Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información

El uso de contraseñas se remonta a la antigüedad cuando los centinelas solicitaban el “santo y seña” para lograr el ingreso. Sólo quien contestaba la seña correcta podía tener acceso. En ese entonces, igualmente se mantenía la rutina de cambio del santo y seña, dada la vulnerabilidad propia del conocimiento de la misma bien por su uso cotidiano o por revelación de la misma de manera no autorizada.

De otra parte la palabra símbolo, viene del latin symbolum y del griego σύμβoλoν, que significa signo, contraseña. En la antigüedad un símbolo era un objeto partido en dos, del que dos personas conservaban cada uno la mitad, lo cual servía para reconocer a los portadores y dueños de los compromisos adquiridos.

Como podemos observar, las palabras claves, se han usado desde la antigüedad para mantener el control de la autenticación de al menos dos partes, las cuales aún sin conocerse, son capaces de identificarse y asociarse, para completar una identificación. El secreto de la palabra clave, es el reto más importante del reconocimiento, toda vez que la palabra per se, si bien no representa en sí misma la autenticación, si manifiesta la forma como se reconocerá a la persona que la porta.

En este contexto, las palabras clave, contraseña, passwords, pass code, personal identification number, personal identification text, son expresiones modernas de un concepto que desde tiempo remotos se ha utilizado para reconocer si una persona es quien dice ser. Las técnicas modernas de autenticación hablan de múltiples factores de autenticación para aumentar la confiabilidad de la identificación y corroboración de la identidad de una persona: algo que tengo, algo que conozco y algo que soy, los cuales cada vez más se vuelven más cotidianos y automáticos.

Una contraseña en el contexto moderno podríamos decir que cumple el mismo cometido que lo hacía tiempo atrás, con una connotación adicional hoy, en cuanto a que representa el 90% de la seguridad y control de acceso tanto de las redes corporativas, servicios y facilidades, así como de los dispositivos móviles. Esto es, las palabras clave son la puerta de acceso a la información personal y empresarial, toda vez que con sólo una combinación de caracteres alineamos la combinación de ingreso, para acceder a los activos claves que materializan el valor de inherente de una organización y la vida personal de un individuo.

Si lo anterior es cierto y aún estamos en transición hacia una autenticación basada en contraseñas dinámicas, certificados digitales personales o cadencias individualizadas, se hace necesario conocer cómo la inseguridad de las contraseñas nos puede jugar malos ratos, como quiera que ella es el portal de ingreso a los activos de información críticos y, cuya fuerza y fortaleza radica en su calidad y cantidad, así como en la agilidad y sagacidad de su dueño.

De acuerdo con estudios realizados, considerando los avances tecnológicos recientes que hablan de la duplicación de la capacidad de cómputo cada diez y ocho meses, así como dispositivos móviles cada vez más versátiles e intensos en procesamiento, se hace necesario comprender el nivel de exposición de la utilización de contraseñas sin las debidas consideraciones de longitud, variedad y versatilidad que hagan más dispendioso a los atacantes intentar descifrar la palabra clave y tener acceso a la información.

Consultando múltiples fuentes de información, se encuentra con frecuencia un cuadro en internet que de manera pedagógica indica el tiempo requerido para quebrar una contraseña, basado en su longitud y en la variedad que se incluya en ella: mayúsculas, minúsculas, números y símbolos. Si bien este cuadro nos advierte sobre la complejidad inherente que deben tener las palabras clave, es probable que los datos allí consignados hayan variado, toda vez que hoy la capacidad de cómputo es mayor y se cuentan con estrategias como mallas de cómputo, que no solo aumentan la capacidad de procesamiento, sino la velocidad de éste, haciendo posiblemente que lo que inicialmente se indica en el cuadro, se haya reducido más de la mitad del tiempo allí indicado.

