La falacia de la seguridad en la red

¿Cuántas veces nos dicen que la red es insegura y que para hacerla más segura habría que rediseñarla? Montones de veces, pero la verdad es que eso es una falacia. Como todas las mentiras, se reducen a polvo si las analizamos.

Empezará por la parte fácil de entender: ninguna red ni equipo informático podrá ser nunca totalmente segura, ni siquiera una rediseñada pensada en ese aspecto. Esto incluye desde pequeños dispositivos con acceso a la red hasta la mayor supercomputadora, pasando por todo tipo de cacharros (lectores de mp3, PDAs, móviles, …). Pero en la actualidad existen sistemas operativos que ofrecen un nivel de seguridad aceptable y, desde luego, en este aspecto son muy superiores a cualquier Windows: por ejemplo Mac OS X y toda la familia de GNU/Linux (estos aún más ya que no utilizan seguridad mediante oscuridad). Con la progresiva migración desde windows a esos sistemas (Linux como probable opción), la seguridad frente a virus habrá mejorado mucho (ya he dicho que la panacea no existe).

De forma que el miedo a los virus y a todas esas cosas es algo accesorio. Un fruto indeseado de tanta sobreexposición a virus por culpa de sistemas mal hechos en los que intentan venderte los parches como nuevo software (de Windows Millenium a 2k, y atentos a lo que salga después de vista con todas sus non-featured features y montones de bugs; seguro que cobran por él una pasta). Por supuesto que todos los sistemas tienen virus, pero cuestionar a estas alturas que unos son más seguros que otros, es un acto de fé ciega. Me van a perdonar pero estudié ciencias ;)

Y es que el mayor problema de la seguridad en la red no es ni el diseño de la misma ni los sistemas operativos empleados (aunque utilizar el sistema adecuado ayudará a tu seguridad, obviamente). El verdadero problema de la seguridad son las personas, como bien apuntaba Enrique Dans hace unos días. En este ámbito también somos el eslabón más débil.

De esta forma, el peligro de esa falacia es el troyano que incluye: para mejorar la red hace falta rediseñarla. Falso. Y peligroso. Para mejorar la red hace falta educación informática, mejorar a las personas que la usan. Usar un sistema seguro y seguir unas pautas de comportamiento seguras (como no abrir cualquier adjunto «extraño» que recibimos) disminuyen drásticamente nuestro nivel de peligro. Y ni siquiera hace falta ser paranoico, puedes abrir tus archivos normalmente, tan sólo recomiendo que preguntes ante envíos sospechosos. Por contra, el deseado rediseño de la web (al menos por parte de quienes lanzan esos brindis) tendría efectos peligrosísimos que ya comenté en el peligro de rediseñar la web (de hecho esta anotación es casi una continuación de esa otra).

Cuando os justifiquen algo argumentando la seguridad, háganse (y hágannos a todos) el favor de ser escépticos.

Doctor en Química laser especializado en desarrollo de hardware para análisis. Consultor y Project Manager. Autor de los libros publicados La sociedad de control y La neutralidad de la Red.

3 Comments

  1. ¡Hola! Estoy de acuerdo al 100% en tu post pero creo que hay que tener cuidado con la frase “para mejorar la red hace falta rediseñarla. Falso. Y peligroso.”

    Me explico. Estudio informática y mi profesor de Redes nos explicó que los protocolos de internet son antiguos. El protocolo TCP/IP (aka internet) fue diseñado en el 75 (si no recuerdo mal) y con propósitos distintos a la Web 2.0, P2P, etc… por lo que todo el mundo está de acuerdo (con todo el mundo me refiero a la mayoría de informáticos especializados en redes) en que hay que rediseñarla. No para tener más seguridad, sino para que sea mejor. Es decir, más rápida y más fiable (fiable = todos los paquetes lleguen a su destino).

    Por eso hay que mejorar internet, mejorar en el sentido de que sea más rápida y fiable y no más segura. Supongo que dentro de unos años (probablemente muchos) se remodelará internet (pero esto no quiere decir que todos los servidores, ordenadores, etc. dejen de funcionar) y lo que hay que conseguir es que los remodeladores sean informáticos que entiendan lo que hacen y que no sean políticos.

  2. Hombre, ahí tienes razón… el TCP/IP es antiguo, pero vamos.. que no se usa la versión del 75, sino que se ha ido mejorando… de todas formas y partiendo del punto que no soy informático, no puedo hacer otra cosa que darte la razón.

    Lo que sucede es que yo creo que ahora mismo los políticos no dejarían que Internet fuera diseñada sin ellos… hace 30 años era un cacharro para científicos, ahora saben lo que hay… y querrían arrimar «el ascua a su sardina» ;)

  3. Para empezar debo concordar contigo en que sistemas 100% seguros no existen… y peor aún cuando estos perduran en el tiempo sin modificación alguna.

    Esto nos lleva a una posible conclusión, que asegurar sistemas no consiste en hacerlos 100% seguros si no a minimizar el riesgo de que estos puedan ser vulnerados, expuestos, “hackeados”, crackeados o como prefieras llamarlo.

    Toda acción que tomemos para reducir la exposición o minimizar el riesgo al que esté afecto nuestros sistemas no tiene por que ser en vano, lastimosamente durante los últimos años la implementación de sistemas computacionales (así como la misma internet) fueron diseñados para ser funcionales, no para ser seguros, lo cual hace que una recomendación de rediseño (ojo que no pienso que para todos los casos, toca analizar cada situación y hacer un costo beneficio de que hacer) no sea tan descabellada, sin embargo toca evaluar que es mas conveniente…

    Por ejemplo una organización compuesta por miles de personas que se encuentran distribuidas en el mundo va a depender desde la función que cumplen, el costo de difusión del curso, la realidad en cada uno de los países, en fin… las variables son infinitas…

    Creo que antes que nada es necesario partir por una definición del gobierno, llámese políticas estándares y procedimientos, seguidos de una definición de dueños de la información con quienes se definen los activos de información (ahí podríamos entrar en quien es primero el huevo o la gallina… lo admito) y bueno… una vez que se tiene esto… proceder a clasificar la información, con la cual se define que es mas importante… y cual debe ser la inversión en seguridad y en que casos está justificado que… y finalmente la implementación y no olvidar la actualización y mentenimiento de esto…

    Creo que no existe un modelo infalible, y que por muy “super seguro” que pueda ser esta seguridad se desvirtualizará en el tiempo, y que no existe una única solución para la seguridad utópica…

    Salu2

Submit a comment