Sociología por un "segurata"

---

Tú que estás leyendo este post: ¿te has planteado cómo piensa la gente, delante de un ordenador, en lo que a seguridad se refiere? Me refiero no sólo al usuario doméstico, sino también informáticos y gente del mundillo de la seguridad. A mi me ha dado por ahí estos días, por algunas cosillas que he leído y oído.

El pensamiento del usuario doméstico ya lo conocemos: aceptar aceptar aceptar aceptar… sin leer nada. Es la idea de mi madre, sin ir más lejos: “del ordenador? ¡Sólo se que tengo que limpiarle el polvo!”. Así resulta que no conoce (el usuario en general, no mi pobre madre en particular) el valor de un antivirus o la necesidad de actualizaciones del sistema operativo, o que pica como un pardillo cuando le llega un email pidiéndole que entre en la web de su banco…

Tenemos también el pensamiento del currito programador o administrador de sistemas, que gracias a, por ejemplo, la consultora “cárnica” para la que puede que esté trabajando y que le tiene abandonado en algún cliente, se aburre soberanamente. Si está pensando “aquí no se hace nada interesante…”, y cree que no va a salir de ahí, ¿por qué va a preocuparse de mejorar, aprendiendo sobre temas de seguridad?.

Otros pensamientos o excusas chulos son los de aquellos a los que se les dice que su software, sitio web, sistema, etc, tiene fallos (por ejemplo en una auditoría), y que básicamente son como las avestruces, que esconden la cabeza:

"No creo que sea explotable: demuéstramelo..."
"¡Tienes que estar autenticado para acceder a esa página!"
"Confío en los administradores de sistemas"
"A nadie se le ocurriría hacer eso"
"Esa función nunca ha dado problemas (en los test, nodo X...)"
"Ese código no estaba previsto que acabase en producción, tenlo en cuenta..."

Menos comentado, pero también importante, es el pensamiento del aprendiz de hax0r demasiado nuevo, del que acaba de empezar a trabajar en esto de la seguridad informática. Un cliente le ha dicho que "tumbe” sus páginas web y le demuestre que son inseguras... y se lo flipa un huevo.

Entonces empieza a soñar con infectar a la peña con virus, troyanos, usar P2P para hacer el mal, mandar email tipo “spam” con un enlace al sitio del cliente, para generar tráfico al sitio web y ver si provoca un DDOS, por ejemplo. Aunque lo más probable sea que no tenga ni puta idea de cómo hacerlo. Podríamos definir a esa época de flipe como la adolescencia del segurata.

No se tú, que lees este post, pero yo he pasado por todas las fases. Por fortuna, tuve el privilegio de trabajar con gente que me explicó desde el principio qué estaba bien y qué mal, cuándo estaba alucinando y cuándo estaba quedando como un tonto. Espero que los demás tengáis la misma suerte :) .