Consejos para evitar el espionaje gubernamental, según un hacker de la NSA

La de Rob Joyce ha sido la conferencia más esperada del congreso sobre seguridad Usenix Enigma, y no sin razón. Joyce es el director de operaciones de acceso a medida de la NSA, o sea, el jefe de todos los hackers que espían para la agencia. Paradójicamente, el tema de su conferencia era enseñar a evitar ese espionaje.

A Joyce le ha tocado vivir tiempos revueltos en la NSA. Aunque lleva 25 años trabajando en la agencia no alcanzó el puesto de director del departamento hasta abril de 2013, pocos meses antes de que Edward Snowden destapara la madre de todos los escándalos de espionaje digital.

La conferencia inaugural a cargo de Joyce ha sido una colección de buenas prácticas en seguridad orientadas sobre todo a administradores de sistemas. Estas son algunas de las claves que ofreció este maestro de espías:

Contraseñas

La NSA utiliza constantemente herramientas para rastrear código en busca de contraseñas. Joyce recomienda no transmitir estas contraseñas pero, en caso de tener que hacerlo, no usar protocolos antiguos o fácilmente crackeables.

Fallos de seguridad

Joyce insistió mucho en que no hay fallo de seguridad demasiado pequeño o demasiado poco conocido. Si un administrador testea la red contra ataques y resulta segura en un 97%, en realidad no es segura. El trabajo de la NSA consiste precisamente en aprovechar cualquier vulnerabilidad, por pequeña y exótica que sea.

Vectores de ataque

Nunca, nunca, nunca dejes abierta la red por mucho que un proveedor de software te lo pida para arreglar algo el fin de semana. Los hackers que buscan un hueco lo hacen continuamente. No esperes que una momentánea bajada de guardia va a pasar desapercibida porque tuvo lugar un sábado a la noche.

Equipos personales

Otro vector de ataque típico son los equipos personales de empleados a los que se les permite acceder a la red y que, en su mayor parte, tienen la seguridad comprometida. Los equipos conectados, mejor siempre de la empresa y controlados por el departamento de IT.

Proyecto Vs Realidad

Uno de los problemas más comunes en las redes es que hay una gran diferencia entre el softwre que el equipo que crea la red ha previsto que funcione, y lo que en realidad funciona. La mayor parte de redes están plagadas de software que en origen no se planificó que estuviera ahí.Es esencial un diagnóstico continuo.

Edificios inteligentes

Joyce también aprovechó en criticar la creciente moda de conectar todo tipo de sistemas domóticos a la red. La mayor parte de estas plataformas no tienen buena seguridad, y cada vez se usan más como un medio de acceder a redes protegidas.

Compartimentar

Una de las mejores maneras de proteger una red es, por un lado, limitar el acceso y privilegios de los usuarios en función de sus necesidades reales. En segundo lugar, es muy buena idea compartimentar la red de manera que haya zonas más seguras que no sean accesibles inmediatamente.

La peor pesadilla de la NSA

Joyce termina diciendo que no hay peor pesadilla para la NSA que la de un administrador de sistemas meticuloso y que se molesta en instalar un software que monitorice la red y en leer los informes de ese software. La mayor parte de las veces no es necesario a un ataque de fuerza bruta como los Zero-Day para acceder a una red [Usenix Enigma vía Wired]