En el último post hablábamos de los “típicos tópicos” que todos hemos usado, en mayor o menor medida, a la hora de hablar de seguridad: que si es una cadena que falla si lo hace su eslabón más débil, que si el único sistema seguro es aquél que está apagado, enterrado y no sé cuántas cosas más… Dentro de estos tópicos, también decimos siempre que las personas son, o suelen ser, el punto más débil de la seguridad; efectivamente, yo estoy convencido de que es así, y por tanto, aparte de cortafuegos, sistemas de detección de intrusos, antivirus y demás, algo tendremos que hacer para que las personas no introduzcan riesgos significativos para nosotros. Ya hablamos en su momento del riesgo humano y de la monitorización de personas en base a perfiles que se planteaba en la USAF, post que levantó algunas ampollas y planteaba más de una cuestión que se dejó en el aire :)

Sin ser tan estrictos como en el ejército estadounidense ni entrar en potenciales violaciones de intimidad, creo que todos estaremos de acuerdo en que las personas son un elemento clave para el éxito de cualquier proyecto, empresa, organización, colectivo o mil cosas más; en concreto, desde el punto de vista de protección del negocio, las personas son un aspecto crítico para la seguridad corporativa: de su buen hacer depende que seamos seguros (físicamente, legalmente, reputacionalmente…) o que no lo seamos en absoluto. Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa.

La semana pasada estuvimos en la tercera edición de Seg2, el encuentro de seguridad integral que como cada año organiza Borrmart; la verdad es que la agenda del evento pintaba muy bien, con gente de reconocida trayectoria en el ámbito de la seguridad integral -tanto provenientes de la parte física como de la parte lógica-. Tenía especial interés en escuchar a dos referentes de la seguridad en España: Andrés Martín, de NovaCaixaGalicia, y Guillermo Llorente, de MAPFRE; ninguno de ellos defraudó :)

Tras la apertura del evento, comenzaron Andrés Martín y Emilio Santos, de NovaCaixaGalicia, mostrando cómo gestionan la seguridad en su organización, desde un punto de vista integral, con dos cabezas pero con un único cerebro; Andrés, como siempre, sin pelos en la lengua, dejó claro que en general seguimos a algunos añitos de los USA, aunque vamos por el buen camino (detrás de ellos, pero por buen camino). Tras ellos, Jesús Jiménez, Director de Operaciones de EULEN, describió cómo tienen organizado su Departamento de Inteligencia y nos recordó la importancia de la inteligencia en seguridad (otras empresas, como S21Sec o nosotros mismos, también estamos trabajando en este ámbito, con o sin departamento independiente).

Continuamos hoy con la segunda y última parte de la extensa entrevista a Jorge Ramió que iniciamos ayer; confiamos en que sea de su agrado.

5. Como experto en Criptología, una pregunta que no puede faltar. ¿Son seguras nuestras comunicaciones habituales frente a los delincuentes? ¿Podemos estar tranquilos al hablar por el móvil, al enviar un correo electrónico cifrado con PGP o al utilizar la banca online?

Sí, son seguras. La inseguridad es más nuestra, de los humanos, que de los sistemas. Es obvio que incluso el sistema más protegido siempre puede ser vulnerado, que existe malware zero-day y todo eso, la historia nos ha dado muchos ejemplos, pero lo cierto es que el eslabón humano es el más débil de toda la cadena de seguridad, una frase repetida miles de veces pero no por ello menos cierta.

Sin caer en paranoias y hablando siempre de un usuario final que es por donde va tu pregunta, un poco de sentido común y tener el sistema operativo y un antivirus siempre actualizado, debería ser suficiente para no pasar malos momentos. Como usuarios y personas comunes, en el sentido de que no somos un alto cargo del Ministerio de Defensa, ni en la OTAN, ni los directivos de una gran multinacional me refiero, es muy poco probable que suframos ataques directos. En todo caso, serían ataques masivos como por ejemplo un phising de banca online al haberse instalado malware en nuestro PC. Si ese malware está ahí, lo más probable es que no hayamos cumplido la premisa indicada anteriormente: sentido común + S.O. actualizado + antivirus actualizado.

Para los más viejos del lugar no es necesaria ninguna presentación de Jorge Ramió; por si hay alguien que no lo conozca, Jorge es —aparte de un amigo— Doctor Ingeniero de Telecomunicación, profesor de la Universidad Politécnica de Madrid y desde hace más de dieciséis años imparte docencia en el ámbito de la seguridad, tanto en España como en Latinoamérica.

