Sin duda a estas alturas casi todos sabemos cual ha sido el defacement más sonado del año 2012: el del Cristo de Borja. A finales del pasado mes de agosto, cuando muchos estaban aún disfrutando de sus vacaciones y el resto acababan de volver al trabajo, saltó a los medios el caso de Cecilia Giménez, una intrépida hacker que, desafiando a una de las mayores organizaciones del mundo, decidió restaurar la imagen del eccehomo de la iglesia del Santuario de Misericordia de Borja (Zaragoza), una obra de arte -por cierto, bastante desconocida hasta ese momento- de Elías García Martínez.

Se trató de un incidente que podríamos clasificar como un acceso no autorizado con modificación y/o corrupción de datos, que no implicó fugas de información y con un origen plenamente identificado; la fase de contención se ejecutó de forma inmediata y la de recuperación, si es que se ejecuta, aún llevará su tiempo. Algunas reflexiones (¿esto es la fase de lecciones aprendidas?) sobre el incidente:

Una reciente noticia en Wired informa de un sistema que permite monitorizar, mediante el uso de tatuajes con nanosensores , parámetros médicos como, por ejemplo, la concentración de sodio o el nivel de glucosa en sangre de una persona, sin necesidad de hacer una extracción.

Voy a resistir la tentación, y me cuesta, de hacer comentarios sobre el comunicado del arresto de la cúpula de Anonymous, porque creo que lo más relevante ya está dicho en varios sitios, por ejemplo, en el blog de Enrique Dans. Si quieren pasar un rato divertido, busquen en Twitter tags como #cupulasinexistentes, donde podrán leer desde referencias a la detención del autor de “El lazarillo de Tormes” o “el Cantar de Mío Cid” hasta el inevitable vídeo de Hitler comentando el hecho… Y luego está LA FOTO. Pero en fin, como decía, me resisto.

Sí quería hablar de Anonymous, sabiendo que, por la misma naturaleza del asunto, seguramente, acabaré diciendo algo con lo que ustedes no estén de acuerdo. Espero que me lo sepan disculpar, ya que solo estoy haciendo en público el proceso de organización de mis propias ideas.

La verdad es que la prensa no tiene desperdicio últimamente si lo que te interesa, al margen de la actualidad nacional e internacional, son asuntos relacionados con la seguridad. El otro día nos hacíamos eco de la noticia recogida por Expansión en referencia al uso de pólizas de seguro para mitigar los riesgos de incumplimiento de una ley de tan “profundo” calado como es la Ley Orgánica de Protección de Datos. Después desayunamos leyendo, estupefactos, un artículo también de Expansión, en su página 6, de la edición digital de orbyt (por supuesto), en el que la todopoderosa Sony reconoce que le han robado datos de la friolera de 77 millones de usuarios. Lo reconoció el martes 26 de abril por la noche y el incidente fue el día 19 de abril, según informaron fuentes de la compañía. ¡¡¡Sí señor!!! Eso es agilidad de respuesta ante un incidente de seguridad en el que se han comprometido datos tan “insignificantes” como los números de tarjetas de crédito. Este pequeño detalle unido a que también han sido comprometidos nombres, códigos de acceso e incluso posiblemente cuentas bancarias no tiene la menor importancia y el ciudadano no tiene derecho a saber inmediatamente que “sus” datos campan por las redes globales porque, evidentemente, firmas de reconocido prestigio como Sony se encargan de protegernos en todo momento. Al fin y al cabo los ciudadanos no sabrían qué hacer si el mismo día en el que se produjo el “incidente” se hubiese informado del mismo a los afectados, ¿no? Ya se encarga Sony, en este caso, de asumir el control del problema con el mismo éxito, seguro, que cuando asumió la seguridad de los datos que muchos le dimos de buena fe.

