La convergencia de Boeing

Leía en El Mundo (elmundo.es) un peligroso ejemplo de convergencia (¿recuerdan que les hablamos de ello?). Parece ser, siempre teniendo en cuenta que las diferencias entre lo publicado en medios de propósito general y la realidad tecnológica suelen ser considerables, que a los señores ingenieros de Boeing no se les ha ocurrido más que unir, en ciertos puntos, las redes de datos y control de sus aviones con las redes de propósito general que dan acceso a Internet para los pasajeros durante el vuelo. Si simplemente hubiéramos visto la noticia en el periódico, seguramente lo habríamos achacado al sensacionalimo o desconocimiento de quien ha escrito el artículo, pero resulta que en el mismo hay un enlace a Cryptome.org (algo más serio en materias de seguridad) en el que se publica el supuesto informe de la FAA (Federal Aviation Administration) que hace referencia a este problema.

Teniendo en cuenta que el propio informe de la FAA indica que es necesario seguir analizando el problema para determinar el posible impacto del mismo, por lo que es posible que finalmente un potencial intruso simplemente pueda tener acceso a cosas irrelevantes para la seguridad del vuelo (consulta de la temperatura en cabina, lectura de parámetros de vuelo, captura pasiva del sistema de megafonía…), nos importa mucho el hecho en sí, como ejemplo de convergencia. Si un intruso ataca una red de datos desde su ordenador, podrá interferir generalmente en actividades de índole lógica, perjudicando la imagen de la víctima, la integridad de sus datos, la confidencialidad de su cartera de clientes, etc.; pero si esta red da acceso a sistemas de control, la cosa cambia. En este caso, pensemos en que el atacante podría distorsionar datos de vuelo o proporcionar datos falsos a los elementos de control; sin duda es aventurarse mucho, pero como ya adelantamos, este tipo de cosas —quizás, y esperemos que así sea, no en aviones, por las medidas de seguridad que se introducen en estos medios de transporte— acabará pasando. Cuando conectamos elementos de control físico con redes fácilmente atacables, nos exponemos a riesgos que tal vez no sean los esperados.

Por si acaso, yo trataré de volar lo menos posible. Eso sí, no por esta noticia, sino porque nunca me ha gustado el avión.

(N.d.E.) Actualización 10:00h: Leo a través de Barrapunto que al parecer, un hacker polaco ha materializado en el sistema ferroviario polaco una amenaza parecida [The Register, en inglés].

El riesgo de la movilidad

Se habla cada día más de la seguridad —o inseguridad— relacionada con los dispositivos móviles que todos, en mayor menor medida, llevamos con nosotros en nuestro día a día. Sin duda, nos encontramos ante uno de los principales quebraderos de cabeza que en la actualidad comparten todos los responsables de seguridad, y previsiblemente seguirá siéndolo a medio plazo. Y aunque la amenaza no es nueva, conforme avanza la tecnología aumentan el riesgo y el impacto asociados a ella. Un ejemplo: si hace unos años, lo que podíamos perder (o lo que nos podían robar) era una agenda (de papel, de las de toda la vida), un bloc de notas o, a lo sumo, un par de diskettes, hoy podemos perder gigas de información en un simple lápiz de memoria USB, una detallada agenda electrónica con nuestros contactos, o incluso el portátil en el que tenemos almacenado todo nuestro trabajo.

Nadie pone en duda los beneficios que introducen en nuestro trabajo diario este tipo de dispositivos, pero igualmente nadie pone en duda los problemas de seguridad que nos pueden acarrear; ninguno de nosotros está exento de perder uno de estos gadgets (o chismes, en una posible acepción castellana), así que es imprescindible implantar controles que, en caso de robo o pérdida, minimicen el impacto para la organización. Para empezar, una buena salvaguarda es la definición de procedimientos, normativas, políticas o como les queramos llamar, para regular el uso de estos dispositivos. Estas normas deben marcar el tipo de datos que podemos almacenar en los mismos, las medidas de prevención básicas para evitar un compromiso (robo, pérdida o ataque), los pasos a seguir si dicho compromiso se produce, etc. Además, una medida técnica siempre recomendable es el cifrado de los datos almacenados: se trata de una medida barata y efectiva, que todos deberíamos implantar.

Antes de acabar, un ejercicio sencillo. Marque cada uno, mentalmente, los dispositivos que lleve consigo en su trabajo diario:

— Teléfono móvil.
— PDA.
— Ordenador portátil.
— Memorias USB.
— Tarjetas inteligentes.

Ahora piense en la información almacenada en cada uno de estos dispositivos, o en los privilegios que otorgan… y en qué sucedería si perdiera cada uno de ellos, o si se los robaran. Es como para tomarlo en serio, ¿verdad?

Todos tenemos un pasado…

La semana pasada, durante una amena sesión de formación ISO 9001, me tacharon de «paranoico», «fundamentalista», y similares por defender los procedimientos duros de verificación (corrección y completitud) de Curriculum Vitae para las personas que van a entrar a formar parte de una organización, lo que se viene a llamar CV Screening; más en concreto, por defender la necesidad de asegurarnos de la completitud de un curriculum.