Criptólogo de referencia a nivel nacional, lidera además iniciativas como Criptored, red temática de criptografía y seguridad de la información, es ponente habitual en congresos de todo el mundo y por falta de espacio no podríamos citar ni una milésima parte de sus publicaciones y trabajos en la materia :)

1. Jorge, en primer lugar agradecerte tu colaboración en esta entrevista; es un lujo contar con tu opinión en este blog. La primera pregunta que nos gustaría hacerte es casi obligada. Eres una persona que lleva muchos años en el mundo de la seguridad y podemos considerarte uno de los principales referentes en Criptología a nivel nacional. ¿Cómo has visto la evolución en seguridad en nuestro país durante estos años? ¿Vamos a mejor? ¿Vamos a peor? ¿Seguimos igual?

Hola Toni, es un verdadero placer que de vez en cuando se acuerden de ti y haya gente que se interese por lo que algunos estamos haciendo, o al menos intentamos hacer, en este mundillo de la seguridad de la información. No obstante, primero que nada una aclaración necesaria: suena muy hermoso eso de criptólogo y referente a nivel nacional, pero no llegamos a tanto ni mucho menos. Es más que suficiente indicar que soy un estudioso y trabajador de la seguridad y de la criptografía y que, efectivamente y eso es verdad, llevo más de 15 años dedicado a la seguridad.

Recientemente he estado otra vez en un juicio por lo penal como perito; como ya comentamos hace unos días, los juicios siempre son desagradables, pero los penales aún más si cabe, tanto por el “público” que te rodea antes de entrar a declarar -o en ocasiones incluso dentro- como por lo que sabes que se están jugando los acusados: penas de cárcel.

Esta vez, en las largas horas de espera antes de declarar, estaba de nuevo dándole vueltas a una idea que cada vez que voy a los juzgados de lo penal me vuelve a la cabeza: la necesidad de identificar al perito en los informes que firma. Cuando llaman a declarar a un Policía Nacional o un Guardia Civil lo hacen por su TIP (Tarjeta de Identidad Profesional), y lo mismo sucede cuando estas personas firman un informe: jamás se indica nombre o apellidos, domicilio o ningún dato que identifique de forma directa a la persona, por motivos obvios de seguridad; así, nadie identifica a Pepito Pérez, policía, sino al funcionario del CNP con TIP XXXXX. Algo parecido sucede con el personal de seguridad privada: si actúo como Director de Seguridad, dejo de ser Toni Villalón para ser el Director de Seguridad con TIP YYYY.

Con el presente post nos despedimos hasta el martes próximo; pasen ustedes una feliz Semana Santa y cuidado en la carretera, que no nos sobra ningún lector ;)

Hace ya algún tiempo -bastante- publicamos en Security Art Work una entrada relativa a cosas que escucho en el bus; muchas veces me acuerdo de este post -obviamente porque sigo escuchando cosas interesantes por aquí y por allí- pero hace unos días ya llegué a un extremo que no me había pasado hasta el momento; fue durante un juicio al que acudía como perito. Aparte de lo desagradables que son los juicios, sobre todo los de lo penal y los juzgados de familia, y las horas de espera con poco o nada que hacer hasta que te llaman a declarar -los peritos vamos al final-, siempre me ha llamado la atención la “alegría” con que los abogados dejan a la vista de desconocidos documentación o comentan aspectos del juicio y la estrategia que van a seguir sin ningún pudor, delante de quien sea. Pero este caso ya se llevó la palma; por circunstancias que no vienen al caso, al entrar en el juzgado -que no en el juicio- y comenzar esas apasionantes horas de espera que comentaba, me senté relativamente lejos de nuestro cliente y sus testigos, solo en un banco. Tras unos minutos leyendo el correo electrónico y contestando a algún mail atrasado, llegaron unas personas y se sentaron a mi lado. Por supuesto, enseguida me dí cuenta de que se trataba de la parte contraria, con su abogado a la cabeza, así que no pude por menos que prestar atención a lo que decían :)

El pasado mes de marzo AENOR publicó la norma UNE 197001:2011, Criterios generales para la elaboración de informes y dictámenes periciales; se trata de una norma muy sencilla y escueta -ocho hojas en total, de las cuales únicamente cuatro son “de contenido”-, cuyo objetivo es establecer una garantía para asegurar que las actuaciones periciales son adecuadas al uso al que se destinan. Obviamente una norma de este tipo no entra al detalle de métodos o procesos específicos para la elaboración de informes en campos concretos, sino que únicamente establece consideraciones generales y requisitos formales para las pericias (aprovechamos para pedir alguna norma específica bajo el marco de UNE 197001 relativa a las pericias informáticas, o tecnológicas en general, que seguro que da para mucho más que un post ;).

