Security Art Work

Por todos es conocido el hecho de que el mejor producto que pueda fabricarse, o servicio que pueda proveerse, necesita de una gestión de marketing para su promoción en el mercado al que va dirigido; por bueno que sea, un producto o servicio no se vende si no se da a conocer. La labor del personal de este departamento, tantas veces infravalorada por otras áreas de la empresa es la que da vida a la misma, mediante la promoción de productos y servicios para la obtención de contratos y pedidos por parte de los clientes. Esta tarea es casi siempre callada y confidencial, con el objeto de evitar que otros competidores puedan estar informados de las posibilidades de negocio de la compañía, y sólo cuando una contratación se produce, se anuncia, anuncio que casi nunca transmite de manera evidente el esfuerzo que ha requerido la venta, y más aún en el caso de nuevos clientes.

Sin embargo, en todos los sectores existen factores que el personal de Marketing no ignora y que son decisivos a la hora de valorar las posibilidades de obtener un contrato con un cliente. En el caso que nos ocupa, los servicios de seguridad, hay una serie de componentes que facilitan o complican la presentación de ofertas y sus posibilidades de éxito, y que posteriormente serán los que condicionen la satisfacción del cliente y su fidelidad.

Inicialmente, el cliente valorará el producto o servicio ofrecido, y verá si satisface sus necesidades. En caso de ser así, pasará a valorar al proveedor que se lo ofrece, para lo cual evaluará la infraestructura de soporte de la que el proveedor dispone, las ventajas particulares que le aportaría dicho proveedor frente a otros (valor añadido), y considerará el nivel de satisfacción que otras empresas o clientes usuarios del mismo servicio puedan aportarle como referencia. En definitiva, lo que está haciendo es contrastar la fiabilidad del proveedor antes de realizar la contratación.

Es aquí donde la gestión interna del proveedor, su estructura, su eficacia y su coste van a jugar un papel importante para que el posible cliente juzgue conveniente o no depositar su confianza en él. Además, la información que un cliente satisfecho o insatisfecho puede aportar en estos casos es clave para la obtención de nuevos contratos, y podemos decir que en ese instante, se está valorando sobre todo la fiabilidad y actitud del personal que presta el servicio, mas que la marca o nombre de la empresa proveedora.

Entrando en materia, en lo que concierne a servicios de gestión y seguridad de la información, la actitud de los empleados que prestan el servicio, la calidad de los procesos que intervienen en el control de problemas y solución de los mismos, el tiempo de respuesta y duración de los incidentes, así como la posible repetición o desaparición de estos, son factores clave a la hora de valorar los servicios de un proveedor, y serán transmitidos por el cliente “experto” al “futurible” de una forma positiva o negativa, de acuerdo a su situación y nivel de satisfacción con dicho proveedor.

Por ello, el personal de soporte resulta, más en ocasiones que otras personas igualmente vitales pero menos visibles, un elemento crucial en el posible éxito o fracaso del área de servicios de una empresa, tanto por parte del proveedor de dichos servicios (fundamental) como por parte del equipo interno del cliente. Al fin y al cabo, ambos van a menudo de la mano, y el entendimiento y colaboración entre ambas partes llevará al éxito o fracaso del servicio, con independencia del nivel de gravedad de los incidentes que se produzcan; al respecto, suele ser más lesiva una permanencia repetitiva de incidencias de bajo nivel a la que nadie presta la debida atención, pero que comprometen a empleados del cliente, que un incidente de nivel alto solucionado con prontitud, ya que siempre pesará más el día a día que la situación excepcional, sin negar la importancia que tal hecho tenga.

Para que el equipo de soporte alcance el nivel de prestaciones y desempeño que de él se espera, será también necesario organizar internamente el equipo, definiendo roles y responsabilidades (job descriptions), medios de medición de cumplimiento, etc., pero también facilitando herramientas eficaces y claras a los responsables del servicio, de modo que cada cuál sepa qué debe hacer en cada caso, y cuales son las soluciones que puede aportar. Para ello, métodos, procedimientos y políticas serán fundamentales, no bastando con redactarlas y publicarlas sino que será necesario un entrenamiento y puesta al día periódicamente, para alcanzar una alta fiabilidad. En este asunto, el trabajo planificado, los controles de errores, la inspección y test preventivos son fundamentales, pero también la permanencia del personal en su puesto (baja rotación), preservando la experiencia y el conocimiento necesario, tanto sobre su entorno de trabajo como sobre el de los clientes a los cuales presta el servicio. Todo ello proporcionará un importante incremento en la eficacia del servicio.

