Incluso para observadores poco atentos de la realidad resulta evidente la importancia que la seguridad de la informacion ha adquirido en pocos —menos de diez— años. Ello es asi por la trascendencia, cada dia mayor, de la informacion digitalizada en nuestras sociedades y la creciente dependencia de estas de sus sistemas de informacion. Sin embargo, estos mismos observadores apreciaran que la seguridad, lejos de estar garantizada, aparece cada vez mas comprometida o al menos amenazada.
Y es que la seguridad se encuentra obstaculizada por multiples vulnerabilidades, intrinsecas y extrinsecas, ademas de por numerosas amenazas, todas las cuales sera preciso analizar antes de exponer por donde se plantean en el presente y futuro inmediato las medidas de seguridad.
De este modo, y comenzando por las vulnerabilidades intrinsecas, hallamos que los sistemas a que nos referimos son cada vez mas complejos, cada uno de ellos con decenas de miles (en ocasiones millones) de lineas de codigo (por ejemplo, se estima en mas de cuarenta millones de lineas las que tiene el Windows 2000). Pero, por si no fuera poco, estos sistemas interactuan con otros igual o mas complejos para conformar, en el caso de Internet, lo que segun algunos constituye la obra mas compleja de las construidas por la humanidad. Todo ello supone un enorme reto para la seguridad, ya que la complejidad es siempre enemiga de esta, y los sistemas cuanto mas complejos —como el mismo sentido comun indica— son mas
dificil de proteger.
Empero, tampoco es solo esto, pues los sistemas estan cada vez mas interconectados y son mas interdependientes, lo que es otro obvio problema a efectos de la seguridad. Asi, por ejemplo, redes torpemente administradas en nuestras antipodas pueden ser usadas como plataformas de lanzamiento de ataques demoledores (como los ataques distribuidos de denegacion de servicio), merced a esta interconexion e interdependencia.
Y finalmente, pero no menos grave para el inmediato futuro, la imparable tendencia al uso de redes inalambricas, con la obvia utilizacion de canales hercianos, no deja de ser una fuente de preocupacion, que se ira agravando segun su despliegue vaya alcanzando a todas empresas. Por los tres motivos expuestos, hablar de sistemas cada vez mas vulnerables no es una exageracion, sino antes bien una realidad muy a tener en cuenta.
Pero ademas de las anteriores vulnerabilidades de los sistemas de informacion, que hemos denominado intrinsecas, nos encontramos con otras que podriamos definir de extrinsecas. Asi, el software es —en lo que atañe a la seguridad— muy deficiente, pues esta diseñado sin consideraciones de seguridad, que tan solo es añadida al final de su desarrollo —como un parche—, cuando alguien se percata de su ausencia.
Por otro lado, estos sistemas estan administrados por profesionales ocupados en exceso, y en ocasiones negligentes, que, por ejemplo, mantienen aplicaciones no operativas (o incluso que nunca lo han sido) instaladas, sin percatarse de que las mismas, al margen de los recursos que puedan despilfarrar, conllevan el riesgo de que se pueda atacar el sistema entero a traves de vulnerabilidades de las mismas. Mas grave aun, mantienen permanentemente el software sin actualizar, o sea sin incluir los parches que cada vez que se descubre una vulnerabilidad publican (junto con la correspondiente vulnerabilidad) los fabricantes de dicho software. De este modo, se explica que antiguas vulnerabilidades conocidas desde meses sean explotadas
por atacantes (que si se mantiene al dia de los avisos de alerta y correcciones que difunden los fabricantes) que encuentran de lo mas facil penetrar en los equipos ante la desidia de sus administradores.
Finalmente, la carencia de formacion y experiencia en el uso de esta tecnologia no es una menor vulnerabilidad. Asi, los usuarios escogen contraseñas triviales —rayanas en la candidez—, dejan los equipos conectados cuando abandonan sus puestos de trabajo — aunque sea durante largos periodos de tiempo—, abren adjuntos a correos electronicos — aunque exhiban extensiones mas que sospechosas y procedan de desconocidos—, no instalan o actualizan antivirus en sus equipos, etc. O dicho de otro modo, los computadores son aun unos recien llegados, y la revolucion de las tecnologias de la informacion todavia no ha calado en la sociedad —siempre impermeable a lo nuevo—, y necesitada de muchos años para familiariarizarse con una nueva tecnologia, y aun mas para comprender y manejar los riesgos que acarrea.
