Posts tagged ‘seguridad’

07/01/2013

Infraestructuras críticas amenazadas

infraestructuras-criticas¿Se acuerdan del famoso gusano Stuxnet? ¿Aquel que amenazaba con descentrar los ejes de las centrifugadoras de uranio de Amadinehjad en Irán? No solo ha pasado a la historia por ser una pieza de software maligno de enorme complejidad, sino también por marcar una divisoria en la historia de la criminalidad informática. A partir de ahora nada volverá a ser lo mismo. El público aun no es consciente de la gravedad de la situación. Para explicarlo basta tener en cuenta la cantidad cada vez mayor de instalaciones informáticas, dependencias administrativas y otros servicios importantes para la comunidad que dependen de la interconexión a través de Internet y redes públicas. Lo llaman infraestructuras críticas. Un informe reciente de la empresa de análisis valenciana S2 Grupo nos demuestra hasta qué punto estos bienes tecnológicos y económicos se encuentran amenazados en España.

read more »

10/12/2012

Vulnerabilidades IPv6

ipv61En el artículo de portada de la revista Linux Magazine (Nr. 88: diciembre 2012, monográfico sobre Intrusiones) viene un artículo que debería poner sobre aviso a administradores de sistemas y expertos de seguridad que hayan estado trabajando con herramientas de análisis y monitorización tradicionales (Metasploit, Nmap, etc.). Las modificaciones en módulos de software y otros elementos de la pila de protocolos como consecuencia del despliegue de IPv6 en substitución de la versión antigua del protocolo de red IPv4, desarrollada en 1981 y que se ha quedado obsoleta por falta de direcciones, pueden producir algunos huecos de seguridad que se pensaba bien sellados, obligando a repetir pruebas de escaneo y penetración en numerosos sistemas.

read more »

27/09/2012

Hacker: edición 2012

En 2007 un grupo de autores compuesto por María Teresa Jimeno García, Carlos Míguez Pérez, Abel Mariano Matas García y Justo Pérez Agudín iniciaron en Anaya Multimedia un proyecto que a lo largo de los últimos cinco años se ha traducido en un número de libros sobre seguridad informática, hacking y temas afines. Básicamente se trata de una actualización constante de la misma materia, plasmada en títulos como “Destripa la red” (2007), “Hacker” (Guías prácticas de usuario 2008 y 2010), “Hacker” (Biblia, ediciones 2009 y 2012), “Destripa la red” (2011). El motivo de esta constante republicación de libros con títulos similares no es otro, como el lector podrá fácilmente adivinar, que el vertiginoso avance de las Tecnologías de la Información, que hace que en cuestión de unos pocos años la mayor parte de los contenidos se queden obsoletos.

read more »

19/09/2012

Puntos de acceso WiFi clandestinos

Las tecnologías inalámbricas constituyen sin lugar a dudas un avance irrenunciable para la cultura de la movilidad. Sin ellas aun viviríamos pegados al ordenador de sobremesa, el teléfono fijo y posiblemente incluso al televisor de levanta el culo del sofá y cruza los tres metros y medio de la sala para cambiar de canal. Sin embargo, y como dijo Walt Disney, también es cierto que no hay sueños sin pesadillas, y la satisfacción que el usuario encuentra en su flamante Sony Vaio o en su smartphone de alta generación se ve ensombrecida por riesgos más que probables en el hogar –piggybacking, crackeo de contraseñas WiFi, suplantaciones- y, lo que es peor, en la empresa -robo de datos y espionaje industrial-.

read more »

11/09/2012

Maldito amasijo de cables

Una de las consecuencias del desarrollo de la economía digital es que algunos bienes importantes dejan de tener existencia corporea para convertirse en información. Al desmaterializarse se vuelven vulnerables al robo en mayor medida que cuando eran objetos físicos guardados en almacenes o cajas fuertes. Evidentemente digitalizar una excavadora no tiene mucho sentido, pero tampoco es eso lo que persigue un espía industrial. Al pirata lo que le interesa son los planos de la excavadora o de la máquina especializada -sobre todo si se trata de un último modelo, destinado a la limpieza de oleoductos, la exploración geofísica u otros fines de alto valor añadido-. Una vez sustraidos a través de Internet, aprovechándose de una vulnerabilidad en los sistemas de la víctima, no cuesta nada enviarlos por correo electrónico a China, donde en un oscuro polígono industrial a las afueras de Shenzen una fábrica sin nombre se pondrá a construir versiones baratas del chisme para exportar a países de Africa o América Latina. Naturalmente a precios acordes a la calidad del género imitado.

read more »

