lunes, 21 de junio de 2010 3 comentarios

El negocio de lo falso

Este sábado tuve la oportunidad de ver un reportaje de Documentos TV de esos que ponen la piel de gallina. Titulado "El negocio de lo falso" relata cómo la piratería industrial está inundando los mercados de falsificaciones y en algunos casos, ni siquiera advirtiendo de que los productos son copia.

Quizás el lector, al pensar en esta problemática, tenga en mente las copias ilegales de marcas de ropa, películas de cine, complementos de moda. Sin embargo, esta industria de lo falso no limita sus garras hacia mercados donde la mala calidad del producto puede no tener efectos colaterales. Como digo, lo inundan todo y el ánimo de lucro sin escrúpulo alguno les lleva a copiar medicamentos, piezas de automóviles, baterías de móviles, etc. Son piezas industriales cuyo fallo por mala calidad puede tener dramáticas consecuencias.

Este fenómeno es una auténtica involución industrial dado que uno de los grandes avances del siglo XX ha sido establecer requisitos y garantías sobre los productos que requieren superar pruebas y especificaciones para poder ser comercializados. Esta venta de productos que no gozan de esas garantías y que hacen trampas no teniendo que superar los habituales controles de calidad no puede estar justificada por el abaratamiento de costes. Cada producto que se lanza al mercado supone una responsabilidad por parte del fabricante y esta industria de lo pirata ignora estas restricciones. El problema es compartido entre fabricante y cliente pero lo grave de esta situación es que el cliente empieza a ignorar cuando está ante un original y cuando está ante una copia. Es quizás una de las reflexiones más sangrantes del documental.

Lo que más preocupa es sin duda esta situación en el mercado de los fármacos. No se si mi subconsciente me traiciona, pero dos de las problemáticas que más deben preocuparnos respecto al comercio electrónico "incontrolado" son quizás el fomento de las adiciones (y ya comenté la semana pasada la problemática del juego online) y la venta de medicamentos fraudulentos.

Obviamente cualquier persona con un poco de sentido común no puede encontrar razonable que a través de Internet el precio de las cosas baje ostensiblemente y que crea estar adquiriendo un producto original. No existen los duros a cuatro pesetas y aunque Internet puede generar reducción de costes, no hace milagros con los procesos de fabricación de las cosas. Por tanto, las disminuciones de precio están asociadas a otros factores y en muchas ocasiones, relacionados con la piratería industrial.

Sorprende la capacidad de esta industria de lo falso por lograr buenas imitaciones pero también, personalmente, me lleva a pensar si no es esta la parte del iceberg que hace visible las fugas de información de las grandes marcas. La protección de la propiedad industrial, cuando se trata de propiedad intelectual será una de las áreas que seguirá haciendo crecer la seguridad de la información. No es casual que la certificación ISO 27001 cuente con un gran éxito en países muy industrializados como Japon. En la Web http://www.iso27001certificates.com/
se pueden consultar las estadísticas no oficiales de las certificaciones ISO 27001 a nivel mundial y sorprende ver el liderato absoluto de Japón respecto al resto del mundo.
De 6443, 3500 más o menos corresponden a Japón lo que hace pensar que este país es generador de ideas y que entiende que su futuro pasa por garantizar al máximo su protección para poder luego vivir de la explotación comercial e industrial de su investigación y desarrollo. Hay una frase célebre de Bernard Shaw que resume esta problemática perfectamente:
"Si tú tienes una manzana y yo tengo una manzana e intercambiamos las manzanas, entonces tanto tú como yo seguiremos teniendo una manzana cada uno. Pero si tú tienes una idea y yo tengo una idea, e intercambiamos las ideas, entonces ambos tendremos dos ideas"


El problema es complejo de solventar dado que el volumen de negocio que se mueve a través de las redes de transporte sólo permite la inspección de un reducido número de contenedores por lo que los malhechores saben que tienen las de ganar. Esta situación pretende ser, en alguna medida, paliada por normas como ISO 28000 que trata de preservar la seguridad de la cadena de suministro.



El documental completo puede verse mediante TVE A la carta en "El negocio de lo falso"
sábado, 12 de junio de 2010 1 comentarios

¿Puede Internet avasallar a la Justicia? Las apuestas on line.

Cuando hablamos de Internet y su regulación, recurrimos frecuentemente a la frase "No es posible ponerle puertas al campo". Sin embargo en algunos temas creo que al menos si habría que vallar ciertos perímetros infranqueables.

Internet no tiene forma y no entiende de territorios pero jamás debería poder avasallar a la Justicia. En este blog muchas veces referencio situaciones o denuncio circunstancias que pueden suponer riesgos al internauta. Habitualmente muchas de ellas están relacionadas con el mundo del cibercrimen o con los abusos cometidos en materia de protección de datos. Sin embargo hay una sombra alargada y silenciosa que está penetrando (bueno, ya ha penetrado) en Internet y que no llama la atención a nadie. Se trata del mundo de las apuestas online.

La moda es preocuparnos por proteger a nuestros menores frente a las redes sociales y destacamos la importancia de concienciar sobre la privacidad. Sin embargo, no somos conscientes del increíble fomento que se hace del juego que puede acabar en la ludopatía. En España, el juego es una actividad reglada y bajo la tutela del Estado. Julián Inza (ya en el año 2006) dedicó un post en su blog con un titular rotundo "Las apuestas por Internet son ilegales en España (de momento)"
Tal como cita su post:
"Por si todavía hay gente que lo niega, cito de la Ley 30/2005, de 29 de diciembre, de Presupuestos Generales del Estado para el año 2006.

DISPOSICIÓN ADICIONAL QUINCUAGÉSIMA SÉPTIMA. Modificación de la Ley 46/1985, de 27 de diciembre, de Presupuestos Generales del Estado para 1986.

Con efectos de 1 de enero de 2006 y vigencia indefinida se modifica la disposición adicional decimoctava, apartado uno, de la Ley 46/1985, de 27 de diciembre, de Presupuestos Generales del Estado para 1986, que queda redactada en los siguientes términos:

Uno. A los efectos de lo previsto en los artículos 1.7 y 2.1.d de la Ley Orgánica 12/1995, de 12 de diciembre, de Represión del Contrabando, se entiende prohibida la circulación, comercio, tenencia o producción de billetes, boletos, sellos, cartones, resguardos, máquinas o cualquier otro elemento, incluso técnico o informático, que constituya soporte en la práctica de juegos de azar, sorteos, loterías, rifas, tómbolas, quinielas, combinaciones aleatorias y, en general, todas aquellas actividades en las que se arriesguen cantidades de dinero u objetos económicamente evaluables en forma de envites o traviesas sobre resultados."


Desde entonces no parece que hayan cambiado mucho las cosas. Esta semana el Diario Expansión comenta la noticia "El limbo legal de las apuestas online". que indica que "Desde Europa se han puesto manos a la obra y la semana pasada el Tribunal de Justicia de la UE dictaminaba que "un Estado miembro de la Unión Europea (UE) puede prohibir los juegos de azar en Internet". La sentencia supone una restricción de la libre circulación de servicios, pero se justifica para proteger a los consumidores y para luchar contra el fraude y la criminalidad".

Y aquí nos encontramos con dos problemas importantes de nuestra sociedad. Por un lado la lentitud del regulador para legislar y establecer restricciones antes de que la cosa se descontrole, siendo previsor y evitando tendencias peligrosas que acaban por ser incontrolables cuando el tiempo pasa y por otro, la no supeditación de las empresas al marco regulador de un país concreto dado que pueden operar desde cualquier lugar en el mundo yéndose a paraísos legales adecuados a sus intereses.

Detrás de todo eso no hay más que mucho dinero, muchísimo... que fluye desde el bolsillo del internauta hasta los jerifaltes que montan este tipo de empresas. Todo lícito salvo por una cosa: los menores.

