UNE 197001:2011

El pasado mes de marzo AENOR publicó la norma UNE 197001:2011, Criterios generales para la elaboración de informes y dictámenes periciales; se trata de una norma muy sencilla y escueta -ocho hojas en total, de las cuales únicamente cuatro son “de contenido”-, cuyo objetivo es establecer una garantía para asegurar que las actuaciones periciales son adecuadas al uso al que se destinan. Obviamente una norma de este tipo no entra al detalle de métodos o procesos específicos para la elaboración de informes en campos concretos, sino que únicamente establece consideraciones generales y requisitos formales para las pericias (aprovechamos para pedir alguna norma específica bajo el marco de UNE 197001 relativa a las pericias informáticas, o tecnológicas en general, que seguro que da para mucho más que un post ;).

Lo que esta norma viene a establecer, como decimos, es tan escueto como la estructura deseable en un informe pericial ajustado a la norma: identificación, índice, cuerpo -compuesto por objeto, alcance, antecedentes, consideraciones preliminares , documentos de referencia, terminología, análisis y conclusiones- y anejos si corresponde; un espacio para el juramento o promesa y unas características para la identificación correcta del informe pericial; poco más, porque desde luego lo que no es de aplicación en UNE, ISO u otros estándares, al menos por el momento -ójala algún día lo sean-, son metodologías técnicas propias (análisis forense, preservación de evidencias, gestión de incidentes -desde el punto de vista pericial-…). En este campo ya jugamos con estándares de facto -además con varios, para poder elegir el que más nos guste- y queda a disposición del buen hacer del perito el aplicar uno, otro o ninguno: seguramente al juez o al abogado le va a dar igual.

Ya hemos hablado en este mismo blog del tema de los peritajes informáticos y de algunos problemas habituales con los que nos encontramos los peritos cuando tratamos de defender aspectos tecnológicos frente a un juez o un abogado; por supuesto, ni esta norma ni ninguna otra parece que vaya a arreglar esta situación, así que tendremos que seguir capeándola. Lo que sí creo que va a aportar UNE 197001:2011 -espero- si trabajamos en base a ella es homogeneidad en los informes, al menos en estructura y formalismos, y siendo optimista, si se desarrolla en un futuro una norma específica de peritajes informáticos -¿alguien de AENOR que nos lea y quiera aportar datos?-, más homogeneidad si cabe en este tipo de informes, algo que a día de hoy no existe: hay quien presenta un informe pericial lleno de referencias legales pero sin contenido técnico, hay quien presenta un informe que parece más una oferta o un informe de proyecto que una pericia, hay quien se mete en jardines legales -y luego le estallan en la cara-… vamos, que hay de todo, y si el perito hace mucho caso al abogado, más todavía :)

En definitiva, como perito me ha alegrado mucho la publicación de la norma UNE 197001:2011; aunque sea bastante vaga y generalista, creo que es un buen punto de partida y, si se continua en esta línea y se pueden publicar normas más específicas, será una buena señal… o mala, según como se mire, porque habrá más juicios en los que interviene la tecnología y eso significa que el delito con tecnología de por medio va en aumento… Ahora toca que peritos y Colegios Profesionales nos empecemos a poner las pilas, apliquemos la norma, la discutamos, la mejoremos y, en definitiva, que esto sirva para hacer un mejor trabajo en el ámbito del peritaje -muy importante cuando tenemos delante gente que se juega sanciones duras o incluso la cárcel-. Y de los problemas de la pericia tecnológica para los juristas podremos seguir hablando largo y tendido, porque mucho me temo que eso no habrá norma que lo cambie :)

Convergencia. Only available for PPT…

Hace unas semanas estuve en las X Jornadas SID, organizadas desde el Ministerio de Defensa; aparte de charlas más o menos curiosas -la valoración global de las jornadas para mí fue bastante positiva-, tenía un especial interés por una mesa redonda que cerraba -justo antes de la clausura oficial- las jornadas y cuyo título era “Convergencia de las seguridades”.

Para ser sincero, quedé un poco defraudado con esta mesa. Hace ya unos cuantos añitos que empezamos a hablar de convergencia por estos lares, tanto en proyectos en los que estuvimos trabajando como incluso en este mismo blog, pero mi impresión a nivel general es que hemos avanzado poco o nada en la materia (viendo la mesa redonda, podría haberse celebrado casi de forma idéntica en 2006 o 2007). Seguimos teniendo, con algunas excepciones, muchos casos de una convergencia only available for Powerpoint: queda muy bien para escribir un libro o para hablar con los amigos, pero en la práctica cada seguridad se la guisa y se la come, como se suele decir, un grupo diferente con poca o ninguna relación establecida formalmente. Ojo, no quiero decir que las empresas que participaban en la mesa redonda estén en dicha situación -no las conozco a ese nivel-, sino simplemente que de la teoría a la práctica suele haber un mundo.

