miércoles, 25 de marzo de 2015

Secuestro de Información

Todos hemos escuchado de los virus que infectan a las computadoras. Sin embargo muchos no tendrán muy claras las consecuencias de tener un equipo infectado. Tal vez hayan escuchado que los virus extraen nuestra información o que cambian la apariencia o uso de un sistema, y tienen razón. Sin embargo para las personas, estas son consecuencias no tan importantes y por lo tanto descuidan la seguridad de su equipo. Total, ante una infección, ya se darán el tiempo para desinfectarla y todo volverá a la normalidad.

Y de entre los virus que infectan computadoras, tal vez haya un tipo del que seguramente todos sí que lo encontrarán peligroso y con consecuencias muy palpables para el usuario. Y me refiero a los llamados “ransomware” o infecciones que secuestran archivos de la computadora. La manera de operar de este tipo de código malicioso es que cifra los archivos que están en la computadora, por ejemplo los documentos de Office. Al cifrarlos, lo que hace es volverlos ininteligibles, salvo que se tenga la llave para descifrarlos y que se puedan volver a ver. Y la llave para hacer esto está en poder de los maleantes.

Un virus famoso de este tipo fue CryptoLocker pero ya no está en operación, pero otros han ocupado su lugar, como por ejemplo CryptoWall. A estos virus los controlan varios atacantes quienes crean y administran estos códigos maliciosos y se encargan de infectar sistemas de cómputo Windows. Una vez que este virus llega a la computadora, su objetivo en primera instancia es el de cifrar los archivos de trabajo del usuario, por ejemplo ese reporte en Word o esa hoja de cálculo en Excel con información de las ventas del último trimestre, así como fotos o videos. Cuando el usuario trata de ver alguno de estos archivos, se dará cuenta de que no puede abrirlos por ningún medio. Pronto empezará a notar que todos sus archivos de trabajo, fotos y videos siguen estando ahí pero no es posible abrirlos.
 
Y es cuando un mensaje se abre en la pantalla informando que los archivos fueron “protegidos” con un cifrado fuerte y avisa que ni intentemos recuperar los archivos porque no es posible hacerlo. Y tiene razón. Cuando un programa (malicioso o no) cifra información de una manera adecuada y siguiendo “las mejores prácticas”, no es posible ver la información en su forma original. De hecho el cifrar algo es usado por “los buenos” para proteger información, por ejemplo la corporativa, o también en la red para interactuar con sitios protegidos como la banca en línea.
 
Pero este virus aprovecha esta técnica (la de cifrar) para cumplir con sus objetivos maliciosos. Y aquí viene la peor parte: el mensaje en la pantalla pide dinero para proporcionar la llave que finalmente descifrará la información para el usuario y que con esto vuelva a ver y usar sus documentos, fotos y videos.

Claramente, los creadores de este tipo de virus que secuestran información tienen el objetivo en mente de ganar dinero al momento en que las víctimas pagan el rescate de sus archivos. Tal vez no todos paguen el rescate, pero hay una cantidad importante de gente que sí lo hará con tal de volver a la normalidad. Los maleantes dan cierto tiempo a la víctima para pagar, de otra manera el rescate se incrementa. Hay un par de casos donde la víctima pidió más tiempo sin que se incrementara el costo, y se lo concedieron, pero normalmente cumplirán sus amenazas.

Otros usuarios intentan no pagar y recuperar sus archivos con guías, herramientas o programas disponibles en internet. Sin embargo varios de estos virus están bien diseñados y desarrollados por lo que es virtualmente imposible recuperar la información a menos que se pague para obtener la llave que dará libertad a los archivos. El pago se hace normalmente en moneda virtual (por ejemplo bitcoin) y se cree que los maleantes están ubicados en Rusia.

Por lo tanto y en conclusión, si antes no era una gran preocupación infectarse por un virus, espero haber ejemplificado una de varias amenazas reales que en serio afecta al usuario de una computadora. Es frustrante descubrir que las fotos de la familia, los videos de esos viajes y los documentos donde guardamos información valiosa de pronto ya no los podemos ver ni utilizar. Por lo tanto, es importante seguir algunas reglas básicas para reducir el riesgo y evitar esta (y otras) infecciones, por ejemplo:

·        Mantener actualizado el sistema operativo y sus aplicaciones con los últimos parches de seguridad.

·        Instalar un antivirus y configurarlo para que se actualice diariamente.

·        Respaldar la información periódicamente para poderla recuperar.

lunes, 16 de febrero de 2015

Cuatro obstáculos para lograr tus propósitos de seguridad

TechTarget me hizo el favor de publicar el siguiente artículo.

miércoles, 7 de enero de 2015

¿Desconectarse de internet durante un DDoS?

Les comparto mi artículo que publicó TechTarget:

http://searchdatacenter.techtarget.com/es/opinion/Desconectarse-de-internet-durante-un-DDoS

miércoles, 31 de diciembre de 2014

Predicciones anuales de seguridad informática

Leo predicciones de seguridad informática para el siguiente año. Léanlas, con la gran, gran mayoría de ellas se quedarán con un “¿Y luego qué”?

