jueves, 30 de abril de 2015

¡Cuidado al abrir ese .docx! Vuelven los virus de macro

¿Puede infectarnos una factura adjunta a un mensaje de correo? ¿Una notificación del ayuntamiento? ¿Una carta de amor? Rotundamente sí según Microsoft, que avisa del resurgimiento de algo que creíamos enterrado en el siglo pasado: los virus de macro. Comentaremos también el reciente ¿error? de China al bloquear Facebook, cómo vigilar un examen online y una interesante reflexión sobre lo poco exigentes que somos en la seguridad de nuestro software.


Infectaron a millones de ordenadores en la década de los 90 y los creíamos erradicados, pero Microsoft acaba de avisar del retorno de los virus de macro. Viajan escondidos en documentos creados con la suite Office y con alguna macro habilitada. La víctima abre el documento, que le llega adjunto en un mensaje de correo electrónico, habilita la macro que se le pide para visualizarlo y es infectada. Según Microsoft ha afectado ya a medio millón de ordenadores, especialmente de Estados Unidos, Reino Unido, Fracia, Italia y Alemania.


miércoles, 29 de abril de 2015

¿Qué será de tu Internet si hay un terremoto?

El terremoto que los dioses mandaron este fin de semana al Nepal ha abierto una vez más nuestras conciencias a la fragilidad no sólo de la vida humana sino también de sus creaciones, entre ellas las comunicaciones por teléfono e Internet. Hoy hablaremos de ello y además de un excelente análisis sobre el reciente ataque de China contra Github, de la plaga de los DDoS que no cesa y de las cada vez más voces críticas en el gobierno EEUU contra las prácticas de la NSA.


En el caos posterior a un terremoto surge, tras el horror, lo mejor de los humanos: los voluntarios que restauran una mínima organización para ayudar a los supervivientes y recibir ayuda del exterior... Esta es hoy la pintura del Nepal, donde la infraestructura de comunicaciones por cable ha sido destruída y lo que funciona es la solidaridad de los radioaficionados. Siendo los desastres naturales algo a tener en cuenta en cualquier plan de seguridad informática, valga este ejemplo de aviso para navegantes.


martes, 28 de abril de 2015

El riesgo también es global

La enciclopedia abierta de Internet, la Wikipedia, define la globalización como "un proceso económico, tecnológico, social y cultural a escala planetaria que consiste en la creciente comunicación e interdependencia entre los distintos países del mundo". Por si no teníamos claro hasta qué punto estamos inmersos en ese proceso, las noticias de este martes 28 de abril en asuntos relacionados con la Seguridad de la Información nos aclaran todas las dudas.

Primera duda resuelta: ¿a escala planetaria, es decir, fronteras aparte? Tomemos nota: la policía de Rumanía ha arrestado a 25 personas sospechosas de formar parte de una banda cibercriminal, responsable de una gran operación de retiradas fraudulentas de dinero por valor de 15 millones de dólares. Ahora viene lo global: las operaciones se dirigían contra bancos de Puerto Rico y de Omán. Si eso no es globalización...


lunes, 27 de abril de 2015

Los creadores de apps siguen asaltando nuestra privacidad

Contraseñas sin cifrar y aplicaciones que invaden de forma exagerada nuestra privacidad. El experto en seguridad Troy Hunt ha estudiado qué datos están cogiendo algunas apps de nuestros móviles y asegura estar impresionado. Lo comentaremos, junto con un fallo que ha puesto en peligro 25.000 apps del sistema iOS, un interesante test de madurez en seguridad para organizaciones y los esfuerzos de Twitter para atajar la horrible plaga del cyberbullying.


Según el experto Troy Hunt, el descaro de las apps móviles a la hora de recolectar nuestra información, sin que el funcionamiento de la propia app lo requiera, es tan grande que incluso la app del servicio PayPal, que pasaría por ser un servicio serio, incurre en comportamientos invasivos. ¿Para qué querrá Paypal el ID de nuestro router, modelo y nombre que hemos puesto a nuestro teléfono, dirección IP, geolocalización, SSID y espacio de almacenamiento? "¿PayPal, realmente necesitas saber todo eso?", se pregunta Hunt.


domingo, 26 de abril de 2015

El top 5 de la semana en seguridad (LXXI)


En octubre de este año 2015 debería llegar, procedente de 1985, Marty McFly, el personaje protagonizado por Michael J. Fox en la segunda entrega de 'Regreso al futuro'. Los saltos en el tiempo de McFly tienen algo en común: cuanto no estás en tu tiempo, te encuentras totalmente desubicado. Las historias más leídas de entre las elegidas por CIGTR durante esta semana hablan de esos saltos en el tiempo.

