Un lugar seguro donde comunicarse

Tristes acontecimientos como los sucedidos en París tienen un gran impacto en la sociedad. Como efectos positivos, este tipo de desgracias suscitan que paremos nuestra rutina diaria para reflexionar sobre las causas y las repercusiones de estos lamentables sucesos. Se establece una ola de solidaridad global, muy intensa en los comienzos y que tendrá eco durante un periodo más prolongado.

De la misma forma que se realizan las reflexiones individualizadas y se convierten durante días o semanas en el foco de las charlas con amigos, compañeros de trabajo o familia, también los altos mandatarios analizan, reflexionan, consultan a sus asesores y sacan sus conclusiones. Entre las responsabilidades que están asociadas a sus roles están además las de decidir aquellas medidas que permitan evitar o disminuir los efectos que provocan dichos incidentes. Para eso han sido elegidos y esa una de las principales obligaciones de los gobernantes: proteger el país.

[Read more…]

El defacement del año

Sin duda a estas alturas casi todos sabemos cual ha sido el defacement más sonado del año 2012: el del Cristo de Borja. A finales del pasado mes de agosto, cuando muchos estaban aún disfrutando de sus vacaciones y el resto acababan de volver al trabajo, saltó a los medios el caso de Cecilia Giménez, una intrépida hacker que, desafiando a una de las mayores organizaciones del mundo, decidió restaurar la imagen del eccehomo de la iglesia del Santuario de Misericordia de Borja (Zaragoza), una obra de arte -por cierto, bastante desconocida hasta ese momento- de Elías García Martínez.

Se trató de un incidente que podríamos clasificar como un acceso no autorizado con modificación y/o corrupción de datos, que no implicó fugas de información y con un origen plenamente identificado; la fase de contención se ejecutó de forma inmediata y la de recuperación, si es que se ejecuta, aún llevará su tiempo. Algunas reflexiones (¿esto es la fase de lecciones aprendidas?) sobre el incidente:

  • Un incidente no tiene por qué estar motivado por una acción malintencionada: en ocasiones es causado por alguien que realmente no quiere causar ningún daño. Doña Cecilia no ha pretendido en ningún momento dañar la imagen, todo lo contrario: la restauró ella misma porque nadie prestaba atención al deterioro del Cristo de Borja.
  • Personal interno a la organización (un insider) fue colaborador necesario para la materialización del incidente, de nuevo sin mala intención: el trabajo de Doña Cecilia era conocido por el párroco y contaba presuntamente con su aprobación. Es necesario definir quién puede autorizar qué en cada caso, ya que el defacement era en principio una acción autorizada aunque, seguramente, por alguien sin la autoridad necesaria dentro de la organización.
  • Un incidente a priori de criticidad baja desde un punto de vista técnico puede convertirse en algo crítico desde el punto de vista reputacional, en especial cuando se difunde a la opinión pública: poca gente conocía el Cristo de Borja antes de la restauración y desde luego, si no hubiera tenido tal repercusión mediática, este incidente no habría pasado de una simple anécdota en el pueblo… Por este motivo, la relación con los medios de comunicación en los incidentes que saltan al público debe estar contemplada en los procedimientos corporativos de gestión de incidentes; en estos casos debe establecerse un interlocutor válido con los medios por parte de la organización afectada, que canalice de forma adecuada la información remitida a éstos.
  • Si tan importante -artísticamente hablando- es ese Cristo… ¿se habían desplegado salvaguardas adecuadas para su protección? ¿Se habían analizado los riesgos a los que estaba expuesto el Cristo de Borja? ¿Las salvaguardas han fallado porque es muy compleja la protección de estos bienes o porque realmente en este caso se decidió no invertir más de lo estrictamente necesario?
  • Si realmente la pintura no es tan importante, ¿por qué ahora se va a dedicar tiempo y dinero a su restauración (cosa que no se hizo antes)? ¿No estaremos invirtiendo más en protección que el valor de lo protegido? ¿Por qué no nos planteamos dejar al Cristo como está?
  • Al hilo de lo anterior, una situación negativa pero convenientemente tratada se convierte en una ventaja. A partir de la restauración han surgido iniciativas que, bien gestionadas, seguramente repercutirán de forma positiva en el pueblo (mucho más de lo que habría repercutido la integridad del activo atacado).
  • Ya para acabar, sería interesante analizar las diferencias entre el defacement físico y el virtual (modo convergencia ON), en especial en lo referente a la restauración de los datos alterados :)

