Publicación del Reglamento de ejecución NIS (para proveedores de servicios digitales)

(Esta entrada ha sido elaborada en colaboración con Ana Marzo, de Equipo Marzo, que proporcionó buena parte de la información).

Hace apenas un par de semanas se ponía en contacto conmigo Ana Marzo, de Equipo Marzo, una abogada por la que tengo un gran respeto profesional, para comentarme acerca de la publicación, no esperada (al menos por mí), de un nuevo reglamento de la Comisión relacionado con la Directiva NIS, que he llamado en un alarde de originalidad Reglamento de ejecución NIS.

En efecto, el pasado 30 de enero se publicó el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo.

Al menos a mí me pilló por sorpresa (y estoy seguro de que a algunos de nuestros lectores les pasará lo mismo), ya que esperaba una transposición de la directiva, no un reglamento que emanara directamente de la Comisión (lo que no quita que, por supuesto, vayamos a disfrutar de nuestra propia legislación NIS-compliant, que al legislador hay que tenerlo ocupado…). Dado que, aunque en ambitos diferentes, ambos habíamos coincidido en un mismo cliente que encajaba en el concepto de proveedor de servicios digitales y por tanto podría verse afectado, nos preguntamos por la aplicabililidad del reglamento a este cliente en concreto. Por ejemplo, ¿está afectado un periódico online? ¿Y una web de venta online? ¿Un bingo online? ¿Y la compra-venta entre particulares? Derimir la respuesta a estas preguntas es el objeto de esta entrada.

[Read more…]

¡Cumplimos diez años!

No hay blog que se precie que no publique cada cierto tiempo una entrada conmemorando el aniversario de su nacimiento, con el único propósito (no carente de narcisismo) de mirarse el ombligo y decir aquello de “Cómo hemos cambiado”, que cantaban Presuntos Implicados en 1991.

Por lo general, se trata del primer aniversario, el segundo, quizá incluso el tercero, y luego ya se pasa al quinto, el décimo, el decimoquinto, el vigésimo, y ya saben cómo sigue la serie. Resulta curioso que a partir de cierto momento, limitemos los aniversarios a los múltiplos de cinco. No es habitual, que yo sepa, celebrar el séptimo o undécimo o vigésimo tercer aniversario de un acontecimiento. En fin, cavilaciones mías.

[Read more…]

¿Avances en comodidad, retrasos en seguridad?

Hace unas semanas, “mi” entidad bancaria me informó de que habían implementado ciertas modificaciones para incrementar la seguridad de las operaciones bancarias (en realidad admito que no sé si decía “incrementar” de manera explícita, pero desde luego estoy seguro de que no mencionaba “reducir”). El cambio consistía en que la archiconocida tarjeta de coordenadas dejaba de funcionar, y en su lugar el código que se debía utilizar para autorizar la operación se recibiría en el móvil.... Leer Más

Recopilatorio 2015: Esto es todo amigos… hasta el año que viene

Se acerca el fin de año y ha llegado la hora de echar un vistazo atrás y ver qué nos hemos dejado en el camino. Seré breve, se lo prometo. Creo. Bueno, a lo mejor. La verdad es que lo dudo. No, no seré breve; es imposible que yo sea breve.

Me gustaría comenzar con un viejo amigo. Y es que el año 2015 ha sido la confirmación de que, a pesar de tener una dura competencia, Flash está firmemente decidido a no ceder su puesto en lo alto del podio como el producto (probablemente) más inseguro de los últimos años; es raro el mes que no sale una actualización que soluciona N+1 problemas de seguridad, condimentada de vez en cuando con un alegre 0-day que hace las delicias de (casi) todo el mundo. El ataque a Hacking Team en julio no ayudó, y algunas voces autorizadas comenzaron a pedir que los chicos de Adobe sacrificasen a la bestia para conseguir al fin algo de paz. Como ya saben, la bestia continúa suelta, así que tengan cuidado.

