Seguridad

Por definición, los portátiles del Departamento de Estado contienen información delicada -y a menudo secreta- sobre las relaciones diplomáticas con otros países. Pero es que además al menos 400 de los portátiles desaparecidos pertenecen al Programa de Asistencia Antiterrorista, responsable del entrenamiento y equipamiento de las fuerzas de seguridad, policía e Inteligencia, un programa administrado por el Departamento de Seguridad Diplomática, responsable a su vez de la seguridad de las redes informáticas del Departamento de Estado (incluyendo los portátiles) y encargado también de proteger a los diplomáticos extranjeros que visitan Estados Unidos.

Por otra parte, y en términos puramente económicos, el material al que se ha perdido la pista supone unos 30 millones de dólares, correspondiendo el 99% a ordenadores portátiles. Si esas cifras fueran fiables, al ser el valor medio de cada máquina del orden de 3.000 dólares, los ordenadores desaparecidos podrían ser en realidad miles...

La Asociación de la Banca Británica (BBS) ha publicado un código (que ha entrado en vigor el pasado 31 de marzo) que responsabiliza de posibles pérdidas en sus cuentas de banca electrónica a los usuarios que actúen de forma fraudulenta, pero también a todos aquellos que no observen un "cuidado razonable" (punto 12.11).

Lo que la banca británica entiende por "cuidado razonable" se aclara en los puntos 12.5 y 12.9, a los que nos remite. Por ejemplo, el punto 12.9 especifica lo siguiente:

Mantenga seguro su PC. Utilice antivirus y spyware (sic) actualizados y un cortafuegos personal.

Otras recomendaciones van dirigidas a evitar el phishing, como -por ejemplo- escribir las URLs a mano en el navegador y desconfiar siempre de emails que parezcan proceder del banco.

De acuerdo; son buenos consejos, que nunca vienen mal. La novedad es que a partir de ahora dejan de ser "consejos" para convertirse en normas vinculantes, por lo que el banco no responderá de aquellas pérdidas en que pueda alegar su incumplimiento...

El pasado año la Agencia Europea para la Seguridad de Información y Redes (ENISA) patrocinó un estudio dirigido a identificar los obstáculos para una mayor seguridad y proponer soluciones.

El estudio (realizado por académicos de la talla de Ross Anderson) acaba de ser presentado a ENISA, que lo ha publicado y abre además un debate público en torno al mismo hasta el próximo 30 de abril.

Dado que el estudio es largo (114 páginas) me permito extractar y traducir a continuación un resumen de sus quince conclusiones principales...

Seguimos extrayendo consecuencias prácticas del "ataque en frío"...

Aunque ya dediqué un artículo completo a valorar las repercusiones del famoso "ataque en frío", en esta nota iré un paso más allá, intentando que lo aprendido a partir de ese ataque pueda ser aprovechado en nuestro beneficio como usuarios comunes de ordenadores.

Supongamos que utilizas un sistema Linux y súbitamente el programa donde estabas escribiendo un valioso documento se cuelga. Otro caso mucho más frecuente es que pierdas por error todo lo que habías editado mediante Firefox (un artículo o un comentario para un blog, por ejemplo), tal vez simplemente porque cerraste la pestaña antes de guardar lo escrito. ¿Es posible recuperar esos datos de alguna manera, en vez de tener que recomenzar desde cero? ¿Qué puede hacerse?

Casi mejor empezaremos por decir lo que no debe hacerse. Lo que no debe hacerse es lo que todos solemos hacer: volver a arrancar el navegador (por ejemplo), para ver si los datos "mágicamente" son recuperados desde la caché y nuestra pesadilla se evapora. O arrancar de nuevo OpenOffice para ver si podemos recuperar algún rastro. ¿Por qué no es buena idea? Porque volver a arrancar ese programa eleva las posibilidades de que el espacio de memoria RAM donde aún estaban nuestros datos se sobreescriba, perdiéndolos así quizás definitivamente...

Por Fernando Acero

El pasado día 8 de febrero, y en un céntrico club madrileño, se escenificó cara al público, un nuevo acuerdo entre el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia, y la multinacional del software Microsoft.

Esta relación entre el CCN y Microsoft no es nueva; comenzó en el año 2004 con la firma del acuerdo para el acceso al código fuente de Windows. A esta firma le siguió, en 2006, la del acuerdo para acceder al código fuente de la "Suite" ofimática Office. La del pasado día 8, que abre una vía de colaboración entre la Administración y Microsoft, tiene la intención de prevenir y dar respuesta a incidentes de seguridad informática que puedan afectar a la seguridad pública y nacional. El objetivo sería garantizar el funcionamiento eficaz de las Tecnologías de la Información y las Comunicaciones (TIC) que están al servicio del ciudadano y de los intereses nacionales. Todas estas iniciativas se enmarcan en el "Goverment Security Program" (GSP), o en el "Security Cooperation Program" (SCP), que Microsoft ofrece a gobiernos de todo el mundo. En palabras de D. Luis Jiménez, subdirector general adjunto del Centro Criptológico Nacional del Centro Nacional de Inteligencia:

Este acuerdo ratifica públicamente el compromiso del Centro de garantizar la seguridad de las Tecnologías de la Información en el ámbito de la Administración, para lo cual, se necesita trabajar en un entorno de colaboración entre la industria y los gobiernos. El intercambio de información y su posterior análisis entre el CCN-CERT y Microsoft se utilizará para ayudar a prevenir cualquier ataque, anticiparse en lo posible a ellos y, en caso de que se produzcan, dar una respuesta rápida para mitigar los efectos.

Sin entrar a analizar los posibles beneficios del acuerdo firmado, da la impresión de que se piensan poner recursos públicos para mejorar los productos de una multinacional extranjera, al menos en lo que se refiere a la seguridad. También es cierto que este acuerdo ha sido firmado por otros 44 países antes que España, que se supone que harán lo mismo que nosotros, es decir, intentar colaborar para mejorar la seguridad de los programas de Microsoft. No obstante, dicho esfuerzo, si se dedicase al Software Libre, podría tener efectos mutiplicadores cara a la seguridad global y al mismo tiempo se tendría una mejor imagen en lo que se refiere al uso de los recursos públicos, pero parece que en este momento nos encontramos a años luz de considerar que esto puede ser de este modo...