Search Results for: IoT

Para los más viejos del lugar no es necesaria ninguna presentación de Jorge Ramió; por si hay alguien que no lo conozca, Jorge es —aparte de un amigo— Doctor Ingeniero de Telecomunicación, profesor de la Universidad Politécnica de Madrid y desde hace más de dieciséis años imparte docencia en el ámbito de la seguridad, tanto en España como en Latinoamérica.

Criptólogo de referencia a nivel nacional, lidera además iniciativas como Criptored, red temática de criptografía y seguridad de la información, es ponente habitual en congresos de todo el mundo y por falta de espacio no podríamos citar ni una milésima parte de sus publicaciones y trabajos en la materia :)

1. Jorge, en primer lugar agradecerte tu colaboración en esta entrevista; es un lujo contar con tu opinión en este blog. La primera pregunta que nos gustaría hacerte es casi obligada. Eres una persona que lleva muchos años en el mundo de la seguridad y podemos considerarte uno de los principales referentes en Criptología a nivel nacional. ¿Cómo has visto la evolución en seguridad en nuestro país durante estos años? ¿Vamos a mejor? ¿Vamos a peor? ¿Seguimos igual?

Hola Toni, es un verdadero placer que de vez en cuando se acuerden de ti y haya gente que se interese por lo que algunos estamos haciendo, o al menos intentamos hacer, en este mundillo de la seguridad de la información. No obstante, primero que nada una aclaración necesaria: suena muy hermoso eso de criptólogo y referente a nivel nacional, pero no llegamos a tanto ni mucho menos. Es más que suficiente indicar que soy un estudioso y trabajador de la seguridad y de la criptografía y que, efectivamente y eso es verdad, llevo más de 15 años dedicado a la seguridad.

[Read more…]

Durante el trabajo que hasta la fecha hemos desarrollado en el proyecto ProtegITs, no pocas veces se nos ha acercado una madre o un padre (en realidad, siempre ellas más que ellos) y nos ha comentado sus inquietudes sobre el uso que su hijo/a hace de Internet, los móviles, la videoconsola, las redes sociales, etc., por lo general esperando una solución mágica para sus preocupaciones que desgraciadamente no existe. La comunicación ayuda, pero para qué nos vamos a engañar, ni es la respuesta ni suena a respuesta, y menos a respuesta buena, bonita, y… fácil.

Como hemos dicho en más de una charla, la tecnología que hoy nos abruma (a unos más que a otros) está aquí para quedarse. Nos guste o no, ni los móviles ni Internet desaparecerán mañana devolviéndonos al siglo pasado, y que el padre o la madre intenten negar la realidad con soluciones del tipo “en casa no hay Internet” sólo pone a sus vástagos en inferioridad de condiciones frente a otros niños de su generación. Evidentemente el problema en este caso no es que no haya soluciones, sino que los progenitores no están preparados ni a menudo capacitados para entender qué narices está pasando a su alrededor. Y si uno no entiende un problema, difícilmente puede encontrarle una solución.

[Read more…]

El 17 de marzo de 2000 (hoy hace 11 años) un incendio causado por un rayo en una planta de fabricación de semiconductores de Royal Philips Electronics en Albuquerque, Nuevo México, provocó, según The Wall Street Journal, “una crisis corporativa que cambió el equilibrio de poder entre dos de los mayores fabricantes de productos electrónicos de Europa” (The Wall Street Journal, 29 de enero de 2001), Nokia y Ericsson. Aunque el incendio sólo duró 10 minutos, la contaminación que produjo en la “sala limpia” (donde se fabrican los semiconductores) motivó el cierre de la planta durante semanas. En aquella época, tanto Nokia como Ericsson utilizaban microchips producidos en esa planta. Sin embargo, mientras Nokia fue capaz de trasladar su suministro a otras plantas de Phillips, así como a otros suministradores americanos y japoneses, Ericsson quedó atrapada por su dependencia exclusiva de la planta de Albuquerque. Las pérdidas que sufrieron en ventas y la caída en su cuota de mercado en los meses siguientes motivaron que Ericsson se retirara del mercado de los teléfonos móviles en 2001.

