lunes, 15 de septiembre de 2014 0 comentarios

Privacidad vs conocimiento, esa es la cuestión.

Toca tratar el tema de la privacidad que es un concepto que continuamente se ve sometido a cambios del entorno y por tanto, a menudo nos toca pensar sobre sí es necesaria una actualización. Hace un par de años tuve la oportunidad de poder hablar del Big data que en aquel momento era un concepto incipiente. Para ello me puse a investigar sobre todas las tendencias tecnológicas que pudieran usar esta forma de procesamiento masivo para generar conocimiento. Revisando los contenidos he podido verificar que efectivamente aquellas tendencias se han consolidado y que se han fabricado nuevos dispositivos y sensores para poder generar datos que puedan ser procesados desde esta perspectiva. En este sentido, a principios de año decidí experimentar con el uso de wearables e incorporar en mi vida un elemento de monitorización continúa de la actividad diaria, el sueño y la alimentación. Como creyente de los beneficios de la retroalimentación, la teoría del control y el ciclo de mejora continúa este tipo de dispositivos me iban a permitir comprobar si las sensaciones se conformaban con los datos reales obtenidos. 

Lo primero que pude comprobar es que casi todos los dispositivos almacenan la información recogida fuera del mismo, lo que implica el exilio de los datos a la cloud de la empresa de turno . Sin embargo en materia de privacidad también destaca en las condiciones del servicio la promesa de que la información no será cedida o vendida a terceros. Es un punto importante dado que este tipo de empresas no parecen orientarse a vencer privacidad de sus clientes particulares sino a vender el conocimiento  acumulado y agregado en términos estadísticos.

En esencia parece que muchos de los estudios relacionados con Big data pretenden el análisis de patrones o tendencias basándose en los resultados estadísticos de la masa de datos obtenidos. En este sentido en muchos casos se apela a ese carácter estadístico y anónimo para entender que no existe privacidad posible. Sin embargo yo soy de los que creen que al menos la recogida para un tratamiento de esa naturaleza si tiene que ser informada al afectado que debe tener la libertad de poder elegir si pertenecer o no a esa masa de datos. Estas empresas asumen que esa materia prima individual es gratis y que ellos pueden explotarla sin más. Valga como ejemplo el estudio realizado por el BBVA y Telefónica sobre los habitos de los extranjeros en sus visitas a Madrid y Barcelona. Sin embargo si fuera necesario obtener consentimiento quizás en un futuro no muy lejano las empresas tendrían que pagar al afectado por tener acceso a ese poquito de privacidad cedida.


La otra reflexión que quiero comentar y que da título al post es que como afectado y defensor de la privacidad, estos dispositivos y algunos servicios webs de tratamiento plantean una importante disyuntiva respecto a sí merece la pena cierto sacrificio de privacidad frente al beneficio que aporta el conocimiento obtenido desde esos servicios sobre tus datos. Es decir, si es interesante ceder datos personales para cambiarlos por información y conocimiento personal.  En mi caso las cesiones se realizan de los datos vinculados a movimiento, sueño y comidas y el acceso en modo lectura a estado de cuentas corrientes ( ahí es nada).


Hace unos días aparecía en El País una noticia relacionada con la tendencia de cuantificar la vida y registrarlo todo. El artículo completo cuenta la historia de Nicholas Felton que ve en la recogida de estos datos una forma de recordar. "Cuantificar las actividades me permite poder mirar, de un solo vistazo, amplios periodos de tiempo y condensarlos en una imagen o un número". Desde 2005 Felton elabora un informe anual que sintetiza esos 365 días en la Web http://feltron.com/.

En mi caso la cuantificación está sirviendo para confirmar la existencia de algún mal hábito y actua como i-conciencia al ser machaconamente repetido el mensaje de "debes hacer más de esto..." o "debes cambiar esto otro...". Los datos hacen que veas que efectivamente por mucho que intentes auto engañarte las cosas no cambian de forma sencilla. También es importante poder ver la evolución que tienen los cambios que introduces y ver como las tendencias cambian. En mi caso estoy comprobando como la aplicación que uso empieza a dar recomendaciones vinculadas a la media de población por edad, por perfil, etc. Además es muy importante de cara a la motivación el que te indicen cada día los retos a superar. En este sentido, recibes informes diarios que te indican tus resultados anteriores y te animan a superarlos. Cosas como "el miércoles pasado andaste 3000 pasos, a ver si lo superas..." o "la semana pasada dormiste una media de 6 horas, mejorarlo".

De toda esta experiencia se obtiene como conclusión que ya tenemos tecnología que van a darnos una nueva perspectiva sobre el mundo. Las personas nos hemos transformado sin darnos cuenta en sensores que registran información y la transmiten a repositorios donde puede ser estudiada y analizada de forma agregada y muy probablemente de ahí salga nuevo conocimiento que permita nuevas decisiones más inteligentes. Citando literalmente a Lord Kelvin, “Cuando puedes medir aquello de lo que estás hablando y expresarlo en números, puede decirse que sabes algo acerca de ello; pero, cuando no puedes medirlo, cuando no puedes expresarlo en números, tu conocimiento es muy deficiente y poco satisfactorio.”

Puede que la víctima colateral de todo ello sea la privacidad aunque seguramente tengamos que plantearnos de nuevo el concepto. Ya a comienzos de año en la entrevista de la APEP con motivo del día europeo de la protección de datos dejaba entrever algunos de estos cambios sobre big data o el IoT. Una de las principales cuestiones que debe plantearse es que debemos actualizar el término "datos de carácter personal" por información o conocimiento de carácter personal ya que las empresas empiezan a juntar puntos y empiezan a unir diferentes tipos de datos para obtener de nosotros "conocimiento". En este sentido la legislación debería empezar a regular los "tratamientos de datos" y no los ficheros, debería hablar de limitaciones en el procesamiento de cierta información para ciertos fines, etc... como digo, orientarse más que al hecho al resultado que tendrá el procesamiento masivo de datos de carácter personal. Para mostrar un ejemplo de estos puntos, podemos analizar el perfil de Google. Hace unos días profundizando en los paneles de configuración de la privacidad dí con la sección  Historial de la cuenta  donde te indican qué etiquetas ya tienes vinculadas en función del rastro que dejas. El listado total de categorías está descrito en este enlace https://support.google.com/ads/answer/2842480?hl=es&ref_topic=2971788. Obviamente todo es configurable para que nada de esto sea conservado pero el problema es que por defecto está activo y en pocos momentos creo recordar que Google haya hecho demasiado hincapié en informar al usuario sobre todas estas opciones. Yo soy consciente de que doy a Google determinados datos... pero lo que es complejo que pueda conocer es qué información extraen de todo ello y si me interesa o no que puedan comerciar con ella. Aunque este post de Bruce Schneier tiene ya unos años, es interesante su clasificación de los tipos de información que se alojan en una red social. De alguna forma, sirve para plantearse el concepto de “dato de carácter personal” y pensar si es necesaria una nueva redefinición del término cuando estamos ahora en la explosión de los servicios gratuitos que venden “meta-datos”. Lo que gente como Eli Pariser han pronosticado y que explican claramente en su charla Ted "Cuidado con la burbuja de filtros debe tenerse muy en cuenta para nuestros nativos digitales desde ya.
"A medida que las empresas de la red se esfuerzan por adaptar sus servicios (incluyendo noticias y resultados de búsqueda) a nuestros gustos personales, surge una consecuencia no deseada peligrosa: quedar atrapados en una "burbuja de filtros" que nos obstaculiza el acceso a esa información que podría desafiar o ampliar nuestra visión del mundo."
Los nativos digitales son desde el minuto 1 caracoles que van dejando un rastro procesable. El problema es que estos menores que tendrán una historia rastreable serán mucho más predecibles que nosotros como consumidores y de alguna forma, más sencillamente manipulables.



