Aunque la selectividad, como prueba de acceso a la Universidad, sea ya una gran olvidada para muchos de los que la hemos sufrido, la selectividad, como principio básico de diseño de los sistemas de suministro eléctrico de las salas de ordenadores, no debería ni mucho menos serlo.

Para empezar deberemos recordar que una de las dimensiones fundamentales de la seguridad es la disponibilidad, y que si ésta falla nos enfrentamos a un problema de seguridad que, dependiendo del tipo de servicio y del momento del tiempo en el que se produzca, será de mayor o menor gravedad pudiendo llegar a ser CR�TICO.

Son muchos los factores que inciden en la disponibilidad de los sistemas de información y por tanto en la seguridad de la información, pero sin duda hay un factor básico y trivial y a la vez poco atendido o poco entendido: el suministro eléctrico.

No son muy amigas, la seguridad y las chispas, o tal vez la seguridad y los chispas. No lo son y no conozco realmente la razón, porque es habitual ver como empresas importantes invierten sumas nada despreciables en protecciones tecnológicas de sus infraestructuras TIC y olvidan de forma recurrente su protección física, en su más amplio sentido: la protección de las instalaciones que soportan sus sistemas de información. Instalaciones básicas (en el sentido de vitales) que en un porcentaje muy importante de los casos están descuidadas, mal diseñadas o mal ejecutadas y que en TODOS los casos tienen consecuencias negativas sobre alguna de las dimensiones de la seguridad: Confidencialidad, Disponibilidad o Integridad.

Sistemas de alimentación ininterrumpida mal dimensionados, elementos de protección incorrectos, cuadros eléctricos accesibles, instalaciones no documentadas, protecciones que no protejen, ausencia de selectividad en protecciones de circuitos, equipos de aire acondicionado mal dimensionados y mal colocados, tuberías de agua encima de las máquinas más críticas, armónicos y un largo etcétera son un breve ejemplo de las amenazas a las que nos enfrentamos en esta dimensión, y que he tenido el dudoso privilegio de ver a lo largo de mi carrera.

Probablemente conozcan un principio utilizado principalmente en el mundo de la seguridad informática, denominado “Seguridad por oscuridad”, que es la traducción del homólogo inglés “Security thru obscurity“. Básicamente, consiste en ocultar los detalles de diseño e implementación —entre otros— de un programa o dispositivo, consiguiendo (o pretendiendo conseguir, al menos) que el producto actúe como una caja negra y por tanto sus potenciales puntos débiles no puedan ser, o sean descubiertos. Pueden obtener más información de la Wikipedia [versión completa del artículo en inglés].

Por lo general, esta suele en la gran mayoría de los casos, una mala política, porque con lo ancha y vasta que es Internet, siempre hay alguien que acaba descubriendo esos puntos débiles. Entonces es cuando decimos que una vulnerabilidad esta siendo explotada “in the wild” (y eso suele ser malo). Es decir, que gracias a las prácticas oscurantistas de la compañía X, el servidor del señor Juanito queda expuesto a los ataques del señor Luisito, que conoce los problemas de seguridad que la companía X ya sabe pero no quiere decir. Ya se imaginan el resto.

¿Se acuerdan de aquella entrada sobre los potenciales problemas de seguridad (y sus consecuencias) de los sistemas SCADA? Aquel texto fue reproducido en Kriptópolis y despertó varias suspicacias por su aparente nivel de alarma; algunas de las quejas apuntaban al típico “no seamos paranoicos”, al “estamos viendo fantasmas”. Por supuesto, crear alarma injustificadamente no era ese el propósito de aquella entrada ni de ninguna otra.

Al parecer, según informa Steve Bellovin en su blog, y de acuerdo a información de la CIA, grupos de hackers han sido los responsables de la pérdida de fluido eléctrico en varias ciudades extranjeras, como parte de una trama dedicada a la extorsión. Me atrevo a decir que Barcelona no es una de ellas; eso sería genial como excusa desde algún punto de vista político, aunque sin duda traería mucha más cola desde otros; una cosa es tener problemas de dimensionamiento, y otra saber que tu red eléctrica está completamente a merced de los delincuentes; a mí al menos esto último me asusta mucho más. Como apunta Bellovin, aunque es obvio que las redes de este tipo de servicios no deberían estar conectadas a Internet, esto no siempre es posible; a veces por requisitos funcionales, y a veces incluso por un exceso innecesario de innovación y/o publicidad. Esta es sólo otra noticia más en relación con sistemas SCADA y cómo los problemas de seguridad tienen consecuencias en la vida real (ver opinión de Bellovin al respecto).

Para empezar bien la semana, ayer lunes nos “desayunamos” con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs “todo en uno”. Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de “El Solitario”, el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las “patas” de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

Como algunos de ustedes probablemente saben, he pasado la última semana de vacaciones en Sassari —Cerdeña—, disfrutando del sol, la playa, y comiendo pasta y pizza. Sí, eso y poco más, que ya es bastante. Aprovechando un vuelo de Ryanair, una de las principales compañias aéreas de bajo coste, me planté en la isla por poco más de setenta euros por persona, ida y vuelta. El caso es que me llamó la atención que en el viaje de ida ninguno de los mensajes habituales acerca del uso y localización de los distintos mecanismos de emergencia, tales como chalecos salvavidas, cinturones, máscaras de oxígeno o las propias salidas de emergencia estuviera en castellano, catalán, o italiano, cuando tales son las lenguas oficiales —o co-oficiales— de la ciudad origen y de la de destino, respectivamente. No, todos los mensajes estaban en inglés.

No puede decirse que yo sea totalmente bilingüe en relación al inglés, pero me defiendo con relativa soltura, y he volado lo suficiente como para saber —o creer saber— dónde está cada cosa y cómo utilizarla; afortunadamente, jamás ha sido necesario llevar ese conocimiento a la práctica, porque entonces veríamos si lo que creo saber es lo que sé en realidad. Sin embargo, teniendo en cuenta que estos mensajes se emiten, asumo, con la intención de incrementar la seguridad de los pasajeros en el caso de producirse un posible accidente o fallo aéreo, disminuyendo así el riesgo personal de cada uno de ellos al saber utilizar los mecanismos proporcionados, carece de sentido que se emitan en una única lengua que no es, probablemente, la que conocen la gran mayoría de sus receptores.

¿Recuerdan lo que les comentaba hace unas semanas sobre la confianza y la Ingeniería Social? Bien, imagínense la siguiente situación:

Una pareja de ancianos oye sonar el telefonillo de su casa, y a la típica pregunta de “¿Quién es?”, no obtienen otra cosa que alguna de las también típicas respuestas: “Soy yo”, “Yo”, “Tu nieto”, o cualquier otra contestación, suficiente para que éstos abran la puerta del portal y la de su casa, y vuelvan a aquello que estaban haciendo, sea cocinar, ver la televisión o desayunar. Unos minutos después, una persona que no conocen, que como es obvio no es quien pretendía ser, y sin demasiadas buenas intenciones, entra en su casa sin ningún impedimento.

Hace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde “China”, podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.

Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como este?, ¿pánico? …

Con una cita que generalmente se le atribuye, Gene Spafford viene al rescate:

Ni que decir tiene que en la práctica, y perdónenme la redundancia, se suele ser un poco más práctico…