Según leo en Enrique Dans, ayer hubo una pequeña conmoción en la blogosfera -y sectores más tangibles, como verán- a causa de una información falsa distribuida por Engadget [más, aquí]. Para aquellos que no lo conozcan, Engadget, bitácora dedicada a los “chismes” [gadgets], es uno de los primeros blogs mundiales en volumen de tráfico, levemente inferior al que recibe elmundo.es [OJDInteractiva y Engadget]. No obstante, si tenemos en cuenta la cantidad de contenidos servidos por ambos sitios, Engadget llega a asustar.

Brevemente, ayer alguien hizo llegar a los empleados de Apple un correo electrónico fraudulento que aparentemente parecía proceder de fuentes oficiales de la compañía; en éste se anunciaba que el esperado iPhone y el sistema operativo Mac OS X Leopard se iban a retrasar… un año más. Este correo fue filtrado a Engadget y poco después de su publicación, la cotización de Apple cayó un 4%, lo que es, en los niveles en los que se mueve esta empresa, mucho, muchísimo dinero. Si quieren más información, pueden visitar algunos de los enlaces arriba incluídos, que la cuentan de primera mano. El caso es que muchos medios de la blogosfera, fieles a su ombliguismo, debatían hoy en torno a la fiabilidad de los blogs y la necesidad de contrastar las opiniones.

Personalmente, por muy de acuerdo que esté con la necesidad de contrastar las noticias, tanto en prensa escrita como en prensa digital, este enfoque es incorrecto; es narcisista y egocéntrico, típico de los blogs. Porque el hecho es que Engadget recibió el “chivatazo” de una fuente totalmente fiable, que era un colaborador interno -un empleado- de Apple. No había absolutamente ninguna duda de que la filtración procedía de Apple, así que en realidad a quién se la colaron no fue a Engadget, fue a Apple. Sí, a Apple. Una empresa que sabe jugar como nadie con la ansiedad y expectación que producen sus productos, que dosifica de manera calculada cada detalle que publica, dejó que una información falsa le afectase de esta forma.

Esto no es un problema de fiabilidad o credibilidad de los blogs. No. Más bien, es un ataque de seguridad semántica en toda regla («(…) acciones que implican la adulteración de la información en cuanto a su interpretación por parte de sus destinatarios (…)»). Y que nadie se equivoque; no se trata de una acción casual e inocente, sino más al contrario, intencionada y -no me cabe duda- perfectamente calculada. Alguien ha ganado dinero con esto (y alguien lo ha perdido).

Para acabar, lo que se puede aprender de este incidente es la inmediatez, fuerza e influencia que pueden llegar a tener tanto los medios online como Internet en su conjunto, y la necesidad de contar con herramientas que eviten problemas similares y los detecten cuando se producen, tales como una adecuada formación del personal, sistemas de autenticación de material interno, sensores/escáners de contenido online, y como apunta Enrique Dans, un blog corporativo -convenientemente publicitado y actualizado- donde desmentir -o confirmar silenciosamente- rumores.

El pasado fin de semana estuve viendo por tercera o cuarta vez Casa de Juegos, de David Mamet; confieso que la recordaba mejor. Supongo que en cierto sentido, por eso el poeta cubano decía aquello de No vuelvas a los lugares donde fuiste feliz; nuestra memoria no siempre es fiel a la realidad. La película en cuestión es de hace ya veinte años, en la que Mike (Joe Mantegna) es un timador dispuesto a desvelarle los trucos y entresijos de su “oficio” a una psicóloga (Lindsay Crouse) demasiado curiosa.

En una de las escenas, ambos se acercan a una “tienda” de envío de dinero, se sientan y esperan al siguiente cliente. A los pocos segundos, un marine que tiene que volver a la base entra en el establecimiento. Justo en ese momento, Mike se acerca al dependiente y ostensiblemente se queja de que no hay noticias de su dinero, mientras el recién llegado observa la escena; en realidad, él no sabe que ese dinero no existe. Los siguientes minutos transcurren viendo cómo en una breve conversación el timador se gana la confianza de su víctima, lamentándose de su situación y comprometiéndose a que si su dinero llega antes que el del marine, le pagará el autobús para que pueda volver a la base. Finalmente, como era de esperar, el dinero del chico llega y éste se ofrece a darle parte de éste a Mike. Dinero a un desconocido a cambio de nada. ¿Qué hemos aprendido hoy?, le pregunta él a ella cuando salen del establecimiento (rechazando la oferta). A no fiarse de nadie, contesta él mismo.

