Criptovirología

21 de abril de 2008

Es el año 1989. Una empresa farmacéutica recibe un paquete por correo con un disquete que dice contener información importante sobre el SIDA. Un empleado se decide a introducirlo en un equipo, pero enseguida percibe que algo no va bien: no puede acceder a ningún dato en el disco duro. Se trata de algo bastante más grave de lo que pueden imaginar. El programa que llegó en aquel disquete ha cifrado el nombre de los archivos del ordenador y ahora muestra un texto reclamando el cobro de una importante suma de dinero a cambio de enviar la clave para recuperar los datos. Y no es la única empresa afectada.

Ya hoy, sabemos que todas estas compañías farmacéuticas sufrieron el que fue el primer ataque por criptovirología de la historia, mediante el troyano AIDS [inglés]. Y al contrario de lo que suele suceder con este tipo de ideas, esta modalidad permanecería en el olvido hasta unos siete años más tarde, cuando Moti Yung y Alan Young desarrollaron en el laboratorio una prueba de concepto que utilizaba criptografía asimétrica para cifrar todos los datos de la víctima.

Las ideas aportadas por estas investigaciones sirvieron de base al desarrollo del llamado Ransomware: virus que cifran el contenido del disco para luego reclamar un rescate a cambio de la clave, y cuya explosión comenzó en 2005 con Pgcode.

Un año más tarde, en 2006, aparecería el troyano CryZip, o Zippo, que comprimía algunos tipos de documentos en archivos Zip cifrados siguiendo un esquema simétrico. Sin embargo esta técnica no es demasiado sofisticada y los expertos no tuvieron problemas para romper la clave (de hecho, hay bastantes aplicaciones por Internet que permiten obtener la contraseña de archivos comprimidos).

A fecha de hoy todavía no han aparecido criptovirus suficientemente elaborados como para suponer un problema serio, y de hecho la mayoría pueden considerarse simples pruebas de concepto o experimentos. Sin embargo, es muy probable que todas estas técnicas se vayan perfeccionando con los años, por lo que es de suponer que la fiesta acaba de empezar… De todos modos, la forma más sencilla de estar protegido frente a este tipo de ataques es la de siempre: utilizar un sistema operativo seguro (ejem), y realizar copias de seguridad periódicas. Eso nunca falla.

Para saber más…

El artículo original, de Alan Young y Moti Yung, es Cryptovirology: extortion-based security threats andcountermeasures. Por si a alguien le interesa su trabajo, tienen un libro titulado Malicious Cryptography: Exposing Cryptovirology, que apuesto a que anda por la mula :-P. Estos dos autores también se ocupan de mantener la web Cryptovirology, donde hay ejemplos con código fuente y muchos artículos dirigidos al mundo académico. También hay un artículo muy interesante titulado Malicious cryptography, con su primera y segunda parte.

Si encontráis más información o alguna referencia interesante no dudéis en pasar por los comentarios… :-)

Pero qué triste

27 de mayo de 2007

Justo me acabo de enterar gracias a Trebol-A de que existe una página en la que puedes dejar tu número de teléfono para que te informen por SMS de los resultados de las elecciones.

El caso es que relleno el formulario, presiono enviar y me aparece la ventana de «nuevo correo» de Mail, algo así:

Esto significa que el formulario no se envía ni se guarda en una base de datos, sino que se transfiere por correo electrónico a algo que los procesa. Ese algo podría ser un operador humano becario o un programa, no sé qué prefiero, la verdad. ¿No es más fácil hacer que la página grabe los datos utilizando un script de servidor de toda la vida?

Supongo que en las configuraciones normales de navegadores no aparece ni siquiera la ventana del correo, por lo que el proceso pasa inadvertido al usuario. El formulario se envía a elecs@indra.es, además, que tiene más cachondeo. ¿Qué pinta una empresa privada en todo esto? ¿Qué pasa con la privacidad? ¿No pueden usar esos datos para relacionar teléfonos con localizaciones y con direcciones de correo?