Si en redes sociales nos planteamos de forma seria cómo verificar que los menores no acceden a servicios no autorizados, con más interés debiera hacerse para que no accedan al mundo de las apuestas online sabiendo además que los reclamos publicitarios son agresivos y que el dinero siempre es una gran tentación. Creo que debemos ser proteccionistas respecto a cómo educamos a nuestros menores y qué cosas se incentivan como valores y modelos de conducta. Jamás en España se ha podido apostar y a diario ya tengo que soportar en radio y televisión cómo se lanzan reclamos para participar en este tipo de apuestas: se puja por todo e incluso regalan dinero para entrar en el portal y empezar a participar. Es la gran hipocresía de nuestra sociedad. Sólo se abordan los problemas cuando el número de víctimas se hace preocupante, pero no porque se quiera ir contra el problema. Imagino que el mundo de las apuestas seguirá el mismo camino que dos de sus adiciones antecesoras: tabaco y alcohol. Puede que incluso su regulación vaya todavía más rápido dado que según parece, el Estado no se beneficia de las adicciones de los ciudadanos porque los impuestos no están tributando en nuestro país. De nuevo cabe preguntar, ¿Donde está el legislador en esta materia? ¿Por qué no generan alarma social estos hechos?

Es invisible quizás porque detrás de todo este mundo, todos los actores que participan ganan: es una relación win-to-win. Los medios de comunicación ingresan por publicidad, los portales ganan dinero con los internautas ... y el ciudadano no ve nada malo en todo ello y cree que el azar puede solventar sus penurias económicas tras un par de clicks. Las cifras de negocio quedan escondidas pero haced sólo una reflexión: pensar tan solo cual es la publicidad que lucen la mayoría de los equipos de fútbol de la liga española. Un mundo donde poner una marca siempre ha sido un codiciado bien que se ha pagado carísimo es ahora copado por el sector de las apuestas online. ¿Qué ganarán para poder pagar el estar ahí todos los domingos en los pechos de uno de los reclamos publicitarios más codiciados?

La sentencia de la Unión Europea considera "las apuestas online más peligrosas que los juegos tradicionales". La ludopatía es una adicción que como el resto, empieza por unos hábitos frecuentes y acaba como una enfermedad no controlable por el paciente.

Y el problema no es como señala la asociación AEDAPI (Asociación Española de Apuestas por Internet) la regulación del sector del juego en Internet "pues esto supondría un gran beneficio para España, tanto por los impuestos, las empresas que se instalaran aquí y la creación de empleo" sino definir qué tipo de valores queremos inculcar a nuestra población. En tiempos de crisis donde el dinero escasea y es difícil tener cama y comida asegurada hay dos mensajes que transmitir:
1.- El futuro sólo lo arregla el sudor y es esfuerzo continuo por ser productivo en el oficio elegido.
2.- El dinero viene solo. Basta un minuto de gloria en Internet e intentar luego copar programas basura o tener un día de suerte y ganar una ingente cantidad de dinero en apuestas, casinos online o partidas de poker.

Yo tengo claro qué escogería, pero ¿Y un menor?
jueves, 3 de junio de 2010 1 comentarios

Buenafuente entrevista a Enjuto Mojamuto

No viene mal un poco de humor de vez en cuando. Dos genios del humor, Buenafuente y Enjuto Mojamuto comparten una realidad aumentada en torno a una entrevista.


Curioso ver como para descolgar a Buenafuente, accede a su cerebro que tiene Mac OS como sistema operativo. Ojalá fuera tan sencillo descolgar así a algunos políticos.
miércoles, 2 de junio de 2010 6 comentarios

Google no entiende "su problema de seguridad" y adopta la estrategia del avestruz

Cuando uno lee noticias que llenan grandes titulares y que resultan significativas o llamativas debe coger siempre el contenido con pinzas. La de hoy es el anuncio por parte de Google de suprimir internamente el uso de Windows por motivos de seguridad. Obviamente detrás de un titular similar debe haber motivos económicos, estrategias empresariales y otras causas que lleven al Gran Hermano a hacer un salto tecnológico tan importante pero desde luego, no parece razonable que sea "solo" por la seguridad.

Básicamente porque el incidente relacionado con la Operación Aurora podría repetirse perfectamente en las nuevas plataformas que quiere utilizar, ya sea Linux, Mac Os o su futuro sistema operativo. Voy a tratar de justificar mi planteamiento en base a lo que sucedió en la operación Aurora que es utilizado como coartada para el salto.

