"La mayoría de ataques explotan el factor humano, la estupidez del usuario"

A los 14 años escribió su primer virus. A los 27, estudia cómo detenerlos. Joanna Rutkowska es polaca, experta en código malicioso y musa de la comunidad de seguridad informática. Le intriga saber si en España todos hacen la siesta: "Yo sí, cuando investigo algo complicado, y al despertar sé cómo resolverlo".

Pregunta. ¿Cuál es el estado del arte en el código malicioso?

Respuesta. Es más fácil crearlo que detectarlo. Las técnicas de los chicos malos están por delante de las nuestras.

P. ¿Los chicos malos le han pedido alguna vez sus conocimientos?

R. Acabo de crear mi propia empresa, Invisible Things, y entre otras cosas hacemos cursos. No sé si mis clientes son criminales o no.

P. Cada vez hay más complejidad y delincuencia. ¿Qué podemos hacer?

R. Por una parte está el factor humano y, por otra, el tecnológico. La mayoría de ataques explotan el factor humano, la estupidez de los usuarios. No podemos proteger totalmente a usuarios estúpidos.

P. ¿Y el tecnológico?

R. La tecnología suele tener fallos y hay ataques que no precisan de la intervención del usuario. Un ejemplo, que da miedo, es que sólo con tener la tarjeta inalámbrica de tu portátil funcionando, sin conectarte, alguien puede aprovechar un agujero del controlador y tomar el control de tu máquina.

P. ¿Cómo defendernos?

R. Escribiendo programas sin fallos, con mejores controles de calidad y educando a los desarrolladores para que hagan programas seguros.

P. ¿Es posible?

R. El sistema BSD tiene entusiastas auditando manualmente el código. Pero, aun así, se encuentran agujeros, a veces después de unos años. No es posible crear código 100% seguro.

P. ¿Y entonces?

R. Otra propuesta es diseñar el sistema operativo de tal forma que, aunque alguien explote un fallo, el sistema limite el alcance del ataque. Por ejemplo, con arquitecturas de micronúcleo.

P. ¿Qué?

R. Windows, Linux o Mac OS tienen grandes núcleos monolíticos, con millones de líneas de código donde no es raro que haya agujeros, y todo está allí. El micronúcleo es un núcleo diminuto que hace unas funciones básicas y el resto funciona en procesos aislados. Así, un ataque al núcleo no afecta a todo el sistema. El problema es que es un cambio drástico, pero el futuro va por aquí.

P. ¿Y mientras tanto?

R. Se están añadiendo herramientas especiales. Por ejemplo hacer que, cada vez que se pone en marcha el ordenador, los procesos estén en sitios diferentes. Así, el atacante no sabe dónde están las cosas.

P. ¿Y los antivirus?

R. No son más que parches. Se basan en bases de datos con miles de firmas de código malicioso y, por cada archivo que entra, comprueban si coincide con alguna. ¡Es un enfoque equivocado! No funciona contra nuevos ataques.

P. ¿Cómo deberían ser?

R. Con un diseño seguro de los sistemas operativos y tecnologías antiataques, los antivirus desaparecerían. Pero, en realidad, no se dirigen al factor tecnológico, sino al humano, avisando al usuario para que no abra tal adjunto. En la siguiente generación, cuando el humano esté educado, será diferente.

INVISIBLE THINGS: http://invisiblethings.org