Posts tagged ‘confidencialidad’

14/06/2010

Robo de información personal mediante software P2P

Imagine que hemos sorprendido una vez más con las manos en la masa al botones de la redacción, entrometido donde los haya y peligrosamente diestro en el manejo de herramientas informáticas. ¿Los cargos? Fisgonear en el e-mail del presidente y la correspondencia privada del director. Sin embargo, temerosos de lo que pueda haber averiguado, y como no hay enemigo pequeño, decididmos sustituir el despido procedente por una sanción disciplinaria que le disuada de ir al sindicato llevando algunos papeles no demasiado limpios del Consejo de Administración. Por consiguiente queda restringido el acceso del botones a la mayor parte de los servicios críticos de la red informática: se le confiscan sus distribuciones Live de Linux, no podrá instalar software en ningún ordenador, ni utilizar herramientas de administración. Su cuenta de correo electrónico queda cancelada, y desde su estación de trabajo en la garita de los conserjes no podrá conectarse a la intranet de la empresa. Siendo más estrictos aun, se le impide incluso utilizar Google cuando sale a Internet.

¿Hemos conseguido neutralizar a este peligroso individuo? Depende: en este caso tal vez se lo hayamos puesto difícil para regresar a la red corporativa, pero no lograremos impedir que se convierta en un incordio para terceros, porque el informático de la casa olvidó quitarle un popular programa de intercambio de archivos que funciona con los protocolos de dos extensas redes –eD2k y Kademlia– en las que millones de usuarios intercambian archivos. Marcando casillas correspondientes al tipo de documentos y mediante consultas creativas, resulta posible conseguir no solo canciones y películas, sino información de la más variada índole: correspondencia comercial y privada, hojas de cálculo Excel con nóminas y estados financieros, carnets de conducir, números de la Seguridad Social, tarjetas de crédito, historiales médicos, archivos de configuración de ordenadores y redes e incluso contenedores *.PST con el correo de clientes Outlook.

Según la empresa de seguridad informática Sophos, la Comisión Federal de Comercio de EEUU lleva algún tiempo advirtiendo a empresas y organismos públicos de ese país de los peligros que representa el P2P. Las redes de intercambio de archivos posibilitan la fuga de datos no solo en el puesto de trabajo, sino en el hogar de los empleados, donde estos también acostumbran a trabajar cada vez con mayor frecuencia con documentos de sus empresas. Si no está configurado correctamente -algo que es mucho pedir para la mayor parte de los usuarios-, un programa popular de intercambio de archivos como Kazaa, eMule, Limewire o Acquisition puede filtrar a Internet documentos personales que su propietario preferiría mantener guardados. Esto sucede por la falta de precaución a la hora de habilitar las carpetas y directorios compartidos, y que por lo tanto habrán de hallarse expuestos a la red. Un usuario bien intencionado puede marcar como de uso comun la carpeta C:\Mis documentos, sin darse cuenta de que no solo estarán a disposición del público los MP3 y AVIs que se descarga, sino todo lo demás. Si lo que se comparte es la carpeta raíz C:\, entonces no habrá rincón de su ordenador que no sea visible desde Internet.

Esta modalidad de hacking con software P2P es poco conocida pese a que no requiere más que conocimientos básicos y tampoco se necesita trabajar mucho para obtener los primeros resultados. Durante el fin de semana me he entretenido haciendo pruebas con Limewire, programa de instalación y manejo muy simples basado en la red Gnutella. Poniendo *.PDF como término de búsqueda llegué a una heterogenea colección compuesta por gran número de documentos, desde libros de filosofía hasta números atrasados de Playboy pasando por informes financieros, trípticos publicitarios y manuales de uso para toda clase de aparatos. El rastreo de documentos de texto con extensiones *.TXT, *.CONF y *README permite localizar archivos de configuración de sistemas Windows y Linux, y en ocasiones hasta servidores de empresas. Lo más entretenido -si se me permite el tono frívolo- fue cuando al tratar de localizar documentos de Ms-Word con extensiones *.DOC y *.DOCX dí con una colección completa de exámenes de Historia Contemporánea pertenecientes a un centro de educacíón secundaria de Estados Unidos. En el apartado “Propiedades” de la mayor parte de ellos figuraban el nombre y el apellido de una persona con todos los visos de ser el tutor o el jefe de estudios. No me costó mucho localizar su perfil en Facebook y le mandé un mensaje de advertencia, en caso de que la exposición de todo este material a Internet no fuera intencionada.

