Seguridad y Privacidad Microsoft

Hasta Pronto !!!

2009-11-08T22:43:23Z

La vida son sueños… Y Los sueños, si los persigues con fuerza, se hacen realidad.

Mi sueño desde antes de empezar mi formación universitaria estaba claro, yo quería trabajar en Microsoft, en la compañía líder indiscutible de software. Los últimos años de carrera aplique a un par de ofertas, hasta que mi sueño se hizo realidad. El día que me comunicaron que estaba dentro fui tremendamente feliz, y día a día camino de la oficina, cada vez que veía el letrero de Microsoft, dedicaba a reflexionar un par de minutos sobre las metas en la vida, sobre la consecución de la felicidad y hacer y luchar por lo que quieres.

En mis primeros días de trabajo tenia la sensación de ser una hormiguita: entre mis momentos más curiosos aún recuerdo el primer día en el que tuvimos que desplegar un SIRP… cada día era como un examen diario, sin saber a que te ibas a enfrentar y si estarías a la altura de cada circunstancia.

Una palabra para resumir, seria GRACIAS, gracias a mi manager y maestro Luis Miguel García, por el tiempo que me ha dedicado, por su confianza y por dejar implementar mis ideas más locas. Gracias por apostar por mi !

Por tanto, después de haber formado parte de esta compañía casi dos años, ha llegado el momento de decir un hasta pronto.

Continuare escribiendo de manera esporádica, aunque el owner de este blog a partir de ahora será Luismi.

Hasta pronto !!!

Mercedes Martín

Email: mercedeslop@telefonica.net

Microsoft Security Essentials

2009-09-30T14:00:02Z

Hola a todos,

Según os pudimos avanzar en el pasado post que publicamos en el mes de junio, hoy os anunciamos oficialmente que ya se ha hecho publicado el lanzamiento del nuevo antivirus gratuito Microsoft Security Essentials, que protegerá a los clientes contra virus, spyware y otras amenazas maliciosas.

Esta solución antimalware esta disponible directamente para su descarga en el siguiente enlace.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Email: i-merma@microsoft.com

Microsoft España

SIMO 2009

2009-09-21T20:02:04Z

Hola a todos !

Mañana comienza una nueva edición SIMO 2009, en el recinto ferial de Madrid (IFEMA), y hasta el 24 de septiembre reunirá a más de 309 compañías y a más de 20.000 profesionales del sector tecnológico.

Microsoft contara con el pabellón número 7, en el que se centrara en mostrar públicamente el nuevo Sistema Operativo Windows 7.

Para aquellos que deseéis conocer en detalle las novedades que incorpora este Sistema Operativo en materia de Seguridad, dispondréis de tres promotores a vuestra disposición que enseñaran en detalle las nuevas funcionalidades.

En el siguiente grafico os muestro el plano de los ordenadores que tendréis a vuestra disposición, y los que están marcados dentro del circulo son aquellos especialmente dedicados a seguridad.

Por otra parte, también comentaros que en esta edición del SIMO, Microsoft junto con Informática 64 ha diseñado una campaña de Hands On LAb en el que podréis apuntaros de manera gratuita en el siguiente enlace. No dejéis de aprovechar esta oportunidad, en la que podréis conocer más en profundidad sobre la LOPD, Análisis Forense y la herramienta Metada Security entre otros.

Os dejo también el calendario previsto.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Email: i-merma@microsoft.com

Microsoft España

PREVENIR VIRUS EN WINDOWS LIVE MESSENGER

2009-09-20T02:21:24Z

Los virus puede atacar tu ordenador vía Messenger del mismo modo que por el correo electrónico: si pulsas sobre un enlace el cual contiene un archivo infectado o si alguien intenta enviarte un archivo. Se cauteloso:

Si recibes un mensaje en una conversación y te solicita pulsar sobre un enlace, descargar un archivo o aprobar la recepción del envió de un archivo.
Si alguien intenta enviarte un mensaje o archivo cuando este contacto generalmente no suele contactar contigo - por ejemplo un compañero de trabajo a altas horas de la noche.
Si el mensaje está escrito de modo diferente al habitual - es decir, usando dialectos o palabras inusuales y abreviaciones.
Si el enlace o archivo que solicita la descarga finaliza en .exe o .com. El sufijo .com puede dar lugar a confusión, no implica que sea una dirección Web, por lo que puede ser también un programa el cual puede ejecutarse en tu ordenador. Si te encuentras ante la duda, rechaza la transferencia del archivo y no pulses sobre enlaces que contienen esta extensión.

Consejos:

Windows Live Messenger puede comprobar los archivos recibidos en búsqueda de virus.

Si has instalado software antivirus, puedes configurar Messenger para comprobar el escaneo de todas las transferencias de archivos usando un software antivirus. Los pasos son los siguientes:

Ve al Menú Herramientas.
Selecciona Opciones.
Ve a Transferencia de Archivos. Una vez aquí, selecciona “Examinar los archivos en busca de virus usando: “ , y en la caja selecciona que software antivirus deseas usar.

Lo más importante es ser consciente de que archivos estas recibiendo y que enlaces estas siguiendo. También es extremadamente importante asegurarte de mantener siempre tu software antivirus actualizado.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Email: i-merma@microsoft.com

Microsoft España

Entrevista a Jorge Ramio

2009-09-15T17:19:22Z

Hola a todos !

Para continuar con el espacio que hemos dedicado a entrevistar a expertos en el ámbito de seguridad, este mes tenemos el placer de poder conocer más en profundidad a Jorge Ramió. Persona muy reconocida y respetada en este mundo, Jorge se graduó en Jorge se graduó en Ingeniería de Ejecución en Electrónica en Chile y es Doctor Ingeniero de Telecomunicación por la UPM. Desde años se dedica al mundo de la Seguridad, y su especialidad sin duda es la Criptografía.

1. ¿Cuándo comenzaste a interesarte por la criptología?

Hola Mercedes. Primero que nada, muchas gracias por esta entrevista; siempre es un placer y un verdadero privilegio poder hablar sobre de los proyectos en los que uno participa y que sea publicado en algún medio como en este blog. Si, además de esto, hay gente que se da la molestia de leerla y no le parece mal lo que en ella opino y comento, pues fenomenal.

Comencé a interesarme por la seguridad y la criptografía a comienzos de la década de los noventa cuando en la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, en la cual soy profesor del Departamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI desde el año 1986, se planteaba un cambio del Plan de Estudios, pasando del que había en aquellos años al nuevo Plan del año 1992 y en el que se abría la posibilidad de ofrecer nuevas asignaturas optativas.

Se me ocurrió que era un buen momento aquel año olímpico para nuestro país para proponer una asignatura que se llamase Seguridad Informática, con una orientación preferente hacia la criptología, es decir el estudio de las técnicas de la criptografía para la protección de la información y el criptoanálisis o herramientas para atacar dichos cifrados. No había muchas asignaturas similares en las universidades españolas; de hecho, la asignatura con ese título que llevo más de 15 años impartiendo en la EUI de la UPM ocupa el sexto lugar en antigüedad en España, oferta que en la actualidad supera ya el centenar.

Mirando hacia atrás creo que fue una elección muy acertada pues, aunque a comienzos de los 90 sólo éramos unos pocos pioneros los profesores que impartíamos seguridad y criptografía en las universidades españolas, me ha tocado ver cómo con el paso de los años la seguridad y protección de la información se ha convertido en una importante rama de la informática y de la telemática, con una fuerte cuota en el mercado laboral y un espectacular desarrollo en investigación e innovación tecnológica. Pocas ramas de las ingenierías (me atrevería decir que como mucho un par más) han experimentado en estas últimas dos décadas un desarrollo tan espectacular como la seguridad de la información.

