jueves, 8 de diciembre de 2016

Ransomware. Pagar o no pagar


En mis anteriores artículos () describí la economía que existe detrás del Ransomware. Aunque el costo individual es relativamente bajo, el alto volumen de víctimas garantiza un flujo de caja atractivo para una organización criminal que tiene bajo costos.

La ganancia financiera de los ataques cibernéticos ha incentivado el crecimiento de una economía ilegal en la que algunos sectores solo se dedican a crear una plataforma digital que se puede usar para lanzar estos ataques. Estas plataformas son luego vendidas a terceros que las usan para extorsión en sus mercados locales o regionales.

Y esta posibilidad de perder acceso a información importante es muy real.

Dada esta amenaza, los directivo de pequeñas y grandes empresas deben planear con anterioridad cual es la respuesta a un ataque de este tipo. Cada caso individual es diferente y sin duda el usuario afectado tendrá razones muy válidas para pagar y recuperar la información perdida.

Sin embargo, las víctimas de este crimen deben considerar con seriedad las consecuencias de pagar a estos extorsionistas digitales.

Los mensajes alarmistas de ransomware obviamente asustan a los afectados, que no dudan en hacer un pago. El hacer clic en los mensajes de pago solo empeora la situación porque esta acción baja software malicioso adicional que prácticamente asegura que la extorsión se presentará de nuevo en el futuro. En otras palabras, pagar solo garantiza un ataque futuro.

jueves, 21 de julio de 2016

Ransomware. ¿Por qué es tan difícil de combatir?


Aunque hay algunas medidas que el usuario privado tiene a su disposición para evitar ataques de ransomware, la tarea puede ser mucho mas difícil para el oficial de seguridad de una red empresarial.

Una táctica común  que no es exclusiva de los extorsionistas digitales es el uso de algoritmos de generación de nombre de dominio (DGA por sus siglas en inglés). Estos algoritmos, como su nombre lo indica, generan múltiples nombres de dominios (domain names) para usar en sus servidores de comando y control (C2).  Si el atacante registra aunque sea uno solo de estos nombres de dominio, la conexión al servidor de comando y control (C2) será posible.

El número de dominio que los atacantes pueden generar ha ido en aumento con los años. Por ejemplo, la primera versión de Conficker generaba hasta 250 nombres de dominios por día y la versión “C” de Conficker generó hasta 50.000 dominios diarios.

Como era de esperar, el uso de DGA se extendió al ransomware. El peligroso Cryptolocker usaba la fecha como una semilla para generar un nombre de dominio y tiene el potencial de generar muchos dominios por día. Aunque diferentes versiones de Cryptolocker usan algoritmos diversos, generalmente la semilla se basa en el día, mes y año. Adicionalmente, algunas variaciones de Cryptolocker usan una llave semialeatoria. De esta manera, el numero de posibles valores se incrementa exponencialmente.  

Esta táctica es muy desalentadora para quienes se dedican a la defensa  y protección de información. El tradicional bloqueo de nombre de dominio ya no es posible. Si un día el nombre de dominio malicioso es “jsjvitqhvvdnjlfn.com” y al siguiente una variación completamente diferente. ¿Quién puede generar un filtro diario que bloquee estos miles de dominios?

Afortunadamente, los reportes de inteligencia de riesgo informático proveen actualizaciones diarias con nombres de dominios maliciosos que se pueden alimentar a los sistemas proxy o detección de intruso IDS. También es necesario analizar nuevos dominios que aparezcan en la red empresarial.

Obviamente, la consecuencia es el aumento de costos. Si las empresas de hoy desean proteger su información, deberán mantener analistas de seguridad dedicados exclusivamente al análisis de datos transmitidos desde y hacia la empresa. Para ser exitosos estos analistas no podrán realizar otras tareas, administrar ningún otro sistema o dedicarse a dar soporte a usuarios.

jueves, 19 de mayo de 2016

Ransomware. La plaga informática II


Como describí previamente, el masivo auge del ransomware afecta por igual a usuarios empresariales y privados. Afortunadamente, el pequeño usuario con su computador personal puede tener una ventaja sobre los usuarios empresariales.

