Clasificación de la información (I)

En las auditorías de seguridad de la información, al igual que en las de protección de datos personales, uno de los temas que es motivo frecuente de incumplimiento, es la carencia de un procedimiento de clasificación de la información y adicionalmente, la clasificación de los riesgos inherentes a aquella. ¿Cómo se entiende que una organización pueda controlar la información que gestiona (importante activo) sin establecer ciertas categorías en la misma y aplicar los debidos controles para su validación, protección y limitación de uso y acceso?

Unos ejemplos

El periódico que está sobre la mesa de recepción, no tiene clasificación alguna y es de acceso público, pero si casualmente hablase de la organización, probablemente se intentaría evitar su acceso (en caso negativo) o se pincharía en el tablón de anuncios (caso positivo); vemos que el contenido —la información— delimita la categoría del soporte. Un albarán de envío de materiales (pongamos una fábrica de tubos) a un cliente sólo mostrará la dirección social del cliente y la lista de productos, siendo por tanto una información confidencial, pero de bajo nivel de riesgo. Sin embargo, si el mismo albarán va valorado, mostrará precios aplicados al cliente así como posibles descuentos y formas de pago (no quisiera pensar que mostrase la cuenta bancaria), conteniendo de este modo información confidencial de un nivel superior en relación al caso anterior, dado que cualquiera que tuviera acceso a él, podría conocer detalles sobre los términos comerciales de acuerdos en precios, descuentos y formas de pago con el cliente. Esta información es sensible y muy apetecida por la competencia.

[Read more…]

Cuantificación de la seguridad

(La entrada de hoy es la tercera colaboración de Francisco Benet, un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

En el mundo empresarial, tan alejado del mundo real de la seguridad informática, todo debe ser cuantificable; se definen ROIs (Return On Investment), ROSIs (Return On Security Investment) y otros tantos conceptos con sus correspondientes acrónimos para poder cuantificar los gastos e inversiones. La norma es que todo debe ser metido en caja. Y esto aplica para la seguridad, ya que la seguridad aunque no lo parezca, también se vende.

[Read more…]

Copias de seguridad: Virtual Tape Library (VTL)

Es incuestionable que uno de los activos más valiosos de una empresa son sus datos, y como tal es imprescindible que estemos preparados para poder recuperar el servicio lo más rápido posible. Esta fórmula se aplica desde un simple fichero hasta la restauración de toda la infraestructura de un negocio.

Desde siempre, el método preferido para salvaguardar toda la información han sido nuestros amigos los llamados cartuchos o cintas. La diferencia de capacidad de almacenamiento entre estos dispositivos secuenciales y los discos duros de nuestras máquinas siempre ha sido bastante amplia, y prueba de ello es que para este mismo año se espera el lanzamiento de las cintas LTO5, con una capacidad nativa de 1,6Tb y comprimida de 3,2Tb. Y para el 2010/2011 las LTO6, doblando las características de las anteriores (¡¡hasta 6,4Tb en un solo cartucho!!).

Hasta hace unos años, la diferencia de precio entre disco y cinta era mayor. Hoy en día no lo es tanto, una LTO4 (800Gb nativos) puede costarnos aproximadamente unos 60€, y un disco de esa capacidad ya no está tan lejos. Hay que tener en cuenta que cada vez hay más datos que salvar y cada vez menos tiempo para hacerlo. Las ventanas de Backup se reducen, los sistemas necesitan estar en producción más tiempo, y por tanto necesitamos soportes más rápidos, terreno en los que los discos se llevan el gato al agua. Pero, ¿cómo vamos a gestionar los volúmenes de copia en un disco duro? Pues para ello tenemos las Virtual Tape Library (VTL), que es a todos los efectos como una cabina de discos. La tecnología detrás de esta idea es bastante sencilla: tomando como base un conjunto de discos físicos se crean cartuchos de cinta virtuales; a grandes rasgos y salvando las diferencias, es como cuando compramos un disco duro para nuestro PC y lo particionamos en varias unidades.

Este sistema es totalmente transparente para la aplicación que tengamos de Backup. La VTL es detectada simplemente como un robot de cintas, con la excepción que no dispone de cartuchos físicos. Quedarnos sin cintas es así casi imposible, ya que la propia VTL particiona nuevo espacio si lo necesita y crea nuevos cartuchos virtuales. Es lo que se conoce como copias D2D (Disk to Disk). Si el robot de cintas fue un punto de inflexión, las VTL son el cambio definitivo.