En aquellos años éramos unas pocas decenas de profesores trabajando en esta línea y hoy en día, tan sólo 15 años después, estamos hablando de unas cuantas centenas de profesores e investigadores, la gran mayoría con grado de doctor y participando en destacados grupos de investigación. Se han ido consolidando diversas facetas o especializaciones de la seguridad, como se sabe una amplia gama que va desde la criptografía pura y dura, hasta la legislación vigente, pasando por la seguridad en redes, aspectos de identificación, aplicaciones, protocolos, gestión, normativas, etc.; algo verdaderamente impresionante. La seguridad informática y criptografía ofrecen una cantidad de congresos nacionales e internacionales que, con diferencia, está por encima de muchas otras especialidades de las ingenierías.

Como ya he comentado en alguna entrevista anterior, al contrario de lo que decía una antigua canción popular de la añorada movida madrileña sobre los malos tiempos que corrían para la lírica, opino que éstos -los actuales- son muy buenos tiempos para la seguridad. Y lo más importante, no hemos hecho sino empezar.

2. Como usuario final, ¿Sueles implementar algún tipo de cifrado?

Sí pero sólo en casos muy excepcionales, como por ejemplo mientras estoy preparando un examen y tengo diversas copias del mismo en mi notebook, en una memoria usb que llevo a casa, en mi despacho, etc. En este tema del cifrado de la información es muy importante ser cauto, qué duda cabe, pero sin llegar a extremos. Si la información que llevo no tiene carácter confidencial, es absurdo que la cifre; no me costará nada hacerlo de acuerdo, a lo más un clic con un programa freeware, pero cifrar toda mi información sin antes evaluar qué partes de ésta debe ser confidencial y cuáles no, no dejaría de ser una muestra manifiesta de paranoia.

No creo que en mi caso, excepto lo dicho anteriormente para los exámenes o algún documento de trabajo que -rara vez por cierto- deba mantener durante un cierto tiempo ese carácter de confidencial, sea necesario cifrar la información, pues en su gran mayoría mis documentos son de carácter público. Otro tema sería velar por la integridad y la autenticidad de los mismos, pero entraríamos en otro terreno en el que tampoco soy paranoico, y eso que sé que buena parte de mis apuntes -que son freeware- están en varios documentos de otros “autores” como si fuesen suyos sin el menor escrúpulo, y que incluso en algún servidor Web hay que pagar o enviar un sms para poder descargar mi libro. Listos y vagos han existido y existirán siempre.

Sí echo en falta un mayor uso de autenticación mediante certificados X.509. Este maravilloso invento de la clave pública que años atrás lo vendían como la panacea, no sé porqué se ha estancado a nivel de usuario común; sólo podemos verlo relativamente desarrollado en la banca electrónica, comercio de grandes superficies y una que otra operación con servidores del Estado, me refiero a máquinas no de los otros. Opino que aquí la Administración no ha hecho sus deberes; nos falta mucho. Fenomenal lo del DNIe, pero un suspenso en concienciación y más aún en poner las cosas fáciles al ciudadano común.

No obstante, es claro que en algunos entornos sí es recomendable e incluso debería ser obligatorio el uso del cifrado, y más esa autenticación de usuario que comentaba. Cuántas veces hemos leído que un directivo de tal o cual empresa u organismo ha perdido o le han robado su notebook (por ejemplo en un aeropuerto) con todos los datos corporativos, de alianzas, documentos secretos, campañas de marketing, etc. y éstos están a disposición de cualquiera que pueda entrar en ese ordenador, independiente de que éste tenga una clave de acceso. Esto último, la contraseña, no es más que una falsa sensación de seguridad pues le significará tan sólo algunos minutos a un atacante entrar como administrador en dicho ordenador.

Si la información confidencial está cifrada o se tiene una partición del disco cifrada (hay muchos programas gratuitos y de alta calidad que lo hacen) este ejecutivo o técnico podrá estar mucho más tranquilo pues en ese escenario de pérdida tal vez sólo haya perdido el valor del hardware, en todo caso un par de miles euros como mucho si se trata de un notebook de última generación y altas prestaciones, pero la información -que es lo verdaderamente valioso- estará bien protegida. Podrá dormir tranquilo porque es muy improbable que un intruso intente romper el cifrado sabiendo el trabajo astronómico que esto le podría significar: el posible valor de la información no le trae a cuenta. Otra cosa muy distinta sería si quien pierde ese notebook es un Ministro de Defensa o personal de la OTAN por poner un ejemplo… obviamente aquí entramos en otra dinámica y problemática.

Esto de perder datos confidenciales va más allá: pensemos el uso delictivo que podría desencadenar el conocimiento de dichos datos en forma de extorsión u otras figuras similares: bien podrían suponer decenas de veces el valor del simple hardware. En seguridad lo importante es la información, el know-how; los equipos, sistemas y personas -aunque esto suene muy triste- son reemplazables.

En un entorno empresarial, caso típico de un ingeniero en informática o en telecomunicaciones, que su empresa le entrega un ordenador portátil y que debe llevarlo al cliente e incluso llevárselo a casa para terminar informes, deberían ser de obligado cumplimiento dos medidas básicas de seguridad: cifrar la información cuando corresponda así como generar y gestionar debidamente las copias de seguridad; debería ser una política de empresa. Pensemos por un momento por ejemplo en la obligación de protección de datos de carácter personal de terceros, que no sería nada de extraño se encontrarán por decenas en ese ordenador personal corporativo.

En resumen, dado mi perfil de trabajo como profesor de universidad, uso pocas veces el cifrado y al autenticación. Donde más veces me topo con estas técnicas es en el uso de una conexión SSL en el correo pues así está configurado el servidor de correo corporativo de mi escuela y en operaciones de comercio electrónico, bancos online, líneas aéreas, etc., como un ciudadano común y normal que observa cómo aparece ese candado en la barra de tareas del navegador. Pero poco, muy poco para lo que me gustaría se usase.

3. Una de las funcionalidades que incorpora Windows Vista y también Windows 7 es la posibilidad de cifrar el disco duro gracias a Bitlocker. ¿Has tenido la oportunidad de probar esta tecnología? ¿Qué importancia le concedes a esta funcionalidad que permite asegurar la confidencialidad de nuestros datos personales?

Te he de ser sincero: normalmente uso PGP o GnuPG, y en algún caso TrueCrypt, pero siempre busco freeware de calidad. No he tenido oportunidad de probar Bitlocker, básicamente porque tengo Vista sólo en un notebook de uso muy esporádico, cuya información es totalmente pública; en todo caso no es la versión Enterprise y no deseo estar haciendo experimentos. En otros PCs en la universidad y en mi casa uso XP pues soy de los que de momento apuestan por continuar usando este sistema operativo estable. Esperaré a que Windows 7 esté afianzado para migrar. Ahora que me lo has dicho, intentaré probar Bitlocker; sé que trabaja con AES 128 en modo CBC, cifra volúmenes y seguro tendrá varias prestaciones muy interesantes. Tiene buena pinta.

Estas funcionalidades de cifrado, de autenticación, de borrado físico de la información, etc. son muy interesantes y su uso adecuado por usuarios de empresas, organismos e instituciones podría evitarnos más de un dolor de cabeza y hacernos ahorrar mucho dinero.

4. ¿Crees que el grado de concienciación que tiene el ciudadano medio sobre la privacidad de sus documentos e información electrónica es todavía insuficiente?

Como te comentaba anteriormente, creo que el uso de estas herramientas de cifrado de archivos y volúmenes debería ser obligatorio en los ordenadores portátiles corporativos que usan técnicos, ingenieros, directivos, agentes de seguros, etc. De todas maneras, cuando se habla de criptografía opino que una máxima a cumplir es que el código sea abierto; si además el programa es o tiene versiones freeware pues tanto mejor.