La primera regla es tener una copia de respaldo de los archivos mas importantes. Una buena práctica es tener un disco duro adicional donde se guarden copias de fotos, archivos y otras cosas. Es importante resaltar que este disco duro no debe estar conectado permanentemente al computador. Otras opciones existen en la nube tales como Dropbox o Google Drive pueden servir como respaldo.

Constantemente nuestro departamento forense informático recibe usuarios cuyos datos se han perdido o ya no los pueden acceder. En el mundo de hoy, muchos padres no solo guardan las fotos familiares en sus computadores personales sino la contabilidad familiar, y otros documentos importantes. Es desalentador ver la cara de desasosiego de un padre al recibir la noticia que ha perdido las fotos de sus pequeños o de su juventud.  Es esta posibilidad la que extorsionistas digitales utilizan en su favor para obtener dinero fácil.

La segunda recomendación es mantener el sistema operativo y otros programas actualizados. Los proveedores de software actualizan permanente sus productos y liberan estas actualizaciones sin costo alguno. Por defecto, paquetes de software como Office, Windows, Mac OSX , iTunes, etc. Actualizan el software sin intervención del usuario. Desafortunadamente, ese no es el caso de software ilegal en su mayor parte. La práctica de piratería de software es muy extendida en nuestros países y muchos son los usuarios que tienen instalado software no legal en sus computadores.  Al usar software no legal, los usuarios están poniendo en riesgo la preciosa información que guardan en sus computadores.

La tercera regla es similar y es mantener el software Antivirus actualizado. De nuevo, la común práctica de piratería de software en los usuarios de nuestros países minimiza esta buena prevención. El no uso de software antivirus, o software desactualizado, es extendido no solo en equipos personales sino en micro y pequeña industria.

Finalmente, no abrir archivos provenientes de correos de personas desconocidas ni ejecutar las macros de Office y otros programas es una buena práctica.

Estas son prácticas sencillas que cualquier usuario pueden usar para minimizar las malas consecuencias de un ataque de ransomware.  En el caso de usuarios empresariales, hay un arsenal de defensa mas complejo pero que al mismo tiempo presenta dificultades.

jueves, 12 de mayo de 2016

Seguridad, un incómodo invitado. Lecciones de una aplicación móvil III


El caso descrito en las previas semanas resalta los obstáculos que el desarrollo de una aplicación móvil puede tener. Este caso de la vida real tiene otras implicaciones pero hay algunos que vale la pena resaltar. Como todo desarrollo de software, el proyecto tiene que involucrar a todas las partes interesadas desde el principio. Esto retrasa el arranque del proyecto pero es vital para el éxito de una empresa. Segundo, cuando una organización decide que sus datos o información crítica pueden ser accedidos remotamente usando dispositivos no sancionados por la organización el criterio de seguridad y protección es bien diferente.
 
Y este nuevo criterio y las presunciones que se asumen difieren a los de una aplicación web tradicional. En muchas ocasiones los departamentos de sistemas se pierden en los detalles técnicos sin considerar la verdadera necesidad de la organización. Hay muchas soluciones BYOD en el mercado que cumplen sus funciones a cabalidad, pero estas herramientas de software no proveerán la protección necesaria para información que pueda ser accedida por clientes o socios comerciales y en cuyos dispositivos la herramienta BYOD no aplica. 

No es necesario ser un experto desarrollador o un arquitecto hábil para orientarse en este nuevo ámbito. El personal del proyecto debe estar familiarizado con la legislación de privacidad donde la aplicación se vaya a utilizar. La legislación norteamericana de Estados Unidos respecto a privacidad de información es menos restrictiva que la europea y bien diferente de la de varios países latinoamericanos. Este aspecto es muy importante a la hora de tomar decisiones que pueden afectar la arquitectura de la aplicación. 

Hay otras preguntas bien importantes respecto a la validación del usuario. ¿Serán los usuarios validados por la organización directamente