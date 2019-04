El test de intrusión con importantes premios convocado por Swiss Post para su diseño de sistema de voto electrónico del que hablamos hace dos meses termina mostrando varias vulnerabilidades importantes, y obliga a la compañía a suspender su uso en las votaciones que estaban previstas para el próximo 19 de mayo. Resulta interesante pensar qué habría pasado si la compañía no hubiese llevado a cabo ese test, no hubiese convocado a hackers de medio mundo para poner a prueba la seguridad del sistema, y no hubiese, por tanto, descubierto esas vulnerabilidades que, por tanto, habrían podido ser empleadas por otros actores con peores intenciones, cuando hablamos de resultados electorales que determinan importantes decisiones en un país.

Cada vez son más las compañías que se dan cuenta de la importancia estratégica de poner a prueba sus sistemas de información. Microsoft, por ejemplo, acaba de anunciar un revamping de su bug bounty program en asociación con HackerOne, la plataforma dirigida por Mårten Mickos que conecta a empresas con investigadores de seguridad y coordina tanto el trabajo como los pagos en función de descubrimientos realizados, con el fin de hacer sus programas más atractivos y obtener así unas garantías de seguridad mayores para sus productos. Otras compañías importantes, como GM, comenzaron este tipo de esfuerzos hace ya más de tres años. Dropbox, que lleva también tiempo trabajando con la compañía, descubrió 264 vulnerabilidades y pagó $319,300 en premios en un reciente maratón de un día en Singapur.

La peor vulnerabilidad es la que aún no se ha descubierto. Toda compañía, en nuestros días, es susceptible de ver su seguridad vulnerada, y no hay equipo de desarrollo que sea capaz de cubrir todos los frentes posibles cuando se trata de seguridad: para encontrar cuantos más errores posibles, se necesita una gran cantidad de ojos mirando al código, hasta llegar al ideal de la conocida como Ley de Linus, que afirma que “dado un número suficientemente elevado de ojos, todos los errores se vuelven obvios”, o enunciada más formalmente, “dada una base suficientemente grande de beta-testers y co-desarrolladores, casi todos los problemas se caracterizarán rápidamente y las soluciones serán obvias para alguien”.

Te pongas como te pongas, en tu empresa hay vulnerabilidades que pueden ser explotadas de forma maliciosa. En la mía, sin duda, también: un análisis reciente llevado a cabo sobre universidades británicas demostró que un grupo de hackers podían encontrar vulnerabilidades críticas en todas ellas en menos de dos horas, y publicaron el resultado, cómo no, en forma de paper académico. Realmente, todo indica que puestos a proponerse el desafío de vulnerar la seguridad de algún sitio, la de una universidad no es un estándar demasiado elevado.

Probablemente no puedas nunca disfrutar de una seguridad total, porque como bien afirma el mítico Gene Spafford, “el único sistema realmente seguro es el que está apagado, metido en un bloque de hormigón y sellado en una habitación forrada de plomo con guardias armados… y aún así tengo mis dudas.” Pero sin llegar a esos límites que, además, convertirían tus sistemas en imposibles de utilizar desde un punto de vista práctico, al menos deberías plantearte hacer todo lo posible por localizar y corregir la mayor cantidad de fallos que puedas, para evitar entrar en esas infamantes listas de vulnerabilidades obvias que cualquiera puede encontrar en menos de dos horas. Como mínimo, piensa en cómo justificar que hiciste todo lo humanamente posible para evitar que alguien explotase una vulnerabilidad extremadamente evidente, un error de principiante. Algunos, efectivamente, afirman que la seguridad total no existe: de acuerdo, pero eso no quiere decir que debas ser un impresentable. Si en algún momento caes, al menos cae con algo de honor.

Los bug bounty programs son una forma muy razonable de enfrentarse al problema de la seguridad: pedir a talento externo bien seleccionado que busque todas las vulnerabilidades posibles en los sistemas de tu compañía, y lógicamente, pagarles por ello, porque la seguridad, como todo, cuesta dinero. Si no lo haces tú, lo harán otros, y seguramente, con peores intenciones. Si te parece un gasto injustificado o injustificable, o si crees que nadie se va a preocupar por buscar vulnerabilidades en tu compañía, esa es la evidencia perfecta de que aún no has entendido cómo funciona la seguridad en el mundo actual.