¿El fin de los secretos?

15 de noviembre de 2010 Por

Ahora que ha pasado un cierto tiempo desde el escándalo de la publicación de los diarios secretos de la guerra de Iraq y la reacción del gobierno de USA, que no desmintió la información, me gustaría compartir algunas reflexiones sobre el fenómeno WikiLeaks, su relación con la privacidad de datos y la corriente dentro de la que creo que se encuadra este caso.

No voy a entrar en la legalidad difusa de sus actuaciones, la falta de transparencia (casi inevitable) del origen de los fondos con que se mantiene o la contradictoria personalidad de su líder visible, Julian Assange, puesto que mi punto de vista es que WikiLeaks es la manifestación actual de una tendencia que no tiene vuelta atrás fácil (y creo que ni difícil).

A medida que la participación en la red se populariza, cada vez hay más personas introduciendo más información acerca de sus vidas y sus intereses, públicos o privados, en bases de datos gestionadas en la nube, cuya garantía de confidencialidad y privacidad es muy dudosa. Por poner un ejemplo, la más popular de las redes sociales, Facebook, tiene unas condiciones de uso que podrían constituir la pesadilla (o el sueño) de cualquier abogado. Por supuesto, esto no supone ningún problema para ninguno de nosotros, porque no nos las leemos… :-)

La mayor parte de la información que compartimos es básicamente irrelevante, sólo interesa a unos pocos amigos o familiares cercanos y, de hecho, consciente o inconscientemente, confiamos en que al resto del mundo no le importa en absoluto lo que digamos o las fotos que subamos. En gran medida, esto es cierto: es como aquello de que el mejor sitio para esconder un libro es una biblioteca. Entre tanta información, ¿quién va a encontrar nada nuestro si no lo está buscando explícitamente?

Sin embargo, lo que se sube a Internet ya nunca se borra. O, como decían en “la red social” (the movie), “Internet no está escrito con lápiz, Mark. Está escrito con tinta”. Y, en algún momento, alguien hará una búsqueda y aquello de lo que ya ni nos acordábamos, saldrá de nuevo a la luz. ¿Quién es capaz de mantener o explicar todo lo que ha dicho en algún momento de su vida?

Nos encaminamos hacia una sociedad en la que los secretos van a ser más difíciles de mantener o, dicho de otra forma, en la que nos tendremos que acostumbrar a una mayor transparencia en nuestras actuaciones.

Y lo que es aplicable a la vida social, es aplicable a las empresas, los gobiernos y las instituciones. No por la creciente responsabilidad de los gobernantes ni de la maquinaria del estado, sino por la evolución tecnológica, que es mucho más confiable.

Hace 100 años, si alguien quería mantener una conversación totalmente confidencial, podía, simplemente, alejarse del resto y hablar en voz baja, o tener cuidado de no dejar nada por escrito. De hecho, hace poco leí que la principal dificultad de los historiadores para entender la forma de gobernar en el imperio de Felipe II es que el rey no solía dejar por escrito sus órdenes, que se transmitían verbalmente. Hoy en día, no se puede estar seguro de que algo se vaya a mantener en secreto. Todo se registra de varias maneras diferentes, legales o no. Y ya no es posible guardar el registro bajo siete llaves. Las filtraciones, si hay algún interés en ello, son inevitables a la larga.

Por supuesto, el camino no será fácil ni directo. Seguro que veremos corrupciones en WikiLeaks o similares, corrupciones reales o montajes realizados para desprestigiar. Seguro que habrá filtraciones falsas que superen los mecanismos de comprobación establecidos (ya ocurre en los medios tradicionales).

En mi opinión, la tendencia es imparable. Sinceramente, creo que para bien.

Incumplimiento del deber de secreto

12 de noviembre de 2010 Por

Hace unos días leí una noticia que me llamo la atención; por lo visto, algún trabajador de Google había filtrado a la prensa un comunicado interno (el cual indicaba expresamente que era confidencial) donde se informaba sobre un aumento del 10% del sueldo a todo la plantilla de Google y la recepción de una paga extra de 1000 $ (yo pensé mira que majos :) ). Un día más tarde al hilo de esta noticia aparecía una nueva, en la cual se informaba acerca del despido de la persona que había filtrado la información, que ya no podría disfrutar de ese aumento de sueldo.

