www.congreso.es

Como regalo para el fin de semana, y bordeando la media noche, les voy a regalar algo que he visto en Kriptópolis, aunque proviene de la Asociación de Internautas, y que no puedo dejar pasar. Como es posible que sepan, la nueva nuevísima web del Congreso se presentó hace unos días con problemas de estándares, diseño, desarrollo, accesibilidad y muchas otras cosas.

Y como no podía ser de otra manera, al parecer, entre los catorce millones de euros que ha costado, también va incluido el manual de Oracle Application Server 10g Release 2 (10.1.2), según pone en http://www.congreso.es/quickstart.htm, y es posible que otras cosas cuyo acceso público no sea tan relativamente inocuo (que conste en acta lo de “relativamente”). Lo dicho; por catorce millones de euros, ¿quién da más?

(Es muy posible, deseable, lógico, y sobre todo recomendable, que ese manual de Oracle accesible desde Congreso.es y contenido similar que no debería ser público, desaparezca en las próximas horas. Si eso sucede, pueden obtener los detalles completos en el anterior enlace de Internautas.org)

“Soy yo”

¿Recuerdan lo que les comentaba hace unas semanas sobre la confianza y la Ingeniería Social? Bien, imagínense la siguiente situación:

Una pareja de ancianos oye sonar el telefonillo de su casa, y a la típica pregunta de “¿Quién es?”, no obtienen otra cosa que alguna de las también típicas respuestas: “Soy yo”, “Yo”, “Tu nieto”, o cualquier otra contestación, suficiente para que éstos abran la puerta del portal y la de su casa, y vuelvan a aquello que estaban haciendo, sea cocinar, ver la televisión o desayunar. Unos minutos después, una persona que no conocen, que como es obvio no es quien pretendía ser, y sin demasiadas buenas intenciones, entra en su casa sin ningún impedimento.

Parte de la escena que les he descrito es real y le sucedió a mis abuelos hace unos años. De cualquier modo, aunque no lo fuese, estoy seguro de que no les costaría mucho imaginársela. En aquel caso, el intruso se identificó como amigo mío, lo cual es a todas luces mentira porque yo no tengo amigos. Afortunadamente, mi abuelo me conocía bien y esperó de pie hasta que el visitante hubo llegado a su rellano (último piso de una finca de cuatro alturas sin ascensor), y tras unos momentos de duda, le cerró una puerta acorazada en las narices. Pero no siempre las cosas son así; como les comentaba, es habitual que tras abrir la puerta de casa, mucha gente se despreocupe y vuelva a sus tareas, dejando vía libre al malhechor.

Voy a dejarles como ejercicio el paralelismo con aspectos tecnológicos —las puertas son a menudo blindadas o acorazadas y sin embargo están abiertas al intruso—, y pasar directamente a la “moraleja” de la historia, que es tan obvia como por reincidente: tengan cuidado cuando le abran la puerta a alguien y en la medida de lo razonable, desconfíen.

Bichos et al. (I): Introducción

Virus, Troyanos, Spyware, Gusanos,… o como se les conoce generalmente: Malware o “bichos”, usando un término más coloquial. Todos los usuarios de sistemas informáticos, por suerte o por desgracia, conocemos la existencia de estos tipos de software y prácticamente la totalidad de nosotros hemos sufrido alguna vez una infección, con la pantalla de nuestro viejo 486 llena de “barrotes” o nuestro escritorio lleno de enlaces a página web con contenido para adultos.

Tal y como sucede con los virus biológicos, los virus (o malware en general) han ido mutando, cambiando, adaptándose a los tiempos y a su entorno, buscando nuevas formas de propagarse desde los sectores de arranque de los antiguos diskettes a la explotación de vulnerabilidades de servicios de red de los sistemas operativos de usuario más modernos. Hoy en día todo se mueve mucho más rápido, sobretodo en el mundo de las nuevas tecnologías, y eso incluye evidentemente al malware. En los años 70, cuando la interconexión de sistemas informáticos era practicamente inexistente, la velocidad de propagación del malware era la que tardaba un diskette infectado en pasar de unas manos a otras. En la actualidad, la red de redes nos ofrece grandes posibilidades de acceso a la información en unos pocos segundos, pero también abre la puerta a la posibilidad de rápidas infecciones y propagaciones.

