El eslabón más débil

Este que les habla (o escribe, mejor dicho) se dedica profesionalmente, desde hace unos 5 años, a trabajar como consultor de seguridad de la información. A lo largo de ese tiempo he dedicado muchas horas a escribir políticas y normativas relacionadas con la seguridad de los sistemas informáticos, y entre ellas, cómo no, alguna que define los principios de un buen sistema de control de acceso a los sistemas.

Una de las cosas que explicas ahí es que, por muy robustos que sean los mecanismos que protegen el sistema contra accesos no autorizados, la seguridad de ello depende de que el usuario escoja una contraseña suficientemente segura para acceder a los servicios que posea: que sea larga, fácil de recordar pero difícil de adivinar, con caracteres alfanuméricos y especiales, que se cambie periódicamente, etc.

Y estás tan inmerso en este día a día que piensas, inocente de ti, que los usuarios son conscientes de ello y que se esfuerzan por elegir una buena contraseña, porque se preocupan por la seguridad de sus datos; del mismo modo que se preocupan por la seguridad de sus casas y ponen puertas blindadas, guardan sus llaves en un lugar seguro y no abren la puerta a extraños.

Y un buen día, de repente, naufragando por la red, te encuentras con una antigua estadística, publicada por un reconocido informático norteamericano, que muestra las 10.000 palabras más utilizadas como contraseña por los usuarios, obtenidas de una lista real de unos 6 millones de pares usuario/contraseña, de las muchas que frecuentemente se se revelan en Internet.

Y te quedas atónito viendo que la palabra más utilizada como contraseña es "password", seguida de cerca por "123456" y por "12345678". Y te sorprendes aún más cuando descubres que  90% de la gente utiliza alguna de las 1000 primeras palabras de la lista. Y te entran ganas de llorar cuando lees que sólo un 0,18% ... ¡un 0,18%!... utiliza contraseñas únicas (no repetidas por nadie más).

Y es entonces cuando tomas conciencia de que da igual todo el trabajo y el tiempo que dediques a esto. Mientras existan usuarios así... la seguridad de la información es pura falacia.

Triste y sola...

Parece que fuera ayer cuando escribía esta entrada para comentaros mi vuelta a la Universidad... y han pasado ya casi 2 años desde entonces.

El caso es que el Domingo, por fin, terminé el Máster de Seguridad Informática que me ha traído de cabeza durante todos estos meses. El domingo entregué el Proyecto final de este año, y con eso di carpetazo definitivo al Master y a la Universidad. ¡Vuelvo a ser libre!.

Ahora que puedo echar la vista atrás y verlo todo desde esta perspectiva, tengo que decir que mis impresiones son algo... descafeinadas. Evidentemente, las ventajas de un Master no presencial como éste son evidentes: flexibilidad total de horarios para gestionarte el tiempo (aunque si eres un vago crónico, como yo, esto no te servirá de mucho :D), precio bastante más asequible, posibilidad de consultar dudas y cuestiones a tu tutor y compañeros de viaje a cualquier hora del día, materiales y recursos en la puerta de tu casa...

Pero cuando no tienes clases presenciales de forma periódica, exámenes parciales, etc. dependes exclusivamente de tu autodisciplina. Si no la tienes, estás perdido. Aquí también hay que llevar las cosas actualizadas e ir estudiando día a día. Pero si nadie te obliga y -repito- eres un vago de libro (como yo), probablemente lo dejarás todo para el final, se te echará el plazo de la práctica encima y al final, acabarás por leer únicamente lo justo de la teoría para hacer la práctica. Y este es el camino más seguro para no aprender nada.

Por otro lado he echado de menos contenidos mucho más técnicos y prácticos, sobre todo en este segundo año. Incluso las "prácticas" han sido totalmente teóricas, aunque suene paradójico. Cuando tienes una asignatura que se llama "Auditoría técnica" o "Análisis forense" esperas poder cacharrear algo, trastear con alguna herramienta específica. Pero no: al final tu práctica es un enunciado escueto y difuso, que lo único que pide es un informe: un informe que, dada la escasez de datos, te tienes que INVENTAR y que al final, parece más una novela de Agatha Christie que otra cosa. Probablemente la causa de esto es que muchos de los profesores del Master no son sino consultores que trabajan en una empresa privada, y que en su tiempo libre colaboran con la universidad. Quizá por ello, por la falta de tiempo y preparación, las prácticas no son tan elaboradas como cabría esperar.