Bueno, se me ocurren muchas cosas divertidas que se pueden hacer con esto, para hacer que este largo domingo sea más entretenido:

Vulnerar la protección de esa cuenta de correo y robar miles de datos privados. Recordemos que la información no se almacena en un servidor protegido, sino en una mierda de cuenta de correo, que siempre será más vulnerable.
Hacer un programa que introduzca números al azar hasta el sistema diga basta.
Descargar una aplicación para hacer spam y freírles vivos a correos falsos.
Poner los números de teléfono de mis enemigos.
Enviar un correo con números de provincia incorrectos, a ver si está previsto o por el contrario revienta.
Enviar un correo sin el formato establecido, con caracteres extraños o enlaces.

Y seguro que existen muchas más posibilidades interesantes para explotar este fallo demencial (se admiten sugerencias).

Curiosamente, todos estos problemas se solucionarían haciendo que hubiera que enviar un mensaje desde el móvil indicando la provincia, o el código postal o lo que sea, como cuando te bajas el típico y apestoso politono. Y adiós a los problemas.

En fin. Cuando hice mi primera web, hace unos diez años, creo que hice así el formulario de contacto… pero esto es lo más triste que he visto recientemente. Joder, que estamos en 2007, y este sistema quedó obsoleto hace muuuuucho tiempo…

¿En esto se gastan nuestro dinero? ¿Y qué pasa con Indra? Yo pensaba que eran una empresa seria y competente, y nos salen con esto… Le entrego yo semejante basura a un cliente y me prende fuego al contrato. Dichosos aquellos que trabajan para la administración.

Actualización: He encontrado una referencia interesante donde también se despachan a gusto con el tema.

Los peligros de copiar y pegar

22 de marzo de 2007

Si eres poco cuidadoso, puede ser que termines copiando en la convocatoria de las ponencias un trocito del correo que te envió el responsable. De otra manera no se explica la imagen siguiente (clic para ampliar)…

… en la que puede leerse:

16:30 – 17:30 Ataques de factorización a RSA (aunque debes darme un pequeño tiempo para comprobar si es viable). Si la de RSA no fuera viable, podríamos hacer una de «Troyanos para aplicacones Web».

Menos mal que no escribió «Dame tiempo porque el cab*** de mi jefe no me deja tranquilo y hasta mañana no sabré si es viable» o algo peor… El documento en sí es una convocatoria de poenencias (sic) de un curso de seguridad, que tuvo lugar la semana pasada en la Universidad de Salamanca.

Para el año que viene creo que reforzarán la parte de privacidad y correo anónimo.

Un furgón blindado

22 de enero de 2007

Una buena síntesis…

Usar criptografía en Internet es el equivalente de contratar un furgón blindado para enviar información desde alguien que vive en una caja de cartones a alguien que vive en el banco de un parque.

Eugene Spafford, «Quotes concerning Computers and Internet»

No pierda ni un bit

4 de octubre de 2006

Ningún programa podrá convertir su ordenador en algo seguro, por mucho que intenten venderle la idea contraria… sólo un usuario bien informado y atento conseguirá evitar que su ordenador (y la información que guarda en él) se vean dañados o comprometidos.

No nos bastan herramientas para estar a salvo: además tenemos que saber utilizarlas. Una aspirina no me servirá de nada si me empeño en asimilarla por frotación contra la piel. Y no me servirá de mucho si insisto en bailar a diario bajo la lluvia completamente desnudo, aún suponiendo que sepa cómo medicarme… (Vaya, vuelven mis ejemplos estúpidos).

Bueno, la cosa va de seguridad y ordenadores. Más que de aprender a tomar aspirinas, la idea es aprender a no resfriarnos… Les he preparado también una serie de trucos viles para ayudarles (lo del nombre es una larga historia).

La seguridad no es un fin en sí misma, sino un medio con un objetivo final muy claro: no perder datos. Y generalmente, almacenamos dos tipos de conjuntos de datos en el ordenador: archivos (fotos, documentos…) y programas ejecutables (el Word, el Firefox… esas cosas, vaya).

De entrada, no vale mucho la pena que nos preocupemos por las aplicaciones: pueden solicitarse o descargarse de nuevo si desaparecen. Sin embargo, si perdemos las fotos de las vacaciones lo haremos para siempre… no podemos pedirlas de nuevo al fabricante y no podemos confiar en que otras personas guarden copias. Lo mismo nos sucederá si perdemos la única copia que tenemos de la tesis… podemos encontrarnos en un complicado aprieto.

