sábado, 29 de junio de 2013

Con ignorancia, no hay paz

"Donde la ignorancia es nuestro maestro, no hay posibilidad de una paz real" (Dalai Lama). De la ignorancia surge el miedo, y de ese recelo a lo desconocido brotan todo tipo de reacciones que hacen al ser humano imprevisible.



Los peligros del ciberespacio atemorizan a gobiernos, organizaciones y a todo tipo de ciudadanos. Incluso los militares más veteranos ven como una necesidad de primer orden el crear células especializadas que cubran la falta de conocimiento que existe sobre este tipo de amenazas. Ya existen alrededor de 20 en el mundo yel Jefe del Estado Mayor Conjunto de los EE UU cree que es necesario abrazar este tipo de misiones para proteger al propio Estado y a sus ciudadanos.

A muchos este discurso les sonará parecido al de la Administración Obama con respecto a su programa de vigilancia PRISM, un proyecto que ha creado una gran alarma social en lo referente al derecho a la intimidad. Para todos aquellos usuarios de Android quieran dificultar que cualquiera espíe sus comunicaciones, en elandroidelibre.com nos enumeran una serie de apps para cifrar nuestras llamadas, SMS, emails…

En ese afán por conocer y controlar, la Universidad de Illinois ha lanzado un proyecto para que cualquier usuario pueda saber cuánto valdría su cuenta de correo en el mercado negro. A través de un servicio llamado Cloudsweeper se revisan sus bandejas en busca de contraseñas y nombres de usuario a los que se les otorga un valor.

Ninguno de nosotros podremos disfrutar de una paz real mientras sigan existiendo criminales decididos a infectar nuestros dispositivos. Por ejemplo, con el troyano Citadel al que han acondicionado a diferentes plataformas e idiomas de forma que pueda mostrar páginas de phishing adaptadas a cada usuario independientemente de su país.

Tal vez, por todo este clima de intranquilidad que rodea a la Red, las personas que demuestran su habilidad y conocimiento avisando de los ciberpeligros son recompensadas. Nos referimos a un investigador británico que se ha embolsado 20.000 dólares por descubrir un fallo de seguridad en Facebook.

Al final, la unión hace la fuerza tanto contra el miedo como contra la ignorancia. Compartir conocimientos es el mejor arma para luchar por la paz de la que hablaba el Dalai Lama. Uno de de lugares de reunión para ello es el congreso de seguridad informática y hacking más antiguo en España, el No cON Name (NcN) que cierra la petición de propuestas (CFP) el próximo lunes día 1.

miércoles, 26 de junio de 2013

En medio del caos

Dijo Bob Dylan una vez, "acepto el caos, pero no estoy seguro de que el caos me acepte a mí". Vivimos rodeados de caos. En Internet, esto se traduce en flujos ingentes de información sin orden ni concierto, millones de seres humanos que intentan hacerse escuchar a la vez, una gran variedad de amenazas de seguridad constantes…

De hecho, en Corea del Sur han arrancado este martes con una gran dosis de confusión y desconcierto. Varios sitios web de instituciones gubernamentales y de medios de comunicación coreanos han sido víctimas de un ataque coordinado que coincide con el 63º aniversario del inicio de la Guerra de Corea.

Otra situación que se suma al caos permanente de la Red es un ataque de spam con mensajes farmacéuticos desde cuentas de Yahoo que previamente han sido comprometidas. Pero la cosa no se queda ahí, ya que los enlaces que contienen están diseñados para infectar con malware a los dispositivos Android que los abran.

También se une a la fiesta una advertencia del US-CERT (United States Computer Emergency Readiness Team) que alerta sobre los peligros de no cambiar la contraseña que viene de fábrica en todo tipo de dispositivos conectados a la red. Estas passwords suelen incluirse en la documentación pública de los aparatos y, por tanto, un hacker que las conozca puede localizar los dispositivos vulnerables a través de buscadores Shodan y atacarlos.

Y si cuidar de nosotros mismos dentro de todo este desorden no fuera suficiente, también debemos vigilar a los más pequeños. La firma de seguridad +Kaspersky Lab advierte de que uno de cada siete menores latinoamericanos miente para ingresar en las redes sociales sin permiso de sus tutores. Asimismo, más del 16% de ellos visitan webs pornográficas o tiendas online. Como es habitual, recomiendan restringir el acceso a través de herramientas de control parental.

No obstante, hay una figura que parece estar por encima de todo este caos. Se trata del CISO. Los responsables de seguridad de las compañías tienen como cometido reaccionar rápidamente contra los ataques y amenazas de Internet, o incluso, preverlos. A veces llegan hasta tal punto, que sus propios compañeros pueden llegar a pensar que son videntes. Al menos, eso le sucede al protagonista del vídeo que os traemos hoy.



