Origen de la palabra y movimiento Hacker : Parte 2, terminología.
Seguimos reivindicando el uso de la palabra “hacker” como una persona que tiene una habilidad especial y que investiga y no como un ciberdelincuente. Para ello hace unos días os empezamos a explicar el origen y la historia de este término. Hoy proseguimos para adentrarnos en su terminología.
Acabamos el primer artículo hablando de los primeros ordenadores domésticos que llegaron a los hogares, en los años 70 ¿Algunos recordaréis los Spectrum, Amstrad, Commodore o MSX, verdad? Hoy empezamos con PDP-10, que podéis ver en la imagen de cabecera de artículo. Aunque muchos le llamaban ya microcomputador, era un Programmed Data Processor, una máquina científica, donde aparte de las variables de programación, había hardware para modificar y también configurar.
Al ser aparatos caros, grandes y de difícil manejo, lo tenían grandes corporaciones y universidades. En estas últimas se tenía que compartir el tiempo de uso entre diferentes grupos de estudiantes y también se tuvo que comenzar a compartir la información entre ellos. De ahí que fuera la máquina elegida y favorita entre los primeros hackers (tampoco había muchas más, la verdad).
Podéis leer la información sobre el PDP-10 que publica la Wikipedia.
También os invitamos a ver un vídeo de Lyle Bickley, experto en dicha máquina y restaurador de una, donde nos va explicando que hacía y que no hacía, como lo hacían, etc. Lyle Bickley es también uno de los fundadores del Computer History Museum que se encuentra en Mountain View, California.
En el anterior artículo también os hablamos del Instituto de Tecnología de Massachusetts, el MIT. Así que hoy también seguimos este hilo para hablar de ARPANET. En el año 1969 se conectó el laboratorio de Inteligencia Artificial a dicha red, creada inicialmente para el departamento de defensa de EE. UU. y que luego dio conexión a varias universidades.
Por su parte UNIX, que se creó en ese mismo año aproximadamente y en los laboratorios de la empresa Bell, y que significó la primera versión de este sistema operativo, y una red que los unía, USENET.
Al desaparecer el sistema PDP, Unix se convirtió en el sistema hacker por excelencia.
Avanzamos ahora para que conozcáis GNU, cuyas siglas significan “No es Unix”. Richard Stallman, un experto en Unix, decidió crear un sistema libre, usando por primera vez esa expresión y la de software libre. De hecho Stallman fue el fundador de la Free Software Foundation. Así que toca una reverencia.
Y llegamos a Linux, una parte de historia que cualquiera que toque este mundo, conoce. Es el sistema operativo por excelencia. Su kernel o núcleo fue creado en el año 1991 por Linus Torvalds, de la universidad de Helsinki. Su idea era crear un sistema libre, empezando por colgar dicho kernel en Internet, y pidiendo ayuda para su desarrollo, creando así una comunidad para avanzar en el tema.
Y unas cuantas palabrejas más. Ya os advertíamos: hoy va de terminología
Phreaking, el primer hack famoso. Se trataba de poder accionar los controles, por entonces analógicos de las centrales telefónicas, con tonos de silbatos o similares. Posteriormente, para hacerlo más cómodo, y para vender aparatos a quien no sabía realizar estos hacks, se crearon unas cajas de nombre “blue box“, para realizar automáticamente estas acciones. En el artículo anterior ya hablamos de este tema y de su historia. En la Wikipedia hay una buena recopilación de información.
Cracking / cracker, para algunos es arte, para otros no es más que un ataque a los derechos de autor de las compañías. Consiste en vulnerar los sistemas anticopia de juegos, consolas, etc. Y por analogía, en la segunda definición, se habla del individuo que hace estas cosas.
En los años 90, con los 16 bits en auge, y la potencia de éstos, hubo grupos de cracking que se hicieron muy famosos, porque entre la carga y el juego, introducían una “demo” con animaciones, vectorización, música, etc. También había grupos de distribución, que revendían por toda Europa y por EE. UU. estos juegos crackeados, que también incluían las demos mencionadas.
Lamer, persona que cogía juegos crakeados, quitaba las demos de los grupos originales, y ponía las suyas. Hasta los grupos de crackers y distribución comenzaron a proteger los juegos desprotegidos contra posibles intrusiones.
Demoscene, con lo comentado de crackers/lamers, junto con las partys (que al principio se denominaron copypartys) donde también habían concursos de programación y demos, se creó un gran ambiente y nivel técnico. Una de las que me vienen primero a la cabeza es Spaceballs, en Amiga, pero podéis ver una recopilación AQUÍ, que va del año 1989 al 2004.
Homebrew, es software casero hecho por usuarios, casi siempre de consolas, que busca poder ejecutarlo sin restricciones. Casi siempre había, y hay, que realizar modificaciones de hardware en los aparatos para poder correr este tipo de programas. Muchos programadores aficionados que comenzaron haciendo homebrew, sin los soportes ni kits de desarrollo de las empresas, pudieron lograr contratos para hacer juegos oficiales.
Un ejemplo es el juego Star Fox, que en Europa se llamó Starwing, de Nintendo, programado por Argonaut Software, unos programadores del Reino Unido, de apenas 18 años, que desarrollaron un motor homebrew vectorial, para la consola GameBoy.
Hacktivismo, empezó siendo algo más genérico, pero a partir de los años 2000 cogió más fuerza la definición de “hackers que actúan con fines sociales, a veces no de buenas maneras”. Muchos grupos surgidos en esa época, y muchos imitadores, le han dado cara a este tipo de acciones, al hacerse famosos entre el gran público.
Sombreros, pues si, esta prenda o complemento de moda, clasifica a los hackers según sus intenciones, benévolas, malintencionadas, o a medio camino, siendo blanco, negro y gris los colores. Pero últimamente hay más colores, y más definiciones muy concretas, podéis buscar…
… y cuando lo encontréis, podéis escribir aquí debajo y nos contáis a todos el resultado de vuestras pesquisas.
¿Os ha gustado todo este recorrido histórico y terminológico? Recordad que hay un artículo previo, que si alguno o alguna de vosotros / vosotras no lo ha leído todavía, clicad AQUÍ para hacerlo.
