sep 06 2012

En vacaciones, cuidado con las autopistas… (de la información)

Esta entrada se ha publicado originalmente en el blog INTECO dentro de la campaña “verano seguro”, os recomiendo leer los últimos post publicados sobre el tema.

Por otro lado, como muchos ya sabréis, procuro hacerme eco tanto de recursos, como de cuestiones de seguridad en mi cuenta de Twitter y os recomiendo estar al tanto de lo que vamos publicando en Daboweb (también puedes seguirnos en Twitter).

Aprovecho la ocasión para comentaros que pronto habrá un nuevo episodio del podcast pasada esta época estival, mirad a modo de ejemplo Forat y su “Radial Rack” ;D.

En Verano, cuidado con las autopistas (de la información)

En tus vacaciones, presta atención al estado de esas autopistas por las que viajan nuestros datos y “teclea con seguridad”. También vigila por dónde navegas, no pierdas el rumbo ni las buenas costumbres necesarias para llegar a buen puerto y de ese modo, tener un viaje de vuelta sin sustos. Corren tiempos de una gran actividad en las diferentes redes sociales, también crece la necesidad de compartir tanto ubicaciones como fotografías o experiencias vividas en excursiones y viajes con nuestro círculo más cercano, esa combinación, unido a la “euforía estival”, puede hacer que nos conectemos “con lo que sea y desde donde sea” a Internet.

Ordenadores con dudosas medidas de seguridad implementadas y en ocasiones, con un registro de sitios web y datos de navegación visitados, como puede pasarte en un ciber o en el hall de un hotel. Son momentos donde se tiende a bajar la guardia y con tu conexión de datos cancelada temporalmente, o el “síndrome sin 3G”, esa red wi-fi de la que en condiciones normales dudarías, la ves más amigable y ahí pueden empezar tus problemas.

Recuerda que cualquier dato es susceptible de ser capturado si estás conectado a una red compartida (o no), medidas como utilizar siempre una capa de cifrado en tus conexiones (SSLTLS, SSH, SFTP, etc), usar el modo de “navegación privada” en tu navegador, unos passwords fuertes y que no sean los mismos en múltiples sitios, etc, te ayudarán a gozar de una privacidad mayor, pero de poco te servirán si ese equipo o conexión ya está comprometida por alguna botnet, troyano, keylogger o hay un sniffer almacenando trazas de red en esa wi-fi “envenenada”. Sí, aquello del sentido común, sigue siendo el mejor de los consejos a pesar de las reiteraciones.

Es muy habitual llegar a un equipo compartido y ver sesiones abiertas en el correo o sitio web de turno, también se incrementan las infecciones en dispositivos USB o tarjetas de memoria por ejemplo descargando fotografías y los ataques por ingeniería social van en aumento. Esa ausencia vacacional puede ser el momento ideal para intentar engañar al personal de tu empresa para conseguir información sensible de la misma, aprovechándose de algún dato que hayas podido publicar en un blog o la Red Social de turno. Es por ello que no está de más dejar marcadas unas directrices o pautas de actuación mientras estés en ese estado de desconexión que al final no lo es tanto (aquí volveríamos al primer párrafo).

Es importante que alguien de tu círculo de confianza si llevas adelante algún sitio web, o tu negocio se basa en Internet, pueda acceder a ese entorno caso que suceda algún problema o caída en el servicio. Del mismo modo, extrema las precauciones cuando regreses ya que es probable que a tu sistema o aplicaciones, le falten algún parche de seguridad publicado en tu ausencia. Abre con precaución los correos acumulados aún siendo legítimos y si usas alguna solución anti-malware,, asegúrate también de que sus firmas de detección estén al día antes de realizar cualquier operación con el equipo.

Para terminar no te olvides de los backups, que como las bicicletas, también son para el verano… Por lo que a disfrutar y “tengan cuidado ahí fuera” ;).

Tags: , , , , , , , ,


oct 04 2011

Sobre mi participación en la “Jornada de Seguridad Informática” de Area Tic

Category: Hacking | Redes,Mi Opinión,Seguridad Informaticadabo @ 10:10 am

Hace unos días, tuve la oportunidad de participar en la “Jornada de Seguridad Informáticaorganizada por “Area Tic” en Oviedo. Antes que nada, dar las gracias a los impulsores del evento y asistentes por invitarme a asistir y compartir experiencias junto a otros profesionales del sector (Garrigues Abogados, Cobertura Informática y el responsable de delitos telemáticos de la Guardia Civil de Oviedo). Vaya mi más cordial saludo desde aquí.

