Metodología de programación segura OWASP
Decir que la ciberseguridad está en todas partes no es una frase dicha al azar. Tendemos a simplificar las cosas y por ello a menudo pensamos que al hablar de ciberseguridad nos referimos a los equipos informáticos. Pero nada más lejos de la realidad. La Ciberseguridad no solo está en los equipos y en los usuarios, sino también en todas las herramientas y comunicaciones que usamos día a día.
Si habéis visto nuestros vídeos, asistido a algún webinar o curso de concienciación, veréis que hacemos mucho hincapié en la formación, pero también en las herramientas que usamos y sobre todo las de comunicaciones, como VPN por ejemplo.
Ya hemos hablado de las VPN en este blog. Pero os refrescamos la memoria: una VPN es una Red Privada Virtual (del inglés Virtual Private Network) y lo que hace es redirigir tu tráfico de internet de forma segura, encriptando los datos y protegiéndote de posibles vulnerabilidades.
Si queréis saber más cosas sobre las VPN, podéis ver las consideradas las diez mejores del año 2021 en la web TOP10VPN. Esta web es parte de la empresa británica PrivacyCo Ltd, que cree que la privacidad es un derecho fundamental y defiende una Internet libre y abierta en todo el mundo y su objetivo es simplificar la privacidad digital para todos.
Pero también debemos decir que hay cosas que se escapan a nuestro control y que la formación no da para que, por ejemplo, un software o una app que usemos, sea segura. Segura tanto en código, como en base de datos, comunicaciones entre sus partes, etc. Ya hicimos un artículo hace unos días sobre los servicios que ofrecemos, tanto de acompañamiento como de formación, a programadores o jefes de proyecto, que realicen estas tareas.
Lo podéis leer AQUÍ.
Siguiendo este hilo, hoy os queremos hablar del Open Web Application Security Project®(OWASP).
“El Open Web Application Security Project® (OWASP) está dedicado a la búsqueda y la lucha contra las vulnerabilidades en el software. La OWASP Foundation es una organización sin ánimo de lucro que proporciona la infraestructura y apoya este trabajo.
La participación es gratuita y abierta para todos, todo gratuito y con código abierto, cuyos objetivos son crear herramientas, documentación y estándares relacionados con la seguridad en aplicaciones.”
Owasp foundation
Hay diferentes recursos y guías para realizar comprobaciones y test según el nivel de desarrollo del proyecto, como veis en la imagen anterior. Como no podía ser de otro modo, se actualizan y mejoran con el tiempo, y uno de los ejemplos más característicos es su “Testing guide“, que ya va por la versión número 5.
Imagen principal: lo que debería ser y no es
En este Testing guide encontraréis mucha información y algunas imágenes y esquemas. Como por ejemplo la imagen principal que abre este artículo. En ella se muestra una representación proporcional típica. De acuerdo con la investigación y la experiencia, es esencial que las empresas pongan un mayor énfasis en las primeras etapas de desarrollo. Eso es algo que en TECNOideas no cesamos de reclamar y de recomendar a nuestros clientes. Por eso en esta imagen se recomienda que un marco de prueba equilibrado mantenga estos porcentajes de diseño, desarrollo, despliegue, mantenimiento y definición. ¿Los cumple vuestra empresa?
Como podéis comprobar, la metodología de programación segura OWASP es una muy buena alternativa y está en total concordancia con nuestra filosofía del trabajo.
- Publicado en General
Pero… ¿alguien se ha preguntado si las apps y el software que usamos son seguros?
En 2020 se superó la friolera de 218.000 millones de descargas de apps móviles en todo el mundo. Esta cifra representa un 7% más que los datos de 2019. La pandemia hizo que nos lanzáramos a descargar todo tipos de apps y no sólo las descargamos, sino que también pagamos más por las que son de pago o por los servicios que nos ofrecen. Así, el gasto en apps móviles creció un 20% y se situó en 143 millones de dólares. Pero… ¿alguien se ha preguntado si las apps son seguras?
Estos datos surgen del informe anual que elabora la empresa App Annie, una de las plataformas de análisis y datos móviles más importante del mundo. Fundada en 2010 tiene su sede principal en San Francisco y una docena de oficinas por todo el mundo. Entre otras cosas el estudio también indica que Tinder es la aplicación que más dinero gana, seguida de TikTok. Podéis descargaros este informe en inglés AQUÍ.
Y si preferís un resumen en castellano, podéis leer el artículo de Trece Bits, que se presenta como el primer medio de comunicación en español sobre Internet, redes sociales y tecnología, AQUÍ.
Empecemos por el principio. ¿Qué es una app?
Las apps no son más que herramientas de software escritas en diferentes lenguajes de programación para tabletas y, sobre todo, smartphones. Tienen en común el ser útiles, fáciles de manejar y de instalar. Y las hay para todos los gustos: juegos, noticias, idiomas, redes sociales, etc. etc., como todos vosotros y vosotras seguro conocéis.
El término viene del inglés, de la palabra application, porque en realidad son aplicaciones que se instalan en dispositivos móviles y que realizan funciones de ámbito personal o profesional.
Si queréis saber un poco más sobre las apps, su historia, o una clasificación por tipos de apps, podéis leer este artículo del blog de GoDaddy, una empresa registradora de dominios de Internet y de alojamiento web. Fundada en 1997 y con sede en Arizona, GoDaddy está considerada la más grande del mundo en su ámbito.
Una vez que conocemos todo esto, la pregunta podría ser ¿por qué necesitamos tener tantas apps? La respuesta nos sumergiría en un mar de respuestas entre científicas, psicológicas, vicios y virtudes del que no sabríamos salir con éxito. Así que nos quedamos con nuestra especialidad: la ciberseguridad.