Esto me hizo reflexionar en que a menudo los empleados firman acuerdos de confidencialidad o NDA (Non-disclosure Agreements), ya sea por la LOPD, por SGSI, por política propia de empresa o por exigencias de un proveedor o cliente, sin que la mayoría sean conscientes de las consecuencias personales que puede tener la violación de dichos acuerdos de confidencialidad; simplemente firman porque hay que firmar. No obstante, existen unas obligaciones en cuanto a la confidencialidad inherentes a cualquier relación contractual.

En esta entrada trataremos las referencias legales, más allá de las implicaciones dentro del marco de la LOPD, con respecto al incumplimiento del deber de secreto.

En este sentido podemos identificar los siguientes hechos:

El Estatuto de los trabajadores. El artículo 5, “Deberes laborales“, en su punto a) propone para los trabajadores:

Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.

Lo cual implícitamente implica cierta obligación del trabajador para con la empresa en lo que respecta al deber de secreto. No obstante, esto no se considera suficiente como para eximir del desarrollo de un acuerdo de confidencialidad que especifique detalladamente las obligaciones del empleado en cuanto a confidencialidad.

La Ley de Competencia Desleal, en su artículo 13, propone:

1. Se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítimamente, pero con deber de reserva, o ilegítimamente, a consecuencia de alguna de las conductas previstas en el apartado siguiente o en el artículo 14.

2. Tendrán asimismo la consideración de desleal la adquisición de secretos por medio de espionaje o procedimiento análogo.

3. La persecución de las violaciones de secretos contempladas en los apartados anteriores no precisa de la concurrencia de los requisitos establecidos en el artículo 2. No obstante, será preciso que la violación haya sido efectuada con ánimo de obtener provecho, propio o de un tercero, o de perjudicar al titular del secreto.

En el Código Penal, son de aplicación tanto el artículo 197 como el 199, si bien el 199 en este contexto es más aplicable:

Artículo 199

1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses.

2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años.

Artículo 197

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

4. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.

5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.

6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años.

Como reflexión final, de todo esto podemos deducir que el incumplimiento del deber de secreto o de un acuerdo de confidencialidad tiene un carácter penal, pudiendo suponer al individuo en cuestión desde un despido procedente pasando por una reclamación en forma de indemnización hasta penas en prisión.

(Imagen de casey.marshall en Flickr)

Chrome Web Store

11 de noviembre de 2010 Por

La guerra de navegadores entre Chrome (Google), Firefox (Mozilla), Safari (Apple) e Internet Explorer (Microsoft) es una más de las múltiples guerras tecnológicas que vamos viendo pasar estos días, a saber: sistemas operativos, móviles, tablets, plataformas de videojuegos, video bajo demanda por Internet, y un largo etcétera. Al final todas están o acabarán estando relacionadas, y un claro ejemplo es la guerra de navegadores y sistemas operativos. En ese sentido, Google ha lanzado Chrome Web Store, mirando en primer lugar a la promoción de su navegador Chrome, pero poniendo un ojo en el futuro con su Chrome OS.

Y bien, ¿qué es eso de Chrome Web Store? Pues es una plataforma accesible al público general que permite publicar aplicaciones por parte de desarrolladores de software. Actualmente se encuentra en fase de recolección de las primeras aplicaciones enviadas por éstos (developer preview), pero se prevé que antes que finalice el año se produzca el lanzamiento. El resultado será algo similar a las tiendas virtuales de venta de aplicaciones móviles, como AppStore de Apple, Android Market de Google o Blackberry AppWorld, pero orientado a aplicaciones web. Esto daría respuesta a la sensación actual de una mayor facilidad para encontrar aplicaciones para el móvil que para el propio ordenador personal, ofreciendo las mismas ventajas de los mercados de aplicaciones móviles, como la búsqueda por categorías o un top ten de las aplicaciones más reclamadas.