Por lo que atañe a los ataques (o amenazas), estos son cada vez mas sofisticados: de denegacion distribuida de servicios (DD o S), de secuestro de sesion (IP hijacking), de suplantacion de direcciones IP (IP spoofing), hibridos (programas malignos que se comportan como virus, gusanos, puertas traseras, caballos de Troya, etc.), de analisis de red (sniffers), etc.
Pero quizas las herramientas de agresion mas preocupantes sean las automatizadas (por ejemplo de generacion de virus, de explotacion de diversas vulnerabilidades, etc). estas conllevan que con asiduidad creciente individuos con escasa, o casi nula, formacion informatica sean capaces de lanzar formidables ataques. Ello supone incrementar notablemente la cifra de potenciales atacantes y por ende de los riesgos correspondientes.
Por ultimo, caben destacar los ataques que se vienen conociendo como de ingenieria social. Estan basados en engaños a usuarios y responsables de equipos para conseguir contraseñas, acciones de aquellos sobre los sistemas (por ejemplo, borrar ficheros del sistema operativo), difusion de noticias falsas, etc. Estas añagazas suponen tambien una peligrosa amenaza, por cuanto suponen igualmente que individuos sin conocimientos tecnicos pueden sumarse en sus fechorias a atacantes expertos, con el añadido de la impunidad que usualmente acompaña este tipo de ataques.
Para hacer frente a estas nuevas amenazas y vulnerabilidades nos hemos ido dotando de numerosos instrumentos, que sin sustituir a los antiguos les han ido complementando. Estos nuevos instrumentos son de naturaleza legal unos (Ley Organica 15/1999 de Proteccion de Datos de Personales, Ley 14/1999 sobre Firma Electronica, Ley 34/2001 de Servicios de la Sociedad de la Informacion y de Comercio Electronico, etc.), otras de caracter administrativo y organizativo (formacion de usuarios, desarrollo de politicas de seguridad, establecimiento de la funcion de seguridad, etc.) y de indole tecnica las ultimas (Infraestructuras de clave publica, sistemas de deteccion de intrusiones, etc).
Dejando al margen los de naturaleza legal, y comenzando por las medidas de indole administrativa y organizativa, es constatable una tendencia a la gestion centralizada de la seguridad. Ello, a la par de facilitar esta gestion, permite un control de las amenazas y subsanacion de las vulnerabilidades desde un unico punto de la organizacion. Es facil suponer los innumerables problemas que conlleva la actualizacion de un software si se requieren efectuarla equipo por equipo, y la inmediatez con que podria realizarse desde un unico
punto. Igualmente, aunque esto es mas usual hoy en dia, supongase las ventajas de actualizar versiones del antivirus corporativo actuando desde un unico equipo frente a lo que supondria hacerlo maquina por maquina de todas las de la corporacion.
Por lo que respecta a la formacion, pilar de la seguridad, las empresas estan empezando a realizar notables esfuerzos de mentalizacion, que se materializan casi siempre en la inclusion de la seguridad en el cursillo de formacion que la empresa da a sus nuevos empleados sobre sus objetivos, sus valores, su organizacion interna y sus practicas operativas. Es suficiente para esto un seminario de un par de horas (dentro del cursillo aludido) para que sus nuevos empleados se conciencien en estos aspectos y tomen conocimiento de sus responsabilidades.
A continuacion, se suele exigir a estos recien incorporados que firmen un documento en el que manifiestan conocer las practicas de seguridad y aceptar las consecuencias de su incumplimiento por dolo o negligencia. Como complemento de lo anterior se va imponiendo la idea de elaborar un manual de seguridad, guia breve que, en forma de sucintas sentencias, incide en los aspectos tratados en el seminario acerca de la practicas basicas de la seguridad. Este manual se puede colocar en un enlace en la pagina web de entrada a la intranet corporativa.
Por ultimo, entre estos nuevos aspectos organizativos y administrativos que tratamos, no puede olvidarse la mencion a la propia subcontratacion de los servicios de seguridad (concepto a menudo conocido como seguridad gestionada). De esta manera, cada vez mas empresas traspasan a expertos ajenos la responsabilidad de la administracion de los sistemas y dispositivos de seguridad: cortafuegos, redes privadas virtuales, sistemas de deteccion de intrusiones, etc. E incluso de facetas menos vinculadas a sistemas y dispositivos, como la gestion de incidentes.