La palma de oro se la lleva una tristemente conocida central nuclear japonesa: Fukushima. Bien, pues a su historial hay que añadir ahora que la Compañía de Eléctrica de Tokyo (TEPCO), decidió en su día que no valía la pena actualizar los ordenadores de la central. Así que los dejó funcionando en Windows XP. Y no son unas centenas de equipos, no: son 48.000. La historia ha acabado saliendo a la luz, y TEPCO ha tenido que aceptar de esa forma no se puede seguir. Windows XP es en 2015 lo mismo que el Marty McFly de 1985: un muchacho que no entiende el futuro.


sábado, 25 de abril de 2015

Te protejo, así que te espío

Todos recordamos a las principales potencias europeas elevando el tono de voz cuando empezaron a circular las noticias sobre el espionaje de los servicios de inteligencia norteamericanos, ¿verdad? La cuestión es: ¿era una postura afectada, fingida, un gesto de cara a la galería? Nos levantamos este sábado con una noticia que nos corta el desayuno, y que nos hace ver la cara más amarga de este asunto.

Según Der Spiegel, el Servicio de Inteligencia Federal alemán (BND), habría estado ayudando a la Agencia de Seguridad Nacional de EE.UU. (NSA) a espiar a empresas y cargos políticos desde el año 2008, e incluso antes. No son precisamente nombres de poca monta. Ahí tenemos por ejemplo a la firma aeroespacial EADS, fabricante de los Airbus, o a Eurocopter, también del mismo sector. Unas revelaciones iniciales de Snowden ya hicieron una pequeña llamada de atención al respecto, y fue cuando provocó la reacción de las autoridades alemanas. Hoy sabemos que esas operaciones de asistencia al espionaje fueron mucho mayores de lo que en su día se dijo.


viernes, 24 de abril de 2015

La plaga del ransomware está fuera de control

A la hora de escribir estas líneas, una oleada de ataques de CriptoLocker golpea la Internet española con mensajes que simulan proceder de Correos. Por desgracia, no es la primera vez. Los virus que chantajean a sus víctimas son ahora mismo uno de los mejores negocios de la ciberdelincuencia. Hablaremos de ello y del cibercrimen como servicio, sin olvidar otra importante amenaza que se cierne, también hoy, sobre las tiendas de eBay.


Cifran los ordenadores de sus víctimas o las acusan de haber visitado sitios prohibidos y las chantajean. Es el boyante negocio del ransomware, al que cada vez se apuntan más maleantes, como dueños de botnets que instalan estos virus en los miles de máquinas que tienen bajo su control; o los expertos en infectar sitios web, que ya no intoxican a las visitas con troyanos bancarios sino con ransomware. Y, en el más difícil y rentable todavía: quienes empiezan a cifrar bases de datos de webs de empresas.


jueves, 23 de abril de 2015

Garrafales errores de seguridad informática

"Pá habernos matado", diría el castizo. Y es que hoy descubrimos que los 48.000 ordenadores de la central japonesa de Fukushima funcionan con el obsoleto sistema operativo Windows XP, para el que ya no hay actualizaciones. "Pá habernos matado" también cuando ayer en la Conferencia RSA desvelaron que un vendedor de terminales de venta asigna a todos la misma contraseña desde... ¡1990!. Hablaremos también de niños y de un interesante ataque de la NSA.


Una auditoría del gobierno japonés ha desvelado que la planta nuclear de Fukushima sigue usando el sistema operativo Windows XP, a pesar de que hace prácticamente un año que Microsoft ha dejado de actualizarlo, lo que representa un grave peligro de seguridad informática. Desgraciadamente, esto no es noticia para quienes conocen el estado de la cuestión de las infraestructuras críticas en todo el mundo y saben que la central japonesa no es una excepción sino la regla.


miércoles, 22 de abril de 2015

En serio: usaron monos para atacar la Casa Blanca

Vídeos de monos haciendo cosas graciosas. Los mandaron por correo electrónico a empleados de la Casa Blanca y en ellos escondieron virus. Lo explica el análisis que ha hecho Kaspersky Lab del ataque avanzado CozyDuke, que sufrió el gobierno de Estados Unidos el pasado invierno. Pero hoy la protagonista indiscutible no es la Casa Blanca sino la Conferencia RSA, de donde nos llegan multitud de noticias interesantes sobre seguridad informática.


