obsolescencia de un equipo
tecnológico ya no está definida por el desgaste de sus piezas ni por los años
en los que ha estado en uso, sino por la incapacidad de éste para cumplir las
nuevas funciones y procesos que se presentan cada día y que requieren nuevas
características y nuevas respuestas frente a retos diferentes. Por ello, la
renovación y actualización constantes de los equipos tecnológicos debe ser
parte del plan operativo de toda empresa o entidad, más aún si lo que se busca,
además de la efectividad y eficacia de dichos aparatos, es proteger la
información que ha sido alojada en ellos, buscando además que entre estos
equipos exista la compatibilidad necesaria que lo convierta en un sistema
dinámico, comunicativo y sólido.
Debemos tener presente
que, no todos los equipos son compatibles entre sí, pues, en muchos casos,
dependerá de la marca, el modelo o el país de procedencia, el correcto
funcionamiento de los mismos. No observar este detalle puede llevar a construir
un sistema con espacios de vulnerabilidad considerables.
f. Uso indiscriminado
de conexiones bluetooth y wi-fi, con configuración
abierta o incorrecta. El acceso a Internet, la comunicación inalámbrica y la transmisión
de datos por medio de tecnología libre de conexiones físicas, ha llevado a los
usuarios a utilizar, masivamente, conexiones wi-fi y transmisión de datos vía bluethooth, lo que sin duda
permite una interacción y acceso a datos sin complicaciones de cables.
Sin embargo, son justamente estas “facilidades” y “beneficios” nacidos del uso
de conexiones inalámbricas, las que permiten que terceras personas puedan
encontrar nuevas vías de ingreso a nuestros sistemas, y con ello a nuestra
información.
Los principales riesgos
que se presentan a partir de las conexiones inalámbricas nacen de una mala
configuración del equipo modem (router), pues en la mayoría de veces, dicho
equipo es utilizado sin cambiar la configuración de origen, es decir, con la
que vienen por defecto desde la fábrica. Y es que debe entenderse que la
configuración de fábrica suele ser una muy básica, general y que tiene por
norma ser lo suficientemente ágil y amigable, que permita una pronta conexión a
la red, sin mayor problema. Una adecuada configuración de este dispositivo puede
asegurarnos menos dolores de cabeza, al reducir los espacios de vulnerabilidad
y riesgo.
g. Uso inadecuado de
los sistemas operativos y de las aplicaciones por parte de los usuarios. En
ocasiones, el riesgo no radica ni en el equipo ni en los programas que este
pueda contener, sino en el uso que pueda hacerse de ellos. Muchas veces, son
los propios usuarios los que, sin deseo y sin conciencia alguna, terminan por
facilitar el trabajo de terceras personas que buscan irrumpir sin autorización
en el sistema. El uso inadecuado de un sistema operativo, un programa o una
aplicación por parte de una persona, termina por ser el factor más relevante en
la generación de riesgos, pues la mala utilización de un programa es la vía más
rápida para el ingreso de programas maliciosos, los cuales tienen como objeto
apropiarse del control del sistema, o robar o dañar parte de él. La frase más
escuchada en estos últimos años, como es “me hackearon” debería ser expresada
en su correcta dimensión como “regalé o permití el acceso de terceros por no
tener el mínimo cuidado”.
h. Elección
incorrecta del navegador web. Existen actualmente una
serie de sistemas de navegación para acceder a Internet, en diversas
plataformas (computadoras de escritorio, laptops,
tablets, móviles, servidores, etc.), muchas de las cuales ofrecen distintos
elementos de seguridad y control sobre la información. No obstante, similar a
lo que ocurre con la elección de los sistemas operativos, es necesario que los
usuarios (personas, empresas o instituciones) tengan en claro el uso que le
darán al equipo o sistema, pues de ello dependerá la mejor elección del
navegador web.
En el mercado de
programas, existen navegadores que procuran el acceso a mayor cantidad de
información en el menor tiempo posible de respuesta. Otros sin embargo,
privilegian la privacidad y el anonimato de sus usuarios. Otros han sido
diseñados para interactuar de la mano con otros elementos o programas, mientras
algunos pueden trabajar solos. Por ello, al momento de decidir el navegador que
se utilizará, debe tomarse en consideración el objeto, fin y uso que se le dará
a dicho equipo.
i. Servicios de hosting y dominio vulnerables. De
nada vale que cuides tu dinero, si al llevarlo a un banco, eliges uno que no
invierta en su seguridad. Similar cosa sucede cuando hablamos de la seguridad
de nuestra información que se aloja en servidores externos o que utiliza
servicios de alojamiento (hosting) y de dominio (dirección web)
privados. De nada sirve que se implementen procedimientos y protocolos de
seguridad internos, si al final la vulnerabilidad de nuestro sistema radica en
la fragilidad que tienen nuestros socios (empresas que nos brindan soporte o
servicio), los que pueden convertirse en el objeto de ataque o nuestro
talón de Aquiles. Es importante que, al momento de requerir los servicios de hosting y de dominio a un tercero, externo
a nuestra empresa o entidad, se tome en cuenta la seriedad, el profesionalismo
y los controles de seguridad que ofrezca dicha empresa, frente a la información
que recibirán de nosotros.
j. Ausencia de firewalls y antivirus, o presencia de estos
pero desactualizados. Como es lógico, un
usuario, una empresa o una entidad, no pueden dedicarse a diseñar respuestas
diarias frente a programas maliciosos, pues de hacerlo, terminarían por
descuidar las labores propias de su quehacer cotidiano. Frente a ello, se hace
necesario que estos usuarios cuenten con sistemas de protección básicos que
sirvan para frenar cualquier intento de ingreso de programas espías.
