Seguridad
Si buscamos la palabra “Seguridad” en el diccionario de la RAE, hallaremos como primera acepción “Cualidad de seguro”, mientras que si buscamos “Seguro” la primera respuesta será “Libre y exento de todo peligro, daño o riesgo”. ¿A que viene esta lección de vocabulario castellano? Pues porque en ocasiones, a base de repetir términos, acabamos por perder la claridad de lo que dichos términos significan o reflejan.
La seguridad es, por tanto, la exención de riesgos. Sin embargo, en nuestro día a día hay muchos mecanismos de seguridad que tratan de protegernos de estos riesgos aunque, en ningún caso, consiguen librarnos del todo de ellos. Por ejemplo, un dispositivo como el ESP, que viene de serie con muchos coches, suele también traer un botón para desactivarlo y dejar al conductor del vehículo “regular” su nivel de seguridad, usando en este caso su libertad y, sobretodo, su buen juicio para evaluar si es el momento de desactivar dicho sistema. El propio acelerador del coche sirve para ir más o menos rápido y, por tanto, ponernos en más o menos riesgos, entrando en la ecuación las condiciones de la carrera, el volumen del tráfico, las climatología, etc. Por tanto, de nuevo la seguridad es algo que empieza por uno mismo, por la propia “inteligencia” a la hora de medir los riesgos asumibles y los innecesarios. El mero hecho de subirse a un coche implica un riesgo pero, por otra parte, sería absurdo no utilizar ninguno por existir dicho riesgo. No sería una forma de vida aceptable para nadie.
En general, cada uno es responsable de saber qué actos debe acometer y cuales no para no asumir un riesgo excesivo; cada uno sabe hasta donde debe cubrirse con mecanismos de seguridad y cuando debe exponerse un tanto si no quiere vivir como un vegetal. Son muchas las campañas que tratan de concienciarnos sobre diferentes comportamientos que pueden ponernos en peligro para que, en caso de hacerlo, lo hagamos de la forma más responsable e inteligente posible, arriesgándonos lo mínimo indispensable. Tenemos campañas sobre el tabaquismo, el alcohol, la conducción, las prácticas sexuales, la ingesta de comida basura, etc. Todas ellas inciden en el ser humano como responsable único y final de su propia seguridad y, claramente, apuestan por la educación como mejor forma de prevención de los errores a la hora de evaluar lo que se debe hacer y lo que no.
Pero existe un dominio en el cual se pretende que no sea el ser humano el que tome sus decisiones y el que decida qué debe hacer y qué no. Existe un ámbito en el que se pretende reducir la inteligencia y los conocimientos de los participantes a un nivel que podríamos llamar de “ignorancia” y, a partir de ahí, construir medidas que, más que protegerles de los peligros circundantes, les proteja de su propio desconocimiento, asumido como pandémico. Este dominio, esta disciplina, es la informática.
Hoy leía en Kriptópolis una noticia sobre un informe de Inteco en el cual se afirma que el 72% de los ordenadores controlados tienen algún tipo de malware o software malicioso. La mitad (es decir, un 36%) es malware de “alto riesgo”, lo cual se cataloga si está en riesgo la integridad del equipo o la seguridad y/o privacidad de los datos. Entiendo que el otro 36% debe ser poco importante, puesto que dentro de “alto riesgo” entran todas las formas de amenaza que a mí, personalmente, me preocupan.
El autor de dicho artículo continúa diciendo: “la causa fundamental de esta situación tan pavorosa, que amenaza el desarrollo de la Red y daña la confianza en ella de los ciudadanos…”. Esta frase me parece una exageración total y absoluta. Primero, que un 36% de los ordenadores tenga este malware es un porcentaje que, aún siendo alto, tampoco es como para rasgarse las vestiduras. Segundo, que esto suponga una amenaza para el desarrollo de la Red… en fin, creo que la Red goza de una salud más que buena y las únicas amenazas que le acechan todos sabemos cuáles son. Y tercero, que dudo mucho que esos usuarios que tienen sus ordenadores infestados de “bichos informáticos” vayan a leer el informe de Inteco o tengan pensando pasarse por Kriptópolis, por lo que es poco probable que se alarmen por las cifras y vean su confianza en la Red dañada.
