Principio Cero de la Ciberseguridad
Llevo unos días más liado de la cuenta, no sé si es por el principio del curso académico 2019-2020 o que todo el mundo ha vuelto de vacaciones veraniegas con las pilas puestas (en Málaga, la vacaciones se terminan el 8 de Septiembre, día festivo por ser la patrona de la ciudad, y el verano el 12 de Octubre, día del Pilar y de la Hispanidad). Pero en los ratos que me dejan libre las múltiples circunstancias que acontecen a nuestro alrededor, observo el mundo y me percato que hay un factor que no se está teniendo en cuenta y todo el mundo lo está obviando.
La Ciberseguridad comienza a ser tenida en cuenta en la sociedad: unos que demandan más formación, talleres, conocimientos, lo cual me parece fenomenal; otros, los ataques de phising se están volviendo más creativos, el cibercrimen mueve ya más dinero que su versión tradicional, y las Fuerzas y Cuerpos de Seguridad del Estado se ponen las pilas, a marchas forzadas, para aprender las técnicas tradicionales y ser capaces de mejorarlas. Las futuras promociones del Cuerpo Nacional de Policía, de la Guardia Civil y los integrantes del cuerpo de los 3 ejércitos, serán más Cibers que nunca (espero que jamás me suceda que termine hablando de algoritmos con un agente que me realice un test de alcoholemia… Primero porque no bebo, y segundo porque le cambiaría la vida digital, como hago con todos los que se me acercan).
Bromas aparte, es emocionante comprobar que mi gran pasión, la que siempre me ha motivado y me ha hecho adquirir las destrezas mentales más complicadas, ahora forma parte de la vida de toda la sociedad, aunque cada uno la emplee de formas impensables, unas veces correctas, otras incorrectas e, incluso, criminales. Dejando al mal de lado, asisto a eventos en los que a todos los allí reunidos nos une la misma pasión, que se traduce en distintas disciplinas, cada una con sus características y con sus dificultades, pero entendibles por todos y con verdaderas ganas de comprender y asimilar sus axiomas. Dicho más gráficamente, literalmente flotas cuando ves que otros comparten su conocimiento y lo entiendes como si hubiera salido de tus neuronas.
Pero en el camino de regreso a casa, entre que la sonrisa que se dibuja en tu rostro puede hacer pensar al resto de los que se cruzan contigo que “vas fumao o peor”, empiezas a ser consciente que hay detalles que no se están teniendo en cuenta, cada vez se agudizan más y la sociedad no parece darse cuenta de ello.
Los afortunados (o desafortunados, quien sabe) que habéis aguantado la charla que di en la UMA HACKERS WEEK en marzo de 2019 (también anda por Youtube, a ver quien es el guapo que me aguanta dos horas y cuarto en la versión sin cortar; la reducida, hora y cinco, pero no es fácilmente accesible), posiblemente ya no os acordáis de la pregunta que marcó un antes y un después en todas mis ponencias y clases de formación. Le lancé al quórum:
- ¿Sabéis cuantos amperios puede resistir un cuerpo humano?
La respuesta de esta pregunta suele tener como consecuencia que se confunde el tocino con la velocidad. Es decir, en el ámbito Ciber no se conoce la respuesta y sueltan algo que no la responde, y como han sido varios los que me la han dado, de ahí que decida instruir sobre ella:
- El diferencial salta a los 300 mA (miliamperios)
Pero vamos a verrrrrrrr… Almas de Cántaro… ¿Qué tiene que ver eso con la pregunta?
Supongamos que estamos en el campo y tropiezas con un cable que está pelado y te pega el calambrazo… ¿dónde está el diferencial?
Una pila de 9 Voltios, las de “petaca” pequeñitas, suele tener una intensidad de 150 mA. Si hiciéramos una “regla de 3” (que tampoco es correcta pero bueno), si con 9 V tenemos 150 mA, con 240 V que tenemos en el enchufe, sale, a verrrr: 4000 mA, es decir, 4 amperios. No es correcta porque una es corriente continua y la otra es corriente alterna (aquí está el tocino).
Asalto a los asistentes con otras preguntas, que les hace caer, de mejor manera, lo que les quiero ilustrar:
- Ya que habéis mirado en el cuadro eléctrico, ¿de cuánto es el magnetotérmico que protege el circuito de vuestro dormitorio?
Se miran entre sí, nerviosos, no saben, no recuerdan… Se escucha una vocecita tímida por un rincón de la sala, una chica se arroja al foso de los leones:
- 10 Amperios
- Muyyyyyyyyy bien – exclamo. – ¿Y de cuanto es el del salón?
