|
E
n el mundo real tenemos una serie de hábitos que de manera inconsciente seguimos. Por ejemplo, cuando contestamos el teléfono y hablamos con alguien realizamos de manera "embebida" (integrada) un proceso de "autentificación" o "autenticación" de la persona que nos habla; es decir, tratamos de reconocer quien está del otro lado del cable. En el mundo digital (correo electrónico) debería de seguir aplicando esta acción.
Ante el auge en algunos grupos sociales del correo electrónico y del web, hemos olvidado el hecho de que aunque el correo electrónico sea una maravilla de la tecnología y nos ayude a comprimir el espacio-tiempo, el recibir un mensaje electrónico no es garantía de que el que lo envía sea en realidad quién dice en el remitente electrónico (de la misma manera que al recibir una carta no sabemos si en realidad la mandó quien dice en el remitente o como en el caso en USA en los 80's fue el célebremente triste Un-A-Bomber).
La proliferación de los virus que usan el correo electrónico para transmitirse (mejor llamados gusanos o worms en inglés) es uno de los síntomas de lo relajado que somos con el correo electrónico. El otro es que en vez de preocuparle a los fabricantes de software tener soluciones más robustas, les encanta agregar funcionalidad como prueba del valor agregado (y esto va para todos los que desarrollan software, sea propietario, abierto, gratis, comercial, a la medida, empacado, etc.)
Es por ello, que me ocupa el hecho de que al recibir un correo electrónico con instrucciones, órdenes, direcciones o información, inconscientemente demos por un hecho que viene de quien dice venir y le atribuyamos a la tecnología la magia de validar esto por nosotros, no way Jose.
No me malinterpreten, tenemos este hábito porque la mayoría de las veces el correo electrónico sí viene de quien dice venir, pero el hecho de que la comunicación sea electrónica no significa que la tecnología por arte de magia haga el contenido y el remitente válido.
De hecho las devaluadas 7 capas del modelo ISO/OSI (devaluadas por el Internet es un ejemplo de que las capas se han comprimido), nos dicen que la seguridad se encuentra en los niveles más altos o sea al nivel aplicativo, así que no le echen la culpa al TCP/IP o al SMTP o al nivel físico como el Ethernet.
Así que de la misma manera como debemos asumir que la información que viaja por mecanismos públicos puede ser conocida, de la misma manera no podemos asumir que un mensaje de correo electrónico venga de quien dice que viene y que su contenido sea privado.
Si hasta los terroristas internacionales utilizan más frecuentemente la criptografía con lo cual le dan grandes dolores de cabeza a organizaciones como la National Security Agency, quienes en la revista noticiosa 60 Minutes II reconocieron que con tanto ancho de banda no pueden revisarlo todo.
A mí se me hace que esto es ingeniería social para convencer al enemigo de que no pueden cuando en realidad sí pueden. No veo porque nosotros que somos gente decente no usemos las herramientas que personas que han luchado legalmente para que las herramientas estén disponibles y que nos han proporcionado con tiempo y esfuerzo; para ejemplo de esto tenemos al PGP (Pretty Good Privacy). O desde el punto de vista comercial los tan traídos y llevados certificados digitales personales.
Para todo fin práctico el conseguir seguridad al 100% no es posible y por ello nos encontramos en una carrera entre los chicos buenos y los chicos malos en donde ambos tenemos acceso a las mismas herramientas.
Ya he mencionado en el pasado el concepto de arquitectura de seguridad, en el mundo real lo hacemos, es decir ponemos puertas, llaves, rejas, alarmas, candados, tenemos policías, leyes, etc. Todo esto hace que sea más difícil para el atacante novato o inexperto el cometer un ilícito (aunque dicen los que saben que el asunto está en perseguir y castigar a los delincuentes para cerrar el círculo).
De la misma manera en el mundo digital, como personas digitales (en concepto), debemos seguir una arquitectura de seguridad.
Existen formas para establecer una arquitectura de seguridad para cada uno de nosotros en cuanto al correo electrónico. Contamos actualmente con mayor cantidad de herramientas.
Desde cosas tan sencillas como revisar los encabezados del mensaje de correo electrónico con el View Headers All en Netscape o el right click Propierties -> Detail, en donde podemos ver por donde ha viajado el mensaje (claro, dependen del eslabón más débil: el ser humano).
Creo que debemos usar firmas digitales, aunque el nombre no signifique lo que debe significar ya que la firma en el mundo real refleja algo más interconstruido en nosotros, pero es un paso adelante.
Existen soluciones de firma digital y encriptamiento que podemos bajar de la red sin cargo (el encontrar el tiempo para aprender a usarla es el costo) en http://www.pgpi.org podemos ver una de las más populares; podemos obtener un certificado digital personal gratuito para correo electrónico de Tawte http://www.thawte.com/certs/personal/contents.html" o podemos comprar nuestro certificado digital en Verisign http://www.verisign.com/products/class1/index.html
También podemos participar activamente (pero se mantiene esto en secreto) para que en nuestro país alguien se decida a trabajar con certificados digitales o esperarnos a que nuestros notarios públicos los expidan, lo cual no garantiza absolutamente nada.