Más de uno ha vaticinado el fin de los cartuchos en unos pocos años. No obstante, el punto más fuerte de éstos es la fiabilidad, ya que en una caída accidental el porcentaje de supervivencia de este soporte es muy alto, pero imaginemos la misma situación para un disco duro. Esto hace de los cartuchos soportes ideales para las copias OFFSITE, aunque también hoy en día esto se puede solucionar con las VTL. Hay librerías VTL que llevan incluidas un lector de cinta, con lo que tenemos como resultado un sistema híbrido que permite usar las dos tecnologías. Otra opción para administrar las copias OFFSITE es sincronizar con un centro de contingencia los cartuchos virtuales usados: a una escala WAN mandarlos por la línea de comunicaciones a otra ubicación física, con lo que siempre tendremos duplicadas todas las copias realizadas en dos ubicaciones diferentes, y a las pocas horas de haber realizado dichos backups (siempre que la línea de comunicaciones lo permita, claro). Como es obvio, esta última solución tiene un coste no despreciable, aunque puede ser recomendable (o necesaria y/u obligatoria) en sistemas de negocio críticos. En definitiva, si tenemos bien estructurada y monitorizada nuestra plataforma de copias, con esta opción tenemos la cura definitiva contra el insomnio.

Visto y dicho esto, ¿Quién recordará en un tiempo lo que era una DAT, una DLT o una LTO? Yo no.

(N.d.E.) Es de bien nacidos ser agradecidos, por lo que todo el equipo de Security Art Work quiere dar las gracias a Security By Default por incluirnos en su lista de blogs interesantes sobre seguridad, y a los lectores por seguir leyéndonos. ¡Gracias!

Peritajes informáticos

Cuando una organización sufre determinados incidentes de seguridad (por ejemplo, una intrusión), se plantea la realización de un análisis forense, en el que se tratan de obtener y presentar evidencias electrónicas del problema acaecido; adicionalmente, en ocasiones —no siempre, aunque si se ha producido un delito debería ser así—, es necesario efectuar una denuncia, y es entonces cuando surge la necesidad de realizar un peritaje informático por parte de un perito cualificado.

Un peritaje informático tiene como objeto dar respuesta técnica a una serie de cuestiones planteadas bien por una de las partes bien por el propio juez; dicha respuesta, por muy complejos que sean el desarrollo o las bases de la misma, debe ser concisa y sencilla (pensemos que la tienen que interpretar personas que no tienen por qué estar familiarizadas técnicamente con el objeto del informe). Así, siempre es conveniente incluir un apartado de “conclusiones” dentro de nuestro informe, en el que en base a todo lo desarrollado en el cuerpo del mismo, se muestren de forma resumida las respuestas a las cuestiones planteadas.

Para poder realizar y defender un informe pericial no es necesario, a priori, ningún requisito especial; no obstante, en la práctica suele ser positivo para que el informe sea tenido en cuenta por el juez, bien disponer de una titulación académica adecuada al objeto del informe, o bien disponer de una experiencia profesional en el campo al que el informe hace referencia. Dicho de otra forma, yo podría presentar un informe pericial acerca de los problemas de salud que un determinado individuo dice padecer y dar mi opinión acerca de si estos problemas han influido en la comisión de un delito, pero como no soy médico, mi informe sería poco más que papel mojado ante un tribunal. Por este motivo, cuando estamos tratando casos en los que entran en juego la informática o las telecomunicaciones, tanto el juez como las partes tratarán de buscar peritos Ingenieros Informáticos o de Telecomunicación. Las empresas de seguridad que tienen entre su catálogo de servicios, dentro de los aspectos de gestión de incidentes, los peritajes, disponen —o deben disponer— de Ingenieros cualificados para realizar estos informes; además, los Colegios Oficiales disponen en muchos casos de turnos de actuación profesional (algo equivalente al turno de oficio para los abogados) para aportar peritos en aquellos casos en los que se solicitan (por ejemplo, en la Comunidad Valenciana, el Colegio Oficial de Ingenieros en Informática dispone de este turno de actuación).

Los que hemos realizado y defendido informes periciales —tanto de parte como judiciales— ante un juez, nos hemos tenido que enfrentar en muchas ocasiones a los principales problemas que bajo mi punto de vista existen a la hora de emitir un informe; en este orden:

— Incapacidad técnica para la emisión del dictamen.

