Las \u00faltimas 24 horas han sido incesantes las noticias sobre el problema de seguridad que ha padecido Telef\u00f3nica. Para variar, los medios de comunicaci\u00f3n cuentan historias rar\u00edsimas -por ser diplom\u00e1tico-, por lo que vamos a contestar algunas de las preguntas que m\u00e1s se escuchan.<\/p>\n
\u00bfQu\u00e9 es el Ransomware?<\/strong> Un programa que cuando se instala en tu ordenador, dice que te cifra los datos, y dice que si pagas alguna cantidad -actualmente, mediante bitcoins-, te dice c\u00f3mo descifrar los datos.<\/p>\n \u00bfEl Ransomware cifra realmente los datos?<\/strong> Depende. Hay ransomware que dice que cifra los datos, pero no hace nada, apenas pone la pantalla para asustarte. Hay ransomware que dice que cifra los datos, pero solo renombra los archivos. Hay ransomware que dice que cifra los datos, pero realmente los sobreescribe con valores al azar, por lo que los datos no son recuperables. Y, por supuesto, hay ransomware que realmente cifra los datos.<\/p>\n Si pago, \u00bfRecuperar\u00e9 mis datos?<\/strong> Depende. A veces los datos realmente se han reescrito, y no son recuperables. A veces no te dan la clave.<\/p>\n Si no pago, \u00bfRecuperar\u00e9 mis datos?<\/strong> Depende. Algunos ransomware, una persona que realmente sabe puede encontrar la clave. En otros, los datos no son recuperables, o la clave no puede ser encontrada en tiempo razonable. La forma de evitar el problema, en cualquier caso, no es llegar a este punto, sino emplear las medidas de prevenci\u00f3n. Siempre es mejor prevenir caerte desde un d\u00e9cimo piso que intentar recuperarte desde una ca\u00edda desde un d\u00e9cimo piso.<\/p>\n \u00bfQue es eso del bitcoin?<\/strong> Es una moneda -al menos, as\u00ed lo ha dicho la Uni\u00f3n Europea, principalmente para aplicar a los que cambian bitcoins a t\u00edtulo particular el \u00abtratamiento legal\u00bb de los particulares que cambian monedas fuera del control del estado-. Para Hacienda, para unas cosas es una moneda, y para otras, no es una moneda. Por regla general, para el estado es moneda si as\u00ed le beneficia o te perjudica, y no es moneda si as\u00ed le beneficia o te perjudica. Antiguamente las monedas estaban respaldadas por un bien tangible -patr\u00f3n oro o patr\u00f3n plata-. Despu\u00e9s el estado pas\u00f3 a ser el respaldo de las monedas. Despu\u00e9s se cre\u00f3 el sistema de reserva fraccionaria, por el que los bancos \u00abgeneran dinero\u00bb -la explicaci\u00f3n es complicada, y da para post-. El bitcoin no soporta reserva fraccionaria, y en lugar de estar respaldado por un estado, est\u00e1 respaldado por un algoritmo matem\u00e1tico. De cualquier forma, moneda entre dos personas es lo que acepten de com\u00fan acuerdo, sean euros, bitcoins, o latas de at\u00fan.<\/p>\n \u00bfEl bitcoin es una moneda exclusiva de criminales?<\/strong> No. El bitcoin intenta crear una econom\u00eda paralela, que los estados y los bancos no puedan manipular. Est\u00e1 m\u00e1s relacionada con los movimientos liberales y libertarios que con el cibercrimen. Personalmente yo pago a algunos proveedores con bitcoins -aunque eso me da dolores de cabeza de cara a Hacienda-, y la \u00fanica raz\u00f3n por la que no ofrezco el que se me abonen mis honorarios en Bitcoins es que la hacienda espa\u00f1ola ya se ha encargado de que la experiencia sea lo suficientemente dolorosa como para desincentivarlo. Hay mercados paralelos d\u00f3nde se puede comprar de todo; como puedan ser BitcoinLuxury -cosas de lujo- o artesan\u00eda, segunda mano y electr\u00f3nica de consumo -Bazaar Hound-. Evidentemente que hay mercados para comprar droga y armas con bitcoins. Pero te voy a contar un secreto: es m\u00e1s f\u00e1cil e inmediato comprar droga y armas con euros que con bitcoins. <\/p>\n El bitcoin es secreto y no trazable.