Quizás toca ya subir un escalón en la cadena de tratamiento y empezar a regular el uso de “información de carácter personal” como un conjunto de datos suministrados por el afectado o calculados o derivados del uso de aplicaciones, recursos, etc…”

Fuente: http://www.schneier.com/blog/archives/2010/08/a_taxonomy_of_s_1.html 

Below is my taxonomy of social networking data, which I first presented at the Internet Governance Forum meeting last November, and again -- revised -- at an OECD workshop on the role of Internet intermediaries in June.
  • Service data is the data you give to a social networking site in order to use it. Such data might include your legal name, your age, and your credit-card number. • Disclosed data is what you post on your own pages: blog entries, photographs, messages, comments, and so on.
  • Entrusted data is what you post on other people's pages. It's basically the same stuff as disclosed data, but the difference is that you don't have control over the data once you post it -- another user does.
  • Incidental data is what other people post about you: a paragraph about you that someone else writes, a picture of you that someone else takes and posts. Again, it's basically the same stuff as disclosed data, but the difference is that you don't have control over it, and you didn't create it in the first place.
  • Behavioral data is data the site collects about your habits by recording what you do and who you do it with. It might include games you play, topics you write about, news articles you access (and what that says about your political leanings), and so on. 
  • Derived data is data about you that is derived from all the other data. For example, if 80 percent of your friends self-identify as gay, you're likely gay yourself.

Todas estas reflexiones me llevan a retomar lo que ya expresé en el post "La necesidad de establecer la infoética del Big data"  para que exista un compromiso ético de no abusar del potencial de estas tecnologías.

jueves, 28 de agosto de 2014 3 comentarios

"El Rey desnudo" de la seguridad de la información

Tras el último post sobre ciberseguridad donde pretendí hacer un repaso sobre la situación actual, hoy toca apuntar el foco hacia el lado contrario. Voy a describir qué veo a diario en las organizaciones y cual es el estado del arte en materia de prevención de incidentes. En este sentido mi visión se basa en mi día a día que posiblemente no afecte tanto a empresas muy grandes donde el área de seguridad de la información cuenta con departamento propio y suficientes recursos asignados.

La reflexión principal que da título a este post es que existe una situación de "Rey desnudo" como el cuento de Hans Christian Andersen dentro de los departamentos de TI en materia de seguridad. Las organizaciones creen que están vestidas por tener sistemas de protección perimetral y antivirus pero realmente no pueden valorar si esas medidas los deja "desnudos" frente a los cibercriminales.


Este diagnóstico se fundamenta en los siguientes síntomas que se repiten de forma continuada en casi todas las empresas que visito:
  • Ausencia de control sobre los sistemas TI. La mítica frase de Thomas Davenport sobre la monitorización y medición "Las mediciones no sólo son necesarias, sino fundamentales. Si no podemos medir, menos podemos controlar. Si no se controla, menos podemos gestionar" refleja que el auténtico control empieza cuando se dispone de un conocimiento completo sobre qué se está gestionado. Aunque "ausencia de control" suena fuerte, cualquier responsable de un departamento de TI creo que debería poder contestar la siguiente batería de preguntas para mostrar que efectivamente tiene todo bajo control:
    • ¿Cuántas IP tiene mi organización expuestas a Internet?
    • ¿Cuál es el porcentaje de equipos con antivirus actualizado?
    • ¿Cuál es el porcentaje de equipos con sistemas operativos actualizados?
    • ¿Cuáles son las aplicaciones instaladas en nuestra organización y cual es el porcentaje de equipos que las tienen actualizadas?
    • ¿Cuál es el porcentaje de usuarios dados de alta que entran de forma continuada a los sistemas de información?
  • Protección de entornos con medidas invisibles. La gestión de la ciberseguridad es compleja porque se trata de sistemas no tangibles. No podemos "ver físicamente" cómo se encuentra nuestro estado de protección. Este es uno de los principales problemas con el que nos encontramos dado que hay ausencia de información sobre el estado real de la seguridad y de los riesgos asumidos. Imaginemos las preguntas anteriores para un responsable de seguridad física y su equivalente en protección física del perímetro:
    • ¿Cuántas IP tiene mi organización expuestas a Internet? Sería una pregunta equivalente a cuantos puntos de acceso o entradas tienen sus instalaciones. No creo que exista un responsable de seguridad física que no pueda responder a esta pregunta.
    • ¿Cuál es el porcentaje de equipos con antivirus actualizado, con sistemas y aplicaciones actualizados? Sería una pregunta equivalente a conocer si los sistemas electrónicos de protección están funcionando correctamente. En seguridad física siempre existe un cuarto de control y un sistema de gestión y control de alarmas que informa del correcto estado de los dispositivos de prevención y detección.
    • ¿Cuál es el porcentaje de usuarios dados de alta que entran de forma continuada a los sistemas de información? sería una pregunta equivalente a tener claro cuantas tarjetas de identificación están revocadas y cuantos usuarios han sido dados de baja en el sistema de control de accesos físicos. Esta pregunta también se resuelve por los sistemas de control y registros de entrada/salida de personal cuando existen tornos, huellas o tarjetas.
  • Tecnologías de protección perimetral superadas por el malware.  En todas las empresas existe la conciencia general de que los sistemas firewalls y antivirus son suficientes pero esto es así cuando están adecuadamente gestionados y si estás evaluando continuamente su eficacia. En este aspecto es frecuente encontrar que existe tecnología de protección pero nadie vigila y revisa de forma preventiva lo que estas herramientas están detectando. El principal problema actualmente es que como ya conté en el post anterior, los malos están empezando a superar las protecciones tradicionales dado que el malware una vez infectados los equipos se conectan contra sus botnet a través de los protocolos http o https. De esta manera, los firewalls en la protección Dentro-fuera son transparentes y dejan salir todo el torrente de datos que se están fugando hacia el exterior. Es común comprobar cómo los administradores de sistemas están al tanto de los cambios en su entorno tecnológico pero desconocen los avances que se producen en el mundo del cibercrimen. Por tanto, no están al día de cuales son las técnicas empleadas por los atacantes y de esa forma, difícilmente van a poder valorar si sus sistemas de protección siguen siendo eficaces.
Como vemos, la situación no es nada optimista. Recuriendo al clásico Sun Tzu "Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla." estamos ante un panorama donde la ausencia de incidentes se debe a que no hay atacantes potenciales o existen pero no están evidenciando sus fechorías de forma notoria. Debe destacarse que una fuga de información es indetectable por la víctima cuando se está produciendo y sólo se manifiesta cuando se descubre que lo que tu sabías es conocido por alguien mas. El problema es cuando se trata de secretos industriales y las sorpresas que presentan cuando de repente aparecen productos idénticos donde los malos han atajado robando trabajo de I+D+i costoso de la empresa que ha sido atacada. Por tanto, la sensación de protección en estos casos debería basarse en evidencias objetivas de que realmente estas fugas no se están produciendo y no en la ausencia de incidentes.

