Basureo

En los últimos tiempos han venido surgiendo noticias en medios generales en relación a las “investigaciones” que diferentes ayuntamientos realizan o se plantean realizar para detectar y multar a ciudadanos que no reciclan su basura; la idea es simple: se revisan las bolsas del contenedor en busca de aquellas que contienen residuos de varios tipos (es decir, las correspondientes a los que no reciclan), y en esas mismas bolsas se busca información que pueda dar indicios sobre el vecino que no ha reciclado (recibos del banco con datos personales, facturas, publicidad…). Una vez localizado dicho vecino, se le multa.

Este tipo de noticias plantean serias dudas en materias de seguridad; en primer lugar, tenemos un problema legal: ¿quién está legitimado para buscar en mi basura? Según unos, nadie (mi basura es mía y sólo yo puedo mirarla), y según otros (los ayuntamientos), una vez se deposita la bolsa en el contenedor, la basura ya no es nuestra, sino que es pública (o algo así). Personalmente no entro a valorar este aspecto legal (lo desconozco, y aprovecho para pedir, si alguien entre nuestros lectores conoce el tema, más información al respecto), pero sí que me preocupa la posible violación de la confidencialidad que se produce al revisar basuras ajenas (dicen por ahí que es posible conocer a cualquier persona analizando su basura). Por lo que a mí respecta, trato siempre de destruir o separar cualquier cosa que permita detectar al “propietario” (en este caso yo) de la basura, sobre todo, y para matar varios pájaros de un tiro, los papeles que amablemente me envían los bancos para recordarme la enorme cantidad de dinero que tengo en mis cuentas en Suiza, los pocos recibos que tengo que pagar al mes con todo ese dinero, y la ridícula hipoteca en la que me metí hace un tiempo :)

La segunda gran duda que plantea este método es la fiabilidad del mismo; todos sabemos que el correo no es precisamente el medio más seguro de envío de información, y que en muchas ocasiones es muy fácil acceder a la correspondencia de cualquier vecino (metiendo la mano en su buzón o simplemente esperando a que por error metan su correspondencia en el nuestro). No hace falta ser muy listo para imaginar a ese vecino que todos tenemos hurgando en nuestro buzón, sacando nuestras cartas, depositándolas en una bolsa de basura sin separar y sentándose a esperar para ver cómo la Policía Local nos multa por malos ciudadanos. Apañados estamos.

Hace unos años el basureo (trashing) era una técnica habitual en cualquier auditoría de seguridad que se preciara; la información que se podía obtener en una papelera o un cubo de basura era impresionante: nombres de usuario y contraseñas, datos financieros, ofertas, datos de los empleados… Un método mucho más rápido que andar buscando vulnerabilidades en un firewall, por supuesto. Hoy en día todos nos hemos acostumbrado a utilizar estupendas destructoras de papel —algún día hablaremos de ellas— que siempre usamos para destruir cualquier tipo de información interna (¿verdad?), por lo que estos métodos de auditoría no se utilizan tanto como hace unos años; quizás noticias como esta hagan que el trashing se vuelva a poner de moda entre los equipos de auditoría.

En cualquier caso, dos consejos: no tiréis a la basura ningún dato que pueda considerarse confidencial y, por supuesto, reciclad :)

* * *

(N.d.E.) Esta semana la encuesta está relacionada con la cuestión que planteaba Toni arriba: la basura que generamos, ¿es nuestra durante todo “su ciclo de vida”, o por el contrario deja de serlo cuando sale por nuestra puerta? Les planteamos además un par de opciones adicionales que pueden ser interesantes:

[poll id=”7″]

En relación con la encuesta de la semana pasada, los resultados se muestran debajo, dando como resultado que la mayor parte de los lectores se decantan por informar del error y no dar ningún detalle; es también esa la opción escogida por David, la persona que planteaba la encuesta. En segundo lugar, cuatro lectores apoyaban la idea de dar toda la información posible, cuestión que desaconsejo por el riesgo de proporcionar información sensible al posible atacante (versiones, rutas, usuarios, etc.). De hecho, creo preferible enmascarar el error completamente (3 usuarios). Por último, felicitar a esos tres usuarios que no tienen, no saben que tienen, o prefieren no saber que tienen errores en sus aplicaciones.