Mi ponencia tenía una duración de 20 minutos y hablé de (IN) Seguridad en la PYME. Me centré en algún caso vivido en primera persona como puede ser en este blog y el post sobre Gmail, Google Apps y Twitter, como un ejemplo de algo tan de moda como es la “reputación online” y cómo pueden llegar a afectar a empresas tan grandes ciertas opiniones y blogs tan pequeños dentro del “mundo blog” como es este.

También cité algún ejemplo vivido en primera persona bien con las labores de consultoría que llevo a cabo desde davidhernandez.es, o como parte del equipo de APACHEctl llevando el área de Hacking Etico. Hablé de cómo un sólo equipo en red, puede afectar a toda una infraestructura empresarial, convirtiéndola en parte de una botnet en base a una infección que bien podía haber sido evitable tanto por las medidas de protección instaladas (que no eran las adecuadas), como por parte de un empleado víctima de un engaño a través de la descarga de un fichero (visor de vídeo) malicioso. Aquí suscribiría mis palabras de no hace mucho tiempo, acerca del poco interés de las empresas en dotar a sus empleados de una cultura de la seguridad informática que vende menos que el “Social Media” o el Marketing de siempre.

Tuve tiempo para exponer un ejemplo de ataque por “ingeniería social” con el fin de conseguir el código de desbloqueo a un “Smartphone” supuestamente olvidado (haciéndome pasar por alguien de la oficina de objetos perdidos y aprovechando que el móvil tenía un logo corporativo visible aún con el bloqueo), sobre medidas de protección en ese tipo de dispositivos que hoy en día son como una extensión de nuestra oficina, además de otros como lápices de memoria, portátiles, etc.

Para acabar, recordé un caso no muy lejano hablando de auditorías de seguridad, en el que, por cuestiones de la LOPD, un sólo fichero que no estaba donde debía estar, podría comprometer a nivel legal (y cerrar llegado el caso) a una ya no pequeña, sino mediana o gran empresa. También de la LSSICE, etc.

Pero sobre todo, cada vez que vas a un evento de este tipo, te das cuenta de lo complejo que es para cualquier PYME cumplir las diferentes normativas vigentes y más cuando operan en entornos web, algo muy habitual hablando de “Comercio electrónico” y la gran cantidad de empresas que llevan su modelo de negocio a La Red o lo complementan desde una tienda virtual u otros sistemas.

Creo que existe un “vacio” entre la parte legal (diferentes normas ISO, LOPD, etc), técnica (Redes, soluciones anti-malware, software instalado, soporte) y en cómo realizar un plan de actuación “real” ante los diferentes escenarios hablando de seguridad a los que se enfrenta una PYME en la actualidad si nos referimos a la Gestión de la Seguridad de la Información (SGSI).

Y es que, además de intentar cumplir en este caso por ejemplo con la ISO/27001 (que puede servir para todas las series “27000”) por aquello de “conseguir la certificación”, habría que ir más allá del marco jurídico o de las propias certificaciones para pensar que una empresa que dote de buena formación a sus empleados, tendrá mucho más fácil intentar cumplir con toda la normativa vigente y certificarse de un modo más sólido, pero sobre todo, evitarse “sustos” y de los buenos en medio de esos procesos. De todos es sabido que el eslabón más débil en la cadena de la seguridad es el ser humano, cualquier fleco o cuestión sin pulir puede acarrear a esa empresa multas que según las cuantías, acabarían forzando un “cerrojazo” por no poder afrontarlas.

Creo que no es lo mismo que le digas a un empleado (que no está de más); “Ojo con no poner la opción con copia oculta cuando envías correos masivos que igual nos meten 3.000 € de multa“, a que le enseñes cómo tiene que hacer un uso racional de las nuevas tecnologías. No digamos en puestos como “Recursos Humanos”, donde se manejan datos potencialmente críticos si hablamos de la LOPD ¿de qué sirve realizar todos los pasos que dictamina la Agencia de Protección de Datos, si ese empleado no sabe por dónde tiene que navegar o no, que ficheros puede instalar en su equipo, o lo que supone “hacer click” en un enlace que secuestra su sesión de usuario vía un ataque de phishing?

El problema es que cada vez aprietan más a la PYME con normativas y leyes cuasi-imposibles de cumplir (también nos pasa a muchos blogs / webs) en momentos difíciles y se sobrecarga de trabajo a empleados que realizan otras tareas para implementar las correspondientes certificaciones, luego, el resto de la plantilla lo ve como el típico rollo que hay que cumplir “por que sí” y se puede dar el caso de que estén todos los procedimientos escritos, pero, o nadie sepa llegado el caso dónde están, o cómo aplicarlos con efectividad.