VirusDurante todo este tiempo los virus han cambiado, y han pasado de propagarse junto a otro software a hacerlo a través de la red, explotando vulnerabilidades. El paso del tiempo también nos ha dejado un gran aumento de la creación de malware, debido fundamentalmente a la aparición de los virus de macro y similares, que facilitan enormemente la creación de virus por parte de personas con unos conocimientos muy limitados (existen incluso asistentes que permiten crear tu propio virus en pocos minutos), al contrario de lo que sucedía en los inicios del viring, en la que los escritores de virus eran personas con conocimientos mucho más profundos.

Para contrarrestar los riesgos introducidos en el mundo de la informática por el malware, surgieron los Software Antivirus, que mantienen desde hace años una dura pugna con los programadores de virus, los cuales han respondido cambiando las técnicas y aumentando la complejidad del código con el fin de evitar la detección de los sistemas antivirus, hasta el punto que cerca del 90% del código fuente de un virus puede estar destinado a evitar su detección.

Aún así, los sistemas antivirus no son por si mismos un sistema infalible, ya que fundamentalmente utilizan un sistema de firmas que identifican a cada uno de los virus conocidos. Ello implica que independientemente de la complejidad que suponga obtener una firma válida que sirva para detectar un virus concreto, un antivirus que emplee este método de detección no podrá nunca detectar un virus del que no exista firma explícita, es decir, que no haya sido reportado. Para mitigar esta deficiencia, los sistemas antivirus implementan sistemas heurísticos que intentan reconocer, en la medida de lo posible, comportamientos propios de malware en el software, a pesar de que no se haya detectado mediante firmas.

Esta segunda aproximación basada en métodos heurísticos es la que en principio ofrecería una mejor detección, ya que nos permitiría detectar malware conocido y desconocido, únicamente teniendo en cuenta su comportamiento, siguiendo de esta manera una de las principales directrices de la seguridad de sistemas informáticos: “Rechazar si no está expresamente permitido” (o alertar si no es claramente un comportamiento habitual, en este caso). No obstante, la detección de malware mediante métodos heurísticos está poco desarrollada en la actualidad debido a su alta complejidad, y prueba de ello es que pocos software antivirus detectan los nuevos virus por si solos, sin necesidad de una actualización de sus firmas.

Por todo ello, como hemos mencionado anteriormente, un software antivirus puede no ser capaz, por si solo, de ofrecer una protección completa para nuestros sistemas. No olvidemos que éste, al igual que cualquier software, es una herramienta, cuyo rendimiento y eficiencia dependerá del buen uso que hagamos de ella. Aprende a manejar tus herramientas de detección, fórmate, aprende a usar de forma segura tu sistema, tu correo electrónico, y con simplemente unos pocos conocimientos y siguiendo unas sencillas reglas puedes convertirte en el mejor antivirus que puedas encontrar.

(Continuará…)

120,000 cuentas de un ISP hackeadas

Como saben, recientemente ha sido noticia la intrusión en un ISP español de un hacker que presuntamente ha capturado 120,000 cuentas de usuario [ElPais.com] [Barrapunto] [Kriptópolis]. Teniendo en cuenta que el problema por supuesto es preocupante para los propios clientes de esta compañía, pienso que es además de especial interés ver cuál ha sido el modelo de negocio/motivación de estos hackers en la empresa de hosting, ya que según diversos comentarios, parece que la intrusión fue utilizada para modificar los contenidos de las páginas albergadas por los clientes en el ISP, redirigiendo éstas hacia páginas con troyanos y otro tipo de malware.