Dos voces más, en otra parte de la sala, se animan a responder
- 16
- 20
Sí, están en lo cierto. Últimamente se están colocando 20 A en el salón, porque se están conectando estufas de más de 2000W y los de 16A no son suficientes.
- ¿Y en la cocina?
Todos los asistentes, más animados, participan:
- 20
- 25
- 36
Lógicamente, depende de lo que vayas a tener conectado. Los frigoríficos de dos puertas que te fabrican hielo, las placas vitrocerámicas de inducción, las lavadoras de carga superior y centrifugado de 1500 revoluciones por minuto… A mayor potencia y velocidad necesitan ser alimentadas con mayor potencia, y eso sólo te lo puede dar un magnetotérmico con 36 amperios.
Otra pregunta más…
- ¿Alguien ha metido alguna vez los dedos en el enchufe de su habitación?
Sonrisillas por la sala… Alguno hay, esto de conocer por medio de la experiencia no es nada nuevo.
Pues bien, 10 A los soporta bien el cuerpo humano. Saltará el diferencial – sí, estaban preocupados por ello – siempre que la tierra de la vivienda esté en buenas condiciones (es terrorífica la situación de las tierras de muchos de los edificios actualmente utilizados como viviendas). Los 16 A del salón, dependiendo de la constitución del que decida experimentar, también se aguantan. Pero a los 20 / 25 A de la cocina no hay quien sobreviva.
Corolario: el cuerpo humano aguanta 20 A. Más, por mucho diferencial que haya, no es capaz de soportarlo, a menos que intervengan milagros y otros instrumentos divinos en los que no voy a entrar.
¿Y todo esto para qué?
Primero: Ojito donde conectamos nuestros dispositivos. Una derivación de sus enchufes y te puedes llevar el susto de tu vida, en el mejor de los casos.
Segundo: Cuidado con la electricidad. No es un juego y, como te confíes, te peinan “a lo afro” en cuestión de segundos. Tened bien colocadas las tomas de tierra donde tengáis aparatos eléctricos.
Tercero: No seamos gansos… Si alguna vez bicheamos por Internet los distintos dispositivos IoT (Internet de las cosas, por sus siglas en inglés) y nos encontramos una válvula cardíaca electrónica suministrando 6 Amperios, ¡¡¡no toquéis nada!!! Un aumento de intensidad puede llevar a la muerte de la persona que la tenga conectada.
Bien, vale… ¿Y todo esto qué tiene que ver con el título del artículo?
Principio Cero de la Ciberseguridad
Este principio sirve igualmente a la informática, a las telecomunicaciones, a todo el sector TIC, Robótica, Inteligencia Artificial, Big Data e IoT incluidos, y dice que:
“TODA NUESTRA SOCIEDAD ACTUAL DEPENDE DE LA ENERGÍA”
Pensad un momento si no tuviéramos energía a raudales, como puedes ver ahora mismo con tus propios ojos: no podrías estar leyendo este artículo, no habría nada conectado, ni redes sociales, ni Internet, ni teléfono… NADA.
Pero tenemos un enorme problema, toda la energía que estamos empleando, en forma de electricidad, se está generando en este momento. Sabemos generarla pero no conocemos cómo almacenarla, salvo tímidos esfuerzos por parte de algunas empresas: podemos transformarla en energía química (como las baterías de Tesla), subir agua de un embalse inferior a otro superior, empleando las horas valle –por las noches– y así no hay que detener las centrales nucleares ni de gas, y organizando bien la producción de las energías renovables (eólica, fotovoltáica, maremotriz, etc.) podemos consumirla gracias a la efectiva monitorización que la REE (Red Eléctrica de España) realiza continuamente de los sistemas de generación energética de nuestro país y de Europa. Esta empresa tiene, en su página web, un completo sistema de seguimiento de toda la demanda de la red eléctrica, como se puede apreciar en el gráfico siguiente:
Y una gráfica en tiempo real de las distintas energías que se están empleando en este momento a la hora de producir esa electricidad que estamos consumiendo.
Normalmente, se conoce de antemano, debido a que son ya decenas de años los que se monitorizan, cuando se requiere más potencia y cuando menos, teniendo controlados remotamente los procesos de activación y desactivación de las distintas centrales de producción eléctrica.
Aunque si bien se corrige casi inmediatamente los picos o los valles de consumo producidos inesperadamente, es un riesgo potencial que un SOC (Centro de Operaciones de Seguridad, por sus siglas en inglés) no tenga completamente cubiertas sus necesidades energéticas, o no se testeen con la suficiente frecuencia, ya que un fallo en el suministro puede causar la vulnerabilidad más grande conocida, que no es otra que la de su ausencia dentro de la red. Pero también ocurre que muchas empresas, con sus propias medidas de Ciberseguridad, no han tenido en cuenta esta peculiaridad, dejando una puerta abierta por donde efectuar un ataque.
Sobra decir que, mientras un equipo “levanta” todas sus defensas en un reinicio, es cuando más vulnerable es, y puede dar lugar a un considerable festín de información que circula por la red y que es, perfectamente, localizable y utilizable.
En fechas recientes, una empresa me contactó para realizar un Pentesting. Una vez cubierta la parte legal, se trataba de un procedimiento White Box (ya hablamos ligeramente de los tipos de Box en un artículo anterior: «Pentesting, el lado romántico de la Ciberseguridad», es un tipo de procedimiento de auditoría que te proporcionan todos los datos de la infraestructura en cuestión). Lo cierto es que la empresa estaba bastante cubierta, salvo por la salvedad que no habían previsto que el auditor supiera “una mijita” (los malagueños somos así, eso no es ni poco ni mucho, jaja) de electricidad – es raro, lo sé, pero recordad que soy ingeniero eléctrico –. En un momento de la auditoría, se comprobó la calidad del servicio eléctrico (oscilaba, esto significa que las carga del propio edificio no está muy balanceada), sus sistemas de alimentación ininterrumpida, la protección contra cortes inesperados del fluido eléctrico… Y el resultado fue desastroso. Los SAIs eran del tiempo de cuando yo era corneta, aguantaron segundos, todos los equipos sobrepasaban en mucho la capacidad de ellos (originariamente se concebían para un monitor y una torre, pero claro, se trabaja mejor con dos monitores… Y no los sustituyeron por otros de mayor capacidad). De media, aguantaron unos 20 segundos, para morir con el lamento de un Sistema de Alimentación Ininterrumpida agotado.
Al hilo de esta batallita, y ya para terminar este artículo, surge la necesidad de hacer constar otro hecho: en cierta ocasión, me convocaron por un caso extraño, casi ufológico, por medio del cual cuando estaban trabajando en la oficina, sin saber por qué, la mitad de los equipos eran expulsados de la red. Querían tener una segunda opinión y, aunque no se trataba de una auditoría como tal, el caso me llamó la atención.
Tras indagar durante un buen rato, descubrí el hecho que hacía unos 6 meses que habían remodelado la oficina, y el instalador, que seguro que entendería muchísimo de electricidad, no conocía para nada el efecto de la inducción electromagnética: cuando una corriente eléctrica atraviesa un conductor, se produce un efecto de inducción, esto es, puedes crear un campo electromagnético si, por ejemplo, tienes en tus pies una alargadera enrollada. En el caso que nos ocupa, habían mezclado los cables de corriente de 240 V (recordad: fase, neutro y tierra) con los cables de red de aquella zona de la oficina, “porque no tenían espacio en la canaleta de electricidad”, y claro, la de telecomunicaciones estaba bastante despejada. Curiosamente, en invierno, cuando todos los puestos de trabajo estaban a pleno rendimiento, los trabajadores colocaban sus estufitas (las había de 800W, pero también de 1500W y de 2000W), la inducción de los cables eléctricos dejaba de ser despreciable, saltando hacia el conductor más cercano y, siendo cable de red (muy apantallado no estaba, parece que tenían que recortar gastos en todo), terminaba por sufrir esas interferencias electromagnéticas, sacando a todos los equipos de la red local, desconectaba las impresoras… Aquello era el caos más absoluto, porque además, los protocolos de asignación de IP estaban al voleo, es decir, direcciones IP fijas (impresoras y servidores) dentro del rango dinámico, el rango estático vacío y enorme… No puedo decir que aún hoy sigan con problemas, porque hace un par de años les visitó el WannaCry y desconozco si han podido superar ese desastre.
Como corolario a lo que os quería contar en este artículo, es que estamos dejando de lado por completo aquello que nos permite funcionar, que no es otra cosa que la Energía Eléctrica. Es cierto que todo está demasiado automatizado, pero hay que blindar las infraestructuras críticas, no ya del país (que sé de primera mano que se están haciendo bien las cosas), sino de las empresas. Y sé que en este apartado están apareciendo muchos defectos, tantos, que posiblemente sólo un % hayan tomado realmente medidas.
Ale Cortés (@Kirzahk)