Temeridad, ignorancia o ambas cosas.

1 de junio de 2009 Por

monoEsta mañana, cuando he abierto el correo, tenía en el buzón personal una propaganda de KIA enviada desde la dirección “net@netaselot.com”. La imagen que contenía redireccionaba a la URL “http://www.netfilia.com/contenidos/ redirect.html?img=1& contenido=16986&web=40426&id=hiDsTT1z4FrUQ“, que redirecciona automáticamente a la página “http://www.pruebakia.es/?CAM=ANTEV3”. Es decir, KIA.

El pasado viernes recibí una propaganda exactamente igual, pero esta vez anunciaba a iBanesto. Enviada desde la misma dirección, la imagen que contenía apuntaba directamente a “http://www.netfilia.com/contenidos/redirect.html? img=1&contenido=11684&web=40426& id=hi4MOp9u5Wopw“, que es una redirección para “https://www.ibanestocambiodehipoteca.com/?idm=5uss-y8mj”. Es decir, Banesto.

Ambos correos contienen al pie una leyenda que dice lo siguiente:

Si no quiere recibir más información clic aquí

El tratamiento de los datos de carácter personal, así como el envío de boletines o comunicaciones comerciales realizadas por medios electrónicos, son conformes a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (B.O.E. de 14 de diciembre de 1999) y a la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de Información y de Comercio Electrónico (B.O.E. de 12 de julio de 2002).

Me sorprende que empresas de la talla y reputación de KIA y Banesto utilicen el envío de spam para captar clientes, pero aun me sorprende más que lo hagan a través de empresas que no conocen ni respetan —a pesar de lo que dicen— la LOPD. Supongo que alguien en KIA y en Banesto pensó que si el correo no lo mandan directamente ellos, no pasa nada. O quizá el responsable que gestionó, compró o encargó la campaña con Netfilia se dejó aconsejar, convencer, o directamente se desentendió de cómo la empresa de publicidad iba a tratar su marca. Mal hecho, en cualquier caso.

La cuestión, que no nos cansamos de repetir, es que Internet no es una fuente de acceso público, y por tanto no puede ser utilizada para recolectar correos a los que enviar publicidad. Estas son el tipo de cosas por las que en mi opinión la LOPD impone sanciones tan fuertes; no se trata de desproporcionalidad, sino de efecto disuasorio; de evitar que las empresas hagan el balance de lo que gano (clientes) y lo que pierdo (sanción de la LOPD). Ahora bien, el que decida saltarse las reglas, ignorarlas, u obviarlas, que se atenga a las consecuencias, porque como saben el desconocimiento de la ley no exime de su cumplimiento y a estas alturas de la película ya no vale hacerse el tonto.

Premio a Blog promotor de las TIC

28 de mayo de 2009 Por

valenciasiComo ya les he dicho alguna que otra vez, cualquier blog que se precie tiene derecho a una dosis periódica de autobombo, ombliguismo o como quieran llamarlo. Al fin y al cabo, los blogs, o las bitácoras si prefieren el término castellano, no serían lo mismo si no sirviesen para alimentar el ego de su autor. Si además sirven para algo más, tanto mejor. Y si hay una razón de peso para hablar de uno mismo, entonces es todavía mejor, porque no es necesario justificarse, algo que acostumbro a hacer a menudo. En breve verán cuál es esa razón de peso; sigan leyendo.

Comencé en esto de los blogs hace aproximadamente cinco años y medio, con un blog personal que aunque empezó tímidamente, en ciertas épocas tuvo una frecuencia de actualización más que decente. No obstante, Security Art Work, en la mitad de tiempo, blog del que soy editor y principal colaborador, ha conseguido muchos más lectores y suscriptores de los que yo aspiraba para el mio personal. Eso me hace sospechar que quizá algo o alguien me esté sugiriendo que lo que tengo que contar de mí no resulta tan interesante como lo que tengo que contar de mi trabajo, al menos para el resto del mundo. Por si los números no fueran evidencia suficiente, hoy hemos recibido el premio al Blog promotor de las TIC de la 11ª Noche de las Telecomunicaciones Valencianas 2009, lo que es la razón de peso de la que les hablaba al principio y algo que, como diría aquél, me llena de orgullo y satisfacción.

Este blog comenzó a gestarse a comienzos de 2007, cuando algunas personas de S2 Grupo empezamos a pensar que podría estar bien montar un blog corporativo que hablase de seguridad. Digamos que el nacimiento no fue coser y cantar, dado que como es bien sabido por cualquier blogger, los contenidos no surgen de la nada y requieren un esfuerzo nada despreciable, pero lo cierto es que el parto no fue particularmente doloroso, y no hizo falta ni siquiera tirar de epidural. Todo fue bastante suave, lo que no significa que fuese fácil; buscar tiempo para escribir entradas en una agenda ya de por sí bastante apretada no es fácil, y si no, que se lo pregunten a muchos de mis compañeros. No hubo lágrimas ni crujir de dientes, pero sí sudor.

