¿Hasta dónde va a llegar Apple con la censura?

Recientemente he leído un artículo en “diaroti.com” referido a la censura que realiza Apple mediante el sistema iCloud donde, no solo los destinatarios del mensaje leen el mensaje sino que Apple también lo hace, y no solo el asunto del mismo, sino el cuerpo del mensaje. El exceso de celo que presenta Apple con todo lo relacionado con el sexo es por todos sabido, pero ha llegado al extremo.

La compañía ha sido recientemente acusada de bloquear todos los correos enviados a usuarios de iCloud con el texto “barely legal” (apenas legal). Esta frase es empleada en sitios pornográficos con la finalidad de dar a entender que “los participantes” acaban de llegar a la mayoría de edad, por lo que los correos que la incluyan (ya sea en el cuerpo del email o en el asunto) son eliminados sin importar que no incluyan contenido sexual o se trate de contenido de ficción. Aparte de ello, el correo que elimina, nunca va a parar a la papelera, ni a la carpeta de correo no deseado, sino que directamente lo elimina del servidor.

Este procedimiento de censura, quedó al descubierto cuando la edición británica de MacWorld realizó una prueba para comprobar la eficacia de este filtro. La prueba consistió en enviar un mensaje que contenía el siguiente texto: “My friend’s son is already allowed to drive his high-powered car. It’s ridiculous. He’s a barely legal teenage driver? What on earth is John thinking.” (El hijo de mi amigo ya tiene permiso para conducir su coche de alta potencia. Es ridículo; ya que es un conductor adolescente, que apenas ha superado la edad mínima legal. ¿En qué está pensando John?). Al contener la frase en cuestión (“barely legal”), el correo fue automáticamente eliminado de los servidores de Apple.

Posteriormente, se reformuló la frase de la siguiente manera: “My friend’s son is already allowed to drive his high-powered car. It’s ridiculous. He’s barely a legal teenage driver? What on earth is John thinking” (El hijo de mi amigo ya tiene permiso para conducir su coche de alta potencia. Es ridículo; ya que es apenas un conductor adolescente con edad mínima legal. ¿En qué está pensando John?). Fue suficiente con trasladar la letra “a” (que aparentemente, traducido al español no varía en nada su significado), para que el filtro no actuase.

Apple ha mantenido su habitual mutismo pero sí ha desbloqueado esta combinación de palabras. Aunque como siempre, tienen las espaldas bien cubiertas, ya que en los términos de uso de iCloud (que la mayoría ni leemos y aceptamos como si nada) permiten exactamente lo que ha ocurrido.

Otros que se han topado con esta censura han sido la revista “Playboy” que movió cielo y tierra para sacar una versión íntegra de su revista para Ipad y al final se han tenido que conformar con hacerlo vía web, y recientemente la revista “Muy Interesante” era motivo de censura al publicar la palabra pene y colocar la foto de un modelo desnudo que cubre sus genitales, por lo que la revista debió modificar la palabra de su artículo de portada para la versión Ipad con el pertinente retraso en su publicación y con ello las disculpas a sus lectores.

(Las fotos pertenecen a “eldiario.es” y “iphonefan.com“)

¿Es necesario un antivirus en mi smartphone?

Ayer, tras haber estado revisando unas cosas en el ordenador de casa, me saltó el aviso de actualización del antivirus en 7 días. Desde que llegaron los ordenadores a casa he estado escuchado, concretamente a mi padre, la importancia de tener actualizado el antivirus, que tengamos muchísimo cuidado con todo lo que abrimos, que si no lo tenemos correctamente instalado, nos olvidemos de navegar y demás. Llevo ya tres años con un teléfono que me permite navegar por Internet, leer el correo electrónico, acceder a las redes sociales, jugar online, etc. es decir, tiene funcionalidades muy similares al ordenador, incluso más, y jamás he instalado nada que me proteja, pero tampoco me he preocupado. Hasta ayer.

Con mis conocimientos bastante limitados de informática (soy ingeniera industrial), acabo de sacar el tema con mis compañeros de la empresa y tampoco he llegado a una respuesta clara. El tema es el siguiente, ¿debo bajarme un antivirus para mi smartphone? ¿Cómo sé que está seguro? ¿Llegará algún día que un virus borre todos mis datos del móvil?