Es pues necesario recalcar que la labor de venta de un servicio y la contratación del mismo no son artes que una empresa pueda desarrollar sin tener una base de soporte bien asentada y un personal eficaz y responsable que conozca la importancia de su trabajo y lo crucial de sus relaciones con los clientes. La seguridad de los servicios, como en tantos otros negocios, no es solamente un tema técnico sino que está influenciada por un factor humano que los condiciona enormemente.

En 37 años como proveedor y cliente de servicios de seguridad y gestión de la información, he visto toda clase de problemas, graves y menos graves, resueltos con prontitud o con dificultad, pero siempre el factor de confianza en el equipo humano que daba el soporte ha sido crucial en la toma de decisiones posteriores y en la valoración de nuevos contratos. Formación y titulación de los técnicos son factores que generalmente no están al alcance del posible cliente, pero eficacia, disponibilidad y confianza son términos que se manejan con claridad a la hora de que un responsable de contratar un servicio haga una propuesta a la dirección de su empresa. Para ello, siempre contrastará otras experiencias antes de decidir y por ello, de nuevo el personal que presta el servicio es una de las claves de éxito.

Como se puede leer en la Wikipedia, la Pirámide de Maslow es una teoría psicológica propuesta por Abraham Maslow en su obra de 1943 “Una teoría sobre la motivación humana” (A Theory of Human Motivation). Maslow formula en su teoría una jerarquía de necesidades humanas y defiende que conforme se satisfacen las necesidades más básicas, los seres humanos desarrollan necesidades y deseos más elevados; en esta jerarquía, en el segundo escalón -justo por encima de las necesidades básicas para sobrevivir-, aparecía el concepto de seguridad en todos sus ámbitos: lo que necesitamos, una vez sobrevivimos, es tranquilidad.

Según Maslow, en la jerarquía propuesta, las necesidades más altas ocupan nuestra atención sólo cuando se han satisfecho las necesidades inferiores de la pirámide; las fuerzas de crecimiento dan lugar a un movimiento ascendente en la jerarquía, mientras que las fuerzas regresivas empujan las necesidades prepotentes hacia abajo en la jerarquía (algo a tener especialmente en cuenta en estos tiempos de crisis).

Con el tiempo, la pirámide de Maslow se ha extrapolado a ámbitos mucho más amplios que la psicología humana. En concreto, en el mundo de la seguridad, hay algunos artículos que tratan de asimilar la pirámide a niveles de seguridad o de confortabilidad conseguidos en la organización (focalizados muchos casos en la seguridad informática), únicamente bajo la perspectiva del grado de seguridad implantado. En este post hablaremos de la pirámide de Maslow de la SEGURIDAD global en las organizaciones, pero desde un punto de vista diferente: nos centraremos, como hizo Maslow, en las necesidades o deseos en cada una de las fases jerárquicas de la pirámide.

Asimilando esta pirámide a la seguridad, podemos definir un primer escalafón -la base de todo- que podríamos denominar AUTOPROTECCIÓN. En el mismo, nos interesa la seguridad y la protección de nuestros activos, pero no invertimos recursos en dicha protección; dicho de otra forma, nos dejamos llevar, aplicando las salvaguardas mímimas para sobrevivir: no cruzamos la calle cuando hay tráfico, no introducimos virus en nuestros ordenadores, cerramos nuestra oficina con llave…

Por encima de la autoprotección encontramos el DESCONTROL; en esta fase ya “sobrevivimos”, y nuestra necesidad o nuestro deseo es cubrir los aspectos de seguridad que van más allá de la mera supervivencia. Para conseguir este deseo, implantamos -o mejor dicho, permitimos que se implanten- unos controles mínimos en base al criterio personal de miembros de nuestra organización, sin mayor estructura ni coordinación. Así, nuestra seguridad depende por completo de las personas que tenemos en nuestra organización, de su buen hacer y de sus intenciones; en muchos casos, si esas personas dejan de trabajar con nosotros, sus actividades sencillamente se pierden.

