En la era que vivimos, en la que el “All as a Service”, A3S, está en la portada de todas las publicaciones tecnológicas en compañía de conceptos como cloud, virtualización y seguridad, sorprende que aún sigan pasando cosas como las que hace algunos días se relataba en la noticia a la que nos referimos: “Un fallo eléctrico provoca la muerte de 11.000 pollos en una granja de Arévalo”.

Ya hace algún tiempo escribimos en este blog un post referente a una noticia similar sobre la disponibilidad de algunos servicios críticos (en este caso para la granja de pollos) y la importancia que éstos tienen para algunos individuos, en el que además apoyábamos la tesis de que disponibilidad es seguridad sin duda alguna, y si no que se lo pregunten a los difuntos pollos.

No estamos hablando de esteganografia (ver la definición que hicimos en otro post), ni de ninguna técnica compleja desarrollada por un experto en tecnología. Hablamos de algo mucho más simple. Hablamos de la información que algunos dispositivos, entre ellos buena parte de los smartphones, almacenan sobre la geolocalización de las fotos tomadas sin que en muchos casos seamos conscientes de ello. La almacenan en la información oculta de las fotos que con determinado tipo de programas resulta sencillo extraer (exif reader por ejemplo). Normalmente estos dispositivos tienen una opción que nos permite configurar si se almacena o no la posición con sus coordenadas en la información oculta de la foto. En la Blackberry hay una opción denominada GeoTag, en las opciones de la cámara, que cumple precisamente esta función.

Como siempre el hecho de que un smartphone pueda geolocalizar una foto no es ni bueno ni malo en sí mismo. El uso que se puede hacer de esta información es lo que puede convertirlo en un potencial peligro, por lo que es importante que todos, sobre todo los más jóvenes, sepamos lo que hacemos y que uso se puede hacer de esa información. Hay que tener en cuenta que la mezcla entre la geolocalización de una foto y los sistemas de información en tiempo real como es el caso de twitter, pueden llegar a ser una mezcla explosiva. Podemos hacernos una idea visitando la url http://icanstalku.com/ que podríamos traducir por “puedo acosarte”. Yo creo que simplemente viendo el contenido se te ponen los pelos de punta.

¿Recuerdan ustedes el post que publicamos hace unos días referente a un correo enviado por una empresa que nos “advertía” de lo importante que es cumplir con la LOPD y al mismo tiempo nos hacía una recomendación de sus servicios a coste 0, para adecuarnos al cumplimiento de la misma, haciendo caso omiso de la LOPD y de la Ley 34/2002, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico?

Cuando recibí semejante comunicación hice dos cosas: la primera escribir el post que se publicó en Security Art Work y que supongo algunos de ustedes leyeron, la segunda escribir a estos señores un correo, intentando ser amable, en el que intentaba explicarles su error. Trascribo a continuación el correo que les remití:

Ya tenemos con nosotros otro de esos términos que va a dar mucho que hablar y es que definir las cosas de forma concisa y concreta debe costar demasiado trabajo, o tal vez es que quien escribe determinadas leyes considera que no debe “mojarse” en exceso.

El hecho cierto es que el Nuevo Código Penal introduce la responsabilidad directa de la persona jurídica en el caso, entre otros, de delitos cometidos por personal sometido a la autoridad de personas que ostenten la representación legal de la persona jurídica y administradores de hecho o de derecho, propiciados por no haber ejercido el debido control.

La verdad es que no salgo de mi asombro por la cara que pueden llegar a tener algunos individuos. Tal vez no sea cara dura y sea simplemente un grado de insensatez alto. Si fuese así les pido disculpas, pero les recomiendo “que se lo hagan mirar”, en caso contrario, también les pido disculpas, pero en este caso no soy quien para recomendarles nada, ustedes verán…..(Es por esta duda por la que he preferido mantener el anonimato de la empresa en cuestión)

¿A que me refiero? ¿Qué es lo que me ha llamado la atención? Uno de tantos correos que recibimos que, siendo SPAM como la copa de un pino, nuestro anti-spam no lo detecta, porque parece venir de “buena gente” En este caso concreto el correo en cuestión, “pegado” tal cual, es el siguiente:

