Hace ya meses hablamos en este mismo blog de la convergencia de la seguridad, y en ese mismo post dedicábamos un escueto párrafo a la figura del nuevo Director de Seguridad (el CSO, como les gusta decir a los americanos).

Hasta hace unos años, en la mayor parte de organizaciones había dos figuras clave para la seguridad corporativa: el CSO (Chief Security Officer) y el CISO (Chief Information Security Officer); mientras que el primero era el responsable de las 3G (Guards, Guns and Gates), es decir, de la seguridad física o tradicional, el otro lo era de la seguridad de la información —en la mayor parte de casos, ocupándose únicamente de los aspectos tecnológicos de la misma—. Habitualmente, la relación entre ambos no solía ser la óptima (los “frikis” contra los “seguratas”), ya que por supuesto hay mucho terreno en común e incluso muchos “reinos de taifas” en juego; esta dualidad desembocaba en situaciones tan absurdas e indeseables como duplicidad de inversiones, duplicidad de esfuerzos o responsabilidades en materias de seguridad no definidas, con los consiguientes riesgos que esto implica.

Les confieso que en un primer momento tuve ciertas reticencias y dudas de colgar lo que les cuento a continuación, por si alguien pudiera considerarlo “incitación al delito”. Por supuesto, ese no es en ningún caso el propósito de la entrada, sino el de mostrar qué es posible hacer con unos pocos datos de carácter personal hoy en día —de esos que cualquiera de nosotros proporciona alegremente a cualquiera—, por lo que tras un par de consultas previas he decidido publicarlo. Obviamente, falta decir que lo que se cuenta en esta historia es completamente ficticio, fruto de mi imaginación, y cualquier parecido con la realidad es pura coincidencia. Sirva esto como disclaimer previo, y pasemos a la entrada.

Hace cosa de un par de semanas, a las 05:51 de la mañana, sonó mi móvil, que como siempre, había dejado encendido —mala costumbre— en la mesita de noche; con el sobresalto habitual de una llamada en horas intempestivas, contesté al teléfono sin saber quién me llamaba (tenía el número pero no estaba en mi agenda) y, para mi sorpresa, parece ser que mi interlocutor se había equivocado y, sin decir nada, ni un mísero “lo siento”, decidió colgar. A mí estas faltas de educación siempre me han molestado, pero sobre todo, me resulta incomprensible que alguien te llame a esa hora, se equivoque, y no tenga el valor de pedir disculpas ni decir nada, simplemente se limite a colgar.

El pasado día 7 fue el aniversario de la muerte de Alan Turing (1912-1954), sin duda uno de los mejores criptógrafos de la historia, y padre de la informática teórica que aún hoy se estudia en las universidades de todo el mundo (¿quién no recuerda la máquina de Turing y las pesadillas que ésta ha generado en muchos estudiantes de Informática, entre los que me incluyo?).

Sin duda, dos bombas marcaron el desarrollo de la Segunda Guerra Mundial: la bomba atómica (obvia y desgraciadamente conocida por todos) y la bombe de Turing, una máquina desarrollada en el famoso Bletchley Park británico, vital para romper los mensajes cifrados alemanes. Esta máquina, desarrollada por Alan Turing y mejorada por Gordon Welchman, permitió a los aliados descifrar el tráfico de las diferentes fuerzas y servicios alemanes (marina, tierra, aire…) sin que éstos fueran conscientes de que la seguridad de sus comunicaciones estaba rota, lo que permitió obtener información decisiva para el desenlace final de la Guerra.

Turing fue procesado por homosexual en 1952; esto, que hoy parece impensable para nosotros, truncó la brillante carrera del británico. Dos años después, moría por ingestión de cianuro: todo indica que Turing se suicidó comiendo una manzana envenenada. De esta forma, finalizaba su vida y comenzaba el mito del gran científico, aunque los homenajes y reconocimientos públicos han sido escasos y en muchas ocasiones tardíos; quizás el más conocido en el “mundillo” en el que nos movemos es el premio Turing —considerado el Nobel de la Informática—, otorgado desde 1.966 por la ACM a quienes hayan contribuido de manera trascendental al campo de las ciencias computacionales.

Sirva este humilde post para recordar al que sin duda fue uno de los mejores científicos del pasado siglo, y quizás uno de los menos conocidos fuera del ámbito de las matemáticas, la informática o la criptografía.

