miércoles, 8 de octubre de 2014

Una buena capa (económica) todo lo tapa (incluso la ética digital)

Sobre el dinero se ha escrito ríos y ríos de tinta. Cicerón dijo aquello de “Obra muy mal quien trata de obtener con el dinero lo que debe obtener con la virtud”, Voltaire se preocupaba por nuestras almas con aquel “Quienes creen que el dinero lo hace todo, terminan haciendo todo por dinero”, e incluso ese proverbio castellano que reza “Una buena capa todo lo tapa” nos pone entre aviso. El poder del dinero radica en la capacidad que tiene de cambiar a las personas, tanto para bien como para mal.


Y en el mundo digital, encontramos argumentos para los dos. La paulativa evolución del fraude bancario, que ha pasado en apenas unos años de operar de manera muy desorganizada, a la gestión, cual empresa del crimen, de nuestros días, es un claro ejemplo. Los puntos de venta de datos bancarios robados aplican técnicas y certificaciones para incentivar la confianza del comprador, como si de un comercio electrónico legal se tratase. Basta pasarse por alguna de estas webs, algunas de ellas accesibles desde cualquier punto de internet, para darte cuenta no estamos ante un oscuro portal de crackers, sino frente a una compañía que hace bien las cosas de cara al cliente.

Otras veces, son los investigadores quienes, anteponiendo el interés general al suyo, desvelan proyectos tan preocupantes como el de Peter Fillmore, una aplicación diseñada específicamente para el Nexus 4, que le permite el clonado de un tipo particular de tarjetas contactless para realizar pagos en TPVs australianas. En el desarrollo interfieren algunas de las herramientas con las que cuenta Cyanogen Mod, una popular ROM de Android, y el uso de una pasarela de gestión de tarjetas virtuales open source.

La publicación de la vulnerabilidad en bash, llamada por el colectivo Shellshock, sigue dejando prendas, sobre todo para aquellos que no tengan reparos en beneficiarse a costa del resto. Kaiten, un popular servicio de denegación de servicio controlado vía IRC, ha desarrollado un nuevo vector de ataque aprovechando la brecha en sistemas operativos OS X. Se ataca a la víctima desde alguna web legítima comprometida, que por bash descarga el fichero que contiene el malware. Para evitar posibles sistemas de seguridad, el fichero es compilado en gcc, lo que le permite descargar el código fuente y compilarlo una vez esté en el dispositivo (y no al revés, como ocurre con los binarios de instalación habituales).

En el sector de la seguridad, todavía hay verdaderos hackers, interesados en hacer público las numerosas fallas de seguridad que tienen los sistemas informáticos. Javier Vázquez y Alberto García, dos españoles que presentarán en la Black Hat Europe de la próxima semana, nos sorprenden con una guía para hacerse con el control de los contadores inteligentes, y que en teoría les permite realizar un apagón a un barrio entero o inflar la factura de sus ciudadanos.

Para aquellos que se dedican al desarrollo, seguramente Bugzilla les resulte familiar. Hablamos de uno de los gestores de bugs más conocidos y utilizados del mercado, que para colmo es gratuito. El proyecto, enmarcado bajo la filosofía open source de Mozilla, no pasa su mejor momento. Si hace unos meses conocíamos que un porcentaje significativo de datos de sus usuarios había sido comprometido, ahora una vulnerabilidad en el código permitiría a un atacante escalar en privilegios para obtener información y gestionarla con los permisos que él quisiera, pudiendo causar el caos proyectos de terceros que lo utilizan a diario, tanto abiertos como propietarios.

También para estos últimos, y en definitiva, para todo aquel que esté envuelto en el desarrollo de un proyecto tecnológico empresarial, recordarle que aplicar un modelado de amenazas en la fase de testing es una sana costumbre, que normalmente permite “divertirse” un poco, y que sobre todo, afecta positivamente a los márgenes económicos del mismo. Si todos los servicios contaran con un sistema de prueba de amenazas, las fugas de información disminuirían exponencialmente, los datos de los usuarios estarían más seguros, la confianza en estas empresas aumentaría considerablemente y saldría para colmo más rentable.

Seis temas en los que la seguridad informática interfiere con el negocio. Seis temas que sacan a relucir tanto lo bueno como lo malo del ser humano. Y una nueva excusa para debatir sobre este apasionante sector con todos vosotros ¡Muchas gracias!

0 comentarios:

Publicar un comentario