Category Archives: White House

Auto Added by WPeMatico

Pescando en la Casa Blanca

IMAGE: Selman Amer - 123RFUn grupo de periodistas de Gizmodo tuvieron una idea aparentemente absurda y sin duda peligrosa, pero que tengo la impresión de que podría convertirse en relativamente habitual en otros contextos: tratar de lanzar un ataque de phishing a quince personas del equipo directo de Donald Trump en la Casa Blanca.

El phishing es uno de los mecanismos más habituales de robo de información en la red: típicamente, se envía al usuario un correo electrónico desde una cuenta simulada que le genere confianza, en el que se le solicita que haga clic en un enlace que le presenta una página, igualmente simulada, en la que introducir su usuario y contraseña de un servicio determinado. A principios de mayo, un esquema de phishing muy sofisticado y convincente con la apariencia de un mensaje de invitación a un documento de Google Docs logró que varios miles de usuarios le entregasen sus nombres de usuario y contraseñas de Google, y le diesen acceso a sus contactos para extender el ataque más aún. Las estadísticas de 2016 afirman que un 85% de las compañías han sido objeto de ataques de phishing, y que alrededor de un tercio de los mensajes de phishing son abiertos por el usuario.

El ataque planeado por Gizmodo utilizaba un esquema bastante conocido, comentado bastante recientemente al hilo del episodio de Google, y fue estructurado como un test de seguridad, con la idea de poner a prueba los conocimientos en este tipo de cuestiones del equipo presidencial de un Donald Trump que ha sido etiquetado por muchos como un profundo desconocedor del entorno tecnológico. Desde la publicación, se enviaron correos electrónicos a quince miembros del equipo presidencial, desde direcciones de correo electrónico simuladas – sin ningún tipo de sofisticación, sin ni siquiera ocultar la dirección real – que utilizaban nombres de personas de su confianza, como otro miembro del equipo, un conocido o su pareja. En ese sentido, el ataque se tipifica como un phishing unido a un esquema de hacking social, lo que pasaría a considerarse un targeted attack, un ataque con un objetivo concreto, que va más allá de los esquemas más habituales y básicos que utilizan simplemente direcciones aleatorias.

De los quince receptores del correo de Gizmodo, siete ignoraron completamente el mensaje, pero otros ocho accedieron a la página solicitada en menos de diez minutos tras el envío, lo que podría indicar que no consultaron a ningún experto en seguridad o miembro del equipo de tecnología antes de hacerlo. Dos personas, además, contestaron el correo electrónico pensando que la identidad falsa era real, ante lo que Gizmodo decidió no continuar con el esquema (en lugar de continuar con un segundo correo que siguiese intentando obtener su objetivo). Según la publicación, ninguno de los receptores llegaron a introducir su usuario y contraseña en la página falsa, y además, se desconoce cuántos de ellos podrían tener activada la verificación en dos pasos, que incrementa la seguridad incluso en caso de captura del par usuario – contraseña añadiendo una verificación más a través de un número enviado a un dispositivo o de una autenticación adicional mediante huella (es la que utilizo yo, y es verdaderamente cómoda, muy poco engorrosa y francamente recomendable), algo que parece una precaución más que lógica y razonable en ese tipo de ámbitos y niveles de responsabilidad. La idea era poner a prueba y documentar la educación en seguridad del equipo del presidente, pero – se supone – no ir más allá.

Algunos afirman que la jugada de Gizmodo podría conllevar una denuncia por infracción de la Computer Fraud and Abuse Act (CFAA), aunque la publicación afirma que para evitar esa acusación, el diseño del experimento se hizo de manera que no habría permitido conocer el usuario y la contraseña introducida, sino simplemente constatar que la habían introducido. Por el momento, la Casa Blanca no ha cursado denuncia alguna. 

¿Qué ocurriría en tu compañía si se enviase un correo de ese tipo, desde una cuenta que simulase la de un compañero o un familiar? ¿Cuántos caerían y suministrarían su usuario y contraseña? ¿Puede este tipo de tests convertirse en una manera de evaluar la cultura en seguridad en las organizaciones? ¿Deberíamos pensar en convertir en habituales pruebas de este tipo en nuestra compañía, como forma de detectar vulnerabilidades o educar en seguridad? Y desde mi punto de vista, en todo este tipo de cuestiones subyace una pregunta importante: la seguridad informática y las infracciones a la misma aún es vista por muchos como algo “de expertos”, como una cuestión disculpable, una falta menor. Aún nos parece relativamente normal y hasta disculpable que una persona facilite su contraseña a otra, o que la tenga pegada en un post-it en la pantalla del ordenador. ¿En qué momento cuestiones de ese tipo, como responder a un correo de phishing, dejan de ser consideradas como algo disculpable y pasan a conceptualizarse como descuidos imperdonables, como el dejarse las llaves puestas en la cerradura, o como una imprudencia temeraria que conlleva responsabilidad? En los Estados Unidos, una cuestión de seguridad como el utilizar una cuenta de correo electrónico personal para tratar asuntos de estado fue utilizada con profusión por Donald Trump para atacar a su oponente, Hillary Clinton, durante toda la campaña. ¿Qué cabría esperar que ocurriese si hiciésemos una prueba como esta con los miembros del gabinete de gobierno de otros países?

