Clickjacking es una técnica reciente que ha sido descrita por varios especialistas de seguridad que han podido tener acceso a los detalles de la vulnerabilidad como TERROR�?FICA. Según los datos que se han facilitado, la vulnerabilidad permitiría a un atacante preparar un sitio web malicioso mediante el cual podría realizar un “secuestro de clicks”, es decir, cada click que hagamos en el navegador podriamos estar clickando en otro sitio que no es el que pensamos, con el consiguiente riesgo de ejecución de malware y amenazas similares.

Los detalles de la vulnerabilidad, que afecta a practicamente todos los navegadores, iba a ser presentada en la OWASP AppSec de Nueva York pero parece ser que ha sido cancelada debido al riesgo de dar los detalles antes de que los fabricantes hayan podido desarrollar sus parches, hecho complicado puesto que según han confirmado ellos mismos no es una vulnerabilidad de fácil solución.

Entiendo que en algunos casos, mi posición respecto a determinadas cuestiones en materia de seguridad pueda parecer algo “fundamentalista”; no obstante, sepan que admito que en este mundo, y a la hora de evaluar servicios o aplicaciones, existen otras cuestiones que también es necesario tener en cuenta, como la interoperatividad, la funcionalidad o la usabilidad, por citar algunas. Pero como suele decirse, la cabra tira al monte, y mientras paseaba por el blog de Mercè Molist, Port 666 me he encontrado con una entrevista a Lourdes Muñoz, portavoz de Sociedad de la Información y Telecomunicaciones del Grupo Socialista, en la que afirma que:

—Un hacker es alguien que intenta saltarse un poco el sistema para conseguir algo, pero no es un delincuente.

Hace ya meses hablamos en este mismo blog de la convergencia de la seguridad, y en ese mismo post dedicábamos un escueto párrafo a la figura del nuevo Director de Seguridad (el CSO, como les gusta decir a los americanos).

Hasta hace unos años, en la mayor parte de organizaciones había dos figuras clave para la seguridad corporativa: el CSO (Chief Security Officer) y el CISO (Chief Information Security Officer); mientras que el primero era el responsable de las 3G (Guards, Guns and Gates), es decir, de la seguridad física o tradicional, el otro lo era de la seguridad de la información —en la mayor parte de casos, ocupándose únicamente de los aspectos tecnológicos de la misma—. Habitualmente, la relación entre ambos no solía ser la óptima (los “frikis” contra los “seguratas”), ya que por supuesto hay mucho terreno en común e incluso muchos “reinos de taifas” en juego; esta dualidad desembocaba en situaciones tan absurdas e indeseables como duplicidad de inversiones, duplicidad de esfuerzos o responsabilidades en materias de seguridad no definidas, con los consiguientes riesgos que esto implica.

Ahora que está tan de moda revivir sucesos y acontecimientos de los años 70 y 80 (no hablo de D.C., sino del siglo pasado), antes de que existiese la necesidad de protegerse de los accesos exteriores de “curiosos” (por no llamarles de otra manera) a nuestras redes y sistemas, ya existía la preocupación por la seguridad. Recuerdo el primer sistema que vi en funcionamiento en una empresa: un IBM, del que no recuerdo el modelo pero posiblemente se llamaba P6 ó P36. El caso es que era similar a una máquina de escribir, con una esfera de caracteres que imprimía sobre el papel continuo todo aquello que se procesaba. Servía, además de consola de control del sistema y recepción de los mensajes del mismo, para obtener la salida de la información que procesaba el operador. El sistema operativo se cargaba mediante fichas perforadas, y cada uno de los programas con paquetes individuales de fichas muy similares, pero de colores diferentes. Contabilidad rosa, facturación verde, gestión de almacén azul, y sistema operativo gris. No existían usuarios y claves, ni tampoco bloqueos para el acceso, sino algo tan simple cómo un sitio seguro, como una caja fuerte controlada muy de cerca por la gerencia de la empresa. Al fin y al cabo, aquello había que protegerlo: había costado millones. Y entonces un coche de “categoría” valía 150.000 Pesetas.

