viernes, 27 de julio de 2012 9 comentarios

Identidad digital y reputación online, la gestión de la e-privacidad.

Las nuevas tecnologías están introduciendo cambios muy importantes en nuestra sociedad aunque al estar nuestra generación dentro de ellos quizás no podemos ver con perspectiva suficiente la trascendencia que están adquiriendo y tendrán en el futuro. Muchas de estas nuevas tecnologías tienen tal éxito que provocan cambios disruptivos, crean un antes y un despues de su existencia. Pongamos como ejemplo los interfaces táctiles que han eliminado de los dispositivos móviles y tabletas los teclados en menos de un año. Estos fenómenos que se producen en el diseño de productos también tienen un reflejo en el mundo de los servicios Internet. La famosa nube tiene como máximos exponentes los servicios de almacenamiento de información online como Dropbox o Evernote. Sin embargo, de todos estos cambios, el más relevante quizás para el ciudadano común tiene que ver con las redes sociales. Este fenómeno nuevo en cuanto a la dimensión sociocultural del ser humano y el calado en la gente común ha afectado a la forma en la que nos relacionamos y el desarrollo de la personalidad. Tanto es así que toda persona ahora tiene al menos dos personalidades e identidades: la real y la digital. Valga este blog como ejemplo. A mi personalmente este blog me ha permitido crear un espacio para la difusión de opiniones y conocimientos en la materia que luego han tenido consecuencias en el mundo físico muy gratas como por ejemplo, conocer en formación a gente que era seguidor del blog y poder intercambiar impresiones. Es quizás una forma de presentación que rompe muchas veces el hielo inicial de toda presentación.

Sin embargo, como todo filo de la navaja, esta nueva dimensión social online supone también un elemento a gestionar. Es necesario comentar que Inteco (quien si no iba a hacerlo) acaba de publicar una Guía para usuarios: identidad digital y reputación online que es imprescindible leer y cuyos contenidos deberían figurar ya en los planes docentes de nuestros queridos nativos digitales. Nuestros hijos no son del siglo XX, viven y han nacido en el siglo XXI y por tanto, deben adquirir las capacidades necesarias para sobrevivir en este nuevo entorno. En este nuevo contexto la reputación online forma parte del currículum de las personas y va a servir (como ya está ocurriendo) para valorar o juzgar aptitudes o capacidades. Por tanto, es un activo más que debe ser vigilado y gestionado. Yo, por compartir mi experiencia y conocimiento al respecto sigo unas sencillas reglas (Desde hace ya unos años, en concreto 10 que cumplirá este blog en octubre) que espero os puedan servir. Que conste que no soy comunity manager, social media ni nada por el estilo. Mi etiqueta es "simple usuario" de servicios Internet. Las reglas son las siguientes:
  1. El sentido común y tener siempre presente que aquello que subes, una vez publicado no podrá ser controlable (aunque lo borres, muchas veces ya existen copias locales que hacen que el contenido se perpetúe). Por tanto y a priori, aquello que cuelgo o publico tengo claro que quiero que esté ahí para el resto de mis días.
  2. Si tu controlas tu intimidad, no expongas la de los demás o dicho de otra forma, no hagas a los demás aquello que no te gustaría que te hiciesen a tí. En este sentido, solo hablo de mi y no implico a mis conocidos o familiares. Eso con especial atención respecto a mis hijos de los que no hay colgada ninguna foto en ninguna red social. 
  3. La mejor fuente de información eres tu mismo, por tanto, aquello que quieras que se sepa de tí procura siempre que venga también de ti.
  4. No exponerse más de lo deseado. Un axioma claro que tengo del uso de servicios de Internet es que afectan solamente a mi esfera profesional y por tanto, solo deben reflejar aspectos de mi faceta laboral. Como consecuencia de ello, el gran volumen de información que se puede encontrar en Internet sobre mi estará relacionado con la seguridad de la información. Para ello puedes probar servicios como  http://www.123people.es/s/javier+cao+avellaneda donde se puede tener una visión del nivel de exposición que has alcanzado y de los términos que están vinculados a tu persona.
  5. Es difícil controlar quien publica cosas sobre ti, pero es sencillo monitorizar de forma pasiva lo que aparece. Para ello te puedes ayudar de los servicios de alertas de Google. Tan sencillo como crear alertas que vigilen tu nombre o cadenas de tu nombre. En mi caso "Javier Cao Avellaneda" o "Javier Cao". 
  6. Vigilancia inteligente y actuación inmediata. Hay ahora una nueva tendencia en los servicios de Internet que permiten proactividad. Si no conoces www.Ifttt.com, te recomiendo que leas esto para saber como funciona. Dada la potencia de esta nueva herramienta, ahora la monitorización pasa a ser proactiva y tengo creadas reglas del tipo "Si me etiquetan en Facebook envíame un SMS", "si me nombran en twitter envíame un correo a gmail", etc... la potencia es tremenda pero hay que tener claro lo que se quiere.
  7. Ten como respaldo servicios profesionales (como eprivacidad  que comento más adelante) que sepan canalizar tus problemas por las vías jurídicas más adecuadas para que tus derechos de protección de datos o de defensa del honor o intimidad sean respetados, incluso en Internet.
Y a modo de anécdota pero muy relevante para el asunto tratado, hace una semana un familiar directo me comentó que sin saber por qué, vinculado a su nombre en Google aparecía una Web de opiniones personales sobre profesionales donde ciertos comentarios (que no acreditaban la identidad porque solo aparecía el nombre) afectaban a su reputación e imagen. Lo intuitivo fue ir al sitio en cuestión y consultar las clausulas legales de Protección de Datos dado que a priori esto era un caso de ejercer derechos de cancelación. Sin embargo, el principal problema no era tanto que la página existiera sino que además, ocupara las primeras posiciones en los resultados del buscador. Para ello, decidí consultar ya a profesionales en el tema, en concreto, a Samuel Parra y Verónica Alarcon de Eprivacidad.es para ver como dar solución al problema. Sus servicios son innovadores y muy necesarios ya en la actualidad dado que tienen como único objetivo proteger la intimidad, privacidad y buena reputación de ciudadanos en Internet. En menos de una semana han conseguido limpiar todos los enlaces no deseados y hacer que Google ya no contemple estos resultados. Para todos aquellos que pensábamos que estas cosas se llevan su tiempo, esto es una buena noticia dado que menos tiempo implica menos daño en imagen aunque esto en concreto también es mérito de e-privacidad.es.



