lunes, 24 de diciembre de 2007 0 comentarios

Próxima publicación del nuevo reglamento de Protección de Datos

Parece que sí, esta es la buena. Por fín ha sido publicado en Consejo de Ministros el futuro reglamento de protección de datos.

En la Web de Moncloa se puede obtener un resumen de las principales novedades que a continuación adjunto:
El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.
  • La norma acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que actualmente existen.

  • Se aplica también a los ficheros y tratamientos no automatizados (papel) y se fijan criterios específicos sobre las medidas de seguridad de los mismos.

  • Se garantiza que las personas, antes de consentir que sus datos sean recogidos y tratados, puedan tener un pleno conocimiento de la utilización que se vaya hacer de estos datos.

  • El interesado dispondrá de un medio sencillo y gratuito para ejercitar su derecho de acceso, rectificación, cancelación y oposición, sin tener que usar correo certificado ni otros medios que le supongan un gasto adicional.

  • Todos los datos derivados de la violencia de género pasan del nivel básico de seguridad a un nivel alto.

El Reglamento acrecienta la seguridad jurídica y resolverá determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.

Innovaciones más destacables
La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos.
Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.
Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.
Para mejor garantizar el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de esos ficheros de datos que conceda al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición. En la misma línea, se prohíbe exigir al interesado el envío de cartas certificadas o semejantes, o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.

Incremento de medidas de seguridad
Se incrementa la protección ofrecida a los datos de carácter personal en varios aspectos:
  • Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social.

  • También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.

  • Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.

  • Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.

  • Sobre éstos y los restantes datos personales incluidos en el nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

  • Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.

Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES.


Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

El Reglamento concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.
Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.
Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.
Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto (ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados por la policía sin consentimiento de los afectados o actos derivados de violencia de género), deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.

Tratamiento de datos de menores de edad
Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan realizar sin permiso paterno.

Ficheros sobre solvencia patrimonial y crédito
Se introducen importantes novedades en el tratamiento de estos datos. Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma. Además, es precisa la notificación de la inclusión, impuesta por la Ley Orgánica de Protección de Datos, de forma que no se incluyan aquellas deudas respecto de las que no conste la recepción de dicha notificación. En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella. También se prohíbe mantener en los ficheros al respecto el denominado “saldo cero”. Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.
Se regula de forma detallada el deber de información al deudor. En primer lugar, deberá ser advertido de su posible inclusión en el fichero en el momento de suscribir un contrato del que pueda derivarse una deuda futura. En caso de impago, deberá informarse al deudor, tanto con carácter previo a la inclusión del dato en el fichero, como en los treinta días siguientes a la inclusión.

Regulación de actividades de publicidad y prospección comercial
La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.
Ante la creciente externalización de estos servicios de obtención de datos, se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúne las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.
Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.

Régimen transitorio de aplicación
Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.
En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.
Todos los ficheros, ya sean automatizados o no, que sean creados con posterioridad a la entrada en vigor del presente Reglamento tendrán que cumplir las medidas previstas, sin que exista ningún plazo transitorio de adaptación.

Se puede ampliar información en la Web La Moncloa. Referencia del Consejo de Ministros o en la nota de prensa publicada por la propia Agencia de Protección de Datos en el siguiente enlace.
viernes, 21 de diciembre de 2007 0 comentarios

Control parental y software anti-phishing freeware

Uno de los tipos de aplicaciones de seguridad más interesantes en el entorno doméstico son las de control parental.
Internet permite el acceso a todo tipo de información, pero dado que la edad del navegante es cada vez menor, los padres deben preocuparse en el uso y los hábitos de navegación de sus hijos. Para ello, las aplicaciones de control parental limitan y restringen el acceso a ciertos contenidos.

Leo en DiarioTI que el software K9 Web Protect de Blue Coat ha ampliado su funcionalidad proporcionando ahora también protección antiphishing. Esta aplicación que he podido probar e instalar es una de las más completas, sencillas y eficientes que me he podido encontrar. Además, para uso doméstico es freeware, aunque es necesario obtener una licencia.
Básicamente la protección la basa en varios aspectos:
- Limitación del horario de conexión.
- Limitación de las categorías de contenidos a consultar.
- Permite definir las cadenas de dominios que se quieren bloquear, como por ejemplo, ".xxx", ."sex" o las palabras que no se autorizan en la URL.

Ahora K9 Web Protection incorpora ahora la misma tecnología de protección anti-phishing en tiempo real de Blue Coat, que también tiene su solución empresarial WebFilter, lo que le convierte en el primer producto de consumo de filtrado de Internet que puede alertar a los usuarios sobre sitios de phishing nuevos o anteriormente no descubiertos utilizando funciones de evaluación en tiempo real.

Tal como explica Diario TI, "La tecnología de protección anti-phishing en tiempo real de Blue Coat analiza la página web a la que se intenta acceder mientras el usuario pulsa el enlace. Si la página no se encuentra en la base de datos, se envía una consulta al centro de datos de Blue Coat Labs, donde se analiza la página web automáticamente en tiempo real. El servicio clasifica entonces la página. Si la incluye entre los sites de phishing, K9 Web Protection bloqueará la página a la que se intenta acceder o avisará al usuario. Todo el proceso se realiza entre 250 y 750 milisegundos."

Para descargar el preoducto, podéis dirigiros a las direcciones:


Más información técnica en la Web de Blue Coat.
miércoles, 19 de diciembre de 2007 2 comentarios

Todos contra el Canon

Hoy el tema de actualidad es el profundo debate entorno al canon digital. Aunque cuando hay ruido mediático sobre un tema no suelen ser buenos días para hablar del mismo, en este blog ya he recogido alguna vez la problemática relacionada con la propiedad intelectual.

Como Ingeniero en Informática los soportes son mis herramientas para trabajar. No puedo comprender como el CD o el DVD o los propios discos duros, que "SON LOS FOLIOS EN BLANCO DEL SIGLO XXI" deben pagar un canon a una ENTIDAD PRIVADA que representa a "los autores".

No hay que confundir estar en contra del canon con estar en contra de los derechos de autor. Todos queremos preservar la cultura y debe existir algún tipo de recompensa para el creador, pero esta forma de recaudar es aberrante. Aquí "AUTORES" somos todos los que disponemos de medios de creación de obras ya sea mediante un ordenador, una camara de fotos o cualquier otra cosa que genere una obra digital. ¿Por qué debe cobrar un asociado a la SGAE por mis fotos, mis videos o los powerpoint que realizo? ¿Por qué debo pagar por poder entregar mis proyectos en soporte electrónico?

Venía en la radio escuchando a oyentes manifestar su opinión sobre el tema y se ha puesto un ejemplo significativo y curioso.
"Es como si la DGT fuera una entidad privada de gestión de sanciones, y el Gobierno decidiera grabar con un impuesto a todos los coches que superen los 120 KM de velocidad por si en algún momento van más rápido y los radares no los pueden cazar."

Por tanto, quiero manifestar mi adhesión a la plataforma "Todos contra el canon" cuyo manifiesto es bastante razonable. No se trata de ir contra los autores sino de ser proporcionales en la recaudación. Porque tal como está planteado el tema, los autores también están indefensos contra una asociación "privada" que hace la gestión que le apetece con el dinero recaudado. ¿Representan estas asociaciones realmente a todos los autores?



Recomiendo que leáis el manifiesto de la plataforma "Todos contra el canon".

Desde luego, este pago por propiedad intelectual debería recaudarse en la obra y no en el soporte, aunque así seguro que los ingresos no serían tan suculentos. Además, si es un impuesto, debería ser recaudado por la Administración Pública y luego que fuera esta, con cierto criterio de proporcionalidad quien repartiera los ingresos. ¿O es que debe la propia Administración pagar por almacenar su información en soportes electrónicos? ¿Es que debe recaudarse propiedad intelectual para los autores asociados a las Entidades de Gestión de Derechos por la ejecución de los actos administrativos cuando estos son almacenados en soportes digitales?

Una de las reflexiones más interesantes es la aportada por Javier De la Cueva, del blog "Derecho e Internet" en el diario Público en este artículo.
viernes, 14 de diciembre de 2007 0 comentarios

La seguridad física comprometida por la seguridad de la información

Aparece en el blog de Bruce Schneier y en
Microsiervos WTF otra de esas noticias de las que traen cola.

