Es curioso poder hablar de la oscuridad en un entorno en el que la tónica habitual es la transparencia y la información. El pasado ENISE asistí a muchas grandes ponencias, de los profesionales más importantes en el ámbito de la seguridad, pero hubo algunas que me causaron más impacto que otras. En esta pequeña entrada, y pese a que el ponente habló del concepto de la seguridad por oscuridad, como una fase que ya ha acabado, a mí me surgieron dudas sobre si realmente deberíamos darlo por terminado, o debiera de ser un nuevo paradigma en este mundo hiperconectado.
Siempre he opinado que en este mundo virtual no hay nada nuevo más allá del medio en el que se desarrollan las actividades. Numerosos estudios y trabajados siempre resumen que realmente lo que cambia nunca es el objetivo o la forma de realizar las cosas, sino simplemente el medio por el que se hacen. Hace poco trabajábamos en un proyecto que consistía en identificar los métodos de blanqueo de capitales en el mundo ciber, y tras analizarlo nos dimos cuenta de que los métodos siempre son los mismos, pero el medio sobre el que se realizan, es obviamente diferentes.
A veces falta oscuridad para ver mejor las cosas
La oscuridad para poder garantizar la seguridad es una técnica ancestral. Incluso algunas compañías de alarmas anuncian actualmente sistemas que utilizan precisamente este concepto: “si no ves, no puedes robar nada”. La reflexión que quiero tener en este artículo no es otra que la posibilidad de trabajar la oscuridad como un mecanismo de protección adicional para las empresas, especialmente en el ámbito industrial.
En un mundo opensource parece retrógrado decir que, en ciertas cosas, deberíamos volver a tener oscuridad. Oscuridad utilizada como un mecanismo de defensa, en el que podamos confiar en una barrera más al no conocer el ámbito que queremos atacar.
Un ejército prefiere un terreno elevado y evita un terreno bajo, aprecia la luz y detesta la oscuridad.
Un atacante, por norma prefiere ámbitos en los que tenga más posibilidades de éxito. Está claro que la seguridad es cuestión de tiempo. Tiempo que tardará un atacante en poder acceder. El hecho de que no se pueda evaluar un factor concreto, por puro desconocimiento, puede hacer que ese ataque no sea perpetrado, o incluso que se abandone al darse cuenta de que no había sido adecuadamente evaluado, y ese tiempo que se iba a dedicar un ámbito desconocido pese en el atacante y desista.
En este caso, y sin confundir confidencialidad de una información, con oscuridad deliberada en el conocimiento de un determinado protocolo, una determinada arquitectura, o cualquier otro componente de seguridad establecido pueden ser unas medidas de protección adecuadas y vigentes en la actualidad.
El peor lugar para guardar un secreto es otro ser humano
Muchas veces nos encontramos que contra la lógica más aplastante, está el pensamiento humano, y en esencia su propia naturaleza. En el mundo aparecen noticas curiosas, como la propia demostración empírica de que el ser humano no soporta el silencio. Para muestra este artículo sobre lo complicado que es no escuchar nada . El ser humano necesita del contacto social, necesita del reconocimiento de los demás, y necesita sentirse realizado, por lo que está permanentemente en una continua lucha por hacerse un sitio entre sus semejantes.
Puestos a filosofar, ¿qué pasaría si quitáramos de la ecuación de la protección de los secretos al ser humano?. El concepto no es nuevo, es el mismo que la doble autenticación en la que se requieren dos contraseñas para poder hacer algo, dos personas en las que cada una conozca una parte de algo, y entre las dos completen la información. El concepto es el mismo, pero con una diferencia, en este caso sólo necesitas dos seres humanos para conseguir el secreto, lo cual será sólo cuestión de tiempo. Imaginemos que sólo una máquina conociera el secreto completo, y que fuera extremadamente difícil conseguir acceder a esa máquina (no quiero decir imposible, porque como hemos dicho la seguridad absoluta no existe ;-). De esta forma eliminaríamos la supuesta debilidad del ser humano en este ámbito.
El verdadero dilema se plantea cuando pensamos que, la seguridad del ser humano aparece cuando dejamos que sean las máquinas las que nos guarden los secretos, y este aspecto sí que da miedo de verdad.
Puedes valorar la entrada:
¡Muy buen artículo! Interesantísima conclusión, y en mí opinión es acertada.