Propósitos para el 2013

 

Esta noche acaba el año 2012 y tenemos que plantear nuevos objetivos para el 2013, pero antes es conveniente realizar una revalorización de todo lo que hemos hecho durante el año 2012, para ver si hemos cumplido las promesas propuestas durante el presente año.

Durante este año he tenido la suerte de conocer a mucha gente interesante y aprovechable, algunas han depositado la confianza en mi, lo que realmente valoro, mientras que otras simplemente no me han dado la oportunidad de hacerme valer. He conocido a personas que me han puesto los pies en la tierra mientras que también he conocido a personas que me han dejado seguir soñando que se puede llegar a conseguir grandes cosas en esta vida.

A nivel formativo he conseguido la certificación FCNSA de Fortinet, la cual certifica que conozco cómo se debe implantar, configurar y mantener equipos Fortinet. He obtenido el certificado de nivel intermedio B1 en Inglés por la Escuela Oficial de Idiomas, lo que permite comunicarme con mayor soltura con personas de habla inglesa. He podido profundizar y conocer con mayor detalle el funcionamiento de los sistemas Windows Server, obteniendo las certificaciones MCTS de Active Directory y Networking. Por último, he conseguido entender en profundidad los protocolos de enrutamiento y cómo funciona las actualizaciones de ruta en la red de redes Internet, superando el examen CCNP Route de Cisco.

A nivel profesional este año he tenido la suerte de participar en muchos proyectos realmente interesantes. He instalado, configurado y dado soporte a varias instalaciones de Alienvault Unified y OSSIM. He realizado varias auditorías de seguridad y redes. He sido el responsable de implantar la certificación de seguridad ISO 27001 en Ariadnex, por supuesto gracias a los compañeros que me han ayudado cada vez que lo he necesitado, también hemos conseguido pasar la auditoría en ISO 20000 la cual valida que damos servicios de calidad desde Ariadnex. He instalado y mantenido cortafuegos, securizando perimetralmente las organizaciones. He participado en proyectos de implantación y securización de entornos Wi-Fi. He dado soporte y optimización de la configuración de equipos balanceadores de carga. Por último, he dado varias charlas y cursos de formación sobre la familia ISO 27000, entornos virtualizados, cortafuegos y concienciación en seguridad.

Para el año 2013 voy a intentar mejorar en los siguientes cinco puntos:

• Voy a intentar ser más proactivo, para evitar apagar fuegos y así centrarme en las cosas realmente importantes y no urgentes.
• Voy a intentar mejorar la confianza con la gente que me rodea, dando muestras de que pueden confiar en mi, además haré todo lo posible por seguir conociendo a gente interesante.
• Daré más importancia a lo realmente importante, por encima de todo estarán las relaciones personales.
• Ayudar a todo aquel que lo necesite e intentando que todas las acciones que realice sean beneficiosas para ambos o para el equipo.
• Escuchar con mayor atención, para entender las situaciones de cada persona u organización intentando proponer la mejor solución posible.

Además de lo comentado anteriormente pondré como objetivos superar los dos exámenes restantes del CCNP, además de superar el último examen para obtener el MCITP, y seguir formándome en la lengua inglesa para pasar con éxito el quinto curso de la Escuela Oficial de Idiomas. También me gustaría comenzar a estudiar la certificación CISA en el año 2013, y por supuesto continuar con el blog. Tan solo me queda deciros...

Felices Fiestas y Próspero Año Nuevo a todos.

CCNP Route

Tras la certificación del CCNA en Junio del 2011 me quedé con las ganas de seguir aprendiendo cómo funciona el maravilloso mundo de las redes que hacen que hoy en día todos estemos interconectados y prácticamente no haya fronteras entre todos nosotros. Por tanto, a partir de Marzo del presente año comencé a prepararme el siguiente nivel para obtener un mayor conocimiento sobre el funcionamiento de las redes, así que comencé a cursar el CCNP en la academia itemformacion teniendo como instructor a Enrique Chulia.

Cisco Certified Network Professional (CCNP) está en el nivel intermedio según los niveles definidos por Cisco, siendo CCIE el nivel avanzado. Además de los niveles, las certificaciones están divididas por campos donde podemos encontrar CCNP, CCNP Security, CCNP Service Provider, CCNP Data Center, CCNP Voice y CCNP Wireless. Actualmente estoy preparándome CCNP cuya certificación está compuesta por los siguientes tres exámenes, donde en este mes de Diciembre he superado el primero de ellos.

• 642-902 ROUTE → Implementing Cisco IP Routing
• 642-813 SWITCH → Implementing Cisco IP Switched Networks
• 642-832 TSHOOT → Troubleshooting and Maintaining Cisco IP Networks

Los recursos utilizados que me han ayudado a adquirir todos los conocimientos para superar el primer examen han sido todos los proporcionados por la academia, desde la asistencia a todas las clases mediante videoconferencia, el libro “Foundation Learning Guide” de ciscopress y la realización de laboratorios utilizando equipamiento Cisco mediante Netlab. Además de todo lo comentado anteriormente, estoy utilizando material extra como los “Quick Reference” de ciscopress y los vídeos de CBT Nuggets.

¿Qué podemos encontrar en el módulo de Route? Pues veremos en profundidad protocolos de enrutamiento, como el protocolo vector-distancia RIP, el protocolo de estado de enlace OSPF, el protocolo propietario EIGRP y el protocolo utilizado por los proveedores de servicio (BGP) para el intercambio de información entre sistemas autónomos. Además veremos mecanismos de Path Control que nos permiten medir y establecer SLAs, se estudian técnicas para propagar y actualizar rutas hacia sistemas autónomos o áreas que nos interesen, y también podrás aprender sobre IPv6 y los métodos utilizados para realizar la transición de IPv4 a IPv6 mediante túneles, Teredo, ISATAP, 6to4, NAT-PT, etc.

Para este primer módulo es importante tener claro los tipos de áreas (Backbone o Transit Área, Stub Área, Totally Stubby Área, NSSA y Totally NSSA) además de conocer qué tipo de LSA se intercambian entre las áreas, también hay que conocer cuándo un router hace de ABR o ASBR, DR y BDR en OSPF, Succesor y Feasible Succesor en EIGRP y qué es una propagación de ruta ínter-área o intra-área.

Para terminar tan sólo me queda recomendar a todo aquel que trabaje diariamente con las redes, estudiar y prepararse certificaciones como esta, ya que no sólo verás cómo se implementa esta tecnología en router Cisco sino que aprenderás conceptos y técnicas que te ayudarán a construir redes escalables mejorando los flujos de tráfico de datos, además de diseñar redes con mayor redundancia, rendimiento y seguridad. Por mi parte seguiré preparándome esta certificación para intentar finalizarla para el verano del 2013.

Feliz Navidad y Felices Fiestas a todos.

¿La seguridad está en el firewall?

