Evaluación de seguridad continua y transparente como elemento de presión

brechas seguridad

Estos días he estado monitorizando en el curro el impacto que ha tenido un fallo de seguridad en Oracle MICROS (EN), una de las tecnologías detrás de buena parte de los TPVs que podemos encontrar en cualquier establecimiento.

La cuestión es que la debilidad era conocida desde el 2013, y por la razón que sea, no ha saltado a la opinión pública hasta esta semana, cuando Carbanak, una de las bandas pertenecientes al sindicato del cibercrimen ruso, ha estado explotándola a su gusto.

Por supuesto, echar la culpa únicamente a Oracle por tremendo despropósito es pecar de ingenuo. El problema no es de uno u otro miembro de la cadena, sino de cómo está formulado el sistema, donde apenas existen primas para arreglar algo que presenta un potencial riesgo para nuestro negocio… hasta que ocurre.

De ahí que me pareciera muy interesante la propuesta que Peiter Zatko (@dotMudge) y su mujer presentaban recientemente en la Black Hat: la creación de un laboratorio de testeo independiente sin ánimo de lucro que periódicamente liberaría reportes en formato ranking sobre cómo está el mercado de software a nivel de seguridad y privacidad.

Con dos objetivos principales:

  • Servir de comparativa para el consumidor: Ya sea neófito o experto en materia, contaría con un sistema que de manera sencilla compararía las garantías que ofrece cada uno de los máximos exponentes de cada tipología de herramientas de software (navegadores, redes sociales, servicios de email, ofimática,…) para que con ello pudiera elegir qué herramienta se ajusta más a sus necesidades ya no solo funcionales sino de confianza.
  • Servir de base a las aseguradoras: Quizás la pieza más molesta (y necesaria) dentro del entramado de la industria, de manera que éstas pudieran ajustar sus precios según el buen o mal desempeño de cada herramienta.

Este segundo punto me parece crítico, y quizás sea un acercamiento bastante más realista que el que me gustaría.

Hablamos de dotar al sistema de seguros de la industria de unos reportes neutrales que salvaguardarían, en base al miedo a tener que enfrentarse a cuantiosas pérdidas, el interés de la industria por crear software más seguro y privado.

Es decir, no solo de cara al usuario/cliente (algo que en mayor o menor medida todos están intentando hacer), sino atacando directamente a las arcas de la compañía:

Si no haces las cosas bien, que sepas que tendrás que pagar una multa acorde a toda esa mochila de mala praxis que llevas años dejando aparcada en tu negocio.

Y lo mismo al contrario:

Que todos aquellos que han centrado esfuerzos (y recursos) en mantener saneados sus sistemas todo lo posible, si al final acaban envueltos en un fallo de seguridad y/o privacidad, tendrán que hacer frente a una multa inferior.

Que cada uno pague en base a la confianza de sus productos, y no en base a unos criterios genéricos que afectan a toda la industria, inflados precisamente por todos aquellos que aún no consideran la seguridad y privacidad de sus herramientas parte crítica de su negocio.

Lo que a priori debería generar un ecosistema tecnológico más fiable que el que tenemos hoy en día, premiando a aquellas compañías interesadas de verdad en segurizar sus sistemas, y castigando a aquellas otras que han dejado de lado el asunto.

La problemática de la evaluación

Donde ya no tengo tan claras las cosas es en qué metodología deberían seguir por CITL para asegurar la neutralidad y fiabilidad de sus reportes.

Su página (EN) es aún una mera declaración de intenciones, que apunta en una primera fase a hacer uso de las reviews de revistas como Consumer Reports, que recopila valoraciones y pruebas de productos, para sacar en la medida de lo posible un caldo de datos lo más heterogéneo posible.

Y el resultado pasaría por informes del tipo “La seguridad en navegadores para OS X”, donde Chrome contaría con un 75% de valoración frente a Safari (59%), IE (37%) y Firefox (35%), pese a que tanto Microsoft como Mozilla parecen haber utilizado métodos no estándares con la idea de proteger sus herramientas de los ataques más populares en dispositivos Apple.

Lo cual de por sí es una paradoja que hace tiempo recogí por esta humilde morada.

Valorar la seguridad de un producto sin acudir a la valoración individual de la metodología de seguridad seguida resulta, como poco, ineficiente.

Que en el caso de OS X Chrome se presente como el navegador más seguro según la balanza genérica de parcheado de errores no corresponde con una realidad en donde Firefox o IE, con navegadores a priori más inseguros, han seguido una política de parcheo que aunque útil no sigue los cánones de Apple, y por tanto, se valora por debajo de sus garantías reales.

Y esto mismo trasladado a cualquier otro entorno (que cada uno tendrá sus propios paradigmas) complica aún más el trabajo de este futuro laboratorio.

En busca de un ecosistema más seguro y privado

Pero es un acercamiento, y eso es mejor que nada.

A día de hoy la capacidad de anonimización y protección de nuestras comunicaciones es un rasgo diferencial de ese porcentaje de la sociedad mejor adaptada a los tiempos que corren. Está en juego nuestro trabajo, nuestras posibilidades de encontrar pareja, de acceder a una hipoteca, de poder alquilar o comprar un piso, o de estar más o menos expuesto a una manipulación informativa y sesgada persistentemente.

Y este tipo de sistemas quizás democraticen un poco más esta necesidad entre el grueso de la sociedad, dotando al consumidor de las herramientas necesarias para tomar las decisiones de compra y/o uso adecuadas.

A nivel de empresa, hablamos de que cada año de media se gastan 3.500 millones de dólares en seguros que cubran las consecuencias económicas de posibles brechas de seguridad. Una cifra que aumenta casi a razón del 50% año tras año, y que podría personalizarse según las garantías de cada compañía, y no según estándares de expansión de mercado, para beneficio de aquellos centrados en hacer las cosas bien.

Interesa por tanto a nivel económico (macro y micro, de hecho) y como no, a nivel social. Y está en nuestra mano ejercer la presión necesaria para que de aquí a unos años en efecto la seguridad y privacidad de los sistemas informáticos cuenten con las garantías con las que ya cuentan otras ingenierías.