Hackear al hacker. Roger A. Grimes
Читать онлайн книгу.
tanta experiencia y capacidad que muchas introducciones se refieren a él como «lumbrera de la industria». Empezando por que mucha gente lo llama «padre de la criptografía informática moderna», Schneier trascendió su enfoque centrado inicialmente en el cifrado para preguntar en voz alta por qué la seguridad informática no es extremadamente mejor después de todas estas décadas. Habla con autoridad y claridad sobre una amplia variedad de temas de seguridad informática. Lo invitan con frecuencia como experto a programas de televisión nacionales y ha testificado en varias ocasiones en el Congreso de los Estados Unidos. Schneier escribe y redacta blogs, y yo he considerado siempre sus enseñanzas como un máster informal en seguridad informática. Yo no sería ni la mitad de profesional de la seguridad informática de lo que soy ahora sin sus enseñanzas públicas. Él es mi mentor no oficial.
Schneier es conocido por decir cosas extremadamente sencillas que llegan al corazón, y a veces a las tripas, de una creencia o dogma sostenido. Por ejemplo: «Si te centras en los ataques SSL, estás haciendo más por la seguridad informática que el resto del mundo». Lo que quiere decir es que hay tantas otras cosas, mucho más a menudo explotadas con éxito, de las que preocuparse que, si realmente te preocupa una explotación SSL que ocurre raramente, ya debes haber solucionado previamente todo lo demás, más importante. En otras palabras, tenemos que priorizar nuestros esfuerzos en seguridad informática en lugar de reaccionar ante cualquier nueva vulnerabilidad anunciada (y a veces nunca explotada).
Otro ejemplo de cosas que ha comentado es que los que se dedican a la seguridad informática se molestan cuando los empleados no se toman en serio la seguridad de las contraseñas. En lugar de eso, muchos empleados utilizan contraseñas débiles (cuando está permitido), utilizan la misma contraseña en distintos sitios web no relacionados (así están pidiendo a gritos que les hackeen) y muchas veces dan sus contraseñas a amigos, compañeros de trabajo e, incluso, extraños. Nos sentimos frustrados porque nosotros conocemos las posibles consecuencias para el negocio, pero el usuario no entiende el riesgo que corre la empresa cuando utiliza políticas de contraseñas débiles. Lo que Schneier enseñaba es que el usuario evalúa las contraseñas en base al riesgo que puede sufrir él mismo. Pocas veces un empleado es despedido por utilizar políticas de contraseñas erróneas. Incluso si un hacker roba los fondos bancarios de un usuario, estos son reemplazados de inmediato. Schneier nos ha enseñado que somos nosotros, los profesionales en seguridad informática, los que no entendemos el riesgo real. Y hasta que este riesgo real no cause un daño al usuario, este no cambiará su comportamiento de forma voluntaria. ¿Cómo puede ser que tú seas el experto en un tema y que sea el usuario quien entienda mejor el riesgo?
Es el autor de más de 12 libros, como Applied Cryptography: Protocols, Algorithms and Source Code in C [Criptografía aplicada: protocolos, algoritmos y código fuente en C], escrito en 1996. Aunque ha escrito otros libros de criptografía (incluidos un par con Niels Ferguson), hace tiempo Shcneier empezó a decantar su interés hacia por qué la seguridad informática no mejora. El resultado fue una serie de libros, en los cuales exploraba las razones no técnicas (de confianza, económicas, sociales, etc.) de la continua debilidad. Estos libros están llenos de teorías fácilmente comprensibles e ilustradas con ejemplos. Estos son mis libros favoritos de interés general de Schneier:
■ Secrets and Lies: Digital Security in a Networked World [Secretos y mentiras: seguridad digital en un mundo conectado]
■ Beyond Fear: Thinking Sensibly About Security in an Uncertain World [Más allá del miedo: pensar con sensatez sobre la seguridad en un mundo incierto]
■ Liars and Outliers: Enabling the Trust that Society Needs to Thrive [Mentirosos y valores atípicos: habilitar la confianza que la sociedad necesita para prosperar]
■ Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World [Datos y Goliath: las batallas ocultas para recoger información y controlar el mundo]
Si quieres entender realmente la seguridad informática, por qué no es mejor y sus problemas inminentes, debes leer estos libros. También debes leer el blog de Schneier (https://www.schneier.com/) y suscribirte a su newsletter mensual Crypto-Gram (https://www.schneier.com/crypto-gram/). Existe una marcada diferencia en la calidad de aquellos que leen con regularidad a Schneier y los que no lo hacen. Su estilo de escritura es accesible y entretenido, y no soporta a los proveedores de seguridad «falsa». Sus últimas entradas de la serie denominada «Doghouse» contra criptofraudes son lecciones en sí mismas. Escribe con regularidad sobre los temas más importantes del día.
