Todos conocemos el mantra popularizado por el conocido experto en seguridad informática Bruce Schneier: las personas a menudo representan el eslabón más débil de la cadena de seguridad y son crónicamente responsables de los fallos de los sistemas.
Puede que el año 2000 esta afirmación fuese irrefutable, pero hoy en día algunas neveras son pequeños ordenadores que producen hielo al mismo tiempo que participan en un ataque de denegación de servicio distribuido contra Twitter o Spotify.
La idea de que un refrigerador pueda ser pirateado puede parecer sacada de una película distópica.
Pero el peligro va mucho más allá de que un pirata informático sepa cuántos huevos comemos.
Este aparato con su sistema Android o Tizen, que se conecta a internet vía wifi, puede ser explotado para formar parte de una botnet.
Y la mayoría de veces incorporar en estos dispositivos un módulo de plataforma segura (TPM) no es una prioridad para el fabricante debido a que no es rentable.
¿Si los humanos somos el eslabón más débil, eso significa que el resto de la cadena (hardware, software, etc.) es más robusta y más segura?
Podríamos decir que esto no es exacto.
- Por ejemplo, Microsoft, por cortesía de Windows Update, el segundo martes de cada mes nos brinda parches de seguridad para su sistema operativo.
- Lo mismo puede aplicarse a todos los programas instalados en un dispositivo, incluido el propio dispositivo.
Esto significa que con el paso del tiempo se van descubriendo vulnerabilidades que ya venían incluidas dentro del software.
Nos pasamos todo el tiempo parcheando vulnerabilidades (lo que los desarrolladores llaman eufemísticamente, actualizar) y es el mecanismo principal que tenemos para mantener nuestros sistemas seguros.
Imaginemos por un momento que somos fabricantes de coches, y tenemos que decirle a nuestros clientes que si quieren conducir de forma segura, deben reparar su automóvil prácticamente cada quince días.
Pero si mientras tanto ocurre un accidente: ¿tacharíamos a los conductores de negligentes?
Una pieza de software con vulnerabilidades no corregidas es una puerta abierta a los exploits.
Si nos tomamos la molestia de leer el acuerdo de licencia para el usuario final (EULA), casi todos los programas que instalamos en nuestros dispositivos, vienen con una cláusula que exime al desarrollador de toda responsabilidad por los posibles problemas derivados de la ejecución y el uso de su software.
Este es un ejemplo literal extraído de un conocido programa de pago (venía todo en mayúsculas).
EXCEPTO QUE SE ESTIPULE POR SEPARADO EN UNA GARANTÍA LIMITADA EXPLÍCITA Y POR ESCRITO, TODO EL SOFTWARE SUMINISTRADO POR X SE PROVEE “TAL CUAL ESTÁ” Y “SEGÚN DISPONIBILIDAD”, SIN GARANTÍAS DE NINGÚN TIPO YA SEAN EXPLÍCITAS O IMPLÍCITAS.
Muchas de estas cláusulas por su complejidad y longitud disuaden a los consumidores de leerlas, lo que refuerza perversamente sus infames atributos.
Son lentejas, las tomas o las dejas.
Si quieres utilizar un software, tienes que instalarlo tal cual viene, sin poder matizar sus términos de uso, ni pedir responsabilidades si tu sistema se ve comprometido porque el programador ha escrito mal el código, o ha implementado una puerta trasera.
En este caso:¿Somos los usuarios el eslabón más débil de la cadena de seguridad? ¿O somos víctimas de la mala praxis la industria?
No todos somos expertos en lenguaje de programación para poder revisar el código fuente de un programa, y aunque lo fuésemos, tampoco podríamos.
Aplicar ingeniería inversa a una pieza de software (excepto si es libre o de código abierto) implica cometer un delito contra la propiedad intelectual.
El factor humano: ¿el mayor riesgo para la seguridad informática en las empresas?
Aunque las organizaciones protegen constantemente sus activos digitales de los atacantes, la incómoda verdad es que muchas veces la mayor amenaza son las herramientas que utilizan para las tareas cotidianas.
Muchas todavía usan Windows 7 que dejó de recibir soporte en enero de 2020.
Y, para empeorar las cosas, este sistema operativo solo admite versiones de Internet Explorer discontinuadas, que son empleadas por muchas empresas como navegador predeterminado, incluso en sus Intranets.
