Open Source y seguridad

No se puede basar la seguridad de un programa en el secreto de los algoritmos utilizados o de su implementación (el secreto se debe aplicar a las claves privadas). Aunque parezca paradójico, es más seguro poner a disposición pública el código fuente de un programa que mantenerlo en secreto. Abrir el código supone exponer sus vulnerabilidades y parecería que es mejor que los delincuentes no puedan verlas, que no les demos esa ventaja.... Leer Más

Google Ad Hacking

Vayan ustedes a Google y busquen alguna palabra que sepan que tiene enlaces patrocinados, de éstos que suelen visualizarse a la derecha de los resultados y en la parte superior, con fondo amarillo. Por mi parte, he escogido “Canon”. ... Leer Más

Lucha contra el spam

Hace ya algunos meses, una compañía israelí llamada Blue Security dedicada a luchar contra el spam puso en marcha, o intentó poner en marcha, un servicio anti-spam que desde cierto punto de vista, podría considerarse un ataque de denegación de servicio en toda regla. Básicamente, la idea que no hay que olvidar es que detrás de cada correo basura que llega al buzón, hay alguien que intenta vendernos algo. Por lo tanto, debe de existir un medio de contactar con éste para hacerle llegar el hipotético pedido, y en conclusión, acaba siendo también vulnerable al spam, lo cual no deja de resultar paradójico. En este caso en concreto, el servicio de Blue Security mandaba al vendedor un correo en el que solicitaba el borrado de la dirección de correo de su cliente -el suscriptor del servicio- de la lista empleada para mandar el spam. Con una lista de medio millón de suscriptores, el vendedor acababa colapsado y con ello sus actividades de “promoción” a través del mailing indiscriminado. Por supuesto, la historia no quedó ahí, pero como tiene casi un año, pueden ustedes leerla en Wired. Les prometo que les gustará, parece sacada de una novela de John Le Carré. Por otra parte, no intenten utilizar la misma táctica a título personal; todo lo que conseguirán es recibir, si cabe, mucho más correo basura del que ya reciben.... Leer Más

Tira cómica

Vía Get Fuzzy, una divertida aproximación gráfica a varios problemas actuales que tiene la seguridad en muchas organizaciones: a) olvidar que un incidente de seguridad puede proceder -y a menudo lo hace- tanto de fuera como de dentro de la organización, b) obviar el necesario análisis previo que sea capaz de identificar todos los riesgos, c) la presencia de lo que en términos anglosajones se ha dado en llamar Security Theater, es decir, la presencia habitual de medidas de seguridad que aportan poca o nula protección pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad, y d) la falta de control sobre las medidas de seguridad implantadas (fíjense en que estos supuestos “controles de seguridad” están conectados *fuera* de la habitación).... Leer Más

Falsa seguridad

El artículo 26 del actual Reglamento de Medidas de Seguridad (RMS), dentro del Capítulo IV, y en relación a las medidas de seguridad de nivel alto, dice lo siguiente:

Artículo 26. Telecomunicaciones

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Como es obvio, uno de esos medios es el correo electrónico, y es común que en departamentos clave en la gestión de datos especialmente protegidos se haga un uso intensivo de esta herramienta para la comunicación con terceros. Mutuas o gestorías, entre otros, suelen ser receptores habituales de este tipo de información, en el papel de Encargados del Tratamiento. Hasta aquí, nada que objetar al respecto.

[Read more…]

Seguridad de la Información

Leía hoy en Paloma Llaneza [Times Online] que los japoneses y coreanos están empezando a abordar el tema de la seguridad en relación con la robótica, y no me refiero a los que pueden encontrar ustedes en cualquier cadena de montaje de una fábrica de automóviles. No, en realidad, la noticia ronda más los textos de Asimov, aunque no se lo crean; ya saben, en la línea de aquellas tres leyes de la robótica del escritor ruso.... Leer Más