El ejemplo anterior pone de manifiesto hasta qué punto resulta posible obtener información de las fuentes menos esperables, combinando las configuraciones defectuosas de un gran número de máquinas pertenecientes a usuarios poco experimentados con las posibilidades que ofrecen los motores de búsqueda y las redes sociales. Dudo que la mayor parte de los usuarios sean tan imaginativos como para aprovechar este potencial, pero no por ello deja de existir el peligro. Numerosas empresas e instituciones prefieren hacer la vista gorda en cuanto al uso de software P2P por parte de sus empleados, pero deben ser conscientes del riesgo de pérdida de información sensible al que se hayan expuestas. El uso de aplicaciones de vigilancia, la especificación de configuraciones mínimas en las estaciones de trabajo (¡solo software imprescindible: Office, contabilidad, gestión de proyectos, navegador y herramientas de backup!) y una política de bloqueo de puertos pueden ser de gran ayuda, pero en última instancia lo más recomendable es fortalecer la ética de trabajo, las buenas prácticas en cuanto al trabajo con ordenadores y una mayor conciencia relativa a la seguridad informática y el peligro de pérdida de datos en el entorno laboral.

10/04/2010

Los archivos personales de la reina

Queen Astrid as a young girl.

Supo que llegaba cuando notó el movimiento de gente en la antesala. A través de la puerta abierta pudo ver a los oficiales cuadrándose mientras los funcionarios civiles se inclinaban respetuosamente -los hombres- o se llevaban la mano al pecho -mujeres-. La reina y sus acompañantes se detuvieron para saludar al personal. Un momento después ella estaba en la sala, avanzando con paso resuelto hacia la mesa electrónica de mapas. El capitán Mendesy no podría decir en qué instante exacto entró, porque le distrajo un aviso urgente en su comunicador. Cuando la vio estaba ya dentro. Mendesy se puso firme y saludó. Su auxiliar la teniente Przikow hizo lo mismo.

Mendesy sabía que las imágenes de televisión no eran puro teatro, porque la conocía bien. Astrid Vargas, soberana de Sarka recién coronada, última descendiente de la estirpe milenaria de los Málaga, no parecía la capitana general de unas Fuerzas Armadas en las que servían cuarenta y cinco millones de personas, con miles de naves y decenas de bases dispersas por todo aquel sector de la galaxia. Mirándola con su uniforme azul, sin charreteras ni condecoraciones, costaba creer que aquella mujercita delgada y aparentemente frágil de treinta y pocos años, uno setenta de estatura y pelo castaño recogido pulcramente en una cortísima cola de caballo, fuera uno de los estrategas militares más brillantes de todos los tiempos. La misma capitana Vargas que con una sola nave y en menos tiempo del que se tarda en escribir un informe de inspección de municiones había pulverizado la Junta Militar, disuelto a los Grenadier -especie de milicia juvenil similar al Youngfolk de la emperatriz Phorenice- y acabado con el régimen dictatorial de unos militarotes que desde hacía tres años tenían aterrorizada a la población civil. Su aspecto era más bien el de una maestrilla de provincias o la encargada de la biblioteca municipal. Mendesy imaginó que los cronistas de sociedad de Leuzen, particularmente los que hablaban en el talkshow de la famosa locutora Jean Manterola, no tardarían en incluirla en la sección de famosas peor vestidas del planeta.

Dos hombres acompañaban a la reina Astrid. Uno de ellos era su secretario personal, el teniente Aziz-Ponomarenko, individuo bien parecido, de aspecto sensible, circunspecto e inconfundiblemente homosexual. Mendesy reconoció en el acto al otro, ya que pese a llevar uniforme sarcano respondió al saludo militar no en la forma típica de Sarka, inclinando el cuerpo hacia adelante, sino con la cabeza erguida, con más bien escasa empatía y tieso como un palo. Se trataba nada menos que del legendario comandante Kaal Djal, de la flota interestelar de Las Islas.