Peligro, peligro y más peligro
Esta semana la noticia tecnológica principal ha sido los problemas de funcionamiento de importantes webs de todo el mundo, como la del Gobierno del Reino Unido o la del New York Times por un error en los sistemas de una compañía llamada Fastly. Nosotros queremos aprovechar esto para explicaros otros problemas muy cotidianos que deben ponernos en alerta continua y entender que hay que adelantarse a ellos de la única forma posible: previniendo y actuando.
Fastly es un proveedor estadounidense de servicios de computación en la nube y a pesar de que reaccionó muy rápido, los medios de comunicación hablaron de “caída de Internet”. Evidentemente Internet no se cayó, pero la alarma saltó y se comentó rápidamente en todo el mundo. Pero otros incidentes no llegan al gran público y creednos: hay muchísimos incidentes a diario. Vamos a contaros algunos de ellos.
Seguramente casi todos nosotros tenemos una buena cantidad de apps en nuestros smartphones. Hay tantas opciones, desde servicios de todo tipo a juegos y pasatiempos, que se nos hace difícil no caer en la tentación de entrar en la App Store y bajarnos cualquier aplicación con cualquier excusa.
Debéis saber que un estudio propio del prestigioso The Washington Post acaba de descubrir que casi el 2% de las aplicaciones con mayores ingresos de la App Store son, en realidad, estafas que ha costado a los usuarios 48 millones de dólares. Tras analizar más de mil aplicaciones, los técnicos del estudio han descubierto varias prácticas fraudulentas. Entre las más comunes se encuentra el hacer valoraciones falsas de usuarios para subir en los rankings y cobrar a los usuarios cantidades más altas. Otra práctica tiene que ver con casos de aplicaciones de VPN que mienten a los usuarios diciéndoles que han sido infectados por un malware y así hacen pagar al usuario por servicios que no necesitan.
Por si esto no fuera poco, Apple obtiene el 30% de comisiones. Podéis ver la noticia en el propio The Washington Post AQUÍ.
MORALEJA:
• Hay que tener mucho cuidado con las apps y en general con cualquier software o plataforma que usemos.
• Antes de bajaros cualquier app, paraos un momento y preguntaos si realmente necesitáis esa aplicación.
• En caso afirmativo, debéis cercioraos muy bien que lo que creéis que necesitáis sean las apps correctas. Hay muchos nombres parecidos y versiones diferentes.
¡Hay que actualizar los softwares!
Una encuesta de la empresa Kaspersky indica que el 49% de los españoles suele posponer las actualizaciones de software. Entre ellos, además, un 65% cree que no pasa nada si se retrasa su instalación.
Podemos entender que en el momento de recibir una notificación de actualización se esté trabajando o que no sea un buen momento para dejar de usar un dispositivo. Pero no que se vaya posponiendo una y otra vez o que crean que es perder el tiempo.
MORALEJA:
• Seguramente muchos usuarios no sepan que las nuevas funcionalidades llevan aparejadas muchas actualizaciones de seguridad. De hecho la gran parte de una actualización se dedica a convertir en más segura cualquier aplicación.
• ¿Cuánto tiempo ocupa una actualización? ¿No creéis que es mejor tomaros un pequeño descanso, levantar la vista de los aparatos, daros un paseo, tomar un café, dialogar con el resto del equipo o hacer un poco de gimnasia vertebral?
• En cualquier caso, priorizad siempre las actualizaciones de las aplicaciones que mantienen vuestros dispositivos y datos personales a salvo de ciberataques.
• En serio: mantened siempre vuestros equipos al día y con un antivirus actualizado. No seáis perezosos con este tema.
Los ciberdelincuentes dan un paso más
El confinamiento llevó aparejado un incremento espectacular de suscripciones de streaming, superando los mil millones de usuarios en todo el mundo. Esta práctica ha disminuido este año y muchos usuarios lo que hacen ahora es darse de alta gratis en estos servicios y cancelarlo cuando finaliza el período de prueba. Esto lo han aprovechado los ciberdelincuentes para dar un paso más: han creado su propia plataforma de streaming llamada BravoMovies, con un catálogo falso de películas interesantes. Esta forma de proceder, totalmente innovadora, por cuanto es usar la ingeniería social como vector de ataque, ha sido detectada por la empresa de ciberseguridad Proofpoint a principios de mayo. Tenéis toda la información de esta noticia en la web Cybersecuritynews.es, el primer medio de comunicación de España especializado en información sobre ciberseguridad realizado por periodistas especializados en tecnología e innovación.
MORALEJA:
• Peligro, peligro y más peligro. Ya lo veis: los malos siempre intentan ir por delante.
• La seguridad absoluta al 100% no existe.
• Solamente una buena y minuciosa planificación de las necesidades de ciberseguridad de una empresa pueden frenar este tipo de acciones a tiempo. Y minimizar las consecuencias de un posible desastre.
• La labor de un CISO es fundamental en cualquier empresa, pero si no os lo podéis permitir, la mejor opción es tener un CISO externo.
• Os queremos recordar que TECNOideas posee un servicio de monitorización constante de los sistemas de cualquier empresa. Se trata de un Centro de Operaciones de Seguridad, un servicio de 24 horas / 7 días a la semana, para poder actuar en el precios momento que hay una urgencia, evitando así que el desastre sea incontrolable.
Imagen principal: OpenClipart-Vectors en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias
Adiós al Explorer: Microsoft anuncia que le queda un año de vida
15 de junio de 2022. Es la fecha en la que dejaremos de usar el navegador Internet Explorer, porque Microsoft dejará de prestarle soporte y lo retirará del mercado. El buen navegador ha llegado a tener hasta 11 versiones, pero ahora solo nos queda decir adiós al Explorer.
En realidad la empresa de Bill Gates da un paso más para que todos nos pasemos al Edge, que parece ser la niña de los ojos de la compañía por su empeño en que los usuarios del Windows 10 usen el navegador Edge. Ya lo habíamos anunciado en este blog, como podéis ver AQUÍ.
Para justificar esta decisión, Microsoft explica tres motivos:
• Compatibilidad mejorada.
Microsoft Edge es el único navegador con compatibilidad integrada para aplicaciones y sitios web heredados de Internet Explorer, incluida la compatibilidad con funciones como los controles ActiveX . Además Edge se basa en el proyecto Chromium, que es una tecnología que impulsa a muchos navegadores actuales.
