domingo, 10 de mayo de 2015

Ni Blanco ni Negro

Mi profesor de economía de la preparatoria mencionó una frase que he recordado hasta el día de hoy. "En las personas, no hay blancos o negros, solo diferentes tonalidades de gris". Él se refería a que en su opinión, las personas no son 100% honestas u honradas, y tampoco 100% malignas y diabólicas, sino que hay tonalidades de grises y cada persona tiende a estar de un gris más blanco, o un gris oscuro. 


Podemos o no estar de acuerdo con esta aseveración, pero esta analogía me vino a le mente un día que en una reunión estábamos discutiendo sobre el grado de seguridad que debería de tener un sistema conectado a una red crítica. 

En las computadoras y redes también hay diferentes tonalidades de grises. Solamente resta decidir que tan gris-blanco o gris-negro se desea que sea. Por ejemplo, si está conectada a internet, oscurecerá más. 

Si tiene habilitado los puertos USB por donde se le puede conectar cualquier dispositivo, será un poco más oscuro ese gris. Si no se le aplican parches o es muy poco frecuente, más oscuridad. Y así podemos ir enlistando una serie de características que si se le añaden, su seguridad será más negra cada vez. 

Claro que una seguridad ennegrecida puede significar mayor funcionalidad, es decir, que el sistema sea más fácil de usar y presenta menos "incomodidades" que tiene que "sufrir" el usuario. Por ejemplo, permitimos que un sistema pueda recibir USB y es un grado más inseguro (este medio es uno de los preferidos por el código malicioso para propagarse) pero lo hace más funcional porque nos resulta sencillo trasladar información usando un dispositivo USB. 

Que una computadora tenga antivirus, se parche y actualice con frecuencia, impida recibir dispositivos de almacenamiento tipo USB y que carezca de internet hará que ese sistema sea gris claro, cada vez más blanco.  

Si bien un sistema continuará teniendo cierto grado de tonalidad gris, aquí la pregunta sería que tan gris-blanco deseamos que sea. Y cada vez que incrementa un tono más blanco, hay más seguridad, pero será menos fácil de usar "normalmente". El sistema se puede hacer de un tono gris muy blanco, pero dejará de ser funcional. 

A esto le llamamos el "apetito de riesgo". Es decir, cuánto riesgo deseamos aceptar y que el sistema todavía cumpla con el objetivo que deseamos perseguir en la compañía. Y ese será el balance adecuado entre seguridad y funcionalidad. 
Así es que hay dos enfoques de donde se puede parir. 

Te puedo entregar un equipo desprotegido y le voy añadiendo seguridad y en cada paso me dices si sigue siendo funcional para ti. Hasta llegar al balance adecuado. O al revés, partimos de un equipo bastante seguro y me dices si te sirve, y a partir de ahí le iremos quitando controles de seguridad. 

Claro está, para hacer esto, es importante entender el riesgo informático para decidir de una manera informada hasta dónde llega el apetito al riesgo, es decir, cuánto riesgo deseo aceptar.  

Un día me encontré a un vecino. Me dijo que había subido la barda de su jardín, había puesto nuevas chapas de seguridad e instalado un par de cámaras alrededor de su casa. Me preguntó que si eso era suficiente. Odio las respuestas del tipo "depende", pero depende de varios factores (dónde vive, a qué se dedica, quiénes son sus posibles adversarios, etc.). 

Así es que es una pregunta que requiere un análisis para ser respondida, porque hay que definir cuánto es suficiente y dónde parar. El apetito al riesgo, pues. Lo mismo sucede con los equipos de cómputo, se les puede poner más y más seguridad y llegará un punto en que es o demasiado costoso o poco funcional para cumplir con lo que se desea hacer con el mismo. 

La seguridad tiene un costo (y no me refiero solamente al económico), y es importante decidir hasta dónde queremos empujar esa seguridad con tal de estar protegidos.


miércoles, 25 de marzo de 2015

Secuestro de Información

Todos hemos escuchado de los virus que infectan a las computadoras. Sin embargo muchos no tendrán muy claras las consecuencias de tener un equipo infectado. Tal vez hayan escuchado que los virus extraen nuestra información o que cambian la apariencia o uso de un sistema, y tienen razón. Sin embargo para las personas, estas son consecuencias no tan importantes y por lo tanto descuidan la seguridad de su equipo. Total, ante una infección, ya se darán el tiempo para desinfectarla y todo volverá a la normalidad.

Y de entre los virus que infectan computadoras, tal vez haya un tipo del que seguramente todos sí que lo encontrarán peligroso y con consecuencias muy palpables para el usuario. Y me refiero a los llamados “ransomware” o infecciones que secuestran archivos de la computadora. La manera de operar de este tipo de código malicioso es que cifra los archivos que están en la computadora, por ejemplo los documentos de Office. Al cifrarlos, lo que hace es volverlos ininteligibles, salvo que se tenga la llave para descifrarlos y que se puedan volver a ver. Y la llave para hacer esto está en poder de los maleantes.

