The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

All Things Considered (ATC)

La imposibilidad matemática de no discriminar laboralmente

En ocasiones, las buenas intenciones generan malos resultados. Es el caso de evitar la discriminación en todos los aspectos posibles, sobre todo a nivel laboral. Y no sólo se producen malos resultados, sino resultados paradójicos.

Por ejemplo, está prohibidísimo decir algo que minusvalore a una mujer o a un grupo étnico. Pero nadie se escandaliza si se discrimina a un calvo, o al que sostiene una opinión distinta a la corriente mayoritaria ybuenrollista.

Me explico: un empresario será socialmente estigmatizado si se niega a contratar a una mujer porque, a su juicio, le resulta menos rentable. Pero nadie defenderá ni impulsará cuotas de contratación para calvos, gordos o cualquier otro rasgo que el empresario considere poco rentable (si es calvo, no da buena imagen; si es gordo, será un vago; etc.).

Si alguien “cree” que eres tonto y no cuenta contigo, puede ser más o menos censurado. Si “cree” que eres tonto porque eres inmigrante, mujer o beato (o ateo, que no enfade nadie: el presidente de EEUU nunca podría declararse ateo) entonces a todas luces es censurable. No importa las razones que arguyas para declarar tonto a uno, aunque sean completos juicios sesgados. Pero si la razón es ser lo anteriormente dicho, entonces es censurable sin discusión.

 

Pero como señalaba al principio, intentar hacer el bien muchas veces provoca el mal. Por ejemplo, a juicio del matemático John Allen Paulos es imposible no discriminar a colectivo. Para demostrarlo, Paulos realiza el siguiente experimento imaginario:

Pensemos en una empresa, Industrias PC, que opera en una comunidad que es negra al 25 %, blanca al 75 %, homosexual al 5 % y heterosexual al 95 %. Ni la empresa ni la comunidad saben que sólo el 2 % de los negros es homosexual y que lo es también el 6 & de los blancos. Con objeto de formar un grupo de trabajo de mil personas que refleje fielmente la comunidad, la empresa contrata a 750 blancos y 250 negros. Sin embargo, así sólo habría 5 negros homosexuales (el 2 %), mientras que blancos homosexuales habría 45 (el 6 %), 50 en total, el 5 % de todos los empleados. A pesar del celo de la empresa, los empleados negros aún podría acusarla de discriminar a los homosexuales, puesto que entre los empleados negros sólo sería homosexual el 2 %, no el 5 % de la comunidad. Los empleados homosexuales podrían afirmar igualmente que la empresa ha sido racista, porque este grupo sólo sería negro al 10 %, no al 25 % de la comunidad. Los heterosexuales blancos podrían formular quejas parecidas.

Para conseguir reducir todavía más al absurdo la obsesión por no discriminar (seamos realistas,discriminamos SIEMPRE, lo que debe evitarse es que se discrimine exageradamente a un colectivo concreto), se podrían elaborar experimentos mentales con otros grupos: hispanos, mujeres, incluso noruegos. Es probable también que sus miembros se crucen a varios niveles desconocidos.

O dicho de otro modo, si existen disparidades estadísticas en la contratación laboral no deberíamos achacarlas inmediatamente al racismo o el machismo, o podría pasarnos un poco lo que ya ocurre con el idioma, en lo que se ha venido llamar Rueda del Eufemismo, tal y como señala Steven Pinker:

Los lingüistas conocen bien el fenómeno, al que se podría denominar “la rueda del eufemismo”. La gente inventa palabras nuevas para referentes con una carga emocional, pero el eufemismo se contamina pronto por asociación, y hay que encontrar otra palabra, que enseguida adquiere sus propias connotaciones, y así sucesivamente. Así ha ocurrido en inglés con las palabras para denominar los cuartos de aseo: water closet se convierte en toilet (que originariamente se refería a cualquier tipo de aseo corporal), que pasa a bathroom, que se convierte en restroom, que pasa a lavatory.

