La situación se acaba de repetir durante los últimos días. Esta vez conocemos el destacado papel que el Juzgado de Instrucción Nr. 5 está jugando en el caso, y los presuntos responsables de la fechoría también tienen una razón social, o mejor dicho varias: Fluval Spain S.L. y Lázaro Ituarte S.A., empresas pertenecientes al grupo Valvospain con sede en la localidad alavesa de Amurrio. Inspectores de la Agencia Tributaria y agentes del Departamento de Inteligencia de la Guardia Civil han intervenido abundante documentación y ordenadores con el objeto de prácticar un minucioso examen que permita arrojar luz sobre los hechos.

Ni qué decir tiene que, hallándonos al comienzo de las pesquisas, la cosa dista aun de estar clara, y pasarán meses antes de que la investigación aporte una evidencia útil en términos judiciales. Gracias a Dios los medios de comunicación, con su clarividencia habitual, nos han ahorrado gran parte del trabajo. Sí señor, se confirma, acaban de desmantelar una red empresarial dedicada a sortear el embargo de Naciones Unidas sobre mercancías industriales susceptibles de ser utilizadas en la fabricación de una bomba nuclear para los mullahs. Esto pone de relieve varios temas de rabiosa actualidad: la delicada situación política en Oriente Medio, el papel cada vez más importante de los soportes informáticos en la investigación policial y, sobre todo, la importancia de los denominados bienes duales -aquellas máquinas, herramientas y semielaborados que pueden usarse indistintamente en la producción de artículos civiles y artefactos bélicos-. Obama también estará contento. Pero, ¿qué me dicen ustedes de la reputación de esas empresas? ¿y de las perspectivas para sus prósperos mercados en Estados Unidos y los países de la Unión Europea, con toda esta publicidad negativa que se les está haciendo sin esperar a los resultados de la investigación policial y el juicio?

Precisamente en un momento en que nos hemos propuesto apostar por la industria como estrategia clave para superar la crisis económica. Sigamos asi y no les digo lo que van a comer los trabajadores vascos porque ya no se estila el escribir zafiedades en los blogs.

El informe se encuentra disponible en esta página web, y es de lectura poco menos que obligada para todo aquel que desee comprender que el tema tratado no es la típica frikada sensacionalista y geek acerca de la exposición de redes públicas al riesgo de intrusión por parte de los lamers inflapelotas de costumbre. Basado en una sólida metodología consistente en la exploración de firmas o cadenas características a traves de buscadores especializados en servicios críticos (principalmente: SHODAN), los resultados del estudio han sido puestos a disposición de las autoridades y empresas respectivas. No esperen encontrar en el documento accesible al público el menor indicio de tales firmas. La información sensible ha sido transmitida únicamente a las entidades expuestas. Lo único que cabe decir es que los resultados, considerados globalmente, no son demasiado halagüeños para un país cuyas fuerzas vivas han asumido el compromiso de remontar la crisis mediante un esfuerzo serio y consecuente en el campo de la investigación, la solvencia profesional, el esfuerzo tecnológico y el fomento de la competitividad.

El mayor mérito de este informe no consiste en haber puesto al descubierto unos cuantos bugs, sino en señalar además las deficiencias sistémicas que hacen posible la explotación de los mismos con repercusiones potencialmente devastadoras -aguarden algunos años y se darán cuenta de lo que esto quiere decir-. Uno de estos factores lo constituye la falta de información y cooperación entre las diversas etapas de realización de los grandes proyectos. Nos explicaremos: como ustedes saben, en España una infraestructura de gran formato -centrales de ciclo combinado, aeropuertos, redes públicas de datos, refinerías, complejos industriales, etc.- es proyectada por una oficina de ingenieros de élite que saben mucho de cualquier tema de altos vuelos (matemáticas, física, finanzas, ordenación del territorio, legislación medioambiental), pero que no poseen mucha experiencia en asuntos de tejas abajo como controles industriales o albañilería. Esto obliga a conceder una considerable libertad de acción al contratista, que a menudo soluciona sus problemas del día a día como puede y sin producir una información operativa útil desde el punto de vista de la seguridad para el responsable superior del proyecto.

Posteriormente, y tras la entrega de la obra llave en mano, los promotores de la misma y las empresas encargadas de la gestión se hacen cargo del material presionados por la necesidad de cumplir expectativas y asegurar la rentabilidad de una subcontrata, por lo cual se asumen sin rechistar, en aras de una eficiencia operativa máxima, todas las máculas de seguridad transferidas por el proveedor. Este abandona la obra y pasa a ocuparse de otros proyectos. El registro documental queda archivado en algún sitio, y cuando alguien se vuelva a acordar de él, a lo largo de los años, podemos estar seguros de que la causa de ese interés será algún incidente de seguridad bastante sonado, que dada la dinámica de trabajo que acabamos de describir, tiene bastantes probabilidades de llegar a producirse.

Redes eléctricas inteligentes, administraciones públicas en red, sistemas industriales interconectados y supervisados a través de Internet, comercio electrónico, OpenGovernment, gobierno participativo… ¿No creen que va siendo hora de que nos ocupemos en serio de este problema y vayamos superando la mentalidad funcionarial y cantonalista tan típica de los pueblos latinos? ¿Qué tal si incluyéramos esto en la lista de buenos propósitos para el 2013?

El artículo está escrito por Michael Messner, y además de un ejemplo exitoso de ataque mediante escaneado de puertos contra direcciones IPv6 en un sistema que las mismas herramientas de comprobación -en este caso Metasploit- califican como seguro al ser dirigidas contra sus homónimas IPv4, incluye una lista de herramientas específicas para auditoría IPv6, pertenecientes a la suite THC Attack Toolkit. Michael Messner es consultor de seguridad en la empresa Integralis Deutschland GmbH, asi como instructor de Metasploit y autor de un libro sobre el empleo de esta herramienta para pruebas de auditoría y monitorización.

