Category Archives: security

Auto Added by WPeMatico

Pescando en la Casa Blanca

IMAGE: Selman Amer - 123RFUn grupo de periodistas de Gizmodo tuvieron una idea aparentemente absurda y sin duda peligrosa, pero que tengo la impresión de que podría convertirse en relativamente habitual en otros contextos: tratar de lanzar un ataque de phishing a quince personas del equipo directo de Donald Trump en la Casa Blanca.

El phishing es uno de los mecanismos más habituales de robo de información en la red: típicamente, se envía al usuario un correo electrónico desde una cuenta simulada que le genere confianza, en el que se le solicita que haga clic en un enlace que le presenta una página, igualmente simulada, en la que introducir su usuario y contraseña de un servicio determinado. A principios de mayo, un esquema de phishing muy sofisticado y convincente con la apariencia de un mensaje de invitación a un documento de Google Docs logró que varios miles de usuarios le entregasen sus nombres de usuario y contraseñas de Google, y le diesen acceso a sus contactos para extender el ataque más aún. Las estadísticas de 2016 afirman que un 85% de las compañías han sido objeto de ataques de phishing, y que alrededor de un tercio de los mensajes de phishing son abiertos por el usuario.

El ataque planeado por Gizmodo utilizaba un esquema bastante conocido, comentado bastante recientemente al hilo del episodio de Google, y fue estructurado como un test de seguridad, con la idea de poner a prueba los conocimientos en este tipo de cuestiones del equipo presidencial de un Donald Trump que ha sido etiquetado por muchos como un profundo desconocedor del entorno tecnológico. Desde la publicación, se enviaron correos electrónicos a quince miembros del equipo presidencial, desde direcciones de correo electrónico simuladas – sin ningún tipo de sofisticación, sin ni siquiera ocultar la dirección real – que utilizaban nombres de personas de su confianza, como otro miembro del equipo, un conocido o su pareja. En ese sentido, el ataque se tipifica como un phishing unido a un esquema de hacking social, lo que pasaría a considerarse un targeted attack, un ataque con un objetivo concreto, que va más allá de los esquemas más habituales y básicos que utilizan simplemente direcciones aleatorias.

De los quince receptores del correo de Gizmodo, siete ignoraron completamente el mensaje, pero otros ocho accedieron a la página solicitada en menos de diez minutos tras el envío, lo que podría indicar que no consultaron a ningún experto en seguridad o miembro del equipo de tecnología antes de hacerlo. Dos personas, además, contestaron el correo electrónico pensando que la identidad falsa era real, ante lo que Gizmodo decidió no continuar con el esquema (en lugar de continuar con un segundo correo que siguiese intentando obtener su objetivo). Según la publicación, ninguno de los receptores llegaron a introducir su usuario y contraseña en la página falsa, y además, se desconoce cuántos de ellos podrían tener activada la verificación en dos pasos, que incrementa la seguridad incluso en caso de captura del par usuario – contraseña añadiendo una verificación más a través de un número enviado a un dispositivo o de una autenticación adicional mediante huella (es la que utilizo yo, y es verdaderamente cómoda, muy poco engorrosa y francamente recomendable), algo que parece una precaución más que lógica y razonable en ese tipo de ámbitos y niveles de responsabilidad. La idea era poner a prueba y documentar la educación en seguridad del equipo del presidente, pero – se supone – no ir más allá.

Algunos afirman que la jugada de Gizmodo podría conllevar una denuncia por infracción de la Computer Fraud and Abuse Act (CFAA), aunque la publicación afirma que para evitar esa acusación, el diseño del experimento se hizo de manera que no habría permitido conocer el usuario y la contraseña introducida, sino simplemente constatar que la habían introducido. Por el momento, la Casa Blanca no ha cursado denuncia alguna. 

¿Qué ocurriría en tu compañía si se enviase un correo de ese tipo, desde una cuenta que simulase la de un compañero o un familiar? ¿Cuántos caerían y suministrarían su usuario y contraseña? ¿Puede este tipo de tests convertirse en una manera de evaluar la cultura en seguridad en las organizaciones? ¿Deberíamos pensar en convertir en habituales pruebas de este tipo en nuestra compañía, como forma de detectar vulnerabilidades o educar en seguridad? Y desde mi punto de vista, en todo este tipo de cuestiones subyace una pregunta importante: la seguridad informática y las infracciones a la misma aún es vista por muchos como algo “de expertos”, como una cuestión disculpable, una falta menor. Aún nos parece relativamente normal y hasta disculpable que una persona facilite su contraseña a otra, o que la tenga pegada en un post-it en la pantalla del ordenador. ¿En qué momento cuestiones de ese tipo, como responder a un correo de phishing, dejan de ser consideradas como algo disculpable y pasan a conceptualizarse como descuidos imperdonables, como el dejarse las llaves puestas en la cerradura, o como una imprudencia temeraria que conlleva responsabilidad? En los Estados Unidos, una cuestión de seguridad como el utilizar una cuenta de correo electrónico personal para tratar asuntos de estado fue utilizada con profusión por Donald Trump para atacar a su oponente, Hillary Clinton, durante toda la campaña. ¿Qué cabría esperar que ocurriese si hiciésemos una prueba como esta con los miembros del gabinete de gobierno de otros países?

 

Powered by WPeMatico

Más sobre el ransomware

Ransomware y alarmas - Cinco DiasCinco Días me pidió una tribuna sobre el ataque de ransomware de la semana pasada, que titulé “Ransomware y alarmas” (pdf en breve), y que incide exactamente en la misma tesis que ya expuse en opiniones anteriores: el tratamiento mediático del tema es completamente alarmista e injustificado, refleja una enorme (y preocupante) ignorancia en estos temas.