Con una Ley Orgánica de Protección de Datos de Carácter Personal que data del año 1999, en estos últimos diez años se ha logrado concienciar en parte a la sociedad para que proteja sus datos, pero nos hemos dedicado principalmente al concepto de no ceder datos de carácter personal a terceros, y en todo caso bajo nuestro consentimiento, pero no tanto a que cierta información por su naturaleza confidencial debe ser privada y secreta. Animo a quienes no conocen estas herramientas a que las usen, siempre con la certeza de saber discernir con anterioridad qué debería ser confidencial y qué no.

5. ¿Consideras que el gobierno debería ejercer un mayor grado de concienciación entre las pequeñas y medianas empresas españolas, estimulando el uso de tecnologías y diferentes medidas que garanticen la seguridad de la información?

Sí, clarísimo. Tal vez estos momentos actuales de crisis económica no sea el momento adecuado pero, qué duda cabe, la información es poder y mientras más protegida esté tanto mejor para su propietario o para aquel que la custodia.

Hay mucho dinero para temas como seguridad en redes y ciberespacio pero noto en falta una buena campaña de concienciación, algo que no es puntual en este caso sino posiblemente un defecto de nuestras autoridades y gobiernos desde hace muchos años. Por ejemplo, es notoria la escasa información que han recibido los ciudadanos de a pie sobre las propiedades y usos del documento nacional de identidad electrónico, y todos sabemos cuántos millones de Euros ha significado y significa cada año este innovador proyecto. ¿Cuánta gente cuenta con un lector del DINe para hacer por ejemplo transferencias con sus bancos? Muy poca; sin ir más lejos, ni yo mismo que debería estar al día en estas cosas y poseo el DNIe lo tengo en mi casa ni en mi lugar de trabajo. De acuerdo, me dirás que no hay excusa por mi parte, dado que un lector vale muy poco dinero, pero a lo que voy es que si se desea informar y concienciar de verdad al ciudadano sobre el buen uso de las nuevas tecnologías de la información de una manera segura, debería hacerse una campaña masiva como la que se hizo con las bombillas de bajo consumo, que te regalaban con la cuenta de la luz y tenías que ir retirar a las oficinas de Correos: propongo se regale un lector con la factura del servicio de ADSL que, por cierto, en España es de los más caros en Europa y dista mucho ser de los mejores.

6. ¿Qué se entiende por Red Temática Iberoamericana de Criptografía y Seguridad de la Información?

Permíteme antes que te diga que la red temática es como mi segundo hijo, bueno en este caso “la” red es una niña que está a punto de cumplir 10 años a la que, junto con otros colegas que colaboran conmigo desde su nacimiento, hemos ido mimando y cuidando año a año. Como esta pequeña se encuentra en pleno período de pubertad, os comprensible desee cambiar y hacerse mayor. Y tengo en mente importantes cambios para la red temática en 2010 tras cumplir una década; una edad mítica para un medio como Internet, en donde cada día salen miles de nuevos proyectos y algunos con notable éxito, pero que permanecer fieles a una línea por más de diez años, manteniendo un constante crecimiento y ser un referente mundial en cuanto a documentación sobre seguridad no es nada común y menos aún fácil.

Criptored es un proyecto que se me ocurre (una idea feliz, para qué voy a negarlo) a finales de 1998 con la intención de juntar a un grupo de profesores e investigadores en un sitio en la red, lo que se conoce como redes virtuales o redes temáticas, para compartir información. ¿Por qué? Simplemente porque detecto que entre los colegas españoles compartimos mucha información (el mundo de la seguridad además se presta a ello) y sospecho que en países de Latinoamérica ésta sería muy bien recibida, en tanto no se encontraban tan desarrollados como lo estaba y sigue estando España en esta materia.

En el fondo, se trata de una especie de ONG que sirve casi 20.000 documentos gratuitos cada mes, información aportada a la red por sus miembros, todos profesionales de la seguridad. No sé si existe alguna red similar en la actualidad, pero en diciembre de 1999 cuando creé CriptoRed se trataba de la primera red en el mundo con esta filosofía; hemos sido pioneros y además decanos en cuanto a redes temáticas, no está mal ¿verdad? Todo esto se traduce en miles de enlaces en Google y Bing y estar en los primeros lugares en búsqueda por Red temática.

En estos diez años todo el trabajo realizado ha sido ad-honorem, tanto el de mis colegas Daniel Calzada –experto en seguridad y administrador del servidor- y Ángeles Mahíllo, como el mío. Recibimos ayudas económicas por parte de la propia universidad, mediante el Vicerrectorado de Relaciones Internacionales de la UPM y de la empresa GMV para la adquisición de equipos, la promoción de la red temática y la organización del Congreso Iberoamericano de Seguridad Informática CIBSI, evento bienal propio de la red y del que llevamos ya 5 ediciones.

7. Son conocidos tus viajes internacionales, ¿Sobre qué temas sueles hablar en tus conferencias?

Precisamente por la característica iberoamericana de la red temática, mi trabajo como profesor de la asignatura Seguridad Informática y mi libro sobre criptografía, tengo la gran suerte de poder visitar más de media docena de países latinoamericanos cada año, gracias a la colaboración del Vicerrectorado de Relaciones Internacionales de la UPM, que apoya la difusión de esta red, o por invitaciones personales de universidades de aquellos países. En esos casos suelo dar un par de charlas sobre temas diversos (la propia red temática, la protección de datos de carácter personal, los sistemas de cifra, el problema de las funciones hash, etc.) e impartir algún workshop de un par de días sobre criptografía. Participo también como profesor invitado en media decena de postgrados en Chile, Argentina, Colombia y Panamá, y otros en España.

La finalidad que persigo con estas charlas y cursos de introducción a la seguridad es, en primer lugar, dar a conocer la red temática y la realidad del desarrollo de la seguridad de la información en España, algo que se ve con asombro y sana envidia desde estos países, y en segundo lugar intentar aportar un grano de arena en la formación de la seguridad para que en las instituciones que me reciben aumente el interés por esta rama y en lo posible comiencen a impartir este tipo de enseñanzas en sus universidades. Según mi buen amigo Jeimy Cano, excelente experto colombiano en seguridad y forensia informática, algunos colegas -él también lo hace- vamos por estos países en plan “apóstoles” predicando la buena nueva sobre la seguridad de la información y “evangelizando”. Hay que recordar que a fecha de hoy en algunos países de Latinoamérica la presencia de estas asignaturas llega a ser incluso algo anecdótico.

A veces no se imparten asignaturas de criptografía por el mito de que para ello hace falta profundizar mucho en matemática discreta y esto puede ahuyentar a los alumnos. Es claro que si se desea puede impartirse criptografía con una fuerte orientación matemática, algo que me parece muy correcto en cursos de doctorado y algún máster especializado con el fin de para llegar a la esencia misma de los problemas y sus soluciones, pero también es cierto que al menos dentro de un entorno empresarial o industrial es mucho más importante y necesario que el ingeniero conozca cómo funciona un sistema de cifra, sepa si puede o no fiarse de su cometido, apreciar sus puntos fuertes y débiles, etc., sin por ello entrar en profundidades teóricas.

Esto es lo que al menos debería saber cualquier ingeniero en informática, en sistemas o en telecomunicaciones, y así es como intento impartir criptografía en mis clases, la explico en mi libro electrónico y desarrollo en el asistente de prácticas. En otras palabras, tomar al pie de la letra la frase que la doctora Radia Perlman nos obsequió en su conferencia “Adventures in Network Security” invitada al Tercer Día Internacional de la Seguridad de la Información DISI 2008 celebrado en Madrid: “Yes, you have to teach cryptography because you need to know it, but a lot of times courses get too excited about the very theoretical kinds of things and all of the maths and all of the proofs. And I don’t think that’s the really interesting part. I don’t think the world needs more cryptographers, they need more people that understand how to use cryptography” (ver a partir del minuto 7 en dicha conferencia).

