viernes, 31 de octubre de 2014

La teoría del caos aplicada a la gestión informática

Según la teoría del caos, cualquier cambio, por despreciable que parezca, en un sistema caótico, podría verse amplificado hasta límites insospechados. El matemático Edward Lorenz llegó a esta conclusión fortuitamente, después de, cansado de esperar a que el ordenador calculara el resultado del cambio climático para una fecha conociendo varios factores iniciales, apuntó en un papel el resultado y se fue a tomar un café. Cual fue su sorpresa al darse cuenta que el resultado obtenido por la máquina después de una simulación de dos meses distaba del suyo, y ninguno de los dos era incorrecto.


A esta paradoja se le llama comúnmente el Efecto Mariposa, y precisamente de efectos mariposa va el artículo de hoy en el CIGTR. Efectos como el que parece predecir el estudio de la firma Pew Research, que asegura que antes del 2025 viviremos al menos un ataque cibernético a gran escala. Entre sus factores, el aumento de la conectividad, su democratización, la exposición digital de los ciudadanos y el interés que están mostrando los gobiernos por la ciberguerra.


jueves, 30 de octubre de 2014

Somos lo que somos, gracias a lo que hemos sido

Nuestros equipos y sistemas no se han dañado, aunque algunos elementos de la red no clasificada sí se han visto afectados. Hemos optado por cortes temporales y de conexión para algunos de nuestros usuarios como medida preventiva”. Son palabras de uno de los funcionarios de la Casa Blanca, pero en definitiva, podrían ser las palabras de la mayoría de encargados del mantenimiento de servidores de buena parte de las organizaciones atacadas por cibercriminales.


Sí, la Casa Blanca ha sido víctima de un ataque. Víctima de muchos, mejor dicho, pero parece que este ha conseguido meterse un poco más adentro que de costumbre. La intrusión fue descubierta hace dos semanas, y no es hasta hoy que el resto nos enteramos, cuando ya han tomado las medidas oportunas. Entre los posibles interesados, se apunta hacia el gobierno ruso, pero aquí, muy señor mío, y sin pruebas fehacientes, no seremos nosotros quienes tiremos la primera piedra.


miércoles, 29 de octubre de 2014

Bichos malos que nunca mueren

Hay un refrán popular que dice: ”Bicho malo nunca muere”. También está el de “Mala hierba nunca muere”, o ”Los malos nunca duermen”, pero en esencia, hablamos de lo mismo. Esa acción, individuo o grupo que siempre está rondando, que ofrece una lectura negativa a todo lo que toca, y que para colmo, no hay manera de deshacerse de él.


Algo así nos pasa con muchos de los males cibernéticos. El phishing es un claro ejemplo, presente desde que la tecnología tuvo las herramientas necesarias, y que vuelve una y otra vez a ser noticia. Fidelity National Financial ha sido objetivo reciente de los malos, atacando mediante diversas campañas de phishing a los trabajadores de la compañía, y cobrándose un número aún desconocido de números de cuenta y datos personales.


martes, 28 de octubre de 2014

La ley digital no escrita del "Por si acaso"

El “por si acaso” es trending topic en el mundo digital, como lo fuera (y sigue siéndolo) en la mayoría de aspectos de nuestra vida. Hay cosas que no nos apetece hacer, pero que hacemos “por si acaso”. También pasa al contrario, en cada negocio, en cada familia. Nadie se libra del “por si acaso”, y el sector de la seguridad no es una excepción.


Todos sabemos que los ordenadores de Apple no tienen malware, ¿verdad? Deben ser a prueba de bomba, al parecer. Pero “por si acaso”, vamos a instalar una herramienta que vigila qué servicios se inician en el arranque del sistema, “no vaya a ser” que eso que todos sabemos acabe por ser mentira.


lunes, 27 de octubre de 2014

En busca de la paz digital

Un día como hoy, 27 de Octubre, pero del 1986, se producía en Asís (Italia) una de las mayores concentraciones religiosas de la historia. No hablamos únicamente de cristianos, sino que representantes de prácticamente todas las religiones existentes ocuparon durante unos días la pequeña ciudad en una petición conjunta por la paz mundial.