Cabe decir, en honor a la verdad, que la dirección de S2 Grupo apoyó en todo momento una propuesta que, cómo negarlo, tiene un retorno de inversión extremadamente difícil de cuantificar, hasta el punto de que la publicación de un blog puede considerarse en la mayoría de los casos casi una tarea altruista. Por supuesto que cualquier blog que sea respaldado por una empresa tiene sin duda una componente clara de marketing, pero creo que evidente que siempre hemos intentado (y creemos que conseguido) que Security Art Work se mantenga libre de contenido publicitario y comercialmente independiente de la empresa que lo respalda con medios tecnológicos y humanos. Más allá de un puñado de menciones esporádicas y siempre pertinentes, casi podría decirse que, desde el punto de vista de una teórica finalidad comercial, Security Art Work no es más que el blog de un grupo de personas que trabajan para S2 Grupo, y en efecto, parte de las entradas son elaboradas por sus autores en su tiempo libre; porque no pensarán que los fines de semana estoy en la oficina, ¿verdad?

Security Art Work es, como bien indica su nombre, un blog sobre seguridad; qué les voy a contar a estas alturas de la película… Sobre seguridad entendida como convergencia de aspectos lógicos, físicos, organizativos, y legales, lo que ineludiblemente lo lleva más allá de lo que muchos consideran “Seguridad”, porque no sería lógico limitar el ámbito del blog a una única temática, a un único ámbito de la seguridad, siendo que la seguridad es, sin duda alguna, un “meta-ámbito” con presencia en prácticamente cualquier proceso que quieran pensar, en cualquier ámbito que se les ocurra. No es necesario mirar muy lejos para darse cuenta de que la seguridad, entendida como tener un conocimiento consciente de los riesgos de Internet, es un aspecto que es necesario fomentar en nuestra sociedad, donde cada vez más Internet tiene un lugar preferente.

No se trata de engañar a nadie; en aspectos técnicos, Security Art Work no pretende (ni puede) ser el último recurso informativo para una empresa que, por ejemplo, quiera virtualizar sus servidores corporativos; al respecto, existen infinidad de fuentes especializadas cuya información es mucho más precisa y detallada que la que nuestro blog podría contener. No obstante, eso no quita que podamos servir de punta de lanza, de “primer vistazo” a diferentes tecnologías que pueden no ser conocidas para el lector. Más allá de estos aspectos técnicos, es en las entradas de opinión y gestión donde consideramos que aportamos una información y visión que no es común en los blogs que existen sobre seguridad, aunque por supuesto, siempre hay excepciones (Javier Cao, entre otros, es una buena muestra de que las hay). Por ello, aunque la publicación en Security Art Work está, como en cualquier otro blog y por razones obvias, restringida al personal de S2 Grupo, contamos con la presencia periódica (aunque irregular y menos de la que me gustaría) de “artistas invitados”, que forman parte de la comunidad de interés común en Seguridad de la Información en la que S2 Grupo se desenvuelve. Hasta el momento, hemos contado con las colaboraciones de Dña. Ana Marzo, socio fundador del bufete de abogados que lleva su nombre, y de gran prestigio a escala nacional en el ámbito del derecho en nuevas tecnologías, D. José Ignacio Ruiz, IT Manager de Aviva Servicios Compartidos, y con amplia experiencia en la gestión TIC, o Francisco Benet, consultor técnico con amplia experiencia en el campo de las tecnologías.

Cuando Guardiola ganó ayer la Champions League, parecía que todos los años ganase una, e insiste una y otra vez en que el mérito no es suyo, sino del equipo; las malas lenguas dicen que es falsa modestia, pero francamente, yo no me lo creo. Por supuesto, afortunadamente para H&M, el Barcelona no gana todos los años la Champions League, y eso lo sé yo que soy culé. Nosotros tampoco ganamos todos los días premios por este blog, pero aun sabiendo que —y esta es mi pequeña galletita para el ego— este blog es lo que es en gran parte gracias a mí, lo cierto es que sin las personas que colaboran día tras día, tampoco sería posible. Y eso, de verdad, tampoco es falsa modestia.

No hay mucho más que contar. Lo que ven es lo que hay, y lo que hay es lo que ven. Si vienen de vez en cuando, ya nos conocen; y si no nos visitan, están invitados a hacerlo. Mañana, como no podría ser de otra manera, retomaremos la programación habitual.

(No se pierdan, si pueden, la charla de �?caro Moyano, uno de los fundadores de Tuenti. Ha sido absolutamente deliciosa.)

