Google Ad Hacking

Vayan ustedes a Google y busquen alguna palabra que sepan que tiene enlaces patrocinados, de éstos que suelen visualizarse a la derecha de los resultados y en la parte superior, con fondo amarillo. Por mi parte, he escogido “Canon”.

Ahora pasen el ratón sobre estos enlaces y miren la barra de estado del navegador. Ahí debería aparecer la dirección destino del enlace, pero, ¿ven ustedes alguna dirección? No, ¿verdad?

Tengan cuidado, al parecer esta extraña feature de Google está siendo explotada por más de uno in the wild para dirigir tráfico a webs no precisamente bienintencionadas…

[Más detalles en Computer World y silicon.com]

Lucha contra el spam

Hace ya algunos meses, una compañía israelí llamada Blue Security dedicada a luchar contra el spam puso en marcha, o intentó poner en marcha, un servicio anti-spam que desde cierto punto de vista, podría considerarse un ataque de denegación de servicio en toda regla. Básicamente, la idea que no hay que olvidar es que detrás de cada correo basura que llega al buzón, hay alguien que intenta vendernos algo. Por lo tanto, debe de existir un medio de contactar con éste para hacerle llegar el hipotético pedido, y en conclusión, acaba siendo también vulnerable al spam, lo cual no deja de resultar paradójico. En este caso en concreto, el servicio de Blue Security mandaba al vendedor un correo en el que solicitaba el borrado de la dirección de correo de su cliente -el suscriptor del servicio- de la lista empleada para mandar el spam. Con una lista de medio millón de suscriptores, el vendedor acababa colapsado y con ello sus actividades de “promoción” a través del mailing indiscriminado. Por supuesto, la historia no quedó ahí, pero como tiene casi un año, pueden ustedes leerla en Wired. Les prometo que les gustará, parece sacada de una novela de John Le Carré. Por otra parte, no intenten utilizar la misma táctica a título personal; todo lo que conseguirán es recibir, si cabe, mucho más correo basura del que ya reciben.

El caso es que al parecer, Blue Security no han sido los únicos en darse cuenta de que hay más formas de actuar contra el spam que yendo únicamente contra la fuente de los correos. Según leo en Computer World, una empresa dedicada a luchar contra el correo basura, Unspam Technologies Inc., ha puesto una demanda de mil millones de dólares contra los “recolectores” de direcciones que alimentan a los spammers y contra éstos mismos. Mientras que la recolección de direcciones de correo electrónico no es ilegal, la compañía espera poder llegar a los emisores de spam -actividad ilegal, esta sí, en los Estados Unidos- a través de ellos. Para desvelar las identidades de los demandados, Unspam Technologies ha desarrollado el Proyecto Honey Pot, a través del cual espera obtener un volumen de datos suficiente para que la mayoría de estos individuos salgan del anonimato. Aunque es posible que aún teniendo éxito en la identificación de las fuentes, el objetivo final se vea frustrado por cuestiones internacionales, de soberanía nacional y disparidad de legislaciones, es como mínimo un buen comienzo para acabar con una de las lacras actuales de Internet.

Tira cómica

Vía Get Fuzzy, una divertida aproximación gráfica a varios problemas actuales que tiene la seguridad en muchas organizaciones: a) olvidar que un incidente de seguridad puede proceder -y a menudo lo hace- tanto de fuera como de dentro de la organización, b) obviar el necesario análisis previo que sea capaz de identificar todos los riesgos, c) la presencia de lo que en términos anglosajones se ha dado en llamar Security Theater, es decir, la presencia habitual de medidas de seguridad que aportan poca o nula protección pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad, y d) la falta de control sobre las medidas de seguridad implantadas (fíjense en que estos supuestos “controles de seguridad” están conectados *fuera* de la habitación).

[Visto en Bruce Schneier]

Falsa seguridad

El artículo 26 del actual Reglamento de Medidas de Seguridad (RMS), dentro del Capítulo IV, y en relación a las medidas de seguridad de nivel alto, dice lo siguiente:

Artículo 26. Telecomunicaciones

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Como es obvio, uno de esos medios es el correo electrónico, y es común que en departamentos clave en la gestión de datos especialmente protegidos se haga un uso intensivo de esta herramienta para la comunicación con terceros. Mutuas o gestorías, entre otros, suelen ser receptores habituales de este tipo de información, en el papel de Encargados del Tratamiento. Hasta aquí, nada que objetar al respecto.

[Read more…]

Seguridad de la Información

Leía hoy en Paloma Llaneza [Times Online] que los japoneses y coreanos están empezando a abordar el tema de la seguridad en relación con la robótica, y no me refiero a los que pueden encontrar ustedes en cualquier cadena de montaje de una fábrica de automóviles. No, en realidad, la noticia ronda más los textos de Asimov, aunque no se lo crean; ya saben, en la línea de aquellas tres leyes de la robótica del escritor ruso.

Lo cierto es que a pesar de que la noticia suene más a curiosidad geek que otra cosa -y de eso los japoneses saben mucho-, y aunque probablemente no pueda tomarse dicha iniciativa como un ejemplo de la concienciación global en temas de seguridad más que de modo muy tangencial, sí que es cierto que la seguridad en sus diversos niveles va adquiriendo poco a poco mayor importancia, y sin duda queda aún mucho por ver; empezando por los robots.

Como ejemplo de esto, en un ámbito más local y menos futurista -lo cual no deja de ser lógico, porque aparte de alguna Termomix, no demasiada gente tiene robots pululando por casa, y perdónenme la generalización-, recientemente se ha creado en España el CCN-CERT [ElPaís.com], tercer centro nacional de respuesta rápida frente a emergencias informáticas (Computer Emergency Response Team), al amparo del Centro Criptológico Nacional, con el objeto de proteger a las administraciones públicas de los ataques informáticos. Les prometo que no será el último.

Por lo demás, ya sé que se tercia una presentación algo más formal, pero no sean impacientes, habrá tiempo para ello. Nada más por el momento; bienvenidos.