• Productividad optimizada.
La empresa cree que el motor dual del Edge acaba con el uso de distintos navegadores para distintas tareas.
• Mejor seguridad del navegador.
Microsoft asegura que se intentan aproximadamente 579 ataques de contraseñas por segundo y Edge es la mejor protección posible frente a ataques de phishing y malware. Además escanea la darkweb para identificar posibles compromisos con los credenciales personales. Finalmente añaden que Edge es más seguro que Chrome para empresas en Windows 10.
Podéis leer todos estos motivos ampliados en la propia web de Microsoft AQUÍ.
Microsoft también aclara que la retirada del Explorer no afecta a las aplicaciones de escritorio Windows 10 LTSC o Server Internet Explorer 11. Tampoco afecta al motor MSHTML (Trident).
Con el nombre de Internet Explorer se conocen toda una serie de navegadores que desarrolló Microsoft para su sistema operativo Windows desde 1995, cuando se integró en el paquete Windows 95 Plus. Posteriormente se fueron creando nuevas versiones, hasta un total de 11. La compañía lo sentenció en 2016 cuando presentó su nuevo navegador Microsoft Edge.
¿Y vosotros, qué tenéis que decir? ¿Estáis de acuerdo en decir adiós al Explorer?
O sois un poco “informáticorománticos” y os produce una cierta tristeza abandonarlo?
Podéis opinar aquí abajo.
Imagen principal: S. Hermann & F. Richter en Pixabay
Origen de la palabra y del movimiento Hacker: Parte 1, historia y su uso
Los que nos seguís habitualmente, sabéis que somos muy pesados con la buena utilización de toda la terminología técnica y científica, pero más aún con la palabra “hacker”. A pesar de que la RAE hace ya tiempo que incorporó una segunda acepción, mucho más acertada que la primera, el término sigue usándose equivocadamente como sinónimo de pirata informático. Por eso hoy queremos explicaros el origen de la palabra y del movimiento Hacker.
¿Cuál es el origen de esta palabra? ¿A quién se refiere ahora o se refería en sus principios?
Durante toda la vida hemos visto y escuchado este término y a su vera se han contado anécdotas curiosas, a veces sin ningún orden. Todas ellas quieren llevar la razón, así que ante esta complejidad lo mejor es que empecemos por el comienzo.
Como no hay duda, la palabra surge del idioma inglés. Ya antes del siglo XX , “hack” significaba cortar a lo bruto. De aquí pasó a denominarse “hacker” a una persona que tenía una habilidad especial, que entonces era hacer muebles cortados con hacha.
Así que hack ya quedó popularizado como sinónimo de hacer algo habilidoso o fuera de lo normal.
Avanzamos por la historia para referirnos a algo más técnico. Nos vamos al famoso Instituto de Tecnología de Massachusetts, el MIT. Una organización de estudiantes del MIT había creado, en 1946, el Tech Model Railroad Club (TMRC), una agrupación de fanes de los trenes. En 1959 esta organización tuvo a su disposición dos microcomputadores, el TX-0 y el PDP-1, para experimentar. De lo que habían pensado en un principio a lo que se hizo después, nada que ver. De ahí que Peter Samson, un científico pionero en la creación de software, juntara esa experimentación con la palabra “hacks” en el escrito “Official Hacker’s dictionary” con el lema “La información quiere ser libre”. Y como no, crearon el primer videojuego de la historia: Spacewar.
Este grupo acabó mutando hacia el MIT AI Lab —Laboratorio de Inteligencia Artificial del MIT—, de donde posteriormente saldría el software libre y parte de los embriones de Internet y de la World Wide Web, junto con Arpanet.
En los años 70 llegan las consolas a casa y a finales de esa década, también llegan los primeros ordenadores domésticos. En España se comenzó este camino con Apple II (muchas escuelas los adquirieron para enseñar informática, entre ellas la de quien suscribe este artículo), algunos pocos, Pc’s IBM y la invasión de los 8 bits, como Spectrum, Amstrad, Commodore o MSX.
En esa época incluso se crean revistas especializadas, como Phrac y 2600. Esta última todavía se publica hoy en día. Los dos nombres se basan en el primer hack masivo y mítico, como fue el uso de los tonos del teléfono, el “phreaking“. Con una emisión de un tono de 2600 hercios, por ejemplo el silbato que se regalaba con los cereales Cap’n Crunch, se podía interactuar con el sistema automático de las operadoras telefónicas, por entonces AT&T.
A raíz del descubrimiento de las autoridades de este caso, y de algunos más, como accesos puntuales a ciertas organizaciones gubernamentales, por parte de adolescentes, y no tan adolescentes, se comenzó a dar forma a varias leyes contra “el uso indebido de las computadoras”, y varios de ellos acabaron en la cárcel.
En los años 80 y 90 hubo el boom de la “demoscene“, demostraciones tecnológicas por parte de grupos que se distribuían en diferentes partys informáticos por todo el mundo, sobre todo de los ya ordenadores personales de 16 bits, como IBM y compatibles a partir del procesador 386, ordenadores Amiga y Atari (si, esta marca terminó haciendo ordenadores personales, y ampliaremos información en las segunda parte de este artículo). Se demonizó un tanto esta escena, ya que muchos de los grupos también eran crackers, gente que rompía la protección de los juegos para revenderlos más baratos, y que incluía alguna de estas demos como introducción al juego. También estaban los denominados lamers, que le ponían su nombre al trabajo de cracking de terceros. Pero no neguemos la parte hack de todo este proceso.
Y saltaremos hasta el día de hoy, donde los grandes estudios y medios de comunicación le han dado un mal uso a la palabra hacker, para darle connotaciones de delincuente a quien se le etiquete con ella. Así que seguimos luchando, para que después que la RAE, por fin, incluyera una buena definición, elimine la antigua, y todos los periodistas y medios de comunicación cambien su uso.
Os recordamos la segunda acepción de la RAE, que dice “Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar delos fallos y desarrollar técnicas de mejora.”
Sin embargo mantiene como primera acepción la de “Pirata informático”. Y otra cosa: adapta la palabra al español, escribiendo jáquer, como podéis ver AQUÍ.
