"La gente es demasiado paranoica"

17:34 15/11/04

BRUCE SCHNEIER, GURÚ DE SEGURIDAD:
"LA GENTE ES DEMASIADO PARANOICA"

Mercè Molist/Xavier Caballé
Bruce Schneier es una leyenda viva de la seguridad informática. Estadounidense, fundador de la empresa Counterpane, con clientes de la lista Fortune, mezcla el traje de negocios con una barba y coleta que le dan el toque informal, mostrando al "gurú hacker" que es. Desde hace años, publica un boletín mensual gratuito, "Crypto-Gram", con cientos de miles de suscriptores. Sus ideas sobre seguridad, que ha plasmado en diversos libros, son respetadas en todos los círculos y llena las salas a rebosar en sus frecuentes conferencias.

-¿Hay que ser paranoico para trabajar en seguridad?
-No lo soy para nada. Al contrario, creo que todo el mundo es demasiado paranoico, cuando la mayoría de la gente es honesta. Hoy he entrado en un taxi, conducido por una persona desconocida, que me ha llevado a un sitio. He ido a comer a un restaurante que llevan personas que no conozco de nada. Es lo normal. Con la paranoia, lo único que hacemos es tomar decisiones estúpidas, como después del 11-S en Estados Unidos.
-¿Cuando te conectas a Internet, piensas lo mismo?
-Sí. Accedo a Internet desde el hotel o el aeropuerto y nunca me preocupo.
-¿Cómo te protejes?
-El servidor de correo hace la detección de virus y "spam" y lo único que hago yo es estar al día de las actualizaciones del sistema operativo: saber qué está pasando es una gran medida de seguridad. Desgraciadamente, es cuando no entiendes bien los riesgos que has de tomar precauciones.
-¿El usuario estándard sabe de seguridad?
-No tiene ni idea. Si las medidas de seguridad no son automáticas, ni se actualizan automáticamente, sencillamente no funcionan, porque el usuario no sabe ni hace nada.
-¿Alguien ha entrado alguna vez en tu PC?
-Estoy bastante seguro de que no. La gente que intenta entrar en ordenadores busca objetivos fáciles. De todos modos, soy de los que piensan que no hay que poner barreras innecesarias. Por ejemplo, la red inalámbrica que tengo en casa es abierta, porque me gusta pensar que mis vecinos pueden utilizarla. Lo que sí protejo es mi ordenador. Tengo el sistema operativo actualizado y aplico algunas medidas básicas y lógicas, como no pinchar los ficheros adjuntos de los mensajes que recibo. Con esto hay suficiente.
-¿Por qué hay tan poca gente que cifra su correo electrónico?
-Porqué la gente no utiliza una cosa que cree que no necesita. No hay una creencia generalizada de que el correo electrónico sea inseguro. Yo no uso cifrado y no tengo ninguna preocupación especial. Si alguien quiere leer mi correo, no se preocupará en capturalo mientras viaja, irá al ordenador del destinatario y leerá la copia descifrada.
-¿Las empresas deberían contratar más personal de seguridad?
-No. Las empresas deben focalizarse en su negocio y dejar el trabajo muy especializado a empresas que se dediquen a ello. Es el mismo caso de la seguridad física: casi ninguna compañía contrata el personal de seguridad que hay a la entrada del edificio, sinó que delega esta función en una empresa especializada.
-¿A qué se dedica Counterpane?
-A la monitorización de la seguridad de las redes de nuestros clientes. En Europa, nuestro "partner" es Getronics y tenemos el centro de operaciones en Bruselas.
-Estás también en la junta de la asociación Electronic Privacy Information Center. ¿Como se casan la privacidad y la monitorización?
-Sólo monitorizamos los dispositivos de seguridad, como cortafuegos, sistemas de detección de intrusos, etc. No espiamos las acciones de los usuarios sinó los hechos de seguridad que se producen en las redes. No hacemos nada que pueda afectar a la privacidad y, si nos lo pidieran, la respuesta sería no.
-¿Por qué Internet no es segura?
-Hay muchas razones, empezando porqué no sabemos cómo diseñar productos seguros, ni hay un auténtico incentivo financiero para hacerlo. Además, a mucha gente no le preocupa la seguridad.
-¿Cómo ha evolucionado la seguridad de Internet en los últimos años?
-Cada año va a peor y estoy convencido de que las cosas empeorarán más. No creo que mejoremos, al menos a corto plazo.
-¿Qué ha sido lo mejor y lo peor de este año 2004?
-Lo mejor ha sido la difusión de medidas efectivas para luchar contra el "spam". Lo negativo es el incremento continuo del "phishing" (mensajes que intentan convencer al usuario para que facilite información sensible). Es un problema que aún está en su fase embrionaria y dará muchos dolores de cabeza en los próximos años, más de los que podemos imaginar.
-¿Por qué?
-Hasta ahora, los usuarios normales no han perdido dinero de forma masiva en Internet. Con los ataques "phishing" es posible que muchos, que hasta ahora no se habían visto afectados, pierdan dinero. Y esto puede provocar que la gente deje de utilizar Internet.
-Microsoft ha dicho que no considera un problema de seguridad que su navegador sea sensible a ataques "phishing"...
-Es Microsoft: para ellos, los problemas de seguridad son problemas de relaciones públicas. Cuanto más podamos evitar utilizar productos de Microsoft, más seguros estaremos. Los fabricantes de programas deberían aprender a tratar a los usuarios como a seres inteligentes y, cuando hablan de cuestiones de seguridad, decirnos la verdad, no los cuentos de hadas que a veces explican.
-¿Cuál es el mejor consejo de seguridad que se le puede dar a alguien?
-Que haga copias de seguridad, son la más fácil y efectiva medida de seguridad. A veces, tener una copia de los datos más importantes es nuestra salvación.

Copyleft 2004 Mercè Molist/Xavier Caballé.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

<<