Varias no son predicciones sino que ya están sucediendo. Otras más suenan disparatadas sin base alguna y restaría por ver si las estrategias de seguridad deben de cambiar a partir de que se concreten.
 
Así es que tomar decisiones con base a predicciones no suena muy razonable; y si no se toman decisiones entonces se quedan más en el terreno de “información interesante, pero inútil”.
 
Mi alma está tranquila de que no soy el único que piensa así. Francamente, podríamos vivir cómodamente sin estas predicciones anuales de seguridad que tienen más el objetivo de llenar nuestro tiempo con datos insulsos.
 
Pero es un deporte que disfrutan varios en el campo de seguridad informática y dudo que vayan a dejar de aparecer cada fin de año; supongo que quien las hace se divierte y cree que aumenta su prestigio por haberlas creado. Ahora que lo pienso, supongo que voy a redactar mis predicciones de seguridad para aumentar mi perstigio.

lunes, 22 de diciembre de 2014

¿Se deben publicar datos robados?

A finales de noviembre del 2014, Sony fue atacado. Esta empresa dedicada al entretenimiento fue objeto de un gran robo de información. Asimismo, los atacantes se las arreglaron para borrar datos de las computadoras de Sony, dejando a los empleados sin poder trabajar normalmente.  


La información robada está siendo publicada en internet por los atacantes sin que los puedan detener, y de hecho hay incertidumbre sobre quién atacó a esta empresa.  

¿Quién es responsable?  
A finales de diciembre, el gobierno de EUA apuntó al gobierno de Corea del Norte como quien directa o indirectamente atacó a Sony y robó los datos. Sin embargo analistas de seguridad informática han puesto lo anterior en duda. La razón por la cual supuestamente Corea del Norte atacó a Sony es por una película que esta empresa iba a poner a disposición de los cines durante el mes de diciembre llamada The Interview, donde parte de la trama es el asesinato del líder de Corea del Norte, Kim Jong Un. 

Supuestamente, el líder de ese país enfureció y de ahí el ataque. Aunque como dije, hay quienes dudan de esta versión. Otros apuntan a que es parte de la estrategia continua de ese país para mantener un clima de tensión internacional en contra de ellos para cuestiones de propagando interna y mantener "enemigos que quieren destruir al país". 

¿Qué se robaron?   
Todo tipo de información. Hasta correos internos donde se pueden leer comentarios comprometedores de ejecutivos de Sony hablando mal del presidente Obama o de actores como Angelina Jolie. También el sueldo que dan a actores, o los esfuerzos de Sony por incrementar sus ventas así como sus estrategias. Asimismo, datos que revelan el enojo de Sony ya que según la empresa, Google no hace lo suficiente por eliminar de sus búsquedas diversos contenidos con derechos de autor. 

También robaron información de los empleados actuales de Sony y de los que ya no están laborando con ellos (números de seguro social, fecha de nacimiento, nombres y apellidos, números telefónicos, prestaciones, planes de jubilación, sueldo de ejecutivos, plan médico y hasta algunas copias de pasaportes). Y por si fuera poco, también robaron películas que todavía no se estrenan y los teléfonos y correos electrónicos de reconocidos actores. 

Sin mencionar cientos de contraseñas de servidores de Sony y de empleados. Cabe mencionar que antes de que saliera toda esta información a la luz, los atacantes intentaron chantajear a Sony con demandas que no han sido clarificadas aún. 

En fin, lo que hicieron los atacantes es extraer una gran cantidad de información y ya "con calma" la han estado analizando y poniendo disponible en internet.  

¿Es correcto publicar la información robada? 
A mediados de diciembre, Sony mostró su molestia y hasta dejando en el aire la posibilidad de demandar a los medios de comunicación que sigan publicando los detalles de la información robada. Por otro lado, hay quienes argumentan que es necesario mantener la libertad de empresa o que al estar publicando los detalles, otras empresas verán lo grave del asunto y elevarán su nivel actual de seguridad informática. 

En mi opinión, no es correcto publicar información robada. Finalmente, es información que no pertenece al público sino a una organización. Si el personal de seguridad de la información de las empresas hacen grandes esfuerzos por mantener protegidos los datos, es por algo. El argumento de que sólo así habrá otras empresas que tomarán medidas al ver la gravedad del robo, creo que no es válido. 

Tan simple como que a quien le robaron su información no es responsable de crear concientización en el resto de la industria; no es su papel y no tiene por qué hacerlo. Además de que si de lecciones hablamos, estimo que basta con saber el tipo de información robada para conocer su gravedad tal cual acabo de hacer hace unos párrafos arriba, y no es necesario saber los detalles y pensar que sólo así se crea conciencia. 
Así es que en esta situación estoy con Sony. 

La información robada es eso: información robada. Es como si un ladrón entrara a nuestra casa y sacara fotos de nuestros estados de cuenta, credencial del IFE, tarjetas de crédito, actas de nacimiento, pasaportes, propiedades, facturas de autos, certificados escolares y sacara fotos de nuestro domicilio. Y luego este maleante creara una página web donde pusiera toda esta información disponible para quien quisiera verla o guardarla en su computadora. Así es que como ven, no sólo está el hecho de que hayan forzado su entrada ilegalmente a nuestro domicilio. 