[poll id=”6″]

Nada más; S2 Grupo se muda de oficinas este fin de semana, con todo lo que ello implica. La semana que viene les pondré alguna foto del nuevo emplazamiento, por simple narcisismo. Pasen en cualquier caso un buen fin de semana. Nos vemos el lunes, más y mejor.

CCTV

Un sistema de circuito cerrado de televisión (CCTV) es un mecanismo de seguridad que dispone de elementos o subsistemas de captación (cámaras), de reproducción (monitores), de grabación (videos), de transmisión (cableado), de sensorización (sensores de movimiento, de condiciones ambientales, de fuego…) y de control (rotores de cámaras, switchers…). Estos sistemas constituyen un elemento muy importante a considerar en casi cualquier instalación de seguridad, ya que permiten obtener imágenes de buena calidad (diurnas y nocturnas), proporcionando un elevado nivel de control (por ejemplo en procesos industriales), incrementando la seguridad (como medida disuasoria) y permitiendo obtener evidencias fiables de forma sencilla y efectiva, por ejemplo ante incidentes graves.

Las ventajas de utilizar la videovigilancia son muchas, desde la protección de vidas humanas o activos de todo tipo hasta el control de zonas donde se realizan trabajos peligrosos. No obstante, estos mecanismos de seguridad (como cualquier otro) tienen contraprestaciones que es necesario evaluar a la hora de implantarlos; sin duda, el tema más espinoso es legal, y se deriva de la protección de datos de carácter personal, en especial en aquellas instalaciones donde sea necesario disponer de cámaras en el exterior de las instalaciones.

En el ámbito estricto de la seguridad física, la videovigilancia mediante CCTV presenta dos problemas importantes; el primero de ellos, en aquellos casos en los que se captan imágenes de forma permanente y en gran volumen, es la limitación en la capacidad de reacción ante incidentes, por una cuestión de volumen. Si pensamos en las horas de imágenes de cajeros que cualquier banco puede tener a diario, en la dificultad para detectar automáticamente ciertas activides anómalas en dichos cajeros (es muy dificil, con un programa de procesamiento de imagen, determinar si alguien saca dinero de forma legítima o está poniendo un lazo libanés), y en la imposibilidad de analizar por parte de un humano dichas imágenes, podemos hacernos una idea de esta limitación a la que hacíamos referencia (en la práctica, las imágenes de cajeros obviamente no se visualizan salvo problemas detectados por otros medios, y si no los ha habido, se destruyen pasada una semana desde la grabación).

El segundo problema importante en temas de CCTV suele producirse por la dependencia en un vigilante de seguridad para el control de las cámaras, un vigilante que obviamente puede o no ser efectivo y reaccionar a tiempo; esta dependencia se produce especialmente en horarios de mínimos, cuando el número de personas “visualizando” imágenes es más reducido, en ocasiones demasiado, y podemos no detectar un problema simplemente porque el encargado de ver las imágenes se ha levantado a por un café.

Finalmente, es necesario indicar que los sistemas clásicos de CCTV se están sustituyendo en algunas organizaciones por sistemas de cámaras web, mucho más económicas, pero también con mayores problemas de seguridad; se trata de cámaras con conexión TCP/IP, e incluso accesibles en ocasiones desde Internet (por una mala configuración, un descuido, o simplemente por desinterés), que pueden comprometer gravemente nuestra seguridad a todos los niveles: legal, físico, lógico… Como siempre, es necesario estar muy al tanto de las amenazas que este tipo de cámaras introducen en nuestra organización, garantizando que un elemento que debe incrementar nuestra seguridad no acaba rompiéndola por completo. Y para muestra, un botón: si os aburrís, buscad “index of /webcam” en Google.

