Yahoo acaba de reconocer el robo de información relativa a más de 1000 millones de cuentas de sus clientes… en 2013. Sí, hace 3 años.

Ante esta situación caben diferentes interpretaciones: o bien a raíz del análisis del incidente que sufrieron en 2014 del que informaron en el mes de septiembre han extendido el análisis forense de lo ocurrido hacia atrás y han descubierto que en 2013 habían sufrido el robo de información más grande sufrido nunca por una única compañía, o bien ya lo sabían y han decidido informar de ello ahora antes de que la noticia trascendiera por otra fuente. Incluso se me ocurre una tercera posibilidad (y a lo mejor a alguno de ustedes incluso se le ocurre una cuarta): que haya sido una filtración malintencionada ahora que Verizon está formalizando una oferta de compra por Yahoo.
[Read more…]

Recordarán que, tras la divulgación de las revelaciones de Edward Snowden en relación con las actividades de la NSA, y las diferentes evidencias que comenzaron a surgir en relación con la monitorización y el análisis de la actividad en la red de los ciudadanos del mundo en general y el espionaje dirigido de cerca de dos tercios de los líderes mundiales, a la administración nortemericana no le quedó más remedio que entonar el ya famoso: “Lo siento, me equivoqué. No lo volveré a hacer más”.

Que está muy bien, pero que no es suficiente. De pequeñito me enseñaron que la secuencia era algo así como examen de conciencia, dolor de los pecados, propósito de enmienda y cumplir la penitencia. En este caso se ha limitado al propósito de enmienda y poco más. Alguna propuesta de iniciativa legislativa, algún posicionamiento de cara a la galería, y no mucho más. Aquí paz y después gloria.

Supongo que estarán al tanto de la noticia. USA acusa formalmente de ciberespionaje industrial a cinco militares chinos. Nada nuevo que no sepamos. Todos sabemos a qué juega China. Pero como todos sabemos también, en esto de la ciberguerra no hay ni buenos ni malos, pues el que no corre vuela.

Lo que me ha llamado la atención es la rotundidad y diligencia con la que se está tratando el tema. Ha habido una reacción airada de la administración norteamericana con protesta oficial y acusación formal incluida, y se están tomando medidas inmediatas de respuesta.

Porque claro, aquí no se están vulnerando los derechos de privacidad de las personas. Aquí se trata de intereses empresariales, intereses estratégicos y de defensa. Con la iglesia hemos topado, amigo Sancho.

Recapitulemos. Quien antes se consideraba con derecho, en defensa de su seguridad nacional, a espiar a los ciudadanos de todo el mundo, ahora reacciona airadamente y clama al cielo porque otro está haciendo lo mismo, sólo que ahora contra sus intereses económicos y empresariales.

Quiero dejar muy claro que no estoy defendiendo el derecho de China a llevar a cabo estas prácticas, ni mucho menos. Además, sabemos que no se dedican a esto desde hace poco. Son pioneros en temas de ciberespionaje y ciberguerra. Pero a la vez, creo que ha quedado meridianamente claro cuáles son las prioridades en materia de ciberdefensa, y qué intereses prevalecen sobre qué derechos.

Y con él, muchas noticias relacionadas con la seguridad. Los casos de ciberacoso, la evolución del cloud computing, las dichosas cookies, los chinos haciendo de las suyas por un lado, la NSA haciendo de las suyas por otro… una año realmente movido en nuestro ámbito.

Pero sin solución de continuidad nos llega 2014. ¿Qué nos traerá?

Pues me temo que algunos de los temas que he citado antes seguirán con nosotros. Pero sin duda nos traerá nuevos retos. Algunos ya los prevemos: el desarrollo del BYOD y los riesgos que implica para las organizaciones, la ciberseguridad industrial, las smart cities… Otros retos, aún no acertamos ni a imaginarlos.

Pero lo que es seguro es que aquí en SAW seguiremos para contárselos, y para seguir haciendo lo que nos apasiona: hablar, compartir y seguir aprendiendo sobre seguridad, en todas sus vertientes. Y, si es posible, con su compañía.

Con nuestros mejores deseos para el año entrante.

Hace unos días aparecía en prensa que el gobierno de los EEUU de Norteamérica está trabajando, dentro de su política global contra el ciberespionaje, en una reglamentación para la restricción de adquisición de equipamiento informático procedente de China en el ámbito de la administración pública. Si tenemos en cuenta las cifras económicas que en la noticia se citan (>10800M €) para dar idea de la magnitud del volumen de importación de productos tecnológicos procedentes de China, la cosa no es para andarse con bromas. Podrán decirme que este tipo de restricciones y regulaciones afectan al libre mercado y a la libre competencia y que pueden tener una naturaleza no exclusivamente relacionada con la seguridad, pero cuando los riesgos son tan evidentes y estamos hablando de seguridad nacional, pues qué quieren que les diga.

Piensen por ejemplo en qué porcentaje de las memorias USB que utilizamos cotidianamente proviene del gigante asiático. En una conversación de café hace no mucho comentaba con unos compañeros que era una manera muy sencilla de introducir malware en domicilios particulares o en una empresa. De hecho, diseñando una operación con objetivos claros podía ser relativamente sencillo infectar partidas de estos dispositivos con el malware adecuado e integrarlo en las diferentes fases iniciales de avanzadilla de una operación más compleja de intrusión en una organización. Y no hace falta permitir que el lado paranoico se apodere de nuestro cerebro para empezar a pensar en el interés que este tipo de actividades puede tener en el fértil campo del espionaje industrial y la ciberguerra.

Esta situación me recuerda mucho a la situación que se produjo en los Estados Unidos cuando, tras los atentados del 11-S en Nueva York, descubrieron atónitos que la gran mayoría de la mercancía que entraba en su país lo hacía por vía marítima, y que sólo el contenido del 2% de los contenedores que llegaban a sus puertos era registrado e inspeccionado. Cambien ahora ustedes contenedores por USBs, portátiles, o servidores y tendrán una idea aproximada de la magnitud del problema. Con la diferencia, claro está, que los mecanismos de prevención y control son en este caso algo más complejos.

Del 30 de enero al 1 de febrero se celebra en Madrid Fiturtech’ 13, el foro de innovación y tecnología turística.

Y ustedes dirán… ¿y por qué hablan de esta noticia en un blog de seguridad? Pues si dan un vistazo al programa del foro verán que en la segunda jornada ya empiezan a hablar del papel que juegan las redes sociales, y que la tercera jornada se dedica casi en exclusiva al cloud, a la gestión de la información en la nube y a su seguridad. Incluso está prevista una intervención de Chema Alonso.

Vamos, que sí va teniendo sentido un post que hable sobre la seguridad y el sector turístico.

[Read more…]

Noticia de hoy. La Secretaria de Seguridad Nacional de los EEUU acaba de advertir del riesgo de un “11-S informático” inminente. Habla de una amenaza real de que se produzcan ataques informáticos contra infraestructuras clave no sólo para la defensa, sino para el suministro de servicios esenciales para el funcionamiento de su país.

Aunque sabemos que los políticos hacen a veces un uso interesado de las informaciones relacionadas con amenazas y riesgos para justificar intervenciones militares u otro tipo de acciones, no creo que sea éste el caso. No hay elecciones a la vista, no se habla de un país enemigo concreto, no es sensacionalismo ni demagogia. Esto no es una broma. De hecho Janet Napolitano habla de “si no prevenir, al menos mitigar los daños”. Estamos hablando de ataques a infraestructuras críticas que gestionan y suministran agua y electricidad a la población, sin ir más lejos.

Los EEUU tienen un problema similar al que tenemos en España. Muchas de las infraestructuras críticas están en manos de empresas privadas, lo que provoca a veces falta de comunicación con las administraciones públicas, recelos y trabas a compartir información sobre posibles vulnerabilidades de las instalaciones por los riesgos que implica que esa información pueda caer en manos de posibles terroristas, de la competencia o ser conocidas por los temibles mercados.

El gobierno estadounidense está trabajando en facilitar esas vías de comunicación y en activar un plan de ayudas dirigido a que las empresas privadas mejoren los niveles de seguridad de las infraestructuras que gestionan. En mi humilde opinión creo que por ahí deben ir los tiros. Estamos hablando de seguridad nacional, de seguridad de la población civil. No basta con publicar una Ley de Protección de Infraestructuras Críticas y su Reglamento. La frase más habitual escuchada en foros y reuniones en boca de los gestores privados es “Vale, ¿y esto quién lo paga?”. Para poner en marcha los planes de protección adecuados en materia de seguridad física, lógica y organizativa de estas infraestructuras críticas hace falta dos cosas: sensibilización y concienciación de los gestores de que los riesgos son reales y dinero para abordar los planes.

Por último, un pequeño detalle que considero significativo. La noticia a la que hago mención no se publica en la sección de sociedad, o de internacional. No. Se publica en la sección de tecnología del periódico digital. Este pequeño detalle en mi opinión denota que no se acaba de ver la gravedad del nivel de riesgo real existente. Esto no es una broma de cuatro frikies.

Ya hemos hablado en SAW en otras ocasiones de los incidentes de seguridad que afectan a un entorno que hasta hace unos años se había mantenido al margen de los mismos: el entorno industrial (ver esta entrada, esta otra sobre el ciclo proyecto-construcción-explotación, esta sobre ciberincidentes de José Rosell o nuestro 2º Informe sobre la Protección de las Infraestructuras Críticas).

En algunos casos estos incidentes han tenido mucha repercusión en los medios, como fue el caso del gusano STUXNET y más recientemente su hermano (parece ser que posiblemente comparten creadores), el troyano DUQU. En este último caso se da por seguro que se trata de un malware realizado por encargo (existe en el mercado negro una verdadera industria del MaaS: Malware as a Service), y su objetivo era robar información de infraestructuras críticas, tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, y aprovechando una vulnerabilidad de Windows.

También este año que estamos a punto de cerrar vivió el descubrimiento de FLAME, un malware de propósito más general orientado al ciberespionaje, y que llevaba años (¡años!) operativo sin ser descubierto.

Lo sé. Es algo ya muy manido hablar de que los entornos industriales inicialmente se despreocuparon de los temas de seguridad, precisamente por la falsa sensación de seguridad que les producía trabajar con sistemas propietarios y sentirse aislados del mundo exterior.

Los ingenieros y técnicos que trabajan con los sistemas de control industrial tienen una gran preparación y experiencia, conocen sus procesos, sus entornos y sus responsabilidades. Sin ellos los sistemas de control industrial no pueden ser definidos, calibrados ni parametrizados. Pero aún hoy tienen poca consciencia de los riesgos a los que están expuestos sus sistemas. El problema que se ha producido es similar al que se produce cuando a la hora de desarrollar una aplicación no se tienen en cuenta desde el principio criterios de desarrollo seguro. Corregir esta situación “a posteriori” es siempre más complicado.

Además, en los entornos industriales cualquier incidente que afecte a su seguridad suele tener casi siempre un impacto alto o muy alto. Y no hace falta irse al caso extremo de una infraestructura crítica, en la que un incidente de seguridad puede constituir un problema de salud pública, afectar a la vida de personas o afectar a la seguridad nacional. Pensemos en la repercusión económica de una línea de producción parada durante un día por un problema de pérdida de disponibilidad de su sistema de control industrial, o que en una cadena de producción uno de sus componentes deje de trabajar normalmente y este hecho no se detecte.

También se ha hablado mucho ya de que la informática industrial y la informática corporativa han vivido tradicionalmente de espaldas, en mundos estancos y separados, y de que la irrupción del mundo TCP/IP en los entornos industriales hizo que esa frontera se derrumbase de repente sin que nadie lo tuviera demasiado previsto.

El hecho es que esta apertura de puntos de conexión entre ambos mundos cogió con el paso cambiado a muchos. Es algo ya habitual que dispositivos industriales se gestionen con sistemas operativos de propósito general, que técnicos industriales accedan en remoto vía internet a sistemas SCADA (mediante conexiones no siempre seguras, todo sea dicho), y es un hecho que a altos directivos de empresas industriales o de infraestructuras críticas les encanta poder acceder desde sus despachos a sistemas de control industrial para poder abrumar a las visitas.

De hecho, y con carácter general, se ha convertido en algo ya normal que se acceda a las redes corporativas desde smartphones y tablets, redes corporativas que a veces están interconectadas con redes industriales, con todo lo que ello implica… como vemos las fronteras se han desdibujado. Parémonos a pensar un momento en este acceso, por ejemplo con un tablet, a la red corporativa, red que tiene puntos de conexión con la red industrial de una organización. ¿Saben ustedes cuántas aplicaciones hay aproximadamente en la Apple Store? Aproximadamente 1.000.000 de aplicaciones. ¿Alguien es capaz de asegurar que ese millón de aplicaciones son 100% seguras y están libres de cualquier tipo de malware? Yo desde luego, no. ¿Saben cuánto se paga en el mercado negro por una vulnerabilidad 0-day para iOS? Unos 200.000 euros. Relean un momento este párrafo. ¿No les produce escalofríos?

Creo que estarán de acuerdo conmigo en que hay que ponerse manos a la obra. Los sistemas industriales, de repente vulnerables, controlan infraestructuras críticas como hospitales, puertos, aeropuertos, centrales nucleares, estaciones depuradoras de agua, subestaciones eléctricas, etc., e infraestructuras “menos críticas” desde el punto de vista del interés nacional, pero desde luego muy críticas desde el punto de vista del negocio para muchas empresas de sectores muy variados.

