Supongamos que sospecha padecer una enfermedad que afecta a 1 de cada 1000 habitantes. Para salir de dudas, decide someterse a un test cuya precisión, según su médico, es del 99%, habiendo clasificado como enfermos a 1 de cada 100 pacientes sanos en promedio a lo largo de los años. Para su desgracia, el test resulta positivo. ¿Hasta que punto debería preocuparse? Sorprendentemente, la probabilidad de que realmente usted esté enfermo es tan sólo de aproximadamente el 9%; contrariamente a lo que tenderíamos a pensar, unas 91 personas de cada 100 en su situación estarán sanas pese a haber dado positivo en el test.

Este sesgo en nuestra intuición probabilística, conocido como la falacia de la tasa base, la paradoja del falso positivo, la confusión de la inversa o la falacia de la probabilidad condicional, suele presentarse cuando el índice de incidencia de un suceso (esto es, su probabilidad a priori) es bajo. Y éste es precisamente el caso en el problema de la detección de intrusiones en seguridad informática, como observó el investigador sueco Stefan Axelsson en un artículo de 1999. Veámoslo con un poco más de detalle.

Siguiendo con mi serie de entradas “basadas en hechos reales”, a lo cine de sobremesa de Antena 3, ayer me llegó al buzón de casa un “Aviso Urgente” procedente de una empresa hotelera perteneciente al grupo Marsans. Al parecer, por arte de birlibirloque había sido premiado con un sistema “Home Cinema Dolby Dolby Digital 7.1 + 2 noches de hotel en Europa”, aunque por supuesto, para acceder a ellos debía acudir con mi pareja a una “charla promocional” de 90 minutos, en la que sin duda intentarían vendernos alguna multipropiedad o ingenio similar, y en la que acabarían concluyendo que no entrábamos dentro de perfil adecuado y por tanto sin derecho a regalo.

Como pueden imaginarse, mi reacción inicial fue averiguar de dónde habían sacado mis datos. Echándole un vistazo al impreso y las normas de entrega impresas al dorso, destaco los siguiente puntos:

Es ya habitual que a la hora de pagar con tarjeta de crédito, en todo tipo de comercios, supermercados, o grandes superficies, nos sorprendan con un nuevo aparato, en forma de tarjeta digitalizadora, que nos ofrecen amablemente para que garabateemos nuestra firma manuscrita. Seguro que se han encontrado con ellos, pero a continuación pueden ver tres ejemplos de este tipo de instrumentos:

No deja de ser increíble que cuando en España hablamos de Buen Gobierno pasemos totalmente por alto conceptos como el Gobierno de la Seguridad de la Información o el cumplimiento legal en determinados ámbitos; abrimos la boca y con palabras grandilocuentes y grandes expresiones hablamos de la “Empresa Responsable”, del “Desarrollo Sostenible” o de la “Responsabilidad Corporativa”, cuyo análisis nos lleva a tres dimensiones: la medioambiental, la social y la económica. Esto es y debe ser así, y está bien, pero cuando desarrollamos cada una de las dimensiones dedicamos tomos para hablar del medioambiente, de los grupos de interés, de los accionistas, etc… olvidando por el camino capítulos muy importantes en esta materia.

Es evidente que todo lo que está debe estar, pero, ¿por qué cuando se tratan todos estos temas no se habla también de seguridad, de seguridad de la información, de cumplimiento normativo, de protección de los datos de las personas, de gestión de riesgos incluidos los operacionales, de planes de continuidad de negocio y de contingencia, etc…? Me resulta ciertamente sorprendente que este tipo de cuestiones se dejen fuera del ámbito del Buen Gobierno, y lo achaco tal vez al desconocimiento de la materia por parte de los equipos de trabajo en España.

Aunque no soy partidario de “colgar” dos entradas el mismo dia, la verdad es que en ocasiones las circunstancias obligan a ello; no podíamos dejar pasar el artículo de Antonio Villalón en referencia a la Operación Carrusel desarrollada esta semana, publicada hace un rato, pero tampoco podemos ignorar las noticias que hablan de una “nueva y terrible” vulnerabilidad descubierta por técnicos de la empresa Outpost24, y que parece ser capaz de realizar denegaciones de servicio en virtualmente cualquier dispositivo.

Por supuesto, y como cualquier vulnerabilidad de relativa importancia que se precie, tiene su correspondiente parte de salsa rosa; me resulta particularmente lúcido el comentario del creador de nmap, Gordon Lyon, aka Fyodor, sobre el bombo y la importancia que se le da en los medios a cada nueva vulnerabilidad (véase The Register: DoS attack reveals (yet another) crack in net’s core, Slashdot: New Denial-of-Service Attack is a Killer, y Search Security: TCP is fundamentally borked) hasta el punto que parece que vaya a acabar literalmente con Internet, y como el virus en el chiste, vaciar la nevera, robarte a la novia y llevarse tu coche. Parece que esto se haya convertido, sin dejar de lado la importancia de la seguridad, en una carrera de a ver quién da más; claro que a nadie se le escapa el componente meritocrático que hay detrás de mucho de estos “anunciamientos”.

En cualquier caso, a estas horas hay ya una innumerable cantidad de blogs y fuentes de información hablando del tema, que les aportarán todos los detalles técnicos que necesiten, pero si les gusta el cotilleo, pueden empezar por la entrada de Fyodor, en la que argumenta, además de lo que les comentaba, que el problema de seguridad no es tan nuevo como sus descubridores lo presentan, y seguir con la contestación de uno de los descubridores, Robert E. Lee. Y de ahí, al infinito y más allá.

Nada más. Buen fin de semana a todos.

Esta semana se producía en España la mayor —una vez más— operación contra la pornografía infantil en Internet, denominada Operación Carrusel (podemos ver las noticias en periódicos de tirada nacional como elmundo.es y ElPaís.com), y que se ha llevado a cabo cuando aún coleteaban las últimas actividades de la Guardia Civil en la Operación Ã?lbum, muy similar a la anterior pero de menores dimensiones.

Obviamente, en primer lugar mostrar mi más completa repulsa ante determinadas conductas —sexuales o no— en las que se abusa de personas indefensas, en este caso de niños, con cualquier propósito; en especial para conseguir placer o beneficio propio, como presuntamente es el caso. Ójala todo el peso de la Ley (a pesar de la tibieza del Código Penal que comentaremos en otra ocasión) caiga sobre los que abusan sexualmente de menores y sobre los que encuentran placer viendo dicho abuso.

Después de la prehistoria, viene la edad media

Hace no mucho tiempo, digamos que unos 20 años, muchas empresas trabajaban con sistemas propietarios de las marcas que en aquella época estaban en auge. Podía encontrarse uno con los sistemas de Digital Equipment Corporation, Bull, etc., pero sin duda, toda aquella PYME de la época que tuviese cierto nivel de administración algo complejo optaba por los sistemas de IBM. Habían nacido los primeros mini ordenadores que eran asequibles, programables por el usuario, o por una empresa subcontratada.

El sistema operativo de aquellos “mini” ordenadores —el peso de la máquina podía llegar a unos 400 Kg.— era el SSP, que en sus diferentes versiones cubrió el abanico de los S/3X de IBM. El más utilizado en la época era el S/34, aunque ya existía el S/36, pero en cierto modo era bastante inalcanzable para aquellos que conservaban su S/34.