Me encuentro en Colombia, esperando el avión a punto de regresar a mi México. Desde que llegué, hace unas semanas, el centro de atención es el operativo en contra de Raúl Reyes, líder de las Fuerzas Armadas Revolucionarias de Colombia (FARC). En dicho operativo, se aseguraron computadoras portátiles y otros dispositivos para analizarlos más adelante.

Obviamente, ahora los comentarios van desde el punto de que si el proceso fue realizado de forma correcta o si se siguió una cadena de custodia, hasta el hecho de que varios países ya tienen imágenes forenses de las laptops para revisar de nuevo lo encontrado por los colombianos.

Mi sorpresa fue realmente que en los periódicos y noticieros en los que, por primera vez, llamaban el proceso por su nombre. El reportero mencionó: “Y después de realizarle un análisis forense digital a los computadores encontrados, se desprendió información de gran valor para esta investigación, la cual fue obtenida por imágenes forenses”. Casi me pongo de pié y aplaudo con todas mis fuerzas. Lástima que no había nadie a mi alrededor para comentarlo.

Quienes estamos dedicados a la seguridad de la información muchas veces no nos ponemos de acuerdo en si se debe decir de una u otra forma, con lo que en ocasiones nosotros mismos generamos esa diferencia entre los términos más usados dentro del medio.

Eso sí, cuando leemos algo y vemos que contradice lo que nosotros pensamos que significa el término, hasta hacemos burla de lo que ahí se expresa con los compañeros inmediatamente.
Esto puede llegar a confundir a los aspirantes a esta disciplina de seguridad de la información, pero ¿cómo esto puede llegar a impactar a la sociedad que no tiene conocimientos especializados de la materia? ¿Cuántas veces no hemos tenido que pasar horas explicándole a un usuario acerca de la diferencia entre hacker y cracker para que al final del día nos diga “pirata informático”?
Creo, por otro lado, que los medios en México han hecho una gran parte para concientizar a la sociedad. Si bien revistas especializadas como b:Secure –referencia obligada en este medio a la que agradezco que me dé la oportunidad de escribir para ustedes otra vez (ya me estaba oxidando un poco)– abordan con frecuencia estos temas, seguimos viendo diferencias no sólo ideológicas que me parecen muy respetables, sino contraposiciones entre ciertos términos o definiciones, lo que me parece problemático.

Latinoamérica está en un punto clave del desarrollo de la seguridad de la información. Es el momento de consolidar lo que se ha venido trabajando por décadas; sin embargo, es importante que le demos seguimiento a la homogenización de terminología y los conceptos básicos.

Si le hicieran una entrevista hoy acerca de los conceptos generales de seguridad de la información, ¿qué respondería? ¿Le explicaría con detalle al reportero acerca de las diferencias? Y si esto sucediera con alguna persona de su organización, incluso el director general ¿tomaría usted unos minutos para explicarle?

Es claro que después de ver lo que sucedió en Colombia con este tema de la investigación de las computadoras portátiles, el gremio se ve beneficiado por el hecho de divulgar la disciplina.
Pero tomando en cuenta las preguntas anteriores, ¿de quién es la culpa de las controversias de términos y definiciones: de los medios, de la sociedad o de nosotros mismos?

Y añadiría: ¿qué pasaría si en México, al haber operaciones e investigaciones donde estén involucrados temas de seguridad de la información, las cosas se llamaran por su nombre?

Andrés Velázquez es especialista en cómputo forense. Cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. Es profesor de la facultad de seguridad en redes de la University of Advancing Technologies (UAT) en Pheonix, Arizona. Su mail: avelazquez@uat.edu.