Más allá de la anterior, encontramos la fase de CONTROL; aquí ya no dejamos nuestra seguridad en manos de un grupo de personas sin coordinación, sino que velamos para que el trabajo de estas personas sea correcto y reproducible, y para que esté correctamente identificado y coordinado. En la fase anterior necesitábamos cierto control para coordinar las actividades que, relativas a seguridad, se venían ejecutando en nuestra organización, y eso es lo que hemos introducido en esta fase de la jerarquía; ya no permitimos que las tareas de seguridad se hagan “porque sí”, o porque un técnico decide en un determinado momento que nos hace falta un sistema de CCTV, sino que todas siguen un hilo conductor coordinado relativamente y con un fin concreto: la protección del negocio.

Por encima de la fase de control, tenemos la de AUDITABILIDAD; en nuestra seguridad hemos superado el control, y nuestro próxima necesidad es por tanto garantizar, aparte de que las cosas se hacen bien y de forma organizada, que son trazables y un tercero (o nosotros mismos) puede analizarlas para comprobar su eficacia y su eficiencia. Así, estamos consiguiendo no sólo hacer las cosas bien, sino que los demás puedan comprobar que las hacemos bien (y con esto no nos referimos únicamente a la certificación de un sistema de gestión por parte de un tercero, sino que nos referimos a cumplimiento de estándares de auditoría interna, financiera, etc.).

Finalmente, como cúspide de esta pirámide de Maslow que nos hemos inventado, encontramos la GESTIÓN de la seguridad. No sólo garantizamos el control y la trazabilidad de nuestra seguridad, sino que además la gestionamos de forma correcta y buscamos siempre la mejora continua, por ejemplo siguiendo un ciclo de Deming; si nos centráramos en seguridad de la información, esto significaría un SGSI correctamente implantado y mantenido, pero viendo más allá de esta seguridad, la etapa de Gestión significa que invertimos los recursos necesarios en gestionar de forma correcta nuestra seguridad corporativa, tanto física como lógica, legal u organizativa.

Como vemos en nuestra pirámide, nuestro estado en materias de seguridad podemos ubicarlo en alguno de los escalones anteriores, y en función de donde nos encontremos, planificar el ascenso de forma ordenada, por supuesto en base a los recursos de los que dispongamos y de los plazos que necesitemos cumplir.

Para acabar, una pregunta: ¿en qué escalón de la pirámide os ubicaríais?

Seguimos en esta segunda entrada de la serie (ver primera parte) definiendo e introduciendo algunos conceptos básicos relacionados con la gestión del riesgo y la seguridad. Como estrella de la serie, tenemos por supuesto el riesgo, que podemos definirlo como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa, el riesgo es una medición de las posibilidades de incumplimiento del objetivo planteado, y en lo relacionado con tecnología, generalmente determina el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a avería de disco, virus informáticos, etc.).

La Organización Internacional por la Normalización (ISO) define el riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:

[Read more…]

Del mismo modo en que para mí fue una novedad entrar en otro nivel del mundo de la seguridad informática, ya que los aspectos de mis anteriores ocupaciones estaban sobre todo orientados a solucionar los problemas que ya hubiesen surgido en los sistemas, periferia y redes, también puede serlo para algunas de las personas que leen el contenido de Security Art Work. Me refiero a responsables financieros, gerentes, directores de departamentos, o simples curiosos por saber de qué hablamos cuándo nos referimos a Seguridad Informática.

Para el resto, los expertos en SI, mis disculpas por entrar en niveles tan básicos, pero a veces se echa de menos un lenguaje más llano, o una definición sencilla que explique aquello en lo que nosotros estamos especializados. También se proporciona una visión global de aquellos aspectos en que la seguridad incide directamente a nivel económico. Lo que publicaré a lo largo de esta serie está extraído en parte de apuntes cuya trazabilidad es imposible resolver, por lo que no menciono autores de los párrafos extractados.

El crecimiento de la tecnología de la información (TI) (También se suele referir en plural: “Tecnologías de la Información”, aunque es mejor referirse a las Tecnologías de la Información y las Comunicaciones (TIC)) en los últimos 20 años ha generado un creciente número de oportunidades así como no menos creciente número de amenazas. Un alto nivel de inversión en tecnología, tal cual existe hoy en día, produce un efecto multiplicador importante en caso que dichas amenazas se materialicen, dado que las pérdidas posibles se ven incrementadas en igual proporción al aumento de la inversión.

