Falsas creencias: Un peligro para la seguridad...

Llevo mucho tiempo queriendo hacer un post hablando de las falsas creencias por parte de los usuarios de sistemas de información, e incluso por "profesionales" del sector. Y hoy, tras leer mi resumen semanal de vulnerabilidades en sistemas, me he dicho: "Es el momento de hacerlo".

En algunos de los foros profesionales en los que participo, siempre hay tarde o temprano una discusión sobre que es mejor: Windows, Mac Os, Linux, etc. Realmente, no se llega a tal grado de profundidad. La mayoría de la gente solo se queda en si es mejor Windows o Mac. En este sentido, hay respuestas para todo. Que quede bien claro, que por mi parte no soy defensor de los sistemas Windows. Me gusta mantenerme en una independencia tecnológica, ya que pienso que dependiendo de que quieras hacer, hay un sistema adecuado a tus necesidades.

En este tipo de debates, uno de los argumentos que utilizan los "Maqueros" para defender su ideología, es que los sistemas Mac Os son más seguros que Windows e incluso, son tan seguros que no necesitan antivirus. Sin llegar a leer lo que pongo más adelante, ¿creéis que esta afirmación es adecuada?

Los que opinan que "SI", deberían empezar a preocuparse. A efectos estadísticos, seguramente Windows tiene más incidencias de seguridad que Mac. A efectos estadísticos, Windows tiene más virus que Mac. Pero realmente, eso no significa que:

1. Mac no tenga incidentes de seguridad.
2. Mac no tenga virus/troyanos específicos para ellos.

Sin ir más lejos, hoy salía una actualización para los sistemas Mac Os X que soluciona, permítanme una licencia de mi tierra, "un porrón" de vulnerabilidades. Hago una copia de los servicios referidos:

10.47.6 CVE:
CVE-2010-3798,CVE-2010-3797,CVE-2010-3796,CVE-2010-3795,CVE-2010-3794,CVE-2010-3793,CVE-2010-3792,CVE-2010-3791,CVE-2010-3790,CVE-2010-3789,CVE-2010-3788,CVE-2010-3787,CVE-2010-3786,CVE-2010-3785,CVE-2010-3784,CVE-2010-3783,CVE-2010-1847,CVE-2010-1846,CVE-2010-1845,CVE-2010-1844,CVE-2010-1843,CVE-2010-1842,CVE-2010-1841,CVE-2010-1840,CVE-2010-1838,CVE-2010-1837,CVE-2010-1836,CVE-2010-1834,CVE-2010-1833,CVE-2010-1832,CVE-2010-1831,CVE-2010-1830,CVE-2010-1829,CVE-2010-1828,CVE-2010-1803,CVE-2010-1378
Platform: Cross Platform
Title: Apple Mac OS X  Multiple Security Issues
Description: Apple Mac OS X is exposed to multiple security issues
that have been addressed in Security Update 2010-007. The update
addresses new issues that affect the following: AFP Server, AppKit, ATS,
CFNetwork, CoreGraphics, Apple Type Service, CoreGraphics, CoreText,
Directory Service, Image Capture, ImageIO, Image RAW, Networking,
Kernel, OpenSSL, Password Server, Printing, QuickLook, QuickTime,
Safari RSS, Time Machine, and xar. 

Ni que decir tiene, que Apple se ha "apresurado" a publicar una actualización para solucionar estos problemas. Pero, a lo que íbamos, ¿realmente seguimos pensando que Mac es super-seguro? ¿No estaremos cayendo en un problema de desconocimiento?

Como les suele pasar a los responsables de sistemas de las empresas, el no conocer que nuestros sistemas tienen una vulnerabilidad o están siendo atacados, no significa que estemos seguro. Es el principio de la avestruz, que cuando ve un peligro esconde la cabeza para no verlo. Esto no hace que desaparezca.

Dicho esto, creo que deberíamos tener más en consideración que nuestro sistema, da igual que sea Windows, Mac Os, Linux, Solaris, etc. debe estar bien gestionado y debe tener las herramientas de seguridad mínimas que nos permitan acceder a Internet con cierta seguridad. Y digo cierta, porque la seguridad perfecta no existe. Ni en el mundo digital, ni en el mundo físico. Espero que estas afirmaciones no hagan que alguno no duerma de terror este fin de semana. ;-)

La botnet Koobface desconectada.

