Security Art Work

No sé hasta dónde llega su memoria histórica, pero es muy posible que recuerden el nombre de Enron, una empresa energética que se hizo mundialmente famosa por salpicar en un escándalo de fraude contable al actual presidente de los Estados Unidos a finales de 2001, y por desprestigiar gravemente a la conocida firma de auditoría Arthur Andersen. Quizá también les suene el nombre de Worldcom, que se declaró en bancarrota y ostenta el dudoso título de ser a día de hoy el mayor caso de bancarrota en la historia de EEUU (disculpen mi falta de vocabulario financiero técnico y/o legal); Enron le acompaña como segunda en el podio. Más allá de estos dos célebres casos, es posible que desconozcan que Tyco o Xerox estuvieron también implicadas en escándalos similares; y hay bastantes más.

Sin entrar en demasiados detalles, el denominador común a todos estos casos fue la utilización de “técnicas contables” que enmascaraban y ocultaban problemas financieros, que llegaban a ser de miles de millones de dólares, reflejando una falta de transparencia del gobierno empresarial y la situación contable y financiera. Noten que no he indicado que existiese una falta de control, porque dadas las características de dichos fraudes multimillonarios, en los que estaban implicados los principales responsables corporativos, no puede decirse que hubiese ausencia de control interno (aunque sí externo) en la medida en que las actividades fraudulentas eran premeditadas. Como respuesta a este tipo de fraudes, se introdujo en EEUU la ley conocida comúnmente como SOX, cuyo nombre completo es Sarbanes-Oxley Act of 2002.

Esta ley fue pensada y escrita con el propósito de incrementar la transparencia financiera de las empresas que cotizan en la bolsa estadounidense, protegiendo de este modo a los inversores y accionistas exigiendo fiabilidad, responsabilidad y exactitud en los datos financieros; salvando las distancias, que no son pocas, podríamos decir que SOX es, respecto a datos contables y financieros, lo que la LOPD es a los datos de carácter personal. La manera que SOX tiene de aplicar estos objetivos es mediante el establecimiento de controles que impidan y disuadan de la realización de actividades financieras ilícitas, además de introducir multas de hasta 5 millones de dólares y penas de cárcel de hasta 20 años para aquellos gestores cuyas empresas incumplan con los requerimientos de SOX. En la actualidad, esta es una de las leyes más completas y estrictas —quizá en algunos aspectos demasiado— en la prevención del crimen financiero, definiendo una serie de comportamientos fuertemente penados tales como alteración de informes financieros, amenazas contra posibles denunciantes de actividades irregulares (whistleblowing), o engañar y confundir a los auditores.

Hay que destacar que, por el espíritu de protección de los accionistas e inversores que tiene SOX, su ámbito de aplicación no se limita a aquellas corporaciones sitas en EEUU, sino a todas aquellas, estadounidenses o no, que directa o indirectamente tienen presencia en la bolsa americana; esto implica por tanto que una corporación multinacional formada por diversas unidades de negocio, en la que únicamente una de ellas cotiza en la bolsa estadounidense, deberá ser conforme a SOX en todas ellas. Esto evitará que un fraude financiero en una filial o la empresa matriz repercuta en las cuentas de la empresa que cotiza en la bolsa americana y que está “limpia” financieramente a todos los efectos.

Aunque como se ha indicado anteriormente la ley establece claramente cuáles son aquellas conductas irregulares penadas, y transmite en general la idea de transparencia y responsabilidad a la conducta y gobierno empresarial, no entra en los detalles concretos de cuáles deben ser las medidas para la adaptación y conformidad a SOX, dejando la decisión y definición de los controles a las propias empresas. Esto aporta como principal ventaja la libertad y flexibilidad que confiere a la propia empresa en el tipo, calidad y cantidad de los controles, aunque por otra parte, esta falta de definición y ausencia de concreción es uno de principales focos de confusión acerca de qué debe considerarse un control apropiado para SOX. Las áreas donde SOX tiene una mayor incidencia son, según la metodología COSO (Committee of Sponsoring Organizations of the Treadway Commission) de cumplimiento, la Evaluación de Riesgos, el Control del Ambiente Laboral, el Control de las Actividades, la Monitorización, y la Información y Comunicación.

