La seguridad no importa a los usuarios

l experimento ha sido realizado en Londres, en una zona de gran
actividad comercial. El pasado 14 de febrero, supuesto día de los
enamorados, algunos empleados de la compañía "The Trainning Camp" entregaron en mano a viandantes en general que acudían a su lugar habitual de trabajo, un CD. Bajo la excusa de que el disco contenía información sobre una promoción especial motivada por el señalado día  de San Valentín, se iba regalando a los ejecutivos.

Sin embargo, los compactos no contenían en realidad tal oferta, sino un simple código que permitía informar a la compañía de quién había ejecutado el programa en su interior. Entre ellos, según la noticia, se encontraba personal de grandes bancos y aseguradoras multinacionales. Lo más grave es que en la carátula del CD se advertía claramente sobre los peligros de la instalación de software de terceros no confiables, y de que el hecho de hacerlo podría suponer una violación de las políticas de seguridad del lugar donde se instalase. Parece ser que el consejo no  fue suficiente para muchos, que simplemente se dedicaron a explorar e incluso ejecutar los programas en el CD sin dar mayor importancia a la advertencia.

"The Training Camp" es una compañía del Reino Unido dedicada a la impartición de cursos "acelerados" destinados a la obtención de
certificados oficiales de seguridad. Rob Chapman, su director, pretendía de esta forma promocionar sus cursos. Afirma que el código en el CD no infringía ningún daño sobre el sistema ni tomaba información alguna del mismo, aunque, según él, queda implícito que cualquier otro tipo de acción malintencionada hubiese sido posible además de haber tenido desastrosas consecuencias.

El hecho de haber tomado el disco compacto en la calle y haberlo
introducido en sus sistemas, viola toda regla básica de seguridad. "Los empleados deben reconocer que suponen el primer y más sencillo paso hacia la red de la compañía en la que trabajan", concluyó Chapman.

La nota de prensa del experimento no ofrece ningún tipo de dato objetivo sobre el porcentaje de empleados que "cayeron en la trampa", número de "señuelos" repartidos, método utilizado para conocer quién había ejecutado el programa o a qué nivel lo había hecho (introducir el CD, explorarlo, ejecutar programas en su interior...). Tampoco se habla en la nota sobre la posibilidad de que, aunque se hubiese ejecutado el contenido del disco, los sistemas de seguridad de la red en la que se utilizase impidiesen de alguna forma la notificación de que la acción se había realizado. Es probable que "The Training Camp" se sirviera de una
petición a un servidor web o a través de correo para saberlo, pero esto no siempre es permitido por cortafuegos y otros sistemas de seguridad. Además de ser posible que se haya ejecutado el señuelo y no haya sido notificado, no se pueden sacar porcentajes concluyentes sobre el estudio al no disponer de cifras significativas. Todo esto limita considerablemente el poder sacar contundentes consecuencias de un estudio de estas características.

En todo caso, resulta curioso un experimento de este tipo en el que, sobre cualquier otra conclusión, prima el hecho de que muchos usuarios hagan caso omiso de claras advertencias expuestas. Las advertencias de que el software no es seguro, pierden impacto cuando se hacen sobre cualquier tipo de programa ejecutable que llegue de fuentes confiables (o no). Esta actitud relaja a la larga las defensas de la mayoría de los
usuarios. Advirtiendo de los potenciales peligros de "todo", se obtiene el efecto contrario: si constantemente "todo" es potencialmente peligroso y se advierte sobre ello, a la larga, el usuario asociará esa característica (peligroso) con todo el software; se volverá un concepto ligado siempre a cualquier programa, aprenderá a asumirlo como riesgo intrínseco y se le prestará cada vez menor atención. Si "todo" software es potencialmente peligroso, entonces, con el tiempo y en la práctica, "ninguno" lo será para el que es constantemente advertido sobre ello.

Aunque necesaria, si se mantuviese a rajatabla esta actitud conservadora  y se acatara estricta y constantemente las advertencias, también se  produciría una situación insostenible. Se limitaría en exceso la  capacidad de trabajo y reduciría la comodidad de uso en el sistema que es en realidad lo que el usuario y administrador deben buscar  por consenso en un entorno seguro.

Pero esto ocurre no solo en el software, sino en gran cantidad de los productos que usamos cada día. Prácticamente, hemos aprendido a obviar ciertos peligros por repetitivos y asumidos. El problema es que no por ello pueden resultar menos dañinos.

Otra conclusión ya observada en muchas ocasiones, es el peligro que representan los empleados en la cadena de seguridad de cualquier empresa. Como decía Champan, suponen el mayor riesgo de seguridad, por la confianza intrínseca depositada en ellos y los derechos inherentes que deben poseer sobre la red. Si no son correctamente formados, pueden suponer un riesgo para cualquier red corporativa y, ya sea consciente o inconscientemente, provocar un incidente de seguridad importante en el sistema.

Lejos de poder sacar conclusiones objetivas, lo que viene a recordar  el experimento es que el hecho de que empleados utilicen habitualmente, sin ningún tipo de problema ni cortapisas, sistemas corporativos para ejecutar programas de dudosa procedencia en los que se advierte explícitamente sobre su potencial peligro, es que queda mucho camino por recorrer en este sentido. Es igualmente aconsejable invertir en recursos técnicos que nos protejan del exterior como en recursos
humanos preparados para el trabajo con sistemas informáticos, que sean conscientes de las amenazas reales y que estén convenientemente formados en seguridad.


Más información:

Proof: Employees don't care about security
http://software.silicon.com/security/0,39024655,39156503,00.htm