“Los cibercriminales están felices programando en Windows.” Que me perdonen mis amigos de Microsoft, pero esta frase se la escuche directamente a Eugene Kaspersky mientras lo entrevistaba hace apenas unos días. Aunque también he de decir que el mismo Eugene y el resto de los voceros de su compañía, reconocen que Microsoft ha logrado un gran avance en lo que a seguridad se refiere, y que han obligado a los hackers a orientarse más hacia el browser y otras aplicaciones –como Quicktime o Acrobat.
Pero por muy fuerte que parezca, es así. A pesar del auge de Linux y Mac OS, la economía de escala se impone. La mayoría de los que programan virus y otras amenazas, empezaron con un PC y por eso allí siguen. Al contrario de lo que ocurre con los smartphones, donde la existencia de tantos sistemas operativos importantes –Symbian, Windos Mobile 5 y 6, Android, PalmOS, Blackberry OS, OS X, etc– ha dificultado el surgimiento de virus, salvo unas pocas excepciones en Java, el monopolio de facto de MS en el área de sistemas es lo que los hace tan apetecibles para los criminales.
Eugene también conversó conmigo sobre el uso de software malicioso para realizar ciber guerras. Ante la pregunta de qué tan probable es que pueda ocurrir él dijo que el riesgo está muy lejos de no existir. Le insistí sobre si algún Estado usaba esta tecnología y conteto que era imposible de saber aún.
Los pocos ejemplos de ciber guerras que se han visto permiten predecir un escenario de terror. De hecho, el mismo prefirió autocensurarse y no hablar más de ello, ya que le resulta preocupante –e incómodo—tocar estos temas frente a la prensa. Por más que insistí no logre que dijera más, el silencio fue absoluto y puso tensión en la entrevista.
Y es que a veces, al tocar temas que pueden tener consecuencias tan graves para todos, hasta a mí se me hace difícil estar hablandodeti.
Categoría: Seguridad
-
Cibercriminales felices con Windows; peligros de ciberguerra latentes
-
Seguridad digital:un problema de compleja solución
He de confesar que esperaba que los expertos de seguridad de Kaspersky me ofrecieran un panorama menos aterrador que el que yo mismo me imaginaba, pero sin embargo ha sido aún peor. El cibercrimen está tan bien organizado que cada día dificulta más las cosas a las compañías de seguridad. Y es que los cibercriminales han dejado de actuar convencionalmente y han establecido una economía completa, donde las normas de la oferta y la demanda regulan los precios y donde cada uno de ellos ofrecen servicios, que un comprador –no necesariamente diestro en tecnología—puede contratar para dirigir un ataque y además muy pocos de los involucrados sarán realmente cuál es el crimen cometido. Peor aún, en muchos países estarán incluso exentos de responsabilidades legales. Aunque parezca loco, es así.
Digamos que usted quiere robar un banco en la vida real y compra armas, contrata ladrones, se hace de un vehículo y monta un plan. De agarrarlo la policía, iría preso, usted y toda su plantilla.
Pero si quiere robar un banco de manera digital, busca una debilidad que pueda explotar –se la compra a un hacker que la haya descubierto o que haya desarollado herramientas para aprovecharse—y sale en busca de las otras cosas que le hacen falta: una lista de posibles usuarios del banco, una sitio web desde donde mandar el ataque, un spammer que envíe los correos con algode ingeniería social que los haga atractivos para abrirlos y digamos, una cuenta en donde recibir el dinero. Si la polici lo descubre, es poco lo que se puede hacer contra los involucrados, quizás solamente contra el cabecilla, que puede estar en otro país, y el que envió el spam, ya que todos los demás lo que hicieron fue dar herramientas, pero no las aplicaron. (En realidad esta es una burda simplificación d elo que ocurre, pero da la idea general)
Para colmo de males, el ciberdelincuente ni si quiera se arriesga a ser herido, como le pasa a un ladrón convencional. Las soluciones a esto existen, pero involucran más que a las compañías de seguridad. Pronto estaremos hablandodeti sobre esas soluciones y las grandes implicaciones que tienen. -
Nubes seguras, promesa de Microsoft
Sin duda alguna para todos los ejecutivos de TI, pensar en llevar algunos procesos de su corporación hacia nubes externas, es una promesa de reducción de costos sin sacrificar escalabilidad. Y es que entre las premisas base de la nube están la optimización de costos al utilizar un esquema de uso en demanda donde sólo se paga por lo que se usa.Para Christian Linacre, Gerente de Seguridad de Microsoft para Latinoamérica, el mercado de software como servicios en Latinoamérica tiene un potencial enorme, pero aún hay que desmontar algunas preocupaciones en las mentes de los ejecutivos de TI, como puede ser la seguridad en la nube. Por eso en su “llamada mensual de seguridad” Linacre y su grupo se enfocaron en este tema.
Lo primero que tiene que quedar claro es que al buscar economías de escala usando nubes de cómputo, el usuario cede parte del control sobre sus datos y procesos. Esto no necesariamente es inconveniente o inadecuado. Microsoft plantea un esquema para ejecutar aplicaciones en la Nube que garantiza niveles de seguridad basados en niveles de servicio, ya sea en la nube de Microsoft, o en Nubes de terceros –en especial de socios de negocios—con tecnología Microsoft. Si se recuerda que la base de la plataforma de Nube de Microsoft es el llamado Windows Azure, y las tecnologías montadas sobre este (SQL services, .Net srvices, etc.) se puede ver claramente la posición privilegiada de la empresa de Redmond para cerrar este sistema y garantizar la seguridad.
Linacre señala en una lámina de su presentación los cuatro retos más importantes que ve Microsoft para la seguridad en las Nubes:
1. Requerimientos regulatorios globales y complejos. En un mundo de Datos y servicios distribuidos globalmente, estos están sujetos a numerosas regulaciones, estatutos y estándares de la industria que suelen ir en varias direcciones (son exigidos por países, acuerdos comerciales entre países, gremios empresariales, bolsas internacionales, etc.
2. Mayor interdependencia entre las entidades del sector público y privado y sus clientes que obliga a la existencia de una infraestructura y servicios confiables
3. Ambiente de alojamiento dinámico que exige constantes revisiones de la infraestructura
4. Ataques cada vez más sofisticados que afectan a todos los niveles de software y aplicaciones aumentando la complejidad para brindar seguridad
Estos retos son superados, a decir de Linacre con una estrategia de defensa contundente, basada en seguridad de aplicaciones, administración de identidad y acceso, seguridad de alojamiento, auditoría y reporte, protección de datos, protección de red y seguridad física.
La verdad es que este tema es realmente clave para que la adopción de las Nubes realmente se extienda. Microsoft cuenta con 400 socios de negocios habilitados para ofrecer aplicaciones basadas en el esquema de software como servicio y si quiere desarrollar al máximo este potencial deberá enfocarse en educar a los clientes y socios sobre las ventajas de este esquema, sin descuidar nunca la disponibilidad, escalabilidad y fiabilidad de estos servicios.
En fin, la labor es ardua pero no imposible. Y eso sí, cuando vea a un asesor –de Microsoft o de un socio de negocios- que se le acerca para plantearle usar un esquema de software como servicio, piense que también le estará hablandodeti.
-
Un hacker para Obama
Más allá de la polémica que despertó Obama con su Blackberry, el nuevo Presidente de los Estados Unidos parece tener más idea acerca de lo que es la tecnología que sus predecesores –y esto no lo digo denigrando de los demás, sino más bien alabando la actitud de Obama.En un consejo de asesores para la seguridad nacional de EUA Obama está reuniendo a 16 personas con perfiles muy interesantes –desde ex-directivos de la CIA hasta expertos en salud de la Cruz Roja, pasando por el alcalde de Miami y ex senadores, véalos todos en http://www.dhs.gov/ynews/releases/pr_1244227862914.shtm.
Pero hay uno de ellos que destaca por su condición de experto en “romper” métodos de seguridad, Jeff Moss, uno de los hackers más afamados del mundo y el organizador de las conferencias de seguridad para hackers conocidas como DEFCON. (ver perfil en http://en.wikipedia.org/wiki/Jeff_Moss_(hacker))
Esta es una clara señal de la importancia que Obama le da a la seguridad digital, y la conciencia que debe tener acerca de las posibilidades que un próximo ataque terrorista pueda ser llevado a cabo usando las redes de computadoras.
Ya en este mismo espacio señale cómo los rusos parecen haber hecho otro tanto con Eugene Kaspersky, aunque no se diga de manera oficial. Y es que resulta lógico que cualquier gobierno se prepare para un eventual ataque terrorista digital. De hecho una de las pocas cosas que ha enturbiado las relaciones de China con los EUA en los últimos años –más allá del asunto del; Tibet—han sido los ataques digitales lanzados desde China contra blancos en América.
Obama es sin duda un presidente mucho más consciente del poder de la tecnología que sus predecesores. Se viven además nuevos tiempos, en los que la tecnología es parte fundamental de todos los sistemas de un gobierno. La pregunta es: ¿estaremos realmente preparados para defendernos y responder a un ataque terrorista digital?
