Mandingo se define como una persona a la que le gusta la seguridad informática, el hacking y la investigación. Lo que no dice es que se ha forjado una gran trayectoria y se ha ganado el respeto de muchos profesionales gracias a ese entusiasmo que aporta a todo lo que hace. Actualmente trabaja como analista de malware en Panda Security, y me ha dedicado un rato para contarme su visión sobre una de las amenazas más activas últimamente, el ransomware, así como el papel que juegan las casas antivirus en la batalla por la seguridad.

1. Empezamos por tus comienzos en seguridad.

Mientras estaba estudiando, cuando empezaban a moverse las primeras redes universitarias, descubrí que me gustaba saber cómo funcionaban esas redes que permitían conectar a unas personas con otras. En un principio eran redes muy bien diseñadas pero que a veces fallaban. Por ahí me fui metiendo en seguridad y todo lo relacionado con el hacking.

Posteriormente empezó a surgir, relacionado con esas redes clásicas existentes, Internet; y junto a él un movimiento de personas que empezaba a investigar el potencial de cómo explotar esas redes y como defenderlas.

[Read more…]

Es habitual que cada profesional tenga sus preferencias en cuanto a herramientas y modo de trabajar. En general, estas preferencias vienen determinadas por nuestra experiencia y formación; y con el paso del tiempo, la colección de scripts y programas que usamos crece exponencialmente.

Una manera interesante de mantener todo este material recopilado organizado y clasificado es configurar un testbed o laboratorio de pruebas. Esta práctica es seguida habitualmente por profesionales de respuesta a incidentes y peritos, con el objetivo de probar la fiabilidad de las herramientas que usan.  Sin embargo, yo aconsejo realizarlo también a otros profesionales debido a las ventajas que ofrece:

• Dispones de un entorno de referencia para probar herramientas y técnicas forenses.
• Puedes probar programas y comandos, y evaluar cuales son más apropiadas para diferentes entornos y situaciones (por ejemplo: por tiempo de ejecución, trazas dejadas en el sistema operativo o fiabilidad en los resultados).
• A pesar de llevar bastante tiempo, una vez configurado y documentado, el entorno es fácilmente reproducible.

A continuación se explican brevemente los pasos a seguir.

[Read more…]

Inspirada por otros artículos donde se recomiendan libros, series o películas, me he decidido a presentaros un juego que tiene que ver con seguridad. Para ello he tenido que rebuscar en mi memoria hasta dar con un simpático juego de mesa que conocí hace un par de años a través de unos amigos. Por supuesto, esto es solo un punto de partida para que os animéis a recomendar otros muchos.

El protagonista de este artículo es [d0x3d!]. Su nombre, doxed,  hace referencia a la publicación de información privada de terceros con fines maliciosos, ya que éste es el contexto en el que se desarrolla el juego. Para todos los interesados, es un juego opensource que está disponible al completo para imprimir y montar en casa, si bien también puede comprarse.

[Read more…]

El equipo de CyLab, perteneciente a la Universidad Carnegie Mellon, ha realizado recientemente un simpático proyecto llamado “Privacy Illustrated“, cuyo objetivo es reflejar de una manera sencilla qué entendemos por privacidad. Este estudio se ha realizado enmarcado en el Deep Lab, un congreso interdisciplinar de ciberseguridad que pretendía examinar la problemática y el impacto de los diferentes aspectos de la seguridad en la cultura y la sociedad.

El estudio ha consistido en pedir a personas de todas las edades que dibujaran lo que significa para ellos la privacidad. Hasta el momento tienen publicadas en torno a 170 imágenes que pueden verse en su web.

Mirando los dibujos, la primera conclusión no se hace esperar: todos valoramos y nos preocupamos por nuestra privacidad.

Este deseo de privacidad o intimidad aparece ya desde nuestra más tierna infancia, aunque va evolucionando conforme vamos creciendo para cubrir las diferentes facetas de nuestra vida. De esta manera he podido observar diferentes estadios:

• Niños entre 5 y 10 años: Los pequeños visualizan una barrera física alrededor de su espacio personal, como puede ser la puerta de la habitación o el baño, que les otorga un cierto grado de autonomía.
• (Pre)Adolescencia: Empiezan a relacionar el concepto con nuevos canales de comunicación (móviles, ordenadores y tabletas), si bien aún lo entienden como un proceso exclusivamente localizado y controlado a través del uso de contraseñas o de su uso sin supervisión.
• Jóvenes (desde los 16 a los 30): Ya a partir de los 16 años, los jóvenes empiezan a reconocer la “falta de privacidad” existente en las redes sociales. En contra de lo que podríamos pensar, los adolescentes son muy conscientes de los peligros a los que se exponen al compartir fotos o información personal y, por tanto, de la necesidad de controlar qué se comparte y con quién.

  Así mismo, muchos dibujos revelan preocupación por los actos de vigilancia en la red (network surveillance) llevados a cabo por gobiernos y grandes empresas, y la necesidad de cifrar las comunicaciones y su información.

• Adultos: Curiosamente, las personas mayores de 30 vuelven a recuperar la noción de intimidad, del derecho al espacio personal y la introversión.

Desde mi punto de vista, esta colección de dibujos muestra en cierta manera cómo empezamos imponiendo nuestra intimidad a través de barreras sólidas que se van permeabilizando para poder filtrar aquello que queremos compartir con el mundo.