Los hechos
    Tal como explica excelentemente en la noticia Una-al-día de hoy de Hispasec Sergio de los Santos y que voy a ir citando "En enero, Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras, por el que habían robado código de ciertos programas. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail. El objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. En la investigación abierta (que se llamó "Aurora") descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar. El malware utilizaba varias vulnerabilidades 0-day."

    Lo que supimos después es que Google usaba Internet Explorer 6, un producto bastante antiguo en el mercado y obviamente muy vulnerable dado que su programación no consideraba en su momento muchos de los vectores de ataque que han sido descubiertos con posterioridad. En la noticia de una-al-día se explican los detalles técnicos de cómo sucedió para los más curiosos. Por tanto, el primer problema de Google respecto a la seguridad es no entender la seguridad como un proceso. Además resulta curioso que la propia Google no utilice su tan venerado Chrome o que se vaya a versiones tan antiguas de IE cuando es gratuita la descarga de IE8.
    Por tanto, la primera lección de Google debería haber aprendido es que los fallos de seguridad ya no se mueven solo en la capa del sistema operativo. Eso no lo va a solucionar el saltar a Linux o Mac Os.


El campo de batalla
    Como se supo después del incidente y tal como recogen las noticias del mismo, el ataque fue altamente sofisticado, dirigido y basado en mucha información previa sobre el propio Google. Por tanto, cabe discernir que el enemigo hizo y hubiera hecho lo que hubiera sido necesario para lograr la intrusión en Google. El segundo problema de Google puede ser desconocer o subestimar a su enemigo. La motivación es muy alta y una protección elemental no disuade al agresor a desistir. Por tanto, quizás como efecto colateral, lo que Google está haciendo a Linux o Mac Os es ponerles ahora directamente una diana dado que los atacantes van a tener que empezar a investigar sobre como lograr la intrusión en estos sistemas operativos. Cierto es que la lógica de ambos sistemas operativos es robusta dado que son Unix pero... hasta ahora también han gozado de un desinterés por parte de los que intentan ver cuanto puede aguantar el sistema operativo. Quizás ahora la cosa cambie si el uso de otros sistemas operativos se va generalizando y empecemos a ver que no son tan seguros como aparentan y que su robustez se ha basado más en la no motivación de atacantes que en el propio mérito del SO. La primera prueba de fuego la van a sufrir las versiones para móviles dado que Android y el sistema operativo de Apple para el Iphone si son mayoritarios dentro del mundo de la telefonía y por tanto, objetivo prioritario de atacantes. Sólo el tiempo podrá ser juez en esta situación.


La estrategia
    Quizás lo que Google no valora es el conocimiento que tiene la propia Microsoft sobre la gestión de la seguridad. Como suele decir el dicho popular, "la letra con sangre entra" y Microsoft lleva mucho tiempo sufriendo y además en varios escenarios (entorno doméstico y empresarial). Por tanto, en este cambio de estrategia lo que Google deja atrás son herramientas de administración corporativas que permiten de forma cómoda o ágil el despliegue de actualizaciones, servicios de gestión de incidentes que intentan resolver vulnerabilidades Zero-day con una velocidad inusitada, un Microsoft Malware Protection Center (MMPC) que a diario lucha frente al crimen organizado y que además intenta vigilar antes de que el propio malware se elabore, en las primeras fases de diseño. A ello se suma una política de actualización del software madura que dispone de publicación de parches con una regularidad mensual y que tiene entornos de prueba sobre los propios parches para evitar efectos colaterales no deseados. Que le cuenten a Mcafee que consecuencias tiene el no probar bien las actualizaciones. El tercer problema de Google puede ser no disponer de procesos internos de gestión y operación de la seguridad independientemente del sistema operativo que utilicen.


