No se si estarán de acuerdo conmigo en que la seguridad, antes que un conjunto de tecnologías, cortafuegos, VPNs, claves, normativas, manuales o sistemas de gestión, es una sensación subjetiva basada en una percepción: la confianza, la tranquilidad. Verán porqué les digo esto.

El pasado viernes por la tarde, mientras tomaba café en un bar, me dejé olvidadas las llaves junto con la cartera, la cual contiene la dirección de mi domicilio. Aunque recuperé ambas cosas pasadas unas horas, cuando me di cuenta de la pérdida, aparte de hacer ciertas gestiones necesarias, lo cierto es que no me quedé tranquilo sabiendo que alguien podía haber hecho una copia de las llaves en el tiempo que habían estado desaparecidas; ya ven, malpensado que es uno. Así pues, pensé que lo mejor sería cambiar el bombín de la cerradura (lo que la persona sujeta en la foto), y consultando con un amigo cerrajero, me indicó que yo mismo podía cambiarlo; en efecto, es extremadamente sencillo de cambiar. Así que me puse a ello; quité cuatro tornillos y saqué el bombín, y pasé un par de días buscando un reemplazo: un bombín de 70 mm, dorado, simétrico y anti-pánico (de doble embrague, lo que significa que aunque te dejes las llaves por dentro sigues podiendo abrir por fuera).

Como sabrán, de manera periódica publicamos una encuesta en el blog, que nos sirve para poder “tantear” determinados comportamientos o conceptos entre nuestros lectores, siempre teniendo en cuenta la limitada (pero muy respetable) audiencia con la que contamos; pueden encontrarla a la derecha de sus pantallas. Hace aproximadamente un mes y veinte días les preguntábamos por el uso que hacían de las contraseñas, teniendo en cuenta que hoy en día el que más y el que menos tiene usuario y contraseña en una docena de sitios públicos y privados. Hoy hemos decidido publicar otra encuesta, no sin antes hacer un par de comentarios sobre el resultado de la anterior.

El resultado, que pueden ver debajo, muestra lo que personalmente suponía: que la mayor parte de las personas (42%) gastamos un puñado de claves que vamos intercambiando entre diferentes sitios, lo que nos facilita su memorización y elimina el problema de tener que recordar N contraseñas (lo que hacen un 19% de los visitantes) que además hay que cambiar de manera periódica; al fin y al cabo, en el uso de claves se trata de hacer un balance entre comodidad y riesgo. Por mucho que nos esforcemos en utilizar claves complejas, u obligar a otros a utilizarlas mediante complicadas reglas de sintaxis (las hay verdaderamente difíciles de satisfacer), no hay que pasar por alto el hecho de que superando una determinada frontera de complejidad y cantidad de claves, entran en juego los post-its, las libretas y utensilios “recordatorios” de similar calado, que reducen significativamente su seguridad, sobre todo cuando vamos a entornos públicos como el trabajo.

El uso de cámaras de seguridad en lugares de pública concurrencia siempre ha despertado posiciones enfrentadas; mientras que una parte de la población está a favor de su uso, por el supuesto incremento en la seguridad ciudadana que proporcionan, otro porcentaje está completamente en contra, argumentando que las cámaras causan una pérdida de privacidad en sus vidas. Frente a esto, el hecho cierto es que en muchas calles de nuestros pueblos y ciudades, y cada vez con mayor frecuencia, se están instalando cámaras de videovigilancia.

¿Por qué se instalan cada vez más cámaras? Las cámaras de seguridad tienen dos objetivos básicos: por un lado, la disuasión (si alguien se siente vigilado, es menos probable que cometa un delito), y por otro, la recopilación de evidencias para demostrar la comisión de delitos, por ejemplo en un juicio. Con estos dos objetivos en la mente, y considerando los niveles de inseguridad ciudadana que existen en determinadas zonas, se motiva que en ellas se instalen cámaras, tratando así de incrementar la seguridad de viandantes y vecinos.

Aunque supongo que tod@s los lectores conocerán el término SOC (Security Operation Center), creo que es importante aportar nuestra visión particular sobre los objetivos y el funcionamiento de los mismos a través del análisis de distintos tipos de Centros de Seguridad que hemos tenido la oportunidad de conocer y estudiar en alguno de los proyectos que hemos realizado; ésta es la primera de las entradas semanales que dedicaremos a este tema.

Un Centro de Seguridad en general y un Centro de Seguridad Gestionada (SOC) en particular, es un centro de servicios especializado en la prestación de servicios de seguridad a sus clientes. Los Centros de Servicios, en general, son centros especializados en la provisión de servicios de valor añadido a sus clientes que buscan de forma incesante la gestión eficaz y eficiente de sus recursos humanos y materiales para la consecución de sus objetivos.

Uno de los ejemplos de cosas chocantes pero muy comunes que nos encontramos en diferentes redes cuando realizamos tests de intrusión es la variopinta cantidad de servicios presentes en las redes DMZ. En su definición más sencilla, una DMZ es una red que se encuentra expuesta a las conexiones entrantes de Internet, y por ello queda recluida en un segmento de red cuyo tráfico saliente se encuentra lo más restringido posible.

