Principales ataques de seguridad en 2011

A través de CSO España, el portal del grupo IDG de información y recursos para el Responsable de Seguridad, hemos conocido cuales han sido los ataques de malware y fallos de seguridad más destacados en el año 2011.

Fuente: CSO España (http://www.csospain.es)

Link a la noticia original: http://www.csospain.es/Principales-ataques-de-seguridad-en-2011/seccion-Actualidad/noticia-116674

Según este resumen (elaborado por BitDefender), esta ha sido la cronología de 2011:

• Enero: Las estafas para redes sociales se vuelven móviles
• Febrero: Downadup, el virus más activo del año
• Marzo: Likejacking, una nueva amenaza para redes sociales
• Abril: Los eventos y el etiquetado de fotos en Facebook, fuentes de peligro
• Mayo: La muerte de Bin Laden utilizada para propagar troyanos bancarios
• Junio: Los hackers asaltan a los gigantes de los videojuegos
• Julio: Jay Leno, la celebridad de Hollywood más mencionada en el spam
• Agosto: 20.000 credenciales de agencias gubernamentales de Estados Unidos filtradas
• Septiembre: 11-S los ciberdelincuentes también tratan de sacar partido de la tragedia
• Octubre: La conferencia de seguridad VB 2011, usada para distribuir malware a través de Twitter
• Noviembre: La pornografía toma Facebook
• Diciembre: Un "dialer" a la cabeza de las infecciones en dispositivos Android

30 de noviembre: Día Internacional de la Seguridad de la Información (Nota de prensa AEPD)

Desde 1988, cada 30 de noviembre, se celebra el "Día Internacional de la Seguridad de la Información".  Instituciones y Organismos aprovechan esta fecha para concienciar sobre la importancia de la seguridad de los datos y los sistemas que los albergan.

A continuación transcribo la nota de prensa publicada hoy por la Agencia Española de Protección de Datos (AEPD) con motivo de esta jornada.

En el marco del Día Internacional de la Seguridad de la Información

La AEPD reclama que empresas, organizaciones y ciudadanos asuman la seguridad de la información en el uso de las Nuevas Tecnologías como una prioridad

(Madrid, 30 de noviembre de 2011). Hoy se celebra el Día Internacional de la Seguridad de la Información, un evento anual que se lleva a cabo el 30 de noviembre desde el año 1988 y tiene por objetivo concienciar acerca de la importancia de la seguridad de la información en el uso de las Nuevas Tecnologías.

Con motivo de esta celebración, la AEPD hace un llamamiento a empresas y organizaciones públicas para que afronten la seguridad de la información en Internet como algo prioritario en el desarrollo de su actividad. En este sentido se recuerda que -al igual que en el mundo off-line-, en el uso de las Nuevas Tecnologías, empresas y organizaciones deben respetar las obligaciones en materia de seguridad y confidencialidad de los datos personales establecidas en la legislación de protección de datos, teniendo un grado de diligencia específica para evitar vulnerabilidades o accesos no autorizados en los servicios prestados a través de Internet.

La AEPD junto con el resto de Autoridades de Protección de Datos de la UE han trabajado activamente para que el proceso de revisión de la Directiva de Protección de Datos del 95, actualmente en curso, que tiene como objetivo adaptar sus disposiciones al mundo de las nuevas tecnologías, introduzca nuevos principios, como la noción de privacidad desde el diseño o “privacy by design”. Este principio exige la realización de un análisis escrupuloso de las implicaciones que un servicio -antes de ofrecerlo a los usuarios- tiene para la privacidad y la adopción de las medidas necesarias para garantizar la seguridad de los datos personales.

Por otra parte, se recuerda que tanto la AEPD como otras Autoridades de Protección de Datos vienen reclamando y exigiendo a la industria y a las empresas que prestan sus servicios a través de Internet, y especialmente a los prestadores de servicios de redes sociales, que establezcan por defecto los parámetros de configuración más garantistas y respetuosos con la privacidad de sus usuarios.

Se acaban las direcciones IPv4. ¡Bienvenido IPv6!

Hace unas semanas tuve la ocasión de asistir a una de las Jornadas de Formación IPv6 organizadas por 6DEPLOY como parte del "Plan de fomento para la incorporación del protocolo IPv6 en España" (aprobado por el Consejo de Ministros de 29 de abril de 2011).

Las Jornadas las está impartiendo Jordi Palet, CTO de Consulintel, experto mundial en IPv6 que ha colaborado junto con otros expertos en la edición del libro "IPv6 para todos. Guía de uso y aplicación para diversos entornos" (descargable en PDF desde la web de The IPv6 Portal).

Otra de las medidas aprobadas en el citado Plan de fomento consistía en la creación de un portal específico sobre IPv6 "que contendrá información explicativa y didáctica de carácter técnico sobre IPv6 y recogerá noticias relevantes de organizaciones de referencia en materia de IPv6 en el ámbito internacional ...".  La dirección de este portal es:

http://www.ipv6.es/

Cuando se adoptó IPv4, en 1983, Internet (que hasta entonces era ARPANET) servía para interconectar diferentes universidades y algunos organismos militares.  IPv4 proporciona más de cuatro mil millones de direcciones de 32 bits distintas (exactamente 2^32 = 4.294.967.296), cifra que -en aquellos años- nadie pensó que iba a ser insuficiente.