Las amenazas
    Empieza ya a ser un tópico de la seguridad eso de que Linux y Mac Os no tiene problemas de seguridad. Es cierto que tienen un espectro pequeño de amenazas "conocidas" pero haberlas hailas, como las meigas. Es cierto que son limitadas,no muy numerosas y que suponen normalmente un error de usuario dado que el perfil con el que corren los procesos no suele ser el de administración, pero hay constancia ya con noticias cada cierta frecuencia de problemas en estos entornos. Hoy se conoce que ciertas Webs de distribución de software han incluido spyware en sus descargas. Por tanto, el peligro real para Google está en el cuadrante de amenazas que se situan en el lado de lo desconocido.

    Además, a Google lo que debiera precisamente de preocuparle no son las amenazas conocidas sino las desconocidas, las zero-day de las que nada se sabe hasta que se detecta la intrusión. Por tanto, el cambio de escenario para nada va a relajar las medidas preventivas o de detección de anomalías que hubiera que instalar y por tanto, el cambio de plataforma no evita muchos riesgos que actualmente tiene.El cuarto problema de Google puede ser pensar que este cambio de estrategia va a solventar sus problemas de seguridad o que los hace menos vulnerables..


Conclusión
    El anuncio de Google debe tener una justificación puramente empresarial porque no cuela que la coartada sea la seguridad. Quizás sea su futuro Google-Os aunque lo mismo nos llevamos la sorpresa dentro de unos años de tener otra "Operación Aurora II" donde entran a Google a través de Mac Os porque ni la propia Google utiliza su sistema operativo. Lo que Google debe entender es que para tener más seguridad debe trabajar y hacer cosas por la seguridad y las deficiencias que dieron lugar a la operación Aurora ponen de manifiesto el fallo de los "procesos que deben velar por la protección de sus activos", es decir, una gestión y configuración adecuada del software, una política de actualización y gestión de vulnerabilidades, una concienciación a usuarios, unas restricciones en los entornos de escritorio, etc. Cosas que hay que hacer todos los días para luchar contra el enemigo invisible que cualquir día te crea un problema gordo y se lleva tu "codigo fuente". Tanto valgan tus activos,tanto deberás gastar en protegerlos.

    Y comparto también la reflexión de Sergio de los Santos, "el problema de los ataques dirigidos no es que se centren en un software concreto, sino que rara vez yerran su objetivo si están suficientemente motivados para ello". Para estas situaciones es mejor estar al lado de un proveedor tecnológico muy maduro en estos temas a base de años de batallas que frente a nuevas organizaciones más inexpertas o poco atacadas para las que puede que un nuevo escenario de amenazas les pueda pillar por sorpresa. Solo hay que ver cómo Adobe se plantea "ahora" pasar a una política de actualización de parches mensual cuando está ya en medio del ojo de huracán de los desarrolladores del malware (y que todavía está que se lo piensa)
.

Como se suele decir, lo que no te mata te hace más fuerte y ahora Microsoft puede rentabilidar los años de sufrimiento que siempre se han vivido como oportunidades de mejorar día a día.


De todas formas, Microsoft también ha respondido con sus argumentos frente a esta migración.

Quiero acabar también comentando que yo he saltado a Mac OS hace relativamente poco, pero por el cambio en el uso que doy a mi equipo doméstico. Mi migración está relacionada con que quiero un ordenador en casa sobre todo para temas multimedia, edición de fotografías, video y consultar a Internet. Y nada más. A ello se suma que el diseño de los equipos de Apple para escritorio tienen una estética muy atractiva y sobre todo, ocupan un espacio muy reducido integrando pantalla y equipo en un mismo elemento. Además, con ello también paso a un escenario de menor riesgo al existir un número muchísimo menor de amenazas dirigidas al usuario común y porque estoy concienciado de la importancia que tienen las conductas seguras que intento practicar. El sistema operativo puede que no lo sea, pero mis usos cotidianos y mis actividades con el equipo tienen poca interacción con Internet y muy pocas instalaciones de software de fuentes desconocidas. En esto de la seguridad de los sistemas operativos tanto tiene que ver el propio sistema como el conductor del mismo. Si el sistema es seguro pero el conductor no, hay problemas. Si el sistema no es muy seguro pero el conductor es prudente, puede también tener pocos accidentes. Soy consciente de que este escenario de pocas amenazas durará un tiempo limitado pero para contrarestarlo estarán mis buenas prácticas y hábitos que me llevan a ser muy cauto con el uso del sistema. Tanto que mi primera aplicación instalada sobre el equipo fue iAntivirus, un monitor de conexiones Tcp/Ip y una vez por mes está en mi To-do actualizar todas las aplicaciones que tienen parches utilizando Appfresh para esto último. Pero esta filosofía vale en el entorno doméstico aunque no me parece adecuada para un entorno empresarial donde el usuario final no puede ser responsable de la protección de su equipo. Quizás una futura filosofía basada en escritorio virtuales si permita implantar una gestión centralizada y controlada pero creo que a día de hoy, se hace más compleja la gestión con este cambio. Las políticas de grupo aplicadas sobre un dominio hacen que el diseño de la seguridad se pueda ajustar como un guante a las necesidades de las diferentes unidades organizativas y las opciones de configuración de seguridad que pueden ser establecidas son casi infinitas. El problema suele ser tener claro que permitir o cortar, más que el poder o no hacerlo.
martes, 1 de junio de 2010 2 comentarios

