En el software online se aplica el sistema Hotmail o Yahoo, pero enotras íreas de gestión. Nos conectamos desde nuestro navegador web favorito y utilizamos la herramienta online. No nos preocupa dónde estín nuestros mensajes, ni los contactos, ni los aspectos técnicos… lo que queremos es que cada vez que tecleemos nuestro nombre y contraseña, los datos estén ahí­, listos para ser utilizados y la aplicación responda eficazmente a nuestras necesidades.

Parece sencillo porque ya estamos acostumbrados a leer nuestros buzones de correo electrónico. Sin embargo, el software online se transforma en un modelo radicalmente novedoso cuando hablamos de aplicaciones de gestión de proyectos o de un CRM. En estos casos, se suele hablar de desarrollos a medida, de compra de licencias… y siempre con los datos en nuestra casa .

La propuesta del software online se basa en el concepto de que el cliente sólo tiene que preocuparse de usarlo. Los proveedores del software online nos encargamos de que todo funcione correctamente. Que todo esté disponible cada vez que utilice una aplicación a través de la plataforma web.

Software online para todo el mundo

¿Sencillo? Desde luego, pero lo mejor del sistema es que se pueden ofrecer a todo el mundo herramientas sofisticadas de gestión empresarial eliminando las barreras que frenaban el acceso de la pyme a las nuevas tecnologí­as: el coste de compra de licencias, los riesgos asociados a proyectos de implantación y los compromisos del contrato de duración.

Con este sistema, el cliente paga un coste por usuario y sólo durante el tiempo que utilice el servicio. Estamos hablando de inversiones de alrededor de 15€ al mes por usuario, sin ningún tipo de desembolso inicial. En él, no existen los periodos y las inversiones en concepto de implantación del sistema, ya que una vez registrado, se puede empezar a utilizar cuando se quiera. Y si no convence, el cliente coge sus datos y se va tan rípido como ha venido, con la seguridad de no supeditar su futuro a un proveedor.

Esto, que supone el míximo de la flexibilidad para el usuario, establece un ví­nculo cliente-proveedor de software que nada tiene que ver con el tradicional. El cliente del Software online renueva su contrato mensualmente. Por ello, las aplicaciones tienen que responder cada dí­a a las expectativas y necesidades del cliente.

El reto se centra en actualizar y mejorar constantemente las aplicaciones de gestión, renovíndolas en usabilidad, posibilidades, técnica y diseño. El hecho de que muchos usuarios compartan la misma aplicación y aporten sus sugerencias y requerimientos enriquece enormemente la percepción de el proveedor tiene sobre sus productos, ya que son muy diversos los fines y los tipos de empresas que las utilizan. Con esa fuente de sugerencias las aplicaciones se estín revisando continuamente y por ello quienes los usan tienen la seguridad de que el producto estí en evolución y actualización permanente.

Seguridad en el software online

El software online hace que centremos toda nuesta atención en utilizar la aplicación, sin preocuparnos de instalar software, reconocer versiones, comprobar compatibilidades, riesgos de que al instalar un elemento otro dejase de funcionar… El interés se centra en la aplicación, ya sea una herramienta de gestión de clientes, un editor web, un programa para la gestión de proyectos, etc. Pero, ¿qué ocurre con los datos, la información que almacenamos remótamente?

La fiabilidad, la confianza en que los datos van a seguir donde estín, es la barrera psicológica que el software online ha tenido que superar tradicionalmente.

La realidad es que los datos estín mís protegidos y seguros que en nuestra propia casa. Empresas especializadas en software online como B-kin disponen de varios CPD (Centros de Proceso de Datos) que cuenta con barreras fí­sicas y tecnológicas de seguridad, mís avanzadas y con un control mís extrico que las que puedan tener las Pymes o negocios.

El acceso a la información estí blindado para usuarios no autorizados, sin embargo, el cliente propietario de la información puede entrar desde cualquier punto del planeta, con su correspondiente clave y acceso autenticado.

Otro complemento adicional son las copias de seguridad de los datos, algo que pocas empresas hacen siguiendo los protocolos de seguridad establecidos y, en caso de hacerlas, ríramente lo hacen con la frecuencia establecida en los CPD.