Finalmente, por lo que respecta a los de naturaleza tecnica se comprueba una tendencia a la llamada defensa en profundidad, que va desplazando a la defensa perimetral. Asi, las herramientas que pretendian defender las fronteras (el perimetro) de nuestros sistemas (por ejemplo, la intranet) se ven sustituidas por aquellas otras que sin desatender a dicho perimetro, tratan de defender tambien los elementos criticos de los sistemas. Por ejemplo, ahora nos encontramos con cortafuegos en diversos puntos de la intranet (y no solo en la interfaz de esta con la internet), antivirus en el servidor de correo y tambien en cada puesto
de trabajo de la empresa.
Otra tendencia es la proteccion integral, abandonando viejos habitos de considerar en exclusiva herramientas de prevencion. Asi vemos extenderse, al tiempo que estas herramientas mas tradicionales, las de deteccion (sistemas de deteccion de intrusiones, conocidas por sus siglas en ingles, IDS), de reaccion (sistemas de proteccion contra intrusiones, conocidas por sus siglas en ingles, IPS). Ademas, otro hecho distintivo actual es que estas herramientas tienden a integrarse en sistemas unicos, que garantizan asi la coherente interaccion entre sus componentes, evitando los problemas aun hoy presentes de incompatibilidad entre dispositivos
de distintos —o incluso el mismo— fabricantes, ademas de facilitar la administracion como un todo de dichos sistemas.
Otro rasgo actual es la instalacion de grandes redes corporativas apoyadas en internet, que por su flexibilidad de configuracion, economia de costes y universalidad de su protocolos esta sustituyendo a las ancestrales redes dedicadas. No obstante, internet es una red insegura en grado sumo —al menos hasta la generalizacion de la version IP v.4— por lo que el despliegue de estas redes de area extensa corporativas se basa en las llamadas redes privadas virtuales, RPV, tambien conocidas como VPN de Virtual Private Network.
Pero no se puede concluir este rapido repaso a los aspectos actuales de la seguridad sin detenerse siquiera someramente en las infraestructuras de clave publica, tambien PKI, de Public Key Infraestructure. Soporte de la firma digital (electronica avanzada, en termino acuñado por la Ley 14/1999) dicha firma y estas infraestructuras estan empezando a jugar un papel vital en la seguridad corporativa, como base de la autenticacion de usuarios y recursos (junto con directorios LDAP), de la confidencialidad de la informacion corporativa, etc.
En resumen, aunque son muchas las nuevas amenazas y vulnerabilidades son tambien numerosas las novedosas medidas de defensa que se estan poniendo en practica, tanto de indole administrativa y organizativa como tecnica, que en esta carrera perpetua entre atacantes y defensores permiten seguir confiando en los sistemas de informacion, imprescindibles en esta emergente sociedad de la informacion.
Y es que la seguridad se encuentra obstaculizada por multiples vulnerabilidades, intrinsecas y extrinsecas, ademas de por numerosas amenazas, todas las cuales sera preciso analizar antes de exponer por donde se plantean en el presente y futuro inmediato las medidas de seguridad.
De este modo, y comenzando por las vulnerabilidades intrinsecas, hallamos que los sistemas a que nos referimos son cada vez mas complejos, cada uno de ellos con decenas de miles (en ocasiones millones) de lineas de codigo (por ejemplo, se estima en mas de cuarenta millones de lineas las que tiene el Windows 2000). Pero, por si no fuera poco, estos sistemas interactuan con otros igual o mas complejos para conformar, en el caso de Internet, lo que segun algunos constituye la obra mas compleja de las construidas por la humanidad. Todo ello supone un enorme reto para la seguridad, ya que la complejidad es siempre enemiga de esta, y los sistemas cuanto mas complejos —como el mismo sentido comun indica— son mas
dificil de proteger.
Empero, tampoco es solo esto, pues los sistemas estan cada vez mas interconectados y son mas interdependientes, lo que es otro obvio problema a efectos de la seguridad. Asi, por ejemplo, redes torpemente administradas en nuestras antipodas pueden ser usadas como plataformas de lanzamiento de ataques demoledores (como los ataques distribuidos de denegacion de servicio), merced a esta interconexion e interdependencia.
Y finalmente, pero no menos grave para el inmediato futuro, la imparable tendencia al uso de redes inalambricas, con la obvia utilizacion de canales hercianos, no deja de ser una fuente de preocupacion, que se ira agravando segun su despliegue vaya alcanzando a todas empresas. Por los tres motivos expuestos, hablar de sistemas cada vez mas vulnerables no es una exageracion, sino antes bien una realidad muy a tener en cuenta.
Pero ademas de las anteriores vulnerabilidades de los sistemas de informacion, que hemos denominado intrinsecas, nos encontramos con otras que podriamos definir de extrinsecas. Asi, el software es —en lo que atañe a la seguridad— muy deficiente, pues esta diseñado sin consideraciones de seguridad, que tan solo es añadida al final de su desarrollo —como un parche—, cuando alguien se percata de su ausencia.