Fue con el propósito de facilitar algunas explicaciones que ayuden a restablecer esta confianza del público por lo que me decidí a acudir ayer a la tertulia de bloggers de Onda Vasca en el programa La Tarde en Euskadi, presentado por Begoña Beristain. En el transcurso de media hora tuve ocasión de responder a algunas cuestiones relacionadas con la seguridad de las redes inalámbricas y las circunstancias que atestiguan la existencia de un montaje tan oportunista y grosero como el del ya famoso “porno deustensis”, basado en un robo de fotos que nunca existió, pero que ha conmocionado a centenares de estudiantes de ambos sexos que lo perciben como una ofensa y una amenaza contra su privacidad. Reproduzco aquí el contenido de nuestras deliberaciones en el aire, complementado por algunas cosas que quedaron sin mencionar a la escasez de tiempo.

Hasta el momento nadie ha visto una fotografía que corresponda a alguien matriculado en Deusto. Y es dudoso que llegue a verla porque las imágenes son de procedencia desconocida. Nadie identifica las caras, los nombres no figuran en los listados de los cursos, y en los contados casos en que alguien se reconoce en alguna de las fotos, se trata de un parecido casual. Entre tantos miles de estudiantes universitarios, lo extraño sería que no hubiese unos cuantos que crean verse retratados en las imágenes. Se trata de un efecto típico de la psicología de masas, el mismo que puso en marcha los relojes parados de Uri Geller con solo cogerlos en la mano delante de la televisión, o hizo que la gente recordase haber visto a Jamal Zougham en todas las estaciones de cercanías de Madrid después del 11-M.

En cuanto a los aspectos técnicos, sin conocer los detalles aunque sí con cierta autoridad para opinar del tema tras haber intervenido el pasado verano en las Jornadas de Software Libre de la Universidad de Deusto como docente voluntario de un cursillo sobre seguridad de redes inalámbricas, baste decir que la red interna del centro, provista de un sistema de autenticación mediante servidores de acceso, es mucho más difícil de penetrar de lo que sugieren los rumores acerca de lo ocurrido. De hecho el departamento de delitos tecnológicos de la Ertzaintza había acudido esa misma mañana a investigar en respuesta a las denuncias presentadas por dos alumnos y no halló ningún indicio de intrusión no autorizada en las instalaciones informáticas de la Universidad de Deusto.

Algo diferente podría considerarse la situación en cuanto a la parte pública de la red inalámbrica, que es la que utilizan la mayor parte de los alumnos para acceder a Internet. Aquí en teoría sí resulta posible sustraer archivos (documentos, imágenes, bases de datos) de cualquier portátil que se conecte a la red con recursos compartidos. Por lo que respecta a las redes sociales (Facebook y Twitter), aunque la autenticación se hace mediante protocolos seguros SSL/TSL que evitan la captura de nombres de usuario y contraseñas, el resto de la comunicación tiene lugar en texto claro y puede interceptarse mediante un software de monitorización como Wireshark. Por el mismo medio también se pueden robar las cookies de sesión y entrar después como si se fuera el propietario de la cuenta. Todo esto resulta bastante tedioso y requiere un esfuerzo considerable -largas horas de asiento en salas de estudio y baterías de repuesto para el portátil-, lo cual lo convierte en un método poco práctico para el robo de información. Además, habría que demostrar que las alumnas, una vez realizados sus traviesos y torpes pinitos en el género del docudrama after hours, no los dejan en el iPhone, sino que se toman la molestia de archivarlos cuidadosamente en ordenadores portátiles equipados con Windows, y que las fotos han sido sustraidas del modo que estamos contando.

Todo ello, por supuesto, sin mencionar la extrema dificultad que supone extraer dichas fotos de un dispositivo móvil a través de una red WiFi y sin que el propietario o la propietaria del terminal -iPhone, Samsung Galaxy, HTC, tablet iOS o Android- consienta en ello o al menos note que algo raro está pasando en el dispositivo. A efectos prácticos lo considero imposible, y más de manera automatizada y a gran escala; pero si hay alguien que sepa como hacerlo por favor que me lo diga. Nunca es tarde para aprender algo nuevo.

Mi opinión -respaldada por el parecer de los otros partícipes de la tertulia, expertos de las fuerzas del orden y responsables de la Universidad- es que se trata simplemente de un atrevido golpe de efecto, que ha dado como resultado una oleada de paranoia causada por el sentimiento de indefensión de una multitud totalmente lega en seguridad de datos, junto con una enorme repercusión mediática motivada por el morbo y el mal gusto de los internautas. Por consiguiente las alumnas y los alumnos de Deusto pueden continuar utilizando la web 2.0 y todos los servicios soportados por sus dispositivos móviles con plena tranquilidad y también con la absoluta certeza de que nadie roba sus archivos personales a través de la infraestructura de comunicaciones del centro.

Con lo anterior no se exime al usuario de sus responsabilidades relativas a un aparato que cabe en el bolsillo de la camiseta, contiene una valiosa información relacionada con su existencia personal y en potencia de proceso de datos se puede comparar fácilmente con los ordenadores de sobremesa de hace tan solo cinco años. Todo ello sin incluir varios interfaces de conexión de redes -WiFi, Bluetooth, GSM, UMTS- que lo mantienen en contacto permanente con una red mundial de ordenadores y sistemas de telecomunicaciones, a veces de manera automática y sin que se le haya dado permiso. En términos meramente físicos y a escala individual, el robo de un smartphone representa para su dueño un ultraje mucho mayor que las intrigas de todos los hackers del mundo. Aquí sí que existe una gran necesidad de concienciar y educar al usuario.