Tuenti (o porqué les importa tan poco)

19 de mayo de 2009 Por

No sé si recordarán el revuelo que se armó hace unos meses, cuando Facebook decidió cambiar su política de propiedad intelectual, en la que se indicaba que el usuario concedía una licencia irrevocable y perpetua a Facebook para la utilización de cualquier contenido que éste subiese a la red social. Al final, y a causa de las presiones y el mal ambiente que se creó, Mark Zuckerberg tuvo que recular, y efectivamente los términos de uso actuales de Facebook hablan de una licencia “non-exclusive, transferable, sub-licensable, royalty-free, worldwide license”, lo cual es, dentro de lo razonable, asumible.

tuentiImagino que conocen Tuenti, una red social de origen español que está llamada a competir con Facebook, y no sólo en número de usuarios, sino también en el uso de ciertas “licencias”. Podría decirse que estar en Tuenti es hoy en día imprescindible para cualquier universitario o adolescente que se precie. Su funcionamiento es muy similar a Facebook (por utilizar el referente más claro) —incluyendo la *aparente* indefinición de un modelo de negocio claro que sustente los costes de explotación—, pero se diferencia en que el acceso es por invitación, por lo que no existe la opción de crear una cuenta nueva; necesitarás que un miembro de ésta te invite. Esto garantiza que el círculo de contactos con el que te mueves en la red social es similar al del Mundo RealTM y no está lleno de gente que apenas conoces o que ni siquiera has visto en tu vida.

La cuestión es que, interesado por su política de privacidad, hace unas semanas le pedí a una amiga que me invitase, y a los pocos días leía lo siguiente, muy en la línea (pero no tan radical) de la modificación intentada por Facebook hace unos meses [Aviso Legal, Condiciones generales, punto 4, último párrafo; sólo accesible a usuarios registrados]:

El Usuario cede en exclusiva a TUENTI y para todo el mundo los derechos de reproducción, distribución y comunicación pública sobre los contenidos que suministre a través del Sitio Web, así como el de modificación para adaptarlos a las necesidades editoriales de TUENTI, y garantiza además la legítima titularidad o facultad de disposición sobre dichos derechos.

Al parecer, y tal y como reporta Soitu.es, Tuenti ha manifestado su intención de cambiar dicha política, aunque sin fecha determinada: “Estamos trabajando desde hace meses con las recomendaciones europeas, las de la Agencia de Protección de Datos y ahora con los usuarios… con su feedback y nuestro equipo jurídico vamos a hacer los términos más comprensibles“. En cualquier caso, no me preocupan en exceso las implicaciones de dicha política, dado que es de esperar que una red social que vive literalmente de los datos de sus usuarios no abuse de éstos, por todo lo que ello implicaría a nivel de imagen de marca (y por tanto, de publicidad e ingresos). No obstante, el hecho de que algo así (p.ej. utilizar material de usuarios para campañas publicitarias de terceros) no se lleve a la práctica por una simple cuestión de sentido común, no quita que (a) dicha cesión de derechos esté escrita, negro sobre blanco, en el aviso legal de Tuenti, y (b) Tuenti haya considerado en algún momento la conveniencia y necesidad de tales condiciones, siendo toda una declaración de intenciones; algo así siempre deja abierta la posibilidad de uso.

facebookMás allá de abusos, lo que me llama la atención de todo esto es la poca repercusión “mediática” que la existencia de dicha política ha tenido, y en especial si la comparamos con el caso de Facebook que les comentaba anteriormente. Hay varias teorías que barajo al respecto, no excluyentes:

1. Tuenti está formada principalmente por adolescentes y universitarios, más preocupados por estar bien relacionados que el contenido de las condiciones de uso de las redes sociales que utilizan, mientras que Facebook tiene una variedad de usuarios cuyas edades, intereses y preocupaciones es mucho más heterogénea.

2. Los usuarios de Internet del mundo anglosajón y en particular el americano, a pesar de carecer de leyes de protección de datos similares a las europeas, parecen en ocasiones más preocupados con el uso que las empresas de Internet hacen de sus datos que los usuarios hispanoparlantes, “aterrizados” en este mundo con algo de retraso.

3. Tuenti comenzó inicialmente con esas políticas de uso, en algo que puede considerarse un “o lo tomas o lo dejas”, mientras que Facebook ha intentado cambiarlas a posteriori. Esto asume que la situación inversa habría desatado las mismas reacciones en los usuarios de Tuenti, de lo que no estoy seguro.

4. El número de usuarios de Facebook es (creo) sensiblemente superior al de Tuenti, por lo que un 5% alzando la voz en una u otra parte no hacen el mismo ruido. Adicionalmente, el número de blogs, foros, o medios de comunicación que pueden servir de altavoz para quejas de usuarios de Facebook es mucho mayor que en en el caso de Tuenti, por una simple razón de hegemonía lingüistica en Internet y “potencial presencial” de una u otra red social.

5. El esquema de privacidad y derechos de los usuarios, principalmente de los “nativos digitales”, está variando hacia un esquema en el que éstos ceden de buena gana sus derechos a cambio de funcionalidad y gratuidad de uso. No obstante, no debe asumirse que en la mayor parte de las veces dicho canje, en ocasiones al borde de algunas legislaciones, es consciente y voluntario, sino que responde a una despreocupación y desinterés por parte del usuario; será interesante que dirección toman dichos nativos digitales respecto a sus derechos en el futuro, cuando la popularidad comience a rivalizar con la intimidad de la vida personal o profesional (pueden echarle un vistazo a esta entrada, esta otra, o a los libros de Daniel J. Solove al respecto: The digital person. Technology and privacy in the information age, y The future of reputation: gossip, rumor and privacy on the internet).

Por último, un aspecto que me parece extremadamente interesante en todo esto, y que valdría la pena desarrollar en otras entradas, es que el modelo “o lo tomas o lo dejas” que podría argumentarse en el caso de los términos de uso de Tuenti, responde al funcionamiento típico del mundo “analógico” (i.e. o vas con zapatos, o no entras), y no es fácilmente exportable al mundo digital y menos al de las redes sociales, en el que (i) la cesión no es siempre totalmente consciente, (ii) las implicaciones de la cesión no están siempre claras o no son asumidas realmente por el usuario, y (iii) la red social juega con una necesidad creada por parte del entorno social del usuario, que hace que no quepa valorar el “o lo dejas”.

Visionarios

19 de mayo de 2009 Por

visionarios

Por Juanelo

Historias de autenticación

18 de mayo de 2009 Por

fingerprintNo sé si son ustedes conscientes de que si han adquirido un móvil a través de una operadora de telefonía sujeto a un contrato de permanencia, una vez éste ha expirado la operadora de telefonía está obligada a proporcionarles el código de liberación; y les anticipo que si les dicen que el trámite de obtención de dicho código llevará de diez a quince días, mienten. El caso, y lo que es pertinente a esta entrada, es que el pasado sábado llame para realizar dicha gestión “en nombre” de mi pareja (les confieso que obtengo una extraña sensación de satisfacción “conversando” con los operadores telefónicos de los grandes proveedores de servicio como las telecos o energéticas). Lo que me llamó la atención y me dejó descolocado fue que, después de haberle dado a la operadora todos los datos correctamente, incluyendo DNI, nombre y apellidos, IMEI, número de teléfono, marca y modelo, y lugar y fecha aproximada de compra (algo, esto último, que no está escrito en ningún sitio), debió pensar que una voz de hombre no es propia de una mujer, y me pidió hablar con ella. Claro está que la operadora no tenía medio de saber que ella era quien decía ser, pero al parecer, eso la satisfizo, porque un par de minutos después, retomamos la conversación, asegurada ya la autenticidad de mi petición por una voz de mujer que podía ser la de cualquiera.

[Read more…]

Tu hijo usa Chrome (y no sabe qué es el modo incógnito)

13 de mayo de 2009 Por

Se habrán fijado que, irónicamente, la página principal de Google que aparece al acceder mediante Internet Explorer ha sido sutilmente modificada, y ahora aparece la frase “Obtén la nueva versión de Google Chrome, navega más rápido. Instalar Ahora.“, con un enlace al navegador del buscador. Para aquellos que sufren de alergia a los productos de Microsoft, o utilizan otros sistemas operativos, una imagen:

instalarahora

[Read more…]

¿Son Sergey Brin y Larry Page discípulos de Hari Seldon?

15 de abril de 2009 Por

No sé si han leído ustedes la genial y totalmente recomendable serie de novelas de ciencia-ficción Fundación, de Asimov, pero si no es así, ésta tiene como parte fundamental de su argumento a la Psico-historia (no confundir con el término Psicohistoria en tanto que estudio de las motivaciones psicológicas de eventos históricos). Tirando de Wikipedia, según la descripción que hace Asimov a través de Hari Seldon, el personaje creador de dicha “ciencia”:

En un gas, el movimiento de una sola molécula es muy difícil de predecir, debido a los continuos choques con sus vecinas, pero el comportamiento a escala visible de un gas puede ser predicho con gran exactitud. Así, si se aplicaran cálculos estadísticos a una población lo bastante grande […] se podría predecir su evolución histórica y social global con gran exactitud.

Dejando eso claro de antemano, antes de continuar me veo en la obligación de advertirles que esta entrada tiene un nivel, digámoslo así, de imaginación e hipótesis bastante alto, aunque seguro que con lo que les he dicho hasta ahora se hacen una idea de por dónde van los tiros.

Estarán de acuerdo conmigo en que en general, en la actualidad el porcentaje de penetración de Internet en la población dista mucho de ser del 100%; según este estudio, a comienzos del 2007 la penetración media europea de Internet era de aproximadamente un 50%, siendo de un 43% en España. No es de esperar que esos porcentajes se hayan incrementado sensiblemente en un par de años, y si nos vamos a los usuarios “maduros”, como aquellos que no sólo disponen de acceso a Internet, sino que son usuarios habituales de redes sociales, foros, e-mail, buscadores, etc., el porcentaje será muy probablemente bastante inferior. Sea como fuere, por cuestiones de educación, medios económicos o edad, Internet no es aun algo que la mayor parte de las personas consideren imprescindible; casi todos conocemos a alguien que o bien su uso de la Red se limita al correo electrónico, o simplemente no accede a Internet.

Vayamos ahora a un escenario hipotético situado dentro de 50 años. Para entonces, y si el calentamiento global, la gripe aviar, una guerra nuclear, la contaminación, o el impacto de un meteorito no han acabado con nosotros, podemos suponer que la mayoría de personas del llamado “Primer Mundo” habrán nacido con acceso a Internet (si es que ésta sigue existiendo; como he dicho es un escenario hipotético); son lo que Enrique Dans primero Prensky y ahora el Berkman Center for Internet and Society llama “nativos digitales”. Los “inmigrantes digitales” como yo y probablemente usted habremos desaparecido (yo personalmente seré ya un octogenario) o habremos tenido suficiente contacto con Internet para ser considerados “pseudo-nativos digitales”.

Tanto para unos como para los otros, el uso de redes sociales, buscadores, foros, e-mail y engendros varios que vayan surgiendo y desapareciendo a lo largo de los años, en sus respectivos formatos, soportes y dispositivos será totalmente natural y parte de la vida cotidiana. Algo que sin duda alguna dejará una gran cantidad de registros, de la misma forma que cualquier persona activa en Internet hoy en día deja una huella representada en forma de historiales de búsqueda, registros de acceso a web, perfiles en redes sociales, discusiones en foros, opiniones en blogs, enlaces profesionales y personales, etc.

Imaginen que algo o alguien pudiera disponer de acceso a una muestra suficientemente representativa de dicha huella para la gran mayoría de dichos nativos digitales, y le aplicase una versión elaborada e inteligente de lo que hoy es la publicidad contextual de Google, para obtener resultados estadísticos y probabilísticos del comportamiento de la población con un elevado porcentaje de acierto. Dicho de otra forma: ¿sería posible una psicohistoria similar a la que Asimov describe? Por ejemplo, ¿sería posible “predecir” el ganador de unas elecciones democráticas en base al tráfico y contenido de los usuarios de un determinado país durante los días previos? ¿Y una guerra o una revolución? ¿De qué nivel de ciencia-ficción estamos hablando? ¿Es esto un escenario real, o tan solo una hipótesis demasiado fantasiosa?

Les dejo que se lo piensen.

Consultores

31 de marzo de 2009 Por

Antes de nada, déjenme decirles que esta entrada no está particularmente relacionada con la seguridad; es algo que escribí hace bastante tiempo y que quedó en el olvido. Adelantaré, también, que he sido técnico, en sus diferentes variantes, durante aproximadamente seis años; he llevado móvil de guardia y me han llamado a las tres de la mañana por algo que podía esperar al día siguiente; he soportado a usuarios irritantes, he hecho intervenciones de madrugada y he sufrido incompetencias diversas, además de la mía propia. Por razones variadas e interés, hace algún tiempo cambié el mono de técnico por el de consultoría “barra” auditoría, y aquí estoy. Sirva esto como “disclaimer” previo.

Lo que vengo a responder con esta entrada es a esa sensibilidad bastante acentuada, sobre todo en entornos técnicos, que existe contra la tarea de los consultores; la típica ceja levantada “a lo Sobera” y esa cara de incredulidad que una parte del personal técnico pone cuando le presentan un proyecto de consultoría. Estoy seguro que muchos de ustedes conocen algún chiste sobre consultores. Yo me acuerdo particularmente de aquel del consultor que después de utilizar mil y una sofisticadas herramientas para decirle al pastor cuántas ovejas tiene, éste le ofrece que escoja una como recompensa y el consultor elige al perro en lugar de la oveja, demostrando no conocer en absoluto “el negocio” del cliente. El chiste es bueno, aunque la moraleja sea incorrecta. Seguramente, si ustedes son técnicos, sabrán aún más chistes. De eso precisamente quería hablar: de consultores (no de chistes).

La principal crítica que mucha gente le hace a los consultores es que éstos, tras el cobro de una hipotética cuantiosa suma, simplemente trasladan a dirección lo que el empleado “raso” ya sabe: que hay desorganización, que hay que cambiar esto o aquello o que hay que contratar más gente, entre otras propuestas. Pues ni sí, ni no, pero más “no” que “sí”. Y eso es de lo que viene a hablar este post.