Creo que a nadie de nosotros nos gustaría que pusieran información personal y confidencial a disposición de todo mundo, no importa si son famosos o como yo, un simple ciudadano. Esa es información personal y nadie quiere que ande por ahí libre y disponible por internet. 

En conclusión, la información de las organizaciones no es pública, excepto la que por ley o normatividad así lo deba de ser; el resto no lo es, punto. Y nadie debe de publicar información robada, sólo por el simple hecho de que alguien más la hurtó. 

lunes, 1 de diciembre de 2014

No más seguridad, sino mejor seguridad

TechTarget me hizo el favor de publicar este artículo, espero lo disfruten.

lunes, 17 de noviembre de 2014

Apunta tu contraseña en un postit

Es común que vaya a conferencias de seguridad informática y que el presentador hable del mal hábito que tienen los usuarios de escribir sus contraseñas en papeles, en especial los llamados postit. Todo el público ríe y se complace de este viejo chiste entre los profesionales de seguridad como diciendo "oh sí, el eslabón más débil es el usuario". De tanto escucharlo, va perdiendo gracia con el tiempo y a pesar de que lo usan cada vez menos, es hasta cierto punto típico ver este ejemplo de las postit.


Sinceramente yo casi no he visto en últimos tiempos a usuarioescribiendo sus contraseñas y dejándolas al lado de su computadora. Y por otro lado, también he llegado a pensar que bajo ciertas circunstancias y condiciones, de hecho escribir una contraseña en un papel no es del todo mal. 

Por ejemplo, traer una contraseña en la cartera no supone demasiado riesgo. Uno la utiliza cuando es necesario y la vuelve a guardar; ante la pérdida el atacante no sabrá que esa contraseña es para un servicio en específico (GMail, cuenta de Facebook, cuenta corporativa). 

Obviamente sólo hay que apuntar la contraseña sin ninguna pista de para qué servicio es válida. Tampoco escribir el nombre de usuario (username). Y un truco adicional: memorizar una fácil cadena de caracteres y añadirla al final de la contraseña compleja escrita en el papel: por ejemplo si apunto "AwG32#m" y memorizo "Blindado2014", simplemente cuando me piden la contraseña, copio la del papel y añado la cadena que me fue fácil de memorizar: "AwG32#mBlindado2014"

Hasta puedo tener una lista de diferentes contraseñas complejas apuntadas a las que siempre les agregue la misma cadena de caracteres fáciles de memorizar. 

Otro ejemplo de bajo riesgo sería escribir una contraseña y dejarla en casa resguardada, para que en caso de que se nos olvide, podamos recuperarla.  
Lo cierto es que cuando empezó la era de la computación personal, eran un par de contraseñas las que un usuario debía de aprenderse. 

Hoy en día todo ha cambiado, y hay un PIN para cada tarjeta bancaria que usamos, redes sociales, cuentas corporativas y hasta para desbloquear el teléfono: no es difícil llegar a tener más de 50 contraseñas actualmente. No es de sorprendernos que los usuarios traten de hacer su vida más fácil y apunten contraseñas en papeles o bien, seleccionan una misma contraseña fácil para todo servicio que la pide y por cierto, nunca la cambian. 

Y si bien dije que hay  algunos casos específicos en donde es válido apuntar contraseñas en papales bajo ciertas circunstancias y condiciones, también hay claramente ejemplos donde es pésima idea hacer estoUn caso de ellos sería que tuviéramos una laptop corporativa

Pero el usuario de la laptop, por comodidad, escribe su contraseña en un papel y la deja dentro del maletín de la laptop o pegado a ella. Bueno, no nos debe de sorprender que cuando alguien que se haya robado la laptop encuentra el equipo y además ahí mismo está la contraseña para acceder a los datos, pues simplemente podrá teclearla y acceder a la información. Ante esta situación no hay nada qué hacer, el equipo protegido por contraseña la tiene ahí mismo para facilitare la vida al atacante

Otro caso similar sería dejar al lado de la computadora nuestra contraseña del equipo, o un papel que diga "Twitter JuanPerezpassword XXmiTwitter2014", no hay que ser un genio para saber qué tipo de contraseña es. 

Yo en lo personal soy usuario de LastPass. Es una aplicación excelente para guardar todas las contraseñas que tengo, y que me sería imposible memorizar (porque tengo una contraseña por servicio y la mayoría son complejas). 

Las puedo acceder en mi iPhone o vía web. Adicionalmente tengo apuntadas en un papel un par de contraseñas importantes, dicho papel lo tengo bien resguardado en casa y uso la técnica arriba mencionada, la que comenté de agregar una cadena memorizada al final. 

En conclusión, ante la problemática de tener una enorme cantidad de contraseñas hoy en día, podemos auxiliarnos de apuntar algunas contraseñas en papel, pero sólo bajo ciertas circunstancias y condiciones para evitar darle una ventaja al atacante. 

Y otra solución  mejor es usar alguna aplicación segura como la que recomendé de LastPass para resguardar contraseñas complejas y únicas por servicio.