Como os comentábamos al principio, nosotros siempre hemos querido reivindicar el buen uso de la palabra. Por ejemplo en este artículo del 2019 titulado Hacker bueno, hacker malo. Tanto nos importa el buen uso del término que dentro de nuestra sección Presentación y servicios explicamos las definiciones de Hacker, Cracker, Ciberdelincuente o Hacking ético. Lo podéis leer AQUÍ.
No hemos podido entrar en profundidad, pero dejamos para un segundo artículo toda la terminología que haya podido surgir sobre el origen de la palabra y del movimiento Hacker. Y también incluiremos lo que nos hayamos dejado en el tintero en este artículo.
¿Por qué la industria es la gran olvidada de la ciberseguridad?
Es un hecho: cada vez se habla más de la ciberseguridad en el mundo empresarial. Sin embargo la industria no va al mismo ritmo y eso a pesar de que hay muchos ejemplos espectaculares de fallos de seguridad en sistemas industriales. Como el que ocurrió en la planta potabilizadora de agua de Florida en febrero o la más reciente de Colonial, empresa que gestiona la mayor red de oleoductos de Estados Unidos. ¿Por qué la industria es la gran olvidada de la ciberseguridad?
Parece que no sólo la ciberseguridad es una asignatura que la industria debe aprobar. Ahora nos llega un informe que ha realizado la empresa alicantina IPYC Ingenieros de Calidad y Producción durante todo el año 2020, tomando como base 250 organizaciones con plantas industriales. Según este estudio, el 40% de las empresas que tienen plantas industriales en España desconoce los costes exactos por unidad de producción.
Se debe a que los responsables contables y financieros no contempla toda la casuística que puede afectar a la producción por la escasa digitalización de los procesos.
El informe constata que sólo un 15% de los responsables financieros del sector dispone de este tipo de información. Todo ello puede producir sobrecostes de entre un 9 y un 18% debido a factores imprevistos, pero habituales en la industria, como errores y defectos de producción, mermas, paradas imprevistas de máquinas, roturas de stock, incrementos de horas extras de los equipos de mantenimiento de las plantas, etc.
Podéis leer la noticia en el boletín de Metales y Metalurgia AQUÍ.
IPYC es una empresa de ingenieros de Alcoy, especializada en la organización industrial desde hace más de 20 años.
Sin lugar a dudas nosotros añadiríamos también los problemas derivados de la falta de ciberseguridad industrial. ¿Vuestra maquinaria tiene actualizados sus programas? Los responsables de IT/OT deben evaluar la seguridad de los sistemas de control industrial y sistemas conjuntos (entornos IT clásicos).
Podéis ver claramente cuál es el problema visitando nuestros servicios AQUÍ.
Os queremos recordar que TECNOideas está especializado en ciberseguridad industrial. Poseemos la máxima certificación profesional (nivel Negro) del Centro de Ciberseguridad Industrial. Por ello nos gustaría que los interesados en el tema pudierais leer un par de artículos de nuestro colaborador Jordi Ubach. Con el título La ciberseguridad industrial también existe, tenéis un primer artículo AQUÍ, donde nos habla de la primera defensa OT y un segundo artículo en el que desgrana los ataques al nivel 1 en OT. Lo podéis leer AQUÍ.
Finalmente, informar a nuestros seguidores, pero muy especialmente a los de América Latina que TECNOideas va a impartir, junto a CIDES, Organismo Técnico de Capacitación chileno, el curso Auditorías en Sistemas de Control Industrial los días 10,11, 12 y 13 de agosto.
¡La inscripción ya está abierta!
- Publicado en Ataques / Incidencias, Formación, General, Noticias
Vulnerabilidades en el protocolo WiFi y en cámaras de videovigilancia
Un investigador ha descubierto una docena de vulnerabilidades (FragAttacks) que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997.
Y, casualidades de la vida, al mismo tiempo se ha descubierto un fallo en unas cámaras de seguridad que han permitido a unos clientes fisgonear las casas de otros. Ambos casos afectan a empresas, pero también a domicilios particulares.
A veces la realidad es tozuda. Y a veces nos da la razón. Cuando en este blog insistimos en la necesidad de la ciberseguridad a todos los niveles o cuando en nuestras formaciones insistimos en la necesidad de estar siempre alerta y de tener un buen protocolo de ciberseguridad, muchas personas creen que por ser particulares o pymes no van a ser vulnerados. Se equivocan y hoy podemos traer aquí dos ejemplos muy claros al respecto.
Descubiertas vulnerabilidades en el protocolo WiFi existentes desde 1997
Uno de los investigadores en ciberseguridad más reconocidos del mundo, el belga Mathy Vanhoef, ha descubierto una docena de vulnerabilidades que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997. Algunas de ellas son fallos de diseño en el estándar WiFi, por lo que afectan a la mayoría de dispositivos y otros son fallos generalizados de programación.
Las vulnerabilidades detectadas pueden afectar a informaciones sensibles del usuario, como nombres y contraseñas. El problema más grande puede estar en las redes domésticas, ya que los posibles atacantes accederían a dispositivos del internet de las cosas, que no se suelen actualizar.
Podéis leer esta noticia en la sección de tecnología del diario El Mundo AQUÍ.
Mathy Vanhoef es un investigador especialista en ciberseguridad que saltó a la fama en 2017 cuando fue uno de los descubridores del KRACK, una vulnerabilidad que afectaba al protocolo WPA2 de la red WiFi. Precisamente las vulnerabilidades detectadas ahora, llamadas genéricamente FragAttacks tienen su base en las investigaciones realizadas desde entonces. Los amantes de la técnica debéis saber que el propio Vanhoeg ha creado una web específica (fragattacks.com) para explicar estas vulnerabilidades. La podéis ver AQUÍ.
exterior de Eufy
Foto en la web de Eufy Security
¿Videovigilancia o videofisgoneo?
Una empresa que presta servicios de videoviglilancia, Eufy Security, ha tenido que reconocer una brecha de seguridad en la app de la compañía tras una información recogida por 9to5Mac, una de las webs de noticias tecnológicas más importantes del mundo.
