La ética de la seguridad

Corre el año 2006, si no recuerdo mal, y empieza la revolución en las redes domésticas de acceso a internet. La mayoría de las nuevas instalaciones de internet domésticas pasan de utilizar el “obsoleto” cable para “innovar” en la tecnología WIFI. Se acabaron los cables, ya no tocará pelear porque éste tiene que atravesar toda la casa para llegar a una única habitación, y por fin mi portátil será… ¡¡¡portátil!!!

Por supuesto, estas redes supusieron un nuevo eslabón en la cadena de la seguridad informática y un nuevo filón para los atacantes. Su seguridad evolucionó desde redes sin contraseña, a redes con clave WEP, WPA, WPA2 hasta la actualidad en la que la configuración más segura recomendable es WPA2-PSK+AES. No voy a explicar aquí cada una de las siglas, ya que queda claro que para eso está disponible cualquier buscador, aunque voy a poner fácil una de las búsquedas: WEP

¿Les ha sorprendido el resultado de la búsqueda? 10 entradas en la primera página; la wikipedia, siempre disponible, la asociación de internautas y 8 entradas sobre como romper la clave WEP, !con vídeo explicativo incluido! Quizá no les haya sorprendido, pero cuando vi los resultados de la búsqueda por primera vez a mi sí me sorprendió, sobre todo la entrada relacionada con Imagenio y las claves utilizadas por Telefónica ¿Cómo es posible que sabiendo que la protección con clave WEP es altamente insegura lo pongan todavía más fácil utilizando claves que ni siquiera son totalmente aleatorias, y en la que únicamente se deben completar unos pocos caracteres alfanuméricos? ¿No les parece un ejercicio de poco sentido común y dejadez?

Las deficiencias de seguridad de WEP son relativamente antiguas, por lo que seguro que pueden encontrar multitud de entradas explicando cómo romperlo, cómo utilizarlo e incluso cómo mitigar sus defectos en caso de que sean ustedes uno de esos usuarios que dispone de una red inalámbrica de este operador. La cuestión es: ¿existen medidas para mitigar esta situación de forma sencilla por parte de los operadores que ofrecen este tipo de conexiones a los usuarios domésticos, o estamos hablando de un esfuerzo desproporcionado? Creo que ya he respondido anteriormente: no veo mucho problema en modificar la generación de una clave realmente aleatoria basada en unas medidas de seguridad suficientes, ni tampoco consigo encontrar ningún impedimento técnico para incorporar una clave WPA en lugar de una WEP, pero tirando de ironía, quizá esto sea demasiado complicado o induzca a unos costes exagerados que no se pueden abordar…

El problema fundamental es que este tipo de situaciones me hacen plantearme cuestiones que, aunque parecen claras desde mi punto de vista, la experiencia me demuestra que no son compartidas:

1. ¿Sólo es importante la seguridad de nuestros sistemas?
2. ¿No es importante la seguridad de nuestros usuarios o clientes?
3. ¿Le importa realmente la seguridad al mundo en general, o sólo somos unos pocos idealistas intentando hacer al mundo ver lo fundamental de este concepto ahora y en el futuro?
4. ¿Es necesario un código deontológico en el sector relacionado con la seguridad de la información y los sistemas?

Ustedes, ¿qué opinan? ¿Tenemos la batalla ganada, perdida, o seguimos con las espadas en alto?

Comments

  1. Los sibaritas comen exquisiteces….. el populacho lentejas (“y no siempre”) o lo que nos echen. La utopía es cosa de pocos. Pero aún así, no hay que perder la esperanza, pues la utopía es la señal que indica el buen camino.

  2. En línea con lo que comentas, en general la seguridad importa en función de las problemas/pérdidas que puedas tener en caso de percance.

    Creo que si sería necesario cierto código deontológico (similar a los que hay divulgados por ISACA, GIAC/SANS Institute, ISC^2, Ec-Council u otros), pero abarcando a todo sistema que vaya a almacenar información, ya sea un dispositivo de red, un lenguaje de programación, un sistema, etc.

    También creo que este código ético, esta obligación se acabará imponiendo cuando las circunstancias así lo exijan, es decir, cuando sea más rentable hacerlo bien que hacerlo mal. Es algo similar a lo que está pasando ahora con la crisis, que se empiezan a buscar soluciones cuando ya nos ha estallado en la cara…

    En el campo de la (in)seguridad la tendencia es clara, hasta ahora creo que hemos tenido suerte y que muchos (y muy diversos) percances están por venir.

    Obviamente las espadas están en alto.

Trackbacks

  1. […] La ética de la seguridad, en Security Art Work […]