A día de hoy, más de un año después, el estado sigue siendo parecido. La verdad que algo parece que hemos mejorado pero muy poco, y es que esta es la situación a día de hoy:

• Facebook: Por fin implementaron el protocolo https, algo tan sencillo como poner un certificado en un Apache y hacerle correr en el puerto 443. El problema es que la opción de utilizar https no viene por defecto, sino que es el propio usuario el que se la tiene que configurar. Esto se lo recomiendo a todo el mundo, a no ser que os guste que otras personas que compartan vuestra conexión puedan leer todo lo que estéis haciendo en Facebook.
• Tuenti: Seguimos igual. No se puede navegar de forma segura, por lo que si alguien lo desea, nos podrá leer todo… Lamentable que una empresa como Tuenti, se dedique a invertir en nuevos productos, desarrollar juegos, ofrecerse como operadora móvil… y no dedique un simple esfuerzo en ofrecer un protocolo seguro de navegación.

Veremos si para el próximo año han cambiado las cosas, sobre todo después de la promesa de Anonymous de destruir Facebook el próximo 5 de noviembre.

Artículos relacionados:

• 1 de julio, 2010 -- Tuenti y Facebook con https
• 22 de noviembre, 2008 -- El peligro de las redes sociales
• 11 de noviembre, 2009 -- Protección de Datos e Intimidad de las personas en Internet
• 14 de enero, 2009 -- Variables en tuenti.com

Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.

Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.

Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.

Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.

No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.

No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.

No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Fuente: DiarioTi

Artículos relacionados:

• 28 de enero, 2010 -- El ciclo PDCA como sistema de gestión de la seguridad
• 12 de mayo, 2009 -- Servidor Hackeado
• 13 de marzo, 2009 -- Máster Seguridad Informática: Comienzo del segundo semestre
• 9 de abril, 2010 -- Foro para comentar el Mundial 2010
• 27 de enero, 2010 -- Campañas de prevención de accidentes de tráfico
• 10 de diciembre, 2009 -- Cómo compartir archivos con una VPN y SAMBA
• 30 de septiembre, 2009 -- Diario de Barcelona hackeado… o es una promoción???
• 4 de julio, 2009 -- Cómo localizar una dirección IP

Por ello, tanto desde Facebook, como desde Tuenti, siempre se esfuerzan en dar la sensación a los usuarios de ser sitios totalmente seguros, en los que la privacidad está totalmente controlada, y cada uno decide qué tiene y qué deja de tener. Pero a día de hoy yo sigo teniendo una gran inquietud, que me gustaría trasladar a los desarrolladores y/o encargados de la seguridad de estas plataformas: Ni Facebook, ni Tuenti funcionan con HTTPS. Cualquiera nos puede leer todo lo que tenemos en nuestro perfil.

Por supuesto, no hay forma de contactar (o yo no la he encontrado) con ellos para hacerles sugerencias. Señores, que no se puede acceder a estas redes sociales más que por HTTP. ¿Y qué quiere decir esto? Pues sin entrar en muchos tecnicismos, se reduce a que alguien que coloque un programa para interceptar las comunicaciones (tipo wireshark), puede ver todo lo que tenemos en nuestro Facebook/Tuenti, leer el último comentario que pongamos, leer un mensaje privado que mandemos…

Entonces… pregunta para los encargados de Facebook y Tuenti: ¿dónde está la seguridad y privacidad que predicáis, si resulta que cualquiera en un ciber-cafe, una zona de wifi-gratis, o el router hackeado de nuestra casa, nos puede estar leyendo todo lo que estamos haciendo, porque no podemos navegar por HTTPS?

Os invito a hacer la prueba de entrar en las dos direcciones siguientes:

• https://www.tuenti.com
• https://www.facebook.com

y veréis lo que sucede. Tuenti ni si quiera te deja. Facebook parece que te va a dejar, pero en cuanto haces el login, desaparece la ‘s’ y pasamos a navegar por HTTP. Así que mientras no hagan estos señores lo que tienen que hacer, mucho cuidado en dónde entramos a nuestro Facebook y Tuenti, porque nos pueden estar leyendo absolutamente todo…

Artículos relacionados:

• 17 de agosto, 2011 -- Tuenti y Facebook con https (2ª parte)
• 22 de noviembre, 2008 -- El peligro de las redes sociales
• 11 de noviembre, 2009 -- Protección de Datos e Intimidad de las personas en Internet
• 17 de marzo, 2009 -- Conflictos de licencias en fotos publicadas en Tuenti
• 24 de noviembre, 2009 -- Google Analytics y la privacidad
• 14 de enero, 2009 -- Variables en tuenti.com

El ciclo PDCA es una estrategia que siguiéndola nos proporciona una continúa mejora de la calidad, puesto que es un sistema retroalimentado y que se tiene que repetir y repetir durante toda nuestra vida, porque siempre hay algo para mejorar y algo de lo que aprender. Y esto se resume muy bonito y muy claro en la siguiente imagen (obtenida de wikipedia.org):

Y su explicación es muy sencilla:

• Plan: Planificar. Establecer los objetivos y procesos necesarios para obtener los resultados de acuerdo con el resultado esperado.
• Do: Hacer. Implementar los nuevos procesos. Si es posible, en una pequeña escala, que ya tendremos tiempo de abarcar más.
• Check: Verificar. Pasado un periodo de tiempo previsto de antemano (en la planificación), volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esperada. Documentar las conclusiones.
• Act: Actuar. Modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales, si fuese necesario. Aplicar nuevas mejoras, si se han detectado errores en el paso anterior. Documentar el proceso.

