Security Art Work

Como pudimos observar en la primera parte de esta introducción publicada hace un par de días, la tecnología RFID plantea nuevas oportunidades de mejorar la eficiencia de los sistemas de uso diario además de añadir comodidad. Pero dichas mejoras conllevan nuevos riesgos para la seguridad por ataques o caídas del servicio, riesgos para la privacidad como acceso ilegitimo a información sensible, y otros riesgos derivados de la exposición a las radiaciones. Dichos riesgos se comentarán un poco mas en profundidad a continuación. Todos los participantes de esta tecnología tienen la responsabilidad de prevenir estos riesgos, desde los responsables de desplegar la tecnología hasta los organismos o los propios usuarios.

Los riesgos para la seguridad son los derivados de acciones que pueden deteriorar, interrumpir o sacar provecho de forma maliciosa del servicio. Podemos citar diversos ataques:

• La forma mas sencilla de ataque a un sistema RFID es evitar la comunicación entre lector y etiqueta, lo que se consigue introduciendo la etiqueta en una “jaula de Faraday” (en este blog se explicó el efecto Faraday en este post) creando un campo electromagnético que interfiera con el que ha creado el lector. Este ataque puede ser considerando, en otro entorno completamente diferente, como un sistema de protección. Por ejemplo, existen fundas especiales para el pasaporte electrónico que crean una “jaula de Faraday” evitando lecturas no autorizadas de su información.
• Otro tipo de ataque sería la suplantación, que consiste en enviar información falsa que parece ser válida. De esta manera se podrían obtener productos caros con etiquetas suplantadas de productos mas económicos.
• Un tercer ataque detectado es la inserción de comandos ejecutables en la memoria de datos de la etiqueta, que podrían inhabilitar lectores y otros elementos permitiendo algún tipo de fraude o una DoS.
• Por otro lado, si saturamos el sistema enviándole de forma masiva mas datos de los que es capaz de procesar, o somos capaces de anular la comunicación de radiofrecuencia emitiendo ruido potente estaríamos frente a un ataque de denegación de servicio.

Aparte de éstos, también se pueden dar ataques como inyectar código SQL hacia el soporte físico que lee la tarjeta, ataques por inyección de malware o ataques Man in the Middle capaz de vulnerar la confianza mutua en los procesos de comunicación y reemplazar una de las entidades. También se pueden inutilizar las etiquetas sometiéndolas a un fuerte campo electromagnético si disponemos por ejemplo de una antena altamente direccional. Todos estos ataques pueden ser parcial o totalmente mitigados aumentando la capacidad de memoria y procesamiento de las etiquetas, permitiendo de esta manera implementar mecanismos avanzados de seguridad y cifrado.

Para evitar estos riesgos, se recomienda usar etiquetas de sólo lectura o no escribir los datos directamente en ellas, incluir únicamente un código en la etiqueta y el resto de información en una BBDD con mas seguridad, e incluir métodos de autenticación previos al borrado o desactivación de las etiquetas, y para realizar la comunicación entre lector y etiqueta.

Hablemos ahora de los riesgos para la privacidad de los usuarios. En éstos, se usan ataques con técnicas similares a las anteriormente mencionadas pero en los que se accede a la información personal. Este tipo de ataques van desde accesos no permitidos a las etiquetas con datos personales, hasta el rastreo de las acciones o gustos de las personas: accesos a recintos, hábitos, transportes…etc.

Las medidas para evitar los riesgos para la privacidad son una tarea primordial para las organizaciones, y requieren de una adecuada planificación del sistema de información. Al respecto, la Comisión Europea ha aprobado una Recomendación sobre Privacidad en Comunicaciones RFID denominada “On the implementation of privacy and data protection principles in applications supported by radio-frequency identification SEC (2009) 3200 final“, en la que se establecen recomendaciones y buenas practicas para implementar comunicaciones RFID.

