24 horas

Para hoy viernes, he de advertirles de antemano que les he preparado una entrada un tanto atípica, y que desvela cuestiones importantes sobre las tres primeras temporadas de la serie “24” (y los primeros capítulos de la cuarta). Así que si tienen intención de verla o están en ello, no continúen leyendo. Luego no les digan que no les he advertido.

Para el resto, una pequeña introducción. “24” es una serie norteamericana emitida por la FOX que narra las “peripecias” de la UAT (Unidad Anti Terrorista) de Los Ángeles, a lo largo de diferentes situaciones de crisis. El personaje principal se llama Jack Bauer, y es protagonizado por Kiefer Sutherland. Éste es un agente de campo de pasado militar (operaciones especiales), una gran cantidad de recursos, y poca simpatía por las normas y los protocolos. Alrededor de éste existen un número indeterminado y variable de personajes secundarios, con mayor o menor relevancia a lo largo de las diferentes temporadas. La principal característica de la serie es que cada una de las temporadas se corresponde con una situación de crisis comprendida en las 24 horas de un día, de modo que cada una de las horas del día corresponde a un capítulo. Aunque se indica al principio de los capítulos que los hechos transcurren en tiempo real, los capítulos duran 45 minutos aproximadamente, por lo que no es del todo cierto dado que 60 minutos en tiempo real no pueden comprimirse de ninguna forma en 45 minutos de emisión (o yo no acabo de entender la idea).

Dicho esto, mientras veía acabar la tercera temporada hace unos días, me puse a pensar en algunos aspectos relacionados con la seguridad que son bastante llamativos. Por supuesto, todos ellos deben tomarse como meras anécdotas, por tratarse de una serie de ficción obviamente exagerada. En algunos casos es complicado categorizarlas dentro de un dominio de control o ámbito, pero haré lo que pueda. Vamos con ellas:

