III Jornadas de Ciberseguridad y fraude en Internet

Los pasados 27 y 28 de Enero se celebró en el ThinkTIC (centro técnológico de La Rioja) unas interesantísimas jornadas sobre Ciberseguridad y fraude en Internet (en concreto son las terceras de este tipo que se organizan.

20170128_120909

disclaimer: este es un resumen personal y no exahustivo, si no te menciono como interesante o bueno es solo porque mi memoria y mi tiempo para escribir son limitados, si crees que deberías aparecer sírvete de los comentarios

Que fueron interesantísimas, además de un juicio de valor de este que escribe, se puede objetivar desde varios puntos de vista:

  • asistencia, hubo que ampliar el aforo mediante la creación de una segunda sala, en la cual se pudo seguir la jornada a través de un plasma
  • más de la mitad de asistentes no pudimos inscribirnos en los talleres por falta de aforo (la organización promete repetirlos en breve para que podamos asistir)
  • nivel de presencia corporativa, “empresas” tan relevantes como Guardia Civil, Policia Nacional, S21sec y Prosegur (esta presencia un poco más sorprendente en un foro de Ciberseguridad pero sin duda una noticia más que positiva)
  • nivelazo de ponentes Lorenzo de Securizame es siempre una gozada, alguien con la experiencia de Olof Sandstrom, Igor de S21, Silvia Barrera de Policia Nacional…

Lo que más me gusto:

  • la agilidad de la organización para ampliar aforo y para incluir “la actualidad” de los premios Incibe en el programa
  • ver que hay directores de seguridad en todas partes (en este caso Marisol Aldonza de INCIBE)
  • el equilibrio de presencia riojana (que trabajan fuera como Lorenzo o Marisol) o de inmigrantes que desde La Rioja se buscan la vida por el mundo (Xavi Capellades u Olof Sundstrom) o los profes de los talleres todos ellos jovenes promesas de SSH_Team y masscomm innova
  • que el diario La Rioja recogiera el guante de la difusión y convirtiera la ciberseguridad en portada

20170128_090726

Para mejorar

  • sigo echando de menos networking orientado y promovido desde la organización (esto es general a prácticamente todos los eventos a los que asisto, así que no es en particular de este)
  • horarios muy apretados que cuesta cumplir (y que no dejan espacio para interacción o la reducen)
  • ¿Como conseguimos que sean los CEOs los que escuchen hablar sobre el fraude del CEO y no los que nos dedicamos a esto?

Sobre lo que se dijo tendré que dedicarle otro ratito más adelante.

El Vigilante del futuro

En las películas de ciencia ficción de los años 70 y 80 se planteaba un futuro, para la época en que vivimos actualmente, con todo tipo de androides, naves voladoras, etc., muy lejos de la realidad vigente.

No obstante en el mundo de la Seguridad Privada, así como en otros muchos ámbitos, como decía Don Hilarión en La Verbena de La Paloma: ” Hoy las ciencias adelantan que es una barbaridad”. Lejos quedan aquellos relojes antediluvianos para el control de rondas, las llamadas de teléfono a la Central para el control de presencia, y un largo etc.

Según algunos planteamientos, pronto van a quedar lejos también los Vigilantes de Seguridad. Hace varios años era Bob, el primer robot vigilante del Reino Unido desarrollado por estudiantes de la Universidad de Birmingham, a la par en Estados Unidos apareció el robot K5 con las mismas pretensiones, y ahora llega Ramsee.

Todos ellos son robots vigilantes que, a día de hoy, pueden suplir a sus “semejantes” de carne y hueso en determinadas situaciones y entornos desfavorables, pero son más un complemento que un sustituto real.

Seguiremos con atención estos y otros avances, en la confianza de que la figura del Director de Seguridad se vea potenciada hasta el punto de que las grandes empresas se planteen la conveniencia de sustituirlo por un robot.

¿Podrá la inteligencia artificial con la estupidez humana?

Desde que sucedió el otro día el gran ataque DYN que afectó a tantos servicios populares que ha sido objeto de atención en los medios generalistas, llevo diciendome a mi mismo que tenía que leer a fondo sobre el tema.

