En este Mundial de Futbol, ¡que no te metan gol!

Tema: Seguridad Informática

Comienza el Mundial de Futbol Brasil 2014 y una buena porción de tu tiempo posiblemente tendrá que ver con los partidos. 

Si te encuentras en la oficina a la hora de ese partido tan importante, segúramente habrá cerca una televisión para verlo pero, ¿y si no?

Con la tecnología moderna es posible seguir el mundial desde tu computadora, tablet o celular. Una simple búsqueda en Google revela millones de páginas relacionadas con el término "futbol en línea". Pero, ¿sabes cuáles de esas páginas son legítimas y cuáles intentarán instalar software malicioso en tu dispositivo?

¡Cuidado! No todo lo que brilla es oro. Lo de menos es encontrarte una página que agrupa noticias de otros sitios y las mezcla con publicidad. Entre las cosas feas que pueden aparecer están:

  • Páginas que te piden que instales un códec o reproductor de video para ver los partidos en alta definición. ¡No lo hagas!
  • Páginas que requieren que abras una cuenta "gratuita" para ver los links de los partidos (y así obtienen tu información personal)
  • Páginas que te piden un número celular para continuar (al dárselos te suscribes a un servicio de SMS con costo elevado)
  • Páginas que no contienen nada de lo que te interesaba. Uno se pregunta "¿porqué abrí esto?", para entonces ya hay código malicioso tratando de instalarse en tu computadora.
  • Aplicaciones para tu celular que te dan la misma información que puedes obtener en cualquier otra parte pero además husmean en tus contactos, historial, etc. ¿Ya revisaste los permisos de esa última App que instalaste?
Protege tu información personal y tus dispositivos usando tu sentido común. He aquí unas cuantas sugerencias:

  • Valida el origen de la información.
    • ¿Quién publica la página o desarrolla la aplicación?
    • ¿Es una organización reconocida o es una página/app de reciente creación?
    • ¿Qué otras cosas publican? ¿Tienen datos de contacto? ¿Parecen datos reales?
  • Valida la reputación de los que publican la página o aplicación
    • ¿Aparecen comentarios negativos relativos al sitio haciendo una búsqueda en Google?
    • ¿Aparecen comentarios negativos de la aplicación en las tiendas de iTunes o Google?
  • No instales nada, si no proviene de una fuente confiable. Esto incluye:
    • Códecs de video
    • Reproductores de video en vivo (streaming)
    • Aplicaciones del mundial para celulares rooteados o jailbreak que provengan de tiendas no-oficiales
  • Mantén al día tu antivirus en tu laptop o computadora de escritorio.
  • Siempre hazte la siguiente pregunta "¿qué gana la persona que me está ofreciendo lo que yo quiero ver?". Si la respuesta no es clara, ¡ten cuidado! ¡puede ser un engaño!
Finalmente, no olvides que las conexiones de datos cuestan. Aún si tú no pagas directamente, alguien más está pagando por tu conexión a Internet. Si no puedes vencer la tentación de ver el partido en horas de oficina y el contenido no está bloqueado por tu organización, tal vez valga la pena compartir UN SOLO monitor de computadora, en lugar de que tú y cada uno de tus compañeros intente ver el mismo partido desde cada una de sus máquinas individuales. ¡No satures la conexión a Internet de la oficina!
Ahora sí, usa tu sentido común y ¡a disfrutar del Mundial!

El extraño caso de la misteriosa desaparición de TrueCrypt

Tema: Competencias Técnicas. Seguridad Informática.

En los últimos días de mayo del 2014, la comunidad de usuarios de código abierto presenció la desaparición de una aplicación de encripción denominada "TrueCrypt" (www.truecrypt.org) que dejó a más de uno pensando en los motivos que podrían haber tenido sus desarrolladores para darla de baja.

Los Hechos

TrueCryp apareció en febrero del 2004 y se convirtió rápidamente en una excelente opción para realizar "cifrado en vivo", también conocido en inglés como "On The Fly Encryption (OTFE)".

El término Cifrado en Vivo (OTFE) significa que los archivos que almacenas en una partición de tu disco duro se encuentran encriptados y la aplicación (TrueCrypt) los tiene que cifrar y descifrar cada vez que el sistema operativo los requiere. El archivo sólo existe en "texto claro" (sin cifrar) en la memoria RAM de tu computadora y desaparece de ella en forma segura cuando dejas de usarlo.

Entre las bondades de TrueCrypt se encontraban:

  • Multiplataforma. Disponible para Windows, Mac, y Linux. Un volumen encriptado, por ejemplo un disco duro externo, puede ser descifrado desde cualquier sistema operativo siempre y cuando tengas la contraseña.
  • Fácil de usar. Interfaz gráfica intuitiva.
  • Cifrado en vivo para todos los archivos de una partición (un "volumen")
  • Negación plausible. Con la configuración apropiada, es imposible demostrar que un disco duro contiene un volumen "TrueCrypt" si el sistema operativo no deja rastros de su uso y se desconocen sus detalles de ubicación y acceso. A partir de Windows 7 esto dejó de ser tan fácil de lograr.
  • Código abierto. El código fuente estaba a disposición de cualquiera que quisiera analizarlo. 
  • Gratuito. ¿Hay que decir más?

