Security Art Work

Para hoy martes traemos una entrada de Cristina Martínez Garay, de la firma Rocabert & Grau Abogados, bufete que en adelante colaborará periódicamente en Security Art Work.

Cristina está relacionada con la protección de datos y la e-Administración, y actualmente se encuentra realizando el Máster en Sistemas y Servicios en la Sociedad de la Información de la Universitat de València. Esperemos que les guste la entrada.

El pasado 15 de julio de 2010 el Tribunal Supremo, a instancias de la Federación de Comercio Electrónico y Marketing Directo, Experian Bureau de Crédito, S.A y la Asociación Nacional de Establecimientos Financieros y de Crédito, anuló diversos artículos del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante RLOPD, por entender que no eran conforme a derecho.

Pese al gran número de artículos impugnados, la Sala únicamente ha estimado la anulación de los artículos 11, 18, 38.1, 38.2 y 123.2 del RLOPD. La supresión de los preceptos citados no constituye un gran cambio en el marco de la Protección de Datos. Sin embargo, podríamos decir que afecta a todos los Responsables de Ficheros con independencia de su naturaleza privada o pública.

[Read more…]

Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social. Esperamos que les guste.

Imaginemos que queremos introducirnos en una oficina con el objetivo de robar datos, colocar artefactos de escucha o simplemente comprometer la seguridad de dicha empresa por motivos de auditoria o reputación. Empecemos por el traje y la corbata, vestimenta que suele ser muy efectiva ya que en la mayoría de los casos denota diferencia de clases entre el empleado y el jefe o cliente. Añadamos una nota adicional de status color que puede ser un iPhone, un Blackberry o el reciente iPad. Con estos pequeños detalles tenemos asegurada la pertenencia a un grupo tal vez superior.

En este momento estamos en disposición de encararnos al edificio, imaginémoslo céntrico y de oficinas, que nos llevará a nuestro objetivo. Durante la primera visita podemos recabar información sobre el lugar y la organización, determinando por ejemplo si poseen identificación y si la llevan consigo o no. Pasar unos minutos a primera hora de la mañana cerca de la entrada/salida del edificio en cuestión simulando hablar por teléfono debería ser suficiente. Suele ser habitual que los empleados que disponen de identificación permanezcan con las tarjetas visibles cuando bajan a fumar o almorzar a la calle, lo que nos proporciona información con la que pasar relativamente desapercibidos. Imaginemos que sí llevan identificaciones personalizadas con fotografia, nombre, apellidos, número de empleado y contienen un código de acceso. Imaginemos también que nuestro objetivo es una gran empresa de desarrollo de software que está en un proyecto X y tiene sucursales en dos grandes ciudades, o al menos tres.

[Read more…]

Nos despedimos de esta semana con un post de Pedro Quirós acerca de seguridad en SCADA, tan de moda estos días gracias a Stuxnet y a los medios de comunicación generalistas. Que pasen un buen fin de semana y vengan todos con las pilas recargadas para los últimos días previos al puente (sobre todo aquellos que no lo tengan ;)

A día de hoy hay pocos procesos productivos que no tengan una alta dependencia del ámbito TIC. Si bien en muchas organizaciones el número de usuarios de oficina es relativamente bajo y la complejidad es muy reducida, muchas veces disponen de entornos productivos con líneas de montaje que están controladas por equipos Scada. Estos equipos son auténticos ordenadores que controlan la operatividad y la eficiencia de las líneas de montaje o fabricación. Infraestructuras tan críticas con la nuclear, eléctrica, de alimentación, distribución de agua o de transporte usan entornos Scada a gran escala. Generalmente se consideran entornos seguros dado que suelen estar separados en áreas de la red diferenciadas, o incluso su propia subred. Muchos gestores las consideran “redes seguras” porque “no tienen acceso a internet”, además de considerarlos “entornos de bajo riesgo” dado que son entornos propietarios con un número muy limitado de expertos. Así que sus principales bazas eran el desconocimiento y el aislamiento.

Sin embargo no es necesario tener acceso directo a internet para presentar un problema, pues, como lamentablemente todos sabemos, hay otras muchas formas de infectar un equipo. En primer lugar, para un control de la producción en tiempo real, es necesario el envío de información desde cada uno de los equipos a un centro de control, que puede estar expuesto, con lo que exponemos a todo nuestro entorno productivo. Por otro lado no dejan de surgir ataques, especialmente virus como el ya famoso Stuxnet, que ataca directamente a entornos de producción en plataforma Siemens. El método de contagio es una simple llave USB, que a primera vista no representaba ninguna amenaza porque en entornos Microsoft no se detectaba ningún tipo de virus. Otros ataques típicos son el fingerprinting a través del puerto TCP 502, ataques a implementaciones ICCP, etc. Muchas veces estos entornos son especialmente vulnerables dado que los equipos de control utilizan sistemas operativos con soporte descontinuado, dado que “para el uso que se les da, no necesitan nada mas”. Este motivo explica por qué podemos encontrar PLCs que son auténticos agujeros de seguridad.