[Read more…]

La NSA necesita tus actualizaciones

Aunque la noticia tiene poco más de 12 horas (apareció ayer en algunos medios chinos), no ha tardado mucho en propagarse por los medios especializados norteamericanos. Entre otros, ArsTechnica, Bruce Schenier, Wired o Dan Kaminsky tienen breves comentarios sobre las especulaciones realizadas por los investigadores chinos Lian Li y Huan Chen, de la Peking University, a partir de una investigación realizada recientemente.

Al parecer, todo surgió por casualidad a finales de 2013, mientras Li y Chen realizaban el análisis forense de tres equipos que habían sido comprometidos. Al analizar diferentes paquetes de actualización de Adobe almacenados en el equipo (que se sospechaba que podía haber servido como vector de ataque para la infección), se detectó que todos ellos presentaban una estructura similar: la propia actualización y un bloque de datos cifrado C1 que podía variar de 65536 bytes a varios MBs.

[Read more…]

La verdad detrás del (falso) ultimátum de la AEPD

[N.d.E: Pablo Fernández Burgueño nos ha pedido por Twitter que hagamos algunas modificaciones al post, dado que el punto de partida de éste eran en gran parte sus declaraciones al medio digital, que habían sido mal recogidas por el periodista y en realidad éste no dijo. Las modificaciones realizadas aparecen en color rojo -inclusiones- o tachadas -eliminaciones-. En cualquier caso, hemos decidido mantener el resto del contenido del post como mero ejercicio de análisis, siempre dejando claro que tras la corrección, el punto de partida es una hipótesis y no las -mal recogidas- declaraciones de Pablo Fernández].

 

aepd

Hace unos días, un amigo se quejaba de las trabas que desde los tribunales y las entidades gubernamentales se ponen constantemente a actividades como compartir información en Twitter. Esto surgía a partir de una noticia en El Confidencial, en la que se mencionaba que la AEPD había amenazado con un ultimátum a las empresas españolas a propósito de la anulación del acuerdo de Puerto Seguro, de cuya sentencia ya hablamos aquí en su día.

[Read more…]

Vacaciones

Queridos amigos,

Una vez más, como cada año por estas fechas, ha llegado el (tristísimo) momento de despedirse. Todo el mundo necesita un descanso de vez en cuando; también nosotros. Pero como estarán hartos de oír, esto no es un adiós, es un hasta luego; sí, lo sé, vaya con la frasecita de marras. Como les iba diciendo, nos retiramos a nuestros aposentos hasta el próximo 1 de septiembre, aunque si he de serles sincero, tampoco puedo garantizar que en un arranque de emotividad, morriña y entusiasmo aparezcamos algún día a saludarles con alguna entrada.

[Read more…]

Así que quieres dedicarte a la ciberseguridad…

El pasado domingo 7 de diciembre estuve dando una charla en el taller de empleo del Cybercamp, iniciativa que aunque como cualquier evento en su nacimiento tiene margen de mejora, mostró grandes cualidades y promete ser una importante cita anual para acercar el mundo de la ciberseguridad no sólo a los técnicos y personal especializado, sino también a estudiantes e incluso familias.... Leer Más

¿Inmortalidad empresarial?

Hace ya demasiado tiempo pasé cerca de un año en el Georgia Institute of Technology de Atlanta, continuando con mis estudios universitarios. Al poco tiempo de llegar, el que debía ser el responsable de seguridad nos dio una charla en la que se congratulaba por el hecho de que Atlanta ya no fuese la ciudad más peligrosa de EEUU, sino la segunda (hablamos aproximadamente de 1999). Además advertía, haciendo énfasis en los más jóvenes, que tuviesen cuidado con las ilusiones de inmortalidad propias de la adolescencia, evitasen riesgos innecesarios y adoptasen ciertas medidas de seguridad.... Leer Más

pwnConf: 1er evento de SysAdmin/Devops, Networking y Seguridad Informática en Mar del Plata, Argentina

Hoy os presentamos pwnConf, una conferencia de carácter 100% técnico que se realiza el día 23 de Noviembre en la ciudad de Mar del Plata y que reunirá investigaciones de profesionales de distintas partes del país.... Leer Más