miércoles, 31 de diciembre de 2014

Predicciones anuales de seguridad informática

Leo predicciones de seguridad informática para el siguiente año. Léanlas, con la gran, gran mayoría de ellas se quedarán con un “¿Y luego qué”?

Varias no son predicciones sino que ya están sucediendo. Otras más suenan disparatadas sin base alguna y restaría por ver si las estrategias de seguridad deben de cambiar a partir de que se concreten.
 
Así es que tomar decisiones con base a predicciones no suena muy razonable; y si no se toman decisiones entonces se quedan más en el terreno de “información interesante, pero inútil”.
 
Mi alma está tranquila de que no soy el único que piensa así. Francamente, podríamos vivir cómodamente sin estas predicciones anuales de seguridad que tienen más el objetivo de llenar nuestro tiempo con datos insulsos.
 
Pero es un deporte que disfrutan varios en el campo de seguridad informática y dudo que vayan a dejar de aparecer cada fin de año; supongo que quien las hace se divierte y cree que aumenta su prestigio por haberlas creado. Ahora que lo pienso, supongo que voy a redactar mis predicciones de seguridad para aumentar mi perstigio.

lunes, 22 de diciembre de 2014

¿Se deben publicar datos robados?

A finales de noviembre del 2014, Sony fue atacado. Esta empresa dedicada al entretenimiento fue objeto de un gran robo de información. Asimismo, los atacantes se las arreglaron para borrar datos de las computadoras de Sony, dejando a los empleados sin poder trabajar normalmente.  


La información robada está siendo publicada en internet por los atacantes sin que los puedan detener, y de hecho hay incertidumbre sobre quién atacó a esta empresa.  

¿Quién es responsable?  
A finales de diciembre, el gobierno de EUA apuntó al gobierno de Corea del Norte como quien directa o indirectamente atacó a Sony y robó los datos. Sin embargo analistas de seguridad informática han puesto lo anterior en duda. La razón por la cual supuestamente Corea del Norte atacó a Sony es por una película que esta empresa iba a poner a disposición de los cines durante el mes de diciembre llamada The Interview, donde parte de la trama es el asesinato del líder de Corea del Norte, Kim Jong Un. 

Supuestamente, el líder de ese país enfureció y de ahí el ataque. Aunque como dije, hay quienes dudan de esta versión. Otros apuntan a que es parte de la estrategia continua de ese país para mantener un clima de tensión internacional en contra de ellos para cuestiones de propagando interna y mantener "enemigos que quieren destruir al país". 

¿Qué se robaron?   
Todo tipo de información. Hasta correos internos donde se pueden leer comentarios comprometedores de ejecutivos de Sony hablando mal del presidente Obama o de actores como Angelina Jolie. También el sueldo que dan a actores, o los esfuerzos de Sony por incrementar sus ventas así como sus estrategias. Asimismo, datos que revelan el enojo de Sony ya que según la empresa, Google no hace lo suficiente por eliminar de sus búsquedas diversos contenidos con derechos de autor. 

También robaron información de los empleados actuales de Sony y de los que ya no están laborando con ellos (números de seguro social, fecha de nacimiento, nombres y apellidos, números telefónicos, prestaciones, planes de jubilación, sueldo de ejecutivos, plan médico y hasta algunas copias de pasaportes). Y por si fuera poco, también robaron películas que todavía no se estrenan y los teléfonos y correos electrónicos de reconocidos actores. 

Sin mencionar cientos de contraseñas de servidores de Sony y de empleados. Cabe mencionar que antes de que saliera toda esta información a la luz, los atacantes intentaron chantajear a Sony con demandas que no han sido clarificadas aún. 

En fin, lo que hicieron los atacantes es extraer una gran cantidad de información y ya "con calma" la han estado analizando y poniendo disponible en internet.  

¿Es correcto publicar la información robada? 
A mediados de diciembre, Sony mostró su molestia y hasta dejando en el aire la posibilidad de demandar a los medios de comunicación que sigan publicando los detalles de la información robada. Por otro lado, hay quienes argumentan que es necesario mantener la libertad de empresa o que al estar publicando los detalles, otras empresas verán lo grave del asunto y elevarán su nivel actual de seguridad informática. 

En mi opinión, no es correcto publicar información robada. Finalmente, es información que no pertenece al público sino a una organización. Si el personal de seguridad de la información de las empresas hacen grandes esfuerzos por mantener protegidos los datos, es por algo. El argumento de que sólo así habrá otras empresas que tomarán medidas al ver la gravedad del robo, creo que no es válido. 

Tan simple como que a quien le robaron su información no es responsable de crear concientización en el resto de la industria; no es su papel y no tiene por qué hacerlo. Además de que si de lecciones hablamos, estimo que basta con saber el tipo de información robada para conocer su gravedad tal cual acabo de hacer hace unos párrafos arriba, y no es necesario saber los detalles y pensar que sólo así se crea conciencia. 
Así es que en esta situación estoy con Sony. 

La información robada es eso: información robada. Es como si un ladrón entrara a nuestra casa y sacara fotos de nuestros estados de cuenta, credencial del IFE, tarjetas de crédito, actas de nacimiento, pasaportes, propiedades, facturas de autos, certificados escolares y sacara fotos de nuestro domicilio. Y luego este maleante creara una página web donde pusiera toda esta información disponible para quien quisiera verla o guardarla en su computadora. Así es que como ven, no sólo está el hecho de que hayan forzado su entrada ilegalmente a nuestro domicilio. 

Creo que a nadie de nosotros nos gustaría que pusieran información personal y confidencial a disposición de todo mundo, no importa si son famosos o como yo, un simple ciudadano. Esa es información personal y nadie quiere que ande por ahí libre y disponible por internet. 

En conclusión, la información de las organizaciones no es pública, excepto la que por ley o normatividad así lo deba de ser; el resto no lo es, punto. Y nadie debe de publicar información robada, sólo por el simple hecho de que alguien más la hurtó. 

lunes, 1 de diciembre de 2014

No más seguridad, sino mejor seguridad

TechTarget me hizo el favor de publicar este artículo, espero lo disfruten.