Llevar a cabo tal titánica organización sin duda no debió resultar trivial. Por aquella época, Internet era aún un proyecto mantenido entre unas pocas universidades, y el grueso de los mortales seguía comunicándose por la red de telefonía o con el tan socorrido servicio postal.


domingo, 26 de octubre de 2014

El top 5 de la semana en Seguridad (XLIX)

¿Qué da más miedo en la red: que nos metan un virus en el ordenador o que nos roben los datos o el dinero? A juzgar por los enlaces más leídos esta semana en CIGTR, ambos miedos van a la par. Quizás porque muchas veces uno sigue al otro y, efectivamente, el virus-troyano que nos ha invadido se dedica a mandar nuestra información a los malos o, aún peor, apuntarnos a servicios de pago sin saberlo nosotros.


Esta semana hemos sabido que en España hay más de 17 millones de usuarios de internet cuyos ordenadores corren peligro de convertirse en zombies. Es tan sencillo como visitar una página web infectada y ¡zas! el virus se introduce subrepticiamente en los ordenadores de los visitantes. ”Las botnets o redes zombi son actualmente la mayor preocupación a nivel de ciberseguridad para el ciudadano español”, afirmaba el director general del Instituto Nacional de Tecnologías de la Comunicación (INTECO), Miguel Rego, en la presentación de su plan para combatirlas.


sábado, 25 de octubre de 2014

La correcta definición del riesgo informático

La Wikipedia define el riesgo como la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades. Cuanto mayor es la vulnerabilidad, mayor es el riesgo, pero cuanto más factible es el perjuicio o daño, mayor es el peligro. La Real Academia Española de la Lengua habla del riesgo como aquella contingencia o proximidad de un daño.


Cualquiera de las dos puede aplicarse al riesgo informático, una disciplina hija de la seguridad cuya buena gestión mantiene nuestro sociedad en pie. Tanto Heartbleed, como Shellshock como POODLE son ejemplos de vulnerabilidades que han puesto en riesgo nuestros sistemas informáticos. Y todas aparecieron este mismo año, lo que podría llevar a pensar que el 2014 es por alguna razón la fecha más prolífica de la historia para la aparición de fallos críticos de seguridad. Lo cierto es que no es así, y de hecho si lo comparamos con años anteriores, se ha reducido considerablemente el número. El cambio, por tanto, viene de *una redefinición de cómo comunicar un fallo de seguridad, que ha pasado de una nomeclatura técnica (CVE-2014-4148, por ejemplo), a una más humana, más comercial, como en su momento pasara con el malware*. Ese pequeño cambio de filosofía, unido al paulativo aumento de interés por parte del usuario sobre los peligros digitales (y por tanto, a la proliferación de medios de comunicación que se suben al carro), conforman el caldo de cultivo perfecto para maximizar y amplificar el eco de estos descubrimientos, aunque no sean ni más peligrosos ni más que los de otras épocas pasadas.


viernes, 24 de octubre de 2014

PHISHING, así, tal cual, en mayúsculas y todo

PHISHING. Ni phising ni fising ni fishing, y en mayúsculas. Es de lo que va el artículo de hoy en el CIGTR. Porque el PHISHING está a la orden del día. PHISHING para los técnicos, suplantación de identidad para los profanos. El Caballo de Troya de buena parte de los ataques cibernéticos ¿Estás preparado? Empecemos.


Tres de cada cinco españoles reciben algún tipo de ataque digital, y solo uno de ellos es consciente de lo que está ocurriendo. Este sería el corolario del “Estudio de Ciberseguridad y Confianza en los Hogares Españoles”, realizado dentro de las labores de la Agencia Digital para España y el Plan de Confianza en el Ámbito Digital. Tanto INTECO como ONTSI están detrás. Ataques que vienen por diferentes canales (redes WIFI inseguras, ingeniería social, email,...) y que suelen tener como objetivo recopilar información y suplantar la identidad del usuario en servicios bancarios o redes sociales.


jueves, 23 de octubre de 2014

El pesimismo digital, casi tan peligroso como el cibercrimen

Desde esa "la esperanza es una negación de la realidad, es la zanahoria que se agita ante el caballo de tiro para que este siga avanzando, luchando en vano por alcanzarla", hasta la clásica "el pesimista es un optimista bien informado", la manera en la que afrontamos la vida, más si nos hacemos eco de las penurias de la actualidad tecnológica, dista mucho de ser la más rentable.