Si hay que realizar un informe acerca de un individuo que se ha roto una pierna, desde el juzgado buscarán a un traumatólogo, no a un neurocirujano, por muy médico que este sea. Obvio, ¿verdad? Pues cuando entra en juego la tecnología, esto no es tan obvio… exagerando un poco, si asesinan a alguien dándole golpes con un portátil, es fácil que se busque a un Ingeniero Informático para emitir el informe en cuestión. Ante casos de este tipo, el perito debe ser tajante: se rechaza la realización del informe por incapacidad técnica. Por muy perito informático que yo sea, rechazaré una pericia relacionada con el mal funcionamiento de un SAP, porque desconozco técnicamente su funcionamiento y no me siento capacitado para hablar con propiedad sobre este entorno —y más cuando delante tengo a gente que puede estar jugándose penas de cárcel—.

— Técnicamente, todo es posible.

Por muy obvia que para un técnico sea una cuestión, para un juez o un abogado no lo es tanto; así, si estamos realizando un informe en el que se indica que un individuo ha utilizado su ordenador para atacar sistemas de terceros, y al individuo en cuestión se le incauta un equipo lleno de herramientas de hacking (con sus correspondientes accesos directos en el escritorio), ficheros de contraseñas, logs de chats… el acusado siempre puede decir que todo eso “se lo han puesto por la WiFi” y que él no sabe nada. Y cuando nos pregunten si eso es técnicamente posible, tendremos que decir que sí (aunque insistamos en la baja probabilidad por N motivos). En función del juez que lleve el caso, se declarará al acusado inocente.

— Contraposición de visiones: juristas y peritos.

Como hemos dicho antes, cuando realizamos un informe pericial debemos responder desde un punto de vista técnico a una serie de cuestiones que se nos plantean; es vital no incluir nunca opiniones personales no fundadas, y también es importante no entrar en el ámbito del abogado o del juez: un perito nunca puede decir, por muy obvio que técnicamente le parezca, que el acusado es culpable o inocente. Los aspectos jurídicos no entran de ninguna manera en el ámbito de actuación de un perito. De la misma forma, el perito no puede admitir —esto suele suceder en los informes de parte, no en los judiciales— opiniones legalistas que no se correspondan con la estricta realidad: si en nuestro informe decimos que algo es “altamente improbable” queremos decir sólo eso, que es altamente improbable, y no que es imposible (un término que seguramente para el abogado será mucho más directo y efectivo, y por tanto tratará que incluyamos en el informe, pero que técnicamente puede no ser cierto).

Finalmente, un problema que no es exclusivo de los peritos, sino que quizás es generalizado en el sistema judicial: para defender durante quince minutos nuestro informe, seguramente invirtamos toda una mañana en los juzgados. Ante esto, paciencia: es lo único que podemos hacer como peritos :)

Estados Unidos, “des-unidos” por los fallos de seguridad informática

No es un secreto que Estados Unidos está expuesto a ataques cibernéticos de cualquier procedencia, y cada vez más. Un informe que se encuentra actualmente en preparación y que fue solicitado por la Casa Blanca y que pueda confirmar la falta de “ciberseguridad” de las infraestructuras de los Estados Unidos llegará cómo agua de mayo; además de los fallos informáticos detectados en sectores clave, existe la percepción de que la situación general en todos los sectores de actividad es de vulnerabilidad. Pasen y vean.

En diez años, se han censado en los EEUU ciento veinticinco incidentes de seguridad en sistemas SCADA, sistemas que son utilizados en centrales nucleares, plantas de tratamiento de agua, plataformas petrolíferas y todo tipo de infraestructuras críticas. Los incidentes detectados van desde problemas locales y/o autónomos, hasta otros que agravan o se nutren de ataques desencadenados en otro lugar por empleados o consultores externos. Según el Summary Report #757 del Senado americano, hecho público el 20 de Marzo pasado, las consecuencias de este tipo de fallos pueden ser tanto materiales, medioambientales como humanas, según el testimonio de Mr. Keith Lourdeau, FBI Deputy Assistant Director, Cyber Division.