Aunque entiendo la preocupación de cualquier cliente al ver que sus datos de carácter personal circulan “por ahí”, y con el temor adicional de que puedan haber datos bancarios, creo que es de destacar el uso que al parecer se ha hecho de la intrusión: redirigir usuarios —visitantes— de páginas web de confianza hacia páginas web con troyanos, con lo que podemos afirmar que en última instancia los verdaderos sufridores —destinatarios y víctimas— del ataque no es el ISP ni sus clientes, sino los clientes de estos clientes. Algunas preguntas surgen a raíz de esto:

— ¿Qué imagen da una empresa que llena de virus o cosas peores a todos los clientes que le visitan?
— ¿Qué responsabilidad tiene en esto la empresa de hosting? ¿Y la empresa propietaria del dominio/contenidos?

Sin lugar a dudas, los nuevos modelos de negocio del hacking no paran de sorprendernos… ¡Ah! Y esto muestra, una vez más, que no es cierto aquello de que no les va a pasar nada por navegar por páginas web de su confianza…

No tan rápido, vaquero; es asunto tuyo.

Volvemos con más LOPD, si me lo permiten. ¿Recuerdan cómo empieza el Reglamento de Medidas de Seguridad (RMS), verdad? Les hago memoria, por si acaso:

«[…] La Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, prevé en su artículo 9, la obligación del responsable del fichero de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de […]»

El resto se lo saben, seguro. Por supuesto, la ley mencionada en ese párrano no es la LOPD, sino la LORTAD, ya que como saben, la LOPD carece de reglamento, en perpetua elaboración. Pasemos a otras cosas. ¿Saben lo que dice el RMS sobre las copias de seguridad, verdad? Les vuelvo a hacer memoria, de nuevo, por si acaso:

«Artículo 14. Copias de respaldo y recuperación.

1. El responsable del fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.

3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.»

A la vista de esto, hay dos cosas que parecen claras. La primera es que los datos de carácter personal (DCP) gestionados por una empresa son de su responsabilidad —que no de su propiedad—, y por tanto los DCP tratados por un empleado son responsabilidad de la empresa, no del empleado. La segunda cosa que parece clara es que hay que hacer copias periódicas de éstos.

Ahora bien, a poco que uno estudia la política de copias de seguridad que suele haber en muchas empresas, se da cuenta de que algo cruje. Y no me refiero a la cantidad de aplicativos y DCP, en ocasiones sensibles, que a menudo existen a espaldas de los departamentos de Sistemas de Información, bien sean hojas Excel, programas de gestión de Recursos Humanos, o simples documentos Word. Aunque no es del todo correcto disculpar totalmente a los responsables de TI de que se produzcan este tipo de situaciones, sí es cierto que aún poniendo el departamento en cuestión los medios necesarios y suficientes, tales como unidades de red departamentales o sistemas de copia de seguridad de determinados directorios del PC del usuario, es típico que el empleado ignore sistemáticamente estas facilidades e insista casi de modo perverso y maligno en utilizar ubicaciones lógicas de las que sabe —o debería saber, y esto puede ser tanto responsabilidad y/o culpa tanto de unos como de otros, cuya ignorancia debería ser subsanada a través de normativas escritas y entregadas, políticas adecuadamente publicitadas o sesiones de formación del personal— que no se hace copia de seguridad.

No, como les decía no me refiero a esas situaciones. No. De lo que estoy hablando, concretamente, es de esas políticas en las que el departamento de TI establece, a veces por escrito, a veces de facto, que el usuario es el único responsable y encargado de la realización de las copias de seguridad de su PC o portátil, y que la pérdida de datos es, de una forma coloquial, “su problema”. Bien, pues como seguramente han adivinado, va a ser que no; si antes podíamos de alguna forma compadecer al departamento de TI por la maldad y poca colaboración del usuario, ahora no, ya que en la medida en que en ese PC o en ese portátil contienen DCP, sus datos son responsabilidad de la empresa.

Determinar quién debe por tanto preocuparse por que esas copias se hagan, se deja como ejercicio para el lector avispado.