Quizás es habitual que en materia de seguridad informática el pesimismo acabe por contagiarse. Cuando HP y el Instituto Ponemon presentan un estudio como el del Coste del Cibercrimen en 2014, y descubres que únicamente en Estados Unidos ha ocasionado una pérdida de 12,7 millones de dólares, un 96% mayor que el año pasado, es normal que acabe afectándote.


miércoles, 22 de octubre de 2014

De Androides va la historia

Alberto Magno fue un prolífico sacerdote de la Iglesia del siglo XIII, que cultivó por igual teología, filosofía, geología, química, astrología, e incluso ingeniería, aunque seguramente él nunca lo supo. Se cuenta que compartía casa con una cabeza parlante y un dispositivo manufacturado que era capaz de moverse por sí solo. El primer androide (con el permiso de las creaciones del Dios Herrero Hefesto) conocido de la historia, que sería recuperado por el escritor Aguste Villiers en su obra L’Ève future, y que acabaría por formar parte del día a día de la mayoría de la sociedad.


El sistema operativo Android monopoliza el mercado móvil, y tiene todas las papeletas de hacer lo propio en el de gadgets e IoT. Y esto atrae a los malechores, como demostraba uno de los últimos estudios presentados por Kaspersky Lab e INTERPOL después de la investigación sobre malware realizada entre Agosto de 2013 y Julio de 2014. El 60% del malware dirigido a dispositivos móviles tiene como objetivo el robo financiero, bien sea mediante robo de credenciales bancarios, bien sea mediante envío de SMS de tarifación especial, bien sea mediante extorsión.


martes, 21 de octubre de 2014

Los remedios y la cura de los males digitales

Sir Francis Bacon, a quien debemos, entre otras muchas cosas, los principios del método científico, fue un reputado filósofo y político de su era, y dejó para generaciones posteriores no pocas enseñanzas a considerar. De entre todas ellas, nos hacemos eco de una que por su naturalidad bien podría haber sido escrita esta misma mañana: ”El que no aplique nuevos remedios debe esperar nuevos males, pues el tiempo es el máximo innovador”.


Los remedios están a la orden del día. En algunos casos juegan a nuestro favor, y en otros en contra, como ha quedado patente en la decisión por parte del gobierno chino de redirigir todo el tráfico que pase por sus redes con destino el servicio de iCloud o de Microsoft a una página fake con el fin de realizar un man in the middle, esto es, obtener las credenciales de acceso de esos usuarios sin consentimiento


lunes, 20 de octubre de 2014

Los recursos de un superviviente digital

”¿Han caído todos en Fort Pastor?' Sí, en el sentido de que todos han caído… ¡Se han levantado y han comenzado a devorarse!'” Con estas palabras respondía Steve a Kenneth en uno de los momentos clave del remake de Dawn of the Dead, una obra cinematográfica de culto para todos los amantes del género de zombies.


Te estarás preguntando por qué el CIGTR toma como entradilla algo tan trivial, y la respuesta es bien sencilla. La realidad supera en algunos casos la ficción. Si el mundo zombie tuvo su nueva edad de oro en el cine bajo el paradigma de una sociedad aletargada por el exceso de información, “la caja tonta” y el control gubernamental, en el tercer entorno no hay día que no veamos llegar hordas zombies o virus  mortíferos que atacan donde más duele, en nuestra vida digital.


domingo, 19 de octubre de 2014

El top 5 de la semana en Seguridad (XLVIII)

¿Cuánto son 25 años? ¿Son muchos o son pocos? En ocasiones se hacen eternos, como los 25 años que transcurrieron para terminar la cúpula de la catedral de Florencia (Italia), después de 130 años de construcción. O los 25 años desde que se concibió la misión Kepler, para observar exoplanetas, hasta que se puso en marcha. Han pasado 25 años desde 1989, el año en que por ejemplo Bush juró su cargo como presidente de los EEUU... pero Bush padre, no Bush hijo. Sí, como se dice popularmente, parece que "ha llovido".



