Durante su charla de apertura en la conferencia Black Hat 2017, Alex Stamos, jefe de seguridad de Facebook, habló de prevenir daños reales y de cumplir con los compromisos, cosa que ya deberían estar haciendo todos los especialistas en seguridad de la información. El jefe de seguridad de Facebook no repara en esfuerzos: su equipo protege un sistema informático realmente complejo y los datos de 2.000 millones de usuarios.
Según Stamos, la industria de la seguridad sufre de varios problemas; el principal es el nihilismo. Es decir, que los especialistas prefieren centrarse en problemas de seguridad y de vulnerabilidades técnicamente complejas y no en los que causan daños reales y ponen en peligro a un gran número de personas. Esos mismos especialistas también tienden a no aceptar compromisos y hacen que la seguridad de la información sea su único objetivo al suponer que todos serán víctimas de los ataques más peligrosos y amenazantes.
Uno de los ejemplos más notables que Stamos dio fue la “puerta trasera” de WhatsApp, que en realidad no era una puerta trasera. Para que el cifrado seguro esté disponible para 1.000 millones de usuarios de WhatsApp, el equipo de desarrollo tomó una decisión razonable sobre cómo informar a los participantes del chat de que uno de ellos acaba de recibir una clave de cifrado nueva. En esta situación, aparece una notificación adicional en la conversación y los participantes no tienen que hacer nada más para continuar con ella.
Los nihilistas de la seguridad informática supusieron que se trataba de una puerta trasera de servicios especiales para poder atacar el chat para acceder al historial de conversaciones. Sin embargo, su objetivo es en realidad lo opuesto, lo que permite es que las personas de un chat puedan continuar su conversación después de que un miembro del chat cambie su teléfono o reinstale la aplicación. Algo muy plausible.
El ejemplo de WhatsApp reúne todos estos aspectos nihilistas al asumir que todos los usuarios deben estudiar el sistema de cifrado y comparar las claves entre los miembros de una conversación y que cada uno de los usuarios será vigilado por servicios especiales que sin duda atacaran su tráfico de Internet con el ataque man-in-the-middle . El nivel de paranoias se ha disparado.
La atención a los ataques más complejos y a las medidas de seguridad de mayor intensidad de mano de obra distrae a los especialistas de los problemas que causan daños reales. Stamos presentó un diagrama de “pirámide de amenazas” con un punto apenas visible en la parte superior que representaba las vulnerabilidades de día cero y los ataques complejos promovidos por el gobierno. El resto de la pirámide está ocupada por problemas “mundanos” relacionados con la contraseña y el robo de datos personales (incluyendo datos bancarios), suplantación de identidad, amenazas financieras e ingeniería social.
Stamos recomienda no tener miedo a valorar los pros y los contras de resolver estos problemas. Si una solución no es perfecta o solo es parcialmente eficaz, pero puede proteger a un gran número de usuarios, se trata de una solución mejor que la que protege a un reducido número de usuarios.
Las mentes geniales razonan igual y, por ello, en Kaspersky ya seguíamos estas recomendaciones antes de la charla con Stamos. Gracias al antivirus gratuito que tendremos disponible en España en octubre, Karspersky Free, la protección de alta calidad contra suplantación de identidad, troyanos bancarios y otras amenazas más “aburridas” estará disponible para todos los que tengan ordenador. A su vez, Kaspersky Internet Security for Android, que también está disponible de forma gratuita, protegerá a los miles de millones de usuarios que se unirán a Internet durante la próxima década y que usarán, principalmente, dispositivos móviles.