Lo que esta norma viene a establecer, como decimos, es tan escueto como la estructura deseable en un informe pericial ajustado a la norma: identificación, índice, cuerpo -compuesto por objeto, alcance, antecedentes, consideraciones preliminares , documentos de referencia, terminología, análisis y conclusiones- y anejos si corresponde; un espacio para el juramento o promesa y unas características para la identificación correcta del informe pericial; poco más, porque desde luego lo que no es de aplicación en UNE, ISO u otros estándares, al menos por el momento -ójala algún día lo sean-, son metodologías técnicas propias (análisis forense, preservación de evidencias, gestión de incidentes -desde el punto de vista pericial-…). En este campo ya jugamos con estándares de facto -además con varios, para poder elegir el que más nos guste- y queda a disposición del buen hacer del perito el aplicar uno, otro o ninguno: seguramente al juez o al abogado le va a dar igual.

Hace unas semanas estuve en las X Jornadas SID, organizadas desde el Ministerio de Defensa; aparte de charlas más o menos curiosas -la valoración global de las jornadas para mí fue bastante positiva-, tenía un especial interés por una mesa redonda que cerraba -justo antes de la clausura oficial- las jornadas y cuyo título era “Convergencia de las seguridades”.

Para ser sincero, quedé un poco defraudado con esta mesa. Hace ya unos cuantos añitos que empezamos a hablar de convergencia por estos lares, tanto en proyectos en los que estuvimos trabajando como incluso en este mismo blog, pero mi impresión a nivel general es que hemos avanzado poco o nada en la materia (viendo la mesa redonda, podría haberse celebrado casi de forma idéntica en 2006 o 2007). Seguimos teniendo, con algunas excepciones, muchos casos de una convergencia only available for Powerpoint: queda muy bien para escribir un libro o para hablar con los amigos, pero en la práctica cada seguridad se la guisa y se la come, como se suele decir, un grupo diferente con poca o ninguna relación establecida formalmente. Ojo, no quiero decir que las empresas que participaban en la mesa redonda estén en dicha situación -no las conozco a ese nivel-, sino simplemente que de la teoría a la práctica suele haber un mundo.

Llevaba alguna semana queriendo escribir un post de la serie GOTO dedicado a los periodistas, tal y como adelanté hace cosa de un mes en la entrada relativa a los ciberataques sufridos por la GVA. He intentado resistirme un poco -más por falta de tiempo que otra cosa-, pero leyendo las últimas noticias sobre el peligro nuclear en Japón que todos los medios generalistas están lanzando no he podido aguantarme… Y es que tenemos periodistas -no todos, obviamente- que no distinguen asterisco de asteroide, pero no contentos con ello transmiten al público general su vasto conocimiento sobre cualquier materia y se quedan tan panchos, satisfechos del trabajo realizado.

Con el tema de los ciberataques contra GVA ya dimos unas pinceladas del saber hacer de estos periodistas; ahora con el debate que se está abriendo sobre la seguridad nuclear siguen cubriéndose de gloria, y encima lo mezclan con la entrada en Cofrentes de unos activistas de Greenpeace hace unas semanas, poniendo este acto como ejemplo de “inseguridad” en las centrales nucleares españolas. Por favor, no mezclemos churras con merinas. Que las centrales nucleares -y otras infraestructuras críticas- de nuestro país sean o no vulnerables no depende de que unos ecologistas capaces de evitar -con presunta violencia- a los vigilantes de seguridad (o a la Guardia Civil si se diera el caso) se cuelen tras la verja de una central. ¿Qué pretenden los periodistas, que disparen con armas de fuego a estos activistas para demostrar lo seguros y fuertes que somos? Venga, hombre… la que se habría montado, y con razón.

Durante el pasado viernes 18 de febrero se organizó, principalmente a través de Twitter, un ataque DDoS contra la página web principal de la Generalitat Valenciana, debido al cese de las emisiones de TV3 en la Comunidad Valenciana. Creo necesario un post dedicado a este ataque, primero porque se ha materializado en nuestra Comunidad y segundo porque es un buen ejemplo (más) del uso de redes sociales -o Internet en general- para organizar este tipo de acciones de forma rápida, sin ningún tipo de coste y sin un respaldo considerable detrás; vamos, que se demuestra una vez más que con una conexión a Internet, un pequeño grupo -o grande, quién sabe- pone en jaque, o al menos en alerta, a todo un gobierno autonómico…

El ataque en cuestión consistía en utilizar la herramienta LOIC (y Mobile LOIC, desde páginas de PasteHTML) para generar tráfico masivo contra la web de GVA, proporcionando instrucciones detalladas de cómo utilizar el programa. Todo esto a una hora concreta: las 19:30 del viernes, aunque finalmente hubo algo de jaleo con la hora y parece ser que el ataque se adelantó -al menos parcialmente- a las 18:30… Además de Twitter, se utilizaron canales de IRC web para coordinar el ataque, así como grupos de Facebook y otras redes sociales. Los organizadores de la convocatoria utilizaron el nombre y la imagen de Anonymous, aunque posteriormente este grupo se desmarcó de la acción contra GVA en un comunicado en su propio blog.