viernes, 26 de febrero de 2010 0 comentarios

Humor, parodia sobre la importancia del SLA

Vía el twitter de Eddasec he llegado a este video que no deja de ser una parodia pero que revela cuales son los conflictos bélicos que se pueden plantear en el futuro y las dificiles relaciones de las empresas con sus proveedores TI.
En situaciones como esta es donde los controles de ISO 27002:2005 en relación a los objetivos de control .6.2 y 10.2 es donde demuestran si se está a la altura o no.


Feliz fin de semana.
lunes, 22 de febrero de 2010 1 comentarios

Publicada la norma ISO/IEC 27003, Guía de implantación de un SGSI

Tenemos otra norma nueva dentro de la serie 27000. Esta vez se trata de una de las importantes dado que ISO/IEC 27003,Information technology -- Security techniques -- Information security management system implementation guidance es la guía de implantación de un SGSI.

Esta norma viene bien tanto para aquellos que quieren lanzarse a montar un SGSI por su cuenta como a nosotros los consultores , dado que resuelve algunas de las cuestiones que hasta la fecha carecían de un criterio normalizado.

ISO / IEC 27003:2010 se centra en los aspectos críticos necesarios para el éxito del diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO / IEC 27001:2005. Se describe el proceso de especificación del SGSI y el diseño desde el inicio hasta la elaboración de planes de ejecución. En él se describe el proceso de obtener la aprobación de la gestión para implementar un SGSI, se define un proyecto para implementar un SGSI (denominado en la norma ISO / IEC 27003:2010 como el proyecto de SGSI), y da pautas sobre cómo planificar el proyecto de SGSI, resultando en una SGSI proyecto final de ejecución del plan. La publicación se realizó a primeros de este mes y a continuación detallo la estructura del contenido que recoge la norma.

1. Scope

2. Normative references

3. Terms and definitions

4. Structure of this international standard

5. Obtaining management approval for initiating an ISMS project

6 Defining ISMS scope, boundaries and ISMS policy

7 Conducting information security requirements analysis

8 Conducting risk assessment and planning risk treatment

9 Design the ISMS

Annex A: An ISMS implementation checklist

Annex B: Roles and responsibilities for information security

Annex C: Information about internal auditing

Annex D: Information security policy structure

Annex E: Monitoring and measuring the ISMS

Sin duda, una norma que hay que comprar y tener como referencia técnica ahora que por fin tenemos un criterio internacional sobre algunos aspectos algo difusos del proceso de diseño e implantación de todo SGSI.
martes, 16 de febrero de 2010 4 comentarios

Descubren como se vulneran las nuevas tarjetas EMV para usarlas sin necesidad de la clave

Los tiempos de crisis son siempre épocas donde se agudiza el ingenio. Sin embargo parece que este 2010 no va a ser el año de Banca. Una de las estrategias utilizadas en seguridad es lo que denominamos "seguridad por oscuridad" y se basa en suponer que el atacante desconoce los mecanismos internos de protección y por ello, tiene más difícil vulnerarlos.

En el conocido "Arte de la guerra" de Sun Tzu se insiste en la necesidad de conocerse a si mismo, pero también al enemigo. Por tanto, siempre he considerado que cuanta menos información tenga tu adversario mejor. Esto ha venido siendo la estrategia utilizada por la Banca hasta que ha llegado Internet y ahora es mucho más complicado poder ocultar las cosas. Si además se suman las investigaciones de las Universidades para tratar de encontrar ellos las vulnerabilidades antes que "los malos" el panorama se pone mucho peor. En el fondo, este goteo incesante de "malas noticias" es simplemente la consecuencia de no haber pensado en la seguridad de forma robusta y completa desde el diseño, la falta de un análisis holístico de amenazas antes de introducir la solución en el escenario productivo. Sólo hay que hacerse algunas preguntas ¿Cuanto tiempo llevan las tecnologías de firma digital desarrolladas? ¿Por qué la Banca no termina de adoptarlas en todos sus medios de pago si realmente son un método robusto de autenticación?

