La buena noticia que nos trae Yahoo

yahoo_logo_detailYahoo acaba de reconocer el robo de información relativa a más de 1000 millones de cuentas de sus clientes… en 2013. Sí, hace 3 años.

Ante esta situación caben diferentes interpretaciones: o bien a raíz del análisis del incidente que sufrieron en 2014 del que informaron en el mes de septiembre han extendido el análisis forense de lo ocurrido hacia atrás y han descubierto que en 2013 habían sufrido el robo de información más grande sufrido nunca por una única compañía, o bien ya lo sabían y han decidido informar de ello ahora antes de que la noticia trascendiera por otra fuente. Incluso se me ocurre una tercera posibilidad (y a lo mejor a alguno de ustedes incluso se le ocurre una cuarta): que haya sido una filtración malintencionada ahora que Verizon está formalizando una oferta de compra por Yahoo.
[Read more…]

Las cosas claras

Recordarán que, tras la divulgación de las revelaciones de Edward Snowden en relación con las actividades de la NSA, y las diferentes evidencias que comenzaron a surgir en relación con la monitorización y el análisis de la actividad en la red de los ciudadanos del mundo en general y el espionaje dirigido de cerca de dos tercios de los líderes mundiales, a la administración nortemericana no le quedó más remedio que entonar el ya famoso: “Lo siento, me equivoqué. No lo volveré a hacer más”.... Leer Más

2013 se nos va…

Y con él, muchas noticias relacionadas con la seguridad. Los casos de ciberacoso, la evolución del cloud computing, las dichosas cookies, los chinos haciendo de las suyas por un lado, la NSA haciendo de las suyas por otro… una año realmente movido en nuestro ámbito.... Leer Más

Made in China

Hace unos días aparecía en prensa que el gobierno de los EEUU de Norteamérica está trabajando, dentro de su política global contra el ciberespionaje, en una reglamentación para la restricción de adquisición de equipamiento informático procedente de China en el ámbito de la administración pública. Si tenemos en cuenta las cifras económicas que en la noticia se citan (>10800M €) para dar idea de la magnitud del volumen de importación de productos tecnológicos procedentes de China, la cosa no es para andarse con bromas. Podrán decirme que este tipo de restricciones y regulaciones afectan al libre mercado y a la libre competencia y que pueden tener una naturaleza no exclusivamente relacionada con la seguridad, pero cuando los riesgos son tan evidentes y estamos hablando de seguridad nacional, pues qué quieren que les diga.... Leer Más

FITURTECH 13

Del 30 de enero al 1 de febrero se celebra en Madrid Fiturtech’ 13, el foro de innovación y tecnología turística.

Y ustedes dirán… ¿y por qué hablan de esta noticia en un blog de seguridad? Pues si dan un vistazo al programa del foro verán que en la segunda jornada ya empiezan a hablar del papel que juegan las redes sociales, y que la tercera jornada se dedica casi en exclusiva al cloud, a la gestión de la información en la nube y a su seguridad. Incluso está prevista una intervención de Chema Alonso.

Vamos, que sí va teniendo sentido un post que hable sobre la seguridad y el sector turístico.

[Read more…]

Esto no es una broma

Noticia de hoy. La Secretaria de Seguridad Nacional de los EEUU acaba de advertir del riesgo de un “11-S informático” inminente. Habla de una amenaza real de que se produzcan ataques informáticos contra infraestructuras clave no sólo para la defensa, sino para el suministro de servicios esenciales para el funcionamiento de su país.... Leer Más

Un problema de comunicación

Ya hemos hablado en SAW en otras ocasiones de los incidentes de seguridad que afectan a un entorno que hasta hace unos años se había mantenido al margen de los mismos: el entorno industrial (ver esta entrada, esta otra sobre el ciclo proyecto-construcción-explotación, esta sobre ciberincidentes de José Rosell o nuestro 2º Informe sobre la Protección de las Infraestructuras Críticas).... Leer Más

Dilemas

Formé parte en su momento del equipo de trabajo de S2 Grupo que asesoró a la Autoridad Portuaria de Valencia durante el proceso de implantación de su Sistema de Gestión de la Protección de la Cadena de Suministro según la norma ISO 28000. Su certificación en Mayo de 2011 por parte de AENOR constituyó un hito a nivel europeo.