Ayer publiqué un Tweet muy interesante de Symantec donde explican cómo aplicar las metodologías usadas en epidemiología para la detección de malware. En este escrito se critica que frente al malware se trabaja con una "seguridad pasiva" donde ya debe existir la vacuna cuando se detecta la epidemia y sabemos que esto no es cierto ya en todos los casos. Esto justifica quizás la declaración de Symantec sobre la poca eficacia de los antivirus con el titular de cabecera Antivirus pioneer Symantec declares AV “dead” and “doomed to failure”.

Hasta aquí toca la descripción del entorno... pero no quiero que este sea un post derrotista. Como buenos guerreros nos toca conocer primero el escenario en el que se produce la batalla para luego diseñar nuestra estrategia. En este sentido, creo importante que asumamos qué se puede gestionar. La ciberseguridad es como una partida de ajedrez. Es un tablero del que solo tenemos la mitad de las piezas (blancas o negras) y sobre ellas SI podemos tomar decisiones.


Por tanto, la estrategia base de toda organización que decida tomar cartas en el asunto pasaría por:
Fase 1. Conocerse a si mismo.

  • Como primera tarea es necesario conocer a nuestro ejercito. Por tanto debe realizarse inventario de sistemas TI y de elaborar nuestro modelo de seguridad para identificar nuestros riesgos de seguridad. Para ello, es importante destacar que los riesgos no son puramente tecnológicos sino que tenemos que tener una visión completa de los mismos entendiendo que los fallos técnicos producen problemas en las áreas de negocio y son ellos quienes tienen que valorar el impacto de los incidentes. Por tanto, realizar un análisis de los riesgos de la organización respecto a la ausencia de la seguridad en la información propiedad de la empresa. Nuestro objetivo debe ser responder a la pregunta de ¿cuantas IP tiene mi organización? y conocer los impactos de negocio que podría tener el fallo de cada una de ellas.
  • Como segunda tarea es necesario calibrar el funcionamiento de las medidas de seguridad. ¿Tenemos antivirus en todos los equipos y están actualizados? ¿Están los sistemas bien gestionados respecto a sus vulnerabilidades? Estas son cosas que SI están bajo nuestra responsabilidad y donde SI podemos actuar. Por tanto, es necesario que al menos las medidas que tenemos implantadas nos sirvan para algo.
Fase 2. Detecta a tu enemigo.
  • Como he dicho el mundo del cibercrimen trabaja como una industria es difícil poder conocer las últimas técnicas que estén diseñando. Sin embargo si que podemos estar vigilando respecto a si algo raro ocurre en nuestros sistemas de información. Hay una frase de Federico el Grande que ilustra bien este hecho "Se puede perdonar ser derrotado, pero nunca ser sorprendido”. Aunque no seamos conscientes de ello, en esta fase se pueden hacer más cosas de las que creemos pero de nuevo todo pasa por cambiar nuestra estrategia para ser más proactivos. Una fuga de información puede ser representada como un triangulo donde los elementos a vigilar son sus tres vértices: datos, vulnerabilidades y tráfico de salida. De estos tres puntos, un Responsable de TI puede tener control de los tres y por tanto, con una adecuada monitorización, es posible la detección temprana de una anomalía que cortada a tiempo no tenga más consecuencia que un susto... pero que si no es detectado puede acabar con una fuga de Gigas que dure meses. 
  • Otro elemento que a menudo no contemplamos es que estamos en escenarios de Cibercrimen y por tanto, los malos están en sus casas cómodamente sentados en sus sillones. Esto que puede parecer una desventaja tiene su parte positiva ya que los datos se tienen que ir por la red. Por tanto, es importante controlar los flujos de salida de información y sus destinos. Esto es lo que tradicionalmente no se ha hecho en la protección perimetral donde los filtros son muy férreos para tráficos Internet->Organización pero muy laxos para Organización->Internet. Si empezaramos a mirar qué conexiones se realizan hacia fuera seguramente tendríamos indicios de equipos que puedan ser sospechosos de estar comprometidos. Por tanto, dado que sabemos el camino que deben seguir los datos en su exilio al exterior, también tenemos identificados los puntos en los que hay que mirar para vigilar que esto no se produzca.