Pero no quiero que penséis que no ha valido la pena. En absoluto. Sí que he aprendido y estoy satisfecho con el trabajo realizado. Podría haber sido mejor, sí, pero no conozco a ningún estudiante de Universidad que no diga lo mismo de su carrera. Al final siempre queda una base de todo lo que has leído y "practicado": en mi caso, una visión más global y completa de lo que significa la seguridad de la información y cómo aplicarla. Como si hubiera conseguido acabar un inmenso puzzle a partir de un montón de piezas dispersas. Eso es lo que al final importa.

--

Google Chrome: lo último en Navegadores Web

Como siempre, es mi costumbre llegar tarde a todas las noticias de última hora y anunciarlas tres días después, a bombo y platillo, cuando ya no le importan a nadie y todo el mundo las ha leído en otro lugar. Pero no pasa nada, aquí estoy yo, incombustible, escribiendo sobre la noticia que ha revolucionado la Web en los últimos días: el lanzamiento por parte de Google de Chrome, un novedoso y ligero navegador web, que pretende hacer la competencia a Internet Explorer y a Firefox en su guerra particular .

En el fondo, escribir noticias con retraso tiene sus ventajas: en primer lugar tienes una visión completa de todo lo acontecido, que te permite tener una perspectiva más global y escribir las cosas con la cabeza fría. En segundo lugar, no tengo que escribir chorrocientos artículos contando, a saber, los primeros rumores del lanzamiento de Chrome (curioso, por cierto: en forma de comic), la fecha prevista, el pistoletazo de salida, las primeras impresiones , las críticas (desde el entusiasmo o desde el realismo), las inevitables comparaciones, etc. Prefiero hacerlo todo en uno, y así me ahorro trabajo... (y también visitas, vale, pero es un efecto colateral que hay que asumir).

Chrome ha aparecido de repente, como un bombazo, y ha supuesto un verdadero puñetazo a la distraída competencia, que aún no sabe de donde le ha caído el golpe. Se trata de un navegador muy sencillo, rápido y ligero, sin grandes atrevimientos, que viene envuelto por el aura de minimalismo que caracteriza siempre a Google, y que supone una gran baza a favor. Pero después del revuelo que ha provocado y la acogida masiva que ha tenido por parte de los internautas, ha querido a entrar por la puerta grande y... ¡ZAS!, en toda la boca: en apenas dos días descubren tres vulnerabilidades de seguridad importantes... no una, ni dos, sino tres... que desaconsejan su uso, por el momento. "¿Y que más da?", dirán algunos, "si Internet Explorer tiene cientos de ellas y sigue siendo el más utilizado". Cierto. Otros dirán: "Hombre, paciencia... que aún está en estado BETA y tendrá muchas cosas que corregir". Que sí, vale... pero es que TODO en Google es beta: GMail es beta, Google Docs es beta, Calendar es beta... y Chrome será beta por los siglos de los siglos. Creo que esa excusa ya no cuela. Para mi que han integrado la palabra "beta" hasta en el logotipo de su sede en Mountain View.


Pero bueno, el caso es que han conseguido el objetivo principal de toda buena campaña de marketing: conseguir que se hable de ellos. Y no sólo eso, sino que en algunos casos ya desbancan a "los grandes" en las estadísticas de uso de algunos sitios web. Veremos si esa tendencia se mantiene.