Acceso al software online

Existen dos ví­as principales de generación de valor en el mundo del Software online: la aspirina y la vitamina. La vitamina nos ayuda a reducir costes de explotación de herramientas de gestión como el CRM y la aspirina tiene el efecto democratizador, para que cualquier empresa, por pequeñas que sea o cuyo departamento de sistemas carazca de recursos para contratar los servicios de una consultora, pueda acceder a grandes aplicaciones, como lo harí­an las empresas de mayor tamaño o mayores recursos económicos en infraestructuras.

Porque realmente nos da igual que los miles de usuarios vengan en grupos de a 20 o en grupos de a 10. La potencia del software online, ademís de la eficiencia del sistema, es que permite una economí­a de escala que en el mundo de la informítica se han utilizado de forma muy exitosa en el desarrollo de software.

El coste del desarrollo del Office de Microsoft, como se puede imaginar, estí distribuido entre su enorme cantidad de clientes, y las empresas estín haciendo lo mismo con los costes de implantación y puesta en marcha de aplicaciones de gestión empresarial, trabajando para que el coste adicional de incorporar un nuevo cliente al sistema tienda a cero.

Todo el mundo estí de acuerdo que el mundo de la informítica y nuevas tecnologí­as va a cambiar radicalmente en los próximos años. La tendencia de crecimiento del mercado de software online se cifra en porcentajes que rozan el 25% de incremento anual. Así­ lo describen las principales consultoras.

¿El motivo?, podemos enumerar todas las ventajas anteriormente descritas: la flexibilidad, ausencia de inversiones, y otros aspectos a tener en cuenta como ser un coste fijo previsible, o reducir la estructura de IT. Pero la gran ventaja que aportamos con este sistema es ayudar a las empresas a incorporarse al uso de aplicaciones complejas de gestión mís allí de la pura ofimítica.

Lo que estamos viendo es que hay pymes con necesidades de gestión avanzadas y con ganas de utilizar estas herramientas complejas si se lo pones fícil. El reto para los profesionales es desarrollar este mercado animando a las empresas a que aprovechen todas las ventajas que el software online les puede ofrecer.

Tratar con cosas como los archivos adjuntos y el phishing es otro caso de “Permitir por DefectoÂ�, nuestra idea estúpida favorita. Después de todo, si estís dejando a todos tus usuarios obtener archivos adjuntos en sus emails estís “Permitiendo por defectoÂ� cualquier cosa que se les mande. Una idea mís apropiada podrí­a ser simplemente poner en cuarentena todos los archivos adjuntos a medida que llegan a la compañí­a, eliminar todos los ejecutables directamente y almacenar sólo los pocos tipos de archivos que decides que son aceptables en un servidor donde los usuarios puedan entrar a través de un navegador con soporte SSL (requerir una contraseña eliminarí­a una gran cantidad de mecanismos de propagación de gusanos de golpe). Hay herramientas gratuitas como MIMEDefang que pueden ser utilizadas fícilmente para eliminar archivos adjuntos de emails entrantes, escribirlos a un directorio por usuario y reemplazar los adjuntos en un email con una url a la dirección donde se pueda descargar el adjunto. ¿Por qué educar a los usuarios si puedes clavarle una estaca al problema directamente en el corazón?

Cuando era CEO de una pequeña startup de seguridad informítica no tení­amos administrador de sistemas Windows. Todos los empleados que querí­an ejecutar Windows tení­an que saber cómo instalarlo y manejarlo ellos mismos o directamente no les contratíbamos. Mi predicción es que en 10 años los usuarios que necesiten ser entrenados estarín fuera del mercado laboral o que se entrenarín en casa para mantenerse competitivos. Esta misma predicción incluye el saber que no hay que abrir archivos adjuntos de extraños.

#6) La acción es mejor que la inacción

Los ejecutivos de TI parecen estar divididos en 2 categorí­as: los “adoptadores tempranosÂ� y los “pausados y pensativosÂ�. A lo largo de mi carrera me he dado cuenta de que un número realmente pequeño de los “adoptadores tempranosÂ� han construí­do sistemas con éxito y seguros para objetivos crí­ticos. Esto es así­ porque por alguna razón creen que “la acción es mejor que la inacciónÂ�: es decir, si te encuentras con una nueva tecnologí­a es mejor instalarla ahora mismo que esperar, pensar sobre ello, ver lo que les ocurre a otros adoptadores tempranos y entonces instalarla una vez que ya ha sido puesta a punto y ha tenido su primera generación de usuarios experimentados. Conozco a un ejecutivo TI senior -uno de los pausados y pensativos-, cuyo plan para instalar soporte wireless a lo largo y ancho de su compañí­a era “esperar 2 años y contratar a una persona que haya hecho una instalación wireless exitosa para una compañí­a mís grande que la nuestraÂ�. No solo la tecnologí­a estarí mís refinada para entonces sino que serí mucho, mucho mís barata. ¡Que estrategia tan brillante!

