Posts tagged ‘robo de datos’

03/12/2012

En Onda Vasca sobre el “porno deustensis”

porno_deustoIncidentes como el de la supuesta sustracción de gran número de fotografías de alumnas desnudas a través de un presunto hackeo de la red WiFi de la Universidad de Deusto, y que al final se quedan en lo que realmente son -un desvergonzado bulo y una gamberrada de estudiantes- traen sin embargo consecuencias nefastas al marcar una divisoria en  la evolución de la confianza pública hacia la bondad intrínseca de las redes sociales. Si al final la web 2.0 resulta ser algo tan venal y de baja calidad informativa como los medios tradicionales, apaga y vámonos. También suponen un duro golpe a la reputación de las instituciones y al trabajo de los profesionales que se esfuerzan para construir una presencia digna de sus empresas y centros educativos en Internet y las redes sociales. Finalmente, y es aquí donde se encuentra la más perniciosa de sus externalidades, causan entre los usuarios un hastío contra las tecnologías de la información que repercuten negativamente en la economía y en el desarrollo social.

read more »

19/09/2012

Puntos de acceso WiFi clandestinos

Las tecnologías inalámbricas constituyen sin lugar a dudas un avance irrenunciable para la cultura de la movilidad. Sin ellas aun viviríamos pegados al ordenador de sobremesa, el teléfono fijo y posiblemente incluso al televisor de levanta el culo del sofá y cruza los tres metros y medio de la sala para cambiar de canal. Sin embargo, y como dijo Walt Disney, también es cierto que no hay sueños sin pesadillas, y la satisfacción que el usuario encuentra en su flamante Sony Vaio o en su smartphone de alta generación se ve ensombrecida por riesgos más que probables en el hogar –piggybacking, crackeo de contraseñas WiFi, suplantaciones- y, lo que es peor, en la empresa -robo de datos y espionaje industrial-.

read more »

23/11/2010

¿Quién me pone la pierna digital encima?

En la era digital quien posee conocimientos de tecnología informática tiene mejores cartas que su prójimo para imponerse competitivamente en esa pequeña guerra que es a veces la vida cotidiana, e incluso está en condiciones para hacer a otros la vida difícil en formas que no podrían siquiera imaginar. Hace  tiempo, hallándome de visita en Madrid, tuve ocasión de acudir a un concierto de blues en un pequeño local. Tocaba una banda compuesta por tres jóvenes: guitarra, cantante y solista de contrabajo. El guitarrista había llevado un ordenador portátil con el que realizaba las grabaciones para las maquetas y en cuya pantalla se podía ver el trazado de la señal acústica, en una ventana de trabajo de Audacity, conocido software gratuito que se utiliza para el procesamiento digital de sonido. Sin embargo el intrépido gañán, en vez de regular la señal de entrada para que quedara recogida dentro de los límites de registro del programa, lo que hacía era dejar que la potencia aumentase desmesuradamente hasta quedar fuera de rango -por encima de lo que los ingenieros de sonido llaman “cero digital”-. El resultado era un manchón azul continuo en la pantalla y una grabación penosa, con todos los picos recortados. Luego, al escuchar, la música distorsionaría y perdería todos esos matices que le dan su especial toque, como la fiel reproducción de los timbres o el ataque de los instrumentos. Y lo peor de todo es que no tiene remedio, a diferencia de cuando se graba a un nivel más bajo y se obtiene una onda completa con toda la información digital capturada desde el amplificador, que después se puede procesar y remasterizar de manera conveniente.

Enseguida me di cuenta de cuál podía ser la razón de este modo de hacer las cosas, sobre todo al advertir que durante las pausas entre una canción y otra el guitarrista se inclinaba sobre el ordenador moviendo el ratón de aquí para allá y haciendo acordes, con el evidente propósito de calibrar la onda producida por su instrumento. El propósito de aquella extraña incompetencia era elaborar unas grabaciones en las que se pudiera percibir a la guitarra sonando con elegancia y pulcritud sobre una cacofonía de voces distorsionantes, para después pasearla entre los agentes de los grupos y lograr que tras haberse fijado en el contraste pensaran: “aficionados de fin de semana, pero caramba, el chico sabe tocar la guitarra”.

