InfoSecMan Blog

Si fuese así, es seguro que ya todos os habríais olvidado de mí, dado el abandono que estaba sufriendo este espacio. Sin embargo esto que suele ser cierto en otros ámbitos, al menos parece que no lo ha sido en este medio. Desde aquí agradezco a todos aquellos que se han interesado por el Blog durante esta ausencia, a los que me han consultado temas y a los que, simplemente, me decían “¿pero qué pasa que no escribes nada?”.

Pues bien, ahora parece que sí que es el regreso de verdad, además cargado de muchas y muy buenas noticias.

La primera de ellas, personal y profesional. Tras una década en la compañía Tecnocom (antes Eurocomercial), he decidido que era el momento de emprender un nuevo camino y apostar por un nuevo proyecto. Ese nuevo proyecto es una compañía asturiana con presencia también en Madrid, con un nivel de calidad y excelencia sorprendente en todo aquello que acomete y con un equipo de profesionales altamente cualificados y con una capacidad y compromiso de innovación que ha decidido claramente mi decisión de apostar por el cambio. La nueva compañía es Grupo Intermark y mi responsabilidad será la de ser el Gerente de la Oficina de Conocimiento de Seguridad de la Información y Director de Tecnologías de la Información. Seguiremos viéndonos en los mismos foros que hasta ahora puesto que estoy seguro que posicionaremos a Grupo Intermark como un referente en los servicios de seguridad de calidad (como ya lo es en estos momentos en otros ámbitos).

Probablemente ahora os expliquéis mi ausencia en este medio. Tras el regreso de mi “retiro espiritual” en Abril, 😉 la carga de trabajo junto con la labor de realizar una salida controlada y adecuada de Tecnocom (cerrando proyectos, transfiriendo conocimiento y funciones, etc. con la misma calidad que hasta ahora), a la que tengo un gran cariño tras tantos años de experiencia profesional y personal y que estoy seguro que seguirá con éxito su camino hacia convertirse la compañía de referencia en Tecnologías de Información en nuestro país, junto con el hecho de meditar adecuadamente el cambio, realmente no me ha dejado más tiempo libre que el que, merecidamente, se merecía mi familia.

Sin embargo, cuando uno inicia un nuevo proyecto como el que ahora comienza, la ilusión y ansias de mejora alcanzan niveles muy elevados. Quizás por ello otro de los proyectos que tengo (en realidad tenemos, Nacho Paredes y yo) es la de revisar nuestra metodología IS2ME y publicar su versión 2.0.

Muchos han sido los comentarios, felicitaciones, referencias, etc. recibidas tras la publicación, hace ya un año de IS2ME. Su utilización en compañías de muy diversa índole (incluyendo Tecnocom de forma interna, además de para sus clientes) y procedencia (tanto en España, como Latinoamérica o Estados Unidos, por ejemplo) ha hecho que nos planteemos continuar aportando a esta iniciativa nuevos recursos.

En este sentido quiero agradecer especialmente desde este medio a Mauro Graziosi de Kolossus (Argentina) la labor de difusión de la metodología que está haciendo en esa región utilizándola no sólo para implantar seguridad en muchos de sus clientes sino como parte de los planes de formación de diveros cursos de Seguridad de la Información, como por ejemplo la Cátedra de Seguridad de la Información de la Universidad Tecnológica Nacional – Facultad Regional de San Francisco, (Córdoba, Argentina).

Mauro ha aportado muchos y muy valiosos comentarios a la primera versión de IS2ME que con toda seguridad tendremos en cuenta en el desarrollo de la V2.0 que esperamos publicar en el último trimestre de este año.

Así mismo, además de esa nueva versión creemos interesante (y así nos lo han hecho saber) incluir otros recursos interesantes para su utilización como plantillas, cuestionarios o ejemplos de informes, etc. Trabajaremos también en esa línea y esperamos incluir en la publicación de la nueva versión algún material de apoyo que estamos seguros que será muy bien recibido por la comunidad.

Os invito desde aquí a participar en esta iniciativa si creeis que tenéis algo que aportar: comentarios, modificaciones, críticas o recursos (documentos, etc.). Por supuesto, mantendremos la autoría de aquellos recursos que podamos incluir.

