Hace no mucho tiempo leía un hilo de las preguntas que se realizan en Bugtraq, una lista de distribución de temas de seguridad. La pregunta decía así: “¿Alguien podría decirme los métodos disponibles para evitar al firewall (hacerle “bypass”) para cualquier tipo de tráfico?”. La persona no colocó más contexto en torno a la pregunta.

Para ser honesto me preocupó. Por un momento quise pensar en que quien lanzó la pregunta quería realizar algún tipo de prueba de penetración o alguna prueba particular hacia un producto, pero nunca lo aclaró. Lo que sí me hizo reflexionar es que este tipo de interrogantes suceden en la vida cotidiana, muchas veces por personal no técnico, y muchas veces no buscan exactamente una prueba de seguridad sino transgredir las políticas de seguridad establecidas.

Es muy complicado para la mayoría de las personas técnicas comprender que las no técnicas definitivamente no tienen idea de lo que se les habla cuando entramos al mundo de las computadoras. A las personas no técnicas les importa su e-mail, sus redes sociales y su mensajería instantánea. Hay quienes van más lejos y buscan obtener programas, música o películas gratis. Y hay quienes todavía llegan más allá, tratando de burlar los elementos de seguridad implementados.

Afortunadamente este hilo habló de hacer esos bypass con túneles cifrados (SSH o SSL) y técnicas avanzadas de inyección de paquetes, lo cual responde la pregunta original con muchas complicaciones para personas no inmersas en la parte de tecnología, pero me surgieron dos preguntas:

¿Qué pasa cuando un responsable de seguridad quiere burlar la seguridad misma?

¿Qué pasa cuando una persona no técnica quiere acceder a recursos no autorizados?

Para la primera pregunta las respuestas en el hilo original fueron contestando: “soluciones técnicas, pero revisa tus políticas de seguridad”, “debe ser para algo que sea justificado en tu trabajo” (léase, que no sea causa de recisión de contrato), o bien, cuidados de tipo legal (acceder a redes no autorizadas y ser atrapados en el acto). Incluso hubo una respuesta donde se le mencionó que si tenía una necesidad de uso de una aplicación y que el firewall no lo permitía, lo lógico y elemental sería solicitar los accesos; la petición legítima no podría ser negada.

Para la segunda pregunta el riesgo se diversifica. Sea un firewall, IPS, control de accesos, Filtrado de Contenido o lo que sea que exista en la red, siempre existirá el riesgo más por el factor humano que por otra circunstancia.

Debido a ello, la importancia de que los controles implementados sean entendidos por todos implica tener bases sólidas sobre los derechos y obligaciones de un empleado en cuanto a la información que maneja, además de los límites en el uso permitido de los recursos informáticos de la organización.

Las políticas de seguridad, los acuerdos de confidencialidad, la clasificación de la información (en cualquier modo en que ella exista) y las sesiones de concienciación y actualización en materia de seguridad siempre serán importantes y ninguna empresa puede obviarlas. La alta dirección debe estar comprometida con la seguridad para mantener al día, actualizados y en orden todos los documentos que establezcan las reglas que gobiernan la empresa.

El eslabón más débil en los controles mismos

Si bien hay individuos con capacidades impresionantes para crear, identificar o burlar los controles tecnológicos de los sistemas (llámense hackers), éstos son escasos a nivel mundial. Esto lo menciono porque hay quienes pueden argumentar que la tecnología está mal hecha, y podemos encontrar casos claros de aversión a marcas como Microsoft o el protocolo DNS, que son juzgados por presentar un pobre diseño en materia de seguridad.

Recuerdo en una asistencia al Defcon que se celebra anualmente en Las Vegas, Nevada, cómo Dan Kaminsky, reconocido profesional de tecnologías de la información, criticó duramente la arquitectura e implementación del protocolo DNS en su conferencia sobre Cache Poisoning (envenenamiento del caché en los servidores de DNS), e incluso habló de realizar evasiones a tecnologías de seguridad como las que fabrican ISS (ahora IBM) y Check Point. Éstos son ejemplos de acciones que pocas personas en el mundo pueden lograr, y sobre las que los propios fabricantes trabajan día con día para corregir errores que las herramientas pueden tener.