Es importante entender que un entorno SCADA no es un entorno seguro “per se”, requiere de la misma atención -o más- que un equipo de oficina, y que el simple aislamiento no resuelve la seguridad. La monitorización desde el punto de vista de la seguridad es indispensable. Ya es hora de empezar a contemplar estos equipos como una capa más en nuestra infraestructura dado que, como todos sabemos, una organización es tan segura como su eslabón mas débil. ¿Qué medidas habéis tomado en vuestras organizaciones?

Ya se lo decía Rod Tidwell a Tom Cruise en la película Jerry Maguire: ¡Enséñame la pasta! Y es que en el mundo en el que nos movemos, a la hora de tomar decisiones (decisiones que afectan a nuestras organizaciones), no podemos desestimar el factor económico.

El entorno exige una “Mejora continua” y este objetivo está presente en cada momento. Todos los días se nos bombardea con cuestiones sobre la eficiencia, optimización, racionalización de costes, etc. Tenemos a nuestra disposición una amplísima gama de elementos que contribuyen a este fin. Estamos familiarizados con los términos y somos conscientes de la importancia que tiene en nuestro día a día. Está bien, entremos en el juego, nos disponemos a mejorar […] ¿Por dónde empezamos?

¿Implantamos un ERP? ¿Mejoramos nuestros procesos siguiendo guías de buenas prácticas? ¿Incrementamos la robustez de nuestra organización tomando acciones orientadas a mejorar la seguridad? Todas estas actuaciones llevarán asociado un coste: licencias, sistemas físicos, horas de trabajo y algunos más complicados de cuantificar como puede ser el impacto en la política de la empresa, la responsabilidad social, la imagen corporativa, cuestiones éticas, etc.

Llegado a este punto habría que preguntarse, ¿qué beneficios vamos a obtener? Y no me refiero a las ventajas que obtenemos inherentes a cada una de las opciones, sino a beneficio económico. Como muchos habréis deducido, me refiero al ROI o Return of Invesment: Retorno de la Inversión. Podríamos entrar en debate sobre qué acciones de mejora son las más relevantes, priorizarlas y tratar de definir un “Plan de Mejora”, pero… ¡Uff! No dudo que sería interesante pero me gustaría realizar un análisis un tanto más concreto sobre el ROI: el correspondiente a la Seguridad de la Información. Pero a la hora de tratar las inversiones consideraremos una cuestión que no siempre se tiene en cuenta, el factor “disuasión”.

Existen diversas metodologías para realizar análisis de riesgos. Es recomendable acudir a ellas ya que nos ayudarán a identificar los activos que queremos proteger y una vez detectados, protegerlos de una forma racional y así evitar “matar moscas a cañonazos”. Ahora bien, es muy importante considerar el valor del activo teniendo en cuenta su “aportación al servicio” y no considerarlo de forma aislada. Es posible que algunos lectores consideren que esto es de perogrullo, y yo personalmente era consciente de ello (al menos en la teoría).

Hace relativamente poco viví una situación en la que se ve reflejada esta idea, que cuento a modo de anécdota pues creo que se trata de un ejemplo muy didáctico. Nos habíamos reunido unos amigos para tomar un café y charlar un rato, y al despedirnos acompañé a uno de ellos hasta donde había dejado su bicicleta. Mi amigo llevaba un casco “top”, lo cual me hizo pensar que llevaría una buena bicicleta. Al llegar al lugar, ahí estaba “el siniestro”… porque no se me ocurre otra forma de llamarlo. La bici tendría unos 20 años y costaba creer que aquello pudiera aguantar el peso de una persona; ¡desde luego era casi impensable que no se hiciera a pedazos al pedalear! Todavía quedé más sorprendido cuando vi el dispositivo antirrobo; ¡ese candado debía ser para barcos! Trataré de reproducir la conversación que mantuvimos:

— Carai tío, ¿dónde vas con eso?
— “Eso” es mi bici, es vintage y ahora está de moda (risas).
— Con lo que cuesta el casco y el candado te compras once.
— Si uso candados malos me la intentan robar cada dos por tres. La última vez rompieron la cerradura y no pudieron llevársela. Yo no pude abrirla tampoco. Al día siguiente tuve que venir con una cizalla y cortar la cadena.
— No creo que puedas cortar ese candado con una cizalla.
— Con este candado ni lo intentan.
— […]

Supongo que al igual que yo habréis pensado “Mata moscas a cañonazos”… y en parte lo sigo pensando, pero quiero darle una vuelta más de rosca. ¿Tenía sentido llevar aquel casco? Estaba claro que la aerodinámica no era el factor principal a tener en cuenta, sino que él pretendía incrementar la seguridad, su seguridad. Para ello invirtió en un casco que aportaba cierto valor añadido respecto a otros modelos “convencionales”: era más cómodo que los otros modelos, llamaba más la atención, era más visible y, por tanto, no sólo le otorgaba protección frente a golpes, también reducía su riesgo de accidente.

