Hace ya años que quiero publicar, por estas fechas, un post (quizás algo offtopic, ustedes dirán ;) que hable de la seguridad -de las personas en este caso- a la hora de disfrutar de una afición que muchos compartimos: el estudio de las setas y hongos, el interés por su identificación y recolección y, por supuesto, su valor gastronómico. Por estas fechas por un motivo obvio: estamos ahora en la temporada de setas por excelencia, ya que aunque setas hay todo el año es en primavera, y sobre todo en otoño, cuando más ejemplares y de más especies podemos encontrar en nuestros bosques, y por tanto cuando nos lanzamos, cesta en mano, a su recolección…

Este año no ha sido especialmente bueno en -creo- ningún punto de España para los aficionados a la micología; un verano demasiado seco y caluroso, y las lluvias otoñales que se han hecho esperar más de lo debido, han motivado que en la mayor parte del país podamos disfrutar más bien poco de una jornada en el campo buscando setas… y contando con que el invierno -y por tanto el hielo y la nieve- están al caer, la temporada podemos decir que está siendo más bien inexistente. Pero aún así, ayer ya aparecía en los medios el primer caso de muerte esta temporada por ingesta de setas en Mataró (Barcelona). Todos los años fallecen varias personas por este motivo: la ingesta de setas tóxicas. Muy pocas setas son mortales, pero si tenemos la desgracia de consumir alguna de ellas, las consecuencias son claras…

La semana pasada Justo Zambrana, Secretario de Estado de Seguridad, alertaba de la debilidad de las infraestructuras críticas en lo que a tecnologías de la información se refiere y hablaba del riesgo de ciberataques contra éstas; unos días más tarde, este mismo fin de semana, ha saltado a los medios ([1], [2], [3]…) el supuesto ataque telemático contra una planta de tratamiento de agua en Springfield (Illinois) -no, no es el Springfield en el que estais pensando…-. Unos piratas rusos -presuntamente- han conseguido romper la seguridad de los sistemas SCADA de la planta y quemar una bomba de agua; aunque no parece haber habido problemas de abastecimiento para la población, se trata del primer ciberataque contra una infraestructura crítica estadounidense según Joe Weiss, reconocido experto en la materia, y el problema no parece ser lo que los piratas hayan hecho, sino (a) lo que han podido hacer y (b) el tiempo que los responsables de la planta han tardado en detectar y reaccionar…

Sea o no cierto que el ataque se ha producido, sea o no cierto que se ha producido desde Rusia contra los Estados Unidos -en recuerdo de épocas pasadas-, sea o no cierto que no ha habido riesgo de desabastecimiento -o de algo peor- para la población, el caso es que esta noticia, este hecho, viene a poner de nuevo en el punto de mira -y ya van muchas veces- la seguridad de nuestras infraestructuras críticas no sólo desde el punto de vista tradicional sino también desde el punto de vista “cibernético”. A los componentes de seguridad “clásicos”, como la protección mediante personas frente a ataques físicos del enemigo, se han añadido estos años componentes de seguridad menos habituales, fruto de la convergencia de la seguridad de la que tanto se ha venido a hablar durante la primera década del siglo. Dicho de otra forma, si hace dos mil años la única manera de atacar una infraestructura crítica era mediante el uso de ejércitos a pie o caballo, o si hace cincuenta años la única forma de hacerlo era mediante ejércitos con tanques, barcos y aviación, hoy en día a estas tres armas se une un punto de vista adicional: el de la ciberguerra. O el del ciberterrorismo. O simplemente, el del cibervandalismo. Acciones clásicas con el prefijo “ciber”, que viene a decir que se desarrollan a través de redes de computadores. Sin un despliegue de miles de hombres y sin un nivel de riesgo considerable para el atacante, estas acciones pueden llegar a sustituir a –o al menos, convivir con- las anteriores, constituyendo un nuevo escenario de seguridad y defensa que preocupa a todos los estados del mundo: el de la ciberseguridad y ciberdefensa, en especial en lo relativo a protección de infraestructuras críticas.

