Desde hace algún tiempo vengo interesándome cada vez más en los aspectos de la seguridad en lo que a sistemas e informática se refiere; y la verdad que el adentrarse en este mundo es a la vez fascinante y alarmante.
Resulta fascinante descubrir las ingeniosas e inteligentes soluciones que la mente humana va encontrando a los distintos problemas y brechas de seguridad que día a día surgen en este cada vez más complejo mundo de la informática.
No menos fascinante resulta descubrir las técnicas que se utilizan para realizar ataques y aprovechar vulnerabilidades. Si no fuera por el propósito que persiguen, realmente muchas serían dignas de admiración.
Pero lamentablemente resulta alarmante el nivel de desinformación y falta de consciencia con el que se trabaja muchas veces en los ámbitos de algunos centros de desarrollo y de sistemas que dicen tener en cuenta la seguridad de la información.
Me ha tocado ver como profesionales de la seguridad y tecnología informática desconocen ciertas herramientás básicas de seguridad y de diagnóstico. No me refiero a herramientas concretas con nombre y apellido, sino a tipos de herramientas genéricas que se deben utilizar para realizar ciertos tipos de dignósticos, los cuales son imposibles de realizar sin las mismas, lo que denota la falta de conocimiento del supuesto profesional del área.
También me ha tocado ver como se manipulan claves de acceso y llaves de acceso (archivos de claves privadas de tecnologías de criptografía asimétrica) como si fueran simples archivos de configuración, los cuales se entregan en CDs de instalación de aplicaciones como parte de los archivos de configuración, por lo cual un número no determinado de gente tiene acceso a la clave o llave prívada que permite a ese mismo número indeterminado de gente hacerse pasar por la empresa que distribuye estos CD.
No pienso revelar bajo ningún concepto cuales son estas empresas, porque esto no haría más que agravar el problema, pero realmente me alarma la liviandad con la que se tratan los temas de seguridad, los cuales muchas veces son dejados de lado para lograr que algo funcione, sin inportar cuanto se comprometa la seguridad al hacerlo.
Quienes me sigan en el blog y el podcast, seguramente sabrán que le doy mucha importancia a la seguridad, al punto tal de llevar mi pendrive encriptado, o tener una VPN para acceder a mi red remotamente en forma segura. Todo esto no para esconder algo, sino porque simplemente tengo derecho a conservar mi privacidad y me valgo de todos los medios disponibles para hacerlo.
Es por todo esto que no puedo entender que si yo, un simple usuario tal vez avanzado, tengo acceso a lograr el grado de seguridad que he logrado, del cual me siento orgulloso y me hace sentir muy seguro, como puede ser que las empresas tomen esto de forma tan poco seria y le den tan poca importancia y tengan brechas de seguridad que claramente denotan su falta de conocimiento sobre el tema.
