Aunque a muchos les parezcan tediosas, las actualizaciones de seguridad cumplen un rol fundamental en la salud de nuestros dispositivos. Mantenerlas al día puede definir cuestiones tan relevantes como la seguridad de nuestra información personal, involucrando fotos, grabaciones, cuentas y la totalidad de información digital que producimos. Sin embargo, tanto desde los fabricantes de software, como desde los mismos usuarios, no siempre se consideran como tal.
Es probable que en más de alguna ocasión hayas recibido un aviso en el computador de escritorio o celular con el aviso de alguna actualización. Las actualizaciones de software son paquetes que modifican o incorporan funciones en un programa; tratándose de seguridad, estas actualizaciones tienen la función de reparar errores o problemas específicos que presente un software. Aunque no lo notemos, los agujeros de seguridad son muy frecuentes y día tras día se desarrollan exploits para aprovecharlas.
Un exploit es un código que se crea específicamente para funcionar en base a un agujero de seguridad, con la intención de obtener privilegios para realizar otras actividades o doblegar el funcionamiento de un dispositivo. Existen exploits que utilizan agujeros que ya han sido conocidos por las firmas o comunidades, y otros que utilizan vulnerabilidades desconocidas, para los cuales no hay solución; a estos últimos se les llama 0 day.
La cuestión de la seguridad informática afecta transversalmente a quienes utilizan computadoras e internet. La pretensión de querer información de otros usualmente se vincula a robos o estafas por internet, aunque se trata de un tema mucho más extenso. Los mecanismos de vigilancia y vulneración a la privacidad también son requeridos con fines políticos y/o intereses personal, por lo que ser cauteloso con la forma en que usamos nuestros dispositivos es fundamental.
“No existe la seguridad absoluta”
Los sistemas operativos necesitan ser actualizados. Para esto, es fundamental que los desarrolladores liberen los parches correspondientes, ya sea en el caso de las compañías o de las comunidades/persona(s) que están detrás de un software. Sobre este tema conversamos con, Gabriel Bergel, fundador de la conferencia 8.8, CSO Dreamlab Technologies y CSA ElevenPaths, quien fue enfático al señalar que “no existe la seguridad absoluta”.
FayerWayer: Las compañías no siempre están alerta de los errores que se reportan en sus productos, ¿por qué es importante que lo estén?
Gabriel Bergel: Probablemente las empresas más grandes o maduras son las que tienen equipo internos constantemente revisando sus aplicaciones y generan actualizaciones, pero en otras no es así. El problema es que hoy en día todo ocupa un computador; en IoT es muy normal encontrar vulnerabilidades. Por ejemplo, hay lavadoras que se conectan a internet y probablemente los que desarrollan esas lavadoras no sean expertos en seguridad, haciendo muchas veces que esos sistemas sean vulnerables; tienen otro objetivo de negocio pero como ocupan computadores internos, se ven expuestos.
Es muy relevante que estas compañías estén constantemente auditando sus sistemas, porque estas vulnerabilidades pueden hacerse masivas, llegando a afectar la privacidad de las personas. El compromiso que tienen q tener las compañías es justamente no exponer a los usuarios. Es un acuerdo tácito. Como usuario uno espera que el producto cuente con actualizaciones. Las empresas tienen que hacerse responsables y los usuarios, por su parte, tienen que preocuparse de instalarlas. Es una recomendación transversal para todos los dispositivo que se conectan a internet.
FW: Hay veces en que los investigadores de seguridad desarrollan exploit día 0, antes de que las vulnerabilidades se puedan parchar. ¿Qué debería hacer el usuario en esas circunstancias?
GB: Lamentablemente en ese caso se trata de vulnerabilidades que no tienen solución. Pasa porque hay un tercero que la descubre, no un fabricante. Ahí existe un espacio en el cual están todo expuestos. Hay tecnologías de parchado virtual que protegen de la explotación, pero lamentablemente el usuario no puede hacer mucho. Sin embargo, existen muchos 0 days. En ese marco, yo diría que es más grave usar sistemas que ya no tienen soporte, porque ahí si que te puedes ver comprometido. Windows XP, por ejemplo, ya no tiene soporte de Microsoft. Cualquier 0 day que aparezca, no va a ser parchado.
FW: Cuando los productos cumplen sus ciclos y dejan de recibir actualizaciones de seguridad, ¿qué es lo que se debe hacer?
Hay que actualizar a las próximas versiones. Esto siempre se avisa. Se hace un “end of life”, se menciona que el producto no se desarrolla más, y luego se declara “end of support”, o sea ya no lo desarrollan y no liberan más actualizaciones. Hay compañías que obligan a actualizar y otras que no; esto último puede crear segmentación, donde existen tantos equipos como versiones del sistema operativo.
FW: Muchas veces el software se desarrolla para un hardware en específico y con el tiempo las actualizaciones piden cada vez más recursos, colapsando a parte de los dispositivos. ¿Es necesario mantener un equilibrio con los requerimientos?
GB: Definitivamente. Es una forma que tienen las empresas para obligar a actualizar el equipo, para que el hardware nuevo pueda correr el nuevo sistema operativo.
Hay una lógica de consumo por detrás.
Sí, también. Al final todas las empresas tienen un objetivo comercial. Pero si lo ves desde un punto de vista de seguridad, también te obliga a tener la versión más actualizada.
FW: Hay personas o instituciones que no pueden comprar los dispositivos más actuales, porque les significa mucha inversión. ¿Cuál es la opción que tienen?
GB: Es un conjunto de cosas. Si el fabricante de hardware no se preocupa de tener sus equipos actualizados o si su hardware no soporta versiones nuevas, lamentablemente el usuario no puede hacer mucho. En el mundo de los celulares, todavía tiene mucho que ver con los fabricantes, y no quedan tantas opciones, pero en los sistemas de escritorio, hay alternativas, como las distribuciones Linux. En este caso, es necesario tener algo más de conocimiento y configurar ciertas cosas, pero eso también permite tener mayor seguridad.
FW: ¿Qué modelo de desarrollo recomendarías o te da más confianza para disminuir los fallos de seguridad?
GB: En el último tiempo se ha comenzado a hablar de tener un ciclo de desarrollo seguro. Esto quiere decir que, se van probando los módulos y se van actualizando antes de salir a producción. Es más certero para lanzar productos seguros, aunque eso no quiere decir que no se vayan a tener que lanzar actualizaciones en un futuro. Si uno no tiene integradas pruebas de seguridad o auditorías dentro de un ciclo de desarrollo, de ese producto pueden salir muchas vulnerabilidades.
Por eso cada vez se capacita más a las personas encargadas de seguridad, para que analicen código fuente y también realicen análisis de seguridad dinamicos, donde se revisa la aplicación en el entorno donde va a funcionar (sistemas operativos, bases de datos, etc). Lo ideal es que todas estas pruebas sean parte de los ciclos de desarrollo, para se cuente con un nivel de seguridad mínimo.
The post Gabriel Bergel, fundador de conferencia 8.8: “No existe la seguridad absoluta” appeared first on FayerWayer.
Comentarios recientes