Curiosamente, el dispositivo utilizado para realizar la medición es un iPhone o, lo que es lo mismo, un ordenador de mano multipropósito con interface táctil. Con la cada vez mayor ubicuidad del acceso a Internet (¿alguien duda de que, en poco tiempo, estaremos siempre conectados?), el dato se puede llevar a cualquier otro sitio de la red para su procesamiento, almacenamiento y, en su caso, actuación.

El método se ha probado en ratones de laboratorio que, por cierto, muestran una imagen curiosa a través del iPhone.

Las tecnologías convergen para permitirnos aplicaciones que, desde luego, cambiarán nuestras vidas. Por un lado, los nanoreceptores, basados en principios como la afinidad molecular, permiten la detección de pequeñas concentraciones de cualquier sustancia, en tiempo real, sin necesidad de realizar los clásicos análisis basados en concentración de la muestra y reacciones químicas que requieren intervención manual y tiempo.

La interacción de los receptores con las moléculas detectadas producen cambios en alguna propiedad (acidez, color) que son detectados por un transductor que las transforma en corrientes eléctricas y, a partir de ahí, estamos en el campo de la electrónica y el resto es amplificación de la señal.

El conjunto de los tres elementos (receptor, transductor y amplificador) constituye un biosensor. En el caso de los tatuajes, el receptor cambia de color y emite fosforescencia, mientras que el iPhone actúa como transductor.

Con sensores de tan reducido tamaño, capaces de medir parámetros biológicos en tiempo real y manifestar propiedades detectables a escala macro, la Internet of Things está realmente cerca. Sólo que será Internet of Things and People… desde luego, vamos hacia un mundo interesante y, a veces, inquietante. A mí esto me deja un cierto regusto a Gattaca (por cierto, si no la han visto, háganlo, es muy recomendable).

Otra pieza más en el puzzle de la monitorización universal.

Sí quería hablar de Anonymous, sabiendo que, por la misma naturaleza del asunto, seguramente, acabaré diciendo algo con lo que ustedes no estén de acuerdo. Espero que me lo sepan disculpar, ya que solo estoy haciendo en público el proceso de organización de mis propias ideas.

Anonymous no es una organización como pueda serlo un partido político, un sindicato, una ONG o un grupo terrorista, sino una especie de marca de pública disposición a la que alguien puede adscribirse de manera temporal para la realización de una acción concreta.

Uno no está asociado a Anonymous, ni tiene carnet, ni se registra en un sitio Web. Tampoco tiene por qué participar en todas las acciones que se proponen, sino sólo en aquellas que le parecen adecuadas (o divertidas). Y, ¿quién está detrás de ese impersonal “se”? Este es el punto crucial, en mi opinión. Nadie en concreto o cualquiera, según se mire. Usted mismo, si lo desea (y consigue convencer). Hay determinados IRC en los que usted puede entrar e intentar convencer a los demás de que se ponga en marcha una acción. Si ésta es respaldada, si atrae, se pondrá en marcha.

Seguro que hay “habituales” que suelen proponer acciones “llamativas”, que saben convencer a los demás, que disfrutan empleando su tiempo en ello y que son, en cierto modo, líderes de Anonymous. Pero, por la forma en la que se plantean las acciones, es imprescindible que un número suficiente de personas se sumen a la iniciativa para que esta prospere. Y estas siempre lo hacen de manera voluntaria y, si, anónima.

Uno de los recursos típicos de las acciones de Anonymous son los ataques distribuidos de denegación de servicios DDoS, pero también se realizan acciones en el MundoReal. Los objetivos suelen estar relacionados con la libertad de expresión y en Internet. Entre las víctimas de los ataques, hay pederastas reconocidos, la Iglesia de la Cienciología, Sociedades de Protección de Derechos de Autor, como la SGAE o la RIAA, sitios Web de gobiernos, etc.

Algunos de los ataques se pueden considerar actos de protesta ciudadana contra situaciones injustas. Otros son gamberradas. Otros, simplemente delitos. Y llegamos al punto crucial de esta exposición: ¿Es Anonymous una organización delictiva?

