martes, 19 de mayo de 2009

Cuando el exceso de seguridad conduce a la inseguridad

La seguridad informática...ese gran misterio, ese persistente temor en el mundo interconectado, digital, globalizado.

Es evidente que, en la medida que los sistemas informáticos, que las comunicaciones digitales, son contenedores y portadoras de elementos valiosos, deben estar sometidos a protección. Es lo prudente, es lo lógico, es lo que todos deseamos.

Muchos mecanismos han sido ideados, desde los más simples de identificación y autenticación, pasando por complejos sistemas biométricos, por leyes como LOPDCP o por procedimientos de seguridad física. Y lo más ¿ simple ? sigue siendo el usuario y la contraseña...rodeada de variedad de políticas para hacer este mecanismo más seguro.

Sin embargo, estimo que en ocasiones, el exceso de celo en la protección, las exigencias exageradas, condujen de manera paradójica y como efecto colateral indeseado a una pérdida de seguridad.

Dos ejemplos que he vivido recientemente.

Me tengo que desenvolver en un entorno en que manejo gran variedad de sistemas, con políticas y directivas de seguridad, con diferentes repositorios de identidades...no coordinadas, por supuesto, por mecanimos de single sign-on. Recientemente, tuve que actualizar una contraseña, pero la política de contraseñas era tan extraña, la combinación exigida de longitud, números, caracteres, símbolos tan maniática, que me costó numerosos intentos conseguir una contraseña que fuese aceptada...temporalmente, pues dentro de un tiempo me obligará a cambiarla...eso, si no la he olvidado antes.

¿ Os lo imagináis ? Muchas identidades y contraseñas, no coordinadas, con directivas diferentes y caprichosas y con obligación de modificarlas cada cierto tiempo...sin reutilizar una contraseña anterior. A lo mejor, si se piensa en un acceso individual, es una política muy cuidada, muy segura, pero... ¿ en su conjunto ? No creo que haya ser humano capaz de acordarse de decenas de contraseñas caprichosas y sometidas a continuos cambios. ¿ Qué opción te queda ? Pues apuntarla en alguna parte, en un fichero, en una libreta, en un Post It... O sea, adiós seguridad. Un mecanismo más sencillo de contraseñas coordinadas podría permitirte recordarlas pero la marañá de numerosas contraseñas sometidas a caprichosas y diferentes directrices y obligada a continuos cambios, lo convierte en misión casi, casi imposible. Un exceso de seguridad que puede conducir, paradójicamente, a la inseguridad.

En otro entorno, hace poco accedí a un cajero automático de un conocida entidad. Sólo quería conocer el saldo y sacar un puñado de euros. Es conocido que en el acceso a un cajero mediante tarjeta de crédito o débito existe un mecanismo de identificación / autenticación basado en el PIN de la tarjeta. Y es conocido, igualmente, que los delincuentes han ideado ingeniosos mecanismos para poder grabar la digitación de ese PIN. La solución es tapar la mano cuando se teclea. Pero creo que, siempre existe una posibilidad (mediante grabación en un ángulo inesperado, mediante observación de la posición de la mano y movimiento de los dedos o mediante el sonido que emite el teclado), de intentar deducir el PIN. Pues bien, en la sencilla operación de consultar el saldo y sacar dinero el susodicho cajero me pidió el PIN ¡¡¡ tres o cuatro veces !!! ¿ No es eso multiplicar las posibilidades de que, por observación maliciosa, alguien pueda deducir lo que se teclea ? ¿ No es posible, igualmente, que por el aburrimiento de la repetición, el usuario relaje las precauciones y la ocultación de lo que está tecleando ? ¿ No podría, de nuevo, un exceso de celo en la seguridad, conducir a la inseguridad ?

La seguridad no es sólo cuestión de tecnología, leyes y procedimientos. También es cuestión de sentido común...