No, no teman, no nos hemos convertido en un blog cinematográfico. Pero me pareció que esa escena es una buena forma de mostrar qué y cómo actúa a menudo la Ingeniería Social. Según Melissa Guenther, ésta puede definirse como «la adquisición de información sensible o accesos privilegiados por parte de terceros, a partir de la creación de falsas relaciones de confianza con personal interno de la organización», o en otras palabras, ¿porqué intentar forzar la puerta de atrás cuando pueden abrirte la principal desde dentro? Según esta autora, y para acabar, la ingeniería social se rige por los tres siguientes principios:

(1) El deseo de ser de ayuda,
(2) la tendencia a confiar en la gente, y
(3) el miedo a meterse en problemas (Le entiendo, pero si no me ayuda, voy a tener que dar parte a…).

No vamos a llegar hasta el punto de aconsejarles que, como suele decirse, no se fíen ni de su padre, ni es nuestra intención extender un estado de desconfianza entre las personas, pero por lo general, cuando se trate de temas de seguridad, desconfíen. Esa suele ser una buena política.

Hace unos días, buscando información en Internet, me topé con una herramienta llamada The Dude que se ejecuta en plataformas Microsoft Windows. Al verla no pude dejar de pensar en Nagios y en la solución que podría suponer para ciertos administradores de sistemas que no cuentan (o no quieren contar) con sistemas Linux en los entornos que gestionan.

La herramienta proporciona un mapa de red gráfico que nos indica con un código semafórico el estado del hardware, un sistema de notificaciones mediante pop-ups en el equipo donde reside la aplicación o mediante el envío de correo electrónico. Aunque el número de servicios a monitorizar es (hasta donde ví) muy limitado, es posible parametrizar los existentes y crear nuevos.

Actualmente, la versión estable es la Dude v2.2, pero ya existe en beta la versión Dude v3.0 beta 6. ¿Alguien se anima?

Hay que ver lo que nos esforzamos por no ver las cosas que tenemos delante de las narices. Creo que a veces, por evidentes, resultan complicadas de identificar. Nos gastamos una cantidad de dinero, a veces indecente, aunque por supuesto necesario, en proteger los activos de nuestras organizaciones adquiriendo sofisticados robots para las copias de seguridad, sistemas de detección de intrusos o el último sniffer para el análisis del tráfico de red, y cuando llega la hora de la verdad resulta que no tengo copias porque ha reventado una tubería bajante de aguas grises o negras que, casualidades de la vida, estaba en el falso techo justo encima del rack en donde se sitúa el robot de cintas. ¿Es mala suerte? Evidentemente no. Es muy importante tener en cuenta, a la hora de planificar la ubicación y las protecciones de nuestra sala técnica, considerar que no solo máquinas y sistemas garantizan la disponibilidad de nuestra infraestructura. Intervienen elementos diversos que tenemos que tener en cuenta

Hace algún tiempo recuerdo que fuimos a ver un local que nos interesaba. El local estaba muy bien situado, con una fachada estupenda. Una planta baja con una entrada espectacular y un entresuelo con mucha luz. El local estaba en perfectas condiciones, había sido una clínica privada y estaba muy cuidado. Los muebles prácticamente nuevos, la instalación de red muy correcta -aunque escasa- la instalación de aire acondicionado perfecta y la extracción de aire haciendo plenum en falso techo también muy bien, y de repente empezamos a sentir un olor extraño, una sensación de humedad inexplicable. Nos dirigimos, guiados por las personas que nos estaban enseñando el inmueble, hacia la zona donde estaba la pequeña sala de ordenadores y empezamos a sentir el ruido de un chapoteo a nuestros pies. La zona estaba completamente llena de agua. Había un par de centímetros de agua. Nos acercamos para identificar el punto exacto de la fuga de agua y la imagen fue espectacular, parecía sacada de un libro de “Seguridad Informática”. Era una de esas imágenes que te gustaría tener a mano cuando das una charla o cuando defiendes la necesidad de planificar el espacio para situar los equipos y proyectar las medidas de control y monitorización que deben tener.

Abriendo la puerta de la sala de ordenadores, una sala cerrada con llave -control de acceso- y con un equipo de aire acondicionado independiente, aparecía al fondo un rack con los equipos de comunicaciones que aún estaban en el mismo, los paneles de parcheo y algún equipo de electrónica de red. La sala estaba completamente llena de agua, y un chorro de agua caía de forma continua justo encima del rack con todo los elementos de comunicaciones y donde seguro se ubicaba no hace mucho tiempo los recursos corporativos de la clínica privada. Todos nos quedamos quietos en un primer instante. La imagen era curiosa. De los 700 metros cuadrados que tenía el local se había roto la tubería que pasaba justo por encima del rack que tenía los equipos. Finalmente una de las personas que nos estaban enseñando el local rompió el silencio y dijo lo que todos estábamos pensando: ¡¡Vaya casualidad!! Es la Ley de Murphy.

Y yo les pregunto a ustedes, ¿de verdad creen que es casualidad?

Si no sigues estos consejos, incrementas la probabilidad de perder información o de que te la roben. Siguiendo una cierta tradición de los decaloguistas, pondremos 11.

1. Haz copias de seguridad… y comprueba de vez en cuando que funcionan.

2. Elige contraseñas que no sea trivial suponer (no uses fechas personales, ni tu nombre ni el de tus allegados). Cambia las contraseñas por defecto o las que te den los administradores o los sitios al darte de alta. Cambia las contraseñas regularmente. Usa letras y números combinados.

3. Utiliza un antivirus. Los hay gratuitos y muy buenos. Mantenlo actualizado. Se puede hacer de manera automática diariamente. Instala una aplicación de detección de spyware.

4. Actualiza tu sistema operativo. Aplica los parches de seguridad.

5. No uses Internet Explorer. Usa Opera o Firefox. Deshabilita ejecución automática de cualquier anexo en el correo electrónico.

6. Usa un cortafuegos personal. No dejes conectarse a nadie por defecto. No dejes puertos abiertos sin saber para qué se usan.

7. Deshabilita servicios que no utilices, como el acceso remoto.

8. Si tienes red WiFi, habilita protección WPA. No te conectes a redes que no usen WPA. Cambia la contraseña del router y desactiva el broadcast del SSID.

9. No abras correos con anexos de gente desconocida. Ni de gente conocida que “no entienden de esto” y puede que te pasen algo que les han pasado…

10. No respondas al correo basura. NO les digas que no quieres más correo basura, porque es la manera de que sepan que tu dirección es buena y lees los mensajes.

11. Haz el equivalente digital de lo que harías en el mundo real: no te metas en callejones oscuros, no llames la atención de los delincuentes, cierra la puerta con llave al salir de casa, aunque vayas a pedir sal al vecino, no dejes una copia de la llave en el buzón, etc.

No sé si conocen ustedes el libro The Cuckoo’s Egg, de Cliff Stoll. Teniendo en cuenta que el subtítulo de la obra es Tracking a Spy Through The Maze of Computer Espionage, pueden ustedes imaginarse cual es su argumento; una historia verídica de hackers y espías en la siempre bonita ambientación de finales de la Guerra Fría. Si lo han leído y tienen algo de memoria, seguramente sabrán la solución al pequeño acertijo que les plantearé hoy. Si no lo han leído, sólo puedo recomendarles fervientemente que lo hagan; aunque tristemente el libro no se encuentra traducido al castellano según mis últimas noticias, déjenme asumir, for the sake of this entry [por el bien de esta entrada], que dominan ustedes el que se ha dado en llamar el idioma de los negocios (y de tantas otras cosas).

Les aseguro por otra parte que Amazon no nos da comisión por esta entrada.

Lo que sigue a continuación es una serie numérica que Robert Morris le plantea en cierto momento al protagonista y autor del libro, Cliff Stoll; no por nada se llama la secuencia de Morris. Ésta no tiene en realidad ningún papel en la historia más que como pura anécdota. Confieso que yo fui incapaz de adivinarla y sucumbí a la tentación de Google. así que ya saben por tanto dónde buscar si desisten en su empeño; no será necesario que les desvele la solución. Así pues…

¿Qué número sigue a continuación?

Vía Get Fuzzy, una divertida aproximación gráfica a varios problemas actuales que tiene la seguridad en muchas organizaciones: a) olvidar que un incidente de seguridad puede proceder -y a menudo lo hace- tanto de fuera como de dentro de la organización, b) obviar el necesario análisis previo que sea capaz de identificar todos los riesgos, c) la presencia de lo que en términos anglosajones se ha dado en llamar Security Theater, es decir, la presencia habitual de medidas de seguridad que aportan poca o nula protección pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad, y d) la falta de control sobre las medidas de seguridad implantadas (fíjense en que estos supuestos “controles de seguridad” están conectados *fuera* de la habitación).