La brecha en cuestión permitió que algunos propietarios de cámaras Eufy pudieran ver imágenes recogidas de otros usuarios. En otras palabras, esos usuarios podían ver las casas de otros. Concretamente desde la app de Nueva Zelanda algunos usuarios podían ver imágenes de cámaras de Australia y visualizar también sus detalles de contacto.
La compañía informó que el error sólo afectó al 0,001% de sus usuarios y que se debió a un fallo de software durante la actualización del servidor. La brecha estuvo limitada en el tiempo y duró unas horas. Afectó a usuarios de Estados Unidos, Cuba, México, Brasil, Argentina, Nueva Zelanda y Australia, pero no al continente europeo.
Eufy es una empresa que desarrolla y crea dispositivos y aparatos inteligentes para el hogar que simplifican la experiencia global de hogares inteligentes (por ejemplo, aspiradoras robot). Forma parte de Anker Innovations, una empresa de marcas de electrónica de consumo líder en Estados Unidos.
¿Necesitáis poner cámaras de videovigilancia?
Bueno, vale, admitimos que el título del anterior párrafo no hace justicia a las cámaras Eufy y que la empresa reaccionó a tiempo y pidió disculpas. Pero estas cosas pueden pasar. A cualquiera de las marcas. Este comentario viene a cuento porque a continuación os vamos a hablar de otra empresa que se dedica, entre otras cosas, a la videovigilancia y que justamente ahora acaba de sacar al mercado nuevos productos.
La empresa D-Link ha presentado una renovación completa de su gama de videovigilancia profesional llamada “Vigilance”. Hay varios modelos de cámaras en formato Domo (las que poseen una carcasa semiesférica y compacta) y Bullet (las que tienen forma alargada “en bala” o hacia afuera), aptas para interiores y exteriores.
Foto en la web de D-Link
Entre las novedades más destacadas de estas cámaras se puede citar que proporcionan vigilancia 24/7; pueden ver hasta 30 metros de distancia, incluso en oscuridad o a contraluz; que las cámaras para exteriores son muy resistentes a la intemperie y funcionan con un rango de temperatura que va de los -30°C a los 50°C o que han mejorado ostensiblemente la resolución. En algunos modelos llega a ser de 1080 píxeles.
Además de las cámaras también se ha presentado un nuevo grabador de vídeo de red que puede conectar y alimentar hasta 16 cámaras.
D-Link Corporation es una empresa taiwanesa, un proveedor global cuyo negocio principal son las soluciones de redes y comunicaciones para empresas y particulares. Podéis ver los datos técnicos de la nueva gama en la web de D-Link clicando AQUÍ.
Imagen principal: logotipo de la web FragAttacks.com
- Publicado en Consultoría, General, Malos hábitos, Medios de comunicación, Noticias
Otro evento en el que colaboró TECNOideas
Como ya sabéis todos los que nos seguís habitualmente, en TECNOideas nos gusta apoyar eventos. Y esperamos que cada día sean más, tanto los que se organicen, como los que cuenten con nuestro apoyo. Pero eso sí, todos de temática hacker o ciberinteligencia y desde el punto de vista más práctico y técnico, para compartir información.
El pasado 9 de abril y durante 24 horas, el equipo FlagHunters organizó un nuevo CTF (Capturar la bandera, del inglés Capture the Flag), que ya es el tercero que organizan y, como siempre, con gran éxito.
Un CTF o Capture the Flag, es una competición de logros o pruebas de conocimiento hacker, que puede organizarse de modo individual o por equipos. La competición dura varias horas y se van obteniendo puntos. Quien acumula más puntuación, superando cada reto (que puntúan por separado y de diferente manera), gana fantásticos premios, como cursos de hacking o acceso a plataformas para mejorar sus habilidades. En esta ocasión se registraron 351 usuarios, para optar a ganar 5.056 puntos posibles, en 37 challenges o retos.
¿Y cómo terminó el CTF después de una dura y larga competición?
Los 3 primeros fueron:
1 – Sergamar
2 – Wartz
3 – RommGT
La entrega de premios, virtual, como todo el concurso, se retransmitió a través de Twitch.
Las redes sociales de HackMadrid y donde se hizo difusión del evento son las siguientes:
• Instagram: @flag_hunters
• Twitter: @hunters_flag
• Youtube
• Twitch
Y la nota o comunicado según los organizadores:
“Evento realizado con mucho ánimo para los que se quieren iniciar en el mundo del CTF, desarrollado durante 24 horas, con un resultado bastante ajustado entre los primeros puestos, motivando y dejando expectante al publico en general.
Este evento contó con la peculiaridad de que se entregaron premios, no solo a los tres primeros, sino también a diferentes participantes que cumplieron la condición de haber superado los retos de calentamiento, demostrando que todos tienen oportunidad de no solo obtener conocimientos sino también de ganar premios que les ayuden a crecer.”
Así que por nuestra parte, contentos de haber ayudado con nuestra pequeña aportación como patrocinadores, y esperamos repetir. ¡Atención! tomad nota: se rumorea que el siguiente tendrá lugar en octubre.
- Publicado en General, Hazlo tu mismo, Noticias, Sobre TECNOideas
Alternativas a sistemas operativos en smartphones – Parte II
Volvemos al tema de los teléfonos móviles seguros para seguir hablando de las alternativas libres en sistemas operativos para smartphones. Este tema lo empezamos hace unas semanas, concretamente el 10 de mayo, y hoy volvemos a él para acabar de explicaros cosas interesantes que esperamos que os resulten muy prácticas.
Tal y como os comentamos en nuestro primer artículo sobre este tema, nos hemos puesto manos a la obra para seguir probando alternativas a sistemas operativos en smartphone, que si, los hay.
En esta ocasión hemos preparado, instalado y usado, durante una semana LineageOS, un fork de Android, heredero de CyanogenMod, que promete mejor rendimiento, compatibilidad y actualización en terminales antiguos (por ejemplo Samsusng Galaxy S5 con Android 9), y que promete ser la panacea de la privacidad.
Vayamos por partes. Primero de todo: ¿qué es un fork? En informática se denomina así a un proyecto que en algún momento se separa de la base común del proyecto origen (en este caso se trataría de Android y de las zarpas de Google) y avanza en paralelo para crear un producto nuevo. También podría denominarse fork al sistema MacOs, ya que cogieron el sistema libre y de código libre FreeBSD, para no desarrollar uno desde cero.
