Las amenazas también evolucionan

Al ser considerados en su conjunto, algunos de los métodos e intenciones recientemente descubiertos de los malhechores informáticos lo dejan a uno boquiabierto. 

Entre las tendencias preocupantes se encuentran:
  • Vulnerabilidades ocultas por decenas de años (por ejm. Shellshock y Heartbleed), que salen a la luz por accidente, ya que el software nunca había sido auditado
  • La existencia de un mercado "gris" y ya no sólamente "negro" para el descubrimiento y venta de vulnerabilidades
  • Actividades de cyber-espionaje patrocinadas por gobiernos de todos los matices
  • Robo de información dirigido a personas y no sólo a organizaciones (por ejemplo, robo de fotos de personalidades o datos bancarios y de tarjetas de crédito de millones de cuentahabientes).
  • Reclutamiento malicioso de máquinas para crear dinero electrónico (bitcoin mining botnets)
La existencia de muchas de estas amenazas se vuelve lógica si consideramos que nuestro comportamiento como sociedad e individuos también ha cambiado con respecto al uso de las Tecnologías de Información y Comunicaciones.

Entre las circunstancias que han cambiado, se encuentran, por ejemplo:

  • El uso de dispositivos móviles con conexión permanente a Internet como Smartphones y Tablets que mejoran nuestra productividad y nos dan múltiples opciones de entretenimiento.
  • El uso de servicios "en la nube" (Cloud Computing) para comunicarte y para acceder a tu información. Servicios como Whatsapp, Dropbox, iCloud, Office360 te permiten estar conectado a tu información en cualquier lugar, cualquier momento y desde cualquier dispositivo.
  • Las redes sociales te permiten mantener el contacto con amigos, familiares y toda persona o tema que te interese, convirtiéndose además en una opción de entretenimiento casi adictiva.
  • Tecnologías cada vez más complejas se han vuelto sumamente fáciles de utilizar. Por ejemplo, ¿quieres compartir una foto que acabas de tomar con un grupo de amigos o familares? ¡Fácil! Sólo activa la opción para subir tu foto a Facebook, Twitter, Dropbox, Google+, etc. y la foto sube automáticamente después de tomarla, pero ¿cuáles son los ajustes de privacidad por default y qué tan fuerte es tu contraseña en esos servicios?

No todo esto es negativo, pero debemos aceptar que en la medida en que usamos nuevas tecnologías, desaparecen algunos riesgos y aparecen otros. Por lo tanto, nuestra estrategia de seguridad y la de nuestra organización debe permanecer en evolución constante.

Si contrastamos la situación de hoy en día con lo que pasaba hace unos cuantos años podemos darnos cuenta que es necesario cambiar algunos de nuestros métodos de protección.

Por ejemplo, hace algún tiempo era suficiente instalar un buen Firewall en la red y un potente antivirus en las computadoras de los usuarios de nuestra organización. El día de hoy esto ya no basta para protegernos. Inclusive, basar nuestra defensa en esos dos elementos podría darnos una falsa sensación de seguridad.

En una organización que ha dejado de ser pequeña, un buen lugar para desarrollar la estrategia de protección se encuentra en el área de "Innovación Tecnológica", si es que todavía no existe un área formal de "Seguridad Informática". ¡Cuidado! también existen organizaciones medianas y hasta grandes que se siguen comportando como si todavía fueran pequeñas.

El objetivo debe ser evaluar la mayor cantidad de tecnologías que utiliza nuestra organización formal e informalmente y decidir si el nivel de riesgo que representan es aceptable.

Entre los cambios de estrategia que podemos considerar para nuestra organización se encuentran:

  • Hacer validación de contenido en las conexiones a Internet, ¿qué páginas visitan los usuarios? ¿qué temas consultan? ¿cómo encaja esto con las políticas de privacidad de la organización?
  • Evaluar continuamente los servicios "en la nube" que descubren y utilizan los usuarios
  • Evaluar continuamente las aplicaciones populares que los usuarios instalan en sus dispositivos móviles. El reto es cómo descubrirlas. Se requiere la colaboración de algunos usuarios.
  • Crear listas "blancas" de servicios y aplicaciones autorizados para los usuarios
  • Crear listas "negras" de servicios o aplicaciones que por su riesgo no debieran ser utilizadas por los usuarios de nuestra organización
  • Mantener las listas blancas y negras actualizadas
  • Imponer políticas de contraseñas robustas y uso de "libretas encriptadas" de aplicaciones
  • Sensibilizar a usuarios de los riesgos de manejar información de la organización en dispositivos móviles (incluido el correo electrónico institucional)
  • Fomentar una cultura de aceptación del cambio institucional
  • No casarse con ninguna plataforma tecnológica

Vivimos en un mundo cambiante.