8. ¿Consideras importante introducir asignaturas de seguridad entre las universidades y distintos centros educativos para concienciar a nuestros futuros informáticos?

Claro que sí. De hecho, ya proponía en un artículo presentado en un congreso JENUI del año 2001 en Palma de Mallorca la necesidad de que se crease un título de Ingeniero en Seguridad Informática o Seguridad de la Información, algo que no dejaba de ser una quimera aunque esto ya lo venían diciendo años atrás expertos norteamericanos. Es posible que el tiempo nos acabe dando la razón pues cada vez resulta más patente la necesidad de contar ingenieros con una amplia y buena formación en todas las facetas de la seguridad de la información, que son muchas. Espero verlo.

¿Por qué sino hay tantos másteres y postgrados en seguridad -en España más de una docena- y al parecer todos gozan de buena salud y continuidad? Si las carreras de grado no entregan esta formación que el mercado demanda, habrá que buscarla en los postgrados y esto es precisamente lo que observamos. Muchos años atrás sucedía exactamente lo mismo con otras titulaciones, hoy totalmente consolidadas, como puede ser la Ingeniería del Software o incluso la propia Informática si nos remontamos unas cuantas décadas en el tiempo.

Pero vamos avanzando. Si hace 10 años la oferta docente en pregrado de asignaturas relacionadas con la seguridad de la información rondaba la treintena, y de ellas sólo un par como obligatorias, hoy superan el centenar y la entrada del Plan Bolonia con nuevas titulaciones ha favorecido el hecho de que en algunas universidades ya se ofrezca seguridad informática o de la información como asignatura de seguimiento obligado por los futuros ingenieros. Esta obligatoriedad que hace tan sólo 10 años era casi ciencia ficción y sólo aparecían dos universidades pioneras, la Universidad Carlos III de Madrid y la Universidad de Deusto, hoy en día nadie pone en duda ni se asombra que al lado de una Ingeniería del Software aparezca una Seguridad de la Información con igual peso. Ha costado muchísimo que alguien -básicamente quienes tienen el poder de decisión- se diese cuenta de ello pero al final todo ha caído por su peso.

Sin ir más lejos, en el próximo curso en la Escuela Universitaria de Informática donde trabajo ya comenzamos a impartir en las nuevas titulaciones de Graduado en Ingeniería del Software y Graduado en Ingeniería de Computadores una asignatura obligatoria en segundo curso con el título Fundamentos de Seguridad de la Información, con seis créditos ECTS. En este nuevo proyecto y desafío participo con mis colegas Ángeles Mahíllo y Juan Alberto de Frutos.

9. El pasado mes de diciembre, un grupo de investigadores hicieron públicas sus investigaciones donde dejaban constancia de las debilidades del algoritmo MD5. ¿Podrías darnos un explicación más en detalle de cómo consiguieron dar por válido cualquier certificado?

El asunto de las funciones hash y sus debilidades ante lo que se llaman colisiones, es decir dos mensajes/documentos distintos cuyos hash o resúmenes tienen igual valor, es algo que viene trayendo de cabeza a mucha gente y el tema no está ni mucho menos zanjado. La debilidad manifiesta de MD5 se hace pública en agosto de 2004 por el grupo de investigación de la Dra. Wang; desde ese año han pasado muchas cosas, tanto como que la fortaleza inicial de MD5 ante colisiones basada en la paradoja del cumpleaños (esto sería muy largo y pesado explicarlo aquí, puede verse por ejemplo en Wikipedia) ha bajado desde 2⁶⁴ hasta 2³⁹, es decir una disminución brutal de más de 33 millones de veces en pocos años.

Es necesario recordar que cuando hablamos de la paradoja del cumpleaños no nos referimos a un ataque por fuerza bruta en el que se comprueban cada una de todas las claves posibles de un sistema de cifra, y que en funciones hash -que no es un algoritmo de cifra- sería equivalente a buscar un segundo mensaje cuyo hash colisione o coincida con el del primer mensaje. El ataque basado en dicha paradoja intenta buscar dos mensajes distintos elegidos al azar y cuyos hash coincidan, y no una vez se tiene un hash de un mensaje, buscar un segundo mensaje distinto cuyo hash colisione. Son dos problemas completamente diferentes.

Desgraciadamente MD5 se sigue usando como función hash para comprobar la integridad de archivos en muchas plataformas, aunque es verdad que en comercio electrónico está completamente obsoleto. El problema está en que el actual estándar SHA-1, más seguro pero muy parecido a MD5, digamos que son como primos hermanos algorítmicamente hablando y que sí usamos en conexiones seguras en Internet y que seguía más o menos resistiendo estos embates en búsqueda de colisiones, ya está herido de muerte. Su fortaleza hipotética de 2⁸⁰ intentos (un valor hoy en día extremadamente alto) ante colisiones basada en la paradoja se había quedado en el año 2006 en 2⁶³ y en junio de 2009 se ha demostrado que ha descendido hasta 2⁵², una disminución de más de 2 mil veces que comienza a ser preocupante. Y seguimos sin tener un sustituto real para el estándar SHA-1; se habla de migrar a SHA-2 y otras opciones, pero lo cierto es que no hay nada claro. El NIST ha llamado ya a un concurso para ese nuevo estándar pero no sería nada extraño que no lo tengamos antes del 2012.

En esta conferencia, que por cierto he presentado en diversos países y he ido actualizando con los años (es verdad, he sacado buen provecho del tema), intento explicar qué está sucediendo en el convulsionado mundo de las funciones hash. Precisamente uno de los ejemplos que ahí presento es una colisión entre dos certificados digitales X.509 que usan MD5 como hash, desarrollado por los investigadores Lenstra, Wang y Weger en el año 2005. Se trata de la generación de dos certificados X.509 distintos que usan RSA y MD5, y que son ambos válidos ante una autoridad de certificación; uno podría ser el certificado verdadero y el otro de un sitio pirata. El problema es que, dado que usamos criptografía asimétrica para la firma digital en tanto no tenemos otra opción hoy en día, por la lentitud propia de estos algoritmos las firmas deben hacerse ante “documentos” -en realidad son números- muy pequeños, de centenas de bits, y por eso no se firma el documento, dato o información en sí sino un hash o resumen del mismo. Y éste como ya se ha dicho puede mostrar colisiones. Afortunadamente hace más de 3 años que ya nadie usa MD5 en comercio electrónico.

10. Nos gustaría que nos hablases sobre tus planes profesionales para este año.

Dejando de lado que tengo un fin de año bastante movido con 6 viajes a Latinoamérica (Chile, Cuba, Colombia, Panamá, Argentina y Uruguay), está el Cuarto Día Internacional de la Seguridad de la Información DISI 2009 el 30 de noviembre en Madrid y del que pronto sacaremos publicidad, el V Congreso Iberoamericano de Seguridad Informática CIBSI 2009 a celebrarse en noviembre en Montevideo, Uruguay, y lo que te comentaba al comienzo de la entrevista sobre cambios importantes en CriptoRed y en su servidor para que la red temática pase “de niña a mujer” como rezaba aquella melosa canción de un tal señor Iglesias -no soy precisamente un admirador- a comienzos de los 80. Para esto último necesitamos al menos 6 empresas patrocinadoras, además de GMV que ya ha apostado por el proyecto, y que deseen invertir en este proyecto; estoy seguro que no se arrepentirán.

