All posts by

¿Y quién vigila al vigilante? ¿y a ‘root’ y a ‘Sysadmin’?

Siempre he pensado que el área TI (Tecnologías de Información), mejor conocida como “Sistemas”, está subvalorada; sin embargo, también pienso que algunos responsables de TI, deberían buscar, de manera más vehemente, que TI sea un área estratégica; dar soluciones que aporten a la compañía, y no sólo a las actividades cotidianas del día a día o “apagar incendios” o “bomberazos”. Desafortunadamente la gente percibe así a TI, pero haré a un lado mi trauma impresión y hablaré de algo que me inquieta particularmente desde que me pasé al lado oscuro de la fuerza área de Seguridad de la Información hace varios años.

Una situación recurrente es que algunas posiciones de TI por su propia naturaleza requieren de accesosprivilegiados o elevados, es decir, que pueden administrar, borrar, crear o modificar información o datos, códigos fuente de los sistemas, bases de datos; insisto, como parte natural de sus funciones. Sin embargo, y como dicen en Spider-man: “Un gran poder conlleva una gran responsabilidad”.

 

Leer nota completa…

La Promiscuidad de datos en Sodoma, Gomorra y Outsourcing

Comienzo con un par de noticias que me hacen reflexionar sobre la cantidad de información y datos personales que se comparten con terceras partes, ya sea por Outsourcing, por ‘tercerizar’ servicios, o alguna otra razón, como la del viernes 30 de marzo donde información de millones de tarjetahabientes fueron robados tras hackeo a Global Payments afectando a clientes de VISA, MasterCard y American Express o esta última: “Empleado roba 228,000 registros de pacientes y los manda a su mail personal”.

De acuerdo a Miguel Tijerina Schon de Buró de Crédito, a diario hay alrededor 880 denuncias por robo de identidad y tiene su origen en tres causas principales: la física, la telefónica y la electrónica.
El IFAI está consciente de que hay un tráfico de datos pero comenta que es difícil integrar una averiguación ya que se desconoce en dónde están ubicados los comercializadores de las bases. Tengo mucha fe en que la Ley Federal de Protección de Datos Personales en Posesión de
Particulares (LFPDPPP)
ayudará bastante a regular, pero por sí sola no pasarán las cosas y seguramente no en el corto o mediano plazo. Platicando con personas de diferentes niveles, en distintos contextos, se percibe una sensación de el tema se ha estado diluyendo. “Primero porque no salía el reglamento, después porque la fecha llegó y a nadie le pasó nada a nadie, ni una multa, ni un periodicazo.” 
El pecado original
¿A cuántas empresas le has dado tus datos personales, sensibles o información confidencial? ¿No tienes idea? Quizás podríamos empezar por tu
banco o bancos, tu escuela o tu trabajo, médicos y hospitales donde hayas estado, créditos donde hayas aplicado, la lista puede ser tan grande como tu memoria te dé. Leer nota completa…

De Metallica©®™, Napster™, SOPA, Privacidad, Censura y otros ítems raros…

Aún recuerdo cuando vi un video de los comienzos de Metallica (supongo que todos conocen a esta banda americana de metal); en el documental hablaban de cuando comenzó la banda y como grababan ‘demos’ en casetes para su venta en sus “tocadas”.Estos mismos casetes servían para poder distribuir su música a la gente y también para enviarlos a disqueras. Muchos años más tarde, sería Lars Ulrich (baterista de la banda) uno de los principales opositores de que se compartiera música a través de Napster, el cual era un programa para compartir archivos a través de P2P [Peer to peer], al descubrir que el demo de su canción ‘I Disappear’ había estado circulando a través de la red de Napster™, inclusive mucho antes de que fuera distribuido. La canción llegó a estaciones de radio a través de América, y Metallica se percató de que su catálogo entero de canciones también estaba disponible. No haré la historia muy larga, 

básicamente se abrieron juicios legales donde la industria musical haría las siguientes afirmaciones acerca de Napster™:

1.Sus usuarios estaban directamente infringiendo los derechos de autor.

2.Napster era responsable por contribuir a las infracciones de derechos de autor.

3.Napster era responsable por violación indirecta a los derechos de autor.



La corte encontró a Napster™ responsable de las tres afirmaciones y perdió el caso, pero apeló y la corte encontró que Napster™era capaz de usos no-infractorios, afirmó la decisión del District Court. Posteriormente, el District Court ordenó a Napster™ monitorear las actividades de su red, y de impedir el acceso a material infractorio cuando fuera notificada la existencia del material. Napster™ no pudo realizar esto por lo que cerró su servicio en 2001.