¿Y el candado? Trato de ponerme en el lugar del supuesto ladrón y la verdad es que se me quitan las ganas de llevarme la bici: “Demasiado esfuerzo para tan poca recompensa”. Eso considerando que estuviera la bici sola (que no era el caso). Viendo el resto de bicis, seguro que hubiera tratado de llevarme otra, en definitiva “buscar una presa más fácil”. Lo que vengo a decir es que el hecho de usar ese candado para proteger una bici de escaso valor dotaba al sistema antirrobo de un importante valor añadido: lo dotaba de una fuerte componente disuasoria. (Antonio Villalón nos comentaba recientemente algunas cuestiones sobre Disuasión y Ciberdisuasión).

¿Qué retorno de inversión puedes esperar cuando compras un casco? ¿Y cuando compras un mecanismo antirrobo? Estoy seguro que lectores habituados a establecer salvaguardas para los activos de su organización estarán pensando “el mecanismo de protección no debe valer más que el activo a proteger”, “la inversión en seguridad no debe superar el valor”,… al enunciar estas afirmaciones ¿estamos considerando el valor añadido que podemos obtener gracias a la componente “disuasión”?

¿Consideramos la aportación al servicio? Volviendo al ejemplo, si tratáramos de evaluar la inversión del casco posiblemente sería excesivamente elevada pero considerando el valor añadido (comodidad, reducción del riesgo de accidente, etc.) la inversión no parece descabellada. En el caso del candado ocurre algo similar: si evaluamos el coste del candado respecto al de la bici posiblemente nos encontremos ante un caso de “matar moscas a cañonazos” pero si tenemos en cuenta su valor añadido (disuasión) nos encontramos ante una decisión acertada.

No pretendo justificar la compra en el caso concreto que he comentado sino demostrar o al menos plantear que, antes de evaluar el beneficio que puede aportar una inversión, debe considerarse el servicio concreto ya que en algunos casos podemos descubrir que ciertos elementos aportan valor añadido cuando a priori, al considerarlos individualmente, ese aspecto no parecía evidente. Espero que os haya resultado interesante este enfoque para evaluar las inversiones en seguridad teniendo en cuenta el valor añadido que aporta la componente disuasión. Estáis invitados a compartir otras anécdotas/ejemplos que contribuyan a enriquecer esta pequeña reflexión.

Como vimos hace un tiempo, el tiempo de reacción ante un ataque se vuelve un proceso crítico para nuestra organización. Si en la entrada anterior (orden shun), vimos como realizar un filtrado, tanto de las conexiones actuales como de futuras conexiones en un firewall Cisco ASA, hoy veremos como realizar el mismo proceso en un Firewall-1 de Check Point.

Antes de ver las opciones que FW-1 nos ofrece para el filtrado de conexiones, debemos tener en cuenta qué sucede cuando aplicamos la política en nuestro Gateway. Habitualmente, es normal que los firewalls mantengan las conexiones establecidas y denieguen (si así lo indica la política), las nuevas conexiones. Sin embargo, en Firewall-1 esta forma de funcionamiento es configurable, por lo que dentro de las opciones ‘connection persistence’ del propio gateway podemos encontrar las siguientes:

• Keep all connections: mantiene todas las conexiones de control y datos hasta que finalizan. La nueva política únicamente se aplica a las nuevas conexiones.
• Keep data connections: mantiene las conexiones de datos hasta que finalizan. Las conexiones de control son finalizadas.
• Rematch connections: todas las conexiones no permitidas por la nueva política son finalizadas.

Por lo tanto, podríamos llegar a filtrar las conexiones sospechosas aplicando una nueva política de seguridad y comprobando de nuevo, todas las conexiones usando la nueva política de seguridad. Tras ver las distintas alternativas posibles de instalación de la política, vamos a realizar un filtrado más rápido sobre las conexiones mediante la aplicación Smartview Tracker (también podríamos usar el comando fw sam del propio Gateway)

Smartview Tracker es la herramienta de Check Point que nos permite la supervisión en tiempo real de la red. Contiene un módulo de gestión de logs de los distintos gateways, registros de auditoria y control de cambios, etc. Al arrancar la herramienta podemos distinguir tres pestañas: Log, Active y Audit. Active es la pestaña que nos interesa, puesto que nos permite ver todas las conexiones activas en el firewall donde cada una de ellas tiene un identificador de conexión (Conn. ID).

Al seleccionar la pestaña Active, y una vez tenemos a la vista todas las conexiones (es posible que afecte al rendimiento del sistema), podemos situarnos en una de ellas y mediante el menú Tools -> block intruder seleccionar las distintas opciones de filtrado que nos proporciona el sistema. Dentro de esta ventana nos podemos encontrar el ámbito del filtrado (conexiones con la misma IP origen, la misma IP destino, o el grupo IP origen – IP destino – servicio), el tiempo de filtrado (infinito o un número determinado de minutos) y los módulos donde podemos realizar el filtrado.

Como vimos en la entrada de introducción a Firewall-1, por debajo del Smartcenter Server, encontramos los distintos gateways (firewall), por lo tanto, nuestras acciones se verían reflejadas en ellos; al realizar el filtrado anterior, el Gateway internamente modificará su base de datos SAM (Suspicious Activity Monitoring), concretamente en la tablas sam_requests (información acerca del origen, destino y servicio filtrado) y sam_blocked_ips (intentos de conexión filtrados y el tipo de servicio), las cuales podríamos comprobar mediante los comandos fw tab –t sam_requests y fw tab –t sam_blocked_ips.