Un firewall básicamente es un software capaz de permitir y denegar conexiones basándose en la dirección IP origen, destino y servicio. Inicialmente la mayoría de cortafuegos llegaban hasta la capa cuatro del modelo OSI, con el paso del tiempo y los avances tecnológicos han ido incorporándose nuevas funcionalidades como Stateful Inspection para tener en cuenta la capa cinco del modelo OSI y más tarde Deep Packet Inspection para analizar completamente los paquetes en busca de virus, spam o ataques. A partir de aquí surgió el término UTM o Gestión Unificada de Amenazas donde los cortafuegos incorporan sistemas IDS/IPS para detectar y mitigar ataques, además de filtrar contenidos web, realizar un control de aplicaciones o controlar la fuga de datos (DLP). Por último, podemos ver el control que hacen algunos firewall en la “capa ocho” que nos permiten aplicar políticas basadas en identidad, es decir, políticas por usuario, así ya no es necesario conocer desde qué equipo, sede o red está trabajando el usuario para permitirle o denegarle el acceso a cierto recursos.

Pero … ¿toda la seguridad debemos dejarla en manos del cortafuegos? ¿pensamos que con esto es suficiente? La instalación de un firewall tan solo debería ser el principio si el objetivo es protegernos de los ataques y del robo de la información, por tanto a continuación indicaré algunos controles que se deberían tener en cuenta si realmente nos preocupa la información de la organización:

• Primer punto a tener en cuenta es la elaboración de una política de seguridad. Muchas organizaciones aún no tienen definida la política de seguridad y cuando les pide la política de contraseñas o a qué web deben tener permiso de acceso los usuarios no saben qué responder.
• Hay que asignar roles y responsabilidades relativas a seguridad de la información de la organización para conocer qué funciones y obligaciones tiene cada persona.
• La identificación, clasificación y valoración de los activos es algo a tener en cuenta, además de mantener un inventario de activos actualizado. Es importante tenerlo desde el principio ya que cuando la organización crece es más difícil de realizar y luego no sabemos qué tenemos, quién es el responsable, quién tiene acceso o quién lo tiene.
• El eslabón más débil siempre está en las personas, por tanto no nos olvidemos de ellas y demos cursos de concienciación en seguridad para que sepan a qué riesgos están expuestos y conozcan los problemas de seguridad a los que se pueden enfrentar.
• Cada vez hay más medidores de temperaturas y sistemas contra incendios en los CPD, pero olvidamos cerrar las puertas de los rack, algo muy efectivo y útil cuando varios departamentos o empresas trabajan sobre el mismo CPD.
• La actualización de los sistemas operativos y el cifrado de la información es algo que no debemos olvidar, además hay que actualizar los antivirus y realizar análisis de vulnerabilidades periódicamente para conocer el riesgo al que está expuesto nuestros sistemas.
• Es importante controlar el acceso a la red mediante sistemas NAC, controlar el acceso a los sistemas operativos mediante sistemas de directorio, e incluso controlar los acceso remotos de los ordenadores portátiles y teletrabajadores. Además, es imprescindible tener un inventario de a qué tiene acceso cada persona, para ante una baja o cambio de puesto de trabajo sepamos qué permisos tenía el usuario, para revocarlos o cambiarlos.
• Exigir siempre a los proveedores de servicio que cumplan ciertos niveles de seguridad. También es aconsejable que un tercero realice auditorías de seguridad para contrastar que las cosas se están haciendo como se dice que se hacen.
• Gestionar adecuadamente cada incidente de seguridad, analizando e investigando por qué ha ocurrido e intentando establecer medidas para que no vuelva a ocurrir.
• La mayoría de organizaciones realizan copias de seguridad de sus datos, pero luego nunca comprueban que la restauración se realiza correctamente. Hay que tener presente la necesidad de dar disponibilidad a los servicios críticos para dar continuidad al negocio, y por tanto tener centros de respaldo y, redundancia en los equipos y los datos.
• Por último y no menos importante, conocer qué leyes debemos cumplir como la LOPD, LSSI, etc. Además de tener identificadas todas las licencias de software de la organización para poder renovarlas en tiempo y evitar sanciones o penalizaciones.

Como vemos está todo por hacer, no toda la seguridad de una organización debería recaer en el firewall, hay que tomar muchas más medidas que hoy por hoy muchos responsables aún no prestan atención. Luego siempre veremos casos como el robo de los 200.000 euros al Concello de Cerdedo o el robo de los 36 millones de euros por el troyano Eurograbber a la banca.

Ciclo de vida del malware

Eurograbber es el malware detectado la semana pasada que ha robado 5,8 millones de euros de cuentas bancarias españolas y un total de 36 millones de euros a la banca electrónica de Alemania, Italia, Paises Bajos, además de España. No han sido los 60 millones de euros robados en la denominada “Operación High Roller” pero bueno … han sido afectadas 30.000 cuentas bancarias en toda Europa y 7 bancos españoles, ¿has sido victima de Eurograbber? ¿tu banco te ha comunicado algo? Está claro que muchos bancos asumirán las perdidas para no dañar la imagen de la compañía y perder la confianza de sus clientes, otros no sabrán qué ha sucedido ni cómo han conseguido robar el dinero, pero lo que está claro es que ni los guardas de seguridad ni las cámaras de videovigilancia han podido evitar el robo, por tanto tendrán que comenzar a adaptarse a las nuevas amenazas que surgen a través de Internet.

Según la nota de prensa, los ciberdelincuentes eran capaces de controlar el ordenador y el móvil de las víctimas, por tanto podían leer los SMS de los usuarios que indica el código a ingresar en la banca online para realizar transferencias. Durante este 2012 el malware para dispositivos móviles ha crecido de manera asombrosa y el foco de atención del crimen organizado ha pasado del Windows XP a dispositivos Android, aunque para el 2013 veremos que surgirán nuevos malware que afecten a la BIOS, sistemas SCADA, además de Windows 8.

En esta entrada quiero dar unas pinceladas sobre el ciclo de vida que tiene el malware, para que veáis cuál es el flujo del dinero en operaciones como la comentada anteriormente:

 

Podemos ver que los inversores, es decir, los que ponen el dinero para desarrollar el malware son organizaciones criminales, ciberterroristas, etc. Estos contratan a desarrolladores de malware que junto con los consultores ponen a disposición herramientas y paquetes de exploit que son aprovechados y distribuidos por mensajería instantánea, redes sociales, correos spam, etc. Por último, el malware tiene su efecto en los usuarios finales a los cuales se les roba todo tipo de información como cuentas bancarias y contraseñas, dando unos beneficios que recogen las organizaciones criminales.

Por tanto, esta estructura ha hecho que el uso del malware haya aumentado, ya que genera grandes beneficios por la complejidad que existe en localizar el dinero robado, además como comenté en la entrada “Cibercrimen como servicio”, el malware cada vez es más difícil de detectar y más sencillo de desarrollar y propagar, debido a la gran cantidad de herramientas existentes. Las personas involucradas en el proceso son desde aficionados hasta importantes delincuentes, donde a veces hay motivaciones políticas o ideológicas, en lugar de simplemente económicas.

Así que nada más me queda recomendar lo de siempre, estar atentos, actualizar vuestros equipos, no responder a correos electrónicos no solicitados y usar software anti-malware, además de seguir estas recomendaciones en nuestros smartphone, para evitar la falsa sensación de seguridad que tienen aún muchas personas.