Si tienes todos “los deberes hechos” y luego tu extranet está alojada en un servidor potencialmente vulnerable, alguien con responsabilidad en la empresa se conecta a esa extranet desde conexiones que no son seguras o por la primera Wi-Fi que encuentra, el software no está debidamente actualizado, no se cifran los ficheros o datos más comprometedores, en las mesas de los despachos están desde contraseñas de usuario, fichas o datos de clientes al alcance de cualquiera, no se protegen los dispositivos móviles como se debería hacer y no se intentan “romper” mediante una auditoría todas las medidas puestas en marcha, las certificaciones no serán más que bonitos cuadros o estatuillas colocadas en los despachos…

Quizás algún día, la gente empiece a ver la seguridad informática, como un activo hoy en día para la empresa mayor aún que los muchos cursos (sí, a veces obligatorios por parte de multinacionales o franquicias) de ventas, marketing, etc. La (IN) Seguridad es algo “vivo” que va por delante de cualquier certificación o normativa. En un escenario como el actual, la prevención, rapidez de respuesta y formación, pueden ser nuestros mejores aliados. Seguridad “real” y actual como apoyo a las diferentes empresas de certificación / adecuación.

 

Tags: , , , , , , , ,


sep 09 2011

“Seguridad Por Niveles”, el libro. Descarga gratuita en PDF (700 pag).

Cuando el amigo Alejandro Corletti te envía un e-mail, ya sabes que es sinónimo de buen material. Tanto aquí como en Daboweb, más de una vez nos hemos hecho eco de sus trabajos y el que hoy os recomiendo, es sencillamente impresionante. En este caso con un prólogo y presentación firmado por Arturo Ribagorda Garnacho y Jorge Ramió Aguirre.

En el libro “Seguridad por niveles” (Con licencia Copyleft) se da un excelente repaso a lo que alguien interesado en redes o seguridad informática puede necesitar, desde las capas más bajas del sistema (Modelos OSI, DARPA, etc) a las más altas, desgranando el protocolo TCP-IP, pasando por el análisis de tráfico de red (algo que hace muy bien nuestro gran colaborador y redactor de Daboweb Alfon de “Seguridad y Redes“) con herramientas como Wireshark, tcpdump, etc además de introducirnos en el mundo de los “sniffers”. Hablando de estos temas, puedes ver el gran trabajo que está realizando Alfon en Daboweb desde este enlace con su sagaAnálisis de capturas de Red“.

En el libro también se habla también de; ARP, ICMP, IGMP, DHCP, IPV6, DNS, Telnet, FTP, SSH, SMTP, SSL-TLS, los Honey Pots, Criptografía, PKI, etc, además de cómo se pueden detectar vulnerabilidades en estos protocolos así como los procesos por los cuales se pueden ver comprometidos (ARP o DNS Spoof).

Hay un capítulo dedicado a los IDS (Sistemas de detección de intrusiones) y no podían faltar en un libro como este herramientas Open Source tan populares y efectivas como Snort, Nikto, OpenSSH, Netcat, Nmap, Iptables y un largo etc.

Al final del libro podrás encontrarte con capítulos en los que se habla de auditorías de seguridad, la familia ISO 27000 (sistema de gestión de la seguridad de la información), IPsec o lo que es un Plan de Continuidad de Negocio.

En definitiva, una guía bajo mi punto de vista que resume muchos aspectos imprescindibles para aficionados y profesionales tanto de la gestión de sistemas, redes o seguridad desde la base hasta niveles más altos en cuestiones técnicas.

Muchas gracias Alejandro una vez más por tu aportación a la comunidad, la forma de distribuir tu libro y tu profesionalidad -;).

Acceso a la información sobre el libro en darfe.es

Descarga directa del libro en PDF (709 páginas, 22 mb).

 

Tags: , , , , , , , , , ,


sep 07 2011

¿Seguridad en la nube? ¿o será en Internet? El de toda la vida, vaya.

Category: Mi Opinión,Seguridad Informaticadabo @ 11:14 am

Todos caemos muchas veces en un exceso de “modernidad digital” (acusado por la movida “2.0”) en un intento por reinventar una rueda con muchos kilómetros a sus espaldas como puede ser Internet, pero también buscando más opciones de negocio.

Que yo recuerde, hace unos cuantos años, (eso sí, no teníamos las interfaces actuales) muchos ya usábamos eso de la “sincronización“, por ejemplo en móviles como aquél Nokia que tenía bajo Symbian creando cuentas de correo por IMAP.

