Entre el mundo digital y la paranoia.

Paul Baran fue uno de los padres de la invención de la conmutación de paquetes durante los años sesenta. Este ingeniero polaco, aunque estadounidense de adopción, argumentaba que un sistema de comunicaciones descentralizado, con muchos enlaces redundantes, podría ayudar a los Estados Unidos a recuperarse de un potencial ataque nuclear soviético.

El nuevo modelo chocaba frontalmente con la arquitectura centralizada de comunicaciones que dominaba aquella época, basada en la conmutación de circuitos. En ella, los paquetes de información se enviaban ordenadamente a través de una ruta en la red que no volvía a estar disponible hasta que terminara la transmisión.

La clave de la nueva estrategia de Baran estaba en que cada paquete de información era enviado a través de la ruta óptima en el momento de la transmisión. De este modo, los paquetes de un mensaje podían tomar diferentes caminos, ya que cada uno podía escoger la ruta más eficiente de forma independiente. La penalización que había que pagar era que los paquetes debían ser reordenados al alcanzar su destino. Sin embargo, la tecnología de conmutación de paquetes hacía un uso más eficiente de la red y dificultaba la interceptación del mensaje completo ante un potencial adversario. Además, los fallos puntuales en las líneas de comunicación no provocaban la caída global del sistema.

Ilustración simplificada de una red de conmutación de paquetes.

«Viviremos pronto en una era en la que no podremos garantizar la supervivencia de un solo nodo. Sin embargo, todavía podemos diseñar sistemas en los que la destrucción del sistema requiere que el enemigo pague el precio de destruir n de n estaciones. Si conseguimos que n sea lo suficientemente grande, puede demostrarse que es posible crear sistemas con una estructura muy duradera…».

Paul Baran. On Distributed Communications, Volume I, 1964.

La tecnología de conmutación de paquetes, aunque desestimada inicialmente por grandes empresas, como AT&T, fue adoptada por el Departamento de Defensa de EE. UU., que la usó como base para crear la red ARPANET(Advanced Research Projects Agency Network), que a su vez acabó sentando las bases de Internet.

De algún modo, Internet nació de la necesidad de asegurar la disponibilidad de un canal de comunicaciones en plena guerra fría. Y la disponibilidad es uno de los tres pilares principales de la Seguridad de la Información. Los otros dos son la confidencialidad y la integridad.

Yo llegué a la seguridad informática a través de la programación. Trabajaba colaborando en el desarrollo de un programa de simulación escrito en C++ para una pequeña empresa de Madrid. El objetivo era poder llevar a cabo análisis probabilísticos de riesgo en base a modelos de simulación de centrales nucleares. En una central nuclear, afortunadamente, la seguridad se tiene en cuenta desde las especificaciones de diseño de la misma. La mayoría de las señales de control y los circuitos están redundados siguiendo, de algún modo, el patrón de descentralización que inspiró a Paul Baran.

Sin embargo, nosotros queríamos estudiar qué dinámicas de evolución de la planta podíamos obtener en base a fallos de actuación en los cierres de una válvula, o fallos en las acciones manuales de un operador. La seguridad era interesante en sí misma, como un pilar esencial en la ingeniería del sistema, como un valor esencial en la calidad del producto.

Y entendí entonces que los sistemas de información sobre los que se basaba cada vez más el mundo no podían quedarse atrás. Era necesario pensar en la seguridad desde el diseño.

Incluso la libertad en Internet depende de su naturaleza descentralizada.

Así llegué a la seguridad informática.

Once años después de aquel momento, he tenido la oportunidad de trabajar en muchos proyectos de seguridad informática y seguir aprendiendo. Esa es una de las cosas que más me gusta, seguir aprendiendo; entender cómo funciona un sistema para saber por dónde se puede romper. Y en base a eso pensar en las medidas que mejor mitigan el riesgo sin sacrificar la operativa a nivel funcional —o al menos no del todo, casi todo tiene un precio en esta vida…—. Porque una cosa me ha quedado clara durante todos estos años, un eterno mantra que me recuerdo a menudo: nuestra misión en seguridad es reducir las probabilidades de compromiso del sistema; subir la barra de las defensas un poco más. En ocasiones es a lo máximo que podemos aspirar. Tenemos que defender muchas puertas —algunas ni siquiera las conocemos— durante todo el tiempo… Un atacante tendrá éxito explotando una vulnerabilidad si una sola de esas puertas es vulnerable en un momento dado. Solo es cuestión de tiempo y probabilidad…

No existe la seguridad absoluta.

