Seguridad por Bajo Perfil

Prevenir vale más que curar. Para evitar incidentes de seguridad en nuestros sistemas es imprescindible defenderlos bien, pero toda defensa tiene su costo y debe evaluarse a conciencia la relación costo/beneficio de las medidas implementadas.

Dado que la batalla por la seguridad es una carrera armamentista entre el presupuesto que el atacante está dispuesto a invertir para conseguir su objetivo y el de quien debe implementar las contramedidas para defenderse y prevenir nuevos ataques, mala inversión es para quien se defiende el entrar en una carrera de inyección de recursos contra el atacante.

En la evaluación de costo/beneficio del atacante influye el costo que le significa realizar el ataque versus el beneficio que puede obtener como resultado del éxito del mismo (típicamente económico, aunque no exclusivamente). Mientras más sustanciosos puedan ser los beneficios obtenidos por el atacante tras un ataque exitoso, más precauciones y recursos deberá invertir el defensor para resistir tales embistes.

En este artículo quiero discriminar entre la Seguridad por Oscuridad y la Seguridad por Bajo Perfil.

El paradigma de Seguridad por Oscuridad ha sido ampliamente debatido y rebatido: simplemente no funciona en el largo plazo (y, lamentablemente, es ampliamente utilizada en implementaciones de software hechas bajo la modalidad de código propietario). El atacante siempre tiene suficiente tiempo e indefectiblemente termina descubriendo las vulnerabilidades de seguridad escondidas, pero no resueltas.

Al evaluar el riesgo de seguridad que significa una amenaza de seguridad sobre una vulnerabilidad de seguridad, los factores que intervienen son: la probabilidad de ser atacado, la probabilidad de que el ataque tenga éxito y el impacto en costo asociado a la pérdida económica producto de un ataque exitoso. El producto de estos tres factores permite cuantificar el riesgo. Como producto que es, el aumento o disminución (céteris páribus) de cualquiera de ellos, aumenta o disminuye, respectivamente, el riesgo total. Y como de economía se trata, el disminuir alguno de los factores de riesgo resulta en un costo que requiere inversión económica. Dado que los recursos económicos son escasos, una estrategia prudente en pos de no aumentar los costos es, al menos, evitar incrementar la cuantía de los factores de riesgo.

Al referirme a Seguridad por Bajo Perfil, quiero decir justamente esto último: ya que sale caro disminuir el riesgo, al menos evitemos aumentarlo. Una forma barata de conseguirlo es manteniendo un perfil bajo, así llamamos menos la atención de los atacantes y disminuímos la probabilidad de que se fijen en nosotros. Esto disminuye el riesgo, pues disminuye la probabilidad de ser atacados.

¿Cómo mantener un perfil bajo en lo que a seguridad se refiere? Lo típico es no ir por el mundo haciendo anuncios acerca de la calidad de nuestra seguridad, con lo que evitamos tentar a los más peligrosos. Pregonar que "nuestro sistema es seguro" o que "nos comprometemos con la seguridad de nuestros clientes" es una forma de llamar la atención sobre la infraestructura de seguridad que decimos (o creemos) tener. Si la oferta de seguridad informática no está en interés directo con nuestro modelo de negocios, puede ser mejor omitir hacer comentarios acerca de nuestra seguridad y simplemente dedicarnos a fortalecerla en forma silenciosa.

Lamentablemente, siempre existe la posibilidad de que atentemos contra nosotros mismos en los dos aspectos discutidos: implementando nuestra seguridad deficientemente y llamando la atención más de la cuenta.

Esto parece ser lo que le ocurrió a www.maomava.com. El día 30/08/2007 salió un artículo en el diario Las Últimas Noticias con respecto a un servicio de reparto de snacks y bebidas alcohólicas a domicilio, cuyo nicho de mercado son los grupos de amigos enfiestados para quienes puede ser contraproducente o incómodo tener que salir a comprar en avanzadas horas de la noche para continuar disfrutando. ¿Y cuál es el problema? Pues el nombre del a empresa, que hace referencia al dicho "Si la montaña no va a Mahoma, entonces Mahoma va a la montaña". Ante el interdicho del periodista con respecto a la falta de una letra "H", el entrevistado respondió que lo sabía, nada más que "no quería herir susceptibilidades".

Pues tal precaución no fue suficiente ya que el mismo día, al entrar al sitio web de la empresa, se apreciaba un defacement que decía "0wnz by blueenet // İslamic HackerS !!!". Por cierto que el nombre de la empresa puede haber sido llamativo y de fácil recuerdo para el público, pero tengo mis dudas con respecto hasta qué punto se evaluó verdaderamente el impacto que tal nombre tendría sobre la probabilidad de ser atacado. Ignoro cuántas ventas habrán perdido a causa de esto, pero si el negocio era fructífero, no creo que hayan sido pocas. Hasta el momento de escritura de este post, todavía no logran volver a levantar el servicio.

En ese sentido, el haber elegido tal nombre para la empresa atentó contra su propia Seguridad por Bajo Perfil.