Home Actualidad Cuando el miedo a lo desconocido pasa absurdamente a pánico injustificado

Cuando el miedo a lo desconocido pasa absurdamente a pánico injustificado

Actualidad

13 mayo, 2017

Ayer, los medios vivieron un episodio de esos en los que, claramente, el desconocimiento alimenta el pánico, y terminas hablando de supuestos ataques organizados y hasta de ciberguerra ante un simple virus que se esparce de manera completamente aleatoria y que no debería generar ningún problema si se tiene una mínima rutina de copias de seguridad.

El ransomware es un fenómeno ya muy antiguo: se infecta un equipo con un programa que cifra los contenidos del disco duro, y se reclama un rescate a través de algún medio de pago que permita cierto nivel de anonimato. La infección puede producirse a través de spam o por otros métodos, tratando de conseguir que el usuario abra un enlace que permita la descarga del programa, y buscando posteriormente otros equipos que infectar a partir de ese. Si esa infección se propaga en una red corporativa en la que los antivirus no estén a la última, bien por desidia o por plazos de verificación que a veces se imponen de manera rutinaria, lo único que hay que hacer, si se trata de un sitio serio, es desconectar los equipos infectados, eliminar la infección, recuperar el contenido de esos equipos del servidor de copias de seguridad, y a otra cosa. No hay más problema.

Que aparezca un virus de este tipo en una compañía no es nada infamante ni deshonroso: en cualquier sitio, por actualizadas que estén sus políticas de seguridad, puede ocurrir que una persona haga clic en un enlace o entre en una página que posibilite una infección. Hablando ayer sobre el tema con Marcos Sierra, de Voz Pópuli, que fue ayer el primero en reportar la infección de algunos ordenadores de la red de Telefonica, recurrí a la famosa frase de Gene Spafford, Spaf, que para mí sienta perfectamente bien las bases de lo que es la seguridad informática:

“The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards – and even then I have my doubts.”

(El único sistema verdaderamente seguro es uno que esté apagado, metido en un bloque de hormigón y sellado en una habitación aislada con plomo y con guardias de seguridad – y aún así, tengo mis dudas)

Hoy, Marcos me cita e incluye la frase en su noticia titulada “España no está preparada para una ciberguerra: hablan los expertos“, que no pretende ser un ataque a los protocolos de seguridad del estado español, sino una evidencia: nadie está realmente preparado para algo así. Si alguien tiene suficiente interés en atacar tus sistemas, será capaz de hacerlo. Lo peor que puede hacer es ponerte en la posición de ser un objetivo interesante: presumir ostentosamente de tu seguridad, desafiar a posibles atacantes o simplemente, ser un símbolo de algo puede convertirte en objetivo, y nadie puede superar un ataque específicamente diseñado para ello. Obviamente, esto no debe hacernos caer en el derrotismo y en el “para qué voy a protegerme”, sino todo lo contrario: debemos hacer todo lo que razonablemente esté en nuestra mano para evitarlo, pero sabiendo que el riesgo cero, sencillamente, no existe. Y si ocurre, lo que hay que hacer es ser transparente y arreglarlo lo antes posible, que fue ni más ni menos lo que ayer hizo Telefonica.

Pero lo importante, por supuesto, es entender las diferencias entre lo de ayer – una simple infección aleatoria que llegó a Telefonica y a otras empresas como pudo llegar al patio de mi casa, que es particular – y un ataque organizado, selectivo, o peor aún, una ciberguerra destinada a provocar daños concretos y a comprometer la disponibilidad de infraestructuras críticas. Nada de eso ocurrió ayer: no hubo “países afectados”, ni “empresas paralizadas”, sino una simple infección aleatoria que alcanzó a algunos equipos, y que solo provocó daños a quien careciese de rutinas de copia de seguridad, algo que desgraciadamente aún es habitual a algunos niveles, y que sí debería ser objeto de estudio. No hubo “ataque a tal o cual compañía”, ni información comprometida, ni peligro para los usuarios, ni nada por el estilo. Solo unos aprovechados intentando ganar dinero con la ignorancia ajena o a costa de quienes no tienen prácticas de seguridad mínimamente adecuadas. Mezclar términos de manera irresponsable al informar no es más que buscar el sensacionalismo y alimentar el pánico, algo nunca recomendable en ningún contexto. Y en seguridad, menos aún.

Puedes leer el artículo completo en: : Cuando el miedo a lo desconocido pasa absurdamente a pánico injustificado