Lo de la “geolocalización ya viene desde los tiempos ¿Os suena eso de la dirección IP?, claro que sí, también lo de los proxys y cómo evitar dejar rastros allí por dónde navegas. Si nos vamos a los servidores web, ahora los llaman “On Cloud”, pero la información, aún siendo en máquinas virtuales, que se redimensionan a golpe de click, donde los discos duros y los Kernels se cargan vía red, etc, sigue estando en un datacenter y por ende, se accede vía SSH o FTP, pero ojo, la virtualización también es algo con muchos años de vida.

Cuando no había “Redes Sociales” estaban las BBS, el IRC o los foros, con diferentes formas de compartir la información y dejar tus datos más o menos expuestos (nombres de usuario, correos, imágenes). En mi caso, sólo diferencio la ubicación de los datos, dependiendo de si están en mi casa o en algún servidor/servicio web, lo de “la nube”, no deja de ser casi un “gentilicio” en un afán de querer llamar de otro modo a casi lo mismo en cuanto a cuestiones de acceso y almacenamiento.

Siguiendo con el tema de los “enlaces maliciosos” de las Redes Sociales, ¿Quién no recuerda por poner un ejemplo, hace unos cuantos años cuando te llegaba un link asociado a algún tipo de malware en el programa de mensajería de turno? (Podía ser MSN Messenger en sus tiempos de “esplendor”), luego te dabas cuenta de que mucha gente se lo comía “con patatas” cuando tu bandeja de correo de entrada se llenaba de virus provenientes de las direcciones de correo del afectado.

Los ataques por “ingeniería social” o “phishing” buscando a través del engaño y la confianza del usuario al hacer click en uno de esos enlaces a los que aludía son algo también de tiempos pasados, eso de “prudencia y sentido común” sigue siendo válido para tiempos presentes…

Lo que sí está claro que cambia es la variedad de servicios web que usamos, al igual que los dispositivos desde los que nos conectamos. No podemos negar esa evidencia y si hace unos días hablé de las cuentas “huérfanas” o “mal creadas”, hoy tocaría decir algo como “Toma las precauciones de toda la vida a nivel general, y las más concretas en servicios puntuales”.

Créeme, al final todo se reduce casi a lo mismo. Passwords sólidos con una frecuencia de cambio adecuada dependiendo del servicio y nombres de usuario que no te identifiquen o se encuentren en listas creadas para realizar ataques por fuerza bruta. Usa SSL (ojo que en Gmail sigue siendo una opción) en todo lo que puedas, conéctate por SFTP en lugar de por FTP a tu sitio web o server (VPS, Dedicado u “On Cloud”).

Protege con sistemas de bloqueo, localización y borrado remoto tus dispositivos móviles, también los discos duros de tus equipos, llaves USB o tu información almacenada en “la nube” (el Dropbox de turno) con cifrados de todo tipo y no te olvides que la cadena de la seguridad, se puede romper a unos metros de ti, en la configuración de tu router wi-fi por ejemplo y un etc que, sería quizás un tanto largo para este post. Si estás empezando a preocuparte por la seguridad te recomiendo nuestra sección “Seguridad básica” en Daboweb.

A veces me pregunto si “estamos en la nube” o “nos vamos por las nubes”, (antes se decía “por las ramas”).

Tags: , , , , ,


jul 20 2011

Hablando de GNU/Linux en una entrevista para “EnRed 2.0″

Antes de nada, dar las gracias a Raimundo Alcázar (@ralcaz en Twitter) por el interés mostrado y su cercanía a la hora de realizar esta entrevista, os recomiendo seguir su blog personal  donde encontraréis artículos de gran interés sobre sistemas GNU/Linux, Android, programación, seguridad, etc.

Raimundo también es el Presidente de “Asociación EnRed 2.0” y el agradecimiento es por cederme ese espacio para dejar unas líneas dentro del sitio web de la Asociación Tecnológica Jienense. Otro lugar que sigo asiduamente vía RSS o por Twitter.

Estas son las preguntas que me realizaron (debajo el enlace para acceder a ella).

1.- ¿A que edad empezaste en el mundo de la Informática y cómo?

2.- ¿Crees que era más fácil aprender en esa época que en la actualidad con tantos avances tecnológicos?

3.- ¿A que especialidad informática te dedicas actualmente?

3.-¿Cuando y Por qué te decantaste por Gnu/Linux sobre otras plataformas? ¿Que distribuciones has probado?

4.-¿Que Distribución elegirias para trabajar entre Debian, Gentoo y RedHat? Podrías explicárnoslo

5.-¿Qué opinas sobre el contrato social de Debian?

6.-¿Beneficia o perjudica a Gnu/Linux la aparición de Android?

7.- ¿Cual crees que será el futuro a medio plazo con Linux?

8.- ¿Crees que Internet es y ha sido neutral? ¿Los medios digitales 2.0 y redes sociales ayudan a la libertad de la Información en nuestra sociedad?
*Nota: Sobre la neutralidad me refiero a monopolios como Google y en las redes sociales la utilidad de twitter por ejemplo para hacer de cada usuario un periodista como en el 15M desbancando a los medios (des)informativos tradicionales :)

9.- Desarrollas un gran trabajo con vuestras webs, podcast, … etc ¿Cual será tu próximo proyecto?

Acceso a la entrevista –>>  en el sitio web de “EnRed 2.0″.

 

Tags: , , , , , , , ,


may 17 2011

En 140 [Palabras]. 17 de Mayo ¿Día de Internet? Os contaré “un cuento” #diadeinternet

Category: En 140 [Palabras]dabo @ 4:10 pm

[1] Este es el cuento de lo que en su momento fue un pequeño poblado llamado “Internet”, allí vivían unos seres llamados “Internautas” por quienes querían poner un nombre, o más bien, etiquetar a sus pobladores. Ese fue el primer error, realmente eran personas y se llamaban Javier, David o María, como tú y como yo vaya.

Cuentan los viejos del lugar que desde ese poblado que estaba en California, consiguieron una forma descentralizada de comunicarse con otros y de ese modo, lograr traspasar las barreras geográficas y en cierto modo, mentales. Fue una época de ilusión, de sentir realmente que esos caminos estaban despejados, limpios…

Segundo error, el cuento se convirtió en pesadilla, esa red, pasó a ser un objetivo a “neutralizar” en lugar de un espacio “neutral” que muchos soñamos. 17 de Mayo, recuperemos “Internet”, ¿podemos? quien sabe. [140]

Tags: , ,


mar 21 2011

Hablando de seguridad informática en el podcast de “El telar del Geek”

Bueno, esta vez me tocaba a mi pasar al otro lado del micro y mi amigo Daniel, de El Arca de Alianza, me ha invitado a su gran podcast para hablar de seguridad informática a nivel un tanto básico aunque al final, escuchándome (que no me gusta tanto como pensáis), nos hemos metido un poco en el tema con profundidad…

Hablamos de seguridad local, vía web, de Windows, Mac OS X, GNU/Linux, también de cómo afectan los temas de seguridad cuando tienes un blog, cómo afecta a tu teléfono móvil, redes sociales, etc, etc. Sólo decir que estuve muy cómodo al igual que lo estuve con otro gran amigo Kids (de AdamaWeb) cuando me invitó a su “explícalo” en blogoff, en el que hablé de otros temas más bien relacionados con webs, foros, CMS, etc.

Muchas gracias Daniel, he estado muy cómodo (da gusto no ser tú el que publicas/editas-;) y creo que ya me ha liado (junto a José Antonio Blanco) para estar en otro en breve. Lamento los cortes puntuales en mi audio (mi PCI Wi-fi, lo solventaré) y de veras que ha sido un placer.

Acceso al podcast en El Telar del Geek.

Tags: , , , , , , , , , ,


nov 18 2010

“Kernel Panic” especial “SysAdmin” con Ricardo Galli (Menéame, UIB)

tuxipod.jpgHola amigos, hace tiempo ya hablamos en algún Kernel Panic sobre la posibilidad de hacer un episodio especial dedicado a la administración o gestión de un servidor y proyecto web. Hoy no están al micro los habituales en Kernel Panic (Forat y N1mh), ni Oreixa que también le da al tema, pero esperaban esta entrega con las mismas ganas que muchos de vosotros.

Me ha costado un poco sacarlo al aire (más que nada por documentar el audio bien), pero aquí tenemos este especial fuera de la programación habitual del podcast (el día 1 de cada mes) que está destinada mayormente a toda la comunidad de “SysAdmins” de facto o en ciernes que seguís “Kernel Panic”. También a los que os pasáis por aquí habitualmente a enriquecer la conversación y que os interesa esta temática o muchos colegas de Twitter con los que hablo de estas cuestiones.

Especial SysAdmin y Servidores Web, en “Kernel Panic” con Ricardo Galli.

Cuando pensé en este especial, tenía clara una cuestión, nadie mejor que Ricardo Galli (en Twitter @gallir) para llevarlo adelante y no me equivoqué. No sólo por su experiencia en la creación, gestión y administración junto a Benjami Villoslada de Menéame, sino por una trayectoria (Dóctor en Informática, profesor de la UIB o portavoz de la Free Software Foundation) muy amplia que muchos conocíamos desde la época más álgida de Bulma.