Una firma digitalizada no es una firma electrónica

Es ya habitual que a la hora de pagar con tarjeta de crédito, en todo tipo de comercios, supermercados, o grandes superficies, nos sorprendan con un nuevo aparato, en forma de tarjeta digitalizadora, que nos ofrecen amablemente para que garabateemos nuestra firma manuscrita. Seguro que se han encontrado con ellos, pero a continuación pueden ver tres ejemplos de este tipo de instrumentos:

fdigital.jpg

[Read more…]

La selectividad no es solo la prueba de acceso a la universidad

Aunque la selectividad, como prueba de acceso a la Universidad, sea ya una gran olvidada para muchos de los que la hemos sufrido, la selectividad, como principio básico de diseño de los sistemas de suministro eléctrico de las salas de ordenadores, no debería ni mucho menos serlo.

Para empezar deberemos recordar que una de las dimensiones fundamentales de la seguridad es la disponibilidad, y que si ésta falla nos enfrentamos a un problema de seguridad que, dependiendo del tipo de servicio y del momento del tiempo en el que se produzca, será de mayor o menor gravedad pudiendo llegar a ser CR?TICO.

Son muchos los factores que inciden en la disponibilidad de los sistemas de información y por tanto en la seguridad de la información, pero sin duda hay un factor básico y trivial y a la vez poco atendido o poco entendido: el suministro eléctrico.

[Read more…]

Cuando saltan chispas en la seguridad

No son muy amigas, la seguridad y las chispas, o tal vez la seguridad y los chispas. No lo son y no conozco realmente la razón, porque es habitual ver como empresas importantes invierten sumas nada despreciables en protecciones tecnológicas de sus infraestructuras TIC y olvidan de forma recurrente su protección física, en su más amplio sentido: la protección de las instalaciones que soportan sus sistemas de información. Instalaciones básicas (en el sentido de vitales) que en un porcentaje muy importante de los casos están descuidadas, mal diseñadas o mal ejecutadas y que en TODOS los casos tienen consecuencias negativas sobre alguna de las dimensiones de la seguridad: Confidencialidad, Disponibilidad o Integridad.

Sistemas de alimentación ininterrumpida mal dimensionados, elementos de protección incorrectos, cuadros eléctricos accesibles, instalaciones no documentadas, protecciones que no protejen, ausencia de selectividad en protecciones de circuitos, equipos de aire acondicionado mal dimensionados y mal colocados, tuberías de agua encima de las máquinas más críticas, armónicos y un largo etcétera son un breve ejemplo de las amenazas a las que nos enfrentamos en esta dimensión, y que he tenido el dudoso privilegio de ver a lo largo de mi carrera.

A la hora de enfrentarnos a un análisis de riesgos es habitual que, siguiendo más o menos lo que nos sugieren metodologías como MAGERIT, estructuremos nuestros activos de forma piramidal desde los procesos de negocio hasta llegar a las personas que lo soportan todo, pasando por las instalaciones y suministros. Según esto, si somos capaces de identificar los cimientos sobre los que se sustentan nuestros sistemas de información e indirectamente muchos de nuestros procesos de negocio, ¿por qué nos empeñamos en proteger solo parte de los niveles de la pirámide? Y es que por pequeñas que sean las instalaciones, son MUY grandes los activos que almacenan: información de nuestro negocio, de nuestros clientes, empleados, de las personas con las que trabajamos y para las que trabajamos. Cconocimiento al fin y al cabo… el alma de nuestras organizaciones.

Alguien podría esgrimir la lanza del presupuesto, pero lo cierto es que entre las instalaciones autoportantes e hiper-seguras de marcas muy conocidas para las que podemos necesitar hasta 60.000 euros para una sala de escasos metros cuadrados, y lo que habitualmente tenemos la oportunidad de ver, hay un abismo. Como cualquier otra instalación crítica, y el CPD en muchos casos lo es, necesitamos diseñar de forma adecuada las instalaciones, teniendo en cuenta que no es lo mismo hacer una instalación eléctrica en una casa o en una nave industrial que en una sala técnica, y que no podemos tratar las condiciones ambientales de la misma como si fuese una cámara frigorífica o una sala de cine. A lo que voy, es que cada una de las instalaciones que hospedan físicamente nuestros sistemas requieren un cuidado especial y unos conocimientos específicos.

