InfoSecMan Blog

Mi suegra, mujer de edad, experiencia, sabiduría y a la que aprecio mucho (es cierto, no es broma) tiene sin embargo un problema en su comportamiento: es bastante nerviosa y aprensiva, lo que hace que ante cualquier problema que pueda ocurrirle lance una voz de “alarma”. Se le cae un plato, y da un grito como si le hubiesen cortado un brazo, se le corta una llamada en el teléfono y sufre una crisis como si hubiese perdido un amigo o se le pasa la comida y rompe en llanto cual si hubiese perdido los ahorros de toda una vida o si le duele un poquito la cabeza, lo sienta como si fuese un dolor insoportable. Todo esto hace que su hija (y yo), además de llevarnos unos buenos sustos de vez en cuando, no le hagamos demasiado caso ante sus “alarmas” habituales.

Muchas veces le hemos puesto el ejemplo del cuento de “Pedro y el Lobo” insistiéndole en que debe medirse en sus “alarmas” sin ningún resultado aparente. Todo esto no había tenido mayor importancia hasta hace unos meses en los que tras operarse de una prótesis de rodilla, ella (como siempre) alertaba de los enormes dolores que tenía y lo mucho que sufría y nosotros no le hacíamos más caso del normal. Cuál fue nuestra sorpresa cuando tras llevarla a una revisión nos informaron que en la intervención habían tocado un nervio y que por tanto, estaba “hiperexcitado” causándole mucho más dolor del normal. Fue en ese momento cuando ella (y nosotros) nos dimos cuenta de la importancia de valorar adecuadamente los consejos, las advertencias y el conocimiento de los expertos, además de asumirlos y expresarlos de forma adecuada.

Pues bien, estos días no hace si no rondarme la cabeza exactamente lo mismo con el impacto en los medios, en el sector y en la industria de lo ocurrido con Wikileaks y Stuxnet, y es que, seamos realistas, ambos casos no son más que la práctica de lo que muchos llevamos años diciendo y advirtiendo. Por centrarlo en 2 de los discursos:

• Wikileaks: el eslabón más débil son siempre las personas y como tal, deben analizarse y gestionarse sus riesgos asociados, en cuanto a comportamiento, a práctica, a organización, etc. En este caso, no nos engañemos, detrás de este gran escándalo no hay grandes hackers con conocimientos extremos de seguridad, de informática, de desarrollo. Lo que hay son personas con acceso a información que probablemente no deberían tener acceso y si tuviesen que tenerlo, una falta de controles adecuados para la prevención de su fuga de información (estoy seguro que los fabricantes de soluciones DLP están frotándose las manos en estos momentos…:)).

• Stuxnet: los sistemas industriales y de control han heredado todas las características (buenas y malas) de los sistemas de TI tradicionales. En este caso sí que parece que tras este suceso existen grandes expertos e investigadores en seguridad, pero si nos fijamos en el fondo, lo que subyace es una falta de las medidas de seguridad adecuadas en los sistemas de control de infraestructuras críticas. ¿Cómo es posible que un malware pueda “llegar” desde Internet al sistema de control de una central nuclear? No debería (dejemos aparte ya, que el sistema de control se trate de un sistema de propósito general que además no esté actualizado, etc. 😛 ). De esto hablábamos más que sobradamente hace unas semanas en ENISE en mi ponencia “Regreso al Futuro: la Seguridad en los Entornos Industriales”: los sistemas de control e industriales se encuentran, en lo que a medidas de seguridad se refiere, al menos una década atrás respecto a los sistemas TI tradicionales.

Pero realmente, ¿cuál es la diferencia y a la vez el punto común de estos dos casos? El impacto. Si Stuxnet en lugar de afectar a los sistemas de control o industriales lo hiciese a los sistemas de correo o web corporativos, no dejaría de ser un nuevo malware (avanzando, eso sí) de los muchos que hay. Si Wikileaks en lugar de hacer referencia a la información de uno de los gobiernos más poderosos de nuestro planeta lo hubiese montado un ex-empleado descontento con información de alguna compañía no pasaría de ser una noticia más (en el mejor de los casos) en alguna revista especializada.

Recuerdo hablar exactamente esto con mi compañero y gran amigo Nacho Paredes hace unos años: “este tema de la seguridad en entornos industriales y protección de infraestructuras críticas no se moverá hasta que no ocurra algo gordo”, comentábamos, “tarde o temprano se abrirá la Caja de Pandora”, repetíamos. Parece que comienza a abrirse. En todos los eventos últimamente aparece este tema, los medios comienzan a hacerse eco de ello, la industria aunque muy lentamente, empieza a recibir algunos mensajes al respecto y parece que lentamente la rueda comienza a moverse (al fin).

Y yo me pregunto: con todos los mensajes de advertencia, información, etc. que muchos de nosotros llevamos lanzando, ¿no habrá ocurrido lo del cuento de Pedro y el Lobo? Que viene el lobo, que viene el lobo, mira que va a venir, pero como nunca llegaba, pues tan contentos… ¿habremos estado exagerando los mensajes lanzados ante la incomprensión de nuestros interlocutores obteniendo el efecto contrario al deseado?

Como en las relaciones de pareja quiero creer que toda la culpa no es de una de las partes. Probablemente no toda la culpa sea de los usuarios, de los clientes y debamos “cargar” con parte de la misma los proveedores, consultores e integradores, al fin y al cabo no nos estaremos comunicando efectivamente cuando no obtenemos la comprensión esperada… ¿deberíamos cambiar nuestras tácticas?

Mientras tanto mi suegra sigue la pobre con dolores de rodilla. Ella no debería haber “exagerado” siempre sus reacciones y quizás nosotros deberíamos haberla escuchado un poquito más.

Mientras tanto nuestras infraestructuras críticas y con ellas, nuestras naciones y forma de vida, siguen siendo vulnerables. Quizás deberían atender más a la información existente, realizar análisis de riesgos reales, etc. y probablemente sus proveedores deberíamos ser más efectivos en nuestras comunicaciones.

Mientras tanto la información clasificada de los gobiernos más poderosos del planeta sigue filtrándose y no creo que tardemos mucho en ver en “Sálvame” (o como se llame lo de los sábados por la noche) un “analís” en profundidad de los cotilleos de los distintos gobiernos.

¿Y al final quién tiene más culpa, Wikileaks, Stuxnet, mi suegra, el lobo … o nosotros? 😛