Me da la impresión de que la comunidad informática a veces cree que la seguridad es una necesidad de la modernidad digital. Pero basta echarnos un clavado a la historia de la humanidad para localizar cientos de técnicas de protección de información y de activos, o hacer analogías con nuestra vida cotidiana para entender la seguridad informática.
Entonces, siendo la seguridad tan antigua, ¿qué es lo que ha obligado hasta ahora a las organizaciones a pensar seriamente en mecanismos de protección de su información? La respuesta la tienes en la punta de la lengua: lo vulnerable de nuestra era, hoy día con un simple clic en un hipervínculo podemos disparar un virus; podemos ser víctimas de suplantación de identidad en un banco y por tanto sufrir una estafa; podemos dar albergue a un caballo de Troya; también con un clic fácil y rápidamente podemos replicar, alterar, distribuir, borrar o almacenar cientos de miles de bytes con información.
En tiempos ancestrales cualquiera de estas acciones que hoy toman menos de un segundo, habría implicado el esfuerzo de uno o un grupo de hombres, tiempo considerable y técnicas de ocultamiento; por ejemplo para robar y replicar un largo manuscrito secreto.
Los intereses de los delincuentes digitales van desde mero entretenimiento, evasión fiscal, espionaje industrial, malversación de fondos, fraude, piratería, secuestro, obtención de información privilegiada, tráfico de drogas, hasta terrorismo, entre otros muchos.
Las prácticas de mal uso de información parecen tan creativas en la actualidad, que hasta suenan novedosas, pero la proclividad a ejercer el acto invasivo, tanto como la necesidad de preverlo y atacarlo, son tan antiguas como la historia misma.
La seguridad es como un modelo clásico, como el Volkswagen, la cola de caballo, los zapatos bostonianos o el Chanel N° 5: siempre está de moda. La historia de la humanidad nos ofrece múltiples ejemplos de cómo la información siempre ha sido del interés ajeno, lo mismo que guardarla siempre ha tenido sus buenos motivos. Ya los fenicios, los egipcios o los mayas, utilizaron métodos (que hoy llamamos muy coquetamente “controles” y que son los principios de la criptografía), para ocultar –cifrar- información clave o confidencial.
Por ejemplo, la caja de Julio César era un método para enviar mensajes ocultos sin que los mensajeros pudieran leerlos, o, en caso de ser capturados, tampoco pudieran hacerlo los enemigos. El método consiste en elaborar un mensaje con un número de letras que sea el cuadrado de un número natural n; es decir, que un mensaje válido es aquel que contenga 16, 25, 36, 49 letras, que son el cuadrado de n=4, 5, 6, 7 respectivamente; las letras del mensaje real se rellenan por n columnas y se emite el mensaje oculto por n renglones.
La creatividad no tenía límites. Por ejemplo se enroscaba un trozo de papel en un cilindro, se escribía el mensaje verticalmente en el papel y luego se desenrollaba el papel para enviarlo con el mensajero. El remitente y el destinatario habían acordado previamente cuál sería el diámetro del cilindro. Incluso se podía jugar con conos o figuras irregulares para despistar aún más.
Otro tipo clásico era la máquina Enigma, utilizada por los alemanes durante la segunda guerra mundial. Enigma se encargaba de cifrar y descifrar los mensajes de estrategias, a través de una clave, y funcionaba inicialmente con tres rotores. Los polacos, británicos y franceses lograron descifrarla con una máquina idéntica. Así, los alemanes fueron agregando rotores hasta llegar a ocho. Y, cuando sospechaban haber sido descubiertos, enviaban mensajes falsos para despistar al enemigo.
¿Qué tal en los deportes?, para muestra el béisbol: el coach se planta junto a la almohadilla y empieza a emitir al bateador y a sus corredores la estrategia de la jugada a través de una serie de señas que parecen un ataque al corazón. Las señas cambian jugada a jugada, ya que son rápidamente interpretadas por el pitcher, por ejemplo, un toque de bola.
Quien haya leído el libro o visto la película de El código Da Vinci recordará que la historia está llena de pistas ocultas en obras de arte, bóvedas de seguridad, y un artefacto curioso llamado cryptex que custodiaba un secreto (esto, claro, es una historia de ficción, pero nos refleja la necesidad permanente del hombre de guardar secretos). Para abrir el dispositivo, la combinación de componentes rotatorios tenía que estar en orden correcto. Si se abría de manera forzada, un mecanismo interno rompería un tubo con vinagre el cual disolvería el mensaje escrito en papiro. Este artefacto fue codiciado para buscar una verdad que había permanecido oculta por dos mil años y que afectaría creencias milenarias. Lo mismo sucede en La leyenda del tesoro perdido o en la solución de algunos de los problemas que se le presentan a Sherlock Holmes.
Así podríamos encontrar cientos de ejemplos sobre la importancia de la seguridad hasta llegar al día de hoy, donde el principal factor es lo vulnerable de la información digital. Para proteger este nuevo formato de la información, contamos con una serie de algoritmos y tecnologías altamente complejas que nos permiten resguardarla y los mensajes incluyen propiedades de confidencialidad, integridad autenticidad y no rechazo, a través de firmas digitales, recursos que incluso se encuentran ya legislados en algunos países.
Sin embargo, lo más interesante no es el ingenio que el ser humano ha desarrollado para cifrar: ¡hay que ver lo genial que resulta para descifrar! Cada vez existen técnicas más sofisticadas y mayor poder de cómputo para romper llaves, crackear contraseñas e introducirse sin autorización en la información confidencial de las organizaciones. Entre más largas las llaves de codificación, mayores retos para los hackers que encuentran al final una forma de romperlas. ¡Incluso se utilizan técnicas de ingeniería social para obtener información de viva voz de los empleados!
Entonces, ¿qué podemos hacer para ganar la carrera a estos pillos de la información? Algunas prácticas saludables para su organización son las siguientes:
-
Clasifique su información, decida con claridad qué es lo confidencial, qué es lo sensible y qué es lo público.
-
Sensibilice a sus empleados sobre la importancia de proteger la información, principalmente aquélla clasificada como confidencial.
-
Utilice técnicas innovadoras que ayuden a sus usuarios a crear contraseñas robustas y a renovarlas periódicamente. ¡Recuerde a nuestros ancestros!
-
Emprenda campañas de seguridad, con algún eslogan que fomente la seguridad como una constante, por ejemplo: “La contraseña es como el cepillo de dientes: debe ser fuerte, no se presta y se debe cambiar cada tres meses”
- Proteja su información crítica en todos sentidos: desde derechos de autor para secretos de marca hasta respaldos en cajas de seguridad bancarias.
Aún mejor: piense mal y acertará; póngase en los zapatos del enemigo, “¿qué se le ocurriría al otro para robar mi información…?” Siendo maliciosos, tendremos nuevas ideas para protegernos. ¡Permanezca a la moda, esté siempre seguro!
La invitación es a capitalizar todo este conocimiento que la humanidad ha atesorado en materia de protección de la información, para buscar ideas fáciles y analogías interesantes para los programas de concientización, además de buscar que los colaboradores compren la idea de que la seguridad es una tarea de todos y una responsabilidad compartida.
Deja tu comentario