25/08/2012

Cuando el Sr. Ministro perdió su iPad

Parece ser que recientemente, en el transcurso de un viaje en el AVE, el Ministro de Interior del Reino de España, Exmo. Sr. D. Jorge Fernández Díaz, perdió un iPad repleto de información confidencial de alto valor sobre la lucha contra el terrorismo y la capacidad operativa de la banda ETA. El ministro notó la ausencia del dispositivo después de regresar a Madrid, cuando el tren ya había dejado la estación con destino a sus talleres de mantenimiento. La policía tuvo que desplegar un aparato de rastreo que, guiado por la señal del GPS que todos estos aparatos llevan incorporada de fábrica, permitió recuperar el iPad en pocas horas. El resto fue relaciones públicas y lavado de imagen. Según parece, la seguridad del Estado no se vio comprometida en ningún momento, ya que según fuentes oficiales el iPad, sobre todo en las últimas versiones equipadas con iOS 5, dispone de un mecanismo que borra la información del dispositivo en caso no introducir la contraseña correcta al cabo de un determinado número de intentos.

read more »

28/10/2011

Si no lo veo no lo creo, y si lo veo tampoco

En el Nr. 75 de Linux Magazine publica Kurt Seifried un artículo sobre seguridad informática de los sistemas de cámaras de videovigilancia que le deja a uno sin habla, o mejor dicho deslumbrado, como en esas películas donde el intruso se sirve de un laser o de cualquier otro truco (interferir la señal de video, poner un trapo encima del objetivo, etc.) para anular la visibilidad en el pasillo que lleva a la cámara acorazada del banco. En resumidas cuentas hay dos soluciones que pese a lo tecnológicamente puntero de las mismas, en realidad no son buenas ideas.

read more »

29/09/2011

Ataque contra routers inalámbricos protegidos con WPA

Hace poco escribí para la revista Linux Magazine un artículo sobre auditoría de redes inalámbricas con herramientas de código libre -concretamente Backtrack 4-. Las pruebas de campo las había llevado a cabo con mi propio router y varias redes del entorno, un edificio de oficinas en el centro de Bilbao, por supuesto con previa autorización de sus titulares. Los experimentos de penetración simple, sin entrar en detalles, se realizan con un paquete de utilidades llamado Aircrack-ng y consisten más o menos en lo siguiente: una vez puesto el interfaz inalámbrico del host en modo monitor, lo primero que se hace es rastrear el tráfico de redes wifi del entorno mediante el programa airodump-ng, el cual mostrará todos los puntos de acceso (WAP) situados a nuestro alcance con sus direcciones MAC, la potencia de emisión, las estaciones conectadas a ellos, el ESSID o identificador de la red y otros datos relevantes.

read more »

03/08/2011

Aplicación de la Guardia Civil para smartphones

La Unidad Central Operativa (U.C.O.) de la Guardia Civil dispone de una aplicación para dispositivos portátiles que permite acceder a casi todas las funciones disponibles en la página web del Grupo de Delitos Telemáticos, incluyendo la posibilidad de generar denuncias relativas a delitos informáticos. El sofware, descargable desde los stores respectivos de Apple o Android (término de búsqueda: “GDT”), resulta útil porque permite al usuario mantenerse informado sobre las últimas alertas y noticias relacionadas con actividades ilícitas (casos de acoso moral, timos de Internet, estafas, etc.). También proporciona consejos para mejorar la seguridad en el ordenador y durante la navegación por la red. Y en caso de emergencia, gracias a la utilidad de geolocalización del smartphone, se puede conocer en todo momento la ubicación del cuartel más próximo para presentar denuncias o solicitar información sobre cualquier apartado de seguridad ciudadana, como por ejemplo intervención de armas, protección de la naturaleza, actividades subacuáticas o de montaña, servicio marítimo y tráfico.

03/07/2011

Espionaje a través de móviles apagados: mito y realidad

Ultimamente suelen escucharse historias sobre ciertos políticos que durante las reuniones importantes no solo apagan el teléfono móvil, sino que además le extraen la batería. Al parecer hay mucha gente convencida de que las agencias gubernamentales y la policía pueden utilizar el móvil para espiar a sus titulares aun cuando el aparato se encuentre desconectado. Antes de hacer afirmaciones categóricas o poner el grito en el cielo por la ignorancia tecnológica de algunos es necesario detallar la cuestión. No todo es tan simple como parece, y tampoco tan complejo. El temor de estos personajes -ya esté motivado por una conciencia intranquila o por la sana desconfianza democrática- no resulta del todo gratuito.