Sexting

No tiene desperdicio el reportaje realizado por el equipo de investigación de Antena3 el pasado 24 de Noviembre donde se expone claramente el problema de reputación que puede llegar a tener una persona al utilizar de forma inadecuada herramientas como correo electrónico o mensajería instantánea. En este caso hacen referencia a los descuidos de la Viceministra de Costa Rica (Karina Bolaños) y la concejal de Los Yébenes (Olvido Hormigos) donde por falta de concienciación en seguridad y vivir en un mundo feliz han visto mermada su reputación al difundirse vídeos eróticos por Internet.

El anglicismo sexting cada vez es más utilizado por casos como este, donde se hace referencia al envío de contenido erótico mediante teléfonos móviles. La señora Hormigos grabó el vídeo desde su teléfono móvil y lo envió a una cuenta de correo electrónico equivocada, tras este error decidió volver a reenviarlo por WhatsApp. Se puede observar varios fallos, primero el envío a una cuenta de correo electrónico equivocada donde el destinatario, fuese quien fuese, ya tiene acceso al vídeo, después el reenvío del vídeo por mensajería instantánea donde el destinatario, fuese quien fuese de nuevo, también tendrá acceso al vídeo, y por tanto por consentimiento del emisor podrá verlo. Por tanto, ya tenemos tres copias del vídeo en dispositivos completamente distintos, como por norma general, vaguería o desconocimiento pocas personas definen patrones de bloqueo a los teléfonos móviles, cifrado de la tarjeta de memoria, instalamos todo tipo de aplicaciones innecesarias y nos conectamos a la primera red Wi-Fi que vemos abierta sin pensárnoslo, pues ya tenemos todos los ingredientes necesarios para que un tema como este explote.

Estamos ante un caso de violación a la intimidad y el derecho al honor donde aún se desconoce si el vídeo fue compartido por el destinatario a modo de venganza o estamos ante un claro ejemplo de robo de información como le pasó a Cristina Aguilera, Rihanna, y otras tantas famosas. Fuese lo que fuere, con un poco de responsabilidad y conciencia en seguridad de la información se podría haber evitado gran parte de este problema, lo primero que se me ocurre y más simple hubiera sido cifrar el vídeo con una contraseña maestra que sólo conozca el emisor y receptor, de esta manera la copia enviada al correo electrónico equivocado no hubiera sido reproducida, además ante un acceso indebido por un tercero a alguno de los dispositivos móviles tampoco hubieran podido ver el vídeo por no conocer la clave de cifrado. Está claro que puede parecer complejo y difícil de utilizar herramientas de cifrado, pero cuando estamos hablando de información privada o confidencial debemos de poner todo los medios necesarios y adecuados para que la información sólo sea recibida y leída (reproducida) por los destinatarios permitidos. Aunque todos sabemos que el eslabón más débil está en las personas, por tanto, la seguridad debe permanecer en todo el ciclo de vida de la información, de nada nos vale tomar medidas de seguridad si luego alguna persona comparte la información por redes P2P.

Como salida de este asunto se ha modificado de forma improvisada el código penal donde se dice que la mera divulgación no autorizada de imágenes o grabaciones intimas pasa a ser objeto de reproche penal en España con un castigo de un año de prisión. Y aquí está el problema de la interpretación de la ley, ¿las fotos realizadas en una fiesta de cumpleaños en un sitio público se considera imágenes íntimas? ¿el vídeo de la celebración de una boda se considera grabaciones íntimas? Porque si es así, para que todos cumplamos la ley deberemos firmar una acreditación para consentir que se nos graben o fotografíen antes de aceptar alguna invitación.

Por desgracia, estos problemas seguirán sucediendo y con la explosión de Internet la información se extenderá con mayor rapidez, por tanto a nivel empresarial para intentar evitar el robo o fuga de información privada o confidencial es importante disponer y cumplir la política de seguridad de la información, donde no olvidemos incluir todos los dispositivos móviles como smartphone o portátiles.

Cibercrimen como servicio

Hace ya ocho años que empecé en el mundillo este de las tecnologías y aún recuerdo lo complicado que era para mí, en mis primeros años de carrera universitaria, entender toda la trama de delincuencia que había tras un simple virus. Lógicamente he sido víctima de varios virus, ya que soy muy enreda, pero cuando intentaba utilizar algún virus para atacar a algún compañero por simple diversión, era incapaz. En mis inicios era muy complicado aprovechar una vulnerabilidad, no solo por mis conocimientos de novato sino también por la dificultad de encontrar o adaptar el virus al objetivo, que vuelvo a repetir era por diversión y para conocer cómo funcionaba este mundo apasionante de la seguridad.

En cambio, el mundo del cibercrimen ha evolucionado de manera increíble en los últimos años, ya que actualmente no es necesario poseer conocimientos técnicos sobre la vulnerabilidad a explotar o las técnicas a utilizar para controlar un gran número de equipos zombies, y así obtener información de los usuarios o mismamente utilizar estos equipos para otras actividades como por ejemplo campañas de spam.

Las organizaciones criminales han hecho que sea muy sencillo obtener software preparado para delinquir, o también llamado crimeware, en esta lista de crimeware podemos ver qué vulnerabilidades explota cada una de las herramientas, sin embargo las más utilizadas por los delincuentes son Nuclear Exploit Kit, Cool Exploit Kit o Blackhole Exploit Kit. Desde el mando de control (C&C) de estas herramientas se pueden realizar tareas como:

• Analizar el tráfico TCP de las víctimas.
• Leer correos.
• Conocer qué páginas web visita la víctima.
• Instalar puertas traseras en los equipos.
• Realizar capturas de pantalla.
• Realizar ataques de phising.
• Además de cifrar las conexiones entre el mando de control y el equipo infectado.

Estas herramientas las podemos encontrar en el mercado negro a un precio “asequible”, ya que existen dos modos de licenciamiento, uno descargando los exploit kit e instalándolo en tu propio servidor que suele costar unos 1500$ al año, y otro es utilizar el cibercrimen como servicio donde utilizas la infraestructura del proveedor para lanzar los ataques, y puedes comprar este servicio por unos 50$ al día.

Como veis, la industria del cibercrimen ha adaptado las herramientas para que cualquiera desde su casa pueda lanzar sus propios ataques, de esta manera se puede llegar a controlar una botnet sin la necesidad de tener unos conocimientos técnicos avanzados sobre las vulnerabilidades, tan solo se tiene que preocupar de encontrar víctimas que tengan la información que se busca.

Por tanto, si no quieres que tu PC pertenezca a una botnet controlada por estas herramientas es importante actualizar los equipos y mantenerse informado en materia de seguridad, para que nuestra información no sea expuesta a estas organizaciones criminales.

¿Qué llevas en la maleta?