Si los 20 años del tango de Gardel no era nada, 25 años en informática dan para un mundo. Visionarios pues, aquellos que entonces escribían manuales que todavía hoy dan para ser recomendados en una lista de lectura, como la confeccionada por Maite Moreno esta semana en Security Art Work, uno de los artículos más leídos de los últimos días y por el que iniciamos este recopilatorio dominical sobre lo más importante de la semana. El libro que tiene ya 25 años a sus espaldas es The cuckoo's egg de Clifford Stoll, y comparte espacio en el post de Moreno con títulos más recientes, como Hacker Épico, de Alejandro Ramos y Rodrigo Yepes, editado en 2012.


sábado, 18 de octubre de 2014

Mountain View, tenemos un problema


"Houston, tenemos un problema". La frase original de la tripulación del Apollo XIII es un icono de la cultura popular. Con muy escaso tiempo para reaccionar, y bajo una gran presión, los ingenieros tuvieron que buscar la forma de unir unos contenedores en forma de cubo con unas entradas cilíndricas, y solo podían hacerlo con los materiales que había en la propia nave. Gracias a esa solución y a varias medidas adicionales, aquellos astronautas sobrevivieron a una muerte casi segura.

Cuando esta semana varios investigadores de Google dieron con la vulnerabilidad bautizada como Poodle, vivieron una situación similar. "Mountain View, tenemos un problema". Si tienes la capacidad de entrar en una máquina para hacer un downgrade e invalidar el protocolo SSL, alguien debe buscar una solución casi tan ingeniosa como la de los ingenieros en el caso del Apollo XIII. En Cupertino se han decidido a colgarse esa medalla, y su muy reciente nueva versión de su sistema operativo iOS, Yosemite, ha logrado parchear esta vulnerabilidad. Algo que ha causado admiración en el sector, pues hablamos de días, u horas, entre la difusión de la vulnerabilidad y la aplicación de un parche en un sistema operativo que ha llevado meses de preparación.


viernes, 17 de octubre de 2014

Es por tu propia seguridad

”Es por su bien”, ”Un mal menor que debemos pasar para garantizar la lucha efectiva contra el terrorismo”, ”No deberíamos temerlo, puesto que no tenemos nada que ocultar”. Seguramente te suenen algunas de estas frases. Argumentos esgrimidos por el gobierno (en voz de las agencias de inteligencia) pidiendo calma por el control de la información personal en medios digitales. Y no hay duda que el fin que persiguen es el mismo que los ciudadanos quieren, pero es quizás en el equilibrio entre la privacidad absoluta y la centralización de información donde debería estar éxito de la mayoría de campañas.


El FBI vuelve a acaparar titulares con las palabras de su director, James B. Corney, que respondió en un comunicado a las acusaciones que Edward Snowden lanzaba a principios de semana. "Los encargados de proteger a nuestro pueblo no siempre son capaces de acceder a las pruebas que necesitamos para perseguir el crimen y prevenir el terrorismo, incluso con la autoridad legítima", dijo Comey en el discurso expresando la preocupación de la agencia por el movimiento de la mayoría de compañías tecnológicas en pos de la privacidad de sus usuarios.


jueves, 16 de octubre de 2014

Los descuidos se pagan caros

”Los descuidos se pagan caros”. Desde ese hombre que deja a su perro dentro del coche en pleno verano para ir a hacer la compra, pasando por aquellos transeúntes que deciden cruzar por el paso de cebra sin mirar a ambos lados. Los descuidos están a la orden del día, y lamentablemente, algunos de ellos se pagan con creces.


Es lo que ha pasado recientemente con POODLE, el nombre que recibe la vulnerabilidad de un protocolo de comunicación segura de hace 15 años ¿Seguimos usándolo porque no hay alternativa? Nada más lejos de la realidad. El descuido de seguir permitiendo la retrocompatibilidad de versiones antiguas en versiones del protocolo actuales permite que toda comunicación segura pueda ser interferida y escuchada.


miércoles, 15 de octubre de 2014

Por muy invencibles que parezcan, al final, siempre caen

Dicen de Gandhi que en su juventud no fue un buen estudiante. Aprobó por poco el examen de acceso a la Universidad de Bombay, aunque terminó por cursar sus estudios de abogacía en Londres. Fue en Sudáfrica donde, a la vista de la situación de su pueblo, descubrió su verdadera vocación. A partir de entonces, encontró la manera de hackear el sistema, lo que llevó a la independencia de India y la integración de los menos favorecidos dentro de la sociedad. Su vida es fiel reflejo de una guerra constante contra la injusticia y la explotación, que plasmó sabiamente en uno de sus múltiples discursos: "Cuando me desespero, recuerdo que a través de la historia, los caminos de la verdad y del amor siempre han triunfado. Ha habido tiranos, asesinos, y por un tiempo pueden parecer invencibles, pero al final, siempre caen."