Contrariamente a lo que las apariencias sugieren, el poder de los ejércitos no depende de las armas, sino de la logística. Esto, que siempre fue un hecho, resulta mucho más evidente en la era global. Un avión invisible o un nuevo fusil de alta tecnología resultan inútiles si no existe capacidad para llevar combustible a los depósitos o trasladar a una zona en conflicto un bidón de plástico con 140 litros de agua por hombre y día. De ahí que la inversión en tecnologías civiles resulte tan importante o más que el esfuerzo por mejorar unos sistemas de armas y unas habilidades combativas que de todos modos no parecen tener ya tanta importancia en los conflictos asimétricos de la actualidad.

Desde 2004 la armada estadounidense emplea en sus centros de aprovisionamiento sistemas de control e inventario de carga basados en etiquetas RFID, con el objeto de reducir en las bases de datos el número de errores derivados de las operaciones manuales y semiautomatizadas. Toda la mercancía embarcada pasa por un portal equipado con sensores que transmite los datos de las etiquetas a un sistema informático central.

El beneficio de incorporar esta tecnología al ámbito de la logística militar es triple: en primer lugar una aceleración notable de las operaciones de suministro; segundo, reducción de costes administrativos y mayor exactitud en el segumiento de inventarios; y finalmente la posibilidad de destinar a otras tareas -principalmente conducción de camiones y carretillas elevadoras- al personal que ya no es necesario para las tareas de gestión de almacenamientos y control de datos.

Para quien desée informarse en detalle sobre la aplicación de la tecnología RFID al ámbito de la logística militar, el propio Fleet and Industrial Supply Center (F.I.S.C.) de Norfolk (Virginia), donde hace ocho años se llevaron a cabo las pruebas piloto del proyecto, da a conocer este artículo donde se explican los detalles.

Esta vez, y para variar, la próxima gran innovación en el ciberespacio no procede de Silicon Valley ni de algún apartado garaje californiano, sino de Estambul, sede administrativa de la red social Salamworld, que para el mes de noviembre tiene previsto poner en funcionamiento su primera versión beta. Según Abdul Vakhed Niyazov, ejecutivo principal de la empresa, Salamworld no es estrictamente una red dedicada a la religión, sino un sitio de reunión basado en los valores característicos del Islam. El anuncio de este proyecto viene acompañado, además de una comprensible expectación, de voces críticas que cuestionan el intento de probar suerte en un mercado tan saturado como el de las redes sociales.

Salamworld está financiada por empresarios independientes -principalmente de Rusia- y tiene delegaciones en 12 países. Su objetivo, más allá de la vertebración de un espacio musulmán virtual, es la explotación publicitaria del extenso mercado halal (productos y servicios conformes a las prácticas religiosas del Islam), que con 300 millones de consumidores potenciales y una cifra mundial de ventas en torno al billón de dólares es algo más que palabras.

Sin embargo, aunque las perspectivas parezcan prometedoras sobre el papel, atraer a los anunciantes no resulta tarea fácil. Las redes existentes, como por ejemplo Facebook, no entran en conflicto con el Islam, y sus usuarios carecen de incentivos especiales para migrar a nuevos sitios. Algunos expertos como el egipcio Ziad Mokhtar, partícipe del fondo de inversión Ideavelopers radicado en El Cairo, opinan que habría sido más razonable invertir en aplicaciones.

Para quienes quieran saber más, he aquí un artículo interesante y ampliamente informativo sobre Salamworld.

La causa de que todo esto falte en un IPhone o un iPad actualizado a la última versión de iOS (actualmente 6) es un corte prematuro del cordón umbilical por parte de un usuario que de puro ansia no puede esperar a recuperar el control sobre su terminal. La copia de respaldo está hecha, el sistema se ha cargado, ha inicializado el dispositivo con su identificador de Apple y el teléfono móvil introduciendo la clave de cuatro dígitos de su tarjeta SIM. Pero los datos ya no están allí.

En realidad el proceso de actualización del firmware es más complejo de lo que parece y dispone de un segundo ciclo en el cual se devuelven al terminal todos los archivos extraídos previamente. Aunque estos ocupan una partición distinta a la del sistema, la copia de respaldo es necesaria para enlazarlos de manera adecuada con las estructuras de datos del nuevo sistema operativo. El usuario deberá esperar con paciencia a que termine, dejando que el iPhone reinicie una vez más e introduciendo de nuevo su identificador Apple y la clave de cuatro dígitos cuando se le piden. Después de completar el proceso correctamente, volverá a tener todos sus datos a bordo y estará listo para sumarse al coro de protestas contra el autor de la aplicación Mapas. Lo único que le quedará por hacer será bajarse del AppStore aquellas aplicaciones gratutitas que no valía la pena incluir en la copia de respaldo.

Puede suceder que hallándose el usuario en pleno merodeo por páginas un poco rarillas, en busca de torrents o algo que le compense por el cierre de Megaupload, de pronto el sistema (por ejemplo Windows Vista o 7) reinicie por su cuenta y después de haber rearrancado muestre una pantalla en la que se informa que en nuestro disco duro hay archivos audiovisuales con derechos protegidos procedentes de descargas ilegales. Por consiguiente y a la espera de una posterior aplicación de medidas judiciales la SGAE bloquea el ordenador. Esta situación, sin embargo, puede remediarse mediante el pago de un importe de 50 o 100 euros, a cuyo propósito se facilitan los correspondientes enlaces o números de cuenta para efectuar el ingreso. Todo intento de librarse de esta pantalla resulta inútil. De nada sirve resetear el ordenador. Tampoco podemos pasar el antivirus porque el virus de la SGAE es lo primero que carga, y lo único que hace es mostrar una ventana de la cual no se puede salir y que secuestra la máquina impidiendo abrir el explorador de archivos o ejecutar cualquier otro programa.

Normalmente cuando eres víctima de la S.G.A.E. ni siquiera llegas a enterarte. La extorsión tiene lugar a través de cauces poco visibles, a menudo implícitos en el precio de venta al público -discos duros, CDs, reproductores portátiles, etc.-. En este caso el usuario es víctima de un scam de baja estofa que ni siquiera tiene nombre, y al que comprensiblemente se le denomina con el de su supuesto patrocinador. Se pueden encontrar en Internet algunos artículos con instrucciones detalladas para eliminarlo. Casi todos ellos pasan por el rearranque del ordenador en modo seguro (mediante la tecla F8) y la utilización de alguna herramienta antimalware.

