Lo que podemos aprender de Heartbleed

Ponemos demasiada confianza en Internet. Y tenemos que entender que los productos y las soluciones de seguridad son un complemento a una mentalidad segura.

Heartbleed Jacoby

Mi trabajo no sólo implica analizar malware y vulnerabilidades o hablar de las últimas amenazas de seguridad; una parte importante es tratar de explicar y educar a los usuarios sobre cómo construir la seguridad. Al hacer esto, algunos de los principales aspectos en los que realmente pongo énfasis son la necesidad de realizar copias de seguridad, la protección contra códigos maliciosos, mantener nuestros sistemas actualizados con los últimos parches de seguridad y, por supuesto, el uso de cifrado. Estoy bastante seguro de que ya has oído todo esto antes, ¿no?

Pero, ¿qué hacemos cuándo es el software de seguridad que usamos para mejorar la seguridad el que se vuelve vulnerable y deja entrar a los cibercriminales?

Esto es un tema muy discutido ahora mismo, sobre todo desde que el ataque Heartbleed de OpenSSL se hiciera público hace unos días. Decidí hacer este post un poco más personal porque estoy bastante seguro de que en este momento ya puedes encontrar toneladas de artículos sobre SSL y el ataque Heartbleed. Querría compartir algunas reflexiones personales sobre la razón por la que estos tipos de vulnerabilidades son tan críticos para nosotros.

Antes de empezar a hablar sobre el ataque de Heartbleed, creo que es importante mencionar que la mentalidad que tenemos hoy en día cuando evaluamos productos y soluciones de seguridad es incorrecta. La manera con la que evaluamos los productos o las soluciones de seguridad es mirando a las funciones y características, y si estas se ajustan a lo que nosotros queremos lograr, entonces las elegiremos.

El problema es que solemos olvidar todas esas cosas que un producto o solución de seguridad no hace por nosotros. Tenemos que entender que los productos y las soluciones de seguridad son complementos a una mentalidad segura.

¿Por qué estoy hablando de esto con respeto a la vulnerabilidad Heartbleed de OpenSSL? Creo que todos asumimos en general que Internet funciona, y que es una plataforma segura. Usamos Internet para cosas muy personales, para conocer personas, comprar cosas, comunicarnos, gestionar nuestras finanzas y para muchas otras cosas. El problema con Internet es que, cuando algo va mal, puede volverse muy feo en muy poco tiempo.

Un gran problema con Internet es que está muy fragmentado. Algunos recursos en línea tienen una seguridad extrema y una infraestructura muy sólida, mientras que otros recursos han sido olvidados y son muy frágiles y vulnerables. También hay páginas web que aunque consideramos muy seguras y robustas tienden a ser vulnerables debido a la cantidad extrema de las dependencias de los sistemas. Es imposible proteger cada uno de los componentes en nuestros sistemas de TI.

Cuando algo va mal con su infraestructura, Internet puede volverse muy feo en muy poco tiempo

Cuando usamos Internet tenemos que asumir lo peor, y actuar acorde con esto. El problema es que también usamos recursos fuera del mundo de Internet en los que confiamos, sistemas médicos, gobiernos y otros; y todos ellos usan Internet. Así que cuando pasa algo tan importante como la vulnerabilidad Heartbleed, el efecto es enorme.

Es bastante difícil predecir la extensión del ataque Heartbleed, y cuáles serán sus efectos cuando los tipos malos empiecen a aprovecharse de esta vulnerabilidad. Pero imagínate que alguien pudiera hacer copias de las llaves de todas las cámaras acorazadas de los bancos de todo el mundo. A primera vista sería horrible, ¿pero no dependería de lo que está dentro de esas cámaras?

Espero que no veamos otra vulnerabilidad de seguridad como ésta en el futuro próximo, porque estaremos ocupados por bastante tiempo con Heartbleed. Pero tenemos que recordar que el software es solamente software y que siempre habrá vulnerabilidades en ellos. También tenemos que empezar a entender que incluso si usamos copias de seguridad, cifrado, protección contra códigos maliciosos, seguimos teniendo datos sensibles, datos que pueden ser robados. Y si alguien roba estos datos, tenemos que hacer todo lo que haya en nuestras manos para que estos datos sean lo más inútiles posibles para la persona que los obtenga.

Consejos