En la entrada de hoy voy a mostraros el conjunto de herramientas que llevo en mi portátil con las que “juego” cada vez que tengo la ocasión. La mayoría de herramientas pertenecen al famoso sistema operativo Backtrack que mucho conoceréis, con Backtrack podremos realizar casi todas las fases de una auditoría de seguridad, desde la fase de obtención de información hasta la fase de ejecución o explotación, a continuación os mostraré las herramientas que más utilizo:

MetaSploit Framework: Es una gran utilidad desde la que podremos obtener mucha información de la máquina comprometida, manipulando los procesos del sistema comprometido, creando nuevos procesos, matando procesos, realizando capturas de pantalla, encendiendo el micrófono y/o webcam, obteniendo información de las teclas pulsadas por la víctima, etc. Además, la comunicación entre el framework y la máquina de la víctima estaría cifrado por SSL dificultando su descubrimiento.

Armitage: Esta herramienta nos facilitará el uso de metasploit y la linea de comandos de meterpreter ya que desde una aplicación gráfica podremos tener de un solo vistazo todas las máquinas comprometidas, además de poder realizar búsquedas de exploit que utilizaremos para realizar nuevos ataques.

Openvas, wireshark y nmap: Son tres herramientas necesarias en las primeras fases del análisis, ya que nos permitirán conocer con mayor detalle las vulnerabilidades de la víctima, además de poder averiguar el estado actual en cuanto a servicios y versiones del software utilizado del equipo atacado.

Uniscan: Esta herramienta es muy útil para realizar análisis de vulnerabilidades de aplicaciones web, con ella podremos saber si la web a analizar está expuesta a vulnerabilidades de inyección SQL, XSS, RFI, LFI y RCE.

Airodump-ng, aireplay-ng y aircrack-ng: Con este conjunto de herramientas podremos realizar un análisis de la red inalámbrica para obtener las contraseñas de acceso wireless, y así entrar en la red de la víctima. Además si las unimos a las herramientas decsagem, jazzteldecrypter, wlandecrypter, linksysdecrypter, ono4xx, r-wlanxdecrypter, wlan4xx, wlanwpa y stkeys tendremos muchas más posibilidades de averiguar la contraseña de la red Wifi.

Cymothoa: Con esta herramienta podremos crear puertas traseras de manera sencilla, haremos que un proceso existente en el sistema escuche en el puerto que indiquemos.

Social Engineer Toolkit: Es una herramienta que nos permite poner nuestro equipo a la escucha, de tal manera que cuando otro equipo (el atacado) nos realiza una solicitud, se le lanzan muchos exploits, así no tenemos que estar pendientes de qué exploit se puede utilizar para una determinada máquina. Esta herramienta es muy utilizada en sitios web ya que cuando la víctima solicite la página web, el atacante le envía un conjunto de exploit.

Ataque evilgrade: Desde backtrack es muy sencillo realizar ataques evilgrade ya que existen todas las herramientas necesarias para realizar DUAL ARP, Man in the Middle y DNS Spoofing. Por tanto, podremos infectar a la víctima haciéndola creer que está actualizando el sistema operativo o alguna aplicación instalada en su equipo.

Rkhunter: Esta herramienta es muy útil para analizar equipos linux, ya que es un software anti-malware que examina los binarios, archivos de configuración y comportamientos para saber si hay algún rootkits ejecutándose, así podremos conocer sí la máquina está comprometida por algún tipo de malware. En cambio, si queremos realizar las mismas tareas sobre equipos Windows podemos utilizar Ossec.

Todas las herramientas indicadas anteriormente están disponible desde la suite de Backtrack, además es de gran utilidad la herramienta Foca de Informática64 para obtener información a partir de los metadatos de los documentos sobre usuarios y aplicaciones de la empresa auditada.

Para no extenderme más, hasta aquí lo dejamos hoy y en siguientes semanas veremos las herramientas utilizadas por los cibercriminales o cómo cada vez se está utilizando más el cibercrimen como servicio.

Ciber-espionaje

Cuando se habla de espionaje a mucha gente se le viene a la cabeza la famosa película del Agente 007 de James Bond, un agente secreto que trabaja como espía internacional para la CIA con licencia para matar. Si a la palabra espionaje le ponemos el prefijo “ciber”, muchas personas se pierden y no saben de qué se está hablando, cada vez es más habitual ver los términos de ciber-seguridad, ciber-guerra, ciber-ataque, ciber-delincuente, etc pero la gente no es capaz de imaginar cómo una persona desde su casa con un portátil y una conexión a Internet puede realizar un robo, atacar a los sistemas de una organización o incluso espiar a una determinada persona.

Todas las palabras que tienen el prefijo ciber hacen alusión a la utilización de las tecnologías de la información y la comunicación (TIC) para llevar a cabo la acción determinada, hasta entonces todos entendemos que para llevar a cabo un robo es habitual que el ladrón disponga de un arma de agresión para intimidar al atacado, mientras que este tipo de robo está disminuyendo, la delincuencia utilizando las TIC está aumentando considerablemente debido a su facilidad, anonimato y grandes beneficios por parte del atacante. Un ejemplo reciente lo tenemos en el robo de 200.000 euros al Concello de Cerdedo donde mediante un ataque de phishing los piratas informáticos lograron realizar multitud de transferencias de pequeños importes.

Por tanto en esta entrada me gustaría responder a las siguientes preguntas básicas:

¿Por qué Ciber-espionaje? El principal motivo para realizar ciber-espionaje es el mismo que el espionaje, simplemente se utiliza el medio de las tecnologías para la obtención de datos o información confidencial.

¿A quién va dirigido? El principal objetivo es la información confidencial y secretos de estado de los gobiernos, infraestructuras críticas y bancos. Aunque a más bajo nivel todos somos objetivos del ciber-espionaje, tan sólo hay que escribir “adivinar contraseña hotmail” en Google para ver la cantidad de resultados que nos arroja el buscador.

¿Cómo se realiza el Ciber-espionaje? Esta es la pregunta más amplia y más complicada de explicar y comprender. La mayoría de los antivirus incorporan software AntiSpyware que analiza las conexiones que realiza el ordenador y las aplicaciones instaladas, para saber si el equipo está infectado por algún tipo de software y está enviando información sobre contraseñas, pulsación de teclados o documentos hacia Internet. Pero muchas veces este tipo de software no es suficiente, ya que existen multitud de virus que los fabricantes de software antivirus aún no conocen, como los recientes casos de los virus Madi, Flame o Stuxnet dedicado al ciberespionaje de las infraestructuras críticas del Oriente Medio, que cuando los fabricantes de antivirus lo detectaron ya era demasiado tarde y toda la información confidencial ya se había transmitido hacia las mafias. La mayoría del malware desarrollado para el ciberespionaje son capaces de realizar las siguientes acciones:

• Buscar “palabras sensibles” dentro de los documentos de los equipos infectados.
• Realizar capturas de audio usando el micrófono de los equipos.
• Realizar capturas de vídeo usando la webcam de los equipos.
• Enviar documentos del disco duro a un servidor remoto.
• Robar certificados.
• Buscar archivos de configuración de escritorios remotos.
• Escanear la red local para identificar otros equipos y atacarlos.
• Ejecutar comandos en los sistemas afectados.