Un teléfono móvil desconectado, aun disponiendo de la energía suministrada por la batería, no puede ser utilizado como transmisor de voz ni como grabadora. Para ello es necesario que estén activadas las funciones correspondientes, y esto solo sucede cuando la CPU del dispositivo (un microprocesador especialidado en el control de teléfonos móviles) arranca, carga el sistema operativo y ejecuta las rutinas de software que permiten funcionar a los diversos subsistemas de voz, interfaz de usuario, codificación GSM, transmisión con la centralita, gestión de memoria disponible en la RAM y la tarjeta de datos, etc. En otras palabras: resulta altamente improbable que un teléfono pueda transmitir la voz de su propietario y sus posibles compañeros de conjura cuando se encuentra apagado. Pero entonces, ¿por qué se le quita la batería?

Un teléfono desconectado no está del todo muerto. Parte de su circuitería -por ejemplo el reloj- sigue efectuando rutinas básicas. El propio usuario lo puede comprobar simplemente ajustando la alarma de su móvil para que suene dentro de cinco minutos y dejando después apagado el móvil. El aparato no dejará de cumplir su misión, a no ser que se le extraiga la batería o esta se encuentre totalmente agotada, quedando interrumpido el suministro de energía. De manera similar, las fuerzas del orden público no escuchan conversaciones a través de móviles apagados, pero sí pueden localizar su posición. Basta con enviar desde la compañía de teléfonos una señal de búsqueda desde las torres que dan cobertura a las diferentes celdas de la red. El dispositivo cuyo indicador coincida con el de la señal responderá con un eco delatando su ubicación en la celda respectiva.

Este sistema lo utiliza la policía en su operativa habitual contra la delincuencia organizada y el terrorismo. Ni qué decir tiene que carece de utilidad como medio de espionaje. Ni siquiera permite triangular la posición del objetivo, sino tan solo saber que este (o más propiamente dicho su terminal) se hallaba en un lugar indeterminado del territorio correspondiente a la celda cuando se efectuó la prueba. Su única utilidad reside en la aportación de medios probatorios para la investigación.

10/12/2010

La nueva Generación Hacker

Si quiere llegar a ser experto en Seguridad Informática y está aprendiendo trucos con un libro de hace cinco años se llevará una desilusión. Quizá aprenda a escanear puertos con Nmap, o a acceder al interior de una máquina Unix a través de Telnet. Tal vez llegue a ejecutar un exploit y logre un desbordamiento de pila o incluso apoderarse de una cuenta de administrador. Hazañas meritorias en pos de la estela de los Kevin Mitnick o los piratas del Chaos Computer Club que darán fe de la pericia alcanzada tras muchas noches en vela delante del ordenador. Pero ello no hará de usted el tipo de especialista necesario para la guerra contra el ciberdelito actual. Los nuevos delincuentes informáticos no pierden el tiempo combatiendo contra una sola máquina, hurgando a la búsqueda de posibles recovecos a través de los cuales colarse, sino que al igual que los submarinos alemanes al encuentro de los convoyes durante la Segunda Guerra Mundial, prefieren tomar posiciones junto al lugar por el que pasa la mayor parte del tráfico de Internet: el puerto 80.

El navegador de Internet (Firefox, I-Explorer, Chrome) es el objetivo por excelencia. Los piratas modernos lo agreden masivamente a través de servidores web comprometidos, vulnerabilidades XSS, ataques cruzados, robo de cookies, suplantación de identidades, instalación de troyanos para el despliegue de botnets y otras técnicas sofisticadas. Un elemento que sigue presente en el ciberdelito es el empleo de la ingeniería social para obtener información reservada de empresas y organismos públicos, complementado con un uso malignamente creativo tanto de las nuevas herramientas de la web 2.0: motores de búsqueda, Google Earth y redes sociales como de otras artes tradicionales anteriores a la revolución informática (thrashing, hacking de cerraduras, falsificación de credenciales, etc.).

Este libro escrito por los reputados especialistas de seguridad Nitesh Dhanjani, Billy Rios y Brett Hardin -edición española publicada por O’Reilly / Anaya Multimedia- cambiará su forma de ver el problema de la lucha contra el crimen informático.

04/11/2010

Paquetes asesinos

Las noticias de los últimos días referentes a paquetes bomba con destino a determinados personajes importantes de la política no ponen de relieve tanto un problema de seguridad internacional -es dudoso que los artefactos hubieran llegado hasta Berlusconi o Sarkozy- como un problema de seguridad económica. Desde el 11-S las compañías aereas han incrementado sus medidas de seguridad en una medida de la que solamente puede hacerse idea quien haya tenido que embarcar en un aeropuerto como el de Tel Aviv, con seis controles exhaustivos de papeles, equipajes, indumentaria e incluso registro corporal. Normas restrictivas, detectores de metales y productos químicos, fisonomistas experimentados, sistemas de visión artificial, perros. No existen estimaciones precisas sobre el porcentaje de personal que en los grandes aeropuertos se dedica a desempeñar funciones de seguridad, pero cuando se hagan nos sorprenderán a todos. El coste de esta política de seguridad -pagado por el cliente- también asciende a una parte substancial del billete.