Son muchos los servicios que realizamos en temas de ciberseguridad, ya que nuestra experiencia anterior, tanto en microinformática, como en sistemas, programación o gestión cloud, hace que apliquemos la seguridad a cualquier aspecto técnico.
Y eso nos lleva a contaros que, a veces y últimamente todavía más, porque España es un país exportador, nos llaman empresas que van a trabajar con compañías de LATAM o EE. UU., y que estas les exigen certificados específicos en ciberseguridad o que cumplan ciertas normativas y protocolos, y como no, que estén abiertos a pasar auditorías externas para comprobar todo esto.
Ocurre que muchas empresas que crean apps o software de cualquier tipo, algunos de gran éxito, no cumplen las exigencias de ciberseguridad que demandan otros países más exigentes en estos campos. Y entonces llaman a la puerta de TECNOideas. Nos lo han pedido en diversas áreas, pero sobre todo en industria y programación. Y claro, como hoy hemos empezado hablando del exitazo de las apps, seguiremos con ello hablando de la programación.
Programamos, pero ¿por qué no pensar en la ciberseguridad desde el inicio?
Todos sabemos que las fechas de entrega priman en un proyecto técnico, sobre todo en el sector del software. Vale, pero las cosas deben hacerse bien, porque las prisas son malas consejeras. Así es que cuando solicitan nuestros servicios vemos todos los parches que aparecen después del lanzamiento de un software o de una app. Por ello nos piden auditorias, tanto de código, como de su implantación en cloud o sistemas propios, o de las posibles vulnerabilidades que pueda causar en el equipo que los use. A esto solo le podemos llamar AUDITORÍA.
Pero podemos afrontarlo mejor, en etapas tempranas, formando parte de la organización del proyecto, y aportando nuestro conocimiento, para ir variando poco, ajustando, y securizando sin tener que esperar al día de la entrega. De este modo no se necesitaría hacer una auditoría ni añadir seis meses más de trabajo por la reparación. A esto le llamamos PREVISIÓN en un proyecto.
está presente desde el inicio del proyecto.
Imagen de Gerd Altmann en Pixabay
Y lo mejor, lo que estamos ofreciendo a diferentes empresas, es enseñar a los directores de proyecto y equipo técnico, tanto a programadores como a responsables de sistemas, para que adopten una metodología de programación e implantación segura, un DevSecOps al completo.
DevSecOps es la seguridad integrada dentro de DevOps, cuyo significado, según la Wikipedia, podéis leer AQUÍ.
Así que por último, a esto le llamamos, claro, FORMACIÓN.
Con los dos últimos servicios juntos, PREVISIÓN + FORMACIÓN hacemos un paquete donde ayudamos a las empresas a que todo lo que salga de sus “factorías” sea lo más seguro posible, dándoles formación cada vez que hay novedades, pero también acompañándoles hasta que tengan la experiencia suficiente, cuando sean más autónomos, para que ese producto sea lo más satisfactorio posible para el cliente y se acerque a la excelencia tan deseada.
No lo dudéis: hacednos partícipes de vuestros proyectos desde el principio y juntos ganaremos todos y sobre todo, vuestros clientes. Intentar ahorrar el coste de un colaborador al principio para tenerlo que fichar al final siempre sale más caro, ocasiona más perdidas económicas y de tiempo y sobre todo, muchos más nervios en todo el equipo.
Si queréis saber más sobre todos los servicios que ofrece TECNOideas 2.0 ciberseguridad, sólo tenéis que clicar AQUÍ.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Consultoría, General, Hazlo tu mismo, Noticias
Ayudamos al profesorado de ciberseguridad en Formación Profesional
Ya debéis conocer que TECNOideas posee una importante vertiente de formación en ciberseguridad. Y algunos de vosotros quizá también sepáis que varios centros de Formación Profesional de la rama de informática han comenzado ciclos formativos de ciberseguridad. Pues bien, desde hace un par de años, hemos formado a profesores que imparten alguna o varias asignaturas de este ciclo de ciberseguridad en centros de Formación Profesional, tanto en Cataluña, como fuera de ella.
También estamos colaborando para ser parte activa de un colegio de renombre de Barcelona, que quiere abrir un centro de Formación Profesional muy técnico, con informática, sistemas de control industrial, y naturalmente ciberseguridad, ya que no podía faltar esta especialización en un buen plan de formación tan técnico.
Hay que recordar que la ciberseguridad es una especialización en sí misma y que los profesores de informática no suelen poseer las nociones suficientes de esta materia, especialmente si hablamos de orientarla a las necesidades de las empresas.
Con toda nuestra experiencia y los buenos resultados que nos transmiten los institutos, que quedan muy satisfechos con nuestros servicios formativos, hemos ampliado la oferta. Para ello estamos contactando con todos los centros de Cataluña donde se imparte ciberseguridad dentro de los estudios de Formación Profesional.
Al mismo tiempo estamos abriendo el abanico dirigiéndonos también a centros de las provincias limítrofes.
Como cada centro es un mundo y cada uno dispone de la financiación que puede o que le otorgan, hemos hecho varios paquetes, de diferentes horas de formación, distintas modalidades, en formato presencial u online y con la opción de compartir la formación entre varios centros. Por supuesto con un temario a escoger, según las necesidades de cada grupo de profesores.
Aunque vamos contactando con todos ellos, estamos también abiertos a colaborar con otros centros que no sean solamente de Formación Profesional, ya que muchos otros centros imparten asignaturas de informática y sus profesores quizá también quieran profundizar en ciberseguridad. Si este es el caso de alguno de vosotros y queréis tener nociones de ciberseguridad, por supuesto, sois bienvenidos.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Consultoría, Formación, General
Muere John McAfee en Barcelona
No es la primera vez que genialidad y locura se cuestionan y se encuentran. Tampoco es la primera vez que un exitoso empresario muere en circunstancias poco claras. Pero lo cierto es que la vida de John McAfee es digna de una película de Hollywood. Para nosotros queda su extraordinario talento como matemático, programador en la NASA y sobre todo como creador del primer software para combatir los virus, el famoso antivirus McAfee.