¿Cuándo se realiza Ciber-espionaje? Siempre. Internet está abierto durante las 24 horas del día todos los días del año, así que estamos expuesto a un posible ataque que permita robar nuestra información confidencial en cualquier momento.

Por tanto, tan solo me queda recomendar que además de actualizar los equipos es muy aconsejable inscribirse en servicios de alerta temprana como los que dispone el CCN-CERT o Inteco, o en el caso de administrar sistemas SCADA inscribirse en el CNPIC. De esta manera conoceremos los últimos ataques, vulnerabilidades y problemas de seguridad que pueden ser utilizados contra nuestros sistemas.

ISO 22301:2012

El reciente huracán Sandy en EEUU me ha vuelto a recordar la importancia de que empresas e instituciones públicas dispongan de un Plan de Continuidad del Negocio, para dar continuidad a sus procesos más críticos tras una interrupción no planificada derivada de un desastre natural, actos provocados por el terrorismo, accidentes técnicos o problemas ambientales. Ejemplo de este tipo de desastres lo hemos tenido en España, como el incendio del edificio Windsor, o el derrumbe de las Torres Gemelas en EEUU, en ambos casos muchas de las empresas alojadas en estos edificios han tenido que “cerrar”, ya que tras la catástrofe no pudieron continuar con el negocio en otro lugar físico distinto, en cambio, otras empresas pudieron continuar sus procesos de negocio debido a que tenían un Plan de Continuidad del Negocio perfectamente definido y mantenido.

Por ello quiero dar la entrada a la reciente publicada ISO 22301:2012 denominada “Societal security. Business continuity management systems. Requirements” Esta ISO hace referencia a un Sistema de Gestión de Continuidad del Negocio desarrollado por ISO, sustituyendo a partir de este mes de Noviembre al estándar británico BS 25999, por tanto ya no es posible certificarse en BS 25999-2 y todas aquellas empresas certificadas en el estándar británico deberán actualizarse a la ISO 22301 antes de Mayo del 2014.

Alguna de las principales diferencias y mejoras que incorpora la nueva ISO 22301 con respecto a BS 25999 son las siguientes:

• Se tienen en cuenta todas las Partes interesadas, es decir, en el Sistema de Gestión se tiene en cuenta a los Proveedores, Accionistas, Acreedores, Clientes, etc, sustituyendo el término de skateholder de BS 25999.
• La Dirección de la organización deberá estar más comprometida con el Sistema de Gestión, por tanto hay requerimientos específicos para la alta gerencia, estos requerimientos dejarán sus correspondientes evidencias que demuestren su compromiso con el Sistema de Gestión.
• La importancia de designar los recursos necesario y adecuados para el Sistema de Gestión, realizando un análisis de las competencias del personal.
• En el apartado de Concienciación se hace hincapié en no pensar en “A mi no me va a pasar ...”
• Se deben tratar los riesgos adecuadamente mediante el análisis de impacto en el negocio (BIA) y evaluación de riesgos.
• Pensar que continuidad del negocio no solo es tecnología, ya que hay que analizar otro tipo de riesgos como financieros, de mercado, regulatorios, etc.
• El Plan de Continuidad del Negocio no puede ser general o muy detallado.
• Es de suma importancia planificar adecuadamente las pruebas.
• Cumplir y no saltarse las medidas establecidas y nunca olvidarlas.

En cambio, para todas aquellas empresas que no quieran seguir el estándar ISO 22301 pero que se preocupen por la continuidad de su negocio, podemos definir las siguientes fases necesarias para llevar a cabo un adecuado Plan de Continuidad del Negocio:

• Diseñar un plan y establecer una política de Continuidad del Negocio.
• Conocer los procesos de negocio de la organización y realizar un análisis de riesgos.
• Implementar las medidas preventivas necesarias.
• Definir las estrategias de recuperación.
• Desarrollar e implementar el Plan de Continuidad del Negocio.
• Mantener el Plan de Continuidad del Negocio.

Por tanto, aquí dejo la entrada de hoy donde hemos realizado un breve recorrido por la nueva ISO 22301, y donde hemos definido las principales fases que debe seguir una empresa para implantar un Plan de Continuidad del Negocio, cuyo fin no sea la certificación del plan bajo el estándar ISO.

Switch Security

Muchas organizaciones securizan su infraestructura pensando en que los ataques siempre provienen desde fuera y nunca desde dentro de su propia plataforma, a menudo se toman medidas de seguridad filtrando paquetes basándose en las cabeceras de las Capas 3 y 4 del Modelo OSI, filtrando puertos, realizando una inspección completa de los paquetes, etc. Esto hace que no se tenga en cuenta las capas inferiores en la securización de las comunicaciones y por tanto exista un vacío de seguridad en las Capas 1 y 2 del modelo OSI.

Algunos de los problemas que nos podemos encontrar en estas capas pueden surgir a partir de que un usuario, no necesariamente malintencionado, enchufe el cable que va conectado a su ordenador a un switch, hub o punto de acceso para compartir la conexión con algún compañero, para expandir el radio de acción mediante Wifi, etc. Otro problema que puede surgir es simplemente que el usuario tenga el servicio de DHCP instalado y habilitado en su equipo, y por tanto ofreciendo direccionamiento IP a todo aquel que esté a su alcance. Estos son dos ejemplos claros y sencillos que pueden aparecer en cualquier organización que no esté debidamente controlada, y que pueden provocar que los administradores de red dediquen mucho tiempo en la búsqueda del origen del problema. Por tanto en este post veremos cómo podemos protegernos contra los siguientes ataques de Capa 2:

MAC Flooding

Es el ataque más común y consisten en llenar la tabla CAM del switch para obtener información dirigida hacia otros equipos o realizar un ataque de DoS.

Este tipo de ataque se puede evitar mediante la funcionalidad de Port Security de Cisco, además de bloqueando la inundación de unicast en puertos específicos. Mediante la característica de Port Security estableceremos el número de direcciones MAC que pueden enviar tráfico por un determinado puerto del switch, o también podemos limitar qué direcciones MAC están permitidas enviar tráfico por dicho puerto.

VLAN Hopping

Realizando este ataque podremos enviar paquetes o recoger paquetes desde una VLAN que no debería ser accesible por el sistema final. El ataque consiste en tagear de nuevo el paquete con la VLAN a la que queremos acceder, o negociar un enlace en modo trunk con el switch.

Este tipo de ataque se puede evitar configurando listas de control de acceso basadas en VLAN (VACLs) donde se puede definir qué direccionamiento, e incluso MAC address, puede enviar tráfico en una determinada VLAN. Además, no olvidemos de configurar los puertos del switch que no se estén utilizando como puertos de acceso en estado shutdown y asociándolos a una VLAN que no tenga tráfico de datos, mientras que los puertos en modo trunk deberemos configurarlos con una VLAN nativa que no emita tráfico de datos, el trunk esté activado y no negociado, y por último especificar el rango de VLAN permitidas.

Spoofing Attacks

Estos ataques pueden ocurrir sobre varios protocolos permitiendo a un atacante realizar ataques de man-in-the-middle (MIM), de tal manera que tras el ataque todo el tráfico fluye por el equipo del atacante antes de enviárselo al router, switch o equipo de destino.

