• Artículo

Vigilancia de seguridadPrincipios de seguridad cuántica

Jesper M. Johansson

Puede ser muy divertido incluir algo inesperado pero importante en una conversación. Hasta ahora, he usado el Principio de indeterminación de Heisenberg para explicar conceptos de seguridad. (Los que han oído mi historia del unicornio saben que me gusta incluir teorías fundamentales de otras disciplinas). Por

extraño que parezca, existen corolarios de seguridad de la información para algunos conceptos fundamentales en otras ramas de la ciencia.

El Principio de indeterminación de Heisenberg, que proviene de la física cuántica, se basa en la ecuación que aparece en la Figura 1. El principio afirma que la posición de una partícula (p) y la velocidad de la partícula (x) se relacionan de tal forma que si aumenta la precisión de la medición de la posición, disminuye la precisión de la medición de la velocidad. El límite de la precisión de dos factores es un múltiplo fijo de la constante de Planck. En un lenguaje más asequible, el principio afirma que no puede observar con total precisión ciertos factores de una única partícula al mismo tiempo.

Figura 1 Principio de indeterminación de Heisenberg

Figura 1** Principio de indeterminación de Heisenberg **

Se relaciona directamente con la predicción de bandas de indeterminación, que le permiten predecir el nivel de incertidumbre respecto del estado de un par de factores de una partícula. Aunque (aún) no puede predecir bandas, el hecho de que no pueda predecir con certeza cómo afectarán dos variables de una red de equipos a la seguridad de la red es bastante importante.

También tiene que estudiar las ventajas y desventajas. Aunque no va a estar limitado por la constante de Planck en el ámbito de la seguridad de la información, estará limitado de todos modos. Las ventajas y desventajas más importantes que debe sopesar se establecen entre la seguridad, las posibilidades de uso o la utilidad. Si no presta atención a la disponibilidad por un momento, y, francamente, no creo que el personal de seguridad deba tener responsabilidad sobre la disponibilidad excepto en casos de ataques de denegación de servicio, la manera más confiable de proteger algo es apagarlo. De esta manera, no se podrá seguir pirateando. Aunque, la utilidad cae en picado.

Asimismo, aunque cuesta mucho más, puede evitar de manera más eficaz la pérdida de datos confidenciales mediante la implementación de un costoso producto de prevención de pérdidas de datos en lugar de enviar un mensaje de correo electrónico a sus empleados una vez al año recordándoles que las aplicaciones de mensajería instantánea no son de uso empresarial. Pero ¿su organización está dispuesta a pagar la herramienta de prevención de pérdidas de datos? Ahora se dará cuenta de que la física cuántica es más importante para la seguridad de lo que pensaba.

El gato de Schrödinger

Un concepto relacionado, aunque diferente, de la física cuántica se explica en la parábola del gato de Schrödinger. Cuenta la historia que Erwin Schrödinger, un científico destacado del siglo XX, tenía desde hacía tiempo una discusión con Albert Einstein (otro científico importante del siglo XX del que ya habrá oído hablar) acerca del concepto de la superposición. Schrödinger encontró áreas de la mecánica cuántica que disponían de elementos existentes en una superposición de dos estados bastante absurdos.

Para esto, Schrödinger planteó un experimento mental en el que se encerraba un gato en una caja sellada herméticamente. El otro elemento de la caja era un contenedor de veneno, cuya emisión se controla por medio de una partícula radioactiva subatómica (imaginaria). Si la partícula radioactiva se descompone, se liberaría el veneno y el gato moriría.

La partícula subatómica, sujeta a las leyes de la mecánica cuántica, existe en una superposición de estados. El gato atómico, cuyo estado depende por completo del estado de la partícula subatómica, también existe en una superposición de estados. Sólo podremos hablar de un estado de vida o muerte si observamos el estado del gato.

Schrödinger, por supuesto, trataba de ilustrar lo absurdas que pueden ser algunas leyes de la mecánica cuántica cuando se aplican a sistemas atómicos. No obstante, a este ejemplo también se le atribuye la aparición de lo que en términos profanos se denomina "efecto observador". El efecto observador, aunque no se aplica a los sistemas subatómicos de interés de la mecánica cuántica, resulta interesante para nosotros como profesionales de la seguridad. Afirma que sencillamente observando algo usted puede cambiarlo.