Una de las acciones que queremos instituir con esta nueva Red Temática, además de ampliarla al mundo anglosajón y ofrecer seminarios gratuitos de alta calidad, es organizar un encuentro de hacking en Madrid que se llamaría Madrid Hacking Meet y tendría las siglas mHm. Tengo pensado incluso su logo relacionado con la Puerta de Alcalá que es un símbolo de Madrid, la segura colaboración de buenos amigos expertos en esta temática en Latinoamérica y en España (sin ir más lejos, por nombrar sólo dos, Chema Alonso de Informática64 y Daniel Calzada, colega de la EUI y administrador del servidor Web de CriptoRed, de quienes admiro -y envidio sanamente, he de confesarlo- su tremenda facilidad para entender y resolver enmarañados sistemas de protección y desprotección en redes), el formato del evento, su emplazamiento, etc. ¿Alguna empresa interesada?

Si esta entrevista la está leyendo algún directivo de empresa -también tienen derecho a un relax digo yo y leer lo que les plazca, incluso esto- y está interesado en participar en el proyecto de red temática, puede ponerse en contacto conmigo. Se trata de un proyecto de universidad, que lo firman el Rector de la UPM y el directivo de esa empresa, y en el que participarán en una Comisión de Seguimiento para aportar su visión y planificar el desarrollo del mismo, proyecto del que se auditan sus cuentas por parte de la propia universidad mediante una Oficina de Transferencia de Tecnología.

No estoy ofreciendo humo, hipotéticas puntoscom ni nada que esté en construcción; CriptoRed es una realidad y un referente mundial. Tras 10 años de vida y como primera referencia de red temática mundial, es el momento oportuno para que participen varias empresas patrocinadoras y podamos dar ese salto cuantitativo que nos permita poder contratar becarios, aumentar los servicios, generar eventos, etc. Hablamos de un pequeño aporte económico que, no obstante, puede significar mucho en visibilidad de la empresa en la red; basta ver las entradas en buscadores por CriptoRed y por CIBSI, y las que seguro se sumarán si organizamos el Madrid Hacking Meet, que buena falta hace.

Y finalmente un proyecto en el que llevo ya dos años trabajando con alumnos de la universidad; un software en el que había puesto grandes esperanzas de que fuese un verdadero bombazo al subirlo a la red a mediados de 2009, como así hubiera sido si no es porque la realidad empresarial ha querido que se quede en una gran decepción, una de las peores que he tenido en mi vida profesional.

El proyecto se llama PlagioStop y consiste en una aplicación freeware que se ejecuta en local y que hace una comparación de uno o varios documentos entre sí y contra Internet para detectar plagios. Para ello hace uso de buscadores a los que el programa accede para realizar búsquedas exactas de un conjunto de palabras del texto analizado. No es pionero en esta temática pues existen ya una docena de aplicaciones similares en el mercado, pero sí era el primero con descarga totalmente libre y trabajando en local.

Como sabes, este tipo de búsquedas automatizadas o por robots no están autorizadas en dichos buscadores y así lo expresan claramente en sus políticas publicadas en su sitio Web. Es así como una vez hechas las consultas del caso, me encuentro con la imposibilidad de superar esta limitación de uso de los buscadores más populares y por tanto la aplicación no puede ver la luz. No pasa nada, a veces se gana y a veces se pierde, y esta vez me ha tocado perder; pero no tiraré por la borda este proyecto, tengo fe en él.

Lo que no logro entender es cómo lo han hecho otros programas similares que encuentras en la red y usan los servicios de famosos buscadores sin su autorización. ¿Qué les pasará a sus autores? No lo sé y no me incumbe; pero no me negarás que resulta paradójico que un hermoso proyecto educativo, con software gratuito y de la mano de una prestigiosa universidad como la UPM no pueda hacerse público y en cambio estas otras aplicaciones, algunas incluso de pago y que ni siquiera han consultado si podían hacerlo, sí estén tan ricamente en la red.

Se trata de una aplicación de uso libre de la que se beneficiarían miles de profesores de universidad, de institutos, colegios, investigadores, profesionales, abogados, etc. -tengo muchos colegas de universidades que lo estaban esperando como agua de mayo- que tenía como único fin mitigar un poco esta lacra que se conoce como plagio, que estamos ya cansados de soportar en las universidades y que cada vez se hace más patente dada la gran cantidad (no entro en aspectos de calidad) de información que existe en la red con sitios como Wikipedia, el Rincón del Vago, etc. Y mira que yo soy de los que sube sus documentos y otros desarrollos a Internet para su libre descarga, nadie puede decirme lo contrario, pero una cosa muy loable es permitir que usen y compartan tu trabajo y otra muy distinta que te lo fusilen y se queden tan panchos como si eso no fuese un delito.

¿Qué puedo hacer con PlagioStop? Primero que nada hacer gala de una ética profesional que otros desarrolladores no han tenido y no publicar por tanto ese software, quedando sólo de uso personal y en todo caso como prueba de laboratorio siempre a título personal. Y como segunda línea de actuación, seguir avanzando en el proyecto, sacando nuevas versiones y de cuando en cuando volver a contactar con estas empresas, con la intención de que algún buen día se den cuenta que mi proyecto no es una herramienta que les pueda afectar en sus resultados estadísticos ni económicos y que, muy por el contrario, les permitiría mostrarse como empresas que apuestan por algo tan noble como es mitigar en parte el fraude que origina el plagio, digamos que harían una obra social.

¿Solución? Crear un blog sobre este tema explicando las razones que me impulsaron comenzar este proyecto, que las hay, escribir un documento sobre el funcionamiento de PlagioStop contando con la colaboración de los 5 alumnos que ya han trabajado en ello y los que continuarán en su desarrollo, mostrar ejemplos de la aplicación con capturas de pantalla y resultados, etc., de forma que se sepa qué aplicación gratuita podríamos estar utilizando para nuestro provecho miles de profesionales, luchando así contra el plagio, pero que a fecha de hoy restricciones de uso impiden que sea una realidad y por tanto no se hace pública. La esperanza es lo último que se pierde.

11. ¿Qué libros podrías recomendar para quienes quieran conocer un poco más sobre la criptología?

Sin lugar a dudas, el libro más genérico e introductorio sobre estos temas orientado a todos los públicos sería “Cripto: cómo los informáticos libertarios vencieron al gobierno y salvaguardaron la intimidad en la era digital” de Steven Levy, una obra básica que aunque tenga ya casi diez años constituye una apasionante lectura sobre los enrevesados caminos por los que ha atravesado la criptografía en la era moderna.

Como libros de texto me quedo con “Cryptography and Network Security” de William Stallings y “Handbook of Applied Cryptography” de Alfred Menezes, este último además para libre descarga desde su sitio Web. Y cómo no, los libros electrónicos que se indican en la red temática, y por supuesto entre ellos el mío -la falsa humildad por delante- que ya ha superado las 70.000 descargas y que al ser gratis no me he llevado ni un céntimo por ello.

Jorge, de corazón, es un verdadero placer poder haberte realizado esta entrevista y que hayas compartido con nosotros tu tiempo y tus conocimientos. Esperamos colaborar contigo más en profundidad en futuras iniciativas que realicemos más adelante.

Muchas gracias y te deseamos mucha suerte en todas estas iniciativas que estas llevando a cabo.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Email: i-merma@microsoft.com

Microsoft España

Microsoft Security Advisory 975497

2009-09-09T18:28:02Z

Microsoft está investigando un informe que se ha hecho público acerca de una posible vulnerabilidad que afecta a Microsoft Server Message Block (SMB) , que afecta a los sistemas operativos Windows Vista, Windows Server 2008 and Windows 7 .

Una vez se haya finalizado la investigación, Microsoft tomara la correspondiente solución para proteger a sus clientes, que puede incluir una actualización de seguridad a través del ciclo normal de publicación de actualizaciones, o bien proporcionándola fuera del ciclo habitual de actualizaciones, dependiendo de las necesidades del cliente.

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. Para más información consulte Asociados de Microsoft Active Protections Program (MAPP).

Para más información visitar :

- La advertencia de seguridad 975497 .