Así mismo, es fácil entender que hay diferencias entre distintas generaciones. Los jóvenes ven con mayor naturalidad el compartir “intimidades” y relacionarse a través de redes sociales. Ahora bien, como ya he comentado, sí que me sorprendió gratamente vislumbrar un mayor interés del que esperaba con respecto a su “reputación digital”. De hecho hay otro estudio de Oxford [PDF] que sostiene que existe una relación inversa entre edad y preocupación por la privacidad.

Donde aprecio una mayor vulnerabilidad es en los adolescentes en torno a 12-15 años, cuando, con un acceso importante a redes o aplicaciones de compartición de archivos e información, aún no han alcanzado la madurez suficiente para entender completamente los peligros o las implicaciones morales que conllevan. Es por esto que, en mi opinión, es en estas edades donde debemos centrar nuestros esfuerzos de comunicación y formación.

Para finalizar os invito a que ojeéis las imágenes. Os adelanto que os identificaréis con muchas de ellas, y es que todos sentimos la necesidad de guardarnos algo para nosotros y reclamamos nuestro derecho a la privacidad, con 5 años o con 60.

Tiempo atrás leí una curiosa historia que recientemente volvió a mi mente cuando me pasó algo parecido.

La historia es la siguiente. Una persona empieza a recibir notificaciones sobre una supuesta cuenta en una plataforma de e-commerce que no se corresponde con su actividad ni con sus datos, y se pone en contacto con la compañía para advertir de la situación (que apuntaba a que alguien había facilitado su dirección de correo electrónico por error), pero a cambio obtiene por respuesta un “oiga, eso no es nuestro problema”.

Como siguiente paso, decide comprobar si en realidad se está preocupando por nada usando la socorrida opción “Olvidé mi contraseña” y como intuye, consigue acceder a la cuenta del otro usuario, que contiene todos sus datos personales y bancarios. Ante tal situación, la persona contacta de nuevo con la compañía para alertar del grave problema de seguridad, pero de nuevo recibe la respuesta “eso no es problema de nuestra empresa: el error es del usuario”. Técnicamente correcto, pero desde luego, no la respuesta que espera una recibir.

[Read more…]

(Tras el siempre breve descanso vacacional retomamos la actividad de Security Art Work para darles la bienvenida a todos los que, como nosotros, se reincorporen hoy a la vida laboral y desearles felices vacaciones a los que se van ahora a disfrutar del merecido descanso. Veremos que nos depara este nuevo curso 2014-2015. Empezamos con una entrada a propósito de una empresa que se ha hecho muy popular este verano y en la que hemos tenido dudas para determinar el tiempo verbal.)

La empresa Gowex ha estado de actualidad estos meses pasados a raíz de un escándalo financiero. Aunque al parecer sus proyectos no son tan exitosos como parecían (y vamos a dejarlo ahí que no somos analistas financieros), al menos es justo reconocerle méritos en algunos de los proyectos de I+D desarrollados.

Gowex ha venido apostando por las smart cities (“ciudades inteligentes”), con acceso WIFI libre y mejor acceso a los servicios y transportes públicos. Además, Gowex es el creador de la “Social Wifi” con We2, un proyecto que se lanzó a finales del año pasado en Nueva York. We2 supone un rizar más el rizo del modelo de las redes sociales: conectarse con el entorno que nos rodea. La compañía ofrece conectarte a las redes Wifi disponibles a tu alrededor (tiendas, restaurantes, centros comerciales y otros locales) de forma automática para poder comunicarte con este entorno.

Por otro lado, anunció recientemente una colaboración estratégica con Cisco, que a su vez es el promotor de “The Internet of Everything” (o el menos atractivo “Internet de las Cosas”). Con esta unión ambos pretenden llegar a conseguir la interconexión total de las personas con las ciudades.

La contribución de este tipo de proyectos a las “Smart Cities” es claramente positiva, pues se traduce en eficiencia energética, ahorro de costes, mejora de servicios al ciudadano, más visibilidad para pequeños comerciantes, etc. Sin embargo, hay que pensar que nunca se van a realizar a “coste” cero para el ciudadano. La realidad es que este tipo de servicios tienen como objetivo final personalizar la publicidad por segmento de cliente en tiempo real. Por ejemplo, a la vez que los usuarios de We2 pueden conocer quién está tomando un té en la cafetería de la esquina, empezarán a recibir ofertas y descuentos de teterías cercanas. Y más de lo mismo cuando se registren sus movimientos, hábitos y preferencias por el resto de la ciudad.

Aristóteles ya afirmó que el hombre es un animal social, pero quizás sea conveniente replantearse establecer un límite. Si empezamos a estar conectados a todo lo que nos rodea, ¿cómo vamos a ser capaces de controlar qué información estamos entregando (y a quién)? ¿Cómo vamos a gestionar la seguridad de un sistema tan heterogéneo y con tantos actores involucrados? A mi juicio, a menudo no se acompaña el desarrollo de estas tecnologías con medidas acordes para la privacidad (y seguridad) de los usuarios, sino que es más fácil asumir que nuestro nivel de exposición debe ser cada vez mayor.

Al final y como siempre, nuestra alternativa será decidir “cuánto de social” queremos ser. Nunca estaremos totalmente “a salvo”, pero quizá nos mantengamos en los límites de lo razonable.