Largo	Sólo minúsculas	Agrega mayúsculas	Agrega números y símbolos
6 caracteres	10 minutos	10 horas	18 días
7 caracteres	4 horas	23 días	4 años
8 caracteres	4 días	3 años	463 años
9 caracteres	4 meses	178 años	43.530 años

Nótese que no se hacen cálculos para contraseñas menores a 6 caracteres, dado que con la capacidad de cómputo actual, los tiempos serían supremamente cortos y no ofrecen ninguna fortaleza, por lo cual la recomendación implícita del cuadro, es el no uso de  este tipo de longitudes, sabiendo que los atacantes contarán con la ventaja: tener una puerta de acceso sin ningún tipo de control.

La contraseña hoy por hoy sigue siendo una forma de asegurar la autenticación de muchas organizaciones, pese a la advertencia de muchas entidades internacionales (FFIEC - Federal Financial Institutions Examination Council) de modificar los esquemas de autenticación de contraseñas estáticas a palabras clave dinámicas o dos factores de autenticación para mitigar los riesgos de pérdida de confidencialidad de los datos residentes en las máquinas.

Mientras se llega la evolución y masificación de los mecanismos de autenticación modernos y migramos hacia elementos más robustos y automáticos, el “santo y seña” de tiempos inmemoriales puesto en los sistemas de información modernos, seguirá siendo el método base que tenemos para defendernos de los ojos no autorizados y la forma de cómo hacerle cada vez más difícil a los atacantes encontrarse con nuestros datos.

Luego, cuando alguien le diga que tiene muchas contraseñas para aprenderse, que la que utiliza en el móvil es larga y tediosa, que toma mucho tiempo adelantar la autenticación en su equipo de cómputo bien sea de escritorio o móvil, piense en los impactos de una brecha de seguridad en su equipo y las implicaciones que ello puede traer en su organización o  persona; así recordará nuevamente que, sin un entendimiento de los retos de la inseguridad de la información en su entorno personal y empresarial, será presa fácil de la inevitabilidad de la falla y una estadística más de aquella frase que no queremos escuchar una vez se le advierte sobre un peligro inminente a una persona y éste se materializa: “Se lo dije”.

Referencias:

http://www.dynapass.com/services/FFIEC-compliance.php

http://refugioantiaereo.com/2011/02/tiempo-necesario-para-averiguar-contrasenas

http://etimologias.dechile.net/?si.mbolo

Contratos en la nube: Seguridad jurídica desde la inseguridad de la información

Con frecuencia escuchamos a profesionales de tecnología de información y seguridad de la información estar en la encrucijada de “adoptar la computación en la nube”, toda vez que en el ejercicio inherente a la toma de decisión se encuentran contrapuestos los múltiples beneficios que este modelo entrega y los riesgos propios de la protección de la información, bien por su característica de estar regulada o por ser parte de la información clave que apalanca el modelo de valor de la empresa.

En este entendido, decidir movilizarse hacia la nube, demanda un entendimiento del apalancamiento de capacidades estratégicas de la empresa y aceptación de riesgos residuales (luego de los controles aplicados) que permitan a la organización, avanzar de manera innovadora en nuevas experiencias de servicios y productos para sus clientes, con un monitoreo y aseguramiento proactivo de los riesgos conocidos y aceptados.

Habida cuenta de lo anterior, concretamente “irse a la nube” es conocer de manera detallada y exigente las condiciones contractuales de los proveedores de los servicios, para evaluar sus capacidades y ofertas de valor, frente a las demandas propias de beneficios esperados por la empresa y sus clientes, así como las nuevas experiencias y soluciones novedosas para sus diferentes nichos de influencia.

En este sentido, “la nube” representa un reto técnico y jurídico que implica entender una nueva forma de operar y entregar la administración de la tecnología a un tercero de confianza, que permita mantener el foco de la empresa en el modelo de generación de valor, mientras la tecnología de información de soporte opera de manera virtuosa, en su evolución hacia una TI valiosa.