¿Por qué seguimos, años después, todavía así? La comunidad de seguridad en España parece que poco a poco va adoptando posturas convergentes (sin ir más lejos, recientemente el capítulo ISACA de la Comunidad Valenciana ha firmado un acuerdo de colaboración con AVADISE, la Asociación Valenciana de Directores de Seguridad), aunque deberíamos plantearnos la velocidad de estas iniciativas. La formación del personal de seguridad sigue siendo un punto débil, con un peso poco representativo de la protección de la información y de la gestión unificada en los cursos de Dirección de Seguridad (aunque esto también parece cambiar poco a poco), y también con un peso insignificante de seguridad física u organizativa en muchos cursos focalizdos en Seguridad de la Información. Nuestros gobernantes y legisladores también parecen “converger” a su ritmo (este es tema para otro post), y la Ley de Protección de Infraestructuras críticas puede ser un buen ejemplo de ello…

Avanzamos poco a poco. Demasiado poco a poco. Una lentitud que a veces desespera. Pero si hay algo que desespera más que la lentitud ajena es la lentitud propia: los directores de seguridad, responsables de seguridad, CSO, CISO o como narices nos llamen en cada caso avanzamos también a paso de tortuga. Porque tenemos mucho trabajo y nos limitamos al run the business, no al change the business (vamos, que nos contentamos con sobrevivir -lo urgente-, nada de mejorar -lo importante-). Porque nos pueden quitar una parcelita de poder que nos viene muy bien y en la que estamos muy cómodos. Porque para qué voy a buscarme trabajo extra que encima me puede hasta perjudicar. Por el motivo que sea, eso de la convergencia queda muy bien para decirlo pero no tanto para llevarlo a la práctica: como algunos médicos, damos excelentes consejos a los que nos escuchan (“no fumes”) pero nos quitamos la bata y hacemos lo que nos viene en gana (“¿tienes fuego?”).

Sinceramente, creo que esto es pan para hoy y hambre para mañana (es más, ni siquiera pan para hoy, sólo hambre para mañana). Si pensamos que porque nosotros estemos mirándonos el ombligo nada va a cambiar a nuestro alrededor, mal vamos. Especialmente en seguridad. Si no tomamos la iniciativa pueden suceder dos cosas: o la tomará otro en nuestro lugar (y eso no nos gusta, ¿verdad? :) o todo lo que nos rodea -proveedores, competencia, legislación- acabará arrastrándonos, para mal o para bien. Los que trabajamos en esto debemos liderar la convergencia de la seguridad en este país, cada uno a su nivel, o mal nos va a ir antes o después. Si alguien cree que en estos tiempos se puede ofrecer seguridad aislado en un bunker y sin contacto alguno con el exterior, creo que se equivoca… Si no colaboramos, compartimos experiencias prácticas (para teorías ya tenemos muchos libros), intercambiamos información, etc. difícilmente mejoraremos, y eso a la larga -o a la corta- nos perjudica a todos.

Para acabar, me llamó mucho la atención una pregunta de los amigos de SIC a los participantes en la mesa: ¿cuál es el perfil ideal para “liderar” la convergencia en una organización, el asociado a la seguridad clásica o el asociado a la seguridad más tecnológica? Ninguno de los participantes contestó de forma clara -algo que también me llamó la atención, para qué negarlo-, e incluso miembros del público hicieron alusión a la idoneidad del perfil militar, tanto por el foro en el que nos encontrábamos como porque en algunas de las empresas grandes en las que se habla de convergencia los Directores de Seguridad provienen de este ámbito: MAPFRE, ONO

En mi cartera llevo el carné del Colegio de Ingenieros en Informática de la Comunidad Valenciana y la tarjeta de Director de Seguridad expedida por el Ministerio del Interior; obviamente no voy a romper ninguno de estos documentos. Creo, y por supuesto esto es mi opinión, obviamente discutible, que no existe un perfil tipo para gestionar de forma unificada la seguridad de una organización; no se trata de una guerra en la que ganen los Directores de Seguridad “clásicos”, con sus 3G, ni los Directores de Seguridad de la Información, focalizados sólo en la protección de esta última. No estamos ante un CSO vs. CISO, ni nada parecido: se trata más bien de personas capaces de liderar la convergencia, con una visión amplia de la seguridad y con una formación adecuada. Que provengan de la seguridad clásica o de la seguridad tecnológica es puramente anecdótico: conozco compañeros en ambos grupos perfectamente capaces de gestionar ambas seguridades -y las que se pongan por delante-, y lamentablemente conozco también compañeros en ambos grupos incapaces de ver más allá de la seguridad lógica o de la porra y la pistola. Son las personas las que deben hacer el trabajo, no los colectivos a los que pertenecen.

GOTO X: Periodistas

Llevaba alguna semana queriendo escribir un post de la serie GOTO dedicado a los periodistas, tal y como adelanté hace cosa de un mes en la entrada relativa a los ciberataques sufridos por la GVA. He intentado resistirme un poco -más por falta de tiempo que otra cosa-, pero leyendo las últimas noticias sobre el peligro nuclear en Japón que todos los medios generalistas están lanzando no he podido aguantarme… Y es que tenemos periodistas -no todos, obviamente- que no distinguen asterisco de asteroide, pero no contentos con ello transmiten al público general su vasto conocimiento sobre cualquier materia y se quedan tan panchos, satisfechos del trabajo realizado.