Aparte de la ley estadounidense, leyes con un propósito similar existen en otros países, bien creadas a partir de SOX, o de manera independiente; algunos ejemplos son CSOX (Canadá), CLERP9 (Australia), J-SOX (Japón) o LSF (Francia), y en la actualidad existe un proyecto de SOX europea denominada euroSOX. Aunque como se ha indicado SOX es de obligatorio cumplimiento sólo para organizaciones que coticen en la bolsa americana, hay que considerarla como norma de referencia para el buen gobierno.

No obstante, es preciso aclarar que SOX no es, como cualquier regulación, norma o ley, la panacea; SOX no pone una pistola en la nuca de cada bróker, contable o financiero, ni una cámara encima de cada persona; no es capaz de preveer o evitar complejos fraudes financieros que son desarrollados por personas muy conocedoras del entorno en el que se mueven; y otro ejemplo más es el reciente caso del bróker Jérôme Kervial en Société Genéralé, aunque el comentario lo dejamos para una próxima entrada.

Para finalizar con esta introducción, lo que este tipo de situaciones ponen de manifiesto es que, más allá de regulaciones o restricciones exógenas, se hace imprescindible que los controles y mecanismos tengan un origen endógeno, que surjan de la propia organización, consciente de los riesgos a los que se enfrenta, tanto ajenos como propios. Conceptual e idealmente, los controles que introducen leyes como SOX no deberían ser algo que “emanase” de organismos ajenos sino que las empresas deberían implantar de “motu propio”.

Si no conocen Google Chrome, es que han estado metidos debajo de una piedra estos últimos días. Para que se den cuenta de la relevancia del asunto, hasta los telediarios dieron la noticia sin que en ella mediase ninguna alusión a los innumerables peligros de Internet (crimen organizado, pederastia, sectas peligrosas, adicción al MSN, etc.). También estarán al tanto, si son habituales de esta página, de nuestra particular paranoia en torno a todo lo que suene a Google. Admito que quizá en algunas ocasiones (pocas) seamos algo desconfiados, pero en cuestiones de privacidad, más vale que sobre que no que falte. Y para qué negarlo, Google no deja de darnos razones para no quitarle la cruz, y luego verán porqué lo digo.

Antes de nada, he de decir que he probado Chrome, y es un buen producto. Tiene sus cosas, lógicas dado el estado “primitivo” de la aplicación, pero lo cierto es que para ser una primera versión beta “a perpetuidad”, como todo lo que Google lanza, tiene cosas muy buenas. Muy buenas, de verdad, sin ironías. Entre otras cosas, es un navegador impresionantemente rápido, sencillo, y lo que más me ha gustado, que aisla las pestañas unas de otras a modo de procesos independientes, de modo que el “cuelgue” de una de ellas no repercute en el resto de pestañas; algo que no entiendo como no se le ocurrió a nadie antes. No, no tengo intención de analizar a fondo la aplicación, ni de entrar en la discusión —muy interesante, sin duda alguna— sobre qué busca Google con este producto a nivel de mercado o qué debería pensar Microsoft de todo esto; eso lo dejo para otros foros. En definitiva, he de admitir que, como casi todo lo que hace Google, es un buen producto con un potencial impresionante.

Desgraciadamente, como (¿casi?) todo lo que hace Google, es un producto que también tiene sus problemas ajenos a cuestiones técnicas. El primero, ya subsanado, fue un “error”, “descuido”, o como quieran llamarlo, en las condiciones de uso (EULA, End User License Agreement), por el que Google adquiría de manera no exclusiva los derechos de uso de cualquier contenido transmitido a través de su navegador; afortunadamente, este sinsentido fue subsanado horas más tarde.