Saliendo de la esfera de la ficción, recogemos la entrevista que han hecho en Infosec Island a un CISO de verdad, el vicepresidente de seguridad para empresas de +Scotiabank. A lo largo de más de una docena de preguntas, expone su opinión sobre las cualidades o tecnologías que más se demandan o las amenazas más peligrosas hoy en día.

sábado, 22 de junio de 2013

Sexo, drogas y 'rocanrol'

"Sex & Drugs & Rock & Roll". El título de la esta canción que Ian Dury popularizó a finales de los 70 bien podría definir el último vídeo que ha lanzado John McAfee, creador del primer antivirus comercial.



En el pequeño corto, McAfee satiriza sobre la dificultad de desinstalar el producto de seguridad que lleva su nombre, haciéndose eco de supuestas quejas de usuarios. No se priva de reírse de sí mismo y de las críticas que le han hecho sobre su estilo de vida en los últimos tiempos. Aparece con armas, mujeres de un club exótico de Portland, unos polvos blancos a modo de cocaína, hace gala de un lenguaje soez… Lleva más de 15 años desvinculado de la empresa que fundó, y aprovecha cualquier ocasión para mostrar su descontento con el rumbo que ha tomado desde que él no está al mando.

Mayores inquietudes, sin embargo, tienen los españoles. La preocupación de que sus datos puedan ser robados y utilizados con fines fraudulentos ha crecido un 8% en el último año. Según un estudio de la compañía tecnológica Unisys, a día de hoy, más de la mitad de la población española muestra desasosiego ante la posibilidad de ser víctima de fraude.

Precisamente, la información personal de 6 millones de usuarios de Facebook se ha visto expuesta a través de un fallo de la herramienta “bajar nuestro contenido”. La propia Facebook ha reconocido que la aplicación permitía obtener el email o el teléfono de algunos de nuestros contactos aunque no los hubieran hecho públicos. Parece ser que la reacción por parte de la compañía ha sido rápida y el problema ha sido solucionado.

miércoles, 19 de junio de 2013

Hackers y voyeurs

"Soy una verdadera voyeur" (Janet Evanovich, escritora estadounidense). Al menos, hay personas como la señora Evanovich que lo reconocen abiertamente. Sin embargo, eso de observar lo que hacen o dicen los demás sin que reparen en que están siendo objeto de nuestra mirada indiscreta está más de moda que nunca. Los 'reality shows', las redes sociales, todas esas situaciones que auspiciados por la tecnología podemos grabar o tomar fotografías indiscretas...

Las cámaras de vigilancia IP nacieron con el objetivo de universalizar una costosa medida de seguridad que sólo podían permitirse instituciones gubernamentales y grandes compañías. Pero lo cierto es que también pueden ser utilizadas por los hackers para "observar" sin ser vistos. Según un estudio realizado por estudiantes del Máster Universitario en Seguridad de las TIC de la UEM, el software de muchas de estas cámaras contiene vulnerabilidades (7 de las 9 que analizaron).

De hecho, si nos paramos a pensarlo bien, el hacking tiene mucho de voyeurismo. Acceder a los equipos de otras personas, a su información, sus fotos, sus vídeos, sus cuentas… siempre con la máxima de no ser detectados. Incluso los hay que intentan conectar tu webcam sin que repares en ello. Como explica +Maligno Alonsoexiste un bug en Adobe Flash Player que permite activar la webcam de un equipo a través de un ataque de clickJacking. Aunque se suponía solucionado, su descubridor ha vuelto a lanzar la voz de alerta.

Este tipo de "técnicas oscuras" son aún más alarmantes cuando las víctimas son menores de edad. Pueden dar lugar a casos de 'grooming' o acoso sexual, 'ciberbullying' o acoso, vejación, distribución del material entre pederastas y un largo etcétera. Aunque como alertó en el Congreso de los Diputados el secretario de Estado de Seguridad, Francisco Martínez, muchas veces son los propios menores quienes envían las fotos o los vídeos a desconocidosLo han hecho un 15% de ellos (de los que usan Internet) en toda Europa.

Hay otras tecnologías cuyo crecimiento también entraña riesgos. En este caso, nos referimos a la programación HTML5. Su ventaja es que la carga de gran parte del trabajo se realiza en el equipo del cliente. Precisamente es ahí donde residen sus peligros, como expone la escritora experta en seguridad Ericka Chickowski en+Dark Reading.

Si queremos cortar las alas a estos hackers o ciber-voyeurs, debemos evaluar el tipo de seguridad que aplicamos a nuestros sistemas analizando al menos las 5 premisas que enumeran en Segu-Infolos atacantes tienen recursos infinitos; el control de seguridad "X" hará que mi organización sea segura; la seguridad es un objetivo a alcanzar; la seguridad puede ser "agregada"; mi organización no está en riesgo.