Disculpen si les he hecho esperar, señores”, dijo la reina con una voz suave pero firme que adolecía de cierto ceceo, “Hoy tengo una agenda apretada”. Y no era ninguna excusa. En el mismo día la reina Astrid había abierto el Parlamento de Sarka, se había hecho coronar por un fraile de la Abadía de San Juan de Leuzen y había tomado como consorte a este personaje, el comandante Djal, que según decían llevaba algún tiempo navegando a las órdenes de ella como asesor táctico a bordo del navío Magdeburg.

Aun no es oficial”, explicó la reina Astrid, mientras pulsaba algunos iconos en la pantalla táctil de la plataforma de mapas, “En estos momentos, según informan nuestros espías en Betelgeuse, la emperatriz Phorenice ha decidido declararnos la guerra, pero no hará el anuncio oficial hasta el lunes por la mañana. Muy amable al no querer arruinar el día de mi boda ¿No creen?”

Aziz-Ponomarenko le pasó las gafas y ella se las puso para buscar mejor en la pantalla, con el mismo movimiento de la mano que había empleado cuando se dispuso a leer su discurso ante los diputados del Parlamento. Hay gestos triviales que ponen a toda una nación a tus pies, y aquel fue uno de ellos. Sus señorías de la Comisión Permanente estaban preparados para oir trompetas y tambores anunciando la llegada de una princesa guerrera que viene a apoderarse de los depojos de la Junta Militar y reemplazar una tiranía por otra. Entonces descubren en la tribuna a una muchacha normal, con vista cansada, algo tímida, que después de examinar sus papeles durante un minuto interminable, cierra de pronto la carpeta, la deja a un lado y comienza a contar historias sentimentales de cuando era cría y su padre, el Consejero Vargas, la traía a los debates de la Comisión Parlamentaria Permanente.

Astrid explicó que fingía escuchar las deliberaciones por respeto a su padre, pero que en realidad solo pensaba en el batido de arándanos que él le compraba después en la Plaza Mayor. Dijo que aquellos eran recuerdos entrañables para ella. Que esperaba que después de un período de convulsiones y zozobra la vida recuperara su pulso y alegría de otros años, y que se volvieran a escuchar en aquella gloriosa cámara debates como los que ella había presenciado cuando niña. Que el Parlamento era, junto con el pueblo y la monarquía, uno de los pilares de la nación. Que como hija de la hermana del rey Harald y puesta por este en el primer lugar dentro de la línea de sucesión, ella estaba dispuesta a ser reina, pero solo si el Parlamento volvía a ser lo que fue. Porque sin el Parlamento no estaba dispuesta ni siquiera a permitir que la coronasen. Acto seguido declara terminado el estado de excepción, devolvió al Parlamento sus poderes, descendió de la tribuna, saludó respetuosamente a la Presidenta de la Cámara y la democracia constitucional comenzó a funcionar de nuevo.

Aquella era la reina Astrid. Igual que cuando se la conocía por el nombre de capitana Vargas, iba siempre al grano, y no paraba quieta. Después de abrir unos cuantos directorios y desplegarlos ordenadamente sobre la pantalla táctil, tecleando ágilmente las claves de acceso, la reina preguntó al oficial:

Mendesy, ¿Se acuerda de la operación Bulldog? Usted trabajó en ella conmigo, cuando estaba en el estado Mayor.”

Sí, señora, de eso hará unos cuatro años. Era un plan secreto para atacar la tecnoestructura del planeta principal del sistema Betelgeuse, donde se encuentra Trantor, la capital del Imperio. Usted propuso que en vez de utilizar las estrellas de combate para llevar los aviones hasta el objetivo y naves civiles para recogerlos una vez realizado el blitz, se hiciera al revés: transportando los cazas hasta el objetivo dentro de cargueros pilotados por gitanos del espacio, y después enviando dos estrellas de combate que saltarían de regreso tras haber rescatado a los pilotos”.