Un peluquero ha encontrado ilustraciones detalladas de las medidas de seguridad del banco, incluyendo la ubicación de los detectores de persona, escaleras, rejas y medidas con la profundidad del suelo de la cámara. La fuga de información corresponde ni más ni menos que de una oficina del Bundesbank en cuya renovación se acababan de gastar 150 millones de euros. Tanta inversión para ponerselo así de facil a los cacos. Y es que siempre repetimos una y otra vez que la "en la cadena de seguridad, la protección obtenida es tan fuerte como el más débil de los eslabones". En este caso, quizás el error ha sido no considerar la documentación, planos y las personas que custodian esa información como partes igual de importantes como eslabón de la cadena, que los 150 millones invertidos.

Como los medios ahora devoran este tipo de noticias de impacto, el Diario Bild no ha tenido otra cosa que hacer que situar la información en primera plana.
jueves, 13 de diciembre de 2007 1 comentarios

"Declaración sobre buscadores de Internet" de la AEPD.

En la Web de la Agencia Española de Protección de Datos se ha publicado el informe "Declaración sobre buscadores de Internet". El texto analiza los principales buscadores de Internet en nuestro país (Yahoo!, Google y Microsoft Live Search) desde el punto de vista de la protección de datos personales.

Como conclusiones del estudio realizado, la Agencia Española de Protección de datos destaca:
  • "Los buscadores de Internet son servicios de la sociedad de la información sujetos a las garantías de la Ley Orgánica de Protección de Datos, además de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.

  • Los buscadores de Internet tratan y retienen grandes volúmenes de datos de los usuarios a los que ofrecen sus servicios.

  • El tratamiento de dicha información puede permitir registrar las actividades que el usuario lleva a cabo en la red posibilitando configurar perfiles de éste que pueden ser utilizados por la empresa sin que el usuario sea consciente ni esté suficientemente informado.

  • Existen diferencias significativas en las políticas de privacidad de los buscadores (en aspectos como los criterios de retención de datos personales y las políticas informativas), que es preciso aproximar y unificar hacia los extremos más garantistas para que se minimicen los riesgos para la privacidad de los usuarios.

  • La información incluida en las políticas de privacidad de los servicios de búsqueda sobre la utilización de los datos personales de los usuarios es ineficaz. Ésta no se destaca suficientemente, y plantea serias dudas que resulte comprensible para la generalidad de los usuarios de Internet.

  • Es urgente desarrollar nuevos mecanismos informativos, claros y suficientemente visibles que permitan a los usuarios conocer efectivamente el uso de sus datos personales cuando utilizan los servicios de los buscadores.

  • Es necesario limitar el uso y la conservación de datos personales. Una vez que la información deje de ser necesaria para las finalidades propias del servicio, habrá de ser cancelada. Del mismo modo, a partir del momento en que los fines que justifican el uso de los datos pueden conseguirse sin identificar a un usuario específico, deberá procederse a hacerlos anónimos de forma que la información que se conserve no pueda vincularse a usuarios concretos.

  • Los servicios de búsqueda están obligados a respetar los derechos de cancelación y oposición de personas cuyos datos se indexan desde otras páginas web en su función de buscador. Aunque la incorporación inicial de esta información personal a la red pueda estar legitimada en origen, su mantenimiento universal en Internet puede resultar desproporcionado.

  • Únicamente se podrán filtrar las comunicaciones para prevención de virus y de spam, para preservar la seguridad de los servicios. Fuera de estos casos, no se considera conforme con la legislación española la interceptación de los contenidos.

  • Es necesario establecer estándares internacionales que definan reglas consensuadas de garantía de la privacidad para Internet."


El informe completo puede descargarse en el enlace "Declaración sobre buscadores de Internet"
    martes, 11 de diciembre de 2007 0 comentarios

    Catástrofes de pérdida de datos en 2007

    La empresa Ontrack ha publicado un documento con los 10 incidentes más curiosos que les han llegado a través de sus clientes. El e-Zine Insecurity los ha traducido al castellano en e-Zine InSecurity- Catástrofes de pérdida de datos en 2007. y aquí los adjunto, porque algunos son de lo más curioso:
    • 10. Lavado completo - Este año, una mujer llamó a los ingenieros de Kroll Ontrack quejándose de que “había lavado todos sus datos”. Olvidó su memoria USB en su ropa y la echó a lavar. Como era previsible, tras un ciclo de lavado en la lavadora no fue capaz de rescatar ningún dato de ella

    • 9. Padre abnegado - Un entusiasmado padre primerizo vuelve a casa a toda prisa del trabajo para dar de comer a su bebé. Con la emoción y las prisas olvida que había guardado su memoria USB en el bolsillo superior de la camisa. Al inclinarse hacia delante para acercarse a la trona el dispositivo de almacenamiento cae en un pringoso plato de puré de manzana.

    • 8. Morder el anzuelo - Un pescador pensó que sería una buena idea llevarse su portátil en el bote a remos para entretenerse con algunos juegos mientras esperaba que picase algo. Al incorporarse tanto él como su portátil cayeron al agua y toda su información acabó en el fondo del lago.

    • 7. Un fotógrafo presa del pánico - Un fotógrafo de bodas estuvo punto de tener que enfrentarse a la cólera de una recién casada al descubrir que había borrado las fotos de ésta al grabar sobre ellas las de otro evento. Dos días antes de que la pareja regresase de su luna de miel llamó pidiendo ayuda. La novia nunca llegó a enterarse del incidente.

    • 6. Baño de ácido - Un científico volcó accidentalmente ácido sobre un disco duro externo mientras realizaba un experimento. Aún dando por hecho que toda la información se había quemado se consiguieron recuperar todos los datos guardados en la unidad de memoria.

    • 5. Trifulca empresarial - Durante una acalorada discusión en Australia, un empresario lanzó una memoria USB a su socio. El dispositivo, que contenía importantes planos de la empresa, terminó hecho pedazos en el suelo. Por suerte fue posible salvar tanto los planos como la relación empresarial.

    • 4. Fuego indiscriminado - Hace poco un incendio destruyó la mayoría de los contenidos e informaciones de una oficina, sólo se salvaron unos pocos CD. El escollo del asunto es que estos CD se habían fundido en el interior de sus cajas, fue un trabajo notable para los ingenieros.

    • 3. El precio de la tranquilidad - Un científico británico no aguantaba más los chirridos que hacía su disco duro, de forma que hizo un agujero en la caja y echó aceite en el mecanismo interno. Los chirridos pararon, el disco duro también.

    • 2. Aparatoso salto en paracaídas - Con la intención de comprobar el buen funcionamiento de un paracaídas, se incorporó en el paracaídas a modo de carga una cámara y se lanzó desde un avión. Desafortunadamente el paracaídas no superó con éxito la prueba y la frágil carga quedó hecho trizas. Fue posible ensamblar de nuevo la memoria de la cámara y recuperar el vídeo del nefasto salto en paracaídas.
    • 1. Plaga de hormigas - Al ver que una colonia de hormigas había ocupado su disco duro externo, un fotógrafo de Tailandia decidió quitar la cubierta del mismo y rociar el interior con un repelente de insectos. Las hormigas no sobrevivieron.


    Algunos son increíbles y revelan que todavía existe un desconocimiento alto del funcionamiento del PC y sus componentes. Existe una web técnica muy interesante que se dedica a explicar de manera sencilla cómo funcionan las cosas. En concreto, para aquellos que estén ahora intrigados con la mecánica de un disco duro, aquí dejo el enlace sobre cómo funciona por dentro un disco duro.
    viernes, 7 de diciembre de 2007 0 comentarios

    Análisis de la seguridad del Modelo OSI

    Hacía tiempo que no referenciaba documentos de Infosecwriters pero este que quiero comentar, aunque no muy largo, es bastante interesante. Se trata de un análisis de los mecanismos de seguridad de que dispone el modelo OSI de comunicaciones. Con este documento podemos identificar por cada capa cuales son los problemas que se pueden presentar y algunos de los riesgos que éstos generan. En solo ocho folios se puede recorrer la problemática de la seguridad en redes identificando cada problema con su nivel OSI correspondiente. Podéis acceder a este documento en An Analysis of Security Mechanisms in the OSI Model. ¡Buen provecho!
    martes, 4 de diciembre de 2007 0 comentarios

    Publicada por AENOR la UNE-ISO/IEC 27001:2007 en español

    Paloma Llaneza anuncia en su blog Palomallaneza.com que con fecha de 29 de noviembre ha sido publicada la adecuación de la norma 27001 al castellano titulada UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”.
    Era algo deseado por todos que estabamos esperando que se resolvieran las diferentes cuestiones que han tenido retrasada esta norma de manera tan injustificada. La traducción se coordina por comités y seguramente no ha gozado de la prioridad necesaria pero ya hace casi dos años y medio que se publicó la ISO 27001 en ingles.

