Archivo de la categoría: Seguridad Informatica

Problemas, bugs, desarrollos de seguridad logica.

El caso del tuit pesado y la madeja de hilo. Malas prácticas empresariales. “Lin3s”

El caso del tuit pesado y la madeja de hilo. Malas prácticas empresariales.

Todo empezó por un tuit en el que alguien famoso retuiteaba un comentario:

 Me pico la curiosidad y quise saber un poco mas sobre la persona que hacia esa petición y a la vez de la empresa de la que se hablaba en ese tuit.

Además uno espera que quien realice “la nueva web del Guggenheim Bilbao” debe ser una empresa seria y con capacidad técnica y amplios conocimientos de Internet.

Empecé por ver el timeline de @Urigoros y me encontré con una mala practica consistente en solicitar a personas de cierta o mucha relevancia que retuiteen algo “por qué tu lo vales”.

Se convierte en SPAM desde el momento en que durante muchos tuits, sin ninguna interacción con las personas a las que les pides que te ayuden, simplemente repites la misma retahíla tuitera:

 

Quise saber entonces si había alguna relación entre este usuario y la empresa lin3s.com.

A veces un seguidor de alguien intenta hacerle un favor con una actuación así y es un favor que no ayuda mucho. Lo que se espera de una compañía que se dice especializada en negocios en Internet es que tenga una planificación de medios sociales, y me chocaba esta actuación.

Pero lejos de obtener una respuesta sin más se produjo la siguiente conversación:

 

Y termina la cosa con un comentario despectivo y bastante desafortunado:

 

Ciertamente no sabia con quien hablaba, y es obvio que ella no sabia quien soy yo.

En el año 2004 recorrí varias ciudades españolas con el director de la Agencia Española de Protección de Datos de entonces dando conjuntamente varias conferencias sobre el problema del SPAM en las empresas. Era entonces directivo en una compañía de seguridad informática. No lo digo aquí como ejercicio de autobombo, sino como ejemplo de que a veces, está bien informarnos antes de hacer un comentario como el de esta usuaria.

Poco tiempo después esta usuaria de Twitter decidió bloquear su cuenta para que solo sus seguidores pudieran leerla. Ya no podía seguir pidiendo RT a usuarios que no la seguían pues no podrían leer sus timeline.

Como se informa uno? o el nuevo “Siga a ese taxi”.

El paso siguiente era conocer más sobre la empresa Lin3s y si realmente había desarrollado la web del más importante museo de Bilbao. Y efectivamente, Lin3s (una UTE de empresas) ha formado parte de las empresas que llevó a cabo este proyecto. Hay incluso información en los medios:

http://www.hoyesarte.com/museos-de-arte/al-dia/12027-el-museo-guggenheim-bilbao-presenta-su-nuevo-sitio-web.html

http://www.eitb.com/es/cultura/detalle/956778/guggenheim-web–el-guggenheim-bilbao-estrena-nueva-web/

Aunque se aprecia que han publicado la misma “Nota de prensa”. Sin embargo hay que tener cuidado con estas cosas por que Lin3S no es la única empresa en el proyecto. Es, como leemos, un proyecto llevado a cabo por varias empresas, siendo Lin3s una UTE (Agrupación de empresas).

En los dos casos las páginas de las empresas son correctas pero … Vamos a ir un poco más allá:

En la pagina de Lin3s no aparece ninguna de las informaciones que, como empresa, deben estar visibles en una web, tal y como indica la Ley de Servicios de la Sociedad de la información.  Esto es una muy mala práctica que supone el incumplimiento de esta ley. Incumplimiento que puede suponer sanciones serias para esta compañía.

Lin3s nace hace pocas semanas como una “mutación” de  novisline una empresa de desarrollos de Internet de Bilbao. Esto es sencillo de averiguar, basta con ver los enlaces a las páginas de Facebook y de Twitter desde su página web, que aun apuntan a “novisline” y porque de nuevo se puede leer la noticia del cambio de imagen:

http://www.ombilbao.com/novisline-se-convierte-en-lin3s/

Sabemos, además, que no llevan mucho en Facebook, su página se creo a mediados del 2010.  Aquí podemos leer la noticia de su puesta de largo en esta red social y de un sorteo con motivo de esto mismo:

http://www.ombilbao.com/tag/novisline/

No se vayan todavía, aun hay más.

Seguimos nuestra labor de investigación y si miramos la información pública del registro de los dominios de internet lin3s.com y novisline.com vemos que los contactos administrativos y técnicos pertenecen a la misma empresa y que el registro del primero se hizo en el 2002 y el del segundo en el 2012, coincidiendo con el cambio de nombre.

Tenemos además un nuevo nombre de empresa en este lio: GAZTEMANIA SL

Aunque la persona cuyo mail se muestra es la de Ignacio García de Novisline (hay varios enlaces en la red dedicados a entrevistas y apariciones en medios que confirman esta identidad pero no los muestro por no alargar la cosa.

Por ultimo en este paso visito la web de la agencia de protección de datos para saber si cualquiera de estas empresas figuran en el registro de ficheros de la misma. Esto es obligatorio para cada empresa o profesional liberal en España.

Hacerlo es sencillo, este es el enlace:

http://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

Y que pasó?

Que ni novisline, ni lin3s ni Gaztemaina S.L tienen entrada alguna de ficheros bajo estos nombres en su registro. Parece que quien realmente si tiene registros es la empresa I2C INTERNET, esto es de nuevo un error:

resultado AGPD

I2C es, o parece ser, la empresa que gestiona los dominios de las demás, y previsiblemente la empresa matriz de este entramado.

Como venos, se trata de un caso de malas prácticas empresariales y una muy desafortunada política de gestión de Redes Sociales y seguridad de una empresa que ofrece servicios relacionados con internet.

Creo,que deberían hacer una mejor monitorización de su marca. Cuando uno puede encontrar tuits como el siguiente en el que una persona de la empresa ofrece trabajo de esta forma tan grosera:

 asi buscan trabajadores

¿Que sea el puto amo?

¿Os parece la forma correcta de buscar a alguien para trabajar en tu empresa.?

¿Te imaginas a algún responsable de gestión de personas buscando cubrir un puesto de trabajo de esta manera?

Que pena, no?

Que podemos hacer para prevenir estas situaciones.

En las redes sociales, como dice el refrán, no solo hay que serlo sino también parecerlo.

Situaciones como estas pueden tirar por los suelos la reputación on-line de una compañía que pretende ser seria y que, aborda proyectos de cierta entidad.

Es fundamental definir políticas de uso de las redes sociales con normas claras para la comunicación.

Definir objetivos de comunicación y pautas para cada área de la compañía que ayuden a cuidar y en lo posible mejorar la imagen de la misma.

No podemos olvidar que en las redes sociales nuestras empresas se ven expuestas a la comunicación bidireccional y que desde el momento en que el cliente o seguidor es libre para decir lo que le parezca bien, siempre que lo haga con respeto, el medio no es controlable.

De ahí que la experiencia y el pensar dos veces antes de escribir son cosas necesarias.

Dejar estas cosas en manos de aficionados, de amigos, de empleados con pocos conocimientos o formación puede ser un error serio que deje una huella profunda.

Pondríais vuestra compañía en manos de una empresa así a la hora de realizar vuestros proyectos de Internet?

Pensaros la respuesta.

Un último capitulo… Estilo “Soprano”

He recibido un comentario en un tono que podría calificar de entre despectivo y amenazante de de Iñaki ( @hello_google) en el que me exíje que borre la foto de su mujer y su hijo de este post ( Resulta ser Eider Uribarri)

Siendo sensible a estos temas pero no a las formas, he procedido a “difuminar su imagen” no obstante dejo aquí el enlace al perfil público de Eider Uribarri en el cual ella misma publica su propia foto y la de su hijo.

http://twitter.com/urigoros 

Recordemos que no es necesario ser usuario registrado de twitter para poder ver los perfiles.