Años después: los compañeros del pavo establecidos como viajantes de farmacia mientras al intrépido guitarrista le llaman para telonero en las giras de grupos importantes. “Ya”, dirán, resignados, “pero es que Pirulo valía, me alegro por él…” Y los pobres bobos nunca sabrán la verdad. La época en que nos ha tocado vivir no solo es dura para los artistas, sino también para los analfabetos digitales.

¿Creen que esto no va más allá de lo anecdótico? ¿Qué me dicen de los chicos que engañan a sus progenitores saltándose el sistema de vigilancia parental del ordenador de casa, de los estudiantes de informática que secuestran su router inalámbrico y obtienen acceso gratuito a Internet a través de él, de la banda de mafiosos moldavos que tiene instalado un troyano en su sistema y lo utiliza como relé para enviar correo ilícito o lanzar ataques de denegación de servicio? ¿Y de la canguro que mientras usted estaba con su señora en la presentación de Zinebi clonó varias tarjetas de crédito con un microordenador como los de Eskola 2.0 y un lector portátil USB? ¿Y del agente de seguros que se enteró de los puntos que le faltan introduciendo el número de su DNI en un formulario web de la Dirección General de Tráfico –cuando aun se podía hacer semejante barbaridad– , y de un largo etcétera que necesitaríamos un libro entero para citar?

Picaresca y engañifas siempre las hubo. Recuerden las aldeanas que aguaban la leche durante los años 40, el paisano que les abordaba en la calle y les convencía de que era hermano de alguien a quienes ustedes conocían: casualmente se había dejado la cartera en casa y no tenía para pagar el taxi. Y también está el camarero que les recomendó un solomillo riquísimo porque le quedaban tres piezas en la cocina y no sabía cómo darles salida. Y un largo etcétera que no necesitamos citar porque seguro que usted se acuerda bien. La diferencia es que aquellas eran tretas visibles y fáciles de detectar, y no excesivamente dañinas. Hemos vivido con ellas durante generaciones y cualquier persona con un poco de sentido común las ve venir. Es más, como a veces los pícaros las vendían con insolencia y cierto toque artístico, incluso les dejábamos hacer y nos divertíamos con aquel último fulgor de talento escénico de una larga tradición de juglares y charlatanes medievales.

En la economía digital, sin embargo, es difícil ver lo que sucede más allá de nuestras narices. Se trata de un poder nuevo, que nunca antes había existido y que fluye por los cables y el éter en forma de bits y con arreglo a principios científicos abstractos incomprensibles: corrientes eléctricas, ondas hertzianas, tramas Ethernet, flujos de bits… Su potencial para infligir perjuicios es también muy superior, aun en situaciones triviales, incluyendo daños para la solvencia y reputación de las personas. Cuando alguien emplea la tecnología para putearnos no notamos nada, hasta que un buen día, al correr de los años, nos damos cuenta de que nuestra mala suerte crónica no se debe únicamente a la fatalidad: alguien nos ha estado poniendo la pierna encima y se ha estado aprovechando de nosotros para perseguir oscuras y mezquinas finalidades particulares.

La política es otro campo donde la picaresca digital promete. Tengo noticias de un caso a mil kilómetros de aquí, en una ciudad andaluza controlada por un Partido Socialista Obrero Español siempre fiel a los dos principios que más le gustan a esta venerable formación creada para defender el interés de los trabajadores del siglo XIX, los empresarios del XX y los hijos de buena familia del XXI: (i) entrometerse en la vida del ciudadano; y (ii) gastar dinero a carretadas -entiéndase del contribuyente-. En dicha urbe, cuyo nombre no vamos a citar aquí a petición expresa del chivato, el PSOE tiene una ejecutiva local hipertrofiada, con más de ochenta personas en cargos, secretarías, comisiones y grupos de trabajo. Hay departamentos para todos los ámbitos (incluyendo Agricultura y Ganadería, lo cual resulta absurdo con tanto asfalto de por medio hasta el huerto más cercano), a través de los cuales los socialistas andaluces intentan su actividad política sobre el conjunto de la sociedad a todos los niveles y sin dejar un solo resquicio, desde las instituciones de gobierno hasta la ciudadanía de base.