Pero no solamente ha cambiado el volumen del uso de la tecnología. También ha cambiado la forma de su utilización. Hoy en día el acceso a los recursos de TIC no está restringido a los profesionales en informática, sino que es accesible para la casi totalidad de la población. A su vez, el acceso a las TIC no se realiza únicamente a los recursos propios, sino que se extiende a otros organismos, sin que exista una frontera física, todo ello gracias a Internet y a la apertura de las redes corporativas, en una magnitud inimaginable años atrás. A su vez, como condición necesaria de todo ello, el grado de complejidad de la tecnología utilizada ha aumentado considerablemente, tornándola cada vez más difícil de administrar adecuadamente, lo cual incluye el control de riesgo para proteger la seguridad.

En este entorno creciente y complejo es dónde los responsables de gestionar las herramientas tecnológicas deben poder diagnosticar adecuadamente los riesgos a los cuales se ven expuestos para poder mitigar de manera oportuna las pérdidas que puedan generarse (que como se ha dicho están relacionadas a la cuantía de la inversión, pudiendo superarla).

Anteriormente, los responsables de manejar los recursos de tecnología eran solamente profesionales de tecnología. Actualmente esto ha cambiado, llevando a profesionales en otras áreas a tener que comprender razonablemente las herramientas y recursos tecnológicos con los cuales cuentan, dado que pueden ser responsables tanto por la gestión integral de las TIC en su organización, como por la gestión de algún componente específico que soporta el proceso de negocio del cual ellos son responsables. Y tras esta breve introducción, es donde comienza, en el siguiente post de la serie, el verdadero meollo de la cuestión: el Análisis de Riesgos.

Después de leer lo que hace unos días publicaba Hispasec en relación con la particular forma de Adobe de sacar rédito a los problemas de seguridad, me parece indignante que algunos gigantes de software tengan, dicho en pocas palabras, “la cara tan dura”.

El caso es que en lugar de corregir los bugs de la versión 9, lanzan la versión 10, con algunas vulnerabilidades corrregidas y con alguna “funcionalidad aka vulnerabilidad” nueva. Estando en boga una serie de malware que se beneficia de una “función” (setClipboard) que permite modificar el portapapeles de tu sistema, la compañía libera la versión 10, que además incorpora otra función que permite leerlo. Vivir para ver.

Migren señores, migren. Pero sepan que su seguridad ni mejora ni empeora, simplemente se mantiene (igual de mal).

Ya lo dice el título: la LOPD está aún muy verde. Con esto no quiero decir que la LOPD o el RDLOPD necesiten cambios significativos, aunque sí, a pesar de la publicación del nuevo reglamento, siguen existiendo ciertas lagunas, indeterminaciones y ligeras contradicciones; no obstante, a eso ya nos tiene acostumbrados desde hace tiempo la Agencia. Por decirlo de alguna forma, es parte de su idiosincrasia; tiene sus cosas buenas y sus cosas malas, pero la aceptamos con cariño y resignación.

Lo que quiero decir es que casi 9 años después de la publicación de la Ley Orgánica de Protección de Datos (vamos a dejarlo en que la LORTAD, cuyo reglamento salió siete años más tarde de su publicación y fue utilizado como el reglamento de facto de una ley que no tenía reglamento, no cuenta) la adaptación de las empresas a ella es cuando menos relativa. Por supuesto, es significativo el incremento de regularizaciones y adaptaciones en los últimos años, que se reflejan al menos en el aumento del número de ficheros declarados ante el registro general de la AEPD (por algo se empieza). Tampoco hay que dejar de lado el aspecto “motivador” que supone la creciente actividad inspeccionadora y sancionadora de la Agencia; como una vez lo expresó un cliente, la decisión de adaptar o no una empresa a la LOPD puede valorarse en términos de riesgo, y es evidente que la probabilidad de sufrir una inspección ha aumentado en los últimos tiempos, bien sea por inspecciones de oficio, o mayor concienciamiento de la gente, recelosa de sus datos.

No obstante, aunque desconozco cuál es el período de “asimilación social” en el caso de otras leyes, mi experiencia me indica que en general, siguen existiendo bastantes aspectos que exige la ley que se pasan por alto, tanto a nivel de la ley como del reglamento: uso de cifrado, autorizaciones del Responsable del Fichero, registro de accesos en aplicaciones, derecho de información a empleados, firma de contratos con proveedores, envío de publicidad, etc. Muchos de estos puntos se perciben hoy en día como excesivos, y la empresa ni siquiera se llega a plantear su implantación; siguen habiendo empresas (e incluso proveedores con no poca gestión de datos de carácter personal) para las que, sin ningún tipo de mala intención, un contrato de acceso a datos o una cláusula de confidencialidad les parece un innecesario y sobre todo excesivo artificio legal (en la vertiente peyorativa del término).