Proyectos LOPD basura

En los últimos tiempos estamos inmersos en la fiebre de las X-Basura. Hablamos de Tele-Basura que ninguno vemos, comemos comida-basura, firmamos contratos basura y ahora nos ponemos a hacer proyectos basura. No me malinterpreten; es evidente que cada uno puede hacer lo que estime oportuno, siempre y cuando respete los derechos de los demás. Pero aquí, no obstante, es donde radica el problema que analizo a continuación.

En la actualidad, y a raíz del auge y la importancia que va adquiriendo tanto la LOPD como la concienciación en torno a los derechos de privacidad de las personas, patente por la publicidad que adquieren a menudo las sentencias de la AEPD, se ha creado un negocio de grandes proporciones relacionado con la seguridad de la información en la que despachos de abogados, grandes consultoras, empresas de seguridad y hasta las tiendas de informática de la esquina intentan coger lo que les pueda corresponder a pesar, a veces, de no hacer un trabajo de calidad que cubra lo que el espíritu de la Ley pretende mínimamente.

Y es que como les decía, hasta la tienda de informática de la esquina, cuyo negocio se centra en la venta de PCs, mp3, y demás artilugios para el uso y disfrute personal, hace proyectos de adaptación a la LOPD sin ser consciente de los riesgos que por ello está asumiendo y el flaco favor que le está haciendo a su cliente. Vaya por delante que no tengo nada en contra de ningún tipo de negocio y que muchas veces es mucho mejor trabajar con la tienda de informática de la esquina que con una gran consultora de las que se comen el mundo, pero quede claro que, sobre todo y ante todo, creo en la profesionalidad de las personas que forman el equipo de trabajo de una organización sea ésta grande o pequeña.

En este sentido, debo decir que muchas de las adaptaciones a la LOPD que pueden observarse en el mercado dejan mucho que desear en la mayor parte de las ocasiones, aunque estoy convencido de que en muchas ocasiones no son fruto de la mala fe de sus autores sino de un profundo desconocimiento de los aspectos técnico-legales relacionados con el cumplimiento de la misma. No hay que olvidar en ningún momento el carácter legislativo de la Ley Orgánica de Protección de Datos, y que por tanto, abordar la adaptación de una empresa a ésta requiere siempre el trabajo de un equipo mixto técnico-legal que sea capaz de cubrir todos los aspectos de la misma. No sé realmente si las personas que abordan este tipo de proyectos de una forma tan inconsciente son conocedoras de los riesgos indirectos a los que se enfrentan por una demanda interpuesta por un cliente con una sanción de la AEPD.

Por último, además del riesgo implícito que asumen como compañías y en algunos casos incluso como autónomos -esto ya es para nota-, me gustaría destacar el hecho de que la Ley Orgánica de Protección de Datos es una ley cuyo fin es la protección de los derechos de las personas, y como tal defiende los principios básicos en los que se basa la convivencia de la sociedad en la que vivimos. Es por ello que, dejando al margen consideraciones profesionales, pienso que en algunos de los casos se está jugando con un derecho fundamental de las personas, y les aseguro que por lo que he podido ver, en ocasiones se atraviesa esa frontera que nuestro sentido común marca como frontera límite.

Esperando lo inesperado

Un día cualquiera, te levantas, te lavas la cara y te dispones, como todas las mañanas, a ir al “tajo”. Cuando llegas observas que tu bonita oficina, está en llamas. Dios, te preguntas: ¿Sigo dormido? ¿O de verdad ha funcionado ese deseo estúpido que pedí en San Juan mientras como un cangurito saltaba las olas?