Con el tema de los ciberataques contra GVA ya dimos unas pinceladas del saber hacer de estos periodistas; ahora con el debate que se está abriendo sobre la seguridad nuclear siguen cubriéndose de gloria, y encima lo mezclan con la entrada en Cofrentes de unos activistas de Greenpeace hace unas semanas, poniendo este acto como ejemplo de “inseguridad” en las centrales nucleares españolas. Por favor, no mezclemos churras con merinas. Que las centrales nucleares -y otras infraestructuras críticas- de nuestro país sean o no vulnerables no depende de que unos ecologistas capaces de evitar -con presunta violencia- a los vigilantes de seguridad (o a la Guardia Civil si se diera el caso) se cuelen tras la verja de una central. ¿Qué pretenden los periodistas, que disparen con armas de fuego a estos activistas para demostrar lo seguros y fuertes que somos? Venga, hombre… la que se habría montado, y con razón.

Un conocido mío comentaba hace unos años que España hay dos cosas de las que todo el mundo sabe: medicina y seguridad. ¿Que te duele la cabeza? Tómate cualquiercosaqueacabeenina, que a mí me ha ido muy bien, mírame, además lo he leído en Google y en el curso por fascículos de “El neurocirujano en casa”… ¿Que el accidente de Spanair fue culpa del piloto? No hombre, fue el relé XJ45, que no desplegó los flaps y por eso no se alcanzó la velocidad de despegue adecuada para un aparato de esas características, que en función del viento de costado y del puerto USB puede ser de hasta 738,3 kilómetros por hora… ¿Que la central de Fukushima va a explotar? El problema está en el núcleo del reactor, que no se puede enfriar lo suficiente debido al proceso de fisión nuclear y a las valencias del elemento, que ya se sabe lo que pasa en fallas con tanto calor… Toma ya. Esto lo pongo en un periódico de tirada nacional, lo mezclo con “declaraciones de un responsable de nosequé experto en nosecuantos” y a vivir. Acabo de dar un curso acelerado de medicina, ingeniería aeronáutica o física nuclear a mis lectores, que sabrán aprovecharlo a la perfección en el parque o en la cola de la panadería ayudándome así a difundir mi conocimiento.

Señores, seamos serios. Ya sé que no se puede saber -y por tanto escribir- de todo, pero un mínimo de rigor sería más que aconsejable. Un defacement no tiene nada que ver con un DDoS, unos ecologistas que entran en Cofrentes no tienen por qué ser ejemplo de ninguna inseguridad y mil cosas por el estilo. Cuando una persona que no conoce una materia concreta trata de hablar de ella ex cathedra hace, cuanto menos, el ridículo, cuando no algo peor. Informémonos antes de escribir y, en caso de dudas, estoy seguro de que existen centros de investigación, universidades, empresas, personas… expertos en muchos temas que nos pueden dar su opinión con respecto a los mismos o al menos orientarnos correctamente para que no metamos la pata. Se trata simplemente de preguntar y escuchar lo que nos dicen. Si de seguridad, que creo que algo sé, veo esas barbaridades escritas en los medios…¿qué habrá de verdad en los artículos de materias que no conozco? ¿seguirán la misma tónica? ¿qué puedo creerme de lo que leo en un periódico o veo en la televisión? Miedo me da pensar qué dirán de economía, política y mil materias más de las que sé poco o nada…

Ojo, no quiero decir con este post que todos los periodistas estén mal informados -voluntaria o involuntariamente- y por tanto informen mal de lo que sucede a nuestro alrededor; simplemente, creo que en los medios generalistas estamos llegando en ocasiones a la política del “todo vale”, por desconocimiento o no, dejando así al periodismo presuntamente serio a la altura de “La Noria”. Y para ciertos temas, como la economía o la seguridad, entre otros, esto puede ser peligroso: transmitimos un mensaje erróneo a miles de personas que lo interpretan como verdadero, con las consecuencias que esta información negativa puede llegar a tener en la población.

Por suerte, y para no ver solo la botella medio vacía, quiero recalcar que IMHO existen periodistas bien documentados y que hacen correctamente su trabajo, sobre todo si nos vamos a medios especializados; en el caso de seguridad, algunos buenos ejemplos pueden ser SIC, Seguritecnia o Security Management por citar unos cuantos -hay más, por supuesto-. Ójala cunda el ejemplo y podamos llegar a fiarnos de lo que leemos en medios generalistas… al menos más que ahora.

Ciberataques contra la Comunidad Valenciana

Durante el pasado viernes 18 de febrero se organizó, principalmente a través de Twitter, un ataque DDoS contra la página web principal de la Generalitat Valenciana, debido al cese de las emisiones de TV3 en la Comunidad Valenciana. Creo necesario un post dedicado a este ataque, primero porque se ha materializado en nuestra Comunidad y segundo porque es un buen ejemplo (más) del uso de redes sociales -o Internet en general- para organizar este tipo de acciones de forma rápida, sin ningún tipo de coste y sin un respaldo considerable detrás; vamos, que se demuestra una vez más que con una conexión a Internet, un pequeño grupo -o grande, quién sabe- pone en jaque, o al menos en alerta, a todo un gobierno autonómico…

El ataque en cuestión consistía en utilizar la herramienta LOIC (y Mobile LOIC, desde páginas de PasteHTML) para generar tráfico masivo contra la web de GVA, proporcionando instrucciones detalladas de cómo utilizar el programa. Todo esto a una hora concreta: las 19:30 del viernes, aunque finalmente hubo algo de jaleo con la hora y parece ser que el ataque se adelantó -al menos parcialmente- a las 18:30… Además de Twitter, se utilizaron canales de IRC web para coordinar el ataque, así como grupos de Facebook y otras redes sociales. Los organizadores de la convocatoria utilizaron el nombre y la imagen de Anonymous, aunque posteriormente este grupo se desmarcó de la acción contra GVA en un comunicado en su propio blog.

