(Advertencia: Este post contiene algunos spoilers)
Seguridad y Cultura Pop
El ser humano se apropia de los conocimientos del mundo que lo rodea por medio de tres formas fundamentales: la educación, el entrenamiento y la conciencia. En la esfera de la Seguridad hacer conciencia y entrenar de una manera eficaz y divertida puede ser posible.
¿Qué pasaría si todos los criminales usaran un traje, una máscara o tuvieran un rostro malvado y deformado como en las películas de superhéroes? Sería muy fácil detectarlos, incluso podríamos tener una idea de cómo perdieron su camino. Desgraciadamente los criminales no se diferencian de las personas “normales”, pero pueden reconocerse por su comportamiento. Si sabes que es lo que debes buscar, podrás reconocer el problema según se desarrolla y mantenerte un paso adelante del predador humano. Este es el objetivo de la toma de conciencia.
Hoy en día tenemos al alcance una gran variedad de lecciones de la cultura pop como en el entretenido spinoff de Breaking Bad: Better Call Saul.
Antes de vivir en Albuquerque y tener el reconocido nombre de “Saul Goodman”, Jimmy vivía en Cicero, una ciudad de Illinois. Según cuenta él mismo, de adolescente era bastante popular en la zona, conocido por todos como "Jimmy el deslizante" ya que en el frío invierno de Illinois aprovechaba para fingir grandes caídas deslizándose en el hielo. Jimmy afirma que con estos engaños solía conseguir de 6.000 USD a 8.000 USD fácilmente.
1) Las tácticas de miedo: A principios de la temporada, vemos a Saul (“Jimmy” McGill) conduciendo a su oficina/casa. De la nada, un patinador, en compañía de su amigo que lo grababa en video, aterriza en su parabrisas reclamando 500 USD por sus supuestos huesos rotos. Lo bueno es que Jimmy puede detectar a los estafadores (probablemente porque él era uno) y reconoce esto como una típica táctica de extorsión que utiliza el miedo que le causa a la víctima.
Este truco sigue vivo y de hecho en la era digital todos conocemos como operan con los scareware y ransomware. Los primeros tratan de convencer a los usuarios de que su ordenador está infectado con la esperanza de engañarlos en la compra de un producto de seguridad falso. El otro tipo de estafa nos dice que las autoridades (por lo general el FBI) han detectado que han hecho algo ilegal, pero pueden pagar una pequeña multa para salir del problema.
Por suerte, este tipo de estafas son relativamente fáciles de reconocer. De la misma manera, una verdadera víctima de un accidente normalmente no pediría un pago en efectivo, y la policía no estaría pidiendo a nadie pagar una multa cambiando el mensaje de su computadora. Al igual que Jimmy, si se detectan las tácticas básicas de miedo, evitaríamos muchos fraudes.
2) Ingeniería Social: Jimmy y un acompañante que acaban de conocerse en un bar, caminan hacía un callejón y tropiezan con una billetera llena de dinero en efectivo. Después de que el acompañante toma el dinero y decide que él lo tomó y le pertenece, se dan cuenta de que un hombre se desmayó en ese callejón, presumiblemente el dueño de la billetera. Después de mirar sobre el chico borracho, Jimmy toma tranquilamente su reloj, mientras que también está tratando de no llamar la atención de su acompañante. Por supuesto, los avisos asociados con la codicia ayudan a reconocer el reloj como un Rolex, y el acompañante fuerza a Jimmy a quedarse con el dinero en efectivo, además de ofrecerle un poco más, para que él pueda llevarse el Rolex.
Este fue un ejemplo clásico de la ingeniería social. El "Socio" de Jimmy era en realidad la marca, el borracho era su acompañante real, y el Rolex era una falsificación. La marca fue engañada para renunciar a su propio dinero por un reloj sin valor. La ingeniería social, es descrita como el acto de engañar o manipular a alguien a hacer algo que no debe, es una práctica muy común entre los delincuentes, principalmente los digitales. Los profesionales de InfoSec a menudo se centran en la naturaleza técnica de los ataques cibernéticos y poco en el ser humano y sus aspectos psicológicos del crimen digital. Esto es un error, incluso si tuviéramos defensas técnicas perfectas que podrían bloquear todos los ataques, los atacantes inteligentes todavía podrían engañan a los usuarios a hacer cosas tontas. Esta es una lección que nos habla de asegurarnos en mitigar la ingeniería social mediante la lógica y sus usuarios.
3) Los ataques internos: Mike, siendo un personaje importante en la serie de Breaking Bad, en esta nueva serie lo vemos por primera vez como un intratable asistente de caseta en un estacionamiento y nos enteramos de que su hijo fue asesinado. Sin revelar todos los detalles, lo interesante es entender que Mike y su hijo eran policías, y algunos compañeros lo asesinaron.
Este sencillo argumento representa a los ataques internos. Tradicionalmente las empresas y organizaciones han prestado mayor atención a las amenazas a la seguridad de la organización provenientes del exterior, pero en los últimos años ha aumentado la conciencia de seguridad, también, frente a las amenazas que tienen su origen en el interior de la organización.
Si lo analizamos en relación a la red e información, cuando los miembros maliciosos hacen un ataque, las consecuencias pueden ser mucho más devastadoras, simplemente porque tienen acceso a la información privilegiada. Aunque la mayoría de las fugas de información privilegiada o infracciones son accidentales, debemos asegurarnos de tener el control de la información privilegiada. De lo contrario, podríamos perder a nuestro hijo favorito (metafóricamente).
4) Metadatos: Durante el episodio 3, Jimmy está tratando de localizar a una familia que está acusada de malversación de fondos. La policía cree que la familia fue secuestrada, pero Jimmy sospecha que simplemente se han escondido y se encuentran más cerca de lo que uno podría pensar. Él busca en su casa hasta que por casualidad se da cuenta de una pegatina o sticker con la figura de un camping en familia en su minivan.
¿Qué tiene eso que ver con la seguridad de la información? Esa etiqueta representa a los metadatos o a la meta información. Esa etiqueta engomada del coche le dijo a Jimmy que los Kettlemans eran campistas lo que le proporcionó la idea de que podrían estar acampando cerca.
Se han dado casos como en los secuestros que los victimarios sabían cuántos miembros de una familia eran por las pegatinas o stickers en sus coches. Algo tan simple puede proporcionar mucha información.
Las estrategias de toma de conciencia se concentran principalmente en la fase "pre incidente" del encuentro; las pistas y señales que puedes detectar y reconocer te permitirán anticiparte al hecho antes de que acaezca. Hay tres aspectos primordiales en la toma de conciencia: saber a qué prestar atención, prestar atención a los detalles relacionados con la seguridad y concordar el grado de atención con las circunstancias.
Existen maneras divertidas para encontrar las lecciones de concienciación de seguridad en casi cualquier cosa.