    En este boletín de AENOR se informa también de las empresas españolas que han obtenido la certificación UNE 71502 hasta la fecha, que según creo, no es una certificación acreditada todavía bajo el esquema ENAC.
    jueves, 29 de noviembre de 2007 0 comentarios

    Riesgos del teletrabajo

    A todo el mundo se le hacen los ojos "chiribitas" cuando oye que en el futuro podrá ser un teletrabajador. Sin embargo, desde la perspectiva de los responsables de sistemas de información, es justo en ese momento cuando empieza un temblor en las piernas.
    En esta vorágine de modernizarlo todo, “alguien” debe profundamente reflexionar y pensar que nuevos medios implica revisión de los diseños. Es como si a un edificio ya construido, le ponemos por encima cuatro plantas más. ¿Vale el mismo proyecto arquitectónico? ¿Resistirá la nueva carga?. Pues eso es lo que habitualmente se hace con los sistemas de información, y por desgracia, sin contar con “sus arquitectos” ni con expertos en “seguridad de la información” (que no ya informática).

    El teletrabajo es un nuevo elemento que hay que tratar de proteger de la manera mejor posible. Sin todavía justificar mi respuesta, ya anuncio que el principal problema de seguridad es el usuario teletrabajador que no sea un empleado fiel.

    Cuando se estudia y diseña un sistema de seguridad, se realiza lo que llamamos un análisis de riesgos. Básicamente consiste en identificar el sistema de información, sus procesos, sus actores y para cada una de estas piezas plantearte qué cosas pudieran suceder y cuales son realmente los daños y por tanto, los riesgos.

    En el tema del teletrabajo, podemos identificar tres trozos que forman el proceso: Usuario-cliente, el canal de comunicación, y los sistemas centrales que suministran los datos. Este esquema es por ejemplo, el que también presentan los servicios de banca electrónica.

    Ante esta situación, ¿qué nuevos riesgos aparecen? Pues bastantes más que cuando el proceso está localizado en una única sede. En un servicio presencial, podemos controlar de alguna manera tanto a los visitantes como a los empleados.

    A nivel técnico, las decisiones de seguridad para establecer controles tienen por objetivo garantizar:

    • Seguridad del canal de comunicación a través de conexiones seguras, utilizando para ello VPN (virtual private networks) que en teoría, son eso, redes privadas virtuales (digo en teoría, porque que una red sea vpn no implica explícitamente que el tráfico que circula por ella vaya cifrado, aunque así sea en el 99% de los casos).

    • Seguridad en el cliente, tratando de garantizar su identidad mediante un proceso de autenticación (usuario y contraseña, tarjeta de claves, dni-e,etc.)

    • Seguridad del proceso que sirve datos, que es lo que ya tiene medidas de seguridad porque esta parte no ha cambiado en cuanto a lo que hace, pero sí en cuanto a los medios de acceso. Es necesario ahora que ésta parte también se identifique, requiriendo una prueba técnica de que la dirección de Internet asociada es la correcta. Esto es básicamente un certificado digital de servidor (por lo que ponemos httpS://www.banco.es). Necesitamos poder verificar que cuando en el navegador ponemos la dirección que nos sabemos (la URL), www.banco.es, el servidor que nos atenderá será realmente el del banco.

    Siguiendo con el ejemplo de la banca online, lo que se ha hecho mal ha sido no garantizar suficientemente la robustez del mecanismo de identificación del cliente ( y por ello se sufre el phishing) ni de los procesos que sirven datos (Identificación del servidor mediante un certificado digital y por ello se sufre el pharming).

    En un entorno de teletrabajo, ¿Qué puede controlar una organización?
    • a) Que no se acceda por canales inseguros o manipulables, o sea, no permitir teletrabajo sin una conexión cifrada y nada de redes wifi abiertas.

    • b) Que no pueda acceder cualquiera, requiriendo una adecuada y robusta autenticación (olvidarse de usuario y contraseña)

    • c) Que los servidores responderán las 24 horas los siete días de la semana, unos 365 días al año.

    ¿Qué es difícil que pueda controlar una organización? Pues, sencillamente que el usuario sea honrado. Nadie va a poder evitar que ese teletrabajador en su casa, no siente a su lado, por ejemplo, a un empresario que sea de la competencia, o al vecino que quiere ver un expediente donde es afectado. Imagino que dentro de unos años, al igual que ahora se graban las conversaciones telefónicas en los servicios prestados mediante este medio, también se obligará al uso de una cámara Web y se grabará todo el rato al teletrabajador que está delante teóricamente trabajando.
    ¿Descabellado? Tiempo al tiempo…

    Ya he comentado alguna vez la normativa internacional utilizada en materia de seguridad, ISO 27001 e ISO 27002. En ellas, esta problemática está extensamente cubierta por diferentes tipos de controles que indico:
    Seguridad ligada al personal
    - Funciones y obligaciones, investigación de antecedentes, concienciación, proceso disciplinario.
    Gestión de comunicaciones y operaciones
    - Políticas de intercambio de información, mensajería electrónica
    Control de acceso
    - Responsabilidades del usuario, control de acceso a la red, al sistema, a la aplicación e información, Controles 11.7. Ordenadores portátiles y teletrabajo.

    El problema como se puede ver, tiene solución, pero requiere, por un lado de interés por parte de la Dirección, Recursos técnicos, establecimiento claro de responsabilidades, concienciación, disciplina, fidelidad del empleado, monitorización del uso, … y un adecuado diseño de la seguridad de la información que realmente es necesaria.

    Todo el mundo quiere teletrabajo porque busca sus beneficios, pero ¿conocemos los nuevos riesgos?
    martes, 27 de noviembre de 2007 4 comentarios

    Métricas y recomendaciones de implementación sobre ISO 27001

    En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001 (Anexo A).
    El documento podéis descargarlo en el portal ISO27000.es o desde este enlace.

    Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001, quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien.

    El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfación por el trabajo de consultoría bien realizado y por ser un proyecto pionero al tratarse, según parece, de la primera Administración Pública que obtiene una certificación ISO 27001. También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación.

    De esta forma, Firma, Proyectos y Formación S.L. , una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia.

    También comentar que a través del Grupo de Google "http://groups.google.es/group/Seguridad-de-la-informacion" se están compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificación por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificación.

    Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educación de todo foro.
    lunes, 26 de noviembre de 2007 0 comentarios

    UNLOCKER 1.8.5. ¿Quién está usando este fichero?

    Como usuario, una de las cosas que siempre me genera algún problema es al intentar copiar o borrar cualquier fichero, que el sistema me anuncie que no puede hacer esa tarea por encontrarse en uso el archivo. Esta situación se anuncia como:
    - No se puede eliminar el archivo: se ha denegado el acceso
    - Se ha producido un intercambio de violación.
    - La fuente o el archivo de destino puede estar en uso.
    - El archivo está siendo usado por otro programa o usuario.

    Hasta la fecha, en esos casos, tenía que tirar de Process Explorer, de la gente de Sysinternals para ver qué procesos tenía en ejecución y así matar aquél que pudiera estar bloqueandome el archivo bloqueado.
    Desde hace unos días, he descubierto la utilidad UNLOCKER, que precisamente su misión es avisar sobre qué programa está bloqueando un archivo cuando intentas hacer cualquier cosa que no puede ser ejecutada por este motivo. UNLOCKER te permite desbloquear el archivo para que la tarea pueda ejecutarse.


    Podéis obtener más información sobre las bondades de este programa y su descarga en UNLOCKER 1.8.5 BY CEDRICK 'NITCH' COLLOMB
    miércoles, 21 de noviembre de 2007 0 comentarios

    Publicada la segunda parte de la BS 25999.

    Javier Ruiz Spohr, de ISO27000.es ha comentado hoy en el grupo ISO2000security que ya ha sido publicada la norma BS 25999-2.
    Para quien no ubique esta norma, es la segunda parte de la norma BS 25999 y ambas están relacionadas con la gestión de la continuidad de negocio.
    He encontrado bastante información la Web http://www.bs25999.com/ donde se comentan las dos partes de esta norma que puede ser adquirida en la tienda del BSI.

