Siendo éstos los tiempos de la Web 2.0, es muy habitual que una empresa ofrezca servicios a través de aplicaciones Web; éstas se convierten en la interfaz perfecta para que todo el mundo desde cualquier lugar acceda a información que muy probablemente se almacena en bases de datos. Esta entrada (y otras que le seguirán) viene a mostrar uno de los ataques más habituales hoy en día en este tipo de aplicaciones: el ataque de inyección SQL, por el que adquiere especial importancia el tratamiento de la información que fluye entre el aplicativo visible al usuario que la muestra (lo que podríamos llamar el frontend) y la base de datos que la almacena y gestiona (lo que vendría a ser el backend).

Dejando los detalles técnicos para más adelante, este ataque se basa en explotar la interacción con el usuario ofrecida por aplicaciones Web (formularios de petición de datos, por ejemplo) para hacer llegar a la base de datos consultas SQL manipuladas, que al no ser filtradas correctamente por el aplicativo web pueden tener efectos indeseados, como proporcionar información sobre el sistema, la estructura de la BD, o incluso acceso o borrado de los datos almacenados. Una variante muy interesante de este tipo de ataques es el “Blind SQL Injection“, o ataque a ciegas por inyección SQL, que aprovecha el resultado obtenido tras lanzar consultas que emiten páginas de error no tratadas por el desarrollador de la aplicación.

Imagino que conocen ustedes la LOPD y las sanciones que conlleva su incumplimiento: de 600 a 600.000 euros o más, dependiendo de la severidad y el número de incumplimientos, ya que las sanciones son acumulativas; no es lo mismo tener una página web con los nombres y apellidos de tus empleados, que otra que incluya además información de discapacidad o afiliación sindical con todo lujo de detalles (el ejemplo es inventado). No se preocupen, no vengo a meterle miedo a nadie ni pretendo ser agorero. Vengo a hablar de la proporcionalidad o desproporcionalidad de tales sanciones, algo sobre lo que probablemente ya tengan ustedes formada una opinión.

Uno de los colaboradores habituales de S2 Grupo comenta en ocasiones, en relación con este tema, que mientras la muerte de un trabajador en accidente laboral puede “arreglarse” económicamente con cerca de 120.000 euros, por muy duro y frívolo que eso suene, un incumplimiento severo de la LOPD —o de su acompañante, el RMS— puede conllevar una sanción de varias veces esa cantidad, algo que en apariencia al menos carece de sentido. Personalmente, considero la comparación bastante apropiada, ya que por muy flagrante y grave que sea la exposición de tales datos (sin tener en cuenta que incluso en empresas relativamente concienciadas, no es muy difícil tener alguna no conformidad grave), la muerte de una persona la supera con creces.

Para empezar bien la semana, ayer lunes nos “desayunamos” con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs “todo en uno”. Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de “El Solitario”, el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

— ¿Conectividad limitada o nula? Madre mía, pero si tengo el AP en la habitación de al lado…

¿Cuántas veces hemos tenido que deambular por la casa portátil en mano alejándonos de zonas de sombra de cobertura, buscando incrementar la señal? Sí, bueno, ya se lo que pensaréis, ese escenario es ligeramente diferente al primero, ya que puede que el Access Point en cuestión no se encuentre en nuestra casa. Pues bien, hablando de cobertura, el profesor Ermanno Pietrosemoli de la escuela latinoamericana de Redes ha batido el récord, este mes pasado, de cobertura WiFi. Nada más y nada menos que ha conseguido establecer una conexión direccional a 382 Kilómetros de distancia, con un ancho de banda de 3 Mb en ambos sentidos, superando el antiguo récord establecido en 310 Km.

Esta tecnología aplicada a largas distancia no es tan robusta como podría ser WiMax, pero… ¿alguien sabe cuanto cuesta una torre WiMax? (creo que en ebay hay alguna de segunda mano). Así pues WiFi puede ser una solución a coberturas de larga distancia que requieran un ancho de banda limitado, y aquí tenemos la prueba. Eso sí, los problemas que pueden suponer alinear correctamente las antenas, los obstáculos en visión directa o la propia curvatura de la Tierra dificultan “bastante” el despliegue.

Y además 382 km dan mucho espacio para poner un sniffer.

