La convergencia de las “seguridades”

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las “patas” de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

La convergencia proporciona a las organizaciones unos beneficios claros en materia de seguridad, como son la visión holística del riesgo, la reducción de costes o la existencia de un punto único de referencia (el CSO) en la materia. Viene catalizada por diferentes factores, entre los que es necesario destacar la convergencia tecnológica (elementos TIC que por sí ya difuminan las diferencias entre “seguridades”: cámaras CCTV controladas vía TCP/IP, sistemas de autenticación únicos para accesos físicos y lógicos, etc.), o la existencia de amenazas comunes en todos los frentes. Por contra, a la hora de converger nos encontramos ante barreras que en muchos casos son difíciles de superar (sensación personal de pérdida de poder en la organización, áreas de conocimiento diferentes, etc.), siendo la mayor de todas ellas la diferencia cultural que existe entre las “seguridades” particulares: por ejemplo, el personal de seguridad TIC siempre ha visto al de seguridad física como “la gente de pistola en mano”, y éstos últimos a los primeros como los tecnólogos que solucionan todo con ordenadores; obviamente esta visión no es correcta en la actualidad, pero por experiencia, podemos decir que aún se mantiene en muchas ocasiones.

Finalmente, es necesario destacar que la convergencia de la seguridad en las organizaciones requiere de una figura clave a la que ya se ha hecho referencia: el Director de Seguridad (CSO, Chief Security Officer); las competencias y habilidades básicas de esta figura para garantizar la protección activa de todos los activos de la organización y la respuesta correcta ante los incidentes que en la misma se produzcan son cada vez más críticas, por lo que la figura del CSO en la actualidad debe ubicarse sin duda en un nivel ejecutivo y de liderazgo, de forma que el Director de Seguridad sea capaz de garantizar de forma eficaz el nivel de riesgo reputacional asumible, la disponibilidad de las infraestructuras y de los procesos de negocio, la protección de los activos tangibles e intangibles, la seguridad de los empleados y la confianza de los terceros en la organización.

El cambio climático (o esta vez, quizá no)

En los últimos tiempos hemos encontrado un nuevo culpable para casi todo. Igual que la informática ha sido en las últimas décadas culpable de que los vuelos se retrasen, de que se pierdan las maletas, de que salga mal la cuenta del restaurante e incluso de que nos operen de apendicitis cuando lo que nos duele es un ojo, desde hace ya unos años otro culpable por excelencia de lo que acontece diariamente en el mundo es “el cambio climático”. No creo que sea un problema con el que hacer demasiadas bromas. El asunto es serio. Pero también lo son los problemas relacionados con la seguridad y a menudo tenemos que escuchar muchos comentarios irónicos al respecto.

Nuestra sociedad necesita incrementar su productividad. Somos una potencia económica mundial, pero no somos una potencia económica en productividad. Para llegar al puesto que nos corresponde tenemos algunas asignaturas pendientes y no cabe ninguna duda que una de ellas es el uso y la introducción de las tecnologías en la sociedad a todos los niveles: la empresa, el hogar, las instituciones,…

Desde siempre, uno de los inhibidores importantes del uso de las TIC en la sociedad ha sido la desconfianza en el medio, promovida en muchas ocasiones por el desconocimiento, las leyendas urbanas y en definitiva por la falta de formación e información, y es que en mi opinión uno de los puntos débiles de las organizaciones grandes y pequeñas, pero sobre todo de las grandes, es la formación y concienciación en materia de seguridad. Pero no hay manera de que se tome en serio este problema en las organizaciones. Es francamente difícil y cuesta mucho, a pesar de ser la única manera de que podamos avanzar “hacia una cultura de la seguridad”.

Si no abordamos el problema de frente acabaremos, como sociedad, o no haciendo un uso adecuado de los medios disponibles y perdiendo puestos en el ranking de la productividad, o sufriendo incidentes de seguridad. Cualquiera de los dos caminos es malo, muy malo, y no creo que en este caso podamos culpar de sus consecuencias al cambio climático, sino a una falta de visión o de responsabilidad social, o simplemente a una falta de interés o presupuesto.