- El Blog de MSRC (Microsoft Security Response Center )

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

i-merma@microsoft.com

Microsoft España

Microsoft Security Advisory (975191)

2009-09-04T13:38:07Z

Las advertencias de seguridad de Microsoft, son un complemento a los Boletines de Seguridad, destinadas a solucionar cambios que no requieren la instalación de actualizaciones pero que afectan a los clientes en materia de seguridad.

Esta semana se ha publicado una Advertencia de Seguridad (975191), correspondiente a una vulnerabilidad en el servicio FTP de Internet Information Services, que podría permitir la ejecución remota de código.

Una vez terminada la investigación de esta vulnerabilidad, Microsoft tomará las medidas apropiadas para proteger a los clientes, que podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización fuera del ciclo habitual.

Para obtener información adicional , consulte la documentación publicada en el Web Site de TechNet.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

i-merma@microsoft.com

Microsoft España

BitLocker-To-Go

2009-08-10T17:41:00Z

Una de las razones de seguridad por las que elegir Windows 7 es la funcionalidad BitLocker-to-go.

PORQUE CIFRAR UNIDADES USB Y DISCOS DUROS

El robo de ordenadores portátiles así como la facilidad con la que tendemos a descuidar las unidades USB es una de las mayores preocupaciones de los usuarios, que más que temer la perdida de los dispositivos en sí, su principal preocupación es la perdida de los datos privados y confidenciales y el desconcierto que nos produce el saber a las manos que llegaran a parar.

MEJORAS DE WINDOWS 7

Winodows 7 ha mejorado la funcionalidad de BitLocker que ya incluía Windows Vista.

Entre las características que incorpora Windows 7 se encuentra la ampliación del cifrado Bitlocker a los dispositivos extraíbles, pudiendo cifrar en su totalidad dispositivos USB, discos externos así como tarjetas Flash.

La interfaz amigable de BitLocker To Go lo convierte en una excelente función, fácil de usar y manejar, incluso para aquellos usuarios no avanzados. Además, puede ser usado incluso por aquellos usuarios que no dispongan de permisos administrativos en el equipo.

DEMO: CIFRADO DE UN DISPOSITIVO USB

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

i-merma@microsoft.com

Microsoft España

Herramienta de Evaluación de Seguridad de Microsoft

2009-08-05T15:16:44Z

La Herramienta de Evaluación de Seguridad de Microsoft (MSAT) es una herramienta gratuita diseñada para ayudar a las organizaciones que tengan en torno a 50 y 1.000 empleados a evaluar los puntos débiles de su entorno de seguridad de IT.

Esta herramienta es ideal para comenzar tomando una instantánea del estado actual de su seguridad y así poder monitorizar de forma constante la capacidad de su infraestructura para responder a las amenazas de seguridad.

MSAT proporciona:

· Un conocimiento constante, completo y fácil de utilizar del nivel de seguridad.

· Un marco de defensa en profundidad con análisis comparativos del sector.

· Informes detallados y actuales comparando su plan inicial con los progresos obtenidos.

· Recomendaciones comprobadas y actividades prioritarias para mejorar la seguridad.

· Consejos estructurados de Microsoft y de la industria.

PROCESO

MSAT consta de más de 200 preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las preguntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores prácticas comúnmente aceptadas, estándares tales como las normas ISO 17799 y NIST-800.x, así como las recomendaciones y orientaciones normativas del Grupo Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.

A partir de una serie de preguntas acerca del modelo de negocio de su compañía, la herramienta crea un Perfil de Riesgos de Negocio (BRP), calculando el riesgo de su empresa al hacer negocios según el modelo empresarial y de negocio definido por BRP. Una segunda serie de preguntas tienen como fin elaborar un listado con las medidas de seguridad que su empresa ha implementado a lo largo del tiempo.

Además de medir la equivalencia entre riesgos de seguridad y defensas, esta herramienta también mide la madurez de su organización

Puedes volver a ejecutar la herramienta tantas veces como quiera después de obtener las orientaciones facilitadas por MSAT y de implementar las medidas de seguridad necesarias para tener un conocimiento preciso de los progresos realizados tomando como punto de partida el informe MSAT.

Compatible con los SSOO Windows Server 2003 Service Pack 2, Windows Server 2008, Windows Vista y Windows XP Service Pack 2, esta disponible para su descarga aquí.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

i-merma@microsoft.com

Microsoft España

Actualizaciones de Seguridad OOB

2009-07-29T12:55:31Z

Hemos publicado dos boletines de seguridad fuera del ciclo habitual con el objetivo de proporcionar la mejor protección posible a nuestros clientes.

Las nuevas actualizaciones corresponden a:

MS09-034: trata una vulnerabilidad en Microsoft Internet Explorer (KB 972260)
MS09-035: trata una vulnerabilidad en Microsoft Visual Studio (KB 969706)

Nuestra recomendación es tener activadas las actualizaciones automáticas que permiten la descarga e instalación de las últimas actualizaciones de seguridad de manera automática de los productos tan pronto se encuentren disponibles.

Información adicional está disponible en los siguientes blogs:

Blog de Microsoft Security Response Center (MSRC).
Blog BlueHat , Security researcher perspective

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Microsoft España

Nuevo Web Site MSRC

2009-07-06T14:46:41Z

Hola a todos!

Os anunciamos el lanzamiento del Nuevo portal de MSRC (Microsoft Security Response Center).

La misión de Microsoft Security Response Center (MSRC) es lograr que los sistemas y redes de nuestros clientes operen con seguridad. Una parte fundamental en esta misión consiste en la evaluación de los informes que los clientes proporcionan sobre posibles vulnerabilidades en los productos de Microsoft y, si fuera necesario, garantizar la preparación y divulgación de revisiones y boletines de seguridad que respondan a estos informes.

Este nuevo site presenta mejoras impresionantes respecto a la versión previa, incluyendo un nuevo diseño y apariencia que permite una navegación más fácil e intuitiva , junto con un contenido más estructurado.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Microsoft España

Lanzamiento de Windows Security Essentials

2009-06-30T16:06:47Z

Microsoft lanzo el pasado 23 de junio la versión beta de Windows Security Essentials, el antivirus gratuito que proporciona a los usuarios una alta protección frente a virus, spyware, rootkits y troyanos.

Microsoft Security Essentials es compatible con las versiones:

Windows XP (Service Pack 2 o Service Pack 3), Windows Vista y Windows 7 (Beta o Release Candidate)

MSE está disponible para su descarga directamente desde Microsoft, en la siguiente dirección:

http://www.microsoft.com/security_essentials/market.aspx .

De momento solo está disponible para clientes que residan en EEUU, Israel, China y Brasil.

Esta solución gratuita estará disponible en el segundo semestre de 2009 en 10 idiomas.

Microsoft Security Essentials está diseñado solamente para los consumidores finales, aunque Microsoft continuara ofreciendo soluciones de seguridad para empresas con la familia de productos de Forefront.

Los clientes pueden confiar que el software que se descarguen es legitimo y no software malicioso que pueda contener algún tipo de malware, como bien explicamos en el post anterior.

Este producto se centra en ofrecer:

Protección en Tiempo Real: Usa protección en tiempo real para ayudar a protegerse contra las potenciales amenazas antes que lleguen a ser una amenaza real.

Protección frente a Rootkits: MSE incluye mejoras para proporcionar defensa adicional contra rootkits y otras amenazas.

Software Gratuito : Disponible sin costo alguno, para la descarga de este programa no es necesario un largo proceso de registro ni facilitar información bancaria.

Actualización Automática: MSE se actualiza automáticamente para asegurar que la aplicación se mantiene siempre actualizada.