<\/strong> No. De hecho, el bitcoin tiene una trazabilidad superior al de las monedas restantes; dado que la blockchain almacena un hist\u00f3rico de todas las transacciones realizadas desde que naci\u00f3 el bitcoin. De hecho, puedes comprobar en vivo cuantos han pagado por el ransomware que ha afectado a Telef\u00f3nica, de d\u00f3nde viene el dinero y a d\u00f3nde va, aqu\u00ed:<\/p>\n https:\/\/blockchain.info\/address\/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw<\/a><\/p>\n Aqu\u00ed:<\/p>\n https:\/\/blockchain.info\/address\/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn<\/a><\/p>\n Y aqu\u00ed:<\/p>\n https:\/\/blockchain.info\/address\/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94<\/a><\/p>\n En las fechas en la que se escribe esto, la primera direcci\u00f3n recibi\u00f3 algo m\u00e1s de 8000 pavos, la segunda algo m\u00e1s de 3000, y la tercera algo m\u00e1s de 7000 pavos. <\/p>\n El bitcoin es m\u00e1s trazable que una transferencia bancaria. El anonimato se rompe en el momento que los estados controlan el cambio de bitcoin a moneda estatal, y viceversa -y te aseguro que lo controlan, solo intenta comprar legalmente bitcoins y ver\u00e1s que todo el proceso de verificaci\u00f3n de identidad; la compra de bitcoins a particulares es ilegal en Europa-. La ventaja del bitcoin es que para mover dinero de forma an\u00f3nima v\u00eda sistema bancario tienes que tener mucha pasta; aunque entonces s\u00ed se puede hacer de forma completamente an\u00f3nima. El bitcoin permite mover dinero de forma discreta, e incluso an\u00f3nima, para cantidades muy peque\u00f1as. Da una pseudoanonimicidad que permite realizar compras y ventas con un control estatal an\u00e1logo al del dinero en efectivo, pero a distancia.<\/p>\n Quiero pagar el rescate. \u00bfC\u00f3mo compro bitcoins?<\/strong> Personalmente cuando quiero comprar Bitcoins utilizo Bitpanda<\/a>. Es una casa de cambio alemana que veo bastante seria. No estoy afiliado a Bitpanda ni tengo m\u00e1s relaci\u00f3n con ellos que utilizarlos para comprar legalmente bitcoins, y si ma\u00f1ana se quedan con todo tu dinero, no me vengas a llorar. Haz los deberes, y busca tu proveedor si no te inspira confianza.<\/p>\n \u00bfMe recomiendas pagar el rescate?<\/strong> A priori, no. La verdad. Incluso pagando puedes no recuperar tus datos. De cualquier forma, es tu dinero. Si ya has metido la pata no haciendo \u00ablos deberes\u00bb -m\u00e1s sobre eso m\u00e1s tarde-, ya en el barrizal vas a tener mala soluci\u00f3n si una persona capacitada no puede recuperar tus datos.<\/p>\n El ataque a Telef\u00f3nica, \u00bfEn qu\u00e9 ha consistido?<\/strong> A ordenadores internos con Windows les ha entrado el ransomware WannaCry. O pagan, o pierden esos datos. Dado que seg\u00fan se cuenta el total asciende a m\u00e1s de 600000 euros, en las fechas en las que escribo esto no ha sido pagado el rescate, como muestran las transacciones en bitcoins.<\/p>\n He escuchado que hab\u00eda un hacker famoso, con gorro de lana, que estaba de vacaciones durante el ataque, y que es responsable del fallo de seguridad. \u00bfQu\u00e9 hay de cierto en eso?