Leía en El Mundo (elmundo.es) un peligroso ejemplo de convergencia (¿recuerdan que les hablamos de ello?). Parece ser, siempre teniendo en cuenta que las diferencias entre lo publicado en medios de propósito general y la realidad tecnológica suelen ser considerables, que a los señores ingenieros de Boeing no se les ha ocurrido más que unir, en ciertos puntos, las redes de datos y control de sus aviones con las redes de propósito general que dan acceso a Internet para los pasajeros durante el vuelo. Si simplemente hubiéramos visto la noticia en el periódico, seguramente lo habríamos achacado al sensacionalimo o desconocimiento de quien ha escrito el artículo, pero resulta que en el mismo hay un enlace a Cryptome.org (algo más serio en materias de seguridad) en el que se publica el supuesto informe de la FAA (Federal Aviation Administration) que hace referencia a este problema.

Teniendo en cuenta que el propio informe de la FAA indica que es necesario seguir analizando el problema para determinar el posible impacto del mismo, por lo que es posible que finalmente un potencial intruso simplemente pueda tener acceso a cosas irrelevantes para la seguridad del vuelo (consulta de la temperatura en cabina, lectura de parámetros de vuelo, captura pasiva del sistema de megafonía…), nos importa mucho el hecho en sí, como ejemplo de convergencia. Si un intruso ataca una red de datos desde su ordenador, podrá interferir generalmente en actividades de índole lógica, perjudicando la imagen de la víctima, la integridad de sus datos, la confidencialidad de su cartera de clientes, etc.; pero si esta red da acceso a sistemas de control, la cosa cambia. En este caso, pensemos en que el atacante podría distorsionar datos de vuelo o proporcionar datos falsos a los elementos de control; sin duda es aventurarse mucho, pero como ya adelantamos, este tipo de cosas —quizás, y esperemos que así sea, no en aviones, por las medidas de seguridad que se introducen en estos medios de transporte— acabará pasando. Cuando conectamos elementos de control físico con redes fácilmente atacables, nos exponemos a riesgos que tal vez no sean los esperados.

A finales del pasado mes leí un artículo de Raúl Morales titulado “Proponen nodos suicidas para proteger las redes de los hackers”. En él se comentaba la propuesta de la Universidad de Cambridge para la protección de redes descentralizadas o distribuidas: permitir a cualquier nodo de una red terminar con un nodo considerado malo con la contrapartida de que el nodo “ejecutor” se vea obligado a “suicidarse” (desconectarse) como justificación al acto de “eliminación” de ese nodo malo (en pocas palabras, doy mi vida por el bien común).

Hay que remarcar que se trata de una propuesta, y claro, para eso estamos los “chicos” de Security Art Work, para sacarle punta a (casi) todo. Teniendo eso muy en cuenta, ¿qué soporte tiene esta propuesta? ¿No nos lleva a sacar al justiciero que llevamos dentro?

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa

Hace tiempo una persona de confianza me propuso dar una conferencia sobre sistemas de gestión relacionados con la Responsabilidad Social Corporativa. Corrían los tiempos en los que empezábamos a hablar del Sistema de Gestión de Seguridad de la Información en serio. Eran tiempos en los que S2 Grupo acababa, con mucho esfuerzo y apuesta personal, de conseguir que Carlos Manuel Fernández en nombre de AENOR, como Auditor Jefe, certificase en base a la recién nacida UNE 71502 el Sistema de Gestión de Seguridad de la Información de Francisco Ros Casares, la primera certificación de este sistema en España. La verdad es que en aquel momento me pareció una idea interesante. Me pareció que teníamos algo que decir, que teníamos que hablar de los nuevos sistemas de gestión (el de seguridad) y su relación con la Responsabilidad Social Corporativa (RSC).

… cuecen habas.

Y si no, que se lo digan a Gordon Brown, primer ministro británico, que como suele decirse, y perdónenme el lenguaje y el chiste fácil, tiene un buen brown entre manos. Porque a ver cómo le explicas a veinticinco millones de británicos que has perdido un CD con sus datos personales y bancarios, al parecer, para siempre. Vamos, que no sabes dónde está ni tienes esperanzas de encontrarlo. Digamos que es algo más delicado que decir algo como: “Sí, los hemos perdido, pero no se preocupen que sacamos otra copia y la volvemos a mandar”…

Para mañana, les tengo preparado un comentario crítico sobre la II Jornada Internacional de ISMS Forum Spain: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa”, por parte de José Rosell, y que tuvo lugar ayer martes. No se la pierdan.

Hemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.

Cambiando de sospechoso habitual, hoy leía en BITácora que Facebook está siendo investigada por la autoridad de protección de datos de UK, al parecer por aplicar una política de retención de datos algo dudosa; para que lo entiendan, es algo así como «Vaya, esto sí que es curioso. Me he vuelto a registrar seis meses después de haberme dado de baja… y los datos de mi perfil siguen estando aquí». El caso es que no me extrañaría que en los próximos años, a causa del creciente uso de datos de carácter personal con fines publicitarios y comerciales que hacen estas “redes” (de algún sitio tiene que salir el dinero en el mundo 2.0.com), de lo que les hablaré en breve, veamos un aumento de las quejas y denuncias con respecto a la gestión que estas webs hacen de los datos de sus usuarios (o “afiliados”).