Este fenómeno ocurre porque la gente cree que las palabras modelan nuestra mente (por eso los padres no permiten que usen palabrotas). La idea que subyace a esta estrategia es que las palabras y las actitudes son tan inseparables que podrían predisponer las actitudes de las personas. Una idea que de ningún modo ha sido autentificada, y que además resulta infructuosa a la hora de cambiar a la sociedad. Esta obsesiva sustitución de términos demuestra que las palabras no son las que modelan la mente de las personas, sino los conceptos. Podemos bautizar un mismo concepto con diferentes nombres, pero el concepto permanece, y acabará invadiendo al nuevo nombre.

Mientras la gente tenga una actitud negativa, por ejemplo, hacia las minorías, los nombres para designarlas cambiarán incansablemente sin que la actitud cambie. Ser machista o no serlo, pues, no depende de si empleamos lenguaje sexista. Tampoco si empleamos palabras racistas. Sabremos que hemos conseguido respetarnos mutuamente cuando los nombres permanezcan inmutables.

Y cuando dejemos de buscar igualdad estadística para que nadie se sienta discriminado por pertenecer a X colectivo.

Vía | Un matemático lee el periódico de John Allen Paulos / El mundo de las palabras de Steven Pinker

 

Advertisements

¿Qué buscamos en una certificación de seguridad?

Está claro que los objetivos de la felicidad humana, comportan un equilibrio entre estar contentos en el terreno personal y por supuesto, en el profesional. Al fin y al cabo es donde pasamos una gran parte del tiempo y es imprescindible sentirnos lo más cómodos y realizados posibles. Por ello, es importante que la elección que hagamos sea lo más adecuada posible y que, dedicándonos a la seguridad, donde hay diferentes ramas, acertemos el tiro a lo que nos resulte más atractivo y con salidas laborales.

Hace tiempo, quisimos dar en SbD una guía para ayudar a la trayectoria profesional de aquellos lectores que quieran mejorar su titulación y conocimientos. Para ello resumimos las certificaciones oficiales más reconocidas, indicando si la misma es técnica o no, si está dedicada a auditoría, consultoría, gestión, etc,… requisitos como experiencia previa, etc,…. para saber por dónde tirar.

Sin embargo, ¿qué es lo que buscamos en este tipo de posgrados o especializaciones? Tal cual están los tiempos en los que las empresas están sobredimensionando un montón los requisitos de los candidatos y que piden un consultor “Ferrari” para cubrir un puesto que lo pueden hacer con uno de tipo “Dacia Logan” (sin ánimo de ofender a los propietarios de un Dacia Logan), está claro que cuanto mayor sea el palmarés de titulaciones que tengamos, mejor. Sin embargo, creo que en el momento de buscar formación complementaria a la actual, además del reconocimiento y la ventaja a la hora de encontrar cuanto antes un puesto de trabajo en el que seamos felices, nos debería mover el saber que lo que vamos a aprender en dicha certificación nos valga para algo en la vida real y práctica.

Desde mi punto de vista y mi experiencia (sólo cuento con dos certificaciones de las reconocidas: CISSP yCISA), el haber pasado por un montón de tiempo de estudio en ambas y sabiendo que CISSP es “mucho más” técnica que CISA y que esta última, además está más enfocada al mundo de la auditoría, no termino de obtener un beneficio claro de la inversión de tantas horas y sesiones de estudio. En realidad, mientras devoraba los manuales y libros oficiales de las mismas, enlazaba aspectos o situaciones de la vida real que me habían ocurrido y me ocurren en mi entorno laboral, más que aprender cosas en las que yo pienso que puedo sacar provecho en un futuro.

Efectivamente, ambas certificaciones están muy reconocidas en el mundo de la seguridad informática y supongo que son de las más priorizadas a la hora de obtener alguna, pero creo que el hambre a saciar por mi parte, era más de contenido técnico que otra cosa. Por eso creo que la siguiente a obtener después de las delISC2ISACA, debería ser algo más dedicado a lo que realmente me gusta como CEHCHFI o quizá alguna de las de GIAC/SANS.

De esta manera, además de cubrir los requisitos de búsqueda que muchos headhunters utilizan en base a buscar profesionales cualificados en Linkedin filtrando por CISSP y CISA, habré disfrutado de una lectura y práctica con más contenido técnico que sienta que me aporta realmente algo más que simplemente quedar formal y serio en el CV.

Como no todos somos iguales, quizá vosotros tengáis una forma diferente de pensar. Unos defenderán la necesidad de saciar el hambre de conocimiento por encima de todo en primer lugar, y otros se guiarán más por la necesidad de encontrar un trabajo mejor, y lo verán como un “must” a tener en cuenta para sumar puntos a la hora de ser el finalista elegido dada la compleja situación laboral actual (al menos en España).

Dado que estas certificaciones suponen una importante inversión en términos de tiempo y dinero, está claro que aunque las queramos tener todas, hay que priorizar y cortar por algún sitio.
Es evidente, que dependiendo del perfil demandado por las empresas que abren un proceso de selección, buscarán por consultores cualificados con unas u otras certificaciones,… pero ¿qué preferimos nosotros?

 


Grandes mentiras de las contraseñas.

Sobre contraseñas se ha escrito y hablado tanto que se podría imprimir en papel y forrar varias montañas. En este mismo blog lo hemos tratado decenas de veces. Mucha de esta literatura trata de dar directrices para que nuestras passwords sean seguras y lo cierto es que han de serlas y se ha de conocer unos mínimos criterios para seleccionarlas.

Hoy por hoy todos los que nos leéis seguro que ya sabéis como poner una buena contraseña, incluso cuando algunos servicios web solo hacen comprobaciones mínimas antes de aceptarla.
Políticas de contraseñas hay cientos, aunque es gracioso ver que algunas de ellas aún no se han enterado de los ataques por máscara y sustitución. Esos que con un conjunto de reglas, se le puede indicar a una herramienta como John  The Ripper que por ejemplo añada años antes o después de cada palabra de un diccionario, o remplace las “a” por “@” o por “4” y las “o” por “0”, las “i” por “1” y esas técnicas tan comúnmente utilizadas.
ESET nos dice que “@cce0_$i$tem@” es una contraseña segura, ¿lo es? ¿y “MiConTRaseñA” que dice Skype? Desde luego son mejores que “conchi”, pero… ¿seguras?

Otro caso es el de eBay, en el que nos ponen como ejemplo “caradehuevo” y “$superman1963”:
Pese a que me apetece utilizar la palabra de la contraseña para insultar al autor de ese documento, me limitaré a comentar que esa contraseña esta incluso en diccionarios como el de rockyou.
Aunque de  lo que realmente quería hablar es de las recientes publicaciones de bases de datos de usuarios y contraseñas de servicios como lifehacker, rockyou, moneybrookers o la reciente filtración de 1.7 millones de usuarios de vodafone (sha256) que ya se están crackeando.
¿Contraseñas seguras? No, ninguna. Tus datos personales, tus credenciales de acceso, tus datos privados… TODO, acabará siendo volcado en un archivo de texto en algún momento. Tal vez se suba a megaupload y todos lo descarguemos o tal vez se quede en el disco duro de alguien que pruebe si esa misma contraseña la usas en Paypal. Puede que no salgamos en el top100 de contraseñas más usadas si evitamos poner “123456” o “queso”, pero antes o después alguien convertirá el MD5, el DES, el SHA1 o lo que sea que lo guarda, en el conjunto de caracteres irrecordables que tecleamos cuando nos dimos de alta.

Cada vez se habla más del arcaico y obsoleto sistema de autenticación mediante usuario y contraseña y no me extraña.


Usuarios de AVG en caos de reinicio después de una fallida actualización

La compañía de antivirus AVG tuvo que publicar las instrucciones de vuelta atrás para los usuarios de la edición gratuita de su programa AVG 2011 después que la versión de 64 bits de Windows fallara en reiniciar correctamente después de una actualización obligatoria.