He entrevistado a Schneier en varias ocasiones durante años y, a veces, las entrevistas pueden ser intimidadoras para el entrevistador. No porque sea difícil (que no lo es) o porque hable por encima de ti (que no lo hace), sino porque él a menudo intenta que el entrevistador siga sus propias creencias y suposiciones preconcebidas hasta el final. Si no entiendes algo o no estás de acuerdo con él, no intenta de inmediato desmontar tu argumento. Al contrario, te irá preguntando poco a poco con un estilo interrogativo, dejando que tus respuestas te lleven hacia la conclusión final. Schneier siempre enseña, incluso cuando lo están entrevistando. Te das cuenta de que ya ha pensado antes en estas preguntas y que ya ha debatido sobre esos asuntos mucho más de lo que tú hayas hecho. He intentado tomar prestado algo de esta técnica de autointerrogación cuando pienso en mis creencias fuertemente arraigadas.
Le pregunté a Schneier cómo empezó a interesarse por la seguridad informática. Me contestó: «Siempre me han interesado las matemáticas y los códigos secretos, la criptografía. Mi primer libro, Applied Cryptography [Criptografía aplicada], acabó siendo el libro que me gustaría haber leído. Pero a mí siempre me ha gustado mucho llevar la contraria. Me di cuenta de que la tecnología no era el problema más grande, sino que el mayor problema son los humanos o las interficies que interactúan con los humanos. Los problemas de seguridad informática más complicados no están relacionados con la tecnología, sino con cómo utilizamos la tecnología con todos los aspectos sociales, políticos y económicos relacionados con la seguridad informática. Yo paso mucho tiempo pensando en los usuarios de alto riesgo. Tenemos la tecnología para protegerlos, pero ¿podemos crear soluciones útiles que no les impidan hacer su trabajo? Y aunque así fuera, nunca los convenceríamos de que las usaran».
Le pregunté qué pensaba de las recientes filtraciones internas de algunas agencias de inteligencia americanas. Dijo: «En todos esos datos, no había muchas sorpresas, como mínimo para aquellos que estamos atentos. Lo que sí evidenció fue confirmación y detalle, y este detalle sí era sorprendente. El secreto es sorprendente. Yo no digo que todo lo que ha ocurrido podría haber sido evitado si hubiéramos tenido más conocimientos, pues en el mundo de después del 11-S, todo cuanto hubieran pedido habría sido aprobado. Por lo tanto, lamentablemente, todo cuanto se hizo no ha generado un gran cambio, como mínimo de inmediato. Se aprobó una ley menor (que impedía la recogida masiva de metadatos en todas las llamadas de teléfono americanas por parte de la NSA [Agencia de Seguridad Nacional]). Pero sí que trajo una vigilancia gubernamental a la arena pública, lo que hizo cambiar algunas percepciones públicas. Ahora la gente conoce el tema y se preocupa. Puede pasar otra década hasta que este impacto se note, pero eventualmente la política cambiará para bien gracias a ello».
Le pregunté a Schneier cuál creía que era el mayor problema en seguridad informática y me dijo: «¡La vigilancia corporativa! Son las empresas, más que los Gobiernos, las que quieren espiar. Son Facebook y Google quienes espían a la gente contra sus propios intereses, y el FBI puede exigir una copia tanto si las empresas quieren darla o como si no. El capitalismo de vigilancia es el verdadero y fundamental problema».
Le pregunté a Schneier en qué libro estaba trabajando (él siempre está trabajando en algún libro). Y me contestó: «Estoy pensando en un posible nuevo libro que trate los problemas físicos en la ciberseguridad como el Internet de las cosas, y cómo puede cambiar todo si los ordenadores se vuelven peligrosos. Una cosa es que una hoja de datos tenga una vulnerabilidad y se cuelgue o corra peligro. Y otra cosa es cuando se trata de tu coche. La seguridad informática débil puede matar