Sin duda era la seguridad al uso, el no perder aquello por lo que se había pagado tanto. Sin embargo, debo decir que en aquella época no tenían consciencia del peligro que una máquina similar representaba: todo aquello que se imprimía en la consola acababa en la basura en forma de grandes cajas de papel continuo. Yo iba a la escuela en esa época, concretamente terminaba el bachiller y pasaba aquello que se llamaba reválida, y al salir de casa podía ver esas cajas de papel, e incluso utilizarlo para escribir en el reverso (sí, era buen chico y no cogía el extremo del papel y salía corriendo hasta la puerta del colegio con unos cuatrocientos metros de desastre detrás de mí).

Sin duda, situaciones tan aberrantes cómo aquellas en materia de seguridad de datos se seguirían viendo años después, y en la línea de una entrada anterior, debemos suponer que más de una empresa ha perdido sus clientes por saber la competencia el producto o productos que les servían, a qué precios y en qué escalado de tarifas según las cantidades servidas. De todos modos, en ocasiones da la sensación de que no nos hemos movido de los 70 en esa materia, cuando se encuentra en la basura de un juzgado los datos completos de maltratados y maltratadores en fichas perfectamente legibles.

Y a veces también nos preguntamos si es que las mentalidades de los empresarios formados entonces siguen ancladas en el pasado.

Esta mañana me he sorprendido al encontrar en mi buzón personal el siguiente e-mail (la ausencia de algunos acentos es del original):

Cuando uno oye hablar de espionaje industrial, la idea casi siempre va asociada a grandes “cosas”. A gigantes aeronáuticos —Boeing y EADS, por ejemplo— o automovilísticos —¿se acuerdan de Ignacio López de Arriortúa, popularmente conocido como Superlópez?—, a grandes despliegues tecnológicos como Echelon, o a informes de altos organismos internacionales advirtiendo del peligro de esta o aquella potencia económica emergente.

El caso es que, si nos atenemos a ese tipo de casos grandilocuentes, cualquiera se podría sentir más o menos a salvo; mucha gente con la que he trabajado, aunque no toda, parece haber respondido implícitamente a la siguiente pregunta: ¿quién podría estar interesado en la información que yo manejo? Pueden imaginar que algo como Nadie o Casi nadie es esa respuesta. Lo que me gustaría dejar claro con esta entrada, sin ánimo de meterle miedo a nadie, sino más bien al contrario concienciar, es que en realidad hay mucha más gente de la que parece interesada en esa información que usted cree que no interesa a nadie. Déjenme que me explique; hay un par de aspectos que me interesa comentar.

Hace ya unos cuantos meses introdujimos brevemente el concepto de entornos virtualizados, si recuerdan la entrada de nuestro compañero José Selvi. La cuestión es que cualquiera que haya tenido la oportunidad de “tocar” un entorno virtualizado ya sabe las ventajas que ofrece esta tecnología. Yo personalmente, aún recuerdo aquella época donde la llamada del operador 24 horas a las 2 de la mañana daba el inicio a una noche de nervios, crisis, backups y reinstalaciones hasta que el servidor volvía a la vida (si lo hacía).

Hoy en día, se pueden tener tranquilamente varios servidores “host” en un clúster albergando decenas de servidores virtuales. Estos servidores virtuales pueden migrarse de un host a otro en caliente, según se necesiten más o menos recursos; si hubiese un error crítico en uno de los hosts, automáticamente se balancearían todos los servidores virtuales de uno a otro. En resumen, llegas por la mañana, sacas un café y mientras lo saboreas te das cuenta que esa misma noche un “host” se ha apagado inesperadamente, pero que todos los servidores virtuales asociados siguen en marcha, esto es vida…

No sé hasta dónde llega su memoria histórica, pero es muy posible que recuerden el nombre de Enron, una empresa energética que se hizo mundialmente famosa por salpicar en un escándalo de fraude contable al actual presidente de los Estados Unidos a finales de 2001, y por desprestigiar gravemente a la conocida firma de auditoría Arthur Andersen. Quizá también les suene el nombre de Worldcom, que se declaró en bancarrota y ostenta el dudoso título de ser a día de hoy el mayor caso de bancarrota en la historia de EEUU (disculpen mi falta de vocabulario financiero técnico y/o legal); Enron le acompaña como segunda en el podio. Más allá de estos dos célebres casos, es posible que desconozcan que Tyco o Xerox estuvieron también implicadas en escándalos similares; y hay bastantes más.

