Mi columna en Invertia de esta semana se titula «El desastroso estado de la ciberseguridad» (pdf), e intenta esclarecer las causas por las que no hemos sido capaces, como sociedad, de establecer una cultura de ciberseguridad mínimamente razonable.
Obviamente, la ciberseguridad es una cuestión que evoluciona a gran velocidad y en la que todo experto conoce perfectamente los retos para simplemente mantenerse al día: es un poco como la famosa imagen de la reina roja de Alicia, corriendo a toda velocidad para poder mantenerse en el mismo sitio. Pero de ahí al desastre de las prácticas habituales de la mayoría de los usuarios, que los ubican en disposición de preguntarse no si van a tener un problema, sino simplemente cuándo, va un gran trecho.
De ahí que el pasado mes de noviembre, como consecuencia del que ya se considera el mayor ciberataque a la infraestructura estadounidense en toda su historia, Salt Typhoon, en el que los delincuentes aparentemente extrajeron datos de las redes de AT&T y Verizon al lograr reconfigurar los routers Cisco para acceder a ciertas personas definidas como «de alto valor», la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) y el FBI emitiesen una guía conjunta con recomendaciones destinadas a ayudar a proteger a los ciudadanos estadounidenses. Las compañías de telecomunicaciones afectadas, aparentemente, no pensaron que era importante informar a los usuarios afectados.
Una de las recomendaciones contenidas en esa guía es la de utilizar preferentemente en las comunicaciones el cifrado de extremo a extremo (end-to-end encryption, o E2EE), disponible por defecto en herramientas como Signal o WhatsApp (que hace uso del protocolo de cifrado desarrollado por la primera). Resulta como mínimo curioso ver a agencias gubernamentales recomendar a la población el uso de un protocolo de comunicaciones que pone prácticamente fuera de su alcance la posibilidad de interceptar esas comunicaciones, y evoca un poco episodios pasados en los que jueces ignorantes en Brasil o en España amenazaban a compañías por no facilitar el descifrado de conversaciones de imputados que esas compañías, simplemente, no podían llevar a cabo desde un punto de vista estrictamente técnico.
En el caso del iMessage de Apple, es un poco más complicado, porque cuando tienes un iPhone, sustituye al uso del SMS y MMS y aplica el cifrado de extremo a extremo, pero únicamente cuando el mensaje va dirigido a un usuario que tiene otro iPhone, mientras que lo hace sin cifrar si es enviado a alguien que no lo tiene.
Pero el uso del cifrado extremo a extremo es solo una de muchas recomendaciones mínimas para obtener una cierta paz mental en el uso de una herramienta ya tan utilizada como la red. Si nuestros padres hubiesen hecho con nosotros un trabajo tan malo a la hora de explicarnos los peligros de caminar por la ciudad como el que la sociedad ha hecho para explicar el funcionamiento y los peligros de la red, habríamos muerto todos atropellados.
Tristemente, las prácticas de ciberseguridad de la mayoría de los usuarios son tan desastrosas, que los exponen a todo tipo de problemas que van desde robos de información y estafas, hasta chantajes y timos. La absurda y destructiva idea de «total no soy importante, no tengo nada que ocultar ni nada que proteger» hace que muchos renuncien a un nivel de protección mínimo que resulta cada vez más necesario.
La mayoría de las contraseñas aún son no solo absurdamente simples, sino en muchísimos casos, compartidas entre todo tipo de servicios y, en muchos casos, ya publicadas. Los gestores de contraseñas son utilizados por muy pocos, como lo es el doble factor de autenticación, que únicamente supone una mínima incomodidad a la hora de entrar en algunos servicios. Los bloqueadores de publicidad, cuyo uso ya fue recomendado por el propio FBI hace tiempo, son muy poco utilizados, y los que los usan no lo hacen pensando en su ciberseguridad, sino simplemente en quitarse de encima una molestia. Y las redes WiFi públicas en hoteles , aeropuertos y lugares de todo tipo se utilizan sin la menor precaución y sin plantearse siquiera el uso de una red privada virtual o VPN. Que sí, que son herramientas que valen dinero, pero de verdad que es dinero bien invertido.
Se trata, simplemente, de disciplinarse mínimamente para utilizar unas herramientas que se han convertido en fundamentales para evitarnos problemas, y que si bien no aseguran que no seamos objeto de los delincuentes, sí lo dificultan bastante y lo hacen bastante menos probable. Si las instituciones educativas no proporcionan ese mínimo de formación y prefieren darse a la comodidad absoluta que supone prohibir y renunciar a educar, tendremos que aprender por nosotros mismos. Pero hagámoslo, que es importante.
This article is also available in English on my Medium page, «Sure, keeping up with cybersecurity can seem like a mad race, but it’s easier than you think«
Doy fé porque me pasó la semana pasada, que me llegó un código de recuperación a mi teléfono para inicial la recuperación de la contraseña de «X» servicio».
Obviamente no había sido yo quien inició esa recuperación, así que lo ignoré, pero entendí que hice bien en configurar el 2FA en esa cuenta.