Sin ir más lejos, hace unas semanas un consultor informático en un proyecto de corta duración para una refinería de petróleo fue rechazado para un empleo fijo en la empresa consultora para la que trabajaba. Según la revista Wired del 18 de Marzo pasado y la District Court of California, se vengó dejando fuera de servicio un sistema destinado a la detección de fugas de las tuberías de conducción de crudo. Es más preocupante aun, si cabe, que la red eléctrica americana se vea comprometida en su funcionamiento por ataques cibernéticos; éstos habrían introducido virus en la red cuyas consecuencias potenciales serían muy graves, según indicaba Le temps.ch en su edición del 11 de abril del 2009. Según mencionó en el Wall Street Journal un ex-responsable del ministerio de la seguridad interior, los ataques “parecen generalizados en todos los EEUU y no están enfocados a una compañía o una región en particular”. Y a nadie se le escapa a estas alturas que estas brechas podrían convertirse en un arma en caso de conflicto geopolítico.

En la misma línea, en un informe reciente el Government Accountability Office (GAO) señalaba las graves carencias de la autoridad americana de vigilancia de mercados financieros, que no había tomado medidas de securización de sus sistemas de información. Aunque se imponían contraseñas complejas para los usuarios, el uso compartido de cuentas entre usuarios para utilizar una aplicación clave de la institución… ¡había sido autorizado! Por si eso fuese poco, la información y las comunicaciones de carácter confidencial de la institución no estaban cifradas, las contraseñas circulaban sin cifrar y la monitorización y vigilancia de los sistemas era insuficiente. Un informe anterior del GAO, probablemente olvidado en algún despacho debajo de un montón de papeles, ya apuntaba la necesidad de corregir tanto fallo, según recordaba el Network World el pasado 28 de febrero.

Las filtraciones de información, intencionadas o no, tampoco son escasas; un empleado de un proveedor del ministerio de defensa de los Estados Unidos distribuyó en Internet, sin saberlo, los planos del Marine One. La información secreta del helicóptero del presidente de los Estados Unidos se distribuyó mediante una red P2P, sin que el responsable de ello se percatase hasta algún tiempo después. Evidentemente, almacenar información confidencial o secreta en ordenadores conectados a Internet, y más en aquellos que contienen programas de intercambio de ficheros P2P, supone un factor adicional de riesgo de fugas.

En lo referente a ciberdemocracia y participación ciudadana, la seguridad de las máquinas para votar parece inexistente, tal y como vienen denunciando expertos como Bruce Schneier. Por una parte, el fabricante de las mismas, Diebold, admite la existencia de fallos de diseño, que quedaron demostrados no hace mucho. Por otra, un experto de la CIA ha afirmado, bajo juramento ante una comisión oficial, que ha observado fraudes electorales en los escrutinios venezolanos, así cómo en Macedonia y Ucrania.

Por si todo lo anterior no fuese suficiente, la propia policía de Nueva York también ha sido víctima de los ciber delincuentes, al haberles sido robado un soporte de información por parte de un empleado de los fondos de pensiones de esta institución, y por supuesto sin cifrar, conteniendo los nombres, direcciones, números de seguridad social y cuentas bancarias de los policías en activo y jubilados, según aparecía en el New York Post el pasado 4 de marzo. Cuesta entender este tipo de incidentes, cuando el cifrado de datos confidenciales se puede realizar sin grandes medios materiales, y sin la necesidad de utilizar software sofisticado o caro.

Todos estos ataques son llevados a la práctica en general sin demasiada dificultad: los administradores TIC piensan muy ocasionalmente en securizar y lanzar alertas a la nebulosa de ordenadores que gravitan alrededor de su red al respecto de la seguridad de la información y su transmisión, y se limitan a securizar su perímetro externo al mínimo. Por tanto, es suficiente para un hacker utilizar como vector de intrusión uno de sus contactos/clientes, que teniendo menos restringido su acceso por ser una parte confiable, puede alcanzar esos datos, o solicitar un acceso sin despertar sospechas. No por nada hay una ingente cantidad de robos de portátiles, siendo el objetivo del robo en muchos casos el disponer de acceso a la información del soporte y, si es posible, elevar los privilegios sobre la red de la empresa/institución atacada.

Como reflexión personal, no cabe otra que preguntarse por el caso español, ya que si en el país con mejor dotación del mundo en sistemas informáticos se cometen este tipo de barbaridades, en España existen lagunas, del tamaño de océanos en materia de seguridad de sistemas de información, ya sean militares, de salud, energía u otros. En lo referido a los ataques informáticos, pienso que hay que preocuparse en particular por aquellos que no se ven: si no son pocos los incidentes que conocemos, habrá que pensar en todos aquellos que han sido capaces de hacerlo sin haberse hecho notar, y que actualmente están en nuestros sistemas. El gran número de equipos infectados que forman parte de botnets no deja lugar a dudas.

