Este post sin duda es atemporal; sin embargo, es más como un ejercicio personal sobre un incidente de seguridad que surge de la conversación con un colega en la oficina, generada, por supuesto, por mi amor por la saga. No cabe duda de que Star Wars es una de las franquicias fílmicas más importantes de la cultura pop, además de ser una de las más rentables. De amores y odios entre sus propios fanáticos, pero es precisamente una muestra de su importancia.
Hace mucho tiempo, en una galaxia muy, muy lejana
En “A New Hope», la primera película que vio la luz en 1977, vemos como un joven llamado Luke logra asestar un gran golpe sobre la estrategia militar del imperio al destruir la estrella de la muerte, usando un misil que pasa por una abertura de 2 metros y que, básicamente, llevaba al sistema central de la estrella. Pero ¿cómo lo logró? Pues, gracias a un incidente de seguridad o bueno, un conjunto de ellos.
La voz de Obi-Wan le dijo a Luke que usara La Fuerza, pero esto fue suficiente para destruir el objetivo. Sin embargo, más allá de eso, y sin mentirnos, todo fue gracias a una falla en la seguridad que conocemos como una filtración de datos del Imperio. Y en el equipo de Kaspersky tienen una versión del informe de lo ocurrido, pero aquí podemos verlo de otra forma.
El Imperio, que posee todos los recursos económicos de la galaxia (ya sea voluntariamente o no), está trabajando en secreto en la creación de una nueva arma que, sin duda, derrocará a cualquier planeta que se oponga a su dominio, destruyéndolo de inmediato y asegurando la paz y la seguridad en la galaxia. Pero, “el peor lugar para guardar un secreto es un ser humano«. Y es que, sin importar todos los recursos económicos y tecnológicos del imperio, un solo empleado descontento puso en jaque su estrategia militar.
Un trabajador coaccionado, un incidente de seguridad seguro
Galen Erso, un científico y matemático que ya en el pasado había trabajado a regañadientes para el Imperio, es contactado nuevamente para que se una a esta organización para sacar adelante un proyecto secreto. Sin embargo, Erso no pasa por un proceso de contratación donde se le ofrecen beneficios y condiciones laborales excelentes. Por el contrario, solo tiene 2 opciones: se une al proyecto o mueren él, su esposa y su pequeña hija.
Falta de auditoría y pruebas
El descontento de Galen Erso de ser parte de esta organización y de este proyecto era evidente. Sin embargo, como un profesional, se enfocó en la investigación y desarrollo del proyecto para el cual fue “contratado”. Aunque cumplió con todas las instrucciones, dejó una falla que permitió que el costoso proyecto fuera finalizado en un solo disparo sin que nadie lo notara. Parece que nadie revisó la arquitectura implementada.
Pero no todo terminó allí. Erso, además de dejar este backdoor o ‘puerta trasera’, encontró la forma de transmitir su existencia a a Rebelión, el lado contrario del Imperio y su principal contrincante. Básicamente, está jugando el papel de espionaje corporativo, en el que logró reclutar otro miembro del imperio para que lo ayudara y generando una filtración de información sensible. Todo un incidente de seguridad de manual.
Todo esto ni siquiera fue por dinero, sino que fue algo más relacionado con haber sido obligado a trabajar en una organización con la que no compartía sus ideas, cultura y la incipiente amenaza sobre su vida y la de su familia. Algo que, a la larga, no es ni culpa del empleado, más sí del proceso de selección que no surtió un filtro respectivo antes de poner en sus manos un proyecto tan crítico para ellos en una persona tan poco fiable.
La situación extrema de Galen Erso difícilmente es equiparable a la vida real; sin embargo, guardando las diferencias, este escenario de seguridad de la información se puede repetir no solo en grandes y millonarias compañías; también en aquellas pequeñas y medianas, en cuyo caso los errores cometidos pueden ser aún más críticos.
Si quieres leer un poco más de mí, pasa por mis otros posts.