Un virus famoso de este tipo fue CryptoLocker pero ya no está en operación, pero otros han ocupado su lugar, como por ejemplo CryptoWall. A estos virus los controlan varios atacantes quienes crean y administran estos códigos maliciosos y se encargan de infectar sistemas de cómputo Windows. Una vez que este virus llega a la computadora, su objetivo en primera instancia es el de cifrar los archivos de trabajo del usuario, por ejemplo ese reporte en Word o esa hoja de cálculo en Excel con información de las ventas del último trimestre, así como fotos o videos. Cuando el usuario trata de ver alguno de estos archivos, se dará cuenta de que no puede abrirlos por ningún medio. Pronto empezará a notar que todos sus archivos de trabajo, fotos y videos siguen estando ahí pero no es posible abrirlos.
 
Y es cuando un mensaje se abre en la pantalla informando que los archivos fueron “protegidos” con un cifrado fuerte y avisa que ni intentemos recuperar los archivos porque no es posible hacerlo. Y tiene razón. Cuando un programa (malicioso o no) cifra información de una manera adecuada y siguiendo “las mejores prácticas”, no es posible ver la información en su forma original. De hecho el cifrar algo es usado por “los buenos” para proteger información, por ejemplo la corporativa, o también en la red para interactuar con sitios protegidos como la banca en línea.
 
Pero este virus aprovecha esta técnica (la de cifrar) para cumplir con sus objetivos maliciosos. Y aquí viene la peor parte: el mensaje en la pantalla pide dinero para proporcionar la llave que finalmente descifrará la información para el usuario y que con esto vuelva a ver y usar sus documentos, fotos y videos.

Claramente, los creadores de este tipo de virus que secuestran información tienen el objetivo en mente de ganar dinero al momento en que las víctimas pagan el rescate de sus archivos. Tal vez no todos paguen el rescate, pero hay una cantidad importante de gente que sí lo hará con tal de volver a la normalidad. Los maleantes dan cierto tiempo a la víctima para pagar, de otra manera el rescate se incrementa. Hay un par de casos donde la víctima pidió más tiempo sin que se incrementara el costo, y se lo concedieron, pero normalmente cumplirán sus amenazas.

Otros usuarios intentan no pagar y recuperar sus archivos con guías, herramientas o programas disponibles en internet. Sin embargo varios de estos virus están bien diseñados y desarrollados por lo que es virtualmente imposible recuperar la información a menos que se pague para obtener la llave que dará libertad a los archivos. El pago se hace normalmente en moneda virtual (por ejemplo bitcoin) y se cree que los maleantes están ubicados en Rusia.

Por lo tanto y en conclusión, si antes no era una gran preocupación infectarse por un virus, espero haber ejemplificado una de varias amenazas reales que en serio afecta al usuario de una computadora. Es frustrante descubrir que las fotos de la familia, los videos de esos viajes y los documentos donde guardamos información valiosa de pronto ya no los podemos ver ni utilizar. Por lo tanto, es importante seguir algunas reglas básicas para reducir el riesgo y evitar esta (y otras) infecciones, por ejemplo:

·        Mantener actualizado el sistema operativo y sus aplicaciones con los últimos parches de seguridad.

·        Instalar un antivirus y configurarlo para que se actualice diariamente.

·        Respaldar la información periódicamente para poderla recuperar.

lunes, 16 de febrero de 2015

Cuatro obstáculos para lograr tus propósitos de seguridad

TechTarget me hizo el favor de publicar el siguiente artículo.

miércoles, 7 de enero de 2015

¿Desconectarse de internet durante un DDoS?

Les comparto mi artículo que publicó TechTarget:

http://searchdatacenter.techtarget.com/es/opinion/Desconectarse-de-internet-durante-un-DDoS

miércoles, 31 de diciembre de 2014

Predicciones anuales de seguridad informática

Leo predicciones de seguridad informática para el siguiente año. Léanlas, con la gran, gran mayoría de ellas se quedarán con un “¿Y luego qué”?

Varias no son predicciones sino que ya están sucediendo. Otras más suenan disparatadas sin base alguna y restaría por ver si las estrategias de seguridad deben de cambiar a partir de que se concreten.
 
Así es que tomar decisiones con base a predicciones no suena muy razonable; y si no se toman decisiones entonces se quedan más en el terreno de “información interesante, pero inútil”.
 
Mi alma está tranquila de que no soy el único que piensa así. Francamente, podríamos vivir cómodamente sin estas predicciones anuales de seguridad que tienen más el objetivo de llenar nuestro tiempo con datos insulsos.
 
Pero es un deporte que disfrutan varios en el campo de seguridad informática y dudo que vayan a dejar de aparecer cada fin de año; supongo que quien las hace se divierte y cree que aumenta su prestigio por haberlas creado. Ahora que lo pienso, supongo que voy a redactar mis predicciones de seguridad para aumentar mi perstigio.

lunes, 22 de diciembre de 2014

¿Se deben publicar datos robados?