¿No creen ustedes que es ya el momento de afrontar nuestras responsabilidades como organizaciones y como individuos en la formación y concienciación en materia de seguridad de la información? No podemos seguir mirando hacia otro sitio y culpando al cambio climático o al gobierno por el desconocimiento generalizado en asuntos tan importantes como estos, y les aseguro que no es habitual que una asignatura troncal como esta se aborde con los esfuerzos mínimos necesarios… y como en anteriores casos, a las pruebas me remito.

Pero no se preocupen que volveremos a hablar del cambio climático como culpable por excelencia de (casi) todo…

Todo lo que digan podrá ser…

He de reconocer que en esto de los datos de carácter personal, entre los que podemos incluir fotos, videos o comentarios que pueden dar información sobre ideología, tendencias sexuales o el perfil psicológico propio, Internet da un poco de respeto. Y no me refiero a aquellos casos en los que alguien se convierte, como suele decirse, sin comerlo ni beberlo, en una estrella, con todos los problemas que eso supone. Recientemente una adolescente pertiguista estadounidense —si la memoria no me falla— tuvo el dudoso privilegio de convertirse en un ídolo de masas/sexual no precisamente por sus logros deportivos; saber que millones de personas tienen acceso a tus fotos y que entre ellas seguramente hay más de un tarado hurgando en tu intimidad es algo no demasiado reconfortante.

No obstante, este tipo de cosas vienen a estar fuera del control de la “víctima”, y como en otras muchas situaciones, eso es algo que hay que asumir e intentar evitar en la medida de lo posible. Otro problema muy diferente es cuando es uno mismo el que pone a disposición del ciberespacio fotos, opiniones, o datos personales en lugares sobre los que probablemente no tiene ningún tipo de control, tales como foros, las USENET news, buscadores poco escrupulosos, o incluso Google (recomiendo a título personal el uso de «”META NAME=”ROBOTS” CONTENT=”NOARCHIVE”» en la cabecera de los sitios personales, para evitar el almacenamiento en caché en los buscadores más conocidos), y que en un futuro podría no ser capaz de eliminar. Mucha gente —incluído un servidor— ha vertido datos y opiniones poco reflexionadas y de forma menos que apropiada en diversos lugares de Internet, llevado por las hormonas juveniles —o no tan juveniles—, provocaciones ajenas, la defensa de sus propias ideas más allá de lo lógico para la relevancia del foro en cuestión, la pura y simple diversión, o por el mero hecho de levantarse con el pie izquierdo; conseguir el borrado de todo ese contenido de todos esos sistemas, en caso de ser posible, puede llevar un tiempo y esfuerzo nada despreciables. Quizá alguien piense que a medida que la Red se hace grande, unos contenidos dejarán de existir, que simplemente se borrarán, pero en mi opinión, yo no contaría con ello.

En la actualidad, salta un escándalo cuando algún periodista con mejor o peor intención rastrea entre los archivos históricos buscando algo que alguien dijo sobre algo que tal o cual personaje público hizo, dijo, o dijo que hizo hace veinte años. Quizá en el futuro no haga falta rastrear tanto, sino dedicar diez minutos en un par de buscadores, y ver que el propio interesado lo dijo en un foro de Internet, lo repitió en diez más, escribió un blog y lo comento en un centenar más, y para colmo de males, colgó una docena de videos donde sale él mismo haciéndolo. Así que, si me aceptan un consejo, tengan cuidado con lo que dicen o muestran por ahí. Como dice el título de esta entrada, todo lo que digan podrá ser utilizado en su contra…

