Risky Business

Recientemente he tenido la ocasión de leer un artículo titulado “Risky business» (Leah Hoffmann, Communications of the Association for Computing Machinery). Ya os adelanto que poco o nada tiene que ver con la película con la que comparte nombre y que protagoniza Tom Cruise. Este artículo ha sido publicado en la revista CACM (Communications of the Association for Computing Machinery) y como ya hemos hablado de esta revista en un post anterior, aprovecho para indicar que CACM es una publicación mensual con alrededor de 80.000 suscriptores donde podemos encontrar muchos artículos relacionados con la computación y los sistemas de información.

El artículo en cuestión, Risky Business, trata distintas cuestiones relacionadas con los ataques informáticos. Se citan, a modo de ejemplo, algunos de los ataques más sonados del último año:

Expertos en el campo de la seguridad de la información pertenecientes a distintas organizaciones (Carnegie Mellon University, Purdue, Indiana University,…) y compañías del sector TIC como CISCO Systems estudian la evolución de las acciones ilícitas. Las conclusiones de estos estudios indican que se está reduciendo el número de ataques masivos y por el contrario aumenta el número de ataques centrados en un objetivo específico como por ejemplo, los ataques de phishing. En general, se detecta que los robos de información se suelen producir por motivos económicos o políticos. Se estima que la venta de información personal mueve más de 100 millones de dólares anualmente, aunque grupos de hackers como Lulz Security (o LulzSec) realizan ataques por diversión.

Para abordar el problema se plantean diversas líneas de actuación. Éstas son algunas de las que menciona el artículo.

Marco regulatorio legal: Se remarca la importancia de crear un marco legislativo firme en materia de seguridad de la información. En este sentido la Comisión Europea ha propuesto la creación de leyes que permitan responsabilizar a las compañías desarrolladoras de software de los daños que se deriven de las vulnerabilidades o bugs de sus productos.

Personalmente creo que es complicado que esta propuesta tenga éxito. Es cierto que reducir las vulnerabilidades del software contribuye a incrementar la seguridad. No obstante, a la hora de rendir cuentas, es previsible encontrar situaciones complejas en las que en un mismo sistema haya instaladas múltiples aplicaciones susceptibles de contener vulnerabilidades. En esta situación ¿Quién paga el pato? Si la propuesta sigue adelante podemos vaticinar un incremento en la demanda de servicios de peritaje informático.

Incentivar la identificación y notificación de vulnerabilidades. La segunda línea de actuación también tiene que ver con los bugs y vulnerabilidades del software. En este caso se plantea la creación de un fondo entre las compañías que desarrollan software a fin de bonificar a aquellos que identifiquen y notifiquen sus hallazgos. (Actualmente ya se están llevando acciones similares como son, por ejemplo las iniciativas de TippingPoint).

Information sharing. Como viene siendo habitual las iniciativas concretas sobre algún aspecto de la seguridad van acompañadas de actuaciones propias de “information sharing”. Es decir, iniciativas que permitan compartir información entre grupos con los mismos intereses o afectados por un problema común. En este caso particular, se pretende fomentar que se compartan experiencias sobre la detección y resolución de vulnerabilidades.

En mi opinión ésta es una de las líneas de actuación más importantes y que más beneficios puede aportar. Dicho esto, aprovecho la despedida para agradecer la participación de nuestros amigos, compañeros y lectores que respaldan estas iniciativas aportando su granito de arena.

Pasen todos ustedes un buen fin de semana.