Bajo mi punto de vista es necesario destacar algunos aspectos de esta acción; el primero, por supuesto, la ética (o falta de) de la organización: señores, podemos estar de acuerdo o en contra de una ley, de una decisión, de un decreto… y, si no nos gusta, protestar. Pero protestar con los instrumentos que tenemos en un pais civilizado, como quiero creer que es España, para hacerlo, no tumbando webs, acto que con la modificación del Código Penal operada por la Ley Orgánica 5/2010, de 22 de junio, se considera ilegal (IMHO, no soy abogado, claro está). Y sobre todo, no tumbando webs cuya degradación afecta a los ciudadanos de a pie mucho más que al gobierno al que se quiere atacar.

Otra cosa que me sigue llamando mucho la atención de casos como este, a pesar de los años, es la falsa sensación de impunidad y anonimato que transmite Internet; como estoy tranquilamente en mi casa y nadie me ve, puedo decir y hacer lo que quiera, incluso llamar a cometer delitos a través de Twitter… Aparte de que con las debidas órdenes las direcciones IP son trazables -otra cosa es lo que luego determine un juez sobre la culpabilidad o inocencia de un acusado-, analizando con cariño alguno de los perfiles que incitaban el viernes a atacar a GVA podemos obtener casi el DNI y el teléfono de la persona en cuestión (exagerando un poco, claro está). No puedo hacer un llamamiento con un perfil en el que tengo mis fotos, mis contactos, los lugares frecuentados… si quiero que luego no me pillen. Algo un poco surrealista, pero que sigue sucediendo en este y otros ataques.

Finalmente, desde el punto de vista técnico, el ataque tuvo poco o ningún éxito; la página web principal de GVA -a pesar de lo que muchos dicen por ahí- tuvo pequeños problemas intermitentes a lo largo del día, problemas que de no haber sido por la publicidad de la convocatoria apenas se habrían notado. Tampoco se registró en ningún momento un downtime de tres o cuatro horas, como he llegado a leer en algunos medios. El ataque no aporta nada nuevo: intento de saturación de un servidor por conexiones de red y poco más, al menos por ahora; ataque burdo cuyo único éxito depende de la cantidad de atacantes, no de la complejidad técnica del mismo o del aprovechamiento ingenioso de una vulnerabilidad… Me atrevo a decir que de momento no ha sucedido nada grave; este es quizás el equivalente, en el terreno virtual, al asalto a la central nuclear de Cofrentes esta misma semana, por parte de activistas de Greenpeace: un ataque que apenas compromete nada y que tiene más repercusión mediática que otra cosa. Quizás sea eso lo que buscaban los organizadores, a saber…

Para acabar, al margen de todo, hay que destacar la “rigurosa” cobertura por parte de los medios de comunicación: Levante-EMV hablaba de la página “hackeada”, Las Provincias o El Pais del PP como próximo objetivo y de Anonymous como el grupo organizador, El Mundo de “ataques hacker”… en fin, periodistas. Sin comentarios. Este colectivo, o parte de él, merece un post propio en este mismo blog, por supuesto dentro de la serie GOTO :)

¿Seguridad nacional?

Hace unas semanas, mientras comía con unos auditores -y amigos- de AENOR, les lancé la siguiente pregunta: ¿qué opinais acerca de las infraestructuras críticas -o estratégicas- españolas que son auditadas (en materia de seguridad, pero podríamos hacerlo extensible a tantas otras cosas..) por organizaciones extranjeras? A fin de cuentas, cuando llega el auditor a certificar nuestro SGSI le enseñamos buena parte de las tripas de nuestra seguridad, por no decir todas… Por supuesto, la respuesta de los auditores fue la esperada: es cuanto menos curioso que se produzca esta situación, y no es lo deseable; claro, tanto AENOR como S2 Grupo, son empresas españolas, por lo que era fácil estar de acuerdo :)

Con lo que nos gusta hablar de protección de infraestructuras críticas, seguridad nacional, ataques terroristas de terceros países y demás (a los que trabajamos en seguridad y desde hace un tiempo parece que también a los políticos), no parecen muy coherentes situaciones en las que aspectos relevantes de la seguridad de estas infraestructuras son accedidas sin reparos por terceros paises -algunos de ellos “amigos”, por ahora, y otros menos amigos, también por ahora-. Tampoco parece muy coherente que buena parte de la tecnología utilizada, por no decir toda, no sea nacional (¿algún fabricante de SCADA español? Yo no conozco…).

