jueves, 31 de octubre de 2013

Conde de Mirabeau 2.0

Honoré Mirabeau 4
“El mayor peligro de los gobiernos es querer gobernar demasiado”. Podíamos pensar, tal como está la actualidad, que esta cita es de nuestros días. Pero no. Procede de la etapa ilustrada y se atribuye al Conde de Mirabeau, fallecido en 1791.

¿Es aplicable a nuestros días? La “máquina” de revelaciones Edward Snowden no para de dar disgustos a un gobierno que, aparentemente, quiere gobernar demasiado. Ayer el Washington Post publicaba una historia vertiginosa: no es ya que las grandes compañías tecnológicas estén bajo sospecha por una supuesta colaboración con la inteligencia norteamericana, sino que incluso sin esa colaboración,
la NSA habría estado espiando de forma constante y permanente en los servidores de Google y de Yahoo, interceptando todo. Y todo quiere decir también las comunicaciones personales. El Gobierno de EEUU, por supuesto, ha desmentido con rotundidad tamaña acusación.



Por si eso no fuera suficiente, las operaciones de espionaje a nivel mundial estarían en parte detrás del muy sospechoso incremento de actividad en una red supuestamente a prueba de espías, como es la red Tor. No están solos los gobernantes. Les acompañan los ciberdelincuentes (extraños compañeros de viaje), que habrían visto en Tor una ocasión fenomenal para propagar malware. La presencia de malware en esta red “encebollada” no es nueva, pero lo que sí es noticia el incremento del uso ligado a actividades delictivas. ¿Será por eso el afán de gobernar demasiado? ¿Pensaría lo mismo el Conde de Mirabeau si se enfrentara hoy al reto de gestionar la seguridad?

Ese reto es tan abultado que en Security Intelligence explican, medio en broma, medio en serio, las 9 razones por las que un responsable de seguridad (CISO), necesita un abrazo: no se les entiende, su entorno es cambiante, su ROI no está claro, etc. Una muestra de ese entorno cambiante al que se enfrenta el CISO es la evolución hacia sistemas de seguridad biométricos, una tendencia que analiza el blog hispano Security By Default, preguntándose si estamos preparados para una normalización tecnológica. Así que, para hacer la vida más fácil, además de abrazos, habrá que innovar en automatizar tareas, o al menos así se refleja en una encuesta reciente de Tufin Technologies, realizada entre más de 500 directores y responsables de seguridad.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

miércoles, 30 de octubre de 2013

El doble filo de la fama

“Señal de tener gastada la fama propia es cuidar de la infamia ajena” (Baltasar Gracián, escritor español). ¿Es suficiente infamia tener 15.273 votos negativos (y subiendo) en Youtube? ¿Y si además te llamas Keith Alexander y estás a punto de abandonar una de las instituciones que hoy por hoy están en el ojo del huracán?

Pues esa es la cifra de “dislikes” que acumula el en breve director saliente de la NSA, en una entrevista publicada en el canal audiovisual por el Departamento de Defensa de EEUU, y conducida por una de sus periodistas estrellas, Jessica L. Tozer: “Sarcasmo. Ciencia ficción. Juegos. Personal friki”, dice en su perfil de Twitter @JLTozer.



Claro que si nos vamos al refranero, bien podemos decir aquello de “unos cardan la lana y otros se llevan la fama”. Porque mientras la NSA está en el ojo del huracán, la inteligencia rusa tampoco se priva. En el último encuentro del G20 se dedicó a distribuir pendrives con malware preparado para robar información, lo que nos suscita dos cuestiones: una, poco preparados han de estar los delegados que hayan aceptado semejante obsequio envenenado; dos, ¿de verdad pensaban los autores de la idea que se iban a “marchar de rositas”?

El gran debate que el caso Snowden ha puesto sobre la mesa es el de la privacidad. ¿Es posible el anonimato en la red? ¿Alguien es capaz de asegurar una experiencia online no invasiva? ¿Son ambas cosas compatibles? Rizando el rizo, el presidente de la Conferencia RSA, Art Coviello, ha reservado un titular explosivo para la exposición de apertura del evento: “El anonimato es el mayor enemigo de la privacidad”. De evento a evento, y sin salir del ámbito de una experiencia online segura, Net Security se hace eco de una de las charlas durante la última DefCon, que revela hasta qué punto una tecnología tan superada como el teléfono puede suponer para muchas compañías un problema más grave que el malware. ¿Cómo? Combinado con técnicas de ingeniería social.