Por otro lado, estos sistemas estan administrados por profesionales ocupados en exceso, y en ocasiones negligentes, que, por ejemplo, mantienen aplicaciones no operativas (o incluso que nunca lo han sido) instaladas, sin percatarse de que las mismas, al margen de los recursos que puedan despilfarrar, conllevan el riesgo de que se pueda atacar el sistema entero a traves de vulnerabilidades de las mismas. Mas grave aun, mantienen permanentemente el software sin actualizar, o sea sin incluir los parches que cada vez que se descubre una vulnerabilidad publican (junto con la correspondiente vulnerabilidad) los fabricantes de dicho software. De este modo, se explica que antiguas vulnerabilidades conocidas desde meses sean explotadas
por atacantes (que si se mantiene al dia de los avisos de alerta y correcciones que difunden los fabricantes) que encuentran de lo mas facil penetrar en los equipos ante la desidia de sus administradores.
Finalmente, la carencia de formacion y experiencia en el uso de esta tecnologia no es una menor vulnerabilidad. Asi, los usuarios escogen contraseñas triviales —rayanas en la candidez—, dejan los equipos conectados cuando abandonan sus puestos de trabajo — aunque sea durante largos periodos de tiempo—, abren adjuntos a correos electronicos — aunque exhiban extensiones mas que sospechosas y procedan de desconocidos—, no instalan o actualizan antivirus en sus equipos, etc. O dicho de otro modo, los computadores son aun unos recien llegados, y la revolucion de las tecnologias de la informacion todavia no ha calado en la sociedad —siempre impermeable a lo nuevo—, y necesitada de muchos años para familiariarizarse con una nueva tecnologia, y aun mas para comprender y manejar los riesgos que acarrea.
Por lo que atañe a los ataques (o amenazas), estos son cada vez mas sofisticados: de denegacion distribuida de servicios (DD o S), de secuestro de sesion (IP hijacking), de suplantacion de direcciones IP (IP spoofing), hibridos (programas malignos que se comportan como virus, gusanos, puertas traseras, caballos de Troya, etc.), de analisis de red (sniffers), etc.
Pero quizas las herramientas de agresion mas preocupantes sean las automatizadas (por ejemplo de generacion de virus, de explotacion de diversas vulnerabilidades, etc). estas conllevan que con asiduidad creciente individuos con escasa, o casi nula, formacion informatica sean capaces de lanzar formidables ataques. Ello supone incrementar notablemente la cifra de potenciales atacantes y por ende de los riesgos correspondientes.
Por ultimo, caben destacar los ataques que se vienen conociendo como de ingenieria social. Estan basados en engaños a usuarios y responsables de equipos para conseguir contraseñas, acciones de aquellos sobre los sistemas (por ejemplo, borrar ficheros del sistema operativo), difusion de noticias falsas, etc. Estas añagazas suponen tambien una peligrosa amenaza, por cuanto suponen igualmente que individuos sin conocimientos tecnicos pueden sumarse en sus fechorias a atacantes expertos, con el añadido de la impunidad que usualmente acompaña este tipo de ataques.
Para hacer frente a estas nuevas amenazas y vulnerabilidades nos hemos ido dotando de numerosos instrumentos, que sin sustituir a los antiguos les han ido complementando. Estos nuevos instrumentos son de naturaleza legal unos (Ley Organica 15/1999 de Proteccion de Datos de Personales, Ley 14/1999 sobre Firma Electronica, Ley 34/2001 de Servicios de la Sociedad de la Informacion y de Comercio Electronico, etc.), otras de caracter administrativo y organizativo (formacion de usuarios, desarrollo de politicas de seguridad, establecimiento de la funcion de seguridad, etc.) y de indole tecnica las ultimas (Infraestructuras de clave publica, sistemas de deteccion de intrusiones, etc).
Dejando al margen los de naturaleza legal, y comenzando por las medidas de indole administrativa y organizativa, es constatable una tendencia a la gestion centralizada de la seguridad. Ello, a la par de facilitar esta gestion, permite un control de las amenazas y subsanacion de las vulnerabilidades desde un unico punto de la organizacion. Es facil suponer los innumerables problemas que conlleva la actualizacion de un software si se requieren efectuarla equipo por equipo, y la inmediatez con que podria realizarse desde un unico
punto. Igualmente, aunque esto es mas usual hoy en dia, supongase las ventajas de actualizar versiones del antivirus corporativo actuando desde un unico equipo frente a lo que supondria hacerlo maquina por maquina de todas las de la corporacion.