    Coincide también que ayer, en la II Jornada Internacional del ISMS, el Bussiness Continuity Institute (BCI) repartió en castellano el manual en buenas de prácticas en gestión de continuidad de negocio.

    Un tema muy vivo del que seguro que pronto también surge la necesidad de una normalización y estandarización, sobre todo, si la Comisión Europea se está planteado cómo garantizar la continuidad de negocio de las denominadas "infraestructuras críticas".
    viernes, 16 de noviembre de 2007 0 comentarios

    Herramienta DataRecovery

    Ya he comentado en los bri-consejos de seguridad algunas herramientas de recuperación de archivos como recuva,
    restoration o ontrack easy recovery.
    Normalmente cuando este tipo de herramientas hacen falta es porque por descuido detectamos que hemos borrado algún fichero del ordenador. En estos casos surge el problema de que si la herramienta no está ya disponible en el disco, al instalarla podemos fastidiar los archivos que potencialmente podemos recuperar.
    Es sencillo, pensar que estos temas de recuperación de documentos son como el CSI. Como uno de los principios del análisis forentes, nunca deben alterarse las pruebas en el proceso de recogida de evidencias. Por tanto, si queremos recuperar algún archivo pero no disponemos del software instalado tendremos a priori un problema.

    La herramienta que hoy quiero recomendar localizada vía Genbeta es muy útil en estos casos porque es autónoma y puede ser ejecutada directamente desde un dispositivo externo. Por tanto, en caso de problemas, podremos utilizar un pendrive en donde tengamos esta herramienta para solucionar el problema.

    Desde la perspectiva purista del análisis forernse, es cierto que "pinchar" un dispositivo externo altera la información forense del equipo examinado (nuevo proceso en ejecución, consumo de recuersos en memoria,etc) pero para el objetivo de recuperar información, este tipo de efectos colaterales no debe preocuparnos. El resultado es la recuperación de los archivos.


    Las características técnicas de la herramienta son:
    - soporta la recuperación de archivos FAT12,FAT16,FAT32,NTFS.
    - recupera archivos borrados de ficheros comprimidos NTFS.
    - recupera archivos cifrados de ficheros EFS NTFS.
    - ejecutable desde un dispositivo externo.
    - recupera los archivos de un directorio borrado
    - no necesita instalación de DLLs

    El único requisito importante es que requiere privilegios de administrador sobre el equipo utilizado. La herramienta es freeware y podéis localizarla en DataRecovery Web. La descarga se realiza desde este enlace.
    miércoles, 14 de noviembre de 2007 0 comentarios

    (IN)SECURE Magazine 14

    Ya se ha publicado el número 14 de la revista (IN)SECURE Magazine.
    En esta publicación sus contenidos son:
    • Attacking consumer embedded devices

    • Review: QualysGuard

    • CCTV: technology in transition - analog or IP?

    • Interview with Robert "RSnake" Hansen, CEO of SecTheory

    • The future of encryption

    • Endpoint threats

    • Review: Kaspersky Internet Security 7.0

    • Interview with Amol Sarwate, Manager, Vulnerability Research Lab, Qualys Inc.

    • Network access control: bridging the network security gap

    • Change and configuration solutions aid PCI auditors

    • Data protection and identity management

    • Information security governance: the nuts and bolts
    • Securing moving targets

    • 6 CTOs, 10 Burning Questions: AirDefense, AirMagnet, Aruba Networks, AirTight Networks, Fortress Technologies and Trapeze Networks


    Podéis descargar este ejemplar mediante este enlace.
    jueves, 8 de noviembre de 2007 0 comentarios

    Los formularios CAPTCHA empiezan a ser vulnerados por los spamers

    Leo del Blog de Trendmicro qué método están usando los spamer para saltarse los formularios CAPTCHA.¿Qué son los captcha? Bueno, la respuesta se puede obtener desde la Wikipedia.

    Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos).

    Este es un típico test para la secuencia "smwm" que dificulta el reconocimiento de la máquina rotando las letras y añadiendo un gradiente de fondoSe trata de una prueba desafío-respuesta utilizada en computación para determinar cuándo el usuario es o no humano. El término se empezó a utilizar en el año 2000 por Luis von Ahn, Manuel Blum y Nicholas J. Hopper de la Carnegie Mellon University, y John Langford de IBM.

    La típica prueba consiste en que el usuario introduzca un conjunto de caracteres que se muestran en una imagen distorsionada que aparece en pantalla. Se supone que una máquina no es capaz de comprender e introducir la secuencia de forma correcta por lo que solamente el humano podría hacerlo (salvo error).


    En el Blog de TrenMicro comentan la aparición de un nuevo troyano que utiliza ingeniería social para conseguir que los usuarios colaboren y descifren codigos captcha licitos de otras Webs.


    El troyano usa de nuevo la ingenería social con uno de los principales argumentos motivadores, el SEXO.
    La aplicación malware plantea un juego donde debes ayudar a Melissa a perder algo de ropa. Para ello, van apareciendo diversos códigos CAPTCHA que el usuario debe teclear. Esta información es enviada a un servidor remoto y se corresponde con retos de sitios válidos que así el spamer ya tiene listos para poder utilizar y saltar. Sencillo, ingeniero y efectivo, como suele ser normal en técnicas malware.

    La información con el detalle técnico del troyano y su mecanismo podéis leerla en
    CAPTCHA Wish Your Girlfriend Was Hot Like Me?
    miércoles, 7 de noviembre de 2007 2 comentarios

    Ingenieros de primera

    Esta semana se celebra en Madrid la feria de informática SIMO que es normalmente escaparate de los nuevos productos y tecnologías que van a ser lanzados al mercado. Normalmente la cobertura mediática de este evento es ver en telediarios los nuevos gadgets, portatiles y cacharros que la industria quiere ofrecernos para facilitar el acceso a la información.

    En esta edición curiosamente se han encontrado con la sorpresa de una concentración de los titulados universitarios en la materia que exigen una regulación del mercado. Ya se que estos temas suelen asociarse a "cotas de poder", poner "limites a la actuación profesional", definir "capacidades y competencias", que en general son temas muy impopulares.

    Por otro lado, nuestro mundo ha basado su avance en la mejora y calidad de actividades y procesos. En el siglo II seguramente no había arquitectos titulados para hacer construcciones y no se caían, tampoco se había formalizado los estudios para el ejercicio de la medicida y se curaba a la gente, etc.

    Definir capacidades y competencias es simplemente indicar qué requisitos mínimos debe tener todo profesional que se enfrente en el día a día a una problemática para garantizar el éxito de su tarea.
    ¿Nos libra eso del fallo humano? Claro que no. En todos los gremios y disciplinas se comenten errores pero al menos, existe la posibilidad de depurar responsabilidades. Si se puede definir quién es el autor o contibuidor en la negligencia cometida. Y eso, aporta seguridad al sector o gremio que se regula.

    ¿Por qué? Creo que por varios motivos:
    - Disuade al ignorante y atrevido a hacer cosas por las que luego tendrá que asumir responsabilidades en caso de problemas.
    - Garantiza una formación mínima de la mano de obra que realiza los trabajos.
    - Delimita tareas y responsabilidades que luego pueden ser investigadas para buscar culpables.
    En general, profesionaliza el ejercicio de una actividad y el desarrollo de unas competencias.

    ¿Qué problema hay con la regularización de la "Informática"? Pues creo que el principal es que la palabra es muy grande y dentro de ella hay demasiadas actividades y tareas. En las titulaciones informáticas evidentemente no se abarcan todas las áreas de conocimiento relacionadas con la Informática, pero si todos pasamos por unas asignaturas horizontales que son los auténticos cimientos de la construcción de hardware y software, así como de su gestión e implantación. Pero esto es algo común ya que pasa lo mismo con el gremio médico, la carrera da unos cimientos y la especialización capacita para el ejercicio.

