Estamos a comienzos de 2023, así que probablemente esperabas que escribiéramos un artículo sobre las mejores historias del año pasado, o un artículo sobre lo que debes saber este año (basado en las mejores historias de 2022).
Al fin y al cabo, incluso a los redactores técnicos les gusta ponerse en modo vacaciones en esta época del año (o eso nos han dicho). Así que decidimos hacer algo casi, pero no del todo, distinto.
Los que no recuerdan la historia…
En efecto, vamos a mirar hacia delante echando la vista atrás, pero -como habrás adivinado por el titular- vamos a retroceder más allá de 2022.
En realidad, esa mención al 33 1/3 no es estrictamente exacta ni un homenaje específico al difunto teniente-sargento Frank Drebbin, porque esa cifra del titular debería haber sido, por derecho, entre 34,16 y 34,19, dependiendo de cómo fracciones los años.
Mejor nos explicamos.
Nuestra referencia histórica aquí se remonta al 2 de noviembre de 1988, que cualquiera que haya estudiado la historia temprana de los virus informáticos y otros programas maliciosos sabrá, fue el día en que se inició el dramático Gusano de Internet.
Un tal Robert Morris fue su creador, entonces estudiante de Cornell, cuyo padre, que también se llamaba Robert Morris, y era criptógrafo de la Agencia de Seguridad Nacional de EEUU (NSA).
Por si te preguntas qué pensaba el sistema legal del malware en aquella época, y si liberar virus informáticos en la naturaleza se ha considerado alguna vez provechoso, ético, útil, sensato o lícito… Morris Jr. acabó en libertad condicional durante tres años, realizando 400 horas de servicios comunitarios y pagando una multa de algo más de 10.000 dólares (al parecer, la primera persona condenada en EE.UU. en virtud de la Ley de Fraude y Abuso Informático).
Por tanto, el Gusano Morris está a un año de cumplir 33 1/33 años así que, como 34,1836 años comunes está bastante cerca de 33 1/3, y como nos gusta bastante el número 33 1/3, al parecer una elección de velocidad de rotación de los discos de hace casi un siglo, hemos elegido ese número para colarlo en el titular.
Ni 33, ni 34, ni el tan factorizable e informático 32, sino 33 1/3 = 100/3.
Es una fracción racional deliciosamente sencilla y precisa que, por desgracia, no tiene representación exacta ni en decimal ni en binario. (1/3 = 0.333…10 = 0.010101…2)
Predecir el futuro
Pero en realidad no estamos aquí para enterarnos de las frustraciones de la aritmética de coma flotante, ni de que hay números intachables y aptos para el ser humano que las CPU de tu ordenador no pueden representar directamente.
Dijimos que haríamos algunas predicciones sobre ciberseguridad, así que allá vamos.
Vamos a predecir que en 2023 seguiremos sufriendo, colectivamente, el mismo tipo de problema de ciberseguridad que afectó hace más de 100001.010101…2 años por aquel alarmante Gusano Morris de rápida propagación.
El gusano de Morris tenía tres mecanismos principales de autorreplicación que se basaban en tres errores comunes de codificación y administración de sistemas.
Puede que no te sorprenda saber que pueden resumirse brevemente como sigue:
- Mala gestión de la memoria. Morris explotó una vulnerabilidad de desbordamiento de búfer en un popular servicio de red del sistema de la época, y consiguió RCE (ejecución remota de código).
- Mala elección de la contraseña. Morris utilizó el llamado ataque de diccionario para adivinar contraseñas de inicio de sesión probables. No necesitaba adivinar la contraseña de todo el mundo, bastaba con descifrar la de alguien.
- Sistemas sin parches. Morris buscó servidores de correo electrónico configurados de forma insegura, y que nunca se actualizaron posteriormente para eliminar el peligroso agujero de ejecución remota de código del que abusó.
¿Te resulta familiar?
Lo que podemos deducir de esto es que no necesitamos un montón de nuevas predicciones sobre ciberseguridad para 2023 para tener una idea realmente buena de por dónde empezar.
En otras palabras: no debemos perder de vista lo básico en una carrera por resolver solo nuevas cuestiones de seguridad específicas.
Lamentablemente, esas nuevas cuestiones también son importantes, pero también seguimos atascados en los pecados de ciberseguridad del pasado, y probablemente lo estaremos durante al menos otros 16 2/3 años, o incluso más.
¿Qué hacer?
La buena noticia es que cada vez nos enfrentamos mejor a muchos de esos problemas de la vieja escuela.
Por ejemplo, estamos aprendiendo a utilizar prácticas de programación más seguras y lenguajes de programación más seguros, así como a encerrar nuestro código en mejores sandboxes de bloqueo de comportamiento para que los desbordamientos de búfer sean más difíciles de explotar.
Estamos aprendiendo a utilizar gestores de contraseñas (aunque han planteado problemas por sí mismos) y tecnologías alternativas de verificación de la identidad, además de confiar en simples palabras que esperamos que nadie adivine o prediga.
Y no sólo estamos recibiendo parches más rápidamente de los proveedores (de los responsables, al menos; la broma de que la S de IoT significa Seguridad todavía parece tener mucha vida), sino que también nos estamos mostrando dispuestos a aplicar parches y actualizaciones más rápidamente.
También estamos adoptando con más vigor TLAs como XDR y MDR (detección y respuesta ampliadas y gestionadas, respectivamente), lo que significa que estamos aceptando que hacer frente a los ciberataques no consiste solo en encontrar malware y eliminarlo según sea necesario.
Hoy en día, estamos mucho más dispuestos que hace unos años a invertir tiempo no solo en buscar los problemas conocidos que hay que arreglar, sino también en asegurarnos de que las cosas buenas que se supone que están ahí, realmente lo están, y de que siguen haciendo algo útil.
También nos tomamos más tiempo para buscar cosas potencialmente malas de forma proactiva, en lugar de esperar a que las proverbiales alertas salten automáticamente en nuestros paneles de ciberseguridad.
Para obtener una fantástica visión general tanto de la prevención de la ciberdelincuencia como de la respuesta a incidentes, escucha nuestros últimos podcasts de la temporada navideña, en los que nuestros expertos comparten generosamente tanto sus conocimientos como sus consejos.
Dejar un comentario