Por lo que respecta a la formacion, pilar de la seguridad, las empresas estan empezando a realizar notables esfuerzos de mentalizacion, que se materializan casi siempre en la inclusion de la seguridad en el cursillo de formacion que la empresa da a sus nuevos empleados sobre sus objetivos, sus valores, su organizacion interna y sus practicas operativas. Es suficiente para esto un seminario de un par de horas (dentro del cursillo aludido) para que sus nuevos empleados se conciencien en estos aspectos y tomen conocimiento de sus responsabilidades.
A continuacion, se suele exigir a estos recien incorporados que firmen un documento en el que manifiestan conocer las practicas de seguridad y aceptar las consecuencias de su incumplimiento por dolo o negligencia. Como complemento de lo anterior se va imponiendo la idea de elaborar un manual de seguridad, guia breve que, en forma de sucintas sentencias, incide en los aspectos tratados en el seminario acerca de la practicas basicas de la seguridad. Este manual se puede colocar en un enlace en la pagina web de entrada a la intranet corporativa.
Por ultimo, entre estos nuevos aspectos organizativos y administrativos que tratamos, no puede olvidarse la mencion a la propia subcontratacion de los servicios de seguridad (concepto a menudo conocido como seguridad gestionada). De esta manera, cada vez mas empresas traspasan a expertos ajenos la responsabilidad de la administracion de los sistemas y dispositivos de seguridad: cortafuegos, redes privadas virtuales, sistemas de deteccion de intrusiones, etc. E incluso de facetas menos vinculadas a sistemas y dispositivos, como la gestion de incidentes.
Finalmente, por lo que respecta a los de naturaleza tecnica se comprueba una tendencia a la llamada defensa en profundidad, que va desplazando a la defensa perimetral. Asi, las herramientas que pretendian defender las fronteras (el perimetro) de nuestros sistemas (por ejemplo, la intranet) se ven sustituidas por aquellas otras que sin desatender a dicho perimetro, tratan de defender tambien los elementos criticos de los sistemas. Por ejemplo, ahora nos encontramos con cortafuegos en diversos puntos de la intranet (y no solo en la interfaz de esta con la internet), antivirus en el servidor de correo y tambien en cada puesto
de trabajo de la empresa.
Otra tendencia es la proteccion integral, abandonando viejos habitos de considerar en exclusiva herramientas de prevencion. Asi vemos extenderse, al tiempo que estas herramientas mas tradicionales, las de deteccion (sistemas de deteccion de intrusiones, conocidas por sus siglas en ingles, IDS), de reaccion (sistemas de proteccion contra intrusiones, conocidas por sus siglas en ingles, IPS). Ademas, otro hecho distintivo actual es que estas herramientas tienden a integrarse en sistemas unicos, que garantizan asi la coherente interaccion entre sus componentes, evitando los problemas aun hoy presentes de incompatibilidad entre dispositivos
de distintos —o incluso el mismo— fabricantes, ademas de facilitar la administracion como un todo de dichos sistemas.
Otro rasgo actual es la instalacion de grandes redes corporativas apoyadas en internet, que por su flexibilidad de configuracion, economia de costes y universalidad de su protocolos esta sustituyendo a las ancestrales redes dedicadas. No obstante, internet es una red insegura en grado sumo —al menos hasta la generalizacion de la version IP v.4— por lo que el despliegue de estas redes de area extensa corporativas se basa en las llamadas redes privadas virtuales, RPV, tambien conocidas como VPN de Virtual Private Network.
Pero no se puede concluir este rapido repaso a los aspectos actuales de la seguridad sin detenerse siquiera someramente en las infraestructuras de clave publica, tambien PKI, de Public Key Infraestructure. Soporte de la firma digital (electronica avanzada, en termino acuñado por la Ley 14/1999) dicha firma y estas infraestructuras estan empezando a jugar un papel vital en la seguridad corporativa, como base de la autenticacion de usuarios y recursos (junto con directorios LDAP), de la confidencialidad de la informacion corporativa, etc.
En resumen, aunque son muchas las nuevas amenazas y vulnerabilidades son tambien numerosas las novedosas medidas de defensa que se estan poniendo en practica, tanto de indole administrativa y organizativa como tecnica, que en esta carrera perpetua entre atacantes y defensores permiten seguir confiando en los sistemas de informacion, imprescindibles en esta emergente sociedad de la informacion.