En 2017 publiqué un pequeño libro sobre ciberseguridad (Amazon; Origin Shop) bajo la convicción de que es imprescindible que todos, seamos técnicos o no, conozcamos los conceptos básicos para comprender la tecnología en la que se basa la sociedad actual. En la entrega de hoy explicamos los conceptos principales, el vocabulario empleado a la hora de hablar de ciberseguridad o seguridad informática.
Parte 1: Criptografía
Parte 2: Cifrado y correo electrónico
Parte 3: Malware y amenazas
Parte 4: Seguridad de redes
Esperamos sus comentarios.
Conceptos básicos
En esta sección proporcionaremos definiciones lo más claras y concisas posibles para los conceptos más importantes en el área de la seguridad informática.
Según los miembros de la Asociación de Auditoría y Control de los Sistemas de Información (ISACA por sus siglas en inglés), ciberseguridad es la “protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados.” [2]
Vamos a analizar esta definición. Sus términos clave son “activos de información”, “sistemas de información”, “riesgo” y “procesamiento”.
Según el estándar ISO/IEC 27001 (Tecnologías de la Información – Técnicas de Seguridad – Sistemas de Gestión de la Seguridad de la Información), “la información es un activo que, como otros activos importantes de negocio (sic), es esencial para el negocio de una organización y por lo tanto tiene que ser protegido de forma adecuada.” [3]
En términos más claros, un activo de información es “la información que tiene valor para una organización”. Considerémonos a nosotros mismos como una organización y pensemos qué información tenemos, o hemos generado, que sea valiosa para nosotros. Ejemplos habituales serían: copias de documentos oficiales (pasaporte, tarjeta sanitaria, etc.), datos bancarios (cuentas, saldos, etc.), vídeos y fotos que hayamos hecho nosotros o en las que aparezcamos, películas, libros, música que hayamos comprado, etc.
En este punto recomendamos al lector que reflexione cinco minutos sobre los activos de información de que dispone. Intente rellenar una tabla como la que verá a continuación. Guárdela. La utilizaremos más tarde para realizar un análisis de riesgos de sus activos de información.
Tabla 1: Inventario de activos de información
Seguimos con las definiciones. Un sistema de información es un conjunto integrado de componentes utilizados para recoger, almacenar y procesar datos, así como para proporcionar información, conocimiento y productos digitales elaborados a partir de esos datos. [4]
Esta definición es clara y concisa, pero algo difícil de aplicar en la práctica. Pensemos en WhatsApp, un conocidísimo sistema de mensajería a través de Smartphone. ¿Qué datos se recogen, almacenan y procesan? ¿qué producto digital, información y conocimiento es generado por WhatsApp? ¿De qué elementos se compone su sistema de información? Intentemos responder a estas preguntas:
Los datos recogidos, almacenados y procesados por WhatsApp podrían ser: los usuarios de WhatsApp representados por el número de su teléfono móvil; esos mismos teléfonos móviles; los mensajes enviados (compuestos del mensaje en sí: un texto, un emoticón, una foto, un vídeo, así como de su meta-información: el emisor, el receptor, la fecha y hora de envío, el estado del mensaje –enviado, recibido, leído-, la ubicación de receptor y emisor a la hora de enviar y recibirlo, respectivamente). El producto digital sería un sistema de mensajería. La información transmitida sería el mensaje completo tal y como acabamos de describirlo. ¿El conocimiento? Pues usen la imaginación y piensen qué tipo de análisis se podría realizar con los datos almacenados por WhatsApp. Solamente analizando los datos de envíos, sin entrar en el contenido de los mensajes, se puede inferir la pertenencia a determinadas comunidades, las redes de amistad, la intensidad de la relación. Ahora añadan a la comunicación el análisis del contenido de los mensajes. El resultado es una buena radiografía personalizada de los usuarios de WhatsApp.
Los componentes que conforman WhatsApp son por supuesto un secreto empresarial, pero se puede aventurar cuáles son: aplicación WhatsApp instalada en los millones de teléfonos inteligentes de sus usuarios; la red de comunicaciones del proveedor de telefonía móvil del usuario (GPRS, 3G, 4G, UMTS, etc.), Internet (a este componente tan especial le dedicaremos un capítulo entero), los servidores de aplicación y bases de datos propiedad de WhatsApp, las aplicaciones informáticas usadas por los empleados de WhatsApp para gestionar su sistema y su empresa, incluyendo la actividad de obtención de conocimiento a partir de los datos almacenados.