El ataque del pasado viernes no tuvo, en sí, nada de especial. Es un virus vulgar, con un mecanismo de infección aleatorio y nada sofisticado, que utiliza una vulnerabilidad publicada hace algún tiempo – concretamente el pasado marzo, en el dump de Wikileaks sobre la CIA y sus herramientas – y que no debería tener ninguna importancia ni ser más que una simple molestia en cualquier compañía que tenga una mínima rutina de copias de seguridad. No hay ningún tipo de “ataque” dirigido contra nadie en concreto, no hay ninguna amenaza que no estuviese ahí desde hace tiempo, y por supuesto, no hay ninguna ciberguerra (o no más de la que ya había, que no tiene nada que ver con el virus del pasado viernes). Ni esto es algo “especial”, ni ha sido detenido, ni fue el primero de su clase, ni va a ser el último.

Lo más importante de este virus es que separa a las compañías que hacen bien las cosas de las que no lo hacen. Esta mañana me he despertado con un correo interno de una empresa en la que decían que “como no utilizamos Telefonica como red de telecomunicaciones, estamos a salvo”… ¿por favor, cómo es posible tanta ignorancia? El virus se transmite a través de cualquier usuario que haga clic en un enlace infectado, sea de Telefonica o de quien sea, y ninguna compañía está a salvo de que uno de sus usuarios haga clic en el enlace, salvo que someta a sus usuarios a una disciplina que sería más digna de un campo de concentración. La infección es, repetimos, a-lea-to-ria, cuanto más usuarios y ordenadores tengas, más probable es que la contraigas, y lo importante no es que te infectes, sino que sepas qué diablos hacer si te infectas.

En ese sentido, lo que toda empresa tendría que hacer esta mañana es:

  1. Asegurarse de que, en caso de disrupción de un equipo, tienen una copia de seguridad desde la que restaurarlo. Me da lo mismo que la disrupción se produzca por un ransomware o por un martillazo: si un equipo deja de estar disponible, toda su información tiene que poder ser recuperada inmediatamente desde una copia de seguridad. En esto no hay excusas: si lo tienes, bien. Si no, tienes algo mal en tus prioridades.
  2. Instalar la actualización de seguridad de Microsoft que soluciona esa vulnerabilidad. Esa actualización que siendo importante porque era evidente que sería explotada, Microsoft solo ofreció a aquellos usuarios que tenían mantenimiento en activo, pero no a quienes tenían versiones más antiguas de su sistema, a quienes no ofreció parches actualizados hasta el momento de la infección masiva. Al no ofrecer ese parche de manera inmediata e incondicional en su momento, Microsoft se convierte en vector y corresponsable de la infección del pasado viernes. Que Microsoft ahora pretenda echarse las manos a la cabeza y culpar a la NSA no reduce su responsabilidad en este asunto, ni aclara cómo fue el proceso que permitió que la NSA tuviese acceso a esa vulnerabilidad.
  3. Actualizar antivirus y herramientas relacionadas.
  4. Si la infección aparece en un equipo, desconectarlo inmediatamente de la red y comenzar el protocolo. No tratar de ocultarlo como si fuera alguna enfermedad vergonzante, sino todo lo contrario: hablar con todos los proveedores implicados y comunicar con los organismos adecuados por si hubiese algún tipo de novedad en el proceso, borrar el equipo o equipos afectados, y restaurarlos desde la copia de seguridad. Cuanto más transparencia, mejor. Las empresas tienen que entender que el procedimiento de negarlo todo solo empeora las cosas: en el mundo actual, hay cosas que son tan imposibles de evitar como la muerte y los impuestos, y que cuando ocurren, hay que demostrar que se tienen los procedimientos para solucionar los problemas que causan.

Lo mejor de este virus y de la exageración mediática que ha generado es que posiblemente convenza a algunas compañías irresponsables de que esas herramientas que utilizan para hacer su trabajo tienen unas necesidades de mantenimiento y de cuidado que, si no se llevan a cabo, terminan generando una disrupción de los procesos de negocio. Hay demasiadas compañías ahí fuera que no actualizan sus sistemas operativos ni sus antivirus, que no tienen una rutina de copia de seguridad, o que creen que cualquier cosa que les pase va a ser culpa de un tercero. No, a estas alturas, si uno de tus ordenadores se infecta y pierdes datos, la culpa es tuya y solo tuya. Por cenutrio. Y si alguien en tu compañía propone pagar a un extorsionador para recuperar unos datos, piensa que lo único que refleja es que alguien, antes, no hizo bien su trabajo. Ah, y que es muy posible que pagues, y no recuperes nada. Los delincuentes es que tienen esas cosas, a veces simplemente toman el dinero y corren…

Por favor, dejémonos de conspiraciones masivas, de culpabilizar a terceros, de pensar que el virus lo creó un tal Ramón (a ver, hombre… que es muy fácil: ransom quiere decir “rescate” en inglés, eso es todo 🙂 Esto no tiene más cera que la que arde: es un simple virus creado para ganar dinero a costa de incautos que no tienen copia de seguridad de su información, que se distribuye aleatoriamente y que no supone ningún tipo de escalada en ningún sistema de alarma. Nada. Un virus mundano, nada especial, obra de un grupo poco sofisticado, por mucho que se haya distribuido de forma masiva. Lo único que debería hacer es que unos cuantos leyesen un poco más, se informasen mejor, y aprendiesen que la seguridad comienza con la prevención y con una evaluación adecuada de los riesgos. Que nos pongamos como nos pongamos, siempre van a estar ahí.