Decir también que la Ley orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) es directamente aplicable a la tecnología RFID y con ello cada uno de los principios, derechos y obligaciones que regula. Por tanto los desarrolladores de este tipo de productos tiene que tener en cuenta entre otras cosas que:

• Debe realizarse un juicio previo sobre si realmente es necesario usar tecnología RFID, definir las funcionalidades claramente y adoptarse revisiones en relación con la cancelación posterior de los datos personales recopilados cuando no sean necesarios.
• Los usuarios deberán ser informados de la existencia del tratamiento que se le da a sus datos personales.
• Debe garantizarse la seguridad de todos los recursos relacionados con los tratamientos de datos personales vinculados a la tecnología RFID (hardware, software, organizativos…). La implantación de este tipo de tecnologías en territorio español debe respetar las normas del Real decreto 1720/2007.

Por último y no menos importante, deberá tenerse en cuenta el futuro desarrollo de la Directiva 2009/136/CE7 que indica la necesidad de velar por la protección de los derechos fundamentales, y en particular del derecho fundamental a la protección de datos, cuando las etiquetas RFID estén conectadas a redes públicas de comunicaciones electrónicas o usen servicios de comunicaciones electrónicas como infraestructura básica. En este caso, deberán aplicarse las disposiciones pertinentes de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas), incluidas las relativas a seguridad, datos de tráfico y de localización, y a la confidencialidad.

Cómo recomendaciones finales para los usuarios, para evitar este acceso indeseado a la información existen diversos sistemas:

• Utilización de etiquetas watchdog. Estas etiquetas informan de intentos de lectura y escritura que se hagan en su área de actuación.
• Aislamiento. Evitando la lectura de las etiquetas salvo en los momentos que se desee. Para ello, sólo hay que introducir la etiqueta en una funda de material metálico o plástico, que haga la función de “jaula de Faraday” comentada anteriormente.
• Firewall RFID. Estos dispositivos crean una zona segura alrededor del usuario mediante la emisión de ondas que anulan la efectividad de RFID. Se denominan también inhibidores de radio- frecuencia. Esta solución es aplicable a entornos de máxima seguridad, no compatible con situaciones en las que ciertas lecturas deben ser permitidas y otras no.
• La inutilización de las etiquetas una vez se haya realizado la transacción, destruyéndola físicamente, o mediante el comando KILL.

Con esto, finaliza la breve y básica introducción a RFID; si quieren indagar más en el tema, pueden seguir con la Guía sobre seguridad y privacidad de la tecnología RFID que ha publicado INTECO, y con los múltiples recursos que ofrece la red sobre esta tecnología tan interesante como potencialmente peligrosa.

Según el DRAE, la disuasión es la “acción y efecto de disuadir”, y disuadir significa “inducir, mover a alguien con razones a mudar de dictamen o a desistir de un propósito”; básicamente, la disuasión consiste en convencer a alguien, de una u otra forma, para que cambie su manera de actuar. Cuando hablamos de seguridad, las medidas de disuasión son las que tratan de “convencer” a alguien hostil para que cese su actitud -al menos ante nosotros-; en muchos casos, son el efecto colateral de salvaguardas reales, pero en ocasiones se utilizan de forma pura, sin ningún otro mecanismo de seguridad real más allá de la intención de “convencer” a un delincuente de que nos deje tranquilos…

Desde siempre, la disuasión ha sido uno de los pilares básicos de la seguridad, junto aspectos como la prevención, la canalización o la detección; las medidas puramente disuasorias eran habitualmente tan baratas (cámaras de seguridad falsas, carteles de conexión a CRAs inexistentes, desfiles militares con misiles de cartón…o un simple cartel de “Cuidado con el perro”) que justificar (o amortizar) su coste era trivial, así que con una rentabilidad justificada, no había impedimentos para echar mano de estas salvaguardas. Por supuesto, la efectividad de una medida estrictamente disuasoria es cuestionable: volviendo a los ejemplos anteriores, si un potencial atacante descubre que las cámaras son falsas, que no estamos conectados a ninguna CRA, que nuestros misiles se rompen si llueve o que no tenemos perro, tendrá el camino libre hacia su objetivo; así, llegado este punto, la disuasión pura habrá dejado de funcionar y deberán entrar en juego otro tipo de salvaguardas más eficaces… Adicionalmente, otro aspecto de las medidas de disuasión puras es el efecto negativo que pueden llegar a tener; si nuestra casa está plagada de controles de acceso, carteles, etc. puede llegar a convertirse, con o sin razón, en un buen reclamo para un potencial atacante, y en ese caso deberemos disponer de más medidas de seguridad para frenar el ataque. Por tanto, el uso excesivo de medidas disuasorias puede ser, en ocasiones, contraproducente.