Desde mediados de 2008, la botnet Koobface empezaba su andadura en el mundo digital. Al menos, fue cuando se detectó. Esta botnet, al igual que otras, conseguía infectar ordenadores con la finalidad de seguir propagándose a los contactos que tuvise en Facebook o Google, y seguir obteniendo ordenadores zoombies. Con su operativa, ha conseguido tener millones de ordenadores zoombies y millones de dolares de beneficios. Estos beneficios eran producidos por la venta de falsos antivirus por Internet, así como cobro de tarifas por publicidad. En total, más de 2 millones de dolares generados. Eran tan minuciosos que recibían un SMS diario con los beneficios del día.

Pues bien, desde el pasado viernes varios investigadores de SecDev Group y la policía británica conseguían detener los servidores que controlaban la red de ordenadores zoombies. Parece ser que la acción combinada de expertos en seguridad, las fuerzas de seguridad del estado y los proveedores de servicios de Internet han conseguido dar el golpe definitivo a una de las botnets que si bien no era la mayor, si continuaba funcionando después de casi dos años. Esperemos que aprendamos de esta colaboración y consigamos entre todos, hacer de Internet un sitio más seguro en el que nos podamos mover sin tener que mirar por la retaguardia.

Innovación, adaptación o supervivencia.

Actualmente, la innovación parace ser el motor principal de la economía empresarial a nivel global. Las empresas deben dedicar su tiempo no solamente a generar nuevos ingresos aumentando las ventas, sino a innovar en sus procesos para así mejorar la eficiencia de estos y/o ser diferenciadores de la competencia. El concepto de innovación, que parece algo nuevo, es un termino utilizado en gestión empresarial desde hace muchas décadas, por no decir siglos. Pero, ¿qué encierra realmente esta palabra?¿estamos preparados para innovar?

Al igual que en los años 60 con el movimiento hippy, la innovación debe ser una filosofía de vida. Una filosofía que debe empapar cada estrato de las organizaciones empresariales, porque nunca se sabe donde va a  nacer la idea innovadora. Al fin y al cabo, la innovación no es más que eso, una idea "rompedora" para el entorno donde se produce, que viene a mejorar en mayor o menor medida la competitividad. Algunas de estas ideas nacen de un análisis del entorno, donde la empresa intenta adaptarse a los nuevos conceptos, herramientas y tecnologías existentes. En este sentido, la utilización de redes sociales, Internet o simplemente el teléfono móvil, ha sido una innovación para muchas empresas para adaptarse a los cambios socio-culturales-tecnológicos.

Pero realmente, ¿son esas las ideas innovadoras que hace falta?. Desde mi punto de vista, ese tipo de innovación es un mero proceso natural de adaptación o supervivencia a un entorno cambiante, en el que ,cual barco en mitad del mar, se va orientando el rumbo de acuerdo a como vengan las olas. La importancia de lo que encierra la palabra innovación, es lo que realmente hace que una empresa sea puntera en su campo, y eso es la investigación. A nivel empresaríal no deberíamos conformarnos con adaptarnos y sobrevivir en este mar cambiante con olas de mayor o menor tamaño, debemos ser los generadores de olas que marquen el ritmo del mercado.

Esta tarea de investigación, no es solo propiedad de las grandes empresas. La Pyme, dentro de su ámbito, tiene un papel fundamental en el proceso de investigación, y aunque es un proceso no siempre generador de beneficios, el resultado suele dar buenos frutos a la larga. Si echamos un vistazo a los mercados de Estados Unidos, allí la inversión en investigación es una de las base primordiales de muchas empresas. Se patrocinan 6 de cada 10 proyectos de investigación, de los que quizás solo 1 o 2 acaban siendo rentables. A pesar del pequeño porcentaje de éxito, sus olas mueven gran parte del mercado.

"Innovar" es el futuro, siempre lo ha sido, y siempre lo será. Nuestras empresas se deben desmarcar del resto y cuando antes lo hagan, antes obtendremos los beneficios de posicionarnos con antipicación. Pero, ¿estamos preparados para dar el cambio a este reto?