Seguridad informática y seguridad de la información: similitudes y diferencias.

Seguridad informática y seguridad de la información son dos conceptos que algunos periodistas no suelen manejar correctamente, provocando la confusión entre sus lectores al usarlos como si fuesen sinónimos. Voy con una mini-entrada para hablar de estos conceptos. ¿Es lo mismo seguridad informática que seguridad de la información?

Imagen genérico de una consola de comandos
Photo by Negative Space on Pexels.com

Si recordáis la entrada que hicimos sobre la Tríada CID, cuando hablamos de proteger información habamos de garantizar su confidencialidad (a grandes rasgos, que solo pueda acceder a ella quien tenga permiso para ello), su integridad (que no pueda ser manipulada ni destruída de forma accidental o malintencionada) y su disponibilidad (que sea accesible dentro de un tiempo razonable). A esos tres conceptos podemos sumar también el de autenticación, que implicaría la verificación de que el origen de los datos es correcto, que quien nos los envía es quien dice ser. Tanto la seguridad informática como la seguridad de la información persiguen ambas estos objetivos, eso es lo que tendrían en común: las dos hacen referencia a disciplinas que buscan proteger la información (datos personales, datos de negocio, propiedad intelectual) de una organización (empresa, gobierno, fundación), encargándose del cumplimiento de los requisitos legales en esa materia y de la protección contra delincuentes, contra neglicencias de los operarios o contra accidentes e imprevistos.

Cuando hablamos de seguridad informática hablamos de la disciplina que trata de proteger la información almacenada en un sistema informático, además de proteger también la propia infraestructura de dicho sistema (los equipos, las redes, los sistemas de almacenamiento, etc.). Se suele usar el término ciberseguridad como sinónimo de seguridad informática, aunque algunos especialistas señalan un matiz diferenciador entre ambos conceptos: consideran que la ciberseguridad debe hacer referencia solo a la protección de sistemas que estén interconectados y cuando se haga uso de tecnologías y prácticas ofensivas, mientras que seguridad informática sería un término más amplio que engloba la protección de los sistemas informáticos, indistintamente de si están interconectados o no y de si se usan técnicas ofensivas o solo técnicas defensivas.

El término seguridad de la información sería todavía más amplio, no limitándose solo a la protección de la información contenida en los sistemas informáticos sino también a la que sea almacenada o manipulada de forma impresa o verbal. No atañe solo a equipos informáticos y redes, sino también a las instalaciones físicas o a las personas que forman parte de la organización.

De forma resumida: podríamos decir que la seguridad informática es una parte de la seguridad de la información, pero que no son sinónimos porque la seguridad de la información abarca más cosas.

Spyware ¿qué es? ¿cómo nos protegemos?

Está la prensa española hablando mucho de spyware estos días, primero por el espionaje a políticos catalanes de ideología independentista a través del software Pegasus o de otros programas de la empresa Candiru denunciado por la asociación canadiense Citizen Labs, después porque el propio gobierno central haya denunciado que los teléfonos de la ministra de Defensa y del propio presidente han sido también espiados a través de la conocida aplicación de NSO. Aquí no vamos a analizar el caso, que ya hay mucha gente hablando del tema y mejor informada que yo, sino que nos vamos a hablar de lo básico sobre software espía: definición y cómo minimizar el riesgo.

¿Qué es un spyware?

Cuando hablamos de spyware hablamos de una tecnología, un código malicioso que se usa para extraer datos de un sistema de información (ordenador, red de ordenadores, teléfono, tablet…) sin el consentimiento ni conocimiento de sus usuarios. Puede usarse para robar contraseñas de distintas cuentas, credenciales de acceso a servicios en la nube, datos bancarios, correos electrónicos, ficheros almacenados, cookies de navegación… en fin, en general cualquier tipo de información que pase por el equipo infectado. El spyware recopilará información que se descargue o se genere en el dispositivo y la enviará después a un dominio que pertenezca al atacante para que este pueda analizarla. Dado que si analizamos el tráfico de nuestra red podríamos detectar la infección si vemos un tráfico inusual hacia una web extraña, estos dominios suelen estar «camuflados» con nombres similares a los de empresas legítimas o con nombres que sugieran que son páginas inocuas, además es habitual que se reparta el envío de tráfico entre varios dominios para que el volumen de información enviado no sea llamativo.