Existe sin embargo un procedimiento más rápido y simple -aunque no menos peligroso-, basado en la propia mecánica de actuación de este troyano. Tras arrancar en modo seguro el usuario debe ejecutar la utilidad msconfig.com y examinar la pestaña correspondiente a las aplicaciones cargadas en el inicio. La mayor parte de las veces es allí donde encontrará el programa parásito. Desmarque la casilla para que ya no pueda iniciarse automáticamente en el arranque del ordenador y tome nota de la ubicación del ejecutable en el disco duro (normalmente en algún lugar de la carpeta de archivos personales del usuario). Por lo general suele tratarse de un archivo de la forma “j.exe”, “xfjzvfw.exe” o con alguna otra denominación extraña. Elimínelo.

Posteriormente abra el editor del Registro de Windows ejecutando regedit2.exe. Busque las referencias al archivo parásito y en la parte derecha de la ventana borre las claves donde figura expuesto el ejecutable del virus. Por lo general las claves donde se encuentra la información referente al troyano son aquellas que tienen que ver con funciones de carga automática de aplicaciones en el inicio. He aquí algunos ejemplos:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}

Después de hacer esto y cerrar el registro el ordenador debería arrancar con normalidad. Sobra decir que esta última es la parte más delicada de toda la operación y que deberá poner toda su atención en lo que hace, a riesgo de dejar inutilizado su sistema operativo y tener que reinstalarlo de nuevo. Si tiene la menor duda o no entiende de qué estamos hablando, cierre el editor del registro y utilice cualquiera de los métodos convencionales.

En cualquier caso lo último que debería hacer es pagar. Tratándose de un timo eso no servirá de nada: nadie se pondrá en contacto con usted para darle las instrucciones que le permitan eliminar el virus. Este troyano de la SGAE resulta particularmente dañino porque además de ser una estafa explícita abusa de la conciencia de usuarios inexpertos (¿quién no tiene en su disco duro alguna peliculilla o mp3 de extranjis?), paraliza ordenadores generando una amenaza para particulares y empresas y además muta con regularidad, haciendo difícil el trabajo de antivirus y scanners.

Quizá sea porque Steve Jobs ya no está ahí como fuente de inspiración y genio empresarial. Lo cierto es que la preocupante falta de entusiasmo de los parroquianos ante el lanzamiento del iPhone 5, nuevo producto estrella de la compañía de la manzana, parece ir más allá de un retroceso ocasional. Sin llegar a la decepción -no hay motivos para ello, pues los productos de Apple siguen siendo excelentes, con una calidad de primera, un diseño impecable y conceptos de ingeniería que se adelantan varios años a su tiempo-, existe sin embargo una sensación de tedio: mismo aspecto solo que algo más grande y más plano. Da la impresión de que en el mundo de la informática móvil, a una etapa inaugural caracterizada por las grandes invenciones, la originalidad y el marketing agresivo, está tomando el relevo otra en la que el aburrimiento, la pereza y la aversión al riesgo son notas dominantes.

Esta tendencia no solo afecta a Apple, sino también a sus competidores. Quien haya visto y tocado el nuevo Samsung Galaxy S III, por poner un ejemplo, no podrá evitar cierta perplejidad ante el contraste que supone un hardware excepcional (procesador de cuatro núcleos, pantalla de alta definición) y un diseño absurdo. La clientela habitual de la casa disculpa el recurso al policarbonato por razones prácticas, ya que se trata de un material ligero y muy resistente a rayaduras e impactos. Pero, ¿y ese contorno plateado que se estrecha en las esquinas dándole un acabado tan vulgar? ¿No podrían haberlo solucionado de mejor manera los ingenieros y diseñadores de Samsung?

Ellos probablemente sí, pero el departamento legal de la empresa no. En la competencia de Apple la causa del aburrimiento no está en la sequía de ideas ni en la muerte de líderes carismáticos, sino en el miendo a las demandas judiciales. Con la escena del smartphone entrando en una época de madurez y unos márgenes que se estrechan progresivamente, Samsung, HTC y otros no pueden permitirse el lujo de una nueva batalla legal. La culpa, en última instancia y al decir de algunas voces críticas, la tiene la legislación de patentes, que protegiendo no solo avances decisivos de la tecnología, sino en ocasiones bienes poco consistentes como el diseño de una esquina o el ruido de una moto, perjudica al consumidor e impide a este maximizar las utilidades marginales de su dinero en los productos y servicios que adquiere.

Para los forofos de Samsung, he aquí una comparativa del Galaxy S III en la página web de Xataka.

El caso HJ Lim es materia que sin duda tendrá su capítulo correspondiente en los manuales de Marketing del futuro. Una pianista coreana que con solo 24 años de edad -su fecha de nacimiento exacta es todavía un misterio- se atreve a ofrecer al mercado una integral de sonatas de Beethoven y una mecánica de interpretación diabólica, que al concepto típico de los solistas asiáticos (pasar por encima de las notas lo más rápidamente posible sin cometer ni un solo error) añade fuerza y rotundidad fáusticas y nada orientales.

La infraestructura de realización no es menos sorprendente: un piano -Yamaha- absolutamente indigno de cualquier sala de conciertos que se precie, pero capaz de aguantar un flujo musical incontenible en el que brillantez y superficialidad no son los únicos elementos dominantes, sino que hay algo más, un factor enigmático e imposible de definir, y que ha producido entre los críticos musicales una polarización como no se veía desde que Georg Cziffra recreó a Chopin en los años 50 del siglo pasado; videos emitidos por Youtube que en pocos días consiguen más de medio millón de visitas; oferta especial de lanzamiento del pack completo de 30 sonatas por 9,95 dólares en iTunes; una gira de conciertos por Europa y finalmente venta de los ocho CDs en cuatro estuches dobles (sí, policarbonato del bueno, con carpetillas y todo ello metido en cajas de cartón) al mejor estilo tradicional de las discográficas de la era analógica.