Por otra parte, mucho más interesante, algo que no es un error y sin duda Google no tiene intención de modificar, tenemos los habituales problemas de privacidad, algo lógico dado que el negocio de Google está fuertemente basado en la gestión de la información que almacena de sus usuarios. Lógico pero no necesariamente admisible. En este caso, tal y como reportó CNET hace unos días, se ha sabido que la barra de direcciones del navegador envía a Google los caracteres que tecleas aún cuando no presiones Enter; dicha herramienta, denominada Omnibox, está pensada con la finalidad de proponer al usuario sugerencias procedentes del buscador a medida que éste va tecleando en la barra. Si todo quedase ahí, podríamos considerarlo un mal menor (aunque aún de manera anónima, seguiría siendo una funcionalidad intrusiva), pero lo peor es que el buscador tiene pensado almacenar un 2% de la información que recibe, junto con la IP de la que procede, según comunicó un portavoz de Google a CNET.

Por fortuna, Kriptópolis aporta varias formas de modificar este comportamiento, que empiezan por (a) modificar el buscador por defecto que “propone” las sugerencias o (b) eliminar esta funcionalidad, pasando por (c) utilizar el modo “incógnito” del Google Chrome, y acabando en la elección más radical que es utilizar otro navegador. El problema en este caso es que, aunque exista la posibilidad de desactivar dicha funcionalidad, ésta viene activada por defecto, y la mayor parte de los usuarios no son conscientes de ella ni Google se ha preocupado de decir las cosas lo suficientemente claras. Acabaré diciendo que Google Chrome es un buen producto, incluso un muy buen producto, pero que como casi todo lo que lanza Google últimamente, vuelve a traicionar, esta vez por poco, sí, aquel ya obsoleto lema del buscador que decía “Don’t be evil”.

(Matt Cutts da algunos detalles de cuándo Chrome habla con Google y cuándo no, por si desean echarle un vistazo).

—

a) Con el cursor sobre la barra de navegación, botón derecho, “Editar motores de búsqueda”, seleccionar uno que no sea Google y pinchar en “Establecer como predeterminado”.
b) Con el cursor sobre la barra de navegación, botón derecho, “Editar motores de búsqueda”, y desactivar la opción “Utiliza un servicio de sugerencias para completar…” que aparece al final del cuadro de diálogo.
c) Ctrl + Shift + N.

Últimamente parece que estemos un poco obsesionados con la seguridad alrededor de los portátiles. Han habido varios posts al respecto. Hemos hablado del auge de su protagonismo como activos a proteger, por el aumento de la extensión de su uso, no sólo por parte de gerentes y ejecutivos —que transportan en ellos información muy confidencial de sus organizaciones— sino también por técnicos y comerciales. También hemos hablado de medidas de seguridad proactivas que se les pueden aplicar: cifrado del disco, protección de acceso, etc.

La cuestión es que es un hecho que los portátiles son activos muy “golosos” para los amigos de lo ajeno, ya sea por el valor económico del dispositivo como tal o por el valor de la información que en él reside (en la mayoría de los casos, infinitamente superior). Buceando por la red me he encontrado con otra medida de seguridad pensada para estos dispositivos (aunque puede ser aplicada de igual manera a ordenadores de sobremesa o servidores), en este caso de tipo reactivo. Quizás alguno de ustedes la conozcan. Se trata de Adeona, una solución open source desarrollada por miembros de la Universidad de Washington en colaboración con participantes de la Universidad de California San Diego y la Universidad de California Davis. Esta herramienta permite trazar la localización de un portátil perdido o robado con la simple instalación de un pequeño software cliente (e incluso fotografiar al ladrón, en ciertos casos), y sus autores están trabajando para llevar esta herramienta al iPhone, “teléfono” que no dudo que tiene su buena tasa de robos.

Entre otras, la herramienta tiene algunas características que la hacen interesante, como que no precisa de un servicio centralizado y propietario para la localización del dispositivo, y preserva la privacidad del propietario del portátil, pues sólo éste puede revisar las pistas de localización del portátil, que permanecen cifradas. Y es open source y gratuita, lo que asegura en gran medida que Adeona no hace cosas que “no debe”.

Desgraciadamente, hoy por hoy, la versión disponible de Adeona no es a prueba de balas. Es inútil si la persona que sustrae el dispositivo lo destruye o desensambla, si lo formatea, le impide conectarse a Internet, o incluso si desinstala el agente. Pero contra aquellos “sujetos” poco duchos en informática que lo roban con el único propósito de venderlo bajo mano, sin más complicaciones, o para aquellos que deciden “fisgonear” por el contenido del dispositivo una vez robado, puede ser altamente efectivo. Les recomiendo que le peguen un vistazo.