Pero la noticia no acaba ahí, leyendo un poco podemos ver como el autor señala directamente a la preponderancia de Windows como causa de este problema, dando a entender que si la variedad de sistemas operativos fuera mayor, no existiría esta situación. Yo creo que, partiendo de que Windows controla entorno a un 90% de los ordenadores actuales, no está tan mal que dada la IGNORANCIA de la gente en cuestiones informáticas, sólo un 36% estén infectados gravemente. Creo incluso que es como para aplaudir que una compañía que recibe críticas diarias sobre la inseguridad de sus productos y unos usuarios que son, en muchas ocasiones, auténticos neófitos que no distinguen la izquierda de la derecha, informáticamente hablando, sólo exista una tercera parte de equipos contagiados por alguno de los miles o millones de formas de programas maliciosos que circulan por la Red.
Por tanto, me parece que usar este informe como vehículo para dar rienda suelta a mis gustos particulares sobre sistemas operativos, como ha hecho el webmaster de este afamado portal de seguridad, es un error. Habría que mirar un poco más y ver cuál es la verdadera raíz del problema informático, de la falta de seguridad, de los ordenadores infectados o zombies, de la insatisfacción que a mucha gente le crean los sistemas operativos que prueba, sea cual sea.
El problema para mí es la falta de educación, la falta de conocimientos. Si la mayoría de campañas destinadas a concienciar a la gente sobre los peligros de afrontar riesgos innecesarios en muchas facetas de la vida, como se comentaba al principio del post, se basan en la educación y la concienciación, ¿por qué en la informática vamos a volvernos contra el fabricante? ¿Acaso lo hacemos en la industria del automóvil, señalando a Citroen, Peugeot, SEAT, BWM, Renault, etc, como parte principal en los muchos accidentes que ocurren en nuestras carreteras?
Me parece que en lugar de pretender que existan sistemas infalibles, lo cual es una utopía, sería más útil buscar que la gente sepa cada vez más y mejor qué debe y qué no debe hacer con un ordenador. Esa seguramente sea la clave de muchos de los éxitos de seguridad de plataformas no-Windows, el hecho de que sus usuarios no sean ignorantes en este tipo de cuestiones. Hoy no hay muchos virus para, por ejemplo, GNU/Linux pero el día de mañana, si pasara a tener un 50% de cuota de mercado y sus usuarios supieran lo mismo de ordenadores que saben muchos de los usuarios de Windows, ¿qué podría evitar que un novato, navegando con la cuenta de root por la red, descargara y ejecutara un binario de internet que le hiciera un “rm -rf /” ? Hoy en día no nos planteamos algo así porque partimos de la base de que aquellos que usan este tipo de sistemas “minoritarios” saben lo que hacen. Es por ahí por donde tenemos que empezar a trabajar si queremos elevar el nivel de seguridad global.
Mientras empezamos a hacer esto, podemos seguir criticando al sistema operativo de referencia y culpar a una empresa de los males de Internet, porque es mucho más fácil que culpar a los usuarios de su ignorancia. Me recuerda a ese dicho del fútbol: “es más fácil cambiar al entrenador cuando los resultados no salen, que a los 22 jugadores de la plantilla”.
¿Acaso lo hacemos en la industria del automóvil, señalando a Citroen, Peugeot, SEAT, BWM, Renault, etc, como parte principal en los muchos accidentes que ocurren en nuestras carreteras?
Lo hariamos si fuesen los coches los que fallasen y por ello tuviesemos un accidente. La realidad es lo contrario, los coches suelen funcionar “demasiado” bien, alcanzando velocidades de 180km/h sin demasiado esfuerzo. La gasolina y los equipos de musica (que corresponderian al software de terceros) tampoco fallan y por eso no se culpa a esos fabricantes. El ejemplo no es muy acertado, siento decirtelo.
no está tan mal que […] sólo un 36% estén infectados gravemente. Creo incluso que es como para aplaudir […]
Pues hombre, yo lo veo más que preocupante. Imaginate que las empresas que fabrican alimentos no pusieran medidas para evitar que estos se llenasen de bacterias y se pusieran malos. ¿No iriamos contra las compañias? ¿Nos conformariamos con culpar a los clientes de no haber hecho un analisis en los huevos para ver si tenian salmonela o de oler la pechuga de pollo a ver si parecia estar un poco chunga?
Además, la situación de la seguridad en la informatica es especialmente preocupante cuando la ignorancia de la gente se mezcla con la poca proteccion de algunos sistemas operativos y se hacen publicos datos como los sumarios que tenia un juez en el ordenador de su casa, la informacion sobre sus clientes que tenia un agente de seguros en su portatil, la lista de pacientes de un oncologo o las entrevistas que una sexologa hizo el mes pasado.