A estas alturas, espero haber suscitado suficientes dudas sobre la pertinencia de esta pregunta. Si no es una organización con miembros registrados, difícilmente se la puede perseguir. Si no hay cabecillas, difícilmente se la puede desarticular. Si usted participa en una de sus acciones, ¿se le puede hacer responsable de otras acciones en las que no ha participado? En principio, a mi me parece que habría que decidir caso por caso. Y ante un caso concreto de un DDoS, por ejemplo, en el que hayan participado, digamos 2.000 personas, ¿se procesa a todas ellas? ¿Se elige al azar a unas cuantas para hacer un escarmiento ejemplarizante? ¿Prosperaría algo así? ¿Qué reacción podría haber por parte de Anonymous?

En mi opinión, Anonymous es una manifestación más de un tipo de fenómeno que hemos visto y veremos más veces en el futuro y es la aparición de una “consciencia” (atención a las comillas) colectiva basada en Internet. Aparentemente, es posible coordinar acciones de un grupo numeroso de personas sin que haya una clara dirección ni una cúpula (perdón por el guiño), sino una comunidad de intereses u objetivos. La misma incomprensión del fenómeno por parte del establishment se produjo al principio con el movimiento del Software Libre y creo que por los mismos motivos. ¿Cómo puede la gente ceder gratuitamente el fruto de su trabajo? ¿Quién hay detrás? Y ¿qué decir del cambio de relaciones entre empresas y consumidores con la aparición de las redes sociales? O el movimiento #15M. ¿Les parece que mezclo churras con merinas? Estamos en tiempos de cambio y aún en la infancia de Internet y mi opinión es que “esto de Internet” es un cambio tan importante como la Revolución Francesa o la Revolución Industrial. O más. Y andamos todos un poco despistados. Eso sí, algunos más que otros.

Esto es absolutamente inadmisible. Según dice la citada noticia los supuestos superespecialistas de Sony indican que han asaltado sus defensas y han burlado sus “extraordinarios” sistemas de protección y control para acceder, entre otros, a los datos personales de un servidor (o sea los míos). Ni serian tan superespecialistas ni las defensas de Sony serian tan súper si lo que les ha pasado es que les han robado en sus propias narices los datos de su bien más preciado, sus clientes. Según dice la noticia de este medio de comunicación se han visto afectados 77 millones de usuarios en todo el mundo. Usuarios de la plataforma PlayStation y de otras plataformas como la tienda audiovisual online Qriocity de la cual soy usuario. De los 77 millones de usuarios, 3 millones son españoles o afincados en España. Ya saben, si ustedes son alguno de esos usuarios y usan claves numéricas que coinciden con su clave de acceso al banco pueden ir corriendo a cambiar esta última porque les aseguro que NO estará a buen recaudo. Eso sí, fuentes muy bien documentadas de la compañía afirman que no se han registrado quejas por parte de usuarios, lo que según ellos quiere decir que podemos estar tranquilos porque los malos no han robado los datos por su interés en las tarjetas de crédito, simplemente querrían hacer una estadística del numero de nombres repetidos que Sony tenía en su base de datos o de cuántos de los 77 millones de clientes eran menores entre 13 y 18 años. Lógico y útil. He de reconocer que tras la lectura de estas declaraciones me he quedado mucho más tranquilo (#modo irónico off).

Algo tenemos que cambiar los que trabajamos en este sector. Evidentemente no hemos hecho un análisis del incidente y, por tanto, no sabemos a qué se ha debido, pero es bastante probable, por una cuestión estadística, que los supuestos “malos” hayan aprovechado algún fallo de la programación de alguna aplicación. Constantemente nos estamos encontrando en nuestro trabajo fallos de este tipo. Si esto es así yo me pregunto si conseguiremos, entre todos, alguna vez, que los que dirigen los equipos de desarrollo no antepongan la funcionalidad a todo lo demás, descuidando aspectos tan críticos como la seguridad de los datos personales de los ciudadanos, de sus cuentas, de sus domicilios, de los datos de los menores que usan las plataformas y de lo que sea… Parece que lo importante, al igual que sucede con las audiencias televisivas, es la cuota de mercado. Lo importante es tener usuarios registrados, disponer de sus datos y la forma de agradecerlo… “protegiéndolos con nuestra vida si hace falta”. Jaja.

En fin, así están las cosas. Esta es una situación mala para el avance de una sociedad digital en la que la tecnología y su seguridad conforman los cimientos sobre los que estamos construyendo un sinfín de servicios. En S2 Grupo estamos convencidos de que las cosas no tendrían que ser así y de que estos incidentes no deberían producirse si se tomasen las medidas pertinentes (y si aún así se producen, se deberían gestionar de otra forma).

Por cierto, para acabar, comentarles que los usuarios de la plataforma Xbox de Microsoft pueden estar tranquilos porque la compañía simplemente ha anunciado que “puede haber habido un posible robo de datos personales desde ‘Xbox Live’”. Toma ya.

Con el tema de los ciberataques contra GVA ya dimos unas pinceladas del saber hacer de estos periodistas; ahora con el debate que se está abriendo sobre la seguridad nuclear siguen cubriéndose de gloria, y encima lo mezclan con la entrada en Cofrentes de unos activistas de Greenpeace hace unas semanas, poniendo este acto como ejemplo de “inseguridad” en las centrales nucleares españolas. Por favor, no mezclemos churras con merinas. Que las centrales nucleares -y otras infraestructuras críticas- de nuestro país sean o no vulnerables no depende de que unos ecologistas capaces de evitar -con presunta violencia- a los vigilantes de seguridad (o a la Guardia Civil si se diera el caso) se cuelen tras la verja de una central. ¿Qué pretenden los periodistas, que disparen con armas de fuego a estos activistas para demostrar lo seguros y fuertes que somos? Venga, hombre… la que se habría montado, y con razón.

Un conocido mío comentaba hace unos años que España hay dos cosas de las que todo el mundo sabe: medicina y seguridad. ¿Que te duele la cabeza? Tómate cualquiercosaqueacabeenina, que a mí me ha ido muy bien, mírame, además lo he leído en Google y en el curso por fascículos de “El neurocirujano en casa”… ¿Que el accidente de Spanair fue culpa del piloto? No hombre, fue el relé XJ45, que no desplegó los flaps y por eso no se alcanzó la velocidad de despegue adecuada para un aparato de esas características, que en función del viento de costado y del puerto USB puede ser de hasta 738,3 kilómetros por hora… ¿Que la central de Fukushima va a explotar? El problema está en el núcleo del reactor, que no se puede enfriar lo suficiente debido al proceso de fisión nuclear y a las valencias del elemento, que ya se sabe lo que pasa en fallas con tanto calor… Toma ya. Esto lo pongo en un periódico de tirada nacional, lo mezclo con “declaraciones de un responsable de nosequé experto en nosecuantos” y a vivir. Acabo de dar un curso acelerado de medicina, ingeniería aeronáutica o física nuclear a mis lectores, que sabrán aprovecharlo a la perfección en el parque o en la cola de la panadería ayudándome así a difundir mi conocimiento.

Señores, seamos serios. Ya sé que no se puede saber -y por tanto escribir- de todo, pero un mínimo de rigor sería más que aconsejable. Un defacement no tiene nada que ver con un DDoS, unos ecologistas que entran en Cofrentes no tienen por qué ser ejemplo de ninguna inseguridad y mil cosas por el estilo. Cuando una persona que no conoce una materia concreta trata de hablar de ella ex cathedra hace, cuanto menos, el ridículo, cuando no algo peor. Informémonos antes de escribir y, en caso de dudas, estoy seguro de que existen centros de investigación, universidades, empresas, personas… expertos en muchos temas que nos pueden dar su opinión con respecto a los mismos o al menos orientarnos correctamente para que no metamos la pata. Se trata simplemente de preguntar y escuchar lo que nos dicen. Si de seguridad, que creo que algo sé, veo esas barbaridades escritas en los medios…¿qué habrá de verdad en los artículos de materias que no conozco? ¿seguirán la misma tónica? ¿qué puedo creerme de lo que leo en un periódico o veo en la televisión? Miedo me da pensar qué dirán de economía, política y mil materias más de las que sé poco o nada…

Ojo, no quiero decir con este post que todos los periodistas estén mal informados -voluntaria o involuntariamente- y por tanto informen mal de lo que sucede a nuestro alrededor; simplemente, creo que en los medios generalistas estamos llegando en ocasiones a la política del “todo vale”, por desconocimiento o no, dejando así al periodismo presuntamente serio a la altura de “La Noria”. Y para ciertos temas, como la economía o la seguridad, entre otros, esto puede ser peligroso: transmitimos un mensaje erróneo a miles de personas que lo interpretan como verdadero, con las consecuencias que esta información negativa puede llegar a tener en la población.