CozyDuke tenía, como la mayoría de ataques avanzados, al menos dos formas de asaltar a sus víctimas vía correo electrónico. Por una parte, mandando enlaces a sitios legítimos de perfil alto, como diplomacy.pl, que habían sido atacados e infectaban a sus visitantes. O bien mandando vídeos divertidos en flash, adjuntos a mensajes de correo, como "Monos en la oficina RISAS Video.zip". Al abrirlos se instalaba un virus en el ordenador de la víctima. Ambos trucos son más que viejos pero sirvieron a CozyDuke para penetrar la Casa Blanca y el Departamento de Estado, entre otros.


martes, 21 de abril de 2015

¿Tu webcam te espía?

Un nuevo fallo en Adobe Flash Player nos recuerda una de las vías de espionaje más usadas por los ciberdelincuentes: las cámaras y micrófonos en nuestros ordenadores, teléfonos y otros dispositivos. Los expertos recomiendan tapar las cámaras con pegatinas, aunque más difícil es desactivar los micrófonos. Hablaremos de ello y también de una millonaria indemnización a MasterCard, un nuevo mercado de 0days y consejos de seguridad para empresas. Vamos allá.


No es la primera vez que descubren un agujero por el que podrían espiar lo que hacemos y decimos a través de nuestra webcam y micrófonos. Buena parte del código malicioso dedicado al espionaje industrial y gubernamental permite hacerlo y la única defensa es tener nuestros dispositivos actualizados. Adobe ha lanzado ya el parche para este fallo en concreto. De todas formas y para curarnos en salud, recomendamos tomar conciencia de, por ejemplo, a cuántos sitios vamos con el teléfono móvil a cuestas.


lunes, 20 de abril de 2015

La Interpol tendrá su propia moneda virtual

Sólo a efectos de entrenamiento de los agentes de la ley, pero aún así no deja de ser curioso que la Interpol haya decidido crear su propio esquema de moneda virtual. Demuestra que Bitcoin y el resto de criptomonedas son cada vez más usadas y hay que tomárselas en serio. Hoy hablaremos también de cómo informan los bancos sobre incidentes de seguridad informática, de una gran mejora en los anuncios de Google y de la guerra informática en Oriente Medio.


Según ha explicado el director de Ciber Innovación de la Interpol, la intención para crear una moneda virtual de la policía es entender mejor cómo funcionan, dado que se han convertido en el medio de pago por defecto en los bajos fondos de la red. Kaspersky Lab habría descubierto un importante fallo en el esquema de estas monedas, que permitiría que en las transacciones virtuales se mandase también código malicioso y que estaría siendo estudiado por Interpol.


domingo, 19 de abril de 2015

El top 5 de la semana en seguridad (LXX)

Ha sido la noticia más leída de la semana con una amplísima diferencia y una de las noticias más seguidas de nuestra historia: el pasado lunes recomendábamos leer cómo unos hacktivistas imaginaron una original respuesta a una ley desafortunada. La ley, aprobada por el gobierno español, prohíbe a las personas manifestarse ante sitios como el Congreso. La imaginativa respuesta: organizar una manifestación de hologramas. 


Cabe aclarar que esta ley, llamada "Ley Mordaza", está siendo investigada por la Unión Europea porque podría pisar algunos derechos civiles. En cuanto a los hacktivistas autores de esta acción, serían de procedencia europea y no española. Pero vamos ya por la segunda noticia más leída: un importante fallo que afecta a todas las versiones de Windows, incluída la 10, que permite robar credenciales y que Microsoft conocía desde hace años pero al que no dio importancia. De hecho, sigue sin haber un parche.


sábado, 18 de abril de 2015

Que no te den 'El Golpe'


¿Qué tal si aprendemos un poco de piano? En 1902 Scott Joplin compuso 'The Entertainer' ('El Animador'), una pieza que pasó inadvertida hasta que 71 años después pasó por los arreglos de Marvin Hamlisch para la producción de la película 'El Golpe'. Dos estafadores que urden un ingenioso plan para vengar la muerte de un colega. Y que nos deja una de esas frases inmortales: "¿Y qué podía hacer? ¿Acusarle de hacer trampas mejor que yo?".