 

Powered by WPeMatico

Cuando el miedo a lo desconocido pasa absurdamente a pánico injustificado

WanaCryptAyer, los medios vivieron un episodio de esos en los que, claramente, el desconocimiento alimenta el pánico, y terminas hablando de supuestos ataques organizados y hasta de ciberguerra ante un simple virus que se esparce de manera completamente aleatoria y que no debería generar ningún problema si se tiene una mínima rutina de copias de seguridad.

El ransomware es un fenómeno ya muy antiguo: se infecta un equipo con un programa que cifra los contenidos del disco duro, y se reclama un rescate a través de algún medio de pago que permita cierto nivel de anonimato. La infección puede producirse a través de spam o por otros métodos, tratando de conseguir que el usuario abra un enlace que permita la descarga del programa, y buscando posteriormente otros equipos que infectar a partir de ese. Si esa infección se propaga en una red corporativa en la que los antivirus no estén a la última, bien por desidia o por plazos de verificación que a veces se imponen de manera rutinaria, lo único que hay que hacer, si se trata de un sitio serio, es desconectar los equipos infectados, eliminar la infección, recuperar el contenido de esos equipos del servidor de copias de seguridad, y a otra cosa. No hay más problema.

Que aparezca un virus de este tipo en una compañía no es nada infamante ni deshonroso: en cualquier sitio, por actualizadas que estén sus políticas de seguridad, puede ocurrir que una persona haga clic en un enlace o entre en una página que posibilite una infección. Hablando ayer sobre el tema con Marcos Sierra, de Voz Pópuli, que fue ayer el primero en reportar la infección de algunos ordenadores de la red de Telefonica, recurrí a la famosa frase de Gene Spafford, Spaf, que para mí sienta perfectamente bien las bases de lo que es la seguridad informática:

“The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards – and even then I have my doubts.”

(El único sistema verdaderamente seguro es uno que esté apagado, metido en un bloque de hormigón y sellado en una habitación aislada con plomo y con guardias de seguridad – y aún así, tengo mis dudas)

Hoy, Marcos me cita e incluye la frase en su noticia titulada “España no está preparada para una ciberguerra: hablan los expertos“, que no pretende ser un ataque a los protocolos de seguridad del estado español, sino una evidencia: nadie está realmente preparado para algo así. Si alguien tiene suficiente interés en atacar tus sistemas, será capaz de hacerlo. Lo peor que puede hacer es ponerte en la posición de ser un objetivo interesante: presumir ostentosamente de tu seguridad, desafiar a posibles atacantes o simplemente, ser un símbolo de algo puede convertirte en objetivo, y nadie puede superar un ataque específicamente diseñado para ello. Obviamente, esto no debe hacernos caer en el derrotismo y en el “para qué voy a protegerme”, sino todo lo contrario: debemos hacer todo lo que razonablemente esté en nuestra mano para evitarlo, pero sabiendo que el riesgo cero, sencillamente, no existe. Y si ocurre, lo que hay que hacer es ser transparente y arreglarlo lo antes posible, que fue ni más ni menos lo que ayer hizo Telefonica.

Pero lo importante, por supuesto, es entender las diferencias entre lo de ayer – una simple infección aleatoria que llegó a Telefonica y a otras empresas como pudo llegar al patio de mi casa, que es particular – y un ataque organizado, selectivo, o peor aún, una ciberguerra destinada a provocar daños concretos y a comprometer la disponibilidad de infraestructuras críticas. Nada de eso ocurrió ayer: no hubo “países afectados”, ni “empresas paralizadas”, sino una simple infección aleatoria que alcanzó a algunos equipos, y que solo provocó daños a quien careciese de rutinas de copia de seguridad, algo que desgraciadamente aún es habitual a algunos niveles, y que sí debería ser objeto de estudio. No debes tenerle miedo a los virus, a lo que debes tenerle miedo es a las compañías que no se protegen o que no hacen copias de seguridad. Ayer no hubo “ataque a tal o cual compañía”, ni información comprometida, ni peligro para los usuarios, ni nada por el estilo. Solo unos aprovechados intentando ganar dinero con la ignorancia ajena o a costa de quienes no tienen prácticas de seguridad mínimamente adecuadas. Mezclar términos de manera irresponsable al informar no es más que buscar el sensacionalismo y alimentar el pánico, algo nunca recomendable en ningún contexto. Y en seguridad, menos aún.

 

Powered by WPeMatico

Todo es hackeable: segunda parte

IMAGE: Mohammad Izar Izhar - 123RFImagina cómo te sentirías si a eso de las 23:40 de la noche, todas las 156 sirenas del sistema público de alerta de tu ciudad, pensadas para avisar en caso de tornados, huracanes, terremotos y otras emergencias, comenzasen a sonar a la vez, y que siguiesen sonando en intervalos de noventa segundos unas quince veces hasta la 01:20, bien pasada la medianoche. Esto fue, ni más ni menos, lo que Dallas vivió la noche del pasado viernes: toda la ciudad atacada de los nervios, lanzando hipótesis en plena psicosis colectiva que iban desde atentados a ataques con misiles, llamando a sus amigos y familiares, y colapsando los servicios de emergencia con miles de llamadas de teléfono. Finalmente, el motivo resulta ser un ciberataque, una intrusión en el sistema público de emergencia de origen aún desconocido.

