Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.
Seguridad Pública y Protección Civil.

 

 Expertos

Enrique Dans


Profesor del Instituto de Empresa

Todo es hackeable: segunda parte


IMAGE: Mohammad Izar Izhar - 123RF

Imagina cómo te sentirías si a eso de las 23:40 de la noche, todas las 156 sirenas del sistema público de alerta de tu ciudad, pensadas para avisar en caso de tornados, huracanes, terremotos y otras emergencias, comenzasen a sonar a la vez, y que siguiesen sonando en intervalos de noventa segundos unas quince veces hasta la 01:20, bien pasada la medianoche. Esto fue, ni más ni menos, lo que Dallas vivió la noche del pasado viernes: toda la ciudad atacada de los nervios, lanzando hipótesis en plena psicosis colectiva que iban desde atentados a ataques con misiles, llamando a sus amigos y familiares, y colapsando los servicios de emergencia con miles de llamadas de teléfono. Finalmente, el motivo resulta ser un ciberataque, una intrusión en el sistema público de emergencia de origen aún desconocido.

Un sistema público de alerta es, obviamente, una infraestructura crítica. El ataque en cuestión, además de provocar que la gran mayoría de los implicados en la gestión del sistema saliesen corriendo de sus casas para tratar de combatir el problema, solo pudo ser detenido mediante la desconexión total de la red de alerta, lo que habría comprometido la posibilidad de dar aviso a la población en el caso de que, por casualidad o de manera intencionada, se hubiese producido un evento susceptible de provocar una alerta real. Además, el ataque disminuye la confianza de los ciudadanos en el sistema, lo que eventualmente puede llegar a provocar problemas si alguien llegase a pensar, en el caso de una emergencia real, que se trata de una falsa alarma más.

Es la segunda vez que utilizo el título “todo es hackeable”, y mucho me temo que no será la última de esa serie: en la entrada anterior, en julio de 2015, hablaba sobre determinados modelos de automóvil fabricados por Jeep cuyo comportamiento podía ser alterado desde un ordenador, poniendo en peligro a sus ocupantes. En aquella ocasión se trataba de un experimento relativamente controlado: los hackers trataban de demostrar a un periodista de Wired, previamente avisado, que aquello era posible, que representaba un escenario real y una vulnerabilidad que alguien, eventualmente, podría explotar maliciosamente para tratar de hacer daño a alguien. Del incidente del viernes en Dallas no sabemos aún prácticamente nada: podría tratarse desde simplemente una travesura, a una manera de avisar de una vulnerabilidad en el sistema de alertas y de demostrar lo que podría ocurrir si no es corregida, a un intento de generar un estado de psicosis en la población con algún tipo de motivación política o reivindicativa, o de muchas posibilidades más. En cualquier caso, la conclusión sigue siendo la misma: a medida que conectamos más y más cosas a la red, tenemos que tener en cuenta que existe la posibilidad de que alguien, sea con las intenciones que sea, pueda acceder a ellas y manipularlas.

Eso es particularmente cierto en el caso de estructuras creadas o diseñadas antes de que este tipo de eventualidades fuesen una posibilidad real. En mi entrada anterior, el vehículo era un Jeep, una compañía tradicional de automoción, que se aventura en la tendencia del vehículo conectado, pero carece presuntamente de una cultura desarrollada en torno a la ciberseguridad porque, sencillamente, no la había necesitado. La ciberseguridad no es algo en absoluto sencillo: exige profesionales con experiencia, con un nivel de actualización enormemente exigente y con lazos con la comunidad de expertos en el tema, porque resulta imposible estar al día en todo. Un profesional de la ciberseguridad tiene que saber que la seguridad total no existe: como dijo el gran Gene Spafford, Spaf, en 1989, “el único sistema verdaderamente seguro es uno que esté apagado, encerrado en un bloque de hormigón y sellado en una habitación con plomo custodiada por guardias armados – e incluso así tengo mis dudas”. Por tanto, su trabajo consiste en, dentro de ese contexto, asumir la seguridad suficiente para que determinados escenarios no tengan lugar, dentro de unos límites razonables y suponiendo un nivel de interés determinado por parte del atacante.

Los hackers no son malvados delincuentes: son personas con un conjunto de habilidades especialmente desarrolladas que les permiten llevar a cabo determinadas tareas. El mítico desarrollador Eric Raymond acaba de escribir un artículo hace unos días actualizando lo que considera la tipología de los hackers, que permite entender un poco mejor cuáles son esas habilidades y con qué ética trabajan: ser un hacker es algo bueno, puede definir a grandes profesionales, y en modo alguno tiene o debe tener ningún tipo de connotación siniestra: una persona que ataca un sistema para provocar un daño no es un hacker, es un delincuente. Las empresas que saben lo que hacen aprenden a reaccionar ante los avisos de vulnerabilidades, y tratan de desarrollar internamente una cultura orientada a la ciberseguridad, porque son conscientes de que se trata de un tema cada día más crítico.

Ante eventos como los del pasado viernes, debemos tratar de reaccionar con serenidad: son una forma de avisarnos de que todo aquello que esté conectado a la red es eventualmente hackeable, y que debemos revisarlo de arriba a abajo para entender a qué posibles riesgos nos enfrentamos, para poder plantear así un balance entre el coste de intentar mejorar su nivel de seguridad y el de un eventual problema derivado de la falta de la misma. El efecto más positivo puede ser el que directivos de toda condición empiecen a plantearse la enorme importancia de este tema, y piensen en cómo implantar una cultura orientada a la ciberseguridad. Este tipo de casos son, simplemente, las consecuencias de un nuevo entorno en el que muchos creadores y gestores de productos y servicios de todo tipo que antes no estaban sujetos a este tipo de problemas aún no se mueven con comodidad. Veremos, me temo, muchos casos más.

Suplemento Temático: Hackers

 


Fuente: Blog de Enrique Dans
Fecha: 2017-04-10

   Mas artículos de Enrique Dans        Otros Expertos   

Este experto ha sido visto por 180 personas.