11 febrero 2008

Es suficiente?

Ultimamente cada vez son más foros en los que se empieza a hablar de las "vulnerabilidades" propias de los sistemas de protección. Probablemente ya conozcais las formas de "burlar" un antivirus (explicado de forma muy completa aquí), siempre y cuando ese antivirus sea real (no vaya a ser que el antivirus que nos hemos descargado sea, en realidad, un virus). También hay formas de "burlar" un firewall, sobre todo en relación al tráfico saliente, algo bastante preocupante para muchas empresas. Aquí se puede encontrar un estupendo artículo al respecto, y aquí unos resultados de su aplicación (obviemos los comentarios "sensacionalistas"). ¿Si las tecnologías de defensa fallan, qué nos queda?


Evidentemente, el factor humano es la última barrera, y aunque tiene fama de ser la más débil, también es la más potente, y alguien bien entrenado es capaz de evitar un sofisticado ataque con sólo mover un dedo. Pero hoy no me interesa hablar de tópicos recurrentes, sino pensar en si sería posible una solución tecnológica a este tipo de problemas. Sobre todo, teniendo en cuenta la "nueva" máxima que demuestran científicamente, según parece, en el estudio del que hablan aquí: es imposible proteger (totalmente) los datos sensibles.

Todos tenemos en mente el simil de la seguridad y la cadena. Si nos centramos en el ámbito tecnológico eliminamos el último eslabón, las personas, y nos quedamos con otros tres: el terminal de usuario, la red y el servidor. Es una gran simplificación, pero me parece útil porque en cada una de ellas tenemos que hacer frente a retos distintos. El servidor es el proveedor de los servicios, y como tal el responsable de velar por sus características inherentes: rendimiento, fiabilidad, ... La seguridad debe ser una más de las características inherentes al servicio, pero siempre desde el punto de vista de las características del servicio en cuestión. Más allá del servidor la seguridad es responsabilidad del segundo eslabón: la red. Las necesidades de seguridad de la red son más claras, ya que es simplemente un intermediario: debe garantizar que las comunicaciones entre ambos extremos se realicen de forma correcta, y que el servicio llegue adecuadamente al tercer eslabón: el terminal de usuario. Este es un eslabón clave, ya que contiene la interfaz hombre-máquina. Es el elemento a través del cual se accede, en la práctica, al servicio. Y no sólo eso, sino que en muchas ocasiones se compone de multitud de servicios "locales" sobre los que actúa directamente el usuario y que acaban provocando nuevos usos de los servicios remotos.

Desde este punto de vista, los retos a los que debemos responder en cada parte son distintos. Los asociados a las redes son los más maduros, ya que existen una gran cantidad de protocolos de comunicación seguros con suficientes garantías, sobre todo si están basados en el uso de firma, cifrado y certificados digitales. Los avances en seguridad asociada a la fiabilidad de los servidores no son tan claros, pero al ser el núcleo del negocio siempre van a tener muchos ojos pendientes de ella, con lo cual el futuro que se puede augurar en este apartado es bastante aceptable, y seguro que la "moda" del desarrollo seguro va a suponer un importante espaldarazo en este ámbito. Pero me temo que el problema está en el eslabón tecnológico más desprotegido: el terminal de usuario. Es el punto crítico, sobre todo por la imprevisibilidad de las personas que lo usan, y sin embargo es donde más parches y menos esfuerzos globales podemos encontrar. Los usuarios tienen una grna libertad para hacer modificaciones y personalizaciones a su gusto, en un parque de terminales cuya heterogeneidad tiende al infinito. Y no nos engañemos: la diversidad y los cambios no se llevan demasiado bien con la seguridad, sobre todo en largos periodos de tiempo. El resultado final es que la seguridad tecnológica de los terminales de usuario es muy pequeña, con unas soluciones que no van más allá de distintos tipos de parches (antivirus, antispy, firewall personal, etc.) que no afrontan los problemas a nivel global (eso sí, abren una gran multitud de nichos de mercado en los que ganar dinero). Y claro, si este eslabón es débil, la cadena se debilita...

En definitiva, creo que los esfuerzos en materia de seguridad se deben dirigir a concienciar a los usuarios, pero también a concienciar a los fabricantes de terminales de usuario. Sobre todo porque, aunque los usuarios sepan de seguridad, si sus máquinas no son capaces de ofrecer las suficientes garantías, no servirán de nada todos los esfuerzos de concienciación que se hagan. No tenemos que relajar los esfuerzos tecnológicos en relación a la seguridad, pero sobre todo tenemos que destinarlos a los eslabones tecnológicos más débiles de la cadena. Sobre todo ahora que nos adentramos en un mundo cada vez más móvil e interconectado, donde sólo las soluciones más sólidas aguantarán los envites de los nuevos riesgos a los que nos vamos enfrentando.

No hay comentarios: