Materias seguridad de la información La Línea André Maginot’s

Hace un tiempo en este mismo espacio usé una oscura declaración, de un casi ya olvidado primer ministro británico, para desarrollar algunos puntos sobre la seguridad cibernética.¹ Como ustedes saben, en mi tiempo de universitario estudié la historia del período entre las dos guerras mundiales, por lo tanto, a menudo uso algunas de las ideas que adquirí al mirar esos asuntos, para entonces temas corrientes, al momento de pensar en la seguridad de la información. Me gustaría referirme ahora al más famoso objeto de los años de entreguerras, la Línea Maginot.²

Esto es lo que la mayoría de la gente sabe: la Línea Maginot fue una serie de fortificaciones cercana a la frontera franco-alemana destinada a impedir que las fuerzas alemanas invadieran Francia a través de Alsacia y Lorena, tal como ya lo había hecho Alemania en las dos guerras anteriores. Una vez que estas dos naciones entraron de nuevo en guerra en el año 1939, las fuerzas alemanas recorrieron la Línea Maginot e invadieron de nuevo Francia. Así, el término “Línea Maginot” es hoy un eslogan de una falla de seguridad costosa y temeraria.

La tristemente famosa línea fue nombrada en honor a André Maginot, un político francés que sirvió en muchos gabinetes entre los años 20’s y 30’s, tres veces como Ministro de Guerra. Habiendo él pasado la mayor parte de su vida en Lorena, se preocupó particularmente de proteger esa parte de Francia. Él no fue el visionario de la línea; la idea vino de los generales franceses de la Primera Guerra Mundial, principalmente del mariscal Henri Pétain, el “héroe de Verdún”.³ Tampoco fue Maginot el líder que construyó la línea; fue Paul Painlevé, su sucesor como Ministro de Guerra. ¿Qué hizo entonces André Maginot? y ¿cuáles son las lecciones de André Maginot, y en general su línea, con respecto a la seguridad de la información (después de todo ésta es la columna de Materias de Seguridad de la Información), y específicamente para la seguridad cibernética?

La falacia de la protección de los recursos críticos

Con la sabiduría de la retrospectiva, sabemos que la Línea Maginot falló al proteger Francia, pero en ese momento ese no era el principal objetivo de André Maginot.

Él, y los generales anteriores a él, querían hacer una impracticable, sino imposible, invasión a través de Alsacia y Lorena. ¡Y eso funcionó! Francia fue invadida en 1940 a través de Bélgica en cambio. En términos de seguridad cibernética, una estrategia de protección de recursos de datos críticos, con menos consideración a los llamados “Tier 2”, simplemente expone todo a través de la ruta más fácil para que un atacante la atraviese. En otras palabras, la seguridad cibernética necesita tratar la seguridad del entorno de TI de una manera integral.

Por otra parte, debe reconocerse que los métodos de los ciber ataques no son monolíticos e invariables. Tan pronto como una organización implementa ciertas medidas preventivas, los atacantes intentan violar la integridad de los sistemas de información ajustando sus tácticas. Los eficaces filtros antivirus obligaron a los hackers a desarrollar otras formas de malware.

Desde entonces, las organizaciones de han vuelto mejores en contrarrestar estas nuevas formas de software hostil. Ahora parece que los atacantes, en vez de robar las credenciales las toman directamente de usuarios de datos autorizados. Este enfoque favorece al antagonista de muchas maneras: no es necesario encontrar una vulnerabilidad de día cero o carecer de parches, una vez que las credenciales son usadas es más difícil detectarlo y es más flexible el uso de éstas.⁴

Ganando la batalla del presupuesto, gana la guerra cibernética

El gran logro de Maginot fue reconocer el espíritu de su tiempo, el espíritu de la época, y aprovecharlo. En una época marcada igualmente por el miedo, el pacifismo y el desempleo, encontró fácil apelar a la financiación de una trinchera, una medida pasiva para fortalecer las defensas y, al mismo tiempo, crear puestos de trabajo. De hecho, Maginot no intentó vender la línea de fortificación como el único, o incluso el principal, medio para prevenir la invasión. Él declaró: “Apenas podíamos soñar con construir una especie de Gran Muralla de Francia, la que en cualquier caso sería demasiado costosa. En cambio hemos previsto un medio poderoso, pero flexible de organizar la defensa, basado en el doble principio de aprovechar al máximo el terreno y establecer una línea continua de fuego en todas partes”.⁵

¿Existe hoy alguna organización preparada para construir una Gran Muralla de TI? Incluso los ejércitos contemporáneos no tienen presupuestos infinitos para la ciber defensa (o los ataques, en este caso). Lo que estamos buscando es aprovechar al máximo la organización de técnicas preventivas, detectivas y de recuperación que tenemos, de la manera más económica posible y establecer un programa integral de ciberseguridad. Los fondos presupuestarios, no obstante finitos, están disponibles para estos objetivos de amplio alcance. Nunca podremos “ganar” la guerra contra los ciberataques, cualesquiera que sean los medios ganadores en este caso. Sería una victoria suficiente sí es que podemos obtener el presupuesto para hacer más fácil la lucha en esta guerra y la gestión de riesgo.