Como quiera que moverse a “la nube” es una decisión de negocio que motiva a la alta gerencia a revisar cómo potencializa con mayor impacto el modelo de generación de valor de la empresa, materializar esta iniciativa requiere conocer con detalle cómo los terceros desarrollarán el servicio y cómo la organización recibirá los beneficios propios de la promesa de valor que actualmente hacen los proveedores de servicios en la nube.

Por tanto, revisar los aspectos contractuales de la computación en la nube es conocer en profundidad la forma como los profesionales del derecho modelan desde la inseguridad de la información, estrategias de protección y aseguramiento empresariales que demanden el cumplimiento de prácticas concretas por parte de los terceros y la eficacia de las cláusulas sancionatorias que se harán efectivas en el caso que las condiciones pactadas para el servicio no se cumplan según las especificaciones iniciales.

En este ejercicio, revisamos el documento “Negotiating cloud contracts: looking at clouds from both sides now”, elaborado por W. Kuan Hon, Christopher Millard e Ian Walden y publicado en el Stanford Technology Law Review, volumen 16, número 1 en 2012. Este artículo desarrolla con detalle los elementos concretos de los términos contractuales claves que se deben considerar en el momento de adelantar un contrato de “cloud”.

Analizando los elementos identificados por Hon, Millard y Walden, encontramos que muchos de ellos responden a una condición de inseguridad de la información concreta bien sea jurídica, técnica o de procedimiento. Así las cosas,  las cláusulas que se planteen recogerán de manera proactiva las condiciones claves de la prestación del servicio en la nube privilegiando entre otros responsabilidades, niveles de servicio, aspectos regulatorios, seguridad y control de la información, verificaciones independientes, brechas de seguridad de la información, retención de los datos en la infraestructura del proveedor, propiedad intelectual y derechos de autor.

A continuación revelamos los aspectos más importantes en el contexto de los contratos con proveedores en la nube, intentando hacer una revisión práctica de los alcances de las cláusulas, sabiendo que este ejercicio es una excusa académica en este campo y no reemplaza la revisión propia del asesor jurídico empresarial  de la organización.

En el tema de la responsabilidad, los proveedores pueden tomar dos posiciones claras. Por un lado, aceptar una posición de responsabilidad ilimitada sobre el servicio que se contrata, esto es, responder por cualquier tipo de incidente, condición o situación que se presente en el cumplimiento del contrato, dejando al cliente en una posición cómoda, sin que asuma responsabilidades propias de la relación contractual, donde éste debe asegurarse que se mantienen una serie de prácticas de seguridad y control en el modelo seleccionado (IAAS – Infraestructura como servicio, PAAS – Plataforma como servicio o SAAS – Software como servicio) y que el proveedor deberá cumplir para asegurar más allá del servicio, la información.

Por otro, los proveedores buscarán establecer el mayor número de exclusiones y limitaciones posibles, a cambio de incrementar los niveles de servicio, lo cual necesariamente los clientes objetarán frente a las exigencias de seguridad y control que se requieren con la información depositada en custodia en su infraestructura. El cliente buscará obtener el mayor beneficio del proveedor al menor costo posible, por lo cual en esta puja los términos jurídicos contractuales estarán en la mesa de negociación, posiblemente desviando las implicaciones financieras y de negocio que pudiesen ser razones más fuertes, para establecer los términos razonables para potencializar todo el valor de la estrategia en la nube que se quiere desarrollar.

En los aspectos de seguridad y control, los proveedores de la nube pueden resultar respondiendo por brechas de seguridad materializadas sobre su infraestructura, pero no por pérdida o corrupción de datos, toda vez que los mínimos contractuales se basan en un conjunto de prácticas de seguridad y control orientadas a la infraestructura, pero no sobre los datos en sí mismos. Esta realidad establece una revisión particular de los acuerdos de servicio y prácticas del proveedor para encontrar puntos intermedios de puesta en común que demanden prácticas propias de los clientes sobre los datos y las condiciones básicas y funcionales de los proveedores para proteger la información.