Sin embargo lo más engorroso es haber pasado por alto el punto débil que representan los compartimentos de carga de los aviones, donde los registros no son tan exhaustivos como los personales, ni pueden serlo por razones de economía. En la era de la fabricación racionalizada y el “just in time” numerosas empresas de alta tecnología facturan sus productos y servicios poco menos que en tiempo de elaboración, sin stocks y de un día para otro. Si la pieza o el instrumento en cuestión no llegan, el cliente no tendrá su pedido. Las repercusiones en cadena que tales fallos puedan tener resultan incalculables en caso de un incidente capaz de provocar retrasos masivos en el transporte aéreo. Lo pudimos ver cuando la erupción del Eyjafjallajokull. Hasta la fecha los terroristas buscaban la popularidad, provocaban pánicos colectivos o intentaban minar la confianza del consumidor. Ahora se dedican a ensayar ataques contra la cadena de valor añadido.

03/11/2010

Redes, redes y más redes

Quiero recomendar dos libros que no deberían faltar en la biblioteca, o mejor dicho, en la cabecera de ningún experto. El primero, Mike Meyers: “Redes, Administración y Mantenimiento” (Anaya Multimedia 2009) está basado en la experiencia práctica del autor como formador de técnicos e ingenieros para la certificación CompTIA Network+ y describe el mundo de las redes informáticas modernas con una claridad pedagógica muy difícil de encontrar en las obras típicas de esta materia, sin los tópicos conceptuales de costumbre ni alardes academicistas de ningún tipo, pero sin apartarse en ningún momento del rigor que requiere el aprendizaje de un campo del saber y unas tecnologías en las cuales uno tiene la sensación de que cuanto más lee sobre ello menos acaba sabiendo. El libro de Meyers es doblemente meritorio, por lo completo y por su aproximación al mundo real. Las redes que se describen en él son las que usted se va a encontrar en la realidad: nada de Apple Talk ni de token ring, sino topologías híbridas bus-estrella, interfaces Ethernet, cables CAT5, conectores RJ45, protocolos Internet. Y además de cableado estructurado, también aprenderá lo que pocos otros libros enseñan: los vericuetos del DNS y cómo se las ingenia Google para repartir cientos de millones de consultas diarias entre miles de servidores con solo una dirección IP.

Por su parte, Destripa la Red. Edición 2011 (Anaya Multimedia 2010) es la creación colectiva de un grupo de expertos en Seguridad Informática dirigidos por María Teresa Jimeno García, Carlos Míguez Pérez, Ernest Heredia Soler y María Angeles Caballero Velasco, como respuesta a la necesidad de reeditar un libro anterior con parecido título y de la misma editorial publicado pocos años antes. Pero a diferencia de otros casos de reedición, “Destripa la Red. Edición 2011” no es el mismo libro con uno o dos capítulos más y fe de erratas. La obra ha sido rehecha por completo para adaptarla a temas como seguridad en la nube, virtualización, nuevas formas de ataque a servidores y navegadores WEB, seguridad Mac OSX, Informática Forense, redes sociales y otros, de manera que a todos los efectos se le puede considerar un libro diferente y vale la pena comprarlo aunque ya se tenga el anterior. “Destripa la Red 2011” es un compendio de las tecnologías más actuales y relevantes que a pesar de estar clasificado por la editorial en el apartado medio/avanzado también puede seguir el lego sin gran dificultad.

30/10/2010

Hay un traidor dentro de mi chip

En la edición de octubre de la revista Investigación y Ciencia, tan mediocre como influyente, viene un artículo que da que pensar. Se titula “Microchips piratas” y está escrito por John Villasenor, un ingeniero electrónico que ha colaborado en el desarrollo de sistemas de radar para cartografía terrestre desde el espacio. La versión en inglés, publicada hace dos meses en la versión norteamericana, está disponible aquí. Por si no bastara con los virus informáticos, los microprocesadores y otros componentes electrónicos también se hallan expuestos a funcionamientos anómalos inducidos mediante modificaciones en su diseño. El problema se complica por culpa de la globalización. En la actualidad la fabricación de chips -para ordenadores, teléfonos móviles, maquinaria industrial, etc.- es un proceso complejo en el que intervienen numerosas empresas distribuidas en los cinco continentes. El diseño es modular, a base de bloques que se programan por separado y se ensamblan para ser comprobados en un simulador antes del montaje y la fabricación física del chip. En cualquiera de estas etapas resulta posible incluir funcionalidades parásitas que comprometan el funcionamiento futuro del chip. El desarrollo de conceptos y tecnologías de seguridad destinados a proteger la integridad del hardware constituye por tanto un importante reto de la industria electrónica.