 

Powered by WPeMatico

La transformación digital y las señales de alarma

Old computers Echa un ojo al artículo sobre la modernización tecnológica de la Casa Blanca, una de las cuestiones que la administración Obama espera legar al futuro tras considerar que la tarea de gobernar el país más poderoso del mundo no podía llevarse a cabo de ninguna manera con viejos monitores de tubo, teléfonos de sobremesa que ya prácticamente nadie en la casa sabía programar, redes de conexiones que se caían a cada momento o metodologías y flujos de información basadas en tecnologías del siglo pasado. Sí, cuando hablamos de transformación digital, de cambios metodológicos y de adaptación de las empresas y de sus trabajadores al entorno que les rodea, debemos tener en cuenta que la mismísima Casa Blanca, el sitio donde se toman algunas de las decisiones más importantes del mundo, estaba en ese lamentable estado. ¿Está tu compañía en una situación similar?

Después, lee las noticias sobre la filtración a la red, en abierto, de la base de datos que contiene la información personal (nombre, apellidos, número de documento nacional de identificación, domicilio completo, nombres de los padres, ciudad y fecha de nacimiento… ) de la totalidad de los cincuenta millones de ciudadanos de Turquía. Vaya, parece que la Casa Blanca no era el único gobierno del mundo en no tener sus sistemas puestos al día y en estado de revista. Y no creas lo que te dice el responsable de seguridad: las cosas no se arreglan sermoneando a tus empleados para que pongan contraseñas que contengan signos, mayúsculas, minúsculas y sonidos guturales y que cambian cada quince días… los sistemas que para aspirar a utilizarlos de manera segura nos obligan a hacer cosas rarísimas e infumables no tienen ningún sentido. A lo mejor es una cuestión menos de recetas mágicas, y más de didáctica…

Y ahora, plantéate la posible relación entre una cosa y otra, y cuándo, porque si no haces nada es simplemente una cuestión de tiempo, una cosa así va a ocurrir en tu compañía. Llevamos años posponiendo reformas absolutamente necesarias en nuestras empresas. Cada vez que me encuentro con alguien que entra en mi página con Windows XP, un sistema operativo del año 2001 que ya no recibe ni soporte, me encuentro en la tesitura que, en realidad, pedir a esos usuarios que actualicen su sistema para poder entrar en mi página es chocar con las absurdas e inconscientes políticas corporativas que los mantienen en la edad de piedra tecnológica y completamente vulnerables ante cualquier delincuente digital de medio pelo. No, lo más normal es que no sean los empleados, sino alguna absurda gestión de prioridades sin criterio decidida por algún directivo que aún cree que los ordenadores son simples máquinas de escribir sofisticadas lo que los mantiene en tan lamentable estado. Si apilas la tecnología de tu empresa en un montón… ¿te queda algo como lo de la fotografía, listo para que se lo lleven al Punto Limpio más cercano? ¿Tienen la mayoría de tus empleados mejor tecnología en sus casas y en sus bolsillos de la que tú les das para que hagan su trabajo?

Y no, transformación digital no es simplemente actualizar tus sistemas, tirar los viejos y comprarlos nuevos. Ese error ya lo hemos cometido antes. No es (solo) cuestión de hardware y software. Es repensar completamente tus flujos de información y tus dinámicas de trabajo para tratar de exprimir todo lo posible las ventajas de la digitalización. Es evitar que la información emprenda viajes sin retorno para fosilizarse sobre pedazos de árboles muertos. Es estar dispuestos a cambiar procedimientos seculares, a enfrentarse a actitudes del tipo “es que siempre se ha hecho así”, a dinámicas sociales absurdas de presentismo o a requisitos anacrónicos que nadie ha revisado desde hace décadas, y ser capaz de abrir la mente a posibilidades que, seguramente, ni se te hayan pasado por la imaginación. Es plantearte en qué lugar queda tu compañía cuando alguien con una perspectiva externa la mira desapasionadamente y dice eso de… ¿pero de verdad hacéis aún las cosas así? ¿Cómo plantearte atraer talento, o siquiera retener a los buenos, si en tu compañía os seguís dedicando a mover papeles de un sitio a otro y trabajando igual que hace diez, quince o treinta años? ¿Podrías explicarle a un adolescente cómo se trabaja en tu compañía sin que te diera vergüenza? ¿Podría ese adolescente proponer mejoras en tus metodologías y esquemas de trabajo simplemente basándose en la más pura lógica y sentido común de quien las piensa desde una mentalidad abierta? Transformación digital es replantear tu negocio con una óptica nueva y filtrarlo a través del tamiz de las posibilidades que ofrece la tecnología actual.

No es tarea sencilla, no es para explicarlo en dos tardes, y no está al alcance de cualquiera. Pero hay que ponerse con ello. Ya. No mañana, ni al otro. Ya. La brecha entre tu compañía y la realidad crece cada día. Si desoyes las señales de alarma, hazlo a tu propio riesgo…

 

Powered by WPeMatico