Con todo esto, cualquier desarrollador registrado podrá publicar tres clases de elementos: aplicaciones, temas y extensiones. De esta forma, los elementos adquiridos aparecerán en la pantalla de inicio de Google Chrome. Sin embargo, una de las primeras preguntas que nos surgen y que ya ha manifestado CNET indica que no ve la diferencia entre visitar un sitio web y tener una aplicación que redirecciona al mismo lugar. Probablemente, la respuesta se encuentra más allá de las típicas aplicaciones web, más bien deberíamos decir aplicaciones instalables vía web y ejecutables en el entorno de navegadores, quizá en HTML5 o Flash para sacarle el máximo provecho, o de aplicaciones “descargables” similares a Java WebStart. De momento, ya se han presentado aplicaciones interesantes como la de Sports Illustrated o juegos como el de Lego Star Wars. La idea parece llevar a un buscador de aplicaciones de calidad (y por tanto, en algunos casos, de pago) para diferentes propósitos, siempre con el marco de fondo del nuevo sistema operativo Chrome OS, que pretenden promocionar de esta forma. Sin embargo, por el momento parece que no limitan la utilización de estas aplicaciones a su navegador, indicando que podrán ejecutarse en cualquier navegador de última generación. Eso sí, el buscador y la página de inicio de Chrome ofrecerán un valor añadido respecto al resto de navegadores.

Sin embargo, en cuanto a las connotaciones que podría implicar en cuanto a la seguridad, no parece haber mucha información al respecto, y es necesaria, ya que en primer lugar los usuarios deberán tener una garantía en cuanto a confidencialidad, integridad y seguridad en sus sistemas, por lo que será necesaria información sobre los sistemas de verificación utilizados por Chrome Web Store, especialmente a la hora de aceptar una aplicación para formar parte del conjunto de aplicaciones ofertadas.

En cuanto a la realización del pago de las aplicaciones, parece que el tema es más claro, ya que se indica que permitirá dos opciones: un sistema de pago propietario (Chrome Web Store Payments) o uno de los sistemas de pago ampliamente utilizados (como PayPal, por ejemplo). Recientemente, se ha hablado de un posible pago de una tasa de 5 dólares para los desarrolladores que quieran comercializar aplicaciones, según Google, como método de comprobación de la autenticidad de una aplicación o extensión, para evitar un posible spam de aplicaciones. En cuanto al porcentaje de ventas que se quedaría Google, las últimas comunicaciones hablan de un 5% del total de ventas de cada aplicación. En pocos meses veremos cuál es el grado de aceptación de las aplicaciones ofertadas, así como las posibles repercusiones.

La “seriedad” de las auditorías del RDLOPD

10 de noviembre de 2010 Por

Hace unas semanas aparecía en prensa la noticia de que el Ministerio de Economía y Hacienda había sancionado por falta grave a Gassó, la auditora que se encargó de supervisar las cuentas de la constructora Astroc en 2006, cuando salió a bolsa, al haber aprobado las mismas sin poner ninguna salvedad, cuando posteriormente PwC detectó irregularidades. Esto supuso una multa de aproximadamente 200.000 € para la auditora, y de 8.000 € para el auditor que firmó el trabajo.

No me cabe ninguna duda de que una auditoría del Reglamento de la LOPD tiene en general una relevancia menor que una auditoría financiera, por la relevancia e impacto que esta última tiene sobre los inversores y el desarrollo económico de la organización, pero no por ello deja de ser menos cierto que a la auditoría del RDLOPD no se le concede en mi opinión la importancia que se debería. Y en esto tiene culpa tanto el cliente, para quien la auditoría es en ocasiones poco más que un molesto trámite a cuyo resultado no le va a prestar la más mínima atención, como las empresas auditoras, que en muchos casos simplemente buscan cubrir el expediente y facturar los servicios; si bien es cierto que en nuestro equipo de consultoría tendemos a valorar en la auditoría aspectos que van más allá de lo que marca el RDLOPD, por tratarse de un reglamento de mínimos, he tenido acceso a informes de auditoría presumo que nada baratos que rozaban lo vergonzoso (en realidad, algunos lo eran). En una situación adecuada, la auditora propone iniciativas a cumplir, y el cliente implanta, dentro de sus análisis coste/riesgo y sus posibilidades económicas aquellas que considere oportunas, pero esto sólo se da en ocasiones.

Dicho esto, ¿qué razones hay para considerar algo “serio” una auditoría del RDLOPD?