Hace ya tiempo que venía pensando en poner un post cifrado (GPG con clave simétrica) en Security Art Work para ver quién era capaz de romperlo, pero esto me planteaba dos problemas: si nadie lo rompía -que confío en que sea lo normal-, todos íbamos a decir que vaya reto más complicado… y si alguien era capaz de descifrarlo me empezaría a asustar :) Así que decidí incorporar algún tipo de pista que hiciera fácil el romper el post cifrado. Para no andar con adivinanzas raras, del tipo “la clave es la fecha de nacimiento de Phil Zimmermann XOReada con el número de seguidores del blog a fecha 15/04/2009 y restándole 3“, pensé que lo mejor era meter la clave de cifra en el propio mensaje cifrado. Pero esto tenía una complicación: dado un texto en claro y una clave de cifra, yo no sé si el mensaje cifrado contendrá una cadena concreta, en este caso la correspondiente a la clave… ¿o sí?

La verdad es que hace muchos años, tras leer el “Applied Cryptography” de Bruce Schneier, me dí cuenta de que ni tenía ni seguramente jamás conseguiría la base matemática suficiente para aprender criptografía “en serio”; era un tema que me interesaba pero, dentro de la seguridad, no era para mí lo más apasionante… Por tanto, a partir de ese momento he sido un simple usuario de aplicaciones de cifrado, con unos conocimientos básicos de criptografía o criptoanálisis para poder hablar del tema tomando un café pero por supuesto sin poder ir más allá. Vamos, que cuando Jorge Ramió habla de ataques complejos sobre el algoritmo lo-que-sea me quedo con la boca abierta :) Así, tras más de quince años usando PGP/GPG, la verdad es que jamás me había planteado nada más allá de su uso habitual: cifra, firma, anillos, confianzas y demás… pero nunca es tarde :)


-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.6 (GNU/Linux)
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=MICp
-----END PGP MESSAGE-----


Hemos decidido cifrar el post de hoy por varios motivos: cifrar la información siempre queda bien si hablamos de seguridad, no había visto nunca un post cifrado en un blog, tengo mucho trabajo y no me da tiempo a preparar una entrada en condiciones, se acerca el fin de semana -puente para algunos afortunados- y qué mejor que GPG para pasar un rato entretenido… en fin, excusas. La cuestión es que está cifrado para que ustedes, si tienen un hueco, lo descifren y disfruten de una interesante lectura :)

1. Si mis datos no fallan, dentro de la Guardia Civil se instaura el Grupo de Delincuencia Informática hacia 1997, a cargo del Teniente Anselmo del Moral; desde 2000 hasta este mismo año el Grupo ha estado liderado por el Comandante Salom, y en estos momentos por ti. Ha llovido mucho estos años y, cambios de nomenclatura aparte, ¿cómo ha sido la evolución del Grupo durante este tiempo?

Si hace unos meses nos dejó Robert Morris, esta mañana nos enterábamos de la muerte el pasado domingo de Dennis Ritchie, dmr. Otro de los grandes que se va en este annus horribilis :(

Dudo que dmr necesite ningún tipo de presentación; jamás diseñó un iPhone o un iPad, pero entre sus pequeños aportes a la informática actual destacan el lenguaje de programación C (si alguien no se ha leído el K&R ahora es un buen momento para hacerlo y homenajear así a la R) o, junto a Ken Thompson, el sistema operativo Unix. Ahí es nada. Eso sin contar trabajos menos populares que Dennis Ritchie lideró o en los que participó de forma muy directa, como Plan9, Inferno o Limbo.

Estos trabajos le valieron a Dennis Ritchie todo tipo de premios y reconocimientos -entre ellos el Premio Turing de la ACM, quizás lo más parecido al Nobel en el campo de la informática- pero, sobre todo, la admiración de millones de personas que hemos devorado buena parte de lo que dmr escribía, usado y administrado sistemas operativos como Unix, programado en lenguajes como C y, en definitiva, tratado de aprender una milésima parte de lo que este genio ha aportado a la tecnología.