Mientras que las verificaciones destinadas a comprobar que una persona es lo que dice ser (si yo afirmo ser Ingeniero en Informática, debo aportar «algo» —un título original en este caso— que lo confirme) son comúnmente aceptadas, las que tienen por objeto comprobar que alguien es lo que no dice ser parece que chocan de frente con el derecho a la privacidad de las personas. Un ejemplo: si a un candidato a puesto de mantenimiento —quizás, a priori, no relacionado directamente con la seguridad— le solicito el título de técnico electricista, sin ningún problema lo aportará junto a su Curriculum y podrá ser cotejado por el departamento de Seguridad; si a ese mismo candidato se le pregunta a qué se debe un llamativo «hueco» en su historial, pongamos por ejemplo de tres años y un día, se llevará las manos a la cabeza alegando su derecho a la privacidad, los ataques a su intimidad y no sé cuántas cosas más.

Por supuesto, todos podemos ser engañados; pero si una norma como ISO 27002 incluye un control ad hoc para la revisión curricular de los aspirantes al puesto de trabajo, por algo será, y debemos al menos evaluar la conveniencia de implantarlo en nuestras organizaciones. Los que tenemos un perfil técnico nos centramos con frecuencia en cortafuegos, detectores de intrusos, permisos de ficheros o analizadores de puertos, olvidándonos muchas veces de aspectos tan críticos para la seguridad global como el CV Screening o la ingeniería social. Y al final, la cadena se rompe por su eslabón más débil, volviendo a lo que solemos decir los del «mundillo»: un atacante nos hará daño de la forma que le sea más fácil. ¿Para qué perder el tiempo aprovechando vulnerabilidades, si le puedo preguntar a un empleado las claves de los servidores?

Todos tenemos un pasado; quizás ese pasado no sea determinante para el acceso a un puesto dentro de la organización, pero bajo ciertas circunstancias puede serlo. El hecho que entre las aficiones de una persona se encuentren los deportes de aventura, que haya estado en la cárcel por un delito concreto, que haya trabajado para nuestra competencia más directa, o que haya sido un pirata informático, puede introducir niveles de riesgo en la organización que, para que sean mitigados o asumidos, deben ser al menos conocidos. Si nos limitamos a creernos a pies juntillas lo que pone en un curriculum y no vamos más allá, tarde o temprano nos encontraremos con aquello de que las personas son el eslabón más débil de nuestra seguridad.

Noticias de seguridad (o no)

Para empezar bien la semana, ayer lunes nos «desayunamos» con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs «todo en uno». Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de «El Solitario», el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

La tercera noticia a la que hacía referencia en principio es un gran apagón en la ciudad de Barcelona, al parecer causado por la caída de un cable en una central eléctrica. Este apagón ha afectado a buena parte de la ciudad, causando el caos y paralizando parcialmente la actividad en nueve de los diez distritos de la ciudad: problemas circulatorios —no funcionaban los semáforos—, hospitales a oscuras, ferrocarriles detenidos, etc. ¿Qué tiene que ver esto con la seguridad? A primera vista, poco o nada… pero si nos paramos a pensar un poco, podemos plantearnos si sería posible conseguir esto mismo —lo que en este caso vino causado por un accidente— a través de ataques informáticos. En muchos países, en especial del ámbito anglosajón, se ha puesto de moda en los últimos años hablar de Infraestructura Crítica Nacional (los sectores básicos para que un país funcione: energía, finanzas, alimentación, logística…), así como de su protección frente a grandes ataques terroristas de cualquier tipo, tanto físicos —recordemos el 11S— como lógicos.

¿Cómo estamos de preparados en España para afrontar este tipo de amenazas? En opinión de muchos, la probabilidad de que se produzca un ataque ciberterrorista contra el país es mucho menor que la probabilidad de que se produzca un ataque «clásico», a causa en parte de nuestra historia más reciente. Dicho de otra forma, se considera más probable que una bomba destruya una presa, que el hecho de que los sistemas de control de esa misma presa sean neutralizados a nivel lógico por un tercero. Pero… ¿y si sucede? ¿Estamos preparados? Personalmente, yo —y esto es una opinión, tan buena o mala como cualquier otra— creo que no. Lo que no sé, y me gustaría saber, es si realmente se ha evaluado la amenaza de forma adecuada, o simplemente hemos dicho aquello de «como nunca ha pasado…». Porque tampoco antes del 11S habíamos pensado que dos aviones podían estrellarse contra los edificios emblemáticos de una ciudad como NY, causando miles de muertos y paralizando por completo a los Estados Unidos, la mayor potencia mundial, y lamentablemente pasó.

Vaya si pasó.