El efecto observador

Para explicarlo con más detalle, considere el ejemplo de una taza de té. Para averiguar la temperatura del té, introduce un termómetro en la taza. Digamos que el té tiene una temperatura de 80 grados centígrados cuando introduce el termómetro, y el termómetro tiene una temperatura de 22 grados centígrados (temperatura ambiente). Conforme introduce el termómetro en el té, comienza a absorber calor del té y el té pierde parte de su calor al calentar el termómetro. Al final, el termómetro y el té tendrán la misma temperatura. Sin embargo, la temperatura no será ni 80 grados ni 22, será una intermedia. De este modo, midiendo la temperatura del té, la cambia.

El efecto observador también es relevante para la seguridad de la información. Cada vez que hace algo para mitigar un problema de seguridad, modifica de manera potencial su postura en materia de seguridad ya que modifica el sistema. Lo denominaré efecto de la fluidez de la postura en materia de seguridad (SPFE) a falta de un término mejor.

Uno de los ejemplos más sencillos es el caso de las dependencias de cuentas de servicios. En el capítulo 8 del libro Protect Your Windows Network (protectyourwindowsnetwork.com), se trata la instalación de un sistema de detección de intrusiones (IDS) en su sistema para detectar ataques. Sin embargo, IDS registra un sistema central y requiere privilegios de acceso elevados para los sistemas supervisados. La mayor parte del tiempo el servicio se ejecuta en una cuenta de servicio con privilegios elevados.

Si se compromete uno de esos sistemas, el atacante podrá obtener acceso a las credenciales de la cuenta de servicio y al resto de los sistemas, además de deshabilitar IDS. Este es un ejemplo perfecto de SPFE. Al instalar un recurso que ofrece seguridad a su entorno, crea un nuevo problema de seguridad potencial.

Otros ejemplos de la abundancia de SPFE. La descripción de Steve Riley del motivo por el que 802.1x encontraba algunos problemas en las redes con cable (microsoft.com/technet/community/columns/secmgmt/sm0805.mspx) es otro ejemplo fantástico. Obviamente, el uso de firewalls basados en host sería lo ideal en muchos entornos. Sin embargo, si se usa junto con 802.1x, la combinación posibilita un ataque particular que antes no era posible. De nuevo, una tecnología de seguridad modifica la postura de seguridad del entorno y permite ataques que, de lo contrario, no serían posibles.

Esto no significa que estas medidas son inútiles y deban evitarse. Lo que quiero decir es que es necesario que considere las implicaciones de sus actos en términos de seguridad en general. Cuando administra riesgos, debe considerar el riesgo que suponen sus acciones y prevenciones. Al mitigar un problema, no puede detenerse después de implementar medidas. En realidad, la seguridad es un proceso. Es necesario que use una estrategia de protección, pero debe considerar el modo en que las defensas cambiarán su postura de seguridad y como se enfrentará a las nuevas amenazas que surjan a raíz de la estrategia.

Estrategia de protección en proceso de maduración

He trabajado en orientación de protección durante más de 10 años. Al mirar las primeras guías en las que trabajé, me doy cuenta de que no son más que listas de ajustes que mis compañeros y yo pensamos que habría que activar. En esos tiempos, la estrategia general con respecto a la seguridad era un poco ingenua. Básicamente, si algo se diseñaba para ofrecer seguridad, la lógica era que debía estar activado. El hecho de que hubiera razones legítimas para que estuviera desactivado en primer lugar no se tenía muy en cuenta.

Al final, aprendí que para proteger de forma eficaz, hay que prestar mucha atención a la protección y considerar las amenazas a las que están sujetos los sistemas. Esta revelación dio lugar a la lista de escenarios que puede ver en la Guía de configuración de seguridad de Windows 2000 (go.microsoft.com/fwlink/?LinkID=22380). La progresión natural a partir de aquí era dividir la orientación en diferentes niveles de amenazas, como puede ver en la Guía de seguridad de Windows Server 2003 (go.microsoft.com/fwlink/?linkid=14846).

Todo ese tiempo, estuve fastidiado por el hecho de que aún era posible irrumpir en un sistema incluso con toda la orientación activada y en su lugar. Esto se debe a que o bien faltaban algunas revisiones, o se obtuvo acceso mediante una práctica operativa o se instaló software de terceros inseguro.

