Seguimos en esta segunda entrada de la serie (ver primera parte) definiendo e introduciendo algunos conceptos básicos relacionados con la gestión del riesgo y la seguridad. Como estrella de la serie, tenemos por supuesto el riesgo, que podemos definirlo como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa, el riesgo es una medición de las posibilidades de incumplimiento del objetivo planteado, y en lo relacionado con tecnología, generalmente determina el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a avería de disco, virus informáticos, etc.).

La Organización Internacional por la Normalización (ISO) define el riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:

Hoy he desayunado leyendo la última entrada de Enrique Dans en su blog, llamada “Trucos para quien depende de Gmail“. En la línea de sus aportaciones habituales, con las que se puede estar más o menos de acuerdo, Enrique aboga por el uso de Gmail para el usuario corporativo, diciendo que:

Con esta entrada damos comienzo a una serie de posts mediante los que intentaremos presentar situaciones que representan un “problema” (en el sentido más de “examen” del término) para el lector, y que a mi modo de entender pueden aportar luz sobre algunos aspectos de la LOPD. Nada complicado; realmente triviales para cualquiera que esté un poco metido en el tema.

Algunos de dichos “ejercicios” (no puedo evitar ponerlo entre comillas) estarán basados muy vagamente en ejemplos reales, y otros serán simplemente inventados; cualquier nombre de empresa que pueda aparecer es ficticio, como no puede ser de otra manera. Por último, y para finalizar este disclaimer, la solución que se propondrá (no sé aún si en el propio cuerpo pasados un par de días, en una entrada posterior o en el siguiente post de la serie) se facilita según nuestro mejor entender, sin que de ello pueda derivarse ningún tipo de responsabilidad. Dicho esto, vamos con el “problema”.

Del mismo modo en que para mí fue una novedad entrar en otro nivel del mundo de la seguridad informática, ya que los aspectos de mis anteriores ocupaciones estaban sobre todo orientados a solucionar los problemas que ya hubiesen surgido en los sistemas, periferia y redes, también puede serlo para algunas de las personas que leen el contenido de Security Art Work. Me refiero a responsables financieros, gerentes, directores de departamentos, o simples curiosos por saber de qué hablamos cuándo nos referimos a Seguridad Informática.

Para el resto, los expertos en SI, mis disculpas por entrar en niveles tan básicos, pero a veces se echa de menos un lenguaje más llano, o una definición sencilla que explique aquello en lo que nosotros estamos especializados. También se proporciona una visión global de aquellos aspectos en que la seguridad incide directamente a nivel económico. Lo que publicaré a lo largo de esta serie está extraído en parte de apuntes cuya trazabilidad es imposible resolver, por lo que no menciono autores de los párrafos extractados.

Después de leer lo que hace unos días publicaba Hispasec en relación con la particular forma de Adobe de sacar rédito a los problemas de seguridad, me parece indignante que algunos gigantes de software tengan, dicho en pocas palabras, “la cara tan dura”.

El caso es que en lugar de corregir los bugs de la versión 9, lanzan la versión 10, con algunas vulnerabilidades corrregidas y con alguna “funcionalidad aka vulnerabilidad” nueva. Estando en boga una serie de malware que se beneficia de una “función” (setClipboard) que permite modificar el portapapeles de tu sistema, la compañía libera la versión 10, que además incorpora otra función que permite leerlo. Vivir para ver.

Migren señores, migren. Pero sepan que su seguridad ni mejora ni empeora, simplemente se mantiene (igual de mal).

Ya lo dice el título: la LOPD está aún muy verde. Con esto no quiero decir que la LOPD o el RDLOPD necesiten cambios significativos, aunque sí, a pesar de la publicación del nuevo reglamento, siguen existiendo ciertas lagunas, indeterminaciones y ligeras contradicciones; no obstante, a eso ya nos tiene acostumbrados desde hace tiempo la Agencia. Por decirlo de alguna forma, es parte de su idiosincrasia; tiene sus cosas buenas y sus cosas malas, pero la aceptamos con cariño y resignación.

Lo que quiero decir es que casi 9 años después de la publicación de la Ley Orgánica de Protección de Datos (vamos a dejarlo en que la LORTAD, cuyo reglamento salió siete años más tarde de su publicación y fue utilizado como el reglamento de facto de una ley que no tenía reglamento, no cuenta) la adaptación de las empresas a ella es cuando menos relativa. Por supuesto, es significativo el incremento de regularizaciones y adaptaciones en los últimos años, que se reflejan al menos en el aumento del número de ficheros declarados ante el registro general de la AEPD (por algo se empieza). Tampoco hay que dejar de lado el aspecto “motivador” que supone la creciente actividad inspeccionadora y sancionadora de la Agencia; como una vez lo expresó un cliente, la decisión de adaptar o no una empresa a la LOPD puede valorarse en términos de riesgo, y es evidente que la probabilidad de sufrir una inspección ha aumentado en los últimos tiempos, bien sea por inspecciones de oficio, o mayor concienciamiento de la gente, recelosa de sus datos.