¿Quién se sirve de este tipo de software? Pues cualquiera que tenga la intención de espiar a alguien, esto abarca desde ciberdelincuentes hasta fuerzas de seguridad, pasando por gobiernos, servicios de inteligencia e incluso medios de comunicación o empresas. Desde el saqueo de cuentas a través de banca móvil a la estrategia geopolítica, pasando por el espionaje industrial, se han detectado este tipo de ataques en muchos y diversos casos. Los objetivos del espionaje pueden ser tanto empresas como gobiernos, instituciones o personas particulares.

¿Es ilegal su uso? Creo que legalmente en España estaría en el mismo supuesto legal que las escuchas telefónicas, podría ser autorizado por un juez en determinados supuestos para una investigación criminal, al menos es lo que interpreto leyendo esta circular de la Fiscalía General del Estado, de 2019 que hace referencia a las modificaciones en la Ley de Enjuiciamiento Criminal de 2015. Es evidente que cuanto menos control público exista sobre un gobierno, cuanta menos separación de poderes exista en un estado, más podrá este abusar de estas aplicaciones.

¿Cómo nos protegemos?

Bueno, si recordáis las entradas sobre apps maliciosas, sobre rogueware o sobre distintos tipos de troyanos (que son tres de las formas en las que nuestro dispositivo puede acabar infectado) hay varios puntos a seguir:

  • Tener nuestro software actualizado. Si vemos artículos técnicos hablando sobre Pegasus una de las cosas que comprobaremos es que se servía de vulnerabilidades de iOS, Android o Whatsapp que fueron parcheadas posteriormente, por lo que es fundamental mantener las actualizaciones al día.
  • Revisar los permisos de las aplicaciones. A veces el spyware puede estar escondido en una aplicación que nos hemos descargado pensando que sirve para otra cosa, es importante comprobar que los permisos que pide la aplicación al instalarse sean coherentes con el uso que se le va a dar. Por ejemplo, si descargamos un app que nos de la predicción del tiempo atmosférico es normal que pida permisos sobre nuestra ubicación (para darnos la predicción del sitio en el que nos econtremos), pero debería alarmanos que nos los pida, por ejemplo, sobre nuestra lista de contactos.
  • Instalar un app que nos ayude a gestionar la seguridad. Yo siempre recomiendo usar la aplicación de seguridad Conan, del CCN.
  • Ojo con las cosas que descargamos, hay que comprobar siempre que vengan de una fuente legítima. Como también se ha visto en el caso Pegasus, se utilizaban ficheros PDF infectados para ejecutar remotamente código en el dispositivo que instalaba el software espía.
  • Analizar nuestro tráfico de red. Esto ya es para usuarios avanzados o profesionales, revisar el tráfico de la red y comprobar con qué dominios se comunican puede ayudarnos a descubrir un software espía oculto en algún equipo.
  • Reiniciar el teléfono regularmente. Aunque parezca una chorrada tiene su sentido. Según investigadores de la empresa de antivirus Kaspersky el reinicio regular del dispositivo dificulta el espionaje ¿Por qué? Pues porque según parece los más sofisticados spywares (ahora sí que hablamos de Pegasus o de otras herramientas millonarias) que son capaces de infectar dispositivos con técnicas «0-click» (es decir, que no requieren de una acción concreta del usuario) no instalan nada en el dispositivo para reducir su rastro, sino que se cargan en la memoria en tiempo de ejecución. Esto implica que si el teléfono se apaga ese código malicioso desaparece y el atacante tendría que volver a infectar el dispositivo para volver a espiarlo.
  • Repensar las políticas BYOD. Hace unos años desde distintas webs dedicadas a economía y negocios se nos decía que los teléfonos corporativos estaban «muertos«, que ahora lo que se llevaba era el bring your own device, es decir, que cada uno se traiga al trabajo su propio dispositivo. Lo que se vendía como una forma de mejorar la comodidad del usuario y su «libertad» (palabra multiuosos para múltiples estafas), y que realmente no era más que una forma de buscar que las empresas ahorrasen en la compra de dispositivos, ha acabado por convertirse en uno de los eslabones más débiles de la ciberseguridad empresarial. Es otra de las cosas que hemos visto en el asunto Pegasus: los teléfonos de cargos públicos se utilizaban como si fuesen personales, instalaban y descargaban más o menos lo que querían y no había unas reglas de seguridad rígidas al respecto de su uso. También hay que decir que en el caso de las últimas versiones del polémico y ahora popular software de NSO no era necesario que el atacado descargase nada, el atacante podía infectar el dispositivo sin que el usuario participase, pero en la mayoría de spywares sí suele infectarse el dispositivo a través de algún malware introducido mediante phishing.