Un sistema público de alerta es, obviamente, una infraestructura crítica. El ataque en cuestión, además de provocar que la gran mayoría de los implicados en la gestión del sistema saliesen corriendo de sus casas para tratar de combatir el problema, solo pudo ser detenido mediante la desconexión total de la red de alerta, lo que habría comprometido la posibilidad de dar aviso a la población en el caso de que, por casualidad o de manera intencionada, se hubiese producido un evento susceptible de provocar una alerta real. Además, el ataque disminuye la confianza de los ciudadanos en el sistema, lo que eventualmente puede llegar a provocar problemas si alguien llegase a pensar, en el caso de una emergencia real, que se trata de una falsa alarma más.

Es la segunda vez que utilizo el título “todo es hackeable”, y mucho me temo que no será la última de esa serie: en la entrada anterior, en julio de 2015, hablaba sobre determinados modelos de automóvil fabricados por Jeep cuyo comportamiento podía ser alterado desde un ordenador, poniendo en peligro a sus ocupantes. En aquella ocasión se trataba de un experimento relativamente controlado: los hackers trataban de demostrar a un periodista de Wired, previamente avisado, que aquello era posible, que representaba un escenario real y una vulnerabilidad que alguien, eventualmente, podría explotar maliciosamente para tratar de hacer daño a alguien. Del incidente del viernes en Dallas no sabemos aún prácticamente nada: podría tratarse desde simplemente una travesura, a una manera de avisar de una vulnerabilidad en el sistema de alertas y de demostrar lo que podría ocurrir si no es corregida, a un intento de generar un estado de psicosis en la población con algún tipo de motivación política o reivindicativa, o de muchas posibilidades más. En cualquier caso, la conclusión sigue siendo la misma: a medida que conectamos más y más cosas a la red, tenemos que tener en cuenta que existe la posibilidad de que alguien, sea con las intenciones que sea, pueda acceder a ellas y manipularlas.

Eso es particularmente cierto en el caso de estructuras creadas o diseñadas antes de que este tipo de eventualidades fuesen una posibilidad real. En mi entrada anterior, el vehículo era un Jeep, una compañía tradicional de automoción, que se aventura en la tendencia del vehículo conectado, pero carece presuntamente de una cultura desarrollada en torno a la ciberseguridad porque, sencillamente, no la había necesitado. La ciberseguridad no es algo en absoluto sencillo: exige profesionales con experiencia, con un nivel de actualización enormemente exigente y con lazos con la comunidad de expertos en el tema, porque resulta imposible estar al día en todo. Un profesional de la ciberseguridad tiene que saber que la seguridad total no existe: como dijo el gran Gene Spafford, Spaf, en 1989, “el único sistema verdaderamente seguro es uno que esté apagado, encerrado en un bloque de hormigón y sellado en una habitación con plomo custodiada por guardias armados – e incluso así tengo mis dudas”. Por tanto, su trabajo consiste en, dentro de ese contexto, asumir la seguridad suficiente para que determinados escenarios no tengan lugar, dentro de unos límites razonables y suponiendo un nivel de interés determinado por parte del atacante.

Los hackers no son malvados delincuentes: son personas con un conjunto de habilidades especialmente desarrolladas que les permiten llevar a cabo determinadas tareas. El mítico desarrollador Eric Raymond acaba de escribir un artículo hace unos días actualizando lo que considera la tipología de los hackers, que permite entender un poco mejor cuáles son esas habilidades y con qué ética trabajan: ser un hacker es algo bueno, puede definir a grandes profesionales, y en modo alguno tiene o debe tener ningún tipo de connotación siniestra: una persona que ataca un sistema para provocar un daño no es un hacker, es un delincuente. Las empresas que saben lo que hacen aprenden a reaccionar ante los avisos de vulnerabilidades, y tratan de desarrollar internamente una cultura orientada a la ciberseguridad, porque son conscientes de que se trata de un tema cada día más crítico.

Ante eventos como los del pasado viernes, debemos tratar de reaccionar con serenidad: son una forma de avisarnos de que todo aquello que esté conectado a la red es eventualmente hackeable, y que debemos revisarlo de arriba a abajo para entender a qué posibles riesgos nos enfrentamos, para poder plantear así un balance entre el coste de intentar mejorar su nivel de seguridad y el de un eventual problema derivado de la falta de la misma. El efecto más positivo puede ser el que directivos de toda condición empiecen a plantearse la enorme importancia de este tema, y piensen en cómo implantar una cultura orientada a la ciberseguridad. Este tipo de casos son, simplemente, las consecuencias de un nuevo entorno en el que muchos creadores y gestores de productos y servicios de todo tipo que antes no estaban sujetos a este tipo de problemas aún no se mueven con comodidad. Veremos, me temo, muchos casos más.

 

Powered by WPeMatico

La responsabilidad de quien fabrica una herramienta

NanoCore installation Taylor Huddleston es el creador de un software de administración remota (RAT) muy popular, NanoCore, conocido por haber sido utilizado para una gran cantidad de intrusiones en diversos sistemas denunciadas en al menos diez países.

