Durante estos días, como cualquiera que lea el periódico sabrá, ha salido a la luz un supuesto caso de espionaje industrial contra Renault, relativo al robo de información del coche eléctrico por parte de unos intermediarios que a su vez habrían facilitado la información a China. Por supuesto, muchos medios generales se han hecho eco de esta noticia, y también por supuesto ha sido analizada en blogs y canales especializados en seguridad.

El caso de Renault que ahora se publicita ni es el primero ni será el último en esto del espionaje industrial; simplemente pone de manifiesto un problema al que casi todas las empresas, grandes o pequeñas, están expuestas en la actualidad: el robo de información. Lo de siempre: se roba lo que vale, de una u otra forma, dinero; antes eran bienes materiales (un coche, un cuadro, una pieza concreta) y ahora lo que vale dinero es la información. Como dice Javier Cao en su blog, todos los que trabajamos en seguridad nos cansamos de repetir que la información es un activo de toda organización y, como tal, debe ser protegido. En plata: la información es dinero (o poder, o como lo queramos llamar) y por tanto tiene interés para los delincuentes.

¿Qué es lo que puede suceder en una empresa como Renault para que ocurran estas cosas? ¿Qué se ha hecho mal? Imagino -no lo sé, pero lo imagino- que tendrán un SGSI estupendo que habrá costado miles de euros, que entre su personal tendrán ingenieros con todas las certificaciones de seguridad habidas y por haber y que la inversión en protección de sus diseños costará anualmente cifras que a los simples mortales nos llegarían a marear. Ya sé que todo esto no garantiza la impunidad absoluta, pero ayudar, ayuda. Entonces, ¿qué sucede? Creo que se nos escapa, una vez más, el factor humano, el más difícil de controlar cuando hablamos de seguridad.

Protección de la información y personas. Dos conceptos que en ocasiones son difíciles de mantener en armonía, en especial cuando la información manejada vale miles de millones de euros y las personas, como los sistemas, presentan vulnerabilidades de uno u otro tipo. Sin ser tan drástico como el Arcipreste de Hita, que decía aquello de que el mundo por dos cosas trabaja: la primera, por aver mantenençia…, sí que es cierto que las personas funcionamos en ocasiones por dinero, por ideales (amor, política, religión…) o incluso por amenazas; confiar en la lealtad de las personas a una organización simplemente por pertenecer a ella y sentirse parte de la misma es obviamente un error, y lo peor de todo es que solemos darnos cuenta de este error cuando el problema estalla en nuestras narices.

¿Qué podemos hacer para minimizar (no quiero decir “evitar”) problemas de seguridad derivados de las personas? Al hablar de la protección de bienes tangibles las soluciones suelen ser muy claras, pero al hablar de protección de la información quizás no lo sean tanto; bajo mi punto de vista, aparte de las recomendaciones clásicas (segregación de tareas, need to know…) lo que hoy en día necesitan las organizaciones es contrainteligencia: mecanismos que permitan detectar potenciales conductas anómalas (e investigarlas) antes de que las fugas de información, los daños reputacionales o cualquier otro problema se materialicen y nos causen un impacto significativo. Lo mismo que se ha hecho en inteligencia desde hace décadas -ellos siempre han estado acostumbrados a trabajar con información valiosa- aplicado ahora al negocio; frente al espionaje, contraespionaje, con unas técnicas similares a la contrainteligencia clásica pero con el añadido del punto de vista empresarial (contrainteligencia competitiva lo llaman por ahí, aunque es un término que no me acaba de gustar). A diferentes escalas -no será lo mismo un alto directivo de una multinacional- que un técnico de una empresa pequeña- pero con el mismo fin: proteger la información como activo crítico, igual que protegemos a las personas o a los edificios.

Por supuesto, por mucha contrainteligencia, por mucho need to know, por mucho SGSI o por mucha seguridad lógica que implantemos, este tipo de cosas seguirán pasando; quizás dentro de unos meses veamos por las calles coches eléctricos Lenault con un diseño muy similar al que ahora se ha robado. O quizás no, quién sabe. Lo que sí que es cierto es que los robos de información o el espionaje industrial están a la orden del día; casos como este saltan a los medios -se trata de empresas muy conocidas-, pero son muchos más los que se quedan enterrados en una organización cualquiera o, como mucho, en un juzgado; y siempre es lo mismo: personas con acceso a información que por uno u otro motivo (principalmente dinero) hacen un mal uso de ella.