Lo que hemos visto en Japón la semana pasada y cuyas consecuencias devastadoras aún estamos empezando a percibir, supera al pequeño incidente de hace ahora 11 años tanto como un tsunami a una onda en un estanque. Ya se están empezando a notar las subidas en el coste de los microchips (esos que tenemos en nuestros móviles, cámaras y en todas partes) y se va anotar aún más en la maltrecha industria de la automoción, con gran número de fabricantes (al parecer todos excepto dos, Hyundai y BMW) dependiendo en alguna forma de los suministros japoneses. En este río revuelto, ni siquiera parece que vaya a haber la “ganancia de pescadores” que experimentó Nokia en 2000, a costa de su competidora Ericsson: incluso aquellos fabricantes que teóricamente se beneficiarían de la desgracia de sus competidores (véase General Motors) verán también su cadena de suministro afectada por esta crisis de alcance global.

Aunque parezca algo cruel hablar de futuras pérdidas económicas cuando se han producido miles de pérdidas humanas en el presente, no deja de ser una buena ocasión para recordar la importancia de la monitorización de riesgos en la cadena de suministro y la necesidad de contar con planes de contingencia para abordarlos. Al fin y al cabo, el futuro de los supervivientes también depende de cómo se lleven a cabo esos planes de contingencia. No está de más recordar el lema de los boy scouts: “Be prepared!”.

Un último pensamiento para los “50 héroes de Fukushima”, los trabajadores de la planta nuclear de Fukushima Daiichi que arriesgan su vida y su salud para intentar evitar una catástrofe nuclear aún mayor. Mucha suerte para ellos, y para el resto de sus compatriotas.

—

Véase también Strategic Risk from Supply Chain Disruptions, W. J. Hopp, S.M.R. Iravani y Z. Liu.

Hace un rato leía que el primer ministro canadiense, Stephen Harper, reconocía ayer públicamente que el gobierno canadiense está sufriendo en estos momentos ataques desde equipos ubicados en China, que hasta el momento han proporcionado a los atacantes información confidencial sobre ministerios clave. Según indica el artículo, los atacantes habían accedido a equipos de altos cargos y desde ahí, utilizando el correo electrónico y algo de ingeniería social, han distribuido troyanos y obtenido claves de otros sistemas y departamentos. Me atrevo a decir que el gobierno canadiense todavía no conoce la profundidad de la intrusión.

Al parecer, una auditoría realizada en 2002 ya advertía de este tipo de problemas, sin que se hayan tomado medidas hasta hace poco (aunque según los críticos poco significativas, de acuerdo al tamaño e importancia del gobierno canadiense, ya que se habla de 90m. $ a lo largo de 5 años). Me temo que esta es la tónica general en la mayor parte de los casos, ya sean grandes empresas privadas o entidades gubernamentales; hace tiempo que se viene hablando y advirtiendo de este tipo de amenazas, por activa y por pasiva, pero pocos parecen dispuestos a valorarla en su adecuada magnitud, ya sea por falta de recursos, de voluntad o simple escepticismo.

¿Podría pasar algo parecido en España? Bajo nuestro punto de vista, España no es ninguna excepción en aspectos como el ciberterrorismo y la ciberguerra, por lo que no hay motivos para creer que estemos exentos de riesgo. En el ámbito físico ya hemos sufrido ataques traumáticos y en el virtual podríamos ser objetivo igual que Canadá, Estados Unidos o Estonia. ¿Por qué no? Quiero creer que a día de hoy un ciberataque no tendría el impacto de un gran atentado, como hacer estallar un estadio en un partido de máxima afluencia (es una suposición, no lo sé a ciencia cierta), pero en cualquier caso considero que nos haría un daño no despreciable; y si se usa no de forma única, sino como multiplicador del efecto de un atentado “clásico”, estaríamos sin duda enfrentándonos a un verdadero problema. Existen esfuerzos muy importantes para “ciberprotegernos”, tanto oficiales (CCN, CNPIC…) como en el ámbito privado (CNCCS…), pero debemos seguir trabajando intensamente para tratar de ir por delante de los malos.

Más allá de casos particulares, lo primero que cabría preguntarse es el número y magnitud de ataques o intrusiones exitosas que no son detectadas; aunque los sistemas “centrales” de un gobierno puedan estar hasta cierto punto correctamente securizados, no hay que dejar de lado la gran cantidad de pequeños organismos que proporcionan innumerables puntos de entrada a la infraestructura central. En nuestro caso particular, piensen en ayuntamientos, diputaciones, empresas públicas, institutos, observatorios, fundaciones, etc., hagan números y verán el tamaño del queso Gruyère. En mi opinión, a pesar de los avances en materia de seguridad en la última década, existen todavía dos gigantescos problemas en la concepción de la seguridad, que son compartidos por empresas y organismos públicos:

• El usuario. Sí, el usuario. Ya sé que siempre volvemos a él, pero decir que el problema reside entre la silla y el teclado (PLBCAK, Problem Lies Between Chair And Keyboard) es algo más que una broma: es una realidad. El usuario, de cualquier nivel de jerarquía, es el responsable de la mayor parte de los problemas de seguridad. Es el que abre adjuntos que llegan de remitentes desconocidos, el que utiliza su nombre como clave (o cualquier variación simple de esto), el que deja su sesión sin bloquear, el que utiliza el portátil corporativo para descargar películas y que su hijo juegue al WoW, el que utiliza el mismo USB para almacenar información corporativa que para guardar las fotos del último cumpleaños, el que hace copias de su equipo en un CD que almacena debajo del teléfono de su casa, etc. En algunos casos, cuando existen normativas y políticas que prohíben estos comportamientos, se trata de simple negligencia. En otros, es ignorancia, pereza, o falta de sentido común. Siempre acabamos hablando de programas de concienciación y formación, pero ésta debe consistir en algo más que unas charlas o cursos de formación que a modo de concesión, apaciguen las “obsesiones” del Departamento de Informática.
• La concepción de la seguridad. A estas alturas, a nadie se le ocurriría que en una organización de un tamaño mínimo el equipo que desarrolla las aplicaciones corporativas fuese el mismo que administra los sistemas, y sin embargo, en seguridad es exactamente lo que sucede; la seguridad es otra tarea más del personal de Sistemas. Esto lo vemos a menudo, cuando tenemos que entregar un informe de auditoría lógica: nos encontramos con el problema de que las vulnerabilidades detectadas ponen de manifiesto una falta de control de la seguridad, lo que irremediablemente pone en entredicho el trabajo de la figura del Responsable de Informática y su equipo de cara a Dirección. Sin embargo, esto es la consecuencia de que muchos gestores todavía no han entendido que administrar los sistemas y securizar los sistemas son procesos diferentes que requieren y necesitan personal especializado; tanto la administración de sistemas como la gestión de la seguridad son trabajos suficientemente complejos y absorventes como para que, en un entorno mínimamente complejo, la misma persona pueda hacer ambos trabajos, sin entrar a valorar la necesaria segregación de funciones. Al final de la película, esto significa que una adecuada gestión de la seguridad demanda más recursos, pero mientras podamos “cargarle el muerto” a Sistemas, eso que nos ahorramos.

El problema es el de siempre: mientras el usuario va lentamente interiorizando las buenas prácticas en materia de Seguridad de la Información, y ésta se va independizando poco a poco de Sistemas (¿cuántas organizaciones conocen que bien a través de un proveedor o personal interno hagan una gestión “auténtica” de la seguridad?), nuestros datos e infraestructuras siguen expuestas a personas que, ellos sí, saben que el usuario hará probablemente todo lo que esté en su mano para conseguir sus objetivos (Ley de Naeser: puedes construirlo a prueba de bombas, pero no a prueba de idiotas), y que el administrador del entorno atacado ya tiene bastante con hacer su trabajo como para, además, meterse a gestionar IDS, IPS, Honeynets, o estudiar ataques de seguridad, exitosos o no.

Volviendo al caso canadiense, ya en 1989 Clifford Stoll narraba en el estupendo libro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” cómo había hecho frente a una intrusión lógica por parte de espías de Europa del Este. Desde entonces, han pasado 22 años, y pienso que los gobiernos no sólo no han avanzado demasiado en la aplicación de medidas efectivas de protección, sino que la velocidad a la que se mueven es insuficiente. Me da la impresión de que las amenazas que provienen de las nuevas tecnologías son todavía algo que muchos altos cargos no han conseguido asimilar y perciben como algo “poco real”, a pesar de que, buscando paralelismos con los trabajos “clásicos” de los servicios de inteligencia, el riesgo que implica el ciberespionaje para la entidad atacada es (probablemente) mayor que el del espionaje clásico, con la ventaja de que apenas expone al atacante y es mucho más independiente del volumen de recursos.

La cuestión que deberían hacerse algunos a la vista de los hechos es: ¿podemos permitirnos el lujo de seguir ignorando este tipo de amenazas?

Ahora que ha pasado un cierto tiempo desde el escándalo de la publicación de los diarios secretos de la guerra de Iraq y la reacción del gobierno de USA, que no desmintió la información, me gustaría compartir algunas reflexiones sobre el fenómeno WikiLeaks, su relación con la privacidad de datos y la corriente dentro de la que creo que se encuadra este caso.

No voy a entrar en la legalidad difusa de sus actuaciones, la falta de transparencia (casi inevitable) del origen de los fondos con que se mantiene o la contradictoria personalidad de su líder visible, Julian Assange, puesto que mi punto de vista es que WikiLeaks es la manifestación actual de una tendencia que no tiene vuelta atrás fácil (y creo que ni difícil).

A medida que la participación en la red se populariza, cada vez hay más personas introduciendo más información acerca de sus vidas y sus intereses, públicos o privados, en bases de datos gestionadas en la nube, cuya garantía de confidencialidad y privacidad es muy dudosa. Por poner un ejemplo, la más popular de las redes sociales, Facebook, tiene unas condiciones de uso que podrían constituir la pesadilla (o el sueño) de cualquier abogado. Por supuesto, esto no supone ningún problema para ninguno de nosotros, porque no nos las leemos… :-)

La mayor parte de la información que compartimos es básicamente irrelevante, sólo interesa a unos pocos amigos o familiares cercanos y, de hecho, consciente o inconscientemente, confiamos en que al resto del mundo no le importa en absoluto lo que digamos o las fotos que subamos. En gran medida, esto es cierto: es como aquello de que el mejor sitio para esconder un libro es una biblioteca. Entre tanta información, ¿quién va a encontrar nada nuestro si no lo está buscando explícitamente?

Sin embargo, lo que se sube a Internet ya nunca se borra. O, como decían en “la red social” (the movie), “Internet no está escrito con lápiz, Mark. Está escrito con tinta”. Y, en algún momento, alguien hará una búsqueda y aquello de lo que ya ni nos acordábamos, saldrá de nuevo a la luz. ¿Quién es capaz de mantener o explicar todo lo que ha dicho en algún momento de su vida?

Nos encaminamos hacia una sociedad en la que los secretos van a ser más difíciles de mantener o, dicho de otra forma, en la que nos tendremos que acostumbrar a una mayor transparencia en nuestras actuaciones.

Y lo que es aplicable a la vida social, es aplicable a las empresas, los gobiernos y las instituciones. No por la creciente responsabilidad de los gobernantes ni de la maquinaria del estado, sino por la evolución tecnológica, que es mucho más confiable.

Hace 100 años, si alguien quería mantener una conversación totalmente confidencial, podía, simplemente, alejarse del resto y hablar en voz baja, o tener cuidado de no dejar nada por escrito. De hecho, hace poco leí que la principal dificultad de los historiadores para entender la forma de gobernar en el imperio de Felipe II es que el rey no solía dejar por escrito sus órdenes, que se transmitían verbalmente. Hoy en día, no se puede estar seguro de que algo se vaya a mantener en secreto. Todo se registra de varias maneras diferentes, legales o no. Y ya no es posible guardar el registro bajo siete llaves. Las filtraciones, si hay algún interés en ello, son inevitables a la larga.

Por supuesto, el camino no será fácil ni directo. Seguro que veremos corrupciones en WikiLeaks o similares, corrupciones reales o montajes realizados para desprestigiar. Seguro que habrá filtraciones falsas que superen los mecanismos de comprobación establecidos (ya ocurre en los medios tradicionales).

En mi opinión, la tendencia es imparable. Sinceramente, creo que para bien.

La tecnología RFID (Radio Frequency Identification) permite identificar de manera unívoca automáticamente un objeto gracias a una onda emisora incorporada en el mismo, que transmite por radiofrecuencia los datos identificativos del objeto. Actualmente estamos acostumbrados a encontrar esta tecnología en forma de etiquetas adhesivas, de forma que un objeto con una de estas etiquetas puede ser localizado a una distancia que va desde unos pocos centímetros hasta varios kilómetros, dependiendo de la fiabilidad de varias características de estas etiquetas, como pueden ser la frecuencia de la emisión, la antena o el tipo de chip que se use. En la etiqueta se graban los datos identificativos del objeto al que ésta está pegada, y dicha etiqueta genera una señal de radio que un lector físico se encargaría de recibir, transformar en datos y transmitir dicha información a la aplicación informática especifica (middleware).

La tecnología RFID va dirigida principalmente al sector logístico y al sector de la defensa y seguridad, pero sus beneficios son aplicables a otros ámbitos ya que dispone de múltiples ventajas. Entre otras, podemos citar que permite el almacenamiento de un gran volumen de datos mediante un mecanismo de diminutas dimensiones, automatiza los procesos para mantener la trazabilidad y permite incluir una mayor información a la etiqueta reduciendo así los errores humanos, evita su visibilidad en caso de intento de robo y permite mayor facilidad de retirada de un determinado producto del mercado en caso de que se manifieste un peligro para la seguridad.