En la era moderna la tecnología informática, más que la economía y el armamento -que en gran medida dependen de aquella-, constituye la principal baza del poder político. Los argumentos de Villasenor, al margen de la intención sensacionalista del artículo, tienen un peso tremendo no solo por la lógica en que están basados, sino a la luz de la experiencia histórica. La inserción premeditada de bugs y defectos retardados en el hardware ya se llevó a cabo de manera masiva hace nada menos que tres décadas a resultas del dossier Farewell, el cual habría inspirado un intento exitoso de sabotear la industria soviética a través de componentes electrónicos importados fraudulentamente por el Kremlin. De dichos sucesos existen algunas reseñas políticamente interesadas a través de publicaciones antisistema y la prensa del régimen comunista cubano. Conviene que el lector lea la fuente original expuesta en la página web de la CIA.

06/09/2010

Seguridad en la nube: ¿una barrera psicológica?

Según los expertos, 2010 ha sido el año del despegue definitivo de la nube. Sin embargo, con el cloud computing pasa como con aquel personaje de Molière, Msr. Jourdain, que había estado hablando en prosa durante toda su vida sin saberlo: software como servicio, migración a la nube, granjas de servidores virtuales… Estos fenómenos parecen nuevos, pero solamente lo son para quien no domina la terminología, pues millones de usuarios llevan años gestionando su correo electrónico a través de webmails, escribiendo en blogs o haciendo uso de redes sociales y servicios como Facebook, LinkedIn, Flickr y demás. Ustedes dirán si eso que los internautas frecuentaban hace cinco años no era ya la nube, sin ellos saberlo todavía. La vida en la frontera digital, como en cualquier otra, es asi: primero parten los pioneros, después las grandes empresas, los inversores y el gobierno. Las ventajas de los primeros servicios comerciales de cloud computing –Google APPS y Amazon AWS– resultan evidentes: integración de múltiples servicios a través de navegadores web, prestación de servicios a nivel mundial, rápida recuperación en caso de catástrofe, completa disociación entre las necesidades de software y de hardware de la empresa, escalabilidad sin límites, rapidez en el despliegue de infraestructuras informáticas en función de las necesidades efectivas, ahorro de energía y de costes, actualizaciones automáticas y un largo etcétera.

En el apartado de inconvenientes, por más que nos esforcemos, únicamente lograremos incluir uno: la dependencia con respecto a los proveedores de servicios. Aunque se ha especulado mucho con los peligros que nos acechan en la nube, no serán muy diferentes de los que ya conocen los particulares y las empresas. Ciertamente la mayor parte del tráfico mundial circula por el puerto 80, pero esa ya es una realidad desde hace años. Por muy blindado que esté un sistema, con su cortafuegos, su antivirus y su IDS, nada nos podrá salvar de la imprudencia de un usuario incapaz de sustraerse a la tentación de visitar sitios comprometidos. Por otra parte los servidores virtuales se ven expuestos a las mismas amenazas que los servidores físicos, y la introducción de un nivel adicional como el hipervisor no supone mayor novedad que la de cualquier otra capa añadida de hardware o programación.

Se suele argumentar que con la nube el perímetro de seguridad desaparece. Más correcto sería decir que se traslada al proveedor, donde no tiene por qué estar peor defendido que en casa. Es aquí precisamente donde aprieta el zapato: las valiosas informaciones de nuestra empresa salen fuera y son confiadas a la custodia de una entidad ajena que a pesar de su probada integridad y su eficiencia como proveedor de servicios, ¿qué quiere que les diga?, no es nuestro banco, ni el notario que conoce nuestras firmas de puño y letra, ni el despacho de abogados que iría al fin del mundo por nosotros. Se mire como se mire, las perspectivas de desarrollo de la nube no dependen tanto de consideraciones relativas al perímetro de seguridad como de la barrera psicológica que supone externalizar el inmovilizado inmaterial de las empresas: sus bases de datos, la información relativa a clientes y proveedores, sus listados de productos y piezas, correspondencia comercial, nóminas, patentes, proyectos, desarrollos, planos, tecnología, catálogos, escrituras de constitución, correo electrónico, etc.

¿Dónde preferimos tener todos estos datos: dentro de la oficina y bajo llave, aun a expensas de que un espía o un empleado desleal lo puedan robar, o dentro de una máquina virtual sin localización fija a miles de kilómetros de distancia, pasando de unos servidores a otros en función de las capacidades de cómputo disponibles o del precio de la electricidad? Pocas empresas están preparadas para hacer frente a un reto como este.