La respuesta creo que puede ser simplemente un posible análisis costo/beneficio entre la inseguridad y el precio de las medidas a adoptar. Es la manera tradicional que tiene la Banca de razonar. Sin embargo, hay un factor que quizás no se contempló en ese momento y que puede ser el tiempo de migración de una tecnología a otra, una vez que el mecanismo de seguridad falla.

Tenemos un claro ejemplo en los casos de phishing. ¿Cuánto tiempo ha tenido que pasar para que se tomen medidas? ¿Cuales han sido las pérdidas que se han tenido que asumir? ¿Realmente el tiempo que han tardado en llegar y el impacto económico del fraude es menor que lo que hubiera costado haber adoptado las medidas preventivas?

Todas estas preguntas quedan en el aire, dado que la Banca también juega a la seguridad por oscuridad, pero en materia de incidentes y resultados negativos de sus impactos. Si un Banco tuviera que confesar las pérdidas por fraude se estaría poniendo una diana en la cabeza para que el resto de "los malos" fueran a por él dado que aquel que más pérdidas acumule puede ser por ser la víctima más facil.

La noticia de hoy y que he conocido vía meneame.net es que se descubre una vulnerabilidad que "podría" permitir sacar dinero de cajeros sin PIN. aunque el titular llama la atención bastante,Descubren manera de sacar dinero de cajeros automáticos, y sin clave por suerte para la Banca todavía la vulnerabilidad no se ha popularizado.
El reportaje de la BBC que a estos contenidos les aplica bastante rigor informativo está accesible ya en Youtube y también se puede consultar la fuente de la noticia en EMV PIN verification “wedge” vulnerability



Las preguntas ahora abiertas son, ¿cuanto tiempo puede tardar en migrar la tecnología de los medios de pago? ¿Cuanta pasta podrían trincar los chorizos mientras la brecha de seguridad no se soluciona?
A veces, el coste/beneficio puro y duro puede no dar una visión global de las consecuencias de asumir "ciertos riesgos" sobre todo, si vienen acompañados de otros "costes ocultos" y "riesgos ocultos".
jueves, 11 de febrero de 2010 2 comentarios

El consumo compulsivo de las redes sociales

Unos días después del Día de la Protección de Datos y la Internet segura, me han pasado unas viñetas gráfica de Juanelo sobre las redes sociales que dan mucho que pensar.







Esperemos que esta otra viñeta sólo se quede en una reflexión humorística y no se haga realidad o acabaremos relacionándonos sólo en un mundo de avatares.

martes, 9 de febrero de 2010 0 comentarios

Día de Internet segura

Como ya viene siendo tradicional en estos cuatro últimos años, el día 9 de febrero es el día de Internet seguro. Aunque el mensaje va dirigido a concienciar sobre todo a menores que son los más inocentes en el uso de la tecnología, no viene mal que en general se haga campaña de concienciación sobre los riesgos que supone compartir información en Internet.

Lo que publicas en la Red es como el matrimonio, puede que para toda la vida. Por tanto, antes de colgarlo en la red, reflexiona si te hará ilusión dentro de algunos años ver esa foto, ese texto o esas reflexiones.

jueves, 4 de febrero de 2010 2 comentarios

Un fraude de 5.000 millones de euros por cuotas de CO₂ mediante phishing

El phishing es una amenaza de esas ya cotidianas. Todos los días nos llegan al correo electrónico interesantes ofertas de trabajo de empresas extranjeras buscando empleados, avisos críticos de seguridad para que cambiemos contraseñas, ofertas increíbles de productos carísimos a bajo precio. Muchos chollos a modo de anzuelo en los que puede ser tentador picar.