  • Detalles del “mundillo”. Como en cualquier serie o película que aparezca algo relacionado con la informática, y en concreto con la seguridad, los aspectos técnicos muestran una apariencia extremadamente compleja, pero se solucionan en cuestión de minutos; cualquier técnico sabe qué es lo que pasa cuando ve una pantalla llena de código hexadecimal de color rojo, lo que provoca en éste la necesidad imperiosa de decir frases que no tienen ningún sentido. Los virus no es que sean sofisticados, es que parece que tengan vida propia (temporada 3). También es común el uso de la “técnica CSI”, según la cual tomando como base una imagen tomada a resolución X, generalmente de una cámara de vigilancia, se pueden obtener los detalles más ínfimos; me sorprende que aún haya gente que no sepa que esto es literalmente imposible. Por último, como no podría ser de otra manera cualquier mensaje cifrado es roto no en cuestión de días, sino horas; ojalá las organizaciones terroristas fuesen así de tontas.
  • Privacidad. He de confesarles que si 24 se parece en algo a la realidad, que espero que no, deben dejar de lado cualquier esperanza de privacidad. Esta unidad es capaz de mover satélites en cuestión de minutos y obtener imágenes detalladas de cualquier edificio, monitorizar y alterar cualquier elemento de Internet, obtener datos privados de cualquier persona que puedan imaginar, pinchar teléfonos, conectar con circuitos cerrados de cámaras ubicados hasta en un quirófano (temporada 3, Tony Almeida), y hacer absolutamente todo lo que puedan imaginar, todo ello sin necesidad de una autorización judicial ni nada parecido (dejemos de lado los aspectos técnicos y centrémonos en los legales). La UAT dispone de una capacidad de obtener información francamente impresionante.
  • Niveles de acceso. El acceso a información confidencial por parte de personal interno que no debe tener acceso a ésta es un aspecto que está a la orden del día en la UAT. Entre usuarios que acceden a información restringida a su nivel de acceso tan sólo pidiéndolo al compañero, que utilizan las claves de acceso de otro (con su beneplácito), o que modifican su propio nivel de acceso cuando el técnico informático se ausenta de su puesto (temporada 2), casi podría decirse que la información que manejan es pública. Además, resulta curioso que cuando quieren acceder a información de otras divisiones o agencias a la que no tienen acceso, tiendan a pensar en ataques lógicos contra dichos servidores, como si fuese algo tan natural.
  • Recursos Humanos. Este es, para mí, uno de los aspectos más llamativos de la UAT. En el lado más relacionado con la seguridad, la verdad es que el CV screening les es totalmente desconocido; en la primera temporada la UAT tenía no sólo uno, sino dos topos que proporcionaban información a los terroristas, y estoy seguro de que a lo largo del resto de temporadas habrá más. Por otra parte, desde un punto más propio de la gestión de Recursos Humanos, es evidente que el departamento responsable (si es que lo hay) necesita revisar seriamente sus procedimientos de selección del personal, porque puede decirse que en general, el personal de la UAT se lleva a matar. Se ocultan información, se molestan unos a otros, se critican, se chantajean, se entorpecen, se sabotean y desconfían unos de otros, lo que difícilmente puede ser beneficioso para el funcionamiento de la unidad. Si no fuese por Jack Bauer, que acostumbra a actuar en solitario (francamente, yo haría lo mismo), la UAT sería totalmente inoperativa.
  • Autorizaciones. La gestión de autorizaciones de acceso en la UAT sigue un procedimiento bastante similar al de la vida real en muchas organizaciones: autorización verbal. En ocasiones por teléfono, en ocasiones presencial. Aunque podría uno esperar algún tipo de trámite electrónico o manual más o menos sofisticado, la verdad es que al final todo se limita a una autorización de palabra de la que no queda ninguna traza. No me extraña que luego les salgan topos como setas…
  • Procedimientos operativos. Aunque según parece para prácticamente cualquier situación imaginable existen protocolos definidos, que conoce el personal de la UAT, lo cierto es que su aplicación es puramente anecdótica, y su único propósito es poder emplearlos para la frase “eso va contra el protocolo”; me atrevería a decir que están ahí con el único propósito de saltárselos. Los ejemplos son múltiples: ignorar la cadena de mando, basar el flujo de información en la confianza o amistad con otros miembros, llevar a cabo investigaciones y acciones aisladas no autorizadas, dar acceso a recursos confidenciales a personal no autorizado, proporcionar información confidencial a terceras personas, falsear pruebas, etc.
  • Aspectos “técnicos”. En la tercera temporada, la delegación del MI-6 (servicio secreto británico) en Los Ángeles sufre un atentado terrorista, y Jack Bauer llega justo a tiempo para extraer el disco que contiene los datos relevantes del rack del CPD del MI-6. Vamos a ignorar que dicho CPD carece de control de acceso y de las medidas más básicas de seguridad. Pasemos por alto que un disco como el que aparece en la serie tiene toda la pinta de ser un hot-plug y que se extrae en mucho menos tiempo del requerido por Jack. Ahora bien, ¿cabe suponer que el MI-6 no tiene copias de seguridad remotas? ¿es necesario jugarse la vida por ello?

En definitiva, que para ser una unidad antiterrorista, el seguimiento de los controles implantados deja a menudo mucho que desear. Como atenuante, debe destacarse que las temporadas reflejan las 24 horas correspondientes a situaciones de crisis extrema (armas biológicas, nucleares, y cosas así), por lo uno podría esperar un cierto relajamiento en cuanto a los protocolos y la burocracia, si ello facilita la resolución del incidente. Claro que a lo largo de los capítulos, queda claro que dicha laxitud en la aplicación de procedimientos no trae en general buenas consecuencias, y es de esperar que una Unidad Antiterrorista tenga protocolos ágiles para situaciones de crisis. En cualquier caso, como les decía al principio, se trata sólo de ficción, o eso espero. ¿Qué otros “fallos” han detectado ustedes en esta u otra serie? Será divertido comentarlos.

Pasen un buen fin de semana; les vemos aquí mismo el próximo lunes.

Comments

  1. Como fan de 24 que soy, me ha encantado encontrar este mini análisis de la serie en un blog de seguridad!

    Sobre la duración de los capítulos, que no llegan a 60 minutos aunque sea a tiempo real, en la emisión original en EEUU hacen pausas publicitarias que rellenan los minutos restantes. Si te fijas algunas veces entre escenas donde aparece el famoso reloj, este suele adelantarse 5 minutos, lo que significa que originalmente ahí había 5 minutos de publi.

  2. Ahora me explico lo del tiempo real… claro, como yo no lo veo en EEUU (dejémoslo ahí). Entonces encaja mejor, durante los anuncios se supone que la acción sigue transcurriendo.

    Me alegro de que te haya gustado, aunque es mejorable… quizá cuando acabe todas las temporadas pueda hacer una segunda versión más detallada.