Resultó que la protección de esas dos guías no ayudó mucho a la postura de seguridad agregada. Todo era cuestión de un par de cuestiones clave. De hecho, el sistema más seguro que nunca he creado (msdn2.microsoft.com/library/aa302370) empleaba sólo cuatro o cinco de los ajustes de las guías de seguridad, y ninguna de ellas detuvo ninguno de los ataques a los que estaba sujeto. Por desgracia, la gente sólo quiere un enorme botón azul que ponga "Asegúreme ahora" que refuerce los sistemas de manera automática. Sin embargo, la seguridad es algo mucho más complejo.

Cómo enfocar los riesgos

Para protegerse (en contraposición al estado finito de asegurar), debe adoptar un enfoque global de los riesgos. Debe entender los riesgos a los que se enfrenta, decidir cuáles desea mitigar y, a continuación, debe entender cómo mitigarlos y esto rara vez se hace produciendo modificadores.

Normalmente, estos modificadores de seguridad se diseñan para escenarios específicos y no crean necesariamente la mejor configuración para su escenario. En su lugar, crean un buen punto de partida de línea de base y están disponibles principalmente porque muchos catálogos de soluciones demandan éstas rápidas modificaciones de la protección. Algunas se incluyen en el software moderno de manera predeterminada; y las que no se incluyen pueden tener importantes efectos secundarios.

Además, producir montones de modificadores puede producir un sistema inadmisible e inestable que no realice las tareas que necesita realizar, y todo para mitigar amenazas que aún no ha enumerado. SPFE y la física cuántica nos piden que volvamos a analizar después de asegurar cualquier cosa, pero muchas organizaciones no lo hacen. De hecho, no analizan las amenazas para empezar. Si empieza analizando las amenazas, se dará cuenta de que lo que realmente marca la diferencia no son restricciones anónimas en listas de nombres de cuentas y cambios sistemáticos a las listas de control de acceso.

Por el contrario, lo que realmente marca la diferencia es determinar si su sistema debería estar proporcionando un servicio en particular y a quién, y, a continuación, aplicar la directiva. Lo que marca la diferencia es garantizar que sólo los sistemas y usuarios que realmente necesiten comunicarse con usted, podrán hacerlo. Lo que marca la diferencia es garantizar que todas las aplicaciones y usuarios se ejecutan con el menor número de privilegios posible. En resumen, lo que marca la diferencia es adoptar un enfoque sensato y realizar análisis difíciles para habilitar cada sistema para que se responsabilice de su propia seguridad.

Por este motivo el enfoque actual para la seguridad emplea herramientas como el aislamiento del dominio y servidor (microsoft.com/sdisolation), los productos del Asistente para configuración de seguridad (SCW) de Windows Server® y las herramientas del Administrador de servidores para administrar funciones en Windows Server 2008. Estas herramientas le ayudan a comprender los escenarios que debe admitir y a bloquear sus sistemas de forma adecuada. Por supuesto, estas herramientas no ofrecen la panacea que todos desean, pero producen una configuración sostenible que realiza las tareas por las que adquirió el software.

Aplique la seguridad donde sea necesario

Todo esto significa que no puede depender de otras entidades o modificaciones sencillas de seguridad. Todos los activos deben ser capaces de defenderse por si mismos debido a que conceptos como "perímetro" y "red interna" no tienen valor hoy en día.

La inmensa mayoría de las redes de organizaciones son parcialmente hostiles en el mejor de los casos. Debe entender esto y realizar las acciones adecuadas sin depender únicamente de la orientación de protección. Para empezar, debe comprender sus necesidades. Debe buscar orientación de otros que también entiendan sus necesidades.

Un invitado a un webcast recomendó recientemente que los usuarios de pequeñas empresas fueran al sitio del Departamento de Seguridad Nacional y descargaran un guía de protección para Internet Explorer®. ¿Por qué esperaría que una administración pública encargada de la protección de la seguridad nacional y militar ofrezca la orientación adecuada acerca de cómo asegurar un explorador web en una pequeña empresa? Este es un ejemplo perfecto de la escasa lógica frecuente en el campo de la seguridad de los equipos. Se supone que desde que la orientación fue publicada por una administración pública de tres letras, los resultados deben ser muy seguros.

Normalmente la elección se presenta como una decisión binaria: puede disponer de "seguridad alta" o "seguridad baja". Una manera mejor de presentar esta elección es entre "seguridad alta" o "seguridad adecuada". La seguridad no es de talla única.