Sin embargo se empieza a detectar que cada vez los grandes pescadores están afinando sus anzuelos y sobre todo, mejores cebos. Las Webs falsas son casi idénticas a las reales, los mensajes de spam previos con el gancho son muy significativos al receptor y en algún caso, no genera ningún tipo de sospecha, pero lo más preocupante de todo, ya no están suplantando a empresas con las que no tenemos relación y a Bancos de los que no somos clientes. Están haciéndose pasar por los servicios Webs que más utilizamos y están enviando mensajes muy creíbles logrando así que un usuario medio algo concienciado también caiga en sus redes. Valga como ejemplo el phishing sufrido en la Universidad Politécnica de Valencia para engañar a los usuarios de Webmail.

La historia de inseguridad de hoy es de las gordas. Una estafa en toda regla de esas que pueden protagonizar una próxima versión de Ocean Eleven pero en versión tecnológica. Quizás porque el trabajo de estos dos últimos años está centrado en aplicar seguridad de la información en Administraciones Públicas atendiendo a requisitos europeos vinculados a los sistemas de información que gestionan ayudas de la Unión Europea, entiendo mejor el riesgo que ahora surge con la tramitación automatizada. Europa también lo sabe y es por ello que exige el cumplimiento de unas estrictas medidas de seguridad, aunque ya sabemos que cada país entiende "estricto" de una manera diferente.

Por centrar al lector antes del caso, voy a explicar mi experiencia en el análisis del proceso de gestión de ayudas. Creo que en general, podemos distinguir cuatro fases bien diferenciadas:

  • Solicitud del beneficiario: el solicitante proporciona una información que sirve para justificar la petición de la ayuda en base a la normativa y reglamentos establecidos que arbitran el proceso de concesión de la misma. Estos datos, pueden ser ciertos o no y deben revisarse durante el proceso de tramitación para poder saber si la ayuda debe o no otorgarse. Esta fase está fuera de control del Organismo y simplemente se procede a recoger y registrar la entrada de solicitudes al mismo.

  • Tramitación administrativa: una vez los datos entran a la Entidad, empieza el duro trabajo de verificar que dicho solicitante satisface los requisitos establecidos en reglamentos y normativas para otorgar esa ayuda. Estas ayudas están muy reglamentadas y los protocolos de verificación e inspección son muy detallados y en algún caso complejos. Es la parte más tediosa y extensa del trámite y en ella se realizan todas las verificaciones, inspecciones y actividades necesarias para garantizar la veracidad de los datos aportados. Es también en donde el Organismo puede desplazarse a auditar o inspeccionar al solicitante. En muchos casos, la ayuda se otorga en base a lo que se denominan "derechos de la ayuda" que son un criterio para repartir una cuantía en base a cuotas que se intentan establecer de la manera más adecuada posible. Ademas, estos derechos otorgados se pueden comercializar. Ocurre por ejemplo con las cuotas lácteas. A un productor se le asigna una cantidad de producción y ese puede decidir si obtenerla o ceder los derechos a otro. Es una manera de establecer una cuantía de subvención en base a unos derechos definidos que luego los beneficiarios pueden gestionar entre ellos. Esta fase de tramitación normalmente acaba o bien con la denegación de la ayuda, o bien con el archivo por no poder completar el trámite administrativo o bien con la propuesta de pago, el importe que corresponde al beneficiario.

  • Proceso de pago: Esta es la fase propiamente de gestión económica para hacer que los fondos lleguen al beneficiario.
    Una vez que el trámite administrativo termina y ya se conoce la cuantía a pagar, toca hacer llegar el dinero al beneficiario. Esta fase, antes de proceder al pago real, pasa a la siguiente de fiscalización que hace de control interno independiente del organismo para velar que no hay irregularidades. Una vez que acaba la fiscalización, es también en esta fase donde la Organización proporciona a las entidades bancarias las correspondientes ordenes de pago a las cuentas de los diferentes beneficiarios.Es quizás una de las partes más delicadas porque es donde se mueve la pasta.