Por cierto, hablando de estos temas, un libro muy interesante que trata de la relación entre personas y protección de la información es Managing the Human Factor in Information Security, de David Lacey (nos lo recomendó chmeee en este mismo blog). Lo estoy leyendo ahora y cuenta cosas más que interesantes (gracias chmeee ;)

Leía anoche el post de Damià sobre tecnologías de posicionamiento y no pude por menos que pensar -una vez más, no era la primera- en el nivel de control que las nuevas tecnologías pueden llegar a tener sobre nosotros y nuestra privacidad, si es que aún nos queda algo de eso. Acerca de degradaciones de la privacidad hemos hablado largo y tendido en este mismo blog, desde múltiples puntos de vista -incluso incluyendo los menos tecnológicos-, con lo que toca ahora el turno de las tecnologías de posicionamiento; en este caso, basadas en algo que, como el teléfono móvil, no está pensado exclusivamente para posicionar pero puede usarse con cierta facilidad para ello: me refiero a las tarjetas de crédito (o débito, por supuesto ;)

Las tarjetas de crédito no sólo nos posicionan en un momento determinado, a nosotros o al poseedor de nuestra tarjeta (que suele interesar que coincidan ;) sino que dicen mucho de nuestra vida; sin ir más lejos, si yo pago habitualmente la gasolina de mi coche con mi tarjeta, y casualmente suelo llenar el depósito, y además suelo hacerlo de camino al trabajo, cualquiera con acceso a esos datos puede saber (o imaginar) ya unas cuantas cosas sobre mí:

• Zona habitual de paso. Aparentemente, Valencia; en concreto, la zona norte de la ciudad.
• Misma gasolinera, mismo horario: suelo hacer ese recorrido a diario; si alguien quiere asesinarme, ya sabe dónde encontrarme :) Además, soy un tipo de costumbres…
• Horario: completamente laboral, con lo que presumiblemente tengo trabajo y no puedo irme de fiesta todos los martes. Muy interesante para el banco de cara a concederme una hipoteca (¿cuál sería mi nivel de riesgo si usara la tarjeta habitualmente en zonas de copas, por las noches y de vez en cuando tuviera descubiertos?).
• Importe. Como he dicho, suelo llenar el depósito y gracias al precio del combustible, eso se traduce en casi sesenta euros, con lo que a priori tengo un coche grande (y con estos precios, afianzo la hipótesis de que por fortuna tengo trabajo).
• Frecuencia de repostaje. Suelo llenarlo una vez al mes, con lo que o hago pocos kilómetros o mi coche consume poco. Podría comprobarlo si tuviera acceso a los datos de otras estaciones de servicio… pero la frecuencia de repostaje, unida al importe repostado y a que teóricamente tengo un coche grande me hace pensar en pocos kilómetros. Ya os confirmo que es así (fuera de temporada de setas, claro está ;)

En resumen, simplemente con el repostaje habitual de camino al trabajo, alguien ya puede saber de mí en qué zona vivo, qué ruta sigo, mis horarios, mi tipo de coche, si trabajo o no… Evidentemente, se trata de un ejemplo simple; si nos queremos complicar, podemos fijarnos en movimientos globales durante, pongamos por caso, un mes: si me he ido de viaje, dónde he ido, si suelo comer o cenar fuera de casa, en qué tiendas compro y dónde están… Con el análisis de estos movimientos no sólo posiciono en cada uso al titular de la tarjeta -o a la tarjeta en sí- sino sus gustos, lugares frecuentados, nivel de gastos, estilo de vida, etc. Geoposicionado. Y tanto :)

Este tipo de geoposicionamiento, o simplemente información, puede resultar muy interesante en aspectos como la lucha antiterrorista (por ejemplo, para saber en qué ciudad se encuentra un sospechoso que acaba de sacar dinero de un cajero) o la detección de tarjetas duplicadas (no puedo comprar en Valencia y en Vigo con una diferencia de una hora entre ambas operaciones), pero, como siempre, tenemos el mal uso que podamos hacer de los datos derivados del uso de las tarjetas; desde publicidad dirigida hasta intromisiones en la privacidad difícilmente justificables (¿qué sucede si suelo pagar en locales de alterne o en un sex shop?). Los sistemas de detección del fraude implantados en redes de medios de pago hacen uso de esta información con fines lícitos, pero si cayera en malas manos… en fin, lo de siempre, el WikiLeaks de los pobres :)

Para acabar, si alguien se aburre, que invierta una horita en analizar los movimientos de sus tarjetas durante el último mes, verá como dicen muchas cosas de él.

