Del virus de PC al cibercrimen. Vídeo con Mikko Hypponen

Merece la pena dedicar unos minutos a esta conferencia TED de Mikko Hypponen sobre la evolución del mundo de los virus para PC: de un escenario creado por aficionados empujados por la curiosidad a toda una industria del cibercrimen en las antípodas de lo que hace años se entendía por «hacking». Hay quien quiere seguir viendo el lado «romántico e idealista» en quienes crackean, utilizan botnets o dictan quienes pueden estar en la red a base de ataques de denegación de servicio… pero la realidad es bien diferente a como se entendía este mundillo en los 80.

Y es interesante volver sobre estos temas – ya hablamos por aquí en «Cibercrimen y seguridad» – porque las herramientas que de las que disponen quienes luchan por la seguridad en la red están muy por debajo de lo que posibilita el lanzar los ataques desde cualquier rincón del planeta.

PD: tengo problemas con el vídeo embebido, basta con ir a la web de TED y poder verlo con subtítulos en español

Cibercrimen, seguridad e internet: Estados Unidos y España

Un plan de acción completo y detallado para actuar contra el cibercrimen y en pro de la seguridad en la red, es lo que ha anunciado «La Casa Blanca», con jefe de seguridad nacional en Estados Unidos para internet incluido. Podremos discutir si el enfoque es el más adecuado – a priori lo parece, con colaboración entre organismos públicos y empresas privadas – de si esto va a implicar un recorte de las libertades en pro de la seguridad – a priori parece que no, al menos mantienen un discurso partidario de una red libre y abierto – pero de lo que no cabe duda de que tienen una visión de la red como prioridad estratégica, acorde con el programa de Obama para internet.

¿Y en España, qué? Seguimos en la travesía del desierto. El desconocimiento de internet y la presencia de la red en los programas es descorazonadora (quizás exceptuando algunos detalles de IU), seguimos en una situación en la que si se sufre un ataque DDos, tirando tu negocio y el de otros muchos, te tienes que buscar la vida porque Inteco y Guardia Civil (cuya actitud es de 10, eso sí), no tienen medios ni marcos legales adecuados con otros países para hacer nada. El plan con internet en este país parece ser que sigue siendo debatir sobre si la gente se baja cine gratis o si se ha mandado un correo de más saltándote una coma de la LOPD, con muchas palabras vacías sobre «cambio de modelo y sociedad del conocimiento» que luego se traduce en que la red tiene una prioridad marginal en el discurso de los partidos (que en esta campaña se ha rebajado al nivel más infame de indigencia intelectual) y hasta se plantean un canon al ADSL para financiar al siglo XX.

Más información sobre el «Cyber Czar» en Whitehouse.gov, R/W, The Guardian.

Relacionado: Cibercrimen y seguridad.

Cibercrimen y seguridad

Security Panda

Y finalmente anduvimos en el 1st Security Blogger Summit 2009 que ha organizado Panda Security y, como suele ser habitual, aprendimos más que aportamos. Con una introducción inicial del siempre interesante Bruce Schneier, tocaba posicionarse sobre tres temas relacionados con la seguridad y el cibrecrimen:

¿Estamos mejor que hace unos años?

Más que una diferencia de grado, en mi opinión nos enfrentamos a problemas de seguridad bastante diferentes. Usuarios con varios dispositivos y que tienden a trasladar datos a la red, incluso comienzan a utilizar aplicaciones web. Esto nos lleva a un desplazamiento del responsable de guardar esos datos, algo que incluso empieza a darse en elentorno empresarial con soluciones de tipo Cloud computing. Todo lo relacionado con servicios online ha cobrado una mayor importancia, hace cinco años si se hacían con tu contraseña del correo tenías un problema, hoy puede incluso que se hagan con todos tus documentos, ingresos publicitarios, acceso a estadísticas y hasta medio de pago.

Interesante también como varios expertos subrayaban la creación de una industria del cibrecrimen y la descripción por parte de César Lorenzana (Grupo de Delitos Telemáticos de la Guardia Civil) de las dificultades de abordar el cibercrimen transnacional.

¿Qué se puede hacer para mejorar la seguridad?

Intenso debate acerca de «culpables de los problemas de seguridad», pasando desde las empresas desarrolladoras de software hasta el usuario final sin olvidar la ausencia de acciones coordinadas de gobiernos y empresas. Se ha hablado mucho de información útil para los internautas y ahí creo que hay un peligro y una oportunidad, relacionados ambos con la opinión pública /medios de comunicación masivos y alimentar un estado de miedo a internet. Se tiene que dar información, guías y recomendaciones pero sería horrible pasar a un escenario en el que se «sobreregulara» internet o se intentara adoctrinar partiendo de «las cosas horribles que te pueden pasar». Sebastián Muriel señaló con acierto el problema de el cambio generacional y el cambio de perspectiva respecto a la privacidad en los adolescentes y su apego a las redes sociales.

Predicciones

En este punto casi ninguno de los miembros de la mesa se mojó. Particularmente, en una internet tendente a la concentración (redes sociales en el ámbito de los usuarios, servicios de cloud computing en empresas), el peligro estaría en la ocurrencia de un ataque con éxito a alguno de ellos. ¿Es positiva o negativa desde el punto de vista de la seguridad y el cibercrimen esta concentración? Ero Carrera defendía que sí, una empresas con buenas políticas puede ayudar a implementar mecanismos eficientes mejor que dejar esto en el usuario final o en empresas que den menos prioridad a los mismos (ponía el ejemplo del webmail y el añadir filtros antimalware para adjuntos). Yo ahí tengo mis dudas, no sólo porque la naturaleza distribuida de internet es un bien en si mismo por muchas razones, sino porque un problema de seguridad en uno de estos «monstruos» podría llevarnos a un «chernobyl de la privacidad».

Yago también glosa el evento.