Cuando de disponibilidad, tiempo de respuesta y capacidad de canales de comunicación se trata, las organizaciones que se migran a la nube, demanda un alto compromiso del tercero de confianza para lograr niveles de atención de calidad, que le permitan una experiencia diferente en el aseguramiento de su operación. En este sentido, la negociación que se adelante frente a los acuerdos de niveles de servicios, requieren necesariamente la transparencia del proveedor de servicios en la nube para validar que los niveles de latencia (pérdida de servicio) se encuentren en los rangos establecidos y de no ser así, proceder a efectuar las reclamaciones del caso frente a lo pactado.

Generalmente los acuerdos de niveles de servicios una vez contratados son de estricto cumplimiento, sin embargo, las compensaciones como posibilidades de mayor tiempo de uso o retorno de dinero se advierten como estrategia de los proveedores ante posibles fallas o pérdidas de disponibilidad. De otra parte, frente a incidentes o brechas de seguridad, las condiciones varían, pues cada proveedor define las acciones a seguir frente a los hechos y las estrategias de mitigación de impactos requerida. En este punto, los clientes no tienen mucho margen de acción, sólo que a través del contrato se consideren puntos particulares para enfrentar esta realidad.

Las verificaciones independientes son uno de los elementos que más causa inquietud y resistencia por parte de los proveedores en la nube, como quiera que este tipo de ejercicios permitan validar en sitio las condiciones y características de los terceros, quedando evidente cualquier tipo de limitación o falla no declarada inicialmente por éste en el proceso de elaboración del contrato. Algunos autores manifiestan que una auditoría previa sobre el modelo de servicio que se contrate permite advertir el nivel de seriedad de los servicios a contratar, sin perjuicio que de manera posterior y selectiva las organizaciones envíen auditores para contrastar el contrato frente al servicio recibido y la resistencia del modelo de seguridad que opera en la infraestructura.

Como quiera que los modelos de despliegue de la computación en la nube cuentan con infraestructura que los respalda, se hace necesario frente a la terminación del contrato o migración de las máquinas a nuevos equipos, contar con procedimientos formales eliminar la información remanente en los equipos anteriores y asegurar los escenarios técnicos requeridos para efectuar la retención de los datos según las necesidades de la organización. Si bien conocemos algunos de los elementos de la operación de los terceros, se hace necesario validar con hechos y datos que cada uno de los proveedores de la cadena de servicios se ajusta con las exigencias de seguridad, control y calidad de la información.

Los aspectos de propiedad intelectual y derechos de autor son condiciones relevantes para los acuerdos de voluntades que se tracen entre el proveedor y su cliente. Considerando que el proveedor puede desarrollar aplicaciones o nuevas funcionalidades que mejoren la calidad del servicio, es claro que se debe establecer si dichas mejoras serán parte del acuerdo de niveles de servicio o el proveedor se reserva el derechos sobre las mismas, considerando un modelo de licenciamiento para uso de la funcionalidad por parte del cliente.

Como hemos observado en cada uno de los temas revisados los alcances jurídicos tratan de modelar los retos jurídicos en clave de inseguridad de la información, dado que la certeza legal en un entorno cambiante y sin fronteras conocidas, no es posible alcanzarla sin entender las posibilidades que se pueden presentar al mantener una operación de tecnología de información en manos de un tercero de confianza.

Si bien el mercado de los proveedores de servicios en la nube, comienza a madurar y desarrollar una vista más estandarizada de sus propuestas de servicio, se hace necesario que las empresas y entes de supervisión avancen en el desarrollo de posturas de seguridad y control que permitan balancear los requerimientos de los clientes, las exigencias de los reguladores y las consecuencias de mantener una operación fuera de un estándar definido.

Alcanzar acuerdos internacionales alineados con las mejores prácticas de agremiaciones como el Cloud Security Alliance, permite tanto a los proveedores de servicios en la nube como a los clientes y entes de regulación, ordenar esfuerzos para desarrollar una base de operaciones, responsabilidades, procedimientos, prácticas y métricas que permitan asegurar una operación confiable y jurídicamente correcta por parte del proveedor.