El pasado diciembre, el FBI entró en su casa, incautó sus ordenadores, y dos meses después, fue denunciado y arrestado, convirtiéndolo en “el hacker que nunca hackeó a nadie“: el desarrollo original de Huddleston nunca estuvo pensado como herramienta de hacking, sino como una herramienta pensada para un uso legítimo, para administradores de sistemas y usuarios que precisan acceder a equipos de forma remota. Originalmente, su autor comunicó la disponibilidad de la herramienta que había creado en un foro, HackForums.net, en el que es habitual encontrar hackers jóvenes en busca de herramientas sencillas para demostrar sus habilidades. Tiempo después, Huddleston, que aspiraba a vender su herramienta a administradores de sistemas y directores de tecnología, afirmó que aquella elección de canal había sido muy mala, porque ese tipo de perfiles no eran en absoluto habituales del foro, y aunque permaneció en el sitio, hay numerosos mensajes suyos en los que advierte a otros usuarios en hilos de conversación de que su herramienta no estaba pensada para actividades ilegales, y que tenía una política de tolerancia cero en estos temas. El celo del desarrollador llegaba incluso a que cuando, a través del foro, se enteraba de que alguien estaba utilizando su software para llevar a cabo intrusiones, deshabilitaba su cuenta para intentar evitarlo. A lo largo del tiempo, Huddleston llegó incluso a eliminar determinadas opciones de su herramienta que permitían, por ejemplo, robar contraseñas o instalar lectores de teclado.

Algunos expertos consideran a Huddleston “el desarrollador de software más ingenuo del mundo”, mientras que el FBI afirma no es así, y que sin lugar a dudas “diseñó el NanoCore RAT con el fin de permitir a sus usuarios cometer intrusiones no autorizadas e ilegales contra sus víctimas”. Pero en realidad, el caso no es muy diferente al de cualquier fabricante de armas que posteriormente pueden ser utilizadas para cometer delitos, por mucho que en la documentación que viene en la caja del arma pueda poner que está pensada solo para hacer prácticas de puntería.

¿Qué responsabilidad tiene alguien que diseña, desarrolla o vende una herramienta cuando una serie de usuarios de la misma la utilizan para fines ilícitos? ¿Tiene algún sentido detener a esa persona, o exigirle responsabilidades por los daño causados por terceros con la herramienta que desarrolló?

 

Powered by WPeMatico

La generalización de las VPN

IMAGE: lculig - 123RFLa reciente decisión de eliminar las protecciones a la privacidad de los usuarios de internet de la mayoría republicana en el congreso y el senado norteamericanos y permitir a los proveedores de acceso, auténticos ganadores de la batalla, comerciar con los datos de navegación de sus clientes, va a provocar un importante incremento del uso de una herramienta, las redes privadas virtuales o VPN, que desde hace tiempo deberían formar parte de la caja de herramientas habitual de todo usuario de internet.

La resolución gubernamental norteamericana desprotege completamente al usuario, y es una impresionante prueba de hasta qué punto el dinero juega un papel importante en la política norteamericana: hablamos de compañías que han literalmente adquirido esta ley pagando directamente a una lista de congresistas y senadores, en una auténtica normalización de una corrupción que no por constar de manera supuestamente fidedigna en un registro deja de ser menos vergonzante. Ningún ciudadano de los Estados Unidos razonablemente informado consideraría esa medida como algo bueno o positivo para sus intereses, porque únicamente sirve para legitimar un negocio de venta de sus intereses y hábitos de navegación por parte de las empresas de telecomunicaciones.

¿Es importante esto fuera de los Estados Unidos? Aparentemente, las empresas de telecomunicaciones de otros países como España parecen estar tomando decisiones sensiblemente más avanzadas en cuanto a la gestión de la privacidad de sus usuarios, aunque en este tema pueda aún quedarnos mucho por ver y por demostrar, y esa trayectoria pueda verse afectada por la deriva norteamericana de desprecio total a la privacidad. Más allá de un “cuando las barbas del vecino veas pelar…”, sin embargo, cabe pensar que nos encontramos ante una evolución que va a afectar a los principales actores de internet – dado el protagonismo en este ámbito de las compañías norteamericanas – y que, mientras no medien cambios en la manera en que los principales actores de la red protegen a sus usuarios, deberíamos ir preparándonos para un escenario sensiblemente diferente, en el que todo lo que hacemos está directamente en venta al mejor postor.

¿Puede la tecnología protegernos de un escenario así? Pese a los alarmantes titulares de alguna publicación habitualmente bien informada al respecto, parece claro que, cuando menos, puede contribuir. Comenzando por la instalación de HTTPS Everywhere, siguiendo por plantearnos el uso de Opera como navegador, y continuando con la elección de una VPN adecuada. En este sentido, ayudará el ser consciente de que una VPN va a suponer un gasto adicional que añadir a nuestra conexión a internet, pero que seguramente sea un gasto muy bien justificado. A día de hoy, el simple hecho de utilizar una WiFi pública o compartida con usuarios desconocidos nos expone a un riesgo suficientemente elevado como para que nos planteemos no salir de casa sin la VPN preparada para entrar en acción. Yo hace ya bastantes años que no lo hago, y la idea de que no somos personas especialmente importantes o sensibles para ser espiadas no debería engañarnos en ese sentido: todos, en algún momento, intercambiamos a través de nuestra conexión datos susceptibles de ser utilizados para meternos en algún lío, cuando no directamente peligrosos y codiciados.

Para escoger una VPN, recomiendo la comparativa que todos los años lleva a cabo TorrentFreak: la idea no es simplemente que la VPN cifre nuestros datos, sino que además, esté realmente dispuesta a protegernos mediante prácticas como la de no retener esos datos en un registro. Esto obliga a confiar en proveedores o bien radicados en países que no obliguen a dicha retención de datos, o bien que tengan una mentalidad y cultura empresarial inequívocamente opuesta a ello. Hay de todo: desde proveedores orientados claramente al anonimato, hasta otros especializados en proteger actividades como el intercambio de archivos en redes P2P, y por eso es importante tener en cuenta que las VPN son prácticamente siempre mejores cuando son de pago y no gratuitas – gestionar una VPN cuesta dinero, hay que mantener nodos en un número razonable de países para ofrecer una conexión con una latencia adecuada, hay que estar muy al día en seguridad, etc. – y que tampoco parece muy recomendable optar por un proveedor que parezca muy inclinado a permitir prácticas que puedan ser consideradas delictivas, dado que eso añade la posible inestabilidad de que en algún momento caiga por ser objeto de algún tipo de demanda.

