La desinformación

images

Existe una plaga en Puerto Rico peor que el alto nivel de incidencia en crímenes de origen Cibernéticos.  Se llama la desinformación. Uno de los problemas más malos que puede existir cuando se toma cualquier dato por cierto, sin ningún tipo de investigación. En Puerto Rico alguien habla de Hackers y rápido todo el mundo tiembla, o sea, los medios se han encargado de crear dicha histeria.

Vamos hacer una disección del artículo de El Nuevo Día por Marian Díaz:

http://www.elnuevodia.com/eviteservictimadeloshackers-1623030.html

Primer Punto:

“Contrario a lo que algunos piensan, el “hacker” cibernético es alguien muy normal, que solo necesita tres o cuatro datos personales para generar un perfil falso sobre su persona.”

No se tiene que ser hacker para generar un perfil falso, cualquiera con la mala intención puede hacerlo sin ninguna capacitación técnica de alto nivel como la de un Hacker. Día a día las personas utilizan redes sociales como LinkedIN, Twitter y Facebook para personalizar a alguien y hacer daño sin tener que ser un Hacker Cibernético. Entonces: ¿estas personas con mala intención y sin experiencia técnica se le clasifican como Hackers? Si esto es así, eso demuestra la poca capacidad de investigación que tienes los encargados de los medios para orientar de manera correcta.

Definamos alguien normal…

Los médicos Wildo Vargas, Rafael Miguez Balseiro, y Erica Rivera Castro eran ciudadanos normales, de alta educación, ayudaban a las personas a mejorar de sus condiciones físicas gracias a su capacidades como médicos. Jefes de familia, personas con licencia y responsables en sus impuestos. Lamentablemente estos médicos decidieron utilizar sus conocimientos para cometer fraude y engañar al sistema de seguro social con reclamos de incapacidad fraudulentos.

Estos médicos son los “expertos en la materia” (Hackers) que decidieron utilizar sus conocimientos para hacer el mal (Crackers). Eran personas normales, entonces la pregunta es ¿qué son personas normales?

Artículo FBI:

http://www.fbi.gov/sanjuan/press-releases/2013/seventy-five-individuals-arrested-and-indicted-in-puerto-rico-for-social-security-fraud

 Segundo Punto:

“Las pymes son las más dulces para los “hackers”, aunque ninguna empresa, sin importar el tamaño, está exenta de ataques cibernéticos.”

En honor a la verdad existen varios puntos en el mundo de las PYMES.  La queja de la gran mayoría de los consultores de sistemas de información en Puerto Rico es que  las llamadas pequeñas y medianas empresas (PYMES) no le gusta invertir en seguridad por costos. No por falta de conocimiento.

El otro punto de las PYMES es el concepto que mucha gente falla en observar, “Zapatero para su zapato”. Los dueños de PYMES le pagan “40 pesos” al hijo del vecino que “sabe de computadoras” que a un profesional con experiencia que le saldrá un poco mas alta la inversión por los conocimientos del mismo.  No estoy diciendo que todos lo hacen, pero una gran parte de ellos si. En términos técnicos esto seria igual que tener problemas de corazón y visitar un mecánico para tratar de resolver el problema. También mucho de ellos buscan información en Google y proceden hacer la gestión por su cuenta.

Ejemplo clásico: Cliente me llama que compró 3 máquinas en Costco para que se las prepare a trabajar en la red de la compañía. Las máquinas que compró el cliente tenían licencias “Home” que viene con unas limitaciones que dificultan la incorporación a una empresa.  Pecamos de hacer y después preguntar. Ahora el cliente debe comprar licencias adecuadas para las máquinas que compró o devolverlas y comprar máquinas aptas para que funcionen en la red de la compañía.

 Tercer Punto

“La encriptación de información es otra alternativa que tienen las compañías para protegerse de que la información sensitiva caiga en manos inescrupulosas. “Es como ponerle una doble capa de seguridad a la data, como encapsularla”, dijo la experta.”

Aunque entiendo que los anglicismos están aceptados en los periódicos, “encriptación” no es la palabra correcta cuando hablamos de este término. Si queremos proteger información en una segunda capa se le llama cifrar la información. Claro, acepto que la real academia ya a incorporado varios anglicismos al diccionario, pero ese no es el caso.

En lo técnico si le doy la razón, aplicar una segunda capa de protección nunca esta demás y definitivamente ayuda a retrasar el proceso de recuperación de datos. Digo atrasar, ya que algoritmos matemáticos se puede descifrar, lo que no lo hace cifrar una solución 100% segura.