Asi es”, dijo la reina, “El plan fue rechazado por el Almirantazgo porque no les gustaba la idea de trabajar con gitanos del espacio. Pero ahora lo necesitamos. Cuando la emperatriz Phorenice nos declare la guerra intentaré solucionar el conflicto por la vía diplomática, pagando el precio más alto que nos podamos permitir con tal de preservar la paz. Pero si las negociaciones no dan resultado al menos ganaremos tiempo para organizar una acción bélica que nos permita llevar la iniciativa. Será meramente testimonial, ya que no podremos destruir más que unos pocos satélites de comunicaciones, dañar un muelle de reparación de naves y cosas por el estilo, pero tendría un efecto demoledor en la moral del enemigo. Objetivos y centros vitales destruidos en la capital del imperio, sobre la mismísima terraza de la emperatriz Phorenice. La operación Bulldog está hecha y verificada el líneas generales. Lo único que necesitamos es actualizar los detalles.”

Pero señora”, objetó Mendesy. “Siguiendo el protocolo de seguridad que establecimos en su día usted y yo, toda esa documentación fue destruida cuando la Junta Militar se hizo con el poder: originales, copias de respaldo, referencias en el archivo, enlaces en el holobanda del Almirantazgo, metadatos. No quedó un solo bit. Bulldog tendría que ser elaborada de nuevo…”

Está equivocado, señor Mendesy”, replicó la reina. “Guardé una copia de Bulldog en mis archivos personales.”

¿Una copia? ¡Qué me dice! Revisamos sus archivos. Analizamos todo lo que había en su sección particular de la nube de datos: libros, música, fotos de familia, audiovisuales, sus ejercicios de piano de cuando niña. Utilizamos detectores de esteganografía, criptología cuántica y codificación Gutmann. Entiéndame bien, señora: no para husmear en sus asuntos, sino tan solo para verificar el cumplimiento de los protocolos de seguridad…”

Mendesy, lo sé”, le detuvo la reina, poniendo su mano encima del antebrazo de él. “Y también sé que corrieron un riesgo haciéndolo”. Otro de esos gestos de proximidad con los que la joven soberana conquistaba el corazón de un pueblo orgulloso de su condición pequeñoburguesa y harto de la paranoia grandilocuente de un régimen fascista de opereta. “Pero esa copia existe. Aquí la tiene”.

Con un hábil movimiento de su mano la reina Astrid trajo desde el fondo de la pantalla un directorio que al quedar en primer plano mostró claramente su rótulo: Recetas de cocina antiguas.- “¿Le gusta la cocina gitana, ya sabe, arroz con huevos y col fermentada, sopa fría de hortalizas, carne de porcino con guarnición de verdura? Era la preferida de San Juan de Leuzen. Se hizo muy popular durante los primeros siglos de la colonia, porque la maquinaria con que levantaron la abadía y el primer reactor de fusión que utilizaron para el suministro de energía fueron transportados desde la Federación e instalados por gitanos del espacio, que montaron un campamento enorme en lo que entonces era el centro de la primitiva capital. Fíjese en este archivo”.

¡No me diga que Bulldog está aquí! ¡A la vista de todo el mundo!”.

No tanto, Mendesy. Jamás he conocido un militar que se interese por la cocina gitana. A decir verdad, no sé de ninguno que entienda de cocina. Si hubiese utilizado criptografía avanzada para esconder este archivo, los sicarios de la Junta no habrían tardado ni dos minutos en dar con él.”

Los acompañantes de la reina, que la conocían mejor, intercambiaron una breve mirada mientras el capitán Mendesy y la teniente Przikow se inclinaban estupefactos sobre la mesa de mapas. Mendesy pasó las páginas una por una. Tras las quince primeras, después de unos cuantos recuadros de texto con ingredientes y videos de bandejas bien pertrechadas, el documento adquirió de pronto el formato característico de los impresos de la flota, exhibiendo el título y el índice de contenidos del informe sobre la operación Bulldog.