Con esto, tenemos los conceptos básicos para el filtrado de conexiones en los dos de los sistemas FW-1 más utilizados actualmente: Cisco ASA y Checkpoint FW-1. Si tienen alguna duda o cuestión, no tienen más que dejarla en los comentarios.

Para hoy viernes, he de advertirles de antemano que les he preparado una entrada un tanto atípica, y que desvela cuestiones importantes sobre las tres primeras temporadas de la serie “24” (y los primeros capítulos de la cuarta). Así que si tienen intención de verla o están en ello, no continúen leyendo. Luego no les digan que no les he advertido.

Para el resto, una pequeña introducción. “24” es una serie norteamericana emitida por la FOX que narra las “peripecias” de la UAT (Unidad Anti Terrorista) de Los Ángeles, a lo largo de diferentes situaciones de crisis. El personaje principal se llama Jack Bauer, y es protagonizado por Kiefer Sutherland. Éste es un agente de campo de pasado militar (operaciones especiales), una gran cantidad de recursos, y poca simpatía por las normas y los protocolos. Alrededor de éste existen un número indeterminado y variable de personajes secundarios, con mayor o menor relevancia a lo largo de las diferentes temporadas. La principal característica de la serie es que cada una de las temporadas se corresponde con una situación de crisis comprendida en las 24 horas de un día, de modo que cada una de las horas del día corresponde a un capítulo. Aunque se indica al principio de los capítulos que los hechos transcurren en tiempo real, los capítulos duran 45 minutos aproximadamente, por lo que no es del todo cierto dado que 60 minutos en tiempo real no pueden comprimirse de ninguna forma en 45 minutos de emisión (o yo no acabo de entender la idea).

Dicho esto, mientras veía acabar la tercera temporada hace unos días, me puse a pensar en algunos aspectos relacionados con la seguridad que son bastante llamativos. Por supuesto, todos ellos deben tomarse como meras anécdotas, por tratarse de una serie de ficción obviamente exagerada. En algunos casos es complicado categorizarlas dentro de un dominio de control o ámbito, pero haré lo que pueda. Vamos con ellas:

• Detalles del “mundillo”. Como en cualquier serie o película que aparezca algo relacionado con la informática, y en concreto con la seguridad, los aspectos técnicos muestran una apariencia extremadamente compleja, pero se solucionan en cuestión de minutos; cualquier técnico sabe qué es lo que pasa cuando ve una pantalla llena de código hexadecimal de color rojo, lo que provoca en éste la necesidad imperiosa de decir frases que no tienen ningún sentido. Los virus no es que sean sofisticados, es que parece que tengan vida propia (temporada 3). También es común el uso de la “técnica CSI”, según la cual tomando como base una imagen tomada a resolución X, generalmente de una cámara de vigilancia, se pueden obtener los detalles más ínfimos; me sorprende que aún haya gente que no sepa que esto es literalmente imposible. Por último, como no podría ser de otra manera cualquier mensaje cifrado es roto no en cuestión de días, sino horas; ojalá las organizaciones terroristas fuesen así de tontas.
• Privacidad. He de confesarles que si 24 se parece en algo a la realidad, que espero que no, deben dejar de lado cualquier esperanza de privacidad. Esta unidad es capaz de mover satélites en cuestión de minutos y obtener imágenes detalladas de cualquier edificio, monitorizar y alterar cualquier elemento de Internet, obtener datos privados de cualquier persona que puedan imaginar, pinchar teléfonos, conectar con circuitos cerrados de cámaras ubicados hasta en un quirófano (temporada 3, Tony Almeida), y hacer absolutamente todo lo que puedan imaginar, todo ello sin necesidad de una autorización judicial ni nada parecido (dejemos de lado los aspectos técnicos y centrémonos en los legales). La UAT dispone de una capacidad de obtener información francamente impresionante.
• Niveles de acceso. El acceso a información confidencial por parte de personal interno que no debe tener acceso a ésta es un aspecto que está a la orden del día en la UAT. Entre usuarios que acceden a información restringida a su nivel de acceso tan sólo pidiéndolo al compañero, que utilizan las claves de acceso de otro (con su beneplácito), o que modifican su propio nivel de acceso cuando el técnico informático se ausenta de su puesto (temporada 2), casi podría decirse que la información que manejan es pública. Además, resulta curioso que cuando quieren acceder a información de otras divisiones o agencias a la que no tienen acceso, tiendan a pensar en ataques lógicos contra dichos servidores, como si fuese algo tan natural.
• Recursos Humanos. Este es, para mí, uno de los aspectos más llamativos de la UAT. En el lado más relacionado con la seguridad, la verdad es que el CV screening les es totalmente desconocido; en la primera temporada la UAT tenía no sólo uno, sino dos topos que proporcionaban información a los terroristas, y estoy seguro de que a lo largo del resto de temporadas habrá más. Por otra parte, desde un punto más propio de la gestión de Recursos Humanos, es evidente que el departamento responsable (si es que lo hay) necesita revisar seriamente sus procedimientos de selección del personal, porque puede decirse que en general, el personal de la UAT se lleva a matar. Se ocultan información, se molestan unos a otros, se critican, se chantajean, se entorpecen, se sabotean y desconfían unos de otros, lo que difícilmente puede ser beneficioso para el funcionamiento de la unidad. Si no fuese por Jack Bauer, que acostumbra a actuar en solitario (francamente, yo haría lo mismo), la UAT sería totalmente inoperativa.
• Autorizaciones. La gestión de autorizaciones de acceso en la UAT sigue un procedimiento bastante similar al de la vida real en muchas organizaciones: autorización verbal. En ocasiones por teléfono, en ocasiones presencial. Aunque podría uno esperar algún tipo de trámite electrónico o manual más o menos sofisticado, la verdad es que al final todo se limita a una autorización de palabra de la que no queda ninguna traza. No me extraña que luego les salgan topos como setas…
• Procedimientos operativos. Aunque según parece para prácticamente cualquier situación imaginable existen protocolos definidos, que conoce el personal de la UAT, lo cierto es que su aplicación es puramente anecdótica, y su único propósito es poder emplearlos para la frase “eso va contra el protocolo”; me atrevería a decir que están ahí con el único propósito de saltárselos. Los ejemplos son múltiples: ignorar la cadena de mando, basar el flujo de información en la confianza o amistad con otros miembros, llevar a cabo investigaciones y acciones aisladas no autorizadas, dar acceso a recursos confidenciales a personal no autorizado, proporcionar información confidencial a terceras personas, falsear pruebas, etc.
• Aspectos “técnicos”. En la tercera temporada, la delegación del MI-6 (servicio secreto británico) en Los Ángeles sufre un atentado terrorista, y Jack Bauer llega justo a tiempo para extraer el disco que contiene los datos relevantes del rack del CPD del MI-6. Vamos a ignorar que dicho CPD carece de control de acceso y de las medidas más básicas de seguridad. Pasemos por alto que un disco como el que aparece en la serie tiene toda la pinta de ser un hot-plug y que se extrae en mucho menos tiempo del requerido por Jack. Ahora bien, ¿cabe suponer que el MI-6 no tiene copias de seguridad remotas? ¿es necesario jugarse la vida por ello?