Pues bien, en esta ejecutiva hay un personaje que posee conocimientos de informática por encima del promedio. El individuo en cuestión no solo es administrador de la web de la agrupación socialista, sino que diseña portales, blogs y otras plataformas para los directivos, coordinando desde la Secretaría para la Sociedad de la Información, de la cual es titular, una línea editorial compuesta por los latiguillos propagandísticos de costumbre dirigidos contra los adversarios naturales del socialismo andaluz: el Partido Popular, el Partido Socialista Andaluz y otros socialistas andaluces pertenecientes a facciones rivales dentro del propio PSOE local. De vez en cuando nuestro experto en tecnología digital también hace experimentos con publicidad en las páginas de sus compañeros que él mismo diseñó y en ocasiones administra. He visto variados anuncios en esos blogs. En cierta ocasión me salió uno pidiendo el voto para Cristina Ruiz, candidata del Partido Popular a las municipales del 2011. Resumiendo: un auténtico hacha. Vale la pena seguir la trayectoria profesional de este tipo de hombres -también llamados a veces “community managers”- para entender la política de aquí a cinco años.

En fin, historias aparte a lo que vamos es a la idea principal, que debe ser tenida en cuenta no solo por partidos políticos (sobre todo ahora que algunos de ellos, como el PNV, comienzan a descubrir las Tecnologías de la Información y de la Comunicación), sino también por la gente normal: la incultura digital comporta costes astronómicos en una sociedad que necesita microprocesadores y chips hasta para encender las lámparas de los cuartos de baño y los armarios trasteros. Si usted no sabe informática, sea consciente de que en cualquier momento se la van a dar con queso: no solo la administración que es algo normal y asumido, sino también sus hijos, el vecino de al lado, sus empleados o cualquier otra persona. Los analfabetos tecnológicos están en manos de quienes saben cómo utilizar chismes electrónicos del mismo modo que el nido de un pajarito decente se encuentra a merced del inmisericorde y tramposo cuco. Esto seguirá siendo asi durante muchos años. Existe poder en manos de gente que no siempre es buena, y tarde o temprano alguien se servirá de él para gorronear un wifi, hacer compras gratis por Internet o para hacer el mal porque sí.

Esto no quiere decir que usted, a sus años, tenga que ir y matricularse en Telecos. Faltaría más. Simplemente utilice su sentido común y dése cuenta de que pasó a la historia todo ese teatro de lecheras estraperlistas y tipos populares dando sablazo a su hermana la estanquera. Se nos viene encima una nueva oleada de artífices del engaño, que son mucho más difíciles de detectar y, lo peor de todo, no tienen ni puñetera gracia.

16/11/2010

Reputación empresarial y “Actos de Dios”

En el año 2006 una parte importante de las empresas norteamericanas -algunas estimaciones la cifran en un 50%- admitió haber sufrido pérdidas de información vital para el negocio en el transcurso de los 12 meses anteriores. La sustracción de archivos confidenciales (sobre todo con información personal sobre clientes) supone un severo perjuicio para aquellas organizaciones a las que se supone expertas en la gestión de datos confidenciales, como bancos, portales de subastas, librerías online, etc. Del menoscabo de la confianza no tarda en seguirse una sangría de dinero, por efecto de de la pérdida de ventas, multas impuestas por la autoridad e innumerables pleitos y conflictos jurídicos que obligan a pagar minutas astronómicas a los abogados. Además del robo de datos existen otras maniobras que pueden dañar seriamente el prestigio de la empresa: la piratería de producto, el phishing basado en la imitación fraudulenta de logos y portales corporativos y la instalación de código maligno en los servidores web. Un solo incidente de seguridad puede llegar a costar millones de dólares. La publicidad negativa que genera, con la pérdida subsiguiente de prestigio de la marca, los gastos en defensa legal y la pérdida de cuota de mercado en favor de la competencia, no son riesgos meramente anecdóticos sino reales como lo prueba la sección de economía de cualquier periódico.