La primera de todas, es que es un requisito legal/reglamentario para datos de nivel medio y alto (art. 96 y 110 del RDLOPD, respectivamente). No se trata de un capricho de las consultoras/auditoras, que nos gusta importunar a nuestros clientes con reuniones, informes, preguntas y demás parafernalia implicada. Si hay que molestar, pues se molesta, pero molestar para nada, como que no.

Sigamos con las razones económicas. Espero no decir una barbaridad al afirmar que una auditoría financiera viene a tomar el pulso a la “salud económica” de una entidad, de cara a los accionistas, inversiones, solicitud de subvenciones, préstamos bancarios, etc. Por su parte, lo que la auditoría del RDLOPD analiza es la “salud” de los tratamientos de datos de carácter personal, con el objetivo de detectar incumplimientos y evitar sanciones de la Agencia Española de Protección de Datos que puedan derivarse de éstos. Aunque la agencia ha reducido significativamente el importe de las multas, conocedora de las implicaciones que sus actuaciones pueden tener para una organización de tamaño pequeño o mediano, una sanción de 600.000 € (o incluso de más, si hay varios incumplimientos) es algo a tener en cuenta por el impacto económico tanto directo como indirecto (léase reputacional), ya sea para una empresa del IBEX35, empresas cotizadas más pequeñas, o simplemente, cooperativas. Dicho de otra forma, de la misma forma que el mercado obliga a ciertas empresas a publicar sus análisis de “salud financiera” y exponer así su “riesgo financiero”, el accionista de una empresa, un cooperativista o cualquier persona que aporta capital a una organización (incluso las entidades financieras) debería saber el riesgo que la organización de la que participan tiene de sufrir una sanción de la AEPD.

Por supuesto, una auditoría de la RDLOPD no tiene como fin solucionar los incumplimientos que detecta, ya que eso es tarea de la organización, pero sí ofrece una visión del grado de cumplimiento de la organización, y debe proponer iniciativas, proyectos y soluciones de aquellas no conformidades detectadas, de cara a mejorar el grado de adecuación, y de nuevo, reducir el riesgo.

Por último, vamos con las razones “éticas”, si las quieren llamar así. No debemos olvidar que la ley de protección de datos tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar (LOPD, Art. 1). La LOPD, más allá de una ley de obligado cumplimiento o un foco de riesgo económico y reputacional (que como les decía antes, viene a ser lo mismo), vela por un derecho de cualquier persona, y eso es algo que las organizaciones, y cualquier persona que trabaja con datos de carácter personal debería tener siempre muy en cuenta; la auditoría del RDLOPD simplemente cuida de que estos derechos se estén aplicando de la manera correcta. Esta razón debería ser en realidad la primera de la lista, aunque la he puesto aquí para que no me tildasen ustedes de idealista.

Llegados a este punto, tenemos tres razones de peso para que una auditoría de la RDLOPD deba considerarse algo “serio”: requisito legal, riesgo económico y obligación ética o moral. Sin embargo, insisto en que la auditoría del RDLOPD sigue siendo algo a lo que se le da escasa importancia, tanto para muchos clientes como para algunas consultoras (entre las que, cabe destacar, y como no podría ser de otra manera, nos estamos incluidos). Para los clientes, o responsables de los datos, está el cuerpo de inspectores de la AEPD y su capacidad sancionadora. Pero, ¿y para las consultoras? ¿Qué implicaciones tiene para una de estas empresas realizar de manera poco profesional, intencionadamente o por simple incompetencia, una auditoría del RDLOPD? ¿Qué pasa cuando una auditora entrega un informe (que en ocasiones no puede ni llamarse así) afirmando que todo está correcto, cuando en realidad existen problemas serios en la gestión de datos personales de la organización?