    Yo soy ingeniero en informática y me he especializado en seguridad de la información ¿Es esta la única titulación con la que se puede realizar este tipo de actividad? Pues quizás no del todo, porque dentro de este área caben muchos perfiles y visiones que contribuyen al avance en general de la materia pero si que es una de las que sale de "fabrica" más capacitada porque utilizo los conocimientos adquiridos en varias de las ramas de la informática que estudié aunque he tenido que ir complementando para especializarme en esta materia concreta. Lo que si tengo claro es que hay otras áreas de la informática en donde sólo deberían ejercer ingenieros e ingenieros técnicos en informática. Ello nos lleva a un antiguo debate respecto a si se debe limitar o no el ejercicio libre de profesiones, pero igual que creo que podría construir una casa que no se me caería, se que en la vida real esto sería imposible sin pasar por todo el proceso burocrático pertinente en donde al final, necesitaría contar con el visto bueno del gremio de la arquitectura para tener la certeza de que no se caerá a pesar de mi convencimiento.

    Quizás a la informática se la juzga por sus resultados y eso es lo que más daño le hace. En la carrera todos estudiamos algoritmos y veíamos que un problema tiene muchas soluciones, pero siempre hay una que es la óptima, la que menos recursos y tiempo consume y cuyo orden del algoritmo presenta el mejor valor. Sin embargo en el día a día ¿Quién valora un programa por su eficiencia? Como no se mide el tiempo que se está perdiendo en ciclos de computación inútiles, no se puede cuantificar la pasta que se pierde.

    Lo contrario sin embargo si que vende. El mercado quiere soluciones eficaces y rápidas. Creo que solo hay que pensar en Google para imaginarnos lo que supone un buen algoritmo y el negocio que ello genera. Y todo ello porque contaban con los conocimientos adecuados de dos disciplinas intimamente relacionadas, las matemáticas y las matemáticas aplicadas a la información y tecnología, también llamada "informática". Por reseñar las titulaciones de los creadores de Google, tenemos:

    Larry Page
    Hijo del profesor de Informática de la Universidad Estatal de Michigan, el doctor Carl Victor Page, la pasión de Page por los equipos informáticos empezó a los seis años. Siguiendo los pasos académicos de su padre, Page se graduó con honores por la Universidad de Michigan, donde obtuvo una licenciatura en ingeniería, en la especialidad de ingeniería informática.

    Sergey Brin
    Originario de Moscú, se licenció con honores en matemáticas y en informática por la Universidad de Maryland en College Park. Actualmente se ha tomado un descanso del doctorado en Informática de la Universidad de Stanford, en la que obtuvo un máster.

    Por tanto, hay que empezar a ver la informática con otra perspectiva o esta sociedad de la información que ha nacido con cimientos de barro se nos vendrá encima. Vamos a empezar a hacer las cosas bien en todas las etapas:
    - Construcción del hardware con procedimientos de desarrollo industrial y certificaciones de producto.
    - Construcción de software siguiendo metodologías de desarrollo y de madurez.
    - Implantación de sistemas con descripción de proyecto y visado del mismo.

    Una cadena de actividades destinada a proporcionar confianza y garantías de que lo que se ha montado no funcionará "casi por azar" sino porque se tiene la certeza y evidencias de que todo está correcto y nada fallará.

    Por eso, desde este blog quiero unirme a la iniciativa de Ingenieros de primera y dar el apoyo simbólico que supone dedicarle un post.
    martes, 6 de noviembre de 2007 0 comentarios

    BgInfo v4.12

    La aplicación que hoy voy a recomendar puede ser útil para los administradores de entornos Microsoft. Es frecuente disponer de un acceso remoto para labores de soporte, cuando el usuario notifica una incidencia que no requiere ir a su sitio de trabajo para solucionarla.

    Lo normal es que la gente de soporte tenga que solicitar una información mínima al usuario, como suele ser el nombre del equipo o la dirección IP. Pues bien, la gente de Sysinternals, que ahora ya son de Microsoft, han creado una utilidad que sobreimpresiona al fondo de pantalla del usuario los datos técnicos que se quieran. El aspecto que toma el escritorio es similar al que representa la siguiente captura:

    En cuanto a configuración, se puede añadir tanta información como se desee. Los técnicos deberán cortarse un poco para no llenar de texto el fondo y que el resultado no sea demasiado molesto para el usuario, pero cada uno puede adaptarlo a sus necesidades. También BGInfo permite que los datos sean almacenados en una base de datos o fichero cada vez que el programa se ejecute.

    Lo más normal es colocar este programa como uno de los iniciados al entrar al equipo, para de esta manera sea algo transparente al usuario final.

    El programa se puede descargar en BgInfo v4.12
    lunes, 29 de octubre de 2007 0 comentarios

    "Inocentes, pero menos" de Perez Reverte

    Perez Reverte hace unas interesantes reflexiones en su página del XL Semanal sobre la ingenuidad y prepotencia del ser humano cuando quiere medir fuerzas contra la naturaleza. Lo que más me ha gustado del artículo es su titular, "Inocentes, pero menos".

    Todo el contenido es además extrapolable a la situación en que se encuentran los "sistemas de información" y sigue el hilo argumental de mis últimos post en relación al estado de situación de la seguridad en España y al relacionado con los "errores informáticos" que nunca tienen dueño.

    El contenido de la sección está accesible en XLSemanal, Patente de Corso, por Arturo Pérez Reverte: "Inocentes, pero menos".

    Lo más significativo del artículo se resumen en este trozo:

    "Antes, al menos, había excusa. O justificación. No siempre éramos culpables de los efectos letales de nuestra ignorancia, porque la sabiduría no estaba al alcance de todos. Estudiar era difícil, y los cuatro canallas con corona o sotana que manejaban el cotarro eran incultos o procuraban, en bien de su negocio, que la chusma lo fuera. El hombre ignoraba que el mundo es un lugar peligroso y hostil donde al menor descuido te saltas el semáforo; o lo sabía, pero no contaba con medios para evitar el daño. Sin embargo, hace tiempo que esa excusa no vale, al menos en lo que llamamos Occidente. De Pompeya a las playas asiáticas, de Troya a las Torres Gemelas, el imbécil occidental –ustedes y yo– dispone de treinta siglos de memoria escrita que se pasa por el forro de los huevos. Tenemos colegio obligatorio, televisión e Internet, y nunca hubo tanta información circulando. Quien no sabe es porque no quiere saber. Ahora somos deliberadamente ignorantes porque resulta más cómodo y barato mirar hacia otro lado y creer que nunca va a tocarnos a nosotros. Hasta que toca, claro."

    Arturo Pérez Reverte da de lleno en la diana, como casi siempre. Y por complementar un poco más este post y añadiendo la traducción de Chema Alonso, pongo también la tira cómica de Dilbert del 26 de Octubre de 2007 que viene como anillo al dedo para ilustrar esta coyuntura.
    Dilbert:"¿Por qué parece como si la mayoría de las decisiones en mi lugar de trabajo fueran hechas por Lemurs Borrachos?"
    Basurero: "Las decisitones son hechas por gente que tiene tiempo, no por gente que tiene talento"
    Dilbert: "¿Por qué la gente con talento está tan ocupada?"
    Basurero: "Ellos están arreglando los problemas generados por la gente que tiene tiempo"
    jueves, 25 de octubre de 2007 2 comentarios

    Consejos para el uso de Truecrypt.

    Ya comenté en su día lo interesante que es la herramienta de cifrado freeware Truecrypt. Desde que la conozco, ya no utilizo otra cosa para proteger la información sensible por varios motivos.
    • Usa cifrado simétrico, por lo que mi única preocupación es conocer la clave.
    • Transportar archivos cifrados es tan sencillo como copiar el archivo truecrypt
    • En caso de problemas con la instalación, reinstalas el producto y de nuevo puedes usar el archivo truecrypt.
    • Lo uso sobre discos usb y aunque la unidad esté montada, y extraiga el disco, hasta la fecha no he tenido problemas con el archivo cifrado.

    Por todas estas ventajas, es el software que uso para garantizar la confidencialidad de mis ficheros. Lo que hoy vengo a comentar son dos opciones sencillas de uso, para hacer más transparente la utilización del programa.
    Truecrypt permite hacer lo que llama "Disco de viaje" o "Instalación movil" sobre dispositivos externos, para instalar la aplicación en el disco portatil y poder utilizarla sin tener que depender de si está o no instalado el truecrypt en el PC donde pinches el disco. Para esta primera opción, es muy cómodo configurar el fichero autorun del disco, de manera que al pincharlo en el PC directamente nos pida la contraseña para montar la unidad cifrada.Yo normalmente formateo el disco y hago una instalación movil.El resto del contenido del disco lo ocupo con un fichero Truecrypt de manera que tengo sin serlo, un disco cifrado. Para este caso, el contenido del archivo autorun.ini debe ser:

      [autorun]
      action=Mount TrueCrypt Volume
      icon=Truecrypt\TrueCrypt.exe
      open=TrueCrypt\TrueCrypt.exe /q /a /e /m rm /v "[ARCHIVO_TRUECRYPT]"
      label=UFD Image 1
      includeRuntimeComponents=True

    Donde [ARCHIVO_TRUECRYPT]= Ruta y nombre del fichero truecrypt a usar.