Con la base de datos de virus 271.1.1/3292 aplicada en Windos 7, Vista y XP, un número no conocido de usuarios recibieron el poco útil mensaje: ‘STOP: c0000135 El programa no puede iniciar porque falta %hs en su computadora. Intente reinstalar el programa para arreglar este problema.’ (‘STOP: c0000135 The program can’t start because %hs is missing from your computer. Try reinstalling the program to fix this problem.‘)

La compañía ya ha publicado las instrucciones de reparación en su sitio web, idealmente usando una restauración de sistema en ‘modo seguro’ para llevar la computadora al punto anterior previo a la actualización. Para los usuarios que no tiene habilitada la función, la compañía recomienda usar el Disco de Recate AVG para iniciar el sistema y eliminar manualmente la parte problemática del programa.

Para los usuarios que no tienen ninguna de las dos cosas, siempre está la característica propia de Reparación al Inicio de Windows aunque a juzgar por los mensajes en foro esto parece no funcionar muy bien en Vista.

“Este problema está limitado únicamente a los sistemas de 64-bits, actualmente parece que no todos los sistemas de 64-bits, estamos investigando. La actualización ha sido retirada de nuestros servidores y si ud. no ha sido afectado por este problema, está bien que se actualice normalmente”, comentó un ingeniero de AVG en el foro de soporte.

El número de usuarios afectados es desconocido pero parece ser significativo a juzgar por los numerosos reproches en los mensajes en su foro de soporte a usuarios.

Traducción: Raúl Batista – Segu-Info
Autor: John E Dunn
Fuente: Networkworld


Criptografía y Privacidad – Cifrado de discos

Vamos a empezar esta simpática serie de posts con el cifrado de discos (que no de ficheros, que dejaremos para otro día).

Existen muchos productos de este tipo, y todos funcionan de forma parecida.

Se cifra el disco utilizando un algorítmo de criptografía simétrica (tipo AES/Rijdael, Blowfish, etc.) de alto rendimiento, y se protege el arranque del equipo mediante autenticación previa al arranque del sistema operativo (PBA o “Pre-Boot Authentication”). Una vez se pasa el PBA, el disco se descifra sobre la marcha según el sistema operativo va necesitando acceso a ficheros, casi sin detrimento del rendimiento o velocidad de acceso a los ficheros (sí que existe el impacto, pero suele ser pequeño para productos “serios”).

El objetivo es cifrar el disco completo (o sólo ciertas particiones, opcionalmente) para proteger los datos en caso de pérdida del disco o de acceso no autorizado con el hardware apagado.

Ojo, fijaos en las negritas. Si el equipo está encendido, o nos permite arrancar sin PBA (es decir, yo aprieto el botón de encendido y al rato, sin hacer nada, aparece la ventana de logon del Windows/Linux/MacOS), entonces NO SIRVE PARA NADA.

Esto es importante entenderlo: Los productos de cifrado de disco completo sólo protegen si el sistema operativo no está ejecutándose.

¿Por qué? Porque el sistema operativo requiere acceso a todos los ficheros para funcionar. Por lo que a través de los propios recursos del sistema, o a través de exploits de acceso remoto y/o ejecución de código arbitrario, un atacante podría conseguir acceso a los ficheros que tan importante son para nosotros.

Esto tiene implicaciones serias sobre el uso de “standby” de los portátiles, ya que el producto de cifrado no soporta PBA al volver del estado de “standby”. Si perdemos en un taxi un portátil en “standby”, nuestros datos son accesibles. Para simplificar, si está en “standby”, está encendido.

Otro problema serio es la vulnerabilidad que tienen muchos productos de cifrado de ataques “en frío”. Para que el software de cifrado pueda descifrar el disco, las claves de cifrado tienen que estar en memoria. Si se puede acceder físicamente a la memoria y preservar su retención de datos mediante enfriado rápido (-50ºC) cuando el equipo acaba de ser apagado, se puede recuperar la clave de descifrado y por tanto acceder a los ficheros del disco duro sin problemas. Incluso hay un tutorial paso a paso con imágenes. Hay algunos productos que implementan cambios en la forma de gestionar las claves de cifrado en memoria, que protegen (relativamente) contra este tipo de ataques. Pero es algo a tener en cuenta.

¿Qué productos usar?

Alternativas comerciales y opensource hay muchas.

