De vez en cuando surgen noticias -casi siempre, muy sensacionalistas- acerca de nuevas medidas de seguridad que suponen una “importante” violación de nuestra privacidad: desde la videovigilancia en las calles (un lugar especialmente privado por definición :) hasta la necesidad de descalzarnos en los aeropuertos (desde luego, una humillación a la que sólo unos pocos sobreviven). Qué quieren que les diga: frente a los que claman al cielo, yo suelo estar de acuerdo con estas medidas. ¡Toma GOTO! :)

Maticemos en primer lugar el “suelo estar”; mi opinión es que casi cualquier medida que aporte seguridad suele tener inconvenientes de uno u otro tipo, pero si “compensa” (es decir, si el incremento de seguridad efectivo es superior a las molestias causadas por esos inconvenientes) y entra dentro de lo “normal” (de lo razonable, aunque esto suela ser subjetivo), vale la pena implantarla. ¿Qué problema hay entonces? Bajo mi punto de vista, la discusión habría que trasladarla a tres asuntos: el primero, el de la eficacia -no me atrevo a hablar de eficiencia- (si la medida aporta realmente seguridad); el segundo, el del grado de abuso (el mal uso o abuso que se pueda hacer de la información recopilada con fines que nada tienen que ver con su objetivo principal, como espiar a tu pareja, curiosear, molestar al vecino, chantajear…) y, el tercero y último, el de la aceptabilidad, esa normalidad subjetiva a la que hacía referencia.

De esta forma, cuando surge una nueva salvaguarda de esas que son polémicas, debemos plantearnos en primer lugar si la medida es efectiva. ¿Evitan atentados los registros minuciosos en los aeropuertos? ¿Evita la delincuencia una videocámara en las calles? ¿Minimiza el riesgo un perfil psicológico de una persona? Yo creo que muchas de las medidas, por no decir todas, más impopulares de los últimos años (desde la videovigilancia en las calles a temas como ECHELON o CARNIVORE) sí que son relativamente efectivas, nos gusten o no, y por eso se implantan. No nos engañemos: a ningún gobierno, servicio de inteligencia, FFCCSE, etc. a título global les interesan, en general, nuestros correos electrónicos, nuestros paseos por el centro, o nuestras retiradas de efectivo para hacer la compra (eso no implica que a personas individuales, dentro de esas organizaciones, pueda interesarles, como se comenta en el punto siguiente). Así, mi opinión es que si un delincuente puede robar un coche en plena calle, y posteriormente una videocámara ayuda a identificarlo -o incluso antes de que se cometa el delito actúa de forma disuasoria-, bienvenida sea.

A continuación, pensemos en el uso o abuso de la información recopilada con estas técnicas “intrusivas”; por muchas precauciones que se tomen a la hora de elegir al personal, por mucho control interno, por mucha disuasión… no podemos evitar que, en última instancia, una persona con acceso a los registros guardados, pueda hacer un mal uso de ellos; contra esto, sin menoscabo de medidas de prevención y detección, yo creo que lo más efectivo es la respuesta contundente cuando se demuestra un mal uso de la información (este tema daría para un post entero :). Si se demuestra que un administrador de sistemas usa la información de seguridad para publicar debilidades de sus compañeros, que un vigilante de seguridad usa la videocámara de un cajero para controlar a su vecino o que un policía se dedica a espiar a su novia gracias a las cámaras en la calle, deberían ser automáticamente despedidos, para empezar, y establecer un marco legislativo duro que les haga pensarse más de dos veces el mal uso de las medidas de seguridad. Pero al final, una de las máximas de la seguridad, nos dice que tenemos que acabar confiando en alguien o algo -eso es indiscutible- y, sin ese mínimo confiable, todo lo demás se desmorona; por tanto, estamos obligados a confiar -la discusión podría ser “de quién me fío”-. También es importante la capacidad de abuso que tiene la información almacenada: no es lo mismo un video de nuestro paseo dominical, que un historial clínico completo o un perfil comercial realizado ad hoc, y por tanto la forma de acceso a los datos y los tipos de personas que pueden acceder en cada caso a esos registros deben ser diferentes.

Para acabar, el concepto más subjetivo: el de “normalidad” de las medidas, esto es, el del grado de intromisión en nuestra intimidad, el grado de aceptabilidad (muy ligado al grado de abuso al que hemos hecho referencia). Creo que ninguna de las medidas impopulares que saltan a los medios de comunicación es, para mí, especialmente inaceptable; ¿quitarme el cinturón o los zapatos en el aeropuerto? no me parece lo peor que me haya pasado en mi vida, ni de lejos. ¿Que el gobierno espía mi correo electrónico? Lo dudo, pero si lo hicieran, que se diviertan. ¿Que para entrar en Estados Unidos me exigen firmar nosecuántos documentos con pelos y señales de mi vida? Son libres de decidir quién entra en su territorio y cómo, y como a mí nadie me obliga a ir allí, si no estoy de acuerdo con sus medidas me voy de viaje a Salamanca, donde no me piden ningún dato, no violan mi privacidad ni mancillan mi honor y, sobre todo, seguro que es más bonita y tiene mejores tapas que cualquier ciudad de los USA :) Otra cosa sería que, como medida de seguridad, nos obligaran a todos los ciudadanos a presentarnos diariamente en un juzgado: aquí la aceptabilidad -insisto, subjetiva- me parece nula, por lo que una medida de este tipo para mí sería incorrecta (eso sin entrar en temas de eficacia).

En resumen, cuando leamos una noticia sensacionalista, y surjan las voces de siempre clamando por nuestra privacidad a toda costa y la violación de nuestros derechos y blablabla, creo que deberíamos plantearnos en frío, con respecto a la medida que se quiere aplicar, los tres puntos comentados aquí: su eficacia, su grado de abuso y su aceptabilidad -este más sujeto a discusión-. Y fijarnos dónde pone cada uno su nivel de aceptabilidad, que al final, nos guste o no, es el factor que decide en ocasiones la implantación de la salvaguarda en cuestión.

Siguiendo la línea de entradas sobre el I Encuentro Internacional CIIP para la Ciberseguridad y Protección de Infraestructuras Críticas, organizado por el CNPIC (Centro Nacional para la Protección de las Infraestructuras Críticas) y realizado en Madrid los días 18 y 19 de febrero, vamos a comentar los resultados del Taller II, “Gestión de Riesgos: identificación y clasificación de riesgos, amenazas y vulnerabilidades”, coordinado por José Antonio Mañas. Más allá de anécdotas, comentarios y discusiones, todos los asistentes al taller coincidimos en plantear, como resumen del trabajo, las siguientes conclusiones:

Muy importantes

• Hay que profundizar más en la seguridad de sistemas de control, electrónica industrial, SCADAs y similar… Con demasiada frecuencia desconocemos los riesgos que introducen en nuestras organizaciones, algo que en el caso de la infraestructura crítica nacional es más que preocupante.
• La comunidad de inteligencia debería “bajar” al mundo real de vez en cuando. Suele haber una importante diferencia entre lo que se plantea desde un centro de seguridad, incluso en ocasiones muy estratégico y poco operativo, y la realidad del día a día en una presa, un banco o un puerto, por poner ejemplos concretos.
• Existen incoherencias entre el deber de transparencia y el deber de secreto que existe en las infraestructuras críticas nacionales, y dichas incoherencias deben ser resueltas. A modo de ejemplo, una central nuclear debe facilitar su análisis de riesgos al ayuntamiento del municipio en el que se encuentra, pero esa obligación… ¿no puede suponer en sí misma un peligro para la seguridad de la central? ¿no debería considerarse secreto dicho análisis? ¡Aclarémonos!
• Se deben gestionar correctamente las expectativas con todos los ciudadanos. La protección de infraestructura crítica nacional está muy en boga, pero ¿hasta qué punto es crítica, importante, muy importante… o una tontería? Sin duda, el grueso de la ciudadanía lo desconoce, y puede llegar a ver esto como un gasto innecesario, y más en estos tiempos.

[Read more…]

Hace ya unos meses, en este mismo blog, comentábamos la seguridad de los procesos de negocio y de los diferentes factores de riesgo (legal, técnico…) que pueden degradar dichos procesos; hablábamos en ese post del riesgo humano, ya que las personas son un activo crítico de las organizaciones y, como tal, pueden introducir riesgos en éstas, riesgos que como siempre debemos tratar de forma adecuada. Pero el paso previo al tratamiento de riesgos es, como siempre, su análisis, y para analizar estos riesgos debemos ser capaces de determinar amenazas, probabilidades e impactos que pueden causar las pesonas en la organización.

Bajo mi punto de vista, las amenazas derivadas del factor humano son claras: todas las englobadas bajo el paraguas de amenazas corporativas (errores), las derivadas de actividades sociales (accidentes) y las derivadas de actividades antisociales (delitos); incluso rizando el rizo, podríamos hablar del factor humano en las amenazas de origen industrial y, siendo todavía más retorcidos, en las de origen natural. De la misma forma, los impactos asociados a estas amenazas también suelen estar más o menos claros, y estarán —con toda probabilidad— en la parte más alta de la escala de impactos que queramos utilizar en nuestro análisis. ¿Dónde está entonces lo que más nos interesa? En la medida de la probabilidad, como casi siempre…

Para analizar probabilidades a la hora de hablar del riesgo humano, una aproximación que me gusta mucho —adaptándola a nuestras circunstancias, por supuesto— es la presentada en [1]. La idea resumida y simplificada es que cualquier persona está modelizada por una serie de perfiles que la definen, perfiles afectados además por una serie de condiciones de contorno (relaciones, privilegios, motivaciones…) y de eventos externos o internos a la organización que pueden provocar cambios sustanciales en el perfil de una persona (un cambio de estado civil, un ERE, la muerte de un familiar…). Si somos capaces de monitorizar esto, de una u otra forma, seremos capaces de establecer controles cuando sea necesario, y por tanto de mitigar los riesgos humanos no asumibles en la organización.