Así mismo, unas acciones claras por parte del cliente que, conociendo la inevitabilidad de la falla, construya una relación estratégica de negocio más allá de las sanciones contractuales, centrada en el ejercicio diario del entendimiento de la incertidumbre jurídica y las fallas tecnológicas como factores fundamentales para desaprender, evolucionar y madurar en el gobierno de los riesgos de una infraestructura y servicios de TI ahora operado por un tercero.

Referencias

KUAN HON., W, MILLARD, C. y WALDEN, I. (2012) Negotiating cloud contracts: Looking at clouds from both sides now. Stanford Technology Law Review. Volume 16, number 1. Fall. Disponible en: http://stlr.stanford.edu/pdf/cloudcontracts.pdf (Consultado: 10-02-2013)

La inseguridad de la información: fuente de creación de valor en la protección de la información

De acuerdo con los planteamientos de HAMEL, aquello que no crea o genera valor, es un centro de costo. Es decir, todo aquello que no tiene la capacidad de sorprender (positivamente) a sus clientes o apalancar las capacidades distintivas de una organización, tiende a ser algo de poco valor para la empresa, dicho de otra forma, no participa de manera activa en el modelo de generación de valor de una organización.

En este sentido, entender cómo las organizaciones definen su forma de posicionarse en un sector de negocio, es un factor clave para cualquier ejecutivo de una empresa, toda vez, que es una forma de sumergirse en su pensamiento estratégico, en la forma como articula sus esfuerzos para “desafiar las creencias que todos dan por sentado” y posicionar a la organización en un sitio de privilegio para marcar una diferencia que transforma el sector donde opera y cautiva a sus grupos de interés.

Habida cuenta de lo anterior, desarrollar un concepto de seguridad de la información, “valioso” para una organización, es un ejercicio de madurez, de transformación tanto del ejecutivo de la seguridad, como del reconocimiento corporativo de la información como un activo tan importante como los productos y/o servicios que ofrece la empresa. Esto es, lo valioso de la función de seguridad de la información, deberá surtir una evolución que inicia en el aseguramiento de las condiciones básicas de seguridad y control, generalmente asociadas con la clasificación de la información y el control de acceso hasta la incorporación de la función en el modelo de generación de valor de la empresa.

Una seguridad de la información valiosa estará articulada inicialmente en el progreso de la organización en el fortalecimiento de su cultura de protección, en donde las creencias de las personas naturalmente validan las medidas de aseguramiento de la información en sus diversas actuaciones, es decir, encuentran en cada actividad formas de valorar la información y tomar las decisiones que sean del caso.

Una vez el valor de la información, adquiere una connotación inherente a las actuaciones de la organización y se refuerza cada día en las actuaciones de cada uno de sus participantes, la empresa entiende que los riesgos propios del tratamiento de la información en sus procesos de negocio, hace parte fundamental del aseguramiento del valor de la empresa. Esto es, revelar dentro de la esencia misma de los productos y servicios, así como dentro de las expectativas del gobierno corporativo, que el entendimiento de la inseguridad de la información es una forma para encontrar las discontinuidades que pueden afectar la forma como la organización agrega valor a sus clientes.

Sin perjuicio de lo anterior, las medidas de seguridad y control implementadas, generalmente procedimentales y tecnológicas, muestran claramente un paso clave de aquella empresa que entiende la responsabilidad propia de proteger un activo con la participación de los custodios de la misma: cada empleado. Estas medidas, permiten declarar de manera formal la necesidad de aseguramiento que se requiere frente a los activos protegidos y es la manera como se le comunica al usuario final que hace parte de la cadena de “protectores” de la información, que con sus actuaciones hacen más complicado que personas no autorizadas tengan acceso a la misma.