De auténtica ingeniería es también la última operación de phishing que utiliza a la compañía American Express como forma de generar dinero fácil. Un mensaje limpio, con un enlace creíble, que inyecta de forma silenciosa código Javascript y termina pidiendo las credenciales al usuario, todo aparentemente sin salir de una navegación segura. Ojo con dónde se hace clic. Mientras se pueda prevenir, mejor. El siguiente paso es la infección: la última brecha de seguridad de Adobe reportó que habían quedado expuestos los datos de 3 millones de clientes. Bueno, pues no, son 38 millones, como acaba de revelar el prestigioso periodista especializado Brian Krebs. Cuando algo así sucede, no queda más que tratar de que la infamia ajena no sea excesiva, o se gastará la fama propia.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

martes, 29 de octubre de 2013

Amigos para siempre

131029 Amigos post

Una de las frases míticas del cantante estadounidense Bruce Springsteen es que “la amistad te impide resbalar al abismo”. Quizá en estos tiempos habría que reescribir la sentencia y cambiarla por un: “la amistad indiscriminada en Facebook te puede llevar al abismo”. 12 de cada 100 internautas reconoce haber sufrido alguna vez el secuestro de alguna cuenta social. El “sí a todo”, incluidas las peticiones de amistad, está frecuentemente detrás de estos incidentes.

“No aceptes amistad procedente de usuarios aleatorios”, estipula el último post de Pierlugi Paganini en torno a la seguridad en redes sociales. No es la única instrucción, y casi todas se construyen en negativo: no hagas clic en enlaces acortados en cuyo origen no tengas confianza, no introduzcas tu contraseña en una URL que no coincida con la de la red social, no compartas tu localización, no, no, no…

Claro que NO nos importaría mucho lo anterior, que no dejan de ser los conceptos básicos de la seguridad online, si no fuera porque al mismísimo Barack Obama le han hackeado en parte su Twitter y su Facebook. Han sido solo unas horas, pero ahí está la medalla que se cuelga el Ejército Electrónico Sirio, que además da una explicación perfectamente técnica y transparente de cómo llegaron a comprometer el acortador de direcciones que utiliza el equipo de la Casa Blanca, que es lo que realmente fue hackeado.

No obstante, la mayor preocupación de Obama estos días no es esa, sino el continuo estallido de escándalos de espionaje a Gobiernos de la Alianza Atlántica. De momento, la línea oficial es que Obama sabía más bien poco de todo este entramado de “inteligencia”, y que de haberlo sabido lo habría parado, porque no tiene sentido espiar a países amigos. Los “enemigos”… bueno, los enemigos tienen tácticas de espionaje que a veces rondan lo inverosímil: ¿se imagina alguien a una taza de café enviando datos por medio de chips integrados que utilizan las mil y una vulnerabilidades de nuestras WiFis? Bueno, pues está pasando, y según todos los indicios, con el respaldo del espionaje chino.

¿Exceso de Big Data? Al final, para una gran mayoría de la gente, la seguridad está en su día a día más que en esas luchas de poder de grande a grande. En cosas como que nadie les robe el dinero. Pues mucho ojo, que para esta “mayoría silenciosa” también hay novedades: el malware especializado en cajeros automáticos Plutous, que empezó en México, ya ha “mutado” al inglés.

No basta con vencer una vez al malware, hay que vencerlo siempre. Ardua tarea. Ya sea cajeros o teléfonos móviles, que es precisamente el objeto de estudio de un nuevo whitepaper de Help Net Security: “Principales amenazas en aplicaciones móviles”. Las aplicaciones son como los amigos: si los eliges bien, te impedirán caer al abismo; si no, te empujarán a él.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

lunes, 28 de octubre de 2013

Espíame si puedes

“Es mi primera clase del semestre en la Universidad de New York. Abordo la maldad de plagiar y falsificar fuentes con 11 estudiantes de periodismo cuando, sin aviso, mi ordenador se congela. De forma infructuosa tecleo y mi laptop cobra vida propia y se reinicia. Segundos después la pantalla lanza un mensaje: para recibir el código de cuatro digitos necesito desbloquearlo, y debo llamar a un número con un código de área 312. Entonces mi iPhone, puesto en modo vibración y descansando en la mesa, empieza a sonar como un loco. Me han hackeado, y solo me puedo maldecir a mí mismo”.

De esta manera tan vibrante comienza un artículo firmado por el profesor Adam L. Penenberg, en el que relata cómo reto meses atrás a Nicholas Percoco, vicepresidente senior de Spider Labs, para que él y su equipo de hacking ético hiciesen con él un test de penetración personal (o personal pentesting). Y no es la primera vez que se expone: 15 años atrás ya pidió a un detective que tratase de averiguar datos de su vida personal, y lo logró, utilizando tan solo información (ya entonces), disponible y accesible online.

En la nube hay ciertamente más información de la que querríamos imaginar. El investigador español Chema Alonso aborda en su último post un asunto espinoso: la cantidad de e-mails de Gmail que están disponibles al alcance de cualquiera. Y con un titular que burla la “moda” actual de llamarle leak a cualquier cosa: “79.400 URLs de Gmail indexadas en Google no son un leak. Curiosamente, después de avisar de este incidente a Google, y de la respuesta “evasiva” de la gran G, 50.000 de esas URLs se volatilizaron.