¿Cuáles son los perfiles que definen a las personas? Según el trabajo anterior, son los siguientes (existe un último perfil identificado en el trabajo, el de utilización de recursos informáticos, bajo mi punto de vista demasiado ad hoc para la detección de insiders y no tan apropiado para la modelización del riesgo humano en general):

• Perfil económico (estabilidad, actividades sospechosas…).
• Perfil social (estado civil, personas dependientes, hobbies…).
• Perfil psicológico (adicciones, comportamientos anómalos, falta de carácter…).
• Perfil profesional (inteligencia, satisfacción, implicación, reconocimiento…).
• Perfil legal (antecedentes penales, procesos pendientes, sanciones…).
• Perfil ideológico (implicaciones políticas, religiosas…).

Si somos capaces entonces de crear estos perfiles, y lo que es más importante, de monitorizarlos en el tiempo para detectar cambios sustanciales que puedan introducir riesgos en nuestra organización, habremos dado un paso importante para reducir los riesgos derivados del factor humano. Ahora la pregunta del millón: ¿cómo monitorizar todo esto? Lo ideal sería, como siempre, hacerlo todo de forma automática, con sensores que nos avisan en tiempo real de cambios potencialmente peligrosos en la modelizacion de una persona. Para empezar, esto no es siempre posible (¿cómo diseño un sensor que detecte comentarios sospechosos durante la hora del café? ¿y rasgos faciales que puedan implicar falta de interés o cansancio?) y, cuando lo es, no suele ser fácil; seguramente para el gobierno estadounidense puede ser trivial controlar en tiempo real las transacciones económicas o los antecedentes de sus ciudadanos, pero desde luego, para nosotros (pobres mortales) ni es fácil ni muchas veces sería legal.

¿Qué hacer entonces? Mientras trabajamos en monitorización automática de personas para calcular probabilidades cambiantes que puedan aumentar los niveles de riesgo (¡toma ya!), podemos conformarnos con realizar manualmente una modelización de las personas de nuestra organización, teniendo en cuenta los perfiles anteriores —u otros cualesquiera que nos sean útiles — y por supuesto con las consideraciones legales oportunas. En base a este análisis, y pensando un poco, seguramente no hará falta ser psicólogo para darnos cuenta de posibles riesgos (en cualquiera de los ámbitos de la seguridad, desde un insider a un riesgo reputacional) que pueden existir derivados de las personas, y por supuesto cuando identifiquemos un nivel de riesgo no asumible, deberemos tomar medidas -aplicar controles- contra el mismo. Ojo, estos controles no tienen por qué ser ni caros ni complejos: como casi siempre en seguridad, simplemente hace falta pensar.

[1] Mitigating insider sabotage and espionage: a review of the United States Air Force’s current posture. Erika C. Leach, Air Force Institute of Technology. Marzo, 2009.

Dentro de la serie GOTO, comenzada recientemente en este blog, quería dedicar hoy un post a las metodologías de análisis de riesgos; personalmente he trabajado con algunas de ellas -con demasiadas- y, si les digo la verdad, ninguna me convence realmente. Las hay sencillas, las hay complejas (sí, estoy pensando en MAGERIT :), las hay mejores y las hay peores, pero en todas hay aspectos, bajo mi punto de vista, manifiestamente mejorables. Para empezar, y aunque quizás sea lo menos importante… ¿por qué no se ponen de acuerdo en la terminología? ¿Por qué Mosler habla de “bienes” y MAGERIT de “activos”, por poner un ejemplo? ¿Por qué a lo que en unas metodologías se le llama “amenazas” en otras se le llama “riesgos”? Sinceramente, este es un tema únicamente produce confusión… ¿tan difícil es ponernos de acuerdo?

Hablando ya de cosas más serias, una cosa que me toca las narices es que en ninguna metodología (ni fuera de las mismas) me he encontrado un catálogo de amenazas decente. A día de hoy, que a todos se nos llena la boca hablando de seguridad integral, holística, global o como le queramos llamar, aún no he visto un catálogo de amenazas integral de verdad, que cubra todos los posibles problemas de una organización, sin focalizarse en aspectos físicos o lógicos en exclusiva… Creo que hasta que esto no exista, mal vamos a la hora de analizar riesgos desde el punto de vista de la protección del negocio: únicamente haremos análisis parciales, y deberemos realizar tres o cuatro visiones diferentes para hacernos una idea del mapa de riesgos de nuestra organización… Ojo, sé que es fácil criticar sin aportar alternativas y que cerrar un catálogo de este tipo es complejo, pero algún día habrá que hacerlo, ¿no? (yo estoy intentándolo, cuando consiga algo decente lo colgaré aquí… o no :).