[Read more…]

La tecnología RFID (Radio Frequency Identification) permite identificar de manera unívoca automáticamente un objeto gracias a una onda emisora incorporada en el mismo, que transmite por radiofrecuencia los datos identificativos del objeto. Actualmente estamos acostumbrados a encontrar esta tecnología en forma de etiquetas adhesivas, de forma que un objeto con una de estas etiquetas puede ser localizado a una distancia que va desde unos pocos centímetros hasta varios kilómetros, dependiendo de la fiabilidad de varias características de estas etiquetas, como pueden ser la frecuencia de la emisión, la antena o el tipo de chip que se use. En la etiqueta se graban los datos identificativos del objeto al que ésta está pegada, y dicha etiqueta genera una señal de radio que un lector físico se encargaría de recibir, transformar en datos y transmitir dicha información a la aplicación informática especifica (middleware).

La tecnología RFID va dirigida principalmente al sector logístico y al sector de la defensa y seguridad, pero sus beneficios son aplicables a otros ámbitos ya que dispone de múltiples ventajas. Entre otras, podemos citar que permite el almacenamiento de un gran volumen de datos mediante un mecanismo de diminutas dimensiones, automatiza los procesos para mantener la trazabilidad y permite incluir una mayor información a la etiqueta reduciendo así los errores humanos, evita su visibilidad en caso de intento de robo y permite mayor facilidad de retirada de un determinado producto del mercado en caso de que se manifieste un peligro para la seguridad.

Actualmente podemos encontrar dicha tecnología en tiendas de artículos, para identificar los productos y sus precios o como medida de seguridad, en transportes públicos para el control de acceso o de equipajes, en identificación de mascotas implantando un chip subcutáneo, en pago automático de peajes, en bibliotecas, eventos deportivos tipo maratones para identificar corredores, en el ámbito sanitario para control de medicamentos, identificación de muestras, etc.

Basándonos en lo anterior podemos hablar de cuatro componentes básicos en ésta tecnología:

• Las etiquetas: también conocidas como tags o transpondedores (transmisor+responder). Están compuestas por una antena que se encarga de transmitir la información, un transductor radio que convierte la información que transmite la antena y un microchip capaz de almacenar el numero de identificación y otros datos. Dichas etiquetas tienen un coste de apenas unos céntimos de euro y sus dimensiones son de hasta 0.4 mm². Según la fuente de energía que usen podemos encontrar:
  • Etiquetas pasivas: no necesitan fuente de alimentación interna, son circuitos resonantes. Alcanzan distancias entre unos pocos milímetros y 7 metros. Son de un tamaño menor que el habitual. Se suelen insertar en pegatinas y son las mas baratas del mercado.
  • Etiquetas activas: poseen una batería interna, por lo que su cobertura (cientos de metros) y capacidad de almacenamiento es mayor. Se puede usar en zonas de agua, o con mucha presencia de metales y siguen siendo válidas. Son más fiables y seguras, por lo tanto más caras y de mayor tamaño.
  • Etiquetas semi-pasivas: mezcla de las dos anteriores.

