martes, 3 de enero de 2017

La importancia de las políticas de seguridad de la información


¿Qué es una política de seguridad de la información? Son lineamientos que reflejan la postura de una organización ante la necesidad de proteger su información. La política establecerá de manera general qué deben hacer los empleados y qué no, para preservar la confidencialidad, integridad y disponibilidad de los activos de información.



¿Debe de haber contraseñas para acceder a las computadoras? ¿Un usuario puede desinstalar un antivirus? ¿Un administrador de sistemas puede realizar un cambio en la configuración de un servidor sin avisar a nadie? Esta es la serie de temas que bien podría abordar la política para que quedaran claros los lineamientos que rigen la seguridad de la información en una empresa.

Sabemos ya qué es una política. ¿Pero quién la necesita? La respuesta es fácil. Todas las organizaciones. Es como preguntar qué país necesita leyes. Tal vez unos tengan leyes muy amplias, otros las tendrán muy generales pero es un hecho que habrá algún tipo de ley. Lo mismo pasa con la política de seguridad de la información.

Idealmente esta política debe de formalizarse, vigilar que se siga y sancionarse si no la cumplimos. La primera parte de “formalización” es para que no sea un papel sin valor o un pliego de buenos deseos que ojalá alguien cumpla.
De alguna manera hay que ver que tenga esa fuerza y cada organización tendrá sus mecanismos para formalizarla. La segunda parte referente a que “vigilemos que se siga” es donde debe de haber alguien que verifique su seguimiento.
Es como el reglamento de tránsito: una parte es que exista el documento y que sea formal, y otra parte es que haya agentes de tránsito vigilando su cumplimiento. La última parte de sancionarse es obvia y es cuando la patrulla levanta una infracción a un conductor que no respetó la luz roja del semáforo.

La política es importante para tener lo que comúnmente se llama “las reglas del juego”. Así habrá un orden y dirección. Los empleados deben seguirla para evitar que la Alta Dirección deje este asunto de seguridad de la información al criterio particular de cada persona.

Y si bien una política es importante, también podemos caer en errores al implementarla, por ejemplo:

  • ¿Debe llamarse política de seguridad de la información? El nombre de este documento es lo de menos. Lo importante es el espíritu de la política. Pueden llamarle “lineamiento”, “norma” o “pautas”, siempre y cuando contenga las “reglas del juego”.
  • ¿Debe de ser un solo documento? No nos equivoquemos buscando un solo documento maestro que aglutine todas las reglas de la política. Estas reglas bien pueden estar dispersas en diversos documentos con diferentes nombres. De nueva cuenta, lo de menos es tener un solo documento o doce: lo importantes es el espíritu de la política, difundirla y seguirla.
  • ¿Debemos de llenarnos de reglas? Imagino una política kilométrica, con todo tipo de lineamientos a seguir para miles de actividades de todo tipo. A eso le llamaríamos sobre-regulación y el primer problema que enfrentaría una política así sería tener tiempo para si quiera leerla.
  • ¿Debe de ser específica? La política tiene generalidades, no pormenores. Para aquellos asuntos que valga la pena tratarse al detalle, deberán existir otros mecanismos que describan el procedimiento o actividad específica y sí, siempre alineado a la política general.

En conclusión, si no hay reglas, regirá el caos. Cada quién hará lo que crea que es correcto con argumentos propios de por qué si debería o no debería de hacerse esto o aquello y la protección de la información quedará a la deriva.
La importancia de la política radica precisamente en eso: en poner orden, en generar lineamientos orientados a la protección de uno de los activos más importantes que es la información que manejan las organizaciones.

jueves, 27 de octubre de 2016

El Internet de las Cosas ¿Seguras?

¿Qué es el internet de las cosas? El Internet of Things (IoT) es un término usado para todos aquellos aparatos diferentes a una computadora que tienen conexión a internet. Ejemplos sobran. Un refrigerador, una cámara de vigilancia vía web, una tele de las llamadas “inteligentes”, tal vez una lavadora o un tostador de pan. Son aparatos que tienen internet para diversos propósitos (por cierto, muchos de ellos, en verdad, inútiles). 