    Otra opción, es querer tener carpetas cifradas dentro del disco duro. En este segundo caso, lo más comodo es disponer en el escritorio de un acceso directo que al pulsar, nos pida la contraseña para montar el volumen cifrado sobre la letra de la unidad que quedamos. Para este segundo caso, debéis crear un acceso directo donde la ruta del archivo sea:

      "C:\Archivos de programa\TrueCrypt\TrueCrypt.exe" /q /background /e /m /rm /l [UNIDAD_A_USAR] /m /v "[ARCHIVO_TRUECRYPT]"

    Donde [UNIDAD_A_USAR]=Letra de la unidad que tendrá el contenido del archivo truecrypt y [ARCHIVO_TRUECRYPT]= Ruta y nombre del fichero truecrypt a usar.

    Con estos dos sencillos consejos, se puede usar truecrypt de manera que o bien al pulsar sobre el icono, o bien al conectar el dispositivo USB directamente se ejecute y nos pida la contraseña para montar el volumen cifrado. Más facil imposible y todo software freeware con lo que pocas excusas quedan para proteger la información.
    martes, 23 de octubre de 2007 1 comentarios

    Fallos informáticos, esos animalillos (gremlins) sin padre

    Se me vienen juntando noticias de la semana pasada y de esta entorno a una problemática que ya traté hace poco y que hoy quiero afrontar desde otra perspectiva.

    Si recordáis el post "Los errores son también amenazas", un estudio de Gartner valoraba el alto impacto que tienen los errores en el manejo de información en hojas de cálculo. Hoy quiero hablar de esos curiosos "bichos" llamados "fallos informático" que ahora sirven para justificar todo comportamiento anómalo, siendo utilizado como un argumento que exime de responsabilidad. Es curioso incluso cómo se redactan las noticias para representar al "fallo informático" como un ente, externo y ajeno a los humanos, que altera y modifica el comportamiento deseado provocando efectos "colaterales" extraños. Quizás podríamos bautizarlos como "gremlins" dado que su significado se ajusta más que el término "fallo" que indica o apunta al factor humano como origen.


    La primera noticia de la semana pasada a valorar es la publicada por el diario El Mundo cuyo titular corresponde a "Protección de Datos impone una sanción grave al Ayuntamiento". Entrando al detalle, la sanción viene por manejar un dato incorrecto cuando el afectado ya había comunicado y solicitado la corrección del error. En el razonamiento alegatorio del citado Organismo, aparece “Fuentes de la Consejería de Hacienda consideran la sanción, que no es pecuniaria, exagerada. Subrayan que el fallo informático "no causó ningún perjuicio monetario al afectado" ni hubo una mala utilización de los datos, por lo que han anunciado que recurrirán ante el juzgado de lo contencioso-administrativo.”

    La primera cuestión es si tiene que existir un daño para que un dato incorrecto lo sea, que creo que la Ley de Protección de Datos no lo establece así claramente. Lo otro que como informático también me cabrea es la aparición siempre de la coletilla “por un error informático” que se indica textualmente.

    Claro que el avance de las tecnologías es mayor y la gravedad de estos “errores informáticos” cada vez tiene una mayor repercusión. Esto es lo que hasta la semana pasada había escrito en relación a este tema. Para hacer reflexionar, había puesto un ejemplo drástico que hiciera significativo lo relevante de los hechos.

    Imaginar este mismo error en cuanto a calidad de los datos, pero vinculado a la historia clínica de un paciente que es consultada justo antes de una operación.
    - ¿Quién debe asumir las responsabilidades si por un error informático en la historia no figuraba cierta alergia o incluso el parte de operación fue modificado? ¿El médico que produce el daño? ¿El informático que administra el sistema? ¿El usuario que introdujo mal la información? ¿El técnico que accidentalmente al reparar borra los datos?

    Claro que la realidad a veces es más dura y esta semana nos encontramos con estos otros titulares:
    - En prensa extranjera, Did software kill soldiers?
    - En prensa española El cañón robotizado asesino.

    ¿Es correcto usar el término fallo o error informático? ¿Quién es su causante?

    La máquina no toma decisiones. Obedece siempre y rigurosamente a las acciones del usuario, su administrador o en último término, el programador que establece las órdenes del software que se debe ejecutar.

    Esta es sólo una excusa para ocultar una negligencia humana que casio seguro podría ser objeto de investigación y permitiría identificar al causante. Por otro lado, si realmente es que los hechos no pueden investigarse, ¿qué clase de sistemas tenemos que no sabemos qué hacen o quién los utiliza?

    ¿Qué confianza podemos tener en la sociedad de la información si son actividades ni regladas ni profesionalmente atribuidas? ¿Cómo se depurarán las responsabilidades en caso de conflicto?

    Ante estas circunstancias, vuelve a surgir el debate respecto a las responsabilidades profesionales. Aunque yo no tengo muy claro como posicionarme, lo que si tengo claro es que la no definición o ambigüedad al asignar responsabilidades no es ni la solución ni la situación deseable, porque la impunidad y la no responsabilidad nunca es positiva. Es un hecho de la psicología humana. En una situación de peligro donde alguien pide auxilio, nuestro comportamiento será diferente según el contexto:
    - Si estamos solos, seguro que acudimos al auxilio.
    - Si hay mas gente con nosotros, seguro que pensamos que no somos los más adecuados y tranquilizamos nuestra conciencia pensando que otro auxiliará.

    En esta guerra si me uno a la iniciativa Ingenieros de primera. Aunque no tengo claro un técnico hasta donde es responsable, debido principalmente a la complejidad de un sistema y la interacción entre las partes, también tengo claro que si sobre un elemento aislado hay errores, detrás debe haber un responsable porque sino, ¿qué motivación hay para hacer las cosas bien si al hacerlas mas tienes menos coste y además no pasa nada?
    lunes, 22 de octubre de 2007 0 comentarios

    Los datos revelan lo preocupante de la situación en materia de seguridad en España

    Entre las más interesantes iniciativas del recien creado INTECO, se encuentra el Observatorio de la Seguridad de la Información que nos está proporcionando algunos datos estadísticos e indicadores de como está el panorama en la materia en España.

    Los indicadores que se están recogiendo son:
    • Indicador INT1: Porcentaje de medidas de seguridad pasivas o automatizables, instaladas en los hogares españoles.

    • Indicador INT2: Porcentaje de medidas de seguridad activas o no automatizables, instaladas en los hogares españoles.

    • Indicador INT3: Porcentaje de equipos afectados por código malicioso (malware)

    • Indicador INT4: Distribución porcentual de los usuarios según hábitos de uso

    • Indicador INT5: Distribución porcentual de la presencia de malware por categorías

    • Indicador INT6: Motivos alegados para no utilizar las distintas medidas de seguridad

    • Indicador INT7: Indicadores de Seguridad


    Con toda esta información que se está recogiendo, el INTECO hace una valoración objetiva de los datos publicados que aparece explicada en cada una de las páginas que corresponden a cada indicador.

    Yo sin embargo, no puedo reprimir el opinar sobre los datos que han sido publicados, sobre todo, entorno a los indicadores 6 y 7.

    Respecto al indicador 6, tenemos la siguiente situación:

    • Fuente:Indicador INT6: Motivos alegados para no utilizar las distintas medidas de seguridad



    • Como las cifras cantan, podéis ver que en general, la columna de "no es necesario" es la que mayor porcentaje de valor acumula en cada uno de los aspectos de seguridad a considerar. También sorprende el grado de desconocimiento de las diferentes tecnologías de seguridad.

      En todas las medidas, el porcentaje sumado correspondiente a "No se lo que es" y "No es necesario" supera el 50% excepto en el caso de los antivirus que es algo que todos los usuarios perciben como algo imprescindible, en base imagino a la propia experiencia.