Los controles tecnológicos difícilmente serán 100% confiables puesto que, hasta donde se puede vislumbrar, serán diseñados por humanos, lo que obliga a la tecnología a ser inherentemente imperfecta. Pese a lo anterior, los controles creados hasta el momento realizan con alto grado de eficacia las funciones o contenciones para las que fueron diseñados.

La siguiente pregunta obligada es: Si tengo los controles en el lugar adecuado, ¿por qué continúan existiendo fallas de seguridad? Hay tres puntos importantes:

  • Administración operativa (cambios, parches, versiones, incidentes, requerimientos, altas, bajas).
  • Monitoreo (detección y contención de eventos).
  • Verificación de controles de seguridad (evaluación de controles).

Esto me recuerda no pocos vicios en torno a cuando un control está establecido, pero si leemos detenidamente las viñetas anteriores, el control necesita de la interacción con el ser humano. Una vez más, estamos hablando de que es el mismo administrador, operador, consultor, usuario o responsable del sistema quien es más propenso a fallar.

El que el experto falle no necesariamente significa que realmente no conozca la herramienta, sino que es la operación diaria, mantener numerosas reglas, firmas, usuarios, políticas en los equipos, lo que hace que en algún momento “algo” quede fuera de lugar: un acceso no válido, un puerto no cerrado, una contraseña preconfigurada (por “default”), un servicio innecesario activado, entre otros. Es común ver cómo las reglas de un firewall van creciendo, cómo poco a poco surgen interrogantes sobre “la regla X, ¿es correcta?” o “¿el usuario Y todavía necesita estos permisos?”. Y es donde podemos observar cómo el propio ser humano debilita el control tecnológico.

Como podemos ver, los controles tecnológicos apoyan el cumplimiento de la seguridad que la institución necesita, pero si no tomamos en cuenta el factor humano en todo momento, dichos controles disminuirán su utilidad y no se tendrán los resultados esperados.

El sentido de los controles

Hubo algo que me llamó mucho la atención respecto a este tópico, que puede ayudar a entender claramente por qué la seguridad gira en torno a las personas: alguien definió al firewall en términos humanos como “un dispositivo que aplica la política de seguridad [establecida]”. Al final del día, la tecnología es sólo un control, y el factor humano es sobre quien reside el correcto uso y aplicaciones del control.

Todos los controles pueden venirse abajo si vemos que una asistente conoce las contraseñas de sus jefes, si personal de Finanzas comparte sus usuarios de acceso con otros, o si el DBA es compartido por personas de Bases de Datos, desarrolladores y programas por igual (esto es mucho más frecuente de lo que podría suponerse). Por ello la insistencia de que una política que defina los roles, responsabilidades, obligaciones, auditoría (“accountability”) y sanciones debe ser parte integral de la seguridad.

Aunque a mucha gente no le gusta, el eslabón más débil somos nosotros mismos, y bajo esta premisa debemos considerar los controles de seguridad. La tecnología puede tener errores, pero esos a la larga son modificables; los humanos siempre seremos impredecibles y guiados por sentimientos, lo que tiende a hacernos irracionales por momentos, por lo que, independientemente del control, el ser humano siempre será una variable importante a considerar en el riesgo para la seguridad.

En el mismo evento del Defcon hay una playera que al frente dice en inglés “Social Engineer Specialist”, que significa “Especialista en Ingeniería Social”; al reverso indica “Because there is no patch for human …”. No puedo indicar la última palabra, pero lo traduciré como sigue: “Porque no hay un parche para la torpeza humana”. Termino con una reflexión: No es que seamos torpes, así lo ven los hackers, simplemente no hay conciencia del daño que se puede causar por no cuidar algo tan valioso para el ser humano como lo es la información.

[email protected]