Tengo que agradecerle a Ricardo lo que me ayudó a preparar todo, la cercanía e implicación a la hora de hacerlo, lo rápido que me dijo “sí” y también lo que he aprendido sobre ciertos conceptos y situaciones a las que te enfrentas en el día a día con el sistema.

# Añado, el post de Ricardo sobre el podcast en su blog, gracias !! Me dejaste K.O con tus palabras…

Leer el resto de;”“Kernel Panic” especial “SysAdmin” con Ricardo Galli (Menéame, UIB)”

Tags: , , , , , , , ,


oct 26 2010

Sigue en directo el evento de seguridad “Vive ForoS!” de Segu-info

El amigo Cristian Borghello, responsable de “Segu-Info“, sitio web con 10 años de trayectoria en Internet, con quien mantengo una gran relación, me envía una invitación (extensible a todos vosotros) para asistir o seguir en directo al evento de seguridadVive ForoS!.

Comentar que el formato es el siguiente, el ponente presenta y desarrolla su presentación durante 30 min y después, a modo de enriquecer la ponencia, el público tiene otros 30 min para aportar ideas u opinar sobre lo tratado.

Algunos de los temas a desarrollar y ponentes;

Apertura – Cristian Borghello (Segu-Info)
Seguridad Móvil – Ezequiel Sallis, Claudio Caracciolo (Root-Secure)
Continuidad de Negocio y Gestión de Crisis – Mateo Martinez (TATA Consultancy Services)
Virtualización y Seguridad en VDI (Virtual Desktop Infrastructure) – Diego Bruno (Consultor)
Seguridad en Cloud Computing – Hernán Racciatti (SIClabs):
MITM y robo de información en sesiones SSL – Matias Katz (Mkit Argentina):
Criminología informática a través de botnets – Jorge Mieres (MalwareIntelligence):
Debate de cierre con resumen de las principales ideas de la jornada

Lugar;

Vive ForoS! se desarrollará el próximo jueves 28 de octubre de 2010 de 13 a 19 hs en las instalaciones de TATA Consultancy Services, Uspallata 3034 en el Distrito Tecnológico de la Ciudad Autónoma de Buenos Aires, Argentina.

Podrás verlo en streamming;

Vive ForoS! será transmitido en vivo por streaming de modo de permitir la participación de asistentes de cualquier lugar del mundo.

Para acceder al video simplemente debes ingresar al sitio web el día del evento. La transmisión comenzará a las 13 hs de Argentina (GMT-03:00)

Toda la información e inscripción (suerte con el evento, a ver si os puedo seguir online-;)

Tags: , , , , , ,


oct 14 2010

Sobre el FaceBook OTP (One Time Password). Usuarios y “usuarios”

Aclaro antes de nada que no soy usuario de FaceBook, los motivos los expuse en esta entrada e incluso dediqué un post íntegro al tema de FB exponiendo mi punto de vista sobre el uso que se le suele dar, en detrimento a veces de los blogs personales.  Añado que del mismo modo que dejé de usar Twitter para volver pasado un tiempo, con FB no diré “de este agua no beberé” porque quizás “me ahogue” o se me atraganten las palabras. De ejemplos sobre estas cosas está lleno el archivo de DaboBlog -;).

Pero que no use este servicio, no quiere decir que dado el gran nivel de implantación que tiene, no siga de cerca sus evoluciones. Es casi imposible abstraerse o mantenerse totalmente al margen de un fenómeno de masas como el que nos ocupa.

Tal es la aceptación de FB, que si no fuese porque siendo linuxero uno ya sabe como es lo de pertenecer a una minoría, (a mucha honra y sin ningún complejo) seguro que pensaba que el “problema” o el “rarito” soy yo,  porque las cifras marean y el negocio, en términos de rentabilidad, es como para que muchos gurús del business “se lo hagan ver”.

Lo cierto es que no está nada mal sobre el papel esta nueva funcionalidad (existente desde hace tiempo) que FaceBook va a habilitar muy pronto para todas sus cuentas. Se trata del concepto OTP, acrónimo de “One Time Password”. Como diría un castizo, “passwords de usar y tirar“. Necesitas conectarte a FB, mandas un SMS en plan sorteo de la TV con el texto “otp” al 32665 (no sé si se cobrará, menudo-otro-más-negocio) y te llega a tu móvil una clave para usarla sólo una vez y con una duración estimada de 20 minutos.

Tres problemas muy comunes en cierto tipo de usuarios, unos porque pasan y otros porque no saben…

Esto, sobre el papel, solucionaría de un plumazo ese “viejo” problema del usuario de dejar su sesión abierta en ordenadores públicos (y mira que es fácil darle a “logout”-“desconectar”-“cerrar-sesión”;). También, al ser una clave temporal, ese mismo usuario que “a veces” deja sin cerrar su sesión, puede que solucione otro problema conocido.