Para acabar, quiero expresar mi total apoyo a la restauradora, Cecilia Giménez; ella solita ha conseguido para su pueblo lo que, seguramente, ninguna campaña turística de ese ayuntamiento (que incluso analizó emprender acciones legales contra su vecina) habría conseguido jamás. Y eso que no pudo acabar su obra porque, según ella misma explicó, le salió un viaje a Albarracín :)

FOTO: Centro de Estudios Borjanos

Monitorización mediante tatuajes

Una reciente noticia en Wired informa de un sistema que permite monitorizar, mediante el uso de tatuajes con nanosensores , parámetros médicos como, por ejemplo, la concentración de sodio o el nivel de glucosa en sangre de una persona, sin necesidad de hacer una extracción.

Curiosamente, el dispositivo utilizado para realizar la medición es un iPhone o, lo que es lo mismo, un ordenador de mano multipropósito con interface táctil. Con la cada vez mayor ubicuidad del acceso a Internet (¿alguien duda de que, en poco tiempo, estaremos siempre conectados?), el dato se puede llevar a cualquier otro sitio de la red para su procesamiento, almacenamiento y, en su caso, actuación.

El método se ha probado en ratones de laboratorio que, por cierto, muestran una imagen curiosa a través del iPhone.

Las tecnologías convergen para permitirnos aplicaciones que, desde luego, cambiarán nuestras vidas. Por un lado, los nanoreceptores, basados en principios como la afinidad molecular, permiten la detección de pequeñas concentraciones de cualquier sustancia, en tiempo real, sin necesidad de realizar los clásicos análisis basados en concentración de la muestra y reacciones químicas que requieren intervención manual y tiempo.

La interacción de los receptores con las moléculas detectadas producen cambios en alguna propiedad (acidez, color) que son detectados por un transductor que las transforma en corrientes eléctricas y, a partir de ahí, estamos en el campo de la electrónica y el resto es amplificación de la señal.

El conjunto de los tres elementos (receptor, transductor y amplificador) constituye un biosensor. En el caso de los tatuajes, el receptor cambia de color y emite fosforescencia, mientras que el iPhone actúa como transductor.

Con sensores de tan reducido tamaño, capaces de medir parámetros biológicos en tiempo real y manifestar propiedades detectables a escala macro, la Internet of Things está realmente cerca. Sólo que será Internet of Things and People… desde luego, vamos hacia un mundo interesante y, a veces, inquietante. A mí esto me deja un cierto regusto a Gattaca (por cierto, si no la han visto, háganlo, es muy recomendable).

Otra pieza más en el puzzle de la monitorización universal.

¿Es Anonymous una organización delictiva?

Voy a resistir la tentación, y me cuesta, de hacer comentarios sobre el comunicado del arresto de la cúpula de Anonymous, porque creo que lo más relevante ya está dicho en varios sitios, por ejemplo, en el blog de Enrique Dans. Si quieren pasar un rato divertido, busquen en Twitter tags como #cupulasinexistentes, donde podrán leer desde referencias a la detención del autor de “El lazarillo de Tormes” o “el Cantar de Mío Cid” hasta el inevitable vídeo de Hitler comentando el hecho… Y luego está LA FOTO. Pero en fin, como decía, me resisto.

Sí quería hablar de Anonymous, sabiendo que, por la misma naturaleza del asunto, seguramente, acabaré diciendo algo con lo que ustedes no estén de acuerdo. Espero que me lo sepan disculpar, ya que solo estoy haciendo en público el proceso de organización de mis propias ideas.

[Read more…]

Pérdida de datos en la todopoderosa SONY

La verdad es que la prensa no tiene desperdicio últimamente si lo que te interesa, al margen de la actualidad nacional e internacional, son asuntos relacionados con la seguridad. El otro día nos hacíamos eco de la noticia recogida por Expansión en referencia al uso de pólizas de seguro para mitigar los riesgos de incumplimiento de una ley de tan “profundo” calado como es la Ley Orgánica de Protección de Datos. Después desayunamos leyendo, estupefactos, un artículo también de Expansión, en su página 6, de la edición digital de orbyt (por supuesto), en el que la todopoderosa Sony reconoce que le han robado datos de la friolera de 77 millones de usuarios. Lo reconoció el martes 26 de abril por la noche y el incidente fue el día 19 de abril, según informaron fuentes de la compañía. ¡¡¡Sí señor!!! Eso es agilidad de respuesta ante un incidente de seguridad en el que se han comprometido datos tan “insignificantes” como los números de tarjetas de crédito. Este pequeño detalle unido a que también han sido comprometidos nombres, códigos de acceso e incluso posiblemente cuentas bancarias no tiene la menor importancia y el ciudadano no tiene derecho a saber inmediatamente que “sus” datos campan por las redes globales porque, evidentemente, firmas de reconocido prestigio como Sony se encargan de protegernos en todo momento. Al fin y al cabo los ciudadanos no sabrían qué hacer si el mismo día en el que se produjo el “incidente” se hubiese informado del mismo a los afectados, ¿no? Ya se encarga Sony, en este caso, de asumir el control del problema con el mismo éxito, seguro, que cuando asumió la seguridad de los datos que muchos le dimos de buena fe.

Esto es absolutamente inadmisible. Según dice la citada noticia los supuestos superespecialistas de Sony indican que han asaltado sus defensas y han burlado sus “extraordinarios” sistemas de protección y control para acceder, entre otros, a los datos personales de un servidor (o sea los míos). Ni serian tan superespecialistas ni las defensas de Sony serian tan súper si lo que les ha pasado es que les han robado en sus propias narices los datos de su bien más preciado, sus clientes. Según dice la noticia de este medio de comunicación se han visto afectados 77 millones de usuarios en todo el mundo. Usuarios de la plataforma PlayStation y de otras plataformas como la tienda audiovisual online Qriocity de la cual soy usuario. De los 77 millones de usuarios, 3 millones son españoles o afincados en España. Ya saben, si ustedes son alguno de esos usuarios y usan claves numéricas que coinciden con su clave de acceso al banco pueden ir corriendo a cambiar esta última porque les aseguro que NO estará a buen recaudo. Eso sí, fuentes muy bien documentadas de la compañía afirman que no se han registrado quejas por parte de usuarios, lo que según ellos quiere decir que podemos estar tranquilos porque los malos no han robado los datos por su interés en las tarjetas de crédito, simplemente querrían hacer una estadística del numero de nombres repetidos que Sony tenía en su base de datos o de cuántos de los 77 millones de clientes eran menores entre 13 y 18 años. Lógico y útil. He de reconocer que tras la lectura de estas declaraciones me he quedado mucho más tranquilo (#modo irónico off).

Algo tenemos que cambiar los que trabajamos en este sector. Evidentemente no hemos hecho un análisis del incidente y, por tanto, no sabemos a qué se ha debido, pero es bastante probable, por una cuestión estadística, que los supuestos “malos” hayan aprovechado algún fallo de la programación de alguna aplicación. Constantemente nos estamos encontrando en nuestro trabajo fallos de este tipo. Si esto es así yo me pregunto si conseguiremos, entre todos, alguna vez, que los que dirigen los equipos de desarrollo no antepongan la funcionalidad a todo lo demás, descuidando aspectos tan críticos como la seguridad de los datos personales de los ciudadanos, de sus cuentas, de sus domicilios, de los datos de los menores que usan las plataformas y de lo que sea… Parece que lo importante, al igual que sucede con las audiencias televisivas, es la cuota de mercado. Lo importante es tener usuarios registrados, disponer de sus datos y la forma de agradecerlo… “protegiéndolos con nuestra vida si hace falta”. Jaja.

En fin, así están las cosas. Esta es una situación mala para el avance de una sociedad digital en la que la tecnología y su seguridad conforman los cimientos sobre los que estamos construyendo un sinfín de servicios. En S2 Grupo estamos convencidos de que las cosas no tendrían que ser así y de que estos incidentes no deberían producirse si se tomasen las medidas pertinentes (y si aún así se producen, se deberían gestionar de otra forma).

Por cierto, para acabar, comentarles que los usuarios de la plataforma Xbox de Microsoft pueden estar tranquilos porque la compañía simplemente ha anunciado que “puede haber habido un posible robo de datos personales desde ‘Xbox Live’”. Toma ya.

GOTO X: Periodistas

Llevaba alguna semana queriendo escribir un post de la serie GOTO dedicado a los periodistas, tal y como adelanté hace cosa de un mes en la entrada relativa a los ciberataques sufridos por la GVA. He intentado resistirme un poco -más por falta de tiempo que otra cosa-, pero leyendo las últimas noticias sobre el peligro nuclear en Japón que todos los medios generalistas están lanzando no he podido aguantarme… Y es que tenemos periodistas -no todos, obviamente- que no distinguen asterisco de asteroide, pero no contentos con ello transmiten al público general su vasto conocimiento sobre cualquier materia y se quedan tan panchos, satisfechos del trabajo realizado.

Con el tema de los ciberataques contra GVA ya dimos unas pinceladas del saber hacer de estos periodistas; ahora con el debate que se está abriendo sobre la seguridad nuclear siguen cubriéndose de gloria, y encima lo mezclan con la entrada en Cofrentes de unos activistas de Greenpeace hace unas semanas, poniendo este acto como ejemplo de “inseguridad” en las centrales nucleares españolas. Por favor, no mezclemos churras con merinas. Que las centrales nucleares -y otras infraestructuras críticas- de nuestro país sean o no vulnerables no depende de que unos ecologistas capaces de evitar -con presunta violencia- a los vigilantes de seguridad (o a la Guardia Civil si se diera el caso) se cuelen tras la verja de una central. ¿Qué pretenden los periodistas, que disparen con armas de fuego a estos activistas para demostrar lo seguros y fuertes que somos? Venga, hombre… la que se habría montado, y con razón.

Un conocido mío comentaba hace unos años que España hay dos cosas de las que todo el mundo sabe: medicina y seguridad. ¿Que te duele la cabeza? Tómate cualquiercosaqueacabeenina, que a mí me ha ido muy bien, mírame, además lo he leído en Google y en el curso por fascículos de “El neurocirujano en casa”… ¿Que el accidente de Spanair fue culpa del piloto? No hombre, fue el relé XJ45, que no desplegó los flaps y por eso no se alcanzó la velocidad de despegue adecuada para un aparato de esas características, que en función del viento de costado y del puerto USB puede ser de hasta 738,3 kilómetros por hora… ¿Que la central de Fukushima va a explotar? El problema está en el núcleo del reactor, que no se puede enfriar lo suficiente debido al proceso de fisión nuclear y a las valencias del elemento, que ya se sabe lo que pasa en fallas con tanto calor… Toma ya. Esto lo pongo en un periódico de tirada nacional, lo mezclo con “declaraciones de un responsable de nosequé experto en nosecuantos” y a vivir. Acabo de dar un curso acelerado de medicina, ingeniería aeronáutica o física nuclear a mis lectores, que sabrán aprovecharlo a la perfección en el parque o en la cola de la panadería ayudándome así a difundir mi conocimiento.

Señores, seamos serios. Ya sé que no se puede saber -y por tanto escribir- de todo, pero un mínimo de rigor sería más que aconsejable. Un defacement no tiene nada que ver con un DDoS, unos ecologistas que entran en Cofrentes no tienen por qué ser ejemplo de ninguna inseguridad y mil cosas por el estilo. Cuando una persona que no conoce una materia concreta trata de hablar de ella ex cathedra hace, cuanto menos, el ridículo, cuando no algo peor. Informémonos antes de escribir y, en caso de dudas, estoy seguro de que existen centros de investigación, universidades, empresas, personas… expertos en muchos temas que nos pueden dar su opinión con respecto a los mismos o al menos orientarnos correctamente para que no metamos la pata. Se trata simplemente de preguntar y escuchar lo que nos dicen. Si de seguridad, que creo que algo sé, veo esas barbaridades escritas en los medios…¿qué habrá de verdad en los artículos de materias que no conozco? ¿seguirán la misma tónica? ¿qué puedo creerme de lo que leo en un periódico o veo en la televisión? Miedo me da pensar qué dirán de economía, política y mil materias más de las que sé poco o nada…

Ojo, no quiero decir con este post que todos los periodistas estén mal informados -voluntaria o involuntariamente- y por tanto informen mal de lo que sucede a nuestro alrededor; simplemente, creo que en los medios generalistas estamos llegando en ocasiones a la política del “todo vale”, por desconocimiento o no, dejando así al periodismo presuntamente serio a la altura de “La Noria”. Y para ciertos temas, como la economía o la seguridad, entre otros, esto puede ser peligroso: transmitimos un mensaje erróneo a miles de personas que lo interpretan como verdadero, con las consecuencias que esta información negativa puede llegar a tener en la población.

Por suerte, y para no ver solo la botella medio vacía, quiero recalcar que IMHO existen periodistas bien documentados y que hacen correctamente su trabajo, sobre todo si nos vamos a medios especializados; en el caso de seguridad, algunos buenos ejemplos pueden ser SIC, Seguritecnia o Security Management por citar unos cuantos -hay más, por supuesto-. Ójala cunda el ejemplo y podamos llegar a fiarnos de lo que leemos en medios generalistas… al menos más que ahora.

Conferencias sobre ingeniería de software avanzada

logoFastFixRecientemente, S2 Grupo, ha conseguido un proyecto del 7º Programa Marco, sección TIC, de la Comisión Europea. La primera reunión de trabajo del consorcio va a tener lugar esta misma semana en Valencia.

El viernes, día 25 de junio, se va a celebrar una sesión abierta del proyecto, en el que se impartirán tres conferencias sobre tres temas muy interesantes en el ámbito de la ingeniería de software:

“Intention-Based Integration of Software Engineering Tools”
Prof. Walid Maalej, Technische Universität München

INTI, a novel, intention-based integration approach. An intention is a mental state that underpins the user’s actions during the work. Intentions “sessionize”the work and facilitate the management and switching of context. Intentions also group and describe related changes that are made in different tools. We introduce a reference framework for the realization of such intention-based integration. The framework automatically links related pieces of information by observing the user’s interactions with the tools. It handles the heterogeneity of the tools and information by using Semantic Web technologies

[Read more…]

Habilitaciones, titulaciones… y todo lo demás

Leía esta mañana en BELT una noticia que hacía referencia a la falta de habilitación profesional del Director de Seguridad del Barça: esto es, no tiene un TIP en vigor que lo habilite como Director de Seguridad por el Ministerio del Interior. En España, las figuras contempladas en el ámbito de la seguridad privada vienen definidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP), y entre ellas encontramos al Director de Seguridad, al Jefe de Seguridad, al Escolta Privado o al Guarda Particular del Campo, por citar unas cuantas… todo lo que se salga de ahí, no está reconocido a día de hoy en España. Caso aparte es cómo las empresas de seguridad, sobre todo las que trabajan -o trabajamos- principalmente en seguridad de la información, denominen a su personal: CISO, CSO, CRO… son denominaciones que se utilizan con mayor o menor fortuna en cada caso, pero que desde luego no están oficialmente contempladas (ojo, hasta donde yo sé, y que alguien me corrija si me equivoco). Debate aparte es si es lícito, o ético, que una empresa utilice para su personal cargos que se corresponden con titulaciones oficiales si dicho personal carece de éstas, argumentando siempre que se trata de responsabilidades internas en la organización, no de atribuciones reconocidas oficialmente.

Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente “clásica”.

Otra cuestión es qué pasa actualmente con estos puestos de seguridad privada “no oficial”… se trata de roles tan habituales que nadie se plantea sus implicaciones, pero lo cierto es que únicamente están reconocidos dentro de una organización, no más alla; un Director de Seguridad o un Ingeniero en Informática es eso mismo aquí y en la China Popular (como diría alguien), mientras que un “Ingeniero de Seguridad Perimetral” o un “Responsable de Riesgos” no tienen sentido fuera de la organización que les ha asignado esa categoría. Volvemos al tema de las atribuciones profesionales, al quién puede hacer qué; “Director de Seguridad” es una habilitación propia del Ministerio del Interior, mientras que “Director de Seguridad de la Información” -el famoso CISO-, o “Consultor de Seguridad” no es ninguna titulación oficial, con lo que cualquiera puede adjudicarse este papel en su tarjeta de visita… De nuevo lo de siempre: ¿quién puede firmar una auditoría? ¿quién puede dirigir un departamento de seguridad que trabaje en protección de la información? Ahora mismo no existe regulación alguna más alla de la LSP (que por supuesto no toca seguridad de la información como tal), por lo que cada organización hace de su capa un sayo; yo puedo decir que tal persona es Técnico de Seguridad, Consultor de Seguridad o Ingeniero Jefe de Seguridad… ¿y? Sólo dependerá del buen criterio -o del mal criterio- de cada empresa el titulito que se asigne a su personal de seguridad…

Creo que una regulación del personal de seguridad sería muy conveniente tanto para nuestra profesión como para nuestros clientes, que por fin podrían saber quién les puede realizar determinados proyectos o prestar ciertos servicios, y en base a qué; y por supuesto, si llegamos al punto en que el personal de seguridad se regula correctamente más allá de la seguridad tradicional, no olvidemos que dicho personal tendrá una serie de obligaciones y responsabilidades -no como sucede ahora en seguridad de la información-; en el momento en el que alguien puede retirarme mi habilitación como Director de Seguridad si hago mal mi trabajo, impidiéndome desempeñar ese puesto en un futuro, me pensaré dos veces el entregar un informe o el resultado de un análisis de riesgos, por poner un ejemplo.

Para acabar, un último apunte: no empecemos ahora con que si para dirigir, auditar o implantar hace falta un CISSP, un SANS, un CISA, un CISO o un CASI, que me entra la risa… estas -y otras- certificaciones son títulos de una “academia” concreta (ISACA, ISC2, SANS…), y por muy reconocidos que estén o dejen de estar, hasta donde yo sé no son oficiales, al menos de momento; otra cosa es si demuestran o no conocimiento, o simplemente demuestran tiempo y dinero… pero para empezar a discutir quién puede hacer qué en seguridad, prefiero hacerlo por titulaciones oficiales o por habilitaciones propias del Ministerio del Interior, nos gusten más o menos…

Ataques contra usuarios de Twitter

Kaspersky Lab ha alertado a los usuarios de Twitter sobre una herramienta que están usando los criminales cibernéticos para crear botnets que se controlan a través de Twitter. Según ciertas publicaciones (TechnologyReview, FaqMac y otros), miles de cuentas de Twitter hackeadas a la venta en foros forman un nuevo mercado negro dentro de la ciberdelincuencia. Las cuentas se ofrecen por lotes a menos de 200 dólares, dependiendo del número de seguidores que tengan.

El principal objetivo de los compradores, en la mayoría de casos, es vender falsos antivirus (Rogueware) a través de los tweets enviados por estas cuentas; el hecho de hacer clic en en enlace de un tweet hackeado infecta al equipo del usuario con la publicidad de un producto de antivirus falso. La infección provoca una notificación emergente que anuncia que el equipo está infectado y ofrece una versión completa del falso antivirus por unos 50 dólares (o más) que te asegura que desinfectará el equipo en cuestión, y se estima que 1 de cada 100 personas probablemente paguen esa cantidad. Con que sólo un tweet hackeado tenga éxito, podría tener graves repercusiones si procede de un usuario de confianza (generalmente, entre el 10-20% de los usuarios hacen clic sobre un enlace enviado por una fuente de confianza). Twitter tiene más de 75 millones de usuarios, de los cuales entre unos 10-15 millones envían tweets regularmente. Si por ejemplo simplemente sólo un 1% de esos 75 millones de miembros se infectara, y que de ese 1% de usuarios infectados, un 1% creyera en el falso antivirus y pagara por su adquisición, supondría un fraude de unos 7500 dólares. Este tipo de botnets también se usa para distribuir spam o realizar ataques de denegación de servicio, entre otras cosas.

La técnica de robar credenciales de cuentas y la publicación de enlaces maliciosos en Twitter es cada vez mas popular. (…) Los criminales cibernéticos están dándose cuenta de que se puede abusar de los sitios de redes sociales de manera muy eficiente y acorde con sus necesidades.”, afirma Costin Raiu, director de Kaspersky Lab.

La herramienta en cuestión es TwitterNET Builder, de la cual actualmente existen dos variantes conocidas. La primera, la original, utiliza órdenes maliciosas con nombres estáticos que pueden ejecutar funciones como descargar y ejecutar ficheros, realizar ataques de denegación de servicio, redirigir a otras páginas web o controlar la comunicación entre el equipo infectado y Twitter (http://sunbeltblog.blogspot.com/2010/05/diy-twitter-botnet-creator.html)). El equipo de http://sunbeltblog.blogspot.com notificó en su momento a Twitter, y curiosamente comentan en su blog que Twitter tardó sólo 13 minutos en contestarles (impresionante). La segunda, descubierta por Kaspersky Lab, es una ligera variación de la primera variante que permite al atacante especificar los nombres del comando, lo que hace más difícil identificar qué cuentas de Twitter se están utilizando para controlar las botnets.

Este código malicioso no incluye ningún mecanismo de distribución y debe instalarse de forma manual en el ordenador del usuario víctima, pero puede ejecutarse cuando se combina con un ataque drive-by o con un gusano que se distribuye a través de una nueva vulnerabilidad”, afirma David Jacoby de Kaspersky Lab. Las cuentas se comprometen usando dos métodos: troyanos que roban las credenciales de Twitter directamente del usuario y estafas de phising que utilizan falsas peticiones de autorizaciones en sitios fraudulentos que imitan la página original. Una vez los atacantes tienen acceso a una cuenta, pueden comenzar un mailing malicioso, que aparentemente envía el legítimo dueño de la cuenta, o simplemente pueden vender la cuenta a otros para propósitos similares.

Para protegernos, dado que esta herramienta no tiene sus mecanismos de distribución propia y necesita ser descargada y ejecutada manualmente (por ejemplo, nos podría llegar como archivo adjunto en un correo electrónico, o como un archivo enviado a través de un cliente de mensajería instantánea), es importante estar atentos a la hora de ejecutar este tipo de archivos. También hay que tener cuidado de no infectarse a través de un ataque drive-by, que pueda explotar por ejemplo una vulnerabilidad en el navegador y es aconsejable (sobre todo si eres de los que no te fijas mucho donde haces clic :) que tengamos el antivirus actualizado y tengamos también instalados todos los parches de seguridad de los diferentes proveedores.

Gripe A

Acabo de volver de vacaciones y, sinceramente, me ha sorprendido la cantidad de información que ha ido apareciendo en los medios —tanto generales como especializados— acerca de la gripe A (el ya famoso virus H1N1) y su impacto previsto en la sociedad a todos los niveles. Dejando a un lado los sensacionalismos propios de algunos medios (habría que recordar a ciertos “periodistas” que pandemia no significa que muera la mayor parte de la población mundial, como parecen hacernos creer), me parece interesante que en nuestro blog dediquemos al menos una entrada a este tema, ya que ciertamente la gripe puede ser un elemento decisivo en la continuidad de nuestro negocio, y por tanto en nuestra seguridad.

El Ministerio de Sanidad y Consumo español ha elaborado una guía, bastante coherente bajo mi punto de vista, acerca de la actuación recomendada frente a la gripe A para las empresas, de cara a asegurar la continuidad del negocio y la salud laboral en caso de pandemia. En esta guía, de lectura más que recomendable, se establecen una serie de medidas a valorar y, si corresponde, adoptar en los centro de trabajo; estas medidas se pueden agrupar en tres familias: de formación e información (hacia el personal y con terceros), de minimización del impacto (en la empresa, en su personal y en terceros -clientes, proveedores…-) y de contingencia en caso de que se materialice la amenaza.

Desde el punto de vista de los riesgos a los que está sometida una organización, la gripe A es un riesgo muy similar al de la gripe estacional —la de toda la vida, para entendernos—, pero con unos niveles de probabilidad e impacto superiores. Mayor probabilidad porque, si en una gripe epidémica se ve afectado un porcentaje que ronda el 15% de la población, en una gripe pandémica este nivel se incrementa en mayor o menor medida (en función de muchos factores), y adicionalmente los grupos de riesgo se ven modificados, y mayor impacto porque el daño causado por la pandemia en una organización es superior al producido durante una gripe normal: personas que no pueden desarrollar su actividad a causa de la gripe (fallecidos, hospitalizados, aislamiento, atención a familiares…), mayor tiempo de convalecencia, etc.

Bajo mi punto de vista, en nuestras organizaciones debemos efectuar un análisis inicial para valorar en primera instancia los riesgos derivados de la gripe A y su impacto en la continuidad de nuestro negocio; independientemente del resultado de este análisis, debemos establecer las medidas de prevención habituales -sin llevarlas a ningún extremo, por supuesto- y, si el análisis realizado nos indica que el riesgo de vernos afectados por la pandemia es considerable, debemos aplicar las salvaguardas correspondientes para mitigar el impacto en nuestra organización, desde el teletrabajo a la ubicación alternativa del personal, en función de los resultados obtenidos previamente. Vamos, lo habitual: tampoco estamos descubriendo nada ahora; pero sobre todo, creo que debemos huir del alarmismo que se ve en los medios ya que, hasta que datos fiables me digan lo contrario, creo que de esta pandemia no vamos a morirnos todos.