Por suerte, y para no ver solo la botella medio vacía, quiero recalcar que IMHO sí existen periodistas bien documentados y que hacen correctamente su trabajo, sobre todo si nos vamos a medios especializados; en el caso de seguridad, algunos buenos ejemplos pueden ser SIC, Seguritecnia o Security Management por citar unos cuantos -hay más, por supuesto-. Ójala cunda el ejemplo y podamos llegar a fiarnos de lo que leemos en medios generalistas… al menos más que ahora.

El viernes, día 25 de junio, se va a celebrar una sesión abierta del proyecto, en el que se impartirán tres conferencias sobre tres temas muy interesantes en el ámbito de la ingeniería de software:

“Intention-Based Integration of Software Engineering Tools”
Prof. Walid Maalej, Technische Universität München

“Autonomic and Self-adaptive systems”
Prof. Benoît Gaudin, LERO – The Irish Software Engineering Research Center

“Open issues in fault replication”
Prof. João Garcia, Instituto de Engenharia de Sistemas e Computadores, Investigaçao e desenvolvimento em Lisboa

Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente “clásica”.

Otra cuestión es qué pasa actualmente con estos puestos de seguridad privada “no oficial”… se trata de roles tan habituales que nadie se plantea sus implicaciones, pero lo cierto es que únicamente están reconocidos dentro de una organización, no más alla; un Director de Seguridad o un Ingeniero en Informática es eso mismo aquí y en la China Popular (como diría alguien), mientras que un “Ingeniero de Seguridad Perimetral” o un “Responsable de Riesgos” no tienen sentido fuera de la organización que les ha asignado esa categoría. Volvemos al tema de las atribuciones profesionales, al quién puede hacer qué; “Director de Seguridad” es una habilitación propia del Ministerio del Interior, mientras que “Director de Seguridad de la Información” -el famoso CISO-, o “Consultor de Seguridad” no es ninguna titulación oficial, con lo que cualquiera puede adjudicarse este papel en su tarjeta de visita… De nuevo lo de siempre: ¿quién puede firmar una auditoría? ¿quién puede dirigir un departamento de seguridad que trabaje en protección de la información? Ahora mismo no existe regulación alguna más alla de la LSP (que por supuesto no toca seguridad de la información como tal), por lo que cada organización hace de su capa un sayo; yo puedo decir que tal persona es Técnico de Seguridad, Consultor de Seguridad o Ingeniero Jefe de Seguridad… ¿y? Sólo dependerá del buen criterio -o del mal criterio- de cada empresa el titulito que se asigne a su personal de seguridad…

Creo que una regulación del personal de seguridad sería muy conveniente tanto para nuestra profesión como para nuestros clientes, que por fin podrían saber quién les puede realizar determinados proyectos o prestar ciertos servicios, y en base a qué; y por supuesto, si llegamos al punto en que el personal de seguridad se regula correctamente más allá de la seguridad tradicional, no olvidemos que dicho personal tendrá una serie de obligaciones y responsabilidades -no como sucede ahora en seguridad de la información-; en el momento en el que alguien puede retirarme mi habilitación como Director de Seguridad si hago mal mi trabajo, impidiéndome desempeñar ese puesto en un futuro, me pensaré dos veces el entregar un informe o el resultado de un análisis de riesgos, por poner un ejemplo.

Para acabar, un último apunte: no empecemos ahora con que si para dirigir, auditar o implantar hace falta un CISSP, un SANS, un CISA, un CISO o un CASI, que me entra la risa… estas -y otras- certificaciones son títulos de una “academia” concreta (ISACA, ISC2, SANS…), y por muy reconocidos que estén o dejen de estar, hasta donde yo sé no son oficiales, al menos de momento; otra cosa es si demuestran o no conocimiento, o simplemente demuestran tiempo y dinero… pero para empezar a discutir quién puede hacer qué en seguridad, prefiero hacerlo por titulaciones oficiales o por habilitaciones propias del Ministerio del Interior, nos gusten más o menos…