Tampoco estoy muy de acuerdo con las medidas del impacto (o como le quieran llamar) que todas las metodologías incorporan; ¿por qué el método cuantitativo mixto, por poner un ejemplo, determina que algo es un desastre si nos causa un daño entre 150.000 y 1.500.000 euros, mientras que las consecuencias valoradas entre 75.000 y 150.000 euros son simplemente “muy serias”? Conozco más de una y de dos empresas para las que un daño de 149.999 euros significaría ya no un desastre, sino una catástrofe. ¿Quién es el señor cuantitativo mixto para decidir qué es para mí un impacto alto, muy alto o un épsilon alto? Bajo mi punto de vista, sería mucho más coherente ponderar estos valores en función del tipo de organización sobre la que se esté realizando el análisis, y no hablar -y calcular- en términos absolutos que, a la hora de la verdad, no representan más que una tabulación estándar del impacto: lo que para Telefónica puede ser una multita insignificante por incumplimiento de la LOPD, a cualquier autónomo le arruinaría la vida.

Los niveles de probabilidad, impacto o riesgo también son un tema discutible de las metodologías de análisis; ahora parece que lo más habitual es ubicar tres niveles (alto, medio y bajo, o 1, 2 y 3, por decir algo) frente a las metodologías que usan cinco. Este tema es muy discutible (¿cuál es la diferencia entre “alto” y “muy alto”?), pero cuando se trata de establecer una cuantificación, siempre he preferido -y esto es opinión personal, por supuesto- utilizar una escala con un número par de estados, para así evitar la tentación de “tirar” todo al punto medio. En cualquier caso, como siempre: ¿por qué no todos hablamos el mismo idioma? Ya sé que cada metodología es de su padre y de su madre, pero si los niveles son siempre iguales, podremos reaprovechar más el trabajo, y no empezar casi de cero si tenemos que cambiar de metodología.

Finalmente, las metodologías que tratan de cuantificar hasta el más mínimo detalle no son, para mí, muy acertadas -en especial cuando hablamos de protección de bienes intangibles-. Un análisis cuantitativo, donde se valore hasta el céntimo cada activo, cada décima de probabilidad, y cada euro de impacto, constituye un modelo matemático muy útil para explicar en la universidad, pero muy poco aplicable en el mundo real. ¿Qué impacto (en euros) tiene para una organización no tener la web levantada durante dos días? Probablemente, sabremos decir si es alto o muy alto, pero al que me diga que tiene un impacto de X euros (siendo X algo coherente), le invito a una cerveza :) Si nos tenemos que inventar -parcialmente- los datos de entrada, cualquier fórmula de cálculo del riesgo quedará muy bien en un Powerpoint, pero tendrá tanta validez como un billete de tres euros.

En resumen, ¿por qué no acordamos una metodología de análisis de riesgos global, que contemple todos los riesgos del negocio -y por tanto que nos sirva más eficaz y eficientemente para protegerlo- y que usemos todos de una forma más o menos igual? ¿Por qué no la flexibilizamos para hacerla operativa en cualquier tipo de organización -como a priori son las normas ISO-? Y si además la hiciéramos sencilla, ya sería la leche.

(N.d.E. Nos vemos, si quieren, el lunes que viene. En nombre del equipo de S2 Grupo, les deseamos una feliz nochevieja y próspero año nuevo a todos.)

Sin haber acabado aún -espero- la serie de posts dedicada a seguridad sectorial, quiero comenzar con este artículo una nueva serie: la serie GOTO. Muchas entradas de este y otros blogs no generan casi debate (tenemos una información, la estructuramos para convertirla en un post, estamos todos de acuerdo con el contenido del mismo -o no, pero nadie lo dice-, y vuelta a empezar). Eso obviamente es bueno para un libro, pero no para un blog, donde lo que se busca es debatir y polemizar, que cada uno exponga sus opiniones (buenas o malas, pero siempre respetables) y así, entre todos, aprender cosas nuevas y analizar puntos de vista diferentes a los nuestros. Con esta idea surge la serie GOTO, porque… ¿qué hay más polémico que la instrucción GOTO plantada en el código de un programa? Realmente podríamos haber titulado la serie RISC vs. CISC, vi vs. emacs, Unix vs. Windows… y así un largo etcétera, pero hemos decidido llamarla GOTO (si alguien prefiere otro nombre, que lo proponga, que de eso se trata).

Dentro de esta serie, vamos a hablar hoy de los Consultores; más concretamente, de los Consultores de Seguridad, aunque imagino que los comentarios podrían extrapolarse a cualquier otro tipo de consultor: RRHH, financiero… Para mí, al menos hasta hace unos años, un consultor -simplificando- era alguien que sabía mucho de un tema concreto, de forma que podía ayudar enormemente a resolver problemas tanto por el conocimiento de la materia a tratar como, en muchos casos, del negocio en sí. En resumen, un perfil muy valorado en cualquier organización, sin importar si era externo o interno a la misma.