Luis García-Rosales y de Lossada

Una muy peligrosa aplicación para Twitter “retranstwitter”

Una muy peligrosa aplicación para Twitter “retranstwitter”

Hace algún tiempo que vengo dándole vueltas al tema de los bots en Twitter. Para aquellos que aun no lo saben, un “bot” no es más que una aplicación que tuitea haciéndose pasar por un usuario normal.

Existen bots de muchos tipos pero entre estos, hay algunos tipos claramente nocivos:

  • Bots que solo envían publicidad aprovechando menciones a usuarios
  • Bots que redirigen a páginas con aplicaciones peligrosas ( troyanos, virus, etc.)
  • Bots que constantemente siguen a usuarios para conseguir bases de datos que luego usaran en publicidad no siempre licita.
  • Bots que retuitean contenidos sin más según algunos parámetros.

Un Tuit de Ana Belén Arcones (@BelenArcones) que hacía mención a un post en el blog de Seetio (http://seetio.com/blog/2012/07/17/retranstwitter-programa-retweets-segun-su-hastags/ ) escrito por Javier Muñiz (@Javianmuniz) sobre una aplicación que retransmite contenidos de nuestro timeline de Twitter (http://retranstwitter.com/en/) me dió el empujoncito final para escribir sobre el grave peligro que esto puede suponer.

Que tiene de malo?

El Bot Laura YebenesAquellos que lleváis algún tiempo en Twitter y tenéis intereses en los temas de marketing seguro que habéis topado ya con Laura Yebenes (@laurayebenes ).

Esta simpática señorita no es más que uno de los bots más activos de Twitter y es divertido leer sus menciones pues hay una larga lista de usuarios que le agradecen su amabilidad y simpatía por hacer RT de sus contenidos.

Laura va “buceando” por Twitter y busca apariciones de palabras clave como #marketing #socialmedia #communitymanager y cuando los encuentra simplemente los retransmite a su timeline.

Además de esto, va siguiendo a quienes escriben esos hastag y muchos de estos la siguen por la sencilla cortesía del Followback.

Con el tiempo deja de ser tan simpática por que te das cuenta que nunca responde a los DM ni tampoco a las menciones y, si te pica la curiosidad te das cuenta que nunca genera contenido original, todo son retuits.

Un día haces un experimento sencillo como enviar un tuit que diga “#marketing caca culo pedo pis” o “#marketing tururú pajarito” si queremos ser menos escatológicos, y vemos que sin mas, obediente, Laura lo retuitea.

Cuando te das cuenta de esto pasas sencillamente a bloquearla, que es la actitud que ha de seguirse siempre con cualquier bot malicioso.

Vamos entonces con la aplicación “Retranstwitter”

En principio, podemos pensar en ella como una aplicación inofensiva que configuramos con muy buena intención para ayudar a nuestros seguidores a leer temas que pueden interesarnos.

Pero haciendo un análisis algo mas profundo nos podemos dar cuenta que esto no es así.

Primer problema de seguridad de Retranstwitter

El primer problema de seguridad que veo es que cuando damos permiso a esta aplicación a conectarse a nuestra Timeline le estamos dando derecho a un montón de cosas, alguna de las cuales no necesita para nada:

Permisos de retranstwiter

De esta lista, bastaría solamente con tener permiso para leer nuestros tuits y claro, a escribir por nosotros para hacer el “RT”, pero esta aplicación quiere saber y acceder a muchas mas cosas:

  • Saber “a quienes seguimos”. Esta claro que es un coleccionista de perfiles que seguro usaran en otro lado para cuestiones que pueden ser licitas o no.
  • Quiere “Seguir a nuevas personas”. Por su cuenta, y sin tu permiso, podría agregar usuarios y seguirlos por ti o seguirlos a través de otros bots.
  • Quiere “poder modificar nuestro perfil”. ¿Para que? No entro en si lo hará pero no necesita en absoluto esto para poder renviar uno de nuestros tuits.
  • Y por ultimo y mas grave “acceder a nuestros mensajes privados”. Mensajes que por su naturaleza se usan precisamente para compartir información que NO queremos que otros puedan leer.