El principal objetivo de los compradores, en la mayoría de casos, es vender falsos antivirus (Rogueware) a través de los tweets enviados por estas cuentas; el hecho de hacer clic en en enlace de un tweet hackeado infecta al equipo del usuario con la publicidad de un producto de antivirus falso. La infección provoca una notificación emergente que anuncia que el equipo está infectado y ofrece una versión completa del falso antivirus por unos 50 dólares (o más) que te asegura que desinfectará el equipo en cuestión, y se estima que 1 de cada 100 personas probablemente paguen esa cantidad. Con que sólo un tweet hackeado tenga éxito, podría tener graves repercusiones si procede de un usuario de confianza (generalmente, entre el 10-20% de los usuarios hacen clic sobre un enlace enviado por una fuente de confianza). Twitter tiene más de 75 millones de usuarios, de los cuales entre unos 10-15 millones envían tweets regularmente. Si por ejemplo simplemente sólo un 1% de esos 75 millones de miembros se infectara, y que de ese 1% de usuarios infectados, un 1% creyera en el falso antivirus y pagara por su adquisición, supondría un fraude de unos 7500 dólares. Este tipo de botnets también se usa para distribuir spam o realizar ataques de denegación de servicio, entre otras cosas.

“La técnica de robar credenciales de cuentas y la publicación de enlaces maliciosos en Twitter es cada vez mas popular. (…) Los criminales cibernéticos están dándose cuenta de que se puede abusar de los sitios de redes sociales de manera muy eficiente y acorde con sus necesidades.”, afirma Costin Raiu, director de Kaspersky Lab.

La herramienta en cuestión es TwitterNET Builder, de la cual actualmente existen dos variantes conocidas. La primera, la original, utiliza órdenes maliciosas con nombres estáticos que pueden ejecutar funciones como descargar y ejecutar ficheros, realizar ataques de denegación de servicio, redirigir a otras páginas web o controlar la comunicación entre el equipo infectado y Twitter (http://sunbeltblog.blogspot.com/2010/05/diy-twitter-botnet-creator.html)). El equipo de http://sunbeltblog.blogspot.com notificó en su momento a Twitter, y curiosamente comentan en su blog que Twitter tardó sólo 13 minutos en contestarles (impresionante). La segunda, descubierta por Kaspersky Lab, es una ligera variación de la primera variante que permite al atacante especificar los nombres del comando, lo que hace más difícil identificar qué cuentas de Twitter se están utilizando para controlar las botnets.

“Este código malicioso no incluye ningún mecanismo de distribución y debe instalarse de forma manual en el ordenador del usuario víctima, pero puede ejecutarse cuando se combina con un ataque drive-by o con un gusano que se distribuye a través de una nueva vulnerabilidad”, afirma David Jacoby de Kaspersky Lab. Las cuentas se comprometen usando dos métodos: troyanos que roban las credenciales de Twitter directamente del usuario y estafas de phising que utilizan falsas peticiones de autorizaciones en sitios fraudulentos que imitan la página original. Una vez los atacantes tienen acceso a una cuenta, pueden comenzar un mailing malicioso, que aparentemente envía el legítimo dueño de la cuenta, o simplemente pueden vender la cuenta a otros para propósitos similares.

Para protegernos, dado que esta herramienta no tiene sus mecanismos de distribución propia y necesita ser descargada y ejecutada manualmente (por ejemplo, nos podría llegar como archivo adjunto en un correo electrónico, o como un archivo enviado a través de un cliente de mensajería instantánea), es importante estar atentos a la hora de ejecutar este tipo de archivos. También hay que tener cuidado de no infectarse a través de un ataque drive-by, que pueda explotar por ejemplo una vulnerabilidad en el navegador y es aconsejable (sobre todo si eres de los que no te fijas mucho donde haces clic :) que tengamos el antivirus actualizado y tengamos también instalados todos los parches de seguridad de los diferentes proveedores.

El Ministerio de Sanidad y Consumo español ha elaborado una guía, bastante coherente bajo mi punto de vista, acerca de la actuación recomendada frente a la gripe A para las empresas, de cara a asegurar la continuidad del negocio y la salud laboral en caso de pandemia. En esta guía, de lectura más que recomendable, se establecen una serie de medidas a valorar y, si corresponde, adoptar en los centro de trabajo; estas medidas se pueden agrupar en tres familias: de formación e información (hacia el personal y con terceros), de minimización del impacto (en la empresa, en su personal y en terceros -clientes, proveedores…-) y de contingencia en caso de que se materialice la amenaza.

