ISP aludido, Arsys publica una nota de prensa

El post de ayer requiere hoy una ampliación de información y una recopilación de los comentarios surgidos en torno a la noticia. La verdad es que desde todas las perspectivas que hoy recojo, parece que Arsys se ha visto jodido doblemente: por un lado, el ataque sufrido y los daños directos causados a sus sistemas y los clientes afectados y por otro, y quizás el más grave, por la filtración y publicación en prensa de la noticia que quizás sea lo que mayor impacto final va a causar, dado que el daño en imagen y la confianza para el negocio de un ISP es uno de los activos que más se tienen que cuidar.

A continuación voy a ir diseccionando lo publicado sobre esta noticia:

• Nota de prensa publicada por la propia Arsys

Arsys ha publicado aclarando tanto el hecho como la gestión del incidente que se realizó. Todo esto lo informa en Aclaración sobre la noticia aparecida en diferentes medios el 11 de junio de 2007.

Conclusiones:
El incidente fue en abril y la noticia se filtra ayer. ¿Motivos?. Los daños no son exactamente tan graves como los comentados en la noticia publicada por El País. Los hechos han sido denunciados y los clientes afectados convenientemente informados. Si no hay clientes que desmientan estos hechos, la respuesta es discreta y correcta para permitir a los Cuerpos de Seguridad del Estado seguir con sus investigaciones.


• Post de Carlos Sanchez Almeida

En un post titulado La Revelación de San Bernabé, Carlos Sanchez Almeida se plantea el por qué de la publicación de una noticia como esta y sobre todo, la coincidencia en fechas. Como comenta él, "No ha podido ser más inoportuna la revelación, teniendo en cuenta lo que se está debatiendo estos días en el Congreso de los Diputados: el Proyecto de Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.Proveedores de acceso a Internet y telefonía móvil, de un lado, y Fuerzas y Cuerpos de Seguridad del Estado, de otro, deberán ser en breve los ángeles custodios de una información crítica en materia de privacidad. Todos los datos de tráfico de las comunicaciones electrónicas deberán registrarse y custodiarse durante un plazo de un año, al objeto de que puedan utilizarse por Juzgados y Tribunales para la persecución de delitos."

Conclusiones:
Es cierto que los medios de comunicación utilizan la seguridad informática para llamar la atención de vez en cuando, pero solo se hacen eco de las detenciones de los presuntos delincuentes y luego no hacen el seguimiento de los casos ni de las sentencias exculpatorias que suelen dictar los tribunales. De alguna manera, interesa en parte o bien "criminalizar" a Internet o bien "denunciar" que la red es caldo de delincuentes.


• Post de Mercé Molist

Lo más interesante de su post Port 666 - Sobre el asalto a Arsys son las preguntas que se plantea sobre el incidente.
Respecto al origen de la noticia, deja en el aire las siguientes: ¿Por qué la han filtrado? ¿Por qué la Guardia Civil filtra una noticia cuando aún no han cogido al "malo", están en plena investigación y no pueden ponerse la medalla? ¿Qué sentido tiene? ¿Qué intención oculta? ¿Quizás querían filtrar algún dato en concreto que hiciese dar un paso en falso a los malos? ¿Filtrar esta noticia es una forma de mostrar que hay mucho crimen por combatir y esta ley es necesaria para pillar a los delincuentes? ¿Cómo es posible que las contraseñas de los usuarios se guarden en claro?

Respecto a los causantes: ¿Por qué han hecho el indio? ¿por qué montar el pollo de manipular webs de clientes y que se entere todo dios? ¿Eran simples ladronzuelos?¿Será por mandar a la porra la reputación de la empresa?

Conclusiones:
Aqui huele a muerto y yo no he sido. Deben mezclarse varias de las razones esgrimidas tanto por Carlos Sanchez Almeida como por Mercé Molist, pero el hecho es raro, raro, raro.

Por un lado y pensando desde la perspectiva del ladrón, un profesional busca un delito de guante blanco y no notoriedad. Por tanto, el dejar evidencias inmediatas de su paso por un sitio no demuestra profesionalidad a no ser que la motivación sea la venganza contra Arsys y busque el daño en imagen. En este caso, quien filtra la noticia también juega en su bando y se hace un complice.

Por otro lado y pensando desde la perspectiva del que filtra la noticia, el ruido mediatico respecto a cuantos peligros hay en Internet si puede beneficiar y promover una cultura de seguridad que avale la aprobación de leyes restrictivas y de control del uso de Internet con las contrapartidas que tiene eso para la privacidad e intimidad de las personas. En este caso, Arsys se convierte en cabeza de turco porque a costa de su imagen han hecho un ruido mediatico que puede pagar caro por la desconfianza que puede generar en sus clientes, aunque su respuesta ha sido razonablemente adecuada dado que el incidente fue en abril y ha pasado totalmente desapercibido.

Conclusiones finales:
Por un motivo o por otro, Arsys está jodido porque aunque el daño tangible no ha sido mucho, el daño en imagen está todavía por calcular. Y lo más curioso y paradójico es que puede que haya sido peor la noticia que el hecho. Como suele pasar en los análisis de riesgos, el daño en imagen suele superar a las estimaciones directas sobre el daño operacional. Arsys puede que sea un ejemplo de este hecho dado que al no ser una empresa tradicional sino de servicios, los clientes no pueden evaluar la insignificancia del daño en servicios pero si la repercusión mediatica que ha tenido y las dudas que genera en los clientes el estar ahora albergados en este ISP. También seguro que está pendiente saber lo que la Agencia de Protección de Datos tiene que decir en torno a este incidente, porque habitualmente estas noticias provocan una inspección de turno.