Herramienta Lapsec de Hispasec para proteger portátiles con Windows

La gente de Hispasec publica hoy en su boletín una muy buena noticia. Se han currado una herramienta que intenta ajustar la seguridad de cualquier portátil que utilice Microsoft Windows. Tal como explican ellos mismos en su noticia,

LapSec viene de "Laptop Securer" y es una herramienta destinada a automatizar los cambios más aconsejables para asegurar Windows en un ordenador portátil. Básicamente, aglutina en un solo botón varias tareas. No está destinado a asegurar "por completo" un sistema, sino que pretende facilitar las modificaciones más importantes para un "bastionado" de ordenador portátil, mucho más susceptible de ser perdido o sustraído. Evidentemente, estas medidas también son útiles para un ordenador de sobremesa. También es importante destacar que hay más medidas de seguridad aplicables a un portátil en particular y Windows en general, pero que no han sido implementadas en LapSec por resultar medidas más "genéricas" que se salen del objetivo del programa: activar funcionalidades de seguridad Windows especialmente útiles para portátiles.

El principal objetivo a la hora de asegurar un portátil es:
a) que nadie acceda al sistema operativo (o al sistema de ficheros)
b) que si accede, la información confidencial esté inaccesible ya sea con cifrado o con borrado seguro.

Lo que hace LapSec para lograrlo es:

• Eliminar el cifrado LM de las contraseñas (en Vista y 7 no es necesario).


• Sobrescribir el archivo de memoria paginada (pagefile.sys)


• Ocultar el nombre del usuario que el Sistema Operativo muestra en la pantalla de presentación


• Activar la protección por contraseña del salvapantallas.


• Eliminar la autoejecución de archivos cuando se introducen unidades extraíbles.


• Comprobar la existencia de contraseña del usuario.


• Comprobar la complejidad de las contraseñas.


• Comprueba la activación de la contraseña en la consola de recuperación.


• Deshabilitar el almacenamiento de contraseñas en el navegador Internet Explorer.


• Deshabilitar la hibernación (hibernation.sys).


• Deshabilitar la cuenta de administrador y de invitado del sistema.


• Cifrado de la carpeta Mis Documentos.


• Exportación del certificado de forma sencilla para casos de "desastre".

La guerra del siglo XXI

Este último año se está hablando mucho de la protección de infraestructuras críticas, la preocupación por los ataques cibernéticos y las estrategias de los estados para poder responder a la ciberguerra.

Como todo buen estratega, el Gobierno Japonés ha centrado sus primeros esfuerzos en la monitorización y detección de ataques.

Tal como cuenta Fogonazos.es ya existe un sistema denominado NICTER que pretende ser el centro neurálgico de monitorización para este nuevo frente de batalla.

El sistema conocido como NICTER (Network Incident Analysis Center for Tactical Emergency Response) es un programa del gobierno japonés diseñado para proteger sus sistemas informáticos y detectar de forma temprana los ataques de denegación de servicio (DoS), robo de datos o penetración en sistemas que se realizan de forma organizada. La ventaja de NICTER, como explican en DigInfo, está en la facilidad con que los técnicos pueden ver “de qué país proceden los ataques, cuántos ataques se están produciendo”, qué patrones sigue el intercambio de archivos y preparar una respuesta rápida para evitar daños mayores.

Aunque el asunto suena un poco fantasmagórico, se trata de una realidad bien palpable. Los ataques de espionaje online sufridos por Google o el último ataque a empresas e instituciones estadounidenses hace unos meses son solo un ejemplo de cómo una de estas brechas de seguridad puede hacer verdaderos estragos en un país. Esos vectores que vemos cruzar de una parte a otra del globo no son proyectiles de alcance intercontinental, sino los ataques que se están produciendo a través de la red, de un país a otro, a cada minuto.

El video de Youtube es bastante ilustrativo sobre cómo funciona el sistema y predice cual será la tendencia de los estados en la gestión de las redes digitales que deberá realizarse en el siglo XXI.

Las fugas de información en el entorno militar

Esta semana tenemos uno de los mayores escándalos que ilustran la "inseguridad de la información". Estoy hablando de la fuga de más de 92.000 documentos que se ha producido en la Web WikiLeaks y que han sido posteriormente comentados en toda la prensa internacional.

Tal como se relata en la noticia publicada por El periódico.com,

"Esta Web se nutre de lo que en inglés se denomina whistle blowers (literalmente «tocadores del silbato»; o sea, soplones pero sin la acepción peyorativa). Son personas que, de forma anónima, denuncian prácticas ilegales, corruptas o simplemente cuestionables dentro de su propia organización."

Lo más notorio del hecho es que se produce en el seno del Ejercito de los EE.UU. y pone de manifiesto que las guerras del siglo XXI ya no se deciden solo en el campo de batalla físico. En este caso, la información revela datos sensibles y sustancioso de la estrategia americana empleada en estos últimos años y la fuga ha sido utilizada para denunciar lo ilícito del conflicto.