En primer lugar, decir que es desalentador el tono con el que algunos lectores de este blog hacen llegar sus comentarios. Les insto a que moderen sus formas ya que este pretende ser un foro de discusión técnica, donde argumentos y datos se superpongan a insultos y ofensas, que no tienen cabida. Dicho esto, me gustaría contestar uno a uno los comentarios realizados durante este fin de semana sobre el post de seguridad WPA anterior que ha aparecido recientemente en menéame.net.

Por lo que respecta al usuario Anónimo que afirma que el cálculo ha sido realizado para el caso peor, es decir aquel en el que la “Primary Master Key” (PMK) se encuentra al final de nuestro diccionario, estoy totalmente de acuerdo: se debería considerar el caso medio. Los cálculos reflejan el coste de computar las “Rainbow Tables” (tablas hash precomputadas) para un ESSID y una PSK concreta, obteniendo un ratio mas desalentador (300 p/s) del propuesto inicialmente en el post (400 p/s, y ya dije que fui benévolo) según el estudio realizado en el proyecto final de carrera adjunto [Seguridad en Redes 802.11, PDF, 5MB]. Para ello se compararon los dos algoritmos que actualmente pueden realizar ataques de fuerza bruta a WPA/WPA2: Cowpatty y Aircrack-ng, utilizando para ello diversos procesadores.

Se ha publicado recientemente que la empresa Elcomsoft ha desarrollado una nueva tecnología que permite utilizar la GPU de la tarjeta gráfica Nvidia para romper el cifrado de WPA/WPA2 hasta 100 veces más rápido que utilizando un PC normal [engadget, ItWire, securityandthe.net]. Aunque no dudo en absoluto que dicho anuncio sea cierto, permitidme una sarcástica carcajada para lo que es un phising comercial en toda regla, y veamos por qué.

Dado que la longitud mínima de una PSK de WPA o WPA2 es de 8 caracteres y el alfabeto manejado es de [A-Za-z0-9Sym32], tenemos (29+29+10+32)⁸ = 10.000.000.000.000.000 posibles palabras del lenguaje, que son… bastantes. Teniendo en cuenta que, siendo benévolo, los procesadores actuales mas potentes (utilizando el algoritmo de Aircrack) pueden a lo sumo barrer 400 palabras por segundo, y multiplicando por el incremento de la capacidad de procesamiento de la tarjeta Nvidia tenemos un total de 40.000 palabras del lenguaje por segundo.

Ahora que está tan de moda la Responsabilidad Corporativa y el Buen Gobierno (ver la reciente entrada de José Rosell), parece que los eventos que estamos viviendo a nivel mundial se empeñan en demostrarnos que éstas brillan por su ausencia, o que al menos se están entendiendo más como una moda o una cuestión de imagen de cara a la galería, que como un compromiso real. Sólo así se entienden hechos como el desplome financiero de grandes (y hasta hace poco, reputadísimas) entidades financieras que han incurrido en situaciones de riesgo operacional tan irracionales como irresponsables, o problemas como los que está sufriendo Islandia. Estos acontecimientos hacen cada vez más patente la necesidad de supervisión y control interno real en las organizaciones, y remarcan la necesidad (y al mismo tiempo, su insuficiencia) de la existencia de leyes como la SOX; evidentemente mejorables, pero imprescindibles.

Aunque también habría que implantar controles relacionados con la Responsabilidad Moral o Ética para algunas de estas empresas y sus directivos, pero para esto, así a bote pronto, me cuesta más plantearme el diseño de los controles. Discúlpenme, pero necesitaba desahogarme.

En una ocasión tuve la oportunidad de revisar el procedimiento que asegura que en una cadena de montaje el tornillo que sujeta la barra de la dirección de un vehículo se introduce correctamente, aspecto como comprenderán de vital importancia por sus implicaciones en seguridad. Dicho procedimiento era el siguiente:

1. Un operario colocaba el tornillo.
2. Otro operario apretaba dicho tornillo con otro par de apriete.
3. Un tercer operario pintaba de blanco el tornillo, y no por una cuestión estética, sino para obligar a que alguien tuviera que hacer algo sobre el tornillo existente.
4. Finalmente, un último operario de calidad revisaba que estaba dicho tornillo y además estaba pintado de blanco, y procedía a anotar el resultado en una hoja de control de calidad; por supuesto, si el operario no encontraba el tornillo no se limitaba a apuntar que éste no estaba y dejaba el coche continuar por la cadena de montaje como si nada.