De ti no me lo esperaba....

Lo había oído de muchas otras, en algunos casos, me lo veía venir, por lo frescas que eran, porque se las veía descuidadas, a simple vista, ya sabía que no me podían traer nada bueno, pero de ti....

Todo lo que me pedías te lo daba!! Te tuve entre mis favoritas... y ahora esto...

No me importaron los preliminares, te seguí el juego, pero en el momento importante, cuando tuviste que tomar precauciones, no dudaste en dejármela al aire, me fallaste!!

Me lo volviste a pedir, una y otra vez, no te cansabas, te contestase lo que te contestase, ahí seguías, preguntando sin cesar.

Al final, hice lo que tenía que hacer, sin temblarme el pulso, te cerré las p...estañas e intenté olvidarte.


CITA DEL DÍA: "Era tan fe@ que me pasó su foto y la detectó el antivirus"

Metadatos ? pérdida de tiempo....

Ayer veía esto en las noticias de la caja tonta y la verdad es que me quedé bastante sorprendido. Realmente hay un problema grave de concienciación en materia de seguridad. Lo peor de todo es que en este tipo de "personajes" es algo imperdonable. En su defensa hay que remarcar que tras el desliz ha actuado con un alto grado de responsabilidad y ha dimitido de inmediato.
Además, ya tuvieron experiencias idénticas no hace mucho.......

Como dice aquel dicho, el hombre/mujer es el único animal que tropieza 2 veces (y más!!) con la misma piedra........ De seguir así no vale la pena preocuparse en recuperar metadatos de documentos y demás, nos ponen la información en bandeja.

CITA DEL DÍA: "La seguridad es como Dios, no existe ......"

Todo por vosotros!

Después de recibir una cantidad enorme de mails pidiéndonos una recopilación de las citas del día que se encuentran en cada entrada, la hemos hecho.

A disfrutar!!

1.- Cuanto más inseguro te sientes más seguro te haces
2.- El umbral de seguridad aceptable no existe
3.- Los mecanismos de cifrado únicamente retardan lo inevitable
4.- La seguridad, ¿se quiere o se necesita?
5.- Confianza no es sinónimo de seguridad
6.- Mi seguridad empieza donde empieza la tuya
7.- No desearás el firewall del prójimo
8.- No hay que matar moscas a cañonazos, olvida el formateo como primera opción
9.- La seguridad es directamente proporcional a los incidentes sufridos
10.- La seguridad es como un iceberg, la mayor parte no se ve pero está ahí
11.- Cuidado con lo que te entra por detrás, en informática también
12.- La puerta de la cocina sólo debe abrirse desde dentro ........
13.- Si tu sigues ahí, nosotros seguiremos aquí
14.- ¿Concienciar o imponer?, esa es la cuestión
15.- Los límites de la privacidad los establece cada uno
16.- La seguridad de la contraseña radica en el propio usuario
17.- Los logs ponen a todos en su sitio
18.- La seguridad es un puzzle en el que siempre falta una pieza
19.- La integridad y la confiabilidad no son sinónimos
20.- La seguridad de la información empieza por la formación
21.- La gestión de la seguridad debe ser tanto top-down como down-top
22.- La seguridad es idéntica a un tornillo sin fin
23.- La seguridad es un iceberg y sólo controlamos la parte visible
24.- La fuga de información es controlable, pero ¿y la entrada?
25.- Los datos son el escalón previo a la información
26.- Paquete rechazado, ¿amenaza resuelta?
27.- La seguridad es tan volátil como el mercado de valores
28.- Para los pesimistas no existe el concepto de seguridad
29.- Los PCN funcionan siempre antes de activarse, una vez activados ......
30.- La unión hace la fuerza
31.- Me siento seguuroooooooooo!!!
32.- En seguridad no hay margen de maniobra
33.- La anticipación es una buena aliada de la seguridad
34.- ¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarse

Prueba de campo

Hartos estamos, los que nos dedicamos a la seguridad de la información, de repetir la importancia sobre la protección de nuestros datos, hasta el extremo muchas veces de aburrir/cansar (hay que reconocerlo).

El otro día (bueno, hace ya 2 semanas, pero por estar hasta arriba de trabajo no he podido dedicarle tiempo a este hobby) me encontré por la calle un ordenador tirado, en bastante mal estado. Fruto de las ganas de investigar, y de ver como estaba ahí, impasible, el disco duro, me puse manos a la obra. Los cables no fueron problema, pero los tornillos.... es lo malo de no llevar herramientas encima habitualmente. Después de hacer varias pruebas con las llaves, la tarjeta de crédito, etc... conseguí hacerlo mío. Ahora venía lo más divertido.

Gracias a un adaptador externo de HD lo conecté a mi ordenador. ¿Estaría cifrado el HD? jajajaja, seguro que sí. Ahí estaba todo el árbol de ficheros, ahora había que centrarse en qué mirar. Un repaso rápido y podemos sacar diversas conclusiones. Era el único disco duro que poseía ese ordenador (tal vez si hubiera dispuesto de dos, el primer "ladrón" se los hubiera llevado ambos...), como no, usuario habitual del emule, con el incoming casi vacío, aquí vuelvo a imaginar, que antes de tirarlo sufrió problemas con el ordenador y se decidió a borrar cuantos más archivos mejor.

