Mea Culpa, Penny

Algo falla en la industria de la seguridad informática. Si no fuera así no habría tantas intrusiones en sistemas ni tendríamos tantos incidentes de robo de identidad en Internet. Algo falla y tenemos que arreglarlo los que trabajamos en esta industria. En mi fuero interno llevo tiempo dándole vueltas a porqué pasa esto, y de todas las causas enumerables, hoy les quiero hablar de una de ellas: La de olvidarnos de cuidar a Penny.

Penny no se conecta a Internet porque no tiene configurada su VPN
Penny no se conecta a Internet porque no tiene configurada su VPN

Los servicios de Internet han enamorado a los usuarios, y casi todo el mundo participa activamente en ellos desde una innumerable cantidad de gadgets alucinantes. Si hasta mi mamá me envía mensajes por el Facebook eso demuestra que ellos que han conseguido que los usuarios disfruten con la tecnología.

Ellos lo hicieron bien, pero nosotros en la industria de la seguridad no hemos sabido acertar en la manera de proveer las medidas de protección. Sí, tal vez podríamos decir que es culpa de los servicios de Internet, que deberían preocuparse más de la seguridad, pero muchas de las medidas de seguridad tal y como las entendemos hoy empeoran la experiencia de usuario o exigen un cierto nivel técnico para entenderlas. Es una batalla que no deberíamos haber luchado, y que hemos perdido.

Durante muchos años nos hemos enrocado en definir a “Seguridad” como una archi-enemiga de “Usabilidad” y hemos tenido conversaciones al estilo Yoda con los responsables de las empresas con un sencillo: “Debes buscar el equilibrio entre Usabilidad y Seguridad“… pero todos han caído en el reverso tenebroso de la poderosa Usabilidad, pensando en sus usuarios.

El usuario está loco, bebe alcohol los fines de semana y trabaja de camarera. El usuario es una temeraria como Penny de The Big Bang Theory. Y está en Internet. Es un cordero en un mundo de lobos. Pero es parte de las tecnologías de hoy en día. Maneja sistemas informáticos en sus tareas diarias y está en riesgo constante. ¿Y nosotros no hemos hecho nada? Sí, le hemos dado sistemas de seguridad… pero para Geeks.

Sheldon conoce muy bien las tecnologías de seguridad, pero intenta explicarle tú a Penny todo lo que tiene que hacer para simplemente navegar usando el WiFi de su casa de forma segura sin que la graben desnuda. Empieza por decir eso de cambia el SSID,  luego sigue con el “usa una VPN, desactiva WPS, cambia el cifrado a WPA2-PSK,  cuidado con los Rogue APs si tu equipo es OSX y no valida el BSSID y cuidado con las alertas de certificados en ataques Man in The Middle“, para terminar con un “actualiza el firmware“. Es virtualmente imposible hacer entender a Penny todas las medidas de seguridad que hay que tomar para simplemente navegar por su WiFi de forma segura y que sea capaz de aplicarlas. Si no lo crees, intenta explicárselo a un familiar tuyo.

No tiene sentido.

Algo no hemos hecho bien en la industria de la seguridad si para conectarse a Facebook usando WiFi, tengo que dar un curso de tecnologías a mi madre (algo que seguramente ni disfrutará) cuando todos los terminales móviles vienen con un botón de “conectar“. Nos hemos olvidado de Penny en todo este proceso y debemos recuperarla. Tenemos que cambiar la forma en que funcionan muchas de las herramientas que implementan medidas de seguridad para que sean lo más transparentes posibles, porque yo no quiero saber cómo funcionan todos los controles de seguridad cuando viajo en un avión. Solo quiero que funcionen, mientras que yo estoy cómodo, y no necesariamente cerca.

No quiero tener que configurar los valores del ABS o el ESP cuando estoy manejando. Quiero que funcionen de la forma más segura posible. ¿Por qué asegurar la red WiFi no viene de serie? ¿Por qué tiene que saber Penny qué es un BSSID, el WPS, la diferencia entre WEP y WPA2-PSK, o qué implicaciones tiene elegir L2TP, PPTP o SSTP como sistema de eso que tampoco sabe qué es llamado VPN? Se preguntará una y mil veces qué es mejor, si tener un antivirus, un antimalware, un firewall, o un antispyware, para no lidiar con eso que le han dicho que es muy malo que se llama botnet o rootkit o exploit de nosequé, que le salió en la pantalla de su equipo cuando iba a arrancar… ¿un plugin?

Tal vez nosotros estemos acostumbrados a toda esta terminología, pero Penny no, y tenemos que ver de qué forma es posible ayudar a que Penny a que esté más segura en Internet sin que tenga que hacerse un master de seguridad y deje de ser un cordero más que se merienden los lobos.

Fuente: Un informático en el lado del mal

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s