El caso es que en estos momentos de mi vida entretrabajos he estado un poco ocupado hasta que un madrugón y un buen domingo por delante me han dado un respiro para poder hacerlo:

Jo Peterson @digitalcloudgal
$1,560,000 estimated cost of last week’s DDoS attack (20k per hour x 6hrs x 13 companies. Maybe more theatlantic.com/technology/arc…

o el comunicado oficial de DYN

Pero cuanto más leo más dudas tengo, y aunque no esté relacionado directamente con el ataque, cuando leo cosas como las que cuenta el gran Kinomakino (aka Joaquín Molina) en su blog Inseguros  donde avisa a una empresa de lo fácil que es atacarla, robarle dinero… y los responsables directamente NO tienen tiempo de escuchar o simplemente NO quieren escuchar.

Es en este contexto, de sistemas que podrían ser seguros, pero que por dejadez, exceso de confianza, falta de adaptación o simple estupidez se convierten en peligrosos, sin que las advertencias de los profesionales sean escuchadas más que cuando Santa Barbara, no es que truene, sino que atrona, y explota de furia, en el artículo de Joaquín habla de una gasolinera, que es algo que es susceptible de ello.

Así que:

  • siendo un convencido de las ventajas y avances que la ciencia y la tecnología nos aportan
  • siendo de los que no ven el vaso medio lleno, ni medio vacio, sino que lo vacío cuando tengo sed y busco la forma de llenarlo para cuando tenga sed
  • siendo de los que odian a los profetas del apocalipsis cuando vienen a llenar sus carteras a cambio de salvarnos

No puedo menos que plantearme esa gran duda ¿Conseguiremos productos y/o servicios secured by design y a prueba de dejadez/estupidez/incompetencia humana? o quizás, como sugiero en el título ¿tendremos que diseñar una inteligencia artificial capaz de salvarnos de nuestra propia estupidez?

Claro que en nuestro imaginario colectivo eso nunca acaba bien, así que nos toca reescribir el guión 😉

La seguridad es lo primero que nos une a todos

gb-ballesteros-ieee-yo-soy-director-de-seguridad

Foto del General Ballesteros obtenida de la web del IEEE

Titular de La Vanguardia para la entrevista con el General Ballesteros a raiz de la publicación del libro En busca de una estrategia de seguridad nacional.

La entrevista, es una delicia y un curso rápido de seguridad, en general, definiendo y explicando de una manera muy sencilla y con ejemplos muy entendibles algunos de sus conceptos generales:

  • no hay seguridad total así que hay que anticiparse “Debemos conocer qué es lo que puede dañar nuestros intereses para evitarlo.”
  • En la mayoría de las ocasiones uno no puede evitar que se materialice un riesgo por eso lo importante es prepararse para reponerse “Hay que saber asumirlo psicológicamente y ser capaces de resistir y de sobreponerse lo antes posible, es lo que se conoce con el nombre de resiliencia, uno de los pilares de la seguridad nacional.”
  • Define una cadena estratégica que va del riesgo, peligro, amenaza y daño y cuanto antes en la cadena intervengamos menos graves son las consecuencias y en muchas ocasiones más barato es.
  • E insiste en lo de barato pero esta vez desde la perspectiva de una visión global y coordinada La seguridad es más barata y mucho más fuerte y eficaz cuando estamos unidos. 
  • Aunque parezcan dos cosas separadas, hemos tenido que aprender de manera brutal en el caso del 11-S, 15-M… que la barrera entre seguridad interior y exterior es en realidad una conexión que debemos gestionar.

La verdad es que si la entrevista es así de buena, no me va a quedar más remedio que leerme el libro para poder conectar con esa estrategia y desde mi humilde papel de ciudadano contribuir a mejorar la seguridad nacional que al final es la seguridad de mis hijos, de mi familia y de mis amigos.

Si queréis el libro se puede adquirir en papel en la tienda on-line o descargar de manera gratuita En busca de una estrategia de seguridad nacional.

Día Internacional para la Reducción de los Desastres – 13 de Octubre

puerto-principe-haiti-dia-internacional-para-la-reduccion-de-los-desastres-juan-nieto-director-de-seguridad

Una mujer cruza una calle lodosa en el centro de Puerto Príncipe después de que el huracán Matthew sacudió a Haití el 4 de octubre de 2016, trayendo fuertes lluvias y vientos. Foto ONU/MINUSTAH/Logan Abassi

Hace ya 25 años, en 1989, la Asamblea de las Naciones Unidas designó el 13 de octubre como el Día Internacional para la Reducción de Desastres.

Aunque no lo parezca es una brillante idea ¡del siglo pasado!