El incidente más serio en la nube durante el pasado fin de semana ha tenido como protagonista al descendiente no oficial de otro servicio de Google, Reader. Algunos usuarios de Feedly vieron cómo sus cuentas de Facebook empezaron a spammear con mensajes sin ton ni son, o fueron avisados de que estaban compartiendo contenido sin pies ni cabeza. Feedly inmediatamente cortó la sangría, pero aun así miles de usuarios han tenido que borrar manualmente sus publicaciones.

Y la noticia más grave en España, sede de este Centro de Investigación, la dio ayer el diario El Mundo. No por esperada ha dejado de ser una noticia de alcance: como era fácil imaginar, la NSA espió millones de llamadas telefónicas (hasta 60 en un solo mes), en España. El titular ha sido recogido incluso por algunos medios de habla inglesa, como NBC News. Para rizar el rizo, la misma NSA ha sido noticia por un supuesto acceso ilegítimo a sus servidores, que según la Agencia no ha sido tal, sino una caída programada del sistema.

Hablábamos al inicio de estas líneas de seguridad y cloud. Pues cerremos de nuevo con estos temas, merced a un nuevo whitepaper de Help Net Security, que lleva por título “Seguridad y la nube, una pareja ideal”.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

domingo, 27 de octubre de 2013

Un sistema de espionaje inteligente

Decía John Fitzgerald Kennedy que ”Un hombre inteligente es aquel que sabe ser tan inteligente como para contratar gente más inteligente que él”, que extrapolado al mundo de la ciber-seguridad cobra un nuevo valor aún más inquietante.

Llegamos a domingo, un día para descansar y romper la rutina. Pero también un día para sentarse a la mesa y conversar con la familia. Con vistas a esto último, y para asegurarnos que estemos bien informados al respecto, estructuramos la entrada de hoy en torno a una breve wiki sobre los programas que conforman el complejo sistema de espionaje americano. Vayamos por partes:

Si hay que empezar por algo, es por controlar las redes. Una estrategia muy usada desde antes de la popularización de los ordenadores (los llamados pinchazos telefónicos), llevado al extremo por el gobierno británico con la operación Tempora, aprovechándose de su situación geográfica central en el entramado de redes transatlánticas que unen América y Europa, y la fibra óptica que hace lo propio con Asia.

Controlado el medio, ahora falta obtener la información, y de esto se encargan varios proyectos diferentes. Si lo que deseamos es acceder a las bases de datos de las grandes compañías de Internet, bastaría con recurrir a Prism, una back door pactada entre empresas y gobierno para tal hecho.

Si nuestro objetivo es analizar correos y conversaciones, habrá que utilizar XKeyscore, un centro de monitorización y categorización de metadatos. Cientos de ordenadores que funcionan al unísono para procesar grandes volúmenes, y archivar aquello que podría ser interesante.

¿Qué necesitamos acceder a datos que el usuario, o el servicio ha cifrado? Para eso tenemos Bullrun y Edgehill, dos programas preparados para saltarse cifrados, bien sea aprovechándose del inmenso control que desde siempre ha ostentado la NSA en materia de seguridad informática, bien sea mediante los acuerdos de acceso de las compañías que proveen esos servicios.

Y por último, y para hacer la vida más fácil al interesado en lo ajeno, accederemos a toda esta red de espionaje con una interfaz bonita, que recibe el nombre de UTT, capaz de segmentar por áreas, prioridades o profesiones, de cara a hacer búsquedas completas sin ni siquiera tener que saber el nombre de quién buscamos.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

sábado, 26 de octubre de 2013

Preparados para la revolución

”Creo que es un acto político mucho más potente renunciar por completo al paradigma actual, que participar incluso en la manera más trivial y simbólica”.

La frase que acompaña la entrada de hoy no sale de la boca de un ilustre filósofo de la antigüedad, sino de alguien de nuestro tiempo. Russel Brand llama a la revolución, una revolución pacífica por la vuelta del control de nuestra privacidad.

Un problema que nos afecta a todos, y que ha llevado al Presidente de España, Mariano Rajoy, a convocar al embajador de EEUU para pedir explicaciones, justo después de que saliera a la luz el espionaje de la NSA a dirigentes de medio mundo.

Una privacidad que, aseguran, goza en toda su plenitud el Primer Ministro Indio Manmohan Singh, el cual es reacio al uso de las nuevas tecnologías, llegando al extremo de no contar tan siquiera con una cuenta de email o teléfono móvil.

Y es que los movimientos de la NSA están más en boca de todos en este fin de semana que nunca, con el aparente ataque a sus servicios web después de varias horas offline, que ha llevado a la Agencia de Seguridad Nacional de Estados Unidos a elaborar un comunicado para desmentirlo, en virtud de un error interno en una de las actualizaciones programadas.

