Inicio > Actualidad > Seguridad informática: un derecho por el que hay que pelear, y aprender (I)

Seguridad informática: un derecho por el que hay que pelear, y aprender (I)

8 febrero, 2013

dario 0Autor: Darío
La acelerada expansión de dispositivos móviles con los cuales los usuarios se conectan a la Internet, ya sea por iniciativa propia o por necesidades educativas y/o laborales, y las facilidades de comunicación que estos dispositivos representan, ha venido acompañada de otros fenómenos muy interesantes: la también acelerada carrera en la construcción de código malicioso de la más diversa índole que tiene como fin hacerse de la información de los usuarios y/o del control de sus equipos es uno de estos fenómenos, que ciertamente no es nuevo pero que ha tomado su auge en los últimos dos a tres años. Otro es la falta de control por parte de usuarios tanto particulares como corporativos para gestionar los procesos administrativos que mueven su información, así como la incapacidad de acceder a los códigos fuentes de la casi totalidad del software que utilizan. Otro más pero no de menor importancia es la despreocupada utilización de los datos personales como del equipo que está en su entorno inmediato, por parte de los usuarios.

Los usuarios en la gran mayoría de los casos desconocen, y en varios casos, cuando conocen, prefieren hacer como si no supieran, los riesgos enormes que corren cada vez que ellos y sus seres queridos enfrentan cuando se conectan a la red tanto por el desconocimiento de lo que están haciendo como por el hecho de haber dejado en otras manos la gestión de sus intereses: la golosina de la comunicación inmediata y fácil es demasiado tentadora como para dejar de probarla incluso cuando tienen una idea vaga de los problemas que enfrentarán (1 , 2 y 3). Y si en algunos casos los usuarios de las más diversas actividades si tienen una idea aunque sea nebulosa del problema o los problemas que hay en las conexiones a la Internet, por qué cada vez más en los medios de comunicación las palabras virus, código malicioso, malware, troyano, ataque, denegación de servicio, por poner el caso, aparecen frecuentemente junto con las noticias de ataques cibernéticos que tiran servidores de compañías, organizaciones no gubernamentales, gobiernos y algunos suicidios muy sonados de adolescentes y jóvenes por acoso cibernético (Toronto Sun, El País o La Nación) estos usuarios apelan a la ley estadística de los grandes números esperando que los ataque sean “cosas que sufren los demás” (4). Hay inquietud (5), hay cierto malestar por parte de estos usuarios que incluso pueden llegar a comportarse en actitudes que podríamos calificar “de seguridad-vudú”: comprar un antivirus, instalarlo y olvidarse de él completamente “por qué se está protegido” (Malware infecta más de medio millón de ordenadores en México), ignorando que la seguridad informática de nuestros equipos y la seguridad de la información tanto personal como gubernamental como corporativa es una actitud de vida, no un producto de “póngase y olvídese de él” (El adivino de la red).

En resumen, puede decirse que para esta clase de usuarios mínimamente informados, mientras no existan consecuencias graves o ninguna para su vida laboral y personal” (Famosos Hackeados, Data Investigation Report o Ciberbullying), harán todo lo posible para no hacer algo efectivo para su protección, entre otras cosas por qué la seguridad es una inversión que la mayoría concibe exclusivamente como gasto oneroso. En el caso de los usuarios que no conozcan algo de lo anterior, seguirán siendo víctimas indefensas con nula posibilidad ya no digamos de defensa, sino de minimizar los daños.

Los ataques con ingeniería social en donde lo que se trata es de “hackear” a las personas (independientemente del hecho de que la palabra “hacker” está mal empleada) es la norma que siguen quienes por razones varias se interesan en entrar a las computadoras ajenas y redes ajenas (Nacionred o Ntrzacatrecas).

¿Cómo se llegó a esto?