En breve seguiré informando de más novedades que espero sean de vuestro interés. Mientras tanto, gracias por permanecer ahí. Espero vuestros comentarios (si sois tímidos, podéis utilizar el email, como hasta ahora 😉 )

Seguiremos informando 🙂

Tras un merecido descanso (en mi opinión 😉 ) vuelvo a aparecer por estos lares. Ya supondréis que tras la ausencia, que por otro lado ha sido perfecta alejado de toda tecnología, aún me estoy recuperando tras leer miles de correos electrónicos y revisar en diagonal mi lector de feeds de otros Blogs y medios de comunicación relacionados con la seguridad.

Por ello, a modo de “zapping” entre ellos, os incluyo a continuación algunos que me han parecido interesantes:

– Situación actual de la serie 27000 (por Javier Cao): Una puesta al día del estado de las distintas normas de la serie tras la última reunión del Subcomité 27 de ISO en Kyoto.ç

– PCI SSC emite una nueva norma para la seguridad en las aplicaciones de pago electrónico (por ISO27000.es): El PCI Security Standards Council, el organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información en la Industria de Pagos con Tarjeta (PCI DSS), requisitos de seguridad para los dispositivos de entrada de PIN (PED), y aplicaciones de pago (PA-DSS), anunció la presentación de la versión 1.1 de la Norma de Seguridad de la Información para las Aplicaciones de Pago (PA-DSS, Payment Application Data Security Standard).

– Checklists de Seguridad del Information Assurance Support Environment (por Sergio Hernando): Sergio comparte con nosotros unos enlaces que apuntan a algunos checklist de seguridad de distintos ámbitos, que pueden ser de mucha utilidad.

– Introducción a la LOPD en vídeo (de la mano de Julián Inza): Julián incluye en su blog un vídeo de YouTube en el que se describe breve y sencillamente los aspectos más relevantes de esta ley.

En breve más temas de interés (espero 😉 ).

Tras ni más ni menos que algo más de 1 mes sin aportar contenido a este medio quería en primer lugar pediros disculpas a todos aquellos que habitualmente seguís este espacio por no haber aparecido por aquí ni dar ningún tipo de explicación.

La principal causa ha sido una carga de trabajo más elevada de lo normal que ha hecho que el poco tiempo libre de que disponía se lo debiese dedicar, lógicamente, a mi familia.

También he de decir que me he encontrado con una disyuntiva respecto a este espacio. Dudo si continuar en la línea que seguía hasta ahora o hacer del mismo algo más “profundo” (en conocimiento).  Es decir, ¿escribo menos y de temas con más detalle con lo que el foco se centraría en aquellos de vosotros que compartís profesión conmigo o sigo con temas más generales que el resto del “público” pueda comprender, le resulten atractivos e incluso puedan servirles como “formativos” o de concienciación?

Para conocer la respuesta, probablemente deberéis (emos) esperar 1 mes maś.

Sí, eso quiere decir que con casi total seguridad no volveré a aparecer por aquí hasta Mayo y es que tras un buen trabajo (o al menos mucho 😉 ), llega el momento del merecido descanso y este fin de semana desaparezco durante 3 semanas del “mundo electrónico” y del entorno que habitualmente me rodea.

Me voy a un país en el que el acceso Internet no es público y está reservado únicamente a organismos gubernamentales, en el que no existe ni la ADSL, ni 3G, ni nada por el estilo y en el que cuando se habla de “Seguridad”, la única coletilla que puede acompañarle es “del Estado”.  En el que nadie tiene un ordenador en su casa y con el que no existen planes de descuento para llamadas telefónicas internacionales en ninguna operadora. Es decir, salvo un teléfono GSM que tendrá cobertura en determinados momentos, estaré totalmente aislado de la tecnología. Aprovecharé para descansar, pensar, y desarrollar mi otra faceta nada relacionada con las TIC (que algunos de vosotros conocéis y otros que hayan investigado un poco en google es posible que también 😉 ).

Todo esto unido a que de las 3 semanas únicamente 2 noches estaré en un hotel y a los husos horarios que me separarán de mi país, hará que posiblemente cuando regrese deba pasarme 1 semana revisando mi correo electrónico, postal, etc. 😛

Nos vemos en un mes aproximadamente. Prometo regresar cargado de fuerzas… y contenidos 🙂

Gracias por vuestra comprensión!

