Google History, la potencial amenaza que se vaticinaba ya llego...

Aparece en la sección de Labs de Google una nueva funcionalidad que en primera instancia me pone los pelos de punta en relación a la protección de mi intimidad. Si es verdad que nuestros datos de carácter personal ya no los podemos tener bajo control, hace unos años no imaginabamos que la monitorización de nuestros gustos en el mundo virtual llegara hasta los extremos hasta los que está llegando.

Es cierto que Google en lo que respecta a la privacidad suele tener un comportamiento exquisito, aclarando e informando debidamente al usuario de los parámetros de sus servicios, pero no es menos cierto que Google cotiza en bolsa y acumular información y conocimiento en algún momento podría volverse muy peligroso.

El poder y el potencial está ahí, y aunque este nuevo servicio se orienta hacia la mejora de los resultados, buscando los más significativos para el usuario, también podemos decir que "Dime lo que buscas y te diré como eres". En fin, ya no se puede salir a la calle sin dejar rastro...

Seguridad de la información y subcontratación

Aunque siempre las cosas salen a la luz cuando ocurre un incidente, se viene detectando una importante preocupación por parte de los responsables de seguridad con la subcontratación.

Estas ultimas semanas además han sucedido incidentes relacionados con este tipo de hechos que ponen de manifiesto lo mal que se puede entender la seguridad de la información y el outsourcing de servicios cuando no hay un marco de operaciones claro.

La semana pasada un importante banco sufrió un incidente con sus cintas de backup, al perder la empresa de mensajería el paquete que las contenía. Bruce Schneier comenta en su blog como un call center indio estaba vendiendo datos de los clientes del cliente que los contrató (Indian Call Center Sells Personal Information) y en un blog español aparecen comentarios de un teleoperador sobre la facilidad y accesibilidad de la que ha disfrutado durante el desarrollo de su trabajo para hurgar en la intimidad de medio mundo del famoseo (Blog El teleoperador).

La subcontratación es necesaria pero deben establecerse marcos de actividad y sobre todo, acuerdos de nivel de servicio que tengan en cuenta la seguridad y los riesgos que se transfieren del cliente principal al servicio subcontratado.

Cuando los objetivos de negocio son tan distintos (Banco y empresa de transporte, Compañia de seguros y servicios de teleoperadores) es importante que se defina cuanto riesgo en materia de seguridad se transfiere y sobre todo, qué pasa si la empresa subcontratada viola alguno de los acuerdos de confidencialidad firmados o es la causa de un incidente de seguridad para el cliente que le contrata.

Mientras las penalizaciones por estos hechos no sean altas, las empresas que prestan servicios no se preocuparán lo más minimo por garantizar la seguridad de sus clientes.

Para todas ellas también existe una buena salida amparandose en la excelencia. La certificación de sus servicios entorno a la norma UNE 71502 o BS 7799-2 que garantice la adecuada gestión de la información que sus clientes le confían.

Ejemplo de una PKI bien diseñada.

El enlace de hoy es un buen ejemplo de qué es una PKI y cómo debe implantarse. La url corresponde a Banesto que parece que pretende utilizar autenticación de servidor y cliente en su acceso a banca electrónica. Con esta medida de seguridad, sus clientes dejarán de ser vulnerables al phishing. En la web de la CA pueden también verse todos los documentos relacionados con la gestión de la misma y las prácticas de certificación. Todo ello, para garantizar el cumplimiento de la Ley 59/2003 de Firma Digital.
Url: Autoridad de Certificación de Banesto

Comentarios a "Policia, banca y otros sectores en la lucha contra el phishing" de Noticias Hispasec

Leo en la noticia Hispasec del viernes comentarios entorno a la reunión de la semana pasada organizada por la Brigada de Delitos Tecnologicos entorno al phishing.
La noticia puede leerse en Policía, banca y otros sectores en la lucha contra el phishing .

Lo que me llama poderosamente la atención son afirmaciones tales como "La banca electrónica es, salvo expceciones extraordinarias,segura y confiable. En éste punto hubo total consenso entre los ponentes, e Hispasec se une a éste mensaje." y si uno sigue leyendo el texto y las recomendaciones que Hispasec da al usuario para prevenir incidentes tiene:

"Hispasec, en su continua lucha en la prevención y el tratamiento
posterior del phishing, vuelve a insistir en lo que los conferenciantes
destacaron. La cadena se suele romper por el eslabón más débil y éste
por desgracia suele ser el cliente final. Algunas medidas para prevenir
ser víctimas del fraude pueden ser las siguientes:

- Ante todo, consulte a su entidad. Todas las entidades ofrecen
información sobre seguridad informática y seguridad en el uso de
aplicaciones bancarias. Consulte a los servicios de atención al cliente
y solicite las recomendaciones de su entidad. Nadie mejor que ellas para
darles la información básica para realizar operaciones bancarias seguras
en sus ordenadores personales.

