Hace tiempo publique a través de diversos medios un artículo que sigue siendo vigente y es acerca de la indiferencia [¿o será negligencia?] en torno de la seguridad. Dadas las condiciones actuales en la red mundial, es imprescindible tener presente este aspecto en todo momento sin importar si se trata tan solo de una PC casera, e incluso si no se tiene una. Al vandalismo informático e ingeniería social no les interesa si se trata de un servidor o una tostadora de pan: si algo o alguien está comunicado hacia cualquier tipo de red, puede ser víctima potencial.

Los usuarios más avanzados y responsables suelen preocuparse mucho por la seguridad de todo tipo, tanto de redes y sistemas como políticas de manejo de información. Sin embargo ¿Que ocurre con muchos nuevos usuarios de Software Libre? La mayoría le dan menos importancia de la que merece este aspecto.

Los parches de seguridad.

Mantener el sistema actualizado con los parches de seguridad que se van publicando es prácticamente una obligación diaria. ¿Cuantos usuarios siguen utilizando solo lo que venía incluido originalmente en el disco compacto de instalación y que por lo general requiere actualizarse? Muchos más de los que imaginamos.

Mantener el sistema con sus parches de seguridad es más fácil que hace varios años. Quienes utilizan Debian y sistemas operativos derivados, como Ubuntu, pueden utilizar apt-get y resolver todo sin mayor contratiempo que el uso del propio ancho de banda consumido y si es poco grato utilizar el intérprete de mandatos, existen alternativas muy amistosas como Synaptic.  Los usuarios de distribuciones basadas sobre Red Hat™ pueden utilizar herramientas como yum o bien, su frente gráfico más amistoso, yumex. Existen servicios comerciales como el de Red Hat™ o SUSE™, utilizando up2date y yast, respectivamente, que brindan el respaldo de una empresa que proporciona servicios de soporte. Todos los métodos anteriores verifican todas las posibles actualizaciones de seguridad y descargan e instalan todo lo que sea necesario y solo lo necesario.

No hace mucho tuve que dar soporte de emergencia a un desesperado usuario que muy ingenuamente había colocado un servidor en su empresa para atender operaciones críticas. Dicho servidor fue implementado con una muy obsoleta versión del difunto Red Hat™ Linux, sin un solo parche de seguridad. ¿Quieren saber cuanto tomó de tiempo para que alguien entrar al sistema y hacer un verdadero desastre desde su instalación? Un día. ¿Que tantas pérdidas tuvo la empresa afectada? Más de lo que se pueden imaginar.

El muro cortafuegos.

Es imposible ignorar las condiciones actuales en la red mundial en lo referente a la seguridad. Muchos opinamos que la configuración de al menos un muro cortafuegos, de tipo básico, debería de ser incluida en los programas de instalación de las distintas distribuciones de GNU/Linux, como lo hace Red Hat™ o SUSE™ así como casi todas las distribuciones comerciales o al menos incluir una advertencia de las consecuencias de implementar un sistema sin un nivel de seguridad apropiado.

Existen herramientas que permiten configurar un muro cortafuegos fácilmente. ¿Cuantos usuarios utilizan al menos herramientas tan simples como Firestarter o asegurarse que sus sistemas estén verdaderamente protegidos? Por lo que me comenta un viejo amigo cuyo pasatiempo es poner a prueba la seguridad de todo aquello que se encuentre en su camino, la respuesta da miedo.

Las contraseñas.

Un aspecto importante en la seguridad es la mala política en el manejo de contraseñas. Una buen política incluye rotar contraseñas al menos cada mes, utilizar contraseñas con al menos 8 caracteres mezclando alfanuméricos, mayúsculas y minúsculas y otros caracteres ASCII, evitando utilizar datos personales como referencias.

Increíblemente existen personas que, por cuestiones que no discutiremos aquí, optan por utilizar contraseñas verdaderamente malas. Ejemplo: utilizar solo números, iniciales, palabras de diccionario, nombres propios, etc. Una contraseña como por ejemplo "pedro2003" regularmente puede ser descifrada por una herramienta para tal fin en muy poco tiempo.

Ingeniería social.

El punto más vulnerable de cualquier red lo componen los usuarios que la integran. La mejor tecnología y seguridad del mundo es inservible cuando un usuario es incapaz de mantener en secreto, una clave de acceso o información confidencial. Es por tal motivo que tiene particular relevancia el impulsar una cultura de concienciar a los usuarios acerca de los peligros de la Ingeniería Social en la seguridad informática y también cualquier otro aspecto de la vida. El más célebre personaje que utilizó ésta, con tanto éxito que durante algún tiempo se convirtió en el hombre más buscado por el FBI, fue Kevin Mitnick.

Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.

De acuerdo a Kevin Mitnick, hay cuatro principios básicos por los que la ingeniería social funciona:

• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.

Un clásico ejemplo de ataque de ingeniería social, e increíblemente el más fácil de realizar, consiste en engañar a un usuario haciéndole pensar que se trata de un administrador de la red donde se labora solicitando claves de acceso u otro tipo de información confidencial. Buena parte del correo electrónico que llega al buzón del usuario consiste de engaños solicitando claves de acceso, número de tarjeta de crédito y otra información, haciendo pensar que es con una finalidad legítima, como sería el caso de reactivar o crear una cuenta o configuración. Este tipo de ataque se conoce actualmente como phising (pesca).

En muchos estudios se ha demostrado que los usuarios tienen una pobre conciencia acerca de la importancia de la seguridad. Una encuesta de InfoSecurity, hace varios años, arrojó como resultados que 90% de los oficinistas revelarían una clave de acceso a cambio de un bolígrafo.

Otros ejemplos de ataques exitosos, aprovechando la ingeniería social, es el envío de los adjuntos en el correo electrónico (virus, troyanos y gusanos) que pueden ejecutar código malicioso en una estación de trabajo o computadora personal. Esto fue lo que obligó a los proveedores de equipamiento lógico a desactivar le ejecución automática de los adjuntos al abrir el mensaje de correo electrónico, por lo que es necesario que el usuario active esta funcionalidad de modo explícito a fin de volver a ser vulnerable. Sin embargo, la mayoría de los usuarios simplemente hacen clic con el ratón a cualquier cosa que llegue en el correo electrónico, haciendo que éste método de ingeniería social sea exitoso.

Un tipo de ingeniería social muy efectivo es incluir grandes cantidades de texto a un acuerdo de licenciamiento. La gran mayoría de los usuarios, incluyendo administradores, rara vez leen siquiera una palabra contenida en dicho texto y sencillamente dan clic en la aceptación de licenciamientos y acuerdos. Esto regularmente es aprovechado por Adware (equipamiento lógico que despliega anuncios comerciales) y Spyware (equipamiento lógico que espía la actividad del usuario). En Latino América este problema es sumamente fácil de realizar debido al vergonzoso y pobre índice de lectura (menos de un libro por año), que en consecuencia mal acostumbra a leer.

La principal defensa contra la ingeniería social es la educación del usuario, empezando por los propios administradores de redes y sistemas. La mejor forma de combatir la ingeniería social es la prevención.

Conclusiones.

Definitivamente hace falta hacer mayor conciencia para convencer a los usuarios acerca de lo importante que es la seguridad o tal vez optar por métodos a un estilo más agresivo: actualizar sin preguntar y cerrar las comunicaciones. ¿Demasiado estricto, no es así?

Es por todo lo anteriormente comentado que es necesario fomentar y recordar la importancia que tiene la seguridad en su más amplio sentido.

¿Tu ya implementaste seguridad en tu sistemas/empresa/oficina/hogar?