Un poco de historia
Aclarado el primer punto pasamos al siguiente: ¿qué es, o qué era CyanogenMod? Era, sí. Hablamos en pasado porque cerró hace ya unos añitos, concretamente el 31 de Diciembre de 2016, después de 7 años de servicio.
Se resumía en una comunidad de desarrollo de una Rom para dispositivos Android, que sobre todo buscaba darle más vida a lo que comercialmente se conoce como renovación, y no quedarse con un “brick” (aunque se traduce como “ladrillo”, el símil más exacto seria “dispositivo que no vale para nada”, y lo puedes usar de pisapapeles).
Todo comenzó con el HTC Dream, y como esta comunidad logró acceso de root al dispositivo, se abrió la veda, aunque no a todo el mundo le hizo gracia. En las primeras versiones de esta Rom, se incluían las aplicaciones de Google, las Gaaps, de las que luego hablaremos, y que al tener código cerrado y propietario, no tenían derecho a usar. Después de alguna amenaza por los mandamases de la compañía, llegaron a un acuerdo, y pudieron seguir con la rom, sin dichas aplicaciones.
Se creó una empresa, Cyanogen Inc, para dar salida comercial a este mod, pero llegó en el momento en que los de Android espabilaron y actualizaban más los dispositivos. El resultado fue que el mod derivó a una capa de configuración y personalización, por lo que perdió el “alma”. No triunfó, y acabó cerrando en la fecha señalada anteriormente.
Damos un paso más. Es la hora de volver a LineageOs, ya que recogió el testigo. ¿Por qué nos encanta este software? Promete compatibilidad con modelos antiguos, esos a los que Android oficialmente ya no da soporte, con lo cual los usuarios se quedaron con un sistema antiguo, sin software… Y claro, si no es seguro, ya no te dejan usarlo, y además, lo más importante, sin Google…
Pero… ¿qué quiere decir esto de “sin Google”? Nos referimos a dos cosas, siendo la primera y la más importante, sin su yugo, su control, su análisis de tus datos, etc. Y la segunda, sin las aplicaciones preinstaladas, las famosas Gaaps (aunque veremos que esto no es importante si queréis instalarlas en LineageOS, aunque sea un sinsentido).
Para instalarlo, como con cualquier otro sistema operativo, necesitamos el teléfono rooteado (o sea, que lo hayamos desbloqueado), que hayamos instalado un bootloader (gestor de arranque) y luego instalar el sistema, desde este mismo bootloader.
Nosotros volvimos a usar Fastboot, porque siempre nos funciona bien, porque lo puedes conectar a un ordenador, vía drivers ADB, o desde el menú al que puedes acceder vía botón de encendido y aumentar volumen. Luego navegamos por dichas opciones. Dependiendo de la versión o del dispositivo pone una frase u otra, pero seguramente, instalación, actualización, o algo similar, dándonos la opción de ir a buscar el archivo.
“Et voilà”, después de unos minutos de instalación, iniciará nuestro nuevo sistema. Viene con ciertas apps ya instaladas, pero al ser un core Android, es compatible con cualquiera.
Y os preguntaréis ¿cómo se instalan las apps si no vienen con la Play Store? Pues hay varias opciones:
Una podría ser un gestor de repositorios alternativo, opensource, libre o similar, donde se vayan publicando (sí, esto existe, y sin que Google sepa que os descargáis, usáis, instaláis, cómo, cuándo, etc.). Por ejemplo F-droid.
La segunda opción seria, ¿cómo instalamos esta dichosa app, F-droid sin la tienda? Pues tendréis que bajar el archivo .apk, pasarlo al dispositivo, ya sea con cable o a través de la tarjeta, e instalarlo. Este paso seguramente tendrá una advertencia, de “instalar aplicaciones desde repositorios no seguros“, solo hay que cambiar dicha opción desde los ajustes, y problema resuelto.
Si en F-droid no tenéis la aplicación que buscáis, la podéis bajar con este segundo método alternativo. Aunque para algunos pueda resultar engorroso, lo cierto es que no tiene mayor complicación. En ESTE enlace solo tendremos que poner el link de la Play Store de la app que queramos, y en ESTE, podremos hacer una búsqueda de la app que queramos. Pero hay muchos más.
Ahora viene lo complicado, desengancharse de Google, de sus servicios y de lo que todo ello conlleva. Pero con un poco de paciencia, y pruebas, veréis que no es complicado. Como hemos dicho, podéis descargar las apps por distintos métodos, pero si lo que buscáis es hacerlo completo, hay que usar alternativas. Así, si queréis igualmente usar todas las apps de Google, podéis buscar distintos packs disponibles, como por ejemplo OpenGapps.
Nosotros estamos usando, a nivel corporativo y recomendando a nuestros clientes, el sistema Nextcloud, del que hicimos un primer artículo que podéis leer AQUÍ, donde explicamos todas sus bondades. Necesitaréis una aplicación de terceros, llamada DAVx, para poder conectar sin problemas, ya que realiza conexiones CalDAV/CardDAV para sincronizar contactos, calendarios o tareas, en plataformas compatibles con este protocolo.
Bien, ya tenemos las apps que necesitamos, y además contactos, calendario y ficheros (si tenéis imagen, y no la versión virtual, asegurar bien el teléfono, sino cualquiera podrá acceder), ahora nos falta el sustituto de Gmail.
Así que como servidor de correo, ProtonMail, como no, que ya llevamos un tiempo con ellos, y permiten usar tu dominio, después de una sencilla configuración. Y para finalizar Telegram y Signal, aunque no solemos enviar ni facturas, ni presupuestos ni ficheros sensibles, por mucho que nos lo pidan los clientes.
Y una semana de pruebas, contentos, más que con Ubuntu Touch, que aún le falta un poquito de desarrollo, y aprovechamiento de hardware, ya se sabe que las comunidades dependen de sí mismas para avanzar y eso cuesta.
Así que no tengáis miedo a desengancharos, ¡hay vida más allá de Google o de iPhone!, que luego nos quejamos del trato que dan a nuestros datos.
