Mi primera contribución a este blog hablaba de la “falta de cultura en seguridad”, que es a todas luces es uno de los motivos por los que los usuarios no cambiamos las contraseñas, usamos contraseñas fáciles de “cazar”, etc.

He de decir en descargo de los usuarios que en este tipo de actitudes no es justo cargar toda la culpa en el “pobre” usuario final, sino que algo tendrá que ver que nuestra “sociedad de la información / sociedad TI” parece demasiado a menudo la “sociedad del cachondeo informático”, lo que yo llamo “Sociedad CHI”. Pero si hay cachondeo no hay seriedad ni mucho menos SEGURIDAD, y vamos a ver porqué.

Empecemos por algo básico y casi trivial: obtener una entrada de cine, descargar la factura de la luz de casa, una cita con el médico, buscar un hotel, etc. Para todo esto (y mucho más), hace falta que nos demos de alta en una web, generemos una contraseña y no se cuántas cosas más, sin dejar de lado que la contraseña ha de ser alfanumérica y chiripitiflaútica. Si además de eso eres una empresa que pretendes vender a alguien, has de darte de alta en SU web (todo el mundo tiene una), te asignan SU numerito, te generan SU clave, has de confirmar que no eres una máquina con un texto ilegible que cuesta, ya no leer, sino interpretar, y además hazlo rápido o simplemente te “tira” de la web y vuelta a empezar.

A la vista de esto ¿suena o no a cachondeo? Muy serio (o profesional o “ingenieril”) no parece.

Los que nos movemos en el mundo de la seguridad queremos que la gente “se culturice”, que cambie sus contraseñas y utilice claves “seguras”. Pero, con lo que cuestan los procesos de alta y autenticación, y toda la parafernalia existente alrededor de la informática y la seguridad, lo que más se hace en ocasiones es “desincentivar” la SEGURIDAD. Veamos algunos ejemplos de la “Sociedad CHI”:

• Cada web es distinta. En unas para identificarte te denominan “usuario”, en otras “empresa”, en otras te denominan “identificación”, en unas el campo está a la derecha, en otras a la izquierda y en otras donde les da la gana.
• Cada web funciona con el navegador que su padre o su madre les dio a entender y no te informan de cuál utilizar (adivina adivinanza: prueba con este y si no va con este, y si con esos dos no va, prueba con este). Puedes perder una hora intentando que el maldito formulario funcione y para resolver dudas se ofrece un 902 que te cuesta dinero y no ofrecen (como exige la ley) un teléfono “normal”, en el que se pasan cinco minutos diciéndote que te van a grabar, que puedes reclamar por lo de la LOPD y por no se cuántas chorradas más… ¿es o no es cachondeo?
• Hay bancos que te piden usuario y contraseña para entrar. Si haces una transferencia has de añadir una clave de firma, generan una clave de una tarjeta (que te dieron en su día) y (además) te envían un SMS con otra clave a introducir… ¡por Tutatis! Solo faltaría que nos hiciesen rezar el “Yo Pecador”.
• ¿Y qué me dicen de las firmas digitales? En unos casos se admiten solo las de la FNMT, en otros solo las de Camerfirma, en otros solo las de entidades de firma locales como Generalitat Valenciana. ¿Existe alguna razón que no sea la de reírse del usuario? Y si a esto le añadimos la exigencia de enviar facturación electrónica a un cliente, apaga y vámonos. Por ejemplo, grandes compañías españolas, algunas administraciones incluidas, han hecho “su propia factura electrónica” que no es compatible con el formato de la Facturae del Ministerio de Hacienda (¿existe mayor disparate?). Incluso te exigen que para poder introducir la factura en “su portal” delegues la firma digital DE TU FACTURA en otra empresa (totalmente verídico). Lo mejor viene cuando estas grandes compañías te exigen que “introduzcas” tu factura en su plataforma y ésta comienza a dar errores de Java, momento en el que sabes que puedes dar la mañana por perdida.

Sigamos. ¿Y cuando los Ministerios, Dios los guarde, piden (más bien exigen bajo pena de excomunión y sanción económica) que cumplimentes una encuesta (cada una de las cuales funciona o no en un navegador distinto y en una versión distinta)? Has de introducir numerosos datos que son públicos (que la Administración podría perfectamente “recolectar sin molestar”) y te piden opiniones sobre algo tan heterogéneo como si tu producto es o no de series de televisión o de morcillas de arroz… ¿Para qué les sirve tener tu CNAE?

Luego están las webs oficiales donde depositas tus datos para que sean de dominio público y que luego tienes que documentar “físicamente” en un despacho para que se valide. ¿Pero, no habíamos entrado con certificado digital? ¿Pero, no habíamos introducido la clave que ellos nos habían dado? ¿Pero, pero, pero?

Si esto estuviese pasando (p.ej.) en la industria del automóvil tendríamos coches con todas las ruedas a la izquierda, otros con volante en el portamaletas, algunos con retrovisores mirando al cielo (por si los drones), pero sin embargo todas las marcas tienden a “normalizar”: ruedas redondas, volantes donde toca, estándares de seguridad que hay que cumplir, estándares de producción de gases a respetar, estándares de residuos a eliminar en su reciclaje, etc. Sin embargo, ya sea porque no se quiere, no se sabe, el mercado no está suficientemente maduro, no hay un organismo regulador que “obligue” (como sucede en la industria del automóvil) o sencillamente, alguien se está riendo de nosotros, el caso es que hoy por hoy nuestra “Sociedad TI” es más “Sociedad CHI” y demasiado a menudo un completo despropósito.

El problema de esto es que cuando tenemos esa sensación de que “todo vale” no es posible tomar nada en serio y eso incluye la seguridad. Los responsables somos todos: usuarios, diseñadores, administración, informáticos, etc. ¿Cómo vamos a querer que un cachondeo sea seguro? Primero hagamos de esto un tema serio, ya que no puedo exigir a un niño que me tome en serio si le estoy haciendo cosquillas o llevo nariz de payaso.

Ahí van unas cuantas modestas propuestas de mi cosecha, basadas en mi experiencia personal:

• todas las identificaciones estarán en el centro (para no herir susceptibilidades) y tendrán dos identificadores o siete me da igual, pero TODAS igual. Normalicemos, por favor.
• Como parece imposible conseguir que todos los navegadores funcionen igual o al menos que interpreten igual el código HTML, las webs indicarán en su publicidad con que navegador funcionan.
• Java. Sin comentarios.
• Las contraseñas no pueden caducar sin avisar. Deben caducar, pero no está mal que nos informen de ello previamente.
• Incorporemos un comando universal para la web, tan sencillo como “adelante-atrás”. Os garantizo que en muchas no existe.
• Esto es una cruzada personal. Las encuestas pedirán solo datos que no puedan obtener de fuentes públicas (Registro Mercantil o similar).
• La firma digital ha de ser universal. Si tenemos algo llamado Fábrica Nacional de Moneda y Timbre, será para algo.
• De la factura electrónica mejor no hablar porque está escrito en el BOE. Así que sólo hace que se ponga en marcha.

Los pasos siguientes os los dejo a vuestra imaginación. Seguro que se os ocurren unos cuantos.

Los que peinamos canas en esto de las carreritas nos asombramos al contemplar a los compañeros más jóvenes corriendo con iPhones, GPS, pulseras inteligentes, etc. (en adelante los denomino “trastitos”). Más parecen Robocops que Runners.

Qué tiempos aquellos en los que salías a correr solo por el placer de correr y te importaba un pito el ritmo, la distancia, las calorías, la monitorización, etc., y además después (tras una buena cervecita) dormías como un lirón sin preocuparte de comparar lo que habías hecho ese día con los ejercicios o los entrenamientos de otros días.

Pero los tiempos han cambiado y ahora parece que vayamos desnudos si no sabemos a) dónde estamos, b) calorías eliminadas, c) a cuántos km/h vamos y otras tantas variables.