Las razones por las cuales el SW deja indefensos a tantos no son del todo consensuadas. Como una de las causas fundamentales del problema está la complejidad de los códigos fuentes de los sistemas operativos así como de los más variados programas como Acrobat, por poner un ejemplo. Cuando se tienen sistemas operativos como Windows XP de Microsoft que fueron escritos con 45 millones de líneas de código, y que Windows 7 de Microsoft posiblemente tenga unas 150 millones de líneas de código, mientras que sistemas como Debian de Linux tiene varias decenas de miles de líneas de código, es imposible no pensar que los errores se tienen que presentar (“Practical Malware Analysis”, Michael Sikorski y Andrew Honig, No Starch Press, San Francisco, USA, 2012, pág. 23). Cuando los programas de seguridad en empresas y entidades gubernamentales son los últimos en ser tomados en cuenta (el clásico problema entre seguridad y productividad en donde esta última se realiza por lo general a costa de la primera), es imposible no pensar en que los errores se tienen que presentar. Cuando los usuarios caseros y de la Pymes son abandonados a su suerte tanto por las grandes empresas de seguridad como por las empresas sin más así como por los gobiernos, es imposible no pensar que los errores se tienen que presentar. Esto no es más que mencionar unos pocos problemas que se encuentran inherentes a la construcción del SW que la gigantesca mayoría de los usuarios utilizan.

Pero a todo lo anterior, ya lo hemos mencionado, el hecho de que se genera una cantidad ingente de código malicioso aumenta los problemas y los posibles daños a la información y la economía de los usuarios. Pero un asunto interesante por sí mismo es que el número de las líneas de código de los programas que combaten los códigos maliciosos es también abrumadora, o dicho de otra forma, es más difícil construir sistemas operativos y programas de defensa como los antivirus que código malicioso de diferente índole, tal como puede observarse en la siguiente tabla en donde se ve la cantidad de líneas de código comparadas con respecto a las líneas de código que tiene, por ejemplo, una herramienta defensiva:

“Practical Malware Analysis”, Michael Sikorski y Andrew Honig, No Starch Press, San Francisco, USA, 2012, pag. 23

“Practical Malware Analysis”, Michael Sikorski y Andrew Honig, No Starch Press, San Francisco, USA, 2012, pag. 23

Las últimas dos líneas son simplemente significativas por sí mismas. Se necesitan, en promedio, escribir cien mil líneas de código en una herramienta defensiva por cada línea de código que contiene un malware promedio, y se escriben un millón de líneas en un sistema operativo por cada línea de código que se genera en un malware promedio. Esperamos que el posible lector se dé cuenta del esfuerzo que significa tratar de mantener a raya los ataques, ya no se diga neutralizarlos. Y aunque las empresas de seguridad así como las que construyen SW hacen todo lo posible por cerrar los sitios en donde se generan los códigos maliciosos (Kaspersky analiza y sabotea la infraestructura de Flame, The roof is on fire tackling flames CC Servers) y algunos gobiernos y centros de enseñanza tratan de educarnos con los mayores elementos posibles para protegernos (Eroski consumer), lo cierto es que toda clase de estafas pululan y crecen en la red (Virus list), en donde los infantes y los adolescentes son víctimas también tanto de los ataques como del desconocimiento como de la poca importancia que se le da a la seguridad.

Hay más razones que seguramente el lector con cierta idea de seguridad informática puede agregar a esta breve lista por los cuales los errores se tienen que presentar y estos a su vez sirven para potenciar los ataques.


  1. Masklin
    8 febrero, 2013 en 10:37

    Habría que mencionar la importancia del origen del código malicioso, muchas veces fácilmente localizable, y la complejidad legal para atacarlo de raiz.

    Además me gustaría reseñar como factor, la estrecha relación entre el aumento de la inseguridad informática y el aumento de información personal en las redes. Nubes, redes sociales, teléfonos, operaciones bancarias, webs de administraciones…

    Los usuarios debemos ser conscientes del tratamiento que hacemos de la información. Como en el resto de facetas de la vida, hay que aplicar el pensamiento crítico.

    Gracias por el artículo, Dario.

  2. martincx
    8 febrero, 2013 en 14:14

    Hola, me ha gustado este artículo, como veo que es parte de una serie de artículos, espero que hagan uno enfocando en la importancia (o el riesgo) de las redes sociales para la información, en especial, como se cita respecto a la poca importancia que le da a la seguridad informática el usuario promedio.