Muchos equipos de usuario son Dell, tienen instalado Microsoft Windows con un bonito Office encima, nuestros datos viajan a través de routers Cisco, nos enviamos correos con IBM Lotus Notes y por supuesto, si queremos contratar una auditoría o la puesta en marcha de algo importante, nos vamos a consultoras americanas con nombres difíciles de pronunciar, que molan más (luego nos mandan a un becario de Alcorcón, pero la empresa es americana); ahí estamos los españolitos, apoyando el producto nacional… es más, ni siquiera apoyamos al software open source, que es de todos y no es de nadie, más que con cuatro iniciativas políticas que aportan poco o nada… Ojo, no tengo nada contra ninguna de las empresas citadas, pero es que Spain is different.

Consumir “producto” nacional (léase producto por servicio, proyecto, empresa…) no es sólo una cuestión económica, sino que en muchas ocasiones también es un tema de seguridad. En este sentido, iniciativas como el Consejo Nacional Consultivo sobre Ciberseguridad (CNCCS) son muy claras en sus requisitos de adhesión: el primero, ser una compañía española, cuya empresa matriz o central resida en nuestro país; sin ir tan lejos como algún político, que trataba de defender que los datos de los españoles estén en servidores de España (algo muy interesante pero poco factible, bajo mi punto de vista), sí que creo necesario defender más el producto nacional, como decía, tanto por una cuestión económica como por una cuestión de seguridad. Y también porque en términos generales los profesionales, empresas, productos… españoles creo que tienen (tenemos) poco o nada que envidiar a sus equivalentes de otros paises; y si en algún caso tienen (tenemos) algo que envidiar, es porque no nos hemos esforzado -aún- lo suficiente: estaríamos ocupados viendo algún Madrid-Barça o legislando sobre temas importantísimos para superar la crisis, como las descargas en Internet ;)

Estaría muy bien que, en especial en infraestructuras críticas, pero también en todo lo demás, se diera preferencia al uso de software de seguridad español (desde un antivirus a programas de control), se intentara que las auditorías -y la consultoría- las ejecutaran empresas españolas, se evitara introducir a empresas extranjeras en centros de seguridad relevantes y, por qué no, se potenciara el uso de software abierto, por poner unos ejemplos; ojo, siempre que los españoles estemos en igualdad de condiciones que otras alternativas: es complicado plantearse instalar un sistema que no cumpla con unas especificaciones dadas o contratar un servicio más pobre simplemente por ser nacional.

Por supuesto, no quiero plantear ni que dejemos de usar todo lo que no sea nacional (mañana estaríamos volviendo al trueque en lugar de conectarnos a Internet, y si una empresa nacional fabrica electrónica de red con la capacidad de Cisco que venga y me lo cuente… ¡ójala!). Simplemente opino que a condiciones equivalentes debemos optar por lo nacional: creo que mejorará nuestra economía (salir de la crisis sería optimista) y también nuestra seguridad. Sin tapujos, el CNI tiene más fácil el control de empresas nacionales que americanas y la ayuda que recibirá ante un problema en un producto nacional o en un servicio mal prestado por una empresa española creo que será mayor… o al menos diferente y, sobre todo, amiga (al menos a priori). Y este es un tema que debe ser potenciado desde las administraciones públicas, en especial desde las que tienen responsabilidades en materia de seguridad, y también en especial en lo que respecta a I+D+i: sembrar hoy para recoger mañana, le llaman. Y con las administraciones públicas a la cabeza, detrás de ellas iremos los demás.

Aprendiendo del vecino

Imagino que a todos nosotros nos han enseñado que cuando tenemos que abordar un nuevo proyecto por primera vez, cuando tenemos que hacer algo que no hemos hecho nunca o cuando queremos mejorar un proceso -o lo que sea- debemos fijarnos y aprender de otros que lo hayan hecho antes. Y si nadie lo ha hecho antes, debemos aprender de los que han hecho cosas parecidas en otros ámbitos que no tengan nada que ver con el nuestro. Y si esto tampoco existe, pues ya nos vamos a I+D+i.

Particularizando para el campo de la seguridad lógica, a mí personalmente me gusta mucho fijarme en los compañeros de la seguridad física -con sus pros y sus contras- a la hora de abordar proyectos que no he hecho jamás. Desde luego, en campos como los modelos de negocio de seguridad gestionada o la gestión de incidentes nos llevan años de ventaja (a otro nivel y con otros problemas, pero años de ventaja), así como en temas legislativos, relación con FFCCSE y mil cosas más. Entonces, ¿por qué no tratamos de aprender de los profesionales que trabajan en este campo?