Licencias de Microsoft como “Pro y Ultimate” ya incluyen programas como Bit Locker para cifrar discos duros, y todas las MAC  tienen Filevault para lo mismo. Distribuciones Linux como Ubuntu y Federa incluyen también la capacidad de cifrar discos duros completos con TrueCrypt.  En esta ocasión nos quedamos con las máquinas con licencia “Home” de MS que sí necesitarían instalar una aplicación.

Cuarto Punto:

 “Si por mala suerte o descuido le roban el equipo y la información contenida en él no estaba encriptada, usted podría borrarla a distancia para evitar que los “hackers” se apropien de ella. Para eso, necesitará adquirir una aplicación, cuyo precio comienza en $30 y está disponible para Android y iPhone.”

Existen muchas alternativas libre de costos para borrar sus equipos remotos. Por ejemplo para iPhone esta FindMy  iPhone que permite hacer “remote wipe” ósea borrar su teléfono remoto. Mi crítica siempre es “la seguridad no tiene que necesariamente costar mas”

Aquí un reportaje de TechRepublic con varias alternativas para Andriod.

http://www.techrepublic.com/blog/five-apps/five-apps-to-wipe-data-from-your-android-phone/

Quinto Punto

“Si pese a las medidas que ha tomado para evitar la fuga de información, usted o un empleado es víctima de algún “hacker”, entonces siga los pasos que establece el protocolo de la compañía. Usualmente, esa tarea la realiza la gente de Recursos Humanos, en caso de que la compañía sea pequeña o mediana; y si es una empresa grande, la responsabilidad recae en la gente de sistemas de información.”

Vamos a poner las cosas en justa perspectiva, un empleado molesto es una persona que no esta conforme con su empresa, este empleado conoce cómo trabaja la empresa de arriba a bajo y sabe dónde podría hacerle daño a la misma. En el 2011 los empleados molestos representaban $640 millones en pérdidas para las empresas en el 2013 ese número se a duplicado.  Entonces no necesariamente la fuga de información se debe a los medios sociales de red o a que algún “hacker” tenga como tarjeta su compañía. Es un poco mas complejo que eso. Claro eso no resta que dar información de más en las redes sociales no ayuda.

La seguridad es responsabilidad de todos dentro de una empresa, no solo de recursos humanos, o de los técnicos de sistemas de información. Lo que si es cierto es que el dueño de la información es quien establece los controles. O sea, el dueño de la empresa, el vicepresidente o lo que se le conoce en inglés como “upper level management” son los responsables de establecer los controles para dicha información.  ¿Cómo lo hacen? Bueno a trevés del Director de Informática. Decir que   “la responsabilidad recae en la gente de sistemas de información” es lo mismo que decir que la criminalidad recae sobre la Policía.

Es sumamente importante que empecemos a evaluar a nuestros expertos.  En el mundo de la informática se a prostituido esto de tener un certificado y engancharse un título rápido.

Ejemplo CompTIA S+ es una certificación de nivel de entrada al mundo de seguridad, de las más simples y sencillas de pasar. En el internet se pueden conseguir las contestaciones para este examen y pasarlo sin ningún problema. Entonces, ¿Le decimos experto a cualquiera que tenga esta certificación? ¿Qué pasó con años de experiencia en el tema? ¿Qué paso con estudios académicos en el tema?

Para decir más, existen centro de educación que tienen certificaciones de Hacker Ético que ni requieren examinación y ni tienen relevancia real en el mundo de informática ya que este mundo esta en constante movimiento y evolución.  Debemos empezar  a tener mas curiosidad, preguntar y educarse realmente antes de decirle a cualquiera experto.

Posdata:

 

Si has llegado hasta aquí es por que el tema te interesa. Quiero que sepas que la definición del reportero de Ingeniería Social llora ante los ojos de Dios.

“A esa práctica se le conoce como ataques de ingeniería social, que es la disciplina de extraer información confidencial y sensitiva de una empresa mediante la persuasión, haciéndose pasar por otra persona, que no es la que dice ser, para sacar información al empleado.”

La disciplina de extraer información sensitiva no es la mejor definición de Ingeniería Social.  Ingeniería Social es un arte, es la capacidad de manipular situaciones sociales a tu ventaja; es engañar a la gente y provocar que el resultado sea favorable para el atacante. Es la parte menos técnica del mundo de la seguridad de información, ya que la tarjeta principal en la Ingenieria Social es el eslabón más débil de la cadena: el ser humano.  Por este mismo problema de desinformación es que el ser humano representa el acceso más vulnerable en el flujo de la información. Su debilidad ante la persuasión causa muy poca resistencia ante un ataque elaborado de una persona con mala intención. La única defensa ante dichos ataques es la información correcta, la prevención, el cuidado y el constante entrenamiento de personal en todos los niveles dentro de una organización o compañía.


Posted in IT and tagged , by with no comments yet.