Truco vil: preocúpese únicamente de sus archivos (fotos, documentos…)

Hay que empezar comprendiendo que por muy dura que sea la amenaza, quedará minimizada si disponemos de una copia de seguridad de nuestros datos. Quiero decir con esto que aunque el virus de moda sea absolutamente destructivo, poco perjuicio podrá causarnos si tenemos copia de todo (salvo perder unas horas en reinstalar el sistema, en el peor caso).

Nadie se preocupa si se le quema una fotocopia del DNI. La ventaja añadida del ordenador es que no hay diferencia alguna entre copia y original, y que podemos clonar muchas copias a un coste muy reducido. Ya se nos puede quemar el portátil en el mismo Monte del Destino, que con una copia de nuestros archivos dormiremos tranquilos. Creo que ha quedado claro :-P

Manos a la obra. Lo primero es acordar con nosotros mismos una política dirigida a asegurar la integridad de los datos. Es recomendable efectuar una copia de seguridad al menos una vez al mes, aunque esto es variable: la periodicidad con la que deben copiarse los archivos dependerá de la rapidez con la que cambien. Así, si estamos en pleno proyecto deberíamos considerar una copia semanal o diaria. Debemos preguntarnos qué porcentaje de nuestro trabajo estamos dispuestos a poner en riesgo, y la respuesta nos dará una buena idea de la frecuencia de copia que deberíamos establecer.

Truco vil: defina una política de seguridad y oblíguese a cumplirla.

Aparte de la frecuencia, es interesante establecer el modo. Podemos hacerlo cada vez desde cero o sólo con los ficheros que hayamos modificado (incremental). La copia incremental requiere menos espacio pero tendremos que almacenar los soportes necesarios para restaurar el sistema desde el principio, por lo que es más susceptible a fallos.

Truco vil: realice una copia completa una vez al mes y realice incrementos semanales para los datos que más manipule.

Existe software especializado en hacer copias de seguridad, pero tendríamos que confiar mucho en él para utilizarlo (¿se imaginan que la copia se grabó mal por un fallo en el programa?). Para un usuario mediano, opino que lo más adecuado es realizar una copia sin más de los archivos vitales. Un CD o un DVD al mes no es mucho comparado con el tiempo y el dinero que podemos perder si nos quedamos sin esos malditos archivos críticos.

Truco vil: Olvídese de complicados programas de copia de seguridad y simplifique al máximo.

La mayoría de los usuarios tiene ya grabadora de CD’s, por lo que no es descabellado considerar la copia en este formato para pequeñas cantidades de datos. Si somos más exigentes, deberíamos emplear un DVD, pero tampoco es imprescindible. Yo estuve haciendo copias en varios CD’s hasta hace poco tiempo y alguna vez han sido mi salvación.

A título personal, no soy partidario de incluir en las copias de seguridad información generada por otros que pueda volver a conseguirse: así, la música debería excluirse en principio, así como películas y demás información accesible. Además, se da la interesante circunstancia de que cuanto más inútiles son los archivos, más ocupan estos, así que su sacrificio nos permitirá ahorrar espacio (y dinero). Lo que nos importa es lo que generamos nosotros y de lo que nadie más posee copia.

Truco vil: Si desea ahorrar espacio, olvídese de la música y los vídeos: podrá obtenerlos de nuevo en caso de desastre.

Una buena política de copias nos hace muy poco vulnerables a los virus y otras amenazas… ya no es tan dramático perder los datos si teníamos una copia del día anterior. De hecho, en último término nos asegura la permanencia de nuestros datos más preciados. Por mucho que falle el antivirus, siempre tendremos nuestro CD sobre la mesa con ese trabajo crítico… no debería despreciar esa tranquilidad. Tiene un precio muy bajo…

Eligiendo antivirus (III)

22 de septiembre de 2006

Una vez realizada una introducción al apasionante mundo del software antivirus, sería una buena idea comentar algunos de estos programas. Por el momento, ésta será la última entrega de la serie, donde vamos a centrarnos en las soluciones comerciales más populares. Muchos lectores recomendaron software muy interesante que analizaré y someteré a alguna prueba, para contarles después qué resultados he obtenido. Pero eso será más adelante, porque hay otros temas en cola :-)

Antes de empezar, me permito el lujo de recordar que lo que aquí expongo son opiniones sin más autoridad que la que me da mi experiencia como usuario… el objetivo de esta entrada no es hacer un análisis exhaustivo sino aportar algunas referencias útiles a los recién iniciados. Aclarado este punto, vayamos al lío:

Panda Antivirus

No puedo empezar por otro que no sea el Panda, una de mis bestias negras (bueno, negra y blanca, como todo buen panda). El sistema en sí está bastante bien, pero tiene un problema grave: su rendimiento es pésimo (por decirlo suavemente). Siempre que me he empeñado en instalarlo he salido escaldado, y sinceramente, no creo que vuelva a hacerlo. Tiene demasiadas funciones inútiles y demasiados gráficos que consumen un montón de recursos… Además desinstalarlo puede ser misión imposible, y me consta que no soy el único caso. Parezco un maldito obseso psicópata cuando hablo del Panda, pero es que supera mis fuerzas… Como nota le pongo un 3. Aprobará cuando tenga evidencias de que no es un virus camuflado :-P [web]

Norton Antivirus

Es muy criticado, pero un servidor lo utilizó cuando era güindosero y no está tan mal. Vale que también es bastante lento por culpa de la misma e inútil sobrecarga gráfica que padece Panda… pero las versiones anteriores a la 2005 funcionan razonablemente bien. Tiene unos buenos porcentajes de detección, y se le dan bastante bien el spyware y demás bestias… aunque como digo no es lo mejor de lo mejor, en mi humilde opinión está bastante bien. Yo le doy un 5. Se puede comprar desde 45€ [web]

Nod32

Tengo que confersar que es mi favorito. Apenas se le nota cuando está en ejecución, y detecta y elimina toda clase de criaturas con bastante eficacia. En cuanto a los tiempos de reacción figura entre los primeros. Creo que es uno de los pocos productos antivirus que puede calificarse de bueno en base a los criterios que comentamos ayer. Quizá el problema es que resulta un tanto complicado para el usuario novato, pero vale la pena. Yo incluso me planteé adquirirlo antes de pasarme a Mac, y me consta que es bastante asequible (creo que se anda por los 50€ para uso personal). Yo le doy un 8. [web]

Kaspersky

También tiene unos excelentes tiempos de respuesta a nuevas amenazas, y una ejecución muy silenciosa, que casi pasa desapercibida. El diseño de la interfaz era bastante pobre en principio pero ha ido mejorando con los años, hasta ser un programa de gran calidad. Es potente a la vez que resulta relativamente sencillo de utilizar. En mi opinión es todo un referente, y vale la pena probarlo. Además es baratillo (40 € más o menos). Así que le doy un 9. [web]

Esto es todo por el momento. Como les he dicho, intentaré descolgarme con un análisis más detallado de las alternativas libres y gratuitas en unos días. No puedo prometer y no prometo, pero lo intentaré. O como dijo Bart, «No te prometo que lo intente, pero intentaré intentarlo» :-)

Eligiendo antivirus (II)

21 de septiembre de 2006

Ayer terminamos comentando (siempre según mi opinión) el retraso del software libre y gratuito en cuando a software antivirus se refiere. Es verdad que, como se han apresurado a comentar, existen soluciones para uso personal (AVG, Antivir o Avast) que forman parte de ese grupo de programas, que sin ser libres, por lo menos son gratuitos.

Existen empresas más o menos sólidas tras estas aplicaciones, de ahí que la comunidad de desarrollo libre esté obligada que hacer un enorme esfuerzo si quiere ponerse a la altura de las compañías en la protección contra los virus. Proyectos como OpenAntivirus o ClamWin son buenas ideas, aunque por desgracia no parecen interesar excesivamente a la comunidad :( De hecho, revisando algunos enlaces llegué hasta esta sección de la Wikipedia en lengua inglesa, donde queda claro que el panorama es un tanto desolador, sobre todo si lo comparamos con esta otra… es algo deprimente.

Personalmente, y en este tema, siempre me he ido al software comercial. Quizá el motivo más importante es que los tiempos de respuesta ante nuevas amenazas de empresas como Kaspersky Lab o Symantec son muy cortos si los comparamos con otras, por lo que uno pasa poco tiempo desprotegido cuando surge un nuevo bichito… He decidido, no obstante, y a raíz de los comentarios a la entrada anterior, ponerme al día en antivirus gratuitos, así que ya les comentaré los resultados dentro de unos días (o esa es al menos mi intención, que ya me conozco…)

Antes de pasar a comentar las diferentes soluciones antivirus, me parece interesante dar antes unos parámetros que nos permitan conocer qué debe tener, al menos idealmente, un buen antivirus… así, en función de estas características, podremos valorar mejor la calidad de las distintas aplicaciones.