Sea cierto o no, hay crispación, y mucha. Tanto que varias celebrities se han unido entorno a la iniciativa StopWatching.us de la Electronic Frontier Foundation (EFF) con el vídeo que acompaña estas palabras, para pedir justo lo que pedía Russel Brand varios párrafos más arriba: Dejar de vigilarnos.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

viernes, 25 de octubre de 2013

Si por mi camino tú quieres venir

131025 Escobar post

“Tengo muchas cosas mi amor para darte / si por mi camino tu quieres venir / un montón de sueños para ilusionarte / y todo lo bueno que hay dentro de mi”. La letra es de uno de los intérpretes de canción española más conocidos en todo el mundo, fallecido en las últimas horas, Manolo Escobar.

Gustos aparte, y teniendo en cuenta que tradición y entorno IT no son precisamente los mejores amigos, esta estrofa del malogrado cantante es, además de un pequeño guiño a su memoria, una manera de presentar las muchas lecturas que desde el Centro de Investigación se proponen para este fin de semana. Hasta cinco documentos, a cual más interesante. “Si por el camino de la seguridad tú quieres venir”, hay un montón de cosas que descubrir. Hagamos acopio de documentos publicados en los últimos días.

“El Big Data y el futuro de la seguridad” es el título de un whitepaper publicado estos días en Net Security, que busca hacer entender el entorno de la seguridad, siempre en evolución, y cómo las amenazas persistentes (APT) y el malware sofisticado han cambiado la forma en la los equipos de seguridad deben afrontarlos y utilizar herramientas de detección.

Previo registro para su descarga, IBM también ha lanzado estos días un estudio acerca de la evolución de los máximos responsables de la seguridad corporativa (CISO), a partir de los datos recogidos en una encuesta. Entre sus principales conclusiones, se afirma que los CISO hoy no solo deben entender la tecnología, sino ser líderes que den con el punto de encuentro entre los objetivos de negocio y los de la seguridad.

Una de las fuentes más completas y constantes en entornos IT, TheInfoPro, también es noticia por un documento reciente, en el que identifica que la seguridad “vuelve a estar entre los puntos críticos de la gestión de redes”. En este caso, la base del estudio son múltiples entrevistas con profesionales y responsables de decisiones empresariales, en Norteamérica y Europa.

La firma especializada Kaspersky, por su parte, cuenta con un reciente estudio sobre la seguridad en un mundo multidispositivo, que aborda desde el punto de vista del consumidor. Puedes acceder al PDF completo directamente desde aquí.

Y como remate a esta intensa sesión de lectura, gracias al blog hispano SeguInfo, echamos mano de un documento publicado en borrador en febrero de este año por la Oficina de Drogas y Crimen de las Naciones Unidas: Estudio exhaustivo del cibercrimen”, un completo PDF de 320 páginas que podrás descargar desde este enlace.

“No voy a pedirte que seas perfecta / ni que por mi cambies tu forma de ser  / pero si que pongas un grano de arena / para que lo nuestro nos pueda ir bien”. Cuántos disgustos nos ahorraríamos en ciberseguridad si todos pusiéramos el granito de arena que Manolo Escobar le pedía a su musa, ¿verdad?

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

Créditos imagen: criben / Shutterstock.com

jueves, 24 de octubre de 2013

La 4ª Enmienda no es para hackers

Justice

Es difícil elegir entre la frase de uno de los siete sabios de Grecia, Bias de Priene, “el saber es la única propiedad que no puede perderse”, o si directamente acudir al refranero y quedarnos con el “quien roba a un ladrón, cien años de perdón”. Cualquiera de las dos nos sirve para ilustrar los derroteros de las siguientes líneas.

Cierto es que si Juan se queda con los conocimientos de Francisco, Francisco no los pierde. Pero si los utiliza para sacarles provecho comercial en detrimento de Francisco, entonces Juan está obteniendo rendimientos de forma ilegítima, y por tanto Francisco podría empezar a “robar” conocimientos también a Juan. No solo Francisco: cualquiera. Eso al menos es lo que ha determinado un tribunal de distrito de Idaho (EEUU), que ha entendido que una empresa que ha declarado públicamente que les encanta hackear y que no van a parar de hacerlo, no está acogida a la Cuarta Enmienda constitucional que protege de las incautaciones “irracionales” sobre la propiedad.

El caso hunde sus raíces en el hecho de que el propietario de dicha empresa es ex empleado de otra firma que había desarrollado un software de detección de ataques cibernéticos. Su antigua empresa alegó que su ex empleado estaba utilizando código para comercializar un software propio que replicaba al que había desarrollado en su antiguo puesto. Tenga razón o no, la seguridad viene pautada por el eslabón más débil (o incontrolable) de la cadena. Un reportaje en el diario My San Antonio relata precisamente cómo los subcontratistas (o proveedores) se han convertido en el verdadero “dolor de muelas” de las grandes compañías.