- Bajo ninguna circunstancia deben seguirse enlaces que conduzcan a su
portal bancario ni a su sistema de banca electrónica. Utilice siempre
las direcciones introducidas a mano en su navegador. Su entidad jamás le
va a solicitar claves de ningún tipo a través del correo, ni le va a
enviar mensajes de correo con temáticas relativa a la necesidad de
confirmar datos ante supuestas cancelaciones. Desconfíe siempre de éstos
mensajes.

- Otros consejos útiles son la comprobación previa al uso de los datos de
registro de su portal. Averigüe cuándo se usó la cuenta por última vez,
si su banco le facilita esta información, y constate que usted realizó
ese uso y no un posible estafador que se hubiera hecho con sus claves.

- Vigile la seguridad de su terminal, y evite en lo posible el uso de
terminales públicos para operaciones bancarias. Actualice su sistema,
disponga de un buen antivirus, y certifique periódicamente que su equipo
está libre de spyware, troyanos y malware en general. Para los usos
públicos, procure en la medida de que sus conocimientos lo permitan,
disponer de distribuciones "live" seguras (se ejecutan directamente en
la unidad CD) para acceder a los servicios. Para tal efecto, son muy
útiles las distribuciones "live" Linux, con gestor de escritorio y
dotadas de navegadores seguros, con la ventaja de ser absolutamente
gratuitas. Los clientes de correo seguro y los filtros de spam son muy
útiles para evitar problemas.

- Conserve sus claves y sus tarjetas de coordenadas bancarias a buen
recaudo. Procure cambiarlas periódicamente, y asegúrese de que cierra
las sesiones y se borran los archivos temporales después de un uso de su
sistema. Salvo usos domésticos muy controlados, no debe almacenar nunca
contraseñas en el navegador.

- Denuncie cualquier irregularidad. Es la única manera de que el proceso
de erradicación de la lacra del phishing sea efectivo. Ponga en
conocimiento de su entidad los intentos de fraude que reciba por email.
Comuníquese con las autoridades y notifique las problemáticas.

- Vigile su correo electrónico. Casi la totalidad de mensajes de phishing
llegan a nosotros vía email, luego disponga de una dirección segura para
cuestiones relevantes, como asuntos bancarios. No debe publicar o dar a
conocer esta dirección en foros, chats ni medios públicos. Comuníquela
únicamente a las personas de su confianza. La gran mayoría de listas de
correo indeseado proceden de rastreos a través de correos cadena, foros,
chats y tablones de anuncios en la red, con lo que evitar participar con
nuestros emails en esos lugares es una garantía de no recepción de
publicidad y/o Phishing.

- Y como último consejo, no haga nada de lo que no esté absolutamente
seguro. Si su sentido común le hace sospechar, deténgase y plantéese el
problema. La distancia entre quedarnos tranquilos y perder nuestros ahorros está, por desgracia, a un sólo click de distancia."

¿Pero no hemos quedado en que es seguro? ¿Qué debemos entender por seguro en este caso?

Creo que aqui han de separarse conceptos diferentes, que por deformación profesional se utilizan de forma mezclada.
Una cosa es que la plataforma tecnologica de la banca on-line disponga de las medidas técnicas adecuadas y que la transacción a ejecutar se realice en un entorno seguro y otra muy distinta es que este proceso sea seguro y no permita el fraude. En el caso de la banca electrónica, nos encontramos en el primer caso. Tecnologicamente se han proporcionado bastantes medios para garantizar la seguridad, pero ello no significa que la utilización de la banca on-line sea segura.

Si comparamos las recomendaciones realizadas sobre la banca electronica a la banca real, podríamos estar sugiriendo cosas como:

- Para hacer una transacción en su banco, primero compruebe:
1) Que el bajo comercial donde va a entrar es propiedad de la entidad en donde usted tiene sus ahorros.
2) Que las nòminas de las personas que van a atenderle también pertenecen a la entidad en donde tiene sus ahorros.
3) Que nadie le sigue y le vigila en el momento en el que entra en la sucursal.
4) Que el dinero lo guarda en un sitio seguro y que no hay delincuentes esperandole.

¿Consideraríamos seguro trabajar con los bancos en estas circunstancias?