  Según la frecuencia a la que trabajen, las etiquetas se pueden clasificar en baja (125kHz – 134kHz), alta (13,553 MHz – 13,567 MHz ), ultra alta (400 MHz – 1000 MHz ) y microondas (2,45 GHz – 5,4 GHz ). Dicha frecuencia está ligada a diferentes características, como la capacidad de trasmisión de datos, velocidad, radio de cobertura, coste…

• Lector de RFID: recibe la información emitida por las etiquetas y la transfiere al middleware. Está formado por una antena, un transceptor y un decodificador. Si la etiqueta permite escritura también incorporaría un módulo programador.
• Middleware: software instalado en un servidor y que hace de intermediario entre el lector y las aplicaciones. Filtra los datos que recibe, para que a las aplicaciones sólo les llegue la información útil.
• Programadores RFID: dispositivos que realizan la escritura sobre la etiqueta. Codifican la información en un microchip ubicado dentro de la etiqueta RFID.

Además de las aplicaciones citadas anteriormente, se están estudiando otras nuevas aplicaciones de esta tecnología:

• Pagos electrónicos con móviles a través de la tecnología NFC (Near Field Communication), que permite que un teléfono móvil recupere los datos de una etiqueta RFID. Esto, combinado con medios de pago electrónicos para móviles (Mobipay, Paybox, etc.), permite comprar productos con tal solo acercar el teléfono al punto de información del producto de donde RFID extrae los datos.
• Pasaportes electrónicos que almacenan la información del titular, fotografía, huella dactilar, etc.
• Activación de vehículos y maquinaria. La etiqueta actúa en este caso como control de verificación personal.

Como hemos podido observar, la tecnología RFID plantea múltiples e interesantes nuevas oportunidades de mejorar la eficiencia de los sistemas de uso diario además de añadir comodidad, pero dichas mejoras plantean nuevos riesgos, algunos de los cuales veremos en la siguiente entrada de la serie.

(Más información en la Guía sobre seguridad y privacidad de la tecnología RFID que ha publicado INTECO)

Como todos los años, llegan por fin las ansiadas vacaciones de verano para -casi- todos, y en Security Art Work también nos vamos a tomar nuestro (quiero creer que merecido) descanso estival. Y por supuesto, nos despedimos hasta septiembre, al igual que años anteriores, con un post titulado “¡Vacaciones!” cuyo objetivo principal no es otro que desearles un feliz verano y, de paso, agradecerles a todos su participación (escribiendo o leyendo) en nuestro blog.

Echando la vista atrás, durante estos meses han sucedido cosas muy destacables, buenas o malas, en nuestro mundillo; desde la aprobación del Esquema Nacional de Seguridad o la Ley Ómnibus a la primera BlackHat celebrada en España, pasando por los problemas de seguridad en redes sociales o en tecnologías como RFID hasta llegar a temas de Protección de Infraestructuras Críticas o de information sharing, que por fin parece empiezan a calar en nuestro país. Y por supuesto, lamentamos decir que el terrorismo ha seguido siendo noticia estos meses (ETA asesinó este año a un policía francés, y dos ciudadanos españoles permanecen secuestrados en África).

En Security Art Work hemos tratado de hacernos eco de algunos de estos temas; desde aquel post de nuestro compañero Manolo hace ahora unos once meses, titulado El cinturón de seguridad (I) hasta este que publicamos hoy, hemos “colgado” un total de 182 artículos de temática tan dispar como la monitorización de usuarios en Solaris, el RDLOPD, la esteganografía o el Esquema Nacional de Seguridad, por citar sólo unos cuantos, además de series como GOTO o Seguridad Sectorial, que mejor o peor, han tratado de poner de manifiesto realidades o ilusiones que nos encontramos en nuestro día a día todos los que trabajamos en Seguridad (seguiremos con estas series a partir de septiembre, y con alguna otra ;)

Desde aquí queremos también dar la bienvenida a todos los nuevos colaboradores que durante estos meses se han “estrenado” en el blog: Adrián, Alex, Toni, David, Iván, Ximo, José, Maite, Marcos, Pedro, Raúl, Samuel, Sergio… y creo que no se me olvida ninguno (y si se me olvida, perdón por adelantado… será que me hacen falta vacaciones ;). También queremos dar las gracias por su tiempo y sus opiniones a todos los que han escrito en Security Art Work estos meses artículos o comentarios, animando a todos una vez más (nuevos y antiguos, colaboradores ocasionales, lectores habituales…) a participar en el blog, a escribir entradas y opiniones y, sobre todo, a debatir.

Aprovechen las vacaciones para hacer lo que no han podido hacer durante el año, para recargar pilas y para pasarlo bien. Cuiden de su seguridad estos días, sobre todo al volante, y al igual que cuando salen de casa toman ciertas medidas de seguridad para evitar robos, no olviden hacer lo mismo con su información y sus sistemas. Descansen y aprovechen el tiempo (o piérdanlo ;), que las vacaciones se pasan muy rápido y, sin darnos cuenta, estamos de vuelta…

Un saludo para todos y, de nuevo, feliz verano. ¡Hasta septiembre!

(Sí, la foto es la de siempre).

Después de este titular tan amarillista, viene la historia del triunfo de la concienciación en los usuarios y sobretodo, del sentido común.

Voy a poneros en situación: hace unos años, sugerí a mi padre que pidiera al banco una cuenta para operar por Internet. Inmediatamente, él vio las ventajas de la banca online: transferencias entre cuentas instantáneas, ver el saldo en el momento…

Como buen hijo, le di las recomendaciones de seguridad básicas:

• Nunca acceder al banco pulsando sobre un enlace.
• Buscar que el certificado de la web sea reconocido.
• Que aparezca el candado en la barra inferior.
• Nunca poner todas las coordenadas de la tarjeta.
• Y por último, que usara el sentido común y que si veía algo extraño, que desconfiara.

[Read more…]

(Como ya hiciera hace exactamente un año, nuestro director financiero se ha prestado a colaborar con una entrada de opinión que supone un cambio refrescante para la temática del blog, ahora que nos acercamos a esas deseadas vacaciones de las que algunos llevan ya días o incluso semanas disfrutando)

Hace unos días tuve ocasión de leer en una de esas revistas técnico-científicas que solo ojeas en las consultas médicas, cuando el tiempo de espera se hace largo, una entrevista a una veterana neuróloga (con 100 años de vida) que me impactó. Primero por la seguridad que desprendía su vida, sus declaraciones, sus palabras y sus objetivos, y segundo por la enorme diferencia con las conductas de cualquiera de estas mujeres que se autoproclaman paladines del feminismo (pertenecientes al Gobierno o no) y que nos toca mantener con nuestros impuestos.

Pensé que para los que, como el que suscribe, somos remisos en participar en el blog, era una buena ocasión para aportar mi particular granito de arena, aunque con tema distinto, a la reconocida colaboración informática —docta y a menudo muy bien documentada— que aprovechamos los neófitos para intentar aclararnos un poco. Antes de nada, una pequeña advertencia. A mi me gusta la femineidad y muchísimas de las cosas que conllevan su entorno. He puesto quince –podían ser cientos- solo como ejemplo:

• Los poemas de Carilda Oliver
• El swing de Ella Fitzgerald.
• La mirada de Candice Bergen.
• La obra de Teresa de Calcula.
• El arte dramático de Nuria Espert.
• La sabiduría de María Moliner.
• La ardua tarea de ser madre o la mal llamada “sus labores”.
• La Thurandot de Montserrat Caballé.
• Los ojos de Lyz Taylor.
• Como canta Ana Belén.
• El cuerpo, incluidos sus retoques, de Demi Moore.
• Los artículos de Carmen Posada.
• Mis colaboradoras de Administración.
• La infatigable e inacabada lucha de tantas y tantas mujeres en pro de la igualdad de derechos entre hombres y mujeres. Me tomo la licencia de excluir de este reconocimiento a las que con simpatía y sin acritud denomino “progresistas modelnas” (sic) y que podían ser lideradas, en mi particular opinión, por algunas de las actuales ministras de nuestro Gobierno.
• Y finalmente —sin especificar nombres— mi más sincera y profunda, aunque modesta, gratitud a la memoria de todas y cada una de esas mujeres que han aportado y siguen aportando, cada vez más, su enorme y erudita participación en el amplio mundo de la investigación científica.

Una de ellas es ella es Nina Levi Moltacini, nacida en Italia el 22 de Abril de 1909, Premio Nobel de Medicina en 1986 e investida “honoris causa” en Octubre de 2008 por la Universidad Complutense de Madrid. De familia sefardí, padeció todas las presiones y persecuciones del fascismo italiano y estuvo afectada por el Manifiesto de Mussolini de 1938 que la obligó a emigrar a USA. Resumo a continuación algunas de las interesantes manifestaciones que aparecían en la entrevista comentada anteriormente, realizada en el año 2005. Por mi cuenta, he resaltado algunas frases con mayúsculas, por considerarlas destacables.

¿Cómo celebrará su 100 cumpleaños?

¡Ah! No se si viviré, y además no me placen las celebraciones. ¡Lo que me interesa y me da placer es lo que hago cada día!

¿Y que hace?

Trabajo para becar a niñas africanas para que estudien y prosperen ellas y sus países. Y sigo investigando. Y sigo pensando.

¿No piensa en la jubilación?

JAMAS, la jubilación acaba destrozando el cerebro. Mucha gente se jubila, y se abandona y eso va enfermando su cerebro hasta matarlo.

Pero…¿Algún límite genético habrá?

NO. Mi cerebro pronto tendrá un siglo, pero no conoce la senilidad. El cuerpo si que se arruga, es inevitable, ¡pero no el cerebro!

¿Y …cómo se produce?

Gozamos de una gran plasticidad neuronal, y aunque mueran neuronas, las restantes se reorganizan para mantener las mismas funciones ¡pero, ojo, necesitan de una constante estimulación!.

¿Cómo?

Manteniendo tu cerebro ilusionado, activo, haciéndolo funcionar y de esta manera nunca se degenerará y vivirá mas años. Y lo que es fundamental ES MAS IMPORTANTE AGREGARLE MÁS VIDA A LOS DÍAS QUE MÁS DÍAS A LA VIDA. La clave está en mantener la curiosidad, los retos, tener pasiones, ir hacia los sitios, puesto que LO ESENCIAL ES EL IR, NO EL LLEGAR.

¿Cómo fue que una chica italiana de los años 20 se hizo neurocientífica?

En mi familia yo estaba considerada como el patito feo. Mis hermanos mayores todos eran muy brillantes y mis padres solo querían para mí, como en aquella época era normal, un buen matrimonio. Desde el principio yo solo quería estudiar. Además me estimuló principalmente la ejemplar obra que el doctor Albert Schweltzer estaba desarrollando con la lepra en África. ¡Y ESE ERA MI GRAN SUEÑO, AYUDAR A LOS QUE SUFREN!.

¿La religión frena el desarrollo del conocimiento?

Si la religión margina a la mujer frente al hombre, si que la aparta del desarrollo cognitivo.

¿Existen diferencias entre el cerebro del hombre y el de la mujer?

Sólo en las funciones cerebrales relacionadas con las emociones, vinculadas al sistema endocrino. En las funciones del conocimiento no hay diferencia alguna.

¿Por qué todavía hay pocas científicas?

No es así. Es verdad que durante siglos la inteligencia femenina no era ni reconocida ni admitida y la dejaban en la sombra. Hoy, afortunadamente, hay tantas o incluso más mujeres que hombres en la investigación científica.

¿Por qué hay tan alto porcentaje de judíos científicos e intelectuales?

La exclusión fomentó entre los judíos los trabajos intelectivos. Podían prohibirlo todo, pero no que se pensase. Durante el fascismo, Mussolini quiso imitar a Hitler en la persecución de judíos … y fuimos muchos los que tuvimos que ocultarnos o emigrar a otros países. Durante unos de esos “encierros” descubrí en el laboratorio que tenía instalado en mi dormitorio, la Apoptosis (muerte programada de las células).

¿La ideología es emoción, es sin razón?