Actualmente podemos encontrar dicha tecnología en tiendas de artículos, para identificar los productos y sus precios o como medida de seguridad, en transportes públicos para el control de acceso o de equipajes, en identificación de mascotas implantando un chip subcutáneo, en pago automático de peajes, en bibliotecas, eventos deportivos tipo maratones para identificar corredores, en el ámbito sanitario para control de medicamentos, identificación de muestras, etc.

Basándonos en lo anterior podemos hablar de cuatro componentes básicos en ésta tecnología:

• Las etiquetas: también conocidas como tags o transpondedores (transmisor+responder). Están compuestas por una antena que se encarga de transmitir la información, un transductor radio que convierte la información que transmite la antena y un microchip capaz de almacenar el numero de identificación y otros datos. Dichas etiquetas tienen un coste de apenas unos céntimos de euro y sus dimensiones son de hasta 0.4 mm². Según la fuente de energía que usen podemos encontrar:
  • Etiquetas pasivas: no necesitan fuente de alimentación interna, son circuitos resonantes. Alcanzan distancias entre unos pocos milímetros y 7 metros. Son de un tamaño menor que el habitual. Se suelen insertar en pegatinas y son las mas baratas del mercado.
  • Etiquetas activas: poseen una batería interna, por lo que su cobertura (cientos de metros) y capacidad de almacenamiento es mayor. Se puede usar en zonas de agua, o con mucha presencia de metales y siguen siendo válidas. Son más fiables y seguras, por lo tanto más caras y de mayor tamaño.
  • Etiquetas semi-pasivas: mezcla de las dos anteriores.

  Según la frecuencia a la que trabajen, las etiquetas se pueden clasificar en baja (125kHz – 134kHz), alta (13,553 MHz – 13,567 MHz ), ultra alta (400 MHz – 1000 MHz ) y microondas (2,45 GHz – 5,4 GHz ). Dicha frecuencia está ligada a diferentes características, como la capacidad de trasmisión de datos, velocidad, radio de cobertura, coste…

• Lector de RFID: recibe la información emitida por las etiquetas y la transfiere al middleware. Está formado por una antena, un transceptor y un decodificador. Si la etiqueta permite escritura también incorporaría un módulo programador.
• Middleware: software instalado en un servidor y que hace de intermediario entre el lector y las aplicaciones. Filtra los datos que recibe, para que a las aplicaciones sólo les llegue la información útil.
• Programadores RFID: dispositivos que realizan la escritura sobre la etiqueta. Codifican la información en un microchip ubicado dentro de la etiqueta RFID.

Además de las aplicaciones citadas anteriormente, se están estudiando otras nuevas aplicaciones de esta tecnología:

• Pagos electrónicos con móviles a través de la tecnología NFC (Near Field Communication), que permite que un teléfono móvil recupere los datos de una etiqueta RFID. Esto, combinado con medios de pago electrónicos para móviles (Mobipay, Paybox, etc.), permite comprar productos con tal solo acercar el teléfono al punto de información del producto de donde RFID extrae los datos.
• Pasaportes electrónicos que almacenan la información del titular, fotografía, huella dactilar, etc.
• Activación de vehículos y maquinaria. La etiqueta actúa en este caso como control de verificación personal.

Como hemos podido observar, la tecnología RFID plantea múltiples e interesantes nuevas oportunidades de mejorar la eficiencia de los sistemas de uso diario además de añadir comodidad, pero dichas mejoras plantean nuevos riesgos, algunos de los cuales veremos en la siguiente entrada de la serie.

(Más información en la Guía sobre seguridad y privacidad de la tecnología RFID que ha publicado INTECO)

A lo largo de mi carrera como estudiante universitario, y más tarde durante mi etapa como técnico de sistemas, me he encontrado a menudo con el tema de debate preferido por el personal técnico —y no tan técnico— de sistemas: Windows vs. Linux. Será que me estoy haciendo mayor para discutir, o que tengo otras preocupaciones, pero lo cierto es que actualmente no es una cuestión que me preocupe lo más mínimo; si quieren saber mi opinión, cada uno tiene sus ventajas y sus desventajas, y el resto es simple miopía (o ceguera, en los peores casos). De cualquier modo, hay veces que esta discusión muta y se convierte en una igual de estéril pero mucho más relacionada a mi parecer con la seguridad, que es de lo que he venido a hablar aquí: open source vs. closed source. Es decir, código abierto vs. código propietario (que me disculpen los puristas del lenguaje y de las licencias si la traducción de Open Source no es la mejor).