Investigadores a un lado y cibercriminales al otro. ¿Quién de los dos es más rápido haciendo trampas al sistema? ¿Quién lo hackea antes? En entornos como Java los malos no dan tregua. De nuevo nos encontramos con múltiples vulnerabilidades que presentan todo tipo de riesgos para millones de aplicaciones, y por el momento Oracle no puede hacer más que certificar el agujero. Toca parchear, y toca hacerlo cuanto antes.


viernes, 17 de abril de 2015

Sigue la pesadilla para Sony

Es la noticia indiscutible del día: cuando creíamos que ya había acabado el ataque contra la corporación Sony Pictures, la organización Wikileaks publica en Internet todos los documentos y correos electrónicos robados a Sony, con un motor de búsqueda para facilitar su consulta. No se habla de otra cosa en los mentideros y redes sociales. Nosotros, en cambio, hablaremos  también de ataques dirigidos, de empleados que no siguen las políticas de seguridad y de la apertura al público de la plataforma IBM X-Force Exchange.


Las pasadas Navidades fueron muy amargas para Sony Pictures debido a un cruento ataque que robó gran cantidad de información a la empresa y la hizo pública. Pero hoy descubrimos que había más que lo que se mostró y que Wikileaks ha decidido ofrecerlo al público. Son 30.000 documentos y 173.000 correos electrónicos donde pueden leerse, entre otros, las actividades de "lobby" de la corporación, su amistad y financiación del partido Demócrata norteamericano o su papel en el cierre del sitio Megaupload.


jueves, 16 de abril de 2015

Cada vez más voces alertan de la inseguridad de los aviones

El español Hugo Teso lleva años avisando sobre los problemas de seguridad informática de los aviones y de lo fácil que sería para alguien malintencionado secuestrar sus comunicaciones. Lo dice ahora una agencia independiente que realiza estudios para el gobierno de Estados Unidos. Hablaremos también de un nuevo virus que ataca puntos de venta en tiendas físicas, bancos que no informan de sus brechas de seguridad y empresas atrapadas en el fuego cruzado de la ciberguerra.


La Government Accountability Office (GAO) de los Estados Unidos acaba de emitir un estudio en el que asegura que las aerolíneas de aquel país no prestan suficiente atención a las brechas que podrían comprometer la seguridad de sus pasajeros. Entre otros fallos destaca que las conexiones WiFi que usan los pilotos son las mismas que las que usa el pasaje, con lo que sería posible espiar o manipular estas comunicaciones.


miércoles, 15 de abril de 2015

Cibermalvados atacan a cibermalvados

No es la primera vez que vemos una guerra de bandas en la red. Pero sí la primera en el elitista mundo de las Advanced Persistent Threatsw (APT), especializadas en el ataque a gobiernos y grandes empresas. Han desvelado esta historia la gente de Kaspersky Lab y así lo contamos, junto a otros temas como el "boom" de los secuestros virtuales en España y diversos consejos e informaciones de interés para ejecutivos y empresarios.


Los grupos de APTs en liza son el potente Naikon, uno de los más activos en Asia, especialistas en introducir puertas traseras para espiar a todo tipo de organismos, y Hellsing, más pequeños y elitistas. Según la compañía Kasperksy, se han mandado unos a otros mensajes de "spear-phishing" que escondían virus para instalar puertas traseras en los ordenadores de sus rivales. Habíamos visto otras guerras de bandas anteriormente, como cuando se robaban las botnets unos a otros, pero esto es nuevo.


martes, 14 de abril de 2015

Fallo generalizado en todos los Windows... desde 1997

Acaba de descubrirse una vulnerabilidad que afecta a todas las versiones del sistema operativo Windows desde hace casi 20 años. El fallo permitiría el robo de las contraseñas almacenadas en el sistema. Hoy es también el día en que los autores de una de las mayores botnets de la historia, Mariposa, están siendo juzgados en la Audiencia Nacional española. Por último, hablaremos de filtraciones y venta ilegal de datos.