Queda como ejercicio para el lector pensar en los componentes del sistema de información de un banco, incluyendo cajeros automáticos y los terminales de venta utilizados en comercios para realizar pagos con tarjetas de crédito y débito.
Ahora que sabemos lo que es un sistema de información, podemos pensar en sus riesgos inherentes. Un riesgo no es más que la combinación de la probabilidad de un evento y las consecuencias que tendría que de ese evento ocurriese. [3] Hemos representado este concepto en la Tabla 1: Inventario de activos de información. El evento sería la pérdida del activo. El riesgo vendría determinado por la probabilidad de perder el activo y por el impacto que tendría esa pérdida para la organización o la persona. Otro riesgo muy importante, a tener siempre en cuenta, es: ¿qué pasaría si el activo de información cayese en manos de la persona equivocada?
Como en cualquier otra actividad humana, la eliminación total del riesgo es imposible. Lo que sí es deseable es la presencia de un proceso de gestión de riesgos (actividades coordinadas de análisis, evaluación y tratamiento) mediante el cual se identifiquen y midan los riesgos y se traten los más importantes. Este es el objeto de estándares de seguridad de la información como ISO/IEC 27001, que son de obligado cumplimiento en muchas partes del mundo para organizaciones que gestionan información confidencial.
La seguridad de la información viene definida en el ya mencionado estándar ISO/IEC 27001 como la “preservación de la confidencialidad, la integridad y la disponibilidad de la información. Además, pueden tratarse otras propiedades, como la autenticidad, la responsabilidad de las acciones, la no repudiación y la fiabilidad”. [2]
Centrémonos en las tres propiedades principales, que en el sector de la ciberseguridad son conocidas como la “CIA” por sus siglas en inglés. Confidencialidad: Solo las personas autorizadas para acceder a cierta información pueden acceder a ella.
Integridad: La información no se manipula ni tergiversa cuando está almacenada ni cuando se está transfiriendo.
Disponibilidad (“Availability” en inglés, de ahí el acrónimo CIA y no CID): La información está disponible cuando se necesita, desde donde se necesita.
Las otras propiedades son:
Autenticación: Se identifica unívocamente quién generó la información.
No repudiación: “El usuario no puede negar que hizo algo”, por ejemplo: acceder a la ficha de un cliente, realizar un pedido, haber sido él quien envió un mensaje de correo electrónico, etc.
Espero que, con los ejemplos de sistema de información que hemos mencionado anteriormente (mensajería privada Whatsapp y gestión de una entidad financiera), el lector esté convencido que un cierto nivel de seguridad de la información es necesario, dependiendo del sistema en cuestión y de la circunstancia. Si es usted un miembro de una minoría perseguida en su país, le va la vida en que sus comunicaciones electrónicas no caigan en manos de las autoridades (es decir, es imprescindible que se respete el principio de Confidencialidad). Si de repente se cambia el saldo de su cuenta bancaria por un error en sus datos, o ya de plano “desaparece” su cuenta bancaria (es decir, no se cumple el principio de Integridad), el impacto en sus finanzas va a ser evidente.
Antes de proseguir, por favor conteste a estas preguntas y guarde sus respuestas. Veremos más adelante si, tras leer este pequeño volumen, cambian algunas de ellas.
1. Cuando enciendes el ordenador, ¿necesitas introducir una contraseña?
2. Cuando dejas de usar el ordenador, ¿se bloquea solo con contraseña tras un cierto tiempo de inactividad?
3. ¿Dónde guardas las contraseñas para conectarte a sitios web y a redes sociales?
4. ¿Repites contraseñas?
5. ¿Usas antivirus en tu ordenador?
6. ¿Está tu ordenador actualizado?
7. ¿Actualizas regularmente el software que utilizas, incluido el sistema operativo?
8. ¿Utilizas un cortafuegos en tu ordenador?
9. ¿Tienes copias de seguridad de tus datos importantes en algún sitio además de tu ordenador?
10. ¿Sabes si has sido alguna vez víctima de un ataque cibernético?
I believe that with the pandemic many people have suffered from attacks by cybercriminals, since unfortunately not all of us know how we can take care of ourselves and that now not only viruses that damage our computers travel through the internet, but also programs that are in charge to extract information (especially financial), I believe that your article alerts in a very simple way and easy to understand the principle and the need for cybersecurity. thanks for sharing