Cada día, cada hora, cada
minuto y cada segundo, en el mundo son creados programas maliciosos o espías,
que buscan ingresar ilegalmente a sistemas privados, robar información,
manipularla, dañarla o adulterarla. Estos programas maliciosos son envueltos,
cual caramelos, en atractivos anuncios, en mensajes o noticias supuestamente
reales, en portales para adultos, entre otros, y son tirados, cual anzuelos, a
la espera de que alguien los acepte, los muerda, los haga ingresar a su
sistema. Frente a ello, diversas empresas, dedicadas exclusivamente a la
producción de vacunas, remedios y antídotos informáticos, ofrecen sus servicios
de protección mediante programas denominados “antivirus” o “anti-espías”, los
cuales contienen una lista inmensa de posibles amenazas, para impedir que éstas
puedan acceder a nuestros sistemas. Dichas listas (bases de datos) se
actualizan diariamente, ya que cada día también aparecen nuevas amenazas. Así,
un programa antivirus, que no se actualice constantemente, termina por
convertirse en un programa vacío, sin capacidad de descubrir un riesgo ni mucho
menos frenarlo.
Por lo tanto, no basta
sólo con tener un programa antivirus, sino es necesario que éste pueda
actualizarse diariamente.
Algunos presupuestos a
tener presente
Existen ideas simples que,
por serlo, suelen pasar desapercibidas ante un público usuario poco atento a
los cambios tecnológicos. Muchos usuarios basan sus creencias de seguridad en
elementos anteriores de la aparición y crecimiento de las nuevas Tecnologías de
Información y Comunicación. Esas creencias, en el ámbito de la ciber-seguridad,
lo llevan a elaborar y aceptar ideas como “seguridad al 100%”, “la inseguridad
se encuentra de la puerta de mi casa hacia la calle”, “el mundo real es
diferente al mundo digital”, “yo me cuido, por lo tanto estoy seguro”, “mi
cuenta de correo y mis perfiles son impenetrables”, “mi dispositivo tiene password y por lo tanto es seguro”, etc.
Sin embargo, y a pesar de
que dichas creencias se encuentran enraizadas fuertemente en los usuarios, las empresas
y las entidades, la realidad nos demuestra que no existe la seguridad total de
algo; que la inseguridad generada por las nuevas TIC hace de nuestro hogar,
nuestra empresa o nuestra entidad, un escenario natural para la aparición de
riesgos mucho más peligrosos que los existentes en la calle; que el mundo
digital es cada vez más parecido al mundo real, y que ambos interactúan de
forma tal que es muy difícil diferenciarlos; que la seguridad no depende sólo
del usuario, de la empresa o de la entidad que la persigue, sino también de las
personas o socios con los que éste interactúa; que en tanto seamos usuarios de
sistemas, programas o aplicaciones que no hayamos diseñado ni programado
nosotros mismos, estaremos supeditados a la seguridad que las empresas que lo
hicieron nos quieran o pudieran dar, por lo que, al utilizar una cuenta de
correo electrónico por la cual no hemos tenido que pagar, y a la cual accedimos
aceptando unos términos y condiciones que nunca leímos, estaremos en permanente
riesgo; y que en tanto hagamos uso de contraseñas que son almacenadas en
grandes bases de datos de las que no somos dueños ni frente a las cuales
tenemos injerencia, la seguridad sólo será una mera percepción e ilusión tan
real como lo es un unicornio.
Por ello, la necesidad de
construir ideas nuevas, que describan, a través de palabras simples pero
directas, la real situación de seguridad en la que nos encontramos, se
convierte en una necesidad casi evangelizadora, que pretende remover creencias
antiguas y reemplazarlas por unas nuevas. Así tenemos:
a. No existen sistemas 100% seguros.
b. El sistema más seguro es aquel que no tiene contacto con el
exterior
c. Cuando un archivo es borrado, en realidad no desaparece del
soporte donde estaba. Lo único que sucede es que se coloca una marca en dicho
soporte, advirtiendo que el archivo ya no está disponible, pero al seguir
existiendo, puede ser recuperable.
d. No existe privacidad ni anonimato al 100%. Si algo está en la
Internet, es hackeable y puede ser compartido, manipulado, adulterado o dañado.
e. Con tiempo y motivación, cualquier portal, sistema o plataforma
puede ser vulnerado.
f.
La seguridad informática no depende de un área, depende de
todos los miembros del equipo, y aún con ello, nunca es 100% seguro.
g. No existen sistemas, programas ni aplicaciones gratuitas en la
Internet. En cuestión de ciber-seguridad, “la carne viene con hueso”.
Dimitri N. Senmache Artola
Presidente de la Red
Peruana contra la Pornografía Infantil
Especialista en gestión y
seguridad de la información
Director asociado de
CW&D Senmache Consultores y Asociados SAC
senmache@gmail.com
Twitter: @senmache
Etiquetas: alertas, ciberespecio, ciberseguridad, deep web, delitos informáticos, fallas, hacker, información, internet, plataforma, red, seguridad, vulnerabilidades, web