Recuerden que al usar estas herramientas lo que podemos asegurar es que una fórmula matemática fue aplicada a un mensaje, mediante un passphrase y con ello se reduce el riesgo de que el mensaje sea generado por alguien que no sepa dicha clave y reducir el riesgo de que el mensaje sea modificado en el trayecto. Además de que como son esquemas de asimétricos podemos mantener una llave privada (es decir fuera del alcance de otros) y usar la parte pública de la llave para compartirla con otros (esto se conoce como PKI - Public Key Infrastructure).
Debemos usar esta tecnología, aunque no podamos asegurar que fui yo el que mandó personalmente el mensaje, por una razón muy, pero muy sencilla: el mail spoofing (que en palabras más sencillas es la capacidad de poner un encabezado de un mensaje de correo electrónico) es muy, pero muy sencillo.
Probablemente nuestro proveedor de acceso a Internet nos permita hacer mail spoofing, y es algo tan común que ya lo tomamos como feature y no como la puerta a un posible ataque de suplantación de nuestra persona.
Para el técnico, basta con hacer un telnet al puerto 25 de un servidor de correo, identificarse con el server (cosa que no requiere gran ciencia más que un HELO servername) y poner dos líneas para identificar fuente y origen de un mensaje (cosa que en Internet no se valida por la naturaleza con que fue diseñado el proceso de transferencia de correo).
Con esto podemos decir que somos Juan Camaney o Bill Clinton, aunque no lo seamos, y órale como diría el célebre Brozo. Pero lo más tenebroso, como diría Brozo, es que lo puedes hacer con tu lector de correo electrónico desde tu pc, conectado con tu teléfono, sin ninguna pieza tecnológica complicada (y no es que el telnet sea algo complicado) y probablemente lo estés haciendo sin saber que lo haces.
Por cierto el recibir un mensaje firmado no basta, necesitamos verificar la vigencia del certificado y además tener el headers all de nuestro lector de correo activado todo el tiempo.
Me van a decir como buenos mexicanos que si como quiera no podemos estar seguros al 100% de que la persona que nos envía el mensaje es quien dice ser, ¿para qué usamos estas maromas? y les voy a contestar que por la sencilla razón que reducimos el reisgo.
Es como ponerle rejas a la casa, contratar vigilancia y poner alarmas, nadie nos puede garantizar que un asaltante determinado no va a entrar a nuestra casa (de hecho si está determinado va a entrar y si alguna empresa de seguridad les garantiza que nadie va a entrar más vale que no les crean). Pero vamos a hacer menos atractiva nuestra casa a un ataque, reducimos nuestro riesgo al ser menos vulnerables, aunque claro, probablemente nos enfrentemos a atacantes más sofisticados.
Para las empresas existen tecnologías más robustas desde Directorios Electrónicos (que para algunos son la base del e-commerce). Además algunos tienen soporte para certificados X.509, existen Servidores de Certificados digitales, infraestructura de PKI, mecanismos de SMTP autenticado, conexiones seguras de POP e IMAP por SSL o TSL (Transport Secure layer), opciones con SSH y open SSH, PKI y todo un arsenal que se puede implementar pero que cuesta dinero o tiempo y capacitación.
Desde el punto de vista de negocio el justificar estas tecnologías no es tan fácil, por el hecho de que no tenemos los mecanismos para cuantificar cuánto vale nuestra información, reputación o negocio.
La manera que se me ocurre es que al usar estas herramientas (ya sea de manera personal) hacemos más atractivo nuestro negocio, porque al poner esta infraestructura reducimos nuestro riesgo.
Schneier nos dice que todos los negocios tienen un riesgo, aquellos negocios que sean mejores para administrar ese riesgo, tenderán a ser más rentables.
Si el riesgo muy alto fuera la manera de trabajar de los empresarios para obtener rentabilidad, entonces sería común que prefirieran irse a jugar todo su capital a Las Vegas en donde es un negocio de alto riesgo que invertirlo en donde pueda mejor administrar el riesgo.
Los empresarios no son jugadores compulsivos para apostar a ciegas (de hecho por eso tenemos los retos que tenemos, porque debemos justificar cuantitativamente hasta el último centavo).
Internet y el correo electrónico tienen sus beneficios, pero el confiar ciegamente en ellos presentan sus riesgos, una vez identificados debemos aceptarlos, reducirlos y asegurar que se mantengan en un nivel manejable.
Esto no será importante, hasta que sea importante, como alguna vez me dijo alguien que considero muy inteligente. De hecho, nos persigue la inteligencia, pero no dejamos que nos alcance.
Y probablemente no sea crítico hasta que sea crítico. En ese momento, no vamos a tener tiempo de resolver la situación y nuestro puesto puede estar en juego por no haber hablado a tiempo. Solamente esperen a que algún cliente nos diga que recibió un mensaje de correo electrónico con una oferta y que la quiere hacer efectiva, que los miembros del consejo recibieron un mensaje del Director General diciendo que la empresa quebró. O más grave aún que los empleados de una empresa recibieron un mensaje de correo indicando el aumento del 70% a los salarios.
Si estas cosas que algunos pueden tomar como catastróficas, las toman los detractores de estos tiempos de cambio como la justificación para no incursionar en la tecnología de Internet, les garantizo, sin temor a equivocarme que si ellos hubieran vivido a principios del siglo pasado no hubieran creído en ninguno de los grandes desarrollos de las comunicaciones.
Estos desarrollos, al final del día nos ayudan a manejar de manera más efectiva el recurso más escaso: El tiempo. Claro que mal utilizadas también nos consumen más tiempo.
Estemos conscientes y advertidos todos.
|