Esta semana, en concreto el lunes día 29, estaba viendo el telediario de La 1 mientras trataba de dormir a mi hija; como parece que algunos periodistas están algo faltos de noticias (cuando se juega un Barça-Madrid parece que no se puede hablar de nada más interesante), uno de los bombazos informativos fue la actuación de nosequé cantante en Madrid, ídolo de quinceañeras, que había arrastrado a niñas de media España a hacer cola durante horas para que les firmara un disco o algo así. Reconozco mi ignorancia musical, ya que no tenía ni idea de quién era este chaval -prefiero a Krahe-, pero me llamó mucho la atención una cosa: una de las fans, entre gritos de histeria, se había “tatuado” en la cara su -presuntamente- número de teléfono móvil, junto a su nombre y un “Call me”; por supuesto, este fue uno de los primeros planos, con lo que media España pudo saber el teléfono de esta, también presuntamente, menor.

Por supuesto, un diez en seguridad para la niña por publicar información sensible (ríete tú de WikiLeaks); pero con quince años y las hormonas por las nubes dudo que mucha gente piense en las posibles consecuencias de una cosa como esta. Eso sí, un diez también en seguridad al periodista (o cámara, o lo que sea) por ese primer plano de la chavala; ahora cualquiera puede llamarla, tratar de quedar con ella, engañarla o lo que le apetezca. Con un par.

No voy a ponerme a hablar ahora de la seguridad de los menores y el uso que estos hacen de las nuevas tecnologías (casualmente esta semana se publican en este mismo blog varias entradas del tema, ya saben por qué :) Simplemente me llamó la atención la inocencia (o inconsciencia) de esa pobre chica y me planteé que si alguien es capaz de dar su teléfono delante de media España a cambio de nada, qué no sería capaz de hacer con un poco de ingeniería social. ¿Qué pasa si me hago pasar por un representante del cantante de marras y llamo a la chica para quedar con ella? ¿Qué pasa si en una red social me hago amigo de un menor y me dice dónde vive, dónde estudia y dónde va con sus amigos los viernes por la tarde? ¿Y si dejo en la puerta de un instituto un CD en el que haya escrito “Notas” o “Exámenes”, y que contenga un bonito keylogger?

Más allá de sistemas de control parental, restricciones técnicas de acceso a ciertos contenidos, filtrado de tráfico y demás, creo que esto sólo se arregla de dos formas: formando al menor y formando al menor. Y si puedo añadir una tercera opción, seguramente optaría por formar al menor. Sencillo, ¿verdad? Escribir cosas siempre es sencillo, el problema está en implementarlas. Y en este caso, en convencer a chavales -tarea difícil- de que las tecnologías son útiles, obviamente, pero hay que saber utilizarlas. Y de que si las usan mal pueden tener problemas que van más allá de bromas en Tuenti o mensajes en el muro de Facebook.

Por cierto, ¿qué hay de los padres? A menudo los niños son los más “tecnólogos” de la casa, usando cualquier cacharro con cables -o inalámbrico- mucho mejor que sus padres, desde el DVD al ordenador. Pensemos que si ninguno de nosotros dejaría a su hijo de nueve años solo en el centro de una gran ciudad, a expensas de cualquier agresión, con acceso a cualquier contenido simplemente mirando el escaparate de un quiosco, expuesto a un atropello, a perderse durante horas… ¿por qué estamos haciendo exactamente eso en Internet? Es más cómodo dejar a un chaval delante de un ordenador que jugar con él, hablarle o escucharle, pero a la larga todo tiene consecuencias… Si no lo haríamos en el mundo real, ¿por qué sí en el virtual?

Para acabar este post sobre menores, me gustaría hacer una mención a César J.F., un niño de nueve años cuyo cadáver apareció hace unos días dentro de una maleta en Menorca. Tras las investigaciones correspondientes, se ha descubierto que su propia madre lo ahogó en la bañera y que el cuerpo permaneció escondido durante unos dos años sin que nadie se percatara de que el chaval no estaba ni en clase, ni en su casa, ni en casa de sus abuelos, ni en ningún sitio. Nadie se preocupó por él en este tiempo, nadie lo echó de menos. Noticias como esta dejan a uno sin palabras. Creo que todos deberíamos plantearnos qué puede llevar a una (mal llamada) madre a hacer algo así pero, sobre todo, qué puede fallar para que un niño desaparezca dos años sin que nadie se dé cuenta. Reflexionemos un poco, porque en esta aldea global (con tanto 2.0, la nube y mil chorradas más) hay cosas que son difíciles de explicar. Y no tienen nada que ver con la tecnología. D.E.P.