Efectivamente deberia haber campañas de educacion en seguridad informatica pero eso no quita de responsabilidad a los fabricantes de sistemas operativos que venden sus productos sin todas las garantias que deberian. Que un 36% de los ordenadores del mundo tengan malware peligroso es extremadamente preocupante, no entiendo como le puedes quitar hierro a un asunto tan grave.
Comment by Luther Blissett — May 13, 2007 @ 9:20 pm
Iremos por partes, como de costumbre
1.- El ejemplo está bien como está, eres tú el que no lo has cogido por donde es. No intento equiparar a software y automóviles como “medios que cometen errores”. Intento hacer ver que los automóviles nos dan libertad para arriesgarnos y para hacer las cosas mal, y que sigue siendo así. Que la DGT se vuelca con campañas de concienciación para que la gente haga un uso responsable de sus coches, en lugar de hablar con los fabricantes y obligarles a que los coches no pasen de 140 km/h. Y que en aras de dicha libertad, si alguien se paga una hostia a 200 km/h no se gira la cabeza hacia BMW y se le piden responsabilidades de porqué sigue permitiendo que sus coches alcancen esas velocidades, puesto que se entiende que el culpable es aquel que hizo mal uso de la posibilidad. En el software, en cambio, pretendemos limitar lo máximo posible la libertad de los usuarios no dejándoles hacer nada que pueda ser “peligroso” para ellos, con la idea de que como son ignorantes, se van a “hacer daño” ellos solos; en su lugar, sería preferible que la gente aprendiera lo que debe o no hacer.
2.- Siento decirte que ahora el que no ve claro tu ejemplo soy yo. Lo voy a reformular: si yo soy una industria alimenticia y empaqueto una lechuga correctamente, te digo que no la abras y la expongan a la luz si no quieres que se joda, y tú decides hacer exactamente eso, ¿irías contra la empresa por haber envuelto la lechuga en un sistema que permitiera su exposición a la luz solar? ¿les obligarías a colocar un cartel enorme en medio de la lechuga avisando una y otra vez de que no hagan eso? ¿o darías por supuesto que si alguien no quiere hacer caso de las advertencias porque se la suda, no va a haber forma humana de evitar que se joda la lechuga?
Un 36% de ordenadores del mundo tiene malware porque la gente usa un ordenador como si fuera una lavadora, es decir, tocando botones y sin “leerse las instrucciones”. Tú mismo estoy seguro de que has usado aparatos eléctricos sin leerte las instrucciones, simplemente con el clásico “ensayo y error” y seguramente esa también fue tu primera aproximación a la informática (todos hemos borrado algo y luego nos hemos dado cuenta de que no sabemos que hemos hecho). Contra esa inercia del ser humano sólo cabe la concienciación de que se debe saber qué se hace antes de usar un ordenador para algo medianamente serio (como los casos que acabas de exponer) y que cuanto más grave sea la consecuencia del mal uso, más necesario es que quien maneje la máquina tenga los conocimientos necesarios. Si para conducir un coche hay que pasar un examen, ¿es más sencillo acaso “conducir” un ordenador? No digo que ahora todo el mundo se tenga que examinar para usar un pc, pero sí que aquellos que vayan a usar un pc para algo “importante” como lo que propones, deberían acreditar unos conocimientos mínimos que, seguramente, no posean.
Y sí, me preocupa el tema, pero me preocupa más que un referente como el admin de Kriptópolis lo aproveche para hacer su muy muy repetido discursito contra Microsoft. Por favor, que se renueve ya, que después de las mil noticias negativas contra Vista, parece que no se le acaba el carrete.
Comment by Administrator — May 13, 2007 @ 10:28 pm
Bueno de todo esto una cosa está clara, ese 36% no corresponde a sistemas *nix, porque no alcanzan el 1% de la cuota de mercado asi que no preocuparse talibanes varios…
Na está claro que la seguridad es una tarea pendiente en el mundo del software, pero sobre todo como dice el jefe aqui, lo que mas importa es la concienciación, navegación segura, no abrir correos que no sabemos de donde vienen, pinchar en los candaditos de las webs de los bancos para comproba que el certificado es correcto…
La realidad es que esto es lo que mas marca la diferencia, deberian empezar a meter una asignatura de informática obligatoria en colegio para que los crios vayan cogiendo contacto o algo asi, eseñar a la gente en vez de criticar tanto a M$…
¿porque nadie se mete con oracle y su “unbreakable” (:)) linux? Yo me preocuparia mas por este tipo de cosas que por lo que un usuario domestico pueda tener en su PC…
PD: para los incredulos le podeis echar un ojo al M$ SDL que es abierto y legible para todos…
Comment by FilEMASTER — May 16, 2007 @ 10:18 am