Se habrán fijado que, irónicamente, la página principal de Google que aparece al acceder mediante Internet Explorer ha sido sutilmente modificada, y ahora aparece la frase “Obtén la nueva versión de Google Chrome, navega más rápido. Instalar Ahora.“, con un enlace al navegador del buscador. Para aquellos que sufren de alergia a los productos de Microsoft, o utilizan otros sistemas operativos, una imagen:

No sé si han leído ustedes la genial y totalmente recomendable serie de novelas de ciencia-ficción Fundación, de Asimov, pero si no es así, ésta tiene como parte fundamental de su argumento a la Psico-historia (no confundir con el término Psicohistoria en tanto que estudio de las motivaciones psicológicas de eventos históricos). Tirando de Wikipedia, según la descripción que hace Asimov a través de Hari Seldon, el personaje creador de dicha “ciencia”:

Antes de nada, déjenme decirles que esta entrada no está particularmente relacionada con la seguridad; es algo que escribí hace bastante tiempo y que quedó en el olvido. Adelantaré, también, que he sido técnico, en sus diferentes variantes, durante aproximadamente seis años; he llevado móvil de guardia y me han llamado a las tres de la mañana por algo que podía esperar al día siguiente; he soportado a usuarios irritantes, he hecho intervenciones de madrugada y he sufrido incompetencias diversas, además de la mía propia. Por razones variadas e interés, hace algún tiempo cambié el mono de técnico por el de consultoría “barra” auditoría, y aquí estoy. Sirva esto como “disclaimer” previo.

Lo que vengo a responder con esta entrada es a esa sensibilidad bastante acentuada, sobre todo en entornos técnicos, que existe contra la tarea de los consultores; la típica ceja levantada “a lo Sobera” y esa cara de incredulidad que una parte del personal técnico pone cuando le presentan un proyecto de consultoría. Estoy seguro que muchos de ustedes conocen algún chiste sobre consultores. Yo me acuerdo particularmente de aquel del consultor que después de utilizar mil y una sofisticadas herramientas para decirle al pastor cuántas ovejas tiene, éste le ofrece que escoja una como recompensa y el consultor elige al perro en lugar de la oveja, demostrando no conocer en absoluto “el negocio” del cliente. El chiste es bueno, aunque la moraleja sea incorrecta. Seguramente, si ustedes son técnicos, sabrán aún más chistes. De eso precisamente quería hablar: de consultores (no de chistes).

No sé si es debido al par de entradas que Roberto publicó hace unos meses poniendo los puntos sobre las íes en relación con la noticia lanzada por Elcomsoft (en la que afirmaba que era posible romper WPA/WPA2 100 veces más rápido utilizando el poder de procesamiento de GPUs y su producto de recuperación de contraseñas), pero durante los cuatro últimos meses más de 1200 usuarios han llegado a este blog buscando cómo crackear/hackear/romper las claves/contraseñas/hash de wpa/wpa2.

Y no me extraña en absoluto, a la vista de lo que se publica en las revistas de divulgación informática. En concreto, el otro día fui a parar a un artículo de Noé Soriano (director de Comunicación y Marketing de ConsultorPC) en PC Actual, titulado ¿Ya no son seguras las redes WiFi?, que contiene unas afirmaciones que me gustaría comentar. En concreto, todo se resume en la siguiente frase:

Leía hoy una interesante entrada en el blog de Javier Cao acerca de la falta de concienciación de las contraseñas, y a través de ésta llegaba a la noticia de que la AEPD había absuelto a un usuario denunciado por colgar imágenes vejatorias en la web debido a que éste alegaba que tenía la web desprotegida [bandaancha.eu].

Aparte de algunas anotaciones muy acertadas por parte de bandaancha.eu, como es el hecho de que como indica el abogado David Maeztu, los datos de tráfico de una persona física o jurídica no pueden ser cedidos por una operadora de telecomunicaciones a la AEPD si no es previa solicitud judicial (solicitud judicial que a menudo no existe), me llama la atención que el hecho de tener la Wifi abierta pueda servir de atenuante e incluso ser una razón suficiente para absolver de una sanción de la AEPD.

La portada de uno de los periódicos que conservo por casa reza en un gran titular “Obama inagura el primer gobierno 2.0 del mundo”, y a nadie se le escapa, en efecto, que el nuevo presidente norteamericano ha hecho de Internet y la web 2.0 una de sus principales bazas para llegar al Capitolio. Pero aunque eso lo hace indudablemente más real y cercano a la realidad de los ciudadanos, desde el principio han surgido voces críticas con el uso que se le da a algunos servicios, que van en la línea de las críticas a la privacidad de las redes sociales y el gigante Google.