Si esto fuera obra de Google o Amazon no extrañaría, pero siendo EMI quien está detrás da que pensar, por mucho que esta compañía se haya significado en el empleo de Internet como canal de promoción y de ventas. La estupefacción de los melómanos ante este ataque por sorpresa contra su idolatrado Beethoven es tan grande como la del propio compositor si pudiera ver lo que han hecho con su música. En cualquier caso un signo de los tiempos, un aviso de las cosas que están por venir, de la decadencia de la economía tradicional, del poder de las redes, del triunfo de la cultura popular de masas y del mal gusto de un público fascinado por la velocidad y las emociones fuertes, en fin, del impredecible futuro en general. Fórmese el lector su propia opinión a la vista de uno de estos videos promocionales en Youtube:

Hacker -Edición 2o12 es un libro que me ha sorprendido no solo por la envergadura de su labor de actualización con respecto a obras anteriores de la colección “Guías prácticas” con el mismo título, sino también por la perspectiva diferente con que se contempla la compleja temática de la delincuencia informática y la defensa contra intrusiones. Por poner un ejemplo, en la edición de 2008 el esquema del libro era el del típico recetario con los trucos favoritos del enemigo (por aquel entonces compuesto aun en gran parte por adolescentes inadaptados y gamberretes de cibercafé) para reventar sistemas, junto con la manera correspondiente de protegerse contra ellos. Hacker 2012, por el contrario, está escrito en clave de guía generalista -casi podríamos llamarla estratégica- para tomar decisiones en un entorno globalizado en el que bandas de ciberdelincuentes, hordas anarquistas y avanzadillas de la ciberguerra campan por sus respetos.

Esta obra no se detiene en pormenores como el rastreo de puertos y el empleo de WSH para realizar intrusiones en sistemas informáticos. Antes bien prefiere facilitar una descripción, necesariamente breve pero no por ello menos rigurosa, de la infraestructura, las tecnologías y las entidades que componen eso que llamamos la red mundial, con especial énfasis en la WAN. En otras palabras, todo lo que hay más allá del punto de conexión de la compañía telefónica, y que la mayor parte de los usuarios por lo general prefieren no ver para no tener que admitir que en el fondo ellos no son los únicos propietarios de Internet.

Se habla de redes de fibra óptica, de ATM, XDSL, Metroethernet y del backbone principal de Internet. También se hace un repaso -desde el punto de la seguridad- a los sistemas operativos comerciales de más amplio uso como Windows 7 y Mac OSX (Linux, por desgracia no, lo cual da pie a pensar que o bien no había páginas suficientes para ello o bien la situación del código libre ha empeorado en los últimos tiempos). La obra queda rematada con una recapitulación de los últimos avances en informática móvil (smartphones, WiFi, ZigBee), asi como de la seguridad en el comercio electrónico y las redes sociales. Esta amplitud de enfoque la hace idonea para servir como texto de base en un cursillo introductorio dirigido a policías, militares, abogados, educadores, personal bancario y especialistas de seguridad de las empresas.

A estas horas todos saben que un cifrado débil o una contraseña tonta es como tener la red abierta al público igual que en una cafetería o en la zona WiFi del aeropuerto. Quizá algunos hayan oído decir que incluso los sistemas de autenticación empresarial como WPA Enterprise a través de servidores Radius pueden ser doblegados si existen medios técnicos, voluntad y tiempo necesario para ello. Pero muy pocos son conscientes de que la seguridad de datos de una empresa puede quedar comprometida mediante trucos del más arrastrado y camioneril nivel low-tech.

Si un empleado desleal coloca un punto de acceso inalámbrico detrás de una estantería o encima de la placa de pladur de un falso techo dispondrá de una puerta trasera para acceder a su empresa desde el aparcamiento, sin tener que sortear ningún cortafuegos ni enfrentarse al IDS de la red corporativa, incluso sin tener que identificarse siquiera como usuario. Si además configura el WAP para que emita en un canal no utilizado por la red inalámbrica de la empresa o no autorizado por la legislación local -como por ejemplo del 12 al 14 en Estados Unidos o el 14 en España-, o si transmite en el modo greenfield del standard 802.11n, las probabilidades de detección serán además irrisorias.

Tampoco es necesario descifrar una contraseña WEP o WPA para interceptar el tráfico de los empleados que se conectan a la red inalámbrica de la empresa. Basta instalar un router inalámbrico emitiendo en abierto con el mismo identificador SSID que los puntos de acceso legales pero con una señal más fuerte. A no ser que sus usuarios sean gente muy avispada, los clientes (portátiles, smartphones, tabletas, teléfonos móviles inteligentes) se conectarán por defecto al WAP pirata y todo el tráfico de los mismos pasará en claro por las manos del atacante. Lo único que este necesitará es un router inalámbrico con función de port-mirroring -o en su defecto de un dispositivo barato que admita el firmware del proyecto OpenWRT, mediante el cual resulta posible programar un mirroring de puertos- y un ordenador portátil con Wireshark para interceptar y visualizar las tramas Erhernet.

En pocos años la extensión de las tecnologías inalámbricas ha hecho que el problema de la seguridad empresarial pase a plantearse en términos que para una gestión adecuada del mismo requieren no solo nuevos medios técnicos, sino de estrategias más refinadas y activas para detectar puntos de acceso piratas al acecho, con frecuencia tan rebuscados en su ubicación como sigilosos en su modo de actuar.

