Ya no queda claro si la seguridad es un asunto intratable desde el punto de vista de la prevención o si es que los incentivos de la prevención son inferiores al riesgo y consecuente pago en caso de sufrirlos. Me explico, la seguridad parece como una gelatina entre las manos, cuando crees que la tienes bajo control se te vuelve a descontrolar. Y esta realidad no es únicamente cuando hablamos de sistemas de telecomunicaciones, sino en cualquier ámbito. Si uno pone una alarma más sofisticada en el hogar, los ladrones encuentran siempre una brecha por donde colarse. Sí hacemos los autos más seguros, aparece el teléfono móvil y lo vuelve a complicar todo porque la gente se despista con su uso. Hay que imaginar que el dicho “hecha la ley, hecha la trampa” viene de constatar justamente que en este Universo y sus leyes, no hay sistema que jamás pueda ser totalmente seguro.
Si esto es cierto, entonces podríamos casi dejarnos llevar por una anarquía total y que sea lo que Dios quiera, o podemos entrar a jugar sabiendo que seremos como los galgos en una carrera, no pararemos de perseguir una liebre artificial a la cual nunca daremos caza. Y si entramos en este esquema, que parece ser el elegido —nadie deja abierta la puerta de casa asumiendo que le van a robar y lo acepta sin mas— hay que preguntarse ¿hasta dónde llega la prevención? o mejor dicho ¿cuales son los límites reales de esta prevención y existen incentivos suficientes para llegar hasta esos límites? Y la respuesta, desde mi humilde opinión, aunque creo que hay bastante evidencia de que no voy muy equivocado, es que llegados a cierto nivel de seguridad hay más incentivos para arriesgarse a que pase algo y tener que resolverlo a invertir en estirar la seguridad hasta los límites de prevención máximos.
El caso de T-Mobile esta semana me hace caer en esta creencia con cierto temor. Para los que aún no lo sepan, ha trascendido que T-Mobile en Estados Unidos ha sufrido un ataque informático donde se habría robado la información personal de millones de sus usuarios. Inicialmente el operador informó a través de un comunicado que había sufrido un ataque pero que no estaba aún “confirmado” que hubiese ninguna información personal robada, como se aseguraba en algunos foros donde se decía que dicha información estaba a la venta en Internet a cambio de Bitcoins.
Sin embargo hoy, al operador no le ha quedado más remedio que reconocer haber sufrido un “ciberataque altamente sofisticado” contra sus sistemas. El operador reconoce que se enteró de todo el asunto por los comentarios en foros de Internet y en ese instante decidió iniciar una investigación contratando a “expertos en ciberseguridad líderes en el mundo para ayudar con nuestra evaluación”. Es decir, el operador no cuenta internamente con las herramientas para realizar o incluso detectar este tipo de ataques y por ello mi explicación inicial sobre incentivos y prevención.
Aunque T-Mobile no da aún por cerrada la investigación, en el comunicado confirma que “los datos robados de nuestros sistemas incluían cierta información personal” de sus clientes. El operador cree que los datos personales robados no incluían información financiera de sus clientes como tarjetas de crédito, débito u otra información relacionada con métodos de pago.
“Algunos de los datos a los que se tuvo acceso incluyeron el nombre y apellido de los clientes, la fecha de nacimiento, el número de seguridad social y la información de la licencia de conducir de un subconjunto de clientes actuales y anteriores de pospago y posibles clientes de T-Mobile” dice T-Mobile en su comunicado.
El análisis preliminar del operador arroja datos un tanto aterradores, pues el robo afecta a 7,8 millones de clientes pospago que son clientes del operador en la actualidad y a 40 millones de registros de ex clientes. Además, la compañía confirma que el números de teléfono y PINs de cuentas de aproximadamente 850.000 nombres de clientes prepagos activos de T-Mobile también fueron robados.
Para calmar los ánimos, suponemos, el operador reitera que “es importante destacar que ningún número de teléfono, número de cuenta, PIN, contraseñas o información financiera se vio comprometido en ninguno de estos archivos de clientes o posibles clientes”. A pesar de este comentario, en el mismo comunicado el operador recomienda a todos todos sus clientes pospago que cambien su PIN.
Y cómo método de compensación —el incentivo de pagar ante el desastre antes que invertir en una capa adicional de seguridad— resulta en que el operador ofrecerá a los clientes afectados dos años de servicios gratuitos de protección de identidad con el servicio de protección contra robo de identidad de McAfee.
Como colofón T-Mobile cierra su comunicado de prensa con un comentario que les debe sonar a broma de mal gusto a sus usuarios afectados: “Nos tomamos muy en serio la protección de nuestros clientes y continuaremos trabajando las veinticuatro horas del día en esta investigación forense para asegurarnos de que estamos atendiendo a nuestros clientes a la luz de este ataque malicioso”.
Este incidente podría estar marcando una tendencia con relación al operador, ya que en 2018 tuvo que reconocer que había sufrido un ataque donde se robaron datos personales de unos dos millones de usuarios, en 2019 reconoció otro ataque aunque en esta ocasión el numero de usuarios prepago afectados no fue anunciado, y por último en 2020 sufría un nuevo ataque de robo de datos personales. Es decir, el operador sufre, que se sepa, un ataque cada años sobre sus sistemas y como dicen expertos en seguridad existen dos tipos de empresas: las que se enteran de haber sufrido los ataques y las que ya los han sufrido y aún no lo saben.
Y ¿es este un problema aislado de un operador negligente? La respuesta es que “no” si nos guiamos porque no existe gran empresa que no haya sufrido ataques de este estilo en todo el mundo, sino que le preguntas a Facebook o Microsoft, por nombrar solo algunas de las empresas más ilustres y que más dinero dedican a proteger sus sistemas.
Por lo que, después de leer el caso de T-Mobile sólo queda seguir explorando los límites de la prevención porque al final la seguridad, como cualquier otro ámbito es un costo o inversión que se rige por las leyes del costo-beneficio, cuyo resultado es que hasta cierto punto aceptamos los riesgos de no poner toda la carne en el asador para proteger a los clientes.
