Leyendo un artículo de Kriptópolis, me encuentro con una referencia a Peter Tippett en la que éste hace un símil entre la seguridad en la industria automovilística y la industria de la seguridad informática. Aunque puedo coincidir con este señor, creo que no es una comparación del todo justa. En primer lugar, un coche es un componente del mundo real que realiza unas funciones concretas (aunque pueda utilizarse para otros fines no contemplados, como descubrir el amor en la adolescencia o rodar colina abajo). Normalmente el coche ofrece menos complejidad que un sistema software, a pesar de que cada día tengan más electrónica, ya que está diseñado para un fin muy específico: gastar combustible, y por ello pagar más impuestos, u obligarme a pagar el impuesto de matriculación y circulación (más impuestos).

Los sistemas informáticos, por el contrario, suelen ser bastante más complejos y también más genéricos o configurables (tomo por ejemplo KDE 4.0.1 que ofrece una barbaridad de opciones de configuración y adaptación que nadie sabe cómo usar realmente), lo que aumenta la complejidad exponencialmente. El problema es que no es humanamente posible diseñar casos de prueba para todas las posibles combinaciones (no sólo del sistema como un ente autónomo, sino del sistema en cooperación con otros, como KDE interaccionando con D-BUS que a su vez interacciona con UDEV que a su vez interacciona con el núcleo). A veces las interfaces no están suficientemente blindadas y simplificadas porque se busca flexibilidad y la capacidad de adaptar el sistema a demandas futuras sin necesidad de re-escribir todo el sistema desde cero (véase como ejemplo SAP R/3, que requiere habitualmente de 14 a 30 meses de configuración para adaptarse a cualquier tipo de empresa, desde la que hace blanqueo de dinero a la que vende bacalao o queso). Hacer estas interfaces tan flexibles hace que puedan ser utilizadas de forma errónea (y que el cliente de la interfaz o el mismo servicio funcionen erráticamente) y que simplemente contengan fallos porque no es factible probar todas las posibles interacciones (llamar al método foo() y después al método bar() para después llamar al método yada(), … combinación que raramente se utiliza), ya sea por costes monetarios o de tiempo (algunos proyectos tienen que ser entregados en algún momento, no como Windows Vista que se puede demorar ad-infinitum sin que a nadie le importe). Como dicen muchos, la complejidad es el mayor enemigo de la seguridad. Por consiguiente, es imperativo que nosotros (y cuando digo nosotros realmente quiero decir vosotros) pongamos algo de cordura a la complejidad que nos rodea y nos deshagamos de esa nevera que tenemos en la cocina con pantalla LCD de 20″ incorporada que hace cubitos de hielo y la lista de la compra y que viene con conexión a Internet y que la reemplacemos por una de esas neveras que usaban nuestras abuelas que sólo tenían una puerta y ni siquiera un botón para encenderlas o apagarlas (menos aún un botón para resetear, como el que traen las que vienen con Windows Mobile).

Además de todo lo expuesto anteriormente, creo reducir la seguridad de un “PC” (sobre todo si es un PC son un sistema operativo de baja calidad, con demasiadas funcionalidades y poco personalizable) a su punto de conexión en la red es un craso error. Cuando hablo de “punto de conexión a la red” me refiero a depender de cómo me conecto a Internet: desde mi casa con mi propio cortafuegos suministrado por Telefónica con las contraseñas por defecto habilitadas, o en un cibercafé a través de una red inalámbrica abierta que comparto con aquel señor de la otra esquina y aspecto inquietante. En cualquiera de los dos casos, el nivel de seguridad obtenido es diferente (sobre todo si el señor de la esquina tiene un aspecto realmente inquietante). Si el “PC” es un PC de escritorio (preferiblemente de más de 10 kilos y sin asa para poder pasearlo libremente), es probable que el punto de conexión a la red no cambie y, por ende, el nivel de seguridad permanezca relativamente estable a lo largo del tiempo (puede que tu “PC” con Windows adquiera algunos “inquilinos” traviesos con el paso del tiempo, pero su seguridad no se degradará mucho ya que anteriormente era, de por sí, realmente inseguro). Sin embargo, en dispositivos portátiles o móviles supone un problema mayor. Por ello, es importante asegurar el disposito en sí mismo, eliminando servicios innecesarios, usando un cortafuegos, usando herramientas como NoScript y navegadores seguros (aunque algo inestables como el Firefox), usando el sentido común (el menor común de los sentidos), utilizando gestores adecuados de contraseñas y disponer de múltiples de ellas (usar el PIN de la tarjeta de crédito como contraseña para registrarme en aquel sitio en el que me juraban regalarme un viaje al Túnez si me daba de alta), no usar Windows ni Mac OS X (a cual peor) ni tampoco Linux (mejor un sistema operativo raro, como QNX, MS-DOS o quizá FreeBSD), limitar las horas de navegación a la semana a menos de 300, y no consultar sitios potencialmente peligrosos (como Windows Live! o la página de El Mundo), pueden ayudar a incrementar el nivel de seguridad del usuario sin necesidad de depender en el punto de conexión a la red.

Con esto no quiero decir que la seguridad de la red no sea importante. Todo lo contrario. Pero dado que cada día es más habitual utilizar redes inalámbricas y que dejamos otros usuarios las usen y compartan con nosotros (lo digo como buen FONero que soy), como amigos, novias o vecinos con ADSL de 1Mbps de Terra. Por ello, la frontera entre lo que es “mi” red y el “resto” es cada día más borrosa y es necesario aplicar el concepto de seguridad por niveles y asegurar todos y cada uno de los componentes. Y eso incluye esta antigua impresora HP LaserJet con el adaptador de Ethernet que alguien compró hace 12 años y que un día se quedó sin tóner y papel porque un hacker se coló en la red y mandó a imprimir el manual de usuario de AutoCAD 9.

En definitiva: os recomiendo que veáis más la televisión y la Fórmula 1 y que dejéis de escuchar la radio o leer periódicos normales o navegar tanto por Internet porque es peligroso y, en general, sólo se encuentran piratas, friks o gente con ideas descabelladas y estúpidas o con ganas de robarnos el dinero o extorsionarnos (desde Rusia, con Amor).