Con esos pronunciamientos, creo que es importante entender que las VPN van a convertirse cada vez más en una herramienta necesaria para moverse por la red, y que si no lo habéis hecho aún, sería buena cosa que comenzaseis a estudiar el panorama y a plantearos optar por alguna en concreto, porque esto posiblemente redunde en un nuevo mapa competitivo. Dado que muchas VPN ofrecen contratos a largo plazo, en muchas ocasiones de más de un año, contar con una de confianza y con un funcionamiento ya probado puede ser una buena manera de comenzar. Como ya comentamos hace mucho tiempo, internet está evolucionando para convertirse en una red en la que la inmensa mayoría del tráfico va a circular permanentemente cifrado, en una calle por la que todos circulamos con la cara tapada, y no parece que haya ningún remedio que vaya a impedir que esto sea así. Pronto, los únicos que circularán por la red exponiendo sus datos serán aquellos suficientemente ignorantes como para no saber protegerse, que serán las víctimas de todo tipo de prácticas abusivas y, posiblemente además, los más expuestos a la delincuencia. Yo tendría cuidado y procuraría no quedarme en ese grupo…

 

Powered by WPeMatico

No cierres los ojos

IMAGE: Imageflow - 123RFSingapur, la ciudad-estado que funciona prácticamente como una empresa familiar, comenzará la recogida de escáneres de iris de todos sus ciudadanos como parte de un programa de registro nacional de ciudadanos y residentes permanentes. La ciudadanía de Singapur, debido a los privilegios que ofrece y a la baja fiscalidad del país, es considerada un bien preciado, y los escáneres de iris, unidos a las huellas dactilares y a la fotografía, serán utilizados como un elemento más en la identificación, como forma de mejorar la eficiencia de los servicios y la seguridad. Para la recogida, además de los puntos de expedición de documentos de identificación, se utilizarán empleados y oficinas del servicio postal.

Desde el año 2001, los Emiratos Árabes Unidos utilizan un sistema basado en el escáner de iris para el control del acceso al país. Actualmente, el sistema es utilizado en diecisiete puntos de acceso al país por tierra, mar o aire, y procesa la entrada de más de 6,500 viajeros diarios que son comparados contra una base de datos de 420,000 IrisCodes de personas que fueron en algún momento expulsadas por delitos de diversos tipos y que tratan de volver a entrar utilizando documentación falsa, con un índice de fiabilidad elevadísimo en el que prácticamente no se dan falsos positivos.

En la India, los escáneres de ambos iris, junto con las diez huellas dactilares y la fotografía son datos incorporados al Aadhaar, el sistema de identificación nacional para sus ciudadanos.

La consideración y percepción de la tecnología como madura es cada vez más clara, lo cual, unido a su escasa intrusividad, a su facilidad de uso y a su balance entre ventajas e inconvenientes, implica que su utilización, sin duda, va a seguir incrementándose.

De la ciencia -ficción al uso regular, en un simple parpadeo. Ya sabes: no cierres los ojos.

 

Powered by WPeMatico

La red distribuida ya no es invulnerable

Map of the outages (Downdetector.com)

Los ataques de ayer sobre sitios norteamericanos clave en la infraestructura de internet dejan claras varias cosas: la primera, que desde el supuesto origen de internet en los años ’60 como proyecto militar de red distribuida que conformase un conjunto difícil de atacar, hemos tardado más de cinco décadas en crear una manera viable y relativamente sencilla de tumbarla.

Desde el punto de vista de un europeo, los ataques de ayer pueden haber parecido relativamente poca cosa: esta página estuvo caída o con acceso irregular durante aproximadamente dos horas, que simplemente me tomé con filosofía sabiendo que las causas no estaban en ninguna cuestión atribuible a mi servidor y no había, por tanto, nada que pudiese hacer al respecto. Pero el mapa de los ataques, que provocaron problemas de acceso en sitios como Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud o The New York Times entre otros, y su modus operandi deja claro que se trataba de una fase más en los ensayos que alguien está llevando a cabo para conseguir un auténtico kill switch para internet, una forma de que toda la red deje de funcionar completamente de manera coordinada.

La constatación del ataque eleva a Bruce Schneier a la categoría de auténtico profeta: el investigador norteamericano fue la única persona que lanzó en su página, ahora hace algo más de un mes, la alerta de que alguien estaba tratando de aprender cómo tumbar internet. De hecho, vinculó ese proceso de aprendizaje paulatino con los ataques a la página de otro investigador norteamericano especializado en seguridad, Brian Krebs, en los que se empleó la misma metodología, un tema sobre el que Schneier lleva alertando desde nada menos que el año 2014: una explotación de vulnerabilidades no en ordenadores, sino en dispositivos conectados a la llamada internet de las cosas, tales como grabadores digitales, cámaras, monitores de bebés o routers domésticos. Concretamente, el ataque parece provenir de la combinación de dos factores: por un lado la compañía china XiongMai Technologies, cuya línea completa de dispositivos, vendidos en todo el mundo y completamente vulnerables, fueron con bastante probabilidad los utilizados para llevar a cabo el DDoS, y por otro, Mirai, el malware utilizado para coordinar esos dispositivos.