Sin entrar en demasiados detalles, el denominador común a todos estos casos fue la utilización de “técnicas contables” que enmascaraban y ocultaban problemas financieros, que llegaban a ser de miles de millones de dólares, reflejando una falta de transparencia del gobierno empresarial y la situación contable y financiera. Noten que no he indicado que existiese una falta de control, porque dadas las características de dichos fraudes multimillonarios, en los que estaban implicados los principales responsables corporativos, no puede decirse que hubiese ausencia de control interno (aunque sí externo) en la medida en que las actividades fraudulentas eran premeditadas. Como respuesta a este tipo de fraudes, se introdujo en EEUU la ley conocida comúnmente como SOX, cuyo nombre completo es Sarbanes-Oxley Act of 2002.

Es complicado trabajar en el mundo de la seguridad. Estaba pensando emplear la palabra “duro”, en lugar de complicado, pero para ser justos creo que debemos dejar ese tipo de términos para otros trabajos que son “realmente duros”. Lo dejaremos simplemente en complicado.

Normalmente, los que nos dedicamos a estos menesteres, trabajamos para evitar que las cosas sucedan. Somos trabajadores incansables y silenciosos. Lo mejor es que se sepa que estamos pero que no se note. Este suele ser nuestro trabajo, pero digo suele porque no en todas las disciplinas nos ocurre lo mismo, como luego comentaremos. En los sistemas en explotación distribuimos sensores para enterarnos de las cosas, bastionamos equipos, configuramos redes y sistemas, diseñamos arquitecturas seguras, dibujamos nuestras trampas en las redes para que los “malos” caigan en nuestras redes y podamos “pillarlos con las manos en la masa”, compramos y ponemos hardware y software específico para levantar murallas virtuales (más feas que las de Carcassonne —véanlo ustedes mismos en la imagen adjunta— pero murallas al fin y al cabo). Todo con el fin último de defender nuestros bienes más preciados: nuestra información, nuestro conocimiento.

Si no conocen Google Chrome, es que han estado metidos debajo de una piedra estos últimos días. Para que se den cuenta de la relevancia del asunto, hasta los telediarios dieron la noticia sin que en ella mediase ninguna alusión a los innumerables peligros de Internet (crimen organizado, pederastia, sectas peligrosas, adicción al MSN, etc.). También estarán al tanto, si son habituales de esta página, de nuestra particular paranoia en torno a todo lo que suene a Google. Admito que quizá en algunas ocasiones (pocas) seamos algo desconfiados, pero en cuestiones de privacidad, más vale que sobre que no que falte. Y para qué negarlo, Google no deja de darnos razones para no quitarle la cruz, y luego verán porqué lo digo.

Antes de nada, he de decir que he probado Chrome, y es un buen producto. Tiene sus cosas, lógicas dado el estado “primitivo” de la aplicación, pero lo cierto es que para ser una primera versión beta “a perpetuidad”, como todo lo que Google lanza, tiene cosas muy buenas. Muy buenas, de verdad, sin ironías. Entre otras cosas, es un navegador impresionantemente rápido, sencillo, y lo que más me ha gustado, que aisla las pestañas unas de otras a modo de procesos independientes, de modo que el “cuelgue” de una de ellas no repercute en el resto de pestañas; algo que no entiendo como no se le ocurrió a nadie antes. No, no tengo intención de analizar a fondo la aplicación, ni de entrar en la discusión —muy interesante, sin duda alguna— sobre qué busca Google con este producto a nivel de mercado o qué debería pensar Microsoft de todo esto; eso lo dejo para otros foros. En definitiva, he de admitir que, como casi todo lo que hace Google, es un buen producto con un potencial impresionante.