Hace unas cuantas semanas, a raíz del documental de Michael Moore contra el sistema sanitario norteamericano, alguien en Google descubrió que tener un blog en el que representas a tu empresa implica que no siempre puedes decir lo que quieres, y menos si tu blog lleva por descripción “News and Notes from Google’s Health Advertising Team“. En este caso en concreto, Lauren Turner tuvo incluso que dar marcha atrás y matizar sus palabras, aunque a la vista del revuelo que se levantó no parece que las palabras que escogió para hacerlo fuesen las mejores. También es cierto que no deja de ser sospechoso que en un blog que es a todas luces corporativo aparezca algo que parece ser una opinión personal, así que personalmente me inclino más por un globo sonda de Google y una rectificación simulada que por un error real; es decir, una forma de publicitar sus poco populares prácticas sin que tal anuncio parezca venir oficialmente de Google. Recordemos que no estamos hablando del blog de Lauren Turner que casualmente trabaja en Google, sino más bien al contrario: el blog del equipo de Google encargado de publicidad relacionada con cuestiones de salud, en el que casualmente escribe Lauren Turner.

Bien, a estas alturas probablemente estén ustedes desconcertados. Lo anterior puede resultar muy interesante o no, y aunque Google es una mina en asuntos de privacidad con tal de rascar un poco la superficie, lo anterior no viene a tener nada que ver con la seguridad, o al menos no desde ningún punto de vista que yo reconozca. A pesar de ello, me pareció una manera interesante de empezar la entrada con la que presentar esta bitácora, porque si nos hubiesen seguido ustedes desde el principio, se habrían dado cuenta de que no hubo presentación oficial ni inaguración; únicamente una frase en aquella primera entrada que la posponía.

Aunque sea cierto que de vez en cuando a algunos nos entra la paranoia Gran Hermano, cuando ve uno cosas como las que han pasado con Vodafone en Grecia, no deja de sentirse algo justificado en sus miedos. Cosas que demuestran, además, que una puerta trasera suele ser una muy mala idea, sea para quién sea, porque nunca sabe uno quién acabará utilizándola.

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las “patas” de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

En los últimos tiempos hemos encontrado un nuevo culpable para casi todo. Igual que la informática ha sido en las últimas décadas culpable de que los vuelos se retrasen, de que se pierdan las maletas, de que salga mal la cuenta del restaurante e incluso de que nos operen de apendicitis cuando lo que nos duele es un ojo, desde hace ya unos años otro culpable por excelencia de lo que acontece diariamente en el mundo es “el cambio climático”. No creo que sea un problema con el que hacer demasiadas bromas. El asunto es serio. Pero también lo son los problemas relacionados con la seguridad y a menudo tenemos que escuchar muchos comentarios irónicos al respecto.

Nuestra sociedad necesita incrementar su productividad. Somos una potencia económica mundial, pero no somos una potencia económica en productividad. Para llegar al puesto que nos corresponde tenemos algunas asignaturas pendientes y no cabe ninguna duda que una de ellas es el uso y la introducción de las tecnologías en la sociedad a todos los niveles: la empresa, el hogar, las instituciones,…

He de reconocer que en esto de los datos de carácter personal, entre los que podemos incluir fotos, videos o comentarios que pueden dar información sobre ideología, tendencias sexuales o el perfil psicológico propio, Internet da un poco de respeto. Y no me refiero a aquellos casos en los que alguien se convierte, como suele decirse, sin comerlo ni beberlo, en una estrella, con todos los problemas que eso supone. Recientemente una adolescente pertiguista estadounidense —si la memoria no me falla— tuvo el dudoso privilegio de convertirse en un ídolo de masas/sexual no precisamente por sus logros deportivos; saber que millones de personas tienen acceso a tus fotos y que entre ellas seguramente hay más de un tarado hurgando en tu intimidad es algo no demasiado reconfortante.

No obstante, este tipo de cosas vienen a estar fuera del control de la “víctima”, y como en otras muchas situaciones, eso es algo que hay que asumir e intentar evitar en la medida de lo posible. Otro problema muy diferente es cuando es uno mismo el que pone a disposición del ciberespacio fotos, opiniones, o datos personales en lugares sobre los que probablemente no tiene ningún tipo de control, tales como foros, las USENET news, buscadores poco escrupulosos, o incluso Google (recomiendo a título personal el uso de «”META NAME=”ROBOTS” CONTENT=”NOARCHIVE”» en la cabecera de los sitios personales, para evitar el almacenamiento en caché en los buscadores más conocidos), y que en un futuro podría no ser capaz de eliminar. Mucha gente —incluído un servidor— ha vertido datos y opiniones poco reflexionadas y de forma menos que apropiada en diversos lugares de Internet, llevado por las hormonas juveniles —o no tan juveniles—, provocaciones ajenas, la defensa de sus propias ideas más allá de lo lógico para la relevancia del foro en cuestión, la pura y simple diversión, o por el mero hecho de levantarse con el pie izquierdo; conseguir el borrado de todo ese contenido de todos esos sistemas, en caso de ser posible, puede llevar un tiempo y esfuerzo nada despreciables. Quizá alguien piense que a medida que la Red se hace grande, unos contenidos dejarán de existir, que simplemente se borrarán, pero en mi opinión, yo no contaría con ello.