McAfee nació en un cuartel militar estadounidense situado en Gloucestershire (Reino Unido) en 1945. Su padre se suicidó de un tiro cuando él tenía 15 años. Se crió en el estado norteamericano de Virginia y se licenció en matemáticas en la Universidad de Roanoke en 1967, recibiendo un doctorado honorífico en 2008. Entre 1968 y 1970 trabajó como programador en la NASA y en la década de 1980 en la compañía aeroespacial Lockheed. Allí fue donde empezó a oír hablar de virus informáticos, cuando se codificó Brian, el primer programa que infectaba ordenadores. McAfee infectó deliberadamente el suyo para descifrarlo, convirtiéndose así en uno de los primeros programadores en diseñar un software antivirus y desarrollar un escáner de virus informático.
Creó entonces su propia empresa, Network Associates, que siete años más tarde pasó a denominarse simplemente McAfee Associates. Operaba desde su propio domicilio, situado en Santa Clara, California, convirtiéndose así en un gurú de Silicon Valley. En 1992 salió a Bolsa y levantó 740 millones de dólares. Sin embargo, dos años después John McAfee decidió apartarse y dimitió, dejando para la historia empresarial una frase: “Cuando eres el CEO de una empresa que emplea a 10.000 personas, ya no puedes hacer las cosas que te gustan, que es programar.”
Tras varias compras, fusiones y reestructuraciones, en agosto de 2010, la compañía Intel, el mayor fabricante mundial de microchips compró McAfee, en una operación de 7.680 millones de dólares. En el camino quedó el desarrollo del Firewall Toolkit, los cimientos de un software libre y la invención de un antecedente de WhatsApp llamado PowWow. En 2012 declaró que era “el objetivo más deseado de los hackers” por haber sido el creador del primer antivirus del mundo. Ahí empezó también la obsesión por su seguridad, lo que le obligaba a reforzarla y tener que usar seudónimos para comprar equipos y acceder al sistema, cambiando su IP varias veces al día.
Una vida de película
A partir de ahí, la vida de McAfee ha estado repleta de acontecimientos extraños, popularidad, excesos de todo tipo, paranoias, persecuciones judiciales, acusaciones de asesinato, dedicación al yoga (llegó a publicar varios libros sobre el tema) e incluso a ser candidato a presidente de Estados Unidos por el partido Libertario en 2016 y 2020.
Podéis ver su trayectoria y comentarios en su Twitter AQUÍ.
en la Barcelona Blockchain Week
Si bien ya había tenido más que un flirteo con drogas en su juventud, en una estancia de un año en México, la cosa fue a más cuando llegó la recesión de 2008, que según Bloomberg redujo su fortuna personal de 100 a cuatro millones de dólares. Se instaló en Belice y creó una nueva empresa dedicada a producir antibióticos naturales. Comenzó una etapa de desenfreno entre drogas, sexo y posesión de armas sin licencia, donde sus fiestas eran orgías totales. Para guardar su seguridad, se rodeó de muchos perros. Tantos que fue denunciado por los constantes ladridos caninos. Un día aparecieron muertos, envenenados. El resultado fue que un vecino suyo fue asesinado de un disparo en 2012 y él fue acusado del asesinato, pero huyó a Guatemala, donde pidió asilo político. Expulsado de este país volvió a Estados Unidos para establecerse en Miami. Se aventuró en el negocio de las criptomonedas y finalmente el gobierno federal le acusó de no haber presentado declaraciones de impuestos entre 2014 y 2018. Huyó de nuevo y tras pasar por varios países llegó a España, instalándose en un hotel de la Costa Daurada donde tenía un conglomerado de ordenadores conectados. Participó por sorpresa en la Barcelona Blockchain Week.
En octubre de 2020 fue detenido en el aeropuerto de Barcelona cuando iba a coger un vuelo hacia Turquía, reclamado por un tribunal de Estados Unidos. La justicia española lo mandó a la prisión de Brians 2, en Sant Esteve de Sesrovires, cerca de Barcelona. El abogado de McAfee pidió su excarcelación, alegando que no era normal pasar tantos meses en prisión preventiva esperando la decisión de la justicia española sobre su extradición a Estados Unidos por un delito de evasión fiscal. Finalmente, el miércoles 23 de junio la Audiencia Nacional aprobó la extradición de McAfee. Esa misma tarde fue encontrado muerto en su celda. Según las primeras informaciones de las autoridades, John McAfee, de 75 años, se había suicidado ahorcándose.
Podéis leer la noticia de su muerte en el periódico británico The Guardian y en el diario EL PAÍS donde también han informado de las últimas horas del empresario en ESTE artículo.
Imagen principal: cuenta personal de John McAfee en Twitter.
Promoción en antivirus de última generación y cobertura de ciberriesgo, hasta el 9 de Julio
La profesionalidad de las empresas se mide por diferentes parámetros. Uno de los más reconocidos es el tema de los partners o colaboradores o socios. Como ya sabéis, no podemos dar todos los servicios nosotros mismos, y por eso vamos de la mano con varios partners. Son pocos y los escogemos con mimo. Uno de ellos es MGS Seguros, del que ya os hemos hablado e incluso explicado nuestra relación.
Así, por ejemplo, en noviembre de 2019 escribimos el post Desde hoy ofrecemos servicio de monitorización 24/7 y seguro de cobertura en Ciberseguridad: el mejor complemento para una auditoría de seguridad que podéis volver a leer AQUÍ. También publicamos una entrevista al Director Comercial Barcelona Corredores y Especialista de MGS Ciberseguridad, Albert Solé AQUÍ.
