El escándalo saltó hace dos días: alguien había conseguido acceso a la agenda del teléfono móvil de Paris Hilton, la había publicado en Internet y, como resultado, muchos amigos famosos de Paris, como Anna Kournikova, Eminem o Christina Aguilera tenían sus teléfonos completamente bloqueados. El teléfono en cuestión es un sofisticado Sidekick de T-Mobile, pero esto no tiene la menor importancia: a él se puede acceder, como a todos, simplemente conociendo su contraseña. La portadora del teléfono, Paris Hilton, es sin duda una de las estrellas de Internet. Bisnieta del fundador de los míticos hoteles Hilton, llevaba una carrera discreta en el mundo del espectáculo, pero saltó a la fama al aparecer en Internet un video casero “completamente explícito” de ella con su ex novio, vídeo que se convirtió inmediatamente en el fichero más solicitado en todos los buscadores. La popularidad de la joven en Internet llegó a ser tal, que conseguir información acerca del hotel Hilton en París llegó a convertirse en una tarea muy complicada. Y ahora que la popularidad del famoso video empezaba ya a palidecer, aparece el escándalo de la agenda, y Paris Hilton vuelve a la actualidad. Hasta pululan por ahí varios virus con su nombre, así que ya sabe, está avisado: si recibe un mensaje con fotos, vídeos o contraseñas relacionadas con Paris Hilton, piense preferentemente con algún órgano situado por encima del cinturón, no se deje llevar por las bajas pasiones, y bórrelo sin abrir el fichero adjunto.
Utilicemos el descuido de Paris Hilton para intentar responder a una pregunta: ¿cuánto vale la seguridad? La respuesta no parece sencilla. Las empresas se ubican en un continuo entre las que invierten auténticas fortunas en “securizar” su entorno como si fuera Fort Knox, y las que, por el contrario, “sólo se acuerdan de Santa Bárbara cuando truena”, es decir, cuando su seguridad ya ha sido comprometida. ¿Cómo aproximarnos a tan espinoso tema?
En primer lugar, partamos de una base: la seguridad total no existe. Lamento comunicárselo. Ni en Internet, ni en ningún otro sitio. Si algo tiene una enorme importancia, existirán medios para conseguirlo. Sobre todo si, además, se trata de esos bits tan “escurridizos”. El primer axioma básico en seguridad, por tanto, dice que los medios que alguien está dispuesto a emplear para averiguar algo son directamente proporcionales a la importancia relativa de aquello que se pretende obtener. Por tanto, la siguiente pregunta debería ser, lógicamente, cuánto vale lo que queremos proteger. Hay algunas cifras: para un broker online, por ejemplo, una hora de caída de actividad supone entre 5,6 y 7,3 millones de dólares de impacto económico total (Total Economic Impact, o TEI). Hay sectores más “módicos”, como el entretenimiento, donde los rangos oscilan entre 56.000 y 82.000 dólares por cada hora de caída del servidor en una web de venta de entradas. Una empresa de paquetería lo cifraría entre 24.000 y 32.000 dólares. El impacto varía en función del sector de actividad, e incluye factores como el perjuicio en términos de imagen, prestigio o credibilidad de la empresa. Para un banco, un ataque que comprometa la información de sus clientes resulta muy grave, porque podría perder la confianza de los mismos. Para una empresa de paquetería, el retraso puede significar indemnizaciones pero, en general, pocos clientes retirarían su confianza por un problema informático puntual.
Otro factor a tener en cuenta es el riesgo legal. En ocasiones, el perjuicio económico no resulta grave en sí, pero las responsabilidades legales en que nos hace incurrir sí podrían serlo. ¿Podría Anna Kournikova demandar a Paris Hilton por haber guardado su número de teléfono de forma poco segura? ¿Se espera que una persona tenga para su agenda personal medidas de seguridad superiores a las de una contraseña? ¿Qué pretenden? ¿Qué los cifre? Seguramente no. En España, país en el que la legislación sobre protección de datos alcanza seguramente uno de los niveles más elevados del mundo, sabemos mucho de esto. En muchos casos el peligro no viene del delincuente informático, sino de la Agencia de Protección de Datos, que nos multa en importe impresionante porque opina que no guardamos nuestros datos de manera suficientemente segura.
La lección está clara: para protegernos, debemos conocer el valor que lo que tenemos que proteger, y utilizar precisamente ese valor para determinar nuestra inversión en seguridad. La contraseña de mi agenda electrónica no vale lo mismo ahora, que permite acceder a cuentas bancarias, tarjetas de crédito y a la red de mi empresa, que cuando yo era un estudiante con tan poco dinero como preocupaciones. Desconozco si Paris Hilton hizo un análisis así. No es un análisis sencillo. La contraseña de su móvil era suficientemente valiosa como para que alguien idease la manera de obtenerla, independientemente de las medidas que Paris pusiese de su parte para intentar evitarlo. Así que antes de ver a Paris Hilton como a la típica rubia del chiste, medítelo otra vez. Puede que usted o su empresa estén cometiendo los mismos errores que ella. Y como ejemplo, siempre nos quedará Paris (Hilton).