Resumen de este año que toca a su fin 2012

Un año más acaba y toca hacer un balance de lo que ha sido el 2012.
Lo primero, es que si usted está leyendo esto, alguien ha cometido un gran error o los mayas con sus premoniciones o nosotros interpretando éstas.

Dejando de lado esta broma, que hay que decir que sólo puede hacerse cada 3000 años (y por eso la licencia), ya queda lejos la premonición local que dijo que la crisis sería cuestión de dos años "como máximo" (y esto se dijo el año 2009). Está claro que los analistas económicos deben emplear las mismas fórmulas que los mayas (o que los que leyeron las premoniciones mayas). Y es que el tsunami de la crisis, como el de la película de "Lo Imposible", está consiguiendo eso, lo imposible o, mejor dicho, lo inimaginable, hundiendo algunas economías hasta puntos donde nunca creíamos que se iba a llegar. Y que no se sabe todavía si hemos llegado.

Pero esta crisis ha demostrado que sólo la tecnología (el I+D) de James Cameron, con una vieja historia de Pocahontas, pero un gran 3D, ha superado la calidad, profesionalidad y saber hacer españoles, traducido en lo que ha recaudación se refiere.

¿A dónde se podríamos escalar si, de una vez, se apuesta por el I+D? Está claro que más lejos que donde las muletas de la crisis nos permiten.

Dejando el mundo del cine a un lado, el mundo de la Seguridad TIC ha tenido mucho más de lo mismo y también algo novedoso. Casi siempre recordamos, en estos epílogos anuales lo malo. Sobre todo porque en cuanto a seguridad tecnológica se refiere, siempre es lo malo lo que más páginas (o bytes) ocupa en cualquier medio de difusión. Y más en un país dónde con tanta ligereza, los problemas son siempre "por problemas informáticos".

Está claro que un año en el que hemos visto cambiar (o intentando cambiar) el mundo más cercano más allá de nuestro pequeño Mediterráneo, o hemos visto matanzas incomprensibles en cines, colegios y calles (en EEUU y también en las olvidas Siria, Congo, etc.), pensar que el señor McAfee (padre de uno de los más legendarios antivirus, convertido en un emporio de la Seguridad que Intel compró por casi 6.000 millones de dólares) fuera portada por matar a su vecino en su retiro paradisíaco en Belice, nos ha resultado hasta cómico.

Pero muchas cosas han pasado el 2012, relacionadas con la libertad en Internet, o con su regulación, con la Ley SOPA en EEUU, con la protección y persecución de aquellos que se lucran con las creaciones de otros (en Internet y en la SGAE, ahora reinventada) en España con lo que fue la Ley Sinde. No se puede dejar de mencionar Wikileaks, la detención de Julian Assange (autorecluido en Londres en la embajada de Ecuador), y todas las campañas (ataques) que han llevado a cabo Anonymous, con un lema tan inquietante para algunos o motivador para otros que reza "Somos Anonymous. Somos Legión. No perdonamos. No olvidamos. Espéranos." sembrando la intranquilidad entre estados, organismos y empresas que se han visto observadas más que nunca por este tipo de movimientos a los que se les ha puesto cara: una máscara copyright de Time Warner, el segundo mayor conglomerado de medios contra los que esos mismos movimientos "luchan". Contradicciones de la vida.

También ha sido el año de vulnerabilidades sonadas en Instagram, que además en diciembre quiso vender "sus" fotos (o no); ha sido el año en el que tu teléfono Android podía dejarse "frito" por una vulnerabilidad en el incorrecto tratamiento de mensajes USSD (esos típicos *#0129# con los que nuestro operador nos da servicios casi desconocidos); WhatsApp ha sido objeto de análisis profundos y hemos sido conscientes de su inseguridad; el siguiente objetivo será Line (por que el objeto de deseo de todo investigador es "el más usado"). El 2012 se siguió hablando de Samsung por sus litigios (contra Apple), sus móviles, sus tabletas y sus impresoras, que incluían una vulnerabilidad que permitía un acceso a la red explotando una vulnerabilidad y un defecto vía SNMP.