(Toni nos remite esta entrada desde el congreso ENISE, con el aliciente añadido de que la ha escrito con la Blackberry, lo que no deja de tener su mérito)

Como algunos ya sabíais y otros imaginábais, un año más estamos en el congreso ENISE, en León, organizado por INTECO. Este año nos hemos acercado Fernando y yo, para poder repartirnos por los talleres más interesantes de cada sesión, y a mí me ha tocado el correspondiente a la protección de infraestructuras críticas. Más allá del programa, ponentes, etc. que tenéis disponibles en la web del evento, comentamos en este post algunas opiniones y reflexiones acerca de lo que escuchamos en la jornada de ayer.

Comenzó el día con una sesión plenaria sobre los esquemas nacionales de seguridad en Europa, sesión en la que lo más repetido fue el término COLABORACIÓN para poder proteger las infraestructuras críticas de los países miembros y de Europa en su conjunto de forma adecuada. ¿Recordáis el congreso del CNPIC al que acudimos en febrero y que ya contamos en este blog? Ponentes diferentes pero la misma idea una vez más; si tan necesaria es la colaboración… Por qué nos cuesta tanto potenciarla?

Tras la plenaria, un par de talleres (mañana y tarde) sobre protección de infraestructuras críticas, ahora con dos términos que destacaron por encima de los demás: SCADA y resiliencia (esta última aún no incluida en el DRAE, pero estamos en ello). Parece que el problema de la PIC se centra en la (in)seguridad en los entornos SCADA, algo que parece obvio pero que me hace plantearme algunas preguntas: ¿qué pasa con los ataques a las personas? ¿Qué pasa con los accidentes y los desastres naturales? Qué pasa con el terrorismo “clásico”? La protección frente a actos delictivos, ciberterrorismo y demás esta muy bien (por supuesto), pero no debemos descuidar ningún otro aspecto o acabaremos mal. Hablar de SCADA “mola”, pero garantizando la seguridad de estos sistemas no garantizamos la “invulnerabilidad” de una infraestructura crítica.

En cuanto a resiliencia, palabra que también está de moda, una pregunta que nos lanzó el ponente: ¿sirven los paradigmas clásicos de seguridad para proteger las infraestructuras críticas o debemos ampliar nuestra visión? ¿Seguimos hablando de confidencialidad, integridad y disponibilidad o ahora hay algo más? Casi nada :) Como decía Darwin, no sobreviven los más fuertes ni los más inteligentes, sino los que mejor se adaptan al cambio…

Para acabar, una reflexión adicional. Se habló mucho (sobre todo en la plenaria) de CERTs. El concepto clásico de CERT está a punto de cumplir 22 añitos (ahí queda eso) y, bajo mi punto de vista, la visión clásica de estos centros es necesaria pero no suficiente. Por supuesto que debemos estar preparados para responder adecuadamente a incidentes, pero en la actualidad creo que los centros de seguridad (SOC o como los queramos llamar, pero no CERT) deben ser más preventivos que reactivos y además potenciar no una respuesta focalizada en la parte técnica sino una respuesta integral, por supuesto junto a otro tipo de servicios que sobrepasan el ámbito de un CERT tradicional… ¿Por qué seguimos hablando de CERTs? Esto será un tema para otro post, del que ya tenemos el título: del gusano de Morris a Stuxnet (gracias Xavi :).

Seguiremos informando.

Como ayer apuntaba José Luis, estuvimos presentes en el congreso de ISACA Valencia 2010, realizado los días 19 y 20 de octubre en la Universidad Politécnica de Valencia. La sesión de ayer miércoles, dedicada a la e-Administración, comenzó con un par de ponencias dedicadas la primera de ellas al estado general de la administración electrónica en España, a cargo de Lorenzo Cotino (Universidad de Valencia), y la segunda a la interoperabilidad, a cargo esta de Roberto Santos, de Telefónica -o Movistar- (videoconferencia desde León con algún que otro problemilla técnico que finalmente pudo subsanarse).