Este es un efecto que probablemente habrán notado los aficionados a la música de calidad (jazz, clásica), y que tiene que ver con una de las facetas más meritorias de los modelos más avanzados del iPhone -incluyendo artículos relacionados como iPod e iTouch-. Los dispositivos portátiles de Apple están pensados no solo como reproductores de ocasión para el autobús o el jogging. Llegado el caso pueden servir como complemento ideal para un equipo de sonido de alta calidad, con la doble opción de conectarlos al amplificador a través de un cable de entrada normal (line in) o directamente en el dock o bahía que cada vez con mayor frecuencia los equipos de alta fidelidad incluyen para iPhone/iPod. Aunque la fuente es la misma, en este último caso el sonido tiene una calidad más alta. ¿Dónde está la diferencia?

La respuesta tiene que ver con un componente llamado DAC que los reproductores utilizan para convertir un archivo de cualquier formato (MP3, de onda o compresión sin pérdida) en la señal analógica que es procesada por el amplificador y enviada a los altavoces. En una cadena musical -sobre todo si es de gama alta, por ejemplo Onkyo, Pioneer, Yamaha o similar- el DAC es mucho mejor que el de un smartphone o incluso los que llevan integrados las placas madre de los ordenadores. Al colocar el iPhone al dock del equipo musical los datos digitales no son decodificados localmente por la circuitería del teléfono móvil (como sucede cuando utilizamos el cable de entrada de línea), sino que se transfieren a la cadena a través del conector de 30 pines y aquella los procesa utilizando su propio DAC.

El sonido obviamente será de mayor calidad cuando se reproduzcan archivos de compresión sin pérdida. Ante la imposibilidad de escuchar archivos FLAC en un iPhone -si no es a través de software adicional y por supuesto de pago-, y si no se quiere recurrir al poco práctico expediente de desperdiciar espacio de almacenamiento introduciendo en el terminal a través de iTunes las pistas WAV procedentes del ripeado de un CD, la única opción que le queda al usuario es utilizar ALAC, el formato lossless propietario de Apple. Para convertir los archivos existe alguna que otra utilidad interesante como por ejemplo Bigasoft Audio Converter. Naturalmente también de pago.

Para ello, no hace falta decirlo, es necesario tener instalado antes Wine, un software que permite la emulación de aplicaciones MS-Windows sobre un entorno Linux. En distribuciones basadas en Ubuntu la instalación de Wine no ofrece mayor problema: basta recurrir a los repositorios de costumbre a través del interfaz gráfico Adept o en línea de comando con ‘sudo apt-get install’ o sus equivalentes modernos como ‘sudo aptitude install’, etc. Una vez concluido el proceso el usuario podrá arrancar y configurar Wine desde el menú inicio, o directamente desde las aplicacciones Microsoft que tenga instaladas. Winamp funciona perfectamente en entornos Ubuntu (en el actual caso de ejemplo: Kubuntu 10.04), pero en las versiones más recientes es dudoso que el usuario pueda aprovechar sus capacidades reproductoras de video, ya que estas requieren una instalación previa de MS-Direct X11.

El inconveniente con el que se encuentran muchos usuarios nóveles es una extraña desgana a dejarse ejecutar por parte del programa de instalación de Winamp recién descargado desde la página web. Y la pregunta es: ¿Has cambiado los permisos del archivo? No padre. Pues tienes que hacerlo para que sea ejecutable. Pon sobre él la flechita del ratón, pulsa el botón derecho, abre el menú contextual y en la pestaña correspondiente a los permisos marca la casilla que convierte al instalador de Winamp en un archivo ejecutable. Después todo irá como una seda. Fíjate en la imagen.

Además de la reproducción sin pausas, Winamp admite no solo archivos MP3, sino gran variedad de formatos de audio, entre ellos AAC, Ogg Vorbis, WMA, MIDI, CD Audio, MSX y por supuesto FLAC, un códec de compresión sin pérdidas capaz de proporcionar sonido en calidades CD y aun superior, en caso de que el archivo esté codificado a 24 bits.

Con los bancos es peor. En los países occidentales solo una pequeña parte del dinero y los valores financieros existe ya en forma de billetes, monedas, pagarés u objetos testimoniales. La mayor parte de la masa monetaria, las cuentas corrientes, el crédito y los fondos de una economía moderna se encuentra desmaterializada, y solo existe en forma de datos archivados en la memoria de ordenadores centrales. Estos ordenadores se hallan en centros de servidores, dentro de las dependencias de la institución a la que pertenecen y proporcionan infraestructura informática, acompañados de todo un bosque de máquinas auxiliares que hacen posible la operativa del banco, tanto a nivel interno como de cara a la clientela que utiliza sus servicios a través de Internet.

Ni qué decir tiene que estos centros se encuentran fuertemente protegidos, y el acceso a los mismos tiene lugar a través de compuertas protegidas con vigilantes armados y dotadas de dispositivos de identificación biométrica. El problema es que los centros de servidores, salvo en los edificios de nueva planta, han crecido orgánicamente a lo largo del tiempo, añadiendo mainframes, bastidores, routers, switches, terminales de control y todo tipo de dispositivos nuevos según era necesario para atender a un despliegue de operaciones bancarias que llegó a adquirir dimensiones globales y masivas durante los años inmediatamente anteriores a la crisis.

Algunas de esas máquinas no están bien documentadas: el administrador de sistemas que las puso en marcha ya no trabaja para el banco, y el nuevo no se atreve a quitarlas porque no conoce bien las dependencias que aquellas pueden mantener con otros elementos funcionales del centro de servidores. Incluso instalar parches y actualizaciones resulta complicado por el riesgo de que las operaciones queden interrumpidas. Y este es precisamente el hueco aprovechado por los intrusos, que hace tiempo dejaron de ser un rebaño de gamberros y script kiddies para convertirse en bandas profesionalizadas de delincuentes informáticos con base en países de Europa Oriental o la lejana Asia, para introducirse en redes corporativas a través de los elementos más expuestos de las mismas.