Hoy en día, por desgracia, creo que hay pocos puestos tan degradados como el de consultor; cualquiera que se ponga una corbata, googlee durante media hora e incluya en una conversacion términos como “alineación”, “sinergia”, “la nube”, “2.0” o “forlayos”, como diría el gran Fuckowski, es un consultor. Consultor, ¿de qué? De forlayos, obviamente… Ser consultor no es conocer tres términos de moda, unirlos en un informe y presentarlo a Dirección: es aportar soluciones reales y eficientes a una organización que tiene un problema.

Para colmo del absurdo, ya se distingue entre consultores “junior” y “senior”; sinceramente, creo que hablar de consultor junior es lo mismo que hablar de becario senior: no es más que un oxímoron. ¿Cómo narices se puede ser consultor junior? ¿Quién le otorga la experiencia necesaria para llamarse “consultor”? ¿Un libro? ¿Una página web? Por favor, seamos serios: para ser consultor se necesita conocer muy bien la materia sobre la que se trabaja, y aparte tener unos cuantos añitos de experiencia trabajando con la misma… que no me venga un pipiolo imberbe, con una tarjeta donde pone “Consultor” de una gran multinacional, porque estoy riéndome una semana. O peor, llorando, cuando me toca implantar lo que ese “consultor”, cuyas únicas herramientas de trabajo en su corta carrera han sido Word y Powerpoint, ha decidido que es lo mejor para un cliente es poner en marcha un sistema de sinergias alineadas con la nube, o algo así. Por favor, recuerda que Word o Powerpoint son plataformas tecnológicas en la que todo funciona a la primera, hasta el Single Sign On o las PKIs, pero el mundo real no es tan bonito… creo que todos conocemos ejemplos similares, ¿no?

¿Y de quién es culpa esta situación? Creo que, en parte, de todos nosotros; por un lado, están las grandes consultoras que todos conocemos (sí, yo también estoy pensando en esa misma). Multinacionales a las que les viste mucho un chavalín con la carrera recién acabada, encorbatado y que se haya leído un libro de seguridad; le regalan unas tarjetas donde pone “Consultor” y a partir de ahí su hora cuesta más de noventa euros. Total, si luego algo no va, el trabajo lo ha hecho esa consultora, no el “consultor” concreto, y cualquier cosa que una multinacional haga sin duda es correcta, ¿verdad? :) Por otro lado, están los clientes que se creen ciegamente lo que dice el consultor, sin plantearse en muchos casos si es o no lógico. ¿Que la solución a nuestros problemas es cambiar la máquina de café? Sin problemas: la cambiamos, dejamos constancia por escrito para cuando venga el auditor (auditores, material para otro post de la serie) y asunto arreglado. ¿Por qué lo hemos hecho? Porque lo dijo el consultor… ¿Sirve para algo? ¿Ha mejorado nuestra organización? ¡Seguro! Si lo dijo el consultor…

Por supuesto, existen consultores “de verdad”, no importa si en multinacionales, pequeñas empresas o como freelances. De los que conocen muy bien algo y te ayudan a aplicarlo en tu organización, de una forma ordenada, asumible y por supuesto integrada con tu negocio; ¿frases bonitas? por supuesto, pero no más de las necesarias, y sobre todo frases con sentido. Es decir, soluciones de verdad para problemas de verdad. A todos estos consultores, a los de verdad, va dedicado este primer post de la serie… ahora, a discutir un rato: ¿qué opinais?

Desde hace unos años utilizamos a diario billetes de euro. Aunque todos los expertos coinciden en que falsificar estos billetes es difícil, seguramente por nuestras manos ha pasado, sin nosotros saberlo, algún que otro billete falso, imitaciones en muchos casos tan perfectas que únicamente prestando mucha atención -o siendo un experto- podríamos haberlas detectado. Los billetes más falsificados han sido los de 20 y 50 euros (en especial los primeros), aunque con la crisis se empiezan a falsificar también billetes más pequeños, y por tanto más fáciles de “colocar”.

Vamos a comentar en este post algunas de las medidas de seguridad de los billetes de euro que a diario circulan por Europa; y para empezar, es necesario hablar del papel del billete de euro. Está compuesto principalmente de fibras de algodón, material con una alta resistencia física, y por tanto de larga duración; este algodón es tratado para obtener una pasta a la que se añaden medidas de seguridad adicionales (fibrillas, colorante, etc.). A simple vista, podemos observar que este papel presenta carteo (el sonido característico del papel moneda), y pasando el dedo o la uña por el billete podemos notar que la tinta es más o menos gruesa en función de la zona del billete; esta última medida de seguridad es debida a la impresión calcográfica del billete en su anverso, técnica de imprenta costosa (no suele ser habitual para el falsificador disponer de una prensa con esta tecnología) que proporciona al billete un relieve característico de hasta 0,14 mm. de altura

Otra característica de seguridad son las marcas de agua. La marca de agua es una representación en el papel que se incorpora al mismo durante su fabricación; está formada por partes de diferente grosor, con lo que a contraluz los rayos atraviesan la parte más delgada con mayor facilidad, dando lugar a tintes claros, frente a los tintes oscuros de la parte más gruesa; en los euros existen tres marcas de agua: multitonal, electrotipo y de código de barras. Observando el billete al trasluz, podemos observar una imagen y la cifra que indica el valor del billete.

