lunes, 15 de junio de 2015

#3_X1RedMasSegura_20150523

Sábado, 23 de mayo, temprano… ¿qué puedo hacer hoy mejor que ir a escuchar a los mejores? ¡Era una pregunta retórica! Desayuno a eso de las siete de la mañana y a toda pastilla al metro, que estos “hackers” no esperan; son tremendamente puntuales, cual script… Y con ellos no se juega… ¿o sí? ¿Apostamos?
Lo hace: apuesta y gana (me adelanto a daros el resultado) Marc Vidal, de la Fundación Codere (muy chulas las camisetas ;) ) con su presentación

El juego online: ¡hagan sus apuestas!


Y nos contó cómo ha evolucionado el juego en España desde que se aprobó la Ley que lo regula y protege a los usuarios frente a posibles abusos de jugadores malintencionados o de administradores de “moral distraída”. Enganchó. O, al menos a mí.

De entrada parecía una presentación metida con calzador, por eso del patrocinio y demás; y no me ruborizo -aunque igual debería- al reconocer que estaba confundido de principio a fin. Nos explicó las garantías que ofrecen los sitios legales de juego online (En España sólo hay autorizados cinco: póker, apuestas, bingo, casino y concursos, y todos alojados en dominios “.es”), los mecanismos de control de registro de usuarios, de control del juego en sí… Todo un mundo desconocido para los que éramos público en general. Y a mí lo que más me gustó, con lo que me quedé, fueron dos cosas:
  • el juego online se ha empleado para lavar mucho dinero negro. Y nos explicó cómo se conchaban dos o más personas para jugar en la misma partida y “perder” dinero de forma controlada: ya lo están lavando, porque el que “gana” lo hace de forma legal, y el dinero pasa a ser blanquito, blanquito… Acojonante, sin paliativos. Y no se acepta el bitcoin (supongo que de momento) por la volatilidad que presenta (eso no deben saberlo los del CryptoLocker)

  • NO ES UNA FORMA DE HACERSE RICO. Así de claro lo dijo. Se juega por la emoción del juego en si, no como fin para ganar dinero. Supongo -pensamiento mío- que como tal juego las probabilidades están más que estudiadas y siempre gana la casa.

Y ya que estamos en una “con” de seguridad, nos dejó la guinda: el punto más débil es el momento en que el usuario se registra; es el momento en que debemos tener los seis sentidos en modo “full”...

¡Sí! El sexto sentido no es una peli sino ¡el sentido común!

Nos dejó que casi daban ganas de fundirse unos euros para tener la experiencia; pero igual lo dejo para otro “mañana Windows”, que hoy tengo que seguir con la siguiente ponencia… no, así no; mejor así: PONENCIA, en letras grandúsculas, la de Valentin Martin (@valenmarman) con

Tu navegador, la principal fuente de seguridad de tu ordenador


Charla que comienza exponiéndonos que Internet Explorer es, tras comparativas realizadas, el navegador más lento de los más usados; así, sin anestesia ni paños calientes… Claro que ya lo suponíamos.

Luego nos cuenta algo de cajón pero que, como todo lo simple, tendemos a obviar y olvidar: que el navegador es la puerta de entrada a Internet, lo que significa la puerta de entrada a nuestros equipos.

Consejo #1: ¡Actualiza tu navegador ya!

Después de tener el navegador actualizado lo que toca es instalar complementos para hacer la navegación más segura ¡y un poco más lenta! Pero compensa: vale más perder un minuto en una búsqueda que el contenido del PC/dispositivo en un minuto…

Así de convincente y de convencidos, nos contó qué complementos son los que el tiene instalados en sus navegadores:

  • WOT complemento que comprueba la reputación de la página web que pedimos al navegador que nos abra. Basado en la reputación que dan los usuarios a las distintas páginas web. Peeero, ojo: si una página no tiene votos suficientes no nos la dará por confiable, lo que es muy distinto a que no sea de fiar. Como siempre, la última palabra la tiene el sentido común.

  • HTTPS Everywhere complemento que forzará a usar el protocolo seguro https en todas aquellas páginas que nos lo permitan, con lo que las comunicaciones viajarán encriptadas, dificultando que nos chafardeen lo que enviamos y recibimos. ¡Ojo! que sigue siendo posible, pero vamos poniendo cuantos impedimentos podemos a los “malotes”

  • GHOSTERY complemento que permite “ver” las partes invisibles de una página web, en las que suelen colarnos aplicaciones que nos espían, infectan… Además informa de los rastreadores de nuestra info cuando visitamos páginas web.

  • AdBlock Plus que como su nombre indica permite que naveguemos por la red sin que se nos muestre publicidad molesta. Para comprobar su funcionamiento yo os sugiero visitar la página de softonic primero sin y luego con el complemento instalado. ¿A que hay diferencia? Yo aquí, y con el permiso de Valentín, rompo una lanza a favor de UBlock que es otro complemento para el navegador que bloquea la publicidad molesta en la navegación web, y parece ser que es más liviano. ¡Ojo! No he hecho pruebas “serias” de rendimiento, pero es el que yo estoy usando en la actualidad.

  • NoScript ( el último complemento “must have” que nos recomendó Valentín. Este se encarga de bloquear los scripts (código ejecutable) que se pueden ejecutar en el navegador sin nuestro conocimiento ni consentimiento previo (por ejemplo, nos prevenimos un poco respecto al malvertising). Como pista, la distribución Kali Linux, entre otras, trae este complemento "de serie" en el navegador Mozilla Firefox.

  • Además, y de cosecha propia -ya que estamos en la página de la OSI- nos podemos instalar el plugin antiBotnet, así nos cercioramos de que la red desde la que nos estamos conectando en ese momento no está en una lista de redes de ordenadores zombies, ordenadores controlados por los “malos” sin que lo sepamos nosotros.
Como colofón, y para no dejar sin comentar a los otros dos navegadores por excelencia, Valentín nos dijo que:

  • Chrome es el navegador más rápido, y que

  • Mozilla Firefox es el más seguro.

Ahora, tome cada cual sus decisiones; para lo cual no hay nada como formarse en Ciberseguridad, tema de la siguiente charla, por parte de Víctor Villagra.

Formación en ciberseguridad: una necesidad inmediata


Que basó en tres “patas”, la primera de las cuales es la de la necesidad de concienciación a los niños, algo que -yo no comparto, vaya por delante- no puede dejarse a la gente que va por colegios dando charlas, que eso no es “profesional”. Insisto: me gustó poco ese comentario; creo que los ponentes del #PlanDirector hacen un trabajo excelente, profesional y dedicado. Cierto que no llegamos a niveles de “master”, pero todo árbol parte de una pequeña semilla…

Pero vuelvo a la charla. Tras exponer la necesidad de concienciación y la profesionalización de la labor, enmarcada en la Estrategia de Seguridad Nacional - ámbito Ciberseguridad, y la estrategia de Ciberseguridad, pasó a hablar de la formación basada en el Esquema Nacional de Seguridad (implantación de políticas de seguridad y resto de medidas contempladas en la normativa). Y terminó con la certificación de los profesionales, la tercera pata. Aquí hizo unos comentarios respecto a las diferencias en el currículo de los alumnos de Educación Secundaria de la LOMCE y la anterior Ley de educación. Entre el batiburrillo de notas que fui tomando sólo me queda legible que en la nueva educación secundaria habrá algo de formación en ciberseguridad para los alumnos que elijan la asignatura de Valores Éticos en lugar de la de Religión; y que en el Bachillerato Tecnológico se podrá elegir la optativa TIC. Todo esto, insisto, está en un lío de letras y líneas que no me permite afirmar nada de lo expuesto con la seguridad que me gustaría; pero es lo que tengo y lo comparto.

Y terminó dando la solución: esa formación se tendría que impartir en el ámbito de un Máster Propio de la Universidad (por un tema de docentes y titulaciones…) a cargo de profesores universitarios y profesionales del sector. Y quedaron en el aire las preguntas de:

¿cuáles serían las certificaciones más básicas de competencia en seguridad?

¿habría un carnet de navegador seguro?
Preguntas del millón cuyas respuestas son necesarias y urgen, visto lo que nos contó después Jesús María González, de Stackoverflow y MundoHackerTV, sobre lo que les espera a nuestros niños "ahí fuera"...

Ataques a la privacidad de los menores en Internet


Otro “monstruo” que nos hizo disfrutar con su saber. Y comenzó explicándonos qué técnicas usan los malos para atacar a los menores, la repercusión que esos ataques tienen en los menores y qué tipos de ¿personas? realizan esos ataques.

Las técnicas: las RRSS, que comparten víctima y ciberdelincuente; las redes WiFi abiertas (open, gratuitas, sin claves de acceso); y los troyanos: malware que distribuyen vía P2P en aplicaciones “golosas” para los niños (juegos, vídeos…)

Las repercusiones: psicológicas, con lo que todo ello conlleva.

Los tipos de ¿personas? que lo hacen: Dos. Una, los enfermos mentales para consumo propio; dos, los cibecriminales, que comercializan con los contenidos sin consumirlos.

