Este semestre me tocó impartir la materia de Seguridad Informática. Ciertamente no es mi especialidad aunque tampoco soy ajeno a ella, especialmente como usuario y desarrollador, por lo que no me ha costado demasiado trabajo la preparación de los temas. Mientras elaboraba el material correspondiente a los modelos de seguridad, revisaba lo que se ha desarrollado para el enfoque militar (Bell-LaPadula) y para el enfoque comercial (Clark-Wilson). El tema me hizo recordar aquella aventura laboral en Miami que tuve con Artikos.

Esta empresa que Banamex, al amparo de Commerce One, buscaba establecer como plataforma dedicada al comercio electrónico tenía un contrato de hosting con Bell South, quien tenía instalaciones (Bell South e-Business Center) que buscaba poder posicionar como un referente para el comercio electrónico.

El acceso a las instalaciones de Bell South, si bien no era tan tortuoso como los de las instalaciones de Banamex (y que seguramente lo siguen siendo aún) sí era lento. Primero uno debía identificarse en la garita de entrada al estacionamiento. Posteriormente uno debía dirigirse a la recepción del edificio del site, en donde uno se identificaba, cotejaban la identificación en una computadora (foto de la credencial) y le permitían el paso al siguiente punto. Uno avanzaba entre algunos laberínticos y largos corredores hasta llegar a una entrada tipo cine (el piso comenzaba a elevarse en rampa). Llegaba uno a la segunda recepción donde debía registrarse en una libreta y mostrar nuevamente la credencial. Entonces uno se dirigía a una puerta metálica que más que bóveda recuerdo tendría más la facha de esas puertas que aparecen en las películas.

Cerca de la puerta había un keypad numérico y una placa metálica con barras en las que uno debía colocar la mano en un estilo casi vulcano, digitar la clave de acceso y entonces apresurarse a abrir la puerta ya que si se cerraba el sistema de seguridad asumía que uno estaba del otro lado de la puerta y por tanto no era posible usar la clave de entrada (ante el desafortunado evento de que esto pasara había que seguir un tardado procedimiento de recuperación de PIN y cambio de éste). Adicionalmente la puerta no podía estar mucho tiempo abierta sin que una alarma sonara. La cosa se ponía difícil cuando uno llevaba equipo y había que moverlo por partes. También no era raro que a uno lo desconociera y hubiera que hacer varios intentos de acceso.

Sin contratiempos uno podía llevarse 15 minutos en todo el proceso de entrada. Una vez adentro del site, uno debía dirigirse a los operadores para solicitar que se abrieran los racks en donde se tenían los equipos para ponerse a trabajar en ellos. Ya adentro, uno debía permanecer siempre frente a sus racks. Los operadores de Bell South «se la armaban a uno de tos» si uno decidía darse una vueltecita por el site. Además, por políticas de seguridad, no estaba permitido que se introdujeran sillas o bancos para poder sentarse. Uno debía pasar de pie las horas que los procesos de instalación del software de Commerce One requirieran, y aguantarse el frío del clima del site (que se siente mucho más cuando uno se aclimata al calor de Miami). Adicionalmente uno debía soportar los rondines y questionamientos del personal de Bell South que frecuentemente pasaban preguntando que hacía uno, bajo unas miradas que parecía temían que uno fuera un hacker y que se estuviera colando hasta la cocina de algún otro equipo. Al final, ciuando uno terminaba había que pasar nuevamente todo el proceso de entrada a la inversa.

Nuestro proveedor de hardware era Compaq. Uno de los técnicos de Compaq me platicaba que odiaba tener que ir a Bell South y en contraste me platicaba su experiencia con la milicia americana.

Muy cerca de las instalaciones de Bell South se encuentra el U.S. Southern Command Headquearters. El amigo de Compaq me comentaba que a este lugar había llegado a ir en un par de ocasiones y abiendo hecho la cita de servicio, la entrada era rápida. El no había tenido problema alguno, a diferencia de experiencias negativas con Bell South cuando simplemente no le avisaban al guarda de la entrada de que iría a dar un servicio.

Después de estacionarse, se apersonaba en la recepción, donde ya lo esperaba el escolta que lo acompañaría durante su visita. Firmaba su entrada, le daban indicaciones al escolta de dónde se dirigía, si entraría con algo y si saldría con algo. El guarda muy serio lo acompañaba hasta el cuarto donde estaba el equipo que intervendría. Si titubeaba o pretendía dirigirse a otro lado el guarda de inmediato se llevaba la mano a la cintura, sobre su arma, y muy cortésmente indicaba: «This way, Sir» o «Sir, It’s that way«. Al visitante le advertían que el guarda esta autorizado a hacer uso de la fuerza de ser necesario (aunque nunca preguntó, asumía que hablaban de fuerza letal). Total, el cuarto al que usualmente llegaba nunca lo encontró con llave. Era un cuarto pequeño con algunos equipos de cómputo y de comunicaciones, con aire acondicionado sin llegar a considerarse helado. Había sillas que podía usar. El escolta se quedaba siempre en posición de descanso, muy serio, a la entrada, lo que durara la visita del servicio. Más importante, no andaba de metiche preguntando que hacía uno y cuestionando si lo estaba haciendo bien.

Al término del servicio, según me contaba esta persona, el guardía habría y cerraba la puerta de la habitación y escoltaba al visitante a la recepción de la entrada, en la que atestiguaba que le visitante firmara su salida e intercambiaba algunas miradas con los de la recepción tras lo que se retiraba. Contrastando esto con los procesos de Bell South, era entendible que ésta persona (y muchas otras que conocí) odiaran tener que ir al Bell South e-Business Center.

Citigroup adquirió a Banamex a mediados de 2001 y para 2002 comenzó a hacer evaluaciones de los proyectos que Banamex tenía, como el de Artikos, para determinar su continuidad o clausura. A principios de 2002, recibimos la visita de un tal Bob Wilkinson, quién llevaba un rol importante en cuestiones de seguridad informática en Citi. Quería evaluar las instalaciones de Bell South. Una visita se organizó y varios gerentes de Bell South le dieron la bienvenida y presumieron los procesos de seguridad y acceso a las instalaciones.

Cuando llegaron a la puerta de acceso al site, los de Bell South pensaron que dejarán impresionado al señor Wilkinson. Éste observo la puerta pero desvió su mirada al piso, observando los cuadritos alfombrados del piso falso. Preguntó que había debajo, «Nada» le dijeron, «sólo el espacio para el flujo de la ventilación». Pidió entonces que le levantaran uno de los cuadritos para observar debajo. Tras asomarse se incorporó y comentó al personal de Bell South que alguien podía colarse por ahí y saltarse la impresionante puerta de acceso al site. «¡No! ¿Cómo cree? Hace mucho frío allá abajo» fue la respuesta de uno de los gerentes de Bell South y todo fue risas y bromas. La gira continuó pero esa respuesta bastó para que Mr. Wilkinson catalogara al sitio como inseguro y toda la operación de Artikos fue cancelada.

Regresando a lo que me trajo este recuerdo, muchos pensamos que en términos de seguridad las medidas con que a veces nos encontramos en la vida civil (particularmente en los servicios financieros y bancarios) son severos. Imaginamos entonces que en las instituciones de seguridad, y sobre todo en el ejército, deben ser superiores y mucho más molestas. La realidad, sin embargo, puede ser muy diferente.