  • Para acabar, sería necesario que identificáramos aquellos tipos de eventos que es necesario vigilar estableciendo que serán de dos tipos:
    • Eventos esperados: registros y logs que confirman el buen funcionamiento de las cosas como si los sistemas están actualizados, si los usuarios se loguean con éxito, etc.
    • Eventos no deseados: registros y logs que informan de anomalías o de acciones preventivas de seguridad y que pueden ser indicios de que algo malo ocurre. En este sentido, por ejemplo, un incremento alto en el número de usuarios bloqueados por error de contraseña puede ser sintoma de un ataque de fuerza bruta, un número excesivo de conexiones entrantes sintoma de un DDoS, etc.
  • El año pasado por estas fechas, un alumno de TFG en la UCAM y yo nos plateamos como reto establecer un conjunto de eventos de seguridad que deberían ser detectados para confirmar que la seguridad está bajo control. Nuestra intención fue poder establecer un cuadro de mandos de la seguridad que fuera capaz de mostrar con datos si todo estaba bien o había motivos para preocuparse. Para ello, establecimos 6 dimensiones de eventos a vigilar vinculados a la detección de una intrusión y basándonos en lo que si o sí va a ocurrir en un sistema de información cuando esto se produzca. El resultado fue un macro Excel que definía que mirar y donde de forma abstracta para que luego en cada caso y en cada organización, se pueda establecer cómo se puede obtener dicha información. Las dimensiones definidas fueran las que presenta la siguiente transparencia.

Como conclusión general podemos ver que la partida de ajedrez no está perdida desde el inicio. Sin embargo es cierto que la protección de cada Organización va a depender mucho de la tecnología de la que disponga. Los sistemas de protección perimetral ya empiezan a basarse en otras técnicas y no se limitan a valorar direcciones IP y puertos. Actualmente existen sistemas que consultan la reputación IP de las conexiones, entornos que emulan en tiempo real los ejecutables que se envían para diagnosticar en tiempo real si son o no malware tras un análisis de su funcionamiento o tecnologías RASP (Runtime Application Selft-Protection").

En cualquier caso siempre hay algo que hacer y tenemos en nuestra mano al menos no facilitar al atacante el acceso. Para ello, debemos reducir al máximo el número de vulnerabilidades existentes en nuestros sistemas de información lo que implica tomarse las tareas de Patch management más en serio de lo que actualmente se hacen. Aquello de "si funciona no lo toques" debe cambiar porque puede tener como consecuencia que deje de funcionar cuando a alguien de fuera le apetezca (Y probablemente sea en el peor momento para tu organización).

miércoles, 14 de mayo de 2014 4 comentarios

Ciberseguridad, minuto y resultado: Los malos 3, Los buenos 0.

Mucho se habla últimamente de ciberseguridad y la verdad es que la cuestión debería empezar a preocupar. Cuando ves a tanto experto comentar que la situación está empeorando con titulares como "el mayor ataque ciberterrorista es cuestión de tiempo"  de Eugene Kaspersky hemos de suponer que las cosas deben estar muy feas. Tal como expresa el titulo del post quiero aportar mi visión de la situación partiendo de la realidad que me toca analizar día a día y teniendo en cuenta que quien escribe es un profesional de provincia que analiza la realidad de empresas que no están situadas dentro del Ibex 35. En cualquier caso al menos creo interesante comentar cómo se ven las cosas por estas tierras, aunque sean de segunda división.

En primer lugar creo muy relevante hacer constar que la ciberseguridad no es una moda sino más bien una amenaza invisible que no todo el mundo es consciente de que exista o lo que es peor aún, de que pueda impactarle. Obviamente no es cuestión tampoco de dramatizar porque todo este tipo de daños afecta a la información pero cada vez más las consecuencias de la inseguridad sobre los datos pueden alterar el mundo físico y provocar ya daños tangibles y concretos sobre el mundo real. Conscientes de la necesidad de hacer visible este tipo de amenazas, empresas del mundo de la seguridad han empezado a mostrar diferentes tipos de visualizaciones sobre el análisis de tráfico en tipo real que muestra como efectivamente estas cosas suceden. Aquí os presento 12 de ellas siendo la de Kaspersky de las más impactantes.

Voy ahora a narrar, cual periodista deportivo cómo se han producido cada uno de los 3 goles que anunciaba en el titulo del post.

Primer gol (En los primeros minutos de partido).
El primer tanto lo marcan los malos en los primeros minutos cuando la industria del software en general no es casi penalizada por la generación de productos inseguros. Hablamos constantemente de los problemas ocasionados por los fallos software y la necesidad de gestionar la vulnerabilidad pero muy poco sobre la importancia de la seguridad en el diseño. En este tema solo las empresas muy castigadas por el malware fueron capaces de reorientar el proceso de fabricación de software y definir la Trusted Computing. Schneier insiste dentro de su visión económica de la seguridad que mientras sea más barato poner remedio que solventar el problema en el origen, nada motivará a la industria del software a hacer bien las cosas. Y teniendo en cuenta que ahora software tiene casi cualquier cosa, tenemos un problema gordo con la dispersión del software a todas las actividades humanas. En esencia lo que más preocupa actualmente es la seguridad del software orientado a la informática industrial que controla los automatismos en las grandes empresas y las infraestructuras críticas. Es un tema tan específico que en España se ha creado el Centro de Ciberseguidad Industrial y está centrándose en estos temas, es decir, seguridad de la información sobre entornos industriales donde es complejo aplicar las políticas de gestión de la seguridad que se aplican en otros sectores porque son entornos operativamente complejos que no pueden parar su actividad.

Segundo gol (A mitad de partido).
El segundo gol podríamos considerarlo que se ha metido en propia meta dado que está más causado por la falta de control del equipo que defiende que por los méritos del equipo que ataca. Ésta es por tanto una segunda ventaja del mundo del cibercrimen sobre las empresas y está ocasionado por la ausencia o carencia de recursos en el área TIC de las organizaciones para luchar contra estas cyberamenazas. Los departamentos de sistemas de información de las empresas están diseñados para aportar valor y ello se produce diseñando y desarrollando sistemas que amplíen u optimicen el modelo de negocio establecido. En este sentido, los departamentos tienen como misión construir cosas, no preservar los entornos para que los malos no puedan boicotearlos , robarlos o destruirlos. Por tanto, una primera desventaja es la falta de personal especializado que monitorice y vele por el control de la situación. Lo que no deja de resultarme paradójico es ver como las empresas si tienen clara la protección física para amenazas del entorno cercano (Siendo estas quizás poco frecuentes y con pocos agentes agresores) y no para Internet que es un escenario hostil, globalizado y con muchos agentes agresores. Supongo que la causa de ello debe ser la ausencia de percepción de peligro que nos genera la conexión a Internet. En las empresas medianas y pequeñas este tipo de cosas siguen viendose como "de película". El principal problema por tanto es que si nadie mira, cuando las cosas empeoren (Que es lo que está ocurriendo), nadie podrá dar aviso para reaccionar a tiempo. Todavía no nos hemos adaptado al cambio de mentalidad que supone Internet. Como comenta el ensayo titulado Ciberataques por Mikko Hypponen dentro del último libro de la serie BBVA “C@mbio: 19 ensayos clave acerca de cómo Internet está cambiando nuestras vidas”o los cambios son más grandes de lo que parecen.
"El mundo real no es como el mundo online. En el mundo real sólo hemos de ocuparnos de los delincuentes que En el mundo real solo hemos de preocuparnos de los delincuentes que viven en nuestra ciudad. Pero en el mundo online tenemos que preocuparnos de delincuentes que podrían estar en la otra punta del planeta. La delincuencia online siempre es internacional, ya que Internet no conoce fronteras".
Por tanto, debemos entender que la amenaza existe y que no tiene porqué haber una motivación directa para que uno acabe siendo victima de un incidente. Ahí están las estadísticas que documentan las diferentes motivaciones en los casos más relevantes.