¿Qué debemos buscar en un antivirus?

Este escribidor opina que seis cosillas nada más:

Lo primero es el rendimiento. El remedio debería ser mejor que la enfermedad, lo cual parece no estar muy claro… No tiene sentido instalar un antivirus si por su culpa no vamos a poder usar nuestro ordenador. Tiene que ser ligero, que el equipo lo ejecute sin ver demasiado afectado su rendimiento normal.
En segundo lugar tiene que tener un buen compromiso entre sencillez y funcionalidad: sin opciones extrañas poco explicadas cuya incorrecta configuración deteriore inútilmente el rendimiento o deje expuesto al equipo, aunque es preciso que la configuración sea completa para que los usuarios avanzados optimicen el funcionamiento del programa.
En tercer lugar, tiene que tener un monitor permanente que estudie el comportamiento del sistema en todo momento: es la única manera de aplicar una protección contundente. Por decirlo de alguna manera, tiene que estar siempre vigilante por si un programa compromete la seguridad (orweliano total, como ven). En relación con esto, es esencial que tenga mecanismos de autoprotección, para evitar ser infectado por los virus, lo cual sería altamente catastrófico y divertido a un mismo tiempo.
En cuarto lugar, y dados los tiempos que corren, donde la mayoría de las infecciones llegan a través de Internet, es conveniente que el antivirus analice el correo entrante y las acciones del navegador, impidiendo la ejecución de scripts si fuera preciso. También debería proteger contra amenazas que, sin ser estrictamente virus, sí sean software dañino, como los troyanos y otros bichitos igual de simpáticos. En relación con esto último, sería óptimo que detectara spyware o aplicaciones dudosas que entorpecerán el funcionamiento del equipo y que atentan contra nuestra privacidad.
Un antivirus debe estar mantenido por un equipo que libere actualizaciones periódicas y especiales para las amenazas más graves. Debe permitir renovar sus definiciones automáticamente y estar en permanente desarrollo.
Y por último, lo más importante: detectar todos virus existentes, incluir técnicas heurísticas para detectar la mayoría de los que aun no se han descubierto e incluir capacidades para restaurar, aislar o eliminar los componentes infectados. Parece obvio pero no debe de serlo…

Tal vez no están todas las que son, pero creo que son todas las que están. ¿Me he dejado algo? Basándonos en estos requisitos, daremos un vistazo rápido a algunos programas concretos. Y eso será en la siguiente entrega :-)

Eligiendo antivirus (I)

20 de septiembre de 2006

La verdad es que si los virus representan un verdadero problema, el elegir antivirus no es para menos, sobre todo cuando se quiere algo bueno y barato (y bonito, por qué no). Voy a adelantar que la solución más barata a medio o largo plazo es pasarse a Linux o a Mac ;-), que raramente se ven afectados por estas simpáticas criaturas. Pero si no nos queda más remedio que usar Windows o no nos atrevemos a romper las duras cadenas de la rutina, tal vez la única solución consista en instalar un antivirus.

El mundo antivirus es uno de los pocos campos donde probablemente el software gratuito no acudirá en nuestra ayuda, ya que, hoy por hoy, la situación es bastante precaria. Hay varias causas que explican esta situación. Aunque todas parten del hecho de la tecnología antivirus precisa de un mantenimiento intensivo que sólo puede afrontar un equipo con dedicación exclusiva y altamente profesionalizado.

Muchos se preguntarán por qué sigue siendo imprescindible pagar por un buen antivirus, sobre todo con el reciente desarrollo de los sistemas libres y gratuitos. Bueno, vamos a razonar juntos… :-) Veamos: los virus afectan principalmente a Windows, y para estar protegidos necesitamos un antivirus, si es posible gratuito y de calidad. La mayoría del software gratuito de calidad es software libre. La mayoría del software libre para Windows tiene su origen en Linux. Linux no es afectado de manera significativa por los virus. Luego Linux no necesita de antivirus.