En ocasiones me pregunto si es realmente importante o una estulticia el designar diferentes ” Días Internacionales de…” Finalmente pienso que, aunque la estupidez humana no tiene límites, el que se ponga el foco de atención sobre un particular un día al  año, y que dicha atención sea “internacional” es algo positivo. Cosa aparte es que hay muchos de estos días que pasan en el calendario sin pena ni gloria, y para nuestra desgracia, y sobre todo para la de los que padecen los desastres, hoy, 13 de octubre, es uno de esos días.

Para los profesionales de la seguridad los desastres son un escenario desalentador. Tenemos que aunar esfuerzos para tratar de concienciar a la sociedad y crear una “Cultura de Seguridad”. En nuestro entorno familiar, en nuestro entorno laboral, residencial, en nuestros municipios, ¿qué hacemos para  estar preparados ante el desastre? O ¿qué sabemos sobre como hacerle frente y paliar sus consecuencias?

Reflexionemos y hagamos reflexionar. Los desastres pueden ser imprevisibles pero sus consecuencias no.

#ESETdays en Zaragoza

El día 28 de septiembre de 2016 tuve el placer de asistir a un evento organizado por el fabricante de software de seguridad Eset, que muy lejos de una presentación comercial o de producto tuvo un programa muy interesante que incluía hackers invitados como Lorenzo Martínez de Securizame, hackers plantilla de Eset como Joaquín Molina @kinomakino , digitalawyers como Susana de Hiberus LegalTech  (podéis ver todos los ponentes del Security day de Zaragoza aquí).

Lorenzo, contó uno de sus casos y como es el segundo que le veo (el anterior fue en riojaparty) puedo decir que es muy ameno y muy instructivo, siendo además todo lo transparente que se debe/puede ser en estos casos con sus propios fallos como fuente de aprendizaje. Su explicación del trabajo realizado en Linkedin para personalizar ataques, en el caso de alguien tan expuesto y “social” como yo, fue una carga de reflexión.

A Joaquín no lo conocía, pero es un ejemplo de como uno puede convertir sus supuestas debilidades en vectores de ataque para meterse a la audiencia en el bolsillo, y hablar de cosas sería de una manera divertida y de cosas complicadas de una forma que todo el mundo te entienda.

De los productos de Eset se habló poco, pero al menos a mí, me han quedado ganas de investigar, probarlos y según lo que me contó algún partner hasta de distribuirlos.

De la parte más personal del evento he escrito en entretrabajos

Otro día intenso de Juan Nieto entretrabajos Empezar a escribir el post a las 23:50, cuando mañana me levanto a las 5 me parece una liada. El que se me empiecen a acumular las oportunidades/ideas (…

Source: ¡Menudo lio!

Cuidado al encriptar tu teléfono Android

Recientemente he realizado un par de cursos (auditor jefe de Iso27000 y otro de CISA) donde al salirme del ajetreado día a día de mi actividad principal, leer, releer, pensar y hablar sobre seguridad de la información, uno se ve la viga en el ojo propio y saca un rato para mejorar ciertas cosas.

En este caso le llegó la hora a encriptar mi equipo dual sim trabajo-personal, o como diría un consultor Bring My Own Device.

Viendo las ventajas e inconvenientes que uno encuentra tras unos minutos de googleo (perdida de rendimiento frente a garantía de privacidad) y dada la poca relevancia del hecho lo encripté sin darle muchas más vueltas. Si quieres hacerlo tú, hay muchos artículos que lo explican como por ejemplo este de Androidjefe.com Encriptar mi Android: Cómo y por qué hacerlo (o NO)

Después de mi pequeña tech session, apagué el teléfono como todas las noches para irme a dormir y a la mañana siguiente descubrí que si encriptas tu teléfono Android para poder dormir más tranquilo en caso de robo, te puedes llevar la sorpresa de que no solo duermas más tranquilo, sino que duermas más rato del que pensabas porque el despertador no se sabe tu clave de encriptación y no es capaz de arrancar el teléfono y por tanto no suena.

Por suerte para mí, mi despertador biológico funciona razonablemente bien y me desperté solo un poquito más tarde de lo habitual, pero desde entonces no puedo apagar el teléfono por la noche si es que quiero usar el despertador, así que parece que la encriptación es incompatible con las paranoias antirradiación. Adicionalmente, tendré que investigar que otras implicaciones puede tener desde el punto de vista de la seguridad.