De hecho, la seguridad alta no está disponible para todo el mundo y, normalmente, tampoco lo está para la mayoría. No es un objetivo final por el que deba esforzarse. Se trata de una configuración especial para sistemas en los que las personas morirían si el sistema se viera comprometido. Si se ajusta a su perfil de riesgo y modelo de amenazas, entonces úsela.

Si este no es su perfil de riesgos o su modelo de amenazas, entonces debe usar algo más apropiado. Lo más probable es que cualquiera de las modificaciones que pueda configurar se ajuste correctamente al nivel del perfil de riesgo moderado de forma predeterminada. Este estado predeterminado, que hoy en día se usa en la mayoría de los productos de Microsoft, ofrece un equilibrio razonable entre seguridad y uso, utilidad y rendimiento. Si piensa que todo es demasiado estricto, sepa que se hace por usted.

Ahora debe plantearse otras acciones relacionadas con la seguridad. Un buen punto de partida sería el Centro de seguridad de TechNet (microsoft.com/technet/security) y, por supuesto, libros como Windows Server 2008 Security Resource Kit.

Administración de riesgos

Probablemente ya se habrá dado cuenta de adónde quiero llegar: administración de riesgos. El mensaje clave del Principio de indeterminación de Heisenberg es que dispone de ventajas y desventajas. Esta parte del principio es obvia.

El mensaje de la historia del gato de Schrödinger, sin embargo, es algo que la mayoría de la gente no tiene en cuenta. Para usted no sólo es importante analizar todos los aspectos de un problema y tomar una decisión en función de las ventajas y las desventajas, también debe tener en cuenta los cambios introducidos por sus soluciones. Una estrategia de administración de riesgos sólida tiene en cuenta el modo en que esos cambios afectarán al sistema y si dichos cambios se implementaron como parte de una estrategia de mitigación de riesgos o por cualquier otra razón.

Expectativa de pérdida anual (ALE)

La manera habitual de cuantificar los riesgos, y el método que se aprende en muchos cursos de seguridad, es la ecuación ALE, que se muestra en la Figura 2. La ecuación ALE estándar es bastante sencilla. Determina la probabilidad de un incidente y los costos de todas las incidencias y, a continuación, multiplica los dos valores. El resultado le muestra la cantidad que espera pagar por incidentes de seguridad al año. Si el costo del riesgo es lo suficientemente elevado, implementará la estrategia de mitigación.

Figura 2 La ecuación ALE es la probabilidad de una pérdida, multiplicada por los costos de la pérdida por incidente

Figura 2** La ecuación ALE es la probabilidad de una pérdida, multiplicada por los costos de la pérdida por incidente **(Hacer clic en la imagen para ampliarla)

El problema es que la ecuación ALE estándar no hace justicia a los costos de las estrategias de mitigación. Ya que la mitigación no sólo tiene su propio costo sino que muchas estrategias de mitigación tienen efectos secundarios con gastos asociados.

Considere uno de los ajustes de seguridad más estándar: el bloqueo de cuentas. Muchas organizaciones implementan el bloqueo de cuentas, aparentemente para evitar que los atacantes descubran las contraseñas. Puede calcular de manera matemática la probabilidad de que un atacante adivine cualquier contraseña única. Si es una persona creativa, también puede calcular el costo medio de la infracción resultante de que un atacante adivine una contraseña. Basándose en esos dos números, muchas organizaciones han decidido que la ecuación ALE no es aceptable y por lo tanto implementan el bloqueo de cuentas.

Sin embargo, esta estrategia de mitigación particular tiene un costo que puede pasarle inadvertido. Se trata del costo de implementar la estrategia de mitigación, aunque es mínimo. Para ser precisos, el cálculo debe incluir los costos de los efectos secundarios resultantes de la mitigación.

En primer lugar, encontramos costos asociados con el soporte técnico para desbloquear cuentas para usuarios. Si la cuenta se bloquea sólo durante un corto período de tiempo, digamos 15 minutos, también hay que incluir los costos de pérdidas de productividad de dicho período. Este factor se cuenta como el costo de cada incidente, multiplicado por la posibilidad de que el incidente suceda en un período de tiempo dado. En este caso, multiplicaría los costos por el número de eventos de bloqueo esperados, un número que deben proporcionar sus registros.

También debe tener en cuenta el factor de empeoramiento del usuario. La evidencia anecdótica indica que los usuarios usarán contraseñas menos complicadas si están sujetos al bloqueo de cuentas ya que tienen menos posibilidades de cometer errores al escribirlas. Por lo tanto, la probabilidad del incidente que nos gustaría evitar no es de cero después de implementar la estrategia de mitigación.