El lugar perfecto para esconder algo es el más obvio”, concluyó la reina Astrid. “Cuando era niña mi padre me leyó un cuento escrito antes de que se fundara la Federación -todavía me acuerdo del titulo: La carta robada, de un poeta llamado Edgar Allen Poe– que trataba del tema. En fin, caballeros: ya tienen su copia de Bulldog. Comiencen a trabajar de inmediato, porque la emperatriz Phorenice está a punto de echársenos encima. En caso de llegar a las manos nosotros debemos ser quienes demos el primer golpe. Si le enseñamos las fauces a esa bruja impía y devoradora de niños, tal vez se lo piense dos veces antes de lanzar sus estrellas de combate contra un planeta respetable como el nuestro.”

¡A la orden, señora!”

El lunes por la tarde volveré de mi viaje de bodas. Los espero en mi despacho el martes a las ocho de la mañana.”

03/09/2009

Protegiendo datos confidenciales con TrueCrypt

truecryptSi eres abogado, ingeniero, o desempeñas un cargo público con competencias en la gestión de informaciones de acceso reservado, intenta imaginar la siguiente situación: para seguir trabajando desde tu domicilio en un caso importante has puesto todos tus datos en un pendrive de gran capacidad, o en tu último modelo de disco duro externo recién adquirido. En el camino lo pierdes: te lo has dejado sin querer en el mostrador de la gasolinera, o alguien te lo roba en el metro. Hay que reconocerlo: es bastante difícil que se de el peor de los casos, que los datos lleguen a poder de la competencia u originen un problema legal. Lo más probable es que el nuevo propietario se limite a reformatear el soporte y se sirva de él para sus propios fines. Pero de cualquier modo, y esto no deja de ser humillante, ahora mismo un individuo desconocido, en la intimidad de su cuarto, se regocija con los detalles morbosos de un caso de divorcio, ha conseguido la lista de tus clientes de telefonía móvil, o las hojas de mantenimiento de la piscina y del cuarto de máquinas del hotel, o intenta adivinar qué contienen todos esos archivos CAD del nuevo troquel en el que tu empresa lleva meses trabajando.

Todo esto se puede evitar con TrueCrypt, una herramienta gratuita y fácil de manejar, descargable desde el sitio web del desarrollador y con un excelente manual en castellano patrocinado por Kriptopolis. TrueCrypt funciona generando volúmenes encriptados en los que se puede cifrar prácticamente todo: desde archivos sueltos hasta la propia partición del sistema operativo (en Windows XP y Vista), pasando por carpetas, volúmenes e incluso discos duros completos. Dispone de un número de algoritmos de cifrado para elegir (AES, Serpent, Twofish) y también admite la creación de volúmenes ocultos, para dificultar todavía más la labor de mirones y hackers. El manejo es simple e intuitivo, tanto en Windows como en Linux. Una vez montados los volúmenes, el acceso es transparente, con posibilidad de copiar y arrastrar. El único defecto estético es la presencia visible de la papelera en el directorio raíz.

Utilizo TrueCrypt desde hace meses, y doy fe de que la inversión inicial de tiempo en el aprendizaje del mismo -que tampoco es gran cosa- queda de sobra compensada por las ventajas en cuanto a seguridad. Para quienes acostumbrar a trasladar información confidencial de la oficina a casa y viceversa, el perjuicio económico provocado por la pérdida de un soporte queda limitado a la reposición del hardware. Cuando el pelafustán que se lo llevó lo enchufe a su ordenador no verá nada, tan solo una unidad sin formatear. Ni siquiera con un editor hexadecimal podría llegar hasta los archivos, ya que todo está encriptado.

26/08/2009

Escuchas telefónicas y abuso de las instituciones

cospedal¿Cuántos de los lectores saben que en España los Cuerpos de Seguridad del Estado, es decir Policía Nacional, Guardia Civil, policías autónomas e incluso las Fuerzas Armadas, no necesitan una orden judicial para intervenir las comunicaciones telefónicas? A este respecto existe tan solo una normativa, la Ley 11/2002 de 6 de mayo que regula el funcionamiento del Centro Nacional de Inteligencia. Vemos demasiadas películas americanas. Por ello la primera reacción del público, característica de pueblos estúpidos y conformistas como el nuestro, fue llevarse las manos a la cabeza cuando María Dolores Cospedal se puso a buscar micrófonos en su despacho como una posesa y acusó al gobierno de estar pinchando teléfonos en Génova 13. “Si tienen pruebas que vayan al juzgado”, decía la gente. Un alterado Ministro del Interior se rasgó las vestiduras y habló de gravísimas infamias y falta de responsabilidad. Pero la cosa ha quedado en estival sierpe: nadie emprende acciones judiciales. Por buenas razones: si los unos en ningún caso han infringido la ley, aunque fueran culpables de la villanía que se les imputa, mal podría hacer valer la otra sus acusaciones, aun en el caso de que pudiera demostrarlas.

