Esta noticia, aunque ha pasado inadvertida en los medios de comunicación, vuelve a primera plana dado que la UE ha cerrado su mercado de emisiones de CO₂ tras un nuevo ataque que había permitido a sus autores lograr hacerse con permisos de emisión por valor de siete millones de euros en la República Checa.
Como se suele decir, el hombre es el único animal que tropieza dos veces en la misma piedra. No hay peor defensor que el que subestima a su atacante y en este caso además, debiera aplicarse el sentido común para detectar que un sitio Web con semejante trascendencia y potencial botín no va a dejar de ser avasallado hasta lograr la fechoría.
Los consultores de seguridad si algo tenemos como característica innata es la capacidad no sólo de pensar cómo se protege un elemento sino también de cómo se ataca. Debemos ser capaces de ponernos en la mente del agresor y detectar cual podría ser su modus operandi. En estos casos siempre considerando que será más listo que nosotros por una sencilla razón: el agresor siempre tiene ventaja. A nosotros nos toca vigilar a todas las ovejas mientras que el lobo sólo tiene que permanecer al acecho, buscar la más débil y atacar en un momento de despiste. Por tanto, hay una descompensación en los esfuerzos de defensa y de ataque a favor del agresor.
Nuestra forma de razonar no es pensar en cómo tienen que hacerse las cosas para que funcionen bien (visión más ingenieríl) sino en cual será la lógica del agresor para vulnerar el sistema. Un buen consultor de seguridad debe ser un buscador de "Talones de Aquiles", de eslabones débiles que pudieran tirar por tierra todo el esfuerzo empleado en fortificar un sistema. Y aunque a veces pueda resultar excesivo o extremadamente paranoico, la realidad luego se encarga de demostrar que precisamente estos pequeños agujeros poco probables son los que acaban generando problemas de seguridad.
En el caso a modo de ejemplo de vigilar las ovejas, el pastor estará atento no solo al rebaño sino también a los sitios por donde pasa y en donde el lobo pudiera tener más fácil salirse con la suya. Esta manera de actuar no es más que la construcción mental de "Arboles de ataque" que sirven para identificar las potenciales vulnerabilidades del sistema de protección o localizar nuevos frentes que debieran ser vigilados.
El caso del mercado del CO₂ debiera servir como ejemplo para nuestras Administraciones Públicas que andan muy dormidas en materia de seguridad de la información. El problema de seguridad de los sitios Web afectados ha sido debido principalmente a la debilidad del sistema de autenticación basada en usuario y contraseña que ha permitido realizar diferentes oleadas de phishing y comprometiendo cuentas de usuarios con privilegios para la adquisición de derechos de emisión.
Precisamente hoy vence el plazo de adecuación de sistemas establecido por la Disposición Transitoria del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. que establece lo siguiente:
Adecuación de sistemas.
1. Los sistemas existentes a la entrada en vigor del presente Real Decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente Real Decreto desde su concepción.
2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.
El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes.
3. Mientras no se haya aprobado una política de seguridad por el órgano superior competente serán de aplicación las políticas de seguridad que puedan existir a nivel de órgano directivo.
Es comprensible que los esfuerzos por hacer avanzar la Administración electrónica hagan correr a los responsables en la puesta en marcha de servicios al ciudadano. Sin embargo, no es tan razonable que esa puesta en servicio deba realizarse con un sacrificio de las medidas de seguridad. Al igual que no se les ocurriría habilitar una sede o edificio sin puertas ni ventanas, no debieran lanzarse sitios Web sin las correspondientes mínimas medidas de seguridad. Porque el problema es que una vez se ponen en marcha mientras no se detecten incidentes todo el mundo estará confiado hasta que venga "el lobo" y se lleve por delante a varias ovejas. Eso es lo que ha ocurrido con el mercado del CO2 a nivel europeo, y como ya postee la vez anterior, el fraude fue detectado 18 meses después con una pérdidas estimadas de 5.000 millones de euros. El crimen está muy organizado y se mueve ahora como pez en el agua en materia de nuevas tecnologías. Lo grave de este tipo de robos es que son rápidos y relativamente limpios por lo wue tardan en ser detectados.
En la situación de crisis en la que estamos, lo que menos nos podemos permitir ahora son pérdidas millonarias por descuidos de nuestros servicios Webs que permitan a chorizos internacionales defraudar. Por tanto, o los servicios gozan de esa "seguridad por defecto" que exige el R.D. 3/2010 o nos estamos quietecitos y no lanzamos nuevos portales de tramitación que no reúnan las medidas adecuadas.
Como este año va ser difícil cortar la cinta de construcciones y edificios de grandes presupuestos, mucho me temo que a los políticos les va a tentar vender modernidad y cercanía al ciudadano queriendo alardear de innovación, cambio del modelo productivo y servicios de tramitación telemática. Por tanto, de nuevo, política de fachada y de andamios para vender servicios terminados que se mantienen con palos y cañas.
Porque lo peor para la seguridad es siempre subvestimar al enemigo o refugiarse en una falsa sensación de confianza. Te despiertas del "sueño de la seguridad" con la realidad de descubrir que vivías sólo del teatro de la seguridad. Por tanto, es necesario garantizar la seguridad de todos los eslabones de la cadena por igual o todo el esfuerzo se vendrá al traste. Siempre el más debil será la primera víctima y producirá que el resto de eslabones sean inútiles para el objetivo planteado.