La razón es hija de la imperfección. En los invertebrados todo está programado: es perfecto. ¡Nosotros no! Al ser imperfectos, hemos recurrido a la razón, a los valores éticos. DISCERNIR ENTRE EL BIEN Y EL MAL ES EL MAS ALTO GRADO A LA EVOLUCION DARWINIANA.

¿Lograremos un día curar el alzhéimer, el parkinson, la demencia senil?

Lo que haremos será frenar, retener y minimizar todas esas enfermedades.

¿Cuál es hoy su gran sueño?

Que un día logremos utilizar al menos la capacidad cognitiva de nuestro cerebro.

¿Qué ha sido lo mejor de su vida?

AYUDAR A LOS DEMAS.

¿Qué haría hoy si tuviera 20 años?

Lo que estoy haciendo.

A estas alturas de la película, todos sabemos la cantidad de problemas que nos puede traer Facebook en lo que respecta a nuestra privacidad. Desde empleados que son despedidos por culpa de hablar mal de su empresa, a acosos por parte de ex-parejas. La semana pasada Sean Sullivan de F-Secure comentó en su twitter la existencia de un directorio en Facebook donde se recogían todos los nombres de los usuario que se puedan buscar. Esta pagina es www.facebook.com/directory

Con esta información a Ron Bowes se le iluminó la bombilla que todos tenemos en la cabeza. Teniendo al alcance de la mano millones de nombres y apellidos de personas, ¿no se podría confeccionar una gran lista de usuarios para utilizarla con ataques de fuerza bruta? La respuesta para él fue afirmativa, y mediante un script en Ruby obtuvo 171 millones de nombres de usuario (100 millones únicos). Ahora sólo faltaba ordenarlos, crear las diferentes combinaciones de nombre/apellido y empaquetarlo todo en un torrent para compartirlo con la comunidad.

Dicho torrent se puede descargar desde Skull Security, y su contenido es el siguiente:

• La URL del perfil de todos los usuarios que se pueden buscar en Facebook.
• El nombre de todos los usuarios de Facebook, por nombre y por cuenta (perfecto para post-proceso, datamining…)
• Listas procesadas, incluyendo nombres y cuenta, apellidos y cuenta, usuarios potenciales y cuenta…
• Los programas que usó para generarlo todo.

Por ejemplo, podemos sacar los top-ten de Facebook, donde John Smith es el claro ganador:

Primera letra del nombre y apellido

129369 jsmith
  79365 ssmith
  77713 skhan
  75561 msmith
  74575 skumar
  72467 csmith
  71791 asmith
  67786 jjohnson
  66693 dsmith
  66431 akhan

Nombre y primera letra del apellido

100225 johns
  97676 johnm
  97310 michaelm
  93386 michaels
  88978 davids
  85481 michaelb
  84824 davidm
  82677 davidb
  81500 johnb
  77800 michaelc

Para evitar aparecer en esta lista, podemos modificar nuestras opciones de privacidad. Hay que ir a “Cuenta->Configuración de la privacidad”, y el primer párrafo será el que aparece en la siguiente imagen:

Pnchamos “Ver configuración”, y dentro de las diferentes opciones, cambiar la opción de “Buscarme en Facebook” a “Sólo amigos”.

Con esto estaremos a salvo de nuevas búsquedas. Si no lo tenían configurado así (no es habitual), pueden descargarse el torrent y comprobar si su nombre aparece en él. ¡Hasta mañana!

Como todos habréis podido observar, ya sea porque ya tenéis una en vuestras manos o porque habéis visto como ha proliferado su uso en distintos establecimientos de venta, por fin tenemos en España tarjetas de crédito con chip. Las tarjetas con chip nos aportan numeras ventajas respecto a las tarjetas de banda magnética:

• Más rapidez
  Las tarjetas con chip y PIN agilizan las transacciones y reducen las colas, porque eliminan la necesidad de firmar y verificar el recibo. La información que contiene una tarjeta con chip permite que algunas transacciones puedan ser autorizadas sin conexión con toda garantía, por medio de los parámetros de seguridad del chip.
• En cualquier lugar
  Las tarjetas Visa con chip están basadas en estándares globales de la industria —los EMV*—, que permiten que los clientes puedan pagar sus compras con confianza dondequiera que se encuentren.
• Flexibilidad
  La tecnología chip abre un mundo de opciones de pago, que incluyen múltiples aplicaciones de pago y, potencialmente, de otros tipos en una sola tarjeta con chip; y más terminales de autoservicio que aceptan pago con tarjeta y dispositivos de aceptación portátiles.