Trazar el origen de los ataques puede resultar enormemente complejo. Podría tratarse de una escalada más en la ciberguerra entre los Estados Unidos y Rusia que el vicepresidente Biden evidenció con sus declaraciones tras considerar probado el papel del gobierno de Vladimir Putin en el origen de los ataques a la convención nacional demócrata y en la revelación de los correos electrónicos de Hillary Clinton, podría ser algo completamente diferente, una represalia de seguidores de Wikileaks por el corte del acceso a internet de Julian Assange en la embajada ecuatoriana, o incluso tener algún otro origen desconocido, pero la sensación de que la base sobre la que llevamos años edificando cada vez más partes de nuestra vida puede ser objeto de un ataque global que inhabilite completa y globalmente su uso resulta profundamente intranquilizador. Y ante esto, además, no hay Plan B. No, no hablamos de un poco de ansiedad por no poder ver Twitter… hablamos de no poder pagar en sitios, de no tener acceso a contenidos, de problemas en la coordinación de los servicios básicos, de interrupción de comunicaciones fundamentales… de problemas verdaderamente graves. El mundo, hoy, funciona gracias a internet.

La estabilidad de internet, en peligro por algo que podría haberse evitado tomando las medidas oportunas en su momento. Vendemos dispositivos fabricados por compañías completamente irresponsables, y los ponemos en manos de millones de personas suficientemente ignorantes como para asumir la responsabilidad de protegerlos. ¿Qué podría salir mal?

 

Powered by WPeMatico

La internet de las cosas inseguras

The Internet of Insecure ThingsEl pasado 23 de septiembre, la página de Brian Krebs, periodista e investigador especializado en seguridad, fue víctima de un ataque distribuido de denegación de servicio (DDoS).

Hasta aquí, todo – relativamente – normal: estos ataques son tristemente habituales en la web tanto con propósitos lícitos como la protesta organizada (el equivalente a una manifestación en la calle), como ilícitos (silenciar una opinión, hacer chantaje, etc.), hasta el punto de que existen servicios de “alquiler” de botnets para llevarlos a cabo. El que Krebs cubra en ocasiones las prácticas habituales de los ciberdelincuentes, lo que reduce su aplicabilidad y les fuerza a buscar nuevas metodologías, lo convierte en una víctima habitual.

En este caso, no obstante, existe una peculiaridad interesante: el ataque fue de una magnitud insospechadamente elevada, más del doble de los que se habían visto hasta el momento, y una gran cantidad de los dispositivos que lanzaban peticiones a la página no eran ordenadores, sino algo diferente: cámaras de vigilancia, grabadores digitales de vídeo, routers domésticos y otros objetos conectados a eso que se ha dado en llamar la internet de las cosas (IoT). Un software en concreto, conocido como Mirai, recopiló 68 pares de usuario y contraseña genéricos utilizados en dispositivos de este tipo que aparecían fácilmente disponibles y que no obligaban al usuario a hacer ningún tipo de cambio, lo que los convertía en muy fácilmente vulnerables. Es la llamada Internet de las Cosas Inseguras, de la que llevamos hablando ya algún tiempo.

No es la primera vez que asisto a un ataque de este tipo originado por delincuentes que quieren evitar que un procedimiento o método para cometer delitos sea revelado: en un primer momento, es habitual que todos los implicados traten de hacer un “sálvese quien pueda”: Akamai, que ofrecía a Krebs su hosting gratuitamente, tuvo primero la intención de dar de baja el sitio ante los problemas – y el dinero – que les estaba causando, hasta que se dieron cuenta de que ese movimiento no iba a ser demasiado inteligente de cara a su imagen, y tuvo que terminar siendo Google con su Project Shield quien ayudase a mitigar el efecto del ataque. En el post-mortem del ataque se ve como, efectivamente, los protagonistas del mismo fueron mayoritariamente dispositivos conectados en la zona EMEA, y cómo el ataque, visto así, fue relativamente sencillo de organizar, mucho más que lo que es, en nuestros días, tomar control de ordenadores convencionales. Que fuese tan sencillo, de hecho, escala notablemente el problema: como dice el gran Bruce Schneier, resulta fundamental salvar internet de la internet de las cosas, porque silenciar a alguien nunca fue tan sencillo y tan barato como ahora. Vivir en un mundo donde cualquiera puede dedicarse a amenazar, chantajear o callar a quien quiera no es bueno para nadie.

Resulta difícil ser consciente en temas relacionados con la seguridad: tendemos a asociar los riesgos con nosotros mismos, a minimizar su probabilidad, y a pensar que con hacer una buena instalación ya hemos hecho nuestra parte, cuando la realidad es que en muchos casos, esos dispositivos pueden dejar mucho que desear en cuanto a sus estándares y, en ocasiones, cometen barbaridades tales como dejar contraseñas por defecto en lugares fácilmente visibles. La brutal heterogeneidad de fabricantes, protocolos y compañías que hay en este momento detrás del ecosistema IoT parece que va a llevar a que se intente regular desde los organismos públicos, lo cual no siempre estoy seguro de que sea una buena idea y probablemente se convierta en una parte más del problema. Poner un ordenador en cada cerradura, termostato, bombilla, automóvil y todo lo que se nos ocurra puede aportar muchísimo valor, comodidad y conveniencia, pero no debemos olvidarnos de que es precisamente eso, un ordenador conectado, con capacidad no solo para provocarnos problemas a nosotros como usuarios, sino también a muchos otros.