Siempre he sido partidario de compartir el conocimiento con los demás (ojo, el conocimiento, no la información) de una forma abierta y transparente, y por tanto en mi web personal (www.shutdown.es) he ido colgando con el tiempo diferentes trabajos en formato electrónico que consideraba podían ser útiles a los demás: artículos, cursos, referencias…

Como defensor de compartir conocimiento, siempre me han molestado las actitudes de apropiación del mismo por parte de unos cuantos que pretenden adoptar como propios trabajos que no han realizado (lo que se viene a llamar “plagio”); por tanto —deformación profesional— de vez en cuando me da por utilizar alguna triquiñuela (que llamaré “marca de agua casera”, con perdón de los puristas) para ver hasta donde llegan los límites de la capacidad humana para plagiar. Los resultados son siempre asombrosos.

[N.d.E. Como pueden ver, ya hemos vuelto de vacaciones, lo que significa que estamos en período de aclimatación, comúnmente conocido en el mundo de los psicólogos y telediarios estivales como síndrome post-vacacional. Sean considerados y tómenlo con calma.]

Los orígenes de la investigación en Internet dentro del Cuerpo Nacional de Policía se remontan al año 1995, cuando dentro de la Brigada de Delincuencia Económica y Financiera se crea un grupo para investigar los delitos relacionados con este medio, que estaban apareciendo en Estados Unidos pero que aún muy pocos conocían en España. Pero no es hasta el año 2001 cuando, dentro de la Comisaría General de Policía Judicial, y adscrita a la Unidad de Delincuencia Especializada y Violenta (UDEV), nace la Brigada de Investigación Tecnológica (BIT, como se le conoce en el mundo de la seguridad), equivalente al GDT de la Guardia Civil que hemos descrito en un post anterior.

La Guardia Civil, encargada del orden público y de la represión del delito, ha visto la necesidad de especializar a sus agentes para dar respuestas a la incipiente demanda social contra la delincuencia informática. Así, en 1996 se crea el Grupo de Delitos Informáticos, encuadrado en la Unidad Central Operativa de la Guardia Civil; este grupo inicial ha ido cambiando su denominación y ampliando su plantilla, pasando por Departamento de Delitos de Alta Tecnología (1999), Departamento de Delitos Telemáticos (2000), y finalmente, en 2003, Grupo de Delitos Telemáticos (GDT). Está compuesto por agentes especializados en la persecución de la delincuencia informática y los fraudes en el sector de las telecomunicaciones, cubriendo los cuatro delitos tipificados en el Convenio de Ciberdelincuencia del Consejo de Europa.

Desde finales del año 2002, desbordado el GDT por la enorme demanda (incremento de delitos tecnológicos, apoyos solicitados desde otras unidades…), se inició un proceso de descentralización de las investigaciones, formando el GDT a personal de las Unidades Orgánicas de la Policía Judicial (UOPJ) de cada una de las Comandancias de la geografía española, para constituir Equipos de Investigación Tecnológica (EDITE) provinciales capaces de llevar a cabo las investigaciones básicas en esta materia y de dar una adecuada respuesta al ciudadano en el lugar en que se produce el delito o se encuentra la víctima.

Que las nuevas tecnologías han cambiado la forma de cometer delitos es algo claro para cualquiera que trabaje, directa o indirectamente, en el ámbito de la seguridad de la información, y también en muchos casos también para aquellos que no trabajan en este ámbito: ataques de phishing, clonaciones de tarjetas, robos de móviles o portátiles, uso ilegítimo de redes WiFi…

En el Convenio de Ciberdelincuencia del Consejo de Europa (2001) se tipifican cuatro grandes tipos de delitos tecnológicos que posteriormente se han complementado con la contemplación del racismo, xenofobia, amenazas, calumnias… realizados a través de sistemas informáticos. Estos cuatro tipos son los siguientes:

— Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.
— Delitos informáticos (falsificación, fraude…).
— Delitos relacionados con el contenido (como pornografía infantil).
— Delitos relacionados con infracciones de la propiedad intelectual y derechos afines

En el bus por decir un sitio; en la cafetería, en el aeropuerto, en un ascensor… No sé si alguna vez se han parado a escuchar a la gente. Yo sí lo he hecho, y les puedo asegurar que, en más de una ocasión —y dicho sea de paso, sin proponérmelo de forma especial— he oído cosas que sin duda podrían ser aprovechadas en contra de quien las dice, ya sea personal o profesionalmente. En otras palabras, volvemos a lo de siempre: las personas suelen ser el punto más débil de la seguridad.

