Los cuentacuentos han tratado de inculcar una cultura de ciberseguridad en sus lectores desde la Edad Media. El principio básico es simple: utilizar las “situaciones” de los cuentos populares para crear informes reales. El detalle de los informes varía, por supuesto, pero una lectura cuidadosa revela una diferencia fundamental en la presentación de cada autor.
Los hermanos Grimm y Charles Perrault pudieron haber desarrollado sus historias en torno a ciberincidentes, pero Hans Christian Andersen puso especial atención en las tecnologías de protección. Es como si los Grimm y Perrault hubieran estado financiados por empresas especializadas en la investigación de incidentes, mientras que Andersen trabajaba para un proveedor de soluciones de seguridad. Consideremos algunos ejemplos de su obra.
Los cisnes salvajes
La introducción a este cuento es muy tradicional: un rey que acaba de enviudar se casa con una reina malvada que en realidad es una bruja, un eufemismo común en los cuentos populares para una amenaza por infiltración. Como odia a los príncipes, los cifra (los convierte en aves). Es curioso que Andersen revele que el algoritmo de cifrado tiene errores: la madrastra malvada trata de cifrarlos en un formato .gran_ave_sin_voz, pero termina como .cisnes.
Más adelante, la historia describe el calvario de la princesa y algunos intentos por ponerse en contacto con consultores de criptografía externos; sin embargo, gran parte de la historia trata de cómo la princesa escribe de forma manual 11 descifradores, uno para cada uno de sus hermanos.
El cuento relata cómo la princesa teje el código de descifrado con agujas que recopila del cementerio de una iglesia. La mención del cementerio parece indicar el lenguaje de programación C++ (los dos signos de más representan cruces), el cual, no por casualidad, fue desarrollado por el paisano de Andersen, Bjarne Stroustrup. Es decir, la princesa escribe los descifradores en C++.
Pero Andersen es imparcial, lo cual es evidente porque el último descifrador contiene un error que deja algunos de los archivos del último hermano sin descifrar.
La princesa y el guisante
El cuento La princesa y el guisante parece un informe sobre la implementación de un motor de análisis de comportamiento basado en un entorno aislado (sandbox) medieval. Tal vez Andersen lo escribió para alguna revista especializada o como informe técnico de una historia de éxito.
En resumen, la historia cuenta cómo un príncipe tiene que demostrar que la mujer con la que se quiere casar es en verdad una princesa. Con este fin, su madre prepara un entorno aislado, controlado (en otras palabras un sandbox), que simula la habitación de la princesa. Esconde un detonante en la cama para provocar un comportamiento normal de princesa y oculta este detonante con 20 colchones gruesos y camas de plumas. De acuerdo con la hipótesis de la madre, una princesa real respondería a ese detonante incluso en estas condiciones, mientras que una falsa no se daría cuenta.
A continuación, el sujeto de la investigación, una vez en la habitación, responde de forma apropiada al detonante y, entonces, la madre del príncipe emite el veredicto: es princesa.
Hoy en día, utilizamos las tecnologías disponibles para detectar comportamientos maliciosos, en lugar de princesas. Sin embargo, los principios básicos son los mismos. Por ejemplo, Kaspersky Research Sandbox analiza la operativa normal de un ordenador en una red corporativa y la emula en un espacio aislado para después supervisar el comportamiento de las amenazas potenciales.
El mechero de yesca
En El mechero de yesca, Andersen escribe sobre un ciberdelincuente al que solo se le llama soldado y que utiliza un tipo de comunicador llamado mechero de yesca para comunicarse con un grupo criminal de perros monstruos. Los perros le dan monedas y un canal de comunicación con la princesa, evitando las restricciones gubernamentales. Es más, ocultan sus actividades delictivas en el mundo real al eliminar físicamente a personas no deseadas. En otras palabras, es una herramienta de la darkweb y el nombre mechero es una obvia referencia a Tor.
El mechero de yesca es atípico en algunos aspectos, principalmente en la elección del protagonista. Los héroes de los cuentos tienden a ser personajes positivos o al menos evocan sentimientos de empatía. Sin embargo, aquí el personaje principal está lejos de ser un héroe.
En el transcurso de este corto relato, el soldado estafa, roba y mata a una anciana que le dice dónde obtener dinero, secuestra varias veces a una princesa, se deshace de sus padres y de los jueces y los consejeros reales y, finalmente, asume el poder. Está claro que Andersen quería ilustrar a este personaje como un delincuente.
De vuelta al prisma de la seguridad de la información, no nos interesa el mechero de yesca como tal, sino las medidas que los defensores del palacio utilizan para descifrar dónde y cómo el soldado se comunica con la princesa. Cabe destacar que, como en La princesa y el guisante, la mujer de la familia es la encargada de la seguridad de la información en el palacio y de esta forma Andersen muestra la importancia del CISO en la época medieval; en esta ocasión la reina intenta varias veces solucionar el problema del ciberdelincuente.
Primero, ordena a la analista interna (dentro del palacio) –una dama de compañía– que rastree la dirección del intruso de manera manual. La dama de compañía identifica correctamente la subred que el soldado utiliza, pero el complejo sistema de ofuscación de dirección no le permite determinar el equipo exacto. En otras palabras, para despistarla, uno de los perros marca las puertas de enlace circundantes con la misma cruz que tiene la puerta de enlace del soldado.
El segundo intento es más sofisticado y tiene más éxito. La reina incrusta un implante en la aplicación cliente de la princesa: una bolsa de granos de trigo sarraceno. Durante la siguiente sesión de comunicación, el implante de trigo sarraceno marca los nodos intermedios mediante los cuales el perro experto en asuntos cibernéticos redirige la señal a la “ventana del soldado”, es decir, directamente a su ordenador con Windows. Como resultado, el soldado es rastreado, arrestado y sentenciado a muerte.
A diferencia de La princesa y el guisante, este es un cuento con moraleja y no una historia de éxito. Sobornan a un transeúnte para que entregue el comunicador al hombre condenado, quien recluta la ayuda de todo el grupo criminal de perros; finalmente, los esfuerzos de la reina son en vano.
El traje nuevo del emperador
Para finalizar nuestra selección de cuentos de Andersen sobre tecnologías de la seguridad de la información, tenemos otro cuento famoso, El traje nuevo del emperador. La historia original es claramente una sátira crítica sobre los cibercharlatanes, en este caso, los proveedores que cubren de halagos su propia ciberseguridad basada en cadena de bloques de nueva generación o inteligencia artificial.
En El traje nuevo del emperador, el rey asigna un presupuesto para desarrollar un sistema de ciberseguridad completo, pero los contratistas solo adornan algunas presentaciones con una cadena de bloques elegante y se quedan con el dinero. Los consejeros del rey, sin saber nada sobre tecnología y con miedo a parecer idiotas, confirman sus grandes expectativas. Más tarde, una prueba de penetración percibe que el sistema de protección real no solo está lleno de agujeros, sino que es completamente inexistente.
La industria de la ciberseguridad ha cambiado bastante desde la época de Andersen. Las organizaciones modernas que elijan soluciones de seguridad deben guiarse menos por los lemas publicitarios y más por los resultados de las pruebas independientes.