La seguridad cibernética debe alinearse con la cultura

Incluso cuando se estaba construyendo la Línea Maginot, los generales franceses se dieron cuenta de que ésta podía resultar ineficaz si es que no se extendía hacia el mar. Pero el gobierno belga no podía ser convencido de construir su propia línea, ni los franceses construirían una línea a lo largo de su frontera belga. El entorno político y económico no les permitía gastar más en la prevención de la invasión.

Existen entornos políticos y económicos dentro de las empresas y organismos gubernamentales que a menudo denominamos la “cultura corporativa”, dentro de la cual hay una cultura de seguridad.⁶ Las organizaciones no lo harán, o no pueden, hacer más por la seguridad de la información que lo que su cultura les permite. Maginot entendió esto. Parafraseándolo en los términos de hoy, la cultura de seguridad dentro de todas las organizaciones es la mejor salvaguarda contra el gasto excesivo (o infrautilización) en seguridad cibernética. “Controla no sólo la billetera sino también la fuerza de trabajo de la organización”.⁷

Además, parece que Maginot reconoció que ninguna medida de protección podía ganar una guerra, aunque esta línea pudiera proporcionar una diferencia esencial en una batalla, al igual que ninguna herramienta de seguridad va a resolver el problema de los ciberataques. El software y el hardware preventivo deben encajar dentro de un entorno tecnológico que incluye las alarmas y activadores de respuestas, métodos analíticos y de recuperabilidad. Además, y más cerca del contexto de la cultura, estas herramientas deben ser incorporadas en una estructura organizacional de monitoreo y respuesta.

En una perspectiva contemporánea, apenas ligeramente adaptada, la Línea Maginot fue un sueño, un sueño lleno de seguridad, calidez y promesas. ¿Cuántas toneladas de cemento?

¿Cuántas toneladas de acero? ¿Y cuánto dinero? Las prevenciones de seguridad cibernética, como esta infame línea, pueden servir como una medida temporal para sellar una brecha potencial. Ellas pueden sanar o incluso curar, sin embargo, estas protecciones también pueden morir o quedar obsoletas.⁸ Es para nosotros, los profesionales de la seguridad, llevar a cabo esta guerra usando las armas que tenemos a nuestra disposición, vigilando constantemente, con las fortalezas y limitaciones de nuestra cultura para guiarnos.

Notas finales

¹ Ross, S.; “Stanley Baldwin’s Bomber,” ISACA Journal, vol. 5, 2015, www.isaca.org/resources/isaca-journal/issues
² Charles River Editors, The Maginot Line: The History of the Fortifications that Failed to Protect France from Nazi Germany During World War II, USA, 2015. The historical material on André Maginot and the Maginot Line comes from several sources. This publication is a good general discussion.
³ And the traitor of Vichy.
⁴ Schneier, B.; “Credential Stealing as an Attack Vector,” Schneier on Security blog, 4 May 2016, https://www.schneier.com/blog/archives/2016/05/credential_stea.html
⁵ WebCite, “André Maginot: A History,” www.webcitation.org/5kn33HV01
⁶ Ross, S.; Creating a Culture of Security, ISACA, USA, 2011, p. 21. Will this shameless self-promotion never stop?
⁷ Philip, P. J.; “Death of Maginot a Loss to France,” The New York Times, 8 January 1932. What Maginot actually said, as translated by the The New York Times, was, “Public opinion in all free democracies is the best safeguard against overarmaments. It controls not only the purse but the man-power of the nation. It is only in autocratic countries in which the people [sic] are not their own masters that armies and military caste become a menace. That is what happened in Germany in 1914. If we are still unconvinced that it will happen again we must be excused. Give us, and let us give Germany, time.” In finding this quotation, I was amazed at how much Maginot’s views from the early 1930s resound today.
⁸ Greilsamer, L.; “De l’autre côté du mur,” (from the Other Side of the Wall as translated by myself), Le Monde, 28 January 2008, www.lemonde.fr/idees/article/2008/01/28/de-l-autre-cote-du-mur-par-laurent-greilsamer_1004472_3232.html?xtmc=andre_maginot&xtcr=19