Como pueden imaginar, se me han acabado las vacaciones, durante las que he intentado mantenerme lo más alejado posible de cualquier dispositivo electrónico, por aquello de desconectar. Podría decirse que lo he conseguido, si dejamos de lado el DVD y la televisión, lo que hará presumiblemente mi vuelta a la rutina laboral un poquito más dura. A pesar de ello, las evidencias me obligan a asumir mi condición profesional y admitir que incluso en vacaciones, la seguridad, la LOPD, los teclados, ratones y demás artilugios y conceptos demoníacos me persiguen, y está demostrado que me alcanzan.

Verán el porqué de lo que les decía. Andaba yo en la piscina de mi pueblo, en bañador, tirado a la bartola, haciendo el zángano de la mejor forma que sé (algo que he perfeccionado hasta límites inhumanos), cuando hablando de esto y aquello, un buen amigo mío me comenta que en su empresa han despedido a un compañero, llamémosle “X”, por fisgonear en los sistemas de la compañía. Como disclaimer previo, diré que únicamente conozco el tema a grandes rasgos (imagínense una conversación a las cuatro de la tarde al borde de la piscina) y ningún detalle, por lo que no esperen conclusiones o reflexiones de peso, ni tampoco tomen la historia en un 100% al pie de la letra.

Podemos empezar diciendo que la empresa de mi amigo tiene al parecer una política bastante restrictiva en el acceso a Internet, limitado a determinadas personas y en determinadas circunstancias. Sin embargo, era casi de dominio público que X disponía de acceso a Internet de estrangis, aunque todo quedaba ahí; incluso parece ser que el responsable de informática conocía este hecho, y era algo aceptado. Un buen día, X tiene un problema con su equipo, y se ve obligado a remitirselo al área de informática, quien constata que no sólo disponía de acceso no autorizado a Internet, sino que además, tenía una recopilación de información corporativa a la que en teoría no tenía acceso; datos de facturación, rentabilidad, ofertas, esto y lo otro. Posteriores indagaciones mostraron que X disponía de hace tiempo de la contraseña de administración de los sistemas, y que todo indica que se había dedicado a bucear por los equipos corporativos y de sus compañeros, copiando información que a priori parecía interesante. Obviamente, X fue despedido tras conocerse todo esto. Una típica historia de terror en toda regla, de esas que nunca pasan.

Como decía, no voy a hacer ningún tipo de reflexión sobre cómo había accedido a la contraseña de administración de los sistemas, sobre si existían o no políticas formales de uso de equipos corporativos o de clasificación de la información, ni sobre si se realizaba un registro de accesos a los sistemas críticos. No conozco los sistemas, ni las personas implicadas, ni el entorno, así que comprendan que me abstenga de emitir valoraciones. Lo que me sorprendió tanto a mí como a mi amigo fue la reacción de parte de sus compañeros de trabajo, que en una frase, puede definirse como “No es para tanto”. Entiendo que las circunstancias personales de X, cuando X es alguien con quien puedes haber tenido una amistad, pueden influir en tu objetividad, pero el caso, y estoy seguro de que estarán de acuerdo conmigo, es que sí es para tanto. Es incluso, y según los grandes rasgos que les he dado, un delito penal.

Por último, me llena de satisfacción y orgullo, que diría aquél, ver que Paloma Llaneza nos menta en su blog con ocasión del Blog Day ’08, el pasado 31 de agosto. A mi no me miren, que era domingo y además apuraba mis últimos minutos de libertad tirado en un sofá. Nada más de momento; seguimos calentando motores. Manténganse a la escucha.

Estimados lectores,

Como cualquier blog que se precie y como (casi) todo hijo de vecino, nosotros también nos largamos de vacaciones. Eso significa, entre otras cosas, que no habrá nada nuevo por estos lares hasta la primera semana de septiembre, cuando nos encontremos en plena depresión postvacacional, por lo que si nos siguen regularmente pueden ahorrarse la visita hasta entonces. El año pasado no cogimos vacaciones, pero este año toca; el sprint final de julio ha sido especialmente intenso (en realidad, para la mayoría de nosotros todavía no ha acabado), y septiembre promete mantener el mismo nivel. Más allá de que este blog sea colectivo y corporativo, lo admito: necesito unas vacaciones.