A la hora de escribir estas líneas, la compañía Microsoft quitaba importancia al fallo, bautizado como "Redirección a SMB" porque engaña al sistema SMB del registro. Según Microsoft, sólo se ha probado en laboratorio y nadie lo estaría explotando, por lo que no ha sacado ningún parche. Pero la noticia se extiende como pólvora, pues afecta a todas las versiones de Windows, incluía la 10, y a programas de otras marcas como Adobe, Apple, Oracle y Symantec.


lunes, 13 de abril de 2015

Manifestación de hologramas ante el Congreso español

Renovarse o morir. Después de años atascado en el robo de datos, el "deface" de sitios web y los bombardeos, el hacktivismo busca nuevos caminos y lo demuestra celebrando la primera protesta de hologramas de la historia. Mientras Anonymous inicia el cierre de la campaña #OpIsrael2015. Hablando de cierres, las fuerzas de la ley han clausurado la botnet de troyanos bancarios Simda. Mientras, suben como la espuma otro tipo de troyanos, dedicados a la extorsión. Empezamos.


La primera manifestación de hologramas de la historia tuvo como escenario el Congreso español, en protesta por la llamada "Ley Mordaza" que prohíbe las protestas de personas reales. De aquí surgió la idea por parte de un colectivo de hacktivistas: la gente de carne y hueso no puede marchar pero la ley no dice nada sobre hologramas. Hacía tiempo que el hacktivismo no nos mostraba una idea tan fresca, ya demasiado acostumbrados a las tácticas violentas de siempre.


domingo, 12 de abril de 2015

El top 5 de la semana en seguridad (LXIX)


Meteduras de pata épicas, terroristas en redes sociales, páginas porno que te vigilan... De todo hay en este top 5 semanal de las noticias más relevantes en seguridad de la información según el criterio de nuestros propios lectores. Siete días en los que han pasado tantas cosas, y a tanta velocidad, que conviene echar un alto dominical para volver la vista atrás y apuntalar lo más importante.

En Internet los descuidos no se perdonan. El epic fail de la cadena de televisión francesa TV5Monde ha sido el asunto con mayor repercusión de la semana. Primero supimos que la habían hackeado, pero 24 horas más tarde contemplamos atónitos cómo fue la propia emisora la que dio "las llaves de su casa" a los ladrones, con planos detallados y horas más propicias para dar el golpe. Es decir, mostró todas las contraseñas de sus servicios informáticos en directo. Para los malos fue coser y cantar.


sábado, 11 de abril de 2015

En el hormiguero de la ciberseguridad


"El sabio puede sentarse en un hormiguero, pero solo el necio se queda sentado en él". Tiene su ironía que este proverbio proceda de un país como China, y que sus enseñanzas sean tan aplicables a la ciberseguridad a lo largo y ancho del mundo. El gigante asiático es hoy el gran protagonista por el hallazgo de la enorme plataforma de hacking del Gobierno chino, el Gran Cañón. Pero el día a día está lleno de pequeños protagonistas que se quedan sentados en un hormiguero.

Han sido las Universidades de Toronto y de California en Berkeley las que han descubierto esa plataforma gubernamental que trabaja en paralelo al Gran Cortafuegos. Entre el uno y el otro, lo de la Gran Muralla es poco más que un chiste. Si el Cortafuegos les sirve para controlar a cal y canto lo que los chinos pueden o no pueden visitar, el Cañón les permite atacar a cualquier dispositivo que tenga la malsana curiosidad de ver cómo se las gastan en el territorio Internet chino. No solo está prohibido pensar para los de dentro. También está prohibido fisgonear para los de fuera.


viernes, 10 de abril de 2015

Hackeando pulseras de actividad física

La Internet de las Cosas sigue imbatible, dando noticias día tras día sobre su pobre seguridad informática. Esta vez les toca el turno a los brazaletes de "fitness", algo que parece tan inocente pero puede hacer que nuestros datos médicos acaben en malas manos. Hablamos hoy también del grave error que posiblemente provocó el hackeo de la cadena francesa TV5Monde, más una alerta de troyano bancario y un interesante texto sobre lenguajes de programación y filosofía empresarial que nos viene directo de la prestigiosa "MIT Technology Review".
Las pulseras inteligentes están cada vez más por todas partes, en parques, gimnasios y otros espacios para el deporte. Cuentan calorías, captan datos sobre el estado físico de su dueña o dueño e interactúan con su teléfono móvil. La compañia Kaspersky ha detectado que esta interactuación no es para nada segura y permite que terceros se puedan conectar a la pulsera, mandar órdenes y robar datos. Esperemos que nuestros lectores deportistas se den por avisados.