Pero uno de los puntos en los que aún se percibe con evidente facilidad la falta de autoridad que tiene aún la “invocación” de la LOPD es a la hora de aplicarla a filiales españolas de grupos multinacionales, donde muchas de las políticas, aplicaciones y proveedores emanan y son escogidos por la empresa matriz, sin que las delegaciones nacionales tengan mucho que decir al respecto. A lo largo de mi experiencia profesional he podido comprobar que medidas propuestas como la firma de contratos de confidencialidad o contratos de acceso a datos con determinados proveedores suele ser considerado (si es que llega a considerarse factible) como algo “difícil”, incluso teniendo en cuenta que el ámbito principal de la mayoría de dichas organizaciones es la Unión Europea. Tampoco hay que perder de vista que la LOPD no entiende de grupos de empresas, por lo que si la empresa matriz presta servicios horizontales a la delegación española, deberá firmar un contrato de prestación de servicios y acceso a datos; imaginen por un momento las dificultades de llevar a cabo esa idea o siquiera plantearla en muchos casos. Por último, aunque podría sacar más ejemplos, en muchas ocasiones las aplicaciones escogidas por la matriz para su utilización a nivel global no cumplen las exigencias de la LOPD, una de las leyes más estrictas de la Unión Europea en este ámbito; como es lógico las cosas son como son, y hay habitualmente mucho que rascar al respecto.

Por comparación, mientras que ninguna filial nacional de una gran corporación multinacional se permitiría cometer irregularidades en el ámbito fiscal, en el caso de la LOPD algunos aspectos no insignificantes quedan a menudo abandonados, por falta de autoridad y competencias en unos casos (contratos firmados al más alto nivel, servicios horizontales prestados por la matriz, o aplicaciones globales), y por falta de “interés” o conocimiento en otros: es lógico que la matriz no se preocupe de todos los aspectos legislativos de cada una de sus delegaciones nacionales. Así que en definitiva, uno por el otro la casa sin barrer.

Estoy seguro de que muchas de estas cuestiones se resolverán a medida que la LOPD y sus respectivas leyes europeas vayan cogiendo madurez y los usuarios (clientes, proveedores, personal propio, etc.) vayan adquiriendo conocimiento y conciencia de sus derechos y obligaciones, pero a día de hoy, la complejidad y restricciones impuestas por la LOPD plantea un reto a superar en muchas organizaciones multinacionales con presencia nacional. Afortunadamente, en los casos que he visto, un reto que aceptan gustosas.

En primer lugar, decir que es desalentador el tono con el que algunos lectores de este blog hacen llegar sus comentarios. Les insto a que moderen sus formas ya que este pretende ser un foro de discusión técnica, donde argumentos y datos se superpongan a insultos y ofensas, que no tienen cabida. Dicho esto, me gustaría contestar uno a uno los comentarios realizados durante este fin de semana sobre el post de seguridad WPA anterior que ha aparecido recientemente en menéame.net.

Por lo que respecta al usuario Anónimo que afirma que el cálculo ha sido realizado para el caso peor, es decir aquel en el que la “Primary Master Key” (PMK) se encuentra al final de nuestro diccionario, estoy totalmente de acuerdo: se debería considerar el caso medio. Los cálculos reflejan el coste de computar las “Rainbow Tables” (tablas hash precomputadas) para un ESSID y una PSK concreta, obteniendo un ratio mas desalentador (300 p/s) del propuesto inicialmente en el post (400 p/s, y ya dije que fui benévolo) según el estudio realizado en el proyecto final de carrera adjunto [Seguridad en Redes 802.11, PDF, 5MB]. Para ello se compararon los dos algoritmos que actualmente pueden realizar ataques de fuerza bruta a WPA/WPA2: Cowpatty y Aircrack-ng, utilizando para ello diversos procesadores.

