lunes, 12 de enero de 2015

Nunca llueve a gusto de todos

Es una constante en nuestra sociedad. Siempre hay alguien que sale mal parado. Ya sea en una disputa, ya sea en un nuevo proyecto. Alguien acaba ofendiéndose o cediendo parte del pastel en favor del resto. Y en seguridad de la información es el pan nuestro de cada día.


Hablábamos el sábado de la publicación por parte de Google de una vulnerabilidad en los sistemas de Microsoft. La respuesta no se ha hecho esperar. Chris Betz, del Microsoft Security Response Center, criticaba la actuación de los de Mountain View, y en general la llamada Coordinated Vulnerability Disclosure (CVD), como una estrategia que permitía desacreditar a las compañías rivales supuestamente en favor de los usuarios, cuando en la práctica representaba justo lo contrario. Como alternativa, Betz defiende el uso de plataformas de cooperación entre empresas, sin divulgar públicamente los hallazgos, y por tanto, protegiendo la privacidad y seguridad de sus clientes.

Parece que hoy nos ha dado por la terminología técnica, pero ha sido fruto de la casualidad. El Common Vulnerability Scoring System (CVSS) es un sistema de rating de vulnerabilidades graduado del 0 al 10, que permite fijar prioridades en la lucha contra el cibercrimen. Y está a punto de actualizarse, algo totalmente necesario para adaptarse a las exigencias de un mercado de exploits que cambia cada año.

Toda evolución lleva asociada unos riesgos. El proyecto artístico “The Darknet: From Memes to Onionland” demostraba lo que era capaz de comprar un bot aleatorio en la deep web. Y de paso, sacaba a relucir un intenso debate sobre el posible uso de la aleatoriedad algorítmica para realizar crímenes sin autor, un vacío legal al que pronto tendremos que enfrentarnos.

Las pérdidas millonarias propiciadas por los ataques y fugas de información a grandes compañías han engordado los márgenes de negocio destinados a la seguridad. Y sin embargo, nunca llueve a gusto de todos. Por Net-Security se preguntan si la inversión en seguridad IT para evitar riesgos externos (cibercriminales, por ejemplo) no está dejando en un segundo y peligroso término los riesgos internos, que podrían ser solventados con una mejor formación del trabajador, y sobre todo, con una colaboración a varios niveles.

Donde hay dinero, hay fraude. Los chicos de ElevenPaths siguen “jugueteando” con su Path 5, apoyado en la tecnología de Sinfonier, y que les permite ver cómo evoluciona el crappware (aplicaciones basura) y el Black ASO (posicionamiento en markets de aplicaciones de sombrero negro). Estrategias de Growth hacking para posicionar aplicaciones fraudulentas bajo seudónimos, y una lucha frenética por replicarlas y evitar así los continuos baneos de usuario y apps.

Y así llegamos al fin de esta píldora informativa, con Google nuevamente como protagonista. Esta vez, por el bloqueo de uno de los forks de Chrome, basado en la seguridad y privacidad, llamado Aviator Browser. El descubrimiento de una vulnerabilidad que permite la ejecución de código en remoto fue motivo suficiente para una intensa disputa entre varios de los trabajadores de las dos compañías.

Para que no seamos nosotros quienes salgan mal parados, conviene estar al día de todo lo que ocurre en el sector. Y esto es justamente lo que hacemos desde el CIGTR. Que tengas un buen comienzo de semana.

0 comentarios:

Publicar un comentario