Caballeros: siempre seremos alguien importante para un «tercero» con la motivación e incentivos adecuados.
Dicho eso, lo debo tener tan internalizado el tema de la seguridad, que ayer Chat GPT cerró mi sesión, y me pidió que la volviera a abrir, avisándome que me mandó un código a mi mail, y en el mismo correo en el que me mandaba el código me avisaba que abriera la aplicación de 2FA de mi teléfono para validar el ingreso desde mi teléfono.
No recordaba que lo había configurado de esa manera, pero efectivamente lo hice. Me tomó varios pasos más que lo habitual, lo que lo hizo «incómodo», pero después de haber seguido el proceso, me alegré de saber que si alguien lo intentara (en cualquiera de mis servicios), lo tendría, no digo «muy», pero razonablemente complicado.
Vaya, que en tres puntos:
1) VPN para comunicaciones cifradas
2) Gestor de passwords para passwords difíciles y diferentes para cada servicio
3) Factor de doble autentificación para redoblar seguridad
Me dejo alguno?
Me contesto yo mismo: Ad-blocker y borrador de cookies… Eso lo lleva por defecto Brave?
«Me dejo alguno?»
ejem… ¿tirar el móvil por el retrete?
Yo, y como yo supongo que la mayoría, mantenemos conversaciones que pretendemos que no se publiquen Urbi et Orbe, que queremos que sean discretas pero que no tenemos la pretensión de que sean secretas, Si alguien entra en mis grupos de WhatsApp, lo cual supongo es fácil, podrá saber que hasta cuarenta personas hemos felicitado a uno del grupo por su cumpleaños, o se entere que uno de notros estamos pasando la gripe.
Sinceramente, me gustaría que los chinos vigilar mi WhatsApp, porque mientras pierdan el tiempo en eso, no harán otra cosa mas perjudicial para Occidente.
Lo que no llego a entender es que haya mensajes en los móviles sobre las mordidas por adjudicar obras públicas, porque sinceramente, si yo me dedicara a eso, algo que no he hecho, entre otras razones, porque no he tenido ocasión, utilizaría uno de los miles de sistemas para mandar mensajes cifrados y desde luego, desde un teléfono con una tarjeta de prepago hecha comprar mediante cualquier pobre de los que hay por la calle.
Es asombroso que nuestros «corruptos» sean tan confiados, Solo se explica que se sientan a salvo y por por encima del Bien y del Mal.
Tambien hay mensajes del estilo:
– «Luis, se fuerte»…
– «Animo compi-yogui»
– «controlamos la sala segunda por la puerta de atras»
– «esto te lo afina la fiscalia»
Fijate tu, que la estulticia es cosa de todos… (de todos)
De todos los políticos, ¿por qué los elegimos?
A Barcenas le han dado la condicional,… y una cosa lleva a la otra,…
Pues mejor, si uno se equivoca deseando el bien, es que entonces no lo necesitas.
Mi respuesta facil, es:
– Son los que elegis vosotros…. que no yo.
Mi repuesta «del alma», es:
Pero no eras tu el de «perdon, no volvere a meter la politica con calzador en cualquier tema»…???
(y ya van unos cuantos)
Y si… poco voy a poder escribir porque el alma no me da para mas… pero esto te lo voy a recalcar mientras mis dedos tengan fuerza…
Aqui el partido condenado por corrupción es el PSOE, es Podemos, es Esquerra ?
RABOS DE PASA !!!! que van muy bien para la RAM
Y animo con tu guerra particular !!!
Me lo dices a mi…. o confundiste el boton???
A ti…. que vaya todo bien !!!
Pues repasa comentarios que has metido la gamba hasta el cuello…
Con toda la sinceridad y aprecio del mundo, vence a la guerra que estás librando, sea lo que sea!
Buzz, lo siento (ayer no fue un buen día, ninguno lo está siendo), cuando pregunté si me lo decías a mí, me refería al comentario de “RABOS DE PASA”, no a lo otro. Gracias por el ánimo.
Chipi, gracias igual.
Yo escribi «Es asombroso que nuestros «corruptos» sean tan confiados, » no los corruptos de determinado partido.
«El señor elogió al mayordomo injusto porque había procedido con sagacidad, pues los hijos de este siglo son más sagaces en las relaciones con sus semejantes que los hijos de la luz.
Eso debía ser en tiempos de Jesucristo, hoy los hijos de las tinieblas son unos berzotas
¡No los elegimos, ese es el problema!
Vivimos en una partitocracia, no elegimos políticos, sólo podemos elegir partidos. Si una banda de ladrones se apodera del partido sólo podemos votar a otro partido pero, en un país de hooligans políticos, ¿quién hace eso?
Calla, calla… que tienes toda la razón, y precisamente por eso montamos un «No les votes» y un 15M hace algunos años… ¡y fíjate lo que pasó!! Yo no vuelvo a hacer de aprendiz de brujo, gracias!!