Vengo asistiendo los últimos meses a la aparición de notas de prensa de algunas empresas que anuncian a bombo y platillo sus certificaciones ISO27001. Lo presentan ante sus clientes, los medios, etc. dando una imagen de “Seguridad” de la compañía, de sus servicios, de seriedad y de compromiso con la innovación y la mejora interna.

El gran público, ignorante como siempre de lo que significa tal o cuál norma, se queda con la cantinela de que el sello ISO27001 es igual a la seguridad, y de que una empresa certificada en ISO27001 es mucho más segura que otra que no lo esté.

Creo que empieza a hacerse necesario, si no queremos que el valor de la norma se desvirtúe, cierta divulgación al público en general (y me refiero como público en general, al tejido empresarial inicialmente) de un concepto muy sencillo e importante a la vez.

El Alcance. Como todos sabéis, este es un punto clave en la certificación de cualquier Sistema de Gestión. Desgraciadamente (para el público en general, no para las compañías que ostentan esas certificaciones), cuando se hace pública una certificación, e incluso cuando se revisa la misma para optar a un concurso, rara vez se hace público este dato, aún cuando debería publicarse siempre que se hiciese alusión a dicha certificación. ¿Por qué? Porque seamos realistas, probablemente más del 90% de las empresas que se certifican no buscan la mejora de sus sistemas de gestión de la seguridad (si es que los tienen), sino que buscan conseguir un sello que publicar en sus tarjetas, ofertas y material de marketing que el público identifique con “SEGURO”. Para ello, como es “lógico”, buscan el máximo beneficio con la mínima inversión, y lo que suelen hacer (y se suele hacer en el mercado) es reducir el alcance a un entorno controlado y lo más sencillo posible que nos permita realizar los cambios necesarios en el sistema de gestión (o incluso crearlo, sino existía) en el menor tiempo posible y obtener rápidamente el sello deseado.

Esto lleva a que por ejemplo puedas obtener un certificado ISO 27001, definiendo como alcance el proceso de control de accesos de la organización (esto es, el puesto de la recepcionista), lo que asegurará que el sistema de gestión de la seguridad de la información para ese puesto sea correcto, tenga una política implantada, procedimientos, indicadores, análisis de riesgos, etc…. pero el resto de la organización siga igual de mal (o de bien) que antes de obtener la certificación.

Evidentemente, como decía, cuando esa compañía publique su nota de prensa no hará referencia en ningún caso a dicho alcance. ¿¿Eso podría denominarse como engaño?? Como todo, está sujeto a interpretaciones. Yo siempre le he dicho a mi hija que no decir toda la verdad es como decir una mentira, pero como digo, es una interpretación personal (que se puede ajustar, según las necesidades) 😉

¿Y qué opinan las entidades certificadoras de todo esto? No debemos olvidar que, al fin y al cabo, todos estos organismos son empresas que tienen unos objetivos y cuyo fin, como el de cualquier empresa, es crecer y ganar dinero. A ellas (como a nosotros, no me tildéis de hipócrita 😉 ) nos conviene que el mercado de este tido de certificaciones crezca y crezca y genere mucho negocio, para que todos podamos ganar más y más dinero.

Hasta donde sé, un auditor cuando audita un sistema de gestión, como punto a revisar, debe tratar su eficacia. Es decir, teóricamente, un auditor que vaya a auditar un sistema de gestión para pelar manzanas y que realmente lo único que haga es arrancarle el rabillo, aunque lo arranque perfecta y ordenadamente y cumpla todos los requisitos del criterio de la auditoría, debería elevar una no conformidad mayor, puesto que estaría fallando uno de los objetivos del sistema de gestión.

Y yo me pregunto: en la práctica, ¿se está actuando realmente así? ¿tendrían algo que decir las entidades acreditadoras? (que se supone que son quienes auditan a las certificadoras)

Aún existen pocas organizaciones certificadas y por tanto aún es pronto para lo que voy a decir pero, ¿corremos el riesgo de que empiecen a emitirse certificados masivamente, la gran mayoría con el problema mencionado del alcance, y por tanto lo que debería ser un sello de “calidad” en seguridad se desvirtúe? y además, si fuese así, ¿realmente nos importaría? o ¿estamos más preocupados por ampliar este tipo de mercado que por la calidad del mismo?