La selectividad no es sólo la prueba de acceso a la universidad“. Esta será la próxima entrada de esta serie sobre seguridad física que comenzamos en Security Artwork, en la que, en la línea de lo dicho hasta ahora, hablaremos de un concepto poco conocido —o poco aplicado— a la hora de diseñar las instalaciones eléctricas de los CPDs.

Security thru obscurity en el sector de la automoción

Probablemente conozcan un principio utilizado principalmente en el mundo de la seguridad informática, denominado “Seguridad por oscuridad”, que es la traducción del homólogo inglés “Security thru obscurity“. Básicamente, consiste en ocultar los detalles de diseño e implementación —entre otros— de un programa o dispositivo, consiguiendo (o pretendiendo conseguir, al menos) que el producto actúe como una caja negra y por tanto sus potenciales puntos débiles no puedan ser, o sean descubiertos. Pueden obtener más información de la Wikipedia [versión completa del artículo en inglés].

Por lo general, esta suele en la gran mayoría de los casos, una mala política, porque con lo ancha y vasta que es Internet, siempre hay alguien que acaba descubriendo esos puntos débiles. Entonces es cuando decimos que una vulnerabilidad esta siendo explotada “in the wild” (y eso suele ser malo). Es decir, que gracias a las prácticas oscurantistas de la compañía X, el servidor del señor Juanito queda expuesto a los ataques del señor Luisito, que conoce los problemas de seguridad que la companía X ya sabe pero no quiere decir. Ya se imaginan el resto.

Y esto venía a cuento porque la semana pasada, viendo la televisión, aparecía en un programa un sujeto cuya cara aparecía convenientemente oculta, mostrando diversos métodos para robar coches, todos ellos (los métodos) aparentemente muy sencillos y de fácil aplicación (aunque les confieso que no me he puesto a ello ni tengo intención de hacerlo, la verdad; yo ya tengo coche y a mi lo ajeno me produce mucho respeto). Y lo que ví, aparte de mostrarme —como era de esperar— que lo que les he contado en el primer párrafo no sólo se aplica en el ámbito de la informática, sino que se encuentra en otros muchos ámbitos de la “vida real”, me dejó con la duda de si los dueños de Audis TT —por ejemplo— son convenientemente informados de las “vulnerabilidades” que tienen sus automóviles en cuestión de seguridad y finalmente, si, oponiéndome al principio que les comentaba, yo debería decirles aquí cómo robar un Audi TT.

Como era de esperar, he decidido que no. Primero, porque me da cosilla hacerlo. Y segundo, porque sin una prueba de concepto, a ver quién se lo cree.

Nada más. Como siempre, pasen un buen fin de semana.

Sistemas SCADA

¿Se acuerdan de aquella entrada sobre los potenciales problemas de seguridad (y sus consecuencias) de los sistemas SCADA? Aquel texto fue reproducido en Kriptópolis y despertó varias suspicacias por su aparente nivel de alarma; algunas de las quejas apuntaban al típico “no seamos paranoicos”, al “estamos viendo fantasmas”. Por supuesto, crear alarma injustificadamente no era ese el propósito de aquella entrada ni de ninguna otra.

Al parecer, según informa Steve Bellovin en su blog, y de acuerdo a información de la CIA, grupos de hackers han sido los responsables de la pérdida de fluido eléctrico en varias ciudades extranjeras, como parte de una trama dedicada a la extorsión. Me atrevo a decir que Barcelona no es una de ellas; eso sería genial como excusa desde algún punto de vista político, aunque sin duda traería mucha más cola desde otros; una cosa es tener problemas de dimensionamiento, y otra saber que tu red eléctrica está completamente a merced de los delincuentes; a mí al menos esto último me asusta mucho más. Como apunta Bellovin, aunque es obvio que las redes de este tipo de servicios no deberían estar conectadas a Internet, esto no siempre es posible; a veces por requisitos funcionales, y a veces incluso por un exceso innecesario de innovación y/o publicidad. Esta es sólo otra noticia más en relación con sistemas SCADA y cómo los problemas de seguridad tienen consecuencias en la vida real (ver opinión de Bellovin al respecto).