Desde el punto de vista de los riesgos a los que está sometida una organización, la gripe A es un riesgo muy similar al de la gripe estacional —la de toda la vida, para entendernos—, pero con unos niveles de probabilidad e impacto superiores. Mayor probabilidad porque, si en una gripe epidémica se ve afectado un porcentaje que ronda el 15% de la población, en una gripe pandémica este nivel se incrementa en mayor o menor medida (en función de muchos factores), y adicionalmente los grupos de riesgo se ven modificados, y mayor impacto porque el daño causado por la pandemia en una organización es superior al producido durante una gripe normal: personas que no pueden desarrollar su actividad a causa de la gripe (fallecidos, hospitalizados, aislamiento, atención a familiares…), mayor tiempo de convalecencia, etc.

Bajo mi punto de vista, en nuestras organizaciones debemos efectuar un análisis inicial para valorar en primera instancia los riesgos derivados de la gripe A y su impacto en la continuidad de nuestro negocio; independientemente del resultado de este análisis, debemos establecer las medidas de prevención habituales -sin llevarlas a ningún extremo, por supuesto- y, si el análisis realizado nos indica que el riesgo de vernos afectados por la pandemia es considerable, debemos aplicar las salvaguardas correspondientes para mitigar el impacto en nuestra organización, desde el teletrabajo a la ubicación alternativa del personal, en función de los resultados obtenidos previamente. Vamos, lo habitual: tampoco estamos descubriendo nada ahora; pero sobre todo, creo que debemos huir del alarmismo que se ve en los medios ya que, hasta que datos fiables me digan lo contrario, creo que de esta pandemia no vamos a morirnos todos.

Un Centro de Seguridad en general y un Centro de Seguridad Gestionada (SOC) en particular, es un centro de servicios especializado en la prestación de servicios de seguridad a sus clientes. Los Centros de Servicios, en general, son centros especializados en la provisión de servicios de valor añadido a sus clientes que buscan de forma incesante la gestión eficaz y eficiente de sus recursos humanos y materiales para la consecución de sus objetivos.

Con la calidad de servicio como estandarte, un Centro de Servicios se caracteriza por una organización por niveles de especialización y una férrea organización que permita la gestión de los eventos asociados al mismo con un estándar de calidad determinado y medido de forma continua. Este tipo de centros disponen de herramientas que le permiten gestionar en tiempo real los eventos asignados al mismo, asegurando que en ningún caso se deja de atender, en los tiempos establecidos, los sucesos que acontecen en el devenir del mismo. Sistemas que deben contemplar la monitorización de procesos y actividades en tiempo real (BAM: Business Activity Monitoring) e incluso la posibilidad de actuar de forma automática ante la existencia de determinados estímulos o sucesos. Otro aspecto a destacar de los centros de servicios es la gestión de forma procedimentada, con el fin de que el conocimiento de la propia gestión cotidiana del centro revierta en la mejora continua de los procedimientos de actuación y que los niveles menos especializados de atención puedan incluso actuar en caso de emergencia. Para conseguir este objetivo es muy importante la definición de un modelo de gestión del centro y su posterior certificación en base al referencial o referenciales adecuados en cada caso.

Un Centro de Servicios es una vía de búsqueda de sinergias, de concentración de conocimiento y saber hacer no sólo en un sentido científico o tecnológico, sino también en la optimización de procesos de gestión como puede ser el caso de la gestión de la seguridad de la información.

Los SOC o centros de seguridad gestionada, como centros de servicios que son, deben cumplir estas características generales. A pesar de ello existen distintos tipo de centros de seguridad que en varias entradas vamos a intentar analizar brevemente; algunos tienen sus orígenes en aspectos técnicos de la seguridad, mientras que otros nacen de la necesidad de la defensa de las infraestructuras críticas nacionales. Algunos tienen su origen en la actividad privada de las organizaciones mientras que otros son centros públicos. Unos tienen como objetivo compartir información y otros actuar en caso de incidentes. En cualquier caso, todos ellos tienen como común objetivo la mejora de la seguridad de las organizaciones para las que trabajan.