Uno de los buenos servicios de MGS Seguros es el tema del “antivirus”. Lo entrecomillamos porque no es exactamente eso, sino un agente instalable, sí, que monitoriza en tiempo real un ordenador (Windows, MacOs o Linux), y avisa de malware, de actividad sospechosa, con análisis predictivo e inteligencia artificial. Pongámosle la etiqueta de antivirus de última generación, y para que podáis investigar algo más, es la solución de Blackberry, Cylance. Todo ello con un equipo humano detrás que os ayudará tanto a instalar la solución, si os hace falta, o frente a cualquier problema en el uso o en una alerta.
El antivirus de última generación de MGS Seguros
utiliza la Inteligencia Artificial para monitorizar un ordenador,
en tiempo real, avisando de toda actividad sospechosa.
Y con un equipo humano detrás.
¿Ya está? ¿Tanto bombo para dos líneas? Pues no, aparte de esto, también puede escanear vuestra web, para presentar vulnerabilidades, mensualmente, y añade una cobertura de ciberriesgo básica, que se puede ampliar.
El pack básico de indemnización cubre:
• servicios legales
• obligación en protección de datos
• gastos de notificación, restitución de imagen, extorsión cibernética
• otros servicios extras
• ampliable con interrupción de las redes, que cubre pérdidas en la interrupción del sistema informático, o no abonan por un fallo de seguridad en un proveedor externo de servicios.
Como son muchos puntos, podéis DESCARGAR la presentación, donde se explica punto por punto, en que consiste el servicio, que puntos cubre el servicio básico y el servicio con la ampliación, y los extras, porque no lo hemos enumerado todo.
Es una solución perfecta para empresas de un tamaño menor a 100 puestos de trabajo, que no necesiten sistemas muy complicados de monitorización o gestión, pero si avisos tempranos, soluciones, apoyo humano y cobertura económica frente a estos riesgos si la solución no es suficiente.
Una oferta muy interesante, con facilidades de pago y dos meses gratis
Lo más importante, y que siempre nos preguntan, ¿el precio? pues como una solución profesional antivirus, con el pack extensión 10 equipos, 786 € al año.
Opción de pagos mensuales: cuota de 68.10 € al mes.
Y la promoción, que se aplicará a las altas entre el 28 de junio y el 9 de julio, consistirá en dos meses gratis, para que lo probéis con toda la tranquilidad que da, saber que funciona tan bien, que seguiréis con él.
- Publicado en Consultoría, General, Productos, Sobre TECNOideas
¿Servicios de Google seguros?
Ya sabéis que Google es todopoderoso y por ello la vieja frase que decía que si no sales en televisión no existes ya se ha cambiado por “si no estás en Google no existes”. Google siendo lo que es, y con los antecedentes de poca transparencia que tiene, busca aumentar la confianza de sus usuarios en cuanto a seguridad y privacidad. Pero esto último puede que tenga algo que ver con las leyes de la Unión Europea, y su obligado cumplimiento.
Así que la pregunta pertinente podría ser “¿Realmente Google nos quiere ayudar con sus servicios o persigue otras cosas más comerciales?”
Veamos algunos ejemplos. En la configuración de tu cuenta de Gmail, dicen que te quieren ayudar con ciertos aspectos. Algunos son interesantes, no podemos negarlo, pero otros también los ofrecen otras empresas, aunque no diremos nombres.
Comparar tus cuentas almacenadas en Chrome, si has iniciado sesión, con fugas de datos de “otras” empresas, como dejan bien claro:
“Algunas de tus contraseñas han quedado expuestas en una quiebra de seguridad de datos que no es de Google.”
Luego indican todo lo que supuestamente hacen para que tu día a día sea más seguro:
Google Chrome
- Bloquear miles de páginas al día con contenido engañoso.
- Proteger 1.500 millones de bandejas de entrada, contra phishing, encriptación de datos entre sus servidores o diversas opciones de autenticación, como 2FA.
- Pagos seguros con Google Pay.
- Las medidas de seguridad de Chrome, para que navegues con toda tranquilidad:
– Navegación segura, zona de pruebas, etc. para protegerte de sitios peligrosos y de software malicioso.
– Actualizaciones de seguridad automáticas.
– Ayuda al crear contraseñas, como ya hacen otros navegadores.
– Modo incógnito, para poder navegar sin que se guarde la actividad en ningún sitio.
Y aparte de todo esto ponen a tu disposición varias herramientas propias, para poder corregir malos hábitos, dar recomendaciones o poner solución a errores, todo ello en MyAccount.
También inciden en el tema de la privacidad, intentando cambiar la sensación que tienen los usuarios de ellos, con frases como la que podéis leer en ESTE enlace o la siguiente:
“Promovemos rigurosas prácticas relacionadas con datos para proteger tu privacidad. Nunca usamos con fines publicitarios el contenido que creas y almacenas en aplicaciones como Drive, Gmail y Fotos.”
Seguro que muchos de vosotros sois conscientes que Google es más que un buscador. Nos intenta satisfacer rápidamente nuestras necesidades con sus servicios y recalca la importancia de nuestra seguridad. Pero, ¿realmente estamos seguros con ellos?
La lista de productos y servicios del gigante tecnológico es muy extensa. Os podemos refrescar la memoria mencionando Google Drive, Gmail, Google Maps, Google Street View, Google Earth, Google Chrome, YouTube, Google Libros, Google Noticias… Pero está claro: su fama viene de un buscador. El simple hecho de vincularlo a este motor de búsqueda seria limitar su cobertura en la web. Pero es innegable que su fuerza sigue siendo enorme. ¿Quién no ha buscado a través de Google? ¿Alguno de vosotros utiliza otros buscadores?
