[HACK] entrevista Schneier

[merce]

17:34 15/11/04


BRUCE SCHNEIER, GURÚ DE SEGURIDAD:
"LA GENTE ES DEMASIADO PARANOICA"


Mercè Molist/Xavier Caballé
Bruce Schneier es una leyenda viva de la seguridad
informática. Estadounidense, fundador de la empresa
Counterpane, con clientes de la lista Fortune, mezcla el
traje de negocios con una barba y coleta que le dan el toque
informal, mostrando al "gurú hacker" que es. Desde hace
años, publica un boletín mensual gratuito, "Crypto-Gram",
con cientos de miles de suscriptores. Sus ideas sobre
seguridad, que ha plasmado en diversos libros, son
respetadas en todos los círculos y llena las salas a rebosar
en sus frecuentes conferencias.


-¿Hay que ser paranoico para trabajar en seguridad?
-No lo soy para nada. Al contrario, creo que todo el mundo
es demasiado paranoico, cuando la mayoría de la gente es
honesta. Hoy he entrado en un taxi, conducido por una
persona desconocida, que me ha llevado a un sitio. He ido a
comer a un restaurante que llevan personas que no conozco de
nada. Es lo normal. Con la paranoia, lo único que hacemos es
tomar decisiones estúpidas, como después del 11-S en Estados
Unidos.
-¿Cuando te conectas a Internet, piensas lo mismo?
-Sí. Accedo a Internet desde el hotel o el aeropuerto y
nunca me preocupo.
-¿Cómo te protejes? 
-El servidor de correo hace la detección de virus y "spam" y
lo único que hago yo es estar al día de las actualizaciones
del sistema operativo: saber qué está pasando es una gran
medida de seguridad. Desgraciadamente, es cuando no
entiendes bien los riesgos que has de tomar precauciones.
-¿El usuario estándard sabe de seguridad?
-No tiene ni idea. Si las medidas de seguridad no son
automáticas, ni se actualizan automáticamente, sencillamente
no funcionan, porque el usuario no sabe ni hace nada.
-¿Alguien ha entrado alguna vez en tu PC?
-Estoy bastante seguro de que no. La gente que intenta
entrar en ordenadores busca objetivos fáciles. De todos
modos, soy de los que piensan que no hay que poner barreras
innecesarias. Por ejemplo, la red inalámbrica que tengo en
casa es abierta, porque me gusta pensar que mis vecinos
pueden utilizarla. Lo que sí protejo es mi ordenador. Tengo
el sistema operativo actualizado y aplico algunas medidas
básicas y lógicas, como no pinchar los ficheros adjuntos de
los mensajes que recibo. Con esto hay suficiente.
-¿Por qué hay tan poca gente que cifra su correo electrónico?
-Porqué la gente no utiliza una cosa que cree que no
necesita. No hay una creencia generalizada de que el correo
electrónico sea inseguro. Yo no uso cifrado y no tengo
ninguna preocupación especial. Si alguien quiere leer mi
correo, no se preocupará en capturalo mientras viaja, irá al
ordenador del destinatario y leerá la copia descifrada.
-¿Las empresas deberían contratar más personal de seguridad?
-No. Las empresas deben focalizarse en su negocio y dejar el
trabajo muy especializado a empresas que se dediquen a ello.
Es el mismo caso de la seguridad física: casi ninguna
compañía contrata el personal de seguridad que hay a la
entrada del edificio, sinó que delega esta función en una
empresa especializada.
-¿A qué se dedica Counterpane?
-A la monitorización de la seguridad de las redes de
nuestros clientes. En Europa, nuestro "partner" es Getronics
y tenemos el centro de operaciones en Bruselas.
-Estás también en la junta de la asociación Electronic
Privacy Information Center. ¿Como se casan la privacidad y
la monitorización?
-Sólo monitorizamos los dispositivos de seguridad, como
cortafuegos, sistemas de detección de intrusos, etc. No
espiamos las acciones de los usuarios sinó los hechos de
seguridad que se producen en las redes. No hacemos nada que
pueda afectar a la privacidad y, si nos lo pidieran, la
respuesta sería no.
-¿Por qué Internet no es segura?
-Hay muchas razones, empezando porqué no sabemos cómo
diseñar productos seguros, ni hay un auténtico incentivo
financiero para hacerlo. Además, a mucha gente no le
preocupa la seguridad.
-¿Cómo ha evolucionado la seguridad de Internet en los
últimos años?
-Cada año va a peor y estoy convencido de que las cosas
empeorarán más. No creo que mejoremos, al menos a corto
plazo.
-¿Qué ha sido lo mejor y lo peor de este año 2004?
-Lo mejor ha sido la difusión de medidas efectivas para
luchar contra el "spam". Lo negativo es el incremento
continuo del "phishing" (mensajes que intentan convencer al
usuario para que facilite información sensible). Es un
problema que aún está en su fase embrionaria y dará muchos
dolores de cabeza en los próximos años, más de los que
podemos imaginar.
-¿Por qué?
-Hasta ahora, los usuarios normales no han perdido dinero de
forma masiva en Internet. Con los ataques "phishing" es
posible que muchos, que hasta ahora no se habían visto
afectados, pierdan dinero. Y esto puede provocar que la
gente deje de utilizar Internet.
-Microsoft ha dicho que no considera un problema de
seguridad que su navegador sea sensible a ataques
"phishing"...
-Es Microsoft: para ellos, los problemas de seguridad son
problemas de relaciones públicas. Cuanto más podamos evitar
utilizar productos de Microsoft, más seguros estaremos. Los
fabricantes de programas deberían aprender a tratar a los
usuarios como a seres inteligentes y, cuando hablan de
cuestiones de seguridad, decirnos la verdad, no los cuentos
de hadas que a veces explican.
-¿Cuál es el mejor consejo de seguridad que se le puede dar
a alguien?
-Que haga copias de seguridad, son la más fácil y efectiva
medida de seguridad. A veces, tener una copia de los datos
más importantes es nuestra salvación.




Copyleft 2004 Mercè Molist/Xavier Caballé.
Verbatim copying, translation and distribution of this
entire article is permitted in any digital medium, provided
this notice is preserved.