Tales pruebas no las va a encontrar la Sra. Cospedal, por más que ponga patas arriba su despacho y el rellano de la escalera. Los apaños chapuceros con pinzas metálicas, los cables tras el espejo del baño y los micrófonos inalámbricos son cosa del pasado. Ahora se emplean medios mucho más sofisticados: hacking informático, rootkits instalados por la mujer de la limpieza, ataques man-in-the-middle, la decodificación del GSM mediante tecnología israelí y, sobre todo, la interceptación directa de llamadas, tanto de fijos como de móviles, en las mismas centralitas digitales de la compañía de teléfonos.

Desde el año 2000 el gobierno español, en colaboración con la multinacional Ericsson y la empresa Indra, ha invertido alrededor de cuarenta millones de euros en SITEL, un sistema informático que permite a la policía interceptar directamente llamadas telefónicas en cualquier punto del territorio nacional sin tener que montar previamente dispositivos de escucha. La implantación del sistema se ha llevado a cabo sobre un reglamento del Ministerio de Fomento y no sobre una ley orgánica, que es lo que habría exigido una medida de tan amplia envergadura. Desde hace años Sitel se encuentra en el punto de mira de la Asociación de Internautas. El teniente fiscal de Madrid, Pedro Martínez, elevó en junio de 2005 un informe al Fiscal General del Estado las graves deficiencias jurídicas de Sitel. Según dicho informe las interceptaciones incumplen los requisitos exigidos por el Supremo para ser utilizados como medio de investigación y prueba, por no existir control judicial efectivo, lo cual afectaría a la validez de múltiples procesos. Hasta ahora el silencio ha sido la única respuesta.

Cuando Cospedal dice que se siente espiada por el gobierno yo la creo. Mucha más fe es la que se necesita para creer lo contrario, que siendo tan fácil y no existiendo una cobertura jurídica garantista de ningún tipo para los derechos del usuario telefónico, el gobierno de la Nación no se vea tentado de utilizar unos medios técnicos que le ponen en bandeja no solo las conversaciones de la oposición, sino las de cualquier ciudadano del país. El incidente podría haber servido para iniciar una sana polémica sobre la protección judicial de las telecomunicaciones, pero por desgracia ha degenerado en la rebatiña partidista de siempre.

España aun se encuentra lejos de convertirse en un estado policíaco -aunque no tanto como pensamos-. La realidad de fondo es más banal: la de un partido que intenta hundir a otro que hace esfuerzos desesperados para mantenerse a flote. El Presidente Zapatero llegó al poder navegando sobre una almadía de mentiras. Dijo a los ciudadanos que no había crisis, y vaya si la había. Ahora no sabe lo que hacer y da manotazos a todas partes, utilizando al Fiscal General para sus fines políticos y lo que haga falta.

¿Serían ustedes demasiado duros conmigo si les digo que el gobierno sí está llevando escuchas telefónicas y una labor de espionaje dirigida no solo a la oposición, sino a los restantes grupos políticos? Les propongo que se sumen a la acusación, aunque solo sea por higiene democrática. No se preocupen, el gobierno no es una persona, y no se le puede aplicar el criterio de presunción de inocencia. Es culpable por defecto, asi que pongámosle en la picota. Después se verá si ha habido escuchas o no. Y en este último caso no pediremos disculpas, sino que nos limitaremos a decir: “De acuerdo, gobierno, ya hemos visto que lo estás haciendo bien. Ahora vuelve a lo tuyo y ándate con cuidado porque seguimos vigilándote. Eres tú quien nos perteneces a nosotros y no al contrario”.

Y esto habría que decírselo no solo a Zapatero, sino también a la Sra. Cospedal cuando sea Presidenta del Gobierno.