martes, 17 de julio de 2012 4 comentarios

El BYOD del Ministro del Interior

El escenario de la seguridad corporativa anda muy revuelto en los últimos meses debido a la nueva problemática de seguridad planteada por los usuarios finales respecto al poder usar sus propios dispositivos que se simplifica con el acrónimo BYOD ("Bring your own device").
Esta nueva problemática no es más que el fiel reflejo del difícil equilibrio entre la seguridad y la operatividad productiva en la empresa.  El impacto de esta tendencia, que viene para quedarse porque están siendo las capas directivas las principales precursoras de esa necesidad depende también de las circunstancias particulares de cada organización y de cómo haya ido resolviendo los problemas de gestionar la seguridad corporativa en estos últimos años.

El BYOD creo que no plantea mayores riesgos que los ya existentes respecto al uso de portátiles y los riesgos de interceptación de comunicaciones o dispositivos de almacenamiento USB y los riesgos de extravío o pérdida. Sin embargo, ahora se añaden como restricciones las posibles limitaciones respecto de la aplicación de las políticas corporativas de seguridad sobre dispositivos que no son propiedad de la organización. Obviamente a mayor número de dispositivos que pueden contener información corporativa, mayor probabilidad del extravío de algunos de ellos con las correspondientes fugas de información.

La noticia sale hoy a primera plana con la noticia de la pérdida del Ipad del Ministro del Interior. Según los datos aportados por la noticia, se tuvo que montar un operativo para tratar de recuperar el dichoso dispositivo que fue extraviado en un viaje en Ave. Los dispositivos Apple incorporan una funcionalidad de localización si se tiene activo el servicio iCloud y la funcionalidad de localización. Parece ser que efectivamente todos estos servicios estaban configurados y se pudo conocer la posición del dichoso aparato.