IANA (Internet Assigned Numbers Authority) es el organismo que reparte las direcciones IP y está organizado en 5 registros regionales:

RIPE NCC (Europa y Oriente Medio)

APNIC (Asia/Pacífico)

AfriNIC (África)

ARIN (Norteamérica)

LACNIC (Latinoamérica y Caribe)

Cuando un Registro necesitaba más direcciones, solicitaba nuevas IP a IANA, que las repartía en bloques "/8" (prefijos de 8 bits, o lo que es lo mismo 2^24 = 16,6 millones de direcciones por bloque).  El 3 de febrero de 2011, IANA repartíó los últimos 5 bloques "/8" que le quedaban, un bloque para cada región.

APNIC, que provee a países como China o India, en un mes "gastó" 24 millones de direcciones IP, agotando todas sus direcciones antes de verano de este año.  A finales de 2011 o principios de 2012 se prevé que se agoten en Europa (RIPE NCC) y unos 6 meses después en Norteamérica (ARIN).  AfriNIC y LACNIC aún dispondrán de direcciones IPv4 durante unos 2 años.

No obstante, aunque ni IANA ni los Registros regionales no dispongan de más direcciones IPv4 para entregar, no significa que se hayan agotado completamente, ya que los ISP podrían tener muchas de ellas guardadas, sin asignar.

Aún así, la adopción de IPv6 debe realizarse cuanto antes.  Si bien este protocolo está disponible desde 1999, su proceso de despliegue ha sido muy lento.  Si en Asia/Pacífico (donde ya no disponen de direcciones IPv4) empiezan a desplegar servicios y soluciones solo-IPv6, los usuarios de solo-IPv4 no tendrán acceso a esos servicios.  Igualmente, aunque en Latinoamérica o África aún dispongan de direcciones libres, no pueden esperar a agotarlas para hacer el cambio, ya que en ese periodo no podrán acceder a los servicios IPv6 ofrecidos en las otras regiones.

Aquí dejo el enlace a los vídeos de una de las interesantes sesiones de Jordi Palet (la que se impartió en la Universidad de Valencia el pasado 16 de septiembre):

http://www.6deploy.eu/workshops2/videos-ipv6.php

Por cierto, las posibles direcciones IPv6 (de 128 bits) son 340 sextillones (2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456) y los expertos auguran que no se agotarán, como mínimo, hasta el año 3000.  ¡Volveremos a hablar de ello dentro de mil años!

#limpiandomisfavoritos

Este fin de semana he decidido realizar una limpieza de mis "Favoritos" en Twitter. Cada uno le suele dar un uso distinto a la función "Favoritos", yo, particularmente, lo utilizo para marcar aquellos tuits que incorporan enlaces de mi interés y que, más tarde, aprovecho para leer con tranquilidad. Cuando los he leído, elimino el tuit favorito.

Como siempre, no tengo suficiente tiempo para leerlos todos, así que en ese apartado se van acumulando más y más tuits con otros tantos enlaces para leer.

Me propongo hacer una limpieza mensual. Los enlaces más interesantes los dejaré aquí, en el blog, a modo de resumen mensual de notícias de interés en el ámbito de la privacidad y seguridad.

Casualmente, he descubierto que introduciendo en el navegador la URL

http://www.twitter.com/<nombre_de_usuario_en_twitter>/favorites se muestra el listado de los favoritos de cada usuario.

Pues bien, aqui os dejo el primer post de #limpiandomisfavoritos

Me interesó un artículo (que me llegó vía @gongaru y @mglarragan) sobre SQL Injection, publicado por @pedrohurtado "Ataques por SQL Injection, un clásico".

También he seguido con interés los posts de @Foratinfo sobre "Viejos ordenadores que hacen grandes cosas". Hoy parece que ha publicado el último de la serie.

Como cada mes, desde el otro lado del Atlántico, Andrés Velázquez en @CrimenDigital publica sus podcast, en esta ocasión sobre "Una firma digital no es una firma escaneada".  Otros podcast que también marco como "Favoritos" son los de @daboblog en DaboBlog Podcast.

Octubre ha sido un mes en el que se han celebrado varios eventos a destacar. El 18 de octubre se celebró el IV Foro del Data Privacy Institute (DPI), en Madrid. No puede asistir, pero el amigo @LuisSalvadorMon publicó un amplio resumen en el blog de "Privacidad Práctica".

Medios sociales ¿Un arma diabólica o una herramienta que nos aporta valor?

Ayer se realizó una nueva edición de los encuentros Picnic4Working organizados por ATI Catalunya.

En esta ocasión, cuatro profesionales de los medios sociales nos han presentado sus experiencias con las redes sociales.  Por orden de intervención, éstos fueron:

• Francesc Gómez (@francescgo), consultor de Social Media Intelligence, mantiene el blog enQuarentena 
• Adriana Freixa (@adrianafreixa), consultora de Social media i CEO de Enconexo, escribe en el blog para Community Managers Guía de communities 
• Raúl Casañas (@RaulCasanas), publicista, Director de Cuentas en Bassat Ogilvy, comparte sus ideas en el blog Brand Breakfast 
• Odón Martí (@OdonMarti), especialista en estrategia de marca en redes sociales, Director de IMAT Comunicación, su blog es OM - Odón Martí.

Aunque cada una de las intervenciones daría para un post (o más de uno), a continuación intento concentrar las principales ideas expuestas por los ponentes.