El 2012 también fue año de Juegos Olímpicos, en Londres, y el phising tuvo una excusa más de difusión. Y es que el malware ha dado un poco más de lo mismo (seguimos hablando de Zeus), usando métodos conocidos de Ingeniería Social pero poniendo "el ojo de Sauron" en los dispositivos móviles (con Android e iOS principalmente) como el mejor método de obtener la preciada información del usuario de a pie. Este también ha sido el año en el que la mayor economía del mundo recelaba de su mayor fábrica y recomendaba (o prohibía) el uso de sistemas de comunicaciones de los grandes fabricantes chinos Huawei y ZTE.

Sonados fueron incidentes en Zappos (moda y complementos de EEUU) donde 24MM de datos de usuarios quedaron comprometidos, Care2 (productos de alimentación saludables) con casi 18MM, LinkedId pedía el reseteo a sus usuarios tras comprometerse sólo 6MM de contraseñas, Barnes & Noble Stores sufría un ataque a través de sus puntos de venta y Global Payments en Canadá sufría una intrusión que comprometía 1,5 MM (aunque posteriormente se publicó que fueron 7MM). Y la lista es muy larga. Y lo ha sido mucho más (del doble al cuádruple según las fuentes) el 2012 respecto el 2011. Por lo que nadie puede mirar a quien ha sufrido un incidente creyendo que, como las enfermedades raras, siempre le tocan a otro.

Si un año se ha hablado de la nuevas amenazas ha sido el 2012, los APTs parece que se han descubierto ahora (que no), pero sí se ha hablado de ellos más que nunca, cuando el BYOD muy posiblemente sea la gran amenaza de las empresas, que siguen sufriendo robos de información por problemas conocidos desde hace 10 años, el archiconocido SQL Injection. Eso sí es una amenaza y no el mosquito del Nilo, que atemorizó también a los estadounidenses este año con 65 muertes. Donde 26 mueren al día por armas de fuego y donde el director de la mayor agencia de investigación del mundo es espiado por su amante leyendo el correo electrónico. Tendría su password, ¿no?
En diciembre hemos conocido que la UE está estudiando exigir la regulación a los estados miembros que los incidentes significativos de seguridad relacionados con las tecnologías de la información (probablemente aquellos que afecten a infraestructuras críticas inicialmente) o quién sabe si todos ellos, deban hacerse públicos. Algo que en EEUU ya es ley y que aquí nos parece absurdo. Tampoco creamos que todo el monte es orégano: 4 estados no tienen legislación al respecto, 35 (incluyendo D.C.) la tienen sin un registro centralizado y 12 la tienen y centralizan la información. Probablemente de la misma forma, la publicación de vulnerabilidades en EEUU es algo que los fabricantes ven con buenos ojos -cuando se lleva a cabo de forma coordinada con el investigador descubridor- y, en España, sólo se ve como un daño a la imagen de la empresa fabricante, sea una red social, un CMS o un ERP. Y sabemos muy bien de lo que hablamos. Queda un camino largo por recorrer en este aspecto.

En España hemos tenido congresos y encuentros del mundo de la Seguridad TIC donde se ha podido disfrutar de expertos de España, que nada tienen que envidiar a los de fuera, y no podemos dejar de mencionar la No cON Name (con nuestro recuerdo a los que ya no están) y la Rooted Con; y con otros enfoques, eventos relevantes del ISMS Forum, la prensa especialista del sector (SIC y Red Seguridad), eventos de itSMF, ISACA, etc.

En cuanto a lo que en Seguridad en Tecnologías de la Información y la Comunicación se refiere, podemos decir que el 2012 ha generado noticias y material para escribir y eso no es malo, demuestra que hay trabajo por hacer y que es uno de los sectores que, a pesar de la crisis, se ha visto como imprescindible en una época como esta, como espada, como escudo o como pluma. Sólo podemos esperar que el 2013 (que aunque con dos dígitos muy gafes) veamos que el sector de la Seguridad TIC tenga la consideración estratégica que debe tener. La otra cuestión será que tengamos la capacidad económica para situarlo donde ha de estar. Esperamos que así sea, por la parte que nos toca.
*___Feliz 2013___*


Autor: Daniel Fernández - CISM, CISA, CISSP, ISO27001 Lead Auditor, CHFI, CEI, OPST/A
Departamento Comercial