Como algunos de ustedes probablemente saben, he pasado la última semana de vacaciones en Sassari —Cerdeña—, disfrutando del sol, la playa, y comiendo pasta y pizza. Sí, eso y poco más, que ya es bastante. Aprovechando un vuelo de Ryanair, una de las principales compañias aéreas de bajo coste, me planté en la isla por poco más de setenta euros por persona, ida y vuelta. El caso es que me llamó la atención que en el viaje de ida ninguno de los mensajes habituales acerca del uso y localización de los distintos mecanismos de emergencia, tales como chalecos salvavidas, cinturones, máscaras de oxígeno o las propias salidas de emergencia estuviera en castellano, catalán, o italiano, cuando tales son las lenguas oficiales —o co-oficiales— de la ciudad origen y de la de destino, respectivamente. No, todos los mensajes estaban en inglés.

No puede decirse que yo sea totalmente bilingüe en relación al inglés, pero me defiendo con relativa soltura, y he volado lo suficiente como para saber —o creer saber— dónde está cada cosa y cómo utilizarla; afortunadamente, jamás ha sido necesario llevar ese conocimiento a la práctica, porque entonces veríamos si lo que creo saber es lo que sé en realidad. Sin embargo, teniendo en cuenta que estos mensajes se emiten, asumo, con la intención de incrementar la seguridad de los pasajeros en el caso de producirse un posible accidente o fallo aéreo, disminuyendo así el riesgo personal de cada uno de ellos al saber utilizar los mecanismos proporcionados, carece de sentido que se emitan en una única lengua que no es, probablemente, la que conocen la gran mayoría de sus receptores.

Cuando hace ya algunos años empecé a trabajar era fácil, muy fácil, determinar la frontera de las redes de la organización donde estaba. Si la empresa era industrial, como es mi caso, a principios de los años 90 la red se circunscribía a la del área financiera y a la de diseño o ingeniería que, por supuesto, en aquella época, eran totalmente independientes sin posibilidad de conexión conocida por mí. Era una red de un sistema 36 y una red de un sistema de CAD/CAM bastante grande del sector Naval, FORAN, que funcionaba sobre máquinas DIGITAL y con una LAN basada en el difunto DECNET.

Unos pocos años han pasado, 17, -tampoco son tantos- y ya en su día participé en la unión de las dos redes referidas, la red del entonces AS400 con la red del DIGITAL y la red del incipiente “Windows para trabajo en grupo”. Sin saberlo, asistí, desde un lugar preferente, a mi primera caída formal de una frontera digital, la frontera que separaba el mundo contable del técnico en una organización industrial. Las caídas de fronteras digitales se han sucedido desde entonces hasta llegar al punto en el que estamos en el que realmente creo que ya casi no quedan fronteras digitales, salvo que las que nosotros mismos creamos con nuestras políticas de seguridad.

Como regalo para el fin de semana, y bordeando la media noche, les voy a regalar algo que he visto en Kriptópolis, aunque proviene de la Asociación de Internautas, y que no puedo dejar pasar. Como es posible que sepan, la nueva nuevísima web del Congreso se presentó hace unos días con problemas de estándares, diseño, desarrollo, accesibilidad y muchas otras cosas.

Y como no podía ser de otra manera, al parecer, entre los catorce millones de euros que ha costado, también va incluido el manual de Oracle Application Server 10g Release 2 (10.1.2), según pone en http://www.congreso.es/quickstart.htm, y es posible que otras cosas cuyo acceso público no sea tan relativamente inocuo (que conste en acta lo de “relativamente”). Lo dicho; por catorce millones de euros, ¿quién da más?

(Es muy posible, deseable, lógico, y sobre todo recomendable, que ese manual de Oracle accesible desde Congreso.es y contenido similar que no debería ser público, desaparezca en las próximas horas. Si eso sucede, pueden obtener los detalles completos en el anterior enlace de Internautas.org)

¿Recuerdan lo que les comentaba hace unas semanas sobre la confianza y la Ingeniería Social? Bien, imagínense la siguiente situación:

Una pareja de ancianos oye sonar el telefonillo de su casa, y a la típica pregunta de “¿Quién es?”, no obtienen otra cosa que alguna de las también típicas respuestas: “Soy yo”, “Yo”, “Tu nieto”, o cualquier otra contestación, suficiente para que éstos abran la puerta del portal y la de su casa, y vuelvan a aquello que estaban haciendo, sea cocinar, ver la televisión o desayunar. Unos minutos después, una persona que no conocen, que como es obvio no es quien pretendía ser, y sin demasiadas buenas intenciones, entra en su casa sin ningún impedimento.

Virus, Troyanos, Spyware, Gusanos,… o como se les conoce generalmente: Malware o “bichos”, usando un término más coloquial. Todos los usuarios de sistemas informáticos, por suerte o por desgracia, conocemos la existencia de estos tipos de software y prácticamente la totalidad de nosotros hemos sufrido alguna vez una infección, con la pantalla de nuestro viejo 486 llena de “barrotes” o nuestro escritorio lleno de enlaces a página web con contenido para adultos.