Hace unos meses en este mismo blog hablábamos de la posible necesidad de proteger a los peritos mediante una TIP o similar, de forma que se garantice el anonimato de la persona que firma un informe y que puede llegar a comprometer a una de las partes implicadas o a ambas. En ese post lanzábamos algunas cuestiones que desconocíamos y a las que ningún lector dio respuesta, con lo que estas vacaciones me animé a buscar algo más de información sobre el tema; no creía -y estaba en lo cierto- que fuera el primero que se planteaba algo tan simple…

Investigando un poco, aparece la Ley Orgánica 19/1994, de 23 de diciembre, de Protección a Testigos y Peritos en Causas Criminales. Esta Ley presenta unas disposiciones que según se indica en su artículo primero, serán de aplicación si la autoridad judicial aprecia racionalmente un peligro grave para la persona, libertad o bienes de quien pretenda ampararse en ella, su cónyuge o persona a quien se halle ligado por análoga relación de afectividad o sus ascendientes, descendientes o hermanos. Vamos, que si el juez lo considera, se puede proteger convenientemente al perito, de forma que no aparezca en el informe ningún dato identificativo de éste, que se evite la identificación visual durante la declaración y que a efectos de notificaciones figure el domicilio del juzgado. Es más, se puede incluso proporcionar -imagino que ya para casos muy excepcionales- incluso protección policial, una nueva identidad y salvaguardas similares.

¿Nos vamos de vacaciones? Será porque estamos a finales de julio. Será por el título del post. O será por la foto de esta entrada, que es la de todos los años por estas fechas y significa una cosa: que nos vamos de vacaciones. Pero a diferencia de otros, este año el que se va NO es Security Art Work sino algunos de los autores, que iremos repartiéndonos unos días de descanso como buenamente podamos (algo es algo). Seguiremos publicando entradas en agosto, aunque obviamente a un ritmo menor que durante el resto del año…

Como en agosto no “cerramos” el blog no vamos a repasar qué ha sucedido de relevancia durante estos once meses -en lo que a seguridad se refiere-, a recordar algunos posts de este periodo o a despedirnos hasta septiembre. Lo que sí queremos hacer es, como cada año por estas fechas, dar las gracias a todos los colaboradores y lectores de Security Art Work, en especial a los que han participado de una u otra forma en el blog durante este tiempo.

Esta semana hemos leído la noticia de la muerte, a los 78 años de edad, de Robert Morris, a causa de complicaciones en una grave enfermedad que venía arrastrando. Una noticia triste para todos los que trabajamos en seguridad o tecnología. Un pionero cuyos trabajos muchos hemos seguido -o intentado seguir- de cerca y muchos más han utilizado, casi seguro que sin saberlo, de forma directa o indirecta.

Ahora hablamos de grandes sistemas virtualizados, sistemas operativos para móviles, programas Hola, mundo! que ocupan gigas y gigas de RAM, que si Debian o Ubuntu… En los años 70 Robert Morris fue una pieza clave para el diseño del sistema operativo Unix junto a personas como Ken Thompson o Dennis Ritchie. Las funciones de cifrado o el sistema de autenticación de usuarios de los Unices clásicos se los debemos a él, por citar solo unos ejemplos.

El pasado martes estuvimos analizando algunos aspectos del ENS y de la Ley de PIC en una sesión de trabajo junto a amigos y compañeros del mundillo de la seguridad; al hablar de Protección de Infraestructuras Críticas, uno de los puntos de debate fue la obligatoriedad de que el Responsable de Seguridad y Enlace disponga de la habilitación de Director de Seguridad expedida por el Ministerio del Interior, según lo previsto en la normativa de Seguridad Privada, marcada explícitamente en el artículo 16 -si no me equivoco-. Por supuesto, esta obligación generó algo de polémica, ya que el planteamiento es que si buena parte de los riesgos provienen del ámbito tecnológico debería o bien indicarse como requisito algún título, certificación, habilitación… adicional al anterior (o incluso que lo sustituya) o bien dejarse abierto, sin definir ninguna restricción en la Ley en cuanto a requisitos para el Responsable de Seguridad y Enlace. Evidentemente, el foro incitaba al debate porque todos los que participábamos proveníamos del ámbito de las TIC; si la reunión la hubiera organizado AVADISE, por poner un ejemplo, ni siquiera se habría comentado este punto, ya que lo consideraríamos algo normal… ¿verdad? :)

Mis argumentos en este caso fueron de apoyo total a la Ley y a la restricción que impone. Nos guste o no, las figuras definidas en la LSP son las únicas existentes en materia de seguridad -ámbito privado, por supuesto- en España, con lo que si tenemos que definir algún rol “reconocido”, debe ceñirse a estas figuras (y por supuesto, a la hora de hablar del Responsable de Seguridad y Enlace, la figura adecuada es la de Director de Seguridad, ¿verdad?). A partir de ahí, algunas consideraciones: