Centros de seguridad (I)

secAunque supongo que tod@s los lectores conocerán el término SOC (Security Operation Center), creo que es importante aportar nuestra visión particular sobre los objetivos y el funcionamiento de los mismos a través del análisis de distintos tipos de Centros de Seguridad que hemos tenido la oportunidad de conocer y estudiar en alguno de los proyectos que hemos realizado; ésta es la primera de las entradas semanales que dedicaremos a este tema.

Un Centro de Seguridad en general y un Centro de Seguridad Gestionada (SOC) en particular, es un centro de servicios especializado en la prestación de servicios de seguridad a sus clientes. Los Centros de Servicios, en general, son centros especializados en la provisión de servicios de valor añadido a sus clientes que buscan de forma incesante la gestión eficaz y eficiente de sus recursos humanos y materiales para la consecución de sus objetivos.

Con la calidad de servicio como estandarte, un Centro de Servicios se caracteriza por una organización por niveles de especialización y una férrea organización que permita la gestión de los eventos asociados al mismo con un estándar de calidad determinado y medido de forma continua. Este tipo de centros disponen de herramientas que le permiten gestionar en tiempo real los eventos asignados al mismo, asegurando que en ningún caso se deja de atender, en los tiempos establecidos, los sucesos que acontecen en el devenir del mismo. Sistemas que deben contemplar la monitorización de procesos y actividades en tiempo real (BAM: Business Activity Monitoring) e incluso la posibilidad de actuar de forma automática ante la existencia de determinados estímulos o sucesos. Otro aspecto a destacar de los centros de servicios es la gestión de forma procedimentada, con el fin de que el conocimiento de la propia gestión cotidiana del centro revierta en la mejora continua de los procedimientos de actuación y que los niveles menos especializados de atención puedan incluso actuar en caso de emergencia. Para conseguir este objetivo es muy importante la definición de un modelo de gestión del centro y su posterior certificación en base al referencial o referenciales adecuados en cada caso.

Un Centro de Servicios es una vía de búsqueda de sinergias, de concentración de conocimiento y saber hacer no sólo en un sentido científico o tecnológico, sino también en la optimización de procesos de gestión como puede ser el caso de la gestión de la seguridad de la información.

Los SOC o centros de seguridad gestionada, como centros de servicios que son, deben cumplir estas características generales. A pesar de ello existen distintos tipo de centros de seguridad que en varias entradas vamos a intentar analizar brevemente; algunos tienen sus orígenes en aspectos técnicos de la seguridad, mientras que otros nacen de la necesidad de la defensa de las infraestructuras críticas nacionales. Algunos tienen su origen en la actividad privada de las organizaciones mientras que otros son centros públicos. Unos tienen como objetivo compartir información y otros actuar en caso de incidentes. En cualquier caso, todos ellos tienen como común objetivo la mejora de la seguridad de las organizaciones para las que trabajan.

Hemos clasificado algunos de los centros analizados en función de su origen, determinando los siguientes grandes grupos:

  • CERTs: Centros de respuesta ante incidencias técnicas y por tanto, a priori reactivos. Son centros surgidos en torno a las amenazas dentro de Internet. Públicos y privados. Ejemplos: FIRST, CERT, IRIS CERT, CERT Centro Criptológico Nacional, Inteco-CERT, CSIRT-CV, E-CSIRT….
  • Centros de defensa nacional: Surgidos como iniciativas gubernamentales para la defensa de sectores de infraestructura gubernamental o considerada crítica para el estado: ISACs americanos (Information Sharing and Analysis Center), WARP británicos (Warning, Advice and Reporting Point), BFAG australianos, …. Son centros preventivos a diferencia de los anteriores que son reactivos almenos en su concepción inicial.
  • Centros divulgativos, académicos y de investigación: Centros enfocados principalmente a la investigación en materias de seguridad. SANS o INTECO.
  • Centros sectoriales: Desarrollados de manera privada por un sector específico. Ejemplos: Comisión nacional de Seguridad en el entorno de las Cajas de Ahorro, centros de seguridad de medios de pago, Centro sectoriales de banca: BITS, s-CERT, UK Financial Sector Continuity, e-LC CSIRT, CCI, Centro de Cooperación Interbancaria.
  • Otros centros de seguridad: Centros de seguridad privados que ofrecen servicios de seguridad gestionada a sus clientes, como Argópolis en nuestro caso.

V OWASP Spain Meeting

owaspEl pasado 15 de Mayo dos miembros del equipo de seguridad lógica de S2 Grupo nos desplazamos a Barcelona para asistir al V OWASP Spain Meeting, donde como siempre pudimos asistir a conferencias de gran interés con ponentes de muy alta calidad:

1. Sintonizar la función de seguridad con el negocio (PDF). Alberto Partida, miembro del Advisory Board de SANS Institute y poseedor de un impresionante curriculum de certificaciones GIAC (entidad de certificación del SANS Institute), nos explicó la manera de compatibilizar los requisitos de seguridad con las necesidades del negocio, y nos explicó algunos trucos para aprender a mostrar la información a los directivos no tecnólogos de tal manera que entiendan a que riesgos se exponen, y nada mejor que ejemplificarlo con ejemplos de incidentes “sonados”. Una charla muy útil para cualquiera que se encuentre en una empresa no tecnológica o que ofrezcan servicios a empresas no tecnológicas.

2. LDAP Injection & Blind LDAP Injection (PDF). Chema Alonso, Consultor de Seguridad en la empresa Informatica64, MVP Seguridad de Microsoft y autor del conocido blog “Un Informático en el Lado del Mal“, nos habló de las particularidades que tiene LDAP Injection con respecto a SQL Injection, que son básicamente el juego de caracteres especiales que se pueden utilizar y el lenguaje, pero que se basa en los mismos principios. Una pena que no pudieramos ver las demostraciones en directo, ya que una caida de su equipo dejó el disco duro inservible.

3. Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica (PDF). En esta charla, una de las que la gente mostró más interés con sus preguntas, Jorge Martín, Inspector Jefe del Grupo de Seguridad Lógica del Cuerpo Nacional de Policía, nos explicó como trabajan y a que se dedican en su departamento, una charla muy interesante que despertó la curiosidad de muchos de los asistentes.

4. Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP (PDF). Daniel Cabezas, de la empresa Ernst & Young, nos mostró diversos módulos que han desarrollado como ampliación de la genial aplicación WebGoat de OWASP para entrenamiento sobre seguridad web, una herramienta imprescindible para cualquier persona que quiera realizar formación en seguridad o que quiera incorporarse al mundo de la seguridad en su vertiente web. Uno de los módulos que creó un poco de confusión consistía en practicar la realización de Buffers Overflow, algo que dada la naturaleza Java de WebGoat despertó las suspicacias de parte del auditorio. No obstante (y eso es una nota para los asistentes al curso que también sean lectores de este blog), cuando Java realiza llamadas a binarios externos para cualquier motivo sí es posible realizar un Buffer Overflow, ya que al realizar la llamada a la función esto sale de máquina virtual java y por tanto de sus restricciones de seguridad, por lo que es posible (y de hecho existen casos documentados) de explotación de vulnerabilidades de Buffer Overflow A TRAVÉS (mejor que “en”) de aplicaciones Java.

En conclusión, los OWASP Spain Meeting son una cita muy recomendable, convirtiéndose en un imprescindible en las conferencias de seguridad en España, algo esperable del excepcional Proyecto OWASP. ¿Nos vemos en la próxima edición? ;-)

Temeridad, ignorancia o ambas cosas.

monoEsta mañana, cuando he abierto el correo, tenía en el buzón personal una propaganda de KIA enviada desde la dirección “net@netaselot.com”. La imagen que contenía redireccionaba a la URL “http://www.netfilia.com/contenidos/ redirect.html?img=1& contenido=16986&web=40426&id=hiDsTT1z4FrUQ“, que redirecciona automáticamente a la página “http://www.pruebakia.es/?CAM=ANTEV3”. Es decir, KIA.

El pasado viernes recibí una propaganda exactamente igual, pero esta vez anunciaba a iBanesto. Enviada desde la misma dirección, la imagen que contenía apuntaba directamente a “http://www.netfilia.com/contenidos/redirect.html? img=1&contenido=11684&web=40426& id=hi4MOp9u5Wopw“, que es una redirección para “https://www.ibanestocambiodehipoteca.com/?idm=5uss-y8mj”. Es decir, Banesto.

Ambos correos contienen al pie una leyenda que dice lo siguiente:

Si no quiere recibir más información clic aquí

El tratamiento de los datos de carácter personal, así como el envío de boletines o comunicaciones comerciales realizadas por medios electrónicos, son conformes a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (B.O.E. de 14 de diciembre de 1999) y a la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de Información y de Comercio Electrónico (B.O.E. de 12 de julio de 2002).

Me sorprende que empresas de la talla y reputación de KIA y Banesto utilicen el envío de spam para captar clientes, pero aun me sorprende más que lo hagan a través de empresas que no conocen ni respetan —a pesar de lo que dicen— la LOPD. Supongo que alguien en KIA y en Banesto pensó que si el correo no lo mandan directamente ellos, no pasa nada. O quizá el responsable que gestionó, compró o encargó la campaña con Netfilia se dejó aconsejar, convencer, o directamente se desentendió de cómo la empresa de publicidad iba a tratar su marca. Mal hecho, en cualquier caso.

La cuestión, que no nos cansamos de repetir, es que Internet no es una fuente de acceso público, y por tanto no puede ser utilizada para recolectar correos a los que enviar publicidad. Estas son el tipo de cosas por las que en mi opinión la LOPD impone sanciones tan fuertes; no se trata de desproporcionalidad, sino de efecto disuasorio; de evitar que las empresas hagan el balance de lo que gano (clientes) y lo que pierdo (sanción de la LOPD). Ahora bien, el que decida saltarse las reglas, ignorarlas, u obviarlas, que se atenga a las consecuencias, porque como saben el desconocimiento de la ley no exime de su cumplimiento y a estas alturas de la película ya no vale hacerse el tonto.

Premio a Blog promotor de las TIC

valenciasiComo ya les he dicho alguna que otra vez, cualquier blog que se precie tiene derecho a una dosis periódica de autobombo, ombliguismo o como quieran llamarlo. Al fin y al cabo, los blogs, o las bitácoras si prefieren el término castellano, no serían lo mismo si no sirviesen para alimentar el ego de su autor. Si además sirven para algo más, tanto mejor. Y si hay una razón de peso para hablar de uno mismo, entonces es todavía mejor, porque no es necesario justificarse, algo que acostumbro a hacer a menudo. En breve verán cuál es esa razón de peso; sigan leyendo.

Comencé en esto de los blogs hace aproximadamente cinco años y medio, con un blog personal que aunque empezó tímidamente, en ciertas épocas tuvo una frecuencia de actualización más que decente. No obstante, Security Art Work, en la mitad de tiempo, blog del que soy editor y principal colaborador, ha conseguido muchos más lectores y suscriptores de los que yo aspiraba para el mio personal. Eso me hace sospechar que quizá algo o alguien me esté sugiriendo que lo que tengo que contar de mí no resulta tan interesante como lo que tengo que contar de mi trabajo, al menos para el resto del mundo. Por si los números no fueran evidencia suficiente, hoy hemos recibido el premio al Blog promotor de las TIC de la 11ª Noche de las Telecomunicaciones Valencianas 2009, lo que es la razón de peso de la que les hablaba al principio y algo que, como diría aquél, me llena de orgullo y satisfacción.

Este blog comenzó a gestarse a comienzos de 2007, cuando algunas personas de S2 Grupo empezamos a pensar que podría estar bien montar un blog corporativo que hablase de seguridad. Digamos que el nacimiento no fue coser y cantar, dado que como es bien sabido por cualquier blogger, los contenidos no surgen de la nada y requieren un esfuerzo nada despreciable, pero lo cierto es que el parto no fue particularmente doloroso, y no hizo falta ni siquiera tirar de epidural. Todo fue bastante suave, lo que no significa que fuese fácil; buscar tiempo para escribir entradas en una agenda ya de por sí bastante apretada no es fácil, y si no, que se lo pregunten a muchos de mis compañeros. No hubo lágrimas ni crujir de dientes, pero sí sudor.

Cabe decir, en honor a la verdad, que la dirección de S2 Grupo apoyó en todo momento una propuesta que, cómo negarlo, tiene un retorno de inversión extremadamente difícil de cuantificar, hasta el punto de que la publicación de un blog puede considerarse en la mayoría de los casos casi una tarea altruista. Por supuesto que cualquier blog que sea respaldado por una empresa tiene sin duda una componente clara de marketing, pero creo que evidente que siempre hemos intentado (y creemos que conseguido) que Security Art Work se mantenga libre de contenido publicitario y comercialmente independiente de la empresa que lo respalda con medios tecnológicos y humanos. Más allá de un puñado de menciones esporádicas y siempre pertinentes, casi podría decirse que, desde el punto de vista de una teórica finalidad comercial, Security Art Work no es más que el blog de un grupo de personas que trabajan para S2 Grupo, y en efecto, parte de las entradas son elaboradas por sus autores en su tiempo libre; porque no pensarán que los fines de semana estoy en la oficina, ¿verdad?

Security Art Work es, como bien indica su nombre, un blog sobre seguridad; qué les voy a contar a estas alturas de la película… Sobre seguridad entendida como convergencia de aspectos lógicos, físicos, organizativos, y legales, lo que ineludiblemente lo lleva más allá de lo que muchos consideran “Seguridad”, porque no sería lógico limitar el ámbito del blog a una única temática, a un único ámbito de la seguridad, siendo que la seguridad es, sin duda alguna, un “meta-ámbito” con presencia en prácticamente cualquier proceso que quieran pensar, en cualquier ámbito que se les ocurra. No es necesario mirar muy lejos para darse cuenta de que la seguridad, entendida como tener un conocimiento consciente de los riesgos de Internet, es un aspecto que es necesario fomentar en nuestra sociedad, donde cada vez más Internet tiene un lugar preferente.

No se trata de engañar a nadie; en aspectos técnicos, Security Art Work no pretende (ni puede) ser el último recurso informativo para una empresa que, por ejemplo, quiera virtualizar sus servidores corporativos; al respecto, existen infinidad de fuentes especializadas cuya información es mucho más precisa y detallada que la que nuestro blog podría contener. No obstante, eso no quita que podamos servir de punta de lanza, de “primer vistazo” a diferentes tecnologías que pueden no ser conocidas para el lector. Más allá de estos aspectos técnicos, es en las entradas de opinión y gestión donde consideramos que aportamos una información y visión que no es común en los blogs que existen sobre seguridad, aunque por supuesto, siempre hay excepciones (Javier Cao, entre otros, es una buena muestra de que las hay). Por ello, aunque la publicación en Security Art Work está, como en cualquier otro blog y por razones obvias, restringida al personal de S2 Grupo, contamos con la presencia periódica (aunque irregular y menos de la que me gustaría) de “artistas invitados”, que forman parte de la comunidad de interés común en Seguridad de la Información en la que S2 Grupo se desenvuelve. Hasta el momento, hemos contado con las colaboraciones de Dña. Ana Marzo, socio fundador del bufete de abogados que lleva su nombre, y de gran prestigio a escala nacional en el ámbito del derecho en nuevas tecnologías, D. José Ignacio Ruiz, IT Manager de Aviva Servicios Compartidos, y con amplia experiencia en la gestión TIC, o Francisco Benet, consultor técnico con amplia experiencia en el campo de las tecnologías.

Cuando Guardiola ganó ayer la Champions League, parecía que todos los años ganase una, e insiste una y otra vez en que el mérito no es suyo, sino del equipo; las malas lenguas dicen que es falsa modestia, pero francamente, yo no me lo creo. Por supuesto, afortunadamente para H&M, el Barcelona no gana todos los años la Champions League, y eso lo sé yo que soy culé. Nosotros tampoco ganamos todos los días premios por este blog, pero aun sabiendo que —y esta es mi pequeña galletita para el ego— este blog es lo que es en gran parte gracias a mí, lo cierto es que sin las personas que colaboran día tras día, tampoco sería posible. Y eso, de verdad, tampoco es falsa modestia.

No hay mucho más que contar. Lo que ven es lo que hay, y lo que hay es lo que ven. Si vienen de vez en cuando, ya nos conocen; y si no nos visitan, están invitados a hacerlo. Mañana, como no podría ser de otra manera, retomaremos la programación habitual.

(No se pierdan, si pueden, la charla de �?caro Moyano, uno de los fundadores de Tuenti. Ha sido absolutamente deliciosa.)

Gastos en seguridad 2009

Según un estudio de Forrester, publicado en el tercer trimestre de 2008, la previsión de gasto en seguridad para 2009 mostraba una tendencia claramente ascendente, aunque a raíz de la crisis económica mundial es posible que dicha previsión se aleje de la realidad más de lo esperado. A continuación les resumo brevemente las principales conclusiones del estudio, que pueden obtener, previo pago, en este enlace de Forrester.

i1De manera general, tal y como puede verse en la gráfica de la izquierda, entre 2007 y 2008 (sobre un muestreo de corte radicalmente diferente), la parte del presupuesto informático ligado a los gastos en seguridad progresó de una manera importante, pasando de 7,2% al 11,7%. Este aumento que puede interpretarse como la toma de conciencia por parte de las empresas de la necesidad de inversión en seguridad.

Según el informe, este crecimiento del gasto continuará durante 2009, un dato que probablemente puede sorprender, ya que tradicionalmente los presupuestos ligados a las inversiones en Tecnología de la Información son revisados a la baja en tiempos de crisis. Una de las posibles explicaciones para dicha previsión podría ser el hecho de que el estudio de Forrester fuese realizado en el transcurso del tercer trimestre del 2008, cuando se desconocía parcialmente la magnitud de la crisis económica (como evidencia de este hecho, en septiembre de 2008 la Fed tenía los tipos de interés oficiales en el 2%, y el BCE los mantenía en el 4,75%, cuando los valores actuales son del 0%-0.25% y 1% respectivamente).

Entre 2008 y 2009, la estimación es que la asignación de medios otorgada a la seguridad debería permanecer estable. Sin embargo, hay dos ramas de IT que se benefician de una ligera alza: Se trata de la Innovación (I+D+i) y los servicios externos, entendidos éstos como servicios gestionados, consultoría y outsourcing.

[Read more…]

Aniversario

Como ya os habrá informado él mismo, mañana domingo 17 de mayo es el Día de Internet; hagamos un pequeño resumen de las principales ventajas e inconvenientes que han surgido desde que este nuevo medio apareció en escena:

Ventajas:

  • Un gran lugar de consulta.
  • Mejora de las comunicaciones.
  • Aumento de la efectividad de distribución de la información.

Desventajas:

  • A pesar de su crecimiento, no todo el mundo dispone de acceso o un conocimiento básico de la red.
  • Adicción.
  • Fraudes, pérdidas de información, requiere mucha seguridad…

[Read more…]

Extracción de Metadatos

A la hora de realizar una auditoría de seguridad lógica, uno de los primeros pasos a dar es la recopilación de la mayor cantidad de información “útil” del objetivo a auditar, lo que en el ámbito de la seguridad denominamos como “information gathering”. Dentro de esta fase, podemos incluir el análisis de metadatos obtenidos a partir de ficheros contenedores como pueden ser de tipo pdf, odt, jpg, etc…

Antes de entrar en materia, me gustaría definir lo que son los metadatos de una manera más formal. Curiosamente, si consultamos el diccionario de la real academia española no encontramos este término, pero para ello tenemos la referencia de la wikipedia:

Metadatos (del griego μετα, meta, «después de» y latín datum, «lo que se da», «dato»), literalmente «sobre datos», son datos que describen otros datos.

De manera más informal, podemos decir que los metadatos son datos que caracterizan a un fichero que contiene cierto tipos de datos, de modo que a través de los metadatos podemos conocer características de un fichero como el autor, revisiones del documento, etc.

En cuanto a las herramientas de extracción de metadatos, y aunque hay en Internet múltiples recursos al respecto, me gustaría destacar principalmente dos de ellas, cuyo funcionamiento es muy sencillo. La primera de ellas es “extract“, una aplicación para sistemas operativos Unix/Linux cuya finalidad es justamente mostrar la información contenida en los metadatos de un fichero. De esta manera podemos obtener información como nombres de usuarios, nombres de equipos, rutas del equipo donde se ha creado/modificado un fichero, etc., tal y como se muestra en la siguiente imagen (el documento analizado se encuentra disponible en Internet):

extract

En el ejemplo mostrado, podemos observar los datos que podemos obtener de un fichero “.doc” que no ha sido previamente “limpiado”, entre los cuales cabe destacar rutas de unidades de red, nombres de usuarios, nombre del registrador de la aplicación, aplicación con la que está creado el documento y su versión, etc. A la vista del ejemplo, no es difícil ver la importancia y la atención que debemos prestar a los metadatos, sobre todo si el documento va a ser públicamente accesible.

Si enfocamos la obtención de metadatos al mundo de la fotografía digital, podemos en algunos casos obtener incluso la geolocalización de la obtención de la imagen en concreto. Para ello utilizaremos la herramienta exif (que simplemente accede a los datos del formato Exif):

exif

Queda clara la importancia de mantener en la fotografía únicamente información que deseamos que sea pública, para evitar que circule información “oculta” a primera vista y que no deseamos ofrecer. Herramientas como Metagoofil o lafoca están enfocadas a la obtención de los metadatos, lo que puede ser el primer paso de un análisis más exhaustivo, que dé pie a posteriores etapas en un proceso de auditoría técnica.

Como no puede ser de otra manera, la recomendación es eliminar aquellos metadatos innecesarios que impliquen información privada que en cierta manera nos hace vulnerables, ya sea por dar a conocer nombres de usuarios, o ubicaciones de objetos a través de imágenes. Eso lo veremos en la siguiente entrada.

¿Uifi? ¿Uep? ¿Uvepeá? ¿Y eso qué é lo que é, señor agente?

Leía hoy una interesante entrada en el blog de Javier Cao acerca de la falta de concienciación de las contraseñas, y a través de ésta llegaba a la noticia de que la AEPD había absuelto a un usuario denunciado por colgar imágenes vejatorias en la web debido a que éste alegaba que tenía la web desprotegida [bandaancha.eu].

Aparte de algunas anotaciones muy acertadas por parte de bandaancha.eu, como es el hecho de que como indica el abogado David Maeztu, los datos de tráfico de una persona física o jurídica no pueden ser cedidos por una operadora de telecomunicaciones a la AEPD si no es previa solicitud judicial (solicitud judicial que a menudo no existe), me llama la atención que el hecho de tener la Wifi abierta pueda servir de atenuante e incluso ser una razón suficiente para absolver de una sanción de la AEPD.

Al respecto, y sin extenderme demasiado, creo que hay que destacar varios aspectos. El primero es que confiar en que tener la Wifi desprotegida pueda servirte como escudo es como poco jugársela a los dados; yo no confiaría en que la AEPD resuelva siempre positivamente, e incluso si fuese a través posibilidad de un recurso favorable, eso podría suponer unas molestias considerables. El segundo es que, a pesar de la resolución de la AEPD, en caso de tener que enfrentar una acusación de un delito mayor como podría ser pederastia, amenazas, o pertenencia a banda armada (asusta, ¿eh?), no estoy seguro de que este argumento fuese suficiente, sin mencionar las más que previsibles molestias que tal situación acarrearía independientemente de la culpabilidad o no. Tengan en cuenta, no obstante, que no soy abogado y estoy simplemente especulando, por lo que podría estar terriblemente equivocado (o depender del juez y las circunstancias del caso); en definitiva, lo que vengo a apoyar, como ya hice en su momento, es que nadie debería confiar en que tener la Wifi abierta pueda salvarle de un problema si a través de la línea de la que es titular se cometen delitos de cierta gravedad.

Hasta aquí, la cruz. La cara es que, al menos en el caso de Telefónica (por mi experiencia), y apuesto a que esto se cumple en la mayoría de proveedores, los routers de acceso a Internet se proporcionan configurados con el protocolo WEP, totalmente vulnerable y fácilmente explotable en cuestión de segundos por cualquier persona con un poco de interés; nadie con conocimientos técnicos puede alegar desconocimiento de este hecho, y menos el proveedor del dispositivo. Es más, en el caso de Telefónica dicho operador ni siquiera proporciona las claves de acceso al dispositivo, ya que su gestión se realiza por defecto —esto puede cambiarse— a través del portal “Alejandra”, aspecto que no averigua uno hasta que indaga un poco. Me apuesto un brazo con ustedes a que cualquier solicitud de asistencia técnica orientada a incrementar el nivel de seguridad de tu dispositivo (i.e. cambiar de WEP a WPA/WPA2) es (a) descartada directamente por el operador de turno, y/o (b) cobrada rigurosamente, dependiendo de la insistencia (quizá lo pruebe). En cualquier caso, y como es lógico, la mayoría de las personas que disponen de acceso ADSL a Internet carecen de los conocimientos técnicos para cambiar el protocolo de seguridad del router, y aunque uno disponga de los conocimientos (lo que podría representar un problema si el titular de la línea ha modificado la configuración pero no el protocolo de seguridad, aunque en ese caso, volvemos a las mismas), puede alegar que el dispositivo venía configurado con un protocolo vulnerable y que por precaución no lo modificó.

A la vista de las dos opciones, ¿ustedes qué opinan? ¿Es razonable preocuparse por la seguridad de la propia red para evitar delitos por parte de vecinos y/o afines, o no hacerlo es en realidad la mejor medida de seguridad?

(De todas formas, tampoco se fíen. Como ya les comentamos hace tiempo, no todo el mundo e güeno y las cosas no son siempre lo que parecen.)

Seguridad semántica

No deja de sorprenderme la confianza o la poco preocupación por la veracidad que tiene mucha gente sobre la información que circula en la red. Recientemente ha llegado a mi correo electrónico un mensaje con una presentación que contiene algunos cálculos sobre un hipotético reparto del dinero puesto en circulación por los gobiernos para tratar de paliar la crisis. Me resulta sorprendente que a la gente le llegue el correo, lo lea y ni siquiera se pare a pensar si su contenido es correcto, reenviándolo a continuación a su lista de amigos, conocidos, compañeros… Y no me refiero a una valoración subjetiva sobre la intencionalidad del mismo y sobre si uno puede estar de acuerdo o no con las medidas tomadas para combatir la crisis, me refiero más bien a algo tan elemental como realizar una división.

[Read more…]

Idiota del mes

Sin ánimo de querer inagurar una nueva sección, la de “Idiota del mes”, aquí a su izquierda les presento a D. Sol Trujillo, CEO de Telstra y flamante poseedor, hasta que se la robaron —no está claro si a él o a un asistente suyo— hace unas horas (asumo que no la perdió ni se la dejó en un taxi, ni que se la vendió a la competencia de Microsoft, porque eso —sobre todo esto último— sería mucho peor), de un prototipo de HTC Touch Diamond2 (o Pro2, no está claro) con un prototipo de Windows Mobile 6.5. Tal y como lo expresa ALT1040, “un teléfono que aún no se vende con un sistema operativo que aún no está disponible en el mercado“. Para que se hagan una idea de la importancia del bicho en cuestión (aunque seguramente ya se la hacen), en el último Mobile World Congress no se dejó que nadie tocase el dispositivo para no exponer más información de la necesaria de su funcionamiento. Y ahora va este hombre y lo pierde.

Claro que a pesar de ello, Microsoft dice que está tranquilo. Tranquilo como un flan, imagino, ¿qué otra cosa van a decir? Rezando estarán para que lo haya robado un “simple” carterista por casualidad y no alguien de la competencia.

Por cierto, ¿se imaginan a alguien comprando este trasto en un chiringuito cualquiera de Barcelona por 50 euros?

PD: Si a alguien le preocupa lo de “idiota”, estoy seguro de que eso es lo más suave que le han dicho en las últimas horas…


Para este jueves, la encuesta de la semana es la siguiente:

[poll id=”5″]

Y el resultado de la anterior es la siguiente:

[poll id=”4″]