Además, los datos no van a mejorar porque tal como indica Mikko Hypponen, la presión policial sobre el cibercrimen es insuficiente.
"Cuando se ponen en un lado de la balanza los daños producidos por la ciberdelincuencia y en el otro la pérdida de vidas humanas, salta a la vista cuáles son más importantes. Adaptarse al rápido crecimiento de la delincuencia online resulta una tarea harto difícil para las fuerzas nacionales de policía y los sistemas legales, pues cuentan con capacidades y recursos limitados para sus investigaciones. Las víctimas, la policía, los fiscales y los jueces casi nunca descubren el auténtico alcance de estos delitos, que se suelen producir más allá de las fronteras nacionales. Los procesos penales contra los delincuentes son muy lentos, los arrestos, contadísimos y, con excesiva frecuencia, las penas impuestas resultan demasiado leves, en especial si se comparan con las de los delitos perpetrados en el mundo real. La baja prioridad que se concede a perseguir a los ciberdelincuentes y la demora en el establecimiento eficaz de penas por delitos cibernéticos transmiten un mensaje equivocado y es el motivo por el que la delincuencia online aumenta a gran velocidad. Ahora mismo, los delincuentes potenciales online son conscientes de que las probabilidades de ser descubiertos y castigados son mínimas y de que los beneficios son enormes."
Hace unos días también se publicaba en El País un titular escandaloso al respecto, "El 95% de los ciberdelitos cometidos quedan impunes". Esta situación de aparente impunidad más el incremento en los réditos obtenidos por los ciberdelincuentes son el caldo de cultivo ideal para que esta "miel" atraiga a más abejas a comer. Las estadísticas dan miedo pero como no se genera alarma social suficiente (Al fin y al cabo solo afecta a información), los esfuerzos policiales se orientan hacia temás de menos envergadura pero más mediáticos (Recordemos que los recursos policiales se deciden desde la capa de la política).



Tercer gol (A final de partido).
Este es quizás el único gol que pueden apuntarse realmente los malos y que se corresponde con el esfuerzo que desarrollan realmente en buscar la forma de lucrarse a costa de los sistemas de información ajenos. En parte, como hemos visto en los dos goles anteriores, sobre un terrerno de juego que no les pone las cosas muy difíciles, han conseguido desarrollar una auténtica industria del malware que ya ha logrado superar las medidas de seguridad perimetral más comunes (Firewalls y antivirus).

Que es una industria no lo duda nadie con solo ver su capacidad de fabricación y el crecimiento esponencial del número de especímenes generados. No es posible semejante ritmo de producción sin organizaciones bien orquestadas que colaboran en la generación de aplicaciones cada vez más sofisticadas que trabajan de forma cada vez más silenciosa. Además, el concepto de malware ha evolucionado hacia el de APT donde la aplicación maliciosa se encuentra durante tiempo en los sistemas de información agazapada, recolectando datos hasta que decide atacar a la víctima. Sobre el tema de APT me parece interesante destacar la reciente revisión realizada por el blog Aeropago21 en el post "Operaciones APT famosas". El año 2013 fue el que dió a conocer esta nueva variante de malware cuando Mandiant hizo publico el informe  "APT1: Exposing One of China's Cyber Espionage Units". Desde entonces mucho se habla del tema pero la noticia de hace unos días que más llama la atención ha sido la declaración de Symantec sobre la poca eficacia de los antivirus con el titular de cabecera Antivirus pioneer Symantec declares AV “dead” and “doomed to failure”.

Como muestra la siguiente gráfica, el crecimiento exponencial del número de muestras de malware hace predecible que las tecnologías basadas en la detección de patrones dentro de código no van por buen camino.



 La gente de la industria lleva hablando de esto hace tiempo aunque no era políticamente correcto siendo creo los primeros la gente de Hispasec que en esto siempre han sido la referencia. Quizás el problema más grave que tiene este nuevo escenario es la existencia de clases también dentro del ciberespacio. Dado que las soluciones actuales no están frenando el malware, las empresas se van a segmentar en tres tipos:
  • Las que tienen buen presupuesto de seguridad y que adquirirán las nuevas tecnologías de protección basadas en el análisis del comportamiento del software y no en patrones. Estos dispositivos tienen un precio alto que no todo el mundo puede asumir. 
  • Las que se refugiarán en bastiones bien protegidos subiendo a infraestructuras de nube bien protegidas, alojando sus sistemas dentro de ciudades bien amuralladas que si hayan podido hacer la inversión en protección para amortizarla vendiéndola como servicio de seguridad en nube.
  • Las que ni saben que los firewalls y antivirus ya no son efectivos y permanecerán de forma incosciente expuestas a la red y a sus sustos. Por desgracia en este segmento se van a situar el 90% de las empresas pequeñas o medianas que ven en la ciberseguridad todavía un tema de ciencia ficción.
El cambio de contexto del que pocas empresas se están dando cuenta respecto de la sofisticación del malware (Y ocasionado por la carencia de personal propio especializado que vaya analizando las amenazas existentes y actualizando los análisis de riesgos como se vió en el segundo gol) es que los malos han aprendido como saltarse las medidas de seguridad. El malware ahora no viene en forma de ejecutable catalogado por el antivirus sino como un software inofensivo que el antivirus no es capaz de detectar. En la ejecución inicial detecta que le faltan trozos y se conecta de forma cifrada hacia los host desde los que poder completarse. Todo ello hablando protocolos comunes como http y utilizando cifrado en el intercambio de información para que los firewalls más avanzados tampoco puedan analizar el contenido del tráfico. En el fondo los malos están utilizando las mismas técnicas que se emplean en la protección legítima de datos pero para unas finalidades diferentes. Por tanto, con este nivel de sofisticación las medidas tradicionales ya están siendo superadas.
Curiosamente además se produce un fenómeno perverso y es la siguiente paradoja:" Quien no puede invertir en seguridad puede tener que asumir mucho más coste ocasionado por la inseguridad". La gestión del riesgo nos lleva a cuatro opciones posibles: trasferir, evitar, reducir o aceptar. A menudo, las capas directivas no asumen que "No hacer nada" es tomar como decisión "aceptar el riesgo" y se arrepienten de la decisión sólo cuando tienen que afrontar los costes de la inseguridad asumida. En este sentido empieza a ser cada vez más necesario evaluar el "coste de la insegurida" y utilizar como métricas de valoración económica los conceptos "CAPEX" y "OPEX". Aun no siendo un experto en la materia, me voy a atrever a hacer un planteamiento económico de la gestión de la seguridad a ver que os parece. Espero que Antonio Ramos lea esto y me corrija si estoy enfocando mal estos conceptos económicos.