Está la cámara que sin necesidad de una computadora envía video a internet para que el usuario lo pueda ver en su teléfono. O el refrigerador que “sabe”: ya no tiene leche y la compra automáticamente en el supermercado. ¿Un tostador? Todavía no entiendo para qué querría un tostador tener internet, pero eso no importa, no hay que quedarse atrás en esta moda de “todo conectado a internet”.

Hasta aquí todo va bien. Suena conveniente tener una cámara directamente conectada a internet. O adquirir la ya conocida tele con “apps” de internet para ver cómodamente y a la hora que uno quiera la serie de The Walking Dead. ¿Qué podría salir mal?

La respuesta es conocida: la seguridad. Los fabricantes de estos aparatos tienen en mente que sus productos funcionen para venderlos lo mejor posible. Pero no tienen a la seguridad informática como una de sus prioridades. O bien carecen de una seguridad aceptable, o de plano no tienen nada que los protejan.

Pero no nos quedemos en la teoría diciendo lo peligroso que podrían ser estos aparatos conectados a internet si Júpiter está alineado con Marte y Saturno. ¿Necesitamos alineación de planetas? No, en el mes de octubre un proveedor de internet sufrió un embate llamado “denegación de servicio”. 

Es como sucede cuando regresamos de Cuernavaca en un puente: miles y miles de autos queriendo pasar por la caseta de cobro para entrar a la Ciudad de México en un corto periodo de tiempo. Las casetas no se dan abasto. 

Los autos crearon una denegación de servicio porque por más que las casetas atiendan rápido e inclusive abran un par más de ellas, los autos siguen llegando. Y el servicio está degradado a tal punto que en cierto sentido, está negado. De ahí el término de denegación de servicio.

Lo que hacen los criminales en línea es de manera artificial enviar miles y miles de autos maliciosos a las casetas de cobro, para que los verdaderos vacacionistas tarden tanto en pasar la caseta que será casi como si la caseta estuviera cerrada. Denegación de servicio. 

El truco radica en cómo crear autos maliciosos de manera artificial en cantidades exorbitantes para enviarlos a la caseta de cobro. Aquí es donde entran nuestros amigos del internet de las cosas.

Imaginen a esa cámara conectada directamente a internet. Supongamos que tiene una contraseña xc3511 para poder administrarla. Pero lo malo es que esa es por default, de esas que el fabricante pone en todos los modelos de un producto. 

Basta que el hacker averigüe la contraseña de una para saber que todas las cámaras de ese modelo de ese fabricante tiene la misma por default xc3511 para poder entrar al dispositivo como administrador y adueñarse de la cámara. 

Ahora creará un programa malicioso: buscará una y otra vez con rapidez este tipo de cámaras conectadas a internet. Y una vez que el programa las halle, de inmediato realiza una conexión con el password por default todopoderoso y ¡kaputt! 

Miles de cámaras son controladas por el hacker. Y así hace con televisiones u otros aparatos conectados a internet que son vulnerables y que pueden ser controlados.

¿Ven a dónde va la historia? Los autos maliciosos son las cámaras y refrigeradores controlados por el hacker. La caseta de cobro es en este caso el proveedor de internet Dyn que presta servicios de conexión a por ejemplo Twitter. 

Este proveedor sufrió en octubre una denegación de servicio de millones de dispositivos haciéndole peticiones de red inútiles con el fin de que los clientes de Dyn no obtuvieran el servicio de conexión. El virus que contagió a cámaras y demás dispositivos en la red tiene nombre: Mirai. Para más información de este suceso, busquen “Dyn DoS mirai”.