Por otro lado, si quieren leer una opinión algo más escéptica sobre estos ataques energéticos y las declaraciones de la CIA, les remito a la entrada de Bruce Schneier, con cuyas opiniones estoy últimamente en desacuerdo (véase su artículo sobre Wifis abiertas y lo que escribimos aquí sobre ello).

Y eso es todo; estamos estos días envueltos en S2 Grupo en un proceso de certificación de la ISO 9001 y recertificación de nuestro SGSI (ISO 27001), por lo que pueden imaginar que el tiempo que podemos dedicarles es más bien escaso (y aún así, aquí seguimos).

Como siempre, gracias por seguir leyéndonos, pasen un buen fin de semana y si es posible, nos vemos de nuevo el lunes.

Noticias de seguridad (o no)

Para empezar bien la semana, ayer lunes nos “desayunamos” con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs “todo en uno”. Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de “El Solitario”, el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

La tercera noticia a la que hacía referencia en principio es un gran apagón en la ciudad de Barcelona, al parecer causado por la caída de un cable en una central eléctrica. Este apagón ha afectado a buena parte de la ciudad, causando el caos y paralizando parcialmente la actividad en nueve de los diez distritos de la ciudad: problemas circulatorios —no funcionaban los semáforos—, hospitales a oscuras, ferrocarriles detenidos, etc. ¿Qué tiene que ver esto con la seguridad? A primera vista, poco o nada… pero si nos paramos a pensar un poco, podemos plantearnos si sería posible conseguir esto mismo —lo que en este caso vino causado por un accidente— a través de ataques informáticos. En muchos países, en especial del ámbito anglosajón, se ha puesto de moda en los últimos años hablar de Infraestructura Crítica Nacional (los sectores básicos para que un país funcione: energía, finanzas, alimentación, logística…), así como de su protección frente a grandes ataques terroristas de cualquier tipo, tanto físicos —recordemos el 11S— como lógicos.

¿Cómo estamos de preparados en España para afrontar este tipo de amenazas? En opinión de muchos, la probabilidad de que se produzca un ataque ciberterrorista contra el país es mucho menor que la probabilidad de que se produzca un ataque “clásico”, a causa en parte de nuestra historia más reciente. Dicho de otra forma, se considera más probable que una bomba destruya una presa, que el hecho de que los sistemas de control de esa misma presa sean neutralizados a nivel lógico por un tercero. Pero… ¿y si sucede? ¿Estamos preparados? Personalmente, yo —y esto es una opinión, tan buena o mala como cualquier otra— creo que no. Lo que no sé, y me gustaría saber, es si realmente se ha evaluado la amenaza de forma adecuada, o simplemente hemos dicho aquello de “como nunca ha pasado…”. Porque tampoco antes del 11S habíamos pensado que dos aviones podían estrellarse contra los edificios emblemáticos de una ciudad como NY, causando miles de muertos y paralizando por completo a los Estados Unidos, la mayor potencia mundial, y lamentablemente pasó.

Vaya si pasó.

Actualización 11:00h: Para completar el inicio de semana, se ha descubierto una vulnerabilidad grave en Windows que afecta a Microsoft Office e Internet Explorer, para la que no existe en la actualidad parche por parte de Microsoft. Se recomienda por tanto especial cuidado en la apertura de documentos de la suite Microsoft Office (Excel, Power Point, Word, etc.) que no provengan de una fuente fiable, y el acceso a páginas web desconocidas. Como siempre, existe la alternativa de usar Mozilla Firefox y la suite OpenOffice, pero por supuesto, eso queda a elección del lector.