Pero señores, como de algún sitio hemos de sacar ese dinerillo para hacernos con esos objetos tan indispensables en nuestras vidas como PowerBalls, Gadgets lanzamisiles o tazas USB, es necesario que las contingencias o situaciones de emergencia estén previstas, si no se quiere sufrir pérdidas importantes en el negocio. Desastres naturales, operacionales, o humanos son sólo algunos de los aspectos que un buen gestor de continuidad debe prever. Es por eso que surge la necesidad de planificar, en cierta manera, una solución que nos aporte un mínimo nivel de operatividad en nuestros negocios. De esta necesidad surge el concepto de Continuidad de Negocio y Recuperación ante desastres. Ambos conceptos pueden parecer similares pero detrás de ellos se esconden propósitos muy diferentes. Mientras que el primero estaría orientado a los procesos de negocio que la empresa maneja, el otro estaría dirigido a la recuperación de los servicios de TI. Ambos conceptos podrían ser cubiertos mediante lo que sería un plan de contingencias. Pero, ¿de qué consta este plan? Pues bien, básicamente de un fabuloso Plan de Continuidad de Negocio (PCN) y de un magnífico Plan de Recuperación ante Desastres (PRD). Aunque ambos proyectos pueden ser emprendidos de forma independiente, en la mayoría de los casos se opta por una solución integral.

Muy bien pues, ya estamos motivados, sabemos lo que queremos y vamos comenzar con el plan, pero… ¿Qué ocurre con el jefe? Es fundamental que obtengamos apoyo total por parte de la gerencia de la empresa o en otro caso todo el proyecto no servirá más que de falca en la mesa de reuniones.

Obtenido el beneplácito del todopoderoso, debemos comenzar a estudiar al paciente. El análisis y comprensión del negocio es el primer escalón de la larga escalera de la continuidad. Empleados clave, logística utilizada, unidades de negocio que se manejan, herramientas de trabajo utilizadas, conforman el comienzo del PCN. Por otra parte, condiciones del entorno, equipos, servidores, herramientas de respaldo y backup, elementos de comunicación y estaciones de trabajo, formarían la estructura del PRD. Muy bien, ya hemos realizado una cantidad de trabajo considerable, y ahora le toca el turno a analizar el impacto que una contingencia tendría en nuestro negocio. Criticidad de operaciones (estableciendo tiempos máximos de recuperación o RTO’s), equipos y servicios, así como una identificación de los posibles riesgos a tener en cuenta.

El siguiente paso es pues, el Análisis de Riesgos. Es entonces cuando nos preocupamos de cómo administrar estos riesgos y su posible mitigación si una eliminación total no es posible. Superado con éxito lo realizado hasta el momento, estamos dispuestos a evaluar las diferentes estrategias a seguir para ofrecer una garantía de continuidad y recuperación. No cabe decir que todo lo dicho hasta el momento debe estar claramente documentado.

Estamos dispuestos en este momento a generar un plan que se ciña a la estrategia elegida. Personal responsable de aplicar el plan, procedimientos a seguir. Cabe destacar el hecho de que existan varios planes, dependiendo de la magnitud del negocio, donde se recojan soluciones a las diferentes líneas de negocio.

Es fundamental que tanto el PRD como el PCN sean probados como mínimo una vez al año. Así pues, estas pruebas conceden al personal la asimilación de un aspecto clave en el éxito del BCM, la conciencia de BCM. Hemos hecho las maletas, puesto en marcha el plan estratégicamente preparado, todo ha funcionado a la perfección (menos ese cd de Windows que no lee), pero ahora ¿cómo volvemos a casa? Efectivamente necesitamos un nuevo plan que nos estructure como realizamos ese proceso de vuelta a casa.

En fin, como mi buen amigo Charly decía, “Las llonganas no son lombrices” es por eso que no hay que confundir Plan de Continuidad de Negocio, con Plan de Recuperación ante Desastres.

(Para mucha más información, ver PAS56, BS 25999, Revista Hackin9 edición Marzo 2007, y The Business Continuity Institute)

¿Podemos dormir tranquilos?

Planta nuclearHace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde “China”, podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.

Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como este?, ¿pánico? …

Los sistemas SCADA (Supervisory Control and Data Adquisition), protagonistas de los anteriores escenarios son, para que nos entendamos, sistemas de control de instalaciones industriales. Con este tipo de sistemas se controla el funcionamiento de una línea de producción cerámica, la producción de detergente en Procter&Gamble, una central nuclear o eléctrica e incluso el funcionamiento de un barco o los sistemas de seguridad de grandes centros de pública concurrencia. Hasta hace algunos años estos sistemas de control industrial (SCADAs) y los sistemas de control TIC vivían desconectados, en redes separadas e incluso incompatibles por las peculiaridades de cada entorno, pero hoy en día, esa “convergencia y globalización” de la que tanto hablamos ha eliminado las fronteras.