Por su seguridad: aprenda inglés

Como algunos de ustedes probablemente saben, he pasado la última semana de vacaciones en Sassari —Cerdeña—, disfrutando del sol, la playa, y comiendo pasta y pizza. Sí, eso y poco más, que ya es bastante. Aprovechando un vuelo de Ryanair, una de las principales compañias aéreas de bajo coste, me planté en la isla por poco más de setenta euros por persona, ida y vuelta. El caso es que me llamó la atención que en el viaje de ida ninguno de los mensajes habituales acerca del uso y localización de los distintos mecanismos de emergencia, tales como chalecos salvavidas, cinturones, máscaras de oxígeno o las propias salidas de emergencia estuviera en castellano, catalán, o italiano, cuando tales son las lenguas oficiales —o co-oficiales— de la ciudad origen y de la de destino, respectivamente. No, todos los mensajes estaban en inglés.

No puede decirse que yo sea totalmente bilingüe en relación al inglés, pero me defiendo con relativa soltura, y he volado lo suficiente como para saber —o creer saber— dónde está cada cosa y cómo utilizarla; afortunadamente, jamás ha sido necesario llevar ese conocimiento a la práctica, porque entonces veríamos si lo que creo saber es lo que sé en realidad. Sin embargo, teniendo en cuenta que estos mensajes se emiten, asumo, con la intención de incrementar la seguridad de los pasajeros en el caso de producirse un posible accidente o fallo aéreo, disminuyendo así el riesgo personal de cada uno de ellos al saber utilizar los mecanismos proporcionados, carece de sentido que se emitan en una única lengua que no es, probablemente, la que conocen la gran mayoría de sus receptores.

En otras palabras, y acabando de aplicar terminología de seguridad informática al mundo físico, si dedicamos recursos tanto humanos como económicos a instalar y revisar controles que reduzcan el riesgo e incrementen la seguridad de las personas, ¿qué sentido tiene que esas personas no sepan cómo hacer uso de ellos llegado un potencial problema de seguridad?

La Caida de las Fronteras Digitales

Cuando hace ya algunos años empecé a trabajar era fácil, muy fácil, determinar la frontera de las redes de la organización donde estaba. Si la empresa era industrial, como es mi caso, a principios de los años 90 la red se circunscribía a la del área financiera y a la de diseño o ingeniería que, por supuesto, en aquella época, eran totalmente independientes sin posibilidad de conexión conocida por mí. Era una red de un sistema 36 y una red de un sistema de CAD/CAM bastante grande del sector Naval, FORAN, que funcionaba sobre máquinas DIGITAL y con una LAN basada en el difunto DECNET.

Unos pocos años han pasado, 17, -tampoco son tantos- y ya en su día participé en la unión de las dos redes referidas, la red del entonces AS400 con la red del DIGITAL y la red del incipiente “Windows para trabajo en grupo”. Sin saberlo, asistí, desde un lugar preferente, a mi primera caída formal de una frontera digital, la frontera que separaba el mundo contable del técnico en una organización industrial. Las caídas de fronteras digitales se han sucedido desde entonces hasta llegar al punto en el que estamos en el que realmente creo que ya casi no quedan fronteras digitales, salvo que las que nosotros mismos creamos con nuestras políticas de seguridad.

Si el mundo real se ha convertido en un mundo global es principalmente porque el mundo digital nos lo ha facilitado y, para eso y, por eso, han tenido que desaparecer las fronteras. La caída de las fronteras digitales es uno de los aspectos que justifican la importancia actual del diseño de políticas de seguridad globales, hoilísticas.

Seguro que la mayor parte de ustedes, directa o indirectamente, han asistido, en primera línea, a la caída de una frontera digital natural. En mi opinión “todas” las caídas de fronteras tienen alguna lección oculta que, los que trabajamos en seguridad, debemos aprender.

Les animo a ustedes a compartir su experiencia particular en la caída de una frontera digital que hayan presenciado. Creo sinceramente que compartir y comentar con terceros estas experiencias puede hacer que todos juntos aprendamos alguna lección oculta.

www.congreso.es

Como regalo para el fin de semana, y bordeando la media noche, les voy a regalar algo que he visto en Kriptópolis, aunque proviene de la Asociación de Internautas, y que no puedo dejar pasar. Como es posible que sepan, la nueva nuevísima web del Congreso se presentó hace unos días con problemas de estándares, diseño, desarrollo, accesibilidad y muchas otras cosas.