Es todo un reto mantener a las computadoras con una seguridad razonable, donde no existan contraseñas por default y tengan sus parches de seguridad. Imagínense ahora el reto de dejar en manos de los usuarios el hecho de cambiar las contraseñas por default de sus tostadores de pan. Y de estarles aplicando parches de software de seguridad a la cámara web o al refrigerador.


Me pregunto si los fabricantes del llamado internet de la cosas aprendieron la lección de hace ya varias décadas donde los sistemas de cómputo surgieron sin una seguridad en mente. Y eso costó y sigue costando caro a todos los que usamos la red. 

El internet de las cosas nos parecerá algo conveniente “¡qué idea tan buena que mi foco tenga conexión a internet!” Pero tras bambalinas es un juguete más conectado con nula o mediocre seguridad informática y donde sin así quererlo, estaremos participando en ataques a gran escala contra internet, cortesía de nuestro tostador y tele “inteligente”.

jueves, 8 de septiembre de 2016

El Producto Maravilla


Antes de poder sentarme en mi lugar para empezar bien el día trabajando, recuerdo que debo de asistir a la presentación de un producto. No soy de los primeros en llegar, pero llego justo a tiempo. No falta la plática con los colegas mientras llegan los proveedores, disparando un par de bromas durante la charla para suavizar el ambiente.


No es raro que los proveedores lleguen tarde a las juntas, casi siempre ponen como pretexto el “tráfico de la ciudad”, como si fueran extranjeros y por eso no saben del caos citadino y claro, por lo tanto calculan mal sus tiempos. Así es que la espera es de 10, 15 minutos.


Por fin llegan los proveedores. ¿Dónde puedo conectar mi laptop al cañón?”, empiezan diciendo mientras uno les señala el cable del proyector. “¡Ah sí! Buenos días, perdón, cómo están? Qué gusto”, continúan diciendo y uno amablemente les devuelve el saludo.


Y claro, no podían faltar las disculpas por la tardanza: “Es el tráfico, ya saben.” Y uno asienta con la cabeza como diciendo “Sí, lo sé, entiendo”. Pues ya qué.

Mientras prende la laptop del proveedor, aparecen entremezclados momentos incómodos de silencio, donde todos nos vemos unos a los otros. Alguien rompe el disgusto y habla del partido de ayer. Por fin enciende la laptop y disparan PowerPoint.


“Les vamos a mostrar un producto innovador, algo realmente nuevo que no han visto jamás”. Empiezan las diapositivas de la presentación y ¡oh sorpresa! Inician hablando de la relevancia de la empresa con el típico “¿Quiénes somos?”. Diez o quince minutos aprendiendo del fabricante del producto.

Bla, bla, bla. Me aburre. Muchos premios, muchos clientes ultra importantes como agencias de tres letras. Una sinfonía de maravillas. “¿Bueno, y qué hace el producto innovador?”, piensa uno. Sigue siendo un misterio.


Pasan a la diapositiva 21…creo que por fin hablarán del producto. Uy no. Ahora toca el turno de “la importancia de la seguridad informática para las empresas”.

Y no puede faltar la explicación de lo que es confidencialidad, integridad y disponibilidad. Como si no lo hubiera visto mil veces. Pues esta es la 1001. Seguido de por qué una empresa debe de atender los asuntos de ciberseguridad, y chorro-mil estadísticas de ataques informáticos alrededor del mundo y cientos de consecuencias negativas. Me aburre más, necesito café.


Ya han pasado casi 30 minutos. Todavía no sé qué hace ese producto maravilla. Veo caras de mis colegas de tipo “No pienso darles más de la hora asignada”; ¿Mmhh, o de hecho soy yo el único quien tiene esa cara? En fin. Y de pronto: habemus producto.

¡Empiezan a hablar de lo único interesante! Inician con la arquitectura del producto dentro de la infraestructura de TI. Para variar, la solución necesita un agente, un software instalado en cada una de las PC. Típico.