Está muy bien que los bancos lleven las oficinas a nuestra casa pero está claro que esto plantea nuevos riesgos que hay que también saber gestionar.Creo que lo único que debe hacerse es plantear los potenciales riesgos a los que un usuario "común" sin conocimientos avanzados está expuesto en el uso de estos servicios y hacer entender que el Banco, por mucho que quiera, no puede proteger mucho más que nosotros mismos nuestro PC. Pero estos riesgos ¡han de estar claros! y deben ser aceptados por el cliente. Nunca ocultados ni minimizados con afirmaciones como que "la banca electrónica es segura".

Además, para mayor sorpresa y despues de vendernos previamente unas lineas tranquilizadoras respecto a los riesgos a controlar en el acceso a la banca electrónica el artículo termina "La distancia entre quedarnos tranquilos y perder nuestros ahorros está, por desgracia, a un sólo click de distancia."

¿Qué confianza espera que le de como cliente al uso de la Banca electrónica?

Cuando la seguridad se vuelve insegura

Un blog siempre tiene carácter de log al ir dejando en el tiempo huella de los hechos más significativos que van acaeciendo. En el caso del mio, relacionado con la seguridad, siempre creo que es de interés hacer reflexiones entorno a los incidentes que van sucediendo. La noticia que hoy salta a las primeras planas es paradógica, dado que parece ser que el incidente en la Hacienda Foral de San Sebastián presuntamente puede haber sido provocado por el guardia de seguridad.

Hemos visto siempre en las peliculas que la mejor forma de campar a sus anchas sobre una institución o empresa sobre la que se quiere hacer algo malo es infiltrarse como miembro de la misma. Aunque estas cosas parecen de película, no es menos verdad que la subcontratación y el ahorro de costes llevan a unas prácticas de subcontratación que dejan mucho que desear en cuanto a la calidad del servicio y sobre todo, respecto a la confianza que estos servicios pueden dar. El caso de la noticia de hoy podría ser un ejemplo de este hecho. La empresa de seguridad tendrá que responder por los daños sufridos por la empresa que encarga la custodia, pero ¿qué pasa con la responsabilidad de la empresa custodiada?

El caso de la Torre Windsor es un ejemplo similar. Frente a los daños materiales el dinero puede ser un buen mecanismo de recuperación, dado que si te pagan lo perdido en teoría no pasa nada. Pero si los elementos protegidos son información ¿es el dinero suficiente recompensa?

No sabemos en concreto que se ha quemado en este edificio, y aunque siempre las primeras manifestaciones de los responsables son tranquilizadoras alegando que "tienen copias de seguridad de todo" sabemos que esto no es ni cierto ni real. Los sistemas informáticos implantados todavía no implementan una gestión documental completa de forma que si se quema el papel, señores, SE QUEMA EL PAPEL. Y para eso no hay copia de seguridad que valga. Por tanto, no hagan afirmaciones poco creíbles que luego, como en el caso del Windsor, hay que salir diciendo que como los expedientes en papel se han perdido, se sufrirán ciertas consecuencias.

Asi que afirmaciones como la que aparece hoy en "En todo caso, la pérdida de información es "irrelevante", ya que la institución tiene copias de seguridad y la "privacidad y la seguridad" de los datos "está plenamente garantizada" solo nos hacen esbozar una ligera sonrisa. Hasta que no pasen unos días creo que no se tendrán datos suficientes para poder realizar un diagnóstico coherente. En cuanto a las evidencias, todos hemos visto lo que SI se ha quemado.


Noticia en El Mundo

Noticia El Pais

Portal de Eventos Microsoft Technet

A través de Technet podemos estar informados de los constantes eventos que Microsoft viene organizando entorno a la seguridad y la correcta configuración de sus sistemas. Todo este material que se ha ido generando, con presentaciones y videos didácticos ahora se ha organizado y puesto a disposición de los usuarios a través del portal "IT's showtime".

Entre sus servicios, nos permite buscar eventos por ponentes y por temas. Entre los temas está por supuesto, un apartado dedicado a Seguridad que es recomendable visitar. El enlace del portal es IT's showtime.

Guía para la monitorización de seguridad y detección de ataques en entornos Microsoft

La "Security Monitoring and Attack Detection Planning Guide" ha sido diseñada para ayudar a las organizaciones a planificar y establecer un plan de monitorización de la seguridad en sistemas Windows y para la detección de intrusiones atendiendo a la información disponible mediante el Event Log. Este documento ayuda a interpretar e identificar todos los eventos relacionados con un riesgo para la seguridad y permite la detección temprana de intentos de intrusión, algo que siempre reduce el impacto o incluso puede evitar el ataque si se ataja a tiempo.

El documento puede descargarse en: The Security Monitoring and Attack Detection Planning Guide