Y como no podía ser de otra manera, al parecer, entre los catorce millones de euros que ha costado, también va incluido el manual de Oracle Application Server 10g Release 2 (10.1.2), según pone en http://www.congreso.es/quickstart.htm, y es posible que otras cosas cuyo acceso público no sea tan relativamente inocuo (que conste en acta lo de “relativamente”). Lo dicho; por catorce millones de euros, ¿quién da más?

(Es muy posible, deseable, lógico, y sobre todo recomendable, que ese manual de Oracle accesible desde Congreso.es y contenido similar que no debería ser público, desaparezca en las próximas horas. Si eso sucede, pueden obtener los detalles completos en el anterior enlace de Internautas.org)

“Soy yo”

¿Recuerdan lo que les comentaba hace unas semanas sobre la confianza y la Ingeniería Social? Bien, imagínense la siguiente situación:

Una pareja de ancianos oye sonar el telefonillo de su casa, y a la típica pregunta de “¿Quién es?”, no obtienen otra cosa que alguna de las también típicas respuestas: “Soy yo”, “Yo”, “Tu nieto”, o cualquier otra contestación, suficiente para que éstos abran la puerta del portal y la de su casa, y vuelvan a aquello que estaban haciendo, sea cocinar, ver la televisión o desayunar. Unos minutos después, una persona que no conocen, que como es obvio no es quien pretendía ser, y sin demasiadas buenas intenciones, entra en su casa sin ningún impedimento.

Parte de la escena que les he descrito es real y le sucedió a mis abuelos hace unos años. De cualquier modo, aunque no lo fuese, estoy seguro de que no les costaría mucho imaginársela. En aquel caso, el intruso se identificó como amigo mío, lo cual es a todas luces mentira porque yo no tengo amigos. Afortunadamente, mi abuelo me conocía bien y esperó de pie hasta que el visitante hubo llegado a su rellano (último piso de una finca de cuatro alturas sin ascensor), y tras unos momentos de duda, le cerró una puerta acorazada en las narices. Pero no siempre las cosas son así; como les comentaba, es habitual que tras abrir la puerta de casa, mucha gente se despreocupe y vuelva a sus tareas, dejando vía libre al malhechor.

Voy a dejarles como ejercicio el paralelismo con aspectos tecnológicos —las puertas son a menudo blindadas o acorazadas y sin embargo están abiertas al intruso—, y pasar directamente a la “moraleja” de la historia, que es tan obvia como por reincidente: tengan cuidado cuando le abran la puerta a alguien y en la medida de lo razonable, desconfíen.

Bichos et al. (I): Introducción

Virus, Troyanos, Spyware, Gusanos,… o como se les conoce generalmente: Malware o “bichos”, usando un término más coloquial. Todos los usuarios de sistemas informáticos, por suerte o por desgracia, conocemos la existencia de estos tipos de software y prácticamente la totalidad de nosotros hemos sufrido alguna vez una infección, con la pantalla de nuestro viejo 486 llena de “barrotes” o nuestro escritorio lleno de enlaces a página web con contenido para adultos.

Tal y como sucede con los virus biológicos, los virus (o malware en general) han ido mutando, cambiando, adaptándose a los tiempos y a su entorno, buscando nuevas formas de propagarse desde los sectores de arranque de los antiguos diskettes a la explotación de vulnerabilidades de servicios de red de los sistemas operativos de usuario más modernos. Hoy en día todo se mueve mucho más rápido, sobretodo en el mundo de las nuevas tecnologías, y eso incluye evidentemente al malware. En los años 70, cuando la interconexión de sistemas informáticos era practicamente inexistente, la velocidad de propagación del malware era la que tardaba un diskette infectado en pasar de unas manos a otras. En la actualidad, la red de redes nos ofrece grandes posibilidades de acceso a la información en unos pocos segundos, pero también abre la puerta a la posibilidad de rápidas infecciones y propagaciones.