Las principales para Windows son: PGP Whole Disk Encryption, Bitlocker (ojo, solo en Windows 7 Ultimate), SafeBoot, TrueCrypt, Symantec Endpoint Encryption, etc.

Para MacOS está PGP Whole Disk Encryption, Pointsec Full Disk Encryption, Apple FileVault y TrueCrypt.

Para Linux tenemos PGP Whole Disk Encryption, cryptloop, dm-crypt, TrueCrypt, etc.

En la Wikipedia hay una lista muy completa de productos de cifrado de disco, con soporte por sistema operativo, y por funcionalidad soportada. De entre las funcionalidades principales, yo no usaría ningún producto que no soporte PBA.

¿Gratis o de pago? Yo recomiendo dos productos principalmente. Si no quieres pagar y sólo quieres cifrado de disco y contenedores de ficheros cifrados, usa TrueCrypt. Es open source, y tiene funcionalidades interesantes que veremos más adelante (volúmenes cifrados dentro de otros, para “deniable encryption”).

Si quieres un producto sólido, maduro, y que tiene muchas otras funcionalidades (cifrado de ficheros, cifrado de discos, correo seguro, etc.), el mejor es PGP. No es gratis, pero que te roben los datos o que termines en una carcel norcoreana por tus ficheros comprometedores, igual te hace pensar en hacer la pequeña inversión  🙂

Una cosa que me gusta MUCHO de TrueCrypt es la posibilidad de hacer esto, es decir, cambiar el mensaje de arranque del PBA por algo tipo “Windows loader is missing” o similar, de forma que alguien que arranque el portátil pensará que la instalación del sistema operativo está corrupta y que no arranca.

Fuente: alfredoreino


Logrando redes saludables

Por Mariano Vázquez, Técnico Superior en Comunicaciones (ORT), NSP, Support Engineer en BCD. 

Es muy importante entender la importancia de mantener las redes de nuestra organización de manera saludable.

Los protocolos, sistemas operativos y las aplicaciones sufren continuas actualizaciones, sobre todo los sistemas operativos y las aplicaciones. Dichas actualizaciones muchas veces suman funcionalidades, pero muchas otras sirven para solucionar problemas de seguridad, y es ahí donde debemos tener especial cuidado.

Las vulnerabilidades en seguridad informática, hacen referencia a las debilidades en los sistemas permitiendo a un atacante violar la confidencialidad, integridad y disponibilidad de los mismos.
En otras palabras, cuando un protocolo, sistema operativo y/o aplicación poseen bugs, estos son susceptibles de ser aprovechados por distintos actores como pueden ser los virus, worms, hackers y/o cualquier tipo de código malware, para atentar contra los tres principios fundamentales de la seguridad informática.
Es necesario mantener la seguridad de las redes internas, como así también de las redes externas o DMZ (Demilitarized Zone) que es donde generalmente se encuentran los equipos de cara a Internet los cuales brindan distintos servicios de cara a la Web, tales como; un Web Server, e-mail Server, un DNS Server, SFTP Server,  entre otros. En esta nota nos concentraremos en las redes internas dado que el escaneo de vulnerabilidades de redes externas es otro capitulo a parte.

Para mantener la seguridad en nuestras redes, es necesario realizar un escaneo periódico de todas nuestras redes a nivel interno y externo, en lo posible internamente en forma mensual, para de esta forma detectar anomalías en la topología como así también, estar en conocimiento detallado de nuestros puntos más vulnerables, y de esta forma poder mensurar el riesgo. Cabe destacar que además del escaneo de vulnerabilidades se utilizan herramientas específicas de evaluación y comportamiento del tráfico, para detectar anomalías en la red como por ejemplo Netflow.

Las herramientas que pueden ser utilizadas, y a mi criterio las más convenientes son:

  • Nessus.
  • OpenVas.
  • SSS.
  • Retina.

No es mi objetivo realizar un análisis de estas herramientas, aunque si voy a decir que mi favorita es Nessus, por su relación costo$ beneficio. Asimismo, si no disponemos presupuesto, OPenVas me parece muy buena opción también. Existen herramientas pagas muy buenas también pero el costo es significativamente diferente para lograr los mismos resultados que Nessus.

