¿Dónde está la ciberpolicía cuando se la necesita?

Esta tarde se ha celebrado una interesante conferencia de seguridad en el Círculo de Bellas Artes de Madrid. Patrocinada por Panda Security, que además han pagado las copas y la cena (lo cual se agradece), contaba con un conjunto de expertos de seguridad muy bien nutrido, como Bruce Schneier (quizá el invitado clave) y hasta nueve más que podemos ver aquí abajo. Probablemente todo el evento estará visible en internet más tarde.



La conferencia ha comenzado con una charla de Bruce, en la que ha empezado por los principios básicos. Según él, (me recuerda mucho a cosas de las que se habla en el libro de Tim Harford "el economista camuflado"), la seguridad informática es un tema fundamentalmente económico, en el que influyen al menos cuatro principios económicos:

1. Los efectos de red (ha citado la ley de Metcalf, que todos debemos saber que no debe aplicarse matemáticamente sino cualitativamente), que llevan a la informática a tener proveedores únicos (o dominantes), ya que el valor de el proveedor dominante se hace mucho mayor y se realimenta cuantos más usuarios tenga (originalmente proporcional al cuadrado del número de usuarios).
2. Unos costes fijos elevados y unos costes marginales muy bajos, que llevan a establecer todo tipo de protecciones para poder recuperar los costes fijos (sobre todo en el software, pero ha citado también medicamentos, consolas de videojuegos y móviles).
3. Unos elevados costes de cambio que llevan a los usuarios a no cambiar de proveedor. Esto hace que haya una gran ventaja competitiva en ser el primero en entrar en un mercado, y por tanto si se puede tener el producto software antes aunque no sea seguro, es económicamente muy ventajoso.
4. Y el efecto del mercado de limones, conocido por los estudios de Akerlof, por la cual cuando hay un mercado asimétrico donde el comprador tiene menos información que el vendedor y hay productos buenos y malos, al final los productos malos desplazan a los buenos porque los compradores como no pueden escoger por otro parámetro tienden a pagar lo menos posible para minimizar el riesgo de comprar productos malos (limón en inglés informal significa algo que suele acabando ser malo, como cuando te dan un limón por una naranja).

Según estos principios, todo nos lleva a que tengamos productos con una mala seguridad, todos el mismo, y que nos quedemos con ellos.

La solución que proponía ya ha sido aplicada con cierto éxito en otros casos (y también se encuentra en el libro de Tim Harford), y se basa en el concepto de externalidad: las consecuencias adversas que puede tener una decisión, pero que no afectan a quien las toma, como por ejemplo la contaminación por CO2 (que sufrimos todos, aunque sean emitidas por fábricas o centrales térmicas). La solución es conseguir que quien tome la decisión asuma el coste de la externalidad, como por ejemplo en el caso del propio CO2 (por ley quien emite CO2 tiene que conseguir el derecho a emitirlo, por lo que tiende a encontrar maneras de emitir menos que cuesten menos que ese derecho). Bruce ha citado el caso de las tarjetas de crédito, cuya seguridad mejoró mucho cuando fue obligatorio limitar la responsabilidad de los poseedores.

Lo único es que no concretó del todo cuál sería la solución, aunque intuyo que sería que los fabricantes de software tuviesen que hacerse cargo del coste de los problemas de seguridad...

A continuación el resto de los participantes tuvieron tiempo para analizar el estado de la seguridad informática, sus previsiones de evolución y sus propuestas de mínimo coste:

• Simplificando, entre los que presentaban previsiones de mayor cibercrimen y mayor inseguridad estaban Byron Acohido, Andy Willingham, Antonio Ortiz y Steve Ragan.
  
• Mientras que Ero Carrera y Javier Villacañas eran más optimistas, pensando que hemos avanzado bastante y seguiremos avanzando.
• En el lado de las propuestas destacaba la idea de mayor educación de los usuarios, aunque con algo de controversia sobre si era la solución mejor, en realidad lo mejor sería que el software fuese seguro a la vez que fácil de usar... :-). Steven Ragan citó más tarde a http://theinternetprotectors.com/ como una red social destinada a educar a los usuarios desde los usuarios.
  