Y acabamos con el mismo consejo con el que terminábamos la primera parte de este artículo: al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
Leyes muy lentas
Que la política en general va por detrás de la sociedad, no es algo nuevo. Y lo mismo ocurre con las leyes. Cada vez que los políticos se ponen a legislar sobre un tema, o este lleva ya varios años activo en la sociedad, o bien cuando requieren investigaciones se quedan con informes de años atrás, ya obsoletos o simplemente yerran el enfoque. Leyes muy lentas significa mala legislación.
APUNTE: los que generan riqueza e innovación son las empresas privadas, con la ayuda de las administraciones, que aplican las leyes y planes que aprueba el gobierno. Hay varios tipos de ayudas, pero en nuestro ámbito, por ejemplo, si una empresa realiza I+D, suelen ser, sobre todo, ayudas de financiación, de facilidad en la contratación o de seguros sociales.
Lo que no debería hacer nunca la administración es molestar con leyes que no se adapten al modelo actual, o que monte empresas públicas para innovar, porque eso es lo mismo que la “música militar”: una contradicción.
Todo esto viene a cuento porque el Plan de Recuperación, Transformación y Resilencia contra la COVID-19 del Gobierno de España va a destinar 500 millones de euros para fomentar la Inteligencia Artificial (IA) durante los años 2021-2023. Se trata de un 0,7% de los 72.000 millones de fondos europeos que corresponden a España y se encuentra en el llamado “Componente 16” del Plan, cuyo título es “Estrategia Nacional de Inteligencia Artificial” (ENIA).
Podéis ver la información del Plan y sus líneas directrices que publica la web del Gobierno AQUÍ, donde también podéis descargaros el PDF. Hasta aquí la teoría.
Pero la práctica no pinta tan bien. Algunos especialistas han avisado que muchos de los puntos que contiene el Plan ya están desfasados. Recuerdan que el documento en cuestión ya lo había presentado Pedro Sánchez en diciembre del 2020 y que es un documento trabajado en la Secretaría de Estado de Digitalización e Inteligencia Artificial, dependiente del Ministerio de Asuntos Económicos y Transformación Digital.
El Gobierno calcula que por cada euro público invertido, el sector privado invertirá otros tres euros.
Espera que esas ayudas consigan un retorno de 3.000 millones sobre el PIB y cree que se pueden crear unos 16.000 puestos de trabajo.
En el “Componente 16” se habla del marco ético y legal, que tendrá que seguir el que anunció la Comisión Europea, que pretende impedir algunos usos de alto riesgo de la Inteligencia Artificial si no se cumplen algunos estándares. Y amenaza a las empresas que no los cumplan con multas de hasta 20 millones de euros o de un 4% de sus ingresos.
Todo esto junto a opiniones de expertos lo podéis leer en un artículo publicado por Business Insider AQUÍ.
En el fondo, la gran problemática del tema es el uso de sistemas de vigilancia masiva que la IA puede traer, por lo que toda esta normativa viene a considerar que la IA atenta contra la privacidad.
También podéis ver lo que dice al respecto EDRi, una asociación internacional sin ánimo de lucro que agrupa organizaciones de derechos civiles de toda Europa y que defiende los derechos y libertades en el entorno digital.
- Publicado en General, Noticias, Tecnología
Amador Aparicio: “estamos exportando jóvenes formados en España con puestos de responsabilidad”
Segunda parte de la entrevista a Amador Aparicio que iniciamos la semana pasada. Amador es ingeniero informático y docente y es uno de los profesionales más reconocidos de España. Tras hablarnos de la situación de la enseñanza de la ciberseguridad hoy abordamos temas más específicos. ¡Esperamos que os guste!
Terminamos la primera parte de la entrevista hablando de tus libros. Hoy damos un paso más en tu carrera y nos gustaría comenzar por tu trabajo como miembro del Comité CTN 320 de ciberseguridad y protección de datos personales en la Asociación Española de Normalización. ¿Qué objetivos persigue esta asociación?
Cierto, desde enero de 2021 formo parte de este comité. El trabajo es más de asesoramiento para la normalización de actividades, que técnico. El principal objetivo es la normalización de los métodos, técnicas y directrices en el ámbito de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI, lo que incluye las siguientes áreas:
• Metodología para la captura de requisitos.
• Técnicas y mecanismos de seguridad, incluidos los procedimientos para el registro de los componentes de seguridad.
• Gestión de la ciberseguridad, la seguridad de la información, las comunicaciones y las TI.
• Documentación de apoyo a la gestión, incluyendo las normas relativas a la terminología, la evaluación de la conformidad y los criterios de evaluación de la seguridad.
• Los requisitos y directrices para la protección de los datos personales y la privacidad de las personas, incluyendo los aspectos de gestión y requisitos de privacidad por diseño y por defecto.
Formas parte del equipo de captación de talento de Telefónica, Talentum Startups desde 2013. Los jóvenes tienen la mirada puesta en California, pero ¿tenemos mucho talento en España? ¿Hay futuro para los jóvenes que deseen quedarse y no salir al extranjero?
Sí, formo parte del Programa de Captación de Talento de Telefónica desde diciembre de 2013 y me ha permitido conocer a gente de todas las universidades españolas durante todos estos años. Las universidades en España están haciendo un buen trabajo porque estamos exportando jóvenes formados en España al extranjero con puestos de responsabilidad que exigen un alto conocimiento técnico y capacidad. Sin ir más lejos, el responsable de seguridad de Google es o era un chico de Valencia, Fermín Serna, lo que indica que en España las universidades tienen un buen nivel y que la gente sale bien preparada de ellas.
“Lo que buscamos en las universidades
es gente con actitud y con capacidad y
habilidades tecnológicas
que se apasionen haciendo cosas y
no los mejores expedientes.”
Lo que buscábamos (y buscamos) en las universidades (y fuera de ellas) era gente que hubiera hecho cosas por su cuenta en forma de proyectos tecnológicos, no sólo que tuviese buenas ideas, sino que tuviera la capacidad tecnológica de transformar esa idea en producto, gente que tuviese pasión por la tecnología y que hiciera cosas por su cuenta. No buscábamos los mejores expedientes (aunque los ha habido), sino gente con actitud y con capacidad y habilidades tecnológicas que se apasionase haciendo cosas, que hubiera hecho pequeños proyectos que pudiéramos ver.