Simplemente con esto ya me parece una aplicación extremadamente peligrosa, aun así, para experimentar y desde un usuario con pocos seguidores y seguidos, solo para pruebas avance para conocer algo más.

Reglas incompletas, poco elaboradas y sin control

La aplicación permite que una vez que definimos unas reglas, retransmitir los tuits de nuestro timeline que cumplen esas reglas. También podemos permitir que otros conozcan estas reglas y las compartan.

¿Por qué es tan malo esto?

retranstwiter reglas

Estas son las sencillas reglas y causan precisamente lo que yo llamo el “efecto yebenes” y es que no existe ninguna forma de limitar lo que se retuitea, Osea, el problema de “caca culo pedo pis” que antes veíamos. Y claro esto puede ponernos en una situación comprometida simplemente con que alguien de nuestro TL incluya en un tuit un contenido erróneo, ofensivo, de baja calidad, etc. junto a alguna de las palabras que hemos puesto como condición para hacer RT.

Y claro, es entonces cuando tenemos cierta responsabilidad ante nuestros seguidores. Esperan de nosotros que no hagamos algo así, podemos, sin querer, crear un problema de reputación que en caso de una marca o un tuiter corporativo podría ser muy grave.

Un ejemplo factible aunque en este caso inventado

La marca “Cola Loca” usa este sistema de manera que cuando encuentra una mención la renvía a sus 320.000 seguidores y la aplicación, obediente, detecta esta mención y se retuitea: “Los negros de m****da me caen mal y no deberían beber cola loca por que les huelen los pies”.

Seguro que quienes estéis familiarizados con la gestión de cuentas corporativas y cuidéis la imagen y la reputación de vuestras marcas entenderéis lo que esto puede suponer.

¿Podría hacerse bien?

Si, aunque seria mas complejo voy a explicar como mejorar esto.

1.- Definiendo antes que nada que los datos a los que la aplicación tiene acceso son los mínimos imprescindibles. No como ahora.

2.- Incluir un sistema de listas negras de forma que si un tuit contiene determinados datos, ( usuarios, palabras, etc) no se haga retuit nunca.

3.- Que exista una aplicación web que obligue a la intervención humana para aceptar o no, de manera sencilla, los RT que la aplicación propone en su “Panel de control”. Bastaría un simple “Check”

4.- Que una vez marcados se establezca un “tiempo entre tuits” de forma que la publicación no sea toda seguida o perderíamos seguidores cansados de constantes RT.

5.- Que se pudiera incluir comentarios propios en los tuits si lo deseamos.

¿Se ganaría tiempo así y la aplicación seria útil?

Si, por que el objetivo de agrupar y preparar los tuits estaría automatizado y bastaría una lectura rápida de los que están pendientes y su marcado para que sean retuiteados según los tiempos marcados. Y esto obviamente es más sencillo que recorrer nuestra TL completa para encontrar contenidos que quisiéramos compartir.

Además podríamos agregar contenido propio mejorando así la calidad de lo que retransmitimos.

Conclusiones

No es malo de por si el uso de ciertos bots (aplicaciones como hootsuite o ifttt lo son y van muy bien si sabemos usarlas en condiciones) pero en muchos casos, como este que nos ocupa, es un grave error utilizar la aplicación o incluso recomendarla por los riesgos que se corre con ella.

Saludos y espero vuestros comentarios.

Un comentario de Luis García-Rosales y de Lossada

*Gracias a @BelenArcones y a @Javianmuniz

Pensando en las nubes con los pies en el suelo

Pensando en las nubes con los pies en el suelo

La nube” es el termino “de moda” para hablar de almacenamiento en servidores accesibles desde Internet ya sea de datos, como de aplicaciones.

No pretendo hacer un artículo en profundidad sino simplemente exponeros algunos conceptos básicos e ideas que puedan ayudar a entender la idea. Mas adelante entraremos en otras cuestiones.

Como funciona la nube

Nosotros tenemos nuestro ordenador/teléfono móvil/Tablet en el que almacenamos los programas que ejecutamos o las llamadas “apps” y los datos (ficheros de texto, hojas de calculo, fotos, videos, etc.) que utilizamos con esos programas.