Hay un importante corolario a la estúpida idea de “la acción es mejor que la inacciónÂ� y es este:

Sun Tzu no escribió esa frase en “El Arte de la GuerraÂ� pero si le dices a un ejecutivo TI que lo hizo te tomarín mucho mís en serio. A muchos de mis clientes les he estado aconsejando: “mantente apartado del outsourcing de seguridad durante un año o dos y entonces busca recomendaciones y opiniones sobre los sangrientos y mutilados supervivientes, si es que queda alguno.Â�

Puedes ver la estúpida idea de que “la acción es mejor que la inacciónÂ� a lo largo y ancho de las redes corporativas y tiende a estar relacionado con directivos TI que hacen sus decisiones de compra de productos leyendo los informes de investigación Gartner y los coloridos folletos publicitarios de las compañí­as. Si te encuentras en la cadena de mando de dicho directivo, sinceramente espero que hayas disfrutado de este artí­culo porque probablemente entiendas perfectamente de lo que estoy hablando.

Una útil técnica de kung-fu burocrítico es recordar que si te encuentras luchando contra un “adaptador tempranoÂ� te puedes apoyar en tus compañeros. Hace varios años tuve un cliente que estaba planeando gastarse una importante suma de dinero en una tecnologí­a sin probarla operativamente. Recomendé extraoficialmente al director de TI al cargo que enviase a alguien de su equipo a una conferencia relevante donde le fuese posible encontrar a alguien con experiencia en dicha tecnologí­a. Recomendé al directivo que su empleado pusiera un mensaje en el boletí­n de noticias que dijese:

“¿Tienes experiencia directa con xyz de la compañí­a pdq.com? Si es así­ estoy autorizado a llevarte a cenar al Hilton si prometes darme toda la información que tengas del funcionamiento del producto. Conctíctamente, etc.Â�

El director de TI me comentó mís tarde que una cena de 200€ le evitó gastar mís de 400.000€ en un infernal trauma tecnológico.

Realmente es mís fícil no hacer algo estúpido que hacer algo inteligente. La clave estí en que cuando evitas hacer algo estúpido te aseguras de que tus superiores sepan que has navegado a través de unas arenas particularmente sucias y de que obtienes el crédito necesario por ser inteligente. ¿No es esta la mayor expresión del kung-fu profesional? ¡Recibir alabanzas por no hacer nada!

Estupideces menores

Estas ideas estúpidas no merecen el status de “La mís estúpidaÂ�, pero son suficientemente estúpidas como para no mencionarlas, aunque sea de pasada:

• No somos un objetivo – sí­, lo sois. Los gusanos no son suficientemente inteligentes como para darse cuenta de que tu sitioweb/red no es interesante.

• Todo el mundo estarí­a protegido si utilizasen <sabor-de-seguridad-del-mes> - no, no lo estarí­an. Los sistemas operativos tienen problemas de seguridad porque son complejos y la administración de sistemas no es un problema que esté resuelto. Hasta que alguien consiga resolver el problema de la administración de sistemas, cambiar al sabor-del-mes va a hacer mís mal que bien porque vas a hacer mís difí­cil que tus administradores de sistemas ganen una experiencia que sólo se gana con el tiempo.

• No necesitamos un firewall, tenemos una buena seguridad en cada equipo – no, no la tienes. Si tu red no es segura cualquier aplicación que se comunique a través de la red es potencialmente un objetivo. 3 palabras: Sistemas de Resolución de Nombres.

• No necesitamos seguridad en cada equipo, tenemos un buen firewall – no, no la tienes. Si tu firewall deja pasar trífico destinado a los equipos que hay detrís entonces tienes que preocuparte de la seguridad individual de esos equipos.

• Llevémoslo a producción ahora y ya lo aseguraremos mís tarde – no, no lo asegurarís. Una pregunta mís apropiada serí­a: “Si no tenemos tiempo para hacerlo bien ahora, ¿tendremos tiempo para corregirlo una vez esté roto?Ââ€� Algunas veces, desarrollar un sistema que estí constantemente en reparaciones significa que tendrís que emplear años invirtiendo en parchear porque no estuviste dispuesto a dedicar en primer lugar unos dí­as para hacer un trabajo bien hecho.