jueves, 9 de abril de 2015

Multa histórica por una mala gestión de los datos

La Comisión Federal de Comunicaciones (FCC) del gobierno nortemericano ha llegado a un acuerdo con la empresa AT&T que la obliga a pagar 25 millones de dólares, la multa más alta que ha impuesto jamás este organismo por temas de privacidad y seguridad de datos. Hablaremos de ello y también del recrudecimiento de la "ciberyihad" y cómo persigue la policía al terrorismo en Internet.


La FCC considera demostrado que empleados de los "call centers" de AT&T de México, Colombia y Filipinas comerciaron con datos de casi 300.000 clientes. Concretamente, los empleados vendieron a terceras partes que traficaban con teléfonos robados información personal que podía usarse para desbloquear teléfonos móviles de AT&T.


miércoles, 8 de abril de 2015

¿Quién mira a quién en Internet?

¡Mucho cuidado con eso! Un reportaje de investigación periodística avisa sobre la monitorización de quienes usan servicios de pornografía en Internet. Es este un delicado problema no sólo de privacidad sino también de seguridad, pues se podrían usar estos datos para tender trampas a cargos directivos y poner en peligro la seguridad de una empresa. Nos fijamos hoy además en la voracidad de Facebook, Rusia asalta la Casa Blanca y la delincuencia telefónica.


Ya estamos acostumbrados a que los sitios web monitoricen nuestros pasos y construyan perfiles: de dónde venimos, que enlaces pinchamos, cuánto rato estamos... Pero quizás no tengamos en cuenta que lo mismo hacen el 88% de los sitios de pornografía en línea, más la monitorización propia de los anuncios y servicios de estadísticas de estos sitios, sin importar que naveguemos de incógnito. Lo cuenta una interesante investigación periodística.


martes, 7 de abril de 2015

¿Por cuánto venderías tus contraseñas?

La privacidad tienen un precio, cada vez más elevado. Pero, ¿y la falta de privacidad? Un estudio del Ponemon Institute y Trend Micro ha concluido que el 56% facilitaríamos nuestra información personal a cambio de dinero. Quien también ofrece dinero para conocernos mejor es el gobierno español: 1,6 millones de euros a quien construya un sistema que nos monitorice en las redes sociales.

Markus Winkler
Según el pliego presentado por el Ministerio del Interior español, esta herramienta informática capturaría y almacenaría datos sacados de las redes sociales, registros de llamadas, historiales clínicos, correos electrónicos, información de viajeros, etc. Su objetivo sería detectar a potenciales terroristas entre los ciudadanos que no están "fichados".

Y, mientras algunos se toman tanto trabajo para recopilar nuestros datos, otros los compran directamente. Según la encuesta de Ponemon y Trend Micro a 1.900 personas, la mitad venderían sus contraseñas por 76 dólares, su información relacionada con la salud por 58, sus hábitos de compra por 20, o su número de teléfono por 6 dólares.

Otra forma de conseguir nuestros datos es robarlos, algo que hacen cada vez más virus que nos llegan por el teléfono móvil. La mayoría "viven" en entornos Android, aunque cabe aclarar que es normal puesto que en Android es donde hay más "apps" y con mucha diferencia. Google acaba de publicar un informe en el que resume el estado de seguridad de Android, modificaciones hechas durante este año y nuevas funcionalidades.

Hemos guardado para el final la mejor noticia: por fin es posible recuperar los archivos cifrados con el peligroso virus CryptoLocker. Se calcula que 500.000 personas y empresas han sido sus víctimas. Una operación policial consiguió entrar en los ordenadores de los criminales y recuperar las claves de descifrado, que está ofreciendo gratuitamente la empresa FireEye. Un bravo con mayúsculas.

Con esta buena noticia y una sonrisa acabamos nuestro resumen diario.

lunes, 6 de abril de 2015

Las (cíber) comparaciones son odiosas

"Sunt bona, sunt quædam, sunt mala pura". En los epigramas de Marcial encontramos esta cita por la que "algunos son buenos, algunos son medianos, y la mayoría son malos". Las comparaciones son siempre odiosas, pero a veces no nos queda más remedio que comparar. Y a veces, incluso, la comparaciones son para mirar hacia otro lado, porque las diferencias entre unos y otros son abrumadoras.