Otro agente más que debe ser instalado y mantenido en cada una de las computadoras; y pregunto de inmediato: “Y no pasa que luego de un par de meses, los agentes empiezan a desconectarse y esto es una pesadilla porque la consola central no los ve y no los puede administrar?” La respuesta llega en automático: “Claro que no, eso no le pasa a este producto, vaya pregunta”.


“Ajá, claro”, pienso yo. Y sigue la charla de cómo un agente establece comunicación con la consola central y cómo puedes hacer reportes con todo tipo de gráficas.


“Un momento”, interrumpe un colega. “Faltan 10 minutos para que acabe la sesión y todavía no sabemos qué hace el producto”. Yo río internamente, tiene mucha razón. Están por terminar y nadie todavía sabe qué hace ni cómo nos puede ayudar: han tenido la habilidad para hablar mucho y no decir nada.

Así es que por fin dejan de ver la pantalla con el PowerPoint, toman asiento, nos ven a la cara y hablan del producto.


“Detecta virus como ningún otro producto lo ha hecho”. Y uno piensa “Wow, tanto espectáculo para hablar de un vil antivirus?” Empiezan a hablar maravillas y de cómo apoya la misión y visión de toda empresa. De cómo los jefes nos felicitarán por la buena compra. Y que no hemos visto nada igual. Pero que no nos confundamos, porque este no es cualquier antivirus, y que de hecho es un grave error llamarlo antivirus porque es un “advanced APT detector” o ADD.  

Claro, no podía faltar el término obscuro en inglés para tratar de impresionar. Aquí puse el ejemplo de un supuesto antivirus, pero realmente pueden sustituirlo por cualquier otra herramienta de seguridad informática: firewall, IDS, etc.


Acaba el tiempo.  “¿Conclusiones?”, pide uno como cliente ya para dar por terminada la junta. Vomitan más adjetivos deslumbrantes del producto. Y yo pregunto: ¿Podemos hacer una demo, aquí en producción?” Al menos la respuesta es afirmativa.


Y resulta que después de varias semanas de armar un laboratorio donde probarán sus juguetes, sale el cobre: a final de cuentas no era un producto innovador. Ni avanzado en nada.

De hecho su consola está verde. Y el software presenta varias fallas. “Eso lo podemos arreglar de inmediato”, contestan, y uno piensa “¿Pues que no debería de servir ya a la primera si tan bueno es”?


En las presentaciones en PowerPoint todo es hermoso y funciona a la perfección. Las gráficas deslumbran y las animaciones cautivan.

La dama de ventas que asiste a la junta convence con su pura presencia. Hasta dan ganas de firmar y comprar ahí mismo; no hay lugar para esperar.

Pero como todo producto, hay que probarlo. Y no en un ambiente controlado, sino en “la vida real” donde lo enfrentaremos a los retos cotidianos y a la convivencia con otros productos de TI y claro, a los usuarios.

Ese es mi consejo: que un producto visto en PowerPoint pase la prueba del añejo instalándolo en computadoras e infraestructura de la propia empresa y que demuestre de qué está hecho.

Y por cierto, ya no recuerdo el último producto innovador y maravilloso que realmente fue así en la vida real, creo que fue de hecho hace ya varios años…

sábado, 30 de julio de 2016

Cómo desincentivar el uso de gestores de contraseñas

Una llave de oro abre todas las cerraduras.- Christoph Wieland

Desde hace años accedo a ese sitio en internet y siguiendo una de las recomendaciones de seguridad informática, uso una contraseña difícil de adivinar. Dado que este portal también pide token para acceder a él, mi contraseña no es demasiado compleja y tiene solo 10 caracteres. 


Recordemosun token genera contraseñas dinámicas diferentes cada vez que lo prendemos. Sirve como segundo factor de autenticación. 
También sigo otra sugerencia de seguridad informática: usar un gestor de contraseñas

¿Y eso qué es? Existen decenas si no es que cientos de contraseñas usadas por las personas para entrar a diferentes sitios en internet o en la empresa. Sin mencionar contraseñas del ruteador de la casa para entrar al WiFi, el de la computadora personal, etc. 

