En mis primeros días de Erasmus en Londres, un profesor de una asignatura sobre sistemas distribuidos y seguridad nos dio a leer un curioso texto llamada “Worse is better” (Peor es mejor) donde se explicaba, a través de una curiosa discusión sobre sistemas operativos entre una persona del MIT y otra de la universidad de Berkeley, dos escuelas totalmente diferentes a la hora de llevar a termino un proyecto.

Mientras la escuela nacida del MIT defendía hacer las cosas “correctamente”, tomara el tiempo y el esfuerzo que tomara, y siguiendo los principios básicos de simplicidad, corrección, consistencia y completitud, la postura de la gente de Berkeley era más pragmática y hacia más hincapié en obtener un producto “suficientemente bueno” en un tiempo razonable, de forma que pudiera ser usado lo más pronto posible y a partir de ahí ir corrigiendo los fallos que pudieran quedar.

Estas dos filosofías se pueden aplicar a prácticamente cualquier ámbito de la informática, incluyendo, por supuesto, la seguridad. Ante el lanzamiento de un producto o servicio totalmente nuevo para la compañía, se puede optar por hacer análisis exhaustivos, empaparse de toda la documentación disponible perfilando al milímetro cada aspecto del proyecto y realizando complejas pruebas para asegurar que no existe ningún fallo de seguridad —llegando incluso a descartar el proyecto por no poder conseguir un producto realmente seguro tomando el tiempo que ello requiera— o por el contrario se puede hacer un análisis más ligero, ajustar los aspectos críticos e imprescindibles que realmente puedan poner en verdadero peligro al proyecto, y lanzar una versión suficientemente buena como para que los usuarios la adopten en un plazo aceptable, mientras sobre la marcha se van puliendo todos los aspectos que se quedaron en el tintero.

Me despertaba esta mañana con la noticia de que el Partido Popular ha propuesto en el Congreso de los Diputados que a) los menores de 18 años necesiten consentimiento (actualización: al parecer, ahora ya sólo piden conocimiento) para acceder a las redes sociales, y b) los menores de 14 años no puedan siquiera acceder a éstas ([elmundo.es][ElPais.com]). Francamente, la primera de ellas me parece una barbaridad en toda regla, y aunque la segunda es más lógica por aquello de la edad, les diría que también estoy en desacuerdo. Veamos.

Lo primero que se me ocurre es que, en un país en el que existe actualmente, y a la vista de los últimos delitos, un debate sobre reducir o no la edad penal de los menores de la actual 14 a 12 años, parece una contradicción que una persona de menos de 18 años, que a partir de 16 puede conducir una motocicleta, tenga que solicitar autorización paterna para acceder a las redes sociales. Entonces, ¿debemos o no considerar a una persona madura a los 16 años? ¿Sí o no? ¿Sí para entrar en la cárcel, pero no para entrar en las redes sociales? Si asumimos que una persona de 15 años debe ser responsable penalmente de sus actos… bueno, pues ya saben cómo sigue el argumento.

Hace un par de meses, Manuel Benet escribió un interesante post sobre seguridad física; en concreto, sobre cerraduras. A mí, me llamó la atención tanto el post como los comentarios y, “curioso que es uno”, me dispuse a perder un rato en Internet buscando sobre el tema. En particular, me había llamado la atención la tendencia a hacer analogías entre el mundo informático y el físico (qué sería de los ingenieros sin las analogías). En este post, quiero compartir algunas de las ideas que me fui haciendo sobre el tema, según investigaba.

En primer lugar, yo empezaría por el artículo “Keep it secret, stupid!”, de Matt Blaze. En él, el autor explica por qué se le ocurrió meterse en el mundo de la seguridad “ferretera”. El primer párrafo se puede traducir como sigue:

Acabo de volver de vacaciones y, sinceramente, me ha sorprendido la cantidad de información que ha ido apareciendo en los medios —tanto generales como especializados— acerca de la gripe A (el ya famoso virus H1N1) y su impacto previsto en la sociedad a todos los niveles. Dejando a un lado los sensacionalismos propios de algunos medios (habría que recordar a ciertos “periodistas” que pandemia no significa que muera la mayor parte de la población mundial, como parecen hacernos creer), me parece interesante que en nuestro blog dediquemos al menos una entrada a este tema, ya que ciertamente la gripe puede ser un elemento decisivo en la continuidad de nuestro negocio, y por tanto en nuestra seguridad.

El Ministerio de Sanidad y Consumo español ha elaborado una guía, bastante coherente bajo mi punto de vista, acerca de la actuación recomendada frente a la gripe A para las empresas, de cara a asegurar la continuidad del negocio y la salud laboral en caso de pandemia. En esta guía, de lectura más que recomendable, se establecen una serie de medidas a valorar y, si corresponde, adoptar en los centro de trabajo; estas medidas se pueden agrupar en tres familias: de formación e información (hacia el personal y con terceros), de minimización del impacto (en la empresa, en su personal y en terceros -clientes, proveedores…-) y de contingencia en caso de que se materialice la amenaza.

Hoy es primero de septiembre, y como les prometimos hace un mes, volvemos a la carga no sin los dedos y el ingenio algo atrofiados —oxidados— por el sol y la vida contemplativa que cuando hay suerte acompaña a las vacaciones; si la echan de menos, pueden seguir mirando la imagen de la siguiente entrada, aunque les aviso que es contraproducente. Por ello, me disculparán si comenzamos esta nueva temporada con una pequeña reflexión personal sobre el estado de la seguridad informática.

De un tiempo a esta parte, a nadie se le escapa que la seguridad informática ha comenzado a tener su pequeño rincón en los medios generalistas, saliendo de ese nicho geek en el que permanecía hasta hace poco. Presencia lógica por otra parte, derivada de a) la popularidad que Facebook, Tuenti, Twitter, e Internet en general van teniendo y b) de las preocupaciones sobre la privacidad, los datos personales, el comercio electrónico y etc. La consecuencia es que cualquier pérdida de datos, intrusión, robo de contraseñas/tarjetas de crédito o similar aparece al poco tiempo no sólo en Kriptópolis sino también en las páginas de tecnología de El Mundo y El País, por citar algunos —dejemos aparte la exactitud con la que se abordan las noticias, que no es el tema de hoy—. Por supuesto, las especificidades técnicas de los ataques siguen siendo terreno privado del personal especializado, y ni falta que hace que deje de serlo.