La empresa moderna se halla expuesta a una competencia brutal en cualquier segmento de mercado en el que decida trabajar. A su vez el cliente se encuentra sometido a un bombardeo incesante de publicidad y consultoría con el objeto de persuadirle para que compre tal o cual servicio. Este ataque por parte de los departamentos de marketing lo irrita, confunde y vuelve impredecible ante las diversas opciones de compra que se le presentan. Por lo general el cliente tenderá a comprar de una casa que le resulte conocida antes que de otra que no. De ahí el valor de las marcas y el hecho de que estas posean hoy una importancia estratégica mucho mayor que en ningún otro momento de la historia.

Los incidentes de seguridad y el robo de datos afectan a las marcas en el sensible entorno de su credibilidad. Porque en los tiempos que corren la reputación no solo es importante. La reputación lo es todo. Sin embargo, a diferencia de las catástrofes naturales, guerras, huelgas salvajes y resto de esos incidentes que en los contratos de seguro figuran mencionados como “actos de Dios”, la pérdida de información en las empresas se puede evitar mediante la introducción de políticas, buenas prácticas y una tecnología de seguridad adecuada. El que quede tanto por hacer, pese a las escalofriantes estadísticas de la delincuencia informática que se van acumulando año tras año, no quiere decir que la prevención sea algo costoso o técnicamente complicado, sino más bien que la negligencia, la estupidez y la tendencia a procrastinar del ser humano también deben ser incluidas en ese apartado contractual referente a los Actos de Dios.

14/06/2010

Robo de información personal mediante software P2P

Imagine que hemos sorprendido una vez más con las manos en la masa al botones de la redacción, entrometido donde los haya y peligrosamente diestro en el manejo de herramientas informáticas. ¿Los cargos? Fisgonear en el e-mail del presidente y la correspondencia privada del director. Sin embargo, temerosos de lo que pueda haber averiguado, y como no hay enemigo pequeño, decididmos sustituir el despido procedente por una sanción disciplinaria que le disuada de ir al sindicato llevando algunos papeles no demasiado limpios del Consejo de Administración. Por consiguiente queda restringido el acceso del botones a la mayor parte de los servicios críticos de la red informática: se le confiscan sus distribuciones Live de Linux, no podrá instalar software en ningún ordenador, ni utilizar herramientas de administración. Su cuenta de correo electrónico queda cancelada, y desde su estación de trabajo en la garita de los conserjes no podrá conectarse a la intranet de la empresa. Siendo más estrictos aun, se le impide incluso utilizar Google cuando sale a Internet.

¿Hemos conseguido neutralizar a este peligroso individuo? Depende: en este caso tal vez se lo hayamos puesto difícil para regresar a la red corporativa, pero no lograremos impedir que se convierta en un incordio para terceros, porque el informático de la casa olvidó quitarle un popular programa de intercambio de archivos que funciona con los protocolos de dos extensas redes –eD2k y Kademlia– en las que millones de usuarios intercambian archivos. Marcando casillas correspondientes al tipo de documentos y mediante consultas creativas, resulta posible conseguir no solo canciones y películas, sino información de la más variada índole: correspondencia comercial y privada, hojas de cálculo Excel con nóminas y estados financieros, carnets de conducir, números de la Seguridad Social, tarjetas de crédito, historiales médicos, archivos de configuración de ordenadores y redes e incluso contenedores *.PST con el correo de clientes Outlook.