A finales de noviembre del 2014, Sony fue atacado. Esta empresa dedicada al entretenimiento fue objeto de un gran robo de información. Asimismo, los atacantes se las arreglaron para borrar datos de las computadoras de Sony, dejando a los empleados sin poder trabajar normalmente.  


La información robada está siendo publicada en internet por los atacantes sin que los puedan detener, y de hecho hay incertidumbre sobre quién atacó a esta empresa.  

¿Quién es responsable?  
A finales de diciembre, el gobierno de EUA apuntó al gobierno de Corea del Norte como quien directa o indirectamente atacó a Sony y robó los datos. Sin embargo analistas de seguridad informática han puesto lo anterior en duda. La razón por la cual supuestamente Corea del Norte atacó a Sony es por una película que esta empresa iba a poner a disposición de los cines durante el mes de diciembre llamada The Interview, donde parte de la trama es el asesinato del líder de Corea del Norte, Kim Jong Un. 

Supuestamente, el líder de ese país enfureció y de ahí el ataque. Aunque como dije, hay quienes dudan de esta versión. Otros apuntan a que es parte de la estrategia continua de ese país para mantener un clima de tensión internacional en contra de ellos para cuestiones de propagando interna y mantener "enemigos que quieren destruir al país". 

¿Qué se robaron?   
Todo tipo de información. Hasta correos internos donde se pueden leer comentarios comprometedores de ejecutivos de Sony hablando mal del presidente Obama o de actores como Angelina Jolie. También el sueldo que dan a actores, o los esfuerzos de Sony por incrementar sus ventas así como sus estrategias. Asimismo, datos que revelan el enojo de Sony ya que según la empresa, Google no hace lo suficiente por eliminar de sus búsquedas diversos contenidos con derechos de autor. 

También robaron información de los empleados actuales de Sony y de los que ya no están laborando con ellos (números de seguro social, fecha de nacimiento, nombres y apellidos, números telefónicos, prestaciones, planes de jubilación, sueldo de ejecutivos, plan médico y hasta algunas copias de pasaportes). Y por si fuera poco, también robaron películas que todavía no se estrenan y los teléfonos y correos electrónicos de reconocidos actores. 

Sin mencionar cientos de contraseñas de servidores de Sony y de empleados. Cabe mencionar que antes de que saliera toda esta información a la luz, los atacantes intentaron chantajear a Sony con demandas que no han sido clarificadas aún. 

En fin, lo que hicieron los atacantes es extraer una gran cantidad de información y ya "con calma" la han estado analizando y poniendo disponible en internet.  

¿Es correcto publicar la información robada? 
A mediados de diciembre, Sony mostró su molestia y hasta dejando en el aire la posibilidad de demandar a los medios de comunicación que sigan publicando los detalles de la información robada. Por otro lado, hay quienes argumentan que es necesario mantener la libertad de empresa o que al estar publicando los detalles, otras empresas verán lo grave del asunto y elevarán su nivel actual de seguridad informática. 

En mi opinión, no es correcto publicar información robada. Finalmente, es información que no pertenece al público sino a una organización. Si el personal de seguridad de la información de las empresas hacen grandes esfuerzos por mantener protegidos los datos, es por algo. El argumento de que sólo así habrá otras empresas que tomarán medidas al ver la gravedad del robo, creo que no es válido. 

Tan simple como que a quien le robaron su información no es responsable de crear concientización en el resto de la industria; no es su papel y no tiene por qué hacerlo. Además de que si de lecciones hablamos, estimo que basta con saber el tipo de información robada para conocer su gravedad tal cual acabo de hacer hace unos párrafos arriba, y no es necesario saber los detalles y pensar que sólo así se crea conciencia. 
Así es que en esta situación estoy con Sony. 

La información robada es eso: información robada. Es como si un ladrón entrara a nuestra casa y sacara fotos de nuestros estados de cuenta, credencial del IFE, tarjetas de crédito, actas de nacimiento, pasaportes, propiedades, facturas de autos, certificados escolares y sacara fotos de nuestro domicilio. Y luego este maleante creara una página web donde pusiera toda esta información disponible para quien quisiera verla o guardarla en su computadora. Así es que como ven, no sólo está el hecho de que hayan forzado su entrada ilegalmente a nuestro domicilio. 

Creo que a nadie de nosotros nos gustaría que pusieran información personal y confidencial a disposición de todo mundo, no importa si son famosos o como yo, un simple ciudadano. Esa es información personal y nadie quiere que ande por ahí libre y disponible por internet. 

En conclusión, la información de las organizaciones no es pública, excepto la que por ley o normatividad así lo deba de ser; el resto no lo es, punto. Y nadie debe de publicar información robada, sólo por el simple hecho de que alguien más la hurtó. 

lunes, 1 de diciembre de 2014

No más seguridad, sino mejor seguridad

TechTarget me hizo el favor de publicar este artículo, espero lo disfruten.