Y como por lo general los que más ruido arman son los defensores del open source, lo que vengo a criticar es que sus ventajas ni son tantas ni tan buenas como sus partidarios quieren hacer creer. Aun diría más: la etiqueta en cuestión no sólo no garantiza absolutamente nada en términos de seguridad y/o funcionalidad, sino que puede inducir a engaño y una falsa sensación de seguridad, sobre todo en aquellas personas más “creyentes” en la causa. Ya verán.

Nuestra historia comienza en el momento que alguien afirma que como el kernel de Linux es open source, pues es “obviamente” mejor que Windows, porque eso nos permite modificar su código y adaptarlo a nuestras necesidades, además de que nos aseguramos de que su código sea revisado y validado por miles de ojos, y por tanto esté libre de errores o vulnerabilidades. Francamente, no sé ustedes, pero yo no conozco muchas personas de las que utilizan Linux a diario que hayan echado nunca un vistazo al código fuente del S.O. con intención de hacer algo productivo, entre los que me incluyo; a todo lo que llegué fue a la soberana idiotez de compilar todo el sistema como se puede/podía hacer con Gentoo, pero ello sin mirar ni una puñetera línea de código (que por otra parte, hubiesen dejado en evidencia mis limitados conocimientos de C). En general, cualquier vistazo a los fuentes del kernel es motivado por problemas de compilación, que nunca son problema del código sino de una configuración errónea, conclusión a la que llega uno tras decidir que ya ha perdido bastante el tiempo. Resumiendo, que el código fuente del kernel de Linux está ahí, pero aparte de unos cuantos privilegiados, nadie le mete mano por su complejidad. Y a pesar de esos miles de ojos, periódicamente se publican vulnerabilidades del kernel que se supone que el hecho de que sea código abierto nos garantiza que no deberían estar ahí.

Este último aspecto es algo que me llama mucho la atención del código abierto. Dejando atrás el kernel, hay programas cuyos fuentes son públicos, y protocolos universalmente conocidos que un buen día, después de años sin mayores problemas, resulta que algún genio en estado de gracia demuestra que son vulnerables, si Marte se sitúa en el cuarto cuadrante de Sagitario y en ese momento tienes hambre. Así, sin más. ¿Cómo es que nadie se había dado cuenta hasta entonces? ¿Pero no había miles de ojos? Protocolos abiertos, conocidos, muchas veces implementados, estudiados y revisados… ¿cómo es posible que este tipo de cosas sigan pasando, año tras año? Lo más interesante de todo es: si hubiesen sido código propietario, ¿cuánto tiempo habríamos tardado en descubrir esa vulnerabilidad? ¿Más, o menos?

Hace ya cierto tiempo, fui a parar al caso de g-archiver. La utilidad de este software, que hasta hace un tiempo podían comprar/descargar desde su web aunque era totalmente desaconsejable, es/era facilitar la realización de copias de respaldo del contenido de una cuenta de Gmail. Por fortuna, Dustin Brooks descubrió que su autor, John Terry, no sólo había cometido la estupidez de hardcodear en el código el usuario y la clave de una cuenta de Gmail, sino que además enviaba a dicha cuenta de correo el usuario y contraseña de cualquier usuario que utilizase el programa. Es cierto que esto parece un argumento en toda regla a favor del código abierto, pero lo cierto es que al menos 1700 usuarios confiaron en el programa antes de que Dustin descubriese este problema, lo cual me hace pensar que la etiqueta open source no supone en realidad ningún tipo de garantía sino que además puede llevar a pensar a los defensores del código abierto que el programa está libre de malas prácticas o vulnerabilidades graves.

Es cierto que si dicho programa hubiese sido código propietario, el problema hubiese sido probablemente descubierto mucho más tarde. Claro que eso demuestra simplemente la poca sensatez del personal, y es una lección más de que no hay que confiar en cualquier programa que encuentre uno en Internet, independientemente de si el código está disponible o no. Me atrevo a afirmar que si el tal John hubiese sido un mejor desarrollador (asumiendo que el descuido fue malintencionado y no un trozo de código utilizado para testear que desafortunadamente acabó en la versión de producción), habría sido capaz de ocultar su usuario, su clave y el envío de las credenciales de los usuarios con técnicas de ofuscación, de modo que nadie se hubiese percatado de sus intenciones al revisar el código, más que con un análisis muy exhaustivo… cosa que no es demasiado habitual.