Uno se pregunta: ¿para qué? A mi francamente lo único que me importa son las pulsaciones; si me mantengo en un maratón en torno a las 135 ppm. voy bien, si paso de 160 ppm. en el Gran Fondo de Siete Aguas, pues comienzo a andar y no corro. Está claro que esta es mi opción y cada uno ha de hacer lo que crea conveniente.

Para acabar de arreglarlo nos conectamos a aplicaciones (casi todas gratuitas) que nos dan información de la ruta, desniveles, temperatura, previsión meteorológica, etc. Los “antiguos” antes de salir miramos al cielo, sacamos la mano por la ventana y si se moja cogemos el chubasquero, si se quema cogemos el gorrito, …

Si además tenemos en cuenta que los parámetros que utilizan todos esos “trastitos” y las aplicaciones a las que nos conectamos son, sencillamente, “parámetros”, nos podemos encontrar con que para un mismo peso, un mismo entrenamiento, una misma distancia, etc., para dos personas distintas nos dan distintos ritmos cardíacos o distintos consumos de calorías. Tenemos pues un problema si nos fiamos de esos “parámetros” y no los criticamos (cuestionamos).

Claro que si también tenemos en cuenta que esas aplicaciones permiten conectarse con redes sociales y proclamar (a los cuatro vientos) que estamos corriendo en Madrid o en Sebastopol, podemos tener otro problema si alguien tiene la (mala) intención de entrar en nuestra casa mientras hacemos running.

Y si en alguna de esas aplicaciones (¿por qué serán gratuitas? ¿por qué pedirán tantos permisos a priori innecesarios?) hay algún “malo”, puede ocurrir que acceda (sin permiso) a nuestro dispositivo donde están los contactos, las claves, nuestro correo, agenda, etc. ¡Caray!, tenemos otro problema.

Y otra (¿casualidad?) que podemos destacar es que tras haber indicado mi peso, talla, objetivo, etc., resulta que uno comienza a recibir anuncios “personalizados” en el que te indican dónde comprar, qué ofertas personalizadas tengo, que libros me interesan, etc.

Lo curioso es que no veo que entre los usuarios de estas aplicaciones se hable mucho del tema. ¿Será que estoy equivocado? ¿Seré yo, que soy un paranoico?

(Buenos días. Estamos de vuelta.)

Las abuelas de mi pueblo (El Cabanyal) decían que “todo depende del cristal con que se mira…“. Cierto, muy cierto. Esto viene a colación porque asisto perplejo a la siguiente secuencia de hechos:

• Manning (condenado) difundiendo información sobre las atrocidades cometidas en Irak, o las aficiones “curiosas” de determinados diplomáticos (en el ámbito sexual, gastronómico, alcohólico, etc.)
• Snowden (confinado) informando al mundo de que un Gran Hermano estadounidense (NSA) ha estado hurgando en todas nuestras comunicaciones, ¿cuántos secretos industriales o de cualquier otra índole habrán podido copiar?
• Assange (confinado) colaborando en esa difusión…
• Skype, Google, Microsoft, etc. proporcionando ingentes volúmenes de información de los usuarios de sus servicios, incluso a gobiernos de dudosas tendencias democráticas.

[Read more…]

Algunos años trabajando en una empresa de seguridad física me han provocado una cierta deformación profesional, pero ya antes me sorprendía la inocencia de las personas y empresas. Por ejemplo:

• Los que se anotan el PIN de la tarjeta en la propia tarjeta.

• Los que se anotan todas las contraseñas (o usan la misma para todo) en el mismo sitio.

• Los que cuando entran a casa solo cierran de golpe y no le dan, aunque sea una vuelta a la llave.

• Los que dicen en el bar, a voces, que se van de vacaciones quince días.

• Los compañeros que en las empresas contestan al teléfono (a alguien que no conocen), ¿fulanito?, no estará hasta el mes que viene, se ha ido al Caribe.

• Los que dejan la llave de seguridad puesta en la grúa.

Todo es opinable, pero creo que estas actitudes son debidas a la falta de cultura de la seguridad. ¿Cuáles son las posibles razones?

[Read more…]