  • Fiscalización de cuentas: Una vez que los pagos se han autorizado, toca hacer las operaciones contables de fiscalizar el dinero para poder justificar convenientemente la gestión y cuadrar las cuentas. Esta fase es muy auditada por los propios órganos de control internos y externos dado que es donde las cosas podrían no cuadrar y el primer indicio del fraude.


Con esta breve (y espero que acertada) introducción al proceso de gestión de ayudas, voy ahora a contar la noticia que no es reciente pero ahora se comenta en los foros de seguridad y que ya la había enlazado vía Twitter. Las fuentes que he consultado son Mcafee y www.thegwpf.org y todo queda confirmado por la propia Web de Europol.

A continuación extracto lo que se cuenta en ambas webs:
En las últimas semanas, varios ataques de la delincuencia informática han alterado los sistemas informáticos que permiten a los países gestionar sus cuotas nacionales en relación a la emisión de gases de CO₂ de acuerdo a convenios internacionales (el Protocolo de Kioto y el sistema europeo). Se basa en la gestión de derechos y su adquisición permite poder emitir el equivalente de una tonelada de dióxido de carbono durante un período determinado.



El ataque inicial fue dirigido contra el registro danés de derechos de CO₂ que se cerró el 12 de enero. Las autoridades danesas tomaron esta decisión después de los usuarios del registro hubieran recibido un correo electrónico falso (spam previo y primera fase del ataque) que supuestamente procedía de la Agencia Danesa de Energía y que tras pulsar eran redirigidos hacia un sitio Web fraudulento(phishing) pero idéntico donde poder robarles sus credenciales.

Al parecer, los delincuentes informáticos, tras su éxito inicial, lo volvieron a intentar la semana pasada mediante el envío de mensajes de correo electrónico similares a los registros de CO₂ en otros 13 países europeos. Aquí, también, el objetivo era el robo de nombres de usuario y contraseñas para tener acceso a los derechos de CO ₂ sistemas de gestión. Esto causó de forma generalizada el cierre de los registros de derechos.

Utilizando estas credenciales, los delincuentes informáticos han podido durante meses comercializar estos derechos. Durante los últimos 18 meses, el fraude en el mercado de emisiones de CO ₂ ha causado una pérdida fiscal de 5 mil millones de euros. Dicho acceso también sería útil para los mayores emisores de dióxido de carbono, los países podían manipular los contingentes internacionales para reducir sus penas. El siguiente diagrama de Europol (European Law Enforcement Agency), explica cómo se diseño el fraude.



Una cosa es segura, la gente detrás de estos ataques no son simples piratas. Es una mafia bien organizada, de carácter internacional que opera como los más potentes cárteles de la droga pero de una manera mas silenciosa aunque con un impacto económico similar o mayor incluso.


Estos hechos y otros similares que no transcienden son un aviso a todos aquellos organismos y Administraciones Públicas que gestionan grandes cantidades de dinero en subvenciones y ayudas que pueden ser un objetivo de los amigos del fraude. Y más cuando nos encontramos en un proceso de digitalización de la Administración para pasar a la gestión electrónica del expediente. El recién aprobado Esquema Nacional de Seguridad puede ser un potente mecanismo para evitar este tipo de incidentes pero también soy consciente que un reglamento sin sanción y sin un órgano auditor o inspector que motive de alguna forma a implantar el Esquema, no va a ser algo prioritario en muchas de las Administraciones que deberían empezar a aplicarlo.