Es el caso del gasto en ciberdefensa entre Estados Unidos y el resto de Occidente. El presupuesto de Defensa en Ciberseguridad norteamericano es de 5.100 millones de dólares en 2015, y se estima que llegará a los 14.000 millones en 2018; es decir, un incremento de casi un 300%. Si comparamos las cifras con otros países, nos encontramos con 219 millones de libras hace dos años, y un incremento previsto hasta 2017 de solo un 3,4% en ciberdefensa, y un 5,7% en ciberseguridad. En España, el gasto global de ciberseguridad (público y privado) en 2014 se estima en uno 150 millones de euros, frente a una inversión a nivel mundial de más de 72.000 millones. Son cifras que nos encontramos en el recién publicado Análisis y caracterización del mercado de la Ciberseguridad, de INCIBE.


domingo, 5 de abril de 2015

Cultura hacker con refresco y palomitas

"Exacto. No hay forma de ganar. El juego en sí mismo no tiene sentido. Pero en el escenario de la guerra se cree que se puede ganar una guerra nuclear, que puede haber víctimas aceptables". Es una de las frases míticas del cine hacker, procedente de 'Juegos de guerra' (1983), el largometraje dirigido por John Badham y que 32 años después de su estreno sigue estando en el 'top-of-mind' de la cíbercultura.

No en vano, Juegos de guerra es una de las cuatro películas finalistas de la competición de cine de cultura hacker de la revista tecnológica Ars Technica, que se enfrenta en semifinales a la, quizá menos conocida en España, Office Space. La otra semifinal confronta a otro clásico inmortal, Tron, con una cinta en la que lo 'hacker' tiene una presencia secundaria pero que sin embargo es una parte primordial del entramado: Parque Jurásico. ¿Qué mejor que hacer un domingo como hoy que darte una sesión de cine, palomitas y refrescos, volviendo a ver algunas de estas películas, o descubriéndolas si es que nunca antes les echaste el lazo?


jueves, 2 de abril de 2015

4.600 euros por descubrir un fallo en Youtube

A veces la experiencia Internet podría compararse a correr por un campo de minas: Facebook se entromete en nuestra privacidad hasta los límites de la legalidad, empresas ávidas de dinero fácil nos inundan con publicidad ilegal y múltiples fallos en servicios usados por millones de personas nos exponen a robos de dinero, de datos y de nuestra tranquilidad. Por suerte, hay gente que está atenta, desactivadores de minas que descubren los fallos y estafas y avisan al resto. Google acaba de premiar a uno de ellos con 5.000 dólares.


El investigador Kamil Hismatullin descubrió un fallo realmente grave en Youtube que permitía borrar cualquier vídeo del servicio de una forma muy fácil. Simplemente mandando desde una consola la orden "delete" (borrar) a Youtube, junto con el ID del vídeo. Google, empresa propietaria de Youtube, ha premiado a Hismatullin con 5.000 dólares (4.600 euros). Algunas voces han sugerido que el investigador debería haber recibido más, recordando que Facebook pagó hace poco 11.500 euros por un "bug".


miércoles, 1 de abril de 2015

¿Los gobiernos están haciendo la red más insegura?

China ha parado por fin el bombardeo contra la célebre comunidad de programadores Github. Han sido seis días de un DDoS brutal que analizarán los expertos y posiblemente tendrá represalias a nivel político. Mientras, se instala en la sociedad, la que abre negocios en la red y usa los servicios, una sensación incómoda por la que cualquiera, con las armas y equipamiento suficiente, puede tomar Internet por un campo de batalla. En él no hay más regla que la ley del más fuerte y cualquiera puede amanecer convertido en víctima. ¿"Era" este el escenario deseado?


"Todo operando con normalidad". Desde ayer por la noche la cuenta en Twitter de la comunidad de programadores Github muestra este aviso, con el que acaba un ataque DDoS que empezó el 26 de marzo, tal como informamos en su momento, orquestado desde China para obligar al sitio a retirar dos proyectos que permiten que ciudadanos chinos puedan ver sitios web como Google o prensa prohibida por su país. En el ataque se han usado novedosas técnicas que investigan ahora los expertos.