Resulta curioso leer el trozo del artículo donde tratan de quitarle hierro al asunto demostrando que el problema estaba controlado.
"En ningún momento ha habido preocupación por los contenidos que tenía", señala un portavoz de Interior, ya que el iPad del ministro tiene importantes medidas de seguridad. Si no se mete la contraseña correcta, se destruye toda la información que lleva.
Curiosamente estas son las medidas de seguridad estándar que lleva este tipo de dispositivos cuando se activa la clave de acceso. En cualquier caso, también se permite el borrado remoto si se tiene activa la funcionalidad de localización, cuestión que en ningún momento se aclara si finalmente fue empleada. Sin embargo lo que a mi me sorprende es que el Ministro del Interior tenga activa la cuenta iCloud y el servicio de localización GPS dado que potencialmente podría permitir tenerlo localizado y controlado. Si además suponemos que se emplean los servicios habituales de Apple para tal efecto, con algo de ingeniería social podrían tratar de localizar la cuenta iCloud del Ministro para tratar de obtener acceso a ella y a toda su información. Y es aquí cuando se plantea otro problema de seguridad que es la dispersión de información en servicios de Cloud sobre entornos de alta confidencialidad que en cualquier caso y por comprometer la seguridad del Estado, no deberían usar servicios externos y no controlados por la propia Administración (Bajo la premisa de que sea el servicio de iCloud el que haya permitido la localización del dispositivo).

En cualquier caso, el BYOD supone una reflexión seria para el mundo de la seguridad. Quizás esta tendencia supone un punto de inflexión respecto a las estrategias tradicionales que venían siendo utilizadas donde las tomas de decisiones se hacen en base a las necesidades de seguridad y el modelo de negocio pero teniendo al usuario como un "cliente/victima" de las imposiciones establecidas. El BYOD supone ahora tener que pensar y diseñar estrategias de seguridad bajo dos premisas importantes: "transparencia de las medidas" en el sentido de hacerlas lo más sencillas de utilizar para que no supongan una excesiva barrera de uso y "user center" en el sentido de que deben permitir o facilitar en la medida de lo posible la operatividad y acceso a los recursos corporativos para permitir a los empleados el trabajo desde cualquier lugar en cualquier momento. El BYOD es el triunfo de la movilidad materializado por la introducción de dispositivos tan sencillos de manejar como las tabletas que permiten disponer de un entorno de trabajo limitado pero suficientemente potente para poder resolver las cuestiones operativas más básicas como leer el correo, revisar documentación, elaborar escritos, etc.

En la problemática técnica para torear con el BYOD,  los riesgos se estratifican por diferentes capas y plantean cuestiones que tienen que ser resueltas desde perspectivas diferentes.

  • La protección física del propio dispositivo que debe tratarse desde la seguridad física con pautas sobre la custodia y uso de estos elementos en entornos inseguros.
  • La protección lógica del acceso y conexión a los sistemas de información corporativos, donde la autenticación toma ahora mayor relevancia dado que es el punto crítico para autorizar el acceso.
  • La conectividad del dispositivo desde lugares externos a los sistemas de información en donde el uso de protocolos de comunicaciones seguros deben evitar la interceptación de comunicaciones y  el robo de credenciales.
  • La protección lógica de la información que reside en el dispositivo donde la criptografía puede garantizar que frente a la pérdida o robo, no habrá fugas de información.
  • A esto pueden añadirse el uso de tecnologías proactivas en la detección y control del flujo de información como podrían ser los sistemas DLP de los que ya hablé hace unos años pero que no parecen haberse popularizado demasiado. 

La receta anterior además debe reforzarse con una intensa monitorización y una estrategia basada en la detección de anomalías a las que contribuyen las herramientas SIEM que cada vez van a adquirir más importancia y que serán el verdadero corazón de la seguridad en los próximos años. Realmente lo que ocurre es que la seguridad lógica copia la misma estrategia de la seguridad física y la detección de incidentes y la notificación para su resolución son la operativa común que mejor funciona. El modelo policial y la notificación de incidentes vía teléfonos 112 que empleamos en el mundo físico y que tan buenos resultados ofrece.



miércoles, 4 de julio de 2012 3 comentarios

¿Son seguras tus contraseñas? Compruébalo...

Las contraseñas junto con la criptografía son posiblemente unas de las primeras medidas de seguridad de la información que fue inventada por el ser humano. Tirando de la Wikipedia se puede leer como este método era empleado por los militares romanos y conocido como el famoso "santo y seña".