Básicamente, no pasa nada. Por un lado, porque aunque el cliente pueda ser el primero que prefiere que no le agobien con cambios de aplicaciones, declaración de ficheros, documentos de seguridad, y registros de acceso, tampoco es un experto en el tema; para eso ha contratado a la consultora, y si ésta dice que todo está correcto, pues es de suponer que será cierto, porque ellos son los que saben de esto. Segunda, porque a dicho informe no se le da demasiada importancia, más que en casos muy concretos, a diferencia de un informe de auditoría financiera. Tercera, porque más allá de las acciones legales que una organización pudiera emprender contra la auditora que ha realizado la auditoría del reglamento, no existe ninguna repercusión legal para ésta. Cuarta, que a menudo el responsable interno de la auditoría presiona para que se “maquillen” determinados aspectos encontrados, o al menos que no se encuentren visibles en el informe ejecutivo para dirección. Y quinto, que de la poca importancia que les comentaba antes, se deriva que exista un mercadeo en el que se audita el reglamento por “cuatro duros”, y que provoca que por tanto el trabajo realizado sea conforme a ese importe.

Aquí es donde vuelvo al párrafo inicial con el que comenzaba esta entrada: las sanciones económicas para las consultoras, pero en este caso para las que nos dedicamos a la protección de datos. Sería tan sencillo como hacer que la sanción fuese compartida en un determinado porcentaje entre la organización y la consultora (asusta, ¿eh?), con lo que se incrementaría automáticamente la importancia de la auditoría del reglamento y la protección de datos, y se garantizaría un mínimo de calidad en los informes entregados; el cliente podría hacer la vista gorda si quisiese, pero la auditora no. En ciertos casos, y estoy ya divagando, podrían incluso valorarse penalizaciones temporales o permanentes de inhabilitación para auditoras y auditores.

Por supuesto, la consultora debería poder garantizar que la sanción corresponde a un incumplimiento del que se informó en la auditoría, que el auditor solicitó pero no tuvo acceso a la información de la que se deriva la sanción (bien porque se le ha negado, bien porque no se le ha entregado en tiempo y forma), que el problema originador de la sanción no se encontraba presente en el momento de realizar la auditoría, o que es un aspecto no controlable externamente (por ejemplo, un empleado que habiendo sido formado en materia de LOPD, olvida gestionar una solicitud de acceso). De cualquier modo, aunque pueda ser interesante tratar este último punto en una entrada posterior, ¿qué les parecería una medida así?

FastFix

10 de noviembre de 2010 Por

Este es un post por alusiones de mi socio en la entrada de ayer, donde mencionaba el proyecto FastFix. He creído interesante dar algunos detalles sobre este proyecto.

FastFix es un proyecto de I+D del 7º Programa Marco de la Comisión Europea en el que seis entidades de cinco países europeos (coordinadas por S2 Grupo) colaboran para desarrollar una plataforma que facilite el mantenimiento de software monitorizando su ejecución.

Dicho así, suena inocente y hasta un tanto aburrido. Ya se sabe que el marketing no suele ser el fuerte de los ingenieros.

Pero es que, cuando nos fijamos en las tecnologías que se emplean para alcanzar este objetivo, la cosa cambia. En este proyecto, se trata de vigilar la ejecución del software para poder identificar tendencias que presagien errores, anticiparse a éstos cuando sea posible, recoger información cuando se producen e incluso, en algunos casos, reconfigurar el software de manera automática.

[Read more…]

Google Car

9 de noviembre de 2010 Por

¿Se imaginan ustedes que sea cierto todo lo que se está hablando sobre el “coche fantástico de los señores de Google”? ¿Se imaginan que dentro de unos años recorramos las carreteras de nuestro país en coches sin conductor?

cocheYo sí que me lo imagino. Estoy seguro que lo imagino de una forma totalmente distinta a la que va finalmente a ser pero lo veo venir: carreteras con balizas, ciudades “tageadas” (vaya palabro) con sensores activos o pasivos por todas partes, sistemas de telecontrol y telemedida controlados por grandes sistemas tolerantes a fallos o capaces de prever problemas en tiempo de ejecución….

Todo esto no esta tan lejos como podemos creer, y para muestra podemos ver los proyectos de ciudades inteligentes que se están desarrollando por muchas latitudes. Por ejemplo en Málaga podemos ver las habitaciones inteligentes de las que hemos hablado, o podemos analizar proyectos como FastFix, liderado por S2 Grupo, en el que se está investigando, aplicando técnicas complejas de correlación en sistemas tolerantes a fallos, que se actualizan en caso de un mal funcionamiento.