Sin embargo el hecho no sorprende mucho dado que semejante cantidad de información puede corresponder a la pérdida de un disco duro o a la sustracción de un portátil de un alto cargo del Ejército.
Sin embargo hay una cosa que si llama la atención y es la supuesta ausencia de regulación en el uso de las tecnologías de la información que parece existir en el ejercito. Hace tiempo se conocieron fotos explícitas sobre violaciones y torturas de los guardias norteamericanos contra los prisioneros iraquíes en la cárcel de Abu Ghraib todas ellas realizadas con móviles personales. En algunos programas de televisión donde se entrevistan a soldados en el frente es común ver como dentro de los elementos de ocio que llevan los soldados a sus desplazamientos aparecen portátiles, dispositivos de reproducción multimedia, etc.

Obviamente la información en soporte digital es muy dificil de controlar pero si debieran existir ciertas normas respecto a qué se puede o no hacer con la informática personal dentro del ejercito, de la misma forma que estas prácticas se regulan dentro de otras organizaciones. La diferencia sustancial entre ambas problemáticas es que en el entorno corporativo, un empleado sabe cuando hace uso de los medios de la empresa y esta utilización se limita a su presencia en las instalaciones de la empresa dentro del horario laboral.
Sin embargo, dentro del entorno militar no existe esta separación entre entornos dado que el militar en misión humanitaria vive dentro del cuartel y está operativo en todo momento. Por tanto, lo que si debiera existir es un ferreo control sobre los elementos tecnologicos que son oficiales y los que no lo son, de forma que no se permita mezclar ambos entornos.

Ejemplo de la correcta gestión de la información: Chase Jarvis

Estamos en época estival y tanto la frecuencia como la densidad de las entradas bloggeras se resienten. En mi caso se añade que los últimos proyectos antes de verano asfixian y dejan poco tiempo libre últimamente.

En cualquier caso, hace poco encontré un video en Youtube donde el fotógrafo profesional Chase Jarvis explica cual es el workflow que utiliza en su trabajo. Es fotógrafo y curiosamente una persona completamente consciente de la importancia que tiene la gestión de la información (en su caso, archivos de imagen con las fotografías que realiza).

Obviamente como todo su modelo de negocio gira en torno a la imagen, su intuición le lleva a dotarse de los medios que considera más adecuados para garantizar la disponibilidad e integridad de sus más preciados activos: sus fotografías.



Desconozco las cifras de negocio que puede mover, pero impresiona lo cuidado que tiene todo el proceso y lo completamente gestionados que están todos los posibles riesgos que pueden afectar a su negocio. Un buen ejemplo que demuestra saber manejar activos del siglo XXI: "la información". Anecdótico pero ejemplarizante. Ojalá los directivos de pequeñas y medianas empresas españolas contaran con este nivel de concienciación en la materia.

Reflexiones sobre certificado y firma electrónica reconocida

Comienzan en muchas Administraciones Públicas los procesos de transición hacia la Administración electrónica y creo importante aclarar la sustancial diferencia entre "certificado electrónico" y "firma electrónica reconocida". Son conceptos relacionados y similares que se suelen confundir.

Las definiciones de certificado y firma electrónica

Como en toda la legislación de ámbito tecnológico, lo importante son siempre las definiciones establecidas por la propia regulación. La Ley 59/2003 de Firma electrónica establece las siguientes definiciones para estos conceptos:

Artículo 6. Concepto de certificado electrónico y de firmante.
1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
2. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.

Artículo 11. Concepto y contenido de los certificados reconocidos.
1. Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
2. Los certificados reconocidos incluirán, al menos, los siguientes datos:

• La indicación de que se expiden como tales.


• El código identificativo único del certificado.


• La identificación del prestador de servicios de certificación que expide el certificado y su domicilio.


• La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.


• La identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de documento nacional de identidad o a través de un seudónimo que conste como tal de manera inequívoca y, en el supuesto de personas jurídicas, por su denominación o razón social y su código de identificación fiscal.


• Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante.


• El comienzo y el fin del período de validez del certificado.


• Los límites de uso del certificado, si se establecen.


• Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

Artículo 3. Firma electrónica, y documentos firmados electrónicamente.
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Por tanto, la firma electrónica reconocida requiere de un certificado electrónico reconocido almacenado en un dispositivo seguro. Lo podríamos representar como firma electrónica reconocida=certificado reconocido+dispositivo seguro.

Respecto a su trascendencia jurídica, la firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

Esta sería la categoría que tiene el DNI-E. Está basado en un certificado reconocido cuya entidad raíz es la Dirección General de la Policía y almacenado en un dispositivo seguro de creación de firma.

