¿Quieres contratar los servicios de pentesting (pruebas de seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México (y creo que es una realidad en otros países) para contratar estos servicios te basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su página se ve “profesional” o bien porque el primo del amigo te la recomendó: “Esos dudes están re-picudos!”. No te sientas mal. Seleccionar a una buena empresa de pentesting es un arte (así como el mismo pentest). No hay un catálogo; un comparativo completo de un tercero que haya hecho un análisis y te haga una recomendación medianamente objetiva.

¿Cómo seleccionas a una empresa de pentest para que te venga a hacer una prueba de seguridad?  Read more

Pero no hablo de “ese” mundo, sino de uno más cercano. Andaba netflixeando y me topé con la película “Enemy of the State” con Will Smith y Gene Hackman. Para los que estamos en seguridad de la información sería una buena idea verla o volverla a ver para analizarla desde otra perspectiva y no sólo la de pasarnos un buen rato.

Pienso que tiene más de una lección. Por ejemplo aquí enlisto unas:

Comunicaciones Seguras

El ambientalista encuentra el video de un asesinato de un importante político. Lo primero que hace es llamarle a un amigo para contarle el “chisme”. Vaya, un poco de malicia y haberse sentado 5 minutos a pensar sobre lo que tenía entre sus manos le hubiera ayudado. Para cuando habla por teléfono…bam! Línea intervenida. Y de ahí se desencadenan una serie de eventos que acaban con la vida del personaje. Si algún día te encuentras en una situación así o similar, asume el peor escenario, revisa el siguiente punto y actúa en consecuencia.

Read more

Aunque no dispongo de mucho tiempo, (en tiempos recientes) me gusta leer. No sólo de seguridad vive el hombre, por eso trato de variar mis lecturas. ¿Qué libros ando leyendo? La respuesta a continuación.

Linchpin: Are You Indispensable? Hace unos meses noté que invertía más tiempo en el auto que de costumbre gracias a unas obras cerca de casa (¡Marcelo!); mis podcasts (Security Now, El Explicador, Harvard Business) ya no cubrían las 10 horas de tránsito semanales. Recordé el servicio de Audible y lo contraté hace poco para que me leyeran un libro vía audio; me encantó el concepto de que te lean un libro y aprovechar el otrora tiempo perdido. En mi carrito de Amazon tenía el texto de Linchpin y decidí que sería mi primera compra en Audible.

El libro trata básicamente de que seas un artista en el sentido de que crees valor en tu trabajo. Que no deba haber alguien que exactamente te diga qué hacer y que huyas de empleos con actividades repetitivas porque así eres fácilmente sustituible. Te hace la pregunta de si en tu trabajo eres algo cercano a lo indispensable (o al menos que se notará tu ausencia) o puedes ser sustituido cualquier día de la semana.

Read more

Ok, tienes una computadora en casa y deseas tenerla segura. ¿Qué recomendaciones deberías de seguir para mantenerte fuera de problemas? Parto del supuesto que estás usando Windows (pero mucho de lo que digo aplica a otros operativos también).

Manos a la obra. Dividí este post en 2 partes. La primera de ellas tiene 5 recomendaciones y considero que son las básicas por si te da flojera llevar a cabo el resto de las sugerencias. Obvio que entre más consejos sigas estarás incrementando tu seguridad. Revisa todas y decide cuáles podrías seguir.

¡Ah sí! Menciono varios productos. No a todos les puse ligas. Usa Google y llegarás a ellos.

Read more

Todos nos enteramos del fallecimiento de Steve Jobs. He de confesar que lo admiro y deseo expresar mi pesar por haberlo perdido. No podía dejar desapercibida la desaparición de mi “héroe digital”.

¿Cómo abordar el tema? ¿Lo que había significado para mí? ¿Resumir sus logros? Creo que hubiera sido más de lo mismo que hemos estado leyendo. Apliqué lo del “Think different” y me pregunté cómo algunas de las lecciones aprendidas podrían relacionarse a la seguridad de la información.

Read more

El deporte favorito de algunos expertos en seguridad es levantar la voz en contra de esos infames usuarios. “Son el eslabón más débil de cualquier organización”. “Es que no tienen ni idea de que ponen en riesgo a la información” (favor de agregar tono de voz desesperada).

Read more

QAZwsx no es una buena contraseña. Tampoco lo es 123456. Los passwords fáciles de adivinar tienen una gran desventaja: que son fáciles de adivinar. Y aunque me preocuparía obviamente que un fulano llevara a cabo esta adivinación, es un hecho que existen herramientas con bastos diccionarios y listas que se encargan automáticamente de intentar las miles de contraseñas que probablemente un usuario (o administrador) pueda llegar a usar.

Así pues, 5noopY, 19761976, 4dmin, F4ust02000, AlejanDRO, Facebook1, tequiero o ammerica no son buenas elecciones aunque a primera vista puedan parecerlo. Los atacantes ya se saben los truquitos de cambiar algunas letras por números, poner sólo algunas letras en mayúsculas o la costumbre de usar nombres de artistas o equipos de futbol como contraseñas (sin olvidar poner 2000 al inicio o al final, es clásico). Y a partir de ahí, se hacen variantes (AlejandRO, AlejanDRO, AlejaNDRO, etc.) y se construye una lista con la cual se efectuarán los cientos de miles de intentos (online u offline).

Y a veces no es necesario hacer listas interminables de posibles contraseñas, basta ver el ejemplo del gusano Morto.

Read more

¿Siguen siendo atractivas las noticias que diariamente salen respecto a nuevos troyanos y otros códigos maliciosos? Para mí, honestamente no. Salen tantos que resulta aburrido seguirles la pista. Confieso que a veces me encuentro en Symantec (o en otros sitios) buenos análisis de un malware y ese sí lo leo porque ya implica conocer el funcionamiento técnico de uno de estos bichos.

Sin embargo hace unas semanas uno de estos especímenes me llamó la atención ya que se enfocaba en servidores y se transmitía por medio de una funcionalidad muy utilizada en servers que es el escritorio remoto. Alerta amarilla. ¿Entonces no es el típico código que roba contraseñas de banca en línea? Al parecer, no.

Rápidamente empecé a leer el detalle en el sitio de FSecure, donde ya me enteré del nombre del enemigo: Morto. Ok. Lo siguiente más importante es entender cómo se propaga para analizar esos vectores de infección y poder hacer algo preventivo/detectivo (sin olvidar La Pregunta de si tu antivirus ya lo detecta).

Read more