03 diciembre 2012

¿De quién es la culpa ahora?



No hay día en el que no haya víctimas de ciberestafas y/o delitos informáticos de cualquier índole, en muchos casos debido a la mala configuración de los servicios, la falta de actualización del software de los equipos, de los antimalware, de los deficientes diseños en la arquitectura de sistemas, de la subcontratación de los servicios en la nube, etc,… Sin embargo, el otro 90% de las veces es por fallos humanos. El spam (por cualquiera de sus canales) y el phising, la ingeniería social, y en general, la superioridad de la "viveza" de unos cuantos sobre la ingenuidad de los demás, que hace que los sistemas de seguridad subyacentes no resulten efectivos. 

Cada vez son más los ciclos, seminarios, conferencias, congresos y cursos en los que explicamos a los asistentes lo importante que es estar concienciado de las amenazas de seguridad. Es decir, que nos centramos en emparanoiar a los usuarios contra los demonios que suponen las tecnologías y hacemos recaer sobre ellos toda la culpa por haber sido víctimas de un incidente de seguridad.

Por otra parte, nuestro compañero Yago, como ya evidenció años atrás en el segundo Security Blogger Summit, siempre ha mantenido una opinión diferente al respecto, en el que los fabricantes de las soluciones de software que tengan vulnerabilidades (y sobre todo aquellos que pasen olímpicamente de solucionarlas habiendo sido reportadas) deberían pagar por ello.

De momento, ninguna de las posturas, en las que el culpable es el usuario y la que el culpable es el fabricante, son penadas por la ley. Aunque según leo en The Inquirer, ha sido noticia la condena a un banco americano por un fallo de seguridad en sus sistemas. El incidente se produjo cuando al cliente del banco (una empresa constructora) le vaciaron la cuenta mediante la utilización de malware. Inicialmente le dieron la razón al banco, pero tras la apelación ante el fallo, el tribunal le ha dado la razón al cliente obligando a devolver la cantidad robada, además de intereses y costes legales.

En este caso es un banco, que obviamente es uno de los objetivos principales de los ciberataques, debido a que es donde se encuentra el dinero pero ¿Será este el detonante para que, por ejemplo empresas prestadoras de servicios que cometen negligencias en las configuraciones de seguridad en sus ofertas, se lo empiecen a tomar en serio y no recaiga la responsabilidad en los usuarios?

En mi caso personal, mi opinión se encuentra dividida. Por una parte, estoy de acuerdo con Einstein en que "El Universo y la estupidez humana son infinitos, aunque de lo del Universo no estoy tan seguro". Por otro lado, estoy de acuerdo con Yago, en que los fabricantes de software deberían asumir su responsabilidad cuando, por no parchear responsablemente a tiempo una vulnerabilidad reportada, ésta se explotara de una forma masiva. Me viene a la cabeza cuando tuvo un buen protagonismo en la red la botnet Flashback, por culpa de la negligencia de Apple al no publicar un parche para su implementación de Java, dejando a los usuarios con dos meses de exposición. En este caso, Apple debería haber recibido una sanción ejemplar, que habría salido en todos los medios de comunicación y que sentaría un precedente y levantaría un flag al resto de los fabricantes de software al ver lo que les puede llegar a suponer. 

Está claro que sólo aprendemos de dos formas: a palos y a multas.

6 comments :

fossie dijo...

yo también tengo mis dudas sobre el universo... muy sabio Einstein

Creo que la culpa es un poco de todos y por eso se deben depurar responsabilidades, cada caso es un mundo y es cierto que hay muchos casos donde los usuarios cometen verdaderos disparates pero también hay muchos casos de fabricantes de software o clientes de esos (bancos, agencias, etc.) pero lo que si esta claro es que cuando una negligencia afecta a multitud de usuarios no debería dejarse correr.

Román Ramírez dijo...

A pesar de que me espeluznan bastante las comparaciones interesadas, es que en este caso aplican. Hay dos niveles de responsabilidad, la del proveedor que vende una idea de servicio seguro, por ejemplo un coche, y la del usuario que hace uso de éste. Si el proveedor presta un servicio inseguro debe pagar las consecuencias. Y si el usuario tiene prácticas inseguras (como conducir a 200), también.

El tema de fondo en seguridad es que la mayor parte de los problemas los ocasiona un inteligente que no quiere asumir el COSTE de hacer las cosas bien. Y es ahí donde yo sería expeditivo con una regulación sancionadora que diera ejemplo.

Pero vamos, hasta que explote algo y tengamos titulares carnaza durante cinco años...

Antonio Javier Garcia dijo...

Sólo una reflexión: si alguien apoya ser inflexible con quién no solucione a tiempo las vulnerabilidades, propongo un dilema, ¿qué ocurriría si esa persona encuentra en su empresa una vulnerabilidad y dice su departamento de desarrollo que no puede solucionarla por "coste" o cualquier otro motivo y que la asume. Si es una persona de principios debería publicar el problema, aunque perjudique a su propia empresa, que le paga el salario y aún a riesgo de que le despidan... ¿o cambiamos los principios en este caso?.

rpinuaga dijo...

Tambien dicen que la seguridad absoluta no existe y que no hay software sin vulnerabilidades. Asi que sanciones para todos!

Madrikeka dijo...

La verdad que es un texto interesante, cada uno defiende sus intereses y como bien dice el comentario de Antonio Javier, puede haber gente que no quiera parchear o preocuparse mas por la seguridad en todos sus aspectos por temas económicos.

Por supuesto, que esa persona se hara responsable de si le entran y les roban datos y por supuesto, si afecta a mas personas el no parchear esas vulnerabilidades, el estado debe hacerle pagar por no hacer las cosas como es debido.

Otro tema, como bien dices, son las empresas que no parchean sus propias vulnerabilidades, tipo apple, igualmente, al afectar a un rango tan amplio de gente, la empresa correspondiente ha de pagar una suma cuantiosa.

Esto es sencillo, si alguien tiene que ser multado por explotar una vulnerabilidad, lo lógico es que se multe al que ha permitido que esa vulnerabilidad exista y no sea corregida a tiempo.

Un saludo.


PD: joer....que comment mas serio me ha salido, :D

sls dijo...

siempre con apple en el rabillo del ojo... no cambiáis...