Tal y como sucede con los virus biológicos, los virus (o malware en general) han ido mutando, cambiando, adaptándose a los tiempos y a su entorno, buscando nuevas formas de propagarse desde los sectores de arranque de los antiguos diskettes a la explotación de vulnerabilidades de servicios de red de los sistemas operativos de usuario más modernos. Hoy en día todo se mueve mucho más rápido, sobretodo en el mundo de las nuevas tecnologías, y eso incluye evidentemente al malware. En los años 70, cuando la interconexión de sistemas informáticos era practicamente inexistente, la velocidad de propagación del malware era la que tardaba un diskette infectado en pasar de unas manos a otras. En la actualidad, la red de redes nos ofrece grandes posibilidades de acceso a la información en unos pocos segundos, pero también abre la puerta a la posibilidad de rápidas infecciones y propagaciones.

Como saben, recientemente ha sido noticia la intrusión en un ISP español de un hacker que presuntamente ha capturado 120,000 cuentas de usuario [ElPais.com] [Barrapunto] [Kriptópolis]. Teniendo en cuenta que el problema por supuesto es preocupante para los propios clientes de esta compañía, pienso que es además de especial interés ver cuál ha sido el modelo de negocio/motivación de estos hackers en la empresa de hosting, ya que según diversos comentarios, parece que la intrusión fue utilizada para modificar los contenidos de las páginas albergadas por los clientes en el ISP, redirigiendo éstas hacia páginas con troyanos y otro tipo de malware.

Aunque entiendo la preocupación de cualquier cliente al ver que sus datos de carácter personal circulan “por ahí”, y con el temor adicional de que puedan haber datos bancarios, creo que es de destacar el uso que al parecer se ha hecho de la intrusión: redirigir usuarios —visitantes— de páginas web de confianza hacia páginas web con troyanos, con lo que podemos afirmar que en última instancia los verdaderos sufridores —destinatarios y víctimas— del ataque no es el ISP ni sus clientes, sino los clientes de estos clientes. Algunas preguntas surgen a raíz de esto:

Volvemos con más LOPD, si me lo permiten. ¿Recuerdan cómo empieza el Reglamento de Medidas de Seguridad (RMS), verdad? Les hago memoria, por si acaso:

En los últimos tiempos estamos inmersos en la fiebre de las X-Basura. Hablamos de Tele-Basura que ninguno vemos, comemos comida-basura, firmamos contratos basura y ahora nos ponemos a hacer proyectos basura. No me malinterpreten; es evidente que cada uno puede hacer lo que estime oportuno, siempre y cuando respete los derechos de los demás. Pero aquí, no obstante, es donde radica el problema que analizo a continuación.

En la actualidad, y a raíz del auge y la importancia que va adquiriendo tanto la LOPD como la concienciación en torno a los derechos de privacidad de las personas, patente por la publicidad que adquieren a menudo las sentencias de la AEPD, se ha creado un negocio de grandes proporciones relacionado con la seguridad de la información en la que despachos de abogados, grandes consultoras, empresas de seguridad y hasta las tiendas de informática de la esquina intentan coger lo que les pueda corresponder a pesar, a veces, de no hacer un trabajo de calidad que cubra lo que el espíritu de la Ley pretende mínimamente.

Un día cualquiera, te levantas, te lavas la cara y te dispones, como todas las mañanas, a ir al “tajo”. Cuando llegas observas que tu bonita oficina, está en llamas. Dios, te preguntas: ¿Sigo dormido? ¿O de verdad ha funcionado ese deseo estúpido que pedí en San Juan mientras como un cangurito saltaba las olas?

Pero señores, como de algún sitio hemos de sacar ese dinerillo para hacernos con esos objetos tan indispensables en nuestras vidas como PowerBalls, Gadgets lanzamisiles o tazas USB, es necesario que las contingencias o situaciones de emergencia estén previstas, si no se quiere sufrir pérdidas importantes en el negocio. Desastres naturales, operacionales, o humanos son sólo algunos de los aspectos que un buen gestor de continuidad debe prever. Es por eso que surge la necesidad de planificar, en cierta manera, una solución que nos aporte un mínimo nivel de operatividad en nuestros negocios. De esta necesidad surge el concepto de Continuidad de Negocio y Recuperación ante desastres. Ambos conceptos pueden parecer similares pero detrás de ellos se esconden propósitos muy diferentes. Mientras que el primero estaría orientado a los procesos de negocio que la empresa maneja, el otro estaría dirigido a la recuperación de los servicios de TI. Ambos conceptos podrían ser cubiertos mediante lo que sería un plan de contingencias. Pero, ¿de qué consta este plan? Pues bien, básicamente de un fabuloso Plan de Continuidad de Negocio (PCN) y de un magnífico Plan de Recuperación ante Desastres (PRD). Aunque ambos proyectos pueden ser emprendidos de forma independiente, en la mayoría de los casos se opta por una solución integral.