Es necesario poner en marcha un amplio plan de formación en los diferentes sectores para concienciar de los riesgos de los ataques sobre los sistemas de información, mostrando la relevancia de fallos humanos, físicos y lógicos, y las consecuencias sobre redes y los puestos de trabajo. La diferencia entre los EEUU y nosotros, es que les llevamos al menos 20 años de retraso, y aún no nos hemos dado cuenta de que la seguridad es un aspecto vital para la defensa de nuestros intereses y un indicador de progreso, visto el papel cada día más importante que tiene la tecnología en nuestros días.

Protección por HDD Password

Desde hace un tiempo, es de notoria actualidad la problemática que supone la pérdida y robo de equipos portátiles, con los consiguientes problemas al respecto de la información corporativa albergada en ellos; hasta una organización como el FBI llega a perder más de un centenar y medio, y aun peor, el Departamento de Energia de EEUU cifra en aproximadamente 1,400 los portátiles perdidos durante 6 años. En base a esto, hoy vengo a comentarles una técnica de protección presente en muchos portátiles, pero desconocida, y destinada a proteger la información de sus discos duros.

Todos los discos duros (según el estándar ATA de la Wikipedia) disponen de un mecanismo de protección mediante contraseña, que bloquea el acceso al disco si éste no recibe la contraseña adecuada al arrancar. Dicha opción está disponible en la BIOS del ordenador, normalmente identificada como HDD Password.

La fuerza de este mecanismo reside en que el elemento que protege la información es el propio disco duro, por lo que no existe una manera de bypassear al propio disco; si es extraído del ordenador y conectado a otro ordenador no se consigue extraer la información, ya que la contraseña y la limitación de acceso residen en el propio disco. Desbloquear el disco sólo es posible ejecutando una instrucción con hardware especifico que borra todo el disco. Así pues, esta medida añade una protección adicional a la protección de lectura, haciendo inservible el equipo sin un cierto esfuerzo, lo que podría disuadir de su robo o al menos del acceso a información confidencial/corporativa por parte de terceros no autorizados.

Esta es una manera barata y sobre todo independiente del sistema operativo para bloquear el acceso a los discos, en aquellos portátiles que lo soportan. Pero, ¿es una manera infalible? Pues como se podrán imaginar, al final de la película la información está ahí y “sólo” hay una protección física/lógico (protegida por la lógica de los circuitos del disco) que la protege del acceso de “indeseables”. Una empresa de recuperación de discos accediendo directamente al soporte podría recuperar la información, y además existen en el mercado dispositivos y cables que dicen que son capaces de desbloquear el disco. Por lo tanto no debe considerarse una solución ni infalible ni definitiva, siempre peor que el uso de cualquier herramienta de cifrado de disco como puede ser Truecrypt (libre) (editado 29.12.16: el desarrollo de Truecypt se interrumpió en 2014 y no se mantiene. Se han descubierto diferentes problemas de seguridad por lo que su uso es desaconsejable. Se pueden encontrar algunas alternativas en la página siguiente: https://www.comparitech.com/blog/information-security/truecrypt-is-discoutinued-try-these-free-alternatives/) o Safeguard (comercial), pero que es un impedimento más para los amantes de lo ajeno.

Como curiosidad comentar que este mecanismo es usado por el modelo antiguo de la Xbox de Microsoft para proteger el acceso a disco por parte de cualquier ente extraño que no sean sus propios juegos, lo que hace que aunque el soporte de la videoconsola sea un disco duro IDE, no se pueda contar a un PC. Esto también impide que se pueda poner otro disco duro a la consola, ya que si ésta no detecta su disco “protegido”, no arranca, sirviendo de protección en los dos sentidos.

Por último, existe un nuevo estándar de cifrado de discos en los que son los propios discos quienes cifran, aunque no todos están de acuerdo en su utilidad. Como conclusión sobre el HDD Password podemos decir que obviamente es mejor que no poner nada, y que se trata de una medida a medio camino entre el uso del password de la BIOS (de inferior protección), y el cifrado de disco mediante software (de mejor protección).

(N.d.E.: Ya tienen la solución a la sopa de letras de la entrada anterior.)

Sopa de letras

Actualización 22/04/09 12:10h: Ya tienen la solución al pasatiempo al final de la entrada…

(N.d.E.: Aprovechando el día extra que tiene este fin de semana, les dejamos con un pequeño pasatiempo. Son diez palabras sobre un mismo tema. Les adelanto que es difícil y que necesitarán la Wikipedia si no son ustedes Bruce Schneier. Nos vemos el lunes. Cuidado ahí fuera. Ah… esta semana no hay encuesta.)

sopa-letras

[Read more…]

¿Son Sergey Brin y Larry Page discípulos de Hari Seldon?