VirusDurante todo este tiempo los virus han cambiado, y han pasado de propagarse junto a otro software a hacerlo a través de la red, explotando vulnerabilidades. El paso del tiempo también nos ha dejado un gran aumento de la creación de malware, debido fundamentalmente a la aparición de los virus de macro y similares, que facilitan enormemente la creación de virus por parte de personas con unos conocimientos muy limitados (existen incluso asistentes que permiten crear tu propio virus en pocos minutos), al contrario de lo que sucedía en los inicios del viring, en la que los escritores de virus eran personas con conocimientos mucho más profundos.

Para contrarrestar los riesgos introducidos en el mundo de la informática por el malware, surgieron los Software Antivirus, que mantienen desde hace años una dura pugna con los programadores de virus, los cuales han respondido cambiando las técnicas y aumentando la complejidad del código con el fin de evitar la detección de los sistemas antivirus, hasta el punto que cerca del 90% del código fuente de un virus puede estar destinado a evitar su detección.

Aún así, los sistemas antivirus no son por si mismos un sistema infalible, ya que fundamentalmente utilizan un sistema de firmas que identifican a cada uno de los virus conocidos. Ello implica que independientemente de la complejidad que suponga obtener una firma válida que sirva para detectar un virus concreto, un antivirus que emplee este método de detección no podrá nunca detectar un virus del que no exista firma explícita, es decir, que no haya sido reportado. Para mitigar esta deficiencia, los sistemas antivirus implementan sistemas heurísticos que intentan reconocer, en la medida de lo posible, comportamientos propios de malware en el software, a pesar de que no se haya detectado mediante firmas.

Esta segunda aproximación basada en métodos heurísticos es la que en principio ofrecería una mejor detección, ya que nos permitiría detectar malware conocido y desconocido, únicamente teniendo en cuenta su comportamiento, siguiendo de esta manera una de las principales directrices de la seguridad de sistemas informáticos: “Rechazar si no está expresamente permitido” (o alertar si no es claramente un comportamiento habitual, en este caso). No obstante, la detección de malware mediante métodos heurísticos está poco desarrollada en la actualidad debido a su alta complejidad, y prueba de ello es que pocos software antivirus detectan los nuevos virus por si solos, sin necesidad de una actualización de sus firmas.

Por todo ello, como hemos mencionado anteriormente, un software antivirus puede no ser capaz, por si solo, de ofrecer una protección completa para nuestros sistemas. No olvidemos que éste, al igual que cualquier software, es una herramienta, cuyo rendimiento y eficiencia dependerá del buen uso que hagamos de ella. Aprende a manejar tus herramientas de detección, fórmate, aprende a usar de forma segura tu sistema, tu correo electrónico, y con simplemente unos pocos conocimientos y siguiendo unas sencillas reglas puedes convertirte en el mejor antivirus que puedas encontrar.

(Continuará…)

120,000 cuentas de un ISP hackeadas

Como saben, recientemente ha sido noticia la intrusión en un ISP español de un hacker que presuntamente ha capturado 120,000 cuentas de usuario [ElPais.com] [Barrapunto] [Kriptópolis]. Teniendo en cuenta que el problema por supuesto es preocupante para los propios clientes de esta compañía, pienso que es además de especial interés ver cuál ha sido el modelo de negocio/motivación de estos hackers en la empresa de hosting, ya que según diversos comentarios, parece que la intrusión fue utilizada para modificar los contenidos de las páginas albergadas por los clientes en el ISP, redirigiendo éstas hacia páginas con troyanos y otro tipo de malware.