Para saber si un certificado es reconocido o no, debe aparecer en la lista de prestadores de certificados reconocidos que publica el MINISTERIO DE INDUSTRIA, TURISMO Y COMERCIO. La Ley 59/2003 establece los requisitos que debe satisfacer todo prestador de servicios de certificación y debe ser registrado por dicho Ministerio. La lista de los actualmente homologados puede ser consultada en https://www11.mityc.es/prestadores/busquedaPrestadores.jsp

¿Qué es un dispositivo seguro de creación de firma?

La categoría de dispositivo seguro viene definida en el Artículo 24. Dispositivos de creación de firma electrónica de la Ley 59/2003.

Artículo 24. Dispositivos de creación de firma electrónica.

3. Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías:

• a. Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.


• b. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.


• c. Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.


• d. Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.

Para otorgar esta categoría, es necesario que alguien verifique con carácter previo que ese dispositivo cumple unos requisitos y el artículo 27 nos especifica cómo.

Artículo 27. Certificación de dispositivos seguros de creación de firma electrónica.
1. La certificación de dispositivos seguros de creación de firma electrónica es el procedimiento por el que se comprueba que un dispositivo cumple los requisitos establecidos en esta Ley para su consideración como dispositivo seguro de creación de firma.

2. La certificación podrá ser solicitada por los fabricantes o importadores de dispositivos de creación de firma y se llevará a cabo por las entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de 16 de julio, de Industria y en sus disposiciones de desarrollo.

3. En los procedimientos de certificación se utilizarán las normas técnicas cuyos números de referencia hayan sido publicados en el Diario Oficial de la Unión Europea y, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología que se publicarán en la dirección de Internet de este Ministerio.

4. Los certificados de conformidad de los dispositivos seguros de creación de firma serán modificados o, en su caso, revocados cuando se dejen de cumplir las condiciones establecidas para su obtención.

Los organismos de certificación asegurarán la difusión de las decisiones de revocación de certificados de dispositivos de creación de firma.

Yo entiendo que si la certificación "COMPRUEBA", nadie puede presuponer que tiene un dispositivo seguro sin esa verificación "tecnica cualificada" realizada por un independiente o no será considerado, según esta ley, un dispositivo seguro. Por tanto, creo que no hay escapatoria para no tener dispositivo certificado por una Entidad de solvencia técnica.

Además, tomando el DNI-e como ejemplo, en sus prácticas de certificación se establece, cuando se habla de la seguridad del dispositivo de almacenamiento de las claves la referencia a la certificación ISO 15408 conocida como Common Criteria.

"Las claves privadas de las Autoridades de Certificación que componen DNIe se encuentran alojadas en dispositivos criptográfico que cumplen los requisitos establecidos en un perfil de protección de dispositivo seguro de firma electrónica de autoridad de certificación normalizado, de acuerdo con ITSEC, Common Criteria o FIPS 140-1 Nivel 3 o superior nivel de seguridad. "

El 25 de septiembre se publicó en el Boletín Oficial del Estado la ORDEN PRE/2740/2007, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Dicho Reglamento regula el marco de actuación, y crea los organismos necesarios para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

El MAP firmó un acuerdo de reconocimiento mutuo de certificados basado en Common Criteria (http://www.csi.map.es/csi/pg3433.htm ) Arreglo sobre el Reconocimiento de los Certificados de Criterios Comunes en el campo de la seguridad de la Tecnología de la Información. En España el Organismo de Certificación es el Centro Criptológico Nacional-Centro Nacional de Inteligencia (CCN-CNI) que otorga certificados a productos según esta norma tal como se indica en la página.
http://www.dnielectronico.es/seccion_integradores/certificaciones.html

También la certificación es consultable en la base de datos de productos certificados con este estándar de seguridad informática en el portal (http://www.commoncriteriaportal.org/ )

Toda la información sobre el proceso de certificación es pública y los informes de certificación también por lo que el proceso goza de la transparencia suficiente como para proporcionar confianza a cualquiera que quiera comprobar esas verificaciones.

Aquí se pueden consultar uno de ellos para el caso del DNi-e en http://www.commoncriteriaportal.org/files/ppfiles/2008-14-INF-329.pdf y en la Web del DNI-e están el resto referenciados.

La cuestión que está sin resolver creo, en los procesos de tramitación telemática es cómo saber si el ciudadano usa firma electrónica avanzada o firma electrónica reconocida. A priori es algo que no se puede saber a distancia si no es porque el certificado electrónico reconocido sólo puede ser almacenado en un dispositivo seguro de creación de firma porque así lo digan las Prácticas de Certificación (PCS).

El detalle que parece pequeño tiene una transcendencia jurídica sustancial desde la perspectiva probatoria dado que una firma electrónica reconocida atribuye al firmante la carga probatoria al equivaler a una firma manuscrita y una firma electrónica avanzada tiene carácter probatorio que deberá acreditar la Administración Pública. ¿Qué opináis vosotros?