Es decir, si no inviertes por ti… hazlo por aquellos que forman parte de tu ecosistema. Cada vez hay más soluciones, la cuestión es optar por la mejor para ti. Elegir correctamente “tus ojos y tus oídos”, que es el objeto de un denso artículo en la prestigiosa publicación Forbes. Si no haces nada, no es solo que puedas sufrir un ataque, sino que en el mejor de los casos te van a poner a prueba. La Asociación de la Industria de Valores y Mercados Financieros (SIFMA) de EEUU simuló el mes pasado un ciberataque propiciado por ‘hackers’ de “sombrero blanco” que mostró algunas debilidades (y también fortalezas) de las grandes corporaciones en esta materia.

Rematamos el día con dos apuntes. El primero, si ayer nos preguntábamos cuanto tardarían los nuevos dispositivos Apple en ser hackeados, hoy nos encontramos con un investigador, Vladimir Katalov, que ha demostrado la ineficacia de la verificación en dos pasos de la compañía de la manzana a la hora de acceder a los datos de respaldo de usuarios de iPhone, iPad y iPod. El segundo apunte nos lleva de nuevo a un scam que se está propagando por Facebook (y es el tercero en tres días). Así que, una vez más: no, Celine Dion NO ha muerto en un accidente de avión; si recibes ese mensaje desprécialo.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

miércoles, 23 de octubre de 2013

Flamante no significa invulnerable

Dicen algunos expertos en tecnología que Apple lo ha vuelto a hacer, que ha logrado sorprender con la presentación de los nuevos iPad y el sistema operativo Mavericks. Así que, semi ‘frikis’ como somos de la tecnología, nos vamos a permitir hoy recrearnos en la breve crónica al respecto de CNet.

Pero si lo hacemos es también, en parte, porque aún más sorprendente nos va a resultar, a la velocidad a la que se mueve la ciberseguridad, la primera brecha de seguridad que algún ‘hacker’ encuentre a estos flamantes nuevos hardware y software. Si algo nos está enseñando la séptima edición de ENISE en la ciudad de León, desde ayer martes y hasta hoy miércoles, es que aquí nada ni nadie se queda parado. Aunque hay posibilidad de disfrutar las charlas en streaming, desde aquí puedes descargarte algunas de las ponencias desde la web del Instituto Nacional de Tecnologías de la Comunicación (INTECO), organizador del evento.

Las noticias hoy nos llevan de manera inequívoca al entorno del cibercrimen, desde el robo de dos laptops el pasado 12 de octubre en un hospital de Alhambra (California, EEUU), que permiten el acceso a 720.000 fichas de pacientes, hasta un grupo hacker que afirma haberse hecho con un lote de 100.000 dólares a través de una “simple” inyección de SQL. Un botín formidable para un clic, desde luego. El último artículo de uno de los expertos más reconocidos a nivel mundial, Pierlugi Paganini, versa precisamente sobre ello: la relación creciente entre ‘hackers’ y organizaciones criminales.

¿Alguien recuerda la orden ejecutiva en ciberseguridad de Obama, el pasado mes de febrero? Bien, pues a pesar de PRISM, de Snowden y del shutdown presupuestario, esa orden también da sus frutos. Estados Unidos acaba de publicar un completo documento sobre el “Marco de ciberseguridad”, todavía en fase preliminar, con el que han de operar las instituciones oficiales. Podéis acceder al PDF desde este enlace para su descarga y lectura: seguro que os aporta alguna clave.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

martes, 22 de octubre de 2013

Will Smith NO ha muerto

131022 WSmith post

“Me han hablado de la inseguridad que se vive aquí, pero yo no creo que haya un país más peligroso que donde yo vivo”, dijo el actor norteamericano durante una de sus promociones en México. Si ese país se hubiera llamado Internet, su frase estaría aun más cargada de sentido. Y hoy más que nunca, especialmente para él.

Lo podemos decir más alto pero NO más claro: Will Smith NO ha muerto de una operación en la columna vertebral, como está circulando por Facebook a toda velocidad. La invitación para que el usuario vea la cámara de un supuesto Circuito Cerrado de Televisión (CCTV), en la que un médico cometería negligencia médica, es en realidad un pasaporte para instalar una aplicación maliciosa. Así que no. Will para los amigos, sr. Smith para los interesados, sigue vivo y coleando.

Quedémonos en Facebook, red para la que dos investigadores acaban de mostrar el… ¿lado oscuro?, de su Graph Search, con una todopoderosa máquina llamada FB Stalker (algo así como el “acosador de Facebook”), que permite trazar con gran grado de precisión y detalle el universo online de un usuario, sin recurrir a argucias ilegales, solo lo que la red de Zuckerberg ofrece. ¿Suena a espionaje? Acostumbrémonos a este nuevo día a día de lo digital, y abramos los ojos con ponencias excepcionales como la del ex cazador de espías Eric Winsborrow en el evento TEDx Vancouver: “Voy a mostrarles el futuro del ciberespionaje, con tecnologías que de hecho han sido creadas hoy para proteger a las naciones”.

