Bruce Schneier, 'gurú' de seguridad: "La gente es demasiado paranoica"
El mejor consejo para el usuario corriente es hacer copias de los archivos, según el autor del boletín 'CryptoGram'
Bruce Schneier es una leyenda de la seguridad informática. Estadounidense, fundador de la empresa Counterpane, con clientes de la lista Fortune, mezcla el traje de negocios con una barba y coleta que le dan el toque informal, mostrando al "gurú hacker" que es. Desde hace años, publica un boletín mensual gratuito, Crypto-Gram, con cientos de miles de suscriptores. Sus ideas sobre seguridad son respetadas en todos los círculos, y llena las salas a rebosar en sus conferencias.
Pregunta. ¿Hay que ser paranoico para trabajar en seguridad?
Respuesta. No lo soy para nada. Al contrario, creo que todo el mundo es demasiado paranoico, cuando la mayoría de la gente es honesta. Hoy he entrado en un taxi, conducido por una persona desconocida, que me ha llevado a un sitio. He ido a comer a un restaurante que llevan personas que no conozco de nada. Es lo normal. Con la paranoia, lo único que hacemos es tomar decisiones estúpidas, como después del 11-S en Estados Unidos.
P. ¿Cuando se conecta a Internet, piensa lo mismo?
R. Sí. Accedo a la Red desde el hotel o el aeropuerto y nunca me preocupo.
P. ¿Cómo se protege?
R. El servidor de correo hace la detección de virus y spam y lo único que hago es estar al día de las actualizaciones del sistema operativo: saber qué está pasando es una gran medida de seguridad. Cuando no entiendes bien los riesgos debes tomar precauciones.
P. ¿El usuario corriente sabe de seguridad?
R. No tiene ni idea. Si las medidas de seguridad no son automáticas, no funcionan, porque el usuario no sabe ni hace nada.
P. ¿Alguien ha entrado alguna vez en su PC?
R. Estoy bastante seguro de que no. La gente que intenta entrar en ordenadores busca objetivos fáciles. Soy de los que piensan que no hay que poner barreras innecesarias. La red inalámbrica que tengo en casa es abierta, porque me gusta pensar que mis vecinos pueden usarla. Lo que sí protejo es mi PC. Tengo el sistema operativo actualizado y aplico algunas medidas básicas y lógicas, como no pinchar los ficheros adjuntos de los mensajes que recibo.
P. ¿Por qué hay tan poca gente que cifra su e-mail?
R. Porque la gente no utiliza una cosa que cree que no necesita. No hay una idea generalizada de que el correo sea inseguro. Yo no uso cifrado. Si alguien quiere leer mi correo, no se preocupará en capturarlo mientras viaja, irá al PC del destinatario y leerá la copia descifrada.
P. ¿Las empresas deberían contratar más personal de seguridad?
R. No. Las empresas deben centrarse en su negocio y dejar el trabajo especializado a otras empresas. Es el mismo caso de la seguridad física: casi ninguna compañía contrata el personal de seguridad, sinó que delega esta función en una empresa especializada.
P. ¿A qué se dedica Counterpane?
R. A la monitorización de la seguridad de las redes de nuestros clientes.
P. Está también en la junta de Electronic Privacy Information Center. ¿Cómo se casan la privacidad y la monitorización?
R. Sólo monitorizamos los dispositivos de seguridad, como cortafuego o sistemas de detección de intrusos. No espiamos las acciones de los usuarios sino los hechos de seguridad en las redes. No hacemos nada que pueda afectar a la privacidad y, si nos lo pidieran, la respuesta sería no.
P. ¿Por qué Internet no es segura?
R. Hay muchas razones, empezando por que no sabemos cómo diseñar productos seguros, ni hay un auténtico incentivo financiero para hacerlo. Además, a mucha gente no le preocupa la seguridad.
P. ¿Cómo ha evolucionado la seguridad de Internet?
R. Cada año va a peor y estoy convencido de que las cosas empeorarán más.
P. ¿Qué ha sido lo mejor y lo peor de este año 2004?
R. Lo mejor ha sido las medidas contra el spam. Lo negativo, el incremento del phishing (mensajes que intentan convencer al usuario para que facilite información sensible). Es un problema que aún está en fase embrionaria y dará muchos dolores de cabeza.
P. ¿Por qué?
R. Hasta ahora, los usuarios normales no han perdido dinero de forma masiva en Internet. Con los ataques phishing es posible que muchos, que hasta ahora no se habían visto afectados, pierdan dinero. Y esto puede provocar que la gente deje de utilizar Internet.
P. Microsoft no considera un problema de seguridad que su navegador sea sensible a ataques phishing...
R. Para Microsoft, los problemas de seguridad son problemas de relaciones públicas. Cuanto más podamos evitar utilizar solo productos de Microsoft, más seguros estaremos. Los fabricantes de programas deberían aprender a tratar a los usuarios como a seres inteligentes y cuando hablan de seguridad, decirnos la verdad.
P. ¿Cuál es el mejor consejo de seguridad?
R. Hacer copias de seguridad. Tener una copia de los datos importantes es nuestra salvación.
