Hay ciertos mitos respecto a la seguridad, y uno de ellos es el mito del 100% de seguridad; lamentablemente muchas veces motivado por el mismo mercado, y los mismos protagonistas y hacedores de los productos.
Tal es el caso de Linus Upson, Director de Ingeniería de Google, quién declaró en una entrevista para New Scientist, respecto al futuro sistema operativo Chrome OS:
"We are completely redesigning the underlying security architecture of the OS so users don't have to deal with viruses, malware and security updates. It should just work."
"Estamos rediseñando completamente la arquitectura de seguridad del sistema operativo, por lo que los usuarios no tendrán que preocuparse por virus, códigos maliciosos y actualizaciones de seguridad. El sistema simplemente funcionará"
Upson no es el primero en aventurar este tipo de pronósticos, y solo fue el disparador para compartir con ustedes estas líneas, que no tienen al Director de Ingeniería de Google como destino, sino a todo aquel que haya querido aventurar un futuro libre de peligros.
De hecho, es una de las consultas que más recibimos en nuestros seminarios y charlas: "¿ustedes detectan el 100% de los virus?"
Presentado el panorama, les contaré los motivos principales que responden a la siguiente pregunta: ¿por qué no podemos asegurar un 100% de seguridad?
El aspecto más importante refiere a las amenazas desconocidas. Es decir, en cualquier ámbito de la seguridad habrá una serie de amenazas que pueden presentar riesgos para el usuario (el activo a proteger). Sin embargo, de todas las amenazas existentes claramente existirán aquellas que se conocen (que ya fueron detectadas y estudiadas) y aquellas desconocidas (nuevas amenazas que surgen día a día). La realidad, es que el 100% de seguridad se puede asegurar solo para las amenazas conocidas, e incluso este es un escenario ideal (porqueque supone que se conocen todas las amenazas ya existentes). Pero es imposible conocer si se detecta algo que no se conoce. Y es demasiado optimista presumir que:
- no existen amenazas desconocidas, o
- detectaremos el 100% de las amenazas desconocidas, o
- no es posible que aparezcan nuevas amenazas
En resumen, para asegurar a los usuarios un 100% de seguridad, tiene que existir alguna de las tres presunciones antes listadas.
En el caso de la última alternativa, negar la probable aparición de nuevas amenazas que puedan no ser protegidas; lamentablemente es subestimar a los "chicos malos", a los creadores de códigos maliciosos. Estos, han demostrado en muchas oportunidades sus capacidades para la creación de nuevos vectores de ataques.
Por citar solo un ejemplo, les recuerdo nuestro artículo Evolución de los Bankers, donde describimos la evolución de los troyanos bancarios. ¿Qué hubiera pasado si, luego de la creación de los teclados virtuales, el gerente de seguridad de un banco hubiera dicho a sus clientes: "Ahora, ya no tienen de qué preocuparse"? Para aquellos que aún no han leído el artículo, este gerente hubiera necesitado pedir disculpas, ya que los teclados virtuales, protegían solo de las amenazas que se conocían hasta el momento. Posteriormente, surgieron otras alternativas que podían vulnerar la seguridad que brindaban originalmente los teclados virtuales.
Espero que en estas breves palabras haya podido reflejar el por qué de nuestra insistencia desde ESET Latinoamérica en mantener la transparencia y la verdad como pilares de la comunicación en materia de seguridad. Caso contrario, lo que se logra es confundir a los usuarios, nada más alejado de la seguridad.
Como siempre, sus consultas serán bienvenidas.