Caen los buenos y caen los malos. La noticia del día es sin lugar a dudas el descubrimiento, por parte de algunos investigadores de Google, de una vulnerabilidad en el protocolo SSL v3.0 que permite realizar en el cliente, normalmente mediante inyección de javascript, un downgrade hasta esta versión, para luego saltárselo. El ataque tendría que ir acompañado, no obstante, de un man in the middle para que el robo de datos pudiera hacerse satisfactoriamente, pero la importancia de esta vulnerabilidad es que gracias a ella se elimina el cifrado en HTTPs basado en SSL, lo que esperemos sirva de empujón para el abandono de este estándar (15 años tiene ya) frente a TLS.


martes, 14 de octubre de 2014

Como si de una novela se tratase

”Sin un lugar donde esconderse (No Place to Hide)” es el título del último libro de Gleen Greenwald, en el que desenmascara las tácticas de espionaje de la NSA apoyado por las filtraciones de Snowden. La casualidad quiso que en el día de ayer tratáramos en nuestra píldora informativa diaria la entrevista que le hacían al ex-consultor de la NSA en la que informaba del peligro de utilizar asiduamente servicios de la talla de Dropbox, y que vuelven a ser noticia hoy precisamente por este motivo.


Dropbox ha sido hackeado. O mejor dicho, todo apunta a que el problema no viene directamente de la compañía, sino del mal uso por parte del usuario de la misma contraseña para varios servicios. Reddit y pastebin son dos ollas hirviendo con la paulativa publicación de emails y contraseñas de los usuarios por unos ciberdelincuentes que aseguran tener nada más y nada menos que 7 millones de cuentas.


lunes, 13 de octubre de 2014

La libertad es la esclavitud

Winston Smith, uno de los trabajadores del Ministerio de la Verdad, encargado día tras día de reescribir la historia, llega a una conclusión que lo horroriza y tranquiliza por igual: ”¿Cómo vas a tener un eslogan como el de "la libertad es la esclavitud" cuando el concepto de libertad no exista? Todo el clima del pensamiento será distinto. En realidad, no habrá pensamiento en el sentido en que ahora lo entendemos. La ortodoxia significa no pensar, no necesitar el pensamiento. Nuestra ortodoxia es la inconsciencia”.


Es parte de la conocida novela de George Orwell, 1984, que esboza un distópico mundo consumido por una guerra fría entre tres superpotencias, siempre desde el punto de vista de Oceanía, dirigida por IngSoc y la inmutable presencia del Gran Hermano. Para aquellos preocupados por la privacidad, la obra es un fiel reflejo de lo que una sociedad moderna esclavizada podría llegar a erigir. La reciente entrevista que The New Yorker Festival realizó a Edward Snowden, y cuyo vídeo acompaña el artículo, debería ser otra referencia inexcusable. En ella, Snowden ataca a la escasa privacidad de servicios en la nube como DropBox, Google o Facebook, y la importancia del cifrado en toda comunicación digital.


domingo, 12 de octubre de 2014

El top 5 de la semana en Seguridad (XLVII)


En el mundo de la seguridad existe una ley de Murphy no escrita, que podríamos resumir de la siguiente manera: si algo se puede romper, siempre habrá alguien que lo acabará rompiendo; y si no, seguramente, también. En algún momento inocente del pasado quizá había algo de épica pirata en romper códigos y sistemas; en todo caso, hoy queda poco de esa épica y casi todo es negocio.

Los cinco temas top de esta semana tienen que ver precisamente con tipos de intenciones más o menos oscuras que han logrado romper algo porque se podía romper. Porque estaba esperando a que alguien fuera lo suficientemente listo, o estuviera lo suficientemente bien pagado, como para entrar en donde no le correspondía. Es el caso del siniestro personaje capaz de desarrollar una app de terceros para Snapchat, convencer al suficientemente número de personas de sus bondades, robar todo el material efímero que se ha compartido por esa red, y volcarlo después a 4Chan en cantidades ingentes de información comprometedora.


sábado, 11 de octubre de 2014

La ciberguerra de las enmiendas

Uno de los periodistas más célebres de Estados Unidos, Bob Woodward, afirmó en una ocasión, a raíz de un libro sobre conspiraciones que ponía en solfa la investigación del caso Watergate, que "como creyente en la Primera Enmienda, creo que tienen más que derecho a exponer sus puntos de vista". Se considera que la Primera Enmienda es el salvoconducto para casi todo, y es por eso que resulta inviolable: está prohibido legislar de ninguna forma que pueda alterar la libertad de expresión.