Esto marcó un hito en muchas situaciones, ya que el modelo de distribución comenzaba a tomar un giro diferente, a evolucionar quizás, sin embargo, los intereses de algunos iban en contra de los nuevos modelos. ¿Justo o injusto? Usted tendrá sus propias conclusiones.

Mi opinión es que a medida que la tecnología va avanzando, nos deberíamos de adaptar y acoplar a las nuevas circunstancias. Aclaro, NO estoy a favor de la piratería; y de hecho, estoy a favor de que se regulen los diferentes ámbitos de distribución; ya que para que alguien escuche una canción o un disco, implicó trabajo de muchas personas y no sólo de los artistas, perocuando un disco equivale a 10 veces el salario mínimo en México, pues un nicho muy grande de la población optará por buscar la manera de tenerlo sin tener que trabajar 10 días para poder hacerlo de manera legal. Algunas bandas han puesto su material a descarga pagando una cantidad mínima, desde $1 ó $5 dólares americanos, otras con el concepto de “paga lo que quieras”. Tampoco sugiero que ésos son los modelos que “deberían” reproducirse para todos. Pero lo que es cierto, es que la tecnología avanza y así mismo los métodos de distribución así como opciones para todos los segmentos. Pero eso es otra historia.


¿Y qué tiene que ver esto con la seguridad de la información o la privacidad? Para comenzar, alguien me hizo un comentario que me puso a reflexionar:


“Si alguien compra un Anti Virus y me lo presta, no está mal pues ya lo compró él/ella, ¿o sí? Es como quien te presta un libro o un CD/DVD ¿cierto?”


Este comentario me hizo darme cuenta de algo, quizás para muchas personas no está completamente claro dónde sí es ilegal y dónde no. Para la mayoría de las personas que estén leyendo este texto tal vez resulte claro, la licencia es para una sola máquina; pero puede que exista una gran parte de la población que no entiende cómo funciona, pues muchos recursos están ahí, a un clic de distancia, a un préstamo de alguien conocido, a una compra de algo en un mercado.

Sirva este contexto musical para hablar de iniciativas como SOPA y privacidad. Algo que me llama a la reflexión es que la piratería existe desde que yo tengo uso de razón, y al menos en México, muchos saben los puntos donde se pueden encontrar: tianguis, mercados, afuera y adentro del metro, y ese famoso lugar que está cerca del Eje 1 Norte también conocido como Tepito.Sin embargo las autoridades no han terminado con ésta durante años. En ocasiones se escuchaque se incautaron cantidades de material ilegal, pero esos puntos siguen distribuyendo material.

Supongo que no sería necesario explicarles que es SOPA a ustedes, pero para poder partir de un contexto igual para todos, ahí va: SOPA, sus siglas vienen de Stop Online Piracy Act, la cual es una iniciativa de ley presentada ante el Congreso de EUA por el diputado republicano Lamar Smith.Ésta busca bloquear o desaparecer sitios que compartan material con derechos de autor sin la autorización del mismo.

Algo muy importante que las redes sociales e internet nos brindan, es que la información fluye rápido. La cuestión es que pueden desinformar sobre algún tema en discusión, pero por otro lado, despiertan la curiosidad de la gente en investigar más respecto a un tema. No se trata de estar en contra de SOPA, sino de entender qué busca para poder tener argumentos sólidos y poder manifestarte en contra de la misma. Empresas como Google, Wikipedia, Foursquare, Yahoo!, Bing, tendrían que acatarse a que el gobierno les prohibiera enlazar sitios que hayan sido bloqueados, en otras palabras, censurarlos. Si una página o blog almacena, reproduce o distribuye material sin consentimiento.


Entre los promotores de la ley se encuentran la Motion Picture Association of America (MPAA), la Recording Industry Association of America, laboratorios farmacéuticos tales como Pfizer, negocios de medios audiovisuales y la Cámara de Comercio de los Estados Unidos.

Además hay otras iniciativas que buscan que los proveedores de internet conocidos como ISP (Internet service provider), provean información sobre quién descarga material de forma ilegal, lo cual para mucha gente, sugiere una invasión a su privacidad. ¿Te imaginas que el gobierno tuviera la facultad de monitorear tus actividades en internet o solicitarle al ISP a los motores de búsqueda el tipo de información a la que accedes o descargas? ¿Hasta donde la privacidad se puede ver invadida por salvaguardar los intereses de unos?