Si el sello de la ITV (Inspección Técnica de Vehículos) de los coches, camiones, etc. pudiese obtenerse reduciendo el alcance (por ejemplo limitándose únicamente al estado de los frenos), ¿¿cuántos talleres surgirían que ofrecerían pasar la ITV a precios muy bajos, aún a costa de que la seguridad de esos vehículos fuese prácticamente nula?? Ya sabéis la respuesta… y la analogía es inmediata 😉

Lo cierto es que no sé muy bien por qué escribo esto, ya que estoy seguro que la mayoría de vosotros, lectores, tenéis muy claro este punto. Sirva como reflexión y por si algún lector ajeno “al ramo” cae por esta página y puede al menos despertar cierta inquietud sobre la situación que ahora comienza.

… espero no recibir un DDOS o algo similar por hablar sobre nuestras vísceras, que como en toda industria, las hay… 😉

… por cierto, yo también estoy deseando que ISO27001 se popularice y surgan muchas consultorías, auditorías, etc. 🙂

… y ya puestos, ¿pasará lo mismo con la recién estrenada BS25999 de Continuidad de Negocio? :-O

Hace tiempo comentábamos ya aquí los riesgos de la suplantación de identidad telefónica (del Caller-ID, o Identificador del Llamante), en qué consistía y de la existencia de compañías que facilitan este tipo de servicios (al menos en USA).

En un reciente artículo de Netword World titulado “Confesiones de un suplantador de identidad telefónic” (Confessions of a Caller-ID Spoofer) podemos ver cómo esta técnica aún es efectiva en estos momentos, y como a través de ella pudo ir contactando con distintas personas de una empresa y subiendo en el organigrama hasta llegar al CEO, lo que de otra forma hubiese sido imposible. Textualmente:

“Suplantó el número de teléfono del director de Recursos Humanos, y a continuación el número del jefe de esa persona, antes de seguir hacia el vicepresidente y finalmente, el CEO”.

… y además es totalmente legal!!

En el artículo el autor describe qué técnica utilizó y cómo contrató los servicios de una de las compañías de las que ya hablábamos que ofrecen este tipo de servicios (una tarjeta telefónica por sólo 20$) y cuáles fueron las causas para llevar a cabo estas acciones (deudas de por medio…).

Y yo me pregunto, ¿cómo estará este tema en nuestro país?…. Si alguien tiene algún dato, adelante, dejadlo en los comentarios.

El artículo completo, aquí.

A muchos de los usuarios “de a pie” les sorprendería la cantidad de información que puede obtenerse de un mensaje de correo electrónico revisando sus cabeceras, lo que podría decirnos el tipo de sistema operativo utilizado, programa de correo electrónico, dirección IP del equipo, de su servidor de correo, por dónde ha pasado, etc.

Precisamente en eso se centra un articulillo muy interesante que he descubierto en el que muy bien explicado y pasito a pasito va describiendo el proceso de análisis de un mensaje de correo electrónico, sus cabeceras, algunas herramientas que pueden utilizarse, etc.

Especialmente de interés para aquellos, que como yo, son muy cotillas y desean averiguar siempre algo más de información de la que debieran, o para aquellos que necesiten investigar seriamente problemas de spam, etc.

Podéis acceder al artículo aquí.

Como habréis observado, debido a la falta de tiempo, últimamente la mayoría de los posts de este blog son recomendaciones de lectura sobre otros artículos, entradas interesantes, etc. que me voy encontrando en el día a día.

En esta ocasión no quiero hacer referencia a un artículo, sino a un Blog sobre seguridad de la información que, en los últimos tiempos, me parece una referencia muy interesante y que cada día me sorprende con una nueva entrada reseñable.

Se trata del Blog de Sergio Hernando, que últimamente está que se sale con contenidos  muy variados y trabajados y que no debéis de dejar de visitar.

Enhorabuena Sergio por el buen trabajo que estás haciendo en tu Blog!

Estamos en tiempo de gripe. Todos conocemos amigos que han pasado por ella o incluso nosotros la hemos sufrido. Una auténtica epidemia. Una vez que comienza se extiende a gran velocidad por todo el país.