Continuó hablándonos de las redes sociales y su peligro: todo el mundo las usa, sin control alguno. Y los malos tienen muy fácil el robar las credenciales de acceso a los niños (y a los no tan niños) mediante técnicas como el phising, los falsos puntos de acceso (fake AP) o WiFi abiertas… Y de las redes sociales nos contó las que hay o, al menos, las que más usan nuestros niños; y es Instagram la que a fecha de hoy está llevándose la palma.

La tercera diapo nos metió muchas cosas dentro de casa: hablaba de los troyanos… ¿su finalidad? Espiarnos. Y ¿cómo nos meten el bicho en casa? Pues con métodos que captan la atención de los niños, fundamentalmente con el pack juego+troyano: se instala el juego y ya está infectado el equipo. Pero a los mayores nos la “juegan” con las “keygen” para las aplicaciones (esas que nos son imprescindibles, cuestan una pasta y por las que no estamos dispuestos a pagar)... Pero también pueden venir con “bonus” los vídeos, fotos, películas, que a su vez permiten un cierto control de edad de las víctimas.

Y todo esto en la superficie, que cuando empezó a hablar, ya en la cuarta diapo, de la Deep Web… Esa desconocida hace unos pocos años y que tanto interés despierta en los menores por ese aire de misticismo y contenidos “no catalogados” que la rodea.

Pero tras la tempestad, la calma; tras la enfermedad, el remedio, tanto preventivo como de tratamiento. Que termina siendo lo de siempre:

  • antivirus
  • control parental
  • sentido común (¡!)
  • desconectar la WiFi al salir de casa
  • denunciar

Total nada… Y con eso terminó… aunque no del todo. Nos dejó con el gusanillo de la demostración práctica de cómo instalar el troyano Apocalypse (RAT) en una aplicación vía un “joiner”, lo que generaría un ejecutable que instalaría simultáneamente la aplicación y el bicho. Curiosa, muy curiosa la cosa de Internet… ¿o es el Internet de las cosas? Mejor preguntamos a Lorenzo Martínez (@lawwait) de Security by Default qué es eso…

El Internet de las cosas o las cosas del Internet


¿O es de la Internet? Si se trata de la “red de redes”, para mí que soy de la EGB, es la Internet, si bien se me escapa más a menudo “el Internet”. Lo aclararemos en la próxima #X1RedMasSegura (son deberes, @_Angelucho_)

Lo que no dejó Lorenzo pendiente de aclarar es que Internet (la o el, tanto monta monta tanto) tiene dos caras:

  • una cara “A”, que mola, que es la de la automatización que nos hace las cosas más fáciles para que todos nuestros cachivaches estén conectados

  • y una cara “B”, que tal vez no mole tanto…

Abrió un paréntesis antes de continuar (“Yo vengo a hablar de mis pecados…”) y siguió explicándonos cómo, gentilmente, cedemos absolutamente nuestra actividad digital a dos de los grandes de éste mundillo: Google (eso sí, gratis) y Apple (igual nos cuesta algún dinero).

Para que no dejemos de estar conectados, o al menos nuestros cachivaches, tenemos a don Bluetooth, las redes WiFi y, para no perder el hilo de la conversación, las conexiones 3G, 4G,... nG. No sea que nos vayamos a quedar de repente aislados en este mundo digital, con nuestra adicción a contarlo todo y a todos… Claro que en lugar de eso puede que en nuestro afán de estar al día hagamos el truco de magia de este vídeo con el que nos deleitó (y que pienso aprovechar en mis charlas del #PlanDirector - ¡Gracias Lorenzo!): https://www.youtube.com/watch?v=-YA8S2w5Q04

Espectacular al tiempo que escalofriante. ¿Servirá? Espero. Lo que sí sirvió para quitarnos ese regustillo raro que nos dejó el anterior vídeo fue el siguiente, el que resume para todo lo que sirve “el Internet”: https://www.youtube.com/watch?v=V2dOO2mb2jM

Risas entre los asistentes y dos consejos más que quedaron ahí:

  • “la curiosidad mató al gato”

  • ¡cuida la salud del PC, tableta, smartphone…!

Y hasta aquí llegó la mañana. Con risas, comentando las presentaciones y yo lamentándome de que el saber de estos “monstruos” no se transmita por ósmosis ni por refrotamiento (perdón, NFC), salimos a disfrutar de nuevo de las conchas de chocolate (había más productos, pero soy fiel) de @productoscodan y la conversación con gente de carne y hueso; que también tienen su identidad digital, pero eso se encargaría @silverhack de aclararnoslo… ¿o no?
Publicado por en
Etiquetas: , , , , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)