Según Francesc Gómez, las redes sociales están modificando los hábitos de trabajo de los usuarios dentro de las empresas.  Si hasta ahora las organizaciones eran "proveedoras" de recursos de tecnología para los empleados, estamos asistiendo a un fenómeno llamado Consumerización, donde son los usuarios los que adoptan rápidamente nuevos dispositivos (smartphones, tablets, ...) o aplicaciones web en las empresas, fusionando así la tecnología empresarial con la de consumo.

También ha introducido el concepto de Redarquía, según el cual en las redes sociales se establece una relación de igual a igual, en contra de una estructura de organigrama empresarial basado en "jerarquías".

[Actualizado - Link a la presentación de Francesc: http://slidesha.re/qysZtI]

Adriana Freixa nos planteó "cómo las redes sociales pueden ayudar a la PYME a ser más competitiva".  Hay tres claves para ello: Consistencia, Creatividad y Objetivos.  Es imprescindible definir muy bien los objetivos y establecer aún mejor los indicadores que nos ayudarán a medirlos.  Remarcó que, para una empresa, tener "fans" (o seguidores) no es el objetivo, eso es el público, el objetivo será aumentar las ventas, etc.

Destacó la importancia de la creatividad para llamar la atención de los potenciales clientes y conseguir una marca "fan"eable.  Tampoco hay que olvidarse de comunicar y difundir la presencia de nuestra empresa en las redes sociales, aunque sin llegar a provocar una sensación de "spam", que originaría un rechazo hacia la marca.  En esta línea, "invitar a todos los amigos a unirse al Facebook de la empresa no es hacer comunidad", hay que apostar por la Calidad de los seguidores/fans más que por la cantidad.

"¿Ha cambiado algo?", esta era la pregunta que se hacia Raúl Casañas en relación con la publicidad tras la irrupción de las redes sociales.  En su exposición se apoyó con la proyección de excelentes spots de campañas publicitarias realizadas por su Compañía.  Ciertamente, sí, las redes sociales proporcionan un nuevo canal, no sólo de difusión de los mensajes, sino también de retroalimentación para captar la respuesta de los usuarios.

Es por ello que las empresas deben aprender a escuchar más a los usuarios.  Según sus palabras, "las marcas deben luchar por un objetivo noble" lo que las acercará más a los consumidores.  En definitiva, él resumió este cambio en el mundo de la publicidad como un avance del "awareness" al "engagement", algo así como la transición entre el conocimiento de la marca hacia la fidelización y el compromiso.

La última intervención, a cargo de Odón Martí, trató sobre la Identidad (o Marca) Personal en las redes sociales.  En un ejercicio de googlearse a uno mismo hay que plantearse: ¿aparezco en los resultados? (aunque no tiene por que ser necesariamente así, la no presencia en Google da una imagen de escaso valor como profesional), ¿es correcta la información que aparece sobre mí?, ¿es la información que quiero que aparezca?, ¿he contribuido personalmente a crear esta información?

Así pues, se hace necesario disponer de una estrategia para crear nuestra identidad en la red.  Las preguntas claves son: ¿qué soy?, ¿qué se hacer? y ¿qué me gustaría hacer?.  A partir de ahí, elegir las redes sociales adecuadas para darnos a conocer y establecer relaciones de mutuo interés.  Hoy por hoy, LinkedIn parece obligado para cualquier profesional que quiera estar visible en la red.  Además, disponemos de Twitter, blogs (Blogger, Wordpress, ...), Facebook, Google+, etc, etc, etc. No es necesario estar en todas, pero sí que hay que estar dispuestos a actualizar los contenidos con cierta frecuencia.

Al finalizar las exposiciones, y tras algunas interesantes intervenciones sobre la conveniencia o no de usar nombres reales vs seudónimos en las redes sociales, o sobre al importancia que pueda llegar a tener el indicador de influencia (Klout), pasamos a tomar un refrigerio en el que pudimos continuar charlando de forma más distendida sobre estos temas.

Copiar datos de tarjetas SIM con CHIPDRIVE

Hace unos meses, cuando me entregaron mi nuevo DNI electrónico (eDNI) adquirí un lector de tarjetas Chipdrive My eDNI de SCM Microsystems para poder utilizar el DNI en el ordenador.

El lector venía con un software llamado CHIPDRIVE Smartcard Commander que permite acceder a las tarjetas SIM de los teléfonos móviles y editar su contenido (editar la libreta de direcciones, cambiar el PIN, ver los mesajes SMS almacenados en la tarjeta, ...). 

Hoy lo he utilizado para traspasar la libreta de direcciones desde una tarjeta mini-SIM de Movistar a una micro-SIM en un iPhone 4 de Orange.

¿Cómo traspasar la libreta de direcciones de una mini-SIM de un operador a una micro-SIM de otro?

Primero hay que tener la libreta de direcciones del teléfono almacenada en la SIM (los móviles tienen la opción "copiar contactos a la SIM" o similar).  Después, extraer la SIM e insertarla en el lector de tarjetas.  Desde el programa Smartcard Commander se accede al contenido de la libreta almacenada en la tarjeta y, si se desea, puede exportarse como TXT o CSV aunque no es necesario para el proceso, bastaría con copiarla en el portapapeles, introducir la otra tarjeta (micro-SIM en este caso) y pegar la información del portapapeles a la tarjeta, guardar, y ¡listo!, ya tenemos todos los contactos disponibles en la nueva SIM.