• Fueron interesantes los datos proporcionados por Francisco A. Lago, del CERT de INTECO, que ha proporcionado datos de una encuesta a 3.000 usuarios (en la que se han metido en su casa, y examinado sus ordenadores de arriba a abajo): aunque el 80% piensa que está razonablemente protegido, el 75% de los ordenadores tenía algún tipo de software sospechoso (la mitad, troyanos), el 77% de los equipos está en situacion de alto riesgo (¿desprotegidos?), a pesar de que el 82% tenían un antivirus instalado. Además, el 30% de los usuarios tienen un comportamiento "arriesgado" al usar internet.
• César Lorenzana, de la Guardia Civil, nos contaba que con frecuencia se encuentran con logs inadecuados para poder averiguar el origen de los incidentes de seguridad, pero que en el lado optimista ya tenemos organismos policiales para prevenir y responder a los ataques, faltando sólo el poder reaccionar más.
• Me atemorizó un poco la precisión de Ero que el Mac OS X tenía un nivel de seguridad inferior al XP, pero que se salvaba porque al ser minoritario era un objetivo más incómodo para los atacantes. ¡Mi pobre mac mini! Y el aviso de Antonio Ortiz de que al crearse "la nube" por un lado estamos más seguros porque se puede proteger más cosas con menos esfuerzo, pero que por otro lado creamos presas más golosas para los atacantes... ¡Mi pobre blog!

Tras unos canapés y croissantcitos vino la parte de las preguntas del público, en la que Bruce propuso que no se puede arreglar la seguridad haciendo al usuario responsable de todo, que lo que hay que hacer es que cualquier usuario lo pueda usar el software seguramente (como el ABS de los coches), aunque Sebastián Muriel, de red.es y Javier Villacañas abogaban porque al menos los usuarios tengan parte de reponsabilidad en seguridad.

Una de las preguntas con las que me sentí más identificado ;-) fue la de los botnets, después de lo que he visto en Berlín, una persona del público preguntaba que dónde estaba la ciberpolicía y los jueces cuando se cerró McColo, que si esto es el salvaje oeste... Y es que alguien se tendrá que ocupar de arrestar a los cibercriminales, ¿o no?

La verdad es que desde el punto de vista del usuario final hasta la respuesta de Bruce fue un poco decepcionante: la naturaleza internacional del crimen lo hace difícil de perseguir (¿como no sucede con el narcotráfico, terrorismo o la trata de blancas?); Andy se quejaba de que se habían propuesto leyes contra spammers y botnets en USA pero que los ciudadanos las habían rechazado porque invadían su privacidad, César nos contaba lo difícil que resultaba pillar a los criminales después de atacar (¿y por qué no antes?), para lo cual volvía a abogar por mejores logs en los sistemas y Antonio Ortiz hablaba de que algún "propietario" de una botnet les había dicho que tenían mucho cuidado en no atacar ningún objetivo "grande" para que ningún político considerase que eso era su problema... La nota positiva la puso Sebastián, que contó que al menos para temas de "phishing" utilizaban mecanismos que permitían a red.es actuar diligentemente dando de baja del DNS dominios que participasen activamente en eso... consiguiendo que el "phising" en .es fuese mucho más bajo que en .com (vamos, que con el coladero de .com ¿quién necesita .es?).

Vamos, que sí, que es básicamente el salvaje oeste... hay mucho bandido por ahí y es mejor ir bien protegido, y como los malos van un paso más adelante que los buenos (a pesar del slogan de Panda), no se puede contar con que el sheriff te pueda proteger. No está muy claro si te disparan primero si es legal dispararles a ellos... ¿habrá conseguido ya este cuarteto tomar el control de Storm?

Alguna otra pregunta era más una crítica a toda la industria del software, Bruce respondió que no había incentivos económicos para crear software seguro, citando la fiabilidad del software de aviación como prueba de que se puede desarrollar software bueno, y Byron que por ejemplo los bancos están trabajando para crear más seguridad (muchos de ellos ya tienen autenticación de dos factores... la tarjeta de claves que te hacen llevar).

Una de las respuestas más interesantes a la pregunta de cuánto vale la seguridad fue la proporcionada por Byron, que citaba un caso de las tiendas tj Maxx, que tras ser robada los datos de varios usuarios de sus tiendas, perdió un juicio en el que fue condenada a pagar 197 M€ o el robo de 6M€ por parte de cibercriminales alemanes. Lástima que no conozca las multas inapelables de la agencia española de protección de datos (alguien que las ha sufrido me dijo una vez que son sustanciales y no admiten "es que el servidor no tenía el parche"...).

Y el premio a la pregunta más políticamente incorrecta fue para la posibilidad de que no hiciese falta comprar software de seguridad y que viniese con el sistema operativo, con la respuesta aún más políticamente incorrecta de que con el tiempo el software adicional de seguridad no va a hacer falta, que vendrá con el sistema... con lo cual habrá que encontrar otro espónsor y otro organizador para eventos como éstos... ¡ah! perdona, que entonces no habrá inseguridad y el evento no tendrá sentido.