Sin querer generalizar, a los tecnólogos nos cuesta mucho darnos cuenta de que podemos aprender algo de gente que no sabe informática o telecomunicaciones más alla del nivel usuario (de hecho, para los técnicos la palabra “usuario” tiene connotaciones negativas ;). Por tanto, es impensable que nos planteemos los puntos que tienen en común la gestión de incidentes tecnológicos y la protección de personas -que los tienen, y muchos- o que nos fijemos en los modelos de colaboración o la regulación existentes en seguridad privada y los apliquemos en protección de la información, por poner unos ejemplos. Si lo hiciéramos, cada uno en su ámbito, podríamos aprender de los demás y mejorar nuestro trabajo… pero claro, ¿qué nos puede enseñar alguien que no sabe hablar en ensamblador? :)

Fijémonos en los que saben de nuestro campo de trabajo o en los que hacen cosas parecidas y apliquémoslas en nuestro día a día; seguramente de Bruce Schneier podremos aprender mucho, pero también podemos hacerlo de un policía que apatrulla la ciudad, de un guardia civil destinado en cualquier puesto de Cuenca o del vigilante de seguridad de un banco, aunque no tengan ni idea de tecnología. A fin de cuentas, nos cansamos de repetir que los delitos tecnológicos, sin ir más lejos, son equivalentes a los delitos tradicionales pero ejecutados con otros medios… y los ejemplos que he puesto antes sin duda saben mucho de delitos, aparte de ser probablemente más accesibles que Schneier. Y también nos cansamos de repetir todo aquello de la convergencia de la seguridad, la protección integral y demás…

Por supuesto, no todo lo que viene del ámbito de la seguridad física es bueno ni aprovechable; el mayor problema (IMHO) es el inmovilismo de muchos profesionales, desde personal de seguridad a FFCCSE pasando por legisladores, que una vez han logrado algo se dedican a defenderlo a toda cosa durante años -muchos- pensando que el mundo se paró en el instante en que ellos escribieron la Biblia. Señores, las cosas cambian y, sobre todo, se mejoran; no pueden ustedes dedicarse a argumentar -al menos fuera de El Club de la Comedia- que el phishing no es un problema de seguridad o que algo que no se proteja con una pistola no merece ser protegido, y tampoco pueden aferrarse con uñas y dientes a leyes de hace dos décadas sin plantearse si pueden cambiarse. Hay vida después de los ochenta :)

¿Qué pasa en Lenault?

Durante estos días, como cualquiera que lea el periódico sabrá, ha salido a la luz un supuesto caso de espionaje industrial contra Renault, relativo al robo de información del coche eléctrico por parte de unos intermediarios que a su vez habrían facilitado la información a China. Por supuesto, muchos medios generales se han hecho eco de esta noticia, y también por supuesto ha sido analizada en blogs y canales especializados en seguridad.

El caso de Renault que ahora se publicita ni es el primero ni será el último en esto del espionaje industrial; simplemente pone de manifiesto un problema al que casi todas las empresas, grandes o pequeñas, están expuestas en la actualidad: el robo de información. Lo de siempre: se roba lo que vale, de una u otra forma, dinero; antes eran bienes materiales (un coche, un cuadro, una pieza concreta) y ahora lo que vale dinero es la información. Como dice Javier Cao en su blog, todos los que trabajamos en seguridad nos cansamos de repetir que la información es un activo de toda organización y, como tal, debe ser protegido. En plata: la información es dinero (o poder, o como lo queramos llamar) y por tanto tiene interés para los delincuentes.

¿Qué es lo que puede suceder en una empresa como Renault para que ocurran estas cosas? ¿Qué se ha hecho mal? Imagino -no lo sé, pero lo imagino- que tendrán un SGSI estupendo que habrá costado miles de euros, que entre su personal tendrán ingenieros con todas las certificaciones de seguridad habidas y por haber y que la inversión en protección de sus diseños costará anualmente cifras que a los simples mortales nos llegarían a marear. Ya sé que todo esto no garantiza la impunidad absoluta, pero ayudar, ayuda. Entonces, ¿qué sucede? Creo que se nos escapa, una vez más, el factor humano, el más difícil de controlar cuando hablamos de seguridad.

Protección de la información y personas. Dos conceptos que en ocasiones son difíciles de mantener en armonía, en especial cuando la información manejada vale miles de millones de euros y las personas, como los sistemas, presentan vulnerabilidades de uno u otro tipo. Sin ser tan drástico como el Arcipreste de Hita, que decía aquello de que el mundo por dos cosas trabaja: la primera, por aver mantenençia…, sí que es cierto que las personas funcionamos en ocasiones por dinero, por ideales (amor, política, religión…) o incluso por amenazas; confiar en la lealtad de las personas a una organización simplemente por pertenecer a ella y sentirse parte de la misma es obviamente un error, y lo peor de todo es que solemos darnos cuenta de este error cuando el problema estalla en nuestras narices.

¿Qué podemos hacer para minimizar (no quiero decir “evitar”) problemas de seguridad derivados de las personas? Al hablar de la protección de bienes tangibles las soluciones suelen ser muy claras, pero al hablar de protección de la información quizás no lo sean tanto; bajo mi punto de vista, aparte de las recomendaciones clásicas (segregación de tareas, need to know…) lo que hoy en día necesitan las organizaciones es contrainteligencia: mecanismos que permitan detectar potenciales conductas anómalas (e investigarlas) antes de que las fugas de información, los daños reputacionales o cualquier otro problema se materialicen y nos causen un impacto significativo. Lo mismo que se ha hecho en inteligencia desde hace décadas -ellos siempre han estado acostumbrados a trabajar con información valiosa- aplicado ahora al negocio; frente al espionaje, contraespionaje, con unas técnicas similares a la contrainteligencia clásica pero con el añadido del punto de vista empresarial (contrainteligencia competitiva lo llaman por ahí, aunque es un término que no me acaba de gustar). A diferentes escalas -no será lo mismo un alto directivo de una multinacional- que un técnico de una empresa pequeña- pero con el mismo fin: proteger la información como activo crítico, igual que protegemos a las personas o a los edificios.

