Nukin’ Zaragoza: a cyberwar exercise (IX). Conclusiones.

(Puedes consultar todas las partes de esta serie en los siguientes enlaces: 1. Apagón, 2. Esto no puede estar pasando, 3. Silencio sepulcral, 4. La hora de la verdad, 5. Daños colaterales, 6. La verdad está ahí fuera, 7. Lo que sabemos que no sabemos, 8. De vuelta al mundo real, 9. Conclusiones. Esperamos que hayan disfrutado con ella tanto como nosotros escribiéndola y publicándola).

¿Qué podemos hacer?

A lo largo de este ficticio (pero lejos de ser imposible) ensayo se ha pretendido demostrar lo intrincadas que están las TIC en el desarrollo de nuestras vidas. El tan famoso como manido “fallo informático” que afecta a veces nuestros quehaceres diarios no es más que un fallo de seguridad, afortunadamente no intencionado en la mayoría de los casos.

La ciberseguridad es un componente fundamental de las TIC. Y dado que, como hemos hablado, las TIC son una parte instrumental de nuestras vidas, es lógico (nunca mejor dicho) asociar transitivamente la ciberseguridad con nuestras vidas.

Esta serie de artículos se escribió antes de WannaCry, pero este incidente ejemplifica a la perfección el objetivo pretendido. Si el malware hubiera usado además del 445 (SMB) el puerto 3389 (Escritorio Remoto), la tasa de infección se habría incrementado en un orden de magnitud. Pero si el fallo explotado correspondiera al conjunto de parches de Mayo, que había salido el Martes por la noche (y que nadie tenía aplicado)… prácticamente todo el mundo habría sido víctima del ataque. Un verdadero armageddon para Internet.

Es imperativo que todos seamos conscientes de la importancia que tiene la seguridad informática, porque al fin y al cabo es una responsabilidad compartida que depende de una cadena larga y compleja en muchos casos.

En primer lugar tenemos a los usuarios, que deben de ser no solo concienciados de los riesgos de seguridad que corren sino convencidos de que son parte integral de la estrategia de seguridad (el concepto de “human firewall” es fundamental). Contraseñas fuertes, vigilancia de los correos sospechosos, cuidado en la navegación por Internet son medidas básicas pero vitales a la hora de impedir el inicio o progreso de un ataque.

La siguiente línea de defensa reside en los técnicos. Los administradores de sistemas y redes  deben de conocer los procedimientos de bastionado adecuado, configuración segura, y actualización, debiéndose buscar sobre todo la resiliencia de los mismos. Los desarrolladores deben seguir unas buenas prácticas de desarrollo seguro, intentando mantener una postura defensiva en su código (mínima superficie de ataque, validación en todas las entradas y salidas, registro de eventos, etc..). Los expertos en seguridad deben de aportar todo su conocimiento, apoyando a todas las áreas que así lo necesiten e integrándose de forma efectiva en el ciclo de vida de los sistemas de información.

Por encima de los técnicos tenemos a los directores de informática, que responden siempre ante los dueños de la empresa. Es su responsabilidad la de asignar los recursos necesarios para gestionar el riesgo hasta un nivel aceptable… y también de convencer a la dirección de la necesidad de esos recursos. La seguridad informática tiene que dejar de ser visto como un centro de costes y su retorno de la inversión medido e integrado en el resto de métricas de gestión.

A nivel público, todos los organismos con responsabilidades de ciberseguridad están realizando una labor encomiable: CCN-CERT, INCIBE, CNPIC, Policía Nacional y Guardia Civil velan a diario por nuestra seguridad.  Pero si queremos que estén a la altura de un escenario como el planteado en estos artículos, necesitan más recursos.

Una de las mejores lecciones aprendidas de WannaCry es el modo en que todo el mundo arrimó el hombro, compartiendo desde el primer minuto información y ayudando a despejar las incógnitas que atemorizaban a muchos.  Esta cooperación hace pensar que, cuando venga la siguiente tormenta, podremos superarla.

Porque una cosa debe quedar clara: hay “malos” ahí fuera, y cada vez tienen más organización y capacidades.  En nuestras manos está hacer lo propio, y hacerlo mejor para evitar que consigan sus objetivos.

Comments

  1. Muchas Gracias ¡¡¡

    Ha sido apasionante, hace unos tres años hicimos algo parecido con el Cyber Security Fórum Initiative, nos salió un supuesto de ciencia ficción que se ha visto superado por la cruda y actual realidad

    Saludos.

  2. Robertinho de Souza says

    Menino, muitos telenovelas juntos, é melhor eu esperar para o filme.
    Obrigado.