En un momento dado contratamos un servicio de almacenamiento que permite que, ya sean datos o programas, podamos instalarlos  o almacenarlos en un ordenador al que accedemos a través de Internet.

Debemos tener en cuenta que eso de “internet” no es un agujero negro en el que poner nuestras cosas, sino que usamos “un trozo del disco duro” de una empresa que ha conectado una serie de ordenadores a Internet para alquilar su espacio. Otras veces contratamos el uso de un programa y entonces también ese programa esta en la red.

La ventaja de esto es que podemos acceder a nuestra información, o ejecutar los programas en cualquier sitio, siempre que dispongamos de un acceso a Internet.

El nubarrón

Parece una buena idea a priori pero la proliferación de servicios de nubes esta trayendo consigo algunos problemas que hemos de tener en cuenta y sobre los que vamos a pensar juntos.

No estamos solos.

Nuestros datos están en un ordenador de una empresa junto con los de un montón de clientes más. En teoría no los vemos, pero están ahí. Esto es lo primero que cambia cuando contratamos un servicio así.

¿Que pasa si quien tiene mis datos cierra o es intervenido?

Pasa que podemos perderlos. Podes buscar información sobre el llamado caso “Megaupload” en el que miles y miles de usuarios perdieron o tuvieron problemas para acceder de nuevo a datos legítimos que tenían almacenados en los servidores de esta empresa.

¿De quien son los datos?

Esta es una pregunta que si bien debería tener una respuesta obvia “los datos son de quien contrata el servicio” luego no es así.

Como ejemplo podre el servicio de almacenamiento en la nube de Google  que dice en sus condiciones que podrá usar nuestros datos y cederlos.

Mala idea, no?

Si nuestra contabilidad o un proyecto de I+D acaba “por ahí” sin que podamos hacer nada para remediarlo.

¿Qué puedo hacer si el servicio se cae y no puedo trabajar?

Muchos servicios en la nube gratuitos no disponen en sus condiciones de clausulas en las que asuman los costes de una caída del sistema importante. Es muy importante fijarse en esto o plantear indemnizaciones por lo que llamamos “lucro cesante”.

¿Y si el sistema es hackeado?

También hay servicios que no se hacen responsables en esta situación y aunque parece lógico que si confiamos en una empresa que va a cuidar nuestros datos esta deba ser responsable de ellos lo mejor es que se contemple en un contrato.

¿Donde están físicamente mis datos?

La Ley Orgánica de Protección de Datos obliga, en caso de que nuestros datos estén fuera de la CE a solicitar una autorización especial a la AGPD. Esto nos obliga a conocer la ubicación física de los mismos.  De nuevo muchos proveedores no informan de ese dato. Si es el caso no recomiendo contratarlos.

¿Y si quiero borrar mi información?

De nuevo parecería lógico que si eliminamos nuestros ficheros estos desaparezcan. Sin embargo de nuevo hay compañías que los guardan durante un tiempo después de que nosotros cerremos nuestra cuenta de servicio.  Esto es una mala practica y no recomiendo que se acepte.

¿Como viaja mi información por Internet?

Este es otro problema que debemos entender. Si nuestros datos viajan por la red de manera que pueden ser usados en caso de comprometer la conexión estaremos en problemas de nuevo. Es muy importante que estos viajen cifrados entre el servidor y nuestro dispositivo.

Mejor con calma

Si, esa es la idea, contratar un servicio en la nube, sobre todo en entornos profesionales es más importante de lo que parece.  Démosle pues esa importancia y tomémonos tiempo para analizar las condiciones de contratación y tener claro que nos ofrecen y en que forma van a cuidar nuestros datos.

Hacerlo así nos evitara, seguro, problemas en el futuro.

Os dejo aquí un resumen de recomendaciones sobre lo tratado en el artículo.