• No podemos parar los problemas ocasionales. - sí­, sí­ que puedes. ¿Viajarí­as en lí­neas aéreas comerciales si supieses que la industria de la aviación tomase este camino con tu vida? No lo creo.

Adiós y Buena Suerte

He tratado de mantener el tono ligero y agradable pero mi mensaje va en serio. La seguridad informítica es un campo que se ha enamorado demasiado con la moda del momento y ha olvidado el sentido común. Tu trabajo como practicante de seguridad informítica es cuestionar – si no directamente enfrentarte- la sabidurí­a convencional y el status quo. Después de todo, si la sabidurí­a popular estuviese funcionando el ritmo de equipos comprometidos irí­a disminuyendo, ¿verdad?

Penetrar y parchear es una idea estúpida que se podrí­a expresar perfectamente en el lenguaje de programación BASIC:

En otras palabras, atacas tu firewall/software/sitioweb/lo que sea desde fuera, identificas un fallo en él, lo corriges y luego vuelves a buscar. Haciendo esto no mejoras la calidad del código a largo plazo aunque Dirección pueda agradecer la aparente brillantez de dicha estrategia a corto plazo. En otras palabras, el problema con Penetrar y parchear es que no hace mejorar la arquitectura de tu código/implementación/sistema; por el contrario lo único que hace es conseguir que sea mís duro a base de probar y fallar. El artí­culo de Richard Fenyman s Personal Observations on the Reliability of the Space Shuttle era lectura obligada para todos los ingenieros de software que he contratado. Contení­a ideas bien explicadas y profundizaba acerca de las expectaciones sobre dependencia del software y cómo se alcanzaba en sistemas complejos. En resumen, su significado para los programadores es: Excepto en el caso de que tu sistema esté pensado para ser hackeado no deberí­a ser hackeable.

Penetrar y Parchear estí por todas partes y es la idea estúpida que lidera la moda actual (activa desde hace cerca de 10 años) de anuncio de vulnerabilidades y actualizaciones a través de parches. Según los investigadores de vulnerabilidades estín ayudando a la comunidad encontrando agujeros de seguridad en el software y estín corrigiéndolos antes de que los hackers los encuentren y los exploten. Según las empresas estín haciendo lo correcto publicando lo antes posible parches para adelantarse a los hackers y a sus intentos de explotar dichos agujeros de seguridad. Ambos grupos estín comportíndose de forma estúpida ya que si las empresas estuvieran escribiendo código que estuviese diseñado para ser seguro y dependiente entonces el trabajo de investigación de vulnerabilidades serí­a una tarea tediosa y poco gratificante!

Permí­teme decirlo de otra forma: si Penetrar y Parchear fuera efectivo ya habrí­amos dejado de encontrar agujeros de seguridad en Internet Explorer a estas alturas. ¿Cómo ha ido? ¿2 o 3 vulnerabilidades al mes durante 10 años? Si nos fijamos en aplicaciones diseñadas para trabajar en Internet podemos ver que hay un número de ellas que contí­nuamente tienen problemas de seguridad. Y a la vez, también hay un número de aplicaciones bien pensadas desde el principio como Qmail, Postfix, etc que han sido diseñadas de tal forma que el número de bugs que han aparecido para dichas aplicaciones ha sido í­nfimo. La misma lógica se aplica a tests de penetración . Conozco redes que han sido testeadas en busca de agujeros de seguridad y que han sido hackeadas y hechas trizas rutinariamente. Esto ocurre porque su arquitectura (o sus prícticas de seguridad) estín tan fundamentalmente equivocado que ninguna cantidad de parches van a mantener a los hackers fuera. Tan solo quitan a Dirección y a los auditores de seguridad de encima de los administradores de redes.

También conozco redes para las que es literalmente inútil hacer tests de penetración ya que han sido diseñadas desde el principio para ser permeables solo en ciertas direcciones y solo para cierto trífico destinado a unos servidores especí­ficos configurados a propósito y que ejecutan software especialmente seguro. Lanzar tests de penetración para bugs de Apache contra un servidor que corre bajo un código personalizado en C ejecutado en una porción aislada de un sistema embedido es completamente inútil. Por esto, Penetrar y Parchear no tiene sentido ya que sabes que o bien vas a encontrar infinidad de bugs o bien sabes que es imposible encontrar nada comprensible.