Pensemos en un supuesto real de gestión del malware. Sería el caso de un departamento TI que plantea la 
adquisición de un equipo avanzado que puede detectar el 50% más de malware que el firewall tradicional.
Aunque la inversión inicial fuera alta (CAPEX o coste de capital), el coste operacional (OPEX o coste operativo) causado por el gasto en personal que tiene que solventar los incidentes detectados hace que a medio y largo plazo, la decisión basada en adquirir el equipo avanzado sea más rentable. Al final de un año cada decisión tendría los siguientes números suponiendo un coste de 30€ de mano de obra por cada acción de limpiar un equipo de malware:
  • Decisión de no hacer nada tendría estos números: CAPEX: 0€+ OPEX: 378.000€ = 378.000€
  • Decisión de gestionar el riesgo: CAPEX: 3.000€+ OPEX: 189.000€ = 279.000€


    Como muestra el gráfico, una decisión técnica de apuesta por la mejora operacional tiene a medio y largo plazo un resultado más rentable que la decisión de no hacer nada. Además, la aceptación del riesgo está expuesta también a la aleatoriedad del entorno y a la evolución de la tendencia. Es decir, si la agresividad del malware se incrementa, los costes operativos aumentan significativamente siendo entonces la separación entre ambos enfoques mayores. Esto ha sido simplemente un ejemplo sencillo para intentar hacer ver que "no hacer nada" es ya hacer algo y que pensando en rentabilidad económica, puede incluso ser una decisión peor que la que no se quiere asumir por costes iniciales.

















    viernes, 25 de abril de 2014 1 comentarios

    La necesidad de establecer la "infoética" del Big data.

    Yo empecé en esto de la seguridad en el año 1999 cuando tuve que hacer un análisis de riesgos en una Administración Publica para un proyecto de investigación de la Universidad de Murcia y justo al finalizar el estudio me topé con una recién publicada Ley Orgánica 15/1999 de Protección de datos de carácter personal y el R.D. 994/1999 de Medidas de seguridad para tratamientos de datos automatizados. Recuerdo que en aquel momento y antes de finalizar la entrega de resultados tuve que reorientar las recomendaciones para incluir los nuevos requisitos legales y leyendo la legislación ya me dí cuenta del "teórico" tremendo impacto que podía tener esa legislación si se aplicaba de forma correcta. La privacidad que en aquel momento estaba enfocada en la protección de información cuando era gestionada mediante sistemas informáticos poco a poco ha ido creciendo como asunto de notable relevancia y he podido constatar en primera persona como se va haciendo cada día más presente la frase de "la información es poder". Ha sido tal la incorporación de la tecnología a todas las actividades del ser humano que actualmente nos encontramos en una fase de sensorización (Que me perdone la RAE por la palabra utilizada) del mundo y de las personas. Los primeros elementos tecnológicos destinados a monitorizar situaciones y estados fueron aplicados por las grandes empresas para el control de los procesos industriales de fabricación y producción. Sin embargo, posteriormente este tipo de elementos informáticos han ido disminuyendo en tamaño y aumentando en potencia hasta llegar a los teléfonos inteligentes y los nuevas computadoras corporables o dispositivos "weareables". Estas nuevas tecnologías son atractivas y una auténtica tentación. Yo mismo llevo una pulsera que monitoriza movimiento y sueño asumiendo que estos datos van a una compañía americana. El problema es que el dispositivo asume que los datos se gestionan fuera y las políticas de privacidad cambian según el interés de las empresas. Lo que hoy es potencialmente inofensivo mañana puede cambiar. Y los "sacrificios" de privacidad que conscientemente asumimos hoy pueden pasarnos una factura cara en el futuro. En mi caso, cambio privacidad por conocimiento personal.
    Sin embargo, la principal problemática se produce porque toda esta auténtica revolución plantea ahora la capacidad de medirlo todo, incluidas las personas y por tanto, aplicar teorías matemáticas a cosas que hasta la fecha no eran imaginables por carecer de información en tiempo real sobre lo que estaba sucediendo o no ser capaces de establecer las relaciones o vinculaciones entre individuos. Tenemos ahora lo que se empieza a llamarse la "física social" que trata de establecer modelos predictivos del comportamiento social. En este sentido aparece la necesidad de establecer los límites entre lo que potencialmente la tecnología es capaz de hacer y de lo que desde la ética consideramos adecuado que sea permitido. En el siglo XXI nos hemos acostumbrado a que los avances tecnológicos no sean cuestionados y que el ciberespacio sea algo así como un nuevo "Far West" donde el primero que llega se queda con el territorio. La principal diferencia en esta nueva repetición de la historia es que ésto ocurre ahora sobre un terreno invisible y los países no están siendo capaces de calibrar las ventajas o desventajas competitivas que tiene la conquista de este ciberespacio. El terreno de los datos actualmente evolucionará pronto al mundo del conocimiento y las ventajas competitivas en ese ámbito se traduce en inteligencia de negocio que garantiza la supremacía económica. Europa no ha sido capaz de ver que se ha producido un nuevo colonialismo pero esta vez virtual de la mano de las tecnologías. Los ciudadanos europeos somos presa de servicios como Amazon, Google, Dropbox, Ebay,etc...)
    Solo hay que ver el mapa que mantiene Jorge Morell en su web "Terminos y condiciones" para evidenciar que ya estamos bastante colonizados, sobre todo porque los servicios más interesantes son aquellos que recogen información sobre nuestros deseos, pensamientos o intenciones (buscadores o redes sociales). Vivimos justo en estos momentos la incertidumbre sobre una nueva reglamentación europea que está siendo torpedeada por los Lobbys de esta nueva economía y que finalmente si no se aprueba antes de las elecciones europeas posiblemente quede de nuevo parada unos años mas. Durante este tiempo, daremos de nuevo manga ancha a los colonizadores del nuevo oro a seguir explotando sin control estas minas de información.

