Braul1o J0sé

Voy a dejar por un momento los temas que me son importantes como la historia de la computación por temas urgentes como la seguridad. En días recientes uno de mis mejores amigos me llamó por asesoría ya que por medio de la interfaz Internet de cierto banco le robaron casi dos millones de colones. No es la primera vez que alguien cercano me busca por la misma razón y no es la primera víctima de quién escucho la historia. Tampoco es la primera vez que hago hincapié en la importancia de la seguridad en un medio público.

Es necesario tener en mente que la seguridad no es ni un producto ni un estado final. Es decir muchos vendedores de software nos van a ofrecer sus productos de seguridad como la panacea a todos los males o como el fetiche de buen agüero, pero la seguridad es realmente un proceso constante que influye en el bienestar.

Se puede definir la seguridad más precisamente como el proceso continuo de mantener un nivel aceptable de riesgo percibido. Esto nos lleva entonces a definir el riesgo como la posibilidad de sufrir daños o pérdidas. Luego, el riesgo es una medida del peligro que corre un bien y puede expresarse en términos de una ecuación: Riesgo = Amenaza X Vulnerabilidad X Valor del bien. La amenaza es alguien o algo que tiene la capacidad de abusar de la vulnerabilidad de cierto bien. La vulnerabilidad es la debilidad de un bien que podría dar lugar a su explotación. Las vulnerabilidades son deficiencias en el diseño, implementación o contención de un bien. El valor de un bien es una medida del tiempo y recursos necesarios para reemplazarlo o para devolverlo a su estado anterior (en este caso podrían ser años de trabajo).

Gracias a las definiciones anteriores, podríamos decir que actualmente tenemos en Costa Rica en el área de banca Internet una gran inseguridad. Es decir, percibimos un gran riesgo dado que existe una gran amenaza en Internet en los últimos dos años. Además, ha quedado claro que existen vulnerabilidades explotables por medio de ingeniería informática o ingeniería social (phishing). Las vulnerabilidades explotables por medios informáticos son totalmente posibles. Incluso, en la última campaña publicitaria televisiva conjunta de bancos nacionales, en aras de mejorar la información de los usuarios, se ha dicho a las personas que no naveguen en varios sitios mientras estén utilizando los sitios de los bancos. Esto quiere decir que estos bancos están considerando la posibilidad de que sus aplicaciones Web sean vulnerables a cierto ataque llamado Cross Site Request Forgeries. No quiero crear prejuicios, de hecho admiro el esfuerzo de la banca nacional por informar a la comunidad, esfuerzo que debería ser retomado también por la banca privada. Sin embargo, para cada persona que haya perdido su dinero por medio de la interfaz Web de cualquier banco debería haber un estudio singular, dado que existe la posibilidad de que la vulnerabilidad venga del banco. Un banco que no investigue caso por caso, asumiendo que el usuario entregó la clave, es un banco inseguro, pues la seguridad es un proceso constante.