Por suerte el lector SCR3310 viene con un adaptador para tarjetas mini-SIM

Con CHIPDRIVE Smartcard Commander se tiene acceso a la información de la tarjeta

Puede manejarse el "listín telefónico" a voluntad (exportar, importar, modificar, eliminar, ...)

Aunque el lector no viene con adaptador para micro-SIM, con un poco de celo (cinta adhesiva) se puede utilizar perfectamente el soporte original de la tarjeta

ICANN da rienda suelta a los dominios de primer nivel

El pasado 20 de junio, en la reunión internacional de la ICANN (Internet Corporation for Asigned Names and Numbers) celebrada en Singapur, el Consejo de Directores aprobó el plan para ampliar los dominios genéricos de primer nivel (gTLD).

Según su presidente, Rod Beckstrom, "El ICANN ha abierto el sistema de nombres en Internet para dar rienda suelta a la imaginación de las personas. La decisión de hoy respeta los derechos de los grupos para crear nuevos dominios de alto nivel en cualquier idioma o alfabeto."

Este cambio permitirá a cualquier entidad pública o privada registrar su nombre o marca como dominio de primer nivel. De los 22 dominios genéricos (gTLD) - como .com o .net - más los 250 nacionales (ccTLD) - como .es - pasaremos a infinitas posibilidades del tipo .miempresa, .miciudad, .minombreyapellido o .loqueunoquieraregistrar

El plazo de recepción de solicitudes se abrirá el 12 de enero de 2012, aunque los primeros dominios no estarían operativos hasta mediados de 2013, estimándose una tarifa de alta de unos 185.000 dólares, más un coste anual de mantenimiento de unos 25.000 dólares.

El GAC - Governmental Advisory Committee (Comite Asesor Gubernamental) es un órgano consultivo de ICANN formado por representantes de casi 50 estados que defiende los intereses gubernamentales en la Corporación, por ejemplo, analizando la interrelación de las decisiones de ICANN con políticas nacionales o acuerdos internacionales. En este sentido, el GAC ha estado publicando y trasladando a ICANN diferentes consideraciones sobre los nuevos dominios, en el último de los cuales, del 23 de junio, recrimina al Consejo de Directores no haber incorporado todas sus recomendaciones en el documento finalmente aprobado.

Entre los puntos de discrepancia se encuentra la necesidad de permitir a los gobiernos proteger sus intereses en cuanto a nombres geográficos (hay diferentes ciudades o lugares del mundo con el mismo nombre); quien velará por los dominios que afecten a distintas sensibilidades culturales, históricas, lingüísticas, etc.; o la posibilidad de una reducción de tarifas para países o comunidades en vías de desarrollo.

Finalmente, se hace necesario establecer un nuevo procedimiento de resolución de disputas, para lo cual la OMPI - Organización Mundial de la Propiedad Intelectual / WIPO - World Intellectual Property Organization lleva más de dos años trabajando en ello, aportando sus propuestas para los procedimientos de resolución de controversias.  En este nuevo escenario, con un número ilimitado de dominios de primer nivel registrables, asistiremos a un aumento considerable de disputas por nombres de dominios, que repercutirá en un incremento de costes para las compañías u organismos.

Aún hay muchas dudas por esclarecer pero lo que si que parece claro es que en un futuro cercano Internet dejará de ser puntocom.

Singapur,  20 de junio de 2011

El Consejo de Directores de ICANN aprueba por 13 votos a favor, 1 en contra y 3 abstenciones

el nuevo plan de dominios gTLD.

(Foto: ICANN Press Room)

Cloud Computing y Protección de Datos Personales

El 19 de mayo, en el marco del I CONGRESO NACIONAL DE PRIVACIDAD organizado por APEP (Asociación Profesional Española de Privacidad), se presentó el documento de trabajo titulado "Computación en la nube y protección de datos personales: Privacidad y Web global, riesgos y recursos para los ciudadanos de la Red" elaborado conjuntamente por la European Privacy Association (EPA) y el Istituto Italiano per la Privacy (IIP).

La presentación corrió a cargo de Paolo Balboni (http://www.paolobalboni.eu/), Director Ejecutivo de la EPA, apoyado por Luca Bolognini y Pietro Paganini del IIP, los cuáles contaron con la colaboración de Cecilia Álvarez, vicepresidenta 3ª de APEP.

El documento es de gran importancia.  En estos momentos, la directiva de referencia en protección de datos, la Directiva 95/49/CE, está en fase de revisión y, sin lugar a dudas, deberá tener en cuenta el impacto de los nuevos paradigmas tecnológicos (Cloud Computing, Redes Sociales, ...) en la privacidad.

La Computación en la Nube es "un modelo que proporciona recursos informáticos bajo demanda (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser desplegados rápidamente y de forma deslocalizada".  Una de las ventajas de este modelo es el ahorro de costes (hardware, infraestructuras, personal, mantenimiento, consumo energético).  Según un informe del Centre for Economics and Business Research, la computación en la nube ahorraría £645bn (billones de libras) a la economía europea en los próximos 5 años.

Otra de las ventajas del Cloud Computing es que, con el fin de optimizar el rendimiento de los recursos informáticos, los datos pueden ser rápidamente transferidos de un Datacenter a otro, situación que entraría en conflicto con las normativas europeas de protección de datos por lo que respecta a la transferencia de datos personales a terceros países.  ¿Podemos exigir a un proveedor de servicios de Cloud (CSP) que nos garantice que nuestros datos no saldrán del ambito de la UE?  Pues, en principio, sí, pero con un coste económico: el coste de tener los Datacenters en Europa, de tener personal cualificado, de no poder distribuir las cargas hacia otros servidores o redes fuera de nuestras fronteras, etc.