No sé si han leído ustedes la genial y totalmente recomendable serie de novelas de ciencia-ficción Fundación, de Asimov, pero si no es así, ésta tiene como parte fundamental de su argumento a la Psico-historia (no confundir con el término Psicohistoria en tanto que estudio de las motivaciones psicológicas de eventos históricos). Tirando de Wikipedia, según la descripción que hace Asimov a través de Hari Seldon, el personaje creador de dicha “ciencia”:

En un gas, el movimiento de una sola molécula es muy difícil de predecir, debido a los continuos choques con sus vecinas, pero el comportamiento a escala visible de un gas puede ser predicho con gran exactitud. Así, si se aplicaran cálculos estadísticos a una población lo bastante grande […] se podría predecir su evolución histórica y social global con gran exactitud.

Dejando eso claro de antemano, antes de continuar me veo en la obligación de advertirles que esta entrada tiene un nivel, digámoslo así, de imaginación e hipótesis bastante alto, aunque seguro que con lo que les he dicho hasta ahora se hacen una idea de por dónde van los tiros.

Estarán de acuerdo conmigo en que en general, en la actualidad el porcentaje de penetración de Internet en la población dista mucho de ser del 100%; según este estudio, a comienzos del 2007 la penetración media europea de Internet era de aproximadamente un 50%, siendo de un 43% en España. No es de esperar que esos porcentajes se hayan incrementado sensiblemente en un par de años, y si nos vamos a los usuarios “maduros”, como aquellos que no sólo disponen de acceso a Internet, sino que son usuarios habituales de redes sociales, foros, e-mail, buscadores, etc., el porcentaje será muy probablemente bastante inferior. Sea como fuere, por cuestiones de educación, medios económicos o edad, Internet no es aun algo que la mayor parte de las personas consideren imprescindible; casi todos conocemos a alguien que o bien su uso de la Red se limita al correo electrónico, o simplemente no accede a Internet.

Vayamos ahora a un escenario hipotético situado dentro de 50 años. Para entonces, y si el calentamiento global, la gripe aviar, una guerra nuclear, la contaminación, o el impacto de un meteorito no han acabado con nosotros, podemos suponer que la mayoría de personas del llamado “Primer Mundo” habrán nacido con acceso a Internet (si es que ésta sigue existiendo; como he dicho es un escenario hipotético); son lo que Enrique Dans primero Prensky y ahora el Berkman Center for Internet and Society llama “nativos digitales”. Los “inmigrantes digitales” como yo y probablemente usted habremos desaparecido (yo personalmente seré ya un octogenario) o habremos tenido suficiente contacto con Internet para ser considerados “pseudo-nativos digitales”.

Tanto para unos como para los otros, el uso de redes sociales, buscadores, foros, e-mail y engendros varios que vayan surgiendo y desapareciendo a lo largo de los años, en sus respectivos formatos, soportes y dispositivos será totalmente natural y parte de la vida cotidiana. Algo que sin duda alguna dejará una gran cantidad de registros, de la misma forma que cualquier persona activa en Internet hoy en día deja una huella representada en forma de historiales de búsqueda, registros de acceso a web, perfiles en redes sociales, discusiones en foros, opiniones en blogs, enlaces profesionales y personales, etc.

Imaginen que algo o alguien pudiera disponer de acceso a una muestra suficientemente representativa de dicha huella para la gran mayoría de dichos nativos digitales, y le aplicase una versión elaborada e inteligente de lo que hoy es la publicidad contextual de Google, para obtener resultados estadísticos y probabilísticos del comportamiento de la población con un elevado porcentaje de acierto. Dicho de otra forma: ¿sería posible una psicohistoria similar a la que Asimov describe? Por ejemplo, ¿sería posible “predecir” el ganador de unas elecciones democráticas en base al tráfico y contenido de los usuarios de un determinado país durante los días previos? ¿Y una guerra o una revolución? ¿De qué nivel de ciencia-ficción estamos hablando? ¿Es esto un escenario real, o tan solo una hipótesis demasiado fantasiosa?

Les dejo que se lo piensen.