Todos estos consejos nunca nos garantizarán una protección total (puede que nos encontremos con un spyware que explote una vulnerabilidad todavía no solucionada y que incluso permita ataques del tipo «0-click» antes mencionados, o que no sea detectable por el software antivirus por ser todavía muy nuevo), pero sí que nos pueden ayudar a minimizar el riesgo de ser atacados. Siendo realistas, es poco probable que algún servicio secreto o gobierno tenga interés en espiar a un ciudadano medio que no tenga un cargo político, pero sí es cierto que cualquiera puede ser víctima de un ataque que intente robar sus datos bancarios o incluso, en según qué profesiones, datos relativos a su trabajo, como por ejemplo en casos de espionaje industrial, o en el espionaje a periodistas de investigación del que se han reportado múltiples ejemplos. Ante los más modernos spywares, los que se venden como un servicio por el que se cobran millones, es complicado y a veces hasta imposible defenderse (por eso se pagan millones), pero hay muchos otros más baratos y usados por delincuentes de todo tipo contra los que podemos estar más seguros teniendo un poco de cuidado.

Ciberseguridad: Dumpster Diving

Técnicamente cuando hablamos de «dumpster diving«, que viene a significar algo así como «rebuscar en la basura» (literalmente sería «bucear en el contenedor«), no hablamos de algo que sea 100% ciberseguridad, más bien es un concepto aplicable a la seguridad de la información en cualquier tipo de soporte: electrónico, papel, tarjetas impresas…

Imagen de una papelera con papeles arrugados
Photo by Steve Johnson on Pexels.com

No es un problema que suela afectar al usuario promedio, pero sí es una amenaza para empresas medianas o grandes, o para personas que trabajen con información sensible. El nombre es descriptivo, pues este tipo de amenaza consiste en que el atacante rebusque en la basura de su víctima para encontrar información que le sea útil, ya sea en documentos mal destruídos o buscando soportes electrónicos descartados que no hayan sido debidamente eliminados.

¿Cómo nos protegemos?

Lo principal es ser concienzudos en la destrucción de información. Seguro que alguno recuerda cuando hablamos aquí del caso de los discos duros del ex-Tesorero del PP Luís Bárcenas, comentando el tema de la destrucción de discos duros, donde ya veíamos cómo proceder para una destrucción efectiva. Para evitar la amenaza de sufrir «dumpster diving» la solución sería la destrucción física efectiva tanto de documentos como de dispositivos de almacenamiento. En el caso de papeles o tarjetas bastará con un destructor de documentos que los corte correctamente, estos destructores también son útiles para la eliminación de soportes ópticos como dvd o cd. Los pendrive, tarjetas de memoria o discos SSD son de fácil destrucción, bastará con destruir las celdas donde se almacenan los datos, por lo que unos martillazos bien dados aseguran la destrucción. Finalmente para los discos duros clásicos, formados por varios discos magnéticos, me remito al artículo antes citado, si no queréis leerlo el resumen es «Si tienes un disco duro magnético lo desmontas, rallas las caras de los discos que lo forman (lijadora si tienes, si no una lija gorda) y los rompes, ya sea a base de martillo, taladro, sierra o soplete.«

Admiralty Code ¿Qué es? ¿Puede servirnos para estar prevenidos ante noticias falsas/propaganda?