Por esta vía, que tiene difícil solución mientras no se haga un esfuerzo serio por racionalizar y estandarizar las conexiones y los tendidos de cables, las entidades bancarias suelen experimentar pérdidas de cierta magnitud, consistentes en transferencias no autorizadas, robos de identidad, sustracción de números de tarjetas de crédito y obtención de informaciones internas referentes a valores y salidas a bolsa. Por lo general se evita dar publicidad a estos perjuicios económicos -que dicho sea de paso probablemente no tengan la cuantía de la que se informa en los medios, pero que aun asi suponen un impacto considerable en las cuentas de resultados- por temor a daños mayores en la imagen pública del banco y la confianza de los clientes.

Los piratas informáticos no son genios, sino tan solo gente avispada y oportunista. Tampoco un software actualizado ni los modernos sistemas de detección de intrusos suponen una garantía de seguridad absoluta, mientras siga existiendo ese problema de la complejidad fuera de control. Los cableados estructurados y un buen croquis de conexiones son tan útiles para la seguridad de un sistema como la última solución made in Panda o Symantec. En el fondo no se trata de un problema tecnológico, sino de bricolage.

El secreto del éxito de estos pequeños gigantes de la manzana no estaría tanto en un diseño visionario o una ingeniería que va cinco años por delante de su época como en la existencia de un generoso margen de maniobra económica que hace posible unos logros empresariales en apariencia contradictorios: la mayor cuota de mercado, beneficios colosales, servicio post-venta ejemplar y unas condiciones de garantía modélicas.

La historia del éxito empresarial de Apple es también la de la taiwanesa Foxconn, otro coloso omnipresente en la industria electrónica y poco conocido salvo por las precarias condiciones en que trabaja su personal y determinadas historias de abuso laboral y malos tratos que últimamente han sido muy publicitadas en Internet y los medios de comunicación. Foxconn, con una plantilla total de 1.200.000 empleados, y que dispone de plantas de montaje en Asia, Europa y América Latina, es un fabricante de diseños originales, en otras palabras, alguien que se encarga de resolver los innumerables problemas de industrialización de productos de diseño exclusivo como el iPad de Apple, las consolas Sony o el lector de libros Kindle.

Acerca de la controversia en torno a Foxconn prefiero remitir al lector a otras informaciones más detalladas como la referencia de esta empresa en la Wikipedia o el artículo de Aurelio Jiménez en el Blog Salmón. Más que demagogia lo que procede es una serena reflexión acerca del verdadero valor de las cosas, porque el tema no es nuevo: pastelillos cocinados en la Europa colonial a costa del sufrimiento de esclavos en las plantaciones de caña de Cuba y la Martinica; flores cortadas en Bolivia y Kenia por mujeres que trabajan con salarios ínfimos y llevadas en Avión hasta las tiendas de Amsterdam; Niños trabajando en las fábricas de plástico de Shenzen, para que en los bazares chinos de Madrid se pueda comprar un juego de rotuladores de colores por menos de un euro.

Quizá no exista otra manera de hacer las cosas, e incluso los mismos trabajadores locales estén contentos con la situación, puesto que no conocen otra cosa y la alternativa al sufrimiento que comporta ganar esos modestos ingresos sea mucho peor. Pero la realidad es esa y no debemos perderla de vista si queremos obtener una imagen precisa del mundo, más allá de la publicidad de los artículos electrónicos y las estupideces retóricas del difunto Steve Jobs: para que Escarlata O’Hara organice sus bailes en Tara, con guirnaldas, banderines, lámparas de araña y damas desmayándose en los divanes, siempre hará falta que unos cuantos negros se deslomen trabajando en la cocina y en los establos.

Las tecnologías tradicionales que han venido sucediéndose en la historia de la Humanidad -agricultura, máquina de vapor, electricidad, aeroplanos e incluso la propia revolución digital en sus comienzos- acostumbran a ser evaluadas en primer lugar por su repercusión sobre el mundo material y la base productiva de la civilización. El cambio en las relaciones sociales y la percepción del mundo constituye, si no un resultado, al menos un fenómeno consecutivo de adaptación con interacciones complejas y más o menos inevitables. Internet, por el contrario, es la primera tecnología que, contradiciendo un paradigma de análisis del cambio que permaneció inmutable desde Marx hasta Alvin Toffler y Manuel Castells, transforma directamente la mentalidad del ser humano, su cultura y su ámbito de relaciones sociales, sin haber pasado previamente por el intermediario de los cambios fundamentales en la producción material.

Libros interesantes son aquellos como los que escribía Ortega y Gasset: hacen pensar al lector. En este sentido el de Chatfield, pese a su brevedad y la modestia de sus aspiraciones (servir de simple guía informativa), se puede decir que está de lo más vivo. El comienzo puede resultar aburrido para un lector con cierta experiencia en estos temas. ¿Otro libro con el rollo de costumbre sobre el DARPA, el protocolo TCP/IP, los hiperenlaces de Tim Berners Lee y los garajes donde nacieron Google y la Wikipedia? Pero poco a poco van haciendo su aparición los grandes protagonistas de la escena 2.0: web profunda, ciberguerra, culture jamming, economía virtual, crowdsourcing, realidad aumentada, Internet de las cosas y muchos otros, acompañados de cuadros explicativos, resúmenes y frases en formato titular que facilitan en gran medida su lectura.

Leer este libro de una vez -cosa que puede hacerse en una tarde debido a la brevedad de su extensión- constituye una experiencia de cierta intensidad. Cuando la luz diurna comienza a menguar y el lector ha llegado a los capítulos relativos a la economía de la atención y la necesidad de desconectar, se da cuenta de no solo de la forma en que la tecnología digital influye en su vida, sino de cómo ha cambiado su percepción personal sobre todo esto en el transcurso de unas pocas horas. Más que recomendar un libro de este tipo, yo lo desaconsejaría a quienes se sientan satisfechos con su visión actual del mundo y tengan unas ideas de referencia más o menos fijas sobre Internet y las redes sociales.

Si el lector quiere hacerse una idea de los contenidos y el estilo expositivo del libro, parte del mismo se encuentra expuesto en Google Books.