Sí, ese que se da cuando usas una red wifi abierta alegremente (y encima lo tuiteas) en la que puede que un sniffer esté capturando tráfico en plan industrial. Con el “OTP” de FaceBook, quizás tengas suerte y durante esos 20 minutos de uso te libres o, cuando acabe el esnifado de paquetes, antes del volcado-análisis posterior, la clave haya caducado.

Asimismo, el posible tercer problema de este tipo de usuarios (no exagero, ni es nada peyorativo, lo he visto) que no es otro que darle compulsivamente al recuadro de “recordar mi contraseña”, también quedaría resuelto ya que, pasados esos 20 minutos (teóricamente) con esa clave no se podría hacer nada (me gustaría saber el tiempo medio de sesión por usuario en FB, sinceramente no tengo ni idea).

Y los usuarios que pasan, seguirán pasando…

Y podría seguir pero el post sería demasiado largo para llegar a la misma conclusión por mi parte. En mi opinión, a ese tipo de usuario sinceramente no le veo enviado un SMS a FaceBook para iniciar una sesión “segura” en un ordenador público, lo entrecomillo ya que el término “ordenador público” es algo en contraposición a “seguro”.

Es más, esta medida (muy acertada, bien por FB en este caso, ojo,  siempre que sea sin coste) la veo más bien para usuarios que normalmente no se conectan a lugares como FaceBook o Gmail en ordenadores públicos o redes sin cifrado de ningún tipo. La veo para gente que se preocupa por la seguridad mínimamente y que intentan hacer un uso responsable de los servicios donde se almacenan datos personales.

Oye, “me dejas un momento el móvil para ver una cosa”

A los usuarios que pasan de todo, usando esta Web 2.0 tan “amiga y sociable” que nos venden alocadamente y luego son los que más se quejan del servicio que reciben (sí, esto es curioso, los que más pasan son a veces los que más se quejan), les veo más bien intentando cogerle a su pareja-jefe-amigo-amiga de turno el móvil para enviar el SMS y pillar fuera de juego a sus “objetivos”.

Este es otro detalle también muy curioso, no utilizarían para ellos mismos jamás este servicio, pero en cambio, el otro uso (y más con la picaresca nacional siempre tan en alza) les viene a la mente en el minuto “0,5”.

Usuarios y “usuarios”…

Hay gente que pasa de todo, se queja mucho sin aportar nada y no pone ningún interés y en cambio, hay otros “usuarios” que por motivos de otra índole (darían para otro DaboBlog entero), no pueden adquirir unos mínimos conocimientos para usar hoy en día Internet con unas mínimas garantía de privacidad.

Esos intentan hacer las cosas bien (como vemos muchas veces en nuestros foros de ayuda en Daboweb) y les suceden continuamente casos como los tres que reseño arriba; sesiones que no se cierran, uso de redes sin cifrar, almacenar passwords, aunque podría ir un largo etc, pero no porque pasen de todo, sino porque no han cogido bien el concepto o porque les falta una base sólida en cuestiones informáticas.

Lo de siempre, eso tan comentado-olvidado de la educación...

Quizás algún día, alguien se empiece a tomar en serio la estrecha relación existente entre la vida real y electrónica, ese día, en las escuelas, los lugares de trabajo o el “hogar del jubilado”, igual se empieza la casa por los cimientos y se le explica a ese futuro usuario que, antes de conectarse a FaceBook, mandar un correo o contratar un viaje por Internet, lo importante es que por no proteger tu correo, te revienten la cuenta de FaceBook y contraten un viaje online pero con tu tarjeta de crédito y no a tu nombre desde luego…

Recomendada, para este tipo de usuarios la charla de Kids en el interqué (quedan plazas)

Tags: , , , , , ,


jun 18 2010

Alfon y Vlad, importantes refuerzos para la redacción de Daboweb (GNU/Linux, Seguridad y redes)

Category: Mi Opinión,Otras Webs | Blogsdabo @ 1:43 am

Si hace unos días os hablaba de nuestro octavo aniversario en Daboweb, hoy, tengo el placer de anunciaros que las áreas de GNU/Linux así como Seguridad y Redes, se ven reforzadas con la incorporación al equipo de redacción de; Alfon (Seguridad y Redes) y Vlad (redactor durante mucho tiempo en Fentlinux)

Un equipo (equipazo-;) que, como veis en la sección “El team”, está compuesto por gente con marcadas diferencias en lo técnico, pero que se encuentran (nos encontramos) en el plano personal y en la idea de cómo llevar adelante un proyecto orientado a una comunidad como la nuestra. Muchas gracias a ambos por la confianza.