De hecho, al editor Larry Flynt se le atribuye el comentario sarcástico de que no necesitas la Primera Enmienda si no piensas ofender a nadie, lo que es tanto como decir que si lo vas a hacer, ten preparado y a mano el parapeto de la Primera Enmienda. Que es justamente lo que ha hecho Twitter, elevando el tono por encima de la conformidad de otras tecnológicas para con el Gobierno de Estados Unidos. La red de microblogging espeta a la Administración de su país que no tiene derecho a limitar su transparencia con los usuarios. Que le pida la información que quiera, pero que con la misma Twitter informará a sus usuarios de dichas peticiones de información. Y sí, ha sacado a relucir la Primera Enmienda. Que es tanto como decir: "hasta aquí, y ni un paso más".


viernes, 10 de octubre de 2014

En la guerra como en el amor...

Del "Toda guerra está basada en el engaño” de Sun Tzu, al "En la guerra el fuerte de mente y de espíritu se impone al débil de mente y de espíritu" de Iósif Stalin, sin olvidar esa célebre cita popular que dice ”En la guerra como en el amor, todo vale”, la historia de nuestra especie ha estado intrínsecamente pegada a la figura bélica. Pese a que podemos considerarnos seres sociales, el afán de poder y la imposición de una jerarquía basada en los bienes nos llevan una y otra vez a levantarnos en armas, a gastar recursos en protegernos en vez de gastarlos en el bien común.


En el ciberespacio, se está librando una guerra. Una guerra que no entiende de límites. Unos protegen sus bienes, y otros intentan obtenerlos, y en el medio, por lo general, el usuario, que ve como herramientas que a priori han sido diseñadas para salvaguardar sus datos como es el caso de las notificaciones que iCloud envía a su dueño cuando se intenta acceder al contenido de su cuenta acaban siendo explotadas por terceros en campañas de phishing. Mucho ojo con lo que nos llega a la bandeja de entrada de nuestro email, y cerciorarse siempre que estamos ante la página oficial del servicio antes de meter nuestras credenciales.


jueves, 9 de octubre de 2014

Las cuatro técnicas más usadas por el fraude bancario

Woody Allen se excusaba en la falta de comunicación de Dios en una de sus obras de la siguiente manera: “Si Dios tan solo me hiciera una simple señal…, ¡como hacer un ingreso a mi nombre en un banco!”. Desconocemos si sus rezos fueron escuchados, pero de lo que sí tenemos constancia es que sus súplicas son compartidas cada día por las que las bandas de cibercriminales hacen al sistema financiero de medio mundo.


La Universidad Central Europea difundía esta semana un extenso estudio sobre la evolución y estadística de brechas de seguridad que afectan a la privacidad de los ciudadanos europeos. Y nos encontramos con un Reino Unido que atesora nada más y nada menos que el 24% de ataques, seguido por Alemania, Grecia, Países Bajos y Noruega. Los mayores vectores, las propias compañías, con un 89% de registros históricos: Corporaciones, gobiernos y organizaciones siguen presentando un objetivo suculento para este oscuro mercado.


miércoles, 8 de octubre de 2014

Una buena capa (económica) todo lo tapa (incluso la ética digital)

Sobre el dinero se ha escrito ríos y ríos de tinta. Cicerón dijo aquello de “Obra muy mal quien trata de obtener con el dinero lo que debe obtener con la virtud”, Voltaire se preocupaba por nuestras almas con aquel “Quienes creen que el dinero lo hace todo, terminan haciendo todo por dinero”, e incluso ese proverbio castellano que reza “Una buena capa todo lo tapa” nos pone entre aviso. El poder del dinero radica en la capacidad que tiene de cambiar a las personas, tanto para bien como para mal.