Tras un café, continuó la jornada con una excelente ponencia de Manuel Caño (LBIGroup) en la que se desgranó de una forma muy clara la necesidad de la contratación electrónica para todos (AAPP, empresas…), los problemas a los que se enfrenta en la actualidad y las líneas de resolución que se están adoptando a nivel europeo -que pasan todas por la estandarización-. Tras Manuel, se formó una mesa redonda en la que participaron José Benedito (Diputación de Valencia), Mar Ibáñez (ACCV, en representación de la Generalitat Valenciana) y Ramón Ferri (Ayuntamiento de Valencia), y en la que se plantearon trabajos, problemas y reflexiones en torno a la e-Administración desde el punto de vista de la propia administración pública. Tengo que decir una vez más que lo que yo entendía por “mesa redonda” sigue sin coincidir con lo que entiende el resto del mundo, porque las mesas redondas que llevo viendo desde hace unos años se limitan simplemente a presentaciones más cortas que el resto de las expuestas en el congreso; pero salvado este detalle, decir que me gustaron especialmente las reflexiones personales de José Benedito a la hora de plantearse qué requiere un ciudadano de la administración (hablando de trámites administrativos, no asistenciales -sanidad, educación…-) y dejando en el aire si realmente hace falta todo lo que tratamos de hacer. A fin de cuentas, el 90% de los ciudadanos tenemos unas comunicaciones con las AAPP muy simples: declaración de la renta con AEAT, algunos impuestos con el ayuntamiento y poco más… ¿no estaremos matando moscas a cañonazos con tanta e-administración? Ahí queda eso :)

Para finalizar, decir que este año, para mi sorpresa, la afluencia de público al congreso ha sido mínima, tanto el primer día como el segundo (el último día había un poquito más de gente, pero nada perceptible). Comparado con el éxito de asistencia del congreso 2009, este año nos hemos llevado un chafón; confiemos en que 2011 sea mejor…

P.D. Aquí teneis la presentación con la que S2 Grupo participó en el congreso. Disfrutadla :)

Estos días, tras la vuelta de vacaciones, volví a poner en marcha mi viejo receptor de onda corta, junto al que tantas noches pasé cuando era joven :) ¿El motivo? Simple curiosidad: quería ver si la actividad de estas bandas de radio seguía siendo tan interesante como hace quince o veinte años, cuando podías escuchar desde VOA (Voice of America) o REE (Radio Exterior de España) hasta Radio Teherán -esta última con un buen número de interferencias, posiblemente provocadas-, pasando por emisoras de pequeños grupos religiosos estadounidenses y sudamericanos o la todopoderosa Radio Vaticana -con unas antenas cuyo tamaño deja pequeña a cualquier torre de alta tensión que podamos imaginar-. Tras la recepción, el escucha enviaba un informe de recepción y a las semanas recibía una tarjeta QSL junto a folletos informativos de la emisora, con horarios, frecuencias, etc. en cualquier idioma y, en algunos casos, incluso propaganda “política” de un régimen más o menos cerrado.

Efectivamente, pude comprobar que la actividad en onda corta sigue siendo ajetreada, con las grandes emisoras oficiales de todos los países emitiendo junto a pequeñas estaciones, posiblemente piratas, que transmiten desde algún punto indeterminado del mundo; pero sin duda lo que más me llamó la atención es que, como antaño, todavía siguen emitiendo las number stations. Las estaciones de números son emisoras que se limitan a transmitir códigos formados por letras o números, tanto en voz (habitualmente digitalizada) como en Morse, de una forma continua y monótona durante la emisión, que suele durar menos de una hora y que por supuesto en ningún momento identifica la emisora; la emisión comienza con unos minutos de llamada, tras los cuales (en ocasiones existe algún tipo de encabezamiento tras la llamada inicial) se comienza a transmitir una retahíla de números o letras en grupos cortos y con una pausa entre sí, para acabar después con algún código que indique el final de transmisión. Una vez alcanzado dicho final, la frecuencia utilizada queda vacía. Raro, ¿verdad?

Efectivamente, las emisiones de las estaciones de números son cuanto menos extrañas; no está muy claro su origen, y se suele especular con radiobalizas, transmisiones meteorológicas y mil cosas más. Pero la hipótesis más arraigada entre todos los escuchas es la de que estas emisiones son mensajes cifrados de las agencias de inteligencia a sus espías desplazados en otros países, y esta hipótesis cobra fuerza tanto por casos de espionaje que han llegado a los tribunales (en los que se ha demostrado el uso de la onda corta para envío de información cifrada) como por el hermetismo que las agencias tienen al respecto (si estas emisiones fueran pruebas de la BBC, dudo que hubiera tanto mutismo envolviéndolas).