Un claro sí­ntoma de que tienes un caso de Penetrar y Parchear es cuando te das cuenta de que tu sistema es vulnerable al bug de la semana . Eso quiere decir que te has puesto en una situación en la que cada vez que los hackers inventan un nuevo arma automíticamente eres vulnerable. ¿No suena estúpido? Tu software y tus sistemas deberí­an ser seguros por diseño y deberí­an haber sido diseñados para controlar fallos desde el principio.

#4) Hackear es Guay

Una de las mejoras formas de deshacerse de las cucarachas de tu cocina es esparcir migas de pan debajo de las encimeras, ¿verdad? ¡No! Es una idea estúpida. Una de las mejores formas de desalentar el hacking en Internet es darles a los hackers acciones, comprar los libros que escriben sobre exploits, tomar clases sobre kung fu de hacking extremo y pagarles decenas de miles de euros para hacer tests de penetración contra tus sistemas, ¿verdad? ¡No! Hackear es guay es una idea estúpida.

En la época en la que yo estaba aprendiendo a andar, Donn Parker investigó los aspectos de comportamiento de hackear y la seguridad informítica. Nadie lo podrí­a decir mís claro que él: La informítica a distancia libera a los criminales de su requerimiento histórico de estar próximos a sus crí­menes. El anonimato y la libertad de no enfrentarse directamente a su ví­ctima han incrementado emocionalmente las posibilidades de cometer un crimen; por ejemplo, la ví­ctima sólo fue un ordenador inanimado, no una persona real ni una empresa. Las personas tí­midas podrí­an volverse criminales. La proliferación de sistemas y modos de proceder idénticos y la automatización de los negocios hicieron posible e incrementario las economí­as de automatizar crí­menes y construir poderosas herramientas criminales y scripts con gran facilidad.

Oculto en la observación de Parker estí el hecho de que hackear es un problema social. No es en absoluto un problema tecnológico. Las personas tí­midas podrí­an volverse criminales. Internet ha dado un espacio completamente nuevo a las personalidades poco sociables. La cuarta cosa mís estúpida que los practicantes de seguridad informítica pueden hacer es alentar a los hackers poniéndolos en un pedestal. Los medios de comunicación toman parte directamente en esta macabra idea al mostrar a los hackers como jóvenes genios o brillantes tecnólogos - por supuesto, si eres un periodista de la CNN, cualquiera que pueda instalar Linux entra dentro de la categorí­a de brillante tecnólogo . Me resulta interesante comparar las reacciones de la sociedad hacia los hackers como jóvenes genios y contra los spammers como artistas de baja categorí­a . En realidad me agrada ver cómo spammers, phishers y otros farsantes estín adoptando a los hackers y a sus técnicas ya que de esta manera se invertirí la vista de la sociedad hacia los hackers mejor que de cualquier otra forma.

Si eres un practicante de seguridad, enseñarte a tí­ mismo cómo hackear forma parte también de la estúpida idea de Hackear es Guay . Piénsalo: aprender cómo usar un montón de exploits y cómo usarlos significa que estís invirtiendo tiempo en aprender a usar un montón de herramientas y técnicas que van a estar desfasadas tan pronto como todo el mundo se haya protegido contra ese fallo en concreto. Significa que has hecho que una parte de tus conocimientos sean dependientes de Penetrar y Parchear y que vas a tener que formar parte de una carrera si no quieres que tus conocimientos queden obsoletos. ¿No serí­a mís lógico aprender cómo diseñar sistemas seguros que estén construí­dos a prueba de hacks que aprender cómo identificar sistemas de seguridad estúpidos?

Mi predicción es que la idea de que Hackear es Guay estarí muerta en los próximos 10 años. Me gusta fantasear con la idea de que serí reemplazada por la idea opuesta Una Buena Ingenierí­a es Guay pero hasta el momento no tiene visos de ocurrir.

Para tu conveniencia he listado las ideas en orden de mís conocidas a menos conocidas. Si puedes evitar caer en la trampa de las tres primeras estís entre la verdadera élite de la seguridad digital.

Esta idea toma distintas formas; es increí­blemente persistente y muy difí­cil de erradicar. ¿Por qué? Porque es muy atractiva. Los sistemas basados en Permitir por defecto son el equivalente en seguridad informítica a las calorí­as vací­as: sabrosas y a la vez engordan.

