Barrapunto

Y es que esa es la gran falacia que toda esta industria nos quiere vender.

De que me sirve conectar con candadito por HTTPS a 1024 bits de clave asímetrica (y subiendo), VPNs y certificados de Verisign de sitio seguro si luego mis datos van a ir en una base de datos final almacenados en limpio y a la que le puedo meter un "SQL injecting" de manera sencilla mediante un formulairo mal filtrado.

De todos los sitios que he leido de donde se han sacado números de tarjeta y demás datos sensibles, ni uno hasta la fecha (hablo de ataques externos, no de personal interno) ha sido colocando un sniffer en un router o descifrando un algoritmo de cifrado simétrico o asimétrico conocido. Demasiados esfuerzos para sacar números de Visa a vender de 3000 en 3000 a medio dolar la unidad o hacer un spamming masivo con las direcciones de correo conseguidas.

La historia se repite todos los días:

- SQL injecting
- Cross site scripting
- Ataques a servidores web mal parcheados
- Claves triviales (o sin clave) en sistemas críticos por dejadez de usuarios/administradores.

Evidentemente la industria tiene que trasladar seguridad con tanto sello de "sitio seguro", certificados y algoritmos de cifrado que precisan de 10.000 años para reventarlos por fuerza bruta.

Pero la máxima cada día es más valida: "una cadena es tan debil como el más débil de sus eslabones".

No quiero saber cuan fuerte es el quinto quiero saber hasta que punto son fuertes los otros 20.