En definitiva, que para ser una unidad antiterrorista, el seguimiento de los controles implantados deja a menudo mucho que desear. Como atenuante, debe destacarse que las temporadas reflejan las 24 horas correspondientes a situaciones de crisis extrema (armas biológicas, nucleares, y cosas así), por lo uno podría esperar un cierto relajamiento en cuanto a los protocolos y la burocracia, si ello facilita la resolución del incidente. Claro que a lo largo de los capítulos, queda claro que dicha laxitud en la aplicación de procedimientos no trae en general buenas consecuencias, y es de esperar que una Unidad Antiterrorista tenga protocolos ágiles para situaciones de crisis. En cualquier caso, como les decía al principio, se trata sólo de ficción, o eso espero. ¿Qué otros “fallos” han detectado ustedes en esta u otra serie? Será divertido comentarlos.

Pasen un buen fin de semana; les vemos aquí mismo el próximo lunes.

A estas alturas, muchos de ustedes sabrán (y pudieron comprobar en tiempo real) que el pasado martes a eso del mediodía Twitter era colapsado por un bug en su propia página web que permitía, explotando una vulnerabilidad XSS en la gestión del evento “onmouseover”, la ejecución de código javascript a través de tweets diseñados para ese objetivo. El código inyectado en el tweet sería del tipo:

El ataque provocaba desde un pop-up “inofensivo” con un comando javascript tipo “onmouseover=”javascript:alert(‘Hola!’);” que generaba una ventana emergente con el mensaje “Hola” a todos los followers en cuyo “timeline” estuviera el tweet manipulado, hasta la aparición de cuadros en negro donde debería estar el texto del tweet, pasando por letras gigantes ocupando toda la pantalla, o la redirección del perfil del usuario a cualquier otra web. Por ejemplo, un tweet del tipo:

[Read more…]

Estos días, tras la vuelta de vacaciones, volví a poner en marcha mi viejo receptor de onda corta, junto al que tantas noches pasé cuando era joven :) ¿El motivo? Simple curiosidad: quería ver si la actividad de estas bandas de radio seguía siendo tan interesante como hace quince o veinte años, cuando podías escuchar desde VOA (Voice of America) o REE (Radio Exterior de España) hasta Radio Teherán -esta última con un buen número de interferencias, posiblemente provocadas-, pasando por emisoras de pequeños grupos religiosos estadounidenses y sudamericanos o la todopoderosa Radio Vaticana -con unas antenas cuyo tamaño deja pequeña a cualquier torre de alta tensión que podamos imaginar-. Tras la recepción, el escucha enviaba un informe de recepción y a las semanas recibía una tarjeta QSL junto a folletos informativos de la emisora, con horarios, frecuencias, etc. en cualquier idioma y, en algunos casos, incluso propaganda “política” de un régimen más o menos cerrado.