La convergencia de las “seguridades”

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las “patas” de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

La convergencia proporciona a las organizaciones unos beneficios claros en materia de seguridad, como son la visión holística del riesgo, la reducción de costes o la existencia de un punto único de referencia (el CSO) en la materia. Viene catalizada por diferentes factores, entre los que es necesario destacar la convergencia tecnológica (elementos TIC que por sí ya difuminan las diferencias entre “seguridades”: cámaras CCTV controladas vía TCP/IP, sistemas de autenticación únicos para accesos físicos y lógicos, etc.), o la existencia de amenazas comunes en todos los frentes. Por contra, a la hora de converger nos encontramos ante barreras que en muchos casos son difíciles de superar (sensación personal de pérdida de poder en la organización, áreas de conocimiento diferentes, etc.), siendo la mayor de todas ellas la diferencia cultural que existe entre las “seguridades” particulares: por ejemplo, el personal de seguridad TIC siempre ha visto al de seguridad física como “la gente de pistola en mano”, y éstos últimos a los primeros como los tecnólogos que solucionan todo con ordenadores; obviamente esta visión no es correcta en la actualidad, pero por experiencia, podemos decir que aún se mantiene en muchas ocasiones.

Finalmente, es necesario destacar que la convergencia de la seguridad en las organizaciones requiere de una figura clave a la que ya se ha hecho referencia: el Director de Seguridad (CSO, Chief Security Officer); las competencias y habilidades básicas de esta figura para garantizar la protección activa de todos los activos de la organización y la respuesta correcta ante los incidentes que en la misma se produzcan son cada vez más críticas, por lo que la figura del CSO en la actualidad debe ubicarse sin duda en un nivel ejecutivo y de liderazgo, de forma que el Director de Seguridad sea capaz de garantizar de forma eficaz el nivel de riesgo reputacional asumible, la disponibilidad de las infraestructuras y de los procesos de negocio, la protección de los activos tangibles e intangibles, la seguridad de los empleados y la confianza de los terceros en la organización.

Por su seguridad: aprenda inglés

Como algunos de ustedes probablemente saben, he pasado la última semana de vacaciones en Sassari —Cerdeña—, disfrutando del sol, la playa, y comiendo pasta y pizza. Sí, eso y poco más, que ya es bastante. Aprovechando un vuelo de Ryanair, una de las principales compañias aéreas de bajo coste, me planté en la isla por poco más de setenta euros por persona, ida y vuelta. El caso es que me llamó la atención que en el viaje de ida ninguno de los mensajes habituales acerca del uso y localización de los distintos mecanismos de emergencia, tales como chalecos salvavidas, cinturones, máscaras de oxígeno o las propias salidas de emergencia estuviera en castellano, catalán, o italiano, cuando tales son las lenguas oficiales —o co-oficiales— de la ciudad origen y de la de destino, respectivamente. No, todos los mensajes estaban en inglés.

No puede decirse que yo sea totalmente bilingüe en relación al inglés, pero me defiendo con relativa soltura, y he volado lo suficiente como para saber —o creer saber— dónde está cada cosa y cómo utilizarla; afortunadamente, jamás ha sido necesario llevar ese conocimiento a la práctica, porque entonces veríamos si lo que creo saber es lo que sé en realidad. Sin embargo, teniendo en cuenta que estos mensajes se emiten, asumo, con la intención de incrementar la seguridad de los pasajeros en el caso de producirse un posible accidente o fallo aéreo, disminuyendo así el riesgo personal de cada uno de ellos al saber utilizar los mecanismos proporcionados, carece de sentido que se emitan en una única lengua que no es, probablemente, la que conocen la gran mayoría de sus receptores.

En otras palabras, y acabando de aplicar terminología de seguridad informática al mundo físico, si dedicamos recursos tanto humanos como económicos a instalar y revisar controles que reduzcan el riesgo e incrementen la seguridad de las personas, ¿qué sentido tiene que esas personas no sepan cómo hacer uso de ellos llegado un potencial problema de seguridad?