Probablemente el espionaje esté detrás de una nota confidencial que la Organización Internacional de la Energía Atómica (AIEA), ha hecho circular entre sus Estados miembros y a la que ha tenido acceso Reuters: varios de sus ordenadores habrían sido hackeados en los últimos meses, aparentemente sin riesgos. Detrás de ello, cómo no, la ciberdelincuencia organizada. La misma que propicia cientos, miles de incidentes diarios por medio de ataques DDoS. En una apuesta sin precedentes de Google, el gigante ha anunciado la puesta en marcha de Project Shield, una herramienta en la nube para protegerse de estos incidentes y especialmente pensado (afirman) para las voces más disidentes o incómodas de la red, para garantizar su libertad de expresión allí donde esté perseguida. En todo caso, buena prueba de hasta qué está cambiando el cuento, la tenemos en el Reino Unido, donde algunos “hackers” convictos podrían pasar a formar parte del ciberejército británico.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

Image source: Wikiquote (See description for more details

lunes, 21 de octubre de 2013

Infierno, ma non troppo

“¿Cómo sabes si la Tierra no es más que el infierno de otro planeta?”. Bien podríamos iniciar la andadura en esta nueva semana con las palabras del escritor británico Aldous Huxley. Y terminaríamos concluyendo que, por suerte, hay demasiada gente haciendo el bien como para que podamos decir, de nosotros mismos, que somos un infierno...

Y eso que infiernos locales no faltan. Por ejemplo, las amenazas diarias a la seguridad, que el equipo de Sophos recopila en pequeñas piezas de un minuto de duración. La última termina con la reciente brecha descubierta en los equipos D-Link, que el vídeo rubrica con las palabras “…más que extraño”. Desde luego, este infierno local en ocasiones es más que extraño.

También tenemos el infierno de los mitos. De las ideas que se cuelan en nuestro día a día y nos impiden avanzar. HP e Intel se han decidido a derribar algunos de ellos y por eso han lanzado el Whitepaper “Cinco mitos del cloud computing”, que “separa hechos de ficción, mitos de realidad, y con ello ayudará a ejecutivos senior de IT a tomar decisiones en torno al cloud computing”. En ocasiones, los mitos pasan a la contienda bélica como en el caso del malware móvil: todos los expertos dicen que Android es el gran agujero de la seguridad, desde Google sus máximos responsables lo niegan, y John Leyden replica desde The Register que las barreras antihacker de Mountain View son en su mayoría cajas de diálogo con el usuario. Y añade un irónico “Mr. Wonka” en referencia al reciente acuerdo entre Nestlé y el buscador para bautizar a la versión 4.4 de Android Kit Kat.

Para infierno serio, el del dinero. Sobre todo, la posibilidad de perderlo. Desde Trend Labs acaban de elaborar un *interesante estudio con 3,7 millones de referencias* con las que se pretende visualizar que no todas las campañas de estafa bancaria van dirigidas al total de la población, sino que algunas prefieren especializarse en áreas muy concretas de este infierno nuestro planeta, como la Operación Apolo. Y más infierno y más serio aún, el que venimos oyendo día sí día también con el escándalo del espionaje y las revelaciones de documentos. Esta vez es México quien levanta la voz, por medio de su Secretaría de Relaciones Exteriores, que condena a la NSA por su actividad “inaceptable, ilegítima y contraria al derecho”.

El propio planeta se está convirtiendo en un infierno por el cambio climático. Los científicos ya han advertido de que el tiempo de reacción se ha agotado. Así que entre el barullo de lamentos y los ruidos de sable de los grupos de poder, hay quien está tratando de tener algo de visión out-of-the-box: si no puedes con el clima… hackéalo. Es gente como ellos, como la que vela por nuestra seguridad bancaria, como la que se preocupa por nuestros dispositivos móviles o la que se esfuerza por no ver siempre pisoteado el derecho, la que nos permiten decir que, a pesar de todo, todavía este planeta no es 100% un infierno.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

domingo, 20 de octubre de 2013

La desconfianza es la madre de la seguridad

Acabamos la semana con la vista fija tanto en la seguridad de bajo nivel como en la más sofisticada, y es que vaya si Aristófanes tenía razón cuando dijo eso de “La desconfianza es la madre de la seguridad”.

Un sistema es tan seguro como el más débil de sus elementos, una máxima que cualquier experto en seguridad debería tener siempre presente, y que sale a relucir en DIAN, la Dirección de Impuestos y Aduanas Nacionales de Colombia, con el grave problema que está teniendo en la entrada de contenedores de contrabando gracias a un sistema de usuarios con permisos profundamente controlado por las mafias.