Leía hace unas semanas una noticia que decía “La policía danesa detiene a un hombre por acceder a los correos electrónicos de Michael Rasmussen” y seguía “La policía danesa ha arrestado en Herning, en el oeste de Dinamarca, a un danés de 30 años por introducirse en el correo electrónico del ciclista Michael Rasmussen e intentar vender a un periódico la información que obtuvo”.

Esta noticia me ha hecho reflexionar sobre la seguridad general del correo electrónico que transita por el mundo y el negocio lucrativo que algunas mentes enfermizas pueden obtener por el hecho de fisgar en el correo ajeno.

Nuestros equipos de trabajo han analizado en bastantes ocasiones la seguridad del correo electrónico desde la óptica, por ejemplo, de la Ley Orgánica de Protección de Datos y de las medidas de seguridad que el Reglamento nos exige. ¿Podemos enviar información de carácter personal por el correo electrónico? ¿Cumple el correo electrónico las medidas básicas de seguridad para proteger la información que contiene? ¿Cómo podemos hacer uso del correo electrónico como canal de comunicación seguro? Las respuestas no son desde luego triviales para el gran público.

Pero el foco del análisis ha sido siempre distinto. Nos hemos enfrentado a infraestructuras corporativas de correo electrónico con servidores de correo, a evitar que el correo sea interceptado dentro y fuera de las organizaciones y a garantizar unas medidas de protección para determinado tipo de información que viaja en nuestros sobres electrónicos, pero, al menos yo, no me había planteado el interés que los correos electrónicos personales pueden llegar a tener en función de los dueños de las cuentas y, por tanto, la necesidad de que los que hospedan estas cuentas de correo ofrezcan a sus clientes servicios que garanticen la seguridad de sus comunicaciones.

Para empezar bien la semana, ayer lunes nos “desayunamos” con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs “todo en uno”. Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de “El Solitario”, el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

— ¿Conectividad limitada o nula? Madre mía, pero si tengo el AP en la habitación de al lado…

¿Cuántas veces hemos tenido que deambular por la casa portátil en mano alejándonos de zonas de sombra de cobertura, buscando incrementar la señal? Sí, bueno, ya se lo que pensaréis, ese escenario es ligeramente diferente al primero, ya que puede que el Access Point en cuestión no se encuentre en nuestra casa. Pues bien, hablando de cobertura, el profesor Ermanno Pietrosemoli de la escuela latinoamericana de Redes ha batido el récord, este mes pasado, de cobertura WiFi. Nada más y nada menos que ha conseguido establecer una conexión direccional a 382 Kilómetros de distancia, con un ancho de banda de 3 Mb en ambos sentidos, superando el antiguo récord establecido en 310 Km.

Esta tecnología aplicada a largas distancia no es tan robusta como podría ser WiMax, pero… ¿alguien sabe cuanto cuesta una torre WiMax? (creo que en ebay hay alguna de segunda mano). Así pues WiFi puede ser una solución a coberturas de larga distancia que requieran un ancho de banda limitado, y aquí tenemos la prueba. Eso sí, los problemas que pueden suponer alinear correctamente las antenas, los obstáculos en visión directa o la propia curvatura de la Tierra dificultan “bastante” el despliegue.

Y además 382 km dan mucho espacio para poner un sniffer.

Aunque sea cierto que de vez en cuando a algunos nos entra la paranoia Gran Hermano, cuando ve uno cosas como las que han pasado con Vodafone en Grecia, no deja de sentirse algo justificado en sus miedos. Cosas que demuestran, además, que una puerta trasera suele ser una muy mala idea, sea para quién sea, porque nunca sabe uno quién acabará utilizándola.

Como regalo para el fin de semana, y bordeando la media noche, les voy a regalar algo que he visto en Kriptópolis, aunque proviene de la Asociación de Internautas, y que no puedo dejar pasar. Como es posible que sepan, la nueva nuevísima web del Congreso se presentó hace unos días con problemas de estándares, diseño, desarrollo, accesibilidad y muchas otras cosas.

Y como no podía ser de otra manera, al parecer, entre los catorce millones de euros que ha costado, también va incluido el manual de Oracle Application Server 10g Release 2 (10.1.2), según pone en http://www.congreso.es/quickstart.htm, y es posible que otras cosas cuyo acceso público no sea tan relativamente inocuo (que conste en acta lo de “relativamente”). Lo dicho; por catorce millones de euros, ¿quién da más?

(Es muy posible, deseable, lógico, y sobre todo recomendable, que ese manual de Oracle accesible desde Congreso.es y contenido similar que no debería ser público, desaparezca en las próximas horas. Si eso sucede, pueden obtener los detalles completos en el anterior enlace de Internautas.org)