Y sobre todo:

• Más seguridad
  Las tarjetas Visa con chip son más seguras que nunca —es extraordinariamente difícil copiar la información que contienen. El PIN proporciona una identificación única del titular de la tarjeta e impide que una tarjeta perdida o robada sea utilizada por un tercero. Las nuevas tarjetas son mucho más difíciles de copiar que las tarjetas de banda magnética.

En mi caso, cada vez que pagaba con mi tarjeta en una tienda o restaurante y se iban con mi tarjeta a otra zona del establecimiento para efectuar el cobro siempre me venía a la cabeza la idea de que me podían copiar mi tarjeta. De hecho hace dos años así fue, mi tarjeta fue copiada (o por lo menos eso me dijeron en mi banco) y tuve que darla de baja inmediatamente; por suerte no llegaron a sustraer dinero de mi cuenta.

A pesar de las ventajas que incorporan las nuevas tarjetas el uso que se está haciendo de ellas también me trasmite una cierta intranquilidad. Me explico. Lo que se trata es de conseguir que el pago con tarjetas de crédito sea más seguro, y evidentemente la tarjeta en sí es una pieza clave del proceso de pago pero no es el único factor importante. También los son las comunicaciones, el almacenamiento de los datos, el método de introducir nuestra clave de acceso a la tarjeta, o la manera de identificar si el poseedor de la tarjeta es realmente su dueño legítimo.

Hasta ahora con nuestras antiguas tarjetas estaba establecida la buena costumbre de cotejar los datos de la tarjeta con un documento identificativo como el DNI, Pasaporte o carnet de conducir. Con el uso de las tarjetas con chip esta práctica está desapareciendo, ya que al ser más seguras muchos vendedores asumen que ya no hace falta. Pero, ¿qué nos asegura que la persona que está realizando el pago es el dueño de la tarjeta? ¿que sepa el PIN de acceso?

Por otro lado, cuando uno va a sacar dinero de un cajero, se preocupa de que no haya nadie en su espalda observando cómo introduce el PIN; los propios cajeros advierten de ello. Sin embargo, cuando introducimos el PIN en un establecimiento no se contemplan las mismas medidas de seguridad, en ocasiones ni siquiera por parte del vendedor, que se queda mirando cómo introduces el PIN. Observad la próxima vez que vayáis a un supermercado, gasolinera, o similar si sois capaces de ver el PIN de la persona que va a pagar delante vuestra en la cola. Yo lo hago siempre (sin maldad) y hasta ahora no ha habido una sola vez que no haya sido capaz de ver el PIN introducido.

Si alguien con malas intenciones hiciera lo mismo que yo y a continuación sustrajera la tarjeta a esa persona, estaría en disposición de hacer las compras que quisiera con la tarjeta. Como ya hemos comentado en más de una ocasión en el proceso de identificación de una persona ya sea en un control de acceso, o como en este caso para realizar un pago es importante contrastar:

• Algo que soy (cotejar con documento identificativo)
• Algo que tengo (tarjeta)
• Algo que se (PIN)

Considero que es importante que a pesar de que ahora dispongamos de una tarjeta más segura, no nos olvidemos de todo lo demás. No permitamos que nadie vea como introducimos el PIN en el momento del pago, y siempre exijamos que nos pidan un documento identificativo para contrastar los datos con los de la tarjeta. Como suele decirse, es por nuestra seguridad.

Nada más, pasen un buen fin de semana, y cuidado en la carretera si tienen pensado salir de vacaciones (aunque éstas se limiten al fin de semana).