Esto es absolutamente inadmisible. Según dice la citada noticia los supuestos superespecialistas de Sony indican que han asaltado sus defensas y han burlado sus “extraordinarios” sistemas de protección y control para acceder, entre otros, a los datos personales de un servidor (o sea los míos). Ni serian tan superespecialistas ni las defensas de Sony serian tan súper si lo que les ha pasado es que les han robado en sus propias narices los datos de su bien más preciado, sus clientes. Según dice la noticia de este medio de comunicación se han visto afectados 77 millones de usuarios en todo el mundo. Usuarios de la plataforma PlayStation y de otras plataformas como la tienda audiovisual online Qriocity de la cual soy usuario. De los 77 millones de usuarios, 3 millones son españoles o afincados en España. Ya saben, si ustedes son alguno de esos usuarios y usan claves numéricas que coinciden con su clave de acceso al banco pueden ir corriendo a cambiar esta última porque les aseguro que NO estará a buen recaudo. Eso sí, fuentes muy bien documentadas de la compañía afirman que no se han registrado quejas por parte de usuarios, lo que según ellos quiere decir que podemos estar tranquilos porque los malos no han robado los datos por su interés en las tarjetas de crédito, simplemente querrían hacer una estadística del numero de nombres repetidos que Sony tenía en su base de datos o de cuántos de los 77 millones de clientes eran menores entre 13 y 18 años. Lógico y útil. He de reconocer que tras la lectura de estas declaraciones me he quedado mucho más tranquilo (#modo irónico off).

Llevaba alguna semana queriendo escribir un post de la serie GOTO dedicado a los periodistas, tal y como adelanté hace cosa de un mes en la entrada relativa a los ciberataques sufridos por la GVA. He intentado resistirme un poco -más por falta de tiempo que otra cosa-, pero leyendo las últimas noticias sobre el peligro nuclear en Japón que todos los medios generalistas están lanzando no he podido aguantarme… Y es que tenemos periodistas -no todos, obviamente- que no distinguen asterisco de asteroide, pero no contentos con ello transmiten al público general su vasto conocimiento sobre cualquier materia y se quedan tan panchos, satisfechos del trabajo realizado.

Con el tema de los ciberataques contra GVA ya dimos unas pinceladas del saber hacer de estos periodistas; ahora con el debate que se está abriendo sobre la seguridad nuclear siguen cubriéndose de gloria, y encima lo mezclan con la entrada en Cofrentes de unos activistas de Greenpeace hace unas semanas, poniendo este acto como ejemplo de “inseguridad” en las centrales nucleares españolas. Por favor, no mezclemos churras con merinas. Que las centrales nucleares -y otras infraestructuras críticas- de nuestro país sean o no vulnerables no depende de que unos ecologistas capaces de evitar -con presunta violencia- a los vigilantes de seguridad (o a la Guardia Civil si se diera el caso) se cuelen tras la verja de una central. ¿Qué pretenden los periodistas, que disparen con armas de fuego a estos activistas para demostrar lo seguros y fuertes que somos? Venga, hombre… la que se habría montado, y con razón.

Recientemente, S2 Grupo, ha conseguido un proyecto del 7º Programa Marco, sección TIC, de la Comisión Europea. La primera reunión de trabajo del consorcio va a tener lugar esta misma semana en Valencia.

El viernes, día 25 de junio, se va a celebrar una sesión abierta del proyecto, en el que se impartirán tres conferencias sobre tres temas muy interesantes en el ámbito de la ingeniería de software:

“Intention-Based Integration of Software Engineering Tools”
Prof. Walid Maalej, Technische Universität München

Leía esta mañana en BELT una noticia que hacía referencia a la falta de habilitación profesional del Director de Seguridad del Barça: esto es, no tiene un TIP en vigor que lo habilite como Director de Seguridad por el Ministerio del Interior. En España, las figuras contempladas en el ámbito de la seguridad privada vienen definidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP), y entre ellas encontramos al Director de Seguridad, al Jefe de Seguridad, al Escolta Privado o al Guarda Particular del Campo, por citar unas cuantas… todo lo que se salga de ahí, no está reconocido a día de hoy en España. Caso aparte es cómo las empresas de seguridad, sobre todo las que trabajan -o trabajamos- principalmente en seguridad de la información, denominen a su personal: CISO, CSO, CRO… son denominaciones que se utilizan con mayor o menor fortuna en cada caso, pero que desde luego no están oficialmente contempladas (ojo, hasta donde yo sé, y que alguien me corrija si me equivoco). Debate aparte es si es lícito, o ético, que una empresa utilice para su personal cargos que se corresponden con titulaciones oficiales si dicho personal carece de éstas, argumentando siempre que se trata de responsabilidades internas en la organización, no de atribuciones reconocidas oficialmente.

Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente “clásica”.

Kaspersky Lab ha alertado a los usuarios de Twitter sobre una herramienta que están usando los criminales cibernéticos para crear botnets que se controlan a través de Twitter. Según ciertas publicaciones (TechnologyReview, FaqMac y otros), miles de cuentas de Twitter hackeadas a la venta en foros forman un nuevo mercado negro dentro de la ciberdelincuencia. Las cuentas se ofrecen por lotes a menos de 200 dólares, dependiendo del número de seguidores que tengan.

El principal objetivo de los compradores, en la mayoría de casos, es vender falsos antivirus (Rogueware) a través de los tweets enviados por estas cuentas; el hecho de hacer clic en en enlace de un tweet hackeado infecta al equipo del usuario con la publicidad de un producto de antivirus falso. La infección provoca una notificación emergente que anuncia que el equipo está infectado y ofrece una versión completa del falso antivirus por unos 50 dólares (o más) que te asegura que desinfectará el equipo en cuestión, y se estima que 1 de cada 100 personas probablemente paguen esa cantidad. Con que sólo un tweet hackeado tenga éxito, podría tener graves repercusiones si procede de un usuario de confianza (generalmente, entre el 10-20% de los usuarios hacen clic sobre un enlace enviado por una fuente de confianza). Twitter tiene más de 75 millones de usuarios, de los cuales entre unos 10-15 millones envían tweets regularmente. Si por ejemplo simplemente sólo un 1% de esos 75 millones de miembros se infectara, y que de ese 1% de usuarios infectados, un 1% creyera en el falso antivirus y pagara por su adquisición, supondría un fraude de unos 7500 dólares. Este tipo de botnets también se usa para distribuir spam o realizar ataques de denegación de servicio, entre otras cosas.

Acabo de volver de vacaciones y, sinceramente, me ha sorprendido la cantidad de información que ha ido apareciendo en los medios —tanto generales como especializados— acerca de la gripe A (el ya famoso virus H1N1) y su impacto previsto en la sociedad a todos los niveles. Dejando a un lado los sensacionalismos propios de algunos medios (habría que recordar a ciertos “periodistas” que pandemia no significa que muera la mayor parte de la población mundial, como parecen hacernos creer), me parece interesante que en nuestro blog dediquemos al menos una entrada a este tema, ya que ciertamente la gripe puede ser un elemento decisivo en la continuidad de nuestro negocio, y por tanto en nuestra seguridad.

El Ministerio de Sanidad y Consumo español ha elaborado una guía, bastante coherente bajo mi punto de vista, acerca de la actuación recomendada frente a la gripe A para las empresas, de cara a asegurar la continuidad del negocio y la salud laboral en caso de pandemia. En esta guía, de lectura más que recomendable, se establecen una serie de medidas a valorar y, si corresponde, adoptar en los centro de trabajo; estas medidas se pueden agrupar en tres familias: de formación e información (hacia el personal y con terceros), de minimización del impacto (en la empresa, en su personal y en terceros -clientes, proveedores…-) y de contingencia en caso de que se materialice la amenaza.

Aunque supongo que tod@s los lectores conocerán el término SOC (Security Operation Center), creo que es importante aportar nuestra visión particular sobre los objetivos y el funcionamiento de los mismos a través del análisis de distintos tipos de Centros de Seguridad que hemos tenido la oportunidad de conocer y estudiar en alguno de los proyectos que hemos realizado; ésta es la primera de las entradas semanales que dedicaremos a este tema.

Un Centro de Seguridad en general y un Centro de Seguridad Gestionada (SOC) en particular, es un centro de servicios especializado en la prestación de servicios de seguridad a sus clientes. Los Centros de Servicios, en general, son centros especializados en la provisión de servicios de valor añadido a sus clientes que buscan de forma incesante la gestión eficaz y eficiente de sus recursos humanos y materiales para la consecución de sus objetivos.