Los principios de la protección de datos: confidencialidad, integridad y disponibilidad recaen en los proveedores CSP, en su función de Encargados del Tratamiento.  Desde este punto de vista, un Responsable no puede tener un Encargado del Tratamiento que no cumpla unas determinadas medidas de seguridad.  Ver el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29.

En conclusión, según Balboni, "rapidez, escalabilidad, economía y ubicuidad de las informaciones deben conjugarse con exigencias de seguridad, privacidad, acceso y responsabilidad". 

El informe apunta distintas soluciones:

• Avanzar en los Estándares Internaciones de privacidad según la propuesta surgida en la 31ª Conferencia Internacional de Autoridades de Protección de Datos (Madrid, 2009) e integrar éstos con las leyes nacionales de cada Estado.
• Apoyar la adopción de Reglas Corporativas Vinculantes (Binding Corporate Rules) así como los sistemas de resolución alternativa de disputas (arbitrajes, por ejemplo).
• Adoptar las soluciones tecnológicas que protejan la privacidad (Privacy by Design).

En definitiva, se augura un brillante futuro para la computación en la nube aunque, ante sus innumerables beneficios hay que contraponer los riegos de privacidad que lleva asociados.  Las autoridades, instituciones y los propios proveedores del servicio deben establecer conjuntamente las reglas para que, en este modelo,  queden garantizados los derechos de protección de datos y privacidad de los ciudadanos.

Etiquetas RFID para proteger las toallas de los hoteles

Me ha parecido curioso este artículo que, el gurú de la seguridad, Bruce Schneier ha publicado hoy en su blog. Más aún cuando el Grupo de Trabajo del Artículo 29 (GT 29) acaba de elaborar el dictamen 9/2011 sobre la Evaluación del Impacto sobre la Protección de Datos y la Intimidad en las Aplicaciones Basadas en RFID. Las toallas nos delatarán.

Esta es una traducción libre. Aquí tenéis el link al original en su blog (http://www.schneier.com/)

Etiquetas RFID para proteger las toallas de los hoteles
(por Bruce Schneier)

El hurto de toallas de hotel no es, ciertamente, un gran problema en el esquema de los problemas mundiales, aunque puede suponer elevados costes para los hoteles.  Si bien la conciencia moral evita que la mayoría de personas se lleven las toallas de un hotel, estos establecimientos suelen incluir su nombre o logo en las toallas, lo que suele funcionar como un sistema de seguridad reputacional: no queremos que nuestros amigos vean toallas robadas en el baño de nuestra casa,  No obstante, a veces se consigue el efecto contrario: gente que se lleva toallas y otros objetos personalizados del hotel a modo de souvenir.

 
Es cierto que va contra la ley apoderarse de las toallas de un hotel, pero salvo en casos de robo a gran escala, la justicia no perseguirá a nadie por ello (aunque esto no es cierto en todos los países, en 2010, una mujer fue condenada a tres meses de prisión por llevarse dos toallas y una plancha de un hotel en Nigeria).  La cuestión es que desaparecen más toallas de las que el hotel desearía y, para hoteles y resorts de gran categoría, estas toallas tienen un coste elevado.

 
Lo único que puede hacer el hotel es implementar sus propias medidas de seguridad.  Un sistema, que cada vez es más habitual, consiste en fijar precios para las toallas y otros complementos (suele ser muy común para los albornoces) y cargar el importe de éstos si, en el momento del checkout cliente, no están en la habitación.  Esto no siempre funciona, porque -por ejemplo- en los hoteles con piscina pueden quedar toallas de la habitación en la piscina y viceversa.

 
Un sistema más reciente, aunque aún no muy extendido, es insertar etiquetas RFID lavables en las toallas para poder realizar su seguimiento.  La única referencia que tenemos al respecto es la de un hotel de Hawai que asegura haber reducido el robo de toallas de 4.000 al mes a 750, lo que supone un ahorro de 16.000 dólares mensuales.

 
Considerando que las etiquetas RFID son relativamente económicas y pueden durar bastante, parecen una medida de seguridad bastante aceptable.

Actualización evolución ataque PlayStation Network

Viene del post: "Evolución del ataque a PlayStation Network de Sony" del 02/05/2011.

En el anterior post nos habíamos quedado en el fin de semana del 30 de abril, 10 días después de la intrusión.  El New York Times publicaba que en foros underground de Internet se intentaba vender la base de datos robada a Sony, mientras el CEO de Sony daba una rueda de prensa pidiendo disculpas -y paciencia- a los usuarios de PSN.  Esta semana, se han ido conociendo más detalles sobre el ataque y sus repercusiones.

El martes, 3 de mayo, se hacía pública la existencia de otro ataque, en esta ocasión contra la plataforma Sony Online Entertaintment (SOE), en el que quedaron expuestos datos personales de más de 24 millones de clientes de este servicio de la multinacional nipona.