La tecnología y su uso se mantienen en constante evolución. Nuestras estrategias de protección deben, por lo tanto, evolucionar contínuamente si queremos mantenerlas relevantes.

En este Mundial de Futbol, ¡que no te metan gol!

Tema: Seguridad Informática

Comienza el Mundial de Futbol Brasil 2014 y una buena porción de tu tiempo posiblemente tendrá que ver con los partidos. 

Si te encuentras en la oficina a la hora de ese partido tan importante, segúramente habrá cerca una televisión para verlo pero, ¿y si no?

Con la tecnología moderna es posible seguir el mundial desde tu computadora, tablet o celular. Una simple búsqueda en Google revela millones de páginas relacionadas con el término "futbol en línea". Pero, ¿sabes cuáles de esas páginas son legítimas y cuáles intentarán instalar software malicioso en tu dispositivo?

¡Cuidado! No todo lo que brilla es oro. Lo de menos es encontrarte una página que agrupa noticias de otros sitios y las mezcla con publicidad. Entre las cosas feas que pueden aparecer están:

  • Páginas que te piden que instales un códec o reproductor de video para ver los partidos en alta definición. ¡No lo hagas!
  • Páginas que requieren que abras una cuenta "gratuita" para ver los links de los partidos (y así obtienen tu información personal)
  • Páginas que te piden un número celular para continuar (al dárselos te suscribes a un servicio de SMS con costo elevado)
  • Páginas que no contienen nada de lo que te interesaba. Uno se pregunta "¿porqué abrí esto?", para entonces ya hay código malicioso tratando de instalarse en tu computadora.
  • Aplicaciones para tu celular que te dan la misma información que puedes obtener en cualquier otra parte pero además husmean en tus contactos, historial, etc. ¿Ya revisaste los permisos de esa última App que instalaste?
Protege tu información personal y tus dispositivos usando tu sentido común. He aquí unas cuantas sugerencias:

  • Valida el origen de la información.
    • ¿Quién publica la página o desarrolla la aplicación?
    • ¿Es una organización reconocida o es una página/app de reciente creación?
    • ¿Qué otras cosas publican? ¿Tienen datos de contacto? ¿Parecen datos reales?
  • Valida la reputación de los que publican la página o aplicación
    • ¿Aparecen comentarios negativos relativos al sitio haciendo una búsqueda en Google?
    • ¿Aparecen comentarios negativos de la aplicación en las tiendas de iTunes o Google?
  • No instales nada, si no proviene de una fuente confiable. Esto incluye:
    • Códecs de video
    • Reproductores de video en vivo (streaming)
    • Aplicaciones del mundial para celulares rooteados o jailbreak que provengan de tiendas no-oficiales
  • Mantén al día tu antivirus en tu laptop o computadora de escritorio.
  • Siempre hazte la siguiente pregunta "¿qué gana la persona que me está ofreciendo lo que yo quiero ver?". Si la respuesta no es clara, ¡ten cuidado! ¡puede ser un engaño!
Finalmente, no olvides que las conexiones de datos cuestan. Aún si tú no pagas directamente, alguien más está pagando por tu conexión a Internet. Si no puedes vencer la tentación de ver el partido en horas de oficina y el contenido no está bloqueado por tu organización, tal vez valga la pena compartir UN SOLO monitor de computadora, en lugar de que tú y cada uno de tus compañeros intente ver el mismo partido desde cada una de sus máquinas individuales. ¡No satures la conexión a Internet de la oficina!
Ahora sí, usa tu sentido común y ¡a disfrutar del Mundial!

El extraño caso de la misteriosa desaparición de TrueCrypt

Tema: Competencias Técnicas. Seguridad Informática.

En los últimos días de mayo del 2014, la comunidad de usuarios de código abierto presenció la desaparición de una aplicación de encripción denominada "TrueCrypt" (www.truecrypt.org) que dejó a más de uno pensando en los motivos que podrían haber tenido sus desarrolladores para darla de baja.

Los Hechos

TrueCryp apareció en febrero del 2004 y se convirtió rápidamente en una excelente opción para realizar "cifrado en vivo", también conocido en inglés como "On The Fly Encryption (OTFE)".

El término Cifrado en Vivo (OTFE) significa que los archivos que almacenas en una partición de tu disco duro se encuentran encriptados y la aplicación (TrueCrypt) los tiene que cifrar y descifrar cada vez que el sistema operativo los requiere. El archivo sólo existe en "texto claro" (sin cifrar) en la memoria RAM de tu computadora y desaparece de ella en forma segura cuando dejas de usarlo.

Entre las bondades de TrueCrypt se encontraban:

  • Multiplataforma. Disponible para Windows, Mac, y Linux. Un volumen encriptado, por ejemplo un disco duro externo, puede ser descifrado desde cualquier sistema operativo siempre y cuando tengas la contraseña.
  • Fácil de usar. Interfaz gráfica intuitiva.
  • Cifrado en vivo para todos los archivos de una partición (un "volumen")
  • Negación plausible. Con la configuración apropiada, es imposible demostrar que un disco duro contiene un volumen "TrueCrypt" si el sistema operativo no deja rastros de su uso y se desconocen sus detalles de ubicación y acceso. A partir de Windows 7 esto dejó de ser tan fácil de lograr.
  • Código abierto. El código fuente estaba a disposición de cualquiera que quisiera analizarlo. 
  • Gratuito. ¿Hay que decir más?

Un grupo de desarrolladores de software agrupados en torno de la iniciativa "Open Crypto Audit" (opencryptoaudit.org) realizó una auditoría de seguridad, publicando sus resultados unas cuantas semanas antes de la desaparición de TrueCrypt en Abril de 2014. La auditoría tardó 7 meses en su primera fase y sólo encontró errores de programación y vulnerabilidades ligeras, no-intencionales, sin detectar puertas traseras ni código malicioso embebido. La segunda fase de la auditoría debería empezar en Junio y entregar resultados en Septiembre de 2014. Otras auditorías están por publicar sus resultados.

Los desarrolladores de TrueCrypt habían anunciado un nuevo desarrollo tan pronto se completaran las auditorías.

La Desaparición

De manera totalmente sorpresiva, en la última semana de mayo del 2014, la página de Truecrypt.org fue repentinamente alterada, desplegando una leyenda que podría traducirse como "TrueCrypt YA NO ES SEGURO" e instando a descargar una nueva versión que sólamente tiene capacidad para descifrar volúmenes encriptados pero ya no puede generarlos.

Los autores de la página recomiendan incluso cambiar a herramientas comerciales de cifrado como BitLocker de Microsoft (disponible en las versiones Ultimate y Enterprise de Windows sólamente). 

Para los usuarios con sistema operativo Mac OSX y Linux, la recomendación es, si todavía tienes la versión anterior, mover todos los archivos a una partición sin encriptar (!!!).

El Misterio

Pero la historia se pone aún mas extraña cuando salen a la luz algunas de las circunstancias de la desaparición de esta aplicación.

  • Para empezar, los desarrolladores se comportaban en forma anónima, sin poner sus datos de contacto o información personal en la página del proyecto. Esto no es inusual en sí mismo, aunque en los proyectos de código abierto muchas veces la única recompensa que recibe el desarrollador es la pequeña cantidad de fama que conlleva tener asociado tu nombre con un proyecto exitoso.
  • La aplicación se había vuelto cada vez más compleja. Era ya difícil de compilar en Windows, según quienes se dieron a la tarea de hacerlo en lugar de descargar el código pre-compilado. Es difícil pensar que una aplicación así podía ser el resultado del esfuerzo de un par de personas que lo hacían en sus ratos libres, publicándola como código abierto sin esperar absolutamente nada a cambio (ni siquiera la fama).
  • Usualmente, cuando los desarrolladores de un proyecto de código abierto quieren abandonarlo, dejan la última versión disponible con advertencia de que el software ya no tiene soporte y liberan el código por completo, sin restricciones. Los desarrolladores de TrueCrypt no hicieron nada de esto, y parecerían recomendarnos enfáticamente dejar de usar la aplicación.
  • Truecrypt era publicado por una organización denominada "TrueCrypt Foundation", registrada en E.U. en el estado de Nevada a nombre de "ONDREJ TESARIK" y estaba registrado como marca comercial por "David Tesařík" en la República Checa. Mismos apellidos. Parecería ser la misma persona. Todo bien, excepto que "ONDREJ TESARIK" es un anagrama de "TRAINED JOKERS" (bromistas entrenados).
  • El dominio truecrypt.org originalmente estaba registrado ¡en Antártida!
  • La nueva versión de la aplicación está criptográficamente firmada con la llave correcta. La misma llave que firmó la versión anterior, que era completamente funcional. Los métodos criptográficos comercialmente disponibles hacen prácticamente imposible falsificar la firma, si no se dispone de la llave correcta. En otras palabras, la página de TrueCrypt no parece haber sido hackeada.
  • La advertencia sobre la supuesta inseguridad de TrueCrypt tiene una redacción sospechosa. Dice: "Using TrueCrypt is not secure as it may contain unfixed security issues (sic)". A los amantes de las teorías de conspiración les llaman la atención las palabras "Not Secure As", que parecerían contener una advertencia vagamente relacionada con la NSA (National Security Agency) de los E.U.
  • En los últimos años han sido ampliamente divulgados al menos 3 casos judiciales en los E.U. en los que el gobierno americano (concretamente el FBI) no fue capaz de romper la protección de TrueCrypt cuando los acusados se negaron a proporcionar las claves de descifrado. Entonces, ¿cuál debilidad de la aplicación?