De un lado del mundo al otro, donde un usuario relata impotente como China Mobile, su operadora, es incapaz de gestionar acertadamente el tráfico de spam hacia su número, recibiendo una media de 60.000 mensajes al año. Ni el bloqueo temporal de la cuenta, ni los filtros inteligentes son capaces de controlarlo.

Una situación que deja patente la necesidad de implementar un plan de BYOD (Bring Your Own Device) en cada empresa actualizado a las características de los terminales que se nos vienen encima, y en especial a la irrupción de los sistemas biométricos.

Y es que las nuevas tecnologías traen consigo nuevos retos, como al que tuvo que someterse Dick Cheney, el que fuera vicepresidente de EEUU, para evitar que pudieran “hackearle” el corazón a partir del desfibrilador automático implantable que lo mantuvo algo más de un año con vida mientras esperaba un trasplante de corazón compatible.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

sábado, 19 de octubre de 2013

El mundo, en ciber-llamas

Ready for the rocker…Vaya inicio de fin de semana han tenido en algunos lugares del mundo. Debe ser cierto aquello del escritor estadounidense John Ernst Steinbeck, “el arte del descanso es parte del arte de trabajar”, porque aquí, si bajas la guardia, te va a tocar “ponerte las pilas” el doble, y a un ritmo frenético.

Qatar por un lado y Pakistán por el otro. Ambos países han visto comprometida su seguridad nacional en las últimas horas. La caída de Qatar la anunció el propio Ejército Electrónio Sirio, que aparentemente habría tenido acceso el Registro de Dominios qatarí y a partir de ahí comenzó una oleada de sitios hackeados, que incluyen páginas del Gobierno, sitios como Facebook o Google, y empresas como Vodafone. Un asalto en toda regla.

Por su parte, El Gobierno pakistaní veía cómo hasta 18 sitios oficiales de la Administración nacional se venían literalmente abajo, aunque según las informaciones todos los ataques habrían sido ya superados.

Con un mundo en cíber llamas, la empresa china Huawei ha venido a echar más leña al fuego, al decir (sin decirlo), que los malos son los buenos y viceversa. Es decir, que ellos no atienden órdenes del régimen dictatorial chino, que el bloqueo de EEUU es absurdo cuando el 70% de sus componentes proceden de allí, y posicionándose del lado de quienes reclaman máxima transparencia y una normalización de todos los procesos a nivel internacional, para jugar con las reglas claras.

¿Hacen falta más datos para saber que quien no tenga el arte de trabajar, tampoco dispondrá del de descansar? En México, la compañía IBM promueve el reto de la cíberseguridad 2013, bajo el paraguas de “estudiantes por un planeta inteligente”. Los que trabajen, quizá puedan descansar. El resto lo va a tener más difícil.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

Fuente imagen: Public Domain Files

viernes, 18 de octubre de 2013

Espías relevados y 'leakeadores' entrevistados

“Cuando no se puede lograr lo que se quiere, mejor cambiar de actitud” (Terencio, autor latino, 195-159 a.C.). No sabemos si eso es lo que habrá motivado el último cambio de caras al frente de la Seguridad Nacional de Estados Unidos, pero lo cierto es que llega en un momento complicado: por el ‘shutdown’ gubernamental, y porque el escándalo del espionaje no cesa.

Dejan su cargo el general Keith Alexander, al frente de la Agencia de Seguridad Nacional (NSA), su segundo a bordo, el civil John “Chris” Inglis, y si con lo anterior no había suficiente, también se releva a Janet Napolitano como primera cabeza del Departamento de Seguridad Nacional. ¿Busca el presidente Barack Obama un nuevo liderazgo en materia de seguridad? Por ahora, Info Risk Today ya ha remarcado que el sucesor de Napolitano, el General Counsel Jeh, no tiene experiencia alguna en materia de IT.

Mientras, el escándalo Snowden no para. El leakeador más conocido después de Julian Assange ha dado la cara en una entrevista concedida a The New York Times en la que afirma que no ha otorgado información sensible a Rusia, y que tiene en su poder todos y cada uno de los detalles de las ciber-operaciones contra China. Quizá por sumarse un tanto, o quizá porque tanta revelación cambia la agenda política, Brasil ha anunciado nada menos que una red oficial de comunicaciones entre miembros y departamentos gubernamentales “a prueba de espías”... de espías de EEUU, naturalmente.

Tanto la supuesta red PRISM como otras operaciones de espionaje gubernamental tienen como justificación la lucha contra la ciberdelincuencia y el terrorismo. Un terreno en el que encontramos un goteo de noticias constante, como la reciente brecha abierta en el seno de PR Newswire, que ha llevado a la compañía a pedir a sus clientes que cambien sus contraseñas. A su vez, las empresas vinculadas a PRISM dicen que no tienen nada que ver, pero a veces se ven desmentidas por hechos, cuando menos, discutibles: un desarrollador acaba de demostrar que Apple sí tiene acceso a los iMessages de sus usuarios, a pesar de haberlo negado en público.