El 4 de mayo, Kazuo Hirai, CEO de Sony, respondía por escrito a todas las preguntas de la carta enviada  desde la Cámara de Representantes del Congreso de los Estados Unidos (aquí el documento original publicado por Sony).  Aseguran haber sido víctimas de un ciberataque criminal altamente sofisticado, meticulosamente planeado y muy profesional.  Mencionan de nuevo el ataque DDoS que sufrieron hace unas semanas por parte de Anonymous y aseguran haber encontrado un archivo con el texto "We are Legion" (el lema de Anonymous) en el servidor comprometido, aunque la respuesta a la pregunta 7ª es clara: 

• (Q) 7. Have you identified the individual(s) responsible for the breach?
• (A) No. 

Este mismo día sabemos que Sony ha contratado los servicios de tres importantes compañías de seguridad para trabajar junto al FBI en la investigación, además de contar con los servicios legales de Baker & McKenzie.

En una sesión sobre Robo de Datos del Departamento de Comercio de los Estados Unidos, Gene Spafford, editor de la revista Computers & Security se refirió a que Sony estaba utilizando una versión desactualizada de Apache Web Server, sin parchear, y que hace meses que esto era conocido.

A través de un comunicado de prensa de la ICO - UK Information Commissioner's Office (autoridad de protección de datos del Reino Unido), se informa que este organismo ha solicitado aclaraciones a Sony sobre lo ocurrido, por si pudieran verse afectados datos personales de ciudadanos ingleses.

A fecha de hoy, 5 de mayo -aunque todavía no he podido contrastar la fuente-, parece que la Agencia Española de Protección de Datos va a abrir una investigación para comprobar si se ha vulnerado la Ley Orgánica de Protección de Datos de Carácter Personal.

Evolución del ataque a PlayStation Network de Sony

"Una intrusión externa obliga a Sony a detener su servicio PlayStation Network".  Esta era una notícia del 21 de abril.  "Los hackers de Sony venden 2 millones de tarjetas de crédito" es una notícia de ayer sobre el mismo tema.  Veámos como ha evolucionado este suceso hasta ahora:

El 22 de abril, desde el Blog oficial de PlayStation Network, Patrick Seybold, directivo de Sony, confirmaba la noticia de la "intrusión externa" informando que desde el miércoles, 20 de abril, habían desactivado el servicio PSN para investigar los hechos.

Lo que en un principio parecía un ataque DDoS contra la red de la multinacional nipona ha resultado ser un sofisticado ataque en el que -aparte de dejar la red PlayStation Network (PSN) fuera de servicio- se han obtenido millones de datos de usuarios de PSN (nombres y direcciones, tarjetas de crédito, etc.)

Incluso el colectivo Anonymous, que en principio estuvo en el punto de mira, publicó un comunicado desvínculándose del asunto.  GeoHot, el hacker que rompió la seguridad de la PS3 y fué demanado por Sony, también dice no tener nada que ver con ello.

El día 26, lunes, PSN sigue desactivada.  Circulan las notícias sobre un sofisticado ataque de hackers que habrían robado datos (incluyendo tarjetas de crédito) de los 70 millones de usuarios de PSN.

Ante la avalancha de consultas de los usuarios, los días 27 y 28 en el blog de PlayStation Network publican sendos posts de Q&A, en el que tras pedir disculpas a los usuarios, dicen que esperan empezar a tener los servicios disponibles en una semana.  Aunque aseguran que los datos de las tarjetas de crédito se guardan cifrados y que no hay evidencias de que éstos hayan sido sustraídos, aconsejan revisar los extractos bancarios y contactar con el banco en caso de sospecha.

El 29 de abril, el Congreso de los Estados Unidos, envía una carta al CEO de Sony, Kazuo Hirai, solicitando explicaciones sobre el suceso (incluye una lista de 13 preguntas que deben responder antes del 6 de mayo).

El 30 de Abril, en la sede central en Tokio, Kazuo Hirai ofrece una rueda de prensa.  Asegura que están llevando a cabo una completa auditoría de seguridad en la que participan varias compañías de seguridad y que, paralelamente, se está trabajando en reforzar toda la seguridad, no sólo del data-center en San Diego, California, objeto del ataque, sino de toda la compañía.  Por su parte, el FBI está llevando la investigación para esclarecer los hechos y dar con el culpable o culpables.  En el otro comunicado, anuncian el ofrecimiento de un "welcome pack" a sus clientes a modo de disculpas (que podría consistir en cuota gratis durante un mes, contenidos de descarga gratuíta, etc.)

El New York Times publica que en ciertos foros underground de Internet, hackers aseguran tener las bases de datos robadas a Sony y las ponen a la venta.  Aseguran tener 2.2 millones de tarjetas de créditos, contraseñas y otros datos personales.

El 2 de mayo, Patrick Seybold, niega que nadie haya ofrecido a Sony la oportunidad de comprar la lista.

#Actualización 05/05/2011: Nuevo post: "Actualización evolución ataque PlayStation Network"
===============

Podemos seguir la versión oficial de Sony en el Blog de PSN:

Blog de PSN: http://blog.us.playstation.com/

Blog de PSN (traducción al español): http://blog.es.playstation.com/

Oficina flexible: trabajando en el tercer lugar

En el marco de los encuentros Picnic4Working que organiza ATI Catalunya ayer tuvimos ocasión de debatir sobre el tema "Trabajar en el tercer puesto y oficina flexible".