Según un estudio reciente realizado por AV-Test GmbH, en el que se comparaba la efectividad de diferentes soluciones antivirus contra más de 3.000 virus, Microsoft Security Essentials detecto exitosamente como maliciosos todos los archivos que analizo , frente a otros antivirus y escáneres que no llegaron a detectar todos.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Microsoft España

Entrevista a Chema Alonso

2009-06-16T14:45:29Z

Hola a todos!

A partir de ahora, y con carácter mensual, vamos a dedicar un pequeño espacio para entrevistar a expertos en seguridad, tanto de Microsoft como de otras compañías. Intentaremos que sea un espacio diferente, más colaborativo con los lectores del blog, por tanto estará abierto a vuestra participación.

Podéis proponer temas y sugerencias dirigiéndoos al siguiente correo electrónico: i-merma@microsoft.com

La primera entrevista la abre Chema Alonso, Director Técnico de Informática 64 y MVP de Microsoft. ¿Qué significa ser MVP? Para aquellos que no estéis muy familiarizados con el termino, el programa Most Valuable Professionals (MVPs) está compuesto por una comunidad de líderes técnicos a través de todo mundo, a quienes se premia por compartir de manera voluntaria su conocimiento. Personas de reconocido prestigio, absoluta confianza y accesibles que poseen una amplia experiencia en uno o varios productos de Microsoft® y que participan activamente en las comunidades en línea para compartir sus conocimientos , experiencia y ayudar a los demás.

1. ¿Cómo fueron tus inicios en el mundo de la seguridad informática?

Mis comienzos en este mundo fueron desde una aproximación desde el mundo de los sistemas informáticos. Yo venía de trabajar con bases de datos, con redes y tecnologías Microsoft de servidores y llegar al mundo de la seguridad fue un camino sencillo y casi de atracción mutua. A mí me encantaba y había una necesidad grande de profesionales en aquellos momentos.

2. Tú que eres una persona de mundología… Son conocidos tus viajes por todo el mundo: China, Argentina, EEUU… ¿Como consideras que se encuentra España respecto al resto de países en materia de seguridad?

Esta es una pregunta que me hacen muchas veces y siempre tengo que matizarla de secciones. Creo que tenemos grandes profesionales y una gran comunidad de expertos. Sólo hay que ver como hay profesionales españoles en los principales equipos de seguridad de las grandes empresas. Caso de Fermín en el MSRC de Microsoft, Palako en Yahoo! y un largo etcétera. Además, sólo hay que ver que tenemos representación de profesionales españoles en grandes conferencias internacionales, como los Sexy Panda en la Defcon o David Barroso en la última RSA.

Esto se nota en cuanto a las empresas de seguridad que hay en España, grupos como Hispasec, el laboratorio de Panda Security, el equipo de seguridad de SIA o S21Sec, por citar alguno de los muchos que hay, son de muy alto nivel.

En cuanto a las empresas, en general, pocas han tomado conciencia respecto a la seguridad. Han hecho avances, sobre todo las grandes, invirtiendo en tecnologías, productos y auditorías, pero todavía no se ha metido la cultura de la seguridad en sus procesos. En cuanto a las medianas y pequeñas, empiezan ahora a pensar ello muy tímidamente.

3. ¿Cómo crees que está influyendo la crisis en la toma de decisiones en el área de seguridad?

Es una pregunta difícil. Yo creo que frenar la inversión en seguridad es contraproducente, pero supongo que los responsables de los presupuestos deben ser mucho más finos en estos momentos. Es evidente que la alineación con el negocio por parte de los equipos de IT debe ser especialmente cuidadosa en estos momentos para ayudar a generar más productividad a las empresas, pero una carencia de inversión en seguridad puede hacer que salga más caro generar una nueva vía de inversión con riesgos de seguridad que no sacarla. No olvidemos que los equipos de seguridad no sólo se ven afectados por problemas de continuidad de negocio, imagen o estafas, sino que además existe una legislación vigente que cumplir que obliga a mantener una infraestructura segura.

4. ¿Cuál crees que son las tendencias de seguridad para las empresas en el largo plazo?

Pues a largo plazo no sé, pero a corto y medio plazo tienen muchos retos por delante. El primero de ellos continuará siendo el defenderse frente amenazas clásicas interpretadas por las nuevas mafias mediante el uso de malware y botnets. Seguidamente las empresas tienen el reto de defenderse, y más en estos momentos, contra los riesgos de fuga de información, robo, espionaje, etc.. provocado por ataques o negligencias internas.

Además, tenemos retos tecnológicos de nivel en este país, la integración del e-DNI, la aplicación definitiva de la LOPD, la estandarización ISO 27001 y la inminente llegada de la e-administración con la ley de Acceso hace que el panorama de la seguridad sea de una actividad frenética.

Pararse en esta carrera puede suponer retrasar una empresa u organización su competitividad.

5. ¿Qué ventajas crees que aporta el software propietario frente al software libre frente a garantizar la privacidad y seguridad de la información?

Realmente no creo que el que sea software propietario o no aporta algo mejor de forma estructural. Lo que sí es cierto es que existen productos de software comercial que no tienen competencia en el mundo del software libre simplemente porque el modelo de negocio del software libre en ese campo no ha generado suficiente dinero como para mantener la competitividad.

El software libre tiene buenos proyectos, confiables y seguros, pero estos son muy pocos comparados con una gran mayoría de ellos que no tienen recursos para mantener una evolución constante y son una autentica incertidumbre en su futuro inmediato.

Yo creo que cierto software comercial da una garantía de soporte y continuidad en una línea futura de trabajo. Una empresa no puede actualizar sus sistemas cada seis meses, ni actualizar diariamente su software ni, por supuesto, cambiar la arquitectura de sus servicios porque un producto sea discontinuado.

El software libre y el software pueden y deben convivir en una búsqueda equilibrada entre la inversión adecuada en tecnología para una productividad mayor, tanto de la empresa como de la administración de este país.

6. Muchas veces la seguridad no es tenida en cuenta como un factor determinante para la competitividad de las empresas ¿Qué opinión tienes al respecto?

El que no tome la seguridad como un factor determinante para la competitividad de la empresa es un peligro en la gestión de presupuestos y deberían mandarle a hacer algún otro trabajo.

Desde mi ocupación laboral, realizando test de intrusión a empresas, he visto a muchas compañías perder dinero por sistemas inseguros. Empresas que no han podido trabajar durante días porque les han colonizado sus servidores de correo y no se podían comunicar con sus clientes y proveedores, empresas que no han podido pagar impuestos a tiempo por culpa de virus informáticos y directamente empresas a las que les han robado dinero a través de webs inseguras.

El que necesite que le expliquen esto debe ser puesto en un listado de managers que nunca deben ser contratados en una empresa.

7. Has participado proactivamente en el voluntariado de seguridad de Microsoft, dando charlas de seguridad online a los menores en diferentes colegios ¿Cuál ha sido tu experiencia en esta iniciativa?

Pues me lo he pasado genial, los chavales son muy divertidos y espontáneos. Sus reacciones son de asombro, miedo y descubrimiento. Cuando les explicas los problemas posibles, los riesgos y lo que pasa en Internet si no se toman precauciones ellos se sienten identificados. Te cuentan sus experiencias y te piden consejo. Es increíble el uso intensivo que los chavales le dan hoy en día a Internet.

Siempre intento hacerles entender a ellos y a los padres que Internet es genial y que tiene que entrar, descubrir, conocer, usar y aprovecharse de este regalo que es Internet, pero que lo hagan con seguridad.

Me ha encantado la experiencia y repetiré seguro.

8. ¿Qué medidas de seguridad implementas como usuario final? ¿Eres de los paranoicos obsesionados con el malware que se puede introducir en tu pc, o más bien eres de los de “en casa del herrero cuchillo de palo”?