Según la empresa de seguridad informática Sophos, la Comisión Federal de Comercio de EEUU lleva algún tiempo advirtiendo a empresas y organismos públicos de ese país de los peligros que representa el P2P. Las redes de intercambio de archivos posibilitan la fuga de datos no solo en el puesto de trabajo, sino en el hogar de los empleados, donde estos también acostumbran a trabajar cada vez con mayor frecuencia con documentos de sus empresas. Si no está configurado correctamente -algo que es mucho pedir para la mayor parte de los usuarios-, un programa popular de intercambio de archivos como Kazaa, eMule, Limewire o Acquisition puede filtrar a Internet documentos personales que su propietario preferiría mantener guardados. Esto sucede por la falta de precaución a la hora de habilitar las carpetas y directorios compartidos, y que por lo tanto habrán de hallarse expuestos a la red. Un usuario bien intencionado puede marcar como de uso comun la carpeta C:\Mis documentos, sin darse cuenta de que no solo estarán a disposición del público los MP3 y AVIs que se descarga, sino todo lo demás. Si lo que se comparte es la carpeta raíz C:\, entonces no habrá rincón de su ordenador que no sea visible desde Internet.

Esta modalidad de hacking con software P2P es poco conocida pese a que no requiere más que conocimientos básicos y tampoco se necesita trabajar mucho para obtener los primeros resultados. Durante el fin de semana me he entretenido haciendo pruebas con Limewire, programa de instalación y manejo muy simples basado en la red Gnutella. Poniendo *.PDF como término de búsqueda llegué a una heterogenea colección compuesta por gran número de documentos, desde libros de filosofía hasta números atrasados de Playboy pasando por informes financieros, trípticos publicitarios y manuales de uso para toda clase de aparatos. El rastreo de documentos de texto con extensiones *.TXT, *.CONF y *README permite localizar archivos de configuración de sistemas Windows y Linux, y en ocasiones hasta servidores de empresas. Lo más entretenido -si se me permite el tono frívolo- fue cuando al tratar de localizar documentos de Ms-Word con extensiones *.DOC y *.DOCX dí con una colección completa de exámenes de Historia Contemporánea pertenecientes a un centro de educacíón secundaria de Estados Unidos. En el apartado “Propiedades” de la mayor parte de ellos figuraban el nombre y el apellido de una persona con todos los visos de ser el tutor o el jefe de estudios. No me costó mucho localizar su perfil en Facebook y le mandé un mensaje de advertencia, en caso de que la exposición de todo este material a Internet no fuera intencionada.

El ejemplo anterior pone de manifiesto hasta qué punto resulta posible obtener información de las fuentes menos esperables, combinando las configuraciones defectuosas de un gran número de máquinas pertenecientes a usuarios poco experimentados con las posibilidades que ofrecen los motores de búsqueda y las redes sociales. Dudo que la mayor parte de los usuarios sean tan imaginativos como para aprovechar este potencial, pero no por ello deja de existir el peligro. Numerosas empresas e instituciones prefieren hacer la vista gorda en cuanto al uso de software P2P por parte de sus empleados, pero deben ser conscientes del riesgo de pérdida de información sensible al que se hayan expuestas. El uso de aplicaciones de vigilancia, la especificación de configuraciones mínimas en las estaciones de trabajo (¡solo software imprescindible: Office, contabilidad, gestión de proyectos, navegador y herramientas de backup!) y una política de bloqueo de puertos pueden ser de gran ayuda, pero en última instancia lo más recomendable es fortalecer la ética de trabajo, las buenas prácticas en cuanto al trabajo con ordenadores y una mayor conciencia relativa a la seguridad informática y el peligro de pérdida de datos en el entorno laboral.

17/12/2009

Cómo desactivar puertos USB en Windows

La comodidad de los dispositivos USB es una ventaja solo superada por los inconvenientes que supone para la seguridad de las empresas. En los últimos años la proliferación de dispositivos (pendrives, tarjetas de memoria, discos externos, cámaras digitales, iPods, etc.) ha permitido que el robo de datos deje de ser una habilidad hackeril y premeditada para convertirse en cosa de bobos, algo verdaderamente simple, espontaneo y al alcance de cualquiera, incluyendo personal externo que en cualquier momento, armado de una llave USB, podría acceder a los ordenadores, insertarla en esa batería de conectores en el frontal tan práctica con la que vienen equipados la mayor parte de los PCs que se fabrican en la actualidad y robar datos de la empresa. No solo lo pueden hacer el empleado desleal y el estudiante en prácticas: también el proveedor, el vigilante jurado y hasta la mujer de la limpieza.

