Lexnet, o cuando pides a tus usuarios que dejen puertas abiertas
Llevamos unas semanas muy repletas de noticias sobre importantes hackeos y problemas relacionados con la ciberseguridad. De eso hablamos esta semana en Capital Radio con Luis Vicente Muñoz en el techno-bits:
Echando una rápida mirada tenemos, como el Wired llama el peor caso de robo de datos empresariales de la historia, el robo de datos de más de 140 millones de americanos que ocurrió hace unos meses pero del que sólo se informó hace unas semanas. También hablé de él aquí hace un par de semanas, y desde entonces aún se ha corroborado cosas que sabíamos, de la ineptitud de Equifax para lidiar con el problema antes, durante y después del ataque. De momento, ya ha costado el cargo a su CEO, pero no se quedará ahí el tema.
También supimos que la misma SEC americana sufrió también hace tiempo un robo de datos al que no se dio mucha importancia ni se comunicó, solo para saber recientemente que tienen sospechas de que se está utilizando la información privilegiada robada para aprovecharla en los mercados financieros. Es probable que a su director no le quede mucho tiempo en su puesto.
Deloitte, que entre otras cosas, aconseja a sus clientes sobre ciberseguridad, fue también atacada. Los ladrones se llevaron datos y planes confidenciales de sus clientes más importantes.
Y otro que hemos sabido muy recientemente es que la famosa aplicación de limpieza y mantenimiento CCleaner fue utilizada como Caballo de Troya para aún no se sabe muy bien qué. Cada vez está más claro que este caso es mucho más complejo de lo que inicialmente se pensó, y muy sofisticado, sólo al alcance de unos pocos (y aquí las teorías conspiratorias campan a sus anchas). Se descubrió que unos hackers habían instalado una puerta de atrás en el software oficial, pero más tarde se ha sabido que esa puerta de atrás se utilizó específicamente para entrar en los sistemas de las principales empresas de tecnología americanas. Lo que hayan conseguido, no se sabe, pero es un ataque muy preciso y muy sofisticado.
Los casos de Deloitte y CCleaner son muy sofisticados y normalmente el tipo de ataque que vemos en las películas de Hollywood y los que nos imaginamos cuando pensamos en un ciberataque. Sin embargo, ataques como el de Equifax (o el que vimos con Wannacry no hace tanto) son mucho más comunes y vienen por descuidos o falta de prevención con cosas tan sencillas como la actualización de los sistemas operativos o diferentes aplicaciones.
Cuando un fabricante descubre (o le avisan) de un fallo de seguridad en sus programas, incluye la solución en una nueva actualización y pide a sus clientes y usuarios que se actualicen a esa última versión. Pero claro, a la vez que se anuncia la solución al problema, se anuncia que existía un problema, y si alguien no lo sabía, ahora ya lo sabe todo el mundo. Así que todos los hackers del mundo saben que en los equipos donde no se realice la actualización hay problemas de seguridad, por lo que es un trabajo más sencillo el diseñar un ataque.
Hace no mucho tiempo, sobre todo antes de la llegada masiva de internet, era algo relativamente habitual que no fuera obligatorio estar siempre actualizado a la última versión disponible. Los directores de IT podían asegurarse de que los parches y actualizaciones fueran totalmente compatibles con sus sistemas. En la época pre-internet (masiva), pocos equipos eran accesibles desde fuera de la red local y por lo tanto, era más importante la compatibilidad que la ciberseguridad ya que la seguridad era más física que digital.
Ese mundo, por supuesto, dejó de existir hace tiempo. Por eso es curioso que aún ocurra este tipo de cosas. La semana pasada, ante la inminente llegada de una actualización de Java, el Ministerio de Justicia recomendó a los usuarios de (la infame) Lexnet no actualizarse a la última versión para asegurar la compatibilidad de sus clientes con el sistema. En otras palabras, el Ministerio de Justicia ha pedido a sus usuarios (abogados, procuradores, juzgados…) que mantengan abiertas las puertas de problemas de seguridad conocidos y solucionados.
Lexnet lleva en su corta vida una larga historia de problemas de funcionamiento, seguridad y hackeo. En un momento dado, Justicia pidió honradez a sus usuarios para que no vieran cosas que no debían ver, así que esto es un capítulo más en el desastre que está siendo Lexnet.
De todas formas, más allá de la incompetencia, dejadez o la incapacidad de a veces enfrentarse a ataques muy sofisticados, en muchos de estos casos el problema de base está relacionado con eso tan de moda que es la transformación digital.
Hablamos constantemente de la transformación digital como el Santo Grial no sólo del mundo IT, sino de las organizaciones en general. Políticos, funcionarios, CEOs, CTOs, CIOs, consultores, todos estamos hablando de ella. Y cuando habla tanta gente de un concepto tan genérico, lo normal es que cada uno entienda una cosa.
La transformación digital no va de digitalizar procesos, va de digitalizar organizaciones. Las organizaciones que nacen digitales (piensen en una startup), no digitalizan procesos sino que crean procesos que se ajustan a las necesidades de esa organización digital. La grandísima mayoría de esos procesos serán por supuesto digitales, pero no necesariamente (los procesos de SCRUM se suelen hacer con pizarras o postits por ejemplo).
El problema con sistemas como Lexnet, además de la chapuza tecnológica, es que intentan poner procesos digitales a organizaciones profundamente analógicas y con pocos visos de evolucionar. En Justicia todavía existen muchas figuras que tienen siglos de antigüedad, creadas con realidades muy diferentes a las de ahora, y para las que a veces se intenta adaptar más la realidad a ellos que al revés.
Obviamente el sistema judicial de un país es algo que no se puede reinventar de un día para otro. Pero aquí la pregunta para el mundo de la empresa es el grado de digitalización de nuestra organización, no de nuestros procesos. En realidad, el problema de la transformación digital no es un problema tecnológico, es un problema de innovación. De como adaptar la organización a la realidad actual, y no querer adaptar la realidad a la organización. En definitiva, esto no es más que otro aspecto de lo que Steve Denning llamó Revolución Copernicana en la Gestión Empresarial.
@resbla
