"No te preguntes lo que puede hacer la seguridad por ti…. Pregúntate que puedes hacer tú por la seguridad", JFK (Juan Franco Kientehavistoykienteve, un tío mío)
Con la llegada de nuestro compañero Sebastián, me he vuelto a acercar a la parte de seguridad en este mundillo de las IT. Hacía mucho tiempo que no la tocaba, y la verdad, estaba un pelín descolgado. Ha sido Sebastián el que me invitó a ir con él a unas ponencias gratuitas llamadas X1redmassegura, a las que por cierto os recomiendo a todos que vayáis, porque me parecieron interesantísimas, y lo más importante es que son para todos los públicos (de verdad, id!). Bueno, el caso es que me llamó la atención una de las ponencias de un tal Chema Alonso, que seguro que algunos conoceréis. Para los que no le conocéis, es una de las figuras más importante en cuestión de seguridad en este país, o por lo menos una de las más representativas (personalmente, me parece un buen vendedor, pero eso es harina de otro costal).
Este señor dio una ponencia (vendiendo una herramienta suya, esto fue lo que no me gustó) super, super interesantísima, hablando, como no podía ser de otra manera, de la seguridad de Internet. Su herramienta se basa en el hecho de que ¿para qué quiero contraseñas, si pueden hacerme un MitM (man in the midle)? Para los que no queráis ir a la fuente, ¿os acordáis de la peli en la que Ethan Hunt se disfraza de no sé qué profesor para intentar robar el secreto del veneno que han robado? Pues bien, algo parecido es un MitM: yo me pongo entre la víctima y el destino de ésta, e interactúo con ambos; a la víctima le hago ver lo que ella espera (una página de un banco, una página de una tienda, etc.), y por otro el lado, si soy bueno, hago la transacción con el banco o la tienda de modo que la victima no se dé cuenta. Pero aquí está lo importante, a partir de ese momento suplanto a la victima, y el banco (o la tienda) se creerá que soy la víctima y hago lo que quiera con su cuenta. En relación con esto, podría hablaros de cosas como los hash, o los JASP que ya saben de sobra cómo "saltarse" estas cosas, pero os aburriría. Así que vamos al grano: ¿qué queremos securizar?
Ya, ahora todos pensáis como yo en su momento, pueeeeeeeeeeeees:
- La cuenta del banco;
- La tarjeta de credito;
- Mi cuenta de correo (mi hosting, Gmail, Outlook, Yahoo…);
- Mi cuenta de mi almacenamiento en la nube (Skydrive, Amazon, Google…);
- Mmmmm, a veeeer, a veeeer, ¿qué más?… Ah, si!! Mi cuenta de Facebook / Twiter / Instagram…
Bueeeno, yo creo que con esto estoy como Pepe Reina: "me siento segurooooooooooo…"
Ya, aquí lucharemos con todas nuestras fuerzas, y pondremos contraseñas del tipo Usuario.1000 o PaYoPa2005 (PabloYolandaPabloAñoNacimiento), Mayo.2014… en fin, como diría aquel: "pa queeee!!!", si llega un JASP, coge el hash que se ha generado con el cifrado de la junta de la trocola mezclado con el Condensador de Fluzo y es capaz de usarlo sin mi permiso. En fin, para esto quizás invitaremos a nuestro amigo Sebas, a ver si algún día nos da unos consejillos de cómo hacer las passwords más seguras. Yo, siguiendo el hilo argumental de Chema Alonso, no voy al cómo defiendo, sino a la equivocación de qué es lo que tengo que defender.
Podemos cambiar el DNI, nos pueden robar la pasta del banco, la cuenta de Facebook o incluso borrar tooooodas nuestras fotos que con tanto cariño hemos ido recopilando… ¡¡¡CANASTOS 😉 QUÉ PÉRDIDA!!! (hackean Ebay, hackean Orange, hackean iCloud, hackean el twitter del FCB, etc.)
Ya, peroooo…
¿Cuantos de vosotros podéis cambiar de huella si os la roban y la usan para otras cosas?
¿Cuantos de vosotros podéis cambiar de piso?
¿Y de grupo sanguíneo?
¿Y dejar de ser diabéticos / miopes / lo que sea…?
¡¡¡¡LEEEEEECHEEEEEEESSSS!!!! ¡Estamos buenos!!! Pues la verdad es que si las cosas evolucionan tal y como lo hacen, y si somos tan permisivos con el trato de nuestra identidad, ¡¡¡SÍ!!!.
Sólo os quiero trasladar los consejos que daban en las ponencias, en el 100% de las mismas, aconsejaron SENTIDO COMÚN. ¿Qué quiere decir esto? Lo explico porque es un término bastante poco usado últimamente…
Desconfía: No des datos que no son necesarios a quien no tienes que dárselos. No porque esa persona vaya a utilizarlos de mala manera, NO!!! sino porque igual no tiene los medios suficientes como para poder "defender" esa información de una manera un poco más dura, y así, de esa manera, desviar la atención de los atacantes a otros sitios más fáciles. ¿Para qué necesitas dar tu dirección postal cuando te suscribes en un foro para preguntar por el procedimiento de desmontaje de la resistencia de la lavadora?
No des tus contraseñas: Síííí lo sééé, un poquito más arriba os he dicho que las contraseñas no valen de mucho, ya, pero vosotros ¿les dejáis las llaves de casa a todo el que os las pide? No, ¿verdad? El que os quiera robar, que se lo curre.
Sé tú mismo: Si cuando vas de viaje a New York, vas al Bronx de excursión, ¿a que no te bajas con la cámara EOS 1d y hablando con tu Samsung Galaxy S5? Entonces, ¿por qué te metes en sitios que no te inspiran confianza en la red?
Ya, porque este ordenador lo tengo para estas cosas, ver pelis y la distinta purrela que es mala y que no quiero mencionar más explícitamente porque esto lo lee gente muy joven… Chicos, no os engañéis, como diríais vosotros, esto es CROSS, no porque hagáis el chico malo en el ordenador de curro os vais a salvar, porque hay un Pablo de turno que lo arregla. No. Vuestra cuenta de correo de Gmail (o del banco, o del sitio "calentito") es la misma en el ordenador del trabajo que en el de casa o en el móvil. Hay herramientas que nos ayudan a securizar y protegernos más en Internet, pero si vosotros no sois coherentes, no eludiréis gran parte de estos problemas.
Bueno no me enrollo / os sermoneo más. Espero que os haya hecho pensar en que vuestra IDENTIDAD es el bien más preciado en el mundo digital, y el hecho de ceder alguna parcela de mi identidad implica que por el mismo proceso que nos protege de que nuestro dato en la nube está duplicado, triplicado, nplicado para que no se pierda, y que el que lo administra no tiene ni idea de donde está (precisamente para protegernos), eso hace que el cachito de identidad estará ahí Dios sabe cuanto tiempo (para muestra un botón. OJO!!! Puede herir sensibilidades: video Olvido Hormigos), y que algún día, algún elemento puede llegar a ese dato e intentar aprovecharse de él. Es como los coches: en manos de algún loco puede ser una máquina infernal, sin embargo, nos han permitido evolucionar muchísimo. Pues Internet es igual: tiene muchas bondades, pero no hay que hacer el loco.