Deformación profesional aplicada al celuloide
Daniel Puente, CISO Wolters Kluwer Tax & Accounting España
02/04/2019Toda esta casuística hace que los que nos dedicamos a la seguridad vivamos en un estado de paranoia constante y, cuales Quijotes, veamos gigantes donde únicamente hay molinos de viento, o no… Estas situaciones se presentan en el día a día, en ocasiones tan inocuas como el visionado de una película.
Y, si hablamos de películas, las principales amenazas que nos proporciona el modelo STRIDE bien podrían asimilarse a algunas ampliamente conocidas:
- Spoofing: Es la capacidad para ganar acceso a un sistema utilizando una identidad falsa. A quién no le vienen a la cabeza las escenas que Tom Cruise, encarnado en Ethan Hunt, nos regala en las múltiples entregas de 'Misión imposible' en las que, mediante la aplicación de sofisticadas máscaras de látex, consigue confundir tanto a personas como a dispositivos de seguridad.
- Tampering: Es la amenaza consistente en la modificación de información. Y si hay un experto en esa modificación de información es Leonardo Dicaprio en la película 'Atrápame si puedes', cuyo personaje (Frank Abagnale Jr), un experto en modificar su información personal, pasa de ser un piloto de avión a un pediatra, y también un abogado.
- Repudiation: Es la capacidad de negar que se ha generado una acción o transacción. Nos viene a la mente esa maravillosa escena de ‘Algunos hombres buenos’, en que Tom Cruise interroga sin piedad a Jack Nicholson, el cual no reconoce haber dado una orden a sus soldados, cuando existen pruebas de lo contrario.
- Information Disclosure: Es una de las amenazas más importantes hoy en día, consistente en la exposición de información privada de forma voluntaria o involuntaria. Y si a día de hoy hay alguna película en auge, es cualquiera de las que componen la saga de Star Wars. No olvidemos en qué se basan las primeras entregas, en la destrucción de la 'Estrella de la Muerte', y la forma de conseguirlo es explotando una vulnerabilidad encontrada. ¿Cómo? Gracias a que la princesa Leia había conseguido guardar los planos de dicha nave, robados por la Alianza rebelde, en su droide R2-D2.
- Denial of Service: Se entiende como la acción de dejar un sistema inaccesible o inoperante. Un claro ejemplo lo tenemos en la película ‘Ocean’s Eleven’: con el fin de desactivar las cámaras de seguridad provocan un apagón en todo el casino, de forma que pueden entrar sin ser detectados, eso sí, habiendo parado la actividad del establecimiento durante un periodo de tiempo.
- Elevation of Privilege: Acción mediante la cual se consiguen permisos por encima de los que deberían tener el perfil de dicho usuario. En este caso, debemos referirnos a uno de los mayores clásicos en cuanto a películas relacionadas con la informática, y no es otra que 'Juegos de guerra', en la que un chico consigue, mediante una puerta trasera en una aplicación, elevar sus privilegios y poner al planeta al borde de una guerra mundial.
Este repaso a algunas de las grandes películas de la filmografía universal nos sirve para ser conscientes de que la amenaza siempre está ahí, independientemente del medio en el que se desarrolle, digital, analógico, físico, lógico. Debemos centrarnos en la metamorfosis que sufren y en la capacidad que tengamos nosotros a adaptarnos a esta nueva realidad. Muchas veces vence el que mejor se adapta al medio.