Consecuencias de la inseguridad en juzgados

Hace unos días podía leer en el diario El País una noticia que no deja de preocupar. Con el titular "Triple juicio con Marbella al fondo" se relata cómo han desaparecido 17 tomos del sumario del 'caso Ballena Blanca' y el juez ha tenido que anular parte de las pruebas. Choca también la poca trascendencia que ha tenido la noticia a tenor de las posibles consecuencias que pudieran derivarse. Es más madera para generar desconfianza en un sistema judicial que es lento y que parece tener agujeros que permiten que el delincuente quede impune en algunos casos (quizás cuando la Justicia tiene que medirse a los mafiosos de mayor poder).

La seguridad de la información no es considerada una de las prioridades dentro de los servicios que los Organismos Públicos deben proporcionar. Sin embargo, hay Administraciones donde la inseguridad de la información afecta por completo al buen desempeño de sus funciones.

Ultimamente he estado trabajando sobre el R.D. 3/2010 que tiene como máximo objetivo garantizar que la seguridad dentro de los procesos de tramitación electrónica gocen de las mismas garantías de las que supuestamente goza la tramitación tradicional basada en el soporte papel. Sin embargo, noticias como la que comento ponen de manifiesto que aspectos muy básicos como la propia seguridad física de elementos tan críticos como las evidencias de un proceso judicial es todavía una asignatura pendiente en algunos juzgados.

Es obvio que el riesgo desde la perspectiva del que protege información debe contemplar el impacto por daño de una amenaza y su probabilidad. Sin embargo, la ecuación desde la perspectiva del que ataca tiene que ver con otros factores como la motivación o la facilidad para producir el daño. En los procesos judiciales que se han visto afectados por la desaparición de 17 tomos, la motivación para su sustracción es clara. De no recuperar la información podría producir la absolución de los acusados que han sido imputados por el blanqueo de 200 los millones de euros. Si además, las medidas de protección física son escasas y por tanto, el robo es fácil de realizar, de nuevo los atacantes le ganan la partida a los que deben tener como misión la protección de dicha información. Y lo más curioso de este tema es que no se hayan tratado de depurar responsabilidades sobre el personal cuya misión principal es evitar este tipo de irregularidades que tiran por tierra todo el esfuerzo policial invertido para encarcelar a estos presuntos malechores.



Inquieta además porque la Ley pierde su poder disuasorio y anima a otros a seguir el mismo camino dado que las recompensas son mucho mayores que los castigos que pudieran derivarse. Ello genera una cultura del delito. Estamos preocupandonos demasiado por la tramitación electrónica y no somos conscientes todavía que quizás la seguridad vinculada a la tramitación tradicional tiene cuestiones que resolver.

También es importante reflexionar sobre aquello que se suele denominar como "registros vitales" o información de suma importancia de la que sólo existen originales. Podría ser el caso de las pruebas que se custodian en un juzgado y que pretenden ser protegidas por la norma ISO 27002 en el control 15.1.3. "Protección de los documentos de la organización". Toda organización debería identificar cual es su información vital y disponer de las medidas adecuadas y proporcionales que garanticen la ausencia de incidentes.
 
;