Decir que el aislamiento por aire (air gapping) de un sistema no es la forma más segura e invulnerable de proteger los datos, seguramente romperá algunos esquemas.
Después de todo, esta es la verdad incuestionable entre los profesionales de TI que viven en un mundo de datos limpios y desinfectados, que no siempre tienen en cuenta cuán sucio puede ser el mundo real.
La realidad es que una base de datos corporativa o personal no se transforma mágicamente en una fortaleza impenetrable tan pronto como se aísla por aire.
Si no estás saltando esta sección, es probable que no estés familiarizado con el término o no tengas algo mejor que hacer con tu tiempo. En resumen, un sistema con air gap no se comunica con el mundo exterior a través de una red.
¿Alguna vez desconectaste tu computadora de internet para conectarla a un nuevo enrutador u otro equipo de red? Ese sistema estuvo aislado por aire todo el tiempo que estuvo desconectado.
A menudo, una empresa o individuo tendrá sistemas aislados por aire para mantener un almacén de datos puros. Tal vez se trate de una copia de seguridad de una base de datos, un repositorio de información confidencial del cliente, una colección de videos secretos de gatos, etc.
El contenido de los datos no es tan importante como la razón por la que estos datos deben almacenarse en una computadora completamente desconectada de internet. Una buena razón para aislar por aire, a menudo la más común, es proteger los datos de intrusiones en la red.
Un pirata informático que intenta acceder a datos confidenciales de forma remota se encontrará con una sólida barrera de aire entre él y el destino de su ataque, de ahí la elección del nombre de este método simple. Al menos por ahora, no hay forma de hackear el aire…
¿O sí?
Aunque el aislamiento por aire es tan simple que incluso un perro puede ejecutarlo accidentalmente al masticar cables, incluso las ideas más elegantes tienen defectos que les golpean como un tren chocando contra un camión de petróleo.
Mientras todos se centran en las vulnerabilidades al estilo de James Bond que utilizan comunicaciones celulares o incluso las propias líneas eléctricas para transmitir datos entre dos sistemas aislados por aire, estos son generalmente escenarios teóricos que aún serían extremadamente difíciles de aplicar a la tecnología moderna.
Es absurdo que un pirata informático se involucre en una batalla intensiva de recursos contra tantos puntos de falla para conectar un dispositivo sofisticado que podría ser capaz de exfiltrar datos sin problemas ni corrupción. Encuentra un camino a través del aire si quieres vencer a un sistema aislado por aire.
Incluso los sistemas aislados por aire no pueden escapar de una simple verdad: la ciberseguridad solo es tan resistente a los ataques como las personas en las que confías para gestionarla. Para decirlo de manera breve y muy clara, el air gapping es vulnerable a las personas.
La «vulnerabilidad humana» es un concepto más antiguo que la ciberseguridad o las computadoras. En el pasado, los textos protegidos han sido robados por sus propios protectores. Los secretos han salido accidentalmente de la boca de las personas.
Es imposible crear un «aislamiento humano» en un sistema; alguien tiene que configurarlo, otra persona recopila datos del sistema fuente, los verifica, los transfiere, etc. Si la memoria USB utilizada para la transferencia está infectada con un troyano, será igual de fácil, o en muchos casos, incluso más fácil extraer esos datos como si el sistema estuviera conectado a una red.
Quizás el objetivo sea el lucro en lugar del espionaje. Entonces, la tarea del pirata informático se vuelve aún más sencilla. ¡Basta con introducir un ransomware que se instale silenciosamente en cada memoria USB con la que entre en contacto, y listo!
Solo se necesita que una persona en esta cadena de mando esté comprometida, y todo el castillo de naipes se derrumba. La ingeniería social es más antigua que las computadoras y sigue siendo, hasta el día de hoy, la forma más efectiva de infiltrarse en sistemas informáticos.
El problema con el air gapping es que se convierte en una especie de manta de seguridad a la que las personas se aferran fuertemente para convencerse de que todo está bien en el mundo y que eliminar el equipo de red en un solo paso del proceso de transferencia de datos reducirá en gran medida las posibilidades de que los piratas informáticos obtengan lo que quieren.
Esta discusión pretende garantizar que las personas eviten caer en esa ilusión.
Aunque acabo de pasar mucho tiempo haciendo lo que esencialmente podría interpretarse como desacreditar el air gapping como método de protección de datos, sería engañoso basarse en esa interpretación.
Lo que intento decir aquí es que no debería utilizarse como el método para proteger tus datos, sino como un paso adicional en el proceso. El air gapping debería ser solo una parte de la máquina que protege todo.
Simplifica y agiliza, asegurando que tengas un sistema sólido contra los piratas informáticos. Sin embargo, el resto depende de la gestión de las personas que manejan esos datos.
Cada paso en el almacenamiento de datos debe configurarse para evitar que las personas cometan errores fatales que lleven a diversas vulnerabilidades que puedan eludir la desconexión de una red. Esto implica verificar si hay virus en todos los sistemas conectados antes de transferir datos de ellos al sistema aislado por aire.
También implica otras medidas preventivas, como:
La gestión de accesos y las protecciones contra posibles sabotajes son algunos de los conceptos más críticos para establecer las condiciones estériles que hacen que el air gapping funcione en primer lugar. El aire es el último eslabón de la cadena, no el único en el que deberíamos centrarnos.
Para resumirlo lo más brevemente posible: no dejes que el air gapping sea el osito de peluche que abrazas por la noche para dormir bien. Mantén una vigilancia constante de los riesgos de seguridad y la posibilidad de que el almacenamiento de datos aún sea vulnerable.