Los resultados obtenidos fueron que en un Intel 3 Ghz Core Duo se llegaron a computar un ratio máximo de 300 palabras por segundo, por lo que recalculando tendríamos que para el caso medio, utilizando un alfabeto de 100 caracteres (mayúsculas, minúsculas, números y símbolos) y una PSK de 8 caracteres, un espectro de (100)^8 = 10.000.000.000.000.000 posibles palabras del lenguaje. Multiplicando por 100 la capacidad de cálculo anteriormente comentada (300 palabras/seg.), según dice el fabricante del software:

“With the latest version of Elcomsoft Distributed Password Recovery, it is now possible to crack WPA and WPA2 protection on Wi-Fi networks up to 100 times quicker with the use of massively parallel computational power of the newest NVIDIA chips. Elcomsoft Distributed Password Recovery only needs a few packets intercepted (with any network sniffer that can export data in tcpdump format) in order to perform the attack.” [Referencia]

tardaríamos 10569,930661255 años en el peor de los casos y 5284,965330627 años en el caso medio. Como se puede ver los resultados todavía son mas desalentadores que los comentados en el post inicial.

Ahora supongamos que tenemos una granja de 1000 tarjetas NVIDIA GFORCE y que dividimos el espacio de palabras a calcular repartido en todas ellas. Se tardaría 10,5 años en el peor de los casos y 5,2 años en el caso medio, lo que parece acercarse a valores temporales manejables. No obstante, todos estos cálculos se habían realizado para el mejor de los casos, es decir que el usuario hubiera utilizado una PSK de 8 caracteres. Aumentar tan sólo en 1 la longitud de la contraseña multiplica por un factor de 100 el tiempo necesario para la recuperación, por lo que con sólo 12 caracteres el tiempo necesario tanto en el peor como en el caso medio se dispara de nuevo. Ni cabe tiene que decir que si seguimos aumentando el tamaño de la PSK obtenemos tiempos de recuperación inmanejables.

Por lo que respecta a los comentarios de ValaV afirmado que consigue un incremento “de unas 5000 – 1000 tests por segundo, a 50 millones”, pueden ocurrir dos cosas: que estés confundiendo de protocolo de seguridad (esos cálculos se asemejan más a ataques estadísticos WEP), o que estés utilizando tablas precomputadas, las cuales dudo que lleguen a 50 millones como afirmas. A eso hay que añadir que esas tablas solo son válidas para un ESSID concreto, por lo que no sirven para un ataque genérico.

“Pobrecito Hablador” comenta “deja de pensar en ataques de fuerza bruta que ya no se usan desde hace 20 años”. No voy a comentar tal afirmación, pero sí que me gustaría que comentara cómo realizar un ataque criptológico a RC4 (WPA) o AES (WPA2) sin el uso de la fuerza bruta; quizá estemos ante un nuevo “Bruce Schneier”. Es relevante indicar que con unos simples paquetes capturados de la red no es posible obtener la PSK, dado que lo único que se consigue es la PTK temporal, que no te serviría de mucho ya que que se regenera para cada sesión (se necesita el Handshake). Te aconsejo pegues un vistazo a la serie de posts sobre WPA.

Por lo que respecta a los comentarios de Heffeque, que dice que se aplican datos falsos e ignoran detalles, respeto su opinión pero en ningún momento presenta información que contradiga lo analizado en el post. El calculo CPU:GPU que indicado está basado en la información que la empresa fabricante del software ha dado, para mí “Phising Comercial”, término que parece que ha levantado ampollas.

En relación con este aspecto, cuando una empresa realiza afirmaciones demasiado aventuradas, desde mi punto de vista, sobre una tecnología ampliamente extendida tirando por tierra al grupo de trabajo de IEEE 802.11i, para mi es un Phising en toda regla. Tratando de vender un producto que permite reducir en tiempo de recuperación de la PSK de WPA/WPA2 pero que dista mucho de las afirmaciones que algunas publicaciones han reflejado “WiFi encryption cracked by Russians using Nvidia graphics cards“, me parece apropiado utilizar este término cuando lo que se pretende es “Pescar Clientes”.

Por último, agradezco a todos los comentaristas sus intervenciones (a pesar, en algunos casos, de las formas utilizadas), e insto a los lectores a que tras leer la serie de entradas sobre seguridad en WPA publicados en este mismo blog, aporten argumentos de peso que permitan mostrar que estoy equivocado, o que al contrario estoy en lo cierto y esto no es más que una estrategia comercial apoyada (no intencionadamente, en cualquier caso) por varios medios de comunicación.