El hilo de seguridad de los billetes de euro es una tira de material sintético de aproximadamente un milímetro de grosor, empotrada en el papel durante su fabricación y cruzándolo transversalmente; al mirar el billete a contraluz se puede leer su valor y la palabra “EURO” (en mayúsculas) sobre una banda oscura.

Los billetes también incorporan holografía; en los billetes de 50 o más euros se utiliza un parche holográfico, mientras en los de menor valor se utiliza la banda. Al girar el billete la imagen cambia, alternando entre la cifra que indica su valor y el símbolo “€” (billetes menores) y este símbolo y una puerta o ventana (billetes de mayor valor).

También apreciables a simple vista son los motivos de coincidencia del billete. En una esquina del billete aparecen impresos en ambas caras trazos discontínuos que se complementan y forman la cifra que indica el valor del billete; estos trazos pueden observarse al trasluz, debiendo encajar ambas partes a la perfección para formar la cifra. Si ambas partes llegan a superponerse, o existe espacio libre entre ellas, estaremos ante una falsificación.

La banda iridiscente es una banda impresa en el reverso de los billetes de bajo valor, visible en función de la incidencia de la luz; al girar el billete, podremos apreciar en ella el valor del billete y el símbolo “€” (ojo, esta banda no guarda relación con la banda holográfica de la que hemos hablado antes).

Las tintas también son una característica de seguridad del euro. En los billetes de valor igual o superior a 50 euros se utiliza tinta ópticamente variable, una tinta cara que cambia de color al girar el billete; con esta tinta se imprime el valor del billete en la esquina del reverso. Adicionalmente, diferentes partes de todos los billetes de euro se imprimen con tinta ultravioleta, no perceptible a simple vista pero sí bajo este tipo de luz, de la misma forma que las fibrillas luminiscentes. Éstas son fibras sintéticas incorporadas al proceso de fabricación del papel, no perceptibles a simple vista pero sí bajo luz ultravioleta. Se encuentras distribuidas irregularmente por toda la superficie del billete, y son de color rojo, verde o azul.

Finalmente, ya para acabar, es importante que sepamos que todos los billetes de euro incorporan la firma del presidente del Banco Central Europeo (Willem F. Duisenberg o Jean-Claude Trichet); cualquiera de estas firmas es válida. Obviamente, esta medida es la más fácil de falsificar de todas las expuestas con anterioridad, pero ahí está…

Casi todas estas medidas de seguridad son perceptibles a simple vista, salvo las relativas a tinta ultravioleta; además de todas ellas, los billetes incorporan otras salvaguardas que ni se ven ni se tocan tan directamente, por lo que aunque son de utilidad para detectar billetes falsos, no lo son tanto en nuestro día a día. No se trata de analizar exhaustivamente cada billete de los que pasan por nuestras manos, sino simplemente de prestar un poco de atención y, ante la más mínima duda, comprobar la presencia de las medidas de seguridad que hemos expuesto aquí. Se trata de medidas que, conociéndolas con un mínimo detalle, nos pueden ayudar a evitar algún que otro disgusto a la hora de que “nos cuelen” billetes falsos. O eso esperamos :)

Dentro de la serie dedicada a seguridad sectorial, vamos a tratar hoy brevemente aspectos de seguridad en hoteles y establecimientos similares. El principal reto al que nos enfrentamos al hablar de seguridad en hoteles es el propio negocio del sector: la continua fluctuación de viajeros que entran, salen o se alojan en el hotel, 24 horas al día y 365 días al año. Este enorme trasiego de personas define unas amenazas características a la seguridad hotelera: por un lado, las que afectan a la integridad de las personas que hay en el hotel (tanto huéspedes como trabajadores), y por otro las que afectan a la información asociada a los viajeros: protección de datos de carácter personal, medidas antiterroristas… No hablaremos de otra amenaza común, pero aparentemente asumida por todas las cadenas hoteleras: el hurto de pequeños objetos (toallas, pilas, ceniceros…) en la habitaciones por parte de los propios huéspedes.