El ataque de DHCP Spoofing lo podremos evitar mediante la característica DHCP Snooping de Cisco, mientras que los ataques de ARP Spoofing los podremos evitar mediante las técnicas de inspección dinámica ARP que ofrecen los fabricantes de switches. Por otro lado, los ataques de IP Spoofing los podremos evitar configurando IP Source Guard que uniéndolo a DHCP Snooping el switch conocerá la asociación IP – MAC por puerto, evitando los ataques MIM.

Para no extenderme más y finalizar, tan solo quiero comentar que existen muchas más técnicas que hay que tener en cuenta a la hora de securizar nuestra infraestructura, como puede ser la configuración de 802.1X basado en puerto, CDP, etc. Así que como veis, existen multitud de característica a implementar, y que lógicamente los atacantes siempre las tienen en cuenta para llevar a cabo sus hazañas.

Copyright

Descargar cualquier software, película, documento, juegos, etc con contenido protegido por derecho de autor mediante descarga directa o utilizando alguna aplicación de descarga p2p como uTorrent, eMule, Kazza o Ares, todos sabemos que es ILEGAL. Multitud de leyes han surgido para evitar estos problemas como las leyes de Estados Unidos (Ley SOPA y PIPA), la ley en Francia (Ley HADOPI) y la ley de España (Ley Sinde), todas ellas con sus ventajas e inconvenientes y con sus defensores y detractores.

Siempre podemos tener la duda de “si mi vecino me roba el wifi o si tengo un virus en el ordenador que descarga cosas sin yo saberlo”, pero ¿cómo podemos controlar esto? ¿cómo se puede identificar a la persona que descargó algo ilegal? No se exactamente si los routers domésticos que tenemos en casa registran todas las conexiones que realizamos, incluyendo el identificador único (MAC) al que está asociado las tarjetas de red de nuestros equipos, de no ser así sería el primer punto a tener en cuenta para detectar las descargas ilegales, al igual que se hace con los registros de telefonía móvil, donde los proveedores deben almacenar todas las llamadas, mensajes, posición GPS, etc de los dispositivos durante un periodo mínimo de 6 meses y máximo 2 años. ¿Por qué no se hace? ¿No interesa a los Proveedores de Servicios? ¿No interesa a los Gobiernos? Probablemente esté equivocado en algún punto, no soy abogado y no me he estudiado la ley, pero diría que existen los medios necesarios para detectar si una persona descarga contenido ilegal.

Tengo que reconocer que este es un tema complicado de llevar a cabo, ya que tras una denuncia de una casa discográfica o productora de cine a un determinado usuario, requiere un profundo peritaje en el que hay que auditar al proveedor de servicio de Internet, equipos de los usuarios, servidores, etc y esto requiere mucha burocracia, y cuando el producto descargado proviene de un país distinto, el caso es aún más complejo. Mismamente de esto se aprovechan los Trolls del copyright, que son abogados de las propias productoras que contactan con los usuarios indicándoles que si realizan un pago de entre 1500 y 3000 dolares, estos no serán multados. En EEUU hay más de 250.000 usuarios afectados por los trolls del copyright, así que podemos ver que las propias productoras se benefician de la piratería.

Muchos diréis, ¿pero cómo se puede demostrar que mi portátil ha realizado una descarga ilegal? Actualmente, aunque no imposible sería difícil de demostrar, sin embargo se podría mejorar registrando cada tarjeta de red a una determinada persona, como se hace con los teléfonos móviles o las armas de fuego, aunque al igual que el cañón de una pistola puede ser modificado para no dejar la huella en la bala, un portátil también podría ser modificado para no dejar huella, pero ya estaríamos hablando de técnicas de ocultación.

Todo esto trasladado a nivel empresarial, es importante tenerlo en cuenta, ya que se debe evitar que los usuarios realicen descargas ilegales mediante controles de acceso, filtro webs, control de aplicaciones, políticas basadas en identidad o de capa 8 como la llaman algunos fabricantes, y no olvidemos nunca que todos los usuarios deben conocer y cumplir la política de seguridad referente al buen uso de los equipos informáticos y la red. Además, los administradores de sistemas deben tener inventariado el software instalado con sus correspondientes licencias, y ser conscientes de los problemas que puede acarrear la instalación de software ilegal en los equipos de la empresa, para que no sean sorprendidos con multas millonarias de pirateo de software.

Por tanto, para finalizar es importante que en un entorno empresarial se cumpla con los controles del módulo “A15 - Cumplimiento” de la ISO 27001, para detectar qué leyes debe cumplir la organización, realizar un seguimiento y comprobar si se están cumpliendo, sin olvidar el registro e inventariado de todo el software disponible en la organización.

Scammers

Todos los que trabajamos en el mundo de la tecnología desde hace años sabemos y conocemos cómo funcionan la mayoría de dispositivos electrónicos como ordenadores, smartphone, tablets, etc. Pero no debemos olvidar que hay mucha gente que no tiene conocimientos en tecnología y mucho menos en seguridad, que no saben encender el ordenador, crear una presentación con PowerPoint o utilizar un procesador de textos. La mayoría de estas personas no tienen conocimientos mínimos en tecnología porque no lo necesitan, no lo han necesitado o simplemente les da miedo este mundo, pero todos ellos son igualmente válidos y muy apetecibles para las mafias y ciberdelincuentes, ya que tienen el recurso más preciado por los delincuentes, dinero y datos personales.

Cuando a un niño se le regala su primer portátil o a una persona adulta su primer teléfono móvil para que esté conectado con la familia, comienzan a entrarse en este mundo maravilloso, bonito y sencillo de la tecnología, pero a ninguno se le muestra lo retorcido, malvado y diabólico que puede llegar a ser. Todos estamos constantemente conectados con la tecnología, desde niños hasta personas adultas, la tecnología está presente en nuestros televisores, coches, trenes, aviones y todo lo que podáis imaginaros, utilizamos tecnología en el trabajo, en la calle y en casa.

Aquí es donde entra en juego las mafias y delincuentes, intentándose aprovechar de todas las personas, para ello estudian minuciosamente cada sistema operativo, aplicación, dispositivo electrónico, invirtiendo mucho dinero y tiempo, y contratando a personas muy cualificadas para explotar los recursos al máximo con el fin de engañar a las personas. La ingeniería social es una de las técnicas mas utilizadas para engañar a los usuarios, enviándoles correos electrónicos, sms, llamándoles, indicando que han ganado un premio, que vas a conocer a la chica de tus sueños o que vas a ganar mucho dinero sin mover un dedo. En este post quería dar la entrada al termino scammers, muy relacionado con la ingeniería social, ya que este es el nombre que se les da a los delincuentes que engañan y estafan a los usuarios, ya sea por correo electrónico, llamadas telefónicas o páginas web fraudulentas.

Siempre me gusta dar algunos ejemplos de noticias recientes relacionadas con el tema, y en este caso podemos ver desde La Comisión Federal de Comercio que existe una campaña para concienciar a los consumidores de la estafa cada vez más popular y utilizada por los delincuentes, que consiste en llamar al usuario haciéndose pasar por el soporte técnico de Windows para hacer ver a la víctima que tiene un virus y que debe instalarse un software para eliminarlo, siendo este un software que en lugar de eliminar virus deja la puerta abierta al atacante. Pero no solo intentan engañar a los usuarios sino también a personas que trabajan para empresas, como puede ser el conocido caso del hacker que engañó al soporte técnico de Apple, donde el scammer se hizo pasar por un usuario de Apple para resetear la contraseña de iCloud de la víctima, y así poder robar toda su información y borrar el contenido de sus dispositivos iPhone, iPad y MacBook.

Para evitar estos problemas, además de los cursos de concienciación en seguridad que deben recibir los empleados y la sociedad en general, todos ellos exigibles en la ISO 27001, es recomendable realizar auditoría de seguridad no solo de la parte técnica sino también de todo aquello perteneciente a Recursos Humanos, para ello nos podemos basar en metodologías como OSSTMM de ISECOM, donde el auditor debe realizar llamadas telefónicas a los empleados de la empresa auditada para comprobar si los empleados proporcionan información confidencial o son fácilmente engañados.

Aprovechando este minientrada a OSSTMM, una herramienta muy útil para auditores y completamente compatible con OSSTMM 3 es la recientemente lanzada por Fedora Security Lab, que la disfrutéis.

La confianza

 

Según la Real Academia Española la confianza es la “esperanza firme que se tiene de alguien o algo” y creo que es un concepto muy necesario en los actuales modelos de negocio tanto para la venta de servicios como de productos, ya que los clientes necesitan fiarse de la persona o empresa a la que les compran, siempre pensando en que el producto o servicio que se le vende cumple la necesidad por la que fue comprada. Pero no solo la confianza se da en la compra/venta de productos sino también, y cada vez más, en las relaciones personales entre compañeros, jefes, familia, amigos, etc, pienso que la confianza es algo imprescindible para compartir opiniones, información o incluso para hacer negocios, pero también es algo difícil de medir y controlar en la vida diaria y como no, en las organizaciones.

La confianza es un riesgo que toda organización debe asumir y por tanto es un peligro en cuanto a seguridad, sin embargo hay que intentar controlarlo de la mejor manera posible firmando acuerdos de confidencialidad, clasificando la información, estableciendo políticas de seguridad, asignando permisos de accesos por roles o usuarios, etc. Pero por muchos controles que se establezcan la confianza puede saltárselos todos, revelando contraseñas, compartiendo documentos, en definitiva, proporcionando información confidencial a un tercero. Es en este punto donde entra la profesionalidad y la valía de cada persona, en el que debe tenerse cuidado qué se dice, a quién se dice y cómo se dice, ya que el traspaso de cierta información puede dificultar el éxito de un proyecto, puede desencadenar la perdida de clientes o incluso puede comprometer la continuidad de un negocio. Desde los ejecutivos, directores, consejeros, CEO, CIO, CSO hasta técnicos, limpiadores, electricistas, guardas de seguridad, etc, todos tenemos información confidencial, de mayor o menor grado, que no deberíamos revelar bajo ninguna circunstancia tanto durante el empleo como tras el cese del empleo o cambio de puesto de trabajo.

Ejemplo de estos problemas se ven diariamente, como el caso de la Operación Pitusa donde hay más de 80 personas detenidas por el traspaso de información confidencial, desde agentes de la Guardia Civil, empleados públicos de las Seguridad Social o empleados de compañías telefónicas. Todos nosotros hemos cedido datos personales, tanto a compañías privadas como públicas, confiando en que estos datos no serían utilizados y vendidos para otro fin que no fuese por el que se entregaron, pero vemos que la confianza y los sobornos lo pueden todo, se han saltado todos los controles de seguridad definidos y finalmente nuestros datos han sido expuestos y utilizados por mafias. Otro caso reciente es la detención del mayordomo y hombre de confianza del papa Benedicto XVI donde se ha podido comprobar que el ex mayordomo del Papa fotocopiaba documentos y los filtraba a la prensa, y por tanto violaba todas las políticas de seguridad.

Pero no solo es trasladable a la confianza de las personas, sino también a la confianza técnica como puede ser la confianza que tenga un equipo o usuario a un certificado. En este caso quiero hacer referencia al robo del certificado de Adobe donde varios hackers lo han utilizado para propagar malware e infectar los equipos de los usuarios, con el certificado firmaban el malware y lo distribuían engañando a los usuarios, y saltándose los antivirus y políticas de seguridad de los Sistemas Operativos con el objetivo de contagiar y controlar el mayor número posible de equipos.

Para finalizar, aunque la confianza es difícil de controlar y medir, es necesario y recomendable establecer unos controles mínimos para evitar situaciones desastrosas, y por tanto en este caso se aconseja cumplir todos los controles pertenecientes a los dominios A8 – Seguridad ligada a los recursos humanos y A15 – Cumplimiento.

Internet lo recuerda todo

 

Sin duda la red de redes llamada Internet que conocemos hoy en día guarda más información de la que podemos imaginar, todo lo que hacemos desde que nos conectamos a Internet queda registrado, da igual que hayas utilizado un portátil, un smartphone, que te conectes desde la ADSL de tu casa, desde el trabajo o desde cualquier cafetería, todo queda debidamente registrado para que ante cualquier ilegalidad o problema se pueda conocer quién, cómo, cuándo y desde dónde se realizó dicha acción ilegal. Pero no es sólo eso, sino que con la aparición de las redes sociales como Facebook, Tuenti, Google+ o la utilización de Twitter y Linkedin, hace que a veces publiquemos más información de la realmente necesaria que ayuda a cualquier otra persona a conocer los contactos y amigos, lugares que has visitado y que estás visitando, tus aficiones o incluso conocer hasta qué grado de relación tienes con las personas que te rodean, toda esta información es muy útil para delincuentes y piratas informáticos, o incluso para tu jefe si ve que el Lunes has llegado con mala cara al trabajo.

Además de las herramientas comentadas anteriormente, para obtener información se pueden utilizar otras herramientas como archive.org desde donde podremos conocer el recorrido de las empresas desde sus inicios consultando las noticias publicadas, productos, proyectos, etc. También podemos utilizar herramientas de extracción de metadatos como Foca, para obtener información de documentos y así conocer quién, cómo y cuándo redacta ciertos documentos dentro de las organizaciones. Más vulnerable a este tipo de cosas son las personas famosas ya que mediante la extracción de metadatos de las fotos, de sus comentarios en twitter o incluso conociendo las matriculas de sus jet privados podemos saber cuáles han sido sus últimos vuelos o dónde se encuentran actualmente.

Por tanto, toda esta información es utilizada por los piratas informáticos para realizar ataques dirigidos mediante ingeniería social contra las víctimas, y así entrar en sus equipos y dispositivos móviles para luego publicar información confidencial de proyectos y productos, o incluso publicar fotos íntimas de famosas como las de Scarlett Johansson, Mila Kunis o Cristina Aguilera. Pero no solo aprovecha toda esta información los piratas informáticos sino que también es utilizada por la Guardia Civil y el FBI para atrapar a los “malos”, como por ejemplo cuando capturaron a un hacker gracias a que publicó una foto del escote de su novia.