Puesto que sé que a todos ustedes les encanta seguir trabajando en vacaciones, y como Sandra Bullock en La Red, llevarse el portátil a la playa (hay pocas cosas menos sensatas, si uno se estima su portátil), les he traído un par de libros a raíz de una entrada en en el blog de Félix Haro. En estos momentos estoy leyendo uno de ellos y está resultando muy interesante; va en la línea de lo que ya hemos comentado alguna vez por aquí: ten cuidado con lo que dice Google de ti, o tú le dices, porque Google no olvida y no sabes quién puede llamar a su puerta dentro de unos años preguntando por ti.

Afortunadamente, no tendrán —si no quieren— que gastarse un euro, ya que está disponible en Internet gratis por la patilla, en la página personal de su autor Daniel J. Solove. El título es The future of reputation: gossip, rumor and privacy on the internet. Probablemente prefieran empezar por el anterior libro de este mismo autor, también disponible a través de su página web, The digital person. Technology and privacy in the information age, pero les dejo eso a su elección. Claro que ambos están en inglés, pero es inglés académico y eso no debería ser un problema.

Yo les recomendaría que se alejasen de cualquier dispositivo electrónico durante un tiempo, que es básicamente lo que tengo intención de hacer yo a partir de este viernes, pero allá ustedes. Al menos, para aquellos que no tienen vacaciones, espero que esos libros les ayuden a sobrevivir a este agosto.

Nada más. Como diría el bueno de Pedro Erquicia, les espero en septiembre, para contarles en profundidad las cosas que pasan a lectores como usted. Buenos días y felices vacaciones.

Me apunta José Selvi antes de colgar el cartel de “Cerrado por vacaciones” que dentro de un par de días tiene lugar la final del “Capture the Flag” de DEFCON, en la que participa el equipo español “Pandas with gambas” (su foto “de familia”), en la que que intentarán arrebatar el trofeo a los campeones de los dos últimos años, los veteranos 1@stPlace (su foto “de familia”, algo más seria).

Mucha suerte!

Les confieso que en un primer momento tuve ciertas reticencias y dudas de colgar lo que les cuento a continuación, por si alguien pudiera considerarlo “incitación al delito”. Por supuesto, ese no es en ningún caso el propósito de la entrada, sino el de mostrar qué es posible hacer con unos pocos datos de carácter personal hoy en día —de esos que cualquiera de nosotros proporciona alegremente a cualquiera—, por lo que tras un par de consultas previas he decidido publicarlo. Obviamente, falta decir que lo que se cuenta en esta historia es completamente ficticio, fruto de mi imaginación, y cualquier parecido con la realidad es pura coincidencia. Sirva esto como disclaimer previo, y pasemos a la entrada.

Hace cosa de un par de semanas, a las 05:51 de la mañana, sonó mi móvil, que como siempre, había dejado encendido —mala costumbre— en la mesita de noche; con el sobresalto habitual de una llamada en horas intempestivas, contesté al teléfono sin saber quién me llamaba (tenía el número pero no estaba en mi agenda) y, para mi sorpresa, parece ser que mi interlocutor se había equivocado y, sin decir nada, ni un mísero “lo siento”, decidió colgar. A mí estas faltas de educación siempre me han molestado, pero sobre todo, me resulta incomprensible que alguien te llame a esa hora, se equivoque, y no tenga el valor de pedir disculpas ni decir nada, simplemente se limite a colgar.

Si esto se hubiera producido hace unos años, cuando no había móviles y los fijos de la época no disponían de un bonito display electrónico donde aparece el número llamante, simplemente me habría fastidiado, lo habría olvidado en unos minutos, y poco más. Pero en estos días a mi interlocutor (por llamarle de alguna forma) se le olvidó un pequeño detalle: tenía su teléfono móvil, o al menos el teléfono desde el que me había llamado; así que me propuse saber quién sería esta persona.