Y mientras, cobra cada vez más importancia la ciberseguridad relacionada con la salud. La firma especializada SANS acaba de publicar una encuesta al respecto, realizada a 373 profesionales de la salud vinculados a actividades IT, con datos muy reveladores al respecto.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

jueves, 17 de octubre de 2013

Hackers a lo Chaplin

“El verdadero significado de las cosas se encuentra al tratar de decir las mismas cosas con otras palabras”. La expresión es del humorista Charles Chaplin, y nos sirve hoy para abrir boca con la siguiente reflexión: ¿sabremos el verdadero sentido de las cosas ahora que todas van a poder ser definidas, cada vez más, por una identidad digital? ¿Estamos preparados para “entender” el Internet de las cosas?

Pues mucho ojo a este lado de la trinchera. Ya hemos tenido sobradas muestras de que cualquier dispositivo conectado, como impresoras o cámaras IP, son altamente hackeables. En la reciente conferencia de seguridad DerbyCon, una ponencia ha abierto los ojos sobre las vulnerabilidades del Internet de las cosas, que habrá que tener cada vez más presentes.

No obstante, y si nos quedamos en el presente, hoy por hoy existen otros aspectos vitales. Dos empresas de reconocido prestigio, Akamai y Symantec, acaban de publicar sendos informes de seguridad de la información. El primero se centra en cuestiones como los ataques del Ejército Electrónico Sirio, la transición de IPv4 a IPv6 o la conectividad móvil. El segundo es un mapa y un análisis anual sobre las ciberamanazas, a partir de la Red de Inteligencia Global de la propia compañía.

Entre las amenazas constantes hoy en día tenemos el robo de identidad y el acceso no autorizado a CMS (sistemas de gestión de contenido). Del primer asunto versan tratan tres posts en el blog Un informático en el lado del mal, a cargo de Enrique Rando, autor del libro Hacking con buscadores. El segundo asunto nos lleva hoy al popular vBulletin: un fallo en este CMS habría sido la causa de que al menos 35.000 webs se hayan visto vulneradas.

Y si hemos iniciado estas líneas con un evento como la DerbyCon, bien vale la pena cerrarlas con la prometedora 8.8 Computer Security Conference, que según sus organizadores apunta a ser la primera conferencia de seguridad de la información 100% técnica llevada a cabo en Chile.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

miércoles, 16 de octubre de 2013

La debilidad de la omnipotencia

131015 Posts

No es que vayamos a ponernos ahora místicos, pero conviene tomar nota de lo que dejó escrito San Agustín: “La misma debilidad de Dios procede de su omnipotencia”.

Donde dice Dios pongamos el navegador más usado, Chrome. O el lenguaje que de una manera u otra nos afecta a todos a la hora de usar Internet, Java. Estar “en las alturas” equivale a que vas a tener más enemigos buscando tu caída, y por tanto más formas para que puedan explotar tus vulnerabilidades. Puedes parchearlas, sí, como acaba de hacer Oracle con una actualización monumental. E incluso dejarte ayudar por la comunidad, como los de Mountain View, que a cambio de 5.000 dólares (cifra ridícula para su cifra de negocio), ha obtenido tres avisos de seguridad importantes que quedan corregidos en la última actualización.

La misma receta podría ser aplicada a los dioses del espionaje. Nada en el mundo de la privacidad y la encriptación volverá a ser como antes del 5 de septiembre, la fecha en la que el ex contratista Edward Snowden filtró nuevos documentos en los que se desvelaba las prácticas de EEUU y Reino Unido en la ruptura total de los sistemas de encriptación usados por los internautas en los servicios más habituales.

Entonces supimos que el rastreo de conversaciones era real, independientemente de la “colaboración” que pudieran realizar los proveedores de servicios, y que estos han negado en su mayoría; hoy sabemos que, además de conversaciones, las agencias estatales estarían también rastreando contactos y elaborando grafos sociales de todos los usuarios del mundo. Demasiada información, quizá. ¿Too big to fail, como la economía, p como el objeto de las palabras de San Agustín? Hay tanta noticia en torno al asunto, que algunos investigadores independientes incluso han puesto en marcha una campaña de captación de recursos para auditar al completo la solución más estandarizada de encriptación: TrueCrypt.

En estos tiempos es más necesario que nunca identificar a los dioses con vulnerabilidades y separarlos de los falsos dioses con pies de barro. Porque hay mucha gente interesada en decir que es quien realmente no es. Lo que afecta a todos los campos, desde sensores biométricos hasta aplicaciones de sexting. Cuanto mayor sea tu radio de alcance, mayores serán tus vulnerabilidades.

---

Te invitamos a votar nuestros posts, a dejar tu comentario y a compartirlo en redes sociales. Asimismo, si quieres, puedes seguirnos en nuestros perfiles. A la derecha, en la barra lateral, tienes los enlaces ;-)

Fuente imagen: Wikipedia