En estos días de Twitter, Blackberries, Facebook, 3G y mil cosas más, parece que las agencias de inteligencia siguen enviando mensajes cifrados por el canal más público que existe: el aire. Pensémoslo bien: con un pequeño receptor de onda corta, un espía ubicado en medio del desierto puede recibir el mensaje, descifrarlo y actuar en consecuencia, sin necesidad de ningún equipamiento de alta tecnología (que en muchos países llamaría la atención y podría poner en peligro la vida del agente), de conexión a Internet o de un móvil tribanda: sólo con un lápiz y un papel. Sencillo, ¿verdad… o no? Quizás los servicios secretos las utilicen como medio alternativo cuando no existe otra posibilidad, como entrenamiento de agentes en situaciones simuladas o, simplemente, como elemento que introduce ruido en el enemigo (mientras dedica recursos a tratar de descifrar mensajes radiados sin sentido, no los dedica a intervenir otros canales).

Si las estaciones de números se usan de verdad para transmitir mensajes cifrados a los espías, más allá de discusiones criptográficas encontramos dos problemas claros en esta técnica. El primero de ellos es obviamente la unidireccionalidad de la información: puedo transmitir instrucciones a las personas desplazadas en una zona, pero si esas personas quieren comunicarse conmigo tendrán que utilizar otro medio, salvo que estén en algún sitio donde un equipo emisor de onda corta no levante sospechas :) El segundo gran problema relativo a las number stations es la correlación: quizás no pueda descifrar el mensaje concreto, pero si una emisora transmite mucho más de lo que es normal en ella, más rápido o con algo que diferencie una emisión de las demás, puedo llegar a determinar que algo pasa o va a pasar. De esto último se cuida muy mucho quien sea que emita, y de ahí que el tono monótono y pausado de las estaciones de números sea lo primero que nos hace abandonar la escucha que hemos iniciado por simple curiosidad (aunque dicen las malas lenguas que algunas estaciones rusas transmitían como locas cuando, en agosto de 1991, se produjo un intento de golpe de estado en la antigua URSS).

En definitiva, el objetivo de las number stations sigue siendo algo misterioso en nuestros días, relacionado aparentemente con los servicios de inteligencia y que tras muchos años de actividad siguen operativas: ahí están y cualquiera las puede oir. Si alguno se aburre, puede comprar un receptor -los hay de cualquier precio, y para recibir estas transmisiones no necesitamos ninguna maravilla de equipo- y pasar el rato buscando estaciones de números; es más, puede entretenerse tratando de descifrar el mensaje: todos los que hemos sido radioaficionados o radioescuchas lo hemos intentado alguna vez y dudo que ninguno de nosotros haya tenido éxito… pero para todo hay una primera vez :)

Mañana es lunes cinco de diciembre de 2060 y cumplo 85 años, por lo que tras la reforma laboral de 2028 al fin puedo jubilarme… por tanto, aunque seguiré participando de vez en cuando en el blog, quería preparar un post recopilatorio de todo lo que hemos ido viendo y sufriendo durante todos estos años que hemos pasado juntos. Ha llovido mucho desde 2007, cuando empezamos con SecurityArtWork y, como siempre decimos, la seguridad cambia no de año en año, sino de segundo en segundo, tanto para bien como para mal… por lo que con 53 años a nuestras espaldas, nos podemos permitir el lujo de recapitular un poquito.

¿Quién no recuerda, por ejemplo, cuando existían ejércitos que peleaban entre sí en el campo de batalla, por tierra, mar y aire? Algo inimaginable hoy en día, pero que hasta bien entrado el siglo era lo habitual; en lugar de utilizar a fondo la ciberguerra, los países desplazaban enormes cantidades de personas y armamento para conseguir algo que tenían a un clic de distancia, con todo lo que eso implicaba (costes, riesgos, etc.). Actualmente nos parece primitivo, pero os aseguro que hasta hace unos años no era tan raro; es más, cuando hablablas de protección frente a ataques “diferentes” de paises enemigos te miraban mal, hasta aquel gran atentado que hubo sobre 2020, en el que casi se hunde a una gran potencia mediante el bloqueo de su sistema eléctrico, la interrupción de sus comunicaciones y la apertura de las presas más importantes (¿cómo era aquello, SCADA se llamaba?).