La forma mís reconocible en que se manifiesta esta idea de Permitir por defecto es en las reglas de los firewalls. En el alba de la seguridad los administradores de redes configuraban una conexión a internet y decidí­an asegurarla cerrando todo el trífico entrante de telnet, rlogin y ftp. El resto del trífico podí­a pasar, de ahí­ viene el nombre de Permitir por defecto . Esta forma de configurar situaba al administrador de redes en una carrera contí­nua contra los hackers. Supongamos que surge una nueva vulnerabilidad en un servicio que no estí bloqueado. Los administradores deben decidir ahora si permitir o denegar el servicio, a lo mejor antes de que sean hackeados. Muchas organizaciones adoptaron Permitir por defecto a prinpicios de los 90 y se autoconvencieron de que estaba bien ya que los hackers nunca se preocuparín de ir a por nosotros . La década de los 90, con el advenimiento de los gusanos de internet deberí­a haber eliminado Permitir por defecto para siempre pero no lo hizo. De hecho, la mayorí­a de las redes de hoy en dí­a todaví­a estín construí­das alrededor de la noción de un núcleo abierto sin segmentos; es decir, Permitir por defecto .

Otro lugar donde surge Permitir por defecto es en cómo tratamos la ejecución de código en nuestros sistemas. La configuración por defecto consiste en permitir ejecutar cualquier programa en tu equipo si pinchas sobre él, excepto si se deniega la ejecución por algún programa como un antivirus o un bloqueador de spyware. Si piensas sobre ello durante un momento te darís cuenta de lo estúpido que suena. En mi equipo ejecuto 15 aplicaciones de forma regular y hay unas 20 o 30 mís instaladas que uso cada 2 meses mís o menos. Todaví­a no entiendo por qué lo sistemas operativos son tan estúpidos que permiten que cualquier virus antiguo o programa de spyware se ejecute sin ni siquiera preguntarme. Esto es Permitir por defecto .

Hace algunos años trabajé en un proyecto que consistí­a en analizar la seguridad de un sitio web como parte de un proyecto de seguridad de banca electrónica. El sistio web tení­a un balanceador de carga delante que era capaz de redirigir trífico a partir de la URL y mi cliente querí­a usar el balanceador de carga para rechazar gusanos y hackers redirigiendo los ataques a una dirección especial. Redirigir los ataques habrí­a significado adoptar la polí­tica de Permitir por defecto (por ejemplo, si no es un ataque conocido déjalo pasar) pero en lugar de ello les convencimos para adoptar una polí­tica opuesta. El balanceador de carga fue configurado para redirigir todo el trífico que no se ajustara a una lista de URLs bien construí­das a un servidor encargado de despachar imígenes y píginas de error 404, que estaba funcionando bajo una configuración muy segura. Naturalmente el sitio web ha pasado el test del paso del tiempo bastante bien.

Un sí­ntoma de que estís ante un caso de Permitir por defecto es cuando te encuentras en una carrera contra las hackers. Eso significa que te has puesto en una situación donde lo que no conoces puede herirte y por lo tanto estarís condenado a mantener el ritmo/estar a la cabeza en esa carrera.

Lo opuesto a Permitir por defecto es Denegar por defecto y realmente es una muy buena idea. Se requiere dedicación, pensar y entender para implementar una polí­tica de Denegar por defecto , por eso se usa tan poco. No es mucho mís difí­cil que Permitir por defecto pero dormirís mucho mís tranquilo.

En los inicios de la informítica sólo habí­a un reducido número de agujeros de seguridad ampliamente conocidos. Esto tuvo mucho ver con que proliferase la idea de Permitir por Defecto ya que cuando solamente habí­a 15 formas conocidas de hackear una red era posible examinar y plantearse sobre cada una de esos ataques y bloquearlos. De esta manera, los especialistas en seguridad cogieron el habito de cuantificar los males , es decir, listar todas las posibles causas de ataques que conocí­an. Una vez que las listabas podí­as poner sensores para detectarlos o defensas para detenerlos.