Como saben, esta norma es una consecuencia de las diferentes iniciativas que promulgaron los Estados Unidos tras los atentados del 11-S en Nueva York en materia de protección y de seguridad en el transporte de mercancías. Esos atentados marcaron un punto de inflexión, supusieron un antes y un después en el nivel de seguridad o mejor, en la sensación de seguridad que los estadounidenses tenían. Y supuso un cambio en sus planteamientos. Supuso por ejemplo la creación de la iniciativa MEGAPORTS, que trasladaba a los puertos más importantes del mundo desde los que llegaban mercancías a puertos estadounidenses (en el caso de España, los puertos de Valencia, Algeciras y Barcelona) la obligación de realizar costosas inversiones para detectar la posible existencia de sustancias radioactivas en los contenedores con destino USA.

Y no sólo en el ámbito del transporte marítimo de mercancías. Recordarán la polémica surgida alrededor de la obligación impuesta a las compañías aéreas de entregar al gobierno estadounidense la lista de pasajeros de todos los vuelos internacionales con destino a los Estados Unidos antes del despegue de los aparatos. Y seguro que también se acordarán de las polémicas surgidas por la instalación de escáneres corporales en los aeropuertos estadounidenses a partir de los atentados de 2001, y en otros aeropuertos internacionales posteriormente.

Todo este tipo de medidas físicas de seguridad tienen un coste económico muy elevado, por la necesidad de diseñar, fabricar e instalar dispositivos muy costosos en múltiples infraestructuras. Pero es que además se dieron cuenta de que el terrorismo internacional estaba cambiando sus estrategias. Los ataques “clásicos” tenían una probabilidad de éxito muy baja, requerían maquinar acciones cada vez más rocambolescas y complicadas, acciones que en muchos casos requerían además que los terroristas no sólo participaran en las mismas, sino que se “implicaran” personalmente (ya saben, la diferencia entre implicarse y participar: el caso de la tortilla de jamón). El ciberterrorismo entró en escena de una manera paulatina, rudimentaria si quieren al principio, pero venía para quedarse. La relativa sencillez de llevar a cabo ataques más o menos coordinados contra instalaciones e infraestructuras críticas de países objetivo, con niveles de riesgo muy bajo para los ciberterroristas, sin que precisen de grandes ni costosos medios, y con probabilidades de éxito considerables por el nivel de vulnerabilidad de muchas de estas instalaciones, como podían ser por ejemplo las centrales nucleares. Toni Villalón nos puso en situación en un post hace no mucho. Y no voy a ponerme ahora a hablarles de las múltiples iniciativas legales y de todo tipo dirigidas a mejorar la seguridad física, lógica y organizativa de las infraestructuras críticas nacionales, europeas y mundiales.

[Read more…]

CV Screening

Hoy en día, para tener opciones en un proceso de selección de personal, y sobre todo en sectores como en el de las tecnologías de la información, parece que si no tienes una retahíla de certificaciones de una longitud suficiente vas a tener poco que hacer.

CISA, CISSP, Lead Auditor ISO27001, Sun Java certified, CCNA, CRISC, ITIL Expert, SANS GIAC GPEN, Red Hat certified, CCSA,CISM, etc, etc, etc. Y etc.

Personalmente creo que se ha entrado en una carrera sin sentido orientada a acumular certificaciones a veces sin ton ni son, pero también es cierto que es algo que está siendo fomentado por las propias empresas contratantes, que están entrando en ese juego, y que están encantadas de poner luego en sus ofertas 4 páginas de certificaciones de sus equipos de trabajo.

[Read more…]

Iniciativas ¿preocupantes? en protección de datos

Leyendo la prensa en Internet me acabo de encontrar con una noticia que me ha dejado perplejo. La noticia hace referencia a un plan de de colaboración que está diseñando la Dirección General de la Policía para, entre otras cosas, facilitar a las empresas de seguridad privada el acceso a las bases de datos de la Policía con objeto de poder contrastar, por ejemplo, si una persona a la que han retenido por haber perpetrado un robo en las dependencias que están custodiando tiene antecedente policiales o no.... Leer Más