Hace un rato leía que el primer ministro canadiense, Stephen Harper, reconocía ayer públicamente que el gobierno canadiense está sufriendo en estos momentos ataques desde equipos ubicados en China, que hasta el momento han proporcionado a los atacantes información confidencial sobre ministerios clave. Según indica el artículo, los atacantes habían accedido a equipos de altos cargos y desde ahí, utilizando el correo electrónico y algo de ingeniería social, han distribuido troyanos y obtenido claves de otros sistemas y departamentos. Me atrevo a decir que el gobierno canadiense todavía no conoce la profundidad de la intrusión.
Al parecer, una auditoría realizada en 2002 ya advertía de este tipo de problemas, sin que se hayan tomado medidas hasta hace poco (aunque según los críticos poco significativas, de acuerdo al tamaño e importancia del gobierno canadiense, ya que se habla de 90m. $ a lo largo de 5 años). Me temo que esta es la tónica general en la mayor parte de los casos, ya sean grandes empresas privadas o entidades gubernamentales; hace tiempo que se viene hablando y advirtiendo de este tipo de amenazas, por activa y por pasiva, pero pocos parecen dispuestos a valorarla en su adecuada magnitud, ya sea por falta de recursos, de voluntad o simple escepticismo.
¿Podría pasar algo parecido en España? Bajo nuestro punto de vista, España no es ninguna excepción en aspectos como el ciberterrorismo y la ciberguerra, por lo que no hay motivos para creer que estemos exentos de riesgo. En el ámbito físico ya hemos sufrido ataques traumáticos y en el virtual podríamos ser objetivo igual que Canadá, Estados Unidos o Estonia. ¿Por qué no? Quiero creer que a día de hoy un ciberataque no tendría el impacto de un gran atentado, como hacer estallar un estadio en un partido de máxima afluencia (es una suposición, no lo sé a ciencia cierta), pero en cualquier caso considero que nos haría un daño no despreciable; y si se usa no de forma única, sino como multiplicador del efecto de un atentado “clásico”, estaríamos sin duda enfrentándonos a un verdadero problema. Existen esfuerzos muy importantes para “ciberprotegernos”, tanto oficiales (CCN, CNPIC…) como en el ámbito privado (CNCCS…), pero debemos seguir trabajando intensamente para tratar de ir por delante de los malos.
Más allá de casos particulares, lo primero que cabría preguntarse es el número y magnitud de ataques o intrusiones exitosas que no son detectadas; aunque los sistemas “centrales” de un gobierno puedan estar hasta cierto punto correctamente securizados, no hay que dejar de lado la gran cantidad de pequeños organismos que proporcionan innumerables puntos de entrada a la infraestructura central. En nuestro caso particular, piensen en ayuntamientos, diputaciones, empresas públicas, institutos, observatorios, fundaciones, etc., hagan números y verán el tamaño del queso Gruyère. En mi opinión, a pesar de los avances en materia de seguridad en la última década, existen todavía dos gigantescos problemas en la concepción de la seguridad, que son compartidos por empresas y organismos públicos:
- El usuario. Sí, el usuario. Ya sé que siempre volvemos a él, pero decir que el problema reside entre la silla y el teclado (PLBCAK, Problem Lies Between Chair And Keyboard) es algo más que una broma: es una realidad. El usuario, de cualquier nivel de jerarquía, es el responsable de la mayor parte de los problemas de seguridad. Es el que abre adjuntos que llegan de remitentes desconocidos, el que utiliza su nombre como clave (o cualquier variación simple de esto), el que deja su sesión sin bloquear, el que utiliza el portátil corporativo para descargar películas y que su hijo juegue al WoW, el que utiliza el mismo USB para almacenar información corporativa que para guardar las fotos del último cumpleaños, el que hace copias de su equipo en un CD que almacena debajo del teléfono de su casa, etc. En algunos casos, cuando existen normativas y políticas que prohíben estos comportamientos, se trata de simple negligencia. En otros, es ignorancia, pereza, o falta de sentido común. Siempre acabamos hablando de programas de concienciación y formación, pero ésta debe consistir en algo más que unas charlas o cursos de formación que a modo de concesión, apaciguen las “obsesiones” del Departamento de Informática.
- La concepción de la seguridad. A estas alturas, a nadie se le ocurriría que en una organización de un tamaño mínimo el equipo que desarrolla las aplicaciones corporativas fuese el mismo que administra los sistemas, y sin embargo, en seguridad es exactamente lo que sucede; la seguridad es otra tarea más del personal de Sistemas. Esto lo vemos a menudo, cuando tenemos que entregar un informe de auditoría lógica: nos encontramos con el problema de que las vulnerabilidades detectadas ponen de manifiesto una falta de control de la seguridad, lo que irremediablemente pone en entredicho el trabajo de la figura del Responsable de Informática y su equipo de cara a Dirección. Sin embargo, esto es la consecuencia de que muchos gestores todavía no han entendido que administrar los sistemas y securizar los sistemas son procesos diferentes que requieren y necesitan personal especializado; tanto la administración de sistemas como la gestión de la seguridad son trabajos suficientemente complejos y absorventes como para que, en un entorno mínimamente complejo, la misma persona pueda hacer ambos trabajos, sin entrar a valorar la necesaria segregación de funciones. Al final de la película, esto significa que una adecuada gestión de la seguridad demanda más recursos, pero mientras podamos “cargarle el muerto” a Sistemas, eso que nos ahorramos.
El problema es el de siempre: mientras el usuario va lentamente interiorizando las buenas prácticas en materia de Seguridad de la Información, y ésta se va independizando poco a poco de Sistemas (¿cuántas organizaciones conocen que bien a través de un proveedor o personal interno hagan una gestión “auténtica” de la seguridad?), nuestros datos e infraestructuras siguen expuestas a personas que, ellos sí, saben que el usuario hará probablemente todo lo que esté en su mano para conseguir sus objetivos (Ley de Naeser: puedes construirlo a prueba de bombas, pero no a prueba de idiotas), y que el administrador del entorno atacado ya tiene bastante con hacer su trabajo como para, además, meterse a gestionar IDS, IPS, Honeynets, o estudiar ataques de seguridad, exitosos o no.
Volviendo al caso canadiense, ya en 1989 Clifford Stoll narraba en el estupendo libro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” cómo había hecho frente a una intrusión lógica por parte de espías de Europa del Este. Desde entonces, han pasado 22 años, y pienso que los gobiernos no sólo no han avanzado demasiado en la aplicación de medidas efectivas de protección, sino que la velocidad a la que se mueven es insuficiente. Me da la impresión de que las amenazas que provienen de las nuevas tecnologías son todavía algo que muchos altos cargos no han conseguido asimilar y perciben como algo “poco real”, a pesar de que, buscando paralelismos con los trabajos “clásicos” de los servicios de inteligencia, el riesgo que implica el ciberespionaje para la entidad atacada es (probablemente) mayor que el del espionaje clásico, con la ventaja de que apenas expone al atacante y es mucho más independiente del volumen de recursos.
La cuestión que deberían hacerse algunos a la vista de los hechos es: ¿podemos permitirnos el lujo de seguir ignorando este tipo de amenazas?
[…] This post was mentioned on Twitter by Security Art Work, Jose Manuel Perez . Jose Manuel Perez said: Ciberataques sobre el gobierno de Canadá, reflexiones interesantes https://www.securityartwork.es/2011/02/18/ciberataques-contra-canada/ […]