jueves, 8 de septiembre de 2016

El Producto Maravilla


Antes de poder sentarme en mi lugar para empezar bien el día trabajando, recuerdo que debo de asistir a la presentación de un producto. No soy de los primeros en llegar, pero llego justo a tiempo. No falta la plática con los colegas mientras llegan los proveedores, disparando un par de bromas durante la charla para suavizar el ambiente.


No es raro que los proveedores lleguen tarde a las juntas, casi siempre ponen como pretexto el “tráfico de la ciudad”, como si fueran extranjeros y por eso no saben del caos citadino y claro, por lo tanto calculan mal sus tiempos. Así es que la espera es de 10, 15 minutos.


Por fin llegan los proveedores. ¿Dónde puedo conectar mi laptop al cañón?”, empiezan diciendo mientras uno les señala el cable del proyector. “¡Ah sí! Buenos días, perdón, cómo están? Qué gusto”, continúan diciendo y uno amablemente les devuelve el saludo.


Y claro, no podían faltar las disculpas por la tardanza: “Es el tráfico, ya saben.” Y uno asienta con la cabeza como diciendo “Sí, lo sé, entiendo”. Pues ya qué.

Mientras prende la laptop del proveedor, aparecen entremezclados momentos incómodos de silencio, donde todos nos vemos unos a los otros. Alguien rompe el disgusto y habla del partido de ayer. Por fin enciende la laptop y disparan PowerPoint.


“Les vamos a mostrar un producto innovador, algo realmente nuevo que no han visto jamás”. Empiezan las diapositivas de la presentación y ¡oh sorpresa! Inician hablando de la relevancia de la empresa con el típico “¿Quiénes somos?”. Diez o quince minutos aprendiendo del fabricante del producto.

Bla, bla, bla. Me aburre. Muchos premios, muchos clientes ultra importantes como agencias de tres letras. Una sinfonía de maravillas. “¿Bueno, y qué hace el producto innovador?”, piensa uno. Sigue siendo un misterio.


Pasan a la diapositiva 21…creo que por fin hablarán del producto. Uy no. Ahora toca el turno de “la importancia de la seguridad informática para las empresas”.

Y no puede faltar la explicación de lo que es confidencialidad, integridad y disponibilidad. Como si no lo hubiera visto mil veces. Pues esta es la 1001. Seguido de por qué una empresa debe de atender los asuntos de ciberseguridad, y chorro-mil estadísticas de ataques informáticos alrededor del mundo y cientos de consecuencias negativas. Me aburre más, necesito café.


Ya han pasado casi 30 minutos. Todavía no sé qué hace ese producto maravilla. Veo caras de mis colegas de tipo “No pienso darles más de la hora asignada”; ¿Mmhh, o de hecho soy yo el único quien tiene esa cara? En fin. Y de pronto: habemus producto.

¡Empiezan a hablar de lo único interesante! Inician con la arquitectura del producto dentro de la infraestructura de TI. Para variar, la solución necesita un agente, un software instalado en cada una de las PC. Típico.

Otro agente más que debe ser instalado y mantenido en cada una de las computadoras; y pregunto de inmediato: “Y no pasa que luego de un par de meses, los agentes empiezan a desconectarse y esto es una pesadilla porque la consola central no los ve y no los puede administrar?” La respuesta llega en automático: “Claro que no, eso no le pasa a este producto, vaya pregunta”.


“Ajá, claro”, pienso yo. Y sigue la charla de cómo un agente establece comunicación con la consola central y cómo puedes hacer reportes con todo tipo de gráficas.


“Un momento”, interrumpe un colega. “Faltan 10 minutos para que acabe la sesión y todavía no sabemos qué hace el producto”. Yo río internamente, tiene mucha razón. Están por terminar y nadie todavía sabe qué hace ni cómo nos puede ayudar: han tenido la habilidad para hablar mucho y no decir nada.

Así es que por fin dejan de ver la pantalla con el PowerPoint, toman asiento, nos ven a la cara y hablan del producto.


“Detecta virus como ningún otro producto lo ha hecho”. Y uno piensa “Wow, tanto espectáculo para hablar de un vil antivirus?” Empiezan a hablar maravillas y de cómo apoya la misión y visión de toda empresa. De cómo los jefes nos felicitarán por la buena compra. Y que no hemos visto nada igual. Pero que no nos confundamos, porque este no es cualquier antivirus, y que de hecho es un grave error llamarlo antivirus porque es un “advanced APT detector” o ADD.  

Claro, no podía faltar el término obscuro en inglés para tratar de impresionar. Aquí puse el ejemplo de un supuesto antivirus, pero realmente pueden sustituirlo por cualquier otra herramienta de seguridad informática: firewall, IDS, etc.


Acaba el tiempo.  “¿Conclusiones?”, pide uno como cliente ya para dar por terminada la junta. Vomitan más adjetivos deslumbrantes del producto. Y yo pregunto: ¿Podemos hacer una demo, aquí en producción?” Al menos la respuesta es afirmativa.


Y resulta que después de varias semanas de armar un laboratorio donde probarán sus juguetes, sale el cobre: a final de cuentas no era un producto innovador. Ni avanzado en nada.

De hecho su consola está verde. Y el software presenta varias fallas. “Eso lo podemos arreglar de inmediato”, contestan, y uno piensa “¿Pues que no debería de servir ya a la primera si tan bueno es”?


