lunes, 13 de septiembre de 2010
El riesgo de los PenDrives
Ya hace más de 2 años que se publicaba un estudio alertando sobre la peligrosidad de los PenDrives (memorias USB, memory sticks, unidades flash USB o como se quieran llamar). En él, se ponían de manifiesto la gran cantidad de datos "sensibles" que se almacenaban en pendrives, así como la gran predisposición de las personas a "curiosear" el contenido de cualquier pen-drive que se encontrasen. En definitiva, ya en 2008 eran uno de los principales focos de riesgo en las organizaciones.
A día de hoy creo que la situación ha cambiado más bien poco. Las memorias USB son uno de los principales focos de infección de los PCs, y aunque no he sido capaz de encontrar estudios actuales al respecto, estoy prácticamente seguro de que el uso de memory sticks cada día es más habitual, y no creo que la sensibilidad de los datos almacenados en ellos haya disminuido (de hecho, lo más probable es que haya aumentado). Tanto la capacidad de almacenamiento como la fiabilidad de estos dispositivos ha crecido, a la vez que su precio ha disminuido enormemente, de forma que cada vez es más habitual encontrarse con este tipo de dispositivos. Y la verdad es que no es de extrañar, ya que su utilidad es enorme, dado que son ultraportables y accesibles de forma prácticamente universal.
Desde el punto de vista de la seguridad tampoco tiene que ser mala esta proliferación. Estamos maximizando la disponibilidad de la información almacenada en ellos, lo cual es positivo. El mayor problema es que su uso puede provocar una disminución de la confidencialidad (que suele ir asociado habitualmente al aumento de disponibilidad, pero que en este caso supone una disminución adicional por el importante potencial de pérdida que tienen estos dispositivos) y también una diminución de la integridad (como siempre que se generan copias de una información y no la "sincronizamos" apropiadamente). Algo habitual en esto de la seguridad (sería genial que se inventaran soluciones capaces de maximizar los 3 factores simultáneamente, verdad?), pero que en general no se suele gestionar de manera eficiente.
Es cierto que en el mercado existen productos que tratan de solucionar el tema de la confidencialidad mediante la introducción de cifrado nativo, con control de acceso autenticado bien mediante password o bien mediante autenticación biométrica. Pero también es cierto que el uso de este tipo de soluciones es bastante residual, y normalmente limitada a entornos corporativos. ¿Está justificado el elevado precio de este tipo de soluciones, normalmente muy superior al de los dispositivos sin ellas? Si los precios de ambos productos fueses equivalentes seguramente se conseguiría mejorar enormemente la seguridad de la información en toda la sociedad... ¿Merecería la pena subvencionarlos?
A diferencia que para el caso de la confidencialidad, el mercado no ha buscado soluciones específicas para solucionar los problemas de integridad asociados al uso de los PenDrives. Es cierto que existen multitud de herramientas que pueden resolver estos problemas, pero curiosamente no suelen ser funcionalidades que se integren de manera nativa en los productos de gestión de memorias USB. Parece como si, por una vez, la integridad de la información fuese un problema secundario, cuando "de siempre" ha sido el parámetro más cuidado (y quizás por ello también el que menos nos preocupa, ya que suele ser el más transparente).
En definitiva, desde 2008 se han incrementado bastante las soluciones disponibles para los problemas ocasionados por las memorias flash USB, pero ni su evolución ha sido todo lo buena que se podría haber esperado ni sobre todo su adopción se ha extendido tanto como hubiera sido deseable. En la actualidad nos encontramos con un panorama en el que los riesgos derivados del uso de las memorias USB, cuya expansión continúa siendo imparable, aumenta lenta pero progresivamente. ¿Responderá finalmente la industria de la seguridad con soluciones apropiadas para los riesgos a los que nos enfrentamos? ¿Será capaz la sociedad de madurar en la adopción de soluciones de seguridad apropiadas? Me temo que a los profesionales del sector todavía nos queda mucho trabajo por hacer...
Fuente: Joseba Enjuto
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario