¿Desliz, fallo del procedimiento o ataque de Ingeniería Social?

12 de marzo de 2008 Por

Soy de la sincera opinión de que las entidades bancarias tienen un verdadero compromiso con la seguridad, tanto a nivel técnico, organizativo, físico, como en cualquier otro ámbito que quieran imaginarse, y tengo la certeza de que invierten una cantidad de dinero nada despreciable para mantenerse a la altura que les corresponde, teniendo en cuenta lo que gestionan y lo que se juegan. Como diría aquel, más les vale. Pero, y aquí llega el esperado pero, este tipo de organizaciones, que aparte de una matriz central tienen una nada despreciable cantidad de sucursales (unas más, otras menos), son el ejemplo paradigmático de lo complicado que resulta aplicar políticas realmente seguras —y justificadamente restrictivas— a entornos “distribuidos”, y asegurar que éstas se cumplen siempre.

Digamos que tengo un amigo. Y digamos que por circunstancias que no vienen al caso, ayer éste necesitaba disponer de una copia de la escritura de su hipoteca. Puesto que trabaja, vamos a suponer, en el centro de Valencia, y pensando en evitar el desplazamiento a su oficina, llamó a su sucursal y preguntó si le podían enviar dicha documentación por fax o correo electrónico. La persona que le atendió, después de escuchar el problema, le indicó que podía enviarla por valija interna a una oficina próxima a su trabajo; eso parecía una solución razonable en ese momento, así que tras verificar telefónicamente el nombre y DNI, quedaron en eso.

Media hora después, recapacitando, mi amigo pensó que realmente, recibirla por fax en su empresa seguía siendo lo más cómodo, y que probablemente podían llevarse a cabo los necesarios controles para verificar su identidad, así que volvió a llamar, pero en este caso le atendió otra persona diferente. Tras explicarle brevemente la cuestión, acordaron dejar de lado la valija interna, y enviarla por fax, y así se hizo; diez minutos después la recibía en su oficina, en este caso sin haber sido verificada la identidad del llamante, es decir mi amigo.

Esto podría considerarse, desde el punto de vista más optimista, la escenificación de un ataque de Ingeniería Social, en el que fallan algunos mecanismos de control. En la primera llamada el atacante se identifica telefónicamente con dos datos básicos y no es posible verificar completamente su identidad, pero puesto que el medio final de entrega es completamente seguro, ya que recae en la verificación presencial y documental del DNI, eso no es necesario. En la segunda llamada el atacante, al explicar el problema, hace que el interlocutor compruebe que la documentación está efectivamente en la bandeja de la valija interna, el que asume que su compañero ha verificado previamente (y de modo exhaustivo) la identidad de mi amigo y procede a enviar la documentación por fax sin más que preguntar por el número destino.

En segundo lugar, tenemos un punto de vista algo menos optimista, que atribuye este problema a un “desliz”, un error humano, que de vez en cuando pasa, pero que no es sencillo reproducir “bajo demanda”. Y finalmente, llevando esto a sus últimas consecuencias, tenemos el punto de vista más pesimista, que es considerar ese como el procedimiento habitual.

Dejando al margen que la oficina le hizo un inmenso favor a mi amigo evitando ese desplazamiento, ¿qué opción creen ustedes que es la correcta?

Un esquema temporal del estado de la seguridad

5 de marzo de 2008 Por

Hace unos meses, como parte del trabajo en seguridad que habitualmente realizamos, nos vimos en la obligación/necesidad de desarrollar el esquema gráfico que les muestro en la imagen inferior, cuya versión es la 1.0. Como pueden ver, en éste se relacionan entre ellos, de una manera temporal, y desde el punto de vista de la seguridad, la aparición de reglamentos y leyes, la creación de nuevos organismos y entidades, incidentes, amenazas de seguridad, y el surgimiento de avances tecnológicos. Sin duda faltará alguno, y quizá disientan en algún punto (¿Windows Vista, como amenaza o avance tecnológico?), pero lo considero una buena aproximación a la evolución del estado del arte en materia de seguridad. Tengan en cuenta, a la hora de estudiar el documento, que la escala temporal no es aritmética, y que a medida que nos movemos hacia el futuro, buena parte de los activos pasan de ser tangibles a intangibles por lo que las amenazas e incidentes varían.

Aunque en un principio pensé en incluir una marca de agua en el documento, no me gustaría que eso disuadiese a ninguno de ustedes de utilizar el documento en algún informe o presentación (por pretencioso que eso pueda sonar); de hecho, como verán las referencias a la fuente son suficientemente pequeñas para no resultar agresivas en un entorno corporativo “ajeno”. En cualquier caso, confío en que, teniendo en cuenta la licencia bajo la que se distribuye, si lo utilizan y lo modifican tendrán la cortesía de mencionar la fuente.

Por último, se agradecerán todas aquellas sugerencias y modificaciones que se les ocurran, y por mi parte, me comprometo a publicar de manera periódica (¿cada dos meses?) una actualización del documento, siempre que hayan habido cambios. Pueden descargarse el fichero, en formato PDF, de este enlace o pinchando en la imagen.

Actualización 06/03: El fichero (y parte de este post) ha cambiado ligeramente, incluyendo una leyenda con la versión y fecha del documento (1.0, 06/03/08).

Bug en el kernel de Linux

11 de febrero de 2008 Por

Aunque como dicen allá, muchos de ustedes ya lo sabrán, leo en Kriptópolis que se ha descubierto una vulnerabilidad crítica en el kernel de Linux, que permite a un usuario interno obtener privilegios de root; efectivamente, lo hemos probado y funciona. El código fuente del exploit puede encontrarse en Security Focus, así como versiones afectadas.

Afortunadamente, existe un parche oficial, del que ya se ha sacado una segunda versión.

Ya tienen trabajo para mañana. O para esta noche.

“We’re under attack”

8 de febrero de 2008 Por

No sé si se acuerdan de lo que les comentamos hace algún tiempo en relación con esas páginas en las que, a cambio de tu usuario y password de MSN, te dicen quién te tiene bloqueado en su MSN. O eso afirman ellas, porque el propósito final al parecer es muy diferente, según lo visto: generar spam (que es desde luego, casi lo más benigno que se puede hacer).

No vamos a repetir lo mismo que les dijimos aquella vez, pero al parecer, a raíz de una entrada en Genbeta (posiblemente inaccesible en estos momentos; su reproducción puede verse en el blog de Enrique Dans, a partir del cual he conocido la noticia) que advertía del peligro que supone dar este tipo de información a desconocidos, dicho blog, propiedad de Weblogs S.L., está sufriendo un ataque distribuido de denegación de servicio desde el pasado 3 de febrero.

Creo que ya lo he dicho alguna vez, y lo repito. Es un error pensar que este tipo de cosas las hacen cuatro mataos. Nada más lejos de la realidad. Estas cosas están bien organizadas, y sus responsables gestionan en la sombra (y no me refiero a la cárcel) una cantidad de recursos (botnets) en ocasiones nada despreciable, a los que muchas veces simplemente no es posible hacerles frente. Así de simple, y así de duro.

Nada más por esta semana. Para la que viene, entre otras cosas, tenemos la continuación de la serie sobre WPA-PSK de Roberto, y empezaremos a entrar en detalle con VoIP. Como siempre, pasen un buen fin de semana y nos vemos el lunes.

Actualización 09/02: Al parecer, algún otro weblog de Weblogs S.L., blogs relacionados con ellos (Error500.net, por ejemplo) y Menéame.net (directamente de su FAQ, una web que te permite enviar una historia que será revisada por todos y será promovida, o no, a la página principal) están sufriendo ataques de DDoS. Meneame incluso parece estar sufriendo algún tipo de extorsión por parte de los autores del ataque, por lo que cuentan en su blog, que se extendería a todas aquellas webs afectadas.

Actualización 10/02: Genbeta ya funciona de nuevo.

Actualización 11/02: Ricardo Galli da una explicación del ataque, procedencia, autores, y demuestra que como suele decirse, el mundo es un pañuelo: enlace.

La convergencia de la seguridad (I)

6 de febrero de 2008 Por

Como les adelanté el pasado 28 de enero, nuestro compañero Antonio Villalón —que debería prodigarse más por estos lares— participó vía videoconferencia en el I Foro Latinoamérica Sistemas, Tecnología, Comunicaciones. A continuación, y a la espera del video de la ponencia, tienen el documento de la presentación que realizó, que pueden bajarse si lo desean de su página personal (donde encontrarán material adicional), o de este enlace (PDF, 360Kb).

Security thru obscurity en el sector de la automoción

1 de febrero de 2008 Por

Probablemente conozcan un principio utilizado principalmente en el mundo de la seguridad informática, denominado “Seguridad por oscuridad”, que es la traducción del homólogo inglés “Security thru obscurity“. Básicamente, consiste en ocultar los detalles de diseño e implementación —entre otros— de un programa o dispositivo, consiguiendo (o pretendiendo conseguir, al menos) que el producto actúe como una caja negra y por tanto sus potenciales puntos débiles no puedan ser, o sean descubiertos. Pueden obtener más información de la Wikipedia [versión completa del artículo en inglés].

Por lo general, esta suele en la gran mayoría de los casos, una mala política, porque con lo ancha y vasta que es Internet, siempre hay alguien que acaba descubriendo esos puntos débiles. Entonces es cuando decimos que una vulnerabilidad esta siendo explotada “in the wild” (y eso suele ser malo). Es decir, que gracias a las prácticas oscurantistas de la compañía X, el servidor del señor Juanito queda expuesto a los ataques del señor Luisito, que conoce los problemas de seguridad que la companía X ya sabe pero no quiere decir. Ya se imaginan el resto.

Y esto venía a cuento porque la semana pasada, viendo la televisión, aparecía en un programa un sujeto cuya cara aparecía convenientemente oculta, mostrando diversos métodos para robar coches, todos ellos (los métodos) aparentemente muy sencillos y de fácil aplicación (aunque les confieso que no me he puesto a ello ni tengo intención de hacerlo, la verdad; yo ya tengo coche y a mi lo ajeno me produce mucho respeto). Y lo que ví, aparte de mostrarme —como era de esperar— que lo que les he contado en el primer párrafo no sólo se aplica en el ámbito de la informática, sino que se encuentra en otros muchos ámbitos de la “vida real”, me dejó con la duda de si los dueños de Audis TT —por ejemplo— son convenientemente informados de las “vulnerabilidades” que tienen sus automóviles en cuestión de seguridad y finalmente, si, oponiéndome al principio que les comentaba, yo debería decirles aquí cómo robar un Audi TT.

Como era de esperar, he decidido que no. Primero, porque me da cosilla hacerlo. Y segundo, porque sin una prueba de concepto, a ver quién se lo cree.

Nada más. Como siempre, pasen un buen fin de semana.

In God Google we trust

29 de enero de 2008 Por

[Hemos decidido, para incrementar la participación en el blog, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones.]

Ayer por la mañana amanecí con la noticia de FACUA de que “Protección de Datos confirma que la lectura de los correos de los usuarios para mostrarles publicidad personalizada vulnera la legislación española y comunitaria“, en patente referencia a Gmail. Esta misma noticia también ha aparecido en ALT1040, EuropaSur, y seguramente a estas alturas habrá aparecido ya en muchos otros sitios. He demorado este comentario por tres razones: la primera, por falta de tiempo; la segunda, porque Fernando se me adelanto con la entrada a propósito del escándalo de Société Générale (entrada que quizá no he dejado reposar demasiado); y la tercera, para poder encontrar argumentaciones convincentes, aunque a muchos no se lo parecerá.

Y es por esta tercera razón por donde voy a empezar, porque está claro que GMail es actualmente y con toda probabilidad el mejor sistema de correo electrónico gratuito que existe. Es eficiente, es rápido, está bien pensado y tiene una capacidad con la que, como bien publicitan, probablemente no te haga falta borrar un correo nunca más. Por ello, no es extraño que cualquier comentario en contra de GMail suela despertar un aluvión de críticas; es en mi opinión algo razonable; y es que como ya hecho en anteriores ocasiones, insisto que a título personal, soy un usuario de Google y GMail.

Lo que voy a hacer a lo largo de esta entrada es destacar algunos puntos que me parecen de interés en relación con GMail (aunque asumo que puedo estar equivocado en más de uno), y que intentan mostrar que no porque un servicio sea bueno y gratuito hemos por ello de venderle nuestra alma; Google no es al fin y al cabo una ONG ni una “Fundación por un correo electrónico mejor”, sino una empresa que presta un servicio con el cual hace negocio, y eso al menos debería mantener alerta nuestro espíritu crítico; piensen qué pasaría si Telefónica adoptase algunas de las políticas de Google en cuestión de privacidad (y no, el nivel de satisfacción del usuario no es un factor a considerar en la gestión de los datos de carácter personal, o DCP en adelante). Antes de empezar, advierto que quizá esta entrada sea algo larga, pero creo (es más una esperanza que un creencia) que no se les hará pesada:

[Read more…]

Sistemas SCADA

25 de enero de 2008 Por

¿Se acuerdan de aquella entrada sobre los potenciales problemas de seguridad (y sus consecuencias) de los sistemas SCADA? Aquel texto fue reproducido en Kriptópolis y despertó varias suspicacias por su aparente nivel de alarma; algunas de las quejas apuntaban al típico “no seamos paranoicos”, al “estamos viendo fantasmas”. Por supuesto, crear alarma injustificadamente no era ese el propósito de aquella entrada ni de ninguna otra.

Al parecer, según informa Steve Bellovin en su blog, y de acuerdo a información de la CIA, grupos de hackers han sido los responsables de la pérdida de fluido eléctrico en varias ciudades extranjeras, como parte de una trama dedicada a la extorsión. Me atrevo a decir que Barcelona no es una de ellas; eso sería genial como excusa desde algún punto de vista político, aunque sin duda traería mucha más cola desde otros; una cosa es tener problemas de dimensionamiento, y otra saber que tu red eléctrica está completamente a merced de los delincuentes; a mí al menos esto último me asusta mucho más. Como apunta Bellovin, aunque es obvio que las redes de este tipo de servicios no deberían estar conectadas a Internet, esto no siempre es posible; a veces por requisitos funcionales, y a veces incluso por un exceso innecesario de innovación y/o publicidad. Esta es sólo otra noticia más en relación con sistemas SCADA y cómo los problemas de seguridad tienen consecuencias en la vida real (ver opinión de Bellovin al respecto).

Por otro lado, si quieren leer una opinión algo más escéptica sobre estos ataques energéticos y las declaraciones de la CIA, les remito a la entrada de Bruce Schneier, con cuyas opiniones estoy últimamente en desacuerdo (véase su artículo sobre Wifis abiertas y lo que escribimos aquí sobre ello).

Y eso es todo; estamos estos días envueltos en S2 Grupo en un proceso de certificación de la ISO 9001 y recertificación de nuestro SGSI (ISO 27001), por lo que pueden imaginar que el tiempo que podemos dedicarles es más bien escaso (y aún así, aquí seguimos).

Como siempre, gracias por seguir leyéndonos, pasen un buen fin de semana y si es posible, nos vemos de nuevo el lunes.

Google lo sabe todo. Y no olvida.

23 de enero de 2008 Por

Si siguen este blog, ya conocen nuestra pequeña y particular obsesión por Google (y si no, ya lo saben). Eso no quita, por supuesto, que un servidor (yo) utilice sus servicios tanto como lo necesite; el hecho de que Google conozca mis hábitos de navegación, tenga acceso a mi correo de Gmail, o sepa quién y cuando accede alguien a mi blog personal les confieso que no me quita el sueño; quizá porque asumo que no hay nada en todo ello que le pueda ser interesante a Google, más que desde un punto de vista publicitario (siempre por supuesto en un ámbito personal, ya conocen aquello de “en casa del herrero…”). También es cierto que en algún momento de mi vida tuve una relativa preocupación por la indexación y almacenamiento que este buscador realizaba de los grupos de discusión (Usenet News), debido a mi por aquel entonces habitual costumbre de enzarzarme en discusiones estériles y nada sensatas con otros usuarios de estos grupos. Eso y otras cosas hicieron que decidiese añadir una etiqueta CONTENT=”NOARCHIVE” a toda aquella información que vuelco en mi página personal; esto no evita que Google (y otros motores de búsqueda) indexe los contenidos, pero sí que los guarde en caché, dándome la libertad de poder eliminar o cambiar cualquier texto en cualquier momento. Claro que siempre quedan aquellos robots menos educados, o los servicios de lectura feeds, pero dejemos eso para otro momento.

En resumen, cuando uno dispone de un acceso total a los medios de publicación, tomar algunas precauciones es sencillo (y recomendable). Pero esto cambia radicalmente cuando es un tercero quien publica estos datos. Entonces, esta información está accesible a cualquiera que tenga acceso a Internet gracias a Google, hasta que la fuente original decida eliminarla, algo que no siempre es tan fácil como cambiarle el nombre a un fichero. Y no se trata de cuando alguien decide publicar información que uno mismo hizo públicamente accesible en por ejemplo un blog personal, como comentamos aquella vez, sino de cuando es un tercero que sin autorización y en ocasiones con todo el respaldo legal, publica algo que a nosotros nos gustaría ocultar.

Este es precisamente el problema que refleja el reportaje que inspira esta entrada: que si sales retratado en el BOE por alguna sanción de cualquier tipo (como por ejemplo orinar en la calle), seas inocente o culpable, prepárate a que tus amigos, familiares, compañeros de trabajo, futuros jefes, o alumnos (como en este caso), sepan qué y cuando lo hiciste. La parte buena de todo este asunto es que la AEPD ha resuelto a favor del “demandante”, y exige a Google que elimine los datos de su buscador. La parte mala del asunto es que Google no entiende de exigencias, y aunque no ha dicho que no lo vaya a hacer, ya ha añadido que aunque los borren, volverán a aparecer; es decir, la típica política del buscador basada en la respuesta “me da igual lo que me digas, seas quien seas, aunque podemos hablar de ello, si te sientes mejor” a cualquier petición de cualquier tipo, sea legítima o no.

Pero no me gustaría enzarzarme con Google, que sin duda podría admitirse que comparte parte de la culpa, sino que prefiero apelar a la incapacidad de muchos organismos gubernamentales para entender cómo funciona Internet y en particular los motores de búsqueda. Seamos claros: Google no lo indexa todo, sino que como la mayor parte de los grandes buscadores, proporciona herramientas que evitan que ciertas partes de una web se indexen y se almacenen; para empezar, el fichero robots.txt y las etiquetas meta NOINDEX y NOARCHIVE. Aún así, aunque no entendiese de restricciones, y esto aplica a aquellos motores de búsqueda menos educados, existen innumerables medidas para que ficheros que deben ser electrónica y públicamente accesibles lo sean, sin que los buscadores los vean: a bote pronto, páginas protegidas por contraseña, captchas para acceder a repositorios documentales, o servir los documentos previa petición interactiva y distribución de éstos mediante URLs temporales. Entiendo que es complicado admitir que un gobierno soberano tenga que plegarse a las técnicas y funcionamiento de las grandes corporaciones, pero por una parte, lo hacen a diario con las eléctricas, financieras, fabricantes de automóviles, etc., y por otra, mientras no se alcance una solución, el deber de ese gobierno es velar por la protección de los datos de sus ciudadanos. Porque una cosa es que cualquiera pueda saber que tú orinaste en la calle buscando y leyéndose el BOE correspondiente, y otra que Google se lo diga en su primer resultado de búsqueda.

Para acabar, la moraleja de esta entrada está muy clara: no orinen en la calle, por lo que pueda pasar.

Actualización 13h: Me comenta Fernando Seco que no está completamente de acuerdo en que Google tenga que eliminar dichos datos de sus búsquedas, puesto que los BOE y otros documentos gubernamentales son accesibles públicamente. Además, añado yo que probablemente Google no almacena los datos del BOE, sino que sólo los indexa y organiza, por lo que de algún modo, podríamos decir que la responsabilidad de que éstos sean indexados por Google recae toda o casi toda en el organismo que los publica, y no en el gigante norteamericano. ¿Ustedes qué opinan?

(Por cierto, el pasado 19 de enero se publicó el nuevo Reglamento de la LOPD (PDF). Permítannos un tiempo para analizarlo y ya les comentaremos.)

¿Steal my Wi-Fi? No, thanks.

11 de enero de 2008 Por

Comentaba Enrique Dans hoy un artículo de Bruce Schneier en Wired, titulado “Steal This Wi-Fi“. Básicamente, éste (Schneier) viene a defender los argumentos por los que tiene su Wi-Fi abierta a todo aquel que quiera utilizarla, y aunque algunos de los argumentos me parecen correctos, con otros discrepo profundamente, así que no me he podido resistir a escribir algo. Aprovecho además para recomendar a nuestros lectores, habituales y esporádicos, que si han decidido no dejar abierta su Wi-Fi, cambien de WEP a WPA, sí o sí. Las molestias del cambio es mínimo, y el incremento en seguridad, muy sustancial (vean este artículo del propio Schneier si no se lo creen, como apunta un comentarista por allá).

Pasando al artículo, el primer y creo que principal argumento de Schneier para dejar la Wi-Fi abierta es la cortesía con los invitados; si alguien recibe calefacción, agua y una taza de café, ¿porqué no Internet? Admito que el argumento es correcto, pero en mi caso, nunca he tenido un invitado que haya tenido la necesidad de acceder a Internet con su propio dispositivo, por lo que esa cuestión nunca se me ha planteado. Por supuesto, si de manera frecuente tuviese amigos que necesitasen acceso a Internet, me plantearía alternativas. También afirma, en referencia a la seguridad de los datos propios, que, puesto que se conecta a menudo con Wi-Fis de aeropuertos y hoteles, la seguridad debe residir en el PC, y no en la red. Estoy de acuerdo, pero no es mi caso; apenas utilizo el ordenador cuando no estoy en casa, y no acostumbro a usarlo en hoteles o aeropuertos, por lo que la exposición de los datos que conservo en éste a terceros está limitada por elementos que controlo: la red y el propio PC. Si tuviese que viajar a menudo, me abstendría de utilizar servicios como la banca electrónica u otros en los que el dispositivo es un mero transmisor; llámenme paranoico si quieren. Por último, hablando del robo de ancho de banda, estoy de acuerdo en que resulta más una molestia que otra cosa, excepto en aquellos casos en los que la otra persona decide abusar de tu generosidad; que alguien te quite ancho de banda no supone demasiado, la verdad.

Hasta aquí, los argumentos en los que puedo estar más o menos de acuerdo o no se aplican a mi caso. Sin embargo, hay otros con los que estoy mucho menos que de acuerdo, y hay uno en particular que es para mí, la principal razón para evitar tener tu Wi-Fi abierta. Éste se basa en la posibilidad de que alguien efectúe actos delictivos mediante tu equipo: pornografía infantil, estafa, intrusión en empresas, etc. Alguien puede pensar que el hecho de tener tu Wi-Fi abierta puede servir como defensa frente al juez, algo así como un “yo no he sido”. Este es un argumento más defendido por Dans que por Schneier. El caso es que a no ser que a las tres de la mañana entren en tu casa los GEOs y confisquen de repente todo tu equipamiento informático, si un buen día recibes una citación judicial, iba a ser complicado un mes después convencer al juez de que tu Wi-Fi se encontraba abierta. Es algo como decir que te habían robado el coche cuando te llega una multa dos meses después de la infracción. No conozco demasiado el sistema de registro de los Access Points, pero me juego un brazo a que no guardan en una memoria no volátil las modificaciones en la configuración (para demostrar, por ejemplo, que el proveedor te lo instaló abierto en origen), y me juego el otro a que nadie o casi nadie tiene configurado el sistema de syslog del Access Point, que por otra parte esté probablemente muy limitado en el tipo de eventos que genera. Y aún en el caso de que el juez admitiese que el Access Point estaba abierto, te tocaría demostrar que efectivamente, no has sido tú el autor de las acciones delictivas (lo más normal es que tus potenciales vecinos se desmarcasen del uso de tu Wi-Fi, si ven el panorama feo). En definitiva, que lo más posible es que acabes delante de un juez, lo que te robará tiempo, dinero, te meterá en un lio que puede ser considerable, y si el juez en cuestión decide que puesto que la conexión está a tu nombre por contrato, te toca apechugar con la culpa, te costará más dinero o cosas peores.

Por último, se hace mención a los problemas (actuales o futuros) que puede tener WPA, y en esto también incide Dans más que Schneier, que es muy consciente de las fortalezas y debilidades de WPA. Por supuesto que WPA tiene sus limitaciones de seguridad; básicamente igual que muchas tecnologías y protocolos seguros, pero eso no es suficiente para afirmar, como dice Enrique Dans, que no sirve para evitar el crimen por sus problemas de seguridad, que es lo mismo WPA que nada. No. Quizá WEP sea casi lo mismo que no tener nada (y ni aún así), pero WPA es lo suficientemente seguro para que no sea nada nada fácil romperlo si se hace uso de una clave robusta. De hecho, hay que tener mucho interés, bastante tiempo y unos no despreciables conocimientos técnicos para intentarlo; y eso no asegura que se consiga. Y si pasamos a WPA2, les puedo asegurar que pueden dormir tranquilos. Por supuesto que tiene sus limitaciones y saldrán problemas técnicos en el futuro, al igual que los tienen el ssh o el https, pero eso no evita que sigamos utilizando la banca electrónica, ¿verdad?

En mi opinión, aunque tener tu Wi-Fi abierta es un signo de generosidad hacia otras personas, y algo que algunos agradeceríamos cuando nuestro proveedor decide cortarnos la conexión un sábado por la mañana, puesto que después de todo desconocemos que hace “el otro” a través de tu AP, creo que los riesgos exceden las ventajas, aunque después de todo es una decisión personal. No es cuestión de pensar que todo el mundo es malo, pero tampoco que todo el mundo es “güeno”. Simplemente porque meterse en un proceso judicial, aunque salgas indemne, debe ser ya de por sí algo bastante traumático (y costoso). Y tampoco se fíen, en el lado contrario, y como les decía José Selvi hace unos días, de todo aquel que tiene su red abierta, porque no todo es lo que parece.

El lunes, más. Como siempre, pasen todos un buen fin de semana.