En este caso no vengo a hablarles de la reticencia a desprenderse de su Blackberry, aspecto que ya comentamos hace unas semanas, sino de un par de cuestiones que Steve M. Bellovin y Christopher Soghoian entre otros, han puesto de relevancia en los últimos tiempos, y es el uso que la Oficina Ejecutiva del Presidente de los Estados Unidos hace de terceras partes para la provisión de servicios web, violando directivas federales, y proporcionando una valiosa información de orientacion política e ideológica a empresas privadas “afines”.

Sin ánimo de querer inagurar una nueva sección, la de “Idiota del mes”, aquí a su izquierda les presento a D. Sol Trujillo, CEO de Telstra y flamante poseedor, hasta que se la robaron —no está claro si a él o a un asistente suyo— hace unas horas (asumo que no la perdió ni se la dejó en un taxi, ni que se la vendió a la competencia de Microsoft, porque eso —sobre todo esto último— sería mucho peor), de un prototipo de HTC Touch Diamond2 (o Pro2, no está claro) con un prototipo de Windows Mobile 6.5. Tal y como lo expresa ALT1040, “un teléfono que aún no se vende con un sistema operativo que aún no está disponible en el mercado“. Para que se hagan una idea de la importancia del bicho en cuestión (aunque seguramente ya se la hacen), en el último Mobile World Congress no se dejó que nadie tocase el dispositivo para no exponer más información de la necesaria de su funcionamiento. Y ahora va este hombre y lo pierde.

Claro que a pesar de ello, Microsoft dice que está tranquilo. Tranquilo como un flan, imagino, ¿qué otra cosa van a decir? Rezando estarán para que lo haya robado un “simple” carterista por casualidad y no alguien de la competencia.

Cada vez que uno plantea en público, ya sea en este u otros blogs, dudas y cuestiones sobre las políticas de privacidad (y afines) de las compañías 2.0 “habituales”, tiene que hacer un esfuerzo por no acabar invadido por una terrible sensación de paranoia; ¿soy yo, o son ellos? ¿es normal tener dudas razonables, o soy simplemente un desconfiado? Ahora verán porque se lo pregunto. Les cuento.

Facebook cambió hace un par de semanas sus Términos de uso, que actualmente recogen esta interesante cláusula:

Como sabrán si visitan blogs de manera asidua, cualquier blog que se precie está obligado a dedicar una parte de sus entradas a mirarse el ombligo, o si quieren llamarlo así, a publicar “metaentradas”, cuya única finalidad es hablar del propio blog. Puesto que en los casi 2 años que llevamos de vida apenas nos hemos dado palmaditas en la espalda, y aprovechando la actualización e instalación del WordPress y diversos plugins, he creído conveniente aprovechar esta entrada para que Security Art Work hable de sí mismo.

En cifras, desde el pasado 25 de abril de 2007 llevamos publicadas un total de 220 entradas, sin contar la presente, que han recibido un total de 284 comentarios, es decir una media de 1.29 comentarios por entrada, valor que, todo sea dicho, es francamente mejorable. Si nos vamos a las estadísticas, aunque durante su comienzo los números fueron bastante modestos, lo cierto es que durante los últimos meses Security Art Work ha experimentado un apreciado incremento de suscriptores y visitantes, especialmente a raíz de la aparición en portada de menéame de la entrada sobre la rotura de WPA/WPA2 anunciada por Elcomsoft; tampoco crean que estamos hablando de un aumento impresionante, tal y como verán en las gráficas de debajo.

Aprovechando que hoy es el Día Europeo de la Protección de Datos, tal y como apunta la imagen de la izquierda, quería comentarles un par de errores de concepto relacionados con la protección de datos, y que mi compañero y amigo Fernando Seco intenta enmendar con mayor o menor éxito en prácticamente todas las sesiones de formación que imparte.

El primero de ellos, aunque les parezca obvio, es pensar que los datos son de la empresa. Los datos de carácter personal son, como indica su nombre, de la persona. Es decir, suyos, de ustedes. Usted, y sólo usted, es el propietario de sus datos personales; para bien o para mal, le pertenecen, y excepto en algunas cuestiones puntuales, tiene el derecho de decidir qué se hace con ellos. A pesar de lo obvio que esto parece, muchos ciudadanos todavía no son conscientes de este hecho, y muchas empresas siguen considerando los datos que gestionan como propios. No lo olviden. Sus datos son suyos.