Así que, como vemos, toda esta información está guardada en Internet y por tanto debemos ser conscientes de todo lo que hacemos y publicamos, ya que probablemente toda esta información perdurará para siempre. Esto hace que cada vez veamos más la necesidad de recibir cursos y charlas sobre el uso de las redes sociales para que no nos pase como al ejercito australiano donde los talibanes se han hecho pasar por mujeres en Facebook para robar secretos militares, así que una vez más vemos que el eslabón más débil está en las personas y para ello no hay herramienta, método, procedimiento, mecanismo, capacidad o fundamento que lo controle.

Siempre me gusta asignar cada uno de los post con alguno de los controles de ISO 27001, y en este caso vemos que toda la información que se puede extraer de una persona va a ser muy útil para el departamento de RRHH para elegir y corroborar los datos de un candidato a un puesto de trabajo, por tanto se puede asociar al control “A8.1 Antes del empleo”.

Para finalizar, os dejo este maravilloso vídeo donde podemos ver claramente la capacidad que tiene Internet de “leer la mente” de los ciudadanos.

Disaster Recovery Plan

 

Los famosos huracanes Katrina (2005) e Isaac (2012) de EEUU, el terremoto de Haití en 2010, el accidente nuclear Fukushima en 2011 debido a un terremoto y tsunami, o el terremoto sufrido por Lorca en 2011 son algunos de los ejemplos de desastres naturales que ha sufrido el planeta en los últimos años, estos acontecimientos nos deberían hacer pensar qué métodos y procedimientos tendrían que seguir los países, empresas y familias en el caso de que nos veamos inmersos en uno de ellos.

Me ha llamado la atención cómo el presidente Barack Obama ha proclamado el mes de Septiembre como el “Mes Nacional de Preparación” para que todos los ciudadanos sean conscientes de la necesidad de disponer de un Plan de Preparación ante Desastres, no sólo dirigido a las empresas y grandes organizaciones sino también a todas las familias de EEUU, donde desde la Cruz Roja Americana se proporciona mucha información y aplicaciones móviles a las familias para desarrollar un Plan de Recuperación ante Desastres.

Tras leer estas noticias, donde se indica que sólo el 60% de las familias estadounidenses afirman que para ellos es muy importante prepararse para enfrentar posibles desastres naturales, me surge la duda de qué porcentaje aplicaría en España, ya que la mayoría de las empresas no disponen de Planes de Contingencia perfectamente definidos y revisados para posteriormente poder dar Continuidad a sus Negocios, y ni que decir el porcentaje que aplicaría a las familias ya que este sería cero o próximo a cero. Es cierto que la probabilidad de desastres naturales en España es menor que en EEUU pero eso no debería influir a la hora de desarrollar el Plan de Recuperación ante Desastres ya que aunque la probabilidad sea menor, debemos estar preparados para lo peor.

Las fases a seguir para desarrollar un Plan de Recuperación ante Desastres podrían ser:

• Definir los procesos y servicios críticos de la organización.
• Definir la criticidad de los servicios.
• Definir cuánto tiempo puede estar la organización sin el servicio.
• Realizar un inventario de los activos relacionados con los servicios y evaluar la criticidad para cada servicio y proceso.
• Realizar el análisis de riesgos de los activos.
• Desarrollar la estrategia de recuperación.

Una vez definidas cada una de estas fases, sería necesario definir las actividades a seguir y los responsables de su ejecución, siempre teniendo en cuenta la recuperación de los procesos más críticos primero, y no olvidar nunca realizar un Análisis de Impacto tras un desastre para mejorar el Plan de Recuperación ante Desastres.

Por tanto, es muy útil y recomendable que toda organización disponga de un Plan de Recuperación ante Desastres, que este a su vez suele estar dentro del Plan de Continuidad del Negocio, así que obteniendo certificaciones como ISO 27001 para las empresas privadas o cumpliendo el Esquema Nacional de Seguridad en las Administraciones Públicas, garantizaremos que los servicios están preparados para posibles desastres.

¿Necesitas Idiomas?

Cuando comencé a estudiar Ingeniería Informática no pensaba que el idioma Inglés fuese a ser tan importante en una carrera puramente de ciencias, ya que no existía ninguna asignatura obligatoria relacionada con el Inglés, sin embargo sí que había muchas asignaturas relacionadas con las matemáticas como álgebra, análisis de datos, cálculo, cálculo numérico y matemática discretas, por no hablar de asignaturas como estadísticas y físicas, por tanto salí de la carrera sin prácticamente saber escribir, leer, escuchar o hablar Inglés.

Gracias a que las entrevistas de trabajo que realicé tras abandonar la carrera no fueron en Inglés, pude comenzar a trabajar en Extremadura, pero en la primera semana de trabajo me di cuenta que me faltaba algo que no había aprendido en la Universidad y que necesitaba aprenderlo si quería continuar en el sector de las TI, y eso era, por supuesto, saber Inglés. Al principio no sabía moverme por las webs de los fabricantes porque no entendía qué me querían decir, no era capaz de seguir manuales ni leer documentación de la mayoría de los productos, por no decir cuando entraban llamadas de Indios o Franceses, realizábamos webinars o teníamos videoconferencias con personas donde el idioma no era ningún inconveniente para ellos, en estos caso prácticamente no entendía casi nada. Lógicamente a esto había que darle una solución, todos sabemos que aprender un idioma es un proceso largo en el tiempo y complicado, pero a la vez bonito, así que decidí apuntarme a la Escuela Oficial de Idiomas donde comencé en 1º de Intermedio, al principio es difícil de llevar, ya que tras salir de trabajar no apetece meterse en una clase de idiomas, pero tras dos años de constancia y estudio ha merecido la pena porque he obtenido el nivel B1.

  

Con este nivel según el Consejo Europeo: "Es capaz de comprender los puntos principales de textos claros y en lengua estándar si tratan sobre cuestiones que le son conocidas, ya sea en situaciones de trabajo, de estudio o de ocio. Sabe desenvolverse en la mayor parte de las situaciones que pueden surgir durante un viaje por zonas donde se utiliza la lengua. Es capaz de producir textos sencillos y coherentes sobre temas que le son familiares o en los que tiene un interés personal. Puede describir experiencias, acontecimientos, deseos y aspiraciones, así como justificar brevemente sus opiniones o explicar sus planes"

Pienso que son cosas sencillas y simples que todo Ingeniero debería conocer, así que animo a todos a no abandonar el idioma y seguir estudiando porque con la que está cayendo en España cada vez es más necesario aprender otros idiomas. Por otro lado, enhorabuena a los futuros Ingenieros Informáticos que obtengan el título de Grado, ya que para obtener el Grado necesitaréis acreditar el nivel B1 de Inglés, así que saldréis mejor preparados, en cuanto a idiomas, que las antiguas Ingenierías.

Yo por el momento, seguiré con ello y espero que en un par de años, pueda comunicaros, por este mismo medio, que he alcanzado el nivel B2.