Comenzaré diciendo que a nadie se le escapa que cuando se lleva a cabo una consultoría, parte de los problemas detectados son conocidos por el personal, ya que son muchas veces quienes más los sufren. En algunas ocasiones, como consultor y/o auditor, es más que evidente que las personas te “utilizan” como método de amplificación de sus problemas departamentales: recursos técnicos, personal, manera de hacer las cosas, etc.; eso no es nada malo, siempre que sepa uno discriminar entre una queja justificada y una injustificada. Esta es, sin duda, una de las tareas del consultor: informar de los problemas que parte del personal ya conoce, o al menos percibe. La cuestión que surge entonces es: ¿porqué no podría ser ese mismo personal el que realizase esa tarea de “informador”?

Por una parte, se me ocurre que existe una cuestión básica de estructura corporativa. Saltarse la jerarquía interna puede ser sencillo si se trata de una empresa pequeña, o una grande que posee buenos medios de comunicación, una gestión realmente eficiente de Recursos Humanos, y además, hay muy “buen rollo” (eso es importante). Y aún así, como trabajador y si no es una cuestión de problemas con tu responsable, desaconsejaría este tipo de actuaciones por los problemas que puede traer; el “buen rollo” dura poco si cargas contra la gestión de tu jefe; eso puede traer con facilidad malas relaciones, reticencias y “piques” internos, desconfianza, etc. Y si hablábamos de una empresa pequeña o bien gestionada, imaginen una en la que hay poca flexibilidad y la comunicación entre distintos niveles directivos es rígida y poco eficiente. Dicho de otra forma: el consultor no está restringido por esa estructura interna, y menos cuando viene directamente respaldado (como suele o debería ser) por dirección. Puede hablar con quien quiera, y puede ser franco en sus análisis y conclusiones, sin miedo a que se tomen represalias contra él. Y esto es precisamente una de las virtudes que debe tener cualquier consultor/auditor: independencia.

Por otro lado, y esta es una de esas cosas que no se ven, una persona interna afectada directamente por un determinado problema posee de manera involuntaria e inconsciente un componente importante de subjetividad que con toda probabilidad va a influir en la crítica que hace, algo que una persona externa al departamento, sea una entidad independiente o personal de auditoría interno, no tendrá. Quizá tenga razón y es cierto que exista —por ejemplo— un problema de personal, pero quizá no hagan falta dos personas como él sugiere o pretende que se contraten, sino una persona y una mejora de la gestión interna del departamento. Existen multitud de situaciones en las que cada una de las personas de un departamento aporta su granito de arena al problema; quizá su forma de trabajar, planificar el tiempo o gestionar a su equipo sea parte de la cuestión, y es difícil que vaya a ver eso. En este caso, los análisis del consultor serán más o menos acertados, pero no estarán influidos por cuestiones que le afecten directamente.

Por último, pero no por ello menos importante, un consultor tiene la experiencia de su más o menos dilatada carrera, en la que ha visto muchos más casos que el que tiene delante en ese momento. Por ello es capaz no sólo de abstraerse de los problemas concretos y particulares que observa, y ver el bosque en lugar de únicamente los árboles, sino de aportar soluciones que ha podido comprobar que funcionan en otras organizaciones.

Pero aparte de estos temas, que considero que son más que suficientes, hay todavía un aspecto que es también responsabilidad del consultor: analizar aquellos problemas que el personal interno no conoce o no quiere conocer, bien por “conflicto de intereses”, por comodidad o vayan ustedes a saber qué. Y me refiero a la reticencia y resistencia de las personas y organizaciones a cambiar de forma de trabajar; es complicado que detectemos un problema, y además seamos capaces de identificar (y sobre todo admitir) nuestra parte de culpa en él, si su modificación nos repercute en una forma de hacer las cosas con la que nos sentimos cómodos; se trata de una vertiente distinta de aquello de la paja en el ojo ajeno y la viga en el propio. Los cambios introducen una molestia, una perturbación en nuestra rutina diaria, que aunque a la larga puedan ser buenos, no son bienvenidos. Y en ese punto el análisis de una persona ajena al problema es necesario, porque no tendrá que escoger entre las molestias de cambiar de forma de trabajar y las mejoras que eso le supone a la organización. En definitiva, y sin entrar en cuestiones filosóficas, a menudo vemos lo que queremos ver, tanto queriendo y sin querer; las personas estamos tan metidas en nuestra rutina diaria que nos cuesta ver qué hacemos mal y además, asumirlo y cambiar nuestra forma de trabajar.

En la línea de la crítica de que al consultor se le paga por decir algo que ya se sabe, hay que añadir que el consultor no sólo “dice”, sino que lleva detrás un trabajo bastante más elaborado, en el que se encarga de mantener unas reuniones, analizar la información recabada y generar unos informes, algo que lleva tiempo. En realidad, gran parte de las personas que son críticas con la tarea de los consultores se negarían a realizar esa tarea, porque no les gusta, les supondría enfrentamientos con personal interno, y porque eso les supondría una carga de trabajo adicional. Seguramente muchos sabemos cómo cambiar un tubo fluorescente fundido, pero cuando eso pasa en el trabajo, salvo raras excepciones (o necesidades de orden mayor), no lo hacemos; llamamos al electricista. Al fin y al cabo, ese no es nuestro trabajo, no nos gusta, no queremos problemas con el de riesgos laborales, y si al final hay algo más que un tubo fundido, no sabremos qué hacer.

Es así de simple, más o menos.

¿Romper WPA? (¿Aun estamos con esas?)

3 de marzo de 2009 Por

No sé si es debido al par de entradas que Roberto publicó hace unos meses poniendo los puntos sobre las íes en relación con la noticia lanzada por Elcomsoft (en la que afirmaba que era posible romper WPA/WPA2 100 veces más rápido utilizando el poder de procesamiento de GPUs y su producto de recuperación de contraseñas), pero durante los cuatro últimos meses más de 1200 usuarios han llegado a este blog buscando cómo crackear/hackear/romper las claves/contraseñas/hash de wpa/wpa2.

Y no me extraña en absoluto, a la vista de lo que se publica en las revistas de divulgación informática. En concreto, el otro día fui a parar a un artículo de Noé Soriano (director de Comunicación y Marketing de ConsultorPC) en PC Actual, titulado ¿Ya no son seguras las redes WiFi?, que contiene unas afirmaciones que me gustaría comentar. En concreto, todo se resume en la siguiente frase:

Cabe preguntarse si son justas las estrictas normas de protección de datos que se les está exigiendo actualmente a las empresas y organismos, cuando el principal estándar de encriptación comercializado [WPA/WPA2] es perfectamente accesible en pocas horas con unas cuantas tarjetas gráficas en paralelo.
[…]
Este razonamiento, o sistema de medición de la seguridad de las encriptaciones, que cumplía WPA en 1995 cuando se presentó, no parece muy válido actualmente si tenemos en cuenta que en sólo trece años la tecnología de procesamiento ha avanzado tanto como para echarlo abajo con un sistema de ámbito doméstico.

En primer lugar, hay que destacar que ni la LOPD ni el RDLOPD exigen tales “estrictas” normas de protección. Se habla de registros y control de accesos, de cifrado, de copias de seguridad, de caducidad de contraseñas, de seguridad física, todas ellas medidas de seguridad más que razonables, habida cuenta del estado de la tecnología. No cabe, por tanto, relacionar un aspecto con otro, teniendo en cuenta además que la LOPD no es un capricho legislativo sino la aplicación de un derecho de las personas. Ni la ley ni su reglamento requieren la instalación de sofisticados programas, ni dispositivos extraños ultrasofisticados; en general el cumplimiento de las medidas técnicas es bastante sencillo, y son las medidas de carácter organizativo las que son más complicadas de cumplir.

En segundo lugar, la afirmación de que WPA y WPA2 son accesibles en pocas horas con unas cuantas tarjetas en paralelo o con un sistema doméstico es ciertamente gratuita y muy aventurada. En mi opinión, se trata básicamente de un error de concepto. Destaquemos varios datos:

(a) Los procesadores actuales mas potentes (utilizando el algoritmo de Aircrack) pueden a lo sumo barrer 400 palabras por segundo, si no disponemos de la tabla precomputada. Si multiplicamos por 100, tal y como plantea Elcomsoft, tenemos 40.000 palabras por segundo.

(b) Si disponemos de la tabla precomputada, la cual depende del SSID, y por lo tanto no siempre está lista para ser utilizada, podemos incrementar esa velocidad hasta 40.000 palabras por segundo. Si multiplicamos por 100, tal y como plantea Elcomsoft, tenemos 4.000.000 palabras por segundo.

(c) La longitud mínima de una PSK de WPA o WPA2 es de 8 caracteres y el alfabeto manejado es de [A-Za-z0-9Sym32], tenemos (29+29+10+32)8 = 10.000.000.000.000.000 posibles palabras del lenguaje. En el caso medio, por tanto, tenemos 5.000.000.000.000.000 de palabras.

Con estos datos, sí, si disponen ustedes de la tabla precomputada, la PSK es parte de un diccionario, y tienen suerte, efectivamente en unas cuantas horas podrán ustedes explotar la clave de la red Wifi. Y probablemente no les haga falta tirar de Elcomsoft ni de GPUs en paralelo. Francamente, eso pasa con prácticamente cualquier algoritmo de cifrado sobre el que se aplique fuerza bruta, y no dice demasiado sobre su fortaleza. Elijan ustedes ‘patata’ como contraseña de su cuenta de correo y una persona avispada con un poco de vista y algo de suerte la adivinará en cuestión de segundos. ¿Nos da eso alguna información del algoritmo utilizado para cifrar dicha clave? No. Lo único que nos dice es que la persona que eligió ‘patata’ como contraseña no estaba siguiendo buenas prácticas. Y eso es todo.

Escojan una PSK de 12, 16 o 20 letras, números y símbolos, la apuntan en un papel y la pegan con celo debajo del router (entorno doméstico, por supuesto; en el corporativo, en el aplicativo que utilicen para la gestión de contraseñas). Después de todo, no es algo que vayan a necesitar todos los días. La SSID, cojan la que quieran, pero si además se inventan un nombre poco común, aun mejor. Pueden estar seguros de que, hoy por hoy, y con estas simples medidas, su Wifi estará a salvo de cualquier ataque de fuerza bruta o diccionario mediante GPUs… y de que esta es la última entrada sobre el tema en cuestión.

José María tiene una estupenda entrada en su blog dónde indica todo lo que hay que saber para configurar de manera segura tu router.

¿Uifi? ¿Uep? ¿Uvepeá? ¿Y eso qué é lo que é, señor agente?

25 de febrero de 2009 Por

Leía hoy una interesante entrada en el blog de Javier Cao acerca de la falta de concienciación de las contraseñas, y a través de ésta llegaba a la noticia de que la AEPD había absuelto a un usuario denunciado por colgar imágenes vejatorias en la web debido a que éste alegaba que tenía la web desprotegida [bandaancha.eu].

Aparte de algunas anotaciones muy acertadas por parte de bandaancha.eu, como es el hecho de que como indica el abogado David Maeztu, los datos de tráfico de una persona física o jurídica no pueden ser cedidos por una operadora de telecomunicaciones a la AEPD si no es previa solicitud judicial (solicitud judicial que a menudo no existe), me llama la atención que el hecho de tener la Wifi abierta pueda servir de atenuante e incluso ser una razón suficiente para absolver de una sanción de la AEPD.

Al respecto, y sin extenderme demasiado, creo que hay que destacar varios aspectos. El primero es que confiar en que tener la Wifi desprotegida pueda servirte como escudo es como poco jugársela a los dados; yo no confiaría en que la AEPD resuelva siempre positivamente, e incluso si fuese a través posibilidad de un recurso favorable, eso podría suponer unas molestias considerables. El segundo es que, a pesar de la resolución de la AEPD, en caso de tener que enfrentar una acusación de un delito mayor como podría ser pederastia, amenazas, o pertenencia a banda armada (asusta, ¿eh?), no estoy seguro de que este argumento fuese suficiente, sin mencionar las más que previsibles molestias que tal situación acarrearía independientemente de la culpabilidad o no. Tengan en cuenta, no obstante, que no soy abogado y estoy simplemente especulando, por lo que podría estar terriblemente equivocado (o depender del juez y las circunstancias del caso); en definitiva, lo que vengo a apoyar, como ya hice en su momento, es que nadie debería confiar en que tener la Wifi abierta pueda salvarle de un problema si a través de la línea de la que es titular se cometen delitos de cierta gravedad.

Hasta aquí, la cruz. La cara es que, al menos en el caso de Telefónica (por mi experiencia), y apuesto a que esto se cumple en la mayoría de proveedores, los routers de acceso a Internet se proporcionan configurados con el protocolo WEP, totalmente vulnerable y fácilmente explotable en cuestión de segundos por cualquier persona con un poco de interés; nadie con conocimientos técnicos puede alegar desconocimiento de este hecho, y menos el proveedor del dispositivo. Es más, en el caso de Telefónica dicho operador ni siquiera proporciona las claves de acceso al dispositivo, ya que su gestión se realiza por defecto —esto puede cambiarse— a través del portal “Alejandra”, aspecto que no averigua uno hasta que indaga un poco. Me apuesto un brazo con ustedes a que cualquier solicitud de asistencia técnica orientada a incrementar el nivel de seguridad de tu dispositivo (i.e. cambiar de WEP a WPA/WPA2) es (a) descartada directamente por el operador de turno, y/o (b) cobrada rigurosamente, dependiendo de la insistencia (quizá lo pruebe). En cualquier caso, y como es lógico, la mayoría de las personas que disponen de acceso ADSL a Internet carecen de los conocimientos técnicos para cambiar el protocolo de seguridad del router, y aunque uno disponga de los conocimientos (lo que podría representar un problema si el titular de la línea ha modificado la configuración pero no el protocolo de seguridad, aunque en ese caso, volvemos a las mismas), puede alegar que el dispositivo venía configurado con un protocolo vulnerable y que por precaución no lo modificó.

A la vista de las dos opciones, ¿ustedes qué opinan? ¿Es razonable preocuparse por la seguridad de la propia red para evitar delitos por parte de vecinos y/o afines, o no hacerlo es en realidad la mejor medida de seguridad?

(De todas formas, tampoco se fíen. Como ya les comentamos hace tiempo, no todo el mundo e güeno y las cosas no son siempre lo que parecen.)