Tips de seguridad acerca de los resultados de un escaneo

  1. Cuando tenemos los resultados del escaneo y luego de analizarlos, para lograr celeridad por parte de las áreas que intervienen en su remediación, es aconsejable concientizar mostrándoles cómo pudiera ser realizado un ataque sobre los problemas reportados,  su nivel de dificultad, y el tiempo que tomaría realizarlo.
  2. A menudo, los profesionales de seguridad hablamos de riesgo y para muchos otros sectores, esto se vuelve un abstracto, con lo cual de esta forma bajamos al mundo real y decimos y mostramos que ocurriría si sufriéramos un ataque y cómo afectaría en la operatoria del negocio. Obviamente hay que ser muy preciso y objetivo en el tema, analizando el modelo de riesgo y sus mitigantes debido a que no es lo mismo tener un Windows vulnerable directamente conectado a Internet que atrás de un firewall.
  3. A la hora de corregir vulnerabilidades debe comenzarse por las vulnerabilidades más riesgosas, o en su defecto, analizar muy bien los mitigantes que las atenúan.
  4. Es necesario documentar los falsos positivos producto del escaneo.
  5. Es conveniente separar las vulnerabilidades por plataforma en aras de desconcentrar el conocimiento de las vulnerabilidades, es decir, a un ingeniero de seguridad en plataformas Microsoft podrían interesarle o servirle de poco las vulnerabilidades en sistemas Posix, pero por el contrario, esto nos resta seguridad estando acorde con el principio de “menores privilegios”.
  6. En todo momento es importante contar con personal especializado en el tema. Las improvisaciones en este contexto no hacen más que impactar en la seguridad de nuestras redes, y por lo tanto, comprometer la seguridad de nuestros negocios, en amplios sentidos. Todos sabemos que… bueno, bonito y barato no existe.
  7. Siempre es conveniente realizar un delta con el mes y/o meses anteriores para ver la evolución y forma del riesgo.
  8. Recordar que el escaneo de vulnerabilidades será una tarea constante, y no la meta a la cual llegar, esto quiere decir que el riesgo baja o sube dependiendo de factores como nuevas vulnerabilidades, amenazas pero siempre estará presente.
  9. Cuanto más se tarda en remediar una vulnerabilidad esta se hace más peligrosa en el tiempo, en base a que surgen distintos scripts para explotarla, hasta llegar al nivel masivo el que conocemos como “scripts Kiddies”.
  10. Nunca hay que confiar en la seguridad por oscuridad, dado que no es confiable. Por más que no se vea… el riesgo siempre está.
  11. Recordar que muchos fixes son acumulativos y que no siempre un fix más nuevo corrige problemas anteriores de seguridad.
  12. La mejor manera de lograr una concientización del riesgo de las vulnerabilidades dentro de una organización, es demostrar con hechos concretos la factibilidad, facilidad del ataque y las herramientas que pudieran utilizarse para tales fines. Obviamente sin llegar a concretar la explotación de las vulnerabilidades, salvo que la empresa lo requiera, y en ese caso se aconseja realizar una prueba de concepto acotada, en un ambiente controlado.

Conclusiones

Es recomendable que muchas Empresas tomen real conciencia de la necesidad de contar con un monitoreo periódico y continuo del estado de salud de los equipos que integran sus redes.
Debe entenderse que los problemas en seguridad informática son continuos, constantes y exponenciales. Cuanto antes dispongamos del expertise necesario para hacer frente a este tipo de problemas, menos costo pagaremos en el futuro.
En definitiva, el escanear la red en forma periódica, nos permite disponer de una foto instantánea de los problemas de seguridad que pudieran existir en nuestras redes, lo que traducido a niveles de riesgo estos pudieran concluir en pérdidas monetarias.

Fuente: CXO



Predicciones Symantec 2010. ¿Se cumplieron?

Casi todas las compañías del sector de la seguridad desvelan a principios/finales de año cuáles van a ser las tendencias que detectan como trend-topic en el año siguiente. En 2009 ofrecimos un listado resumen de las más importantes.