18/07/2010

Seguridad Informática: factores bajo control

Para entender la naturaleza peculiar de los problemas de seguridad planteados por las Tecnologías de la Información es preciso un poco de perspectiva. Retrocedamos a la prehistoria de la Informática en el año 1979. Entonces solo había mainframes y miniordenadores de diversas marcas -casi todas desaparecidas en la actualidad- y cierta variedad de sistemas operativos con funcionalidades de mínimos. El ordenador de sobremesa estaba a punto de aparecer. Ni siquiera existía el MS-DOS. Los interfaces gráficos eran solo un proyecto exótico en los laboratorios de Xerox. En aquella época muy poca gente sabía manejarse con el hardware y el software existente. Había muy pocas herramientas de administración disponibles y los únicos que las conocían y podían utilizarlas eran los gurús de UNIX y VAX. El nivel de conocimientos necesario para perpetrar un delito informático o poner en riesgo la seguridad de un sistema era muy elevado.

En el año 2010 todos estos parámetros han evolucionado al extremo opuesto de la gráfica: el ordenador personal y los dispositivos móviles han desplazado al mainframe. Existen grandes monocultivos de sistemas operativos complejos y enormemente funcionales (Windows, Apple OS X y, en menor medida, Linux). Millones de personas utilizan el ordenador en el trabajo y en el hogar. No solo ha aumentado el número de usuarios sino el de expertos en todo tipo de especialidades informáticas: aplicaciones empresariales, programación, administración de sistemas, etc. Tanto el profesional como el usuario de a pie disponen de gran cantidad de herramientas de todo tipo -desde sencillos scripts para tareas administrativas hasta analizadores de tráfico y suites automatizadas para detectar vulnerabilidades en sistemas-. El nivel de conocimientos necesario para delinquir en la red ha descendido drásticamente.

Añádanse como dimensiones cualitativas Internet, las redes sociales y otras novedades y tendremos un cuadro de la denominada revolución de las T.I.C., más bien burdo, pero lo suficientemente claro como para excluir toda perspectiva de optimismo en cuanto a seguridad. En otras palabras: hoy día cualquiera puede ser un hacker. Y muchos lo serán, movidos por el impulso criminal y las posibilidades ilícitas de beneficio derivadas del espionaje industrial, las suplantaciones de personalidad, el fraude online o el spam.

Los factores expuestos tienen carácter estructural, podríamos decir macroeconómico. Dada la ausencia de una autoridad central que regule Internet y las Tecnologías de la Información, las posibilidades de influir sobre ellas son prácticamente nulas. Sin embargo existen otras variables, de tipo microeconómico si se permite insistir en este pequeño abuso conceptual, que actúan en el plano individual y sobre las que sí tenemos cierta posibilidad de influir: la ignorancia, la negligencia y el comportamiento doloso.

La mayor parte de los usuarios maneja sus ordenadores sin saber lo que tiene delante y sin ser conscientes de la responsabilidad que ello implica, en una época en que toda la estructura administrativa y empresarial del mundo depende de las Tecnologías de la Información. Otros sí lo saben, pero les da igual dejar las contraseñas pegadas al monitor en un post-it. Finalmente está el problema de los empleados desleales, que roban información o sabotean a sus patronos por deseo de venganza o de lucro.

Inevitablemente es en estos factores controlables -pero hasta cierto punto: no vayan a menospreciar la tenacidad del ser humano en cuanto a malos hábitos de conducta- donde han de concentrar esfuerzos los expertos, las autoridades públicas y las fuerzas del orden. Formación, campañas de concienciación y un trabajo impecable y bien coordinado de todos aquellos que se dedican a prevenir y combatir el delito informático -administradores de sistemas, investigadores forenses, jueces- resulta imprescindible. Esto es asi en la actualidad y lo seguirá siendo en el futuro.

13/03/2010

Alerta en la zona WiFi

Las redes inalámbricas son una gran promesa hecha por la cultura de la movilidad a diversos grupos de usuarios: escolares, turistas, trabajadores móviles, simples aficionados o hasta dinámicos y optimistas jubiletas con ganas de aprender que se llevan su portátil a la cafetería para desde allí leer las noticias o responder al correo electrónico de su nieto. Este comenzó siendo el caso del heroe de nuestra historia, que pasa los fines de semana en una zona de veraneo del Norte de España -no me acuerdo ahora de si Castro Urdiales o Laredo-. Pues bien, este hombre quiso llevar a cabo una gestión bancaria de la que no había podido encargarse debido a las colas del viernes a mediodía. Entró desde una zona wifi a la página web de su entidad, introdujo los datos, el PIN y los dígitos de control de su VISA, maniobró entre las diferentes ociones de menú, mandó que se hiciera la transferencia y finalmente salió como había entrado, de manera ordenada y metódica. Dos semanas más tarde, de regreso a Bilbao, le llega un aviso del banco para comunicarle que su cuenta está vaciada hasta el límite con varias compras que -según se ha podido comprobar en un momento posterior- fueron hechas desde un país de la Europa del Este.