[Read more…]

Checkpoint SYNDefender

9 de noviembre de 2010 Por

Cuando leemos prácticamente cualquier libro de seguridad de las comunicaciones, aparece catalogado como ataque de denegación de servicio (DoS) el conocido como SYN flood. Este ataque se basa en el esquema de funcionamiento del protocolo a tres vías usado para establecer conexiones TCP. Sin entrar en los detalles del funcionamiento del protocolo, podemos resumir el propio ataque como una solicitud de conexión (SYN) por parte del cliente (posiblemente spoofeado), contestada por el servidor (SYN/ACK), pero sin confirmación de la respuesta por parte del propio cliente (ACK). Esta situación hace que el servidor mantenga una serie de conexiones abiertas en la cola Backlog (consumiendo recursos), pudiendo llegar a impedir nuevas conexiones legítimas al sistema hasta que las conexiones sean finalizadas o venza el timeout asociado.

En esta entrada vamos a hablar de una medida de contención para este ataque proporcionada por Check Point llamada SYNDefender.

SYNDefender es una característica de SmartDefense (herramienta de protección ante ataques) que nos ayuda a protegernos de ataques TCP SYN flood basada en la interceptación de los paquetes SYN, que media en los intentos de conexión antes de que éstos puedan alcanzar el sistema final, siendo posible configurar la funcionalidad de forma global o por gateway. SYNDefender tiene dos modos de funcionamiento principales: el modo relay y el modo SYN Cookie.

En el modo relay, nos aseguramos que la conexión TCP es completa antes de enviarla al sistema final; el gateway intercepta el paquete SYN destinado al servidor no dejándolo llegar a su destino, sino que por el contrario, envía un paquete SYN/ACK al cliente, activando un temporizador de reset. Si el cliente envía el ACK y completa de esta forma la conexión, el propio gateway inicia el establecimiento de conexión hacia el servidor (traduciendo números de secuencia), y una vez completada, comienza el flujo de datos. Si el gateway no recibe el paquete ACK por parte del cliente antes de que el temporizador finalice o recibe un paquete RESET (cuando no era lo que esperaba), finaliza la conexión inmediatamente.

En el modo cookie, cuando el cliente envía un paquete SYN al servidor, el gateway intercepta el paquete y le contesta un SYN/ACK con cookie. Después de recibir el paquete ACK por parte del cliente, el cual completa el establecimiento de la conexión, SYNDefender transforma el paquete ACK en un paquete SYN, registra la conexión en la tabla de conexiones, y la envía hacia el servidor, procesándose de la misma manera que en el modo relay.

Aparte de estos dos, en Check Point existen otros modos de funcionamiento, los cuales están soportados en otras versiones de la plataforma, como son el modo Gateway o Passive SYN Gateway.

Como acabamos de ver, y como nos indicaban en los comentarios hace unos días sobre los números de secuencias TCP los fabricantes de sistemas cortafuegos cada vez más implementan soluciones para detectar y filtrar patrones de ataque conocidos, desviaciones de los protocolos de red, etc, dotando a sus sistemas de mecanismos inteligentes y proactivos, los cuales nos permiten analizar el tráfico en las capas superiores de la pila OSI para poder detectar actividad sospechosa. En futuras entradas seguiremos informando de estas y otras tecnologías que sirven para hacer a las empresas más seguras y darnos a los administradores de red más quebraderos de cabeza ;)

S2. Seguridad y Sostenibilidad

8 de noviembre de 2010 Por

Cuando se habla de sostenibilidad parece que todos estamos de acuerdo en que el desarrollo de la Sociedad de la Información es la opción más adecuada para conseguir una economía productiva, competitiva y eficaz, por la vía del aumento de la productividad y la integración de la innovación como motor de la empresa. Todos damos por sentado que estos factores son necesarios para garantizar la sociedad del bienestar y por tanto la calidad de vida de los ciudadanos de los países desarrollados.

El propio desarrollo de la Sociedad de la Información debe ser sostenible en sí mismo para, a través suyo, poder garantizar la sostenibilidad de la sociedad en uso conjunto.