Y en este proceso de integración y aproximación del mundo de la informática industrial con el mundo de la informática corporativa o de gestión es donde se presenta un escollo a mi juicio realmente grave.

Se da la paradoja de que actualmente los sistemas de control industrial pueden monitorizar lo inimaginable, de que disponemos de soluciones tecnológicas avanzadísimas, de todas las herramientas necesarias para introducir las medidas de seguridad adecuadas para los sistemas de control industriales, de que podemos correlar todos los eventos del mundo mundial en tiempo real, y que podemos aportar inteligencia operacional a las soluciones técnicas de seguridad.

Entonces, ¿dónde está el problema? Pues el problema se presenta entre las personas. Una vez más, en materia de seguridad, el factor humano es parte de la solución pero a la vez parte del problema. Existe un gravísimo problema de comunicación entre los profesionales de la informática industrial y los profesionales de seguridad y la informática corporativa. Incluso diría más: hay un problema de falta de voluntad de diálogo. Desde un lado surge un mensaje algo así como “no te metas en mi terreno, que no tienes ni idea de lo que estás hablando…”, y desde el otro un “madre mía qué desastre de gente, mucho sensor, mucha red de control y mucho esquema eléctrico pero aquí les entran hasta la cocina…lo que pasa es que no tengo ni idea de lo que están monitorizando y no sé ni dónde está la cocina”. Y lo digo con conocimiento de causa. Hemos abordado proyectos de monitorización y control de eventos en entornos industriales, y el principal problema que hemos tenido ha sido doble: conseguir entender la lógica de los procesos y conseguir la colaboración del personal técnico implicado.

Y ojo. Que quede bien claro que el problema no está sólo en uno de los dos “bandos”. Las causas son distintas, pero el planteamiento de acercamiento en muchos casos es equivocado por ambas partes.

Este problema de falta de diálogo incluso a veces se agrava con diferencias de tipo corporativista, lo que complica más la situación. El hecho es que existe un gap evidente entre los dos mundos: los profesionales de la seguridad no conocemos los entornos industriales de las plantas y sus especificidades, y los profesionales industriales no están formados adecuadamente en el mundo de la informática corporativa y desconocen los riesgos que el mundo TIC ha traído a los entornos industriales.

Es necesario realizar un esfuerzo de acercamiento por ambas partes, quitarse de encima actitudes obtusas y prepotentes (insisto, por ambas partes), establecer foros de trabajo conjuntos, realizar jornadas de acercamiento y de conocimiento mutuo, etc., y dejar de lado corporativismos rancios. Hay mucho trabajo por delante, y no debemos retrasarlo, por la cuenta que nos trae a todos.

Formé parte en su momento del equipo de trabajo de S2 Grupo que asesoró a la Autoridad Portuaria de Valencia durante el proceso de implantación de su Sistema de Gestión de la Protección de la Cadena de Suministro según la norma ISO 28000. Su certificación en Mayo de 2011 por parte de AENOR constituyó un hito a nivel europeo.

Como saben, esta norma es una consecuencia de las diferentes iniciativas que promulgaron los Estados Unidos tras los atentados del 11-S en Nueva York en materia de protección y de seguridad en el transporte de mercancías. Esos atentados marcaron un punto de inflexión, supusieron un antes y un después en el nivel de seguridad o mejor, en la sensación de seguridad que los estadounidenses tenían. Y supuso un cambio en sus planteamientos. Supuso por ejemplo la creación de la iniciativa MEGAPORTS, que trasladaba a los puertos más importantes del mundo desde los que llegaban mercancías a puertos estadounidenses (en el caso de España, los puertos de Valencia, Algeciras y Barcelona) la obligación de realizar costosas inversiones para detectar la posible existencia de sustancias radioactivas en los contenedores con destino USA.

Y no sólo en el ámbito del transporte marítimo de mercancías. Recordarán la polémica surgida alrededor de la obligación impuesta a las compañías aéreas de entregar al gobierno estadounidense la lista de pasajeros de todos los vuelos internacionales con destino a los Estados Unidos antes del despegue de los aparatos. Y seguro que también se acordarán de las polémicas surgidas por la instalación de escáneres corporales en los aeropuertos estadounidenses a partir de los atentados de 2001, y en otros aeropuertos internacionales posteriormente.