Por suerte tenía un seguro especial para estos casos y pudo recuperar el importe perdido, después de cambiar los datos de acceso telemático. Se trata del padre de una compañera de trabajo. Le he pedido que me enseñe la denuncia para conocer los detalles del caso. Frecuentemente estamos oyendo advertencias sobre los peligros de las redes inalámbricas. Cuando realmente sucede siempre es un shock. Parece increíble que la mayor parte de las noticias sobre posibles riesgos del wifi tengan como tema una supuesta peligrosidad de las radiaciones electromagnéticas, que como en el caso de los teléfonos móviles no se ve avalada por los estudios científicos. Casi nadie habla de unos casos de robo de identidad y fraude bancario que deben ser más frecuentes de lo que se supone.

No pensemos que para cometer este tipo de delitos se requieren equipos o cualificación de alto nivel. Las herramientas para rastreo e intercepción wifi están disponibles en Internet, junto con gran número de tutoriales y recetas que permiten su manejo incluso a gente con pocos conocimientos de informática. Particularmente dañinos, cuando se los utiliza con fines criminales y no para su propósito originario, es decir, la monitorización y aseguramiento de redes, son los sniffers o husmeadores de paquetes. Es cierto que existen mecanismos de seguridad: cuando un usuario comunica con su banco lo hace a través de un protocolo de comunicaciones seguras como SSL. Sin embargo, en los últimos dos o tres años los piratas han aprendido a romperlo. En otras palabras: que todo lo que uno teclea en su navegador -incluyendo las contraseñas del correo electrónico, números de tarjeta de crédito y códigos PIN- puede ser texto claro para un merodeador que se encuentre apostado en las cercanías con su ordenador portátil. No tiene por qué hallarse en el mismo local, sino sentado en la plaza, dentro de un vehículo aparcado o incluso en una vivienda próxima.

Nuestra recomendación: no acceder a la cuenta bancaria u otros sitios sensibles desde una zona wifi. Llevar allí un ordenador con datos personales e información valiosa sin encriptar y sin medidas de seguridad ya es suficientemente comprometido.

12/03/2010

Pésima política de informatización escolar del Gobierno Vasco

Ajuria Enea -para los que viven fuera: sede oficial del Gobierno Vasco- no da pie con bola en nuevas tecnologías. Y no es por falta de imaginación ni de ganas, sino más bien a causa del escaso rigor de su actuación y un enfoque meramente propagandístico de los retos que plantea la revolución de las telecomunicaciones. Primero fue la promesa electoral incumplida del free software, después el teatro del open government, luego los gorjeos del twitter durante la pausa del café del pasado lunes. En este entremés dedicado a las nuevas tecnologías la próxima escena nos muestra al Lehendakari sentado junto al primer subportátil con arranque dual (Windows+Linux) suministrado a los centros escolares de la Comunidad Autónoma Vasca.

Eskola 2.0, el programa para la informatización de las aulas escolares, consta hasta el momento y por un lado de una lista de especificaciones técnicas de los ordenadores y las pizarras digitales, expuesta en la página web del Gobierno Vasco. Por el otro un cajón de sastre con declaraciones de intenciones, artículos de prensa y entradillas de twitter desbordantes de loas y ditirambos hacia las nuevas tecnologías y la web 2.0, que sirve a los designios del Partido Socialista de Euskadi, y de paso al interés personal de unos cuantos blogueros que quieren destacar como téoricos de las redes sociales.

Pero entre la lista de la compra y la fanfarria no hay prácticamente nada: ni estrategia, ni metodología, ni concepto de externalización de los servicios (Ahí es otra: quién o qué empresa se va a lucrar con la gestión de eso que llaman “la nube“, o sea, cuentas de correo electrónico, bases de datos, espacio de almacenamiento compartido, portales y demás para todos aquellos centros donde se ha de distribuir el hardware), y lo más llamativo, ni media palabra sobre seguridad: la combinación entre buscadores de Internet y redes sociales constituye una mezcla explosiva en un entorno con miles de ordenadores portátiles, puntos de acceso inalámbrico y escolares inquietos que saben más del tema que padres y maestros. ¿Alguien se ha ocupado hasta ahora del asunto?