Por último, puede haber vulnerabilidades introducidas por la mitigación que no estaban presentes en el sistema antes de la introducción de la mitigación. En el caso del bloqueo de cuentas, un atacante puede usar esta característica para deshabilitar todas las cuentas de la red de manera sencilla adivinando sus contraseñas repetidamente de manera incorrecta. Existe una posibilidad de que esto ocurra, junto con el costo asociado de cada incidente.

Teniendo en cuenta todos estos factores, está claro que debe modificar su ecuación de expectativas de pérdidas. En primer lugar, debe modificar la probabilidad del incidente. Ahora es menos probable que suceda el incidente que antes, aunque la probabilidad, como se vio con anterioridad, puede tener un valor distinto de cero. También puede que cambie el costo de los incidentes. Para este producto debe agregar el costo de la estrategia de mitigación. Éste se compone del costo de la implementación y de la suma de los costos anuales de todos los efectos secundarios. Cada uno de estos costos anuales es el producto de los efectos secundarios que tengan lugar y el costo de cada incidente de dicho efecto secundario. Simplificando un poco la presentación de la ecuación, ahora dispone de una ecuación de análisis de riesgos más precisa, como se muestra en la Figura 3.

La ecuación mejorada de la Figura 3 ofrece una manera más precisa de analizar el riesgo de un problema en particular. Muchas organizaciones han analizado sus riesgos de esta manera. Sin embargo, otras muchas aún disponen de una vista de riesgos simplificada que no señala de manera adecuada la necesidad de analizar el impacto de las estrategias de mitigación. Mediante el uso de la ecuación ALE modificada, se da una importancia primordial a esa necesidad.

Figura 3 Costos adicionales de la estrategia de mitigación

Figura 3** Costos adicionales de la estrategia de mitigación **(Hacer clic en la imagen para ampliarla)

Lo que significa

Si sólo realiza una acción después de leer este artículo, será cuestionar los conocimientos convencionales acerca de las estrategias de seguridad. La mayoría de lo que hacemos en el campo de la seguridad de la información se basa en una visión estereotípica del mundo. Y muchas de estas suposiciones son anticuadas.

Los ataques han cambiado. Los atacantes ahora son profesionales que se dedican a eso por dinero, supremacía nacional o ideología. No puede permitirse malgastar tiempo y dinero en ajustes de seguridad que no mejoren la seguridad. Esto también significa que debe adoptar un enfoque mucho más sofisticado con respecto a la administración de riesgos.

En primer lugar, es importante que se dé cuenta de que cada acción tiene consecuencias. No puede saberlo todo con certeza.

En segundo lugar, debe comprender que trabaja en un sistema interdependiente. Mediante la introducción de cambios de seguridad, modifica todo el sistema, lo que implica que debe volver a analizarlo.

Preferiblemente, debe realizarlo antes de implementar dichos cambios, ya que a menudo estos cambios tienen un impacto increíble en el sistema y hacen más mal que bien. Mediante el uso de herramientas de análisis mejoradas que le recuerden analizar dichos cambios, es menos probable que se olvide de ellos.

Por último, no olvide nunca el factor humano. Todo lo que hace en seguridad de la información es habilitar el negocio y hacer posible que los usuarios de la organización trabajen de la forma más segura posible.

En una presentación reciente, señalé que hoy en día no hay un único usuario que compre un equipo y ejecute un programa antivirus. La seguridad es su objetivo principal, pero no el objetivo principal de la compañía. Es el caso en la actualidad de las organizaciones que simplemente toleran la seguridad porque favorece sus intereses. No olvide nunca que el cometido del grupo de seguridad de la información es servir al negocio y no al contrario. Si ignora este hecho, los usuarios harán cualquier cosa para realizar su trabajo, incluso si implica sortear controles de seguridad que no entienden o con los que no están de acuerdo.

Jesper M. Johanssones un arquitecto de software que trabaja en el campo del software de seguridad y es editor colaborador de TechNet Magazine. Tiene un doctorado en sistemas de información de administración, más de 20 años de experiencia en el ámbito de la seguridad y es un MVP (Profesional más valioso) de Microsoft en seguridad empresarial. Su último libro es Windows Server 2008 Security Resource Kit.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.