Esto ha llevado a su popularización, y que cada vez controlen un mayor número de instalaciones, dejando al mismo tiempo de ser sistemas propietarios y “opacos”, y convirtiéndose en sistemas vulnerables montados sobre sistemas Windows con el Internet Information Server sirviendo el interfaz de administración. Esta ampliación de las posibilidades de acceso al sistema de control, y por consiguiente a los sensores y actuadores de la red de control industrial a través de aplicaciones web comunes hacen vulnerables estos sistemas frente a un atacante interno o externo, de igual modo que cualquier otro aplicativo web, pero con la sutil diferencia de conllevar consecuencias en el “mundo real”. Hay que tener en cuenta que en estos primeros tiempos de convergencia -estamos aún en el principio, pero no tardarán en ver cómo las fronteras que les comentaba se desvanecen- todos los trabajos de desarrollo se centrarán en la obtención de funcionalidad olvidando en algunos casos las facetas relacionadas con la seguridad.

Todo esto en si mismo no tendría por qué preocuparnos salvo por el hecho de que no parece, y se lo digo a ustedes desde la experiencia, que casi nadie se esté preocupando por este tipo de asuntos en nuestro país. Por mi parte, pienso que desde luego es un tema que tiene que dar mucho que hablar en general y del que estoy seguro que hablaremos en el futuro.

¿Es Windows Vista un XP tuneado?

Hace unos días, ví en Computing (nº 514, 9 de mayo) una viñeta en la que un tipo pensaba: “¿Pero el Windows Vista es totalmente nuevo, o han tuneado el XP?”. Eso me recordó la primera impresión que me produjo ver (hace ya algunos meses) el nuevo sistema operativo de Microsoft cuando instalé la beta en el PC de casa. Desde luego parece un XP tuneado, empezando por el diseño más llamativo y el hecho de incluir características de la versión Windows XP Media Center (era la versión Ultimate).

Sin embargo, desde el punto de vista de la seguridad, ¿qué había de nuevo? Evidentemente, puedes pasarte horas dando palos de ciego tocando aquí y allá. Así es que con la Windows Vista Security Guide en mano me puse a explorar.

Como parte del Centro de Seguridad, Windows Vista incorpora varias herramientas de serie (descargables para XP) que se centran en la lucha contra el malware.

  • Windows Defender: con el objetivo de combatir el spyware.
  • Malicious Software Removal Tool: como respaldo al sistema antivirus.
  • Mejoras de seguridad en IE7: que ayuda a neutralizar actividades como el Phising.

Por otro lado, en el ámbito de la protección de los datos, presenta la herramienta BitLocker Drive Encryption, en las versiones Enterprise y Ultimate (pero no en la Business, una lástima). BitLocker es la forma que nos ofrece Vista de proteger una estación de trabajo mediante un PIN o con una clave en una memoria USB, por lo que parece un mecanismo interesante para los usuarios móviles, más vulnerables a sufrir sustracciones.

Además de lo enumerado anteriormente, existen otras herramientas mejoradas en el ámbito de la seguridad, como el hecho de soporte para IPSEC en el Windows Firewall, etc.

Evidentemente, a efectos estéticos el Vista ha quedado más tuneado que el XP, pero a efectos de seguridad, se ve que el esfuerzo realizado para proteger el sistema es mayor y que hace adquirir una mayor conciencia al usuario y administrador del sistema de la importancia de mantener un sistema protegido y actualizado.

Contraseñas: fortaleza y confidencialidad

politica.jpg

¿Se acuerdan ustedes de aquello que decía que «El 96% de las empresas tiene implantados aspectos relacionados con la política de contraseñas»?

(…)

Las cosas como son. Al menos, caducar, caducan: antes era ‘Registro8’.

Fotografía tomada el miércoles 23 en una organización real.