Efectivamente, pude comprobar que la actividad en onda corta sigue siendo ajetreada, con las grandes emisoras oficiales de todos los países emitiendo junto a pequeñas estaciones, posiblemente piratas, que transmiten desde algún punto indeterminado del mundo; pero sin duda lo que más me llamó la atención es que, como antaño, todavía siguen emitiendo las number stations. Las estaciones de números son emisoras que se limitan a transmitir códigos formados por letras o números, tanto en voz (habitualmente digitalizada) como en Morse, de una forma continua y monótona durante la emisión, que suele durar menos de una hora y que por supuesto en ningún momento identifica la emisora; la emisión comienza con unos minutos de llamada, tras los cuales (en ocasiones existe algún tipo de encabezamiento tras la llamada inicial) se comienza a transmitir una retahíla de números o letras en grupos cortos y con una pausa entre sí, para acabar después con algún código que indique el final de transmisión. Una vez alcanzado dicho final, la frecuencia utilizada queda vacía. Raro, ¿verdad?

Efectivamente, las emisiones de las estaciones de números son cuanto menos extrañas; no está muy claro su origen, y se suele especular con radiobalizas, transmisiones meteorológicas y mil cosas más. Pero la hipótesis más arraigada entre todos los escuchas es la de que estas emisiones son mensajes cifrados de las agencias de inteligencia a sus espías desplazados en otros países, y esta hipótesis cobra fuerza tanto por casos de espionaje que han llegado a los tribunales (en los que se ha demostrado el uso de la onda corta para envío de información cifrada) como por el hermetismo que las agencias tienen al respecto (si estas emisiones fueran pruebas de la BBC, dudo que hubiera tanto mutismo envolviéndolas).

En estos días de Twitter, Blackberries, Facebook, 3G y mil cosas más, parece que las agencias de inteligencia siguen enviando mensajes cifrados por el canal más público que existe: el aire. Pensémoslo bien: con un pequeño receptor de onda corta, un espía ubicado en medio del desierto puede recibir el mensaje, descifrarlo y actuar en consecuencia, sin necesidad de ningún equipamiento de alta tecnología (que en muchos países llamaría la atención y podría poner en peligro la vida del agente), de conexión a Internet o de un móvil tribanda: sólo con un lápiz y un papel. Sencillo, ¿verdad… o no? Quizás los servicios secretos las utilicen como medio alternativo cuando no existe otra posibilidad, como entrenamiento de agentes en situaciones simuladas o, simplemente, como elemento que introduce ruido en el enemigo (mientras dedica recursos a tratar de descifrar mensajes radiados sin sentido, no los dedica a intervenir otros canales).

Si las estaciones de números se usan de verdad para transmitir mensajes cifrados a los espías, más allá de discusiones criptográficas encontramos dos problemas claros en esta técnica. El primero de ellos es obviamente la unidireccionalidad de la información: puedo transmitir instrucciones a las personas desplazadas en una zona, pero si esas personas quieren comunicarse conmigo tendrán que utilizar otro medio, salvo que estén en algún sitio donde un equipo emisor de onda corta no levante sospechas :) El segundo gran problema relativo a las number stations es la correlación: quizás no pueda descifrar el mensaje concreto, pero si una emisora transmite mucho más de lo que es normal en ella, más rápido o con algo que diferencie una emisión de las demás, puedo llegar a determinar que algo pasa o va a pasar. De esto último se cuida muy mucho quien sea que emita, y de ahí que el tono monótono y pausado de las estaciones de números sea lo primero que nos hace abandonar la escucha que hemos iniciado por simple curiosidad (aunque dicen las malas lenguas que algunas estaciones rusas transmitían como locas cuando, en agosto de 1991, se produjo un intento de golpe de estado en la antigua URSS).

En definitiva, el objetivo de las number stations sigue siendo algo misterioso en nuestros días, relacionado aparentemente con los servicios de inteligencia y que tras muchos años de actividad siguen operativas: ahí están y cualquiera las puede oir. Si alguno se aburre, puede comprar un receptor -los hay de cualquier precio, y para recibir estas transmisiones no necesitamos ninguna maravilla de equipo- y pasar el rato buscando estaciones de números; es más, puede entretenerse tratando de descifrar el mensaje: todos los que hemos sido radioaficionados o radioescuchas lo hemos intentado alguna vez y dudo que ninguno de nosotros haya tenido éxito… pero para todo hay una primera vez :)

La respuesta habitual de muchos responsables de informática (de informática sí, pero no demasiado responsables) frente a la seguridad es que no tienen que preocuparse en exceso ya que según ellos, su organización no es objetivo de ataque de nadie y por lo tanto se sienten tranquilos respecto a la seguridad de sus servidores.

Obviamente, si eres un banco está claro que eres un objetivo de ataque, ya que albergas dinero, y si alguien consigue realizar una intrusión, obtiene un beneficio económico directo. Si eres un comercio online, a través de éste se puede llegar a disponer de datos de tarjetas bancarias, lo cual también se traslada en dinero. Este tipo de organizaciones ya tienen en su cabeza que son objetivo directo de ataque, y normalmente están al tanto de la seguridad de sus servidores expuestos a Internet.

Pero, si no soy ninguna de estas cosas, porque me dedico a la fabricación artesana de tornillos, ¿soy objetivo de ataque? Pues sí. Usted puede tener enemigos, empleados o ex-empleados disgustados, la competencia (poco ética), proveedores, o clientes que por alguna razón estén disgustados y tengan un particular sentido de la justicia. Pero en fin, usted puede pensar que no estamos en ninguno de estos casos; no tiene empleados o desempleados descontentos, sus clientes y proveedores (y todos sus empleados) le tienen en alta estima, su competencia juega limpio, y además, se lleva usted bien con todo el mundo.

Entonces, ¿por qué me van a atacar a mi, si no le importamos a nadie y nadie nos tiene manía? ¿Quién puede querer perjudicar a mi organización, que no ha roto un plato?

Pues mucha gente; es lo que tiene Internet. Pero, de nuevo: ¿por qué? Pues dejando aparte que su organización muy probablemente maneja dinero, es muy sencillo. Sus servidores disponen de potencia de calculo, almacenamiento, conexión a Internet, y reciben visitas de clientes o usuarios, recursos todos ellos sumamente interesantes para los atacantes; en su mayor parte, quizá no se enfrente a ataques en los que su organización sea el objetivo final, pero sí será víctima de ataques cuyo objetivo es un pez más grande. Pongamos algunos ejemplos de intrusiones, o explotación de vulnerabilidades habituales en Internet:

• Servidor de correo: Si su servidor de correo está (incorrectamente) configurado para permitir el reenvío de correos de terceros sin autorización, será cuestión de minutos que algún spammer le utilice para desde tu servidor se envíen correos no deseados a medio mundo. Quizá no lo considere un ataque, cuando se vea incluido en listas negras de servidores de correo y los servidores de sus clientes y proveedores le devuelvan los correos, verá que la cosa no tiene demasiada gracia. Sin mencionar la posibilidad de que su servidor de correo sea saturado o le provoquen un DoS.
• Uso del ancho de banda: Aunque puede no considerarlo un ataque en el sentido más estricto del término (usted no es el atacado), pueden utilizar sus servidores para provocar una denegación de servicio a un tercero, lo que evidentemente influirá en su conectividad y por ejemplo, la disponibilidad de los servicios que ofrece a través de esa línea de Internet.
• Uso de sus visitas licitas y reputación para redirigir a sus clientes a páginas maliciosas, con virus y troyanos; existen virus y gusanos cuyo ataque se basa en ese propósito. Asimismo, un problema de Cross Site Scripting, de poca relevancia técnica para sus sistemas, puede tener como objetivo incrustar una página web remota con virus y troyanos en su frontal web, con lo que todos los visitantes de éste no suficientemente protegidos serán infectados con el malware. Imagine las consecuencias reputacionales.
• Uso de un servidor para albergar una pagina de phising, de modo que un servidor de su organización albergue una copia de la página del banco XYZ.
• Uso de la CPU de los ordenadores y servidores locales para romper contraseñas por fuerza bruta.
• Uso de los servidores para colocar Bots de IRC, con el objetivo de poder llevar a cabo comunicaciones de manera anónima y secreta. Es habitual encontrarse este tipo de artefactos, y en mi vida profesional el mayor numero de intrusiones ha sido con este cometido.
• Uso de los servidores para albergar contenidos ilegales, con los posibles problemas que pueden implicar: desde programas pirata, películas, o música, hasta mucho cosas peores.
• Uso de tu servidor como anonimizador de otros ataques, con lo que los atacantes evitan que se localice su IP origen. Esto le puede meter en un lío legal de cuidado. Además de ello es habitual que una vez atacado el site remoto que era el objetivo final, para evitar dejar rastros formateen completamente el servidor intermedio.
• Robo de publicidad: Si su organización dispone de banners publicitarios, un ataque reciente se dedica a cambiar la cuenta de publicidad “oficial” por la del atacante para conseguir llevarse los ingresos.
• Conseguir enlaces o referencias a otro site (esto es otra especie de spam: webspam) para posicionarse bien en los buscadores (SEO). Este tipo de enlaces hay incluso quien los vende.
• Uso combinado de un sniffer para obtener cuentas de usuarios de su organización: cuentas ftp, cuentas de shell y cuentas de correo electrónico, capturadas y utilizadas por numerosos robots y malware, sin ser en absoluto ataques dirigidos contra su organización, pero de los que es víctima.

Esta lista de posibles ataques es sólo una pequeña muestra de lo que he visto en alguna ocasión, pero no le quepa duda de que los atacantes tienen otras muchas “ideas” para utilizar sus servidores, sin que se trate un ataque dirigido en especifico a su organización. Así pues, tenga usted cuidado ya que cualquier servidor de Internet es objetivo de ataque; hay muchas razones para que le ataquen, y muy probablemente en estos momentos le estén atacando. Sea prudente y no infravalore a los criminales.

Mañana es lunes cinco de diciembre de 2060 y cumplo 85 años, por lo que tras la reforma laboral de 2028 al fin puedo jubilarme… por tanto, aunque seguiré participando de vez en cuando en el blog, quería preparar un post recopilatorio de todo lo que hemos ido viendo y sufriendo durante todos estos años que hemos pasado juntos. Ha llovido mucho desde 2007, cuando empezamos con SecurityArtWork y, como siempre decimos, la seguridad cambia no de año en año, sino de segundo en segundo, tanto para bien como para mal… por lo que con 53 años a nuestras espaldas, nos podemos permitir el lujo de recapitular un poquito.