Los gestores de contraseñas son programas que las guardan para evitar recordarlas. Ese gestor pide una sola contraseña de acceso, pero con esa sola llave, me permite acceder al resto de llaves. Es como un llavero: colecciona la llave de Twitter, FaceBookGMail, etc. También un gestor permite usar diferentes contraseñas. 

Los gestores pueden de manera automática ponerlas cuando un sitio las pide, o bien, uno puede entrar al gestor y copiarla para pegarla en el portal. Ambas opciones son válidas. 

Mi sorpresa fue cuando ese sitio mencionado al inicio, de un día para otro impidió usar mi gestor. Intenté, como siempre, que el gestor detectara el sitio para poner de manera automática la contraseña: no sirvió. 

El portal estaba rechazando esta forma de ingresar la contraseña. ¿Cómo acceder ahora al sitio? Fácil, pensé; hay otra manera. Entro al gestor, copio la contraseña y la pego en la página de internet.

¿Qué sucedió esta vez? El portal rechazó pegar la contraseña: ni con las teclas (CTRL-V), ni con el menú del navegador...no hubo forma. "Increíble", pensé. Los encargados del sitio impidieron hacer esto en su página. 

¿Pero por qué? Imagino: Chavita, de seguridad informática, tuvo esta idea porque, según él, así es más seguro. No tenía muy clara la razón, algo leyó "por ahí" y un día lo propuso en la empresa: lo vendió como una "mejor práctica". Este argumento nunca falla. 

Durante la reunión, Chavita titubeó antes de decir palabra alguna, pero explicó: podría ser que un virus robara la contraseña al momento de copiar-pegar. También comentó: los usuarios podrían tener sus contraseñas en un archivo cualquiera en su computadora y de ahí copiar-pegar. Y eso no es seguro: tener una contraseña dentro de un archivo Word o Notepad sin protección. 

Notemos el uso de las palabras "podría ser". ¿Nunca expuso casos concretos o alguna referencia? No, con tan solo unir los conceptos de "mejores prácticas" y el famoso "podría ser", por arte de magia todos le creyeron. 

De inmediato le dieron la instrucción al encargado del sitio para impedir pegar contraseñas en el portal. Nadie cuestionó que los virus tienen otras varias formas de conseguir una contraseña, por ejemplo: cuando un usuario la teclea (con programas llamados keyloggers). 

Tampoco nadie comentó que los hackers desean robar cientos o  miles de contraseñas en un solo robo: un solo golpe maestro. Por eso centran sus esfuerzos en hurtar grandes cantidades de ellas de sitios de internet en lugar de robar una contraseña a la vez de cada equipo personal de los usuarios. 

¿Qué hago para acceder a ese sitio? A veces abro el gestor, memorizo un tramo de la contraseña y la escribo manualmente en el sitio y así de manea sucesiva hasta completar los 10 caracteres

Otras veces abro NotePad, pego ahí la contraseña y dejo la ventana del sitio y la ventana de Notepad abiertas al mismo tiempo para ir ingresando mi contraseña manualmente. Como dice Chavita que debe de ser. 

Pero Chavita no pensó en el esfuerzo para usar gestores de contraseñas porque tienen diversos beneficios. Y estos sitios que impiden el uso de copiar-pegar para contraseñas solo limitan y dificultan el uso de los gestores. 

A menos que encuentre trucos (busquen en internet: "Enable Copy-Paste in Web Pages That Disallow It"), haré lo indicado por Chavita respecto a la "mejor práctica" para evitar que una amenaza "pudiera" robarme mi contraseña. 

a ti Chavita te digo: de nada le serviría a esa amenaza tener mi contraseña. Porque cada vez que quiero entrar a tu sitio, también pide una contraseña dinámica única y diferente proporcionada por el token y solo yo lo poseo.