El llamado "tercer lugar" o "tercer puesto" de trabajo es aquel espacio, distinto a nuestra oficina y nuestro hogar, donde poder seguir desarrollando la actividad laboral fuera de éstos dos ámbitos concretos.  Las nuevas tecnologías de la comunicación permiten tener conectividad (Wi-Fi, 3G, ...) allá donde estemos, y los dispositivos móviles (notebooks, iPads, smartphones, etc.) ofrecen la posibilidad de trabajar con nuestras herramientas de productividad habituales como si estuvieramos trabajando delante del ordendor de sobremesa.

Sin lugar a dudas, el avance del Cloud Computing y el SaaS (Software as a Service) han dado un empujón considerable a esta forma de "trabajo móvil".  Hemos pasado del "teletrabajador", aquel personaje que se queda en su casa, en pijama, realizando un informe en el PC para terminar enviándolo por e-mail a su empresa cuando lo tiene listo, al "trabajador móvil", aquel que puede responder e-mails mientras va en tren a una reunión, que puede revisar un informe mientras espera la salida de su vuelo en el aeropuerto, o, por ejemplo, que es capaz de organizar una reunión con sus colaboradores en una tranquila cafetería.

Los ponentes en el encuentro de ayer destacaron la alta productividad que puede alcanzar un trabajador móvil, en parte por la libertad que tiene el trabajador para organizarse sin estar sometido a la presión del entorno empresarial.  No obstante, todos coincidieron en la importancia de la auto-disciplina que uno debe imponerse en estos casos.

También se habló del papel de las Administraciones, en cuanto a la provisión de una buena infraestructura de telecomunicaciones.  Propuestas como equipar los trenes con Wi-Fi o asegurar la cobertura 3G en todo el recorrido de estos trenes o en las areas de servicio de la red de carreteras serían un esenciales para el aumento de la productividad de estos trabajadores.

Podes consultar la iniciativa TercerLugar.es (http://www.tercerlugar.es/) que representa muy bien la esencia de esta cuestión.

Aumentan un 25% las impugnaciones a correos electrónicos presentados como prueba en un juicio por errores de forma

Notícia que leo en Difusión Jurídica: "Aumentan un 25% las impugnaciones a correos electrónicos presentados como prueba en un juicio por errores de forma"

"Incide, división especializada en el tratamiento e investigación de la información digital y que forma parte del Grupo Winterman, constata que en los dos últimos años han aumentado un 25% los correos electrónicos que se presentan como prueba en un juicio y que son impugnados por presentarse en formato papel o por errores de forma."

Desconozco que tipo de estudio han realizado en Incide para obtener esa cifra del "25% de aumento" en las impugnaciones, pero sí que puedo constatar que la aportación de correos electrónicos como prueba en procedimientos judiciales es cada vez mayor. 

Las comunicaciones electrónicas están intimamente ligadas a  gran parte de las transacciones económicas, comerciales o laborales que realizamos a diario (adquisiciones de bienes y servicios, contratos o pre-contratos, acuerdos de pago, negociaciones, etc.) quedando muchas de ellas formalizadas a través de un correo electrónico.  En caso de disputa o desacuerdo, la prueba que necesitamos aportar ante el órgano judicial competente es -a menudo- uno o varios correos electrónicos que corroboran nuestros argumentos.

En la notícia de referencia, Abraham Pasamar, director de Incide, comenta que "la manipulación de un correo electrónico es relativamente sencilla lo que provoca que sean susceptibles de ser impugnados y que, para probar su autenticidad, sea necesario realizar un análisis pericial del correo electrónico, y otras informaciones relativas al mismo, y que siempre debamos tener acceso al correo original y no a copias ni a reenvíos del mismo".

Los abogados deben prepararse para este nuevo escenario, para llegar a tener la seguridad de que las pruebas sean legalmente admisibles por los tribunales.  Deberán contar con la colaboración de péritos informáticos, analistas forenses de sistemas de información, capaces de presentar la prueba electrónica de forma que no se pueda dudar de su autenticidad y que no ha sufrido ninguna manipulación.

Los expertos en informática forense, por su parte, deberán adaptar también su metodología y sus informes periciales acorde con los requerimientos que el sistema judicial exige para dar por válida una prueba electrónica.

VII OWASP Spain Chapter Meeting

Se me complicó la agenda y al final no pude asistir al VII congreso de la OWASP (Open Web Application Security Project) que se celebró en Barcelona el 15 de abril de 2011.  Una lástima porque se realizaron ponencias de gran calidad:

• Web Attacks In The Wild: An overview of last year's probes. Adrián Pastor. Principal Security Consultant. Corsaire.
• SAP: Session (Fixation) Attacks and Protections (in Web Applications). Raúl Siles. Founder & Senior Security Analyst. Taddong.
• Seguridad OWASP en la certificación PA DSS de Aplicaciones de Pago. Marc Segarra. Consultor en Seguridad. Internet Security Auditors.
• Respuesta a incidentes de infección web. Carles Fragoso. Responsable de Respuesta a Incidentes. CESICAT-CERT.

OWASP es una comunidad abierta y libre de nivel mundial enfocada en mejorar el nivel de seguridad de las aplicaciones de software. Su misión es hacer visible la seguridad en aplicaciones, especialmente de las aplicaciones web, aportando información y herramientas de manera que las organizaciones puedan tomar decisiones informadas sobre las vulnerabilidades y los riesgos de seguridad de sus aplicaciones web.

Aquí dejo el enlace a las presentaciones del evento:

https://www.owasp.org/index.php/Spain/Meetings

Sanción de 60.000 Euros por grabar a personas en la calle

En Expansión publican la notícia "El Corte Inglés, sancionado por grabar a personas en la calle", que leo después en El País.