Sin embargo, basándose en esta definición, los administradores de sistemas y de redes colocan en la DMZ todo tipo de sistemas sin pensar en el flujo de las comunicaciones y en los posibles ataques, lo cual tiene como consecuencia que desde ella sea posible realizar ataques muy peligrosos. Un ejemplo claro y muy extendido es la colocación de los terminadores de túneles VPN en la DMZ. Cuando un terminador de túneles se situa en la DMZ, la conexión tanto de usuarios como de otras delegaciones sigue un esquema como el siguiente:

Ya lo hemos comentado otras veces: uno de los principales problemas en las organizaciones es el uso de soportes extraíbles tales como USBs, CDs o DVDs. A menudo la información sale y entra de la organización sin que haya ningún tipo de control sobre ella, y teniendo en cuenta que los dispositivos USB cada vez son más pequeños y tienen mayor capacidad, la verdad es que puede llegar a ser es un problema. Probablemente cualquiera de ustedes se habrá visto en esa situación en la que no sabe dónde está ese USB que necesita para llevarse a casa un informe, una oferta, o similar; y lo peor no es eso, sino que además de no saber dónde está el USB (probablemente en cualquier rincón de su cajonera, de la cajonera de un colega, perdido por casa o peor, en la mochila o estuche de su hijo), ignora qué contenía y para qué lo utilizó la última vez, ya que hace mucho que no lo utilizaba.

Les voy a dar una buena noticia, sobre la que cada vez tengo menos dudas: dentro de unos años los USBs dejarán de utilizarse. Pero al mismo tiempo, tengo que darles una mala: en su lugar, utilizaremos los dispositivos móviles, que cada vez traen tarjetas de memoria de mayor capacidad; el Nokia N85 que tengo trae ya 8 GB, lo cual es más que suficiente para almacenar cualquier tipo de archivos, y la mayor parte de los móviles de nueva generación traen capacidades de almacenamiento inimaginables hace tan sólo un lustro.

Es mi intención en este post contarles mi reciente experiencia/susto cuando me enteré de que alguien había hecho cargos en mi VISA por casi 1.500 €. Espero que le sea de utilidad a cualquiera que se pueda ver en una situación similar.

Hace un par de semanas, mientras estaba trabajando, me llegaron a mi móvil cuatro SMSs avisándome de la realización de compras con mi tarjeta VISA. En total, las cuatro compras sumaban 1.440 €. Lo primero que hice fue comprobar que tenía la tarjeta VISA conmigo. Una vez comprobado que no me habían robado la tarjeta me conecté a la página de mi banco, para ver los movimientos de la tarjeta. Comprobé que aunque los movimientos correspondientes a los avisos que me habían llegado por SMS no aparecían en el extracto online, sí aparecía el correspondiente importe como dispuesto. Esto es lo habitual, ya que al menos en las dos tarjetas que yo uso, el importe dispuesto se actualiza al instante pero los movimientos tardan al menos dos o tres días en aparecer.

Después de ver los enemigos de los parches, esta vez toca hablar de los enemigos de la seguridad perimetral. En principio, todo apunta a que esto debería de ser una tarea muy sencilla, basada en la regla “sólo se deben de habilitar los permisos que sean necesarios”. Sin embargo, con rascar un poco sobre la superficie, es habitual ver grandes errores en la configuración y problemas en la gestión perimetral de las organizaciónes. En esta entrada vamos a comentar los enemigos técnico, estructurales y organizativos que hacen que aparezcan problemas en la seguridad perimetral de las organizaciones. En otras palabras, cómo es posible que se llegue, sin darse cuenta, a situaciones en las que la arquitectura de la red, o la reglas y ACLs implantadas no son correctas desde el punto de vista de la seguridad.

— Las prisas. Este es un problema típico de la seguridad en todos los niveles, y por tanto, también de la seguridad perimetral, que produce situaciones como “Esto tiene que salir a producción ya”, “Tú abre los puertos para que funcione para ver si es eso y luego ya veremos”, “Tú dale usuario y contraseña de la VPN y luego lo gestionamos como toca”, etc.

Solución: Debe considerarse la parte de comunicaciones y seguridad perimetral como una parte de cualquier proyecto de implantación.

Ni los hijos ni los sistemas de información vienen con el bocadillo debajo del brazo, y eso lo sabemos todos desde hace mucho tiempo, ¿no? Sí, son un gasto, a la vez un peligro, pero gracias a ellos somos capaces de incrementar nuestra productividad hasta límites jamás imaginados, y los países, las sociedades que no apuestan por su uso decididamente, son penalizadas. No tenemos que irnos muy lejos para analizar esta afirmación. España, séptima potencia económica mundial —hasta hace poco al menos—, tiene una productividad que nos sitúa en puestos de economía en vías de desarrollo.

Las tecnologías de la información y las comunicaciones han traído progreso, la globalización, han reducido costes, han cambiado la sociedad, han reducido la distancia entre el primer y el tercer mundo, pero no han venido sin un coste asociado.

¡Ya está bien! Aunque todo esto sea cierto también nos han traído cosas malas, muy malas; la energía nuclear nos ha regalado muchas cosas buenas, y de todos es sabido que ha traído cosas malas, debido a su mal uso…

Hace unos días en la comunidad en la que vivo se llevo a cabo una medida que me llamo mucho la atención y que me hizo reflexionar: se reordenaron los buzones de los vecinos del portal.

Como pasa en todos los edificios de vecinos, cada domicilio tiene asignado un buzón para el correo postal, que se encuentra en la entrada y que generalmente suele ser el receptor de facturas y publicidad a partes iguales. Pues resulta que el orden en el que estaban situados los buzones no cumplía las especificaciones descritas en el Real Decreto 1829/1999, el cual recoge las directrices concretas para llevar a la práctica lo que establece la Ley del Servicio Postal Universal y de Liberalización de los Servicios Postales.

Para ajustarnos a la normativa vigente, en la comunidad se procedió a la reasignación de los buzones. Pero cuál fue mi asombro cuando descubrí que la reordenación se limitó a cambiar los cartelitos donde pone el nombre de las personas que viven en cada domicilio, y al pertinente intercambio de llaves entre los propietarios, sin cambiar las cerraduras. Dicho de otra forma: la llave que yo tenía de mi buzón sigue abriendo ese buzón aunque ya no sea el que me corresponda.