La nube pero segura

La nube pero segura

Recomendaciones

  1. Tener siempre una copia de seguridad en local de cualquier dato almacenado en la nube.
  2. No aceptemos servicios en la nube que obliguen a la cesión de nuestros datos.
  3. Fijar por contrato los niveles de responsabilidad e incluso las indemnizaciones en caso de un acceso no autorizado a los mismos.
  4. Solicitar detalles de la ubicación física de nuestros datos así como de que  medidas de seguridad están implementadas en los servidores de nuestro proveedor.
  5. Solicitar siempre información sobre el proceso de eliminación de la información. Solicitar además, al cerrar la cuenta, un certificado de que los datos también han sido eliminados del todo.
  6. Confirmar que los protocolos de tráfico de los datos son seguros y no pueden ser comprometidas las comunicaciones entre nuestro sistema y el servidor donde esta la información.

Espero que os haya resultado útil.

Una Reflexión de Luis García-Rosales y de Lossada

Seguridad del nombre de las redes WIFI

Seguridad del nombre de las redes WIFI

La seguridad de las redes WIFI es, en general bastante baja. Combinando varias tecnologías y opciones de configuración de una red WIFI podemos “dificultar” la acción de visitantes no invitados a nuestra red.  Este no va a ser un artículo exhaustivo sobre el tema, pero si quiero hacer hincapié en uno de los aspectos básicos de la seguridad, el nombre de nuestra red WIFI.

Seguridad del nombre de las redes WIFI

De todos los problemas que podemos encontrarnos, el primero de ellos tiene que ver con la capacidad de identificación de nuestra red para alguien que de forma ocasional “escucha” nuestra señal.

Pensemos el siguiente escenario, tenemos una red en nuestra oficina que “consideramos” propia pero cuya señal, ya que se trata de una transmisión de radio, sale más allá de nuestras paredes y puede ser “escuchada” por cualquiera que se encuentre en el alcance de la misma.

Y que es lo primero que vé cualquiera que recibe nuestra WI-FI?

El identificador de nuestra red, lo que técnicamente se llama “SSID”.

Que debemos tener en cuenta para poner nombre a nuestra red?

Cuando contratamos un servicio de Internet y nos instalan un router, o nuestro proveedor nos envía uno por correo, es fundamental solicitar al técnico que lo instala, o al servicio de atención al cliente que nos ayude a cambiar el SSID. De esta forma estaremos poniendo la primera barrera para que un atacante ocasional o no, acceda a nuestra red.

Que información podemos encontrar en el SSID?

  • Datos del Fabricante y modelo del router: Hay fabricantes que dejan un SSID por defecto. Una vez que un atacante conoce este dato, puede, en las bases de datos de vulnerabilidades, buscar aquellas que nos afectan y tratar de acceder a nuestra red por ahí.
  • Datos del proveedor: Hay proveedores de Internet que asocian una contraseña por defecto, sabiendo pues que proveedor de Internet es fácil encontrar contraseñas por defecto que nos ayuden en el acceso.
  • Datos de la empresa: Una red de la que un posible atacante no sabe nada no presenta interés para el, o no mas que cualquier otra. Si vemos una red que se llama “abogadoperez” o “asesoriagomez” en cambio puede despertar curiosidad y de esa forma buscar con más interés otras formas de acceso a la red.
  • Números de teléfono: Hay quien utiliza el número de teléfono asociado a la ADSL o al CABLE y teniendo este dato, mediante ingeniería social, es posible obtener otros datos del acceso.
  • Dirección de correo electrónico: También he visto SSID que llevan este dato en su nombre. De nuevo estamos indicando a un posible atacante quienes somos y eso supone un riesgo más.

Basta con usar un SSID que no tenga nada que ver con nosotros, nuestro trabajo, nuestro proveedor, etc. Podemos usar algo como “Cf56H9aT”, de manera que nadie pueda, a partir de ahí llegar a conocer mas de nuestra red.

Hay también una opción interesante que es ocultar el SSID de forma que nadie, que no lo conozca antes,  pueda conectarse a la red pues esta no transmite su nombre. Es un paso más en la seguridad de nuestra red.

Para hacer estos cambios solo tenemos que acceder a la página web de nuestro router y seguir unos pasos no muy complejos.