Desde el punto de vista de las amenazas contra la integridad de las personas, sin duda en los hoteles la principal de ellas es el incendio; si en cualquier ubicación un incendio es preocupante, lo es más todavía en los hoteles, debido a tres características de estos centros: el desconocimiento por parte de los huéspedes de las instalaciones y vías de evacuación, la cantidad de personas que puede haber durmiendo en el momento de producirse un incendio y, por último, las dimensiones globales del hotel y por tanto la cantidad de personas en su interior. Para minimizar riesgos relativos a incendios, en todos los hoteles existen vías de evacuación diseñadas y señalizadas según normativa, así como indicaciones de las mismas en las habitaciones del hotel. Es más que recomendable, al llegar a la habitación, pegarle un vistazo a estas indicaciones y hacernos una idea de qué deberíamos hacer en caso de incendio; como se suele decir, nunca pasa nada, pero cuando pasa es el peor momento para ponernos a leer las indicaciones, buscar las salidas de emergencia, etc.

En lo que respecta a la información de los viajeros, sin duda lo más llamativo del sector es el libro registro y los datos enviados diariamente a las FFCCSE para detectar posibles fugados, terroristas, etc. Todos los hoteles (además de hostales, campings…) están obligados a mantener un libro registro de viajeros, por el decreto Decreto 1513/1959 de 18 de agosto, a rellenar una ficha con los datos de cada viajero mayor de 16 años que se aloje en el hotel (manteniendo dichas fichas para su posterior consulta por parte de la Policía, si así se requiriera) y a enviar el parte de viajeros, dentro de las 24 horas siguientes al hospedaje, a las FFCCSE (habitualmente, Cuerpo Nacional de Policía). Obviamente, este envío se puede realizar a la antigua usanza (imprimimos los partes, o los rellenamos a mano, y nos los llevamos a la comisaría más cercana) o, más adecuado al S.XXI, a través de una página web del CNP habilitada a tal efecto (https://w3.policia.es/). Al menos en teoría, la Policía debe revisar esta información y, si se encuentra alojada en el hotel alguna persona en busca y captura, actuar en consecuencia; hay muchas leyendas en torno a estas actuaciones, pero lo cierto es que quien tenga la desgracia de llamarse como un terrorista, un fugado o un mafioso, por poner unos ejemplos, puede llevarse más de un susto cuando se encuentra durmiendo en el hotel…

Sin entrar en temas de este nivel, pero también referente a los problemas relativos a la información de los viajeros, nos encontramos la protección de datos de carácter personal que debe realizarse en el hotel, al igual que en cualquier otro centro, pero con un condicionante: los hoteles son lugares en los que son habituales encuentros “secretos”, no tanto para tratar temas ilegales, sino para cerrar acuerdos comerciales, políticos, citas sentimentales -con una pareja que no es la habitual-, etc. Aunque cualquier hotel tiene una política de seguridad que comprende, entre otros aspectos, la protección de los datos de sus clientes, y por supuesto ningún empleado nos va a revelar el nombre de los huéspedes del hotel, en la práctica no resulta difícil, mediante técnicas de ingeniería social, conseguir ciertos datos que, sin ser especialmente relevantes, si pueden determinar aspectos útiles para alguien que quiera conocer ciertas actividades de sus socios, competidores, empleados o parejas… “Soy fulanito de tal, quería hacer una reserva. Estuve alojado allí en septiembre, no recuerdo la fecha…”. “Sí, señor de tal, aquí lo tengo. Efectivamente, fue en septiembre, en concreto el 24…”. O “No, en septiembre no estuvo aquí, su última estancia es de marzo…”. En fin, historias truculentas, propias en algunos casos del periodismo rosa más que de la seguridad :)

Dentro de los posts dedicados a la seguridad en las eléctricas (que a su vez se engloba en la serie de Seguridad Sectorial, que todos seguís atentamente en este blog :), toca el turno de los aspectos relativos al transporte, transformación y distribución de la energía para hacerla llegar al usuario final (véase entradas anteriores: [Introducción][Producción][Control]).

El transporte de energía eléctrica se realiza desde las centrales productoras, que hemos comentado en un anterior post, hasta las centrales de transformación, donde se modifican las características para distribuir la energía hasta el usuario final. En esta etapa de transporte se utilizan líneas de alta tensión, con una distribución geográfica muy extensa, lo que ya de entrada implica varios riesgos considerables: por un lado, los relativos a la falta de vigilancia de las líneas (robos, hurtos, sabotajes…) y por otro los relativos a las amenazas naturales (desde tomentas eléctricas hasta desprendimientos que puedan comprometer la línea). El primero de estos grupos no suele ser habitual, a pesar de que las condiciones —por ejemplo, el aislamiento— lo favorezcan, debido por un lado debido a la peligrosidad de las instalaciones (¿quién se atreve a meter mano en una torreta de alta tensión?) y por otro a la escasa repercusión que estos actos tendrían a nivel social: si se produce un ataque a una línea que la deja inutilizada, se distribuiría energía desde otra central. En lo que respecta a amenazas naturales, las instalaciones implicadas en el transporte suelen ser robustas, incorporando desde protecciones contra rayos hasta elementos estructurales frente a avalanchas, por lo que sólo fallarían en el caso de problemas de relativa magnitud.