Pero sin duda, lo que más entradas y comentarios en este blog ha generado durante este tiempo fue la imposición de los tags RFID subcutáneos, allá por 2045. ¿Os acordais de toda aquella polémica? Menos mal que los gobiernos tenían todo bien atado, ya que con la proliferación de las redes sociales que se produjo a principios de siglo era fácil identificar y neutralizar a los elementos perturbadores, y al final la cosa no fue a más… cuatro críticas en favor de la privacidad y asunto olvidado, y la verdad es que, con el paso del tiempo, a día de hoy es algo que se agradece… ¿o no nos gusta a todos llegar al super y encontrar directamente ofertas personalizadas para nosotros (o mejor, no llegar al super, sino que el super directamente nos envíe a casa lo que sabe que nos hace falta)? ¿y qué quereis que os diga de la localización geográfica mediante estos tags? No sé cómo podíamos vivir antes sin saber dónde estaban nuestros amigos o familiares en cada momento… Además, otra ventaja de RFID es que ha dejado de llegarnos spam; ahora le llamamos publicidad dirigida y no llega por correo electrónico (que los más jóvenes no sabrán ni lo que es), sino directamente a nuestros tags personales gracias a las enormes antenas que todos tenemos en nuestras calles y que nos envían la información que alguien sabe que necesitamos

También nos reímos un rato con esas casas inteligentes que nos vendían como rosquillas a finales de los años 20, y que al principio no resultaron tan inteligentes como sus diseñadores creían. Y es que tener una persiana, unas luces o un electródoméstico conectados a Internet 3.0 parecía interesante, pero introducía más problemas que ventajas… y si no, que se lo digan a todos los que llegaron a casa tras unas vacaciones de verano, con 55 grados en las calles -maldito cambio climático-, y descubrieron que alguien les había encendido la calefacción desde China y necesitaban oxígeno para respirar en el salón, o que su nevera había encargado cinco toneladas de arroz por una feature no documentada de Windows 2025… ¡qué gran negocio para las empresas de seguridad… y para los supermercados! :)

¿Y os acordais cuando derogaron la LOPD? Total, en la práctica muy pocos la cumplían, gracias a aquello que nos vendieron -ya ha llovido- como “la nube”. Esa nube que al final se convirtió en nubarrón, porque a cambio de un reproductor MP4 no tuvimos problema en dejar todos nuestros datos en ella, accesibles a empresas de cualquier punto del mundo, y así nos fue… ¿Datos de carácter personal? ¿Yesoqués? Con lo que se llamó la globalización y temas similares, muchas leyes nacionales dejaron de tener sentido y se empezó a trabajar en una legislación internacional equivalente para todos y, sobre todo, efectiva. De esto hace ya bastantes años, y en ello siguen (y seguirán).

Pero por supuesto, no todo han sido cambios durante estos largos años: hay cosas que se mantienen casi como el primer día; y si no, fijaos en la Sociedad Global de Autores Digitales, la SGAD -antes tenía otro nombre que no recuerdo-, que aunque ha variado un poco desde principios de siglo -en aquél entonces no cobraban el canon de nacimiento, quizás porque los niños tarareaban canciones sin derechos de autor- en esencia sigue manteniéndose casi como entonces… antes perseguían el P2P y ahora persiguen el intercambio de archivos a través de los dispositivos humanos de almacenamiento (HSD), esos que podemos conectar a nuestro cuerpo simplemente acariciando su interfaz táctil y que nos permiten no sólo ampliar nuestra memoria, sino compartir conocimiento -y otras cosas- con los demás.

En resumidas cuentas, finalizar una etapa siempre produce nostalgia; ayer tuve que explicarle a mi nieto lo que era un libro, y sólo acerté a decirle que es parecido al resultado de imprimir en papel un archivo de unos cuantos K. ¡Y no veais lo que me costó explicarle lo que era el papel, ahora que ya no tenemos árboles! Al final, las dichosas gafas de realidad virtual personalizadas que se pusieron tan de moda hace unos años nos han hecho perder hasta las impresoras…

Según el DRAE, la disuasión es la “acción y efecto de disuadir”, y disuadir significa “inducir, mover a alguien con razones a mudar de dictamen o a desistir de un propósito”; básicamente, la disuasión consiste en convencer a alguien, de una u otra forma, para que cambie su manera de actuar. Cuando hablamos de seguridad, las medidas de disuasión son las que tratan de “convencer” a alguien hostil para que cese su actitud -al menos ante nosotros-; en muchos casos, son el efecto colateral de salvaguardas reales, pero en ocasiones se utilizan de forma pura, sin ningún otro mecanismo de seguridad real más allá de la intención de “convencer” a un delincuente de que nos deje tranquilos…