Claramente aquí se necesita un vasto esfuerzo educativo, parejo al que ya se está llevando a cabo en otros países. Pero, ay, todo esto son planteamientos de infraestructura; resultan difíciles de vender con fines electoralistas. Por tanto es muy posible que el amanecer digital en Euskadi quede reducido a gestos, declaraciones oficiales y poco más. Como mucho un desayuno del Forum Nueva Economía en el que la Consejera de Educación hable de lo bien que marchan las cosas desde el cambio de gobierno.

17/12/2009

Cómo desactivar puertos USB en Windows

La comodidad de los dispositivos USB es una ventaja solo superada por los inconvenientes que supone para la seguridad de las empresas. En los últimos años la proliferación de dispositivos (pendrives, tarjetas de memoria, discos externos, cámaras digitales, iPods, etc.) ha permitido que el robo de datos deje de ser una habilidad hackeril y premeditada para convertirse en cosa de bobos, algo verdaderamente simple, espontaneo y al alcance de cualquiera, incluyendo personal externo que en cualquier momento, armado de una llave USB, podría acceder a los ordenadores, insertarla en esa batería de conectores en el frontal tan práctica con la que vienen equipados la mayor parte de los PCs que se fabrican en la actualidad y robar datos de la empresa. No solo lo pueden hacer el empleado desleal y el estudiante en prácticas: también el proveedor, el vigilante jurado y hasta la mujer de la limpieza.

¿Harán ustedes como aquel jefe de personal que inutilizó los conectores USB con una pistola de silicona? No es mala idea, salvo que después los vuelvan a necesitar. Afortunadamente existen métodos más sutiles, como desactivar la carga de controladores USB. Primero vamos a citar la solución heroica y virtuosa, a la que no deberían recurrir en ningún caso, a no ser que sepan lo que están haciendo y dispongan de un buen backup, y que consiste en cambiar el valor de una clave del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Cambiando Start = 3 a Start = 4 quedará bloqueado el acceso al sistema desde cualquier dispositivo USB. El ordenador ni siquiera lo verá al ser insertado. Un posible atacante pensará que el sistema no funciona bien; al cabo de algún tiempo se pondrá nervioso y desistirá de su intento. Para reactivar el acceso USB no hay más que restablecer el valor originario de la clave Start. Esto funciona bien en Windows XP, y supongo que también en Vista.

La otra forma de solucionar el problema es recurrir a algún programa que  haga este trabajo de una manera cómoda y sin riesgos, como por ejemplo IntelliAdmin. De paso recomiendo una visita a esta página web con herramientas diseñadas para optimizar la administración del sistema Windows.

05/11/2009

Canción triste de SITEL Street

minterior

También controlamos los excesos de velocidad en las autopistas de la información.

Después de varios meses de renquear entre los medios digitales y algunos blogs, parece que el asunto SITEL se encuentra ad portas del Congreso de los Diputados. Las declaraciones del vicesecretario de comunicación del PP Esteban González Pons con motivo de una rueda de prensa han sido respondidas el Ministro del Interior desde la tribuna de un seminario sobre seguridad de datos. González Pons había acusado al gobierno del Partido Socialista de estar utilizando SITEL desde el año 2004 para grabar conversaciones y hacer perfiles psicológicos a través de este sistema, además de realizar seguimientos de personas investigadas mediante “un sistema ilegal de grabación de conversaciones que no tiene la cobertura de ley orgánica que la ley exige”.

Durante su intervención en la 31 Conferencia de Autoridades de Protección de Datos y Privacidad, a la que también asistía Janet Napolitano, Secretaria de Seguridad Interior de Estados Unidos, el ministro respondió con verdades evidentes (SITEL fue adquirido cuando Rajoy era Ministro de Interior y puesto en funcionamiento por su predecesor Angel Acebes) y asertos cuestionables, que por ser benévolos y no emplear el calificativo de mendaz dejaremos en burdas exageraciones. Dijo, por ejemplo, que SITEL es un sistema más garantista que el anterior, y que funciona únicamente con autorización judicial. Véase aquí una crónica sobre las declaraciones del ministro en torno a SITEL y otros temas relacionados con la seguridad.

No tiene pérdida la frase estrella de su ponencia: “no somos una sociedad vigilada sino una sociedad protegida”. Tampoco sus comentarios sobre el tráfico, aunque uno se hace la pregunta: ¿entonces para qué todo ese costoso y sofisticado montaje de sistemas informáticos para escuchas telefónicas? En realidad tenemos un problema de seguridad vial. Lo que necesitamos son motoristas y radares.

Respecto a las complicaciones jurídicas de SITEL recomiendo la lectura de este artículo en el blog del abogado asturiano afincado en Bilbao Guillermo Díaz Bermejo.