Existe una carpeta llamada documentos (no entiendo por qué la gente no utiliza la habitual y por defecto de Mis Documentos y crean otra paralela, pero esto ya será debate en otro post...). Que hay dentro? Pues bien, unos recibos de nómina escaneados (pobrete, es mileurista....), de aquí ya podemos extraer su sueldo, nombre, DNI, número de cuenta, empresa en la que trabaja, etc... Recibos de otra persona (fémina) escaneados, ummmm, ¿tal vez para pedir un préstamo o hipoteca al banco? Los apellidos no coinciden, a falta de pruebas, en mi imaginación pasan a ser pareja.
Dentro de la carpeta Documentos hay otra, llamada Fotos (no voy a repetir lo de la carpeta Mis Imágenes...), dentro de ésta, fotografías de... si si, Tenerife, no era reconocible por la playa, pero ver el Teide ha sido definitorio. Se van alternando, pero en casi todas salen las mismas dos personas, un hombre, le hecho unos 28-30, y una chica, de unos 25-26 (a ojo de buen cubero). Sigo mirando fotos. Ummm, coche nuevo pareja!! la verdad es que para ser mileuristas no han tenido reparos... Podrían estar las nóminas escaneadas para financiar el coche? (Se me está cayendo la teoría de la hipoteca)

Pero el documento definitivo es : CVXXXXX (dónde XXXX es el nombre de la señorita). Todo lujo de detalles, la verdad es que en cuanto a datos personales el currículum es bastante extenso. Me sirve para saber que no están casados, ¿vuelve a cobrar sentido la hipoteca? Como dirección consta la calle contigua a donde encontré el disco duro.

Continué con el escaneo, y las cosas que encontré seguían este patrón. Sirva esta entrada como recordatorio acerca de lo que debemos hacer antes de tirar un ordenador a la basura, darlo, venderlo o cualquier cosa que suponga un traspaso. No vamos a entrar a detallar qué cosas son, porque todos las sabemos.

P.D.: No, no había fotos guarras, que os veo venir.... (eso significaría que el ordenador es de ella ¿no?)
CITA DEL DÍA : "¿Qué es la velocidad de la luz? El tiempo que tarda un ordenador sin AV en infectarse"

LA INEVITABLE CURIOSIDAD DEL SER

Leyendo esta noticia, bastante relacionada con esta otra, he de reconocer que es una situación bastante compleja y de difícil solución. La verdad es que es un enorme problema cómo discernir o discriminar cuándo el acceso a una información, formalmente autorizado, está o no justificado.

Voy a partir de la base de que si alguien actúa de forma decidida y con actitud maliciosa (interés económico, provocar daños de forma premeditada, etc.) poco se puede hacer. Personalmente creo que en la inmensa mayoría de ocasiones en las que alguien accede a información de forma injustificada se debe a motivos bastante inocentes e inherentes a la conducta humana. Los más habituales acostumbran a ser:

  • simple curiosidad puntual en momentos de ocio pasajero y/o circunstancial. Me gustaría comentar que hay personas que estos momentos son bastante prolongados y la dedicación es mayor ;-)
  • por el irrefrenable morbo que provoca saber determinado aspecto de la vida de otro u otra, poco que comentar no ?
  • algún "extraño" interés (por ejemplo amor, celos, etc.), ya sabéis que uno se ciega en estos casos y se comporta de forma irracional ....

En resumen, podéis comprobar que están muy relacionados con el comportamiento humano y normalmente se llevan a cabo de forma casi inconsciente (quizás ese sea el mayor problema, falta de concienciación en materia de confidencialidad y privacidad de la información).

En primera persona he vivido algunos casos interesantes aunque éstos estaban centrados en "personajes" famosos, llamémosles VIP. Para este tipo de entes es más fácil tratar el problema puesto que la información está muy localizada y los controles se pueden particularizar bastante (niveles de confidencialidad y de restricción de acceso muy detallados).

No obstante, desde mi particular óptica considero igual de improcedentes los accesos (o intentos) injustificados a información de personas "relevantes" como los accesos a la de personas "anónimas". En ocasiones, esas típicas charlas de pasillo comentando tal o cual cosa, comportan más de un problema convirtiendo ese "inocente y desinteresado" acceso a una información en una enorme bola de nieve, u otra sustancia, cuesta abajo.

En el entorno sanitario es una práctica muy grave puesto que el acceso y posterior mal uso, intencionado o involuntario, de este tipo de información puede acarrear serios perjuicios. Lamentablemente, este problema es independiente de la tipología de información accedida y se da en cualquier otro sector. Por poner algunos ejemplos prácticos y que con toda seguridad se dan cada 10 segundos aproximadamente:

  • empleado de banca que tiene curiosidad por saber si determinada persona que acaba de conocer es cliente de la entidad, y por consiguiente cuantos dineros tiene ?
  • empleado de RRHH (o informático con privilegios de admin, ummmmm suena mal no?) con una enorme curiosidad por saber cuanto cobra determinada persona, habitualmente el objetivo en primera instancia es el jefe supremo y/o el compañero de la mesa de al lado
  • empleado de una operadora de telecomunicaciones que sospecha de su novia y "consulta" el registro de llamadas de ésta .....

Relacionado con lo antes descrito no puedo más que sonreír cuando determinada información únicamente puede ser facilitada si hay un requerimiento judicial previo, recordáis esto? Lástima que no tenga ningún/a conocido/a en la compañía de telefonía móvil........

Soluciones ? sinceramente creo que no hay ninguna que sea aplicable en la vida real (autorizaciones bajo demanda y previamente justificadas?, monitorización on-line de accesos y contrastar necesidades?, etc.). Quizás el único camino posible sea insistir en la concienciación de la gente y apelar a su propia responsabilidad.

Para finalizar, sólo señalar que los casos que han motivado esta entrada, y asumiendo la falta de malintencionaldad, encuentro desmesuradas y fuera de lugar las sanciones aplicadas.

CITA DEL DÍA: "La anticipación es una buena aliada de la seguridad"