Y en el mundo digital, encontramos argumentos para los dos. La paulativa evolución del fraude bancario, que ha pasado en apenas unos años de operar de manera muy desorganizada, a la gestión, cual empresa del crimen, de nuestros días, es un claro ejemplo. Los puntos de venta de datos bancarios robados aplican técnicas y certificaciones para incentivar la confianza del comprador, como si de un comercio electrónico legal se tratase. Basta pasarse por alguna de estas webs, algunas de ellas accesibles desde cualquier punto de internet, para darte cuenta no estamos ante un oscuro portal de crackers, sino frente a una compañía que hace bien las cosas de cara al cliente.


martes, 7 de octubre de 2014

Curiosidades de una red tan poco segura

Con una dosis de realidad y en algunos casos, una pizca de fantasía, son conocidas por toda la vasta red del saber curiosidades históricas de la más diversa índole. Bromas del destino como la de aquella mujer alemana que en 1914 realizó seis fotos con un carrete a su hijo, que envió más tarde a una conocida para que las revelara, y que no recuperó hasta dos años después, de pura casualidad al darse cuenta que el carrete que había comprado era en realidad el suyo. Fortuitas profecías como las de Morgan Robertson, escritor de aquella novela sobre un navío llamado Titán que resultó no ser tan “insumergible” como se esperaba, o todas aquellas coincidencias temporales que vivieron Lincoln y Kennedy. El camino es caprichoso, y la búsqueda humana de puntos en común, aún más.


Robert Graham así lo dejaba claro en uno de sus últimos artículos, atribuyendo el nombre de la vulnerabilidad que durante estos últimos días ha asolado internet, Shellshock, a Andreas Lindh, el cual, por pura casualidad, decidió publicar un tweet esos primeros minutos de caos utilizando para ello la imagen que acompaña este texto, y que pertenece al logo de una atracción del Nikelodeon Universe, un parque de atracciones. El nombre completo: Teenage Mutant Ninja Turtles Shell Shock.


lunes, 6 de octubre de 2014

El Coyote y el Correcaminos del ciberespacio

A mediados de los años 50, el joven animador Chuck Jones, creaba el Coyote y el Correcaminos (Wile E. Coyote and the Road Runner), una serie de dibujos como respuesta al surgimiento de otras que tenían como eje central la figura opuesta del gato y el ratón. Nació como una parodia, adquiriendo poco después un éxito inesperado que les permitió llegar a buena parte de los países de occidente, e incluso trasladarse a algunos de oriente. Wile E. Coyote acostumbraba a patrullar el desierto del suroeste de Estados Unidos, zona de paso habitual de Road Runner, el veloz pájaro que disfrutaba viendo como su némesis fallaba una y otra vez. Más de medio siglo después, lo que en un principio surgió como un simple pasatiempo, representa la antítesis de lo que se vive en el día a día del ciberespacio.


Que más del 21% de la sociedad americana nunca haya destruido correspondencia (tanto digital como física) con contenido privado (como facturas o datos bancarios), dice mucho de nuestra preocupación porque el Coyote nos acabe cazando. Un 45% que usa las mismas contraseñas para todos los servicios, y un 49% que no ha cambiado la contraseña en los últimos seis meses, son algunos de los porcentajes que AARP difundía recientemente sobre el riesgo a que seamos víctimas de un robo de identidad.


domingo, 5 de octubre de 2014

El top 5 de la semana en seguridad (XLVI)

Windows es mejor que nada...
– Te confundes, iOS es mejor en todo...
– Os equivocáis los dos, ya quisieran ser como Android...
– Mucha manzana y mucho Google, pero...

'Fanboys'. Inconfundibles. Haga lo que haga, su marca es la mejor. Pero sin seguridad, ya puedes ser todo lo 'fanboy' que quieras, que te va a servir más bien de poco.


En el mundo de la seguridad hay para todos los colores, y para todos los gustos. A principios de la semana los usuarios de Apple más avanzados tenían una advertencia sobre la mesa: todo aquel que utilice la máquina de virtualización VMWare corría un serio peligro después del Bashgate, el caso de la vulnerabilidad Shellshock que ha obligado a todos los fabricantes a lanzar parches de seguridad a toda velocidad. En el caso de Mac OS X, en concreto, el peligro viene dado por un exploit que permite a un tercero escalar privilegios y ejecutar código con dicho privilegio.


sábado, 4 de octubre de 2014

'Shakespeare in hack'

¿Y si el mal estuviera tan extendido que hacer el mal fuese algo sin motivación alguna? A veces conviene echar mano de los clásicos, como William Shakespaere, para tratar de entender el presente. "Si todo el año fuese fiesta, divertirse sería más aburrido que trabajar", se afirma en la segunda escena del primer acto de su obra 'Enrique IV'. 