La verdad es que la prensa no tiene desperdicio últimamente si lo que te interesa, al margen de la actualidad nacional e internacional, son asuntos relacionados con la seguridad. El otro día nos hacíamos eco de la noticia recogida por Expansión en referencia al uso de pólizas de seguro para mitigar los riesgos de incumplimiento de una ley de tan “profundo” calado como es la Ley Orgánica de Protección de Datos. Después desayunamos leyendo, estupefactos, un artículo también de Expansión, en su página 6, de la edición digital de orbyt (por supuesto), en el que la todopoderosa Sony reconoce que le han robado datos de la friolera de 77 millones de usuarios. Lo reconoció el martes 26 de abril por la noche y el incidente fue el día 19 de abril, según informaron fuentes de la compañía. ¡¡¡Sí señor!!! Eso es agilidad de respuesta ante un incidente de seguridad en el que se han comprometido datos tan “insignificantes” como los números de tarjetas de crédito. Este pequeño detalle unido a que también han sido comprometidos nombres, códigos de acceso e incluso posiblemente cuentas bancarias no tiene la menor importancia y el ciudadano no tiene derecho a saber inmediatamente que “sus” datos campan por las redes globales porque, evidentemente, firmas de reconocido prestigio como Sony se encargan de protegernos en todo momento. Al fin y al cabo los ciudadanos no sabrían qué hacer si el mismo día en el que se produjo el “incidente” se hubiese informado del mismo a los afectados, ¿no? Ya se encarga Sony, en este caso, de asumir el control del problema con el mismo éxito, seguro, que cuando asumió la seguridad de los datos que muchos le dimos de buena fe.

Esto es absolutamente inadmisible. Según dice la citada noticia los supuestos superespecialistas de Sony indican que han asaltado sus defensas y han burlado sus “extraordinarios” sistemas de protección y control para acceder, entre otros, a los datos personales de un servidor (o sea los míos). Ni serian tan superespecialistas ni las defensas de Sony serian tan súper si lo que les ha pasado es que les han robado en sus propias narices los datos de su bien más preciado, sus clientes. Según dice la noticia de este medio de comunicación se han visto afectados 77 millones de usuarios en todo el mundo. Usuarios de la plataforma PlayStation y de otras plataformas como la tienda audiovisual online Qriocity de la cual soy usuario. De los 77 millones de usuarios, 3 millones son españoles o afincados en España. Ya saben, si ustedes son alguno de esos usuarios y usan claves numéricas que coinciden con su clave de acceso al banco pueden ir corriendo a cambiar esta última porque les aseguro que NO estará a buen recaudo. Eso sí, fuentes muy bien documentadas de la compañía afirman que no se han registrado quejas por parte de usuarios, lo que según ellos quiere decir que podemos estar tranquilos porque los malos no han robado los datos por su interés en las tarjetas de crédito, simplemente querrían hacer una estadística del numero de nombres repetidos que Sony tenía en su base de datos o de cuántos de los 77 millones de clientes eran menores entre 13 y 18 años. Lógico y útil. He de reconocer que tras la lectura de estas declaraciones me he quedado mucho más tranquilo (#modo irónico off).

Como dijo un paisano nuestro en un medio de comunicación, en dos palabras, im-presionante. Este es el calificativo que emplearía para referirme al artículo que se podía leer en la edición de Expansión del martes 26 de abril de 2011 con el titular “Los registros se aseguran ante las multas de protección de datos”. (Por cierto en la edición digital de orbyt de Expansión que está francamente bien).

Si analizamos en detalle el contenido del artículo resulta que el Colegio de Registradores de España ha suscrito una póliza de seguros para cubrir las multas impuestas por la Agencia de Protección de Datos por reclamaciones que les puedan presentar derivadas de incumplimientos de la Ley Orgánica de Protección de Datos y del Reglamento que la desarrolla con un tope de 5 millones de euros anuales, una franquicia de 5.000 euros y un límite superior de 600.000 euros por siniestro y ojo, según se puede leer literalmente en el artículo “La póliza garantiza las consecuencias de actuaciones negligentes, errores u omisiones cometidas en el curso de la actividad profesional y que den lugar a actuaciones por posible incumplimiento de la Ley de Protección de Datos”.