La comunidad de desarrollo de software libre utiliza mayoritariamente Linux, por lo tanto la comunidad de desarrollo no precisa de un antivirus para Windows… luego la comunidad de desarrollo no producirá un antivirus para Windows, y si lo hace, habrá tan pocos usuarios interesados en colaborar que el producto resultante no tendrá suficiente calidad.

Más aún: hay características especiales que hacen pensar que no habrá nunca grandes antivirus libres: es necesario un duro esfuerzo investigador sostenido a lo largo del tiempo: las empresas grandes como Symantec mantienen enormes equipos altamente especializados dedicados a encontrar respuesta a las nuevas amenazas: la mayoría de las organizaciones que apoyan el software libre no pueden permitirse contratar personal tan específico y exigirles una dedicación tan importante.

Quizá alguien discrepe en esto: son opiniones puras y duras… pero creo estar ajustándome a la realidad: tendremos que pagar por nuestro antivirus. There aren’t more eggs. (¿Lo he escrito bien? el inglés jamás fue mi fuerte :-P). Así que en la próxima entrega veremos, a partir de este punto, qué soluciones existen y cuál es la mejor para cada necesidad.

De momento, diviértanse con este boletín de Panda Software que me acaba de llegar al correo (se lo juro):

Estimado cliente:

Llega la máxima protección frente a virus, spyware y hackers: PANDA ANTIVIRUS + FIREWALL 2007, el nuevo Titanium.

¿POR QUÉ NECESITAS TENERLO?
* Integra la última tecnología para hacer frente al fraude online, deteniendo y bloqueando keyloggers, puertas traseras…

Y el mejor motivo de todos (dados los antecedentes…):

* Diseñado para consumir el mínimo de recursos de tu ordenador, adaptándose a las características de tu PC.

Quisiera escribir con más regularidad, pero estoy de baja bloguera por enfermedad… no, no es una infección vírica :-P sino un resfriado algo complicado. Lo justo para que a un servidor no le apetezca pasar más horas de las imprescindibles frente al ordenador… Tengo que cuidarme.

Una de seguridad…

11 de septiembre de 2006

Después del parón veraniego, vamos a meternos un poco con la seguridad informática, que es algo que hemos dejado un poco de lado… quiero introducir el tema con el comentario de un libro sobre el tema bastante difundido… prometo sangre a raudales…

Título: Seguridad informática para empresas y particulares
Autores: Gonzalo ?lvarez Marañón y Pedro Pablo Pérez García
Tema: Seguridad
Editorial: McGraw-Hill
Páginas: 411
ISBN: 84-481-4008-7
Idioma: Castellano

Bueno, el libro en sí está bastante bien, pero (siempre desde desde mi punto de vista), tiene errores imperdonables. No errores en las explicaciones, que son correctísimas y llenas de rigor, sino un error fatal en el planteamiento. Leyendo el libro, uno tiene la impresión de que sólo existe la informática Windows, y todos sabemos que eso no es así: Linux y MacOS han de tenerse en cuenta, y sobre todo cuando hablamos de seguridad.

Realmente me hierve la sangre cuando explican cómo configurar y proteger el equipo centrándose exclusivamente en Internet Explorer y Outlook… o elogian las capacidades de seguridad de estos productos, lo cual me parece que además de ser cuestionable no viene a cuento en un libro sobre seguridad.

Aunque no todo son comentarios de soluciones concretas para software concreto: las referencias generales sobre cómo establecer políticas de seguridad son muy buenas, y la parte teórica sobre la seguridad me parece muy explicativa y muy útil. Sin embargo, todo queda, a mi parecer, en entredicho cuando uno lee cosas como:

Los programas gratuitos son muy frecuentes en Internet. ¿Nunca se ha preguntado por qué contra toda lógica una empresa decide ofrecer software gratis? ¿Qué obtiene a cambio? La respuesta es simple y aterradora a la vez: sus datos personales.

No sé si calificar esta afirmación como temeraria, sensacionalista, o simplemente estúpida… por más que lo pienso no logro entenderlo: ¿cómo que «contra toda lógica»? será contra su lógica, en la que no parece caber que alguien pueda ofrecer algo sin obtener nada a cambio. De modo que si yo publico un programa y no cobro por su descarga lo usaré necesariamente para obtener los datos de mis usuarios… ah, claro… ¿y si hago un programa espía y cobro por él? ¿Quedaré entonces libre de toda duda? ¿Novell obtiene mis datos personales gracias a Suse? ¿Están diciendo eso?