Por supuesto, por mucha contrainteligencia, por mucho need to know, por mucho SGSI o por mucha seguridad lógica que implantemos, este tipo de cosas seguirán pasando; quizás dentro de unos meses veamos por las calles coches eléctricos Lenault con un diseño muy similar al que ahora se ha robado. O quizás no, quién sabe. Lo que sí que es cierto es que los robos de información o el espionaje industrial están a la orden del día; casos como este saltan a los medios -se trata de empresas muy conocidas-, pero son muchos más los que se quedan enterrados en una organización cualquiera o, como mucho, en un juzgado; y siempre es lo mismo: personas con acceso a información que por uno u otro motivo (principalmente dinero) hacen un mal uso de ella.

Por cierto, hablando de estos temas, un libro muy interesante que trata de la relación entre personas y protección de la información es Managing the Human Factor in Information Security, de David Lacey (nos lo recomendó chmeee en este mismo blog). Lo estoy leyendo ahora y cuenta cosas más que interesantes (gracias chmeee ;)

Otras tecnologías de posicionamiento… y de más cosas

Leía anoche el post de Damià sobre tecnologías de posicionamiento y no pude por menos que pensar -una vez más, no era la primera- en el nivel de control que las nuevas tecnologías pueden llegar a tener sobre nosotros y nuestra privacidad, si es que aún nos queda algo de eso. Acerca de degradaciones de la privacidad hemos hablado largo y tendido en este mismo blog, desde múltiples puntos de vista -incluso incluyendo los menos tecnológicos-, con lo que toca ahora el turno de las tecnologías de posicionamiento; en este caso, basadas en algo que, como el teléfono móvil, no está pensado exclusivamente para posicionar pero puede usarse con cierta facilidad para ello: me refiero a las tarjetas de crédito (o débito, por supuesto ;)

Las tarjetas de crédito no sólo nos posicionan en un momento determinado, a nosotros o al poseedor de nuestra tarjeta (que suele interesar que coincidan ;) sino que dicen mucho de nuestra vida; sin ir más lejos, si yo pago habitualmente la gasolina de mi coche con mi tarjeta, y casualmente suelo llenar el depósito, y además suelo hacerlo de camino al trabajo, cualquiera con acceso a esos datos puede saber (o imaginar) ya unas cuantas cosas sobre mí:

  • Zona habitual de paso. Aparentemente, Valencia; en concreto, la zona norte de la ciudad.
  • Misma gasolinera, mismo horario: suelo hacer ese recorrido a diario; si alguien quiere asesinarme, ya sabe dónde encontrarme :) Además, soy un tipo de costumbres…
  • Horario: completamente laboral, con lo que presumiblemente tengo trabajo y no puedo irme de fiesta todos los martes. Muy interesante para el banco de cara a concederme una hipoteca (¿cuál sería mi nivel de riesgo si usara la tarjeta habitualmente en zonas de copas, por las noches y de vez en cuando tuviera descubiertos?).
  • Importe. Como he dicho, suelo llenar el depósito y gracias al precio del combustible, eso se traduce en casi sesenta euros, con lo que a priori tengo un coche grande (y con estos precios, afianzo la hipótesis de que por fortuna tengo trabajo).
  • Frecuencia de repostaje. Suelo llenarlo una vez al mes, con lo que o hago pocos kilómetros o mi coche consume poco. Podría comprobarlo si tuviera acceso a los datos de otras estaciones de servicio… pero la frecuencia de repostaje, unida al importe repostado y a que teóricamente tengo un coche grande me hace pensar en pocos kilómetros. Ya os confirmo que es así (fuera de temporada de setas, claro está ;)

En resumen, simplemente con el repostaje habitual de camino al trabajo, alguien ya puede saber de mí en qué zona vivo, qué ruta sigo, mis horarios, mi tipo de coche, si trabajo o no… Evidentemente, se trata de un ejemplo simple; si nos queremos complicar, podemos fijarnos en movimientos globales durante, pongamos por caso, un mes: si me he ido de viaje, dónde he ido, si suelo comer o cenar fuera de casa, en qué tiendas compro y dónde están… Con el análisis de estos movimientos no sólo posiciono en cada uso al titular de la tarjeta -o a la tarjeta en sí- sino sus gustos, lugares frecuentados, nivel de gastos, estilo de vida, etc. Geoposicionado. Y tanto :)

Este tipo de geoposicionamiento, o simplemente información, puede resultar muy interesante en aspectos como la lucha antiterrorista (por ejemplo, para saber en qué ciudad se encuentra un sospechoso que acaba de sacar dinero de un cajero) o la detección de tarjetas duplicadas (no puedo comprar en Valencia y en Vigo con una diferencia de una hora entre ambas operaciones), pero, como siempre, tenemos el mal uso que podamos hacer de los datos derivados del uso de las tarjetas; desde publicidad dirigida hasta intromisiones en la privacidad difícilmente justificables (¿qué sucede si suelo pagar en locales de alterne o en un sex shop?). Los sistemas de detección del fraude implantados en redes de medios de pago hacen uso de esta información con fines lícitos, pero si cayera en malas manos… en fin, lo de siempre, el WikiLeaks de los pobres :)

Para acabar, si alguien se aburre, que invierta una horita en analizar los movimientos de sus tarjetas durante el último mes, verá como dicen muchas cosas de él.