Podéis ver algunas opciones de navegadores alternativos a Google en un artículo de TECNOideas de 2018 AQUÍ.
One World Trust es una fundación creada en 1951 por parlamentarios de varios partidos cuyo objetivo es mejorar la gobernanza global para hacer prosperar los intereses de toda la humanidad. Publica un ranking en el que examina instituciones gubernamentales, empresas nacionales, multinacionales y ONG. Según este ranking, Google es una de las instituciones menos confiables y transparentes, al negarse a colaborar con la Unión Europea en el caso de retención de datos a los consumidores. Además el gran buscador logró un cero a nivel de transparencia. Podéis ver la noticia en The Register, una web británica de noticias de tecnología y opinión. Aunque este ranking tiene ya unos años y algunas cosas han cambiado, creemos que es suficientemente clarificador.
Los internautas que realizan búsquedas a través de este buscador y tengan cuenta en alguno de los servicios (como en Gmail) son “vigilados” de alguna forma, es decir, todas las búsquedas que se realizan y todos los sitios web visitados quedan en una base de datos: siempre que haya ingresado a su cuenta de Google.
¿Servicios de Google seguros? Google es un negocio y todo lo que hace es por una razón, no por el simple amor hacia los usuarios. Todos sabemos esto y no necesitamos aclaraciones. Es algo obvio. Pero conviene recordarlo de vez en cuando para que todos seamos plenamente conscientes de ello cuando usemos sus productos y servicios.
También conviene recordar que hay cosas que podemos desactivar sin más, como os explicábamos en este artículo de noviembre de 2019 de nuestro blog y que podéis volver a leer AQUÍ.
- Publicado en Consultoría, General, Malos hábitos, Privacidad
Origen de la palabra y movimiento Hacker : Parte 2, terminología.
Seguimos reivindicando el uso de la palabra “hacker” como una persona que tiene una habilidad especial y que investiga y no como un ciberdelincuente. Para ello hace unos días os empezamos a explicar el origen y la historia de este término. Hoy proseguimos para adentrarnos en su terminología.
Acabamos el primer artículo hablando de los primeros ordenadores domésticos que llegaron a los hogares, en los años 70 ¿Algunos recordaréis los Spectrum, Amstrad, Commodore o MSX, verdad? Hoy empezamos con PDP-10, que podéis ver en la imagen de cabecera de artículo. Aunque muchos le llamaban ya microcomputador, era un Programmed Data Processor, una máquina científica, donde aparte de las variables de programación, había hardware para modificar y también configurar.
Al ser aparatos caros, grandes y de difícil manejo, lo tenían grandes corporaciones y universidades. En estas últimas se tenía que compartir el tiempo de uso entre diferentes grupos de estudiantes y también se tuvo que comenzar a compartir la información entre ellos. De ahí que fuera la máquina elegida y favorita entre los primeros hackers (tampoco había muchas más, la verdad).
Podéis leer la información sobre el PDP-10 que publica la Wikipedia.
También os invitamos a ver un vídeo de Lyle Bickley, experto en dicha máquina y restaurador de una, donde nos va explicando que hacía y que no hacía, como lo hacían, etc. Lyle Bickley es también uno de los fundadores del Computer History Museum que se encuentra en Mountain View, California.
En el anterior artículo también os hablamos del Instituto de Tecnología de Massachusetts, el MIT. Así que hoy también seguimos este hilo para hablar de ARPANET. En el año 1969 se conectó el laboratorio de Inteligencia Artificial a dicha red, creada inicialmente para el departamento de defensa de EE. UU. y que luego dio conexión a varias universidades.
Por su parte UNIX, que se creó en ese mismo año aproximadamente y en los laboratorios de la empresa Bell, y que significó la primera versión de este sistema operativo, y una red que los unía, USENET.
Al desaparecer el sistema PDP, Unix se convirtió en el sistema hacker por excelencia.
Avanzamos ahora para que conozcáis GNU, cuyas siglas significan “No es Unix”. Richard Stallman, un experto en Unix, decidió crear un sistema libre, usando por primera vez esa expresión y la de software libre. De hecho Stallman fue el fundador de la Free Software Foundation. Así que toca una reverencia.
Y llegamos a Linux, una parte de historia que cualquiera que toque este mundo, conoce. Es el sistema operativo por excelencia. Su kernel o núcleo fue creado en el año 1991 por Linus Torvalds, de la universidad de Helsinki. Su idea era crear un sistema libre, empezando por colgar dicho kernel en Internet, y pidiendo ayuda para su desarrollo, creando así una comunidad para avanzar en el tema.
Y unas cuantas palabrejas más. Ya os advertíamos: hoy va de terminología
Phreaking, el primer hack famoso. Se trataba de poder accionar los controles, por entonces analógicos de las centrales telefónicas, con tonos de silbatos o similares. Posteriormente, para hacerlo más cómodo, y para vender aparatos a quien no sabía realizar estos hacks, se crearon unas cajas de nombre “blue box“, para realizar automáticamente estas acciones. En el artículo anterior ya hablamos de este tema y de su historia. En la Wikipedia hay una buena recopilación de información.
Cracking / cracker, para algunos es arte, para otros no es más que un ataque a los derechos de autor de las compañías. Consiste en vulnerar los sistemas anticopia de juegos, consolas, etc. Y por analogía, en la segunda definición, se habla del individuo que hace estas cosas.
En los años 90, con los 16 bits en auge, y la potencia de éstos, hubo grupos de cracking que se hicieron muy famosos, porque entre la carga y el juego, introducían una “demo” con animaciones, vectorización, música, etc. También había grupos de distribución, que revendían por toda Europa y por EE. UU. estos juegos crackeados, que también incluían las demos mencionadas.