Como todos los años por estas fechas un nutrido grupo de profesionales del sector nos hemos dado cita en Securmática. Veintidós ediciones del congreso y 20 años de la revista SIC avalan la calidad del evento y de la revista que lo organiza año tras año. Desde este blog no queremos dejar pasar la oportunidad de felicitar públicamente a sus impulsores, José de la Peña y Luis G. Fernández por tan feliz onomástica y por el trabajo que año tras año realizan para impulsar este sector de la seguridad.

Con el titulo este año Seguridad: ¿fiarse o confiar?, al margen de los espacios ya clásicos de gestión de identidades y de los sistemas de gestión de la seguridad, este año hemos asistido a conferencias muy interesantes en el campo de compliance.

Por una parte, D. Rafael García González, Vocal Asesor-Jefe del Área Internacional de la Agencia Española de Protección de Datos estuvo hablando a los asistentes de las novedades que nos vamos a encontrar en la nueva Directiva comunitaria sobre Protección de Datos que no va a tardar en ver la luz. Esta nueva Directiva va a suponer importantes cambios, en mi opinión positivos, en materia de protección de datos de carácter personal, ya que recoge algunos asuntos que la actual directiva y las leyes traspuestas no tratan en profundidad. La verdad es que no hemos acabado de digerir los cambios derivados de la aplicación del nuevo Reglamento de la LOPD y ya estamos empezando a hablar de los cambios que va a traer consigo esta nueva Directiva.

Mucho tiempo tienen algunos para que se les ocurran las maldades a las que estamos asistiendo en la Red. Los vectores de ataque cambian a una velocidad de vértigo. Incluso hemos visto, en un ataque en marcha, cambiar el vector de ataque buscando resultados positivos ante el fallo de la estrategia inicial.

En algunas ocasiones, como es el caso de los ataques vividos por VISA, MasterCard, la SGAE o por la Generalitat Valenciana hace poco, lanzados desde Anonymous (21/03/11: al parecer, excepto en el caso de GVA), el problema es la cantidad, no tanto la calidad. En otros casos, como se puede deducir del título del post, el problema es la calidad y no la cantidad. ¿Qué creen ustedes que es más peligroso? ¿Qué preferimos, cantidad o calidad?

La verdad es que no sé muy bien que responder ante una disyuntiva de este calibre. Creo que, si pudiese elegir, me quedaría con un ataque masivo donde tuviese el enemigo de frente y pudiese preparar mis defensas de cara a hacerle frente. Eso es lo que paso, con bastante éxito en este caso para los defensores, en los ataques lanzados contra GVA.

Vectores de ataque diferentes que requieren estrategias diferentes y al igual que los atacantes aplican mucha imaginación, y buenas dosis de innovación, los que nos dedicamos a defender a nuestros clientes de estos grupos organizados tenemos que aplicar también buenas dosis de imaginación y métodos innovadores.

Hace ya unos años, en una convención anual de la empresa en la que trabajábamos (una empresa muy innovadora en su día), un ex-compañero y amigo, Esteban, tomó el micrófono y nos hizo una presentación que, en aquel momento, me pareció sencillamente alucinante, tanto, que pasados los años es una de esas pocas presentaciones que recuerdo tan claramente.

La figura central de la presentación, al menos en mi cabeza, era una “tostadora” que tenía la capacidad de conectarse a Internet. Lo cierto es que en aquellos años, al final de la década de los 90 y por tanto al final del siglo pasado, la carcajada ante tal utensilio y su más que dudosa utilidad fue generalizada.

Han pasado más de 10 años desde aquella actuación estelar que quedó grabada a fuego en algún lugar de mi cerebro y las palabras de Esteban resuenan de lo más realistas en el año 2011. Tal vez fue una de esas cosas serias que dijo Esteban en aquella época, y no porque el resto de aportaciones de Estaban no lo fuesen, sino porque la trascendencia de esta era especial.