Hemos clasificado algunos de los centros analizados en función de su origen, determinando los siguientes grandes grupos:

• CERTs: Centros de respuesta ante incidencias técnicas y por tanto, a priori reactivos. Son centros surgidos en torno a las amenazas dentro de Internet. Públicos y privados. Ejemplos: FIRST, CERT, IRIS CERT, CERT Centro Criptológico Nacional, Inteco-CERT, CSIRT-CV, E-CSIRT….
• Centros de defensa nacional: Surgidos como iniciativas gubernamentales para la defensa de sectores de infraestructura gubernamental o considerada crítica para el estado: ISACs americanos (Information Sharing and Analysis Center), WARP británicos (Warning, Advice and Reporting Point), BFAG australianos, …. Son centros preventivos a diferencia de los anteriores que son reactivos almenos en su concepción inicial.
• Centros divulgativos, académicos y de investigación: Centros enfocados principalmente a la investigación en materias de seguridad. SANS o INTECO.
• Centros sectoriales: Desarrollados de manera privada por un sector específico. Ejemplos: Comisión nacional de Seguridad en el entorno de las Cajas de Ahorro, centros de seguridad de medios de pago, Centro sectoriales de banca: BITS, s-CERT, UK Financial Sector Continuity, e-LC CSIRT, CCI, Centro de Cooperación Interbancaria.
• Otros centros de seguridad: Centros de seguridad privados que ofrecen servicios de seguridad gestionada a sus clientes, como Argópolis en nuestro caso.

1. Sintonizar la función de seguridad con el negocio (PDF). Alberto Partida, miembro del Advisory Board de SANS Institute y poseedor de un impresionante curriculum de certificaciones GIAC (entidad de certificación del SANS Institute), nos explicó la manera de compatibilizar los requisitos de seguridad con las necesidades del negocio, y nos explicó algunos trucos para aprender a mostrar la información a los directivos no tecnólogos de tal manera que entiendan a que riesgos se exponen, y nada mejor que ejemplificarlo con ejemplos de incidentes “sonados”. Una charla muy útil para cualquiera que se encuentre en una empresa no tecnológica o que ofrezcan servicios a empresas no tecnológicas.

2. LDAP Injection & Blind LDAP Injection (PDF). Chema Alonso, Consultor de Seguridad en la empresa Informatica64, MVP Seguridad de Microsoft y autor del conocido blog “Un Informático en el Lado del Mal“, nos habló de las particularidades que tiene LDAP Injection con respecto a SQL Injection, que son básicamente el juego de caracteres especiales que se pueden utilizar y el lenguaje, pero que se basa en los mismos principios. Una pena que no pudieramos ver las demostraciones en directo, ya que una caida de su equipo dejó el disco duro inservible.

3. Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica (PDF). En esta charla, una de las que la gente mostró más interés con sus preguntas, Jorge Martín, Inspector Jefe del Grupo de Seguridad Lógica del Cuerpo Nacional de Policía, nos explicó como trabajan y a que se dedican en su departamento, una charla muy interesante que despertó la curiosidad de muchos de los asistentes.

4. Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP (PDF). Daniel Cabezas, de la empresa Ernst & Young, nos mostró diversos módulos que han desarrollado como ampliación de la genial aplicación WebGoat de OWASP para entrenamiento sobre seguridad web, una herramienta imprescindible para cualquier persona que quiera realizar formación en seguridad o que quiera incorporarse al mundo de la seguridad en su vertiente web. Uno de los módulos que creó un poco de confusión consistía en practicar la realización de Buffers Overflow, algo que dada la naturaleza Java de WebGoat despertó las suspicacias de parte del auditorio. No obstante (y eso es una nota para los asistentes al curso que también sean lectores de este blog), cuando Java realiza llamadas a binarios externos para cualquier motivo sí es posible realizar un Buffer Overflow, ya que al realizar la llamada a la función esto sale de máquina virtual java y por tanto de sus restricciones de seguridad, por lo que es posible (y de hecho existen casos documentados) de explotación de vulnerabilidades de Buffer Overflow A TRAVÉS (mejor que “en”) de aplicaciones Java.

En conclusión, los OWASP Spain Meeting son una cita muy recomendable, convirtiéndose en un imprescindible en las conferencias de seguridad en España, algo esperable del excepcional Proyecto OWASP. ¿Nos vemos en la próxima edición? ;-)