En la tramitación en soporte papel, el fraude requiere de falsificación de documentos, expedientes y no puede hacerse de forma fácil y pasar desapercibida de forma muy prolongada en el tiempo. Sin embargo, modificar entradas en una base de datos puede ser algo mucho más indetectable y suculento para los amigos de lo ajeno. Además, por desgracia, una vez que el trámite administrativo finalizada ya nadie desconfía de la información que se encuentra en el sistema de información. En realidad, no debería de hacerlo pero es necesario que existan controles para garantizar exactamente eso, que no hay alteraciones o modificaciones sobre la integridad de la información. Es por tanto necesario tomar conciencia de la importancia de esos datos, calificarlos como activos porque una base de datos no es simplemente información, son datos que significan cosas y en base a los que se van a tomar decisiones y realizar procesos. Por tanto, debemos tener las medidas suficientes para tener la certeza de que no ocurre ni ocurrirá nada raro. Este caso de fraude en base a la alteración de bases de datos de derechos no ha sido el único y posiblemente no será el último. Pero si muestra cómo los amigos del fraude han encontrado un punto vulnerable que explotar y por tanto, debe servir de aviso para los responsables de estos sistemas de información. El enemigo ya avisa sobre qué frentes quiere atacar. Sólo hay que tomar buena nota y robustecer las defensas.

El otro hecho significativo es la importancia de medidas que lleven a detectar anomalías. La propia noticia informa que han tardado 18 meses en percibir el asunto, y a mayor tiempo en detectar un incidente, mayor impacto. La cuantía del fraude tiene unas proporciones demasiado elevadas y deberían existir medidas de seguridad proporcionales al valor del bien a proteger. La ausencia de medidas de detección ha permitido a esta gente campar a sus anchas durante demasiado tiempo.

Debemos ser conscientes de cómo el mundo está cambiando y todo el que se conecta a Internet, no sólo se conecta con los ciudadano que quiere atender, se conecta a un abismo de usuarios, de los buenos, y de los malos. Todo organismo puede ser objetivo de atacantes, cualquiera que gestione grandes cantidades de dinero es un buen botín y si encima no toma las medidas de protección adecuadas, es la víctima más vulnerable, la víctima más facil, la que un depredador seguro que seleccionará. La piratería informática no afecta solamente a empresas. Los hechos empiezan a demostrarlo aunque no es habitual que estas noticias salgan a la luz. Sólo hay un objetivo y es ganar dinero de la manera más fácil, indetectable y rápida que sea posible. ¿Imaginas algo más cómodo que el sofá de tu habitación delante de tu ordenador?
miércoles, 3 de febrero de 2010 0 comentarios

El corazón de Avatar

La última pelicula de James Cameron sorprende por lo complicado que es ya distinguir como espectador lo que es real y lo virtual. La tecnología 3D hace que el cine explote un recurso que no es nuevo pero que adquiere ahora un protagonismo relevante al ser muy diferenciador.

Los datos técnicos de Avatar impresionan. A cada uno le gusta lo suyo y he intentado dar con los recursos tecnológicos que han permitido realizar esta película. Recuerdo que Toy Story en su momento ya supuso un reto al tener que renderizar tamaños de imagenes muy grandes con gran precisión de detalle pero Avatar bate todos los hitos tecnológicos hasta la fecha.
Aunque tuvo un importante presupuesto, 230 millones de dólares, pocas semanas después del estreno ya es un producto rentable y la película más taquillera de toda la historia batiendo James Cameron a su anterior Titanic.

Ha requerido una gran cantidad de potencia tecnológica para poder crear sus impactantes efectos especiales. La empresa de efectos especiales Weta Digital no era nueva en el tema puesto que ya marcó un hito en el cine con El Señor de los Anillos.

Esta es una foto del CPD por dentro.


Sus instalaciones incluyen un campus de estudios de efectos, instalaciones de producción, estudios de sonido y un servicio integrado de centros de datos. Sus 10.000 metros cuadrados de servidores gestionan miles de órdenes de trabajo y una gran cantidad de datos.

Los detalles técnicos que he podido localizar a través de DiarioTI y http://www.datacenterknowledge.com/ cuentan que el centro de datos de Weta Digital mejoró sus equipos de hardware el pasado 2008 y ahora utiliza más de 4.000 blade HP BL2x200c en 34 racks, además de networking de 10 Gigabit Ethernet de Foundry (empresa adquirida en 2009 por Brocade) y almacenamiento de BluArc y NetApp. Los servidores contienen un total de 40.000 procesadores y 104 terabyte en RAM. Todos los equipos están conectados mediante fibra óptica a una unidad de almacenamiento de BluArc y NettApp, que contiene los 3 petabyte de datos necesarios para realizar la película. El hardware es refrigerado con agua.