Una de las razones principales es que la dependencia de programas y aplicaciones que no son compatibles con Windows 10, hacen que la migración a otra versión del sistema operativo resulte bastante cara y complicada.
Pero es bien sabido que Microsoft ya no envía más actualizaciones de software para este sistema operativo ni tampoco parches de seguridad.
También que Internet Explorer 11 para Windows 10 es la única versión que está recibiendo (de momento) soporte por parte de Microsoft.
Apuntalar un sistema operativo obsoleto, junto con un navegador vulnerable, es similar a intentar frenar una enfermedad grave con homeopatía.
Y ante estas malas prácticas, los empleados poco pueden hacer, ya que la mayoría ni siquiera tienen los privilegios necesarios para instalar Mozilla Firefox en sus terminales con Windows 7.
En cualquier caso, todas las empresas son objetivos potenciales de ataques de malware y violaciones de datos.
A los piratas informáticos no les importa su modelo de negocio o la cantidad de empleados. Solo se preocupan por sus datos y no se detendrán ante nada para tenerlos en sus manos.
Y no acostumbran a complicarse la vida: el correo electrónico sigue siendo su principal vector de ataque.
Indudablemente, es mucho más fácil engañar a un profesional mediante ingeniería social para obtener acceso a los archivos confidenciales de una empresa, que intentar instalar un rastreador de paquetes en una LAN interna.
Cuando pasamos muchas horas trabajando en tareas repetitivas delante de un ordenador, los comportamientos como hacer clic en enlaces o abrir archivos, pueden llegar a automatizarse.
También es mucho más complicado conseguir acceso root para infectar con ransomware un servidor basado en Linux, que ocultarlo dentro de un archivo adjunto a un correo electrónico con la esperanza de que un empleado lo ejecute.
Basta con enviar al departamento comercial una factura con un archivo PDF adjunto que al ser abierto propagará el malware por la red de la empresa como si fuese la peste.
¿Esto significa que los empleados siempre tienen la culpa?
No necesariamente: la infame desconexión entre las personas y la seguridad tiene mucho más que ver con las políticas dentro de una organización.
Si bien puede haber empleados que actúen con negligencia y hasta incluso con mala fe, la mayoría de ellos asumirán que ya están protegidos mediante los procedimientos establecidos por su departamento de TI.
Es por ello que ignorarán las repercusiones que puede tener abrir por inercia un archivo adjunto a un correo electrónico, o el papel que podrían desempeñar sin saberlo en una brecha de seguridad.
No se trata de imponerles limitaciones absurdas, como por ejemplo no tener privilegios de usuario para instalar un navegador web, con el que posiblemente se sentirán más cómodos (y seguros) a la hora del desempeño de sus funciones.
Tampoco de implementar un régimen sancionador asociado al incumplimiento de las normas en materia de seguridad informática.
El problema es que si no están bien informados, inevitablemente se producirán incidentes.
Y no basta con la típica presentación de 20 minutos mediante PowerPoint.
Esta información debe proporcionarse en un lenguaje sencillo y entendible, libre de tecnicismos que impidan una comprensión clara de los conceptos, pero sin sacrificar su precisión.
Pero las empresas rara vez invierten en educar a su personal sobre los peligros de la ingeniería social, el malware y los ataques dirigidos que podrían surgir todos los días durante la jornada laboral.
La tecnología puede filtrar la mayoría de las amenazas, pero ni el mejor antivirus del mundo evitará que un profesional facilite a un tercero su contraseña de acceso a la red, si cae en la trampa de la llamada telefónica supuestamente procedente del departamento de informática.
Tampoco evitará que un villano recopile información corporativa utilizando la página web de la empresa, y junto con los datos de un directivo obtenidos de su perfil de LinkedIn, perpetre un ataque de phishing dirigido, mediante un correo casi personalizado.
En este sentido, las redes sociales profesionales y personales son un hervidero de información sobre personas y empresas.
En lugar de confiar solamente en el departamento de TI, las empresas deberían ofrecer programas de capacitación y educación para garantizar que los empleados puedan identificar y prevenir las amenazas de seguridad.
Por lo menos, las más básicas.
Las personas son la primera línea de defensa y deben ser vistas como unos activos valiosos y una parte fundamental de la solución. No como un riesgo más.