    A raíz de la lectura del artículo The Limits of Social Engineering y de Vigilancia líquida de Bauman-Lyon, creo que se empiezan a plantear potenciales escenarios que desde la perspectiva de la ética deberían ser acotados para evitar desmanes o usos perversos del progreso en tecnologías de la información. Ya he comentado alguna vez que en Ingeniería en Informática estudiamos una asignatura relacionada con "Dinámica de sistemas".. Esta disciplina proporciona técnicas para analizar y modelar el comportamiento temporal en entornos complejos. Se basa en la identificación de los bucles de realimentación entre los elementos, como también en las demoras en la información y materiales dentro del sistema. Lo que hace diferente este enfoque de otros usados para estudiar sistemas complejos es el análisis de los efectos de los bucles o ciclos de realimentación, en términos de flujos y depósitos adyacentes. De esta manera se puede estructurar a través de modelos matemáticos la dinámica del comportamiento de estos sistemas. La simulación de estos modelos actualmente se puede realizar con ayuda de programas computacionales específicos. Hasta la fecha este tipo de enfoques no había sido posible aplicarlo a comportamientos sociales porque no eramos capaces de monitorizar qué estaba pasando.



    Sin embargo ya existen estudios en determinadas disciplinas orientadas al poder (Política y marketing) que están utilizando estas nuevas tecnologías para elaborar modelos de comportamiento. Estos modelos matemáticos son simulaciones que son capaces de predecir qué sucedería en el sistema real en base a los valores de ciertas variables y se puede jugar con ellas hasta poder comprobar si se llega a un resultado deseado. Ya sabemos que parte del potencial de Google se basa en su capacidad de "predecir el futuro". Como ejemplo filantrópico para vender la imagen del "Don't evil" Google tiene la iniciativa de vigilar la evolución de la gripe. Tal como indica la propia página, "Hemos descubierto que ciertos términos de búsqueda son buenos indicadores de la actividad de la gripe. Evolución de la gripe en Google utiliza los datos globales de las búsquedas en Google para realizar, casi en tiempo real, cálculos aproximados de la actividad actual de la gripe en todo el mundo".  La gran duda es saber qué otras cosas es capaz de predecir Google y en qué ámbitos pero esta claro que si Internet fuera un tablero de Risk, hay un potencial ganador que tiene ya conquistado medio mundo como muestra la siguiente visualización de las Webs más visitadas por países. Es posible que este tipo de información "privilegiada" basada en el conocimiento de las inquietudes de los internautas en base a los patrones de búsqueda utilizados son un diamante en bruto que si son utilizados como moneda de cambio  podrían justificar algunos saltos a la nube Google.





    Además, en psicología está muy estudiado el poder del contexto en la forma de comportarse del ser humano. Si se crea un entorno prediseñado para que ante determinada información de entrada se pueda calcular cual será la difusión de la misma, la generación de influencia y la reacción de los grupos influenciados se podrían establecer estrategias de reacción social. Experimentos de este estilo ya los tenemos presentes con las denominadas "campañas de marketing viral". Sin embargo, en otros escenarios los objetivos podrían ser crear contextos para el empoderamiento o jugar a crear "profecías autocumplidas". Todavía no somos capaces de valorar el gran poder que tienen determinadas herramientas de Internet y su capacidad para crear "burbujas de información" diseñadas más a satisfacer necesidades empresariales que a obtener resultados matemáticamente correctos. La personalización puede esconder un fin perverso que se oriente más a suministrar los datos "diseñados" para que el perfil del usuario no salga de una burbuja y refuerce la categorización que corresponde a su clasificación.

    Para terminar, creo interesante comentar las reflexiones finales del artículo de la Universidad de Standford, “Privacy in the Age of Big Data. A Time for Big Decisions”. Creo que llegados este punto seguramente el lector haya podido cambiar la importancia que tiene la protección de datos de carácter personal y lo que va a condicionar en el futuro el poner en valor la necesidad de la defensa de este derecho fundamental que probablemente no hemos ponderado bien cual será su importancia en el futuro. Como vemos, la gestión de información masiva, la correlación de eventos y el conocimiento que se obtenga de ellos sin un criterio de infoética (la ética de la información que es el campo que investiga los asuntos éticos que surgen del desarrollo y aplicación de las tecnologías informáticas) puede ser un caldo de cultivo para situaciones nada deseables. El Big data y sobre todo, el nuevo conocimiento que pueda obtenerse del uso de estas tecnologías tienen un potencial peligro si no hay restricciones éticas porque ciertos tratamientos de datos son una amenaza no solo para la privacidad sino también para la libertad. Cuando las herramientas de los poseedores del Big data sean tendencias, predicciones, patrones de comportamiento las decisiones que tendrán en sus manos serán mucho más relevantes que las que puedan manejar ahora con la clasificación y segmentación de perfiles.

    martes, 15 de abril de 2014 0 comentarios

    Heartbleed, un toque de atención a la industria del software

    Toca tras un periodo de barbecho, retomar la costumbre de publicar pensamientos sobre un análisis técnico del panorama de la seguridad de la información. Y la noticia estrella de la semana y probablemente de estos meses será Heartbleed y las consecuencias de este fallo de seguridad. A colación de estos hechos quiero plantear diferentes cuestiones que han venido a mi mente al analizar qué ha pasado y sobre todo, qué causas están de lo que ha sucedido.