      Uno se quedaría tranquilo si al menos supiera que estas conclusiones son fruto de un correcto "análisis y gestión de riesgo" de un usuario formado y con conocimientos técnicos que ha derivado en unos criterios de aceptación del riesgo que justifican esa "no necesidad". Por otro lado, cuando ves que cosas tan de sentido común como las copias de seguridad, son consideradas por un 67'5% de la gente como inecesarias, los datos chirrían mucho más. ¿Qué está pasando?¿Cómo se sobrevive entonces ante un incidente gordo si no tenemos medidas ni preventivas ni curativas?

      Ante las sospechas generadas por el indicador 6, uno trata de saciar esas preguntas utilizando los datos del indicador 7, que según interpreto yo por lo descrito, "sintetiza los aspectos más importantes a la hora de evaluar la seguridad".

      Aquí es cuando tras ver los resultados, he tenido que poner las manos sobre la cabeza para pensar "no puede ser, no puede ser".

    • Fuente:Indicador INT7: Indicadores de Seguridad



    • Como se observa claramente, es la valoración personal del profesional la que decide qué es o no es necesario.


    En el primer indicador vemos que hay un porcentaje alto de desconocimiento de las medidas y por tanto, de los riesgos que estas mitigan. Por tanto, ¿es real esa "percepción" del riesgo que está sirviendo para tomar decisiones tan importantes?
    ¿No pasa nada porque realmente no ocurre o porque ni nos enteramos?¿O si que pasa pero tratamos de taparlo para que no se vean las deficiencias internas porque la maquinaria no puede parar, cueste lo que cueste?

    Imaginemos que en otras disciplinas se utilizaran los mismos mecanismos para regular el funcionamiento.
    • En la construcción, el arquitecto pudiera decidir cómo construir el edificio en base a su conocimiento sobre el tipo de terreno, la situación geográfica, la frecuencia de catástrofes naturales.
      ¿Estarían todas las construcciones igual de preparadas para terremotos? ¿Gozarían de unas mínimas medidas de seguridad en cuanto a prevención de incendios?

    • En la gestión del tráfico, que no existirían normas básicas a cumplir porque cada conductor, decide, según su sano juício, qué cosas debe hacer en cada situación para no sufrir un accidente.


    Como se puede ver, estos hechos son o no para preocuparse un poco. La percepción del riesgo es algo muy subjetivo que no puede basarse solamente en la intuición. Y menos, si además se confiesa un alto grado de desconocimiento de las medidas de seguridad porque seguro que se están infravalorando los riesgos.

    Pues esto es lo que parece que está pasando en la seguridad de la información en las organizaciones españolas. Se está sacando el dedo para definir cómo deben ser los cimientros de la infraestructura que da soporte a los procesos de negocio.
    Así de crudo y así de duro según la interpretación que deduzco de los datos observados aunque puede que mi percepción no sea real (o que la "sensación de seguridad" de la situación actual oculte la verdadera realidad).


    Claro que digno de ver también tiene que ser la cara del Director de una Organización, cuando tras sufrir un desastre grave, comprueba que el mayor de los males había sido no el incidente en sí, sino el no haber probado el plan de recuperación frente al mismo como denuncia Symantec en "Symantec alerta sobre los planes de recuperación de desastres 'falsos'" y en "Planes de recuperación de desastres, una asignatura pendiente".

    Ya sabemos cual es la contestación de los diferentes responsables ante esta problemática. Es sencillo, "NO SON NECESARIOS, NUNCA PASA NADA".
    viernes, 12 de octubre de 2007 7 comentarios

    Quinto aniversario del blog

    Casi sin darme cuenta, hoy veo que ya hace cinco años que inicié esta aventura de publicar con cierta periodicidad aquellas cosas de interés dentro del mundillo de la seguridad de la información.

    Aquel primer post era solo una declaración de intenciones, que durante el tiempo se ha ido definiendo y madurando, perfilando la temática ya centrada del blog. En aquel momento, lo que creía interesante era hacer público aquellas aplicaciones y trucos que me solventaban los problemas de seguridad con los que me iba enfrentando o que servían para evitar las amenazas que se iban conociendo, tal como resume ese primer post:

    "Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos.
    Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."


    Aunque nació con ese humilde propósito, la verdad es que éste área de conocimiento ha adquirido una importancia cada vez mayor y se ha hecho de un hueco entre las disciplinas relacionadas con la informática, permitiendome como profesional haberme podido especializar en la materia.

    Aunque uno al terminar la carrera no tiene muy claro a qué en concreto dedicarse, el destino te abre oportunidades que no sabes a dónde te van a llevar. Este fue mi caso, que tras finalizar el proyecto me ofrecieron la posibilidad de probar MAGERIT 1.0 ya hace 8 años.
    Recuerdo en mis primeras incursiones dentro del área de la seguridad que buscaba por Internet bibliografía y manuales con teoría sobre la dirección y gestión de la seguridad de la información. En aquella época, las guías NIST eran la documentación de referencia. Como no, también me topé con la versión inglesa de la norma ISO 17799 (en aquella época BS 7799, 1 y 2) y los "Common criteria" que todavía no eran la ISO 15408.

    Me tocó defender durante algunos años que esto de la "gestión de la seguridad de la información" alcanzaría un nivel de madurez importante, y frente a la visión de mis compañeros de trabajo más centrados en la seguridad informática y en adquirir conocimientos en las tecnologías de protección, mi intuición me decía que al final el puesto de Responsable de Seguridad tendría su sillón dentro de la Dirección de toda organización.

    Durante estos años, quizás los dos hitos que han marcado un antes y un después han sido el paso de la BS 7799-1 a ISO 17799:2000 y el paso de la BS 7799-2 a ISO 27001:2005.

    Tal como se preveía, el hecho de que una organización pueda certificar la gestión de la seguridad es una referencia en cuanto al grado de fiabilidad y confianza que esa organización puede realmente garantizar. Y aunque en el mercado español todavía vamos con retraso, este movimiento es ya imparable y la certificación ISO 27001 lleva un camino paralelo a lo que supuso la certificación ISO 9001 en materia de gestión de la calidad del producto.



    En el siglo XXI, como publica Antonio Valle en su excelente blog Gobierno TIC , vamos a empezar a hablar del BISM o Business Information Services Management.

    Como dice Antonio cuya opinión comparto plenamente "La idea es que el concepto de IT Services se va quedando lentamente obsoleto y comienza a aparecer el concepto de Business Information Services, lo que me parece de lo más correcto si pensamos en que lo que realmente consume el negocio de las TIC es la información y, además, esto alinea con el concepto de "Requerimientos de la Información" que ya planteaba COBIT desde los inicios."

    Y para un área como el BISM que gestiona la información de la empresa, la seguridad es uno de los grandes pilares en donde se debe apoyar la infraestructura y procesos de gestión de la información. Los otros pilares tendrán que ver con la eficacia y rentabilidad de los procesos, pero eso siempre que la seguridad sea un requisito ya garantizado.
    jueves, 11 de octubre de 2007 0 comentarios

    Curso de seguridad de la información para usuarios de banca electrónica

    Hoy al entrar en la Web de Openbank me he encontrado un banner con el anuncio de un curso online gratuito de seguridad de la información.

    Llamado por la curiosidad me he adentrado en su contenido y la sorpresa ha sido muy grata. De manera sencilla y con un lenguaje muy visual, transmiten al usuario final las recomendaciones básicas para no ser víctima del fraude en Internet. Este último mes he estado impartiendo formación a usuarios finales y tras contar las diferentes técnicas de malware, a la gente se le queda muy mal cuerpo y normalmente la primera pregunta suele ser: ¿Es segura la banca por Internet?.

    Coincide también que ayer en Telecinco, salía un cliente de una entidad financiera al que le han desaparecido 12.000 € de su cuenta tras ser víctima del phishing. A estas alturas la gente debería estar ya concienciada respecto a este tema, pero como bien argumentaba el cliente, cuando el contrató el servicio no recibió ningun tipo de información sobre los riesgos que suponen este tipo de servicios de banca electrónica.
    Imagino que un poco llevados por la obligación de formar a los clientes y por otro, para generar confianza en el uso de este tipo de servicio bancario, quiero hoy destacar la iniciativa de Openbank y su excelente curso online.

    Para los que quieran seguirlo, son solo 10 minutos. El contenido está accesible en Curso básico de seguridad de la información para usuarios de banca
    miércoles, 10 de octubre de 2007 0 comentarios

    Actualización de aplicaciones mediante UpdateStar

    La actualización de aplicaciones para usuario final en Windows a día de hoy sigue siendo un auténtico latazo, aunque la actualización es necesaria dado que normalmente una nueva versión o aporta funcionalidad o corrige errores. Hoy vía Genbeta, he encontrado un programa gratuito similar al que ya recomendé.