Un grupo de desarrolladores de software agrupados en torno de la iniciativa "Open Crypto Audit" (opencryptoaudit.org) realizó una auditoría de seguridad, publicando sus resultados unas cuantas semanas antes de la desaparición de TrueCrypt en Abril de 2014. La auditoría tardó 7 meses en su primera fase y sólo encontró errores de programación y vulnerabilidades ligeras, no-intencionales, sin detectar puertas traseras ni código malicioso embebido. La segunda fase de la auditoría debería empezar en Junio y entregar resultados en Septiembre de 2014. Otras auditorías están por publicar sus resultados.

Los desarrolladores de TrueCrypt habían anunciado un nuevo desarrollo tan pronto se completaran las auditorías.

La Desaparición

De manera totalmente sorpresiva, en la última semana de mayo del 2014, la página de Truecrypt.org fue repentinamente alterada, desplegando una leyenda que podría traducirse como "TrueCrypt YA NO ES SEGURO" e instando a descargar una nueva versión que sólamente tiene capacidad para descifrar volúmenes encriptados pero ya no puede generarlos.

Los autores de la página recomiendan incluso cambiar a herramientas comerciales de cifrado como BitLocker de Microsoft (disponible en las versiones Ultimate y Enterprise de Windows sólamente). 

Para los usuarios con sistema operativo Mac OSX y Linux, la recomendación es, si todavía tienes la versión anterior, mover todos los archivos a una partición sin encriptar (!!!).

El Misterio

Pero la historia se pone aún mas extraña cuando salen a la luz algunas de las circunstancias de la desaparición de esta aplicación.

  • Para empezar, los desarrolladores se comportaban en forma anónima, sin poner sus datos de contacto o información personal en la página del proyecto. Esto no es inusual en sí mismo, aunque en los proyectos de código abierto muchas veces la única recompensa que recibe el desarrollador es la pequeña cantidad de fama que conlleva tener asociado tu nombre con un proyecto exitoso.
  • La aplicación se había vuelto cada vez más compleja. Era ya difícil de compilar en Windows, según quienes se dieron a la tarea de hacerlo en lugar de descargar el código pre-compilado. Es difícil pensar que una aplicación así podía ser el resultado del esfuerzo de un par de personas que lo hacían en sus ratos libres, publicándola como código abierto sin esperar absolutamente nada a cambio (ni siquiera la fama).
  • Usualmente, cuando los desarrolladores de un proyecto de código abierto quieren abandonarlo, dejan la última versión disponible con advertencia de que el software ya no tiene soporte y liberan el código por completo, sin restricciones. Los desarrolladores de TrueCrypt no hicieron nada de esto, y parecerían recomendarnos enfáticamente dejar de usar la aplicación.
  • Truecrypt era publicado por una organización denominada "TrueCrypt Foundation", registrada en E.U. en el estado de Nevada a nombre de "ONDREJ TESARIK" y estaba registrado como marca comercial por "David Tesařík" en la República Checa. Mismos apellidos. Parecería ser la misma persona. Todo bien, excepto que "ONDREJ TESARIK" es un anagrama de "TRAINED JOKERS" (bromistas entrenados).
  • El dominio truecrypt.org originalmente estaba registrado ¡en Antártida!
  • La nueva versión de la aplicación está criptográficamente firmada con la llave correcta. La misma llave que firmó la versión anterior, que era completamente funcional. Los métodos criptográficos comercialmente disponibles hacen prácticamente imposible falsificar la firma, si no se dispone de la llave correcta. En otras palabras, la página de TrueCrypt no parece haber sido hackeada.
  • La advertencia sobre la supuesta inseguridad de TrueCrypt tiene una redacción sospechosa. Dice: "Using TrueCrypt is not secure as it may contain unfixed security issues (sic)". A los amantes de las teorías de conspiración les llaman la atención las palabras "Not Secure As", que parecerían contener una advertencia vagamente relacionada con la NSA (National Security Agency) de los E.U.
  • En los últimos años han sido ampliamente divulgados al menos 3 casos judiciales en los E.U. en los que el gobierno americano (concretamente el FBI) no fue capaz de romper la protección de TrueCrypt cuando los acusados se negaron a proporcionar las claves de descifrado. Entonces, ¿cuál debilidad de la aplicación?

¿El Futuro?

Teorías de conspiración aparte, para fines prácticos, TrueCrypt como aplicación ha desaparecido y ha perdido todo su posible prestigio esto último muy a pesar de que no existen indicios serios de su supuesta debilidad sino todo lo contrario.

Existe una iniciativa internacional para desarrollar una aplicación apropiadamente bautizada "TrueCrypt Next Generation (TCNG)" y hospedar la página así como la organización patrocinadora ¡en Suiza!. La página se encuentra en: truecrypt.ch

Las Lecciones Aprendidas

¿Debería ser motivo de preocupación lo que sucedió con TrueCrypt? La respuesta es "depende". Todo depende del nivel de riesgo que quieras asumir para proteger tu información y las consecuencias que tuviera revelarla.

Podría argumentarse que para la inmensa mayoría de los usuarios de una aplicación como esta, la principal preocupación es simplemente la privacidad de la información y no necesitan protegerla de los ojos de una autoridad gubernamental nacional o extranjera que, por otra parte, podría tener los medios legítimos y perfectamente legales para exigirla durante una investigación judicial. De ser así, TrueCrypt sigue siendo suficiente protección contra la banda de maleantes que quisieran robarte tu laptop, por ejemplo. 

También podría argumentarse que nunca encontraremos un nivel de seguridad perfecto. La mejor seguridad es la que depende de múltiples mecanismos de control.

Aún si TrueCrypt es vulnerable, eso no te debería preocupar mucho si tus documentos importantes estuvieran doblemente cifrados con una segunda herramienta de encripción. Para mencionar tan sólo un ejemplo de esto útlimo, PGP (Pretty Good Privacy) de Symantec es una herramienta parecida, aunque de código "cerrado", disponible comercialmente. Si el precio de una herramienta así no te parece aceptable porque TrueCrypt era gratuito sólo piensa cuánto te costaría que se divulgara tu información.

Sólo el futuro dirá qué fue lo que realmente ocurrió con TrueCrypt. Hasta entonces, la mejor protección es el sentido común. Y tú, ¿ya lo estás usando?


La importancia de las habilidades suaves en las TIC

Tema: Competencias Directivas, Desarrollo Personal

¿Te has encontrado alguna vez expresándote de la siguiente manera?

- "No entiendo porqué la empresa no me compra esa herramienta de software que es tan importante para mi trabajo".
- "Mi jefe no compra los equipos que yo recomiendo, es un tonto o algo peor"
- "Los directivos no entienden que la tecnología tiene sus propias limitaciones"
- "Nadie en la empresa aprecia nuestro trabajo para que las cosas funcionen"

¡Cuidado! Puede ser que estés descuidando algunas habilidades muy importantes para tu vida profesional.

Como profesional de TIC seguramente tienes un área de especialidad, algo en lo que eres muy bueno, alguna tecnología en la que puedes resolver cualquier problema que se te presente. 

Si así es, felicidades, tienes una "habilidad dura" que seguramente te costó trabajo adquirir. Horas de práctica, autoestudio y capacitación rindieron fruto y ahora te puedes considerar un experto en la materia. No cualquiera puede decir lo mismo. ¿Qué podría haber mejor que eso?

Sin embargo, ¿sabías que existe otro conjunto de habilidades que podrías adquirir en forma paralela y tal vez estés haciendo a un lado?

Se trata de las habilidades "suaves", también llamadas "interpersonales". Estas habilidades tienen que ver con tu forma de relacionarte con las personas que te rodean. Por ejemplo, la comunicación verbal y no-verbal, liderazgo, trabajo en equipo, imagen personal, son habilidades que nunca sobran y le dan un gran empuje a tu carrera profesional. Y lo mejor del caso ¡no requieren que sacrifiques tus habilidades duras!

Podría decirse que sin habilidades blandas, la vida se vuelve muy dura (si nos disculpas la broma). 

Las habilidades blandas son lo que te va a permitir justificar tus proyectos ante gente no-técnica (por ejemplo ante la alta dirección de tu organización), facilitar la aprobación de presupuesto para tu estrategia tecnológica, entusiasmar a tus compañeros de trabajo con una idea o proyecto importante y facilitar el éxito de tus proyectos y de tu carrera profesional. ¿Te parece poco?

Para un Director de TIC, las habilidades blandas son esenciales ya que él va a actuar como interfaz entre el personal técnico y el personal no-técnico, "vendiendo ideas" dentro de la empresa y motivando a su gente para que las lleve a cabo en tiempo y presupuesto. Liderazgo, comunicación y trabajo en equipo son habilidades que tiene que ejercer absolutamente todos los días.

Aún si no eres Director de TIC, las habilidades suaves te ayudarán a volverte valioso para tu organización, conseguir un mejor empleo y tener un ambiente de trabajo más satisfactorio.

Un mito común es que las habilidades interpersonales son algo con lo que nacemos y hay quienes están mejor dotados y quienes no. La realidad es que puedes superar tus deficiencias y mejorar tus habilidades interpersonales en el momento quieras. Sólo hace falta que realmente decidas hacerlo. 

A través de la práctica, estudio, autosuperación y atreviéndote a salir de tu "zona de confort" puedes mejorar enormemente tus habilidades suaves. ¿Suena familiar? ¡Es muy parecido a lo que hiciste para adquirir tus habilidades duras!

Así como dedicaste tanto esfuerzo a desarrollar habilidades duras, ¿porqué no dedicas un poco a desarrollar habilidades suaves? Es un esfuerzo que recuperarás con creces a lo largo de tu carrera profesional.

¡Atrévete a invertir en TI!