Seguramente saben lo que es el Javascript. La mayor parte de las páginas utilizan algo de javascript, y se utiliza prácticamente para todo (y cada vez más). Además, como es código que tiene que ser interpretado por el navegador del cliente, tiene que ir en claro; si quieres ocultar algo, mejor utiliza flash (o eso creo; francamente, de tecnologías web no sé más que lo justo). Eso parece apuntar a que cualquier desarrollo que hagamos puede ser “robado” por otros desarrolladores. Nada más lejos de la realidad; existen programas para comprimir y ofuscar el código, que lo hacen virtualmente ininteligible para cualquier persona, incluyendo a su autor. Por tanto, el hecho de que dispongamos del código de dichos desarrollos no supone ni una ventaja ni una desventaja; unas veces es una necesidad de tamaño (tamaño del código) y otras una necesidad de protección (propiedad del código).

Podría parecer, llegado este punto, que defiendo que el código propietario es más seguro que el código abierto. Pues tampoco. La muestra son no sólo las frecuentes vulnerabilidades del software propietario como el de Microsoft, Adobe y otros, sino la velocidad a la que dichas vulnerabilidades se descubren cuando alguien está realmente interesado en encontrarlas (véase cualquier código relacionado con DRM). Por tanto, la verdad es que por lo general da exactamente lo mismo; no se fíen ni de uno, ni de otro. Con lo cual llegamos a lo que les comentaba al principio: que la conversación es tan estéril como el del huevo y la gallina, y tampoco sirve para dar conversación a la vecina del sexto en el ascensor. Es más, seguro que te mira raro y piensa que eres un friki; mejor utiliza la previsión del tiempo.

Acabo. Si recuerdan, el principio denominado “Seguridad por oscuridad” (Security thru obscurity) consiste en ocultar los detalles de diseño e implementación —entre otros— de un programa o dispositivo, consiguiendo que el producto actúe como una caja negra y por tanto sus potenciales puntos débiles no puedan ser descubiertos. En principio, eso se considera una mala política, porque además de que la exposición pública incrementa la posibilidad de que sus vulnerabilidades sean descubiertas (algo que como hemos visto no exactamente cierto), siempre hay alguien que acaba descubriendo sus vulnerabilidades, explotándolas, y entonces es cuando decimos que una vulnerabilidad esta siendo explotada “in the wild”. Lo cierto es que eso pasa con código abierto y con código propietario, a pesar de lo que puedan pensar; las vulnerabilidades están ahí hasta que alguien las descubre públicamente, y mientras tanto, quién sabe.

El problema no es, en realidad, código abierto frente a código cerrado. El problema son empresas responsables frente a empresas irresponsables. No me hagan dar nombres, que me entra la risa.

Nada más. Tengan cuidado ahí fuera y pasen un buen fin de semana.

Me despertaba esta mañana con la noticia de que el Partido Popular ha propuesto en el Congreso de los Diputados que a) los menores de 18 años necesiten consentimiento (actualización: al parecer, ahora ya sólo piden conocimiento) para acceder a las redes sociales, y b) los menores de 14 años no puedan siquiera acceder a éstas ([elmundo.es][ElPais.com]). Francamente, la primera de ellas me parece una barbaridad en toda regla, y aunque la segunda es más lógica por aquello de la edad, les diría que también estoy en desacuerdo. Veamos.

Lo primero que se me ocurre es que, en un país en el que existe actualmente, y a la vista de los últimos delitos, un debate sobre reducir o no la edad penal de los menores de la actual 14 a 12 años, parece una contradicción que una persona de menos de 18 años, que a partir de 16 puede conducir una motocicleta, tenga que solicitar autorización paterna para acceder a las redes sociales. Entonces, ¿debemos o no considerar a una persona madura a los 16 años? ¿Sí o no? ¿Sí para entrar en la cárcel, pero no para entrar en las redes sociales? Si asumimos que una persona de 15 años debe ser responsable penalmente de sus actos… bueno, pues ya saben cómo sigue el argumento.