Pongámonos la toga un momento

En numerosas entradas de este blog se han expuesto ejemplos y casos prácticos muy buenos que nos han ayudado a entender las normas que marcan tanto LOPD como el RDLOPD. Sin embargo, muchas veces cuando estudiamos una ley pasamos por alto algo que para muchos es trivial pero que estoy seguro que para muchos otros no lo es: la propia definición de la ley. Es decir, todos sabemos que la LOPD es La ley Orgánica 15/1999 del 13 Diciembre de Protección de Datos de Carácter Personal. Y también sabemos que el RDLOPD es el Reglamento de Desarrollo de la LOPD aprobado por el Real Decreto 1720/2007 del 21 Diciembre. Pero, ¿tenemos claro que significa “Ley Orgánica”? ¿Y “Real Decreto”?

Pues eso es básicamente lo que viene a comentar este post, de manera resumida. Pongámonos la toga por un momento y veamos que significan:

Las Leyes Orgánicas son aquellas desarrollan los derechos fundamentales y de las libertades públicas, es decir:

  • Aquellas leyes que desarrollen los principios contenidos en la Constitución en la regulación de los citados derechos y libertades.
  • Las que aprueben los Estatutos de Autonomía y el régimen electoral.
  • Las demás previstas en la Constitución.

Para la aprobación, modificación o derogación de este tipo de leyes es necesario alcanzar mayoría absoluta en el Congreso en una votación final sobre el conjunto del proyecto.

Por su parte, un Real Decreto es un norma jurídica con rango de reglamento generada por el Gobierno en virtud de sus competencias atribuidas por la Constitución. Ésta precisa para su adopción la aprobación del Presidente del Gobierno ó del acuerdo del Consejo de Ministros. La palabra “real” hace referencia a que es el propio Rey quien sanciona y ordena publicar.

En la práctica son disposiciones concretas, de desarrollo, y no tratan aspectos tan amplios como las leyes, o decretos-ley (urgentes); normalmente aprueban reglamentos, nombramientos, restructuraciones de departamentos, etc. Por último, los reglamentos aprobados por un Real Decreto no pueden regular materias reservadas a la Ley ni infringir normas con rango de Ley.

A mí que no he estudiado derecho me viene bien de vez en cuando repasar estos conceptos, espero que a vosotros también os sea de utilidad.

Y entonces llegó Google Chrome

Desde que empecé en esto del desarrollo Web he tenido siempre la “manía” de probar las aplicaciones que desarrollo en todos los navegadores posibles que existen, procurando siempre seguir los estándares Web en el código, así como hacer que su resultado sea lo mas accesible posible. Hasta el momento el navegador con el que me he sentido mas cómodo ha sido con el Firefox, que se caracteriza por ser el que cumple los estándares Web más “a rajatabla”; por eso suele el primer navegador en el que pruebo mi código. Otras de sus ventajas son el amplio abanico de extensiones y plug-ins que te asisten en el desarrollo y su disponibilidad en diferentes plataformas; como aspecto negativo, consume demasiada memoria y se descubren bastantes vulnerabilidades, aunque a diferencia de otros, éstas son rápidamente corregidas en cuestión de horas. Después de verificar el funcionamiento de la aplicación en Firefox, realizo las pruebas en el resto de navegadores: Opera, Safari, Konqueror, y el Explorer (principalmente por la cuota de mercado que tiene, y porque como sigue sus propios estándares, lo que funciona en los demás navegadores seguramente se vea mal en éste).

Pero entonces llegó Google Chrome, y cómo no, me decidí a probarlo.

Lo primero que me resultó extraño es lo simple que es su interfaz, y la velocidad a la que se carga, ya que comparado con el Firefox el navegador Chrome es instantáneo. También me gustó la velocidad con la que carga las páginas con javascript, igual o mas rápido que Opera, y el hecho que utilice la barra de navegación para todo: teclear las direcciones de las páginas Web, buscar palabras o revisar las webs visitadas. Dispone además de una función para navegar en modo incógnito, para que no se guarden las paginas visitadas en el historial, lo que puede resultar útil para leer el Marca en el trabajo (…). Exceptuando que no se le pueden añadir extensiones y temas, de momento, se puede considerar como un buen navegador.