Mientras buscamos esa respuesta, es impresionante darse cuenta que al hablar de seguridad digital internacional, estamos hablandodeti.
-
De los PIN de Blackberry y la libertad condicional
Créanlo o no, pero esto del Blackberry se las trae. Yo que no he sido fanático del teléfono en cuestión aún hoy sonrío cuando veo la Blackberrydependencia de algunos. Pero hay aplicaciones muy interesantes y que van más allá del simple uso de envío de mensajitos a través del Blackberry Messenger.Me encuentro en lo que algunos podrían llamar Blackberrylandia, la feria de Soluciones empresariales de Blackberry, que se está realzando en Orlando y en las presentaciones previas del evento, durante la noche de ayer, pudimos conocer la gran mayoría de los anuncios que se harán durante la semana.
Pero una de las aplicaciones que más me impresiono –no por lo avanzada, sino por lo diferente– fue una que presentaron la gente de las US Courts, o los tribunales de USA. Hay cerca de dos millones cuatrocientas mil personas presas en EUA, pero hay cinco millones más en libertad condicional. Cerca de 450 oficinas a nivel nacional se encargan de vigilar a estas personas, con los oficiales de custodio. Recientemente optaron por implementar una plataforma de ayuda basada en Blackberry. Cada oficial custodio se encarga de al menos 50 personas y la información de estos es tan amplia que está repartida en más de 95 bases de datos distintas. En su Blackberry, antes de visitar a una persona, el oficial cuenta con toda la información pertinente, desde el crimen cometido hasta los contactos más frecuentes, incluyendo amigos, residencias y escondites conocidos, hábitos y nuevos datos en el caso. El resultado es un oficial mejor informado, mas efectivo y que corre menos riesgos.
El pin –numero de identificación personal del Blackberry—sirve para que el sistema transmita la información sólo al oficial adecuado. La data esta encriptada y usan unas novedosas tarjetas SD con encriptamiento y password para proteger la data. La información es enviada automáticamente cada vez que hay un cambio, por lo que el oficial no tiene que preocuparse por estar actualizando.
Detrás de esto ay servidores Blackberry, un manejador de bases de datos Informix y desarrollos usando la herramienta eclipse. En frente una serie de oficiales públicos más informados, corriendo menos riesgos. Quién iba a decir que al hablar sobre presos en libertada condicional podríamos estar hablandodeti también.
-
Las amenazas en la red preocupan hasta la gente de Ricky Martin
Microsoft liberó recientemente un reporte de inteligencia sobre amenazas en la red y tuve la oportunidad de conversar con Christian Linacre –el Big Boss de seguridad de Microsoft en América Latina—sobre las diferentes amenazas.La primera cosa que llama la atención es que Brasil y México figuran entre los primeros diez países en número de infecciones. Brasil ocupa el tercer lugar y México un notable noveno lugar.
En Brasil el software dañino representó el 83.8% de todas las amenazas, diseñadas principalmente para el robo de contraseñas de los usuarios de la banca en línea.
Mientras en México abundo el software dañino, que representó el 77% de todas las amenazas en el segundo semestre del 2008. Los gusanos representaron el 28.4% de todas las computadoras infectadas muy por encima del promedio mundial que es sólo el 11.3%.
Linacre destaca que la estrategia de Microsoft para mejorar la seguridad en la Internet –donde se conectan más de un millardo de personas y circulan más de 200 millardos de mensajes diariamente—se basa en tres áreas clave: tecnología, educación de los usuarios y acuerdos con gobiernos y entidades de ley.
Ahora bien, no hay estadísticas exactas acerca de cuantas de estas amenazas afectan a los menores de edad, pero existe una percepción creciente de que cada vez ellos están en un riesgo mayor. Y es allí donde entra Ricky Martin, o mejor dicho su fundación. Y es que en alianza con Microsoft han desarrollado un portal que sirve para informar a padres, maestros y jóvenes acerca de los peligros de la red y cómo evitarlos.
www.navegaprotegido.com es un sitio sencillo que sirve por el momento a 10 países de la región y que cuenta con el apoyo de más de 40 socios de negocios de Microsoft. Tan solo en el 2008 la iniciativa ayudó a más de 15.000 personas a crea ambientes de navegación más seguros. En el sitio los usuarios encuentran consejos, herramientas, cursos en línea y otro tipo de material de apoyo, incluyendo alertas de seguridad.
Contrario a su canción más emblemática, Ricky Martin no invita a los usuarios a que “vivan la vida loca” en la Internet. Sino más bien a que naveguen seguros y que estén hablandodeti cuando naveguen de forma segura.