  3. 8 febrero, 2013 en 19:23

    muy interesante articulo Dario!!! solo espero que en la próxima dejes algunos consejos para gente que no sabe como protegerse y que estén disponibles tanto gratis o pagos
    Saludos

  4. Juan de terzas
    9 febrero, 2013 en 0:59

    Dario pones el dedo en una importante llaga…. La seguridad informática.

    quiero apuntar un par de cosillas:

    1º que un buen plan para aumentar la seguridad informática es una medida que le recomiendo a mis amigos: “no hagas ni cuentes en la web lo que no harías o contarías en el bar de la esquina o en el parque de enfrente de tu casa” y ” no guardes en el ordenador NINGUN dato personal como tu DNI, tu numero de cuenta o el nombre de tus hijos porque lo que NO está en el ordenador no puede ser violado”

    2º Que la seguridad informática pasa por un verdadero conocimiento y control del software que reside en tu máquina y eso solo es posible si tienes sistemas operativos y programas de código libre, o sea LINUX (y no todo LINUX). Mientras siga habiendo sistemas operativos cuyo código fuente no se pone a disposición del usuario, como es el caso de windows, no será posible defenderse plenamente de los ataques informáticos porque no será posible identificar el punto de acceso del malware a nuestro ordenador.

  5. Javier
    10 febrero, 2013 en 0:46

    Como añadido a la parte final; no solo se trata del número de líneas de código de los malware, sino también de lo fácil que es su desarrollo… No se necesita ser un gran conocedor de informática para poder crear un malware (aunque no necesariamente algo como Stuxnet, pero lo suficiente como para vulnerar al usuario promedio) basta con tener conocimientos básicos-intermedios de programación en algún lenguaje y un poco de ingeniería social para poder diseñar un malware que pueda violar la privacidad del sistema de un usuario común. !Es más¡ ni siquiera se necesita tener conocimientos de programación para poder crear un malware, basta con navegar un poco por la red y puedes encontrar herramientas pre-diseñadas que pueden generar programas espías con solo llenar algunos datos de configuración:

    http://3.bp.blogspot.com/-QNCCmJeHVxg/TdEPvGcbwlI/AAAAAAAAACg/Lw5Ptjc0UU4/s1600/poison%2Bivy.jpg

    http://4.bp.blogspot.com/-9OC9B4Vcktg/UBlMIeaZ2AI/AAAAAAAAAkw/lIl3K54OZDs/s1600/spynet26989.png

    http://2.bp.blogspot.com/_TRTvzn0EcIY/StdyuYXjzLI/AAAAAAAAABY/zT3FJ0M-IVI/s1600/SpyNetPower.JPG

    —————————-

    También existen varias herramientas y métodos que permiten la indetección de estas herramientas espías (troyanos) que pueden vulnerar a los antivirus más usados:

    http://img62.imageshack.us/img62/4224/899f.gif

  6. Javier
    10 febrero, 2013 en 1:10

    Por otro lado las empresas de seguridad, aunque pueden aumentar tu seguridad, es tal vez casi imposible, que puedan protegerte al 100%.

    “El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él.”- Gene Spafford (No sé si lo dijo él exactamente así, pero creo que el mensaje se entiende.)

    Creo que en la informática, los sistemas no son invulnerables sino difíciles de vulnerar; no importa cuantas medidas de seguridad ocupes, siempre serás vulnerable a los ataques de alguna persona malintencionada. Por tanto, creo que no es suficiente con educar a los usuarios sobre la protección de su información, sino también a tomar conciencia y comprometerse con una ética informática basada en el respeto de la privacidad ajena. Creo que esa sería la única forma de acabar con las diversas violaciones a la privacidad y fraudes que realizan las personas malintencionadas en la red, pero al igual que en el mundo no-cibernético eso suena casi utópico.

  7. rosana rios
    28 febrero, 2014 en 20:31

    adonde se puede estudiar ingenieria social. gracias

  1. No trackbacks yet.
Los comentarios están cerrados.
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.442 seguidores

A %d blogueros les gusta esto: