Hace unas semanas, mientras comía con unos auditores -y amigos- de AENOR, les lancé la siguiente pregunta: ¿qué opinais acerca de las infraestructuras críticas -o estratégicas- españolas que son auditadas (en materia de seguridad, pero podríamos hacerlo extensible a tantas otras cosas..) por organizaciones extranjeras? A fin de cuentas, cuando llega el auditor a certificar nuestro SGSI le enseñamos buena parte de las tripas de nuestra seguridad, por no decir todas… Por supuesto, la respuesta de los auditores fue la esperada: es cuanto menos curioso que se produzca esta situación, y no es lo deseable; claro, tanto AENOR como S2 Grupo, son empresas españolas, por lo que era fácil estar de acuerdo :)

Con lo que nos gusta hablar de protección de infraestructuras críticas, seguridad nacional, ataques terroristas de terceros países y demás (a los que trabajamos en seguridad y desde hace un tiempo parece que también a los políticos), no parecen muy coherentes situaciones en las que aspectos relevantes de la seguridad de estas infraestructuras son accedidas sin reparos por terceros paises -algunos de ellos “amigos”, por ahora, y otros menos amigos, también por ahora-. Tampoco parece muy coherente que buena parte de la tecnología utilizada, por no decir toda, no sea nacional (¿algún fabricante de SCADA español? Yo no conozco…).

Imagino que a todos nosotros nos han enseñado que cuando tenemos que abordar un nuevo proyecto por primera vez, cuando tenemos que hacer algo que no hemos hecho nunca o cuando queremos mejorar un proceso -o lo que sea- debemos fijarnos y aprender de otros que lo hayan hecho antes. Y si nadie lo ha hecho antes, debemos aprender de los que han hecho cosas parecidas en otros ámbitos que no tengan nada que ver con el nuestro. Y si esto tampoco existe, pues ya nos vamos a I+D+i.

Particularizando para el campo de la seguridad lógica, a mí personalmente me gusta mucho fijarme en los compañeros de la seguridad física -con sus pros y sus contras- a la hora de abordar proyectos que no he hecho jamás. Desde luego, en campos como los modelos de negocio de seguridad gestionada o la gestión de incidentes nos llevan años de ventaja (a otro nivel y con otros problemas, pero años de ventaja), así como en temas legislativos, relación con FFCCSE y mil cosas más. Entonces, ¿por qué no tratamos de aprender de los profesionales que trabajan en este campo?

Durante estos días, como cualquiera que lea el periódico sabrá, ha salido a la luz un supuesto caso de espionaje industrial contra Renault, relativo al robo de información del coche eléctrico por parte de unos intermediarios que a su vez habrían facilitado la información a China. Por supuesto, muchos medios generales se han hecho eco de esta noticia, y también por supuesto ha sido analizada en blogs y canales especializados en seguridad.

El caso de Renault que ahora se publicita ni es el primero ni será el último en esto del espionaje industrial; simplemente pone de manifiesto un problema al que casi todas las empresas, grandes o pequeñas, están expuestas en la actualidad: el robo de información. Lo de siempre: se roba lo que vale, de una u otra forma, dinero; antes eran bienes materiales (un coche, un cuadro, una pieza concreta) y ahora lo que vale dinero es la información. Como dice Javier Cao en su blog, todos los que trabajamos en seguridad nos cansamos de repetir que la información es un activo de toda organización y, como tal, debe ser protegido. En plata: la información es dinero (o poder, o como lo queramos llamar) y por tanto tiene interés para los delincuentes.

Leía anoche el post de Damià sobre tecnologías de posicionamiento y no pude por menos que pensar -una vez más, no era la primera- en el nivel de control que las nuevas tecnologías pueden llegar a tener sobre nosotros y nuestra privacidad, si es que aún nos queda algo de eso. Acerca de degradaciones de la privacidad hemos hablado largo y tendido en este mismo blog, desde múltiples puntos de vista -incluso incluyendo los menos tecnológicos-, con lo que toca ahora el turno de las tecnologías de posicionamiento; en este caso, basadas en algo que, como el teléfono móvil, no está pensado exclusivamente para posicionar pero puede usarse con cierta facilidad para ello: me refiero a las tarjetas de crédito (o débito, por supuesto ;)

Las tarjetas de crédito no sólo nos posicionan en un momento determinado, a nosotros o al poseedor de nuestra tarjeta (que suele interesar que coincidan ;) sino que dicen mucho de nuestra vida; sin ir más lejos, si yo pago habitualmente la gasolina de mi coche con mi tarjeta, y casualmente suelo llenar el depósito, y además suelo hacerlo de camino al trabajo, cualquiera con acceso a esos datos puede saber (o imaginar) ya unas cuantas cosas sobre mí:

Esta semana, en concreto el lunes día 29, estaba viendo el telediario de La 1 mientras trataba de dormir a mi hija; como parece que algunos periodistas están algo faltos de noticias (cuando se juega un Barça-Madrid parece que no se puede hablar de nada más interesante), uno de los bombazos informativos fue la actuación de nosequé cantante en Madrid, ídolo de quinceañeras, que había arrastrado a niñas de media España a hacer cola durante horas para que les firmara un disco o algo así. Reconozco mi ignorancia musical, ya que no tenía ni idea de quién era este chaval -prefiero a Krahe-, pero me llamó mucho la atención una cosa: una de las fans, entre gritos de histeria, se había “tatuado” en la cara su -presuntamente- número de teléfono móvil, junto a su nombre y un “Call me”; por supuesto, este fue uno de los primeros planos, con lo que media España pudo saber el teléfono de esta, también presuntamente, menor.

Por supuesto, un diez en seguridad para la niña por publicar información sensible (ríete tú de WikiLeaks); pero con quince años y las hormonas por las nubes dudo que mucha gente piense en las posibles consecuencias de una cosa como esta. Eso sí, un diez también en seguridad al periodista (o cámara, o lo que sea) por ese primer plano de la chavala; ahora cualquiera puede llamarla, tratar de quedar con ella, engañarla o lo que le apetezca. Con un par.

(Toni nos remite esta entrada desde el congreso ENISE, con el aliciente añadido de que la ha escrito con la Blackberry, lo que no deja de tener su mérito)

Como algunos ya sabíais y otros imaginábais, un año más estamos en el congreso ENISE, en León, organizado por INTECO. Este año nos hemos acercado Fernando y yo, para poder repartirnos por los talleres más interesantes de cada sesión, y a mí me ha tocado el correspondiente a la protección de infraestructuras críticas. Más allá del programa, ponentes, etc. que tenéis disponibles en la web del evento, comentamos en este post algunas opiniones y reflexiones acerca de lo que escuchamos en la jornada de ayer.

Como ayer apuntaba José Luis, estuvimos presentes en el congreso de ISACA Valencia 2010, realizado los días 19 y 20 de octubre en la Universidad Politécnica de Valencia. La sesión de ayer miércoles, dedicada a la e-Administración, comenzó con un par de ponencias dedicadas la primera de ellas al estado general de la administración electrónica en España, a cargo de Lorenzo Cotino (Universidad de Valencia), y la segunda a la interoperabilidad, a cargo esta de Roberto Santos, de Telefónica -o Movistar- (videoconferencia desde León con algún que otro problemilla técnico que finalmente pudo subsanarse).

Tras un café, continuó la jornada con una excelente ponencia de Manuel Caño (LBIGroup) en la que se desgranó de una forma muy clara la necesidad de la contratación electrónica para todos (AAPP, empresas…), los problemas a los que se enfrenta en la actualidad y las líneas de resolución que se están adoptando a nivel europeo -que pasan todas por la estandarización-. Tras Manuel, se formó una mesa redonda en la que participaron José Benedito (Diputación de Valencia), Mar Ibáñez (ACCV, en representación de la Generalitat Valenciana) y Ramón Ferri (Ayuntamiento de Valencia), y en la que se plantearon trabajos, problemas y reflexiones en torno a la e-Administración desde el punto de vista de la propia administración pública. Tengo que decir una vez más que lo que yo entendía por “mesa redonda” sigue sin coincidir con lo que entiende el resto del mundo, porque las mesas redondas que llevo viendo desde hace unos años se limitan simplemente a presentaciones más cortas que el resto de las expuestas en el congreso; pero salvado este detalle, decir que me gustaron especialmente las reflexiones personales de José Benedito a la hora de plantearse qué requiere un ciudadano de la administración (hablando de trámites administrativos, no asistenciales -sanidad, educación…-) y dejando en el aire si realmente hace falta todo lo que tratamos de hacer. A fin de cuentas, el 90% de los ciudadanos tenemos unas comunicaciones con las AAPP muy simples: declaración de la renta con AEAT, algunos impuestos con el ayuntamiento y poco más… ¿no estaremos matando moscas a cañonazos con tanta e-administración? Ahí queda eso :)

