Libros y libros se han escrito sobre problemas de seguridad en la informática. Y eso que los virus no son lo peor que nos puede pasar. En esta era en que todo se está automatizando, todos los sistemas están siendo centralizados y la información digitalizada un agujero de seguridad podría significar demasiado peligro para nuestras vidas. Ya no es sólo el dar acceso a nuestros números de tarjetas de crédito sino también a nuestras agendas, listas de contactos, información personal, etc.
Muchos le echan la culpa a los geeks, otros a los usuarios. Que unos no hacen sistemas confiables, que no toman las precauciones necesarias o que son ellos mismos (los de “su tipo“) los culpables de tanta inseguridad. Los otros dicen que el usuario promedio no sabe qué es lo que hace, que utilizan claves de diccionario o fáciles de adivinar, que hacen click en cualquier lado y revelan información que no deberían. Yo creo que están equivocados… los dos. El problema de la seguridad es de todos.
Tanto de quienes somos responsables de diseñar, construir, implementar y/o mantener sistemas, como aquellos que los utilizan. Pero hay un tercer personaje en esta novela: los medios. Reconozcamos que, por más que nos esforcemos, es complicado hacerle entender al usuario promedio qué es el phishing, cómo decidir qué información revelar o cómo detectar ventanas falsas y sitios peligrosos. En cambio, si lo ven en el diario, el noticiero, o en un blog o sitio de internet que les interese sí prestan atención.
Pero ¿qué pasa cuando esos medios dicen cualquier cosa, o verdades a medias? Es entonces donde se arma el revuelo y todos apuntan dedos. Pero nadie hace nada. Claro ejemplo es un artículo en DiarioTI avisando de un grupo de hackers que publican una vulnerabilidad por día durante Julio. Los errores del artículo son, a mi entender, los siguientes:
- Falta de links: no hay ni un mísero vínculo para poder informarte más al respecto.
- Presunto mal uso de la palabra hackers: el término, si bien está correctamente utilizado, tiene una connotación completamente negativa. El publicar una vulnerabilidad es justamente lo que enaltece el trabajo realizado y los hace hackers y no crackers ya que ésto obliga a los desarrolladores a preparar sus productos contra dicha vulnerabilidad. Caso contrario, cualquiera (y no sólo ellos como sucedería en caso que no la publiquen) podría utilizarla para sus propios objetivos non-sanctos.
- Falta de información: dicen que publicarán vulnerabilidades, no especifican cuáles ni sobre qué navegadores. Estando una semana ya dentro de Julio, significa que se han publicado al menos 7.
- Causar pánico: no dicen cómo protegerse en contra de estas vulnerabilidades. Ni siquiera proveen de recursos para informarse más al respecto.
En caso de haber contenido toda esa información, el artículo sería útil tanto al usuario como a los encargados de sistemas. Además, la publicación gana prestigio y/o audiencia. Todos ganan. Pero no es negocio la seguridad si no se hace escándalo. Otro ejemplo: todos anuncian que Micro$oft dejará de dar soporte a Windows 98/98SE/ME/XP SP1. Esto implica falta de actualizaciones de seguridad y otras tantas cosas; pero nadie dice qué hacer si no se tienen opciones de actualizar (por cuestiones económicas o de hardware). Mi primera respuesta sería, obviamente, Linux; pero hay otras opciones, como extender ciertas medidas de seguridad y minimizar daños. Eso es cuestión de cada uno, pero nadie lo dice… todos se quedan en el escándalo.
Para no quejarme de lleno y hacer de esto una crítica constructiva, he aquí el servicio que yo utilizo para alertas de seguridad. Hay muchos dando vueltas, pero Alerta Antivirus es el que uso yo. Con opción de recibir un e-mail por día con las últimas novedades en materia de Virus clasificados según cuán amenazantes son. También proveen de e-mails especiales en casos extremos (virus de rápida propagación) e información en general sobre el mundo de la seguridad.
Sabiendo o no qué significan todas las cosas que nos pueden pasar. Entendamos o no qué es el phishing, scamming, los troyanos, backdoors, exploits y mil otras palabras estar informados es ir un paso más adelante ¿no?
Mucha razón en el artículo que has escrito. Mi primera visita a este sitio y la verdad que me ha dejado una buena imagen de él.
Como comentario, un agregadito… es el tema de que habrá más problemas de seguridad para la gente con Windows (solo aquellos piratas, o sea, más de la mitad de los que lo tienen), ya que están desactivando las actualizaciones automáticas para evitar el bendito WGA y lo único que logran es saltarse la protección (temporalmente) pero están cometiendo el peor error de sus vidas, porque en breve comenzarán a salir nuevas vulnerabilidades y nuevos parches… y si no pueden actualizar (están entre la espada y la pared, o Bugs o WGA, que no se cual es peor) se limitan a dejar la PC como está. Conozco casos de oficinas comerciales enteras, que están al borde de la desesperación y cuentan como último recurso (siendo que debería ser el primero) a Linux. Les he dado charlas sobre Ubuntu Linux y ahora veo que sale una opción más para alentar las pequeñas y medianas empresas (MoLinux), pero siguen esperando que algún milagroso cracker safe la protección y puedan seguir actualizando sin problema. Yo personalmente, ya he dejado de dar soporte a todas las oficinas que no tienen una licencia original de Windows, por dos motivos…una, que es ilegal para ellos como para mi, y dos, que si no quieren pagar… tienen opciones y muchas.
En fin, me dejo de mensajes largos, te agrego a mis feeds diarios
[...] ya dijimos unas palabras sobre seguridad y cómo es algo que construimos entre todos. Es hora de aprender, de concientizar a la gente, de educar… hoy en particular eso es muy [...]