<\/strong> Creerse las noticias de los medios de comunicaci\u00f3n no suele llevar a buen puerto. El hacker con gorro de lana se llama Chema Alonso. No lo conozco personalmente de nada, no he tenido contacto con \u00e9l. De hecho, me lo \u00abcontraprogramaron\u00bb los de la FGUMA a mi \u00faltimo curso de Auditor\u00eda Inform\u00e1tica. Con esto quiero dejar claro que no estoy \u00abprotegiendo a un amigo\/colega\u00bb. Telef\u00f3nica tampoco es precisamente santo de mi devoci\u00f3n. Pero la verdad es la que es, la diga Agamen\u00f3n o su porquero.<\/p>\n Chema Alonso es una persona extremadamente capacitada, que ha hecho aportes indudables a la seguridad inform\u00e1tica, tales como Foca o su sistema de Latches. El hecho de que esta movida le haya pillado de vacaciones, currando en su mesa de trabajo, o tom\u00e1ndose un bocata de panceta es intrascendente; porque su trabajo no es definir las pol\u00edticas de seguridad internas de Telef\u00f3nica. No se le puede pedir a una persona, por mucho que sepa, que su mera presencia permee de su conocimiento a toda una multinacional, especialmente a una multinacional tan \u00abpeculiar\u00bb como Telef\u00f3nica. Su cargo en teor\u00eda es \u00abCDO\u00bb. Pero viendo que est\u00e1 de \u00absarao\u00bb en \u00absarao\u00bb, tengo serias sospechas de que le compraron la empresa y le pusieron en ese cargo porque form\u00f3 parte de la negociaci\u00f3n, pero realmente es, por decirlo diplom\u00e1ticamente \u00abembajador de Telef\u00f3nica\u00bb. Dudo que estando (casi) todos los d\u00edas en saraos p\u00fablicos \u00abrepresentado\u00bb a Telef\u00f3nica realmente tenga mucho mando en plaza. Esta, de cualquier forma, es mi opini\u00f3n personal.<\/p>\n Por otro lado, si realmente Chema Alonso tiene mando en plaza y su funci\u00f3n es definir las pol\u00edticas de seguridad internas de Telef\u00f3nica, entonces s\u00ed es responsable de una metedura de pata. Haya estado en ese momento en la oficina, o de vacaciones.<\/p>\n \u00bfPod\u00eda haber evitado Telef\u00f3nica el problema?<\/strong> Si. Con la pol\u00edtica de seguridad adecuada. Que no ha sido el caso.<\/p>\n Soy usuario de Linux. \u00bfMe puede entrar el WannaCry?<\/strong> No.<\/p>\n Soy usuario de MacOS X. \u00bfMe puede entrar el WannaCry?<\/strong> No.<\/p>\n Soy usuario de Windows y tengo el sistema operativo actualizado. \u00bfMe puede entrar el WannaCry?<\/strong> No.<\/p>\n Soy usuario de OpenBSD. \u00bfMe puede entrar ransomware?<\/strong> Eres un cachondo con ganas de guasa. Deja de restregarnos que cuando OpenBSD tiene un constipado en seguridad, el resto de los sistemas operativos padecen pulmon\u00eda. ;)<\/p>\n Soy usuario de Linux\/FreeBSD. \u00bfMe puede entrar ransomware?<\/strong> Depende. Hay muy, muy poco ransomware para Linux. El poco que hay, corresponde a ataques dirigidos a servidores, habitualmente CMS y ERPs. Si utilizas solo un escritorio Linux, es probable que jam\u00e1s tengas problemas con el ransomware, y teniendo actualizado el sistema y una pol\u00edtica de backups adecuada, puedes estar tranquilo. Si tienes un servidor Linux, puedes ser blanco de un ataque dirigido, que cifre la base de datos. Para evitarlo, debes reforzar la seguridad de tu servidor, aplicar las actualizaciones, especialmente las del CMS o del ERP, y por supuesto, tener backups diarios de la base de datos.<\/p>\n Soy usuario de MacOS X. \u00bfMe puede entrar ransomware?<\/strong> Hay mas ransomware para MacOS X que para Linux, pero lo hay. Incluso para escritorio. Tanto del direccional, como del no direccional, que se transmite a trav\u00e9s de spam o programas descargados de Internet. Mant\u00e9n actualizado el sistema, no utilices MacOS X como servidor CMS, y aseg\u00farate de tener una buena pol\u00edtica de backups y de seguridad.