El «Admiralty Code«, también llamado «NATO System«, en castellano «Sistema de la OTAN«, es un método para analizar la fiabilidad de la información diseñado y utilizado por la OTAN y por los servicios de inteligencia de los países que forman parte del acuerdo UKUSA. Aunque originalmente fue creado como una herramienta para servicios de inteligencia naval su utilidad puede extenderse a muchos otros contextos, incluso al académico, el investigador JM Hanson destacaba en un artículo para la UNSW de Sidney que podría tratarse de una herramienta fundamental para fomentar el auto-aprendizaje, además de una buena metodología para los estudiantes que buscan recursos educativos o fuentes para una investigación. Ya hemos hablado en el pasado de la proliferación de propaganda en internet, tanto con fines económicos como políticos, también de cómo reducir nuestra exposición a la misma. Los criterios usados en el método Admiralty Code pueden ser útiles herramientas a la hora de analizar la información que recibimos en nuestro teléfono, correo electrónico, etc.

¿En qué consiste pues este método? Pues consiste en analizar tanto la fiabilidad de la fuente como la coherencia y credibilidad de la información, usando dos escalas de seis puntos para ello.

Escala de fiabilidad de la fuente:

  • A – Totalmente Fiable: La fuente tiene un buen historial previo, siempre ha ofrecido información fiable y auténtica, mostrándose además competentes en el tratamiento y presentación de la información.
  • B – Habitualmente Fiable: La fuente tiene un buen historial previo, en la gran mayoría de las ocasiones ha ofrecido información fiable y auténtica.
  • C- Algo Fiable: Aunque la fuente ha ofrecido en el pasado información válida, debemos «cogerla con pinzas» porque no siempre nos ofrece datos fiables.
  • D – Habitualmente no confiable: Aunque la fuente ha ofrecido en el pasado información válida alguna vez, debemos «cogerla con pinzas» porque en la mayoría de las ocasiones no ha sido una fuente fiable.
  • E – Desconfiable: La fuente tiene un historial previo de información falsa o poco fiable, ya sea por incompetencia o por ser ese su objetivo.
  • F – Sin Datos: Desconocemos el historial previo de la fuente.

Escala de credibilidad de la información:

  1. Confirmado en varias fuentes: La información parece lógica y coherente, además está confirmada por varias fuentes independientes.
  2. Probablemente cierto: La información parece totalmente lógica y coherente, aunque no esté confirmada en más fuentes de momento.
  3. Posiblemente cierto: La información parece razonablemente lógica y coherente.
  4. Dudoso: Aunque lo que nos cuente la información es posible, carece de lógica o de coherencia con otras situaciones conocidas pasadas.
  5. Improbable: Lo que nos cuenta la información es imposible, contradictorio o totalmente ilógico en si mismo. Varias informaciones sobre el tema la contradicen.
  6. Sin base: Carecemos de base para poder medir la credibilidad de la información.

De esta forma podríamos elaborar una tabla con la que validar nuestros contenidos, con un código de colores similar a un semáforo [verde: esto en principio parece cierto, amarillo: habrá que andarse con ojo, rojo:esto probablemente sea falso] para estar advertidos de la fiabilidad de la información que estamos recibiendo:

Tabla con categorías de verosimilitud de información cruzadas con la calidad de fuente

Este sistema ha recibido críticas de múltiples analistas de inteligencia, por ejemplo porque su bidimensionalidad puede llevarnos a tener dudas: ¿es más fiable una información marcada como B3 o como C2? En cualquier casi aquí no planteamos ya la idea de elaborar informes de inteligencia, sino la de servirnos de este criterio un poco como guía para evaluar las noticias que leemos. Cuando veamos un titular jugoso pensemos primero ¿de dónde sale esta noticia? ¿qué historial tiene este medio en este tema? y después pasemos al punto ¿esto es posible? ¿es coherente?