Con todo lo que han evolucionado las tecnologías en seguridad lo cierto es que este mecanismo de identificación y autenticación no ha encontrado todavía un relevo generacional que haya sido asimilado por los usuarios finales. Recuerdo en los años 2001 y 2002 como empezaba a hablarse mucho de las PKIs, certificados digitales y la autenticación fuerte como un sistema robusto y eficaz que acabaría con las contraseñas. También en aquel momento y para los entornos más criticos se empezaban a implantar los sistemas basados en tokens y en paswords de un solo uso (OTP).

Sin embargo y pese a ser un mecanismo de autenticación que no ofrece la mejor de las garantías, es el más barato y extendido. El problema principal no es tanto que las contraseñas sean malas sino que son tantos los entornos que nos obligan a usarlas que finalmente el número de contraseñas supera nuestra capacidad de memorización. En este sentido, han proliferado diferentes herramientas que ayudan a la gestión y custodia de contraseñas como Keepass. Con los últimos incidentes de Linkedin tan recientes, me ha parecido interesante recomendar un par de enlaces que sirven para medir la calidad de nuestras contraseñas. Estos sitios puntúan o valoran la complejidad y nos indican si dichas palabras son buenas o malas como contraseña. La fortaleza de una contraseña viene definida según la complejidad y el número de combinaciones posibles que habría que intentar para poderla reventar empleando técnicas de fuerza bruta (es decir, probando todas las posibles combinaciones de caracteres que se pueden formar) aunque normalmente los ataques contra las password emplean técnicas menos complicadas como diccionarios o variaciones heurísticas sobre palabras comunes.

Lo que es de vital importancia es no cometer los errores habituales y conocidos por los "chicos malos" que hacen vulnerable una mala contraseña. La siguiente infografía resume lo que NO hay que hacer o utilizar.


En cualquier caso, es didáctico comprobar cómo de robusta es una contraseña antes de seleccionarla para ser empleada. Hay dos buenos medidores que ilustran qué puntuación recibe una palabra que quiere ser empleada como password atendiendo a los criterios de complejidad que se identifican en su contenido.
Estos enlaces pueden ser muy pedagógicos en cursos de concienciación y formación de seguridad. Te indican qué tiempo sería necesario para adivinarla y  de esta forma sencilla podemos comprobar si realmente usamos contraseñas que superan unos mínimos niveles de calidad. También son interesantes conocer qué esfuerzos son necesarios para poder adivinar las contraseñas según la longitud de la misma y el juego de caracteres empleados.
Y por acabar con unas recomendaciones básicas que siempre se incluyen en cualquier curso de concienciación sobre seguridad, en mi primer post técnico en este blog allá por octubre de 2002 y hace ya la friolera de 10 años, establecí precisamente una serie de recomendaciones sobre password que hoy todavía están completamente en vigor.


Requisitos para la elección de claves de acceso de seguridad alta 
Todas las contraseñas del sistema deberán cumplir los siguientes requisitos: 
• Contener mayúsculas y minúsculas. 
• Contener dígitos y símbolos de puntuación además de letras. 
• Pueden incluir caracteres de control y /o espacios. 
• Deben ser fáciles de recordar para que no haya que escribirlas, pero no se deben emplear datos propios que puedan ser averiguados por terceros (teléfono, fecha de nacimiento, nombre de la pareja, etc.).. 
• Deben tener más de 8 caracteres. 

Sugerencias para la elección 
Como sugerencias a la hora de elegir contraseńas podemos recomendar: 


- Seleccionar frases que sean faciles de recordar porque es más sencillo memorizar una frase que palabras y además la longitud de caracteres superará los 8. 
- Tomar dos palabras cortas y combinarlas intercalando un carácter especial o un número como arbol?madera, ventana-casa, etc. - Coger palabras que forman una mala contraseña pero mezclaras con signos de puntuación como (perro->gato),
- Poner junto un acrónimo que le diga algo como nssadespa ( No Se Si Algo De Esto Servirá Para Algo), euldlm (En Un Lugar De La Mancha).

- Cambiar las vocales por los números que más se parecen (La A por 4, la E por 3, la I por 1, la O por 0 y la U por 7) y emplear sobre cualquier palabra (M7r13l4g0).


 
;