A menudo solemos sobrestimar las medidas de seguridad que utilizamos en nuestra vida digital. Por poner algunos ejemplos:

• La efectividad de los antivirus es muy limitada. Al final queremos que ese vídeo de Youtube, que tanto nos gusta, vaya con alegría en nuestro navegador. Queremos tener doscientas pestañas abiertas y queremos tener instalado —como todo hijo de vecino— el Photoshop en el ordenador. Un antivirus es una barrera más, pero al final tiene que dejar funcionar al ordenador. No va a analizar ese PDF de 200Mb que te has bajado con imágenes de alta resolución. Y, en el mejor de los casos, detectará un tercio de las amenazas.
• Las contraseñas han demostrado ser una barrera de entrada bastante baja. «123456» sigue liderando la mayoría de los rankings de debilidad en las contraseñas.
• Internet no fue diseñado para ser seguro. Como hemos comentado, en su diseño primaba la disponibilidad. Pero la confidencialidad y la integridad de la información de los internautas —más de cuatro mil millones a día de hoy— no estaba entre las especificaciones de diseño.
• A menudo las configuraciones son inseguras por defecto. Seguramente el router que te mandó tu proveedor de servicio de Internet tenga algunos usuarios por defecto con contraseñas predecibles. De este modo se facilita la gestión de una miríada de dispositivos esparcidos por todo el mundo.
• La seguridad de una cadena es la seguridad de su eslabón más débil, y ese, a menudo, somos nosotros. Los que nos sentamos en frente de la pantalla del ordenador. Cuando recibes un correo —que hasta puede proceder de un contacto de tu agenda— con un adjunto que llama a tus instintos más primarios, estás a un clic de distancia de comenzar a compartir tu ordenador con unos tipos que ni siquiera conoces —ni conocerás— nunca.
• Y sí, siempre habrá gente que diga: «Yo es que no tengo nada que ocultar, no tengo información interesante para nadie». En tu casa probablemente tampoco tienes nada que ocultar, seguramente no tienes papeles secretos de la contabilidad B de ninguna empresa, y sin embargo tomas algunas medidas para que no entren en tu casa. La diferencia es que en Internet, las puertas de tu casa digital están disponibles las veinticuatro horas del día durante los 365 días del año. El tipo que roba no necesita esperar a que te vayas de vacaciones para comenzar a probar tus cerrojos digitales.

Algunas ideas que pueden ayudar:

• Mantén tu equipo actualizado. Sí, sé que actualizar saca de los nervios a casi todo el mundo. Sé que prefieres dejarlo para otro momento. Pero es muy importante si quieres mantener la seguridad de tu equipo. Por eso, nunca uses sistemas operativos ni programas que no dispongan de soporte para actualizaciones de seguridad. Y sí, no deberías seguir usando ese viejo ordenador con Windows XP. Es mejor que le des una nueva vida con alguna distribución ligera de Linux.
• Sentido común. No abras adjuntos desconocidos o no esperados en el correo. Bloquea la carga de contenido externo en tu cliente de correo favorito.
• No trabajes en el día a día ni navegues con la cuenta de administración. La cuenta de administración está para administrar, no para las tareas del día a día, como navegar o consultar las redes sociales.
• Elimina Flash de tu equipo. Existen alternativas basadas en HTML5 compatibles con cualquier navegador. Si tu equipo es un portátil también ahorrarás batería.
• Desinstala Java si no lo utilizas. O al menos deshabilita el plugin del navegador. Lo dicho, si no lo usas elimínalo. Una cosa menos que actualizar y mantener.
• Utiliza un gestor de credenciales. Usa contraseñas no predecibles y nunca reutilices tus credenciales en diferentes servicios. Salvo que tengas una memoria muy por encima de la media, para cumplir estas dos condiciones necesitarás un gestor de contraseñas. KeePass puede ser una buena alternativa.
• Haz copias de seguridad frecuentes. Nunca sabes cuando las necesitarás. Es tiempo y almacenamiento bien invertido.
• Utiliza un segundo factor en las páginas web que lo permitan.
• Ojo con los USB. Piensa en alternativas de compartición de archivos, como DropBox o Drive, antes de que ese gran amigo tuyo inserte su USB en tu equipo para enseñarte las fotos de sus vacaciones en Benidorm.
• Compra solo en páginas web servidas a través de HTTPs. Fíjate que aparece el candado y el https en la barra de direcciones. Nunca ignores las advertencias del navegador en páginas donde vayas a realizar pagos.
• Usa un bloqueador de JavasScript en tu navegador. En Firefox existe NoScript, que funciona muy bien.

Esta lista no pretende ser completa ni exhaustiva; es simplemente un conjunto de buenas prácticas que pueden ayudar a evitarnos algunos problemas en nuestro día a día. En la página web del Instituto Nacional de Ciberseguridad de España (https://www.incibe.es/) tienes un montón de información muy útil acerca de alertas de seguridad y guías para un uso más seguro de Internet.

Referencias:

https://www.washingtonpost.com/graphics/national/security-of-the-internet/history/

https://en.wikipedia.org/wiki/Packet_switching

http://www.nytimes.com/2011/03/28/technology/28baran.html

http://history-computer.com/Internet/Birth/Baran.html

https://www.itnews.com.au/news/123456-tops-list-of-worst-passwords-again-480378

https://arstechnica.com/information-technology/2017/01/antivirus-is-bad/

Créditos:

• Imagen 1: De Oddbodz — Trabajo propio, CC BY-SA 3.0,
• Imagen 2: Photo by DFectuoso on Foter.com/ CC BY-NC