La seguridad del bien
Cuando hablamos del valor de los objetos me recuerda a la letra de un tango llamado “Antiguo reloj de cobre” de Osvaldo Pugliese, donde describe el dolor que le provoca a una persona tener que vender por necesidad un reloj que le había regalado su padre por un valor insignificante (literalmente dice “cuatro pesos sucios, por esa reliquia”). Esto nos demuestra que el valor de los objetos es subjetivo; para una persona un simple reloj tiene un valor sentimental inexplicable, mientras que para el comprador es tan solo un simple reloj de cobre.
Todos los seres humanos tenemos objetos que consideramos que tienen cierto valor, ya sea económico o sentimental. Ahora bien, uno pensaría que el valor económico es el mismo para todos por igual, pero no siempre es así. Por ejemplo, un millón de dólares para mí es mucho dinero y seguramente para vos también, pero para Jeff Bezos (con una fortuna aproximada de 143 mil millones de dólares) no debe significar mucho, por lo que sigue siendo relativo.
Ahora vamos al punto, la pregunta en cuestión es ¿cómo guardarías ese objeto de valor para que no pueda ser robado por otros?
La definición que nos compete acá es la de seguridad, que su definición etimológica proviene del latín “securitas” que a su vez es un derivado del adjetivo “securus”, que significa sin cuidado, sin preocupación, o dicho en criollo que nos despreocupemos por ello.
Este concepto de seguridad se aplica a varios aspectos diferentes de la vida cotidiana, a los cuales prestamos tan poca atención que no nos damos cuenta que existen. Por ejemplo, cuando pasamos por el control de seguridad de un aeropuerto, la seguridad social que nos provee el Estado cuando tenemos una discapacidad, jubilación etc., la caja de seguridad de un banco o un captcha en el login de una página web (el famoso “I’m not a Robot”) entre otros tantos.
En síntesis, al hablar de seguridad, nuestro principal objetivo es prevenir que un extraño pueda acceder a nuestros bienes, datos o lo que fuere que queremos resguardar. Es hacerlo privado o confidencial.
Con el fin de salvaguardar estos bienes, intentamos poner algunas “trabas” para que dichos intrusos no puedan acceder a su objetivo (nuestro bien), tal como lo hacen los controles aeroportuarios con la utilización de rayos-x y detectores de metales o los bancos que se inclinan por sensores de movimiento y vibración para sus bóvedas.
Ahora, supongamos que tenés 1 millón de dólares en efectivo, ¿los guardarías en el locker de tu gimnasio con un simple candado de 3 dígitos o preferirías la caja de seguridad de un banco con sensores y paredes de concreto reforzadas con acero? La respuesta es obvia, y esto es por todas las medidas de seguridad que nos garantizan su resguardo.
Llevando este mismo concepto de seguridad al mundo de los datos en la nube, podríamos preguntarnos ¿qué tan segura es mi clave de Facebook? Para algunos la información (objetos de valor en este caso), que allí se encuentra, es irrelevante y de poco valor por lo que tienen una clave muy simple como “contraseña123”. Por otro lado, para otros usuarios pueden ser trascendentales los datos que allí se encuentran y ahí es donde entra la tarea de los ingenieros de lograr que una contraseña sumada a otros métodos de seguridad evolucione en la suficiente complejidad para que le resulte tediosa la tarea a un intruso y desista de atacar (principalmente va a desistir porque le va a costar más trabajo hacerlo, que el valor que encontrará allí dentro).
Yendo a un caso concreto, cuando nos vamos a registrar en un sitio y este nos ”tortura” para que nuestra contraseña tenga letras mayúsculas, con minúsculas, símbolos y números, no es sólo un capricho de quien lo diseñó, sino que tiene por objetivo poner obstáculos en la tarea del intruso para descifrar la contraseña.
La siguiente tabla nos muestra cuanto tiempo llevaría a un intruso descubrir nuestra contraseña dados los números de caracteres y la combinación de los mismos:
Aquí tenés un sitio para hacer la prueba con tus propias contraseñas: https://howsecureismypassword.net/
Visto esto y después de haber cambiado todas las contraseñas triviales que tenías… ¡sigamos!
Entonces, ¿por qué no ponemos una gran cantidad de controles de acceso y nos aseguramos de que nadie pueda vulnerarlos? Bueno, la razón es simple: como todo en la vida, las cosas necesitan un balance. Por ejemplo, si volvemos al caso de Facebook, imaginemos que en lugar de pedirte tan solo la dirección de email y contraseña para acceder a tu cuenta, también te pidiese la fecha de nacimiento, el nombre de tu perro, el nombre de tu bisabuela paterna y tu grupo sanguíneo. Claro está que cuantos más controles de acceso mayor será la seguridad, aunque probablemente a la quinta vez que Facebook te requiera todos esos datos en tu login, ¡querés romper todo! ¿Por qué? Porque tiene que existir una relación entre la seguridad del bien que queremos resguardar, la frecuencia con la que accederemos y la cantidad de controles de acceso que crearemos para acceder a ese bien. Éste es el punto donde tenemos que poner a funcionar nuestra materia gris para asegurar la mayor confidencialidad de bien con la menor cantidad de controles de acceso posibles.
Conclusión
La seguridad es un concepto relevante en muchos aspectos de la vida, sin importar el valor relativo de nuestro bien, y en el mundo del software nosotros como ingenieros tenemos que equilibrar la cantidad de controles de acceso con la frecuencia con la que el usuario accede a su información, esto para evitar que sea demasiado molesto cada acceso si es que la frecuencia es muy alta, lo óptimo sería menos controles pero más seguros. Es primordial ubicarse a la vanguardia, ya que las tecnologías y los métodos utilizados para proteger los bienes, (sean físicos o datos en la nube), cambian constantemente, debido a que en forma paralela se agudizan las herramientas tecnológicas de los intrusos.
