Hace un par de días estuvimos Sergio, sección
"corporate" de Hispasec, y un servidor, en representación del
"laboratorio", dando una
charla sobre Phishing y Crimeware. Bueno, en realidad la charla la dió Sergio que "canta" mucho mejor, y yo me dediqué a acompañarle al teclado para intercalar algunas demostraciones en vivo. El formato es similar al que suelen emplear Parada y Chema en sus campañas de evangelización Microsoft, aunque claramente nos superan en el apartado chistes... ahí tenemos un área de oportunidad que hay que trabajar, a ver si nos pasan algunos ;)
Bromas aparte, cuando un día antes nos juntamos para diseñar la presentación (que eso en Hispasec es hacerlo con tiempo), quedamos en que sólo presentaríamos el problema, incluyendo ejemplos de algunos ataques menos conocidos que burlan las recomendaciones de seguridad actuales, con una llamada final a la cooperación entre todos los agentes implicados. Deliberadamente no hablaríamos sobre las soluciones que se pueden aplicar.
Nuestra idea era crear entre los asistentes cierta sensación de indefensión, provocar su participación, y que preguntaran algo tipo... "¿y qué podemos hacer en estos casos?", "¿qué soluciones hay?". Esa era, para nosotros, la pregunta lógica.
Efectivamente, tras la presentación, se generó un debate, pero no el que habíamos previsto, así que no desplegamos la segunda parte del guión, la de las soluciones. Técnicamente las hay, muchas y variadas, otra cosa son los múltiples factores que rodean a la implantación y que finalmente hacen factible o no su despliegue.
El caso es que parece que cuando se habla de phishing hay gente que se siente atacada, lo que más preocupa es buscar una cabeza de turco, echarle la culpa a alguien, y normalmente surge la disyuntiva de si la responsabilidad es de la entidad o del cliente.
En Galicia no hubo mucho debate, enseguida dictaminaron quién era el culpable (que no viene al caso, cambia según sea el juez de turno), pero es cierto que en otras reuniones y foros a los que he asistido se suele originar interminables discusiones acerca de este tema que lo enturbia todo desde un principio.
Es en este punto donde aparecen los enroques, las posturas a la defensiva, la falta de autocrítica, y el ataque. En este tipo de escenarios, por la propia naturaleza humana, es muy complicado sacar algo de provecho. Un punto de vista diferente se percibe como una amenaza, como un ataque personal que hay que desmontar a toda costa, en vez de aprovechar el debate y enriquecerse de las diferentes perspectivas. En demasiadas ocasiones las personas somos esclavas de las ideas.
El próximo jueves 22 estaremos participando en otra charla sobre este tema en la UPM, invitados por Jorge Ramio, padre de la Cátedra Applus+ de Seguridad y Desarrollo de la Sociedad de la Información. A priori se presenta como un foro muy interesante, porque Jorge ha logrado reunir a ponentes muy representativos que nos daran un enfoque multidisciplinar, legislación, jurídica, pasando por las fuerzas de seguridad, o las propias entidades financieras. Además, el foro de asistentes es limitado y muy especializado, desde compañeros de empresas de seguridad y antivirus, operadoras de telecomunicaciones, firmas de hardware, software, administración pública, etc, lo que puede favorecer debates muy interesantes.
Esperemos que en esta ocasión se pueda lograr un ambiente relajado y constructivo, sería una lástima desperdiciar tantos puntos de vista, tanto por parte de ponentes como de asistentes. Por mi parte voy con la firme intención de aprender de todos los allí presentes.