Ya lo sé. La finalidad de rebajar la edad penal y la de incrementar la edad “tecnológica” (porque esa es al fin y al cabo la idea) es diferente. En este caso, se trata de proteger al menor de todo el abanico de “sujetos” e indeseables que pululan por las redes sociales. El problema es que pensar que Internet está limitado a las grandes redes sociales Tuenti, Facebook y MySpace es por completo ingenuo y una muestra más del desconocimiento de Internet del estamento político (en esto es fácil generalizar). Por suerte para aquellos que no somos especialmente aficionados a las redes sociales, Internet es mucho más que las tres Marías de arriba o todo lo que les he enumerado: hay infinidad de chats, pequeñas redes sociales, foros de aficiones (algo a lo que, vaya por Dios, los menores suelen ser muy propensos), blogs, sistemas de mensajería instantánea como MSN, ICQ, o Gtalk, y eso para empezar. Entonces, ¿es factible que los menores de 18 años necesiten consentimiento para acceder a Internet? Estaremos de acuerdo en que es una barbaridad, ¿cierto? En su lugar, ¿no sería mucho más lógico enseñar a los menores, independientemente de su edad, a aplicar las medidas de protección que aplican en su vida diaria? Ya saben, no fiarse del primero que pasa, no dar datos personales, no aceptar “caramelos”, no exponer tu vida íntima, etc.

Claro que en Internet hay contenido pornografico, violento, racista y totalmente perjudicial para los menores, todo ello accesible sin ningún tipo de restricción; sólo hay que buscarlo un poco, y cuesta poco nada encontrarlo. Sin duda, está llena de indeseables; real como la vida misma. ¿Vamos a prohibirle a un menor de 18 años que vaya al cine, salga de fiesta o simplemente quede con los amigos en una plaza cualquiera (por la que muy probablemente de vez en cuando pasa algún camello, algún delincuente, algún skinhead, o algún sujeto de pocos escrúpulos)? Creo que no, ¿verdad? (Si intentan prohibir ese tipo de cosas, suerte con sus hijos y las autoridades judiciales). Educación.

Verán, durante toda mi vida he ido de vacaciones a un pequeño pueblo de la provincia de Valencia, llamado Cortes de Pallás [Google maps]. Durante los últimos años, un extraño fenómeno ha sucedido: cuando llega la hora de la siesta, un puñado de menores se reunen en las escaleras de la vieja escuela, con el portátil en las rodillas, y allí se pasan sus buenas dos horas hasta que (imagino) la batería del portátil no da más de sí. ¿La razón? Es el único lugar del pueblo que dispone de conexión a Internet vía Wifi, es decir: Tuenti, Facebook, MSN, etc. No entraré a valorar la idiotez de esta costumbre, propia de la adolescencia y la pubertad, teniendo una fenomenal piscina que a las cuatro de la tarde es todo un lujo, pero si quiero comentar sobre la prolongación de la vida social en que se ha convertido Internet para los menores; les permite estar en contacto con sus amigos casi de manera permanente, compartir fotos, experiencias, comentarios, y cotilleos, y eso es algo que, aunque uno haya tenido una adolescencia moderadamente autista, a esa edad es imprescindible. Es más, voy a llevar ese argumento un poco más lejos: quizá no hoy, pero dentro de unos años no estar presente en Internet de manera activa puede llegar a ser una carencia social importante.

Con lo que vamos al siguiente punto. Hemos hablado de la necesidad de educar, no prohibir, y de lo vital que es Internet para las relaciones sociales (de todo tipo). Pero lo cierto es que las redes sociales son el punto de entrada de muchos menores a Internet, la excusa si quieren, a partir del cual desarrollar toda una identidad digital, y familiarizarse con la tecnología. Si no tener Internet en casa te pone en desventaja con otras personas (hoy quizá no, mañana sin duda), limitar mediante prohibición el primer contacto de los menores con Internet sólo conseguirá ponerlos en desventaja con los menores de otras partes del mundo, e incrementar la edad de la primera toma de contacto con Internet y los ordenadores. Es decir, con el futuro.

Aunque hay sin duda innumerables argumentos en contra de la propuesta, acabo con el más típico. No cabe duda de que el Estado debe estar ahí para velar por la seguridad de sus ciudadanos, independientemente de su edad, pero no nos pasemos. En primera instancia, quien debe velar por la seguridad de un niño son sus progenitores; quizá sería mejor dotarles también de una necesaria formación, y animarles a estar en contacto con sus hijos en las mismas redes sociales. Decisiones como dar a un menor un portátil, o poner un PC en su habitación deben ser previamente reflexionadas y no tomadas alegremente, con su necesaria dosis de diálogo y conversación. Una cosa es prohibir a un chaval de 16 años salir de casa a cualquier hora y a cualquier sitio, y otra muy diferente verlo salir el viernes y no preocuparse por él hasta el lunes. Sí, ya sé que es lo de siempre, pero es lo que hay.

Acabo. Dicen que tememos aquello que desconocemos, y no me cabe duda de que esa es la raíz de la prohibición propuesta. Por suerte, les guste o no, Internet ha venido a quedarse, y sus ventajas y oportunidades superan con mucho sus problemas.