Feliz Navidad

Más de menores

Esta semana, en concreto el lunes día 29, estaba viendo el telediario de La 1 mientras trataba de dormir a mi hija; como parece que algunos periodistas están algo faltos de noticias (cuando se juega un Barça-Madrid parece que no se puede hablar de nada más interesante), uno de los bombazos informativos fue la actuación de nosequé cantante en Madrid, ídolo de quinceañeras, que había arrastrado a niñas de media España a hacer cola durante horas para que les firmara un disco o algo así. Reconozco mi ignorancia musical, ya que no tenía ni idea de quién era este chaval -prefiero a Krahe-, pero me llamó mucho la atención una cosa: una de las fans, entre gritos de histeria, se había “tatuado” en la cara su -presuntamente- número de teléfono móvil, junto a su nombre y un “Call me”; por supuesto, este fue uno de los primeros planos, con lo que media España pudo saber el teléfono de esta, también presuntamente, menor.

Por supuesto, un diez en seguridad para la niña por publicar información sensible (ríete tú de WikiLeaks); pero con quince años y las hormonas por las nubes dudo que mucha gente piense en las posibles consecuencias de una cosa como esta. Eso sí, un diez también en seguridad al periodista (o cámara, o lo que sea) por ese primer plano de la chavala; ahora cualquiera puede llamarla, tratar de quedar con ella, engañarla o lo que le apetezca. Con un par.

No voy a ponerme a hablar ahora de la seguridad de los menores y el uso que estos hacen de las nuevas tecnologías (casualmente esta semana se publican en este mismo blog varias entradas del tema, ya saben por qué :) Simplemente me llamó la atención la inocencia (o inconsciencia) de esa pobre chica y me planteé que si alguien es capaz de dar su teléfono delante de media España a cambio de nada, qué no sería capaz de hacer con un poco de ingeniería social. ¿Qué pasa si me hago pasar por un representante del cantante de marras y llamo a la chica para quedar con ella? ¿Qué pasa si en una red social me hago amigo de un menor y me dice dónde vive, dónde estudia y dónde va con sus amigos los viernes por la tarde? ¿Y si dejo en la puerta de un instituto un CD en el que haya escrito “Notas” o “Exámenes”, y que contenga un bonito keylogger?

Más allá de sistemas de control parental, restricciones técnicas de acceso a ciertos contenidos, filtrado de tráfico y demás, creo que esto sólo se arregla de dos formas: formando al menor y formando al menor. Y si puedo añadir una tercera opción, seguramente optaría por formar al menor. Sencillo, ¿verdad? Escribir cosas siempre es sencillo, el problema está en implementarlas. Y en este caso, en convencer a chavales -tarea difícil- de que las tecnologías son útiles, obviamente, pero hay que saber utilizarlas. Y de que si las usan mal pueden tener problemas que van más allá de bromas en Tuenti o mensajes en el muro de Facebook.

Por cierto, ¿qué hay de los padres? A menudo los niños son los más “tecnólogos” de la casa, usando cualquier cacharro con cables -o inalámbrico- mucho mejor que sus padres, desde el DVD al ordenador. Pensemos que si ninguno de nosotros dejaría a su hijo de nueve años solo en el centro de una gran ciudad, a expensas de cualquier agresión, con acceso a cualquier contenido simplemente mirando el escaparate de un quiosco, expuesto a un atropello, a perderse durante horas… ¿por qué estamos haciendo exactamente eso en Internet? Es más cómodo dejar a un chaval delante de un ordenador que jugar con él, hablarle o escucharle, pero a la larga todo tiene consecuencias… Si no lo haríamos en el mundo real, ¿por qué sí en el virtual?

Para acabar este post sobre menores, me gustaría hacer una mención a César J.F., un niño de nueve años cuyo cadáver apareció hace unos días dentro de una maleta en Menorca. Tras las investigaciones correspondientes, se ha descubierto que su propia madre lo ahogó en la bañera y que el cuerpo permaneció escondido durante unos dos años sin que nadie se percatara de que el chaval no estaba ni en clase, ni en su casa, ni en casa de sus abuelos, ni en ningún sitio. Nadie se preocupó por él en este tiempo, nadie lo echó de menos. Noticias como esta dejan a uno sin palabras. Creo que todos deberíamos plantearnos qué puede llevar a una (mal llamada) madre a hacer algo así pero, sobre todo, qué puede fallar para que un niño desaparezca dos años sin que nadie se dé cuenta. Reflexionemos un poco, porque en esta aldea global (con tanto 2.0, la nube y mil chorradas más) hay cosas que son difíciles de explicar. Y no tienen nada que ver con la tecnología. D.E.P.