Hace mucho tiempo, en una galaxia muy, muy lejana, hubo algo llamado “privacidad”.

“Mis padres me cuentan que en sus tiempos había algo llamado Privacidad…” y claramente es un sarcasmo o ironía; pero es impresionante ver la cantidad de datos personales, confidenciales o sensibles que tenemos como individuos. Pero más impactante, la cantidad de lugares donde éstos se encuentran almacenados o siendo procesados. Empezando por la empresa donde laboramos actualmente o en el pasado, las escuelas donde estudiamos, nuestro banco, AFORE, si tenemos algún seguro de gastos médicos, o bien un seguro de algún bien, Seguro Social, organizaciones a las que pertenecemos, empresas donde hemos aplicado alguna vez para empleo sin habernos quedado, las empresas de telefonía, y sin lugar a dudas, la propia internet y las redes sociales.

¿Alguna vez han hecho una búsqueda de sus datos? En muchos casos se sorprenderían de cuantos sitios tienen su nombre como referencia. Dicen que nuestro Smartphone nos conoce mejor que ni los familiares o amigos más cercanos, dicen… y muchos de estos datos se ‘suben’ a internet o a la nube.

Pero ¿qué es la privacidad? Según la RAE:

“Ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión.”

Y ¿qué es “privado(a)”?

“Que se ejecuta a vista de pocos, familiar y domésticamente, sin formalidad ni ceremonia alguna. Particular y personal de cada individuo. Que no es de propiedad pública o estatal, sino que pertenece a particulares”

¿Cuántos datos privados crees que existan sobre ti? ¿Has buscado en internet, información sobre ti, es decir, tu nombre? En ciertos casos, vendrá más información que otros. ¿Cuánta información has vaciado en redes sociales? Yo sé mucha información importante de gente, ya que ésta la postea ya sea en Facebook o Twitter. Supongo que tú también sabes información privada de gente porque la han posteado en internet. A dónde están o estarán en vacaciones, dónde están comiendo, con quién están, qué están haciendo. Finalmente, hoy es más ‘interactiva’ la red y no está mal, sólo que hay que tener cuidado con lo que compartimos.

Pero regresando a Metallica©®™, Napster™, SOPA, Censura, Privacidad y esos otros ítems raros, dejo esta acepción y la discusión abierta:Considero que necesitamos regulación y legislación en materia informática y de telecomunicaciones; y al mismo tiempo necesitamos libertad en la red sin que se invada nuestra privacidad o se censure algo que alguien más considera como non-grato. ¿Cómo lograr esto? Les puedo decir que hay gente trabajando porque la privacidad se mantenga y al mismo tiempo se regulen y legislen muchos ámbitos que hoy están “al aire” para muchos. Y lo único a lo que puedo exhortarlos es a que antes de estar en contra o a favor de algo, indaguen muy bien de que se trata para poder manifestarse en contra o a favor de algo. Actualmente tenemos muchas herramientas que nos permiten acceder a la información y así estar (bien) informados. Me manifiesto a favor de la regulación y legislación pero en contra de la censura e invasión a la privacidad.

Mind the Information Security Gap… always.

Alberto Ramírez Ayón, CISM, CISA, CRISC, CBCP

@cyberpostpunk 

¿Y la Continuidad, apá?

Hoy decidí retomar un tema que fue con el que comencé a escribir en la revista B:Secure Magazine: La Continuidad en los Negocios (BCM). Lo hago también en conmemoración del 26° aniversario del terremoto en México de 1985 y el 10° aniversario de los atentados al WTC en NY; además mi recientemente certificación como CBCP (Certified Business Continuity Professional) **termina comercial** la cual me da la oblligación moral de difundir y transmitir este tema. Hace unas semanas tuve oportunidad de hablar con otros colegas que se dedican a BCM en diferentes giros (Consultoría, Financiero & Bursátil, Tecnología, Retail, Naviera, Carga, Aseguradoras, etc.). Coincidimos en algo todos: La gente ubica incorrectamente a BCM como una responsabilidad que recae más en las áreas de Sistemas/Infraestructura Tecnológica. Ustedes no creen esto, ¿verdad? Si es afirmativo, continuen leyendo; si no, ídem.