Sobre lo que planteas de si hay talento es España, conozco a grandes profesionales del sector, pero la COVID-19 ha revelado información al respecto: se ha producido un incremento en el desempleo mayor al de la oferta de puestos de trabajos especializados, y esa es una de las razones por la que hay más ofertas de empleo, por ejemplo en ciberseguridad, frente a la demanda de empleo, lo que podría indicar que en España no hay tanto talento digital como aparece en los medios y redes sociales y donde más ha crecido el número de empresas que ofrecen trabajo a expertos en nuevas tecnologías, de ahí que sea complicado cubrir toda la demanda de profesionales. Sobre este tema os propongo leer este artículo del diario El País Financiero.
Para acabar este bloque sobre tu aportación en varias instituciones, debemos hablar también del programa CSE (Chief Security Envo) de ElevenPaths, del que formas parte. ¿En qué consiste realmente el programa?
Desde ElevenPaths, la Unidad de Ciberseguridad de Telefónica, se creó un programa similar a los MVP de Microsoft, pero en este caso aplicado al mundo de la ciberseguridad. La idea del programa es doble, por un lado hacer un reconocimiento público a profesionales del sector y por otro realizar aportaciones de ciberseguridad para llegar a más lugares.
En mi caso, si me preguntas quién tuvo la culpa, te diría que Pablo González, que fue quien me puso en contacto con el programa en diciembre de 2018. Después, Pablo San Emeterio fue quién realizó el proceso de selección y al final quedamos seleccionados 10 personas en España y 6 personas en Ecuador. Por cierto, este año también he vuelto a recibir el reconocimiento y para mí es muy motivador poder estar relacionado con ElevenPaths porque podemos probar algunos de sus productos, proponer mejoras, tener acceso a tecnología disruptiva en algunos casos y poder estar presentes en foros especializados.
La verdad es que las opciones de la ciberseguridad van alcanzando cotas importantes en diversos sectores. En este blog ya hemos hablado de la importancia de que los coches sean ciberseguros. ¿Puedes hablarnos del Hacking Car y por qué está tan de moda?
Creo que estuvo más de moda hace 2 ó 3 años. En congresos de seguridad hubo ponencias relacionadas con Car Hacking, de hecho, Jordi Serra y yo estuvimos en Navaja Negra y en las Jornadas CCN-CERT en 2018 con ponencias sobre Car Hacking. En nuestro caso estudiamos técnicas para leer las tramas que viajaban por la red CAN BUS de los coches, modificarlas y volver a inyectarlas al coche para que éste hiciera cosas y cambiar así su comportamiento.
Las ponencias de Car Hacking estaban relacionadas con las comunicación interna de la red del coche sobre el bus CAN, y sobre radiofrecuencia aplicada en llaves sin contacto y el sistema de monitorización de presión y temperatura de las ruedas.
Los estudios de Charlie Miller y Chris Valasek en ese campo fueron tremendamente impactantes con el hackeo del Jeep, pero ellos tenían toda la información de los fabricantes de los distintos dispositivos del coche.
Sobre los coches ciberseguros:
“La Unión Europea hará cumplir la norma a partir de julio de 2022 y
afectará a todos los vehículos nuevos a partir de julio de 2024.
Para lograr el certificado de ciberseguridad,
los fabricantes deberán demostrar que sus modelos
están protegidos frente a 70 vulnerabilidades.“
Ahora es más complicado encontrar ponencias de este tipo porque una de las conclusiones a las que llegamos es que los fabricantes no aportan ningún tipo de información, hay que disponer de un buen laboratorio y material de medición y monitorización de datos y, sobre todo, hay que tener coches para hacer pruebas, y eso no está al alcance de cualquiera, de ahí que sea complicado avanzar por ese campo si no es con el apoyo de un fabricante interesado que te proporcione el material para realizar todas las pruebas necesarias.
Y no debemos olvidarnos del cine, en muchas películas puedes ver como hackean un coche y toman el control total sobre él…. Y eso es prácticamente imposible por la segmentación que existe en las redes internas de los automóviles.
¿Puedes hablarnos de la legislación al respecto? El 1 de enero de 2022, ¿todos los coches deberán ser ciberseguros? ¿Solo los nuevos, los de segunda mano no?
Cierto, la Unión Europea ya ha anunciado que hará cumplir la norma a partir de julio de 2022 y afectará a todos los vehículos nuevos a partir de julio de 2024. Para lograr el certificado de ciberseguridad, los fabricantes deberán demostrar que sus modelos están protegidos frente a 70 vulnerabilidades. Ese listado de riesgos a evitar incluye posibles ciberataques durante el desarrollo, producción y posproducción del vehículo, por lo que aquellos modelos que logren el certificado estarán protegidos a lo largo de todo su ciclo de vida. Además, se especifica que debe ser una entidad autorizada e independiente del fabricante la que acredite si el vehículo analizado cumple esos requisitos.
En el caso de que algún fabricante ponga a la venta en la UE un vehículo que no cumpla con la normativa ONU / UNECE WP.29 o se demuestre que engañaron a la entidad autorizada para obtener el certificado de manera irregular, se enfrentaría a sanciones de hasta 30.000€ por vehículo y se podría retirar o suspender la homologación de los modelos afectados, lo que impediría que se pudiesen vender.
La normativa no detalla qué medidas deben tomar los fabricantes para hacer frente a esas 70 amenazas. Tampoco indica qué tipo de pruebas se deben realizar para saber si un vehículo puede obtener el certificado APTO de ciberseguridad.
Este sector avanza muy rápido, gracias a que la tecnología no tiene freno. ¿Cómo te imaginas el sector de aquí a veinte años?
Ni idea, creo que tendría que preguntárselo a mis hijas dentro de unos años… (risas).
¿Habéis aprendido muchas cosas? Esperamos que os haya gustado esta entrevista. Si todavía no habíais leído la primera parte, os lo ponemos fácil: sólo tenéis que clicar AQUÍ.
Para todos los que queráis conocer más y mejor a Amador,
os invitamos a visitar este enlace.
- Publicado en Entrevistas, Formación, General, Noticias, Seguridad
Español 
Català