¿Harán ustedes como aquel jefe de personal que inutilizó los conectores USB con una pistola de silicona? No es mala idea, salvo que después los vuelvan a necesitar. Afortunadamente existen métodos más sutiles, como desactivar la carga de controladores USB. Primero vamos a citar la solución heroica y virtuosa, a la que no deberían recurrir en ningún caso, a no ser que sepan lo que están haciendo y dispongan de un buen backup, y que consiste en cambiar el valor de una clave del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Cambiando Start = 3 a Start = 4 quedará bloqueado el acceso al sistema desde cualquier dispositivo USB. El ordenador ni siquiera lo verá al ser insertado. Un posible atacante pensará que el sistema no funciona bien; al cabo de algún tiempo se pondrá nervioso y desistirá de su intento. Para reactivar el acceso USB no hay más que restablecer el valor originario de la clave Start. Esto funciona bien en Windows XP, y supongo que también en Vista.

La otra forma de solucionar el problema es recurrir a algún programa que  haga este trabajo de una manera cómoda y sin riesgos, como por ejemplo IntelliAdmin. De paso recomiendo una visita a esta página web con herramientas diseñadas para optimizar la administración del sistema Windows.

03/09/2009

Protegiendo datos confidenciales con TrueCrypt

truecryptSi eres abogado, ingeniero, o desempeñas un cargo público con competencias en la gestión de informaciones de acceso reservado, intenta imaginar la siguiente situación: para seguir trabajando desde tu domicilio en un caso importante has puesto todos tus datos en un pendrive de gran capacidad, o en tu último modelo de disco duro externo recién adquirido. En el camino lo pierdes: te lo has dejado sin querer en el mostrador de la gasolinera, o alguien te lo roba en el metro. Hay que reconocerlo: es bastante difícil que se de el peor de los casos, que los datos lleguen a poder de la competencia u originen un problema legal. Lo más probable es que el nuevo propietario se limite a reformatear el soporte y se sirva de él para sus propios fines. Pero de cualquier modo, y esto no deja de ser humillante, ahora mismo un individuo desconocido, en la intimidad de su cuarto, se regocija con los detalles morbosos de un caso de divorcio, ha conseguido la lista de tus clientes de telefonía móvil, o las hojas de mantenimiento de la piscina y del cuarto de máquinas del hotel, o intenta adivinar qué contienen todos esos archivos CAD del nuevo troquel en el que tu empresa lleva meses trabajando.

Todo esto se puede evitar con TrueCrypt, una herramienta gratuita y fácil de manejar, descargable desde el sitio web del desarrollador y con un excelente manual en castellano patrocinado por Kriptopolis. TrueCrypt funciona generando volúmenes encriptados en los que se puede cifrar prácticamente todo: desde archivos sueltos hasta la propia partición del sistema operativo (en Windows XP y Vista), pasando por carpetas, volúmenes e incluso discos duros completos. Dispone de un número de algoritmos de cifrado para elegir (AES, Serpent, Twofish) y también admite la creación de volúmenes ocultos, para dificultar todavía más la labor de mirones y hackers. El manejo es simple e intuitivo, tanto en Windows como en Linux. Una vez montados los volúmenes, el acceso es transparente, con posibilidad de copiar y arrastrar. El único defecto estético es la presencia visible de la papelera en el directorio raíz.

Utilizo TrueCrypt desde hace meses, y doy fe de que la inversión inicial de tiempo en el aprendizaje del mismo -que tampoco es gran cosa- queda de sobra compensada por las ventajas en cuanto a seguridad. Para quienes acostumbrar a trasladar información confidencial de la oficina a casa y viceversa, el perjuicio económico provocado por la pérdida de un soporte queda limitado a la reposición del hardware. Cuando el pelafustán que se lo llevó lo enchufe a su ordenador no verá nada, tan solo una unidad sin formatear. Ni siquiera con un editor hexadecimal podría llegar hasta los archivos, ya que todo está encriptado.