Lamer, persona que cogía juegos crakeados, quitaba las demos de los grupos originales, y ponía las suyas. Hasta los grupos de crackers y distribución comenzaron a proteger los juegos desprotegidos contra posibles intrusiones.
Demoscene, con lo comentado de crackers/lamers, junto con las partys (que al principio se denominaron copypartys) donde también habían concursos de programación y demos, se creó un gran ambiente y nivel técnico. Una de las que me vienen primero a la cabeza es Spaceballs, en Amiga, pero podéis ver una recopilación AQUÍ, que va del año 1989 al 2004.
Homebrew, es software casero hecho por usuarios, casi siempre de consolas, que busca poder ejecutarlo sin restricciones. Casi siempre había, y hay, que realizar modificaciones de hardware en los aparatos para poder correr este tipo de programas. Muchos programadores aficionados que comenzaron haciendo homebrew, sin los soportes ni kits de desarrollo de las empresas, pudieron lograr contratos para hacer juegos oficiales.
Un ejemplo es el juego Star Fox, que en Europa se llamó Starwing, de Nintendo, programado por Argonaut Software, unos programadores del Reino Unido, de apenas 18 años, que desarrollaron un motor homebrew vectorial, para la consola GameBoy.
Hacktivismo, empezó siendo algo más genérico, pero a partir de los años 2000 cogió más fuerza la definición de “hackers que actúan con fines sociales, a veces no de buenas maneras”. Muchos grupos surgidos en esa época, y muchos imitadores, le han dado cara a este tipo de acciones, al hacerse famosos entre el gran público.
Sombreros, pues si, esta prenda o complemento de moda, clasifica a los hackers según sus intenciones, benévolas, malintencionadas, o a medio camino, siendo blanco, negro y gris los colores. Pero últimamente hay más colores, y más definiciones muy concretas, podéis buscar…
… y cuando lo encontréis, podéis escribir aquí debajo y nos contáis a todos el resultado de vuestras pesquisas.
¿Os ha gustado todo este recorrido histórico y terminológico? Recordad que hay un artículo previo, que si alguno o alguna de vosotros / vosotras no lo ha leído todavía, clicad AQUÍ para hacerlo.
Origen de la palabra y del movimiento Hacker: Parte 1, historia y su uso
Los que nos seguís habitualmente, sabéis que somos muy pesados con la buena utilización de toda la terminología técnica y científica, pero más aún con la palabra “hacker”. A pesar de que la RAE hace ya tiempo que incorporó una segunda acepción, mucho más acertada que la primera, el término sigue usándose equivocadamente como sinónimo de pirata informático. Por eso hoy queremos explicaros el origen de la palabra y del movimiento Hacker.
¿Cuál es el origen de esta palabra? ¿A quién se refiere ahora o se refería en sus principios?
Durante toda la vida hemos visto y escuchado este término y a su vera se han contado anécdotas curiosas, a veces sin ningún orden. Todas ellas quieren llevar la razón, así que ante esta complejidad lo mejor es que empecemos por el comienzo.
Como no hay duda, la palabra surge del idioma inglés. Ya antes del siglo XX , “hack” significaba cortar a lo bruto. De aquí pasó a denominarse “hacker” a una persona que tenía una habilidad especial, que entonces era hacer muebles cortados con hacha.
Así que hack ya quedó popularizado como sinónimo de hacer algo habilidoso o fuera de lo normal.
Avanzamos por la historia para referirnos a algo más técnico. Nos vamos al famoso Instituto de Tecnología de Massachusetts, el MIT. Una organización de estudiantes del MIT había creado, en 1946, el Tech Model Railroad Club (TMRC), una agrupación de fanes de los trenes. En 1959 esta organización tuvo a su disposición dos microcomputadores, el TX-0 y el PDP-1, para experimentar. De lo que habían pensado en un principio a lo que se hizo después, nada que ver. De ahí que Peter Samson, un científico pionero en la creación de software, juntara esa experimentación con la palabra “hacks” en el escrito “Official Hacker’s dictionary” con el lema “La información quiere ser libre”. Y como no, crearon el primer videojuego de la historia: Spacewar.
Este grupo acabó mutando hacia el MIT AI Lab —Laboratorio de Inteligencia Artificial del MIT—, de donde posteriormente saldría el software libre y parte de los embriones de Internet y de la World Wide Web, junto con Arpanet.
En los años 70 llegan las consolas a casa y a finales de esa década, también llegan los primeros ordenadores domésticos. En España se comenzó este camino con Apple II (muchas escuelas los adquirieron para enseñar informática, entre ellas la de quien suscribe este artículo), algunos pocos, Pc’s IBM y la invasión de los 8 bits, como Spectrum, Amstrad, Commodore o MSX.
En esa época incluso se crean revistas especializadas, como Phrac y 2600. Esta última todavía se publica hoy en día. Los dos nombres se basan en el primer hack masivo y mítico, como fue el uso de los tonos del teléfono, el “phreaking“. Con una emisión de un tono de 2600 hercios, por ejemplo el silbato que se regalaba con los cereales Cap’n Crunch, se podía interactuar con el sistema automático de las operadoras telefónicas, por entonces AT&T.
A raíz del descubrimiento de las autoridades de este caso, y de algunos más, como accesos puntuales a ciertas organizaciones gubernamentales, por parte de adolescentes, y no tan adolescentes, se comenzó a dar forma a varias leyes contra “el uso indebido de las computadoras”, y varios de ellos acabaron en la cárcel.