Y como es un sistema circular, una vez que hemos terminado el primer ciclo, volveríamos a comenzar planificando, haciendo, verificando….
Como veis los informáticos no somos tan raros, porque al fin y al cabo este sistema nos vale perfectamente para nuestra vida diaria, para resolver otros problemas, que pueden ser bastante más complejos que los de la seguridad informática.

Artículos relacionados:

• 16 de junio, 2011 -- El decálogo de la seguridad informática
• 9 de abril, 2010 -- Foro para comentar el Mundial 2010
• 27 de enero, 2010 -- Campañas de prevención de accidentes de tráfico
• 10 de diciembre, 2009 -- Cómo compartir archivos con una VPN y SAMBA
• 30 de septiembre, 2009 -- Diario de Barcelona hackeado… o es una promoción???
• 4 de julio, 2009 -- Cómo localizar una dirección IP
• 19 de junio, 2009 -- Proyecto: sistema de teletrabajo
• 16 de junio, 2009 -- El tiempo disponible, es inversamente proporcional al tiempo necesitado

Hoy vengo a poneros un vídeo que agrupa en uno unos cuántos de esos vídeos, recopilando las campañas más duras con una música que no deja indiferente. No se si realmente esto tendrá el efecto que pretenden, pero a mi la verdad que me ha puesto los pelos de punta.

Artículos relacionados:

• 16 de junio, 2011 -- El decálogo de la seguridad informática
• 28 de enero, 2010 -- El ciclo PDCA como sistema de gestión de la seguridad
• 10 de diciembre, 2009 -- Cómo compartir archivos con una VPN y SAMBA
• 22 de julio, 2009 -- El ballet no es cosa de gays
• 6 de noviembre, 2008 -- Seguridad Informática doméstica

Poniendo un ejemplo tonto, si alguien con la IP XXX.XXX.XXX.XXX llega a nuestra página buscando “aspirinas” podemos pensar que le duele la cabeza, y si llega buscando “ansiolíticos” que tiene depresiones. Por tanto podríamos decir que mediante Google Analytics estamos reconstruyendo la intimidad y/o privacidad de las personas

Obviamente esto es mucho más complejo que estos dos párrafos, pero… me parece que en España en materia de Internet y legalidad estamos todavía muy verdes como para poder dar respuestas desde éste punto de vista a este tipo de problemas. ¿Es así o me equivoco?

Artículos relacionados:

• 1 de julio, 2010 -- Tuenti y Facebook con https
• 11 de noviembre, 2009 -- Protección de Datos e Intimidad de las personas en Internet
• 31 de octubre, 2008 -- Promoción de mi blog con el tuenti (2ª parte)
• 11 de octubre, 2008 -- Un mes despues MSN sigue sin enterarse

Intimidad: Es la que protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona en el domicilio donde realiza su vida cotidiana, y por ejemplo, las comunicaciones en las que e expresa sus sentimientos.

Privacidad: Constituye un conjunto más amplio, más global que la intimidad, de facetas de la personalidad de una persona, que por separado no significan nada, pero que juntándolas todas nos pueden dar un retrato fiel de la personalidad del individuo.

Derecho al anonimato: Se trata del derecho a poder “navegar” por Internet sin ser reconocido ni rastreado.

Artículo 18.1 de la Constitución: Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Artículo 18.4 de la Constitución: La ley limitará e luso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de su derechos.

Derecho fundamental a la protección de datos: persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derechos del afectado.

Realmente estamos exponiendo todos nuestros datos que deberíamos considerarlos como privados e íntimos en nuestro perfil de Tuenti, Facebook o cualquier otra red social, de forma que prácticamente cualquiera puede saber muchísimo sobre nosotros. ¿Es realmente esto lo que queremos? ¿Somos conscientes cuando escribimos en una red social de que estamos aportando datos que quizá luego nos arrepintamos?

De verdad que este es un tema muy serio, y bien es cierto que lo he tratado con cierta ligereza, pero se merece un poco más de profundidad. Quizá otro día lo plantee de otra forma, quizá orientado sobre todo a esos padres que tienen hijos de 12-18 años y que no saben que están aireando toda su vida privada en una red social.

Es preocupante, quizá también sea alarmante.