Hay más perlas que quiero compartir con ustedes (ya me cae la gota de sangre del colmillo, y todo):

La configuración predeterminada del sistema operativo, características de red y aplicaciones de Microsoft son inseguras.

¿Por fin algo de espíritu crítico? Bueno, pues no, porque el párrafo sigue:

Entiéndase bien: no es que los productos de Microsoft sean inseguros, antes al contrario. Lo que ocurre es que según salen de la caja vienen con tanta riqueza de funcionalidad activada por defecto que se convierten en riesgo para la seguridad.

Hay otros detalles que me llevan al borde del delirio, pero he querido compartir estos en concreto… ya digo que en general el libro me ha gustado y es muy correcto cuando trata cuestiones teóricas… el problema es esa obsesión con la informática comercial, sobre todo cuando hace referencia a productos y características que son inferiores a las alternativas libres.

Todo eso me extraña y aún más viniendo de autores más o menos reconocidos y respetados… en principio no soy quien para criticar a dos autores que me dan mil vueltas, pero entiendo que precisamente eso les obliga a medir sus valoraciones… He dicho.

La fraudulenta lucha contra el fraude

27 de julio de 2006

Ayer al mediodía pude ver en Antena 3 Noticias cómo el Ministerio de Industria ha lanzado una de esas campañas con página web para ayudar al ciudadano a defenderse de los nuevos fraudes basados en las nuevas tecnologías. En el informativo mostraban algunos detalles de la web, y algo me llamó poderosamente la atención de modo que decidí darme un paseo…

Visitando la web uno tiene la sensación de que intentan meterle el miedo en el cuerpo… sobre todo con frases como «¿Sabías que los cibercriminales pueden robarte el dinero sin que te des cuenta?» y mi favorita: «España ocupa el tercer lugar en el ranking de los países de todo el mundo en el que más se comete fraude on-line». Y lo proclaman con ese orgullo, como si no fuera con ellos la cosa… :-P

Pero no quería hablarles de eso… la web en sí cuenta con el patrocinio de Panda Software, y hay una sección absolutamente fantástica, llamada protégete gratis que viene a decir que para evitar el fraude hay que instalarse el Panda. Claro. En ningún motivo se mencionan normas básicas de protección como utilizar un navegador seguro, un cliente de correo fuerte y desconfiar de cierto tipo de mensajes. Para qué. Con el Panda todo se arregla solo. Y para animarte, te lo regalan. Supongo que lo siguiente será que repartan aspirinas para prevenir el embarazo no deseado.

Hasta te ofrecen una versión para Linux. La verdad es que el detalle me ha gustado, pero sigo sin verle el sentido: ¿el fraude se evita con software antivirus? No es que desconfíe de Panda -que también- sino que no veo cómo un programa me protegerá de, por ejemplo, el phishing, si nadie me ha explicado qué es ni qué precauciones debo tomar.

El gobierno no debería dar cobertura a una campaña con un planteamiento tan simplista… creo que es necesario informar, alertar y prevenir, y huir de la filosofía comercial de «instala nuestro programa que puede con todo». Porque no suele ser así. Y cito:

La mejor forma de protegerte contra el robo de identidad y el fraude on-line es contar con una buena protección antivirus instalada en tu PC capaz de detectar todos los códigos maliciosos que pueden robar tus datos o intentar engañarte.

¡Todos! ¡Lo detecta todo! Decir esto tan alegremente me parece muy gracioso, aunque sobre todo lo considero una temeridad… no sé qué problema hay con el fraude entonces, si existe un software que lo detecta absolutamente todo… esto ya sería bastante criticable si fuera mera publicidad de Panda Software, pero que además se haga al amparo del gobierno, en una página que hemos pagado todos, ya es de traca.

Y así nos va… supongo que ahora todo el mundo se instalará el @#$& Panda y, como lo detecta todo, en más o menos un mes España dejará de ocupar ese tercer puesto en fraude on-line. Y espero que sea así, porque en caso contrario, sí que habremos sido todos víctimas de un auténtico fraude… pero a ese tipo estamos ya acostumbrados…

Les juro que con estas cosas le hierve a uno la sangre.

Nosololinux_

Ahora puede freír el huevo

Seguridad