En los años 80 y 90 hubo el boom de la “demoscene“, demostraciones tecnológicas por parte de grupos que se distribuían en diferentes partys informáticos por todo el mundo, sobre todo de los ya ordenadores personales de 16 bits, como IBM y compatibles a partir del procesador 386, ordenadores Amiga y Atari (si, esta marca terminó haciendo ordenadores personales, y ampliaremos información en las segunda parte de este artículo). Se demonizó un tanto esta escena, ya que muchos de los grupos también eran crackers, gente que rompía la protección de los juegos para revenderlos más baratos, y que incluía alguna de estas demos como introducción al juego. También estaban los denominados lamers, que le ponían su nombre al trabajo de cracking de terceros. Pero no neguemos la parte hack de todo este proceso.
Y saltaremos hasta el día de hoy, donde los grandes estudios y medios de comunicación le han dado un mal uso a la palabra hacker, para darle connotaciones de delincuente a quien se le etiquete con ella. Así que seguimos luchando, para que después que la RAE, por fin, incluyera una buena definición, elimine la antigua, y todos los periodistas y medios de comunicación cambien su uso.
Os recordamos la segunda acepción de la RAE, que dice “Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar delos fallos y desarrollar técnicas de mejora.”
Sin embargo mantiene como primera acepción la de “Pirata informático”. Y otra cosa: adapta la palabra al español, escribiendo jáquer, como podéis ver AQUÍ.
Como os comentábamos al principio, nosotros siempre hemos querido reivindicar el buen uso de la palabra. Por ejemplo en este artículo del 2019 titulado Hacker bueno, hacker malo. Tanto nos importa el buen uso del término que dentro de nuestra sección Presentación y servicios explicamos las definiciones de Hacker, Cracker, Ciberdelincuente o Hacking ético. Lo podéis leer AQUÍ.
No hemos podido entrar en profundidad, pero dejamos para un segundo artículo toda la terminología que haya podido surgir sobre el origen de la palabra y del movimiento Hacker. Y también incluiremos lo que nos hayamos dejado en el tintero en este artículo.
Otro evento en el que colaboró TECNOideas
Como ya sabéis todos los que nos seguís habitualmente, en TECNOideas nos gusta apoyar eventos. Y esperamos que cada día sean más, tanto los que se organicen, como los que cuenten con nuestro apoyo. Pero eso sí, todos de temática hacker o ciberinteligencia y desde el punto de vista más práctico y técnico, para compartir información.
El pasado 9 de abril y durante 24 horas, el equipo FlagHunters organizó un nuevo CTF (Capturar la bandera, del inglés Capture the Flag), que ya es el tercero que organizan y, como siempre, con gran éxito.
Un CTF o Capture the Flag, es una competición de logros o pruebas de conocimiento hacker, que puede organizarse de modo individual o por equipos. La competición dura varias horas y se van obteniendo puntos. Quien acumula más puntuación, superando cada reto (que puntúan por separado y de diferente manera), gana fantásticos premios, como cursos de hacking o acceso a plataformas para mejorar sus habilidades. En esta ocasión se registraron 351 usuarios, para optar a ganar 5.056 puntos posibles, en 37 challenges o retos.
¿Y cómo terminó el CTF después de una dura y larga competición?
Los 3 primeros fueron:
1 – Sergamar
2 – Wartz
3 – RommGT
La entrega de premios, virtual, como todo el concurso, se retransmitió a través de Twitch.
Las redes sociales de HackMadrid y donde se hizo difusión del evento son las siguientes:
• Instagram: @flag_hunters
• Twitter: @hunters_flag
• Youtube
• Twitch
Y la nota o comunicado según los organizadores:
“Evento realizado con mucho ánimo para los que se quieren iniciar en el mundo del CTF, desarrollado durante 24 horas, con un resultado bastante ajustado entre los primeros puestos, motivando y dejando expectante al publico en general.
Este evento contó con la peculiaridad de que se entregaron premios, no solo a los tres primeros, sino también a diferentes participantes que cumplieron la condición de haber superado los retos de calentamiento, demostrando que todos tienen oportunidad de no solo obtener conocimientos sino también de ganar premios que les ayuden a crecer.”
Así que por nuestra parte, contentos de haber ayudado con nuestra pequeña aportación como patrocinadores, y esperamos repetir. ¡Atención! tomad nota: se rumorea que el siguiente tendrá lugar en octubre.
- Publicado en General, Hazlo tu mismo, Noticias, Sobre TECNOideas
Alternativas a sistemas operativos en smartphones – Parte II
Volvemos al tema de los teléfonos móviles seguros para seguir hablando de las alternativas libres en sistemas operativos para smartphones. Este tema lo empezamos hace unas semanas, concretamente el 10 de mayo, y hoy volvemos a él para acabar de explicaros cosas interesantes que esperamos que os resulten muy prácticas.
Tal y como os comentamos en nuestro primer artículo sobre este tema, nos hemos puesto manos a la obra para seguir probando alternativas a sistemas operativos en smartphone, que si, los hay.
En esta ocasión hemos preparado, instalado y usado, durante una semana LineageOS, un fork de Android, heredero de CyanogenMod, que promete mejor rendimiento, compatibilidad y actualización en terminales antiguos (por ejemplo Samsusng Galaxy S5 con Android 9), y que promete ser la panacea de la privacidad.
Vayamos por partes. Primero de todo: ¿qué es un fork? En informática se denomina así a un proyecto que en algún momento se separa de la base común del proyecto origen (en este caso se trataría de Android y de las zarpas de Google) y avanza en paralelo para crear un producto nuevo. También podría denominarse fork al sistema MacOs, ya que cogieron el sistema libre y de código libre FreeBSD, para no desarrollar uno desde cero.
Un poco de historia
Aclarado el primer punto pasamos al siguiente: ¿qué es, o qué era CyanogenMod? Era, sí. Hablamos en pasado porque cerró hace ya unos añitos, concretamente el 31 de Diciembre de 2016, después de 7 años de servicio.