Artículos relacionados:

• 22 de noviembre, 2008 -- El peligro de las redes sociales
• 1 de julio, 2010 -- Tuenti y Facebook con https
• 17 de marzo, 2009 -- Conflictos de licencias en fotos publicadas en Tuenti
• 17 de agosto, 2011 -- Tuenti y Facebook con https (2ª parte)
• 24 de noviembre, 2009 -- Google Analytics y la privacidad
• 25 de febrero, 2009 -- El derecho a la intimidad en informaciones personales hospitalarias

Alojamiento Linux con php y mysql

Si quieres alojar un blog, una web, un proyecto que necesite hosting, varias páginas para alojar; o si quieres llegar más allá y convertirte en un revendedor de hosting puedes contactar conmigo por mail, o poner un comentario en este post y yo contacto contigo.

¿Los precios? Pues totalmente ajustados a las necesidades de cada persona. Como bien saben las personas que han confiado en mi, no tengo páginas alojadas en mi servidor para ganar dinero, sino para subvencionarlo y poder tener un buen servidor para mis proyectos a un menor coste. El soporte técnico corre a mi cargo, y ofrezco atención casi inmediata por mail y messenger.

Pues lo dicho si estás interesado…ya estás tardando en contactarme!!!

Artículos relacionados:

• 21 de febrero, 2011 -- Un buen hosting a un buen precio
• 7 de febrero, 2009 -- Problemas con el servidor
• 9 de diciembre, 2008 -- Alojamiento web personalizado en mi VPS
• 13 de abril, 2009 -- Servidor con Windows Server 2003 o Servidor con Linux
• 18 de febrero, 2009 -- Control de memoria RAM consumida por Apache en servidor web
• 16 de mayo, 2011 -- Habilitar reinicio de las X en Ubuntu 11.04
• 8 de octubre, 2009 -- Lo que tengo en la cabeza, cumple 1 año
• 12 de mayo, 2009 -- Servidor Hackeado

No, no es lo que parece. Este blog no se va a convertir en un blog pornográfico, ni erótico ni nada por el estilo. Pero es que desde hace unos días caí por casualidad en el diario de Barcelona buscando una noticia. Mi sorpresa fue que al entrar me encontre con fotografías de contenido erótico en la portada. Unos días después resulta que en el blog de Chema Alonso leí un comentario de que posiblemente lo habían hackeado.

Hoy vuelvo a la página para ver si lo habían solucionado y me encuentro este par de portadas:

Cuando ya empiezo a pensar que esto deja de ser un fallo de seguridad del periódico, he empezado a pensar que se trataba de una campaña de publicidad, o forma de promocionar el periódico. Para comprobarlo he buscado y en los comentarios del post de el informático en el lado del mal, está la respuesta: es una forma de promocionarlo y hay más periódicos de esta misma cadena que están siguiendo la misma técnica. Ejemplos de ello son http://www.diariodetorremolinos.com/ y http://www.diariomarbella.es/.

Al final no sé a dónde vamos a llegar con esto de la publicidad y las promociones, pero según dicen, estos periódicos han visto notablemente incrementadas el número de visitas…masculinas, supongo. ¿Qué os parece esta nueva forma de promoción? ¿Qué opinión os merece un periódico que para atraer a las visitas tiene que recurrir a contenidos eróticos?

Artículos relacionados:

• 16 de junio, 2011 -- El decálogo de la seguridad informática
• 9 de abril, 2010 -- Foro para comentar el Mundial 2010
• 28 de enero, 2010 -- El ciclo PDCA como sistema de gestión de la seguridad
• 8 de octubre, 2009 -- Lo que tengo en la cabeza, cumple 1 año
• 4 de julio, 2009 -- Cómo localizar una dirección IP
• 19 de junio, 2009 -- Proyecto: sistema de teletrabajo
• 16 de junio, 2009 -- El tiempo disponible, es inversamente proporcional al tiempo necesitado
• 26 de mayo, 2009 -- Fuera de juego hasta el domingo

Como los de RTVE son muy suyos y no quieren compartir contenidos, no permiten insertar aquí el vídeo directamente, así que os pongo el enlace.

http://www.rtve.es/mediateca/videos/20090906/control-antidroga/580041.shtml

¿Qué os parece que programas de este tipo, que son vistos por personas de todo el país, muestren unas imágenes tan poco habituales (es la primera vez que realizan un control antidroga), y que desde luego no reflejan la realidad de las fiestas patronales de Peralta?

ACTUALIZACIÓN 15 de septiembre: El vídeo ha sido retirado de RTVE. Desconozco si se ha retirado porque únicamente los almacenan 1 semana, o porque han solicitado que se retire. En cualquier caso, si alguien tiene el vídeo en youtube o similar, le pido que me pase el enlace para que todos podamos verlo y opinar, ya que estaba recibiendo muchas visitas.

Artículos relacionados:

• 14 de febrero, 2010 -- Carnaval Funes: Control antidroga desmedido
• 8 de junio, 2009 -- Control de velocidad en vias secundarias…