Actualización 11:00h: Para completar el inicio de semana, se ha descubierto una vulnerabilidad grave en Windows que afecta a Microsoft Office e Internet Explorer, para la que no existe en la actualidad parche por parte de Microsoft. Se recomienda por tanto especial cuidado en la apertura de documentos de la suite Microsoft Office (Excel, Power Point, Word, etc.) que no provengan de una fuente fiable, y el acceso a páginas web desconocidas. Como siempre, existe la alternativa de usar Mozilla Firefox y la suite OpenOffice, pero por supuesto, eso queda a elección del lector.

La convergencia de las «seguridades»

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las «patas» de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

La convergencia proporciona a las organizaciones unos beneficios claros en materia de seguridad, como son la visión holística del riesgo, la reducción de costes o la existencia de un punto único de referencia (el CSO) en la materia. Viene catalizada por diferentes factores, entre los que es necesario destacar la convergencia tecnológica (elementos TIC que por sí ya difuminan las diferencias entre «seguridades»: cámaras CCTV controladas vía TCP/IP, sistemas de autenticación únicos para accesos físicos y lógicos, etc.), o la existencia de amenazas comunes en todos los frentes. Por contra, a la hora de converger nos encontramos ante barreras que en muchos casos son difíciles de superar (sensación personal de pérdida de poder en la organización, áreas de conocimiento diferentes, etc.), siendo la mayor de todas ellas la diferencia cultural que existe entre las «seguridades» particulares: por ejemplo, el personal de seguridad TIC siempre ha visto al de seguridad física como «la gente de pistola en mano», y éstos últimos a los primeros como los tecnólogos que solucionan todo con ordenadores; obviamente esta visión no es correcta en la actualidad, pero por experiencia, podemos decir que aún se mantiene en muchas ocasiones.

Finalmente, es necesario destacar que la convergencia de la seguridad en las organizaciones requiere de una figura clave a la que ya se ha hecho referencia: el Director de Seguridad (CSO, Chief Security Officer); las competencias y habilidades básicas de esta figura para garantizar la protección activa de todos los activos de la organización y la respuesta correcta ante los incidentes que en la misma se produzcan son cada vez más críticas, por lo que la figura del CSO en la actualidad debe ubicarse sin duda en un nivel ejecutivo y de liderazgo, de forma que el Director de Seguridad sea capaz de garantizar de forma eficaz el nivel de riesgo reputacional asumible, la disponibilidad de las infraestructuras y de los procesos de negocio, la protección de los activos tangibles e intangibles, la seguridad de los empleados y la confianza de los terceros en la organización.

Programa Santiago

Supuestamente, el próximo año estará plenamente operativo el Programa Santiago (Ministerio de Defensa), cuyo objetivo principal es la captación de emisiones electromagnéticas y de imágenes en las zonas definidas como de interés estratégico para la seguridad nacional (Ingeniería de Sistemas Aplicada, capítulo 5: Análisis de riesgos durante la evaluación de ofertas en el programa Santiago). Poco sabemos de este programa, iniciado en 1986, clasificado secreto y del que apenas podemos encontrar información oficial (con excepción de los presupuestos que cada año se asignan al mismo), pero todo apunta a que se trata de la versión española de ECHELON.

Uno de los -presuntos- pilares de este programa es la estación de seguimiento de satélites Fresnedillas-Navalagamella (con un acceso físico fuertemente controlado por personal que impide incluso la toma de fotografías, doble valla y cámaras de seguridad); este centro -se pueden ver sus imágenes en Google Earth- dispone de al menos cinco antenas de unos 18 metros orientadas al sur. Si a estos datos unimos una de las conclusiones del informe final elaborado por la comisión europea que estudió ECHELON, que en su apartado 5.2.3 indica explícitamente que «si en una ubicación se encuentran dos o más antenas de recepción de satélites con un diámetro superior a 18 metros, una de sus tareas es la interceptación de comunicaciones civiles», parece obvio a qué puede dedicarse la estación mencionada.

¿Existe realmente un nivel de confidencialidad aceptable en nuestras comunicaciones? A priori, ni a los militares ni a los servicios de inteligencia les interesan de forma especial nuestras comunicaciones electrónicas (espero que dediquen su tiempo a interceptar comunicaciones que realmente puedan afectar a nuestros intereses globales, como las de grupos terroristas, las de países «poco amigos» o las de países «amigos»), pero si esos datos cayeran en otras manos estaríamos ante un grave problema. ¿Cómo se garantiza la seguridad en este caso? ¿Quién vigila al vigilante? Sin duda, es algo que deberíamos empezar a plantearnos…

Para saber más de este y otros temas, es muy recomendable el libro «Libertad Vigilada», de Nacho García Mostazo (Ed. B), que aunque data de 2002 -una eternidad en nuestra era informática- sigue siendo de lo poquito publicado al respecto en nuestro país.

[Actualización 18/05/2007. Para los escépticos ávidos de fuentes «fiables», aquí va un enlace al programa Santiago en la web del Ministerio de Defensa]