Desde siempre, la disuasión ha sido uno de los pilares básicos de la seguridad, junto aspectos como la prevención, la canalización o la detección; las medidas puramente disuasorias eran habitualmente tan baratas (cámaras de seguridad falsas, carteles de conexión a CRAs inexistentes, desfiles militares con misiles de cartón…o un simple cartel de “Cuidado con el perro”) que justificar (o amortizar) su coste era trivial, así que con una rentabilidad justificada, no había impedimentos para echar mano de estas salvaguardas. Por supuesto, la efectividad de una medida estrictamente disuasoria es cuestionable: volviendo a los ejemplos anteriores, si un potencial atacante descubre que las cámaras son falsas, que no estamos conectados a ninguna CRA, que nuestros misiles se rompen si llueve o que no tenemos perro, tendrá el camino libre hacia su objetivo; así, llegado este punto, la disuasión pura habrá dejado de funcionar y deberán entrar en juego otro tipo de salvaguardas más eficaces… Adicionalmente, otro aspecto de las medidas de disuasión puras es el efecto negativo que pueden llegar a tener; si nuestra casa está plagada de controles de acceso, carteles, etc. puede llegar a convertirse, con o sin razón, en un buen reclamo para un potencial atacante, y en ese caso deberemos disponer de más medidas de seguridad para frenar el ataque. Por tanto, el uso excesivo de medidas disuasorias puede ser, en ocasiones, contraproducente.

[Read more…]

Como todos los años, llegan por fin las ansiadas vacaciones de verano para -casi- todos, y en Security Art Work también nos vamos a tomar nuestro (quiero creer que merecido) descanso estival. Y por supuesto, nos despedimos hasta septiembre, al igual que años anteriores, con un post titulado “¡Vacaciones!” cuyo objetivo principal no es otro que desearles un feliz verano y, de paso, agradecerles a todos su participación (escribiendo o leyendo) en nuestro blog.

Echando la vista atrás, durante estos meses han sucedido cosas muy destacables, buenas o malas, en nuestro mundillo; desde la aprobación del Esquema Nacional de Seguridad o la Ley Ómnibus a la primera BlackHat celebrada en España, pasando por los problemas de seguridad en redes sociales o en tecnologías como RFID hasta llegar a temas de Protección de Infraestructuras Críticas o de information sharing, que por fin parece empiezan a calar en nuestro país. Y por supuesto, lamentamos decir que el terrorismo ha seguido siendo noticia estos meses (ETA asesinó este año a un policía francés, y dos ciudadanos españoles permanecen secuestrados en África).

En Security Art Work hemos tratado de hacernos eco de algunos de estos temas; desde aquel post de nuestro compañero Manolo hace ahora unos once meses, titulado El cinturón de seguridad (I) hasta este que publicamos hoy, hemos “colgado” un total de 182 artículos de temática tan dispar como la monitorización de usuarios en Solaris, el RDLOPD, la esteganografía o el Esquema Nacional de Seguridad, por citar sólo unos cuantos, además de series como GOTO o Seguridad Sectorial, que mejor o peor, han tratado de poner de manifiesto realidades o ilusiones que nos encontramos en nuestro día a día todos los que trabajamos en Seguridad (seguiremos con estas series a partir de septiembre, y con alguna otra ;)

Desde aquí queremos también dar la bienvenida a todos los nuevos colaboradores que durante estos meses se han “estrenado” en el blog: Adrián, Alex, Toni, David, Iván, Ximo, José, Maite, Marcos, Pedro, Raúl, Samuel, Sergio… y creo que no se me olvida ninguno (y si se me olvida, perdón por adelantado… será que me hacen falta vacaciones ;). También queremos dar las gracias por su tiempo y sus opiniones a todos los que han escrito en Security Art Work estos meses artículos o comentarios, animando a todos una vez más (nuevos y antiguos, colaboradores ocasionales, lectores habituales…) a participar en el blog, a escribir entradas y opiniones y, sobre todo, a debatir.

Aprovechen las vacaciones para hacer lo que no han podido hacer durante el año, para recargar pilas y para pasarlo bien. Cuiden de su seguridad estos días, sobre todo al volante, y al igual que cuando salen de casa toman ciertas medidas de seguridad para evitar robos, no olviden hacer lo mismo con su información y sus sistemas. Descansen y aprovechen el tiempo (o piérdanlo ;), que las vacaciones se pasan muy rápido y, sin darnos cuenta, estamos de vuelta…

Un saludo para todos y, de nuevo, feliz verano. ¡Hasta septiembre!

(Sí, la foto es la de siempre).