Navegando por la red, existen diversas páginas que hablan de la seguridad en estos dispositivos. Desde “esta casa”, S2 Grupo publicó hace algún tiempo un decálogo de seguridad para iPhones y iPads, y el CSIRT-cv tiene además una interesante guía para securizar los dispositivos móviles. Más allá de estas referencias, el Instituto Nacional de Tecnologías de la Información y en concreto la Oficina de Seguridad Informática contienen también información y en su blog pueden encontrarse dos entradas con consejos para lograr una mayor seguridad en los smartphones (tanto Android como iPhone), consejos en general bastante lógicos que en mi caso ya cumplía casi al 100%. También contiene información sobre cómo utilizar con seguridad el servicio de WhatsApp y recomiendan mantener actualizado el móvil y las aplicaciones para evitar los fallos de seguridad que se encuentran en ellas.

Pero, cumpliendo estos consejos, ¿es suficiente?

Tras hacer un sondeo entre mis compañeros (la mayoría de ellos se dedican a la seguridad informática) sobre el uso de sistemas antivirus en los dispositivos móviles, solo uno lo había estado usando, pero recientemente lo había desinstalado ya que le enviaban constantemente avisos que le incordiaban. Esto me dejó un poco más tranquila, la verdad.

Les pido que amplíen este sondeo y me aconsejen un poco acerca de este tema. ¿Debería descargarme un antivirus?

A la pregunta de si debes tener instalado un antivirus, la respuesta es que sí. Sí se debe contar con un antivirus en el móvil que analice ficheros y aplicaciones instaladas y que se actualice constantemente. Las principales casas de antivirus disponen de una versión para móvil, algunos de ellos gratuitos. Se debe tener más cuando todos los informes de empresas de seguridad, y en especial las casas de antivirus, ya apuntan el desvío de malware a esta plataforma como una tendencia exponencial en los últimos años.

A la pregunta de si cumpliendo esas recomendaciones es suficiente, la respuesta será no. No sólo es suficiente descargar aplicaciones de fuentes fiables (ni siquiera eso es suficiente debido al malware que se cuela en markets oficiales) o revisar los permisos de las aplicaciones. Ni siquiera es suficiente todo lo anterior y tener un antivirus instalado, sino que es necesaria una cosa más: el sentido común. Prácticas como no abrir correos de gente que no conocemos o con un asunto inusual, navegar por páginas de dudosa reputación, descargar o abrir ficheros de origen desconocido y un largo etcétera de recomendaciones habituales contribuirán a mejorar la seguridad, pero no a que estemos seguros. Discúlpame, pero los que trabajamos en seguridad de la información tenemos el nivel de paranoia bastante más elevado que la media.

Y quizá sea debido a ese estado de alerta permanente el que “permita” que los compañeros a los que te refieres no tengan un antivirus instalado en el móvil, y lo suplan con otras medidas como la utilización de un firewall que monitorice las conexiones del dispositivo, comprendiendo la información que muestra y sabiendo actuar en caso de actividad sospechosa. Son medidas que no pueden aplicarse a usuarios normales.

En definitiva, un buen antivirus, cuidado al descargar y abrir archivos (en toda su extensión: correos, imágenes, adjuntos…) y el sentido común, son la mejor protección de nuestros móviles. ¿Estaremos totalmente seguros? No. No prentendo ser alarmista, pero siempre decimos que la seguridad absoluta no existe.

Espero haberte aclarado un poco tu duda sobre móviles.

Manuel Belda, Área de Seguridad de S2 Grupo.

Normas de Seguridad PCI DSS, PA DSS y PCI PTS

Como ya dije en mi anterior post, el PCI Security Standars Council es un órgano creado con el fin de aumentar la seguridad de los datos en la industria de las tarjetas de pago. Esta organización ha redactado una serie de normas que describen los requisitos de seguridad y sirven como guía para aquellas organizaciones que procesan, almacenan y/o transmiten datos con el fin de prevenir los fraudes que involucran tarjetas de pago débito y crédito. Vamos a desarrollar en profundidad estas normas:

PCI DSS

Es un estándar que recoge los requisitos y normas de seguridad de datos que deben seguir todas las compañías que trabajen con transacciones de tarjetas de pago.

[Read more…]

Introducción a PCI DSS: Payment Card Industry Data Security Standard

Hace poco más de un mes se llevó a cabo en Madrid una nueva edición del seminario “Últimos avances en Medios de Pago”. Un seminario organizado por “Atenea Interactiva”, donde se desarrollaron cada uno de los aspectos más importantes de los sistemas de pago que actualmente están en funcionamiento.