Todos nos alegramos de este nuevo nacimiento que hará, sin duda, que sople algo de viento fresco en la famosa guerra de navegadores, que redundará en ventajas para los usuarios. Para empezar, los dos grandes ya se han movido. Unos, como caballeros, respondiendo con las mismas armas y anunciando mejoras para sus futuras versiones de Firefox. Y otros... otros, como no pueden proponer nada mejor, pues a las malas: anunciando una demanda por monopolio a Google... Normal, de estas cosas los de Microsoft saben un rato. En fin, ver para creer.

Yo por el momento, prefiero mantenerme al margen. Confieso que el día del lanzamiento tuve la tentación de descargarme la beta para probarla y utilizarla durante un tiempo. Pero al final no lo hice. Afortunadamente, visto lo visto... Y es que alguna ventaja tiene que tener esto de ser un náufrago lento en lugar de navegante intrépido. Pero tiempo al tiempo, que lo haré... aunque me hunda con todo el equipo.

"The Pirate Bay" se pone en marcha

Como os decía en la entrada anterior, era cuestión de tiempo que alguien propusiera iniciativas encaminadas a proteger Internet frente al acoso al que está siendo sometido por parte de los lobbies de la propiedad intelectual y de los gobernantes.

The Pirate Bay, uno de los sitios más populares de intercambio de contenidos existentes en la actualidad, ha propuesto la adopción masiva de un protocolo que permite el cifrado completo de las comunicaciones de extremo a extremo. El proyecto se denomina IPETEE y, aunque esta iniciativa no es nueva, puesto que su idea surgió hace ya algún tiempo, vuelve a salir a la palestra, quizás impulsado por las recientes decisiones del Parlamento Europeo.

En fin, se trata de una buena idea que está dando sus primeros pasos, aunque probablemente tampoco se trata de la panacea. La idea del cifrado de las comunicaciones es tan antigua como la propia Internet y ya se han dado muchas vueltas en torno a este tema (VPN, SSL, etc.) con sus ventajas e inconvenientes. Además, aunque se conseguiría la confidencialidad de los contenidos intercambiados, el uso del protocolo P2P aún sería reconocible (mediante análisis de patrones de tráfico, por ejemplo) por lo que nada impediría a los ISP ralentizar las conexiones sospechosas, aún sin saber qué contienen.

Sin embargo se trataría de un avance importante, porque conseguiría un cifrado transparente para usuario, el cual no tendría que preocuparse de si su conexión está cifrada o no, o de cómo realizarlo. Esto facilitaría enormemente su difusión masiva, incluso para aquellos usuarios inexpertos o con pocos conocimientos técnicos.

Lo más positivo de esta iniciativa, a mi parecer, es demostrar a los de siempre que Internet no se puede controlar. Que todo esfuerzo por acabar con la neutralidad y el libre acceso a la información es en vano, porque Internet "no se queda quieta", no es algo inerte que se pueda golpear. Internet reacciona contra todo intento de control, y nosotros, todos los usuarios, reaccionamos con ella.

--
Más:
IPETEE Technical Proposal
Contra los vigilantes, encriptemos Internet
España pone fecha al inicio de la persecución abierta del P2P

Antispam efectivo

Aún no me lo creo. Quién me iba a decir a mi que el "filtro" Anti-spam que me iba a resultar más efectivo durante mis años en la red, era simplemente una respuesta firme a uno de ellos.

Desde que tengo mi cuenta de GMail he venido recibiendo en mi buzón de correo toneladas de spam, de las que, afortunadamente, el 99,9% eran reconocidas correctamente por Google como tal, archivándolas en la carpetilla correspondiente.

Y entre esas toneladas, llevaba tiempo recibiendo diariamente algunos correos en castellano que no encajaban exactamente en lo que uno considera "spam". Me explico. Eran correos que venían desde tres cuentas de correo diferentes (unos días desde unas y otros desde otras), todas con el dominio "ffastur.com". Y el contenido no era precisamente publicitario, sino más bien político, de opinión, generalmente sobre la iglesia, el gobierno, el aborto, etc. Naturalmente, en ninguno de los correos aparecían datos de contacto o buzones a los que dirigirse para darse de baja. Y por supuesto yo jamás me dí de alta en ninguna de sus páginas o listas de correo. De hecho, ni siquiera existe una página en el dominio ffastur.com.

