Español | English
rss facebook linkedin Twitter

Bruce Schneier


Hace unas semanas se realizó una interesante entrevista en el blog de Freakonomics del New York Times a Bruce Schneier, que como muchos de vosotros sabréis, es un profesional muy respetado en diversos ámbitos que tiene una visión global de la seguridad, y por supuesto, sus propias ideas alrededor de todo lo que tiene que ver con la seguridad: pasado, presente y futuro (hace poco comentamos su visita a España en el ISMS Forum).

Independientemente de reconocer las aportaciones del señor Schneier al escenario de la Seguridad, que son muchas (aunque personalmente no comparto muchas de sus ideas en sus libros donde mezcla negocio+seguridad), durante la entrevista aparecen varios comentarios que merecen la pena reseñar, además de que las ideas que expone en general son muy prácticas y razonables en la mayoría de los casos:

Q: What do you think needs to be done to thwart all of the Internet-based attacks that happen? Why it is that no single company or government agency has yet to come up with a solution?

A: That’s a tall order, and of course the answer to your question is that it can’t be done. Crime has been part of our society since our species invented society, and it’s not going away anytime soon. The real question is, “Why is there so much crime and hacking on the Internet, and why isn’t anyone doing anything about it?”

The answer is in the economics of Internet vulnerabilities and attacks: the organizations that are in the position to mitigate the risks aren’t responsible for the risks. This is an externality, and if you want to fix the problem you need to address it. In this essay (more here), I recommend liabilities; companies need to be liable for the effects of their software flaws. A related problem is that the Internet security market is a lemon’s market (discussed here), but there are strategies for dealing with that, too.


Aunque puede ser una buena idea (y mucho mejor que esta otra, donde Howard Schmidt propone que los responsables sean los programadores de forma individual, ¡quién va a ser programador entonces!), tiene sentido en EEUU, donde los abogados tienen un futuro asegurado, pero dudo que en Europa pueda ser igual. Además, sólo las empresas grandes de software podrían permitirse pagar sus responsabilidades;¿y que pasaría con el software open-source, puesto que también tiene vulnerabilidades? Es una buena idea en la teoría pero muy difícil de llevar a la práctica. La relación entre Seguridad Informática y Economía no es tan fuerte como Schneier comenta:

Computer security isn't a technological problem -- it's an economic problem. Socialists might imagine that companies will improve software security out of the goodness of their hearts, but capitalists know that it needs to be in companies' economic best interest. We'll have fewer vulnerabilities when the entities that have the capability to reduce those vulnerabilities have the economic incentive to do so. And this is why solutions like liability and regulation work.

Personalmente, considero más acertado el otro sentido, premiar a las empresas que no tienen vulnerabilidades en su software, antes que castigar a las que lo tienen.

Q: How worried are you about terrorists or other criminals hacking into the computer systems of dams, power plants, air traffic control towers, etc.?

A: Not very. Of course there is a security risk here, but I think it’s overblown. And I definitely think the risk of cyberterrorism is overblown (for more on this, see here, as well as this essay on cyberwar).


Quizás pueda estar magnificado por los medios de comunicación, pero el riesgo es real, sobre todo después de la incursión de bandas criminales y terroristas en Internet. Más aún, en EEUU es posible que esté todavía más magnificado (han hablado mucho siempre de un "electronic Pearl Harbour"), pero precisamente puede que sea uno de los primeros objetivos de la lista de naciones amenazadas. Schneier divide el riesgo en:
  • Cyberwar: el incidente de Estonia, China, etc.
  • Cyberterrorism: cualquier ataque de grupos terrorista a infraestucturas mediante el uso de redes de comunicaciones
  • Cybercrime: fraude, DDoS, lo que más se puede apreciar
  • Cybervandalism: web defacement, también bastante visible
En el ensayo anterior, además comenta un dato interesante: la cyberwar es una batalla de igualdad, puesto que los dos bandos utilizan el mismo hardware y el mismo software, aunque realmente luego existen ciertas ventajas, puesto que siempre pueden existir vulnerabilidades no públicas en el software utilizado.

Q: Is there any benefit to password protecting your home Wifi network? I have IT friends that say the only real benefit is that multiple users can slow down the connection, but they state that there is no security reason. Is this correct?

A: I run an open wireless network at home. There’s no password, and there’s no encryption. Honestly, I think it’s just polite. Why should I care if someone on the block steals wireless access from me? When my wireless router broke last month, I used a neighbor’s access until I replaced it.


Aunque parece una respuesta inocente y que en un mundo ideal sería perfecta, realmente hay muchos casos demostrados de uso de redes wireless personales para la realización de delitos en Internet. Además, si te interesa mantener tu privacidad y evitar usurpaciones de identidad, es deseable que no compartas tu conexión wireless con gente de poca confianza.

Realmente merece la pena leer la entrevista, puesto que expresa con claridad y sin tapujos muchas de las cuestiones que siempre están rodeadas de una cierta nebulosa, aunque la visión del señor Scheier está fuertemente influenciada por cómo transcurren las cosas en EEUU (por otra parte, totalmente razonable), y muchas veces la realidad no se corresponde al 100% con la visión que se tiene de los hechos.

David Barroso
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login