Estos días, tras la vuelta de vacaciones, volví a poner en marcha mi viejo receptor de onda corta, junto al que tantas noches pasé cuando era joven :) ¿El motivo? Simple curiosidad: quería ver si la actividad de estas bandas de radio seguía siendo tan interesante como hace quince o veinte años, cuando podías escuchar desde VOA (Voice of America) o REE (Radio Exterior de España) hasta Radio Teherán -esta última con un buen número de interferencias, posiblemente provocadas-, pasando por emisoras de pequeños grupos religiosos estadounidenses y sudamericanos o la todopoderosa Radio Vaticana -con unas antenas cuyo tamaño deja pequeña a cualquier torre de alta tensión que podamos imaginar-. Tras la recepción, el escucha enviaba un informe de recepción y a las semanas recibía una tarjeta QSL junto a folletos informativos de la emisora, con horarios, frecuencias, etc. en cualquier idioma y, en algunos casos, incluso propaganda “política” de un régimen más o menos cerrado.

Efectivamente, pude comprobar que la actividad en onda corta sigue siendo ajetreada, con las grandes emisoras oficiales de todos los países emitiendo junto a pequeñas estaciones, posiblemente piratas, que transmiten desde algún punto indeterminado del mundo; pero sin duda lo que más me llamó la atención es que, como antaño, todavía siguen emitiendo las number stations. Las estaciones de números son emisoras que se limitan a transmitir códigos formados por letras o números, tanto en voz (habitualmente digitalizada) como en Morse, de una forma continua y monótona durante la emisión, que suele durar menos de una hora y que por supuesto en ningún momento identifica la emisora; la emisión comienza con unos minutos de llamada, tras los cuales (en ocasiones existe algún tipo de encabezamiento tras la llamada inicial) se comienza a transmitir una retahíla de números o letras en grupos cortos y con una pausa entre sí, para acabar después con algún código que indique el final de transmisión. Una vez alcanzado dicho final, la frecuencia utilizada queda vacía. Raro, ¿verdad?

Mañana es lunes cinco de diciembre de 2060 y cumplo 85 años, por lo que tras la reforma laboral de 2028 al fin puedo jubilarme… por tanto, aunque seguiré participando de vez en cuando en el blog, quería preparar un post recopilatorio de todo lo que hemos ido viendo y sufriendo durante todos estos años que hemos pasado juntos. Ha llovido mucho desde 2007, cuando empezamos con SecurityArtWork y, como siempre decimos, la seguridad cambia no de año en año, sino de segundo en segundo, tanto para bien como para mal… por lo que con 53 años a nuestras espaldas, nos podemos permitir el lujo de recapitular un poquito.

¿Quién no recuerda, por ejemplo, cuando existían ejércitos que peleaban entre sí en el campo de batalla, por tierra, mar y aire? Algo inimaginable hoy en día, pero que hasta bien entrado el siglo era lo habitual; en lugar de utilizar a fondo la ciberguerra, los países desplazaban enormes cantidades de personas y armamento para conseguir algo que tenían a un clic de distancia, con todo lo que eso implicaba (costes, riesgos, etc.). Actualmente nos parece primitivo, pero os aseguro que hasta hace unos años no era tan raro; es más, cuando hablablas de protección frente a ataques “diferentes” de paises enemigos te miraban mal, hasta aquel gran atentado que hubo sobre 2020, en el que casi se hunde a una gran potencia mediante el bloqueo de su sistema eléctrico, la interrupción de sus comunicaciones y la apertura de las presas más importantes (¿cómo era aquello, SCADA se llamaba?).