¿El Futuro?

Teorías de conspiración aparte, para fines prácticos, TrueCrypt como aplicación ha desaparecido y ha perdido todo su posible prestigio esto último muy a pesar de que no existen indicios serios de su supuesta debilidad sino todo lo contrario.

Existe una iniciativa internacional para desarrollar una aplicación apropiadamente bautizada "TrueCrypt Next Generation (TCNG)" y hospedar la página así como la organización patrocinadora ¡en Suiza!. La página se encuentra en: truecrypt.ch

Las Lecciones Aprendidas

¿Debería ser motivo de preocupación lo que sucedió con TrueCrypt? La respuesta es "depende". Todo depende del nivel de riesgo que quieras asumir para proteger tu información y las consecuencias que tuviera revelarla.

Podría argumentarse que para la inmensa mayoría de los usuarios de una aplicación como esta, la principal preocupación es simplemente la privacidad de la información y no necesitan protegerla de los ojos de una autoridad gubernamental nacional o extranjera que, por otra parte, podría tener los medios legítimos y perfectamente legales para exigirla durante una investigación judicial. De ser así, TrueCrypt sigue siendo suficiente protección contra la banda de maleantes que quisieran robarte tu laptop, por ejemplo. 

También podría argumentarse que nunca encontraremos un nivel de seguridad perfecto. La mejor seguridad es la que depende de múltiples mecanismos de control.

Aún si TrueCrypt es vulnerable, eso no te debería preocupar mucho si tus documentos importantes estuvieran doblemente cifrados con una segunda herramienta de encripción. Para mencionar tan sólo un ejemplo de esto útlimo, PGP (Pretty Good Privacy) de Symantec es una herramienta parecida, aunque de código "cerrado", disponible comercialmente. Si el precio de una herramienta así no te parece aceptable porque TrueCrypt era gratuito sólo piensa cuánto te costaría que se divulgara tu información.

Sólo el futuro dirá qué fue lo que realmente ocurrió con TrueCrypt. Hasta entonces, la mejor protección es el sentido común. Y tú, ¿ya lo estás usando?


La importancia de las habilidades suaves en las TIC

Tema: Competencias Directivas, Desarrollo Personal

¿Te has encontrado alguna vez expresándote de la siguiente manera?

- "No entiendo porqué la empresa no me compra esa herramienta de software que es tan importante para mi trabajo".
- "Mi jefe no compra los equipos que yo recomiendo, es un tonto o algo peor"
- "Los directivos no entienden que la tecnología tiene sus propias limitaciones"
- "Nadie en la empresa aprecia nuestro trabajo para que las cosas funcionen"

¡Cuidado! Puede ser que estés descuidando algunas habilidades muy importantes para tu vida profesional.

Como profesional de TIC seguramente tienes un área de especialidad, algo en lo que eres muy bueno, alguna tecnología en la que puedes resolver cualquier problema que se te presente. 

Si así es, felicidades, tienes una "habilidad dura" que seguramente te costó trabajo adquirir. Horas de práctica, autoestudio y capacitación rindieron fruto y ahora te puedes considerar un experto en la materia. No cualquiera puede decir lo mismo. ¿Qué podría haber mejor que eso?

Sin embargo, ¿sabías que existe otro conjunto de habilidades que podrías adquirir en forma paralela y tal vez estés haciendo a un lado?

Se trata de las habilidades "suaves", también llamadas "interpersonales". Estas habilidades tienen que ver con tu forma de relacionarte con las personas que te rodean. Por ejemplo, la comunicación verbal y no-verbal, liderazgo, trabajo en equipo, imagen personal, son habilidades que nunca sobran y le dan un gran empuje a tu carrera profesional. Y lo mejor del caso ¡no requieren que sacrifiques tus habilidades duras!

Podría decirse que sin habilidades blandas, la vida se vuelve muy dura (si nos disculpas la broma). 

Las habilidades blandas son lo que te va a permitir justificar tus proyectos ante gente no-técnica (por ejemplo ante la alta dirección de tu organización), facilitar la aprobación de presupuesto para tu estrategia tecnológica, entusiasmar a tus compañeros de trabajo con una idea o proyecto importante y facilitar el éxito de tus proyectos y de tu carrera profesional. ¿Te parece poco?

Para un Director de TIC, las habilidades blandas son esenciales ya que él va a actuar como interfaz entre el personal técnico y el personal no-técnico, "vendiendo ideas" dentro de la empresa y motivando a su gente para que las lleve a cabo en tiempo y presupuesto. Liderazgo, comunicación y trabajo en equipo son habilidades que tiene que ejercer absolutamente todos los días.

Aún si no eres Director de TIC, las habilidades suaves te ayudarán a volverte valioso para tu organización, conseguir un mejor empleo y tener un ambiente de trabajo más satisfactorio.

Un mito común es que las habilidades interpersonales son algo con lo que nacemos y hay quienes están mejor dotados y quienes no. La realidad es que puedes superar tus deficiencias y mejorar tus habilidades interpersonales en el momento quieras. Sólo hace falta que realmente decidas hacerlo. 

A través de la práctica, estudio, autosuperación y atreviéndote a salir de tu "zona de confort" puedes mejorar enormemente tus habilidades suaves. ¿Suena familiar? ¡Es muy parecido a lo que hiciste para adquirir tus habilidades duras!

Así como dedicaste tanto esfuerzo a desarrollar habilidades duras, ¿porqué no dedicas un poco a desarrollar habilidades suaves? Es un esfuerzo que recuperarás con creces a lo largo de tu carrera profesional.

¡Atrévete a invertir en TI!


Lenguaje Corporal para Ingenieros

Lenguaje Corporal para el Emprendedor
por Manuel Guzmán

Comunicación no verbal

Múltiples estudios señalan que el ser humano puede formarse opiniones de una persona con tan solo verla los primeros 7 segundos. Asímismo, el 93% de lo que un mensaje se envía de nosotros a los demás, tiene poco que ver con lo que estamos diciendo según expertos en la materia como Amy Cuddy o Carol Goman.

Una de las múltiples razones por la que los emprendedores llegan a fracasar - además de el tema financiero, de relacionamiento  y de operación- es porque los equipos que lo conforman no siempre son multidisciplinarios y lo que hacen es formar al vuelo los diferentes roles, entre ellos los más críticos como lo son el de un representante de ventas o el administrativo - sobre todo si estos equipos son técnicos de formación- .

¿Te ha ocurrido que al entrar a una junta de trabajo donde se encuentra presente un desconocido entras en pánico? ¡No permitas que la inseguridad se demuestre a través de tu expresión corporal!

Antes de entrar a una reunión de trabajo puedes considerar las siguientes recomendaciones para dar una buena impresión en esos primeros 7 segundos críticos.

Ajusta tu actitud al momento
Antes de entrar a una reunion,  dar una presentación o ingresar a una junta toma una decisión consciente de lo que deseas transmitir. Dependiendo del contexto, pueden ser actitudes que atraigan como ser curioso, amigable, empático alcanzable. También lo pueden ser en sentido opuesto: mostrar molestia, aburrimiento, arrogancia o impaciencia. Lo importante es que seas consciente de lo que quieres transmitir.

Sonrie
Una sonrisa es una invitación y bienvenida siempre. Lo que dice es “soy alcanzable”

Haz contacto visual
Cuando miramos a alguien directo a los ojos transmitimos energía, lo cual indica interés y apertura.

Alza tus cejas más de la cuenta sin exagerar al saludar
Es un símbolo universal de aceptación y reconocimiento.

Intercambia saludo de manos
Es la forma más fácil de entablar “rapport”. Asegura un contacto palma con palma.

Refuerza positivamente
Una vez transcurridos esos primeros 7 segundos se puede crear un punto positivo adicional por medio de "trucos" tales como: repetir en algunos momentos de la conversación el nombre de la persona con quien se mantiene la reunión. Está demostrado que el sonido que mayor gusto nos da escuchar en cualquier parte del mundo y en cualquier idioma es el de nuestro nombre. Además, al repetir el nombre de nuestro interlocutor demostraremos en el  transcurso de la conversación que sabemos con quién estamos hablando.

¡Atrévete a poner en práctica estas recomendaciones y consigue el éxito en tu próxima reunión!

No te pierdas nuestros talleres en desarrollo de competencias directivas e interpersonales. Visita nuestro catálogo en www.mavixel.com