De nuevo recordaros que esto no es una “Guía completa para la seguridad en redes WIFI”, solo una ayuda para que cuidéis un único aspecto de este tema.

Como siempre espero que os haya sido útil.

Un artículo de Luis García-Rosales y de Lossada

Servicios de Seguridad Gestionada … “Zapatero a tus zapatos”

Los últimos años han supuesto para las empresas una carrera para la adecuación de sus entornos informáticos a las nuevas tecnologías.

Implantación de redes e Intranets e incluso aplicaciones que utilizan Internet no solo para ofrecer productos y servicios a los clientes, sino también para el trabajo diario en entornos remotos (0Una compañía con una sede central y varias delegaciones ). Los sistemas informáticos son cada vez mas complejos y de ellos depende en muchos casos la continuidad del negocio.

Un número importante de compañías, responden a estos nuevos retos externalizando parte de la gestión de sus propios servicios informáticos. Se contrata a terceros para que aborden los desarrollos de la compañía. Se implantan sistemas en datacenters de proveedores de servicios de Internet. Se contratan servicios de auditoria de sistemas y de diseño de infraestructuras.

Sin embargo, una de las grandes asignaturas pendientes de las empresas es la seguridad lógica.  La semilla del problema esta, en ocasiones, en la falta de sensibilidad de la dirección de las compañías que no asignan presupuestos para seguridad a sus departamentos de informática.

De alguna forma se asume que el mismo personal que es capaz de solucionar los problemas de un usuario de la compañía, o que programa una aplicación de gestión para el departamento de facturación, será capaz de administrar de forma eficaz la seguridad de la empresa. Existen casos aun mas difíciles de entender, recuerdo al Consejero Delegado de una compañía dedicada al desarrollo y explotación de un ASP del sector inmobiliario que se cuestionaba la necesidad de contratar a una persona en su departamento de sistemas.

 Imaginemos el siguiente escenario: nuestra mediana empresa dispone de una sede central en un edificio significativo. Es muy importante para la buena marcha del negocio el control de acceso de personas no autorizadas o la vigilancia del propio edificio. En el que se desarrollan labores que no deben conocerse fuera de la propia compañía. Llega paquetería que debe inspeccionarse y a veces hay muchas visitas y es necesario que un equipo de personas se encarguen de estas tareas. Para solucionar esto, el equipo de contabilidad de la compañía, en turnos de 2 horas, realiza las labores de vigilancia y seguridad. Han realizado un curso de vigilantes y se les suministra un cierto equipo ( un pequeño radiotransmisor, una porra, unas esposas y una gorra ) para ayudarse en caso de problemas. Además se realizan retenes los fines de semana y las noches, para la vigilancia del parking y los exteriores del edificio. Por otro lado, el equipo de marketing es el encargado de la limpieza de las oficinas, y dotados de unas batas de color azul realizan las tareas de limpieza cuando todos los demás compañeros han abandonado las oficinas.

 ¿surrealista?

Seguramente, casi cualquier empresa, dispone de una compañía de limpieza que realiza estas labores cuando las oficinas están cerradas. Y si se plantea la necesidad de seguridad física, se contratarán los servicios de una compañía dedicada a servicios de seguridad privada. Empresas mas pequeñas, subcontratan los servicios de una asesoría para olvidarse de los procesos de nóminas y contabilidad.

Que justificación tiene la contratación de una compañía externa que se encargue de gestionar de manera global la seguridad de nuestra empresa sobre todo si ya dispongo de sistemas alojados en compañías de hosting, o aplicaciones en la nube?

Muchos de los servicios de hosting no son administrados. Esto supone que es la propia empresa que contrata los servicios la que administra sus servidores y sus aplicaciones, y en muchos casos, los responsables de la realización de copias de seguridad. Muchas de estas compañías no realizan servicios de consultoría del negocio o de procesos ligadas íntimamente a la seguridad de nuestros datos.

En España existe una legislación especialmente dura en lo que respecta a la seguridad de los datos personales que las empresas manejan (LOPD). Y en lo relacionado con los servicios Internet que prestan a sus clientes (LSSI). El no cumplimiento de estas normativas puede suponer la imposición de sanciones que por su cuantía podrían llegar a poner a una compañía en serios aprietos económicos.