En las presentaciones en PowerPoint todo es hermoso y funciona a la perfección. Las gráficas deslumbran y las animaciones cautivan.

La dama de ventas que asiste a la junta convence con su pura presencia. Hasta dan ganas de firmar y comprar ahí mismo; no hay lugar para esperar.

Pero como todo producto, hay que probarlo. Y no en un ambiente controlado, sino en “la vida real” donde lo enfrentaremos a los retos cotidianos y a la convivencia con otros productos de TI y claro, a los usuarios.

Ese es mi consejo: que un producto visto en PowerPoint pase la prueba del añejo instalándolo en computadoras e infraestructura de la propia empresa y que demuestre de qué está hecho.

Y por cierto, ya no recuerdo el último producto innovador y maravilloso que realmente fue así en la vida real, creo que fue de hecho hace ya varios años…

sábado, 30 de julio de 2016

Cómo desincentivar el uso de gestores de contraseñas

Una llave de oro abre todas las cerraduras.- Christoph Wieland

Desde hace años accedo a ese sitio en internet y siguiendo una de las recomendaciones de seguridad informática, uso una contraseña difícil de adivinar. Dado que este portal también pide token para acceder a él, mi contraseña no es demasiado compleja y tiene solo 10 caracteres. 


Recordemosun token genera contraseñas dinámicas diferentes cada vez que lo prendemos. Sirve como segundo factor de autenticación. 
También sigo otra sugerencia de seguridad informática: usar un gestor de contraseñas

¿Y eso qué es? Existen decenas si no es que cientos de contraseñas usadas por las personas para entrar a diferentes sitios en internet o en la empresa. Sin mencionar contraseñas del ruteador de la casa para entrar al WiFi, el de la computadora personal, etc. 

Los gestores de contraseñas son programas que las guardan para evitar recordarlas. Ese gestor pide una sola contraseña de acceso, pero con esa sola llave, me permite acceder al resto de llaves. Es como un llavero: colecciona la llave de Twitter, FaceBookGMail, etc. También un gestor permite usar diferentes contraseñas. 

Los gestores pueden de manera automática ponerlas cuando un sitio las pide, o bien, uno puede entrar al gestor y copiarla para pegarla en el portal. Ambas opciones son válidas. 

Mi sorpresa fue cuando ese sitio mencionado al inicio, de un día para otro impidió usar mi gestor. Intenté, como siempre, que el gestor detectara el sitio para poner de manera automática la contraseña: no sirvió. 

El portal estaba rechazando esta forma de ingresar la contraseña. ¿Cómo acceder ahora al sitio? Fácil, pensé; hay otra manera. Entro al gestor, copio la contraseña y la pego en la página de internet.

¿Qué sucedió esta vez? El portal rechazó pegar la contraseña: ni con las teclas (CTRL-V), ni con el menú del navegador...no hubo forma. "Increíble", pensé. Los encargados del sitio impidieron hacer esto en su página. 

¿Pero por qué? Imagino: Chavita, de seguridad informática, tuvo esta idea porque, según él, así es más seguro. No tenía muy clara la razón, algo leyó "por ahí" y un día lo propuso en la empresa: lo vendió como una "mejor práctica". Este argumento nunca falla. 

Durante la reunión, Chavita titubeó antes de decir palabra alguna, pero explicó: podría ser que un virus robara la contraseña al momento de copiar-pegar. También comentó: los usuarios podrían tener sus contraseñas en un archivo cualquiera en su computadora y de ahí copiar-pegar. Y eso no es seguro: tener una contraseña dentro de un archivo Word o Notepad sin protección. 

Notemos el uso de las palabras "podría ser". ¿Nunca expuso casos concretos o alguna referencia? No, con tan solo unir los conceptos de "mejores prácticas" y el famoso "podría ser", por arte de magia todos le creyeron. 

De inmediato le dieron la instrucción al encargado del sitio para impedir pegar contraseñas en el portal. Nadie cuestionó que los virus tienen otras varias formas de conseguir una contraseña, por ejemplo: cuando un usuario la teclea (con programas llamados keyloggers). 

Tampoco nadie comentó que los hackers desean robar cientos o  miles de contraseñas en un solo robo: un solo golpe maestro. Por eso centran sus esfuerzos en hurtar grandes cantidades de ellas de sitios de internet en lugar de robar una contraseña a la vez de cada equipo personal de los usuarios. 

¿Qué hago para acceder a ese sitio? A veces abro el gestor, memorizo un tramo de la contraseña y la escribo manualmente en el sitio y así de manea sucesiva hasta completar los 10 caracteres

Otras veces abro NotePad, pego ahí la contraseña y dejo la ventana del sitio y la ventana de Notepad abiertas al mismo tiempo para ir ingresando mi contraseña manualmente. Como dice Chavita que debe de ser. 

Pero Chavita no pensó en el esfuerzo para usar gestores de contraseñas porque tienen diversos beneficios. Y estos sitios que impiden el uso de copiar-pegar para contraseñas solo limitan y dificultan el uso de los gestores. 

A menos que encuentre trucos (busquen en internet: "Enable Copy-Paste in Web Pages That Disallow It"), haré lo indicado por Chavita respecto a la "mejor práctica" para evitar que una amenaza "pudiera" robarme mi contraseña. 

a ti Chavita te digo: de nada le serviría a esa amenaza tener mi contraseña. Porque cada vez que quiero entrar a tu sitio, también pide una contraseña dinámica única y diferente proporcionada por el token y solo yo lo poseo.