Valor de la difusión de vulnerabilidades

Siempre que se difunden vulnerabilidades en seguridad aparece la polémica. ¿Se está dando demasiada información? ¿Se está hablando de más? No hace falta que se trate de hackers hablando de fallos en tal software y de las herramientas para explotarlos; los propios profesionales de la seguridad, en medios como podría ser este, también hablamos de métodos delictivos o métodos de inteligencia que podrían ser usados con malos fines.

Ha sonado mucho estos días que un hacker reveló una vulnerabilidad de seguridad en un modelo de cerradura electrónica, que está instalado en cuatro millones de habitaciones de hotel en todo el mundo. Y lo hizo de forma práctica, explicó cómo fabricar el dispositivo que abriría las habitaciones sencillamente. Y ese hecho se ha vinculado con un supuesto incremento en los robos en hoteles. En cambio, con lo que no se ha vinculado es con un descenso de los robos por parte de aquellos que ya pudiesen estar utilizando este método. Porque nadie sea tan ingenuo de pensar que el primero que descubre un método de vulneración de seguridad va sistemáticamente a publicarlo en Youtube. A los que ya estuviesen utilizando este método se les ha quemado el negocio porque, ahora en los hoteles, clientes y empresarios a los que supuestamente han fastidiado con la difusión, van a estar más atentos a esta jugada.

Por eso hay que ser humildes y agradecer que nos comuniquen vulnerabilidades en nuestros sistemas. Más aún porque una mala reacción, un déficit en la comunicación corporativa que desaire a quien las descubre, puede producir un daño aún mayor. Lean este artículo de Enrique Dans sobre esto de las cerraduras para ahondar en las lecciones de comunicación que deja este caso.

Pero es que es delicado hablar sobre seguridad cuando el hablar conlleva inseguridad. Es que incluso los procedimientos que utilizan los delincuentes y los profesionales de la seguridad a veces son los mismos. Esto es particularmente claro en las vigilancias y los seguimientos, que pueden ser usados en la preparación del mismo o en la investigación del mismo. Por eso a veces nos surge el dilema de qué contar o no contar. A nosotros nos pasa en nuestro servicio de capacitación o incluso en nuestra web.

Un compañero detective hace un tiempo me criticaba amablemente que aquí hubiésemos publicado un artículo en el que se recomendaba destruir bien la documentación que se tira, pues de ella obtienen mucha información quienes practican el “basureo” (rebuscar en la basura). Y esto porque podría suponer inutilizarle una herramienta de trabajo. Yo le respondí, en resumidas cuentas, que, si bien es un método que utilizan algunos detectives con fines legales, es el mismo que utilizan delincuentes con fines ilegales, como preparar un secuestro. Y he ahí que la utilidad social del texto, en mi opinión, justificase su publicación. Y en cualquier caso, el profesional de la investigación ha de estar preparado para innovar y buscar nuevas fuentes de información, legales y éticas. Eso le va a permitir seguir trabajando y le va a dar ventaja respecto a quien no esté preparado.

En nuestra opinión, la clave es la responsabilidad. De quien escucha y de quien difunde. Es positiva una difusión responsable. Alejando la pretensión de un artículo de corte deontológico, creemos que es ético hablar de seguridad siempre que con ello fomentemos una cultura de la seguridad y midamos las consecuencias de lo difundido. Es decir, que busquemos el bien y que el delito prevenido a largo plazo sea mayor que el delito causado a corto plazo por la difusión. Y en el caso de vulnerabilidad que avisemos, antes de difundir, al responsable del sistema para que pueda tomar las medidas correctivas oportunas.

Hay que saber medir y esperar. Incluso a veces la información proporcionada sobre métodos delictivos sirve para que otros los apliquen y caigan así en la trampa de su más fácil detección. Como ejemplo podemos citar el método de comunicación usado por los terroristas del 11-S. Almacenaban sus mensajes como borradores en el webmail y de este modo, al no haber transmisión, pasaban más inadvertidos. Pues miren ustedes por dónde ahora se desvela, a causa de un escándalo sexual, que este mismo método, tal como señala el experto Bruce Schneier, lo estaba usando el ahora ex director de la CIA para comunicarse con su amante, con la que sostenía una relación que tal vez supusiera un riesgo para la seguridad nacional. ¿Duda alguien de que los métodos delictivos, una vez publicados, pierden efectividad?

La actualización es medular en seguridad. Por supuesto siempre habrá elementos individuales que aprovechen la difusión de esta actualización para darle un mal uso. Pero los que perseguimos la seguridad, no la inseguridad; los que perseguimos prevenir el delito, estudiamos más. Y si no, que los delincuentes estudien tal vez no sea tan malo a nivel macro. La educación ennoblece y mejora la sociedad. Una mejor sociedad reducirá el delito. Hablemos de seguridad.

Leave a Reply

Your email address will not be published. Required fields are marked *


nine + 5 =

* Copy This Password *

* Type Or Paste Password Here *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>