Si no fuera así no habría tantas intrusiones en sistemas ni tendríamos tantos incidentes de robo de identidad en
Internet.
Algo falla y tenemos que arreglarlo los que trabajamos en esta
industria. En mi fuero interno llevo tiempo dándole vueltas a porqué
pasa esto, y de todas las casusas enumerables, hoy os quiero hablar de
una de ellas: La de olvidarnos de cuidar de
Penny.
 |
| Figura 1: Penny no se conecta a Internet porque no tiene configurada su VPN |
Los servicios de Internet han enamorado a los usuarios, y casi todo el mundo participa activamente en ellos desde una miriada de gadgets alucinantes. Si hasta mi mamá me envía mensajes por el Facebook eso dice muy a las claras que ellos que han conseguido que los usuarios disfruten con la tecnología.
Ellos lo hicieron bien, pero nosotros en la industria de la seguridad no
hemos sabido acertar en la manera de proveer las medidas de protección.
Sí, tal vez podríamos decir que es culpa de los servicios de Internet,
que deberían preocuparse más de la seguridad, pero muchas de las
medidas de seguridad tal y como las entendemos hoy empeoran la
experiencia de usuario o exigen un cierto nivel técnico para
entenderlas. Es una batalla que no deberíamos haber luchado, y que hemos
perdido.
Durante muchos años nos hemos enrocado en definir a "Seguridad" como una archi-enemiga de "Usabilidad" y hemos zanjado las conversaciones al estilo Yoda con los responsables de las empresas con un sencillo: "Debes buscar el equilibrio entre Usabilidad y Seguridad"... pero todos han caído en el reverso tenebroso de la poderosa Usabilidad, pensando en sus usuarios.
El usuario está loco, bebe alcohol los fines de semana y trabaja de camarera. El usuario es una temeraria, como Penny de The Big Bang Theory. Y está en Internet.
Es un cordero en un mundo de lobos. Pero es parte de las tecnologías de
hoy en día. Maneja sistemas informáticos en su día a día y está en
riesgo constante. ¿Y nosotros no hemos hecho nada? Sí, le hemos dado
sistemas de seguridad... pero para Geeks.
Sheldon se conoce bien las tecnologías de
seguridad, pero intenta explicarle tú a
Penny todo lo que tiene que hacer para simplemente navegar por la
WiFi de su casa de forma segura sin que la graben desnuda. Empieza por decir eso de cambia el
SSID, luego sigue con el "usa una
VPN, desactiva
WPS, cambia el cifrado a
WPA2-PSK, cuidado con los
Rogue APs si tu equipos es
OSX y no valida el
BSSID y cuidado con las alertas de
Certificados en ataques
Man in The Middle", para terminar con un "
actualiza el firmware". Es virtualmente imposible hacer entender a
Penny todas las medidas de
seguridad que hay que tomar para simplemente
navegar por su WiFi de forma segura y que sea capaz de aplicarlas. Si no lo crees, intenta explicárselo a un familiar tuyo.
Algo no hemos hecho bien en la industria de la seguridad si para conectarse al
Facebook usando la
WiFi,
tengo que dar un curso de tecnologías a mi madre - algo que seguramente
ni disfrutará - cuando todos los terminales móviles vienen con un botón
de "
conectar". Nos hemos olvidado de
Penny
en todo este proceso y debemos recuperarla. Tenemos que cambiar la forma
en que funcionan muchas de las herramientas que implementan medidas de
seguridad
para que sean lo más transparentes posibles,
porque yo no quiero saber cómo funcionan todos los controles de
seguridad cuando viajo en un avión. Solo quiero que funcionen, mientras
que yo estoy cómodo - y que
Hugo Teso no esté cerca -.
No quiero tener que configurar los valores del ABS o el ESP cuando me subo en el maligno-móvil. Quiero que funcionen de la forma más segura posible. ¿Por qué asegurar la red WiFi no viene de serie? ¿Por qué tiene que saber Penny que es un BSSID, el WPS, la diferencia entre WEP y WPA2-PSK, o que implicaciones tiene elegir L2TP, PPTP o SSTP como sistema de eso que tampoco sabe qué es llamado VPN? Se preguntará una y mil veces qué es mejor, si tener un antivirus, un antimalware, un firewall, o un antispyware, para no pillar eso que le han dicho que es muy malo que se llama botnet o rootkit o exploit de nosequé, que le salió en la pantalla de su equipo cuando iba a arrancar....¿un plugin?
Tal vez nosotros estemos acostumbrados a toda esta terminología, pero
Penny no, y tenemos que ver de que forma es posible ayudar a que
Penny a que esté más segura en
Internet sin que tenga que hacerse un master de seguridad y deje de ser un cordero más que se merienden los lobos.
http://www.elladodelmal.com
De Chema Alonso