Exacto, y por eso yo ya no voto a ningún partido, voto en contra de un partido.
Cuando voto, no lo hago para aupar al poder a un partido, voto para expulsar del poder al otro partido.
Pero, en general, voto a https://escanos.org/ que propugna que se ocupen los escaños proporcionalmente a los votos válidos.
Es decir, que si en unas elecciones hay un 50% de votos válidos, un 10% de votos inválidos (nulos, blancos, etc) y un 40% de abstención, sólo se ocuparán la mitad de los escaños quedando los demás vacíos.
Así cambiaría un poco el concepto de la mayoría de los españoles han aprobado…
Y de paso nos ahorramos un dinero en sueldos, iPhones etc.
¡No me representan! …
¡¡¡Que tiempos aquellos en que creíamos que podríamos enderezar la política.!!!
«La CNMC es consciente de la importancia de la protección de los datos de carácter personal que gestiona»
Adiós, datos custodiados por la CNMC, adiós
(por si no se entiende… ya puedes tener cuidado, ya… que si quien ha de proteger tus datos… en fin…) XDD
Por si a alguien le interesa el tema, sin emponzoñarlo con la politica…
El articulo habla de lo mismo, y los comentarios dan mas pistas…
La CNMC sufre un «ciberataque masivo» contra la seguridad nacional, filtrándose millones de datos sensibles de líneas móviles
Poco importa que pongas autentificaciones de dos, tres o veinte factores…
Tu no le importas a nadie (seas quien seas, que os creeis el ombligo del mundo). Las empresas, las organizaciones, SI. Son mas suculentas.
Esta bien que pongamos medios, porque nadie esta a salvo de la estafa, por phishing, smurfing, frostulifing, o el ifing que querais…
Pero si los cautores de los datos se muestran vulnerables, caca para el ultimo. Nosotros.
Ja, ja, ja, y luego pagamos millones por la custodia. Repito el lema hackers: «La seguridad es un estado mental», es UNICAMENTE eso, lo demás son mamandurrias… no me cansaré de repetirlo.
OFFTOPIC
A cara de perro MS con OpenAI
https://github.blog/news-insights/product-news/github-copilot-in-vscode-free/
Copilot Free gives you the choice between Anthropic’s Claude 3.5 Sonnet or OpenAI’s GPT-4o mode. Pues si puedes comparar , en código Sonnet es ganador seguro…,
2000 code completions and 50 chat messages per month,
Sonnet en 4 ó 5 interacciones, si no te cortan el flujo, te hace el código que le pidas niquelado, mejoras incluidas… De esas que le pides 4 veces al mes… mira si tienes crédito aún en ese mes…
Las completions yo las suelo quitar…
PS: Esto es un notición, y no lo de llenar twitter de memes de Paquita la culona, Hitler, … por no filtrar imágenes racistas o directamente fascistas, https://maldita.es/malditatecnologia/20241211/grok-ia-twitter-imagenes-racistas-hitler-deportistas/
A nivel personal, concienciación y formación
A nivel corporativo, gobierno y control.
Si un promedio importante de ciudadanos considera que sus problemas se lo tienen que resolver otros, que no tiene espíritu crítico, que no abre un libro en meses, que no busca estar bien informada y tener un criterio propio …. Cómo no van a ser carne de cañón del timo de la estampita en su versión siglo XXI?
En cuanto al entorno empresarial donde muchas veces prima más el fin que los medios y se toman de manera sistemática y cotidiana «atajos» que exponen la información de los clientes a riesgos innecesarios en nombre del aumento de eficacia, o productividad ..cuando muchas veces es pura conveniencia del ejecutor.
Salvo que la automatización de procesos gracias a la inteligencia artificial cambie mucho el panorama, hay y habrá trabajo abundante en el entorno de la ciberseguridad… y en el del cibercrimen.
Nos queda el triste consuelo, por lo menos en Europa, de que, frente al cortoplacismo del entorno empresarial y la mansedumbre de los ciudadanos, la regulación es cada vez más estricta e incisiva haciendo responsables a la dirección ejecutiva si hace dejación de funciones con respecto al cuidado y vigilancia de los datos de los ciudadanos que gestione.
«explicarnos los peligros de caminar por la ciudad como el que la sociedad ha hecho para explicar el funcionamiento y los peligros de la red,» (EDans).
Muy clarito, para entender lo que supone prohibir pisar la calle, porque está llena de coches (o de matones)… y los que somos padres «mayores», podemos entenderlo mejor.
Hola Enrique, trabajo como arquitecto de cyberseguridad en una empresa tecnologica muy grande en Tokio. No deja de sorprenderme la cantidad de desorralladores de software que no siguen unas minimas buenas practicas en la seguridad de las aplicaciones que construyen, por lo que no me sorprende la ignoracia de un usuario en general. La solucion? Creo que cuanta mas educacion mejor. Al menos eso es lo que intentamos en nuestra empresa proveyendo de cursos de cyberseguridad a distintos tipos de empleados para que al menos tengan las precauciones mas basicas.