Asimismo conviene que tengamos muy claras cuáles y cómo son las amenazas más habituales que circulan por Internet como el phising, la pérdida de datos, el robo de señal Wi-Fi, el robo de identidad o el malware. Hoy en EnfoqueSeguro nos desgranan las claves de cada una de ellas.

domingo, 16 de junio de 2013

El tiempo lo cambia todo

“El tiempo lo cambia todo, excepto algo en nosotros que siempre está sorprendido por el cambio”, afirmó el poeta y novelista inglés Thomas Hardy. Cambia la forma en la que conocemos la información, nuestra forma de entender la confianza y afrontar los riesgos, y la percepción que tenemos de las amenazas. Pero gracias a que los cambios siempre nos sorprenden, también nosotros cambiamos para adaptarnos.

Uno de los grandes cambios del cruce de milenios está siendo la desaparición paulatina de los “grandes medios de comunicación”. Sin embargo, los clásicos siguen siendo un referente por el alcance de sus publicaciones. La última portada de la revista +TIME ha ido a dar de lleno con otro cambio crucial de nuestra época: quién genera la información. Y la rotativa apunta un término: leakers, filtradores. Mejor dicho, a los frikis que filtran la información.

Si alguien cree que el debate caliente es el caso PRISM, está ya algo desfasado. La generación del nuevo milenio, conocida como “millenials”, tiene asumido casi en su totalidad que la era de la privacidad ha llegado a su fin, y tres cuartas partes no confían, ni mucho ni poco, en que los sitios web protejan su información. Y sin embargo siguen comprando y compartiendo online… a diario. Los datos los aporta+Cisco Systems en una videoinfografía de este mismo año.



El tiempo lo cambia todo. Hubo un en que día creímos imprescindible contar con antivirus y con contraseñas. Sin embargo estas últimas ya no son nada sin un sistema de doble factor, aspecto que lleva a la reflexión +Trend Micro en un reciente post en su blog. Y en cuanto a los antivirus, Ricky M. Magalhaes se pregunta en +WindowSecurity.com si no valdrá la pena ir pensando en una solución mejor, y expone sus motivos.

jueves, 13 de junio de 2013

Muhammad Ali & John Lennon

Ya lo decía Muhammad Ali, que “el hombre que no tiene imaginación no tiene alas”. Las alas sirven para volar, y cuando hablamos de riesgos y seguridad de la información, la tecnología más que correr, vuela. Por tanto es importante tener imaginación, o no podremos estar al nivel que corresponde. La imaginación es condición sine qua non para ser un hacker. Y también para hacer frente al “mal”.

Con imaginación, aunque con cierto regusto a tópico, los muchachos de+Symantec nos piden en uno de sus últimos vídeos que alguien instruya “al abuelo” sobre la importancia de guardar los datos. Un mal clic, y el equipo puede llenarse de pantallas azules y advertencias poco deseables. Y hay mejores opciones para limpiar la computadora que meterla en el lavavajillas, como hace el personaje del vídeo de Symantec.



Sin imaginación, haría tiempo que el malware estaría desterrado. Pero “los malos” siempre buscan nuevas formas de llegar al usuario desguarnecido. “Mientras la gente insista en abrir e-mails de phishing, elegir contraseñas débiles, y dejar sus PCs desprotegidos”, los hackers siempre encontrarán un punto de entrada, afirma un interesante artículo de Cyber War Zone que explica por qué es más segura la cuenta de Facebook que la cuenta bancaria.

La imaginación y la malicia combinadas son capaces de hacer estragos. Las tarjetas de crédito “sin contacto” llevan presentes desde hace cinco años, pero es ahora cuando empiezan a experimentar un auge. Como es costumbre, donde el dinero suena, aparece el riesgo, y también expertos como Emms Martin para conjurarlo. Él y su equipo de la Universidad de Newcastle acaban de publicar un estudio en el que detallan cómo han sido capaces de producir un teléfono que obtiene datos de estas tarjetas de crédito: titular de la cuenta, número de 16 dígitos, fecha de caducidad…  *vamos, lo que se necesita para vaciar una cuenta en un abrir y cerrar de ojos*.

La imaginación es asignatura obligada (y muchas veces pendiente), entre los legisladores. De momento, que no es poco, los europeos lo solventan tratando de averiguar por dónde se mueve la corriente y elevando las penas para el acceso ilegal a los sistemas de información o las violaciones de sistemas de seguridad. Lo deseable sería que no tuvieran que ir parcheando, pero es difícil ya que, como decíamos en el primer párrafo, en materia de seguridad la tecnología vuela: se acaba de presentar el nuevo sistema operativo móvil de Apple, iOS7, y ya hay quien ha logrado saltarse la pantalla de desbloqueo. Y en el gran rival, en Android, algún desconsiderado ha logrado portar a todas las versiones anteriores a Android 4.2 Jelly Bean una vulnerabilidad para los kernel Linux.

Conjurar los riesgos es posible, pero entraña dedicación, tiempo y conocimiento. Cantaba John Lennon en Imagine aquello de “podrías decir que soy un soñador, pero no soy el único”. Los miles de desarrolladores que en el mundo se afanan porque la red sea un espacio para “volar” y no para tener las alas cortadas, también saben que quizá son unos soñadores, pero que no están solos.