La seguridad es un tema sumamente espinoso: a medida
que la tecnología abre nuevos escenarios, es habitual que su uso genere nuevas
posibilidades no solo a aquellos que pretenden utilizarlos de manera lícita,
sino también a aquellos que buscan explotarlos de forma ilícita.Esto, sin duda, da origen a situaciones de índole muy contradictoria: por un lado, los usos ilícitos se comportan, en muchos sentidos, como los emprendedores: buscan nuevas áreas que colonizar y gracias a las cuales ser capaces de generar recursos. Por otro, a medida que esas áreas son explotadas, se buscan formas de evitar esos usos ilícitos, y en ese proceso continuo se genera un indudable progreso tecnológico. La ética hacker, aquellos que buscan y evidencian fallos de seguridad, contribuye notablemente al desarrollo de la ciencia: castigar a quien consigue vulnerar un sistema de seguridad o un cifrado supone un absurdo conceptual en sí mismo, porque gracias a su hazaña, se obtiene una mejora del sistema.
En este sentido, me gusta plantear el contrasentido que supone la mentalidad retrógrada de quienes achacan sus problemas de seguridad al desarrollo tecnológico. Cada tecnología tiene sus problemas de seguridad, y estos, en muchos casos, son obviados de manera patente. Acabo de cambiar la cerradura de mi casa, y lo primero que me ha comentado el cerrajero es que dentro de lo razonable, podía invertir lo que me diese la gana en un sistema sofisticado, que me garantizaba que se podía abrir sin necesidad de llamar demasiado la atención.
La mentalidad, en la mayoría de los casos, sugiere aquello de ponerse las zapatillas de correr cuando tú y tu amigo sois perseguidos por un león: no, no vas a conseguir correr más que un león… pero sí es posible que gracias a las zapatillas, consigas correr más que tu amigo. Si mi casa tiene sistemas de seguridad razonablemente superiores a los de mi vecino, es posible que el ladrón se incline por robar en su casa y no en la mía (principio insolidario donde los haya, y que llevaría además a una muy insana competencia) salvo que el ladrón sospeche que mi inversión en seguridad adicional está motivada por la posesión de bienes especialmente valiosos.
En el mundo físico, las observación pragmática de las paradojas de la seguridad no dejan de sorprenderme: hace unos días, tuve que recorrer varias decenas de kilómetros y perder un par de horas de trabajo para ir a firmar un documento a un sitio. ¿Firmar un documento? ¿Que seguridad real puede proporcionar el uso de una firma, perfectamente copiable por cualquiera con un mínimo de dedicación y destreza, como sistema de autenticación de un documento?
Un artículo en Wired, “The app I used to break into my neighbor’s home“, habla de toda una nueva generación de aplicaciones, como KeyMe, KeysDuplicated o Keysave, que permiten tomar fotografías de una llave, supuestamente en determinadas condiciones, archivarlas en la base de datos de la aplicación, y solicitar copias cuando sea necesario, en algunos casos con la conveniencia añadida de puntos de venta automatizados en determinados sitios en los que hacer la copia. Usando una de esas apps, el redactor del artículo consiguió, después de tener acceso durante unos instantes a las llaves de su vecino, entrar en su casa un tiempo después – en este caso, avisándole previamente de sus intenciones.
Las llaves, como tal, son un sistema de seguridad profundamente trasnochado. Cada vez que usamos un servicio de aparcacoches en cualquier restaurante, renunciamos completamente a la seguridad, sin más recurso que la confianza en la persona a la que confiamos tanto la llave de nuestro automóvil, como el acceso a la documentación que todos guardamos en el interior del vehículo y en la que se puede ver fácilmente la dirección de nuestra casa o incluso acceder a la tarjeta con la que se pueden solicitar duplicados de la llave.
En la red, por ser un entorno más reciente en el que los protocolos de seguridad no se encuentran siquiera completamente definidos, la sensación de inseguridad es mayor. ¿Pero es realmente así, o se trata simplemente de una percepción? En el fondo, una de las características de la red es que todo lo que hacemos queda recogido en algún fichero log, lo que posibilita que, en muchos casos, la trazabilidad sea mayor que en el mundo físico. Por supuesto, hay otros factores: el acceso prácticamente universal desde cualquier sitio añade dificultades de cara a la eventual persecución del delito, como lo hace también el hecho de que exista todo un mercado descentralizado y fácilmente accesible para la información robada. Por otro lado, la rápida evolución de la tecnología permite la aparición de nuevos recursos y, con ellos, también de nuevas vulnerabilidades.
Uniendo todos los factores, mi impresión es que mientras en el mundo físico hemos pasado a asumir ciertos riesgos con casi total naturalidad, en la red no lo hemos hecho aún. Lo que en el mundo físico está protocolizado por los agentes de la ley y las compañías de seguros, en la red se encuentra aún bastante menos consolidado. Por supuesto, se trata de un problema sin solución: del mismo modo que en el mundo físico no existe ni existirá nunca un sistema completamente inviolable, en la red tampoco, y se trata simplemente de intentar minimizar los riesgos razonables. Una llave o una firma en un papel no otorgan seguridad, como tampoco lo hace una contraseña, o incluso un sistema biométrico si conseguimos acceder a la información que transmite (con el problema extra de que no podemos cambiarlo tras su intercepción). La semana pasada pregunté en clase el nivel de seguridad que mis alumnos aplicaban a sus contraseñas, y a pesar de tener frente a mí una muestra sesgada de alumnos claramente más evolucionados desde el punto de vista tecnológico que la media de la población, únicamente cuatro de ellos utilizaban algún tipo de password manager, como LastPass y similares, y varios de ellos confesaron emplear “la misma contraseña para todo”, aunque esta pudiese haber sido afectada por problemas de seguridad en sitios en los que la habían usado previamente.
La seguridad, por tanto, no es un problema tecnológico, sino de la condición humana, y cada escenario tecnológico tiene sus amenazas derivadas de ello. Que leamos más frecuentemente sobre problemas de seguridad en la red más que sobre esos mismos problemas en el mundo físico deriva, simplemente, de lo que es todavía noticia frente a lo que no lo es ya por mera reiteración. E,Dans
.png "English"){kind=small}