Se resumía en una comunidad de desarrollo de una Rom para dispositivos Android, que sobre todo buscaba darle más vida a lo que comercialmente se conoce como renovación, y no quedarse con un “brick” (aunque se traduce como “ladrillo”, el símil más exacto seria “dispositivo que no vale para nada”, y lo puedes usar de pisapapeles).
Todo comenzó con el HTC Dream, y como esta comunidad logró acceso de root al dispositivo, se abrió la veda, aunque no a todo el mundo le hizo gracia. En las primeras versiones de esta Rom, se incluían las aplicaciones de Google, las Gaaps, de las que luego hablaremos, y que al tener código cerrado y propietario, no tenían derecho a usar. Después de alguna amenaza por los mandamases de la compañía, llegaron a un acuerdo, y pudieron seguir con la rom, sin dichas aplicaciones.
Se creó una empresa, Cyanogen Inc, para dar salida comercial a este mod, pero llegó en el momento en que los de Android espabilaron y actualizaban más los dispositivos. El resultado fue que el mod derivó a una capa de configuración y personalización, por lo que perdió el “alma”. No triunfó, y acabó cerrando en la fecha señalada anteriormente.
Damos un paso más. Es la hora de volver a LineageOs, ya que recogió el testigo. ¿Por qué nos encanta este software? Promete compatibilidad con modelos antiguos, esos a los que Android oficialmente ya no da soporte, con lo cual los usuarios se quedaron con un sistema antiguo, sin software… Y claro, si no es seguro, ya no te dejan usarlo, y además, lo más importante, sin Google…
Pero… ¿qué quiere decir esto de “sin Google”? Nos referimos a dos cosas, siendo la primera y la más importante, sin su yugo, su control, su análisis de tus datos, etc. Y la segunda, sin las aplicaciones preinstaladas, las famosas Gaaps (aunque veremos que esto no es importante si queréis instalarlas en LineageOS, aunque sea un sinsentido).
Para instalarlo, como con cualquier otro sistema operativo, necesitamos el teléfono rooteado (o sea, que lo hayamos desbloqueado), que hayamos instalado un bootloader (gestor de arranque) y luego instalar el sistema, desde este mismo bootloader.
Nosotros volvimos a usar Fastboot, porque siempre nos funciona bien, porque lo puedes conectar a un ordenador, vía drivers ADB, o desde el menú al que puedes acceder vía botón de encendido y aumentar volumen. Luego navegamos por dichas opciones. Dependiendo de la versión o del dispositivo pone una frase u otra, pero seguramente, instalación, actualización, o algo similar, dándonos la opción de ir a buscar el archivo.
“Et voilà”, después de unos minutos de instalación, iniciará nuestro nuevo sistema. Viene con ciertas apps ya instaladas, pero al ser un core Android, es compatible con cualquiera.
Y os preguntaréis ¿cómo se instalan las apps si no vienen con la Play Store? Pues hay varias opciones:
Una podría ser un gestor de repositorios alternativo, opensource, libre o similar, donde se vayan publicando (sí, esto existe, y sin que Google sepa que os descargáis, usáis, instaláis, cómo, cuándo, etc.). Por ejemplo F-droid.
La segunda opción seria, ¿cómo instalamos esta dichosa app, F-droid sin la tienda? Pues tendréis que bajar el archivo .apk, pasarlo al dispositivo, ya sea con cable o a través de la tarjeta, e instalarlo. Este paso seguramente tendrá una advertencia, de “instalar aplicaciones desde repositorios no seguros“, solo hay que cambiar dicha opción desde los ajustes, y problema resuelto.
Si en F-droid no tenéis la aplicación que buscáis, la podéis bajar con este segundo método alternativo. Aunque para algunos pueda resultar engorroso, lo cierto es que no tiene mayor complicación. En ESTE enlace solo tendremos que poner el link de la Play Store de la app que queramos, y en ESTE, podremos hacer una búsqueda de la app que queramos. Pero hay muchos más.
Ahora viene lo complicado, desengancharse de Google, de sus servicios y de lo que todo ello conlleva. Pero con un poco de paciencia, y pruebas, veréis que no es complicado. Como hemos dicho, podéis descargar las apps por distintos métodos, pero si lo que buscáis es hacerlo completo, hay que usar alternativas. Así, si queréis igualmente usar todas las apps de Google, podéis buscar distintos packs disponibles, como por ejemplo OpenGapps.
Nosotros estamos usando, a nivel corporativo y recomendando a nuestros clientes, el sistema Nextcloud, del que hicimos un primer artículo que podéis leer AQUÍ, donde explicamos todas sus bondades. Necesitaréis una aplicación de terceros, llamada DAVx, para poder conectar sin problemas, ya que realiza conexiones CalDAV/CardDAV para sincronizar contactos, calendarios o tareas, en plataformas compatibles con este protocolo.
Bien, ya tenemos las apps que necesitamos, y además contactos, calendario y ficheros (si tenéis imagen, y no la versión virtual, asegurar bien el teléfono, sino cualquiera podrá acceder), ahora nos falta el sustituto de Gmail.
Así que como servidor de correo, ProtonMail, como no, que ya llevamos un tiempo con ellos, y permiten usar tu dominio, después de una sencilla configuración. Y para finalizar Telegram y Signal, aunque no solemos enviar ni facturas, ni presupuestos ni ficheros sensibles, por mucho que nos lo pidan los clientes.
Y una semana de pruebas, contentos, más que con Ubuntu Touch, que aún le falta un poquito de desarrollo, y aprovechamiento de hardware, ya se sabe que las comunidades dependen de sí mismas para avanzar y eso cuesta.
Así que no tengáis miedo a desengancharos, ¡hay vida más allá de Google o de iPhone!, que luego nos quejamos del trato que dan a nuestros datos.
Y acabamos con el mismo consejo con el que terminábamos la primera parte de este artículo: al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
Español 
Català