Ahora con Google Street View incluso podemos pasearnos por la fachada de los estudios para hacernos una idea de cómo son sus instalaciones.


Ver mapa más grande

El sistema ocupa actualmente los lugares 193 al 197 de la lista de las 500 supercomputadoras más rápidas del mundo. Durante el último mes de la producción de Avatar, el centro de datos funcionó las 24 horas del día, realizando procesos que "movían" entre 7 y 8 gigabytes de datos por segundo. El producto final y la película en sí requieren mucho menos espacio que su producción; es decir, 12 MB por imagen. En otras palabras, cada segundo de la película consiste de 288 MB de datos o 17,8 GB por minuto.

No quiero ni imaginarme lo que puede ser dirigir una orquesta de 4000 servidores, 103 teras de RAM y 3 petabytes de datos.

Mucho menos ser el Responsable de Seguridad de semejante enjendro siendo uno de los bienes más codiciados antes del estreno. Sería también interesante conocer si existen los planes de continuidad de negocio de Weta Digital porque con tanta capacidad tecnológica debe ser difícil disponer de un centro alternativo con características similares. Al menos si tienen la suerte de que no hay discos USB de 3 petabytes todavía. Hay más detalles de la película en Avatarlapelicula.es
martes, 2 de febrero de 2010 0 comentarios

¿Está el hacking de moda?

Llevamos unos meses donde las noticias de inseguridad están a la orden del día. Son continuos los incidentes donde aparecen las palabras intrusión, hacking, ciberguerra.

¿Es nueva esta preocupación? ¿A qué se debe tanto bombardeo mediático?

Básicamente creo que confluyen tres hechos principalmente en esta avalancha de sucesos relacionados con la seguridad en los medios de comunicación y que es lo que hace parecer que crece una nueva moda.
El primero es la alta relevancia de los hechos involucrados en las acciones donde las vulnerabilidades de seguridad son la herramienta utilizada para acceder a cierta información privilegiada. En este caso, la inseguridad informática actúa como herramienta que habilita y permite el acceso al poder de la información. Los hechos más destacados de estos últimos días son:

Siempre hemos sabido que la información es poder, pero ahora nos encontramos que las herramientas para obtenerlo pasan por la utilización de las aplicaciones informáticas utilizadas en el mundo de la seguridad de la información. Este factor pone de manifiesto un incremento en el impacto que este tipo de técnicas empieza a utilizar, dado que nos encontramos con delincuentes que buscan a aquellas organizaciones que manejan información de valor que luego les va a proporcionar un importante beneficio como pueden ser secretos militares, código fuente, documentación estratégica. Y además permite la democratización del espionaje dado que ya no es algo exclusivo de los cuerpos más especializados y sofisticados sino que personas con profundos conocimientos de cómo funciona la tecnología pueden también realizarlo tocando las más altas cotas de poder.

El segundo es la popularización de estas técnicas y el importante incremento de las recompensas que obtienen quienes saben manejarlas. Tenemos hoy como noticia del New York Times una entrevista a un supuesto hacker chino donde revela claramente que todo lo hace por "diversión y dinero". Sencillamente su habilidad en el manejo de aplicaciones informáticas y su profundo conocimiento sobre sistemas operativos, el funcionamiento de Internet y sus protocolos le permite obtener ingresos haciendo algo que le gusta.
Es una nueva profesión, el ciberchorizo que cómodamente en su sillón se dedica a buscar usuarios en el amplio espectro de usuarios que conecta a Internet y localizar la víctima más vulnerable para atacarle en la yugular de su cuenta corriente.