    La aplicación se llama UpdateStar y permite estar informado sobre nuevas versiones y programar las actualizaciones. Es freeware, como todo lo que suelo recomendar.Podéis descargarla en Updatestar download.
    jueves, 4 de octubre de 2007 0 comentarios

    Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

    Leo vía Sociedad de la Información la publicación en el BOE de la Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
    Algunos os preguntaréis, ¿dónde encaja esto? o ¿qué parte de la confianza en las tecnologías construye?. En este post, voy a tratar de explicar qué sentido tiene este reglamento y en qué estándares se basa.
    Por hacer algo de historia, en mis comienzos en esto de la seguridad cuando trabajaba en Madrid tuve oportunidad de publicar en el número 46 de septiembre del 2001 de la Revista SIC un extenso artículo al respecto de los conocidos como "Common Criteria" o ISO 15408. En este artículo se detalla la estructura de la norma y qué tipo de certificación se obtiene al aplicarla sobre un producto o sistema TI.

    Para garantizar la seguridad de la información es necesario poder garantizar también la seguridad de los productos TI que forman parte de un sistema. Pongo un ejemplo que se entenderá fácil. En la problemática de la firma electrónica, es necesario demostrar que los dispositivos utilizados durante el proceso de firma no son vulnerables y garantizan la fiabilidad de las operaciones de firma al utilizar el lector de tarjeta electrónica, la propia tarjeta inteligente o criptográfica, el sistema operativo que realiza las operaciones, etc. Por tanto, vemos que la confianza del proceso de firma, se basa en parte en la suma de la confianza que nos proporcionan cada una de las piezas tecnológicas que participan de ese proceso. De hecho, en la Ley 59/2003 de firma electrónica, se establece como definición de firma electrónica reconocida a aquella firma electrónica avanzada almacenada sobre un dispositivo seguro.
    Para esta finalidad de certificar productos TI se utiliza por tanto la norma ISO 15408 conocida como "Common Criteria" que permite en un laboratorio verificar los requisitos de seguridad que un dispositivo presenta. Estos requisitos a su vez pueden ser de dos clases:
    - Requisitos funcionales: lo que el aparato hace o garantiza.
    - Requisitos de garantías: lo que el aparato bajo ningún concepto realizará.
    Toda esta documentación sobre qué requisitos tiene un equipo y cómo se configura para obtener la certificación es pública y se encuentra en la página de Common Criteria. Podéis ver la cantidad de dispositivos certificados que existen actualmente y la documentación respecto al proceso de certificación en la dirección Lista de productos certificados.

    Como ejemplo familiar podéis ver el resultado de la evaluación de nuestro DNI-Electrónico.
    Los productos certificados suelen tener dos documentos: el Security Target que es lo que se va a tratar de evaluar en el producto que en el caso del DNI-e puede leerse en ST-DNI-e y el resultado de la certificación que se puede leer en este
    enlace.

    Todas estas regulaciones aparecen en la Web del Consejo Superior de Informática, dependiente del Ministerio de Administraciones Públicas. Para quien quiera ubicarse ante tanta normativa, puede consultar la siguiente dirección.

    Por tanto, ha sido necesario establecer dentro del marco jurídico español un esquema de certificación y su correspondiente rglamento para poder definir qué requisitos tienen que cumplir los organismos certificadores españoles de productos TI y que normas y metodologías deben usar, ya sean públicos o privados. Precísamente este es el objeto del decreto publicado donde se define el "Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información". España tiene firmado un acuerdo con otros países para reconocer los certificados expedidos por laboratorios extranjeros, dado que hasta hace poco no contabamos con un organismo de certificación propio. Ahora ya tenemos en España nuestro Centro Criptológico Nacional como el Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), según lo dispuesto respectivamente en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional que ha sido el organismo que ha certificado el DNI electrónico.
    jueves, 27 de septiembre de 2007 0 comentarios

    Entrevista completa Adam Laurie

    Merce Molist recoge la entrevista que realiza a Adam Laurie, un afamado y representativo hacker de la comunidad que merece la pena leer.
    Por el contenido de la entrevista, se deduce la diferencia entre hacker y cracker. Es interesante comprobar cómo la intención de este gran tecnólogo es la defensa del que confíe en exceso en la tecnología, cuando esta no merece realmente tanta confianza.
    Podéis acceder al texto integro en Entrevista completa Adam Laurie
    1 comentarios

    Los errores también son amenazas

    Tenía pendiente desde la semana pasada comentar los resultados de un estudio de Gartner respecto a las pérdidas millonarias que suponen para las empresas los errores en el uso de las hojas de cálculo.
    La noticia publicada por DiarioTI, comenta ejemplos que ponen los pelos de punta. Resumo los más significativos:
    "En un caso, un empleado bancario manipuló una hoja de cálculo para ocultar inversiones desafortunadas. Esto ocasionó pérdidas de 691 millones de dólares al banco. Una compañía eléctrica, en tanto, perdió 24 millones de dólares debido a que ciertos datos fueron digitados equivocadamente en una hoja de cálculo. Una academia de policía, por su parte, clasificó erróneamente los resultados y notificó a los postulantes rechazados que habían sido aceptados.
    Otra compañía eléctrica usó una hoja de cálculo con errores para calcular sus precios, lo que resultó en una demanda en su contra por 200 millones de dólares."


    La reflexión inmediata vuelve a ser la importancia que tiene clasificar la información. ¿Cómo tomar medidas si no sabemos en dónde son prioritarias?¿Vamos a proteger por igual la hoja Excel que utiliza el guardia de seguridad para el control de acceso que la hoja Excel del Director Finaciero con los resultados contables del año?

    Como destaca el artículo, "Según Heiser, el 30% de información de importancia crítica para las empresas está almacenada en hojas de cálculo. El analista compara las hojas de cálculo con Skype; es decir, una tecnología para consumidores, que no puede ser usada para aplicaciones empresariales críticas. Es cierto que no podemos proponer una prohibición al uso de hojas de cálculo. Sin embargo, conviene tener presente el riesgo que se corre al usarlas, cuando no hay control de la calidad ni acceso. Es importante verlo como un tema estratégico. Sugerimos comenzar con control de acceso y luego seguir con el control de calidad".

    A este interesante informe se suma la noticia de la que se hace eco Kriptópolis sobre los errores de cálculo detectados en Excel 2007. Sin entrar en la polémica que a Kriptópolis siempre le gusta generar respecto a software libre vs propietario, lo que es evidente es que herramientas muy básicas para el desempeño de tareas como son las suites ofimáticas sean del fabricante que sea, son también susceptibles de errores en el código o en la representación numérica y por tanto, errores en la ejecución de los cálculos.

    Hay una excelente información sobre la naturaleza del problema aparecido en Excel en relación a la representación y uso de los números en coma flotante en el blog Joel on software. En concreto este error tampoco es para llevarse las manos a la cabeza dado que según parece, solo afecta a 12 operaciones posibles. A continuación copio la respuesta de Joel a la pregunta de si la cosa es grave:
    "Q: Isn't this really, really bad?
    A: IMHO, no, the chance that you would see this in real life calculations is microscopic. Better worry about getting hit by a meterorite. Microsoft, of course, will be forced to tell everyone "accuracy is extremely important to us" and I'm sure they'll have a fix in a matter of days, and they'll be subjected to all kinds of well-deserved ridicule, but since I don't work there I'm free to tell you that the chance of this bug actually mattering to you as an individual is breathtakingly small."


    Venimos arrastrando la lacra del haber querido correr más de lo técnicamente permitido, acelerando los tiempos de entrega de productos y ahora sufrimos los excesos cometidos por esa falta de calidad en el software. Esta discusión también puede servir de argumento respecto a la necesidad de garantizar las responsabilidades profesionales por estos errores software.

    ¿Podría demandar ahora una empresa al causante de un daño por disponer de un software que no realiza las operaciones matemáticas de forma adecuada? ¿Quién sería el perfil adecuado para peritar este tipo de situaciones?
    En fin, un debate abierto que no parece que pronto vaya a solucionarse...aunque los errores seguirán apareciendo y los usuarios permanecerán indefensos ante ellos.
     
    ;