Quizá no están escribiendo la segunda parte de Enrique IV, pero unos investigadores de Akamai que han seguido la explotación de la vulnerabilidad Shellshock consideran que los criminales han perdido una gran parte del interés inicial. En parte, porque los parches que se han puesto en funcionamiento bloquean las posibilidades más peligrosas; y en parte, también, porque muchos 'amateurs' cuando no directamente "idiotas" (así lo dice el texto), se han lanzado a explotar la vulnerabilidad con fines tan difusos como abrir lectores de CD a distancia o reproducir archivos de audio de vaya usted a saber dónde. Se trata de "hackers aburridos" que a su vez aburren a los "hackers" auténticos. Eso sí, dicen los chicos de Akamai, aunque el interés por Shellshock se venga abajo, la amenaza va a persistir durante meses sino años, por ejemplo en forma de vector para redes zombie (botnets).


viernes, 3 de octubre de 2014

La dirección hacia la seguridad de tus datos

“Si no cambias de dirección, puedes terminar allí donde te diriges”. Esta cita del filósofo chino Lao-Tsé puede parecer una perogrullada, pero encierra una importante llamada de atención: deteneos un momento, reflexionad sobre el camino que estáis tomando y cercioraros de que deseáis llegar al lugar al que os lleva.


Mientras que los cibercriminales demuestran que cada día están más seguros de la dirección que han decidido tomar, muchas organizaciones que almacenan y procesan datos personales de usuarios deberían preguntarse si han elegido la senda correcta para proteger dicha información. En este sentido, la mayor entidad bancaria de EE.UU., JP Morgan, ha reconocido que el ciberataque masivo que sufrió hace unos meses comprometió los nombres y direcciones de 76 millones de clientes privados y de siete millones de clientes corporativos en EE.UU. Asimismo el proveedor de material de ciencias para escuelas Flinn Scientific ha notificado a sus clientes que el servidor de su tienda online fue infectado con malware. Los datos de todos sus compradores entre mayo y septiembre, tarjetas de crédito incluidas, podrían haber sido interceptados por los atacantes.


jueves, 2 de octubre de 2014

El tiempo que siempre nos falta

Cuentan de Mahoma, el “sello de los profetas”, que era un hombre reflexivo y que habitualmente dedicaba parte de su jornada diaria a la meditación. Fue gracias a ella que empezó a tener las primeras revelaciones, que lo condujeron inequívocamente a la senda de la concienciación social en la palabra de Dios ¿Qué hubiera sido de Mahoma en una civilización como la actual, donde el tiempo parece que siempre se nos está escapando? ”No paséis el tiempo soñando con el pasado y con el porvenir; estad listos para vivir el momento presente”.


Ese mismo momento que lleva a una compañía como Trend Micro y a una organización de tanta importancia como la Interpol a trabajar juntos por un mundo con menos espacio para el cibercrimen. Los primeros, aportando el conocimiento y la experiencia tecnológica, y los segundos, los recursos y la autoridad necesaria para conseguir el éxito en un entorno que ya no entiende de fronteras.


miércoles, 1 de octubre de 2014

El incentivo de la sociedad de la información

”Incentivo, aliciente, acicate, reclamo, atractivo, estímulo, prima, premio,...” Todos sinónimos de uno de los principales motores que mantienen en funcionamiento los engranajes de nuestra sociedad. Engranajes que trabajan juntos por el bien común, o separados, enfrentando la maquinaria interna entre sí, poniendo a prueba el material del que está hecha.


Una lección que tiene muy bien aprendida Google, ese gigante tecnológico capaz de posicionarse como una de las empresas más valiosas de la actualidad con menos de dos décadas de historia. Y lo demuestra una vez más aumentando las recompensas de su programa de incentivos para todos aquellos auditores que encuentren bugs en alguna de sus herramientas. Una manera de mantenerse al pie del cañón en un mercado que evoluciona a cada segundo, y que ofrece más garantías de éxito a mucho menor precio.