La noticia al completo en Daboweb. Estad atentos a nuestro Feed.

Por cierto, estrenaremos una nueva sección sobre seguridad para los que empiezan, muy pronto -;).

Tags: , ,


nov 04 2009

La mierda de servicio de atención al cliente de Telefónica (y van…)

Category: Dabo | Personal,Imperdonable,Mi Opinión,Tecnologíadabo @ 1:05 am

timofonicaBueno, no se merecen más líneas que las justas para recordar que el servicio de atención al cliente de Telefónica es una verdadera mierda en el sentido más castizo de la palabra, pero…voy a hacer un esfuerzo.

Este pasado fin de semana estuve en Bilbao y me quedé en casa de mi madre. Ella había dado de baja un Duo ADSL+Teléfono fijo que tenía con Telefónica y había contratado para el fijo una tarifa llamada “económica”, (sobre 9,90 eur/mes) maś que nada para recibir llamadas, ya que para llamar usa normalmente el móvil y por no perder el número.

Pues bien, esta tarifa se invalida cuando pasas de 180 minutos hablados en 6 meses y las llamadas se tarifican a precio normal, las metropolitanas (locales) y nacionales.

Pues así, en plan muy muy resumido, os diré que llamé al 1004 y que primero me atendió uno que por lo menos fue sincero y después de 10 minutos me reconoció que no tenía ni idea (WTF), hay que joderse sí, además, parecía que se había comido algo en mal estado porque la dejadez, tono y ganas eran de flipar. Ya le dije “pues si no sabe usted ya me dirá yo”…

Luego con dos cojones, le dio a la teclita y pasó la llamada a un call center presumiblemente Sudamericano (contra los que no tengo nada en contra, pero tampoco nada a favor si no hacen su trabajo medianamente bien, que no pido tanto) y ya me entró a saco la típica tele-operadora, imagino hasta los huevos de presión y un sueldo de mierda (como el servicio que dan) que antes de hablar ya me quería vender un trio con Imagenio + ADSL + Teléfono y un bonito antivirus…

Le dije muy educadamente que sólo quería saber en que consistía esta tarifa, cuales eran los límites y si había algún tipo de minutos mensuales de tarifa plana, etc, etc.

Nada, ella a lo suyo, no se le entendía nada y antes de escuchar sueltan el guión que tienen aprendido y no hay forma. Al final, me dice que hay un bono por 5 euros al mes que complementa a esa tarifa en la que entran las llamadas locales sin límite y otro por 9,90 para llamadas locales y nacionales…

Le pido por favor que lo verifique y le digo que no es la primera vez que mi madre se lleva un disgusto por estos temas y que entienda que no me fie, (ya os contaría una de Movistar y una promoción de esas de “Verano” que le llegaron vía SMS al móvil y en fin, una estafa en toda regla).

Yo, como ya estoy hasta los huevos de tomaduras de pelo, le digo que voy a grabar con su autorización la conversación al igual que hacen ellos, se queda un poco cortada pero no me dice nada y le reitero mi insistencia de asegurarme antes de contratar.

Pues bien, se hace la ofendida y me asegura que es así y que ese bono está ahí y que si lo quiero contratar. Le pido que me mande por favor un mail con las condiciones de la promoción, la tarifa económica, etc y me dice que una vez haga la contratación me lo envía sin problemas.

A su vez, muy amablemente ya fuera del guión me detalla lo del límite de llamadas de esa tarifa y me da los detalles, yo le pregunto “pero…¿no se solapa lo del bono para las llamadas locales con el límite de 180 minutos?”, me asegura que no…

Le pido disculpas por mi desconfianza y viendo las dos últimas facturas de mi madre, veo bien su contratación y le digo que adelante. Después de 3 minutos de espera, con voz preocupada es ella quien me pide disculpas y me dice que es un error y que esos bonos no están para esa tarifa…

Fui muy educado con ella porque no tiene la culpa (que yo tampoco) de la basura de formación o medios que le proporciona Telefónica y está haciendo su trabajo, pero sólo le dije “lo sabía, ahora entenderá el motivo de mis dudas”.

Tiempo invertido en total, como 40 minutos, ¿soluciones? cero.

Borro la grabación porque no sirve de nada y es que hay veces en las que no merece la pena quejarse o intentar que las cosas cambien. Simplemente lo más productivo es buscar otra compañía en la que, indudablemente, acabarás nadando en otro charco de mierda -;).

Tags: , , ,


« Página anteriorPágina siguiente »