¿Cómo podemos definir una Sociedad de la Información sostenible? Teniendo en cuenta que:

  • Debe estar disponible
  • Debe ser confiable
  • Debe ser segura
  • Debe ser ubicua
  • Debe ser cómoda y accesible
  • Debe ser asequible
  • Debe regularse

Lo que no tiene sentido es que malhechores y sinvergüenzas de todo tipo campen a sus anchas por “La Sociedad de la Información”, nuestra sociedad virtual, haciendo el mal a diestro y siniestro. Tenemos que aprender a protegernos virtualmente, tenemos que proteger nuestros bienes virtuales, tenemos que desarrollar leyes y equipos profesionales especializados en garantizar un uso seguro de los servicios de la era de las comunicaciones. Necesitamos trabajar mucho para ello. Los profesionales, diseñando servicios que cumplan los principios anteriores. Los gobiernos, legislando para que la justicia pueda hacer su trabajo. Jueces y abogados, formándose para no quedarse boquiabiertos cuando presentamos ante sus narices un delito en la red y los ciudadanos preparándose para entender cómo funcionan sus nuevas vías de comunicación y para poder hacer frente a los granujas de la red que, hoy por hoy, disfrutan del anonimato que les proporciona su propia cobardía.

Nosotros, desde nuestro rincón en el mundo, estamos trabajando para crear una sociedad que entre de pleno derecho y sin miedo en la Sociedad de la Información, en la sociedad de las redes sociales en la sociedad más libre y democrática que puede existir. Desde estas líneas queremos anunciar nuestro compromiso continuado con una Sociedad Sostenible y Segura (Compromiso S2: Sostenibilidad y Seguridad), porque no entendemos una sociedad sostenible en la que la seguridad no esté presente en todas sus dimensiones.

Este compromiso los estamos materializando en proyectos de Responsabilidad Corporativa, de los que daremos cumplida información en cuanto nos sea posible, y en líneas de I+D+i para el desarrollo de nuevos servicios y productos.

Si alguno de nuestros lectores tiene alguna sugerencia en esta línea estaremos encantados de escucharla y, si es el caso, estudiarla.

Las pifias de “Hollywood”

8 de noviembre de 2010 Por

Hace ya varios años, cuando aún estaba estudiando en la facultad, me surgió la oportunidad de ejercer de moderador en una “asignatura” sobre las Ingenierías (y más concretamente, la informática) en el cine. Cada sesión se componía de dos partes: el visionado de una película y un debate posterior. Lo primero que tuve que hacer fue “documentarme” un poquillo, para decidir que películas podían ser interesantes, y que se podía sacar de ellas.

Esta claro que hoy en día no hace falta ver una película que hable de informática para ver el uso de ordenadores en ella, y se podría perdonar la falta de rigurosidad que estas pudieran tener. Lo triste es ver que en las películas en las que la informática forma parte de la trama principal, es las en las que más barbaridades se llegan a ver.

Realizando dicha labor, me encontré con varios blogs que hablaban de las grandes “pifias” que había cometido la industria cinematográfica con la informática. No recuerdo muy bien todos ellos, pero la mayoría estaba de acuerdo con qué películas habían cometido los mayores errores. Todos los blogs coinciden en que las películas que hablan de los hackers son aquellas que peor reflejan la realidad. Por ejemplo los “hackers” saben usar cualquier sistema operativo que además debe estar en suspensión o algo así, porque normalmente tienen una velocidad de arranque que ya quisiéramos, y son capaces de desproteger cualquier sistema en menos de 5 minutos. Un claro ejemplo de esta situación, llevada al límite de lo absurdo es cuando, en Operación Swordfish (Swordfish, 2001), Stanley (Hugh ‘Lobezno’ Jackman) tiene que demostrar que puede entrar en el ordenador del departamento de defensa americano en apenas un minuto, mientras una chica guapa se propone distraerle de una manera un tanto… original, y John “Vincent Vega” Travolta le apunta con una pistola en la sien. Como una imagen vale más que mil palabras os dejo un enlace al vídeo, juzgar vosotros mismos.