El gigante de la seguridad Symantec, a finales de 2009, analizando el entorno de seguridad del momento y las tendencias a seguir, se pronunció ante cuáles serían las mayores amenazas para 2010.

Ahora y casi con el 2010 finalizado, veamos cuánto han acertado los expertos de Symantec.

Vamos allá con el análisis de las predicciones:

  • Un antivirus no es suficiente: Son tantos los diferentes frentes por lo que las amenazas nos acechan que, realmente, con tener antivirus y ya está, efectivamente no es suficiente: Cortafuegos, antispam, antimalware, antifugas de información y por supuesto antivirus, deberían ser parte de una completa suite de seguridad a disposición de diferentes sistemas operativos. Mi duda es si realmente esta predicción está pasada ya de fecha, puesto que ya hace años “con un antivirus (y ya está) no es suficiente“.
  • Ingeniería social como el vector de ataque principal: La ingeniería social, además de existir desde la época de los fenicios, ha sido una de las mejores formas de acceso a datos protegidos: aprovechar la tontería/ingenuidad humana. Kevin Mitnick es un muy buen ejemplo del poder de la ingeniería social. Los sistemas  de información, cada vez tienen mejores mecanismos de protección, aunque a diario aparecen nuevas vulnerabilidades. Sin embargo, la que no hay manera de parchear son las brechas de seguridad que supone un humano sin la conveniente suspicacia o viveza para sospechar ante un posible engaño.
  • Los fabricantes de software de seguridad fraudulento multiplican sus esfuerzos: Tanto en SbD como en otros blogs como Spamloco con mayor frecuencia incluso, se publican este tipo de noticias, en las que un supuesto programa para incrementar la seguridad o mejorar el rendimiento de un PC tiene como objetivo comprometerlo. Lo que se suele llamar antivirus “rogue”. Entre otras formas de expansión, cuando un usuario básico escucha que necesita un antivirus, lo primero que busca en Google es: “antivirus gratis” y gracias a prácticas de Bad SEO, este tipo de productos milagrosos (aunque maliciosos) aparecen muy bien posicionados, posibilitando justo lo contrario que el usuario desea conseguir.
  • Aplicaciones de otros fabricantes para redes sociales serán el objetivo del fraude: Las redes sociales han tenido su boom en estos últimos dos años, donde Facebook y Twitter, muchas veces también por sus deficiencias en seguridad, han sido protagonistas de Telediarios y portadas de ediciones físicas y digitales. Hoy en día, que hasta mi madre tiene perfil Facebook, es de esperar que no todas las famosas aplicaciones de terceros, a las que permitimos acceder a nuestro perfil completo para poder jugar a los granjeros virtuales, poder saber qué personaje de Lost somos, y demás cosas super interesantes, tengan buenas intenciones. Ya vaticinamos en SbD sobre las posibilidades del malware 2.0 en 2008 y en 2009 sobre aplicaciones maliciosas para Facebook
  • Windows 7 será el objetivo de los agresores: Sin duda, esta versión de Windows ha supuesto una sensible mejoría después del fraude que fue Windows Vista, demostrando además que Microsoft se ha propuesto invertir en que sus sistemas operativos sean cada vez más seguros. Lógicamente, habiendo batido récords de aceptación entre sus usuarios, partiendo de la cantidad de base instalada, es de esperar que Windows 7 sea objetivo de atacantes. Sin embargo, supongo que dado a las mejoras de seguridad incorporadas, no se ha oido hablar de cataratas de vulnerabilidades semanales, como ocurría en versiones anteriores de Windows. Aun así, siempre se descubre algún “detallito” que permite un buffer overflow saltándose UAC.
  • Aumentan las redes bot fast-flux: La utilización de la arquitectura fast-flux frente a las antiguas botnets que utilizaban la plataforma IRC como base de comunicación con los masters, no han arrancado como los oráculos de Symantec habían predicho para este año. Sin embargo, aún es posible que las grandes posibilidades para dificultar el tracking de equipos comprometidos y servidores de phising finales.
