¿Cuál es el objetivo de las métricas de seguridad? Medir a un control de seguridad. Ya sé, es obvio. Mejor: las métricas intentan asignar valores alrededor de actividades orientadas a proteger los recursos de información. Por ahí dicen que “las métricas de seguridad son sirvientes de la administración del riesgo, y la administración del riesgo es acerca de tomar decisiones”.

Por lo tanto: “las únicas métricas de seguridad que nos deben de interesar son aquéllas que soportan la toma de decisiones respecto al riesgo con el propósito de manejarlo o administrarlo”.

Las métricas de seguridad son un tema relativamente nuevo e inmaduro (sobre todo comparado con otros indicadores como los que genera el sector financiero, por ejemplo); es una cuestión poco explorada y escasamente dominada como bien nos dice Andrew Jaquith en su libro “Security Metrics”. Que por cierto y como podrán intuir, este post se basa en la lectura que hice de algunos capítulos del mismo (en concreto, el 2: “Defining Security Metrics”).

Las métricas de seguridad intentan medir el nivel de seguridad (o un aspecto de ella) en una corporación y por cierto el estándar ISO/IEC 27001 las exige en el sentido de contar con métricas (indicadores) para medir la eficacia de los controles de seguridad que tenemos en la organización (no todos los controles, sino aquéllos que estén dentro del alcance establecido en el sistema de gestión que propone el 27001).

Read more

¿Quién rechazaría más características en su programa favorito? Después de todo, esa es la diferencia entre las versiones antiguas y las actuales. Sin embargo, no todas las características son realmente útiles e inclusive pueden acarrear problemas de seguridad; entonces deberíamos quererlas?

Ejemplifiquemos esto de las “características” con un programa muy querido por todos nosotros: Adobe Reader. También es mi favorito pero por otra razón: su seguridad deja tanto que desear que siempre me es útil para ejemplos de inseguridad. En fin, basta de divagar.

Continuemos. Adobe Reader es un programa para ver archivos PDF, pero que también es capaz de ejecutar código JavaScript.

Se preguntarán para qué un lector de archivos querría ejecutar dentro de sí mismo un programa. Lo que queremos es leer documentos con texto e imágenes, no ejecutar código con un lenguaje de programación (algo parecido a la dupla macro-Word).

Read more

¿Publicar una debilidad de día cero o no? Ahí está la cuestión. El pasado 5 de junio, el investigador de seguridad Tavis Ormandy notificó a Microsoft de una debilidad en su sistema operativo XP.

Recordemos que una debilidad de día cero es aquella para la cual no existe un parche (solución) del fabricante. En fin, siguiendo con la historia, cinco días después de dar notificación, el investigador decide publicar en Internet detalles de la vulnerabilidad y además escribe código de concepto (el paso previo al código de explotación que sirve para atacar a un sistema).

Read more

La semana pasada, Google anunció que dejaría de usar el sistema operativo Windows por razones de seguridad. Y es que, recordarán, al colorido gigantón le metieron gol el año pasado supuestamente algunos infelices hackers chinos que precisamente se aprovecharon de una debilidad en el software de Microsoft para llevar a cabo sus fechorías. ¿Suena lógico quitar Windows o es puro GMarketing?

Read more

¿Libertad para instalar lo que quiera y hacer con mi equipo personal lo que desee? Sí, para eso compro una computadora: el control lo tengo yo. Sin embargo, con esa libertad viene una responsabilidad y un conocimiento para no caer en las redes del crimen en línea.

Read more

¿Gustarías ahorrarte una buena “lana” en productos de seguridad? Asumiendo que la respuesta es “sí”, una de las medidas que puedes llevar a cabo -y que no cuestan- es el hecho de configurar desde un punto de vista de seguridad.

Una configuración segura se puede llevar a cabo tanto en sistemas operativos como en la gran mayoría de las aplicaciones y ahorra una cantidad importante de dolores por “inseguridades” como por  malware o debido a hackers.

La analogía sería comprar una casa y ver que no tiene ventanas ni herrería, tampoco puertas o reja y de todas maneras habitarla como si nada; cuando uno instala un sistema operativo o una aplicación es casi lo mismo: el fabricante entrega el producto con una configuración “default” que si bien es funcional, no es muy segura que digamos (después de todo, una casa sin rejas o puertas es funcional porque uno entra y sale fácilmente…pero igual lo hará el ladrón).

Read more

¿Trust no one? Tal vez hayan escuchado ese principio que en seguridad informática se refiere al hecho de desconfiar básicamente de –casi- todo y hasta de todos. ¿Qué tanto nos puede ayudar ese principio para servirnos de guía?

Instalo un sistema operativo: cómo saber si un par de líneas de código no están escritas para enviar cada tecla que presiono a un centro de comando y control gubernamental o corporativo? Un fabricante de software bien podría tratar de espiarnos por ejemplo con esos mensajes aparentemente inofensivos de “¿Desea permitir enviar este error para mejorar el producto?” O mejor aún, sin siquiera preguntarnos nada lo manda cifrado a la nave nodriza y pasa desapercibido.

Cuando compramos un ruteador, cómo saber que el hardware hace sólo lo que se supone debe de hacer? ¿Podemos estar seguros de que no hay instrucciones obscuras inscritas en el hardware que cambian el comportamiento del dispositivo de tal manera que lleva a cabo acciones a nuestras espaldas?

Read more

Hace 20 años un blog de seguridad informática hubiera sido ridículo. En primera –obvio-, porque no existía el concepto de “blog” tal cual lo conocemos hoy en día y en segunda porque la seguridad de los sistemas o redes no era un tema ni punto de discusión para la gente “de a pie”; eran temas reservados para ciertos sectores gubernamentales (como el militar) y para algunos académicos “debrayando” en algún cubículo obscuro y olvidado.

Hoy todo ha cambiado, la seguridad informática (y claro, de la información) ha salido a la luz pública y hoy en día existen numerosos blogs, Diplomados, Maestrías, sitios y conferencias cuyo tema central es la seguridad.

La popularidad en este caso no es una cuestión positiva. La seguridad informática no sería lo que es si no fuera por su némesis: la inseguridad. Se ha conjuntado de todo. Redes con protocolos que no fueron ideados con la seguridad como un punto a considerar. Sistemas informáticos cada vez más complejos para saciar una necesidad del mercado de tener cómputo amigable, bonito y veloz pero no necesariamente confiable. Hoy dependen tantas cosas de estas “cajas con foquitos” que se han vuelto ya imprescindibles.

Hablar de seguridad informática es finalmente tocar el punto de protección a  la información. Y no quisiera dejarlo como algo abstracto y lejano como “proteger la información” o “preservar su confidencialidad, integridad y disponibilidad”. ¿Qué es eso o qué significa? Hacerlo así sería dejarlo en términos fríos y obscuros. La seguridad de la información está viva y presente cuando nos metemos al sitio de un banco por Internet, cuando un gobierno pierde nombres y direcciones de sus ciudadanos, cuando a un sitio de comercio en línea le roban cientos de miles de tarjetas de crédito de clientes o cuando el diseño de una nueva arma militar la “obtiene” otro gobierno sin invertir enormes sumas de dinero (impuestos) en investigación. Eso es a lo que me refiero con “información”: bits y bytes que son valiosos y que duele que se “juegue” con ellos.

La protección de la información es relevante hoy en día para gobiernos, empresas y usuarios; nadie escapa y a  todos afecta en mayor o menor escala. La seguridad es una necesidad aunque no se quiera ver de esta manera y a pesar de que varios la ignoren, desprecien o minimicen. Por todo lo anterior un blog de seguridad informática nunca estará de más porque enriquecerá y ampliará el conocimiento de lo relativo a esta disciplina; y eso no puede estar mal.