Moralmente puede que el usuario tenga razón. Pero el realismo político le contradice: Internet no pertenece del todo a los usuarios, y lo que es más importante, tampoco es controlada por ellos. Si esto no se percibe claramente es por la transparencia de la infraestructura de comunicaciones que la hace posible como fenómeno social y de cultura popular. Al igual que el paradigmático “hombre masa” de Ortega y Gasset (y créanme que lamento tener que hablar en estos términos tan crudos y aparentemente antidemocráticos, pero es la verdad), el cibernauta de a pie, en cuanto enciende su ordenador, da por supuesto que se ha conectado directamente con la página principal de Google, su grupo de amigos de Tuenti o el servidor de Amazon. No valora nada más que su propia conveniencia. Interpreta que los adelantos de la técnica están ahí porque sí y no porque alguien se haya tomado el trabajo de crearlos. Más o menos como las bayas silvestres de un arbusto que uno se encuentra yendo de paseo por el campo. El servicio de Internet y el derecho a una conexión sin límites es simplemente algo que se le debe y por lo que en cualquier caso ya ha pagado de sobra a través de la factura telefónica.

Ni se le ocurre pensar que justo al lado de la ventana, donde se encuentra el cajetín de Telefónica al cual tiene enchufado su router ADSL, comienza un entramado de dispositivos y sistemas que tiene más de un siglo de ingeniería a sus espaldas y cuyo mantenimiento cuesta miles de millones de euros. Hablamos de las Redes de Area Extensa, la famosa WAN. Muchas de estas tecnologías no tienen nada que ver con los estándares de Internet. En la WAN no hallaremos por ningún lado al protocolo TCP/IP que figura en todos los primeros capítulos de cualquier manual del ciberactivista. El transporte de paquetes de datos de unas redes a otras se lleva a cabo por medio de tecnologías como ATM, MPLS, o a través de enlaces Gigabit Ethernet, cables de fibra óptica, tendidos eléctricos, guías de ondas y cualesquiera otros artilugios que el ingenio humano llegue a concebir. Y da la casualidad de que las compañías telefónicas son las que han construido, gestionan y tienen la responsabilidad de adaptarlas a los requerimientos de un tráfico que crece de manera exponencial de año en año. Los gobiernos apoyan a estas grandes empresas y las dejan hacer por razones obvias: gracias a ellas se mantiene el entramado de telecomunicaciones sobre el cual se sostiene la civilización moderna.

De modo que la próxima vez que notemos actividad revolucionaria en Twitter o salgan llamas de las páginas web de cualquier activista vocinglero -da lo mismo si desde la progresía o desde la reacción-, debemos reflexionar sobre este simple hecho: el principio de neutralidad, como norma absoluta, no tiene mucho futuro en un mundo en el que tarde o temprano habrá que tomar en consideración los intereses de las grandes compañías de telecomunicaciones. Si estas son las que hacen posible la existencia de Internet y además quienes por eso mismo la controlan, tarde o temprano habrá que admitir la posibilidad de un compromiso, dejándoles que prioricen determinadas modalidades de tráfico para fines comerciales -video, juegos, realidad aumentada o lo que sea- a cambio de mantener abierta, operativa y en perfectas condiciones técnicas la infraestructura que hace posible la existencia de una red de redes. No hablar de esto sería engañar a los cibernautas.

Siglo y medio antes de Twitter los partidarios del telégrafo dijeron que contribuiría a acercar a las naciones del mundo y a democratizar la sociedad. Sus detractores por el contrario avisaron de los nefastos efectos que las frases cortas y sincopadas podían tener para la calidad y la solvencia conceptual del lenguaje. Con la radio, durante los años 20 del siglo pasado, fue todavía peor. Nadie se imaginaba que un invento con semejante potencial igualitario y didáctico terminaría siendo aprovechado por los dictadores para domesticar a las masas. Supongo que no será necesario que hablemos de la televisión.

El libro de Morozov, que a veces resulta algo pesado por la lectura de unos planteamientos argumentales por lo demás necesarios para poner el punto de vista del autor sobre fundamentos teóricos que lo sustenten con una intención de perdurabilidad, sorprende precisamente por el cultivo de los saberes a los que me refería al principio: una apreciable erudición en cuanto a la historia de las ideas políticas (Jefferson, Hobbes, los enciclopedistas franceses de la Ilustración) y un vasto conocimiento en materia de historia de la tecnología (que no escatima citas de sus principales teóricos de los siglos XIX y XX).

Las conclusiones son las que un espectador honesto y con sentido comun tendría en mente a condición de no dejarse influir por la palabrería de los cibergurús y recordar el fracaso de los medios occidentales como instrumentos de propaganda durante la Guerra Fría: las fotocopiadoras y el samizdat no jugaron un papel tan destacado como se cree en el derrumbe de la Unión Soviética, y las emisiones televisivas de la Alemania Occidental fueron toleradas e incluso aprovechadas por el régimen comunista de la Alemania del Este para entretener a su ciudadanía y mantenerla apartada de tentaciones subversivas. Una estrategia muy parecida, por cierto, es la que siguen hoy en día Vladimir Putin y el Partido Comunista chino con respecto al despliegue y la utilización de Internet en sus propios países. De este modo el potencial democratizante y revolucionario de la red se ve muy menguado por su capacidad para servir como fuente de entretenimiento barato para las masas.

Y también, tal es la conclusión del libro, que lógicamente muchos se resistirán a admitir, por el hecho de que las mismas tecnologías de comunicación que la disidencia utiliza para organizar su protesta pacífica sirven también, quizá con mayor grado de eficacia, a los gobiernos autoritarios para conservar y consolidar su poder. Quizá sea pronto para decir que ha llegado el fin del ciberutopismo y de todas esas chorradas que se escriben acerca de Facebook y Twitter como herramientas de democratización. Pero no lo es en cualquier caso para hacer una reflexión sobre el tema.