Aunque entiendo la preocupación de cualquier cliente al ver que sus datos de carácter personal circulan “por ahí”, y con el temor adicional de que puedan haber datos bancarios, creo que es de destacar el uso que al parecer se ha hecho de la intrusión: redirigir usuarios —visitantes— de páginas web de confianza hacia páginas web con troyanos, con lo que podemos afirmar que en última instancia los verdaderos sufridores —destinatarios y víctimas— del ataque no es el ISP ni sus clientes, sino los clientes de estos clientes. Algunas preguntas surgen a raíz de esto:

— ¿Qué imagen da una empresa que llena de virus o cosas peores a todos los clientes que le visitan?
— ¿Qué responsabilidad tiene en esto la empresa de hosting? ¿Y la empresa propietaria del dominio/contenidos?

Sin lugar a dudas, los nuevos modelos de negocio del hacking no paran de sorprendernos… ¡Ah! Y esto muestra, una vez más, que no es cierto aquello de que no les va a pasar nada por navegar por páginas web de su confianza…

No tan rápido, vaquero; es asunto tuyo.

Volvemos con más LOPD, si me lo permiten. ¿Recuerdan cómo empieza el Reglamento de Medidas de Seguridad (RMS), verdad? Les hago memoria, por si acaso:

«[…] La Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, prevé en su artículo 9, la obligación del responsable del fichero de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de […]»

El resto se lo saben, seguro. Por supuesto, la ley mencionada en ese párrano no es la LOPD, sino la LORTAD, ya que como saben, la LOPD carece de reglamento, en perpetua elaboración. Pasemos a otras cosas. ¿Saben lo que dice el RMS sobre las copias de seguridad, verdad? Les vuelvo a hacer memoria, de nuevo, por si acaso:

«Artículo 14. Copias de respaldo y recuperación.

1. El responsable del fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.

3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.»

A la vista de esto, hay dos cosas que parecen claras. La primera es que los datos de carácter personal (DCP) gestionados por una empresa son de su responsabilidad —que no de su propiedad—, y por tanto los DCP tratados por un empleado son responsabilidad de la empresa, no del empleado. La segunda cosa que parece clara es que hay que hacer copias periódicas de éstos.

Ahora bien, a poco que uno estudia la política de copias de seguridad que suele haber en muchas empresas, se da cuenta de que algo cruje. Y no me refiero a la cantidad de aplicativos y DCP, en ocasiones sensibles, que a menudo existen a espaldas de los departamentos de Sistemas de Información, bien sean hojas Excel, programas de gestión de Recursos Humanos, o simples documentos Word. Aunque no es del todo correcto disculpar totalmente a los responsables de TI de que se produzcan este tipo de situaciones, sí es cierto que aún poniendo el departamento en cuestión los medios necesarios y suficientes, tales como unidades de red departamentales o sistemas de copia de seguridad de determinados directorios del PC del usuario, es típico que el empleado ignore sistemáticamente estas facilidades e insista casi de modo perverso y maligno en utilizar ubicaciones lógicas de las que sabe —o debería saber, y esto puede ser tanto responsabilidad y/o culpa tanto de unos como de otros, cuya ignorancia debería ser subsanada a través de normativas escritas y entregadas, políticas adecuadamente publicitadas o sesiones de formación del personal— que no se hace copia de seguridad.

No, como les decía no me refiero a esas situaciones. No. De lo que estoy hablando, concretamente, es de esas políticas en las que el departamento de TI establece, a veces por escrito, a veces de facto, que el usuario es el único responsable y encargado de la realización de las copias de seguridad de su PC o portátil, y que la pérdida de datos es, de una forma coloquial, “su problema”. Bien, pues como seguramente han adivinado, va a ser que no; si antes podíamos de alguna forma compadecer al departamento de TI por la maldad y poca colaboración del usuario, ahora no, ya que en la medida en que en ese PC o en ese portátil contienen DCP, sus datos son responsabilidad de la empresa.

Determinar quién debe por tanto preocuparse por que esas copias se hagan, se deja como ejercicio para el lector avispado.