Si en el proceso evolutivo, la cultura se encuentra afianzada, las medidas de control básicas aseguradas y debidamente aplicadas (incluso auditadas por terceros independientes), la función de seguridad de la información se mueve con agilidad a transformarse en una función de cumplimiento, es decir, en una función que es reconocida por la organización que cuenta con la autoridad, los recursos, las competencias y la posición organizacional para indicarle a los procesos de negocio que debe cumplir con parámetros básicos de protección para operar dentro de los estándares reconocidos tanto nacional como internacionalmente.

La función de cumplimiento es un paso obligado de la función de seguridad de la información, pues confirma en su proceso de madurez, una consolidación de prácticas básicas que se deben incorporar en el discurso corporativo, como quiera que se incorpora dentro de las estrategias pragmáticas de la empresa, para competir de manera adecuada en su entorno y proteger la reputación y el buen nombre de la empresa, valores fundamentales que son leídos claramente por el cuerpo ejecutivo de la corporación.

Mantenerse en este momento de evolución, significa conocer cada vez mejor la organización y sus riesgos de negocio. Es buscar y encontrar nuevos patrones entre las condiciones del mercado que pueden afectar el buen tratamiento de la información o afectar aquellos valores sensibles de la empresa, representados en el posicionamiento de la empresa o de sus más altos ejecutivos.

Con el paso del tiempo, tanto las estrategias de la función de seguridad de la información, como las de su equipo complementario en seguridad de TI, deberán cambiar nuevamente y reinventarse frente al entorno que ella ha aprendido a reconocer. Es decir, debe reconocer en el ambiente dinámico de la empresa, las habilidades y capacidades que debe incorporar, desarrollar y ajustar para comenzar a ser parte de las conversaciones más allá de los riesgos relacionados con el cumplimiento empresarial.

Si bien asegurar una cultura de seguridad de la información, una adecuada clasificación de información, incorporar medidas de seguridad y control al interior de los procesos para mitigar los riesgos propios del tratamiento de la información, son actividades valiosas y de reconocida utilidad, se hace necesario que estas generen más que resultados tácticos y operacionales concretos, para que el valor de las mismas trascienda estos niveles y comience a ser parte de la agenda de los ejecutivos de primer nivel de la organización.

Para que esto ocurra, los participantes de la función de seguridad de la información valiosa deben, como anota HAMEL, identificar las inconveniencias, resistencias y molestias de los clientes, para capturar necesidades estratégicas no articuladas, que permitan detallar las expectativas de los ejecutivos de la empresa, utilizando los atractivos y habilidades que poseen para sorprender positivamente a la organización, trabajando fuertemente desde el entendimiento del reto hasta asegurar los detalles de la implementación.

Lograr un estado como el anterior, exige del ejecutivo de seguridad de la información un ejercicio de liderazgo centrado en la maestría de la inseguridad de la información, esto es, un voto de confianza de la alta gerencia que acepta la inevitabilidad de la falla, que promueve equivocarse de manera diferente cada vez, que desaprende del entorno que lo rodea y que demuestra actitud sincera y abierta para movilizarse e identificar los umbrales aceptables de riesgos residuales.

Liderar una función de seguridad de la información valiosa, que ha superado (es decir, tiene asegurada de manera sistemática y permanente) el ejercicio de controles básicos de operación de la seguridad es, parafraseando a SHARMA, una declaración para compartir ideas sobre la inevitabilidad de la falla, escuchar agresivamente la inseguridad, decir la verdad sobre el nivel de exposición al riesgo y descubrir en cada falla, la sabiduría del error, como fuente de motivación que nos abre la puerta para afinar facultades y talentos necesarios para leer el modelo de generación de valor de empresa en clave de la inseguridad.

Referencias

HAMEL, G. (2012) Lo que importa ahora. Ed. Norma

SHARMA, R. (2011) Las 8 claves del liderazgo del monje que vendió su ferrari. Liberduplex. Debolsillo.