Recibir esos correos diariamente era, cuando menos, irritante. Y eso que ni siquiera me molestaba en leer su contenido. Así que decidí pasar a la acción.

Continúa...


Dado que los correos venían en la lengua de Cervantes y parecían escritos y enviados por un ser humano de carne y hueso -y no por "robots" como los spam corrientes- pensé que posiblemente habría alguien detrás de aquellas cuentas de correo, que podría recibir los mails. No perdía nada con intentarlo, así que me puse manos a la obra.

Ni corto ni perezoso redacté un correo para enviar a las tres cuentas de "ffastur.com" desde las que recibía los correos, con el siguiente contenido:

"Buenos dias,

Desde hace algún tiempo vengo recibiendo diariamente desde estas direcciones de correo, (todas con dominio "ffastur.com"), información de opinión sobre política, sociedad, etc..

En primer lugar desconozco quien les ha cedido o comunicado mi dirección de correo, pero yo no he autorizado en ningún momento el envio de publicidad ni información desde el dominio "ffastur.com ", por lo que estos correos son claramente SPAM. Y como supongo que sabrán, el envío de publicidad no solicitada es ILEGAL en este pais, conforme a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), y denunciable a la Agencia de Protección de Datos.

Además, en sus correos no indican ni quienes son ustedes, ni datos para poder contactar o darse de baja de la lista de correo (aunque efectivamente nunca me dí de alta), información que debe aparecer en todos los mensajes publicitarios.

Por favor, les solicito den de baja mi dirección de correo de sus listas cuanto antes, puesto que no deseo recibir este tipo de correos, que considero como SPAM y que no pretendo ni leer.

Si continuo recibiendo este tipo de correos, procederé a interponer una denuncia a la AGPD, contra los responsables/propietarios de esas cuentas de correo, por envío de publicidad no solicitada.

Un saludo."

¡Pues mano de santo, oiga! Lo envié la semana pasada y de momento no he vuelto a recibir un correo suyo. Así que ya ven, a veces amenazar con la justicia en la mano, da sus resultados.

Lástima que esto no funcione para el resto del spam, que tendré que seguir dejando en manos del todopoderoso Google para que me lo elimine.

---
Technorati Tags: spam, LSSICE

De vuelta a la Universidad

Pues sí, como lo oís. No es ninguna broma ni ningún juego de palabras con doble sentido. ¡Vuelvo a ser estudiante!

El motivo es que en breve comienzo un Máster de Seguridad Informática que imparte la Universitat Oberta de Catalunya (UOC). Por si no la conocéis, se trata de una universidad especializada en educación a distancia, similar a la UNED, donde la mayor parte de la formación que imparte se realiza a través de lo que ellos denominan Campus Virtual: un entorno web en el que dispones de todos los servicios que podrías disfrutar en un campus real. O al menos, esa es la teoría.

Llevaba tiempo pensando en hacer un Máster de estas características, y aunque en principio mi intención había sido buscar un Máster presencial en alguna Universidad de Madrid, finalmente he optado por esta salida, por dos razones principales: en primer lugar por el precio, muchísimo menor que en la enseñanza presencial, y en segundo lugar por las referencias: conozco gente que ha estudiado allí y ha recibido cursos formativos y siempre han hablando bien de sus métodos, materiales y calidad de formación.

Ya os iré informando de las novedades que surjan en del avance de mi nuevo periodo estudiantil -lo queráis o no- :). El Máster en cuestión dura dos años, así que habrá tiempo de contar nuevas experiencias. Además, afortunadamente, no estoy solo: un buen amigo me acompaña en esta aventura... ¡No sabe bien con quién se ha juntado!.

Para empezar con buen pie, creo que lo mejor que podemos hacer -como todo buen universitario que se precie- son unas buenas "pellas virtuales" y acercarnos a la cafetería a tomar unas "cañas online" y echarnos un "mus en red".

¡Nos vemos!

---
Technorati Tags: UOC, Máster, Seguridad Informática,