El impacto de un problema de seguridad en nuestras empresas es cada vez mayor y abarca más ámbitos del negocio. Desde las perdidas económicas directas que se pueden sufrir en caso de una perdida de datos o de una parada en nuestras máquinas.  Hasta el impacto negativo en la imagen o en la confianza de nuestros clientes en caso de un problema con un hacker, virus, o incluso por un acta sancionadora de la agencia de protección de datos.

El abanico de problemas es amplio y los conocimientos necesarios para poder cubrir la mayoría de ellos es tan diverso que solo con equipos multidisciplinares y altamente cualificados se pueden ofrecer verdaderas garantías de servicio.

Este es el punto fuerte de las compañías dedicadas a los servicios de externalización de la seguridad. El concepto de “Seguridad gestionada”  es sinónimo de tranquilidad para la dirección de la compañía. No solamente se encargaran de las soluciones técnicas y legales asociadas a los procesos del negocio sino que permitirán una evaluación continua de los equipos internos de tecnología y de los proveedores de hosting con los que trabaja nuestra empresa. Como último factor a tener en cuenta esta el económico ya que en la mayoría de los casos el coste de contratación de estos servicios es mucho menor que la creación de un departamento que cubra estas necesidades desde la propia compañía.

 Una reflexión de Luis García-Rosales y de Lossada

Grave problema de seguridad de los router Huawei HG532c de Orange.

La pasada Semana tuve un rato para configurar un router de este tipo que el operador Orange instala en su área de residencial y pequeñas empresas.

Por mucho que busqué no he encontré la opción para ponerle una contraseña de acceso al router y tras una búsqueda en los foros del propio operador he visto que es un error detectado por más usuarios:

http://foros.orange.es/showthread.php?8093-Nuevo-router-huawei-hg532c

Una llamada al servicio de atención al cliente de Orange confirmó nuevamente lo que ya había podido descubrir y lo peor de todo es que al técnico de soporte que respondió el teléfono le parecía de lo más normal y lógico:

“no entiendo cuál es el problema señor, para acceder al router es necesario estar conectado al router por cable o wi-fi así que no pasa nada si no necesita contraseña para acceder.

Nadie hasta ahora se ha quejado y nunca ha pasado que nadie cambiara ninguna configuración”.

¿Y el riesgo de que alguien consiga descifrar la contraseña de nuestra wifi y una vez ganado el acceso reconfigure todas las opciones de nuestro router?

¿Y si el firmware del router tiene algún bug y un tercero accede a el desde la Wan?

¿Y si tengo empleados o niños y quiero controlar el acceso a los diferentes servicios de Internet sabiendo que en cuanto me dé la vuelta no accederán al router y lo cambiarán?

¿Y si tengo una DMZ cuya configuración debo tener bien controlada porque ofrece servicios importantes en mi empresa?

Es obvio que los responsables de Orange que decidieron eliminar del firmware de estos routers la opción de gestión de usuarios y administración no han evaluado los riesgos que suponen todos estos problemas.

Pero que nadie en esta compañía haya reparado en esto se convierte en un problema grave de mala gestión de la seguridad de sus usuarios y más aun, un problema de imagen serio para esta compañía.

Es un mal ejemplo, y desde luego está fuera de las buenas prácticas de seguridad de cualquier proveedor de servicios de la sociedad de la información.

Este tipo de cosas debería hacernos reflexionar a todos sobre que operador nos ofrece el servicio de Internet y si saben lo que están haciendo.

La cadena de la seguridad de la información empieza por una correcta sensibilización y porque los servicios estén convenientemente protegidos, si esto no es así solo queda esperar que los problemas vayan a más.

Los usuarios deberían presentar cuanto antes quejas por escrito a este operador hasta conseguir que lleven a cabo una actualización del firmware de este dispositivo que cumpla con unos requerimientos básicos de seguridad. Y si la respuesta es negativa solicitar la baja  e irse a un operador que haga mejor las cosas.

Luis García-Rosales y de Lossada