Una vez llega la energía a la central de transformación, se modifican sus características para hacerla llegar, a través del proceso de distribución, hasta el usuario final. En estas centrales, que pueden estar ubicadas en lugares muy diversos en cuanto a seguridad, el principal problema con el que nos podemos encontrar (aparte de los sabotajes o el vandalismo y de las amenazas de origen natural, comunes a casi todo el proceso) es el robo o hurto de material: se trata de estaciones automatizadas, sin presencia humana habitual, y en ocasiones muy aisladas, lo que las convierte en un objetivo fácil de los ladrones (por ejemplo, es común el robo de cobre o material de trabajo para su venta posterior).

Finalmente, ya transformada la energía, se hace llegar al usuario final a través de la distribución, basada de nuevo en una infraestructura similar al transporte (torretas y elementos de conducción), y por tanto con problemas; en esta etapa, quizás una de las mayores amenazas es el robo en las instalaciones finales de distribución, ubicadas habitualmente en núcleos urbanos pero sin personal en ellas, y en cuyo interior encontramos material equivalente al de las centrales de transformacion.

Por supuesto, en todo este proceso existe un componente de seguridad que no hemos nombrado hasta ahora: la protección de las personas frente a accidentes causados por la energía eléctrica. No obstante, y dado que considero que se trata de un tema más de Prevención de Riesgos Laborales que de Seguridad, de momento no profundizaremos en este tema (¿algún experto en PRL leyendo el blog que quiera aportarnos algo?).

Espero que esta “subserie” de entradas sobre el sector eléctrico les haya resultado de interés. En la próxima entrada de la serie, cambiamos de sector radicalmente. Espero que también les parezca interesante.

Para finalizar nuestra serie sobre seguridad en las eléctricas (véase [1][2]), y dado que como ya adelantamos en nuestro primer post el área que hemos llamado “de empresa” no va a ser objeto de un artículo específico —a fin de cuentas, en este caso se comparten casi todos los elementos de seguridad con organizaciones de cualquier otro sector—, vamos a hablar hoy del área funcional de control y los aspectos de seguridad más destacables en la misma.

El área de control está formada por una red de centros con un objetivo muy específico: el control —como su nombre indica— de la calidad de la energía y del tráfico de la misma, en cualquier punto de la cadena, desde las centrales de producción hasta nuestras casas (realmente, no hasta nuestras casas tal cual, pero casi). Aquí, sin duda, los activos más relevantes —aparte de las personas, que siempre son lo más importante— son por un lado los elementos tecnológicos de control y por otro la información que estos elementos manejan, y por tanto la principal amenaza es el sabotaje, tanto físico (atentados o vandalismo contra los centros de control) como lógico (ataques a los sistemas de control, intrusiones…).

No hay que olvidar que las eléctricas son un sector considerado como Infraestructura Crítica Nacional, y por tanto son un objetivo prioritario no sólo de terroristas, sino también de servicios de inteligencia de países enemigos (o amigos); evidentemente, ningún servicio secreto ejecutaría —al menos directamente— un ataque terrorista contra los centros de control de la energía eléctrica de un país amigo, ya que en caso de verse descubiertos, el hecho podría tener una gran repercusión internacional, pero en el caso de ataques cibernéticos la cosa cambia: a cualquier país le interesa obtener la información relativa al sector eléctrico de su vecino y, si existiera la posibilidad de, en caso de conflicto, poder tomar el control de los centros, pues mucho mejor, ¿no? Y todo esto sin posibilidad de ser descubiertos, ya que el ataque telemático siempre será remoto, y si alguien nos acusa, bastará con negarlo… evidentemente, algo muy apetecible para todos, y por tanto algo a tener muy encuenta a la hora de hablar de los centros de control del sector eléctrico.

Aunque un ataque de estas características dirigido a nuestros centros de control no parece especialmente probable, ya se han dado casos de “intentonas” similares dirigidas a los Estados Unidos; por ejemplo, aquí tenéis un enlace de una noticia que apareció en el WSJ. Probablemente, para ellos sea una amenaza más de las muchas que sufren, pero siempre algo a tener en cuenta. Muy en cuenta, si consideramos que en USA existe desde hace tiempo un ISAC específico para este sector, el ES-ISAC, encargado del intercambio de información referente a la seguridad del sector (física, lógica…) tanto entre eléctricas como con el gobierno, administraciones locales, grupos de interés, etc.

Como hemos dicho, la amenaza lógica al control eléctrico en España no es algo, de momento, preocupante (o eso dicen). Pero si hablamos con cualquier director, responsable, técnico… de seguridad de una eléctrica, nos puede dar datos acerca del volumen de ciberataques que las empresas del sector sufren a diario, sin consecuencias pero con algo más que intencionalidad, desde países no-amigos (no les llamaremos “enemigos”). Asusta, ¿verdad?

(Fotografía por Pyrenne en Photobucket)