Me puse a investigar y no tardé mucho en encontrar páginas en las que se contaban las maravillas del navegador, hasta el punto de que incluso la gente de Google había creado un tebeo en el que salen ellos mismos explicando las características del navegador. En las pruebas de rendimiento, Chrome va como un tiro, y en relación con la seguridad, según los resultados del evento de seguridad informática “Pwn2Own“, aparece como el más seguro de todos los navegadores, siendo el único navegador que no pudo ser vulnerado gracias a su sistema Sandbox, un mecanismo de seguridad utilizado para correr una aplicación en un ambiente cerrado. Su última versión logró obtener 79 puntos de un total de 100 en la prueba Acid3, mientras que el primer lugar lo ocupó Opera con 83 puntos, seguido de Google Chrome, Firefox 3 con 71 y por último Microsoft IE7 con tan solo 14 puntos. Dicen que la versión de Google Chrome que aún se encuentra en desarrollo ha logrado 100 puntos de 100.

Resumiendo, es rápido, sencillo de utilizar, bonito (según se mire), de código abierto y muy seguro, pero entonces, ¿qué pega tiene? Pues que siendo una aplicación de Google todo apunta a que de una forma u otra debe ser intrusiva como lo es su buscador, y efectivamente, si el buscador de Google recopila información de las búsquedas que realizamos, qué no va a hacer su navegador. Después de indagar en varios sitios averigüé que Google asigna un identificador único a cada Google Chrome descargado, de modo que ahora no solo recopilará información de las búsquedas que hacemos, sino que les podrá asignar un identificador de la persona que realizó dichas búsquedas, y no solo de las búsquedas si no que también de las url que escribimos el directamente en navegador. En definitiva, conoce todo lo que haces en la red.

Mención aparte recibe el Google Updater que se mantiene constantemente ejecutándose sin saber bien qué hace y sobre todo la información que se envía a Google de cuándo y dónde te has descargado el navegador (N.d.E. Matt Cutts hizo en su momento algunas aclaraciones al respecto). Aún en el modo Incógnito, Google Chrome es considerado como “demasiado invasivo” a la hora de gestionar la información sobre el usuario y su ordenador. La cuestión es que puede decirse que aunque Google Chrome aúna un buen conjunto de virtudes, no es tan perfecto como parecía, y prefiero no usarlo a tenerlo constantemente monitorizando mi actividad con el navegador.

Esto mismo debió pensar el gobierno alemán cuando empezó a desconfiar de Google y desaconsejo a los alemanes el uso del Google Chrome. Y puesto que Chrome es de código abierto, era lógico que con el tiempo empezasen a salir versiones mejoradas. Entre ellas, la primera de la que he tenido constancia, y que utilizo habitualmente, es una versión llamada Iron, desarrollada a partir del código Chromium por la gente de SRWare. Este navegador dispone de las mismas funciones, capacidades y limitaciones que Chrome, pero con la diferencia de que han sido desactivadas todos los aspectos considerados “delicados” en términos de privacidad. Esencialmente usa el código fuente de Chromium, con las siguientes modificaciones:

  • No usa una ID única por usuario, con el que teóricamente Google podría identificar a un usuario.
  • No envía información del usuario a Google.
  • La información de errores no es enviado a Google.
  • No usa el Google Updater, las versiones nuevas tienes que descargarlas a mano.
  • No usa el rastreador de URL, que le permite saber a Google cuándo y de dónde descargamos Chrome.

En definitiva, a día de hoy sigo probando mis aplicaciones en todos los navegadores que existen hoy en día menos en el Google Chrome, ya que para eso ya hago uso del Iron de SRWare que permite una navegación menos controlada. ¿Una pega? Sí, claro: no es multiplataforma.

* * *

(N.d.E.) Como verán en los resultados que les muestro debajo, la participación en la encuesta de la semana pasada ha sido más bien escasa, lo que me gustaría pensar que es debido a que muchos lectores están ya de vacaciones (como verán, curiosamente feedburner, de Google, sigue teniendo problemas para contabilizar los lectores de Google Reader y iGoogle, aunque parece que dicho problema no afecta a los suscriptores). En cualquier caso, los 10 votos recibidos no permiten sacar demasiadas conclusiones, aunque parece que el robo de datos confidenciales y el defacement de la página web son las dos acciones con peor repercusión; parece lógico, ya que al fin y al cabo, suelen ser el tipo de noticias que le gustan a la prensa. Las otras no suelen tener mayor repercusión pública.

[poll id=”11″]

Para esta semana, la eterna cuestión de la antaño compañía del “Don’t be evil”.

[poll id=”12″]

Por lo demás, felices vacaciones a aquellos que las tengan. Tengan cuidado en la carretera y nos vemos, probablemente, el martes que viene.