En ese 1er artículo, comenté y expliqué que en la triada de seguridad de la información hay 3 atributos: Confidencialidad, Integridad y Disponibilidad. La Disponibilidad puede referirse como el asegurar que la información (incluyendo sistemas) puedan ser accedidos cuando se requiera. Actualmente, la seguridad de la información es un tema que ha tomado mucho más fuerza; sin embargo, muchos esfuerzos se enfocan en Confidencialidad e Integridad. Claro, tenemos una casa a la cual le ponemos cerraduras, pero no tenemos otra casa por si hay un desastre o una contingencia, es incosteable para la gran mayoría. Leer nota completa…

Cibercontramedidas: Life’s A Glitch, Then You Die

¿Se han puesto a pensar en lo que se puede lograr hoy en día a nivel tecnológico?

¿Se imaginan una plataforma dedicada a juegos en línea Sony PSN que fuera vulnerada para obtener datos e información confidencial y personal de sus clientes?

¿Podrían pensar que la sede del Departamento de Defensa de una potencia mundial fuera vulnerada para extraer información en CD o USB flash memory? Wikileaks Y ahora piensen que Lockheed Martin & Northrop Grumman 2 de sus mayores proveedores de industria aeroespacial y de defensa fueran víctimas de ciberataques.

¿Cuánta credibilidad puede perder PBS una cadena televisiva‎ por publicar una historia falsa, asegurando que una persona que murió hace casi 15 años está vivo? ¿Cuántos caso de Phishing contra tarjetahabientes de muchos bancos? Y no me refiero a los bancos en otros países, sino aquí también en México y América Latina.

Imaginen que a Honda una automotriz le robaran los datos personales de 283,000 clientes… ahora imagina que uno de esos 283,000 clientes fueras tú…

¿Qué pasaría un mundo donde RSA una compañía que se dedique a la criptografía y a la seguridad, fuera vulnerada?, o donde grupos hacktivistas Anonymous o LulzSec se la vivan realizando diferentes ataques a servidores de gobiernos, corporaciones, políticos, bancos, etcétera o incluso haciendo hijacking cuentas de correo electrónico Gmail, bases de datos de divisiones del FBI (Federal Bureau of Investigation) InfraGard.

Life’s a Glitch, Then You Die

Por un momento conciban en su mente a Stuxnet un virus-gusano que permita controlar procesos industriales. Y todo esto es ¿realidad o fantasía?  Hace unos meses comentábamos en un panel de discusión del B:Secure Conference que la noticia de Stuxnet marca un hito en la historia de la seguridad informática. Stuxnet es un gusano (worm) que reprograma los sistemas industriale Leer nota completa…

¿Y ahora? ¿Quién podrá ciberatacarnos?

¡No andaba muerto, andaba de parranda! Esa quizá sería la frase perfecta para definir al hoy extinto-revivido (cual ave fénix) grupo hacktivista, Lulzsec. El tema es que muchos pensaron que cuando anunciaron su retiro de los escenarios del cibercrimen gran parte de los ciberataques también lo harían. Pero como podemos leer últimamente, eso en definitiva no pasó y los ataques contra diversas corporaciones, sitios de internet, gobiernos, se han vuelto una constante.

Probablemente Lulzsec, así como Anonymous y el fenómeno Wikileaks, lo que dejarán como legado –entre otras cosas- habrá sido despertar un sentimiento revolucionario en muchas personas y grupos a diferentes niveles. Platicando con gente de diversos círculos, en medios electrónicos o, siguiendo conversaciones en foros de internet, redes sociales me doy cuenta que en algunos se ha insertado una sensación de que las empresas y gobiernos “se merecen” esos ciberataques y más. Si se lo merecen o no, no lo discutiré en este artículo ya que no lo pretendo politizar, creo que para política con la maestra Gordillo basta. A mí lo que me preocupa es que hoy existan tantas herramientas y mecanismos para atacar organizaciones o robar información. ¿Por qué me preocupa? Pues porque no quiero que mi cuenta y contraseña estén publicados en sitios como Pastebin.com, o mis correos electrónicos y archivos puedan ser descargados en un archivo Torrent, ¿o ustedes sí quieren eso?

Observo que mucha gente sin siquiera conocer el fenómeno Wikileaks o Julian Assange, apoyan completamente cualquier ataque o robo de información a gobiernos o corporaciones. Ojo yo respeto cualquier postura, siempre y cuando esté bien fundamentado y no sólo por decir: “pues se lo merecen” –“¿porqué?” -“pues porque sí, porque se lo merecen”. Imaginen que sus fotos, correos electrónicos, sus cuentas, sus gastos, sus SMS, sus chats, sus mensajes directos de redes sociales, sus teléfonos y más, pueden ser subidos a sitios web Leer nota completa…