¿Qué ocurriría si un código malicioso se extendiese con la misma facilidad que la gripe?. Hasta ahora la transmisión de todos los gusanos, troyanos, etc. se basa en las redes de comunicaciones existentes y vulnerabilidades en los distintos sistemas (personales y servidores). Pero con la aparición de las redes inalámbricas surge un nuevo posible medio de transmisión de estos “virus”: el aire.

Un equipo de investigadores de la Universidad de Indiana ha publicado un estudio bastante revelador  que advierte que un ataque que tuviese como objetivo los routers inalámbricos y se propagase por este medio a otros routers cuyas coberturas coincidiesen en algún punto se transmitiría rápida y fácilmente a toda una ciudad en muy poco tiempo.

El equipo de la Universidad de Indiana mapeó las redes inalámbricas existentes en diversas ciudades (como Chicago, Boston, Nueva York o San Franciso) y para el modelado del ataque tuvo en cuenta el estado de seguridad de las mismas (libre acceso, con WEP, WPA, con la password por defecto, etc.).  El resultado, aun siendo lugares de distinto tamaño, composición y geografía, fue muy semejante. Inicialmente se veía una fase de infección muy rápida en la que eran los routers de redes de libre acceso los primeros infectados, para continuar con una segunda fase de crecimiento más lento que afectaba a los routers con encriptación WEP. Aquellos con WPA y autenticación fuerte, para la naturaleza de este ataque, eran inmunes.  Una vez que las distintas fases de la infección tuvieron lugar, entre el 10 y 55% de todos los routers existentes en el área analizada habían sido infectados.

Curiosamente, los patrones de infección del ataque modelado se asemejan mucho a aquellos correspondientes sus equivalentes biológicos. Es algo similar a una infección que se transmita “por el aire” o por contacto o proximidad. Accidentes geográficos como un río o una montaña (sin cobetura 😉 ) pueden contener la infección, así como la existencia de un router “frontera” entre 2 áreas de cobertura que tenga configurado WPA.

Interesante, ¿verdad? Hasta el momento no se ha descubierto aún ningún ataque similar, pero es sólo cuestión de tiempo que aparezca alguno, especialmente ahora que empiezan a existir gran número de routers buena parte de los cuáles pertenecen a, probablemente, menos de 10 fabricantes y modelos.

Y yo me pregunto, ¿qué pasaría si se desarrollase algo parecido, ya no para wireless 802.11, sino para una red GSM o UMTS?… Tremendo!

Podéis acceder al estudio completo aquí (muy interesantes los gráficos de propagación en una ciudad real a las 6 horas, a las 24 horas, etc..)

A iniciativa de Mercé Molist, se está recogiendo en la Wikipedia parte de la historia del Hacking Hispano.

¿Recordáis !Hispahack, InfoVia, los routers de Telefónica… ? ¡qué tiempos! 😉

Una iniciativa interesante, que si logra completarse podría ser la base de un libro en la línea del tipo de los de nuestro amigo Mitnick …

Me harto de decir que la mejor forma de hacer las cosas suele ser la más sencilla. Bruce Schneier nos mostraba hace un par de días dos perlas que recientemente han ocurrido.

El pasado miércoles un hombre vestido como un guardia de seguridad de un furgón blindado, entró en el banco BB&T y se llevó consigo la nada desdeñable cantidad de 550.000$. No fue hasta que al día siguiente cuando llegó el guardia de verdad, cuando el banco se dió cuenta que había sido víctima de un engaño. 🙂

Por si fuese poco, el jueves, otro hombre vestido como un empleado de la compañia de seguridad Brink, entró a las 9:30 de la mañana en una oficina de Wachovia y se llevó nada más que 350.000$. Llevaba una placa identificativa y una funda de un arma, comentó una representante del FBI, y le dijo a los oficiales de seguridad del banco que venía a por el correo (valija) habitual 😉

A las 16:00h cuando el guarda real vino a por la valija, le dijeron que ya se lo habían llevado. El guardia regresó a la central y le dijo a su jefe que no había recogido nada. Éste se puso en contacto con un directivo de Wachovia y le informó de este punto, quien finalmente dio parte a las autoridades … 11 horas después de que hubiese ocurrido!!

Según parece los dos “trabajitos” podrían estar relacionados y podrían haber tenido un “topo” dentro.

Cortesía de Mr. Schneier.