Uno de los temas que más comentarios suscitó fue la complejidad para saber qué empresas habían sido auditadas por la organización PCI DSS, aspecto que ha despertado mi curiosidad sobre cuál es la función de esta organización y sus aspectos más destacables y que me ha hecho indagar en este sentido.

Según su propia página web, “PCI Security Standards Council es un foro mundial abierto establecido en el 2006”, cuya misión es la de aumentar la seguridad de la industria de las tarjetas de pago, proteger al usuario y disminuir el fraude de tarjetas de crédito.

[Read more…]

UNE-ISO 28000: “Sistema de Gestión de la Seguridad en la Cadena de Suministro”

Voy a comenzar mi andadura en este blog de seguridad hablando de una de las últimas normas publicadas, y de la cual, si aún no han oído hablar de ella, les aseguro que dentro de poco oirán. Es la norma UNE-ISO 28000:2008: “Sistema de Gestión de la Seguridad en la Cadena de Suministro”, sobre la que Toni ya comentó algo hace algunos meses, en su serie de seguridad sectorial. Esta norma se ha desarrollado en repuesta a la demanda por parte de la industria sobre la gestión de seguridad y la protección tanto de los bienes, como del personal y la información.

Tras los hechos de septiembre de 2001 en Nueva York, la concepción de riesgo en el mundo occidental aumentó, según Paul Rodgers, del Centro Nacional de Protección de Infraestructuras de la Oficina Federal de Investigaciones: Hoy, un potencial destructivo tremendo cabe en paquetes fácilmente transportables (bombas, gas neurotrópico o de nervios y agentes biológicos), y los ordenadores conectados a Internet pueden ser atacados desde cualquier punto de la tierra, por lo que hay una necesidad de aumentar la seguridad en todas las operaciones críticas y establecer un sistema de gestión global de la seguridad de toda la cadena de suministro de la organización.

Esta norma internacional se ha desarrollado en respuesta a esta necesidad de responder a las posibles carencias de seguridad que tienen las organizaciones de este tipo. Aunque, en teoría, esta norma internacional es aplicable a organizaciones de cualquier tamaño que trabajen en cualquiera de las fases de la cadena de suministro, en la práctica parece haber sido pensada fundamentalmente para la gestión de la seguridad de infraestructuras críticas, y claramente orientada a la seguridad de buques y de instalaciones portuarias. Se considera que la norma ISO 28000 es una norma genérica y que en un futuro habrá otras normas de seguridad que formarán parte de esta norma genérica.

La Norma Internacional ISO 28000 basa su formato en la norma 14001:2004 por su enfoque de los sistemas de gestión basados en el riesgo. Sin embargo, las organizaciones que hayan adoptado un enfoque basado en proceso de los sistemas de gestión, Norma ISO 9001:2000, pueden ser capaces de usar su sistema de gestión como base para un sistema de gestión de la seguridad. La gestión que propone la ISO 28000, al igual que las normas anteriormente nombradas, se basa en la premisa de mejora continua, consustancial a esta y a la mayoría de las normas ISO de gestión; el ciclo de Deming, más conocido como ciclo PDCA, es el mecanismo que garantiza la continuidad de las mejoras en el proceso de gestión.

La implantación de esta norma conllevará numerosos beneficios en la seguridad de la organización, asegurando con ello que es una organización comprometida con la seguridad tanto del personal que trabaja en ella como de sus instalaciones y la información que se intercambia en (y con) ella, mejorando así la imagen externa de la organización y el control de su entorno, favoreciendo una mejor integración con la sociedad, y asegurando el cumplimiento de la legislación referente a seguridad.

Actualmente, el Puerto de Houston ha sido el primero en recibir a nivel mundial la certificación ISO 28000, mientras que DHL Express Iberia ha sido la primera empresa que ha obtenido el certificado, otorgado por AENOR, para todas sus plataformas en España. Sin embargo, sin duda alguna en los siguiente meses veremos grandes organizaciones certificadas en este nuevo sello. Si la función de su organización está relacionada con la cadena logística o trabaja con grandes empresas cuyo sector de negocio es ése, le recomiendo un estudio detallado de la norma, del establecimiento de un sistema de gestión de la seguridad y de la posibilidad de implantación en la organización, ya que al igual que ha pasado con anteriores normas, no es descartable que en un futuro no demasiado lejano esta norma, ya sea por imagen o por exigencia de terceros, se convierta en una obligación.

En próximos posts entraremos más en detalle sobre los entresijos y particularidades de esta nueva norma.