<\/p>\n Soy usuario de Windows. \u00bfMe puede entrar el ransomware?<\/strong> La mayor parte del ransomware no direccional es para Windows. Tenemos ransomware direccional, ransomware que se transmite por spam, por programas descargados de Internet, por USB pinchados, como un virus… ponle un nombre a la idea, y es un vector de ransomware. La pol\u00edtica de seguridad aqu\u00ed es vital: mant\u00e9n actualizado el sistema, instala un buen antivirus, limita la exposici\u00f3n de m\u00e1quinas Windows como servidores en Internet, y ten una muy buena pol\u00edtica de seguridad. Es una buena idea si manejas datos cr\u00edticos utilizar entornos h\u00edbridos para controlar las infecciones. Por ejemplo, utiliza FreeBSD o Linux como servidor de ficheros. Utiliza en el servidor de ficheros sistemas como ZFS, que permiten sacar snapshots con un m\u00ednimo de espacio y poca p\u00e9rdida de rendimiento. La arquitectura de tu sistema es fundamental.<\/p>\n \u00bfCual es la mejor medida contra el ransomware?<\/strong> El backup. Sin duda, y con diferencia. Una buena pol\u00edtica de backup es clave para la supervivencia a un incidente de esta naturaleza. Y mejor prevenir que curar: ten siempre actualizado todo el software que utilices, y ten cuidado con las descargas que ejecutas y con los adjuntos de correo electr\u00f3nico que abres. Si utilizas Windows, deber\u00edas tener un antivirus razonable.<\/p>\n \u00bfUnas palabras finales?<\/strong> La seguridad es un tema muy complicado. Aqu\u00ed no vale el \u00abnephew art\u00bb, aqu\u00ed ya es sabiendo y te la pueden colar, si no sabes lo que est\u00e1s haciendo est\u00e1s vendido. Es muy importante buscar asesoramiento de personas con formaci\u00f3n y experiencia. Que te asesoren buenos profesionales -haberlos, haylos-. Es muy importante tener en cuenta que la seguridad es una propiedad de los procesos de los sistemas de informaci\u00f3n, no apenas comprar un firewall caro o reforzar la seguridad de un servidor. Vas a perder m\u00e1s dinero por ignorar el problema que por afrontarlo. La clave es un an\u00e1lisis previo de riesgos, desarrollar planes de contingencia, y comenzar a solucionar aquellos problemas cuya esperanza matem\u00e1tica -es decir, el coste de la desgracia por la probabilidad que ocurra- sea superior al precio del arreglo, ordenado de m\u00e1s esperanza matem\u00e1tica a menos esperanza matem\u00e1tica. La seguridad es un proceso formal, serio, que debe ser afrontado como se afronta la calidad de producto o la seguridad f\u00edsica de los trabajadores. Esto no te lo va a arreglar ni la gran consultora, ni un juaquer con camisa de Iron Maiden, te lo va a arreglar tu compromiso como particular o como empresa, aunque luego utilices asesores o auditores para aquello que desconozcas. Seguridad inform\u00e1tica es plantearte los procesos inform\u00e1ticos, desde compra y subcontrataci\u00f3n a contrataci\u00f3n de personal, pasando por la gesti\u00f3n de la informaci\u00f3n y muchas decisiones teniendo en cuenta que la informaci\u00f3n es un activo valioso, y que te la pueden robar o da\u00f1ar con facilidad si no tienes el cuidado adecuado.<\/p>\n","protected":false},"excerpt":{"rendered":" Las \u00faltimas 24 horas han sido incesantes las noticias sobre el problema de seguridad que ha padecido Telef\u00f3nica. Para variar, los medios de comunicaci\u00f3n cuentan historias rar\u00edsimas -por ser diplom\u00e1tico-, por lo que vamos a contestar algunas de las preguntas … Continue reading