  • El servicio de acortadores de URL se ha convertido en el mejor amigo de los phisers: A mediados de 2009, ya avisábamos desde SbD sobre los peligros intrínsecos de los acortadores de URL. Gracias a la incapacidad inicial de conocer el destino de una URL acortada, los distribuidores de malware, páginas con contenido peligroso e incluso utilizado en técnicas APT, esta funcionalidad se utiliza ya de forma masiva. Según Symantec, un 18% de los correos clasificados como Spam en Abril, llevaba algún enlace formado por una URL acortada.
  • Aumentará el malware para dispositivos móviles y ordenadores Mac: Gracias a que se nos ha concienciado de la tendencia a tener acceso a Internet desde cualquier parte, y que nuestro teléfono móvil sea capaz de hacer de todo, incluso llamadas de teléfono y SMS, y por supuesto debido a la fuerte expansión del mundo Apple, los esfuerzos de ataque se empiezan a diversificar también hacia este tipo de dispositivos/arquitecturas. Hace poco comentábamos que Apple se estaba poniendo al día en seguridad. Se acabó aquello de: “Uso Mac OS X porque es más seguro que Windows”. En parte, sí que lo era porque nadie se fijaba en él como objetivo de ataque, dado el bajo porcentaje de equipos, comparados con la aplastante mayoría de Windows. Sin embargo, ahora, se empiezan a portar malware para todas las plataformas y hay que anticiparse a que Apple parchee sus fallos. La gente en algunos pueblos dejan las puertas abiertas en sus casas todo el día. ¿Están seguros? Sí porque nadie tiene intención en el pueblo de entrar a robar a la casa de un vecino. El problema está en que ahora ese pueblo es de interés turístico y empieza a recibir demasiadas visitas de forasteros. En mi opinión, el malware para Mac y para dispositivos móviles (ya sean de Apple o no) se incrementará a mucha más velocidad que a la que estamos acostumbrados hasta ahora.
  • Aumentará el porcentaje de spam: Los porcentajes de correo no deseado suben y suben hasta el punto de que varios mecanismos diferentes antispam en las empresas y particulares, son imprescindibles. Tanto por campañas de publicidad agresivas como por botnets utilizadas únicamente para eso, unido a ingeniería social y phising, llevan a un mismo punto: Fraude. La tendencia al alza está clara, lástima no tener acciones de ese tipo de empresas!
  • Malware especializado: Casos sonados de este tipo de ataques los llevamos oyendo desde el hackeo memorable a Google en China. Varias empresas cayeron mediante malware diseñado exclusivamente para ellos, como Intel, Symantec o Northrop Grumman. Si el objetivo es suficientemente suculento (en este caso, no es dinero de forma directa, sino información, que después se convierte en dinero), está demostrado que se desarrolla todo el malware a medida que sea necesario.
  • Spam de mensajería instantánea: Esto tampoco es una novedad de 2010. A mediados de 2009, ya hablamos en SbD del incremento del Spim, o Spam over Instant Message. La gente sigue utilizando los servicios del tipo “quién ha mirado tu perfil en Facebook”, o “quién no te tiene admitido en MSN”, poniendo sus credenciales en cualquier web que luego no sabemos lo que hacen con ellas. Bueno pues gracias a eso, es viable el enviar Spam con tu propia cuenta a todos tus contactos. La única solución ante esto es fomentar la paranoia y la conciencia social: “Tus credenciales de MSN sólo las puedes usar en la web y en el cliente MSN“.
  • El spam en idiomas distintos al inglés aumentará: La verdad es que mayoritariamente se recibe spam en inglés. Casi todo relacionado con la venta de relojes caros,  pastillas azules,  alargamientos de apéndices del cuerpo, bases de datos de correos existentes, ofertas de empleo irrechazables, el timo del nigeriano, etc,… Sin embargo, y en menor proporción, se ven correos en un “intento de español arapahoe” que se ve a la legua que está traducido usando un traductor online o por un ruso que veraneó en Salou una semana, porque la ucraniana de la foto que acompaña el correo y que, curiosamente, se ha fijado únicamente en mí y me lo dice por correo, para mí que se lo dice a todos eh?