En fecha 10 de febrero de 2011, la Audiencia Nacional ha confirmado la multa de 60.101,21 Euros que la Agencia Española de Protección de Datos impuso a El Corte Inglés en octubre de 2009 por grabar con cámaras de videovigilancia imágenes de coches y personas que circulaban por las vías públicas colindantes a los accesos al edificio del centro comercial en la ciudad de Málaga.

Se trata de una infracción del artículo 6 de la LOPD (Consentimiento del afectado), tipificado como infracción grave según el artículo 44.3 de la misma Ley.  

El importe de la multa (60.101,21 Euros) corresponde a la cuantía mínima para las infracciones graves (de 60.101,25 a 300.506,25 Euros) según establecía el redactado original de la Ley , en pesetas en 1999: de 10.000.000 a 50.000.000 Ptas.  Recordemos que con la entrada en vigor de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, en su disposición final quincuagésima sexta se modifican los importes de  las sanciones, siendo, en la actualidad, para las infracciones graves, de entre 40.001 y 300.000 Euros.

Si bien en cada uno de los accesos al edificio hay un cartel informativo de zona videovigilada, en el que se identifica al responsable del fichero ante quién pueden ejercitarse los derechos recogidos en el artículo 5 de la LOPD, los inspectores comprobaron que todas las cámaras tienen un ángulo de giro de 360º y disponen de función de "zoom" pudiendo captar imágenes de la vía pública, de las personas físicas que circulan por la acera, y de los vehículos estacionados. 

A tenor de lo dispuesto en la Ley Orgánica 4/1997, de 4 de agosto, la grabación en lugares públicos debe realizarse por las Fuerzas y Cuerpos de Seguridad del Estado, quedando limitados los usos de las cámaras de videovigilancia privada únicamente para grabar en los espacios privados objeto de la protección.  Por tanto, la captación de imágenes de la vía pública por parte del centro comercial, entraría en discrepancia con los principios de calidad y proporcionalidad establecidos en el artículo 4 de la Instrucción 1/2006 de la AEPD sobre videovigilancia. 

Finalizo con algunas afirmaciones concluyentes extraídas de los Fundamentos Jurídicos de la Sentencia (Audiencia Nacional, Sala de lo Contencioso-administrativo, Sección 1ª, Sentencia de 10 de febrero de 2011, Recurso 95/2010):

"En el caso analizado, ha quedado acreditado que el sistema de videovigilancia instalado en El Corte Inglés, permite seleccionar cualquiera de las cámaras y desplazar su enfoque 360º, alcanzando su ángulo de visión la vía pública y a las personas que circulan por la misma, realizando por tanto un tratamiento excesivo y no proporcional de las imágenes, en relación con el ámbito y las finalidades que podrían justificaban su recogida..."

 

"Por lo tanto aun cuando dicho sistema de videovigilancia haya sido instalado conforme a la normativa de seguridad, este hecho no le autoriza, a realizar grabaciones de imágenes en la vía pública, como es el caso que nos ocupa, mucho más allá de lo que resulta idóneo, adecuado y proporcional."

¿Cuándo cambiar la contraseña?

Bruce Schneier iniciaba así un artículo publicado en Dark Reading el 10 de noviembre de 2010:

"¿Cada cuanto tiempo se debe de cambiar la contraseña?  Me han realizado esta pregunta en numerosas ocasiones, generalmente por personas que encuentran incómodidad en las políticas de caducidad de las contraseñas de sus empresas o entidades financieras - gente que, después de haber conseguido memorizar una contraseña, son requeridos para cambiarla por una nueva."

Seguro que a cualquier Administrador de Sistemas o Responsable de Seguridad le han hecho la misma pregunta infinidad de veces.  Y, probablemente, habremos dado la misma respuesta que el experto en seguridad: "The answer depends on what the password is used for." (Bruce Schneier, "When to Change Passwords", 10-11-2010).

En el artículo ya nos avisa que lo peor de ir cambiando las contraseñas es la dificultad de recordarlas.  Si se fuerza a los usuarios a cambiar la contraseña con regularidad, probablemente elegirán contraseñas más fáciles de recordar (¡y de adivinar!) que si tienen una contraseña que puedan utilizar durante varios años.

A priori, parece una buena medida de seguridad implantar un sistema de contraseñas con "fecha de caducidad".  En caso de robo o descubrimiento de la contraseña, su uso (o mal uso) queda limitado al periodo de tiempo hasta la siguiente renovación.  No obstante, en el contexto actual, no parece ser éste un argumento válido.  Un atacante que posea la contraseña de acceso a nuestra cuenta bancaria on-line, puede acceder y transferir nuestro dinero a otras cuentas al instante; de poco sirve, en este caso, que vayamos cambiando la contraseña con cierta frecuencia.  Lo que hay que hacer es cambiarla de inmediato ante la menor sospecha de fraude.

Algo parecido sucede si alguien obtiene las credenciales de acceso a nuestro puesto de trabajo.  Puede acceder de inmediato, instalar algún tipo de malware o incluso crear una cuenta propia para posteriores accesos.

Más que preocuparse por cada cuánto tiempo hay que cambiar las contraseñas, hay que preocuparse de crear buenas contraseñas y tenerlas a buen recaudo.  Eso sí, cambiándolas de inmediato al menor síntoma de que alguien las haya podido obtener.