¿Quién no recuerda, por ejemplo, cuando existían ejércitos que peleaban entre sí en el campo de batalla, por tierra, mar y aire? Algo inimaginable hoy en día, pero que hasta bien entrado el siglo era lo habitual; en lugar de utilizar a fondo la ciberguerra, los países desplazaban enormes cantidades de personas y armamento para conseguir algo que tenían a un clic de distancia, con todo lo que eso implicaba (costes, riesgos, etc.). Actualmente nos parece primitivo, pero os aseguro que hasta hace unos años no era tan raro; es más, cuando hablablas de protección frente a ataques “diferentes” de paises enemigos te miraban mal, hasta aquel gran atentado que hubo sobre 2020, en el que casi se hunde a una gran potencia mediante el bloqueo de su sistema eléctrico, la interrupción de sus comunicaciones y la apertura de las presas más importantes (¿cómo era aquello, SCADA se llamaba?).

Pero sin duda, lo que más entradas y comentarios en este blog ha generado durante este tiempo fue la imposición de los tags RFID subcutáneos, allá por 2045. ¿Os acordais de toda aquella polémica? Menos mal que los gobiernos tenían todo bien atado, ya que con la proliferación de las redes sociales que se produjo a principios de siglo era fácil identificar y neutralizar a los elementos perturbadores, y al final la cosa no fue a más… cuatro críticas en favor de la privacidad y asunto olvidado, y la verdad es que, con el paso del tiempo, a día de hoy es algo que se agradece… ¿o no nos gusta a todos llegar al super y encontrar directamente ofertas personalizadas para nosotros (o mejor, no llegar al super, sino que el super directamente nos envíe a casa lo que sabe que nos hace falta)? ¿y qué quereis que os diga de la localización geográfica mediante estos tags? No sé cómo podíamos vivir antes sin saber dónde estaban nuestros amigos o familiares en cada momento… Además, otra ventaja de RFID es que ha dejado de llegarnos spam; ahora le llamamos publicidad dirigida y no llega por correo electrónico (que los más jóvenes no sabrán ni lo que es), sino directamente a nuestros tags personales gracias a las enormes antenas que todos tenemos en nuestras calles y que nos envían la información que alguien sabe que necesitamos

También nos reímos un rato con esas casas inteligentes que nos vendían como rosquillas a finales de los años 20, y que al principio no resultaron tan inteligentes como sus diseñadores creían. Y es que tener una persiana, unas luces o un electródoméstico conectados a Internet 3.0 parecía interesante, pero introducía más problemas que ventajas… y si no, que se lo digan a todos los que llegaron a casa tras unas vacaciones de verano, con 55 grados en las calles -maldito cambio climático-, y descubrieron que alguien les había encendido la calefacción desde China y necesitaban oxígeno para respirar en el salón, o que su nevera había encargado cinco toneladas de arroz por una feature no documentada de Windows 2025… ¡qué gran negocio para las empresas de seguridad… y para los supermercados! :)

¿Y os acordais cuando derogaron la LOPD? Total, en la práctica muy pocos la cumplían, gracias a aquello que nos vendieron -ya ha llovido- como “la nube”. Esa nube que al final se convirtió en nubarrón, porque a cambio de un reproductor MP4 no tuvimos problema en dejar todos nuestros datos en ella, accesibles a empresas de cualquier punto del mundo, y así nos fue… ¿Datos de carácter personal? ¿Yesoqués? Con lo que se llamó la globalización y temas similares, muchas leyes nacionales dejaron de tener sentido y se empezó a trabajar en una legislación internacional equivalente para todos y, sobre todo, efectiva. De esto hace ya bastantes años, y en ello siguen (y seguirán).

Pero por supuesto, no todo han sido cambios durante estos largos años: hay cosas que se mantienen casi como el primer día; y si no, fijaos en la Sociedad Global de Autores Digitales, la SGAD -antes tenía otro nombre que no recuerdo-, que aunque ha variado un poco desde principios de siglo -en aquél entonces no cobraban el canon de nacimiento, quizás porque los niños tarareaban canciones sin derechos de autor- en esencia sigue manteniéndose casi como entonces… antes perseguían el P2P y ahora persiguen el intercambio de archivos a través de los dispositivos humanos de almacenamiento (HSD), esos que podemos conectar a nuestro cuerpo simplemente acariciando su interfaz táctil y que nos permiten no sólo ampliar nuestra memoria, sino compartir conocimiento -y otras cosas- con los demás.

En resumidas cuentas, finalizar una etapa siempre produce nostalgia; ayer tuve que explicarle a mi nieto lo que era un libro, y sólo acerté a decirle que es parecido al resultado de imprimir en papel un archivo de unos cuantos K. ¡Y no veais lo que me costó explicarle lo que era el papel, ahora que ya no tenemos árboles! Al final, las dichosas gafas de realidad virtual personalizadas que se pusieron tan de moda hace unos años nos han hecho perder hasta las impresoras…