Este factor pone de manifiesto un incremento en la motivación y el lucro, ambos elementos esenciales que hacen que se popularice el uso de técnicas de hacking como medio para cometer delitos. Porque hay que dejar claro una cosa, esta gente no son hackers, crackers o cualquier otra ciber-palabra que queramos utilizar. Son simplemente delincuentes que utilizan sus conocimientos y herramientas informáticas del mundo de la seguridad y la administración de sistemas para cometer delitos.

El tercero es la poca conciencia que se tiene todavía sobre la importancia de la gestión de la vulnerabilidad. Algo en lo que ya insistí en EU2010.es, Mr Bean y la gestión de la seguridad y sobre lo que no voy a insistir. Sorprende todavía encontrar como "lógica" dentro de áreas de sistemas la política de no parchear no vaya a ser que se acabe fastidiando algo que funciona.

El problema ahora es que desde hace unos años se viene baticinando esta profesionalización del crimen organizado vinculada al uso de las nuevas tecnologías. Recuerdo frases de hace unos años hablando de la punta del iceberg y ejemplos similares donde se comentaba que el panorama se podría feo cuando los "hackers" de aquella epoca se unieran a las mafias. Yo mismo tengo post del año 2005 comentando estos hechos. El tiempo pasa y muchos de los pronósticos acaban por hacerse realidad. Y ante la falta de previsión y poca planificación a largo plazo ahora tenemos un importante problema de mitigación de daños. Los cuerpos y fuerzas de seguridad del estado no están adecuadamente dimensionados para atender este importante aumento de la ciberdelincuencia que además no destaca en las estadísticas oficiales que recogen los indices de criminalidad. Y a eso, añadimos el interés por parte del Ministerio de Cultura por perseguir la vulneración de la propiedad intelectual, que aun siendo uno de los delitos más comunes, no hace seguramente sino quitar fuerza a las brigadas tecnológicas en la persecución de otros delitos de similar o mayor gravedad. Juan Salom, ya hace unos años se dedicaba a explicar la complejidad del delito y su tipología como ilustra en esta presentación que ya he referenciado alguna vez. Algo que ya está sufriendo la banca estos últimos años por no haberse tomado con la debida seriedad la escasa seguridad de sus medios de pago y la protección de la información de las tarjetas de crédito que han permitido y permiten a los ciberchorizos forrarse de forma rápida mediante el phishing o el whaling.

Y para poner peor el panorama, tenemos problemas en el proceso de investigación por el carácter transfronterizo de este tipo de delitos que empiezan en un lado del mundo y acaban con víctimas en el otro, la falta de regulación sobre la evidencia electrónica y lo que es peor, los requisitos de conservación. El hacking habrá entrado en el Codigo Penal pero una ley sobre la que no puede perseguirse el incumplimiento es un papel mojado.

Por tanto, lo que los informes de tendencias para el 2010 de algunas empresas de seguridad anuncian tienen un claro diagnóstico. Es el año del cibercrimen que se está profesionalizando e industrializando para mejorar su rendimiento.

Y todo ello tiene una muy clara justificación: incremento del lucro obtenido mediante la ciberdelincuencia, comodidad y facilidad de acceso tanto a herramientas como a víctimas dado que son delitos que se practican desde el cómodo sofá de casa, gran cantidad de víctimas ingenuas a las que poder atacar y dificultad de los cuerpos y fuerzas de seguridad del estado para perseguirlos. ¿Qué más hace falta para que este sea el perfecto caldo de cultivo de la ciberdelincuencia o el ciberespionaje?

Lo importante para los que nos dedicamos a esto es ahora considerar este nuevo escenario y ajustar convenientemente los parámetros de riesgo. En las organizaciones puede no haber cambiado el valor de la información y por tanto los posibles impactos o daños, pero lo que si ocurre es que la probabilidad de la amenaza aumenta, y por tanto, también los riesgos. Hay que tomar nota y empezar a ver cómo protegerse antes de sufrir el incidente.
 
;