Todo este tipo de medidas físicas de seguridad tienen un coste económico muy elevado, por la necesidad de diseñar, fabricar e instalar dispositivos muy costosos en múltiples infraestructuras. Pero es que además se dieron cuenta de que el terrorismo internacional estaba cambiando sus estrategias. Los ataques “clásicos” tenían una probabilidad de éxito muy baja, requerían maquinar acciones cada vez más rocambolescas y complicadas, acciones que en muchos casos requerían además que los terroristas no sólo participaran en las mismas, sino que se “implicaran” personalmente (ya saben, la diferencia entre implicarse y participar: el caso de la tortilla de jamón). El ciberterrorismo entró en escena de una manera paulatina, rudimentaria si quieren al principio, pero venía para quedarse. La relativa sencillez de llevar a cabo ataques más o menos coordinados contra instalaciones e infraestructuras críticas de países objetivo, con niveles de riesgo muy bajo para los ciberterroristas, sin que precisen de grandes ni costosos medios, y con probabilidades de éxito considerables por el nivel de vulnerabilidad de muchas de estas instalaciones, como podían ser por ejemplo las centrales nucleares. Toni Villalón nos puso en situación en un post hace no mucho. Y no voy a ponerme ahora a hablarles de las múltiples iniciativas legales y de todo tipo dirigidas a mejorar la seguridad física, lógica y organizativa de las infraestructuras críticas nacionales, europeas y mundiales.

[Read more…]

Hoy en día, para tener opciones en un proceso de selección de personal, y sobre todo en sectores como en el de las tecnologías de la información, parece que si no tienes una retahíla de certificaciones de una longitud suficiente vas a tener poco que hacer.

CISA, CISSP, Lead Auditor ISO27001, Sun Java certified, CCNA, CRISC, ITIL Expert, SANS GIAC GPEN, Red Hat certified, CCSA,CISM, etc, etc, etc. Y etc.

Personalmente creo que se ha entrado en una carrera sin sentido orientada a acumular certificaciones a veces sin ton ni son, pero también es cierto que es algo que está siendo fomentado por las propias empresas contratantes, que están entrando en ese juego, y que están encantadas de poner luego en sus ofertas 4 páginas de certificaciones de sus equipos de trabajo.

[Read more…]

Leyendo la prensa en Internet me acabo de encontrar con una noticia que me ha dejado perplejo. La noticia hace referencia a un plan de de colaboración que está diseñando la Dirección General de la Policía para, entre otras cosas, facilitar a las empresas de seguridad privada el acceso a las bases de datos de la Policía con objeto de poder contrastar, por ejemplo, si una persona a la que han retenido por haber perpetrado un robo en las dependencias que están custodiando tiene antecedente policiales o no.

Estoy dando por hecho que la noticia es cierta, y su contenido se ajusta a la realidad, aspecto que no he podido contrastar.

En la noticia se describen algunos ejemplos de qué tipo de informaciones se podrían contrastar, como por ejemplo si un cliente de un detective privado que quiere contratar un servicio de vigilancia puede tener antecedentes de violencia de género, y a la vez se dice que “las empresas no tendrán acceso a datos de carácter personal de los ciudadanos ni a investigaciones policiales abiertas o judicializadas”. No sé a ustedes, pero a mi me cuesta entender que si se facilita este tipo de información no exista un acceso a datos personales…

Si no estoy equivocado (corríjanme por favor si lo estoy) los ficheros con datos personales creados por los Cuerpos y Fuerzas de Seguridad del Estado están sujetos al cumplimiento de la LOPD (ver artículo 22), con una serie de excepciones lógicas, como que por ejemplo no se puedan ejercer determinados derechos ARCO sobre los datos tratados con fines policiales. Pero sí están sujetos al cumplimiento por ejemplo del artículo 6 de la LOPD, que regula el consentimiento para, por ejemplo, la cesión de datos entre una administración pública (la Policía) y una empresa privada (la empresa de seguridad), pues hasta la fecha que yo sepa no existe una ley que exima de este trámite.

Creo que no se le escapa a nadie que en los ficheros gestionados por los Cuerpos y Fuerzas de Seguridad del Estado hay datos personales que en muchos casos están clasificados como de nivel alto. ¿Realmente estamos ante un caso de que justifica el “interés legítimo” de la empresa de seguridad privada? ¿Cómo se controlaría el uso que se diera por parte de estas empresas a la cesión de ese tipo de información? Un policía, como funcionario público que es, está sujeto a una obligación de deber de secreto de la información a la que tiene acceso. ¿Cómo se regula esto en el caso del personal de una empresa de seguridad privada?

El objeto de la LOPD es garantizar el derecho al honor y a la intimidad de las personas, ambos derechos constitucionales. ¿Este plan de colaboración no abriría la puerta a situaciones de dudosa constitucionalidad? ¿No comparten conmigo esta sensación de perplejidad?