¿Qué hacer cuando dispones únicamente de un número de teléfono móvil, sin más datos? Puedes poner un anuncio en coches estacionados en diferentes zonas de la ciudad, pegado al cristal, con un precio atractivo y ese número de teléfono. Pero eso no supone ningún reto; sí que puede ser un reto tratar de conseguir la información de esa persona; un poco de ingeniería social nunca viene mal, y por suerte o desgracia, en este país si oímos la palabra “GRATIS” damos hasta nuestra partida de nacimiento…

A partir del prefijo móvil se puede determinar con un alto nivel de probabilidad la operadora de comunicaciones a la que pertenece, con lo que una promoción de dicha operadora siempre es una buena excusa; si ha habido una migración, pues la promoción se convierte automáticamente en una oportunidad para antiguos clientes. El resumen podría ser:

— “Le llamamos de XXXX para ofrecerle, una vez cotejados sus datos, una promoción de llamadas a 0 céntimos, GRATIS, durante todo el mes de agosto, sin letra pequeña”.
— Ah, dígame.
— ¿Es usted don Luis López, de Salamanca?
— No, me parece que se ha equivocado.
— Vaya, lo siento, entonces no puede acceder a la promoción… en cualquier caso, es usted cliente de XXXX, ¿verdad?
— Sí, sí, dígame…
— ¿Dispone usted de correo electrónico?
— Claro.
— Si me lo facilita, le enviaremos un e-mail y, simplemente por responder al mismo y rellenar nuestro cuestionario, tendrá acceso exclusivo a esta promoción.
— Claro, mi correo es yyyy@hotmail.com.
— En breve recibirá el correo; una vez obtenida su respuesta, en el plazo de una semana nos pondremos en contacto con usted para confirmarle el acceso y tendrá llamadas gratis durante todo el mes de agosto.
— Ah, muchas gracias, muchas gracias…

A partir de aquí, no hay más que enviar un correo al individuo en cuestión desde una dirección que parezca creíble; aunque para el 99% del personal es creíble cualquier dirección de Hotmail, mucho más elaborado es utilizar algo del tipo “registro@XXXXX.dyndns.org”, donde XXXX es obviamente el nombre de la operadora. En ese correo, con logos oficiales y formalismos que le den credibilidad, le pedimos amablemente su nombre, código postal —por aquello de la estadística— y el número de teléfono que quiere asociar a la promoción (aunque ya lo sepamos, nunca está de más). Et voilà, tenemos enseguida cómo se llama la persona y dónde vive (a lo de pedir la dirección postal, aparte de que no nos aporta nada, la gente suele ser más reacia, pero el código postal lo facilitamos sin problemas).

Con estos datos —nombre y apellidos, e-mail, teléfono y código postal— hemos recorrido buena parte del camino; depende de lo que queramos hacer con la información, esto es más que suficiente: desde poner anuncios de compraventa en prensa gratuita de la zona —hablaremos un día de la seguridad y autenticación en estos casos—, hasta técnicas más elaboradas; he aquí unos ejemplos:

— “Promoción” para averiguar si tiene hijos entre 10 y 20 años, y si es así, cualquier tarde de octubre, cuando su hijo esté en el colegio, volvemos a contactar con él para comunicarle que su hijo está retenido en el centro comercial X —cercano al domicilio— por haber sido sorprendido en pleno hurto, y le rogamos que venga a recogerlo. Ni hace falta saber el nombre del niño.
— “Promoción” para averiguar si su coche tiene más de cinco años y ofrecerle, en un concesionario de la zona que se ha adscrito a la promoción, una ganga. Debe pasar esa misma semana por dicho concesionario.
— Invitación a un Madrid-Barça, o Sevilla-Bilbao —dependiendo del código postal—, para él y dos acompañantes en zona VIP, completamente gratis, presentando su DNI en taquilla.
— Cualquier otra cosa que, como hemos dicho, incluya la palabra “GRATIS”.

Se me ocurren muchas más, pero ya se pasan de ser simples bromas a entrar en temas personales delicados, y después de todo, sólo fue una llamada a una hora intempestiva, y un poco de mala educación. Sirva esta entrada como reflejo didáctico, y ténganla en cuenta cuando se equivoquen de número una noche a las tantas de la madrugada y por supuesto, cuando alguien tenga la bondad de ofrecerles algo gratis.