Otra capacidad que tienen los hackers es la de programar a toda velocidad. Lo más común son los virus (debe ser que son fáciles de hacer, hecho uno…). Véase por ejemplo Independence Day (Independence Day, 1996), en la que programan un virus capaz de desarmar los escudos de las naves alienígenas (¿os habéis planteado si usarán los Alien TCP/IP para sus comunicaciones?). No olvidéis tampoco que, si accedéis a www.fbi.org u otro organismo semejante, vais a la sección “secret files” y, con varios intentos accederéis a los datos más secretos del mundo. Aparte de las películas ya mencionadas, otras en las que aparecen “superhackers” son: The Italian Job (The Italian Job, 2003), Hackers (Hackers, 1995), Misión Imposible (Impossible Mission, 1996), Parque Jurásico (Jurassic Park, 1993)…

Una cosa sí hay que envidiar a los productores americanos: su capacidad de diseñar interfaces 3D “super chulas”, con una velocidad que ni Google. Los archivos que necesitas suelen estar escondidos detrás del cubo verde (otra vez Jurassic Park es un buen ejemplo de ello… ¡ah, y es Unix!), y no se puede acceder a ellos con un par de clicks, lo que hay que hacer es “aporrear” el teclado a toda velocidad para parecer que eres un gran informático. Son unos sistemas basados en la estadística: contra cuanto más rápido teclees, más posibilidades tienes de acertar la combinación de teclas necesarias para llegar al archivo. Eso sí, aunque son sistemas con una capacidad de búsqueda tremenda, tienen un punto flaco, y es a la hora de copiar archivos cruciales para resolver una trama de conspiración a nivel mundial, a un USB, un CD o mandarlos por correo. En ese momento la barra de progreso del copiado se vuelve “leeeeeeeeentaaaaaaaaaaaaaaa” dando tiempo así a que el malote aparezca por la puerta, para dar más tensión a la trama. Por nombrar alguna película más, que no deberíais ver ni aunque la vida os fuera en ello, Firewall (Firewall, 2006) dónde tito Harrison “Jones” Ford es un agente de seguridad, capaz de montar un escáner de última generación con la barra lectora de un fax/multifunción y con un iPod mini mediante la entrada de los cascos (llora McGyver), y sin saber como la cosa funciona de lujo, guardando los no se qué montonada de números de cuenta del banco y los almacena en el disco duro del iPod en forma de imágenes. No contento con esto, los pasa por un OCR y ya tenemos los números de cuenta perfectamente registrados en nuestro portátil… prefiero no hacer comentarios sobre esto.

Son numerosas las películas que, bien utilizados o no, usan al fin un programa real y conocido. El Nmap debe de ser el que se lleva la palma en apariciones cinematográficas, tanto, que sus desarrolladores muestran orgullosos en su página sus numerosas apariciones.

Son muchas las películas que probablemente me olvido de mencionar, pero quiero destacar La Jungla 4.0 (Live Free or Die Hard, 2007) (o cómo puedes salvar el mundo América con un teléfono móvil), en la que al final detectan la IP (supuestamente pública, ya que se está accediendo desde Internet) desde la que se está realizando un ataque, y está es del tipo 10.X.X.X, que como saben es de direccionamiento privado.

Probablemente sabréis de más películas que hablen del tema, bien o mal, pero por encima de todas ellas está una de las películas que más me marcó y no se si es la culpable de que me dedique a esto de las maquinitas, pero seguro que algo influyó. Si amigos, estoy hablando de Juegos de Guerra (War Games, 1983), que con sus virtudes y sus defectos, y a pesar de los años, sigue siendo una de las mejores películas que he visto sobre este tema. Es por eso que fue una de las elegidas para una de las sesiones, que me tocó moderar.

El papel, ese gran olvidado

5 de noviembre de 2010 Por

En los tiempos que corren, en la era de la digitalización global, Amazon y su kindle, los iPad, iPhones, Androids, Blackberrys y demás cacharritos, tiempos en los que si alguien todavía lleva una agenda en papel le van señalando por la calle como un apestado, nos sorprendemos cuando pasan cosas como ésta.

A veces se han implantado sistemas de gestión de la seguridad de la información corporativa potentes, bien diseñados y coordinados, pero se menosprecian riesgos tan aparentemente tontos como el hecho de que desde el momento en que imprimo una información, dejo de tener control sobre ella. Tómenlo simplemente como una reflexión para el fin de semana.