Krebs, como víctima, habrá pasado unos cuántos días muy malos – no es agradable ver cómo el trabajo de una vida profesional, tu página web, es víctima de los ataques de aquellos contra los que intentas luchar y denunciar – pero después de todo, es un periodista especializado en el tema, lo cual le facilitó no solo obtener la visibilidad adecuada, sino también la comprensión de la escala del tema y el apoyo de los socios necesarios para poder resistir. Pero sin duda, no va a ser el único ataque con estas características. No, la seguridad no es una tarea fácil. Pero cada día más, es una tarea de todos.

 

Powered by WPeMatico

Samsung y la gestión de crisis

IMAGE: IQoncept - 123RFMi columna en El Español de esta semana, titulada “El precio de un error“, está inspirada en el momento en que, al inicio de un viaje en avión el pasado miércoles, me encontré con una variación en los ya prácticamente familiares avisos de seguridad, esos que cuando vuelas con relativa asiduidad casi podrías repetir de memoria.

La variación se refería únicamente a un producto de una marca, el Samsung Galaxy Note 7, y estaba basada en la advertencia de seguridad de la FAA norteamericana, seguida inmediatamente por la European Aviation Safety Agency (EASA) e incorporada inmediatamente a las prácticas de la gran mayoría de las aerolíneas, que pasan a advertir a los posibles usuarios de estos terminales de que están obligados a tomar una serie de precauciones con ellos (dependiendo de la aerolínea), desde directamente no llevarlos a bordo, hasta cuestiones como no introducirlos en el equipaje facturado, no encenderlos o no cargarlos. 

El contenido textual de la locución de seguridad, en el caso de Iberia, es el siguiente:

Recomendamos encarecidamente a todos nuestros pasajeros que mantengan cualquier Samsung Galaxy Note 7 completamente apagado y desconectado de cualquier tipo de toma de corriente mientras se encuentre a bordo de nuestros aviones. Este tipo de aparatos debe mantenerse fuera del equipaje facturado o que se envíe a bodega durante el embarque. Les recordamos la necesidad de informar inmediatamente a la tripulación de cabina cuando un aparato electrónico resulte dañado, se sobrecaliente, desprenda humo, se pierda en cabina o caiga dentro de la estructura de un asiento. En este caso, es importante no accionar las partes móviles del asiento para evitar aplastar el aparato. Muchas gracias por su cooperación.

La naturaleza del problema, una batería excesivamente grande para el hueco que tenía destinado y que, ante la posible presión de la carcasa, puede recalentarse, arder o explotar, convierte el problema en algo que pasa del ámbito mediático, simplemente leer en los medios que Samsung ha tenido un problema con uno de sus productos, a algo concreto, visible y tangible, a una advertencia en un avión referida a un producto concreto de una marca líder que se enfrenta a una siempre compleja retirada global de un terminal, con un coste logístico y de sustitución de productos estimado en torno a los mil millones de dólares y que no incluye la posible erosión en términos de imagen.

Obviamente, este tipo de mensajes y recomendaciones de seguridad tienen un efecto complejo. Para el personal de una aerolínea, la posibilidad de fiscalizar qué model de smartphone lleva cada viajero no resulta posible en términos operativos, y mucho menos aún la de discernir, ante un Galaxy Note 7 concreto, si es “de los peligrosos o ya de los seguros”. La advertencia es, únicamente, una información a los pasajeros para que opten voluntariamente en consecuencia, e imagino que permanecerá ahí hasta que Samsung consiga demostrar que la retirada de las unidades defectuosas ya ha tenido lugar a nivel global, incluyendo la desactivación remota de las que no hayan podido ser recogidas.

¿Cómo afrontar, desde el punto de vista de gestión de crisis, el que los usuarios vean cómo una aerolínea trata tus productos casi como si fueran una bomba? El caso de Samsung y el Galaxy Note 7 es, sin duda, uno de los ejemplos más relevantes de gestión de crisis en el ámbito de la electrónica de consumo que hemos vivido en mucho tiempo. La gestión de la marca, que tomó la decisión de retirada global y que está tratando de llevarla a cabo de la manera más rápida y eficiente posible, se ha encontrado con problemas de todo tipo, desde la ausencia inicial de una declaración oficial que prohibiese la comercialización del producto por cualquier canal, hasta cuestiones teóricamente más puntuales, como el hecho de modificar el color del icono de la batería de gris a verde para identificar los nuevos terminales seguros, pero encontrarse con que esa modificación incumple las condiciones marcadas por Google en las especificaciones de Android. Ahora, la marca se centra en solucionar logísticamente la retirada al tiempo que parece intentar que se hable del tema lo menos posible, para que pase a considerarse rápidamente un episodio del pasado, algo ya amortizado en términos de imagen. ¿Es la decisión correcta? Este tipo de decisiones, sin duda, son siempre mucho más complejas de lo que parece.

Pero lo más importante está aún por saber: ¿cómo reaccionará el mercado frente a los productos de la marca? ¿Cómo evolucionarán las ventas del Galaxy Note 7 tras la resolución del problema? ¿Es un modelo prácticamente perdido para una Samsung que esperará al lanzamiento del siguiente en la serie para evaluar la dimensión del problema, o los usuarios seguirán confiando en la marca y planteándose el producto, tras el problema, como una alternativa normal, interesante y sin riesgo, simplemente con una batería de menos prestaciones, como parecería normal hacer? ¿Necesitará rebajar el producto para incentivar su compra tras la crisis? Hablamos de una de las marcas más grandes e influyentes dentro de la escena tecnológica, sin duda capaz de recuperarse tras una crisis como esta, pero… ¿cómo de racionales son este tipo de decisiones colectivas?

 

Powered by WPeMatico