Sin llegar a extremos (nunca he oído a alguien en el ascensor de un edificio de negocios decir algo del tipo “Mi clave es X” —N.d.E. Yo sí lo he oído, en la calle a viva voz, a propósito de una contraseña caducada—), los comentarios que en mayor o menor medida hacemos al salir de una reunión, al salir de la oficina o al tomar un café con un compañero pueden suponer un peligro para nuestra seguridad. Los típicos “Este Z, que se apunta las claves en la PDA”, “A Y le haré un 10% de descuento porque es buen cliente”, “Te has enterado del robo del portátil de X”… pueden ser sin duda un serio problema de seguridad para cualquier organización. Y es que todos estamos expuestos, cada día más, y en determinados lugares aún más todavía, a un shoulder surfing auditivo (lo que en castellano plano llamaríamos cotilleo) que implica riesgos a controlar en la organización.

Leía en El Mundo (elmundo.es) un peligroso ejemplo de convergencia (¿recuerdan que les hablamos de ello?). Parece ser, siempre teniendo en cuenta que las diferencias entre lo publicado en medios de propósito general y la realidad tecnológica suelen ser considerables, que a los señores ingenieros de Boeing no se les ha ocurrido más que unir, en ciertos puntos, las redes de datos y control de sus aviones con las redes de propósito general que dan acceso a Internet para los pasajeros durante el vuelo. Si simplemente hubiéramos visto la noticia en el periódico, seguramente lo habríamos achacado al sensacionalimo o desconocimiento de quien ha escrito el artículo, pero resulta que en el mismo hay un enlace a Cryptome.org (algo más serio en materias de seguridad) en el que se publica el supuesto informe de la FAA (Federal Aviation Administration) que hace referencia a este problema.

Teniendo en cuenta que el propio informe de la FAA indica que es necesario seguir analizando el problema para determinar el posible impacto del mismo, por lo que es posible que finalmente un potencial intruso simplemente pueda tener acceso a cosas irrelevantes para la seguridad del vuelo (consulta de la temperatura en cabina, lectura de parámetros de vuelo, captura pasiva del sistema de megafonía…), nos importa mucho el hecho en sí, como ejemplo de convergencia. Si un intruso ataca una red de datos desde su ordenador, podrá interferir generalmente en actividades de índole lógica, perjudicando la imagen de la víctima, la integridad de sus datos, la confidencialidad de su cartera de clientes, etc.; pero si esta red da acceso a sistemas de control, la cosa cambia. En este caso, pensemos en que el atacante podría distorsionar datos de vuelo o proporcionar datos falsos a los elementos de control; sin duda es aventurarse mucho, pero como ya adelantamos, este tipo de cosas —quizás, y esperemos que así sea, no en aviones, por las medidas de seguridad que se introducen en estos medios de transporte— acabará pasando. Cuando conectamos elementos de control físico con redes fácilmente atacables, nos exponemos a riesgos que tal vez no sean los esperados.

Se habla cada día más de la seguridad —o inseguridad— relacionada con los dispositivos móviles que todos, en mayor menor medida, llevamos con nosotros en nuestro día a día. Sin duda, nos encontramos ante uno de los principales quebraderos de cabeza que en la actualidad comparten todos los responsables de seguridad, y previsiblemente seguirá siéndolo a medio plazo. Y aunque la amenaza no es nueva, conforme avanza la tecnología aumentan el riesgo y el impacto asociados a ella. Un ejemplo: si hace unos años, lo que podíamos perder (o lo que nos podían robar) era una agenda (de papel, de las de toda la vida), un bloc de notas o, a lo sumo, un par de diskettes, hoy podemos perder gigas de información en un simple lápiz de memoria USB, una detallada agenda electrónica con nuestros contactos, o incluso el portátil en el que tenemos almacenado todo nuestro trabajo.

Nadie pone en duda los beneficios que introducen en nuestro trabajo diario este tipo de dispositivos, pero igualmente nadie pone en duda los problemas de seguridad que nos pueden acarrear; ninguno de nosotros está exento de perder uno de estos gadgets (o chismes, en una posible acepción castellana), así que es imprescindible implantar controles que, en caso de robo o pérdida, minimicen el impacto para la organización. Para empezar, una buena salvaguarda es la definición de procedimientos, normativas, políticas o como les queramos llamar, para regular el uso de estos dispositivos. Estas normas deben marcar el tipo de datos que podemos almacenar en los mismos, las medidas de prevención básicas para evitar un compromiso (robo, pérdida o ataque), los pasos a seguir si dicho compromiso se produce, etc. Además, una medida técnica siempre recomendable es el cifrado de los datos almacenados: se trata de una medida barata y efectiva, que todos deberíamos implantar.