Pues en mi PC implemento una política genial. No abro ningún mail que viene de quién no conozco, jamás uso un usuario privilegiado o privilegios cuando trabajo con programas o navego por Internet. Todo actualizado. Firewall on. No instalo ningún programa que no sé de donde viene (tengo la suerte de tener la suscripción Technet y MSDN para disfrutar del software directamente de la raíz) y disfruto de un Windows Vista en el que tengo las protecciones activas desde principio. Es bastante sencillo mantener un Windows Vista o Windows 7 seguro sin mucho esfuerzo. Lo siento por esos pobres que reinstalan su sistema cada seis meses. Mi Vista se instaló una vez y va mejor cada día.

9. ¿Qué conferencias tienes previstas realizar recientemente?

Pues ahora mismo tenemos por delante la gira del Summer Of Security por cuatro ciudades Españolas.

Después tenemos un curso de verano fantástico en la Universidad de Salamanca donde se van a juntar 15 pájaros de cuidado en el mes de Julio.

Y después de esto me voy a Colombia a participar en otro curso internacional y de ahí a Las Vegas, a participar en la Defcon 17 con un grupo de españoles por allí. Como puedes ver yo no me aburro. ;)

10. Imagino que te lo habrán preguntado muchas veces… pero es asombrosa la dedicación que le prestas a tu blog. ¿De dónde sacas esa constancia para escribir de manera diaria?

Pues yo creo que porque después de haber estado trabajando de pintor, barnizador y albañil creo que es un lujo el trabajo que tengo y la verdad, adoro mi trabajo. Parece mucho, pero es un placer. En mi blog además escribo de lo que vivo, aprendo, descubro, dibujo o me pasa. Es un blog muy personal en el que muchas veces tengo más cosas que publicar que las que realmente pongo, pero… no quiero ser más pesado de lo que ya soy. Si lo haces con placer… siempre hay un minuto para publicar y no olvides que yo estoy conectado a Internet todo el tiempo que estoy despierto ;)

11. ¿Por qué consideras que hay tan pocas mujeres en el mundillo de la Seguridad?

No creo que haya tan pocas, el ratio es más o menos el mismo que en la informática en general. El tema es que se ha corrido la voz que en la carrera de informática no hay chicos guapos (algo totalmente falso porque aquí me tenéis a mí y al resto de los frik… digo.. de los ingenieros) y prefieren tirase por carreras con más glamour. Realmente hay algunas muy,muy, muy buenas, pero yo creo que prefieren mantener su anonimato. Muchos de esos nicks que se ven por ahí son chicas, pero es difícil saberlo cuando el Nick es ka8bu_kiFX!

12. Nos das permiso para publicar esa famosa foto del calendario…. ¿¿????

Claro, pero… ¿es corporativo publicar una foto así en Spectra? No vaya a ser que te quedes sin trabajo sólo por lucirme. ;)

Gracias por todo Chema, si ves que este blog no continua publicando artículos, ya sabrás el motivo… :)

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Microsoft España

TENDENCIAS MALWARE

2009-06-13T21:40:11Z

Según representa el siguiente gráfico, los hackers pueden categorizarse en diferentes perfiles, cuyas motivaciones con el transcurso del tiempo van cambiando: En primer lugar se encuentran aquellos hacker inexpertos, personas sin amplios conocimientos que hacen uso de aplicaciones ya desarrolladas y se autoforman siguiendo tutoriales y diferentes manuales explicativos que se encuentran en la red, y cuya principal motivación es su innata curiosidad pero sin deseos de producir daños.

Avanzando un poco, se encuentra el grupo de hackers amateur, representado por programadores con muchos conocimientos informáticos aunque sin solida formación, motivados por obtener ganancias económicas.

Y en la cumbre, se encuentran los hackers especialistas, movidos por intereses nacionales, nuevos grupos en auge pertenecientes a grupos muy organizados: servicios de inteligencia, diferentes áreas de espionaje industrial, grupos terroristas, criminales profesionales…

Y claro, no podía ser menos, los hackers también cuentan con ramas de especialización

NO !!! no todos los hackers son iguales:

Tienen su correspondiente especialidad, desde Lammers o Script-Kiddies, Crackers, Carders, Phreakers, Newbie, White Hats, Dark Hats, Hacktivistas, War driver, Trashing …., y así una larga e interminable lista. Nombrare los que me causan especial atención:

Hacktivistas: hackers con motivaciones ideológicas, con ética propia, promoviendo entre sus cibercomunidades, políticas propias tales como los derechos humanos, uso libre de las tecnologías, igualdad social…

White Hats: También conocidos como “hackers del lado del bien”, es decir, hackers éticos, expertos en seguridad informática, cuyos objetivos son descubrir e identificar vulnerabilidades de seguridad, avisando a las compañías propietarias de las vulnerabilidades descubiertas en sus productos.

ESTABLECIMIENTO DE MAFIAS

Y es que el negocio del malware es tan elevado que ha llegado a superar los ingresos que deja el negocio de la droga en todo el mundo, según datos de la consultora Frost & Sullivan.

Hoy en día los compradores y vendedores de malware se reúnen a través de un “mercado negro”, web sites diseñados especialmente para este propósito. En estos sitios virtuales existen foros y subastas, donde puede llegar a encontrarse desde virus diseñados a medida, tarjetas de crédito con sus correspondientes PIN’s, hasta una amplia oferta de Exploits 0-days clasificados por producto y vulnerabilidad. Los precios pueden rondar desde 200 euros hasta alcanzar soluciones a medida que superan los 30.000 Euros.

Mercedes Martín

Responsable de Iniciativas de Seguridad y Privacidad

Microsoft España

Asegur@IT VI

2009-05-26T20:35:00Z

Hola a todos !

Próximamente tendrá lugar la sexta edición del Asegur@IT , que tendrá lugar en Madrid. Para todos los interesados, os recordamos que las plazas son limitadas !!!

La agenda del evento es la siguiente :

09:00 - 09:15 Registro

Se recuerda a todos los asistentes que deben traer el papel de confirmación de registro con el código de barras.

09:15 - 10:00 Auditoria WiFi con WiFiway

Sergio Gonzalez "Anelkaos", es auditor de seguridad y uno de los responsables de Wifiway, una de las suites más utilizadas para auditoría WiFi. En esta sesión mostrará como se puede utilizar esta colección de programas para auditar la seguridad Wifi de redes corporativas.

10:00 - 10:45 Blind XPath Injection

Pedro Laguna, de Informática64, dedicará esta sesión a hacer un recorrido de las técnicas XPath Injection y Blind XPath injection, utilizadas para vulnerar sistemas web mal desarrollados. Además, mostrará cuales son las técnicas necesarias para securizar y fortificar una aplicación web que utilize XPath.

10:45 - 11:30 El e-DNI en mi Directorio Activo

Rames Sawart, de SmartAccess, contará cual es el proceso de autenticación de un usuario en una máquina local o en un dominio Microsoft y cómo puede ser extendido ese proceso para autenticar cuentas de usuario con el e-DNI. No es necesario crear ningún nuevo deployment de smartcards si tus usuarios tienen su e-DNI para autenticarse en la red.

11:30 - 12:00 Café

12:00 - 12:45 Rainbow Tables. Principios de funcionamiento

Gonzalo Álvarez Marañón, investigador de CSIC, dedicará esta sesión a explicar cual es el concepto teórico y matemático en la construcción de Rainbow Tables, como se generan y como se utilizan para automatizar el proceso de descifrado de hashes.

12:45 - 13:30 MSRC: Security Response Process

Fermín J. Serna, miembro del equipo MSRC de Microsoft dará una sesión contando como funciona el equipo de respuesta ante incidentes de seguridad más famoso del mundo y contará algunos de los casos famosos en los que han tenido que actuar.

13:30 - 14:00 Preguntas a los ponentes

La última media hora del evento estará a disposición de los asistentes para realizar preguntas a todos los ponentes.

Mercedes Martín

Security & Privacy Initiatives