    Hace un par de años me atreví a realizar un post titulado El Tsunami tecnológico que no pudimos evitar donde relataba cómo un error informático producía un Pearl Harbour cibernético. En concreto, en aquel relato había un trozo de texto que trataba de hacer reflexionar sobre el proceso de creación de software y sobre la necesidad de empezar a aplicar la cultura de la "seguridad industrial" al proceso de fabricación del software.
     La informática nunca quiso ser vista como una  ingeniería. Aunque en las facultades se formaba a profesionales para que aplicaran metodologías de desarrollo, se validaran los programas, se formalizaran las pruebas, en definitiva, se creara un producto robusto y estable, aquello penalizaba la rentabilidad de las empresas del software y no era la práctica habitual. Solo las grandes ya habían descubierto que esa manera de generar código era la única viable para dar soporte al ciclo de vida del software. La crisis también tuvo bastante que ver porque fue la cazuela perfecta en donde cocinar todos estos ingredientes: excusas por falta de recursos, saltos al vacío para ahorrar costes y mirar a la nube como la panacea de las TI, carencias de normas de regulación tecnológica que al menos forzaran a unos procesos de desarrollo y fabricación de tecnologías más robustos y sobre todo, la extensión general de que las responsabilidades no son aplicables a las tecnologías de la información y que el "error informático" es un ente sin nombres y apellidos que siempre está en todas las consecuencias pero que no tiene un padre que determine cual es la causa y sobre todo el culpable. En todos los productos tecnológicos era una práctica habitual que aparecieran las cláusulas de "irresponsabilidad" que son todas aquellas cláusulas de responsabilidad que empezaban diciendo "este producto se entrega como está y el fabricante no se responsabiliza de nada". 
    Por tanto, como primera reflexión creo lo sucedido es un primer toque de atención. Estamos basando nuestra economía en un producto intelectual no tangible que no sufre el mismo proceso de fabricación que todo lo que nos rodea en el mundo físico y además, lo estamos desmaterializando cuando usamos ya términos como "cloud" o "nube" para intentar desvincular el software de los dispositivos electrónicos donde reside y se ejecuta. Sin localización de componentes físicos es más fácil lograr la deslocalización de responsabilidades.

    Una segunda reflexión tiene que ver con la seguridad del código abierto. Durante años uno de los principales argumentos para generar confianza en el opensource siempre ha sido la transparencia. Sin embargo, se da la terrible paradoja de pensar que el hecho de que potencialmente haya miles de auditores pueda significar que finalmente no decida intervenir ninguno y que todo el mundo piense que otro hará el trabajo. En el post ¿Por qué tienen éxito el phishing o el scam? Psicología de las víctimas de una estafa referencié el estudio de la Universidad de Cambridge que analizaba la psicología de la estafa desde la perspectiva de la víctima. Y curiosamente en el proceso de timar a alguien se produce la aplicación inconsciente de dos principios que pueden haberse dado en el caso Openssl y que a continuación menciono.

    • El principio de obediencia social: La Sociedad nos educa y entrena para no cuestionar la autoridad. Los estafadores pueden aprovechar este "otorgamiento previo de confianza" o "nuestra anulación de la desconfianza" para hacer con usted lo que quieran. 
    • El principio del rebaño: Las personas más prudentes y desconfianzas bajan la guardia cuando todo el mundo parece asumir o compartir los mismos riesgos. ¿Seguridad en multitudes? No, si todos los que te acompañan están conspirando contra ti.

    Si un desarrollador ve que instituciones relevantes están incorporando el proyecto OpenSSL de dos personas que implementan las operaciones criptográficas, por el principio del rebaño, puede que acabe deduciendo que si estas instituciones se fían será porque el producto es robusto. Si entre esas instituciones aparece alguna con reputación y credibilidad en materia de seguridad, entonces se aplica el principio de obediencia social y probablemente demos por hecho que la seguridad del proyecto opensource es incuestionable. Y de esa forma se entra en un bucle de retroalimentación positiva donde cada vez empresas más relevantes confían en los pasos que dan otras antecesoras y extendiendo el uso de forma masiva para transformarlo en un estándar de facto en ciertos entornos. Y cuando aparece el fallo Heartbleed y la gente empieza a preguntarse cómo ha podido ser, resulta que OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Dos personas han compartido su conocimiento y código en Internet para que sea utilizado y el uso se extiende tanto que cuando se da a conocer un agujero de seguridad que afecta a las versiones 1.0.1 y 1.0.1f de éste protocolo, acaba afectando a dos tercios de las comunicaciones seguras que se efectúan en Internet. La noticia OpenSSL pide ayuda también revela que muchos de estos productos software están hechos como están hechos. No voy a criticar lo que ciertos voluntarios deciden subir a Internet de forma altruista. Lo que más sorprende es ver cómo hay parte de la industria de las tecnologías de la información que incorporan esas piezas a sus entornos sin realizar ciertos controles de calidad o al menos, contribuyen a que alguien realice estas revisiones en beneficio de la "comunidad".
    "En OpenSSL no se trabaja por dinero. Tampoco por la fama, que casi nunca transciende el mundillo de la tecnología, lo hacen porque creen en ello, lo ven cómo una forma de artesanía. No se concreta el sueldo mensual propuesto, pero sí considera que tendrían que rondar los 250 dólares por hora. “Que puede parecer mucho, pero no lo es tanto para un médico o un abogado. Se trata de que se ganen bien la vida”, subraya."
    Creo que todos hemos caído en este bucle de generación de confianza espontánea hasta que algo o alguien nos ha planteado el por qué de la situación. De nuevo las revelaciones Snowden hicieron a todos pensar si algunas de las técnicas de la NSA se basaban en la colocación de puertas traseras en determinados elementos estratégicos que permitieran controlar una determinada tecnología. Yo por ejemplo, decidí confiar en Truecrypt cuando leí a Bruce Schneier recomendando el producto como una solución de cifrado robusta. Tras el caso Snowden se empezó a rumorear quién estaba detras de esta aplicación porque no era fácil identificar a sus autores. Hoy la noticia es que hace pocos meses se ha auditado el código fuente de esta herramienta ante la sospecha de si podía ser la NSA la que estuviera detrás de este proyecto y que hubieran colocado una puerta trasera a un programa que se usa extensamente. El informe está consultable en este enlace "Informe de auditoría a TrueCrypt". Todos los usuarios Truecrypt hemos confiando en un producto sin evidencias de su robustez.

    Como reflexión final cabe analizar la siguiente infografía que ilustra de una forma bella la cantidad de líneas de código de los productos software actuales. Como se puede ver, la complejidad va en aumento y es bastante probable que el "susto Heartbleed" no sea el último de este año. Existen aplicaciones y servicios que actualmente están basados en la filosofía Lego. Ellos se construyen en base a piezas ya existentes hechas por otros que se referencian y utilizan. Si el error se produce en una pieza situada muy abajo, el resto de elementos software que emplean esa pieza se ven colateralmente afectados por el problema de seguridad y la torre de naipes se cae de golpe. Heartbleed ha sido un primer buen ejemplo de reflexión.




    La solución en parte es la certificación ISO 15408 que se aplica a ciertos elementos software pero también habría que ver si hay productos con Openssl certificados. Para quien quiera saber más de esta norma conocida como "Common Criteria" y que se requiere para ciertos productos software en determinados sectores, puede leer la entrada ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones (Parte I)

    Un saludo y esperemos que no pasen 4 meses antes de volver a publicar ;-)

     
    ;