¿Por qué Cuantificar el mal es una mala idea? Es una mala idea porque en algún momento de 1992 la cantidad de Maldad en Internet comenzó a sobrepasar con un amplio margen la cantidad de Bondad. Por cada programa inofensivo y legí­timo hay docenas o cientos de software intrusivo, gusanos, exploits o código viral. Con echarle un vistazo a un antivirus actual os daréis cuenta de que hay cerca de 75000+ virus que pueden infectar vuestros equipos. Compara esto con los aproximadamente 30 programas legí­timos que puedas tener instalados en tu equipo y te darís cuenta de la mala idea que es tratar de seguir 75000 piezas de Maldad cuando incluso una persona de pocas miras puede gestionar 30 piezas de Bondad. De hecho, si fuesemos capaces de hacer funcionar únicamente los 30 programas habituales y bloquear todo lo demís habrí­amos eliminado simultíneamente los siguientes problemas:

• Spyware

• Virus

• Troyanos

• Exploits que necesiten tener código preinstalado que no uses habitualmente

Gracias a todo el marketing que hay detrís de los anuncios y de cómo hacerlos hay (de acuerdo a algunos analistas de la industria) cerca de 200 a 700 nuevas maldades en Internet cada mes. Cuantificar el Mal no solo es una mala idea, es que ademís se ha vuelto mís estúpida durante el tiempo que habéis estado leyendo este artí­culo.

Si discutiese esta idea con el tí­pico ejecutivo TI se levantarí­a y dirí­a: Eso suena genial pero nuestra red corporativa es realmente compleja. ¡Tener controlado todo el software del que dependemos es algo imposible! ¡Lo que dices suena razonable pero enseguida te das cuenta de lo absurdo que es! A lo cual yo responderí­a: ¿Cómo puedes llamarte a ti mismo/considerarte un Chief Technology Officer si no tienes ni idea de qué estí haciendo tu tecnologí­a? Un CTO no tiene por qué conocer al dedillo todas las aplicaciones que funcionen en su red pero si no tienes una vaga idea de qué estí funcionando es imposible hacer previsiones de capacidad, previsiones para casos de desastre, planificar la seguridad ni virtualmente nada de las cosas que debe hacer un CTO.

En 1994 programé un cortafuegos que necesitaba unas rutinas de anílisis de los registros de sistema para alertar al administrador en caso de que se detectase alguna condición no esperada. La primera versión usaba Cuantificar Maldad (sí­, yo también he sido un estúpido), pero la segunda versión usaba lo que llamé Ignorancia Artificial , un proceso por el cual el cortafuegos eliminaba los registros que sabí­a que no eran interesantes. Si habí­a algo después de desechar lo que sabes que no es interesante entonces seguro que lo que quedaba era interesante. Este planteamiento funcionó extraordinariamente bien y detectamos un elevado número de situaciones operativas interesantes y condiciones y errores que sencillamente no se nos podrí­an haber ocurrido buscar.

Cuantificar el Mal es la idea que hay detrís de un enorme número de productos de seguridad y de sistemas, desde antivirus a sistemas de detección de intrusos, seguridad de aplicaciones y firewalls de inspección detallada de paquetes . Lo que esos programas y dispositivos hacen es outsourcing de tu proceso de saber qué es bueno. En lugar de tomarte el tiempo de hacer una lista con las 30 aplicaciones que necesitas es mís fícil pagar 29,95€ a alguien para que mantenga una lista exhaustiva de todo el mal en el mundo. Excepto que desgraciadamente tu experto en maldad obtendrí otros 29,95€ al año por la lista de antivirus, otros 29,95€ al año por la lista de spyware y te comprarís un firewall personal por 19,95€ que tendrí control sobre las aplicaciones de red. Para cuando hayas terminado de pagar a otras personas para que enumeren todo el software maligno que podrí­a llegar a atacar a tu equipo habrís pagado mís del doble del coste de tu sumamente barato sistema operativo.

Un claro sí­ntoma de que tienes un caso de Cuantificar el Mal es cuando tienes un software o un sistema que necesita actualizaciones de firmas de forma regular o un sistema que deja pasar a un guasno que no ha visto antes. La cura para Cuantificar el Mal es, por supuesto, Enumerar el Bien . Pero por increí­ble que parezca no hay virtualmente ningún soporte en los sistemas operativos para ello. He intentado usar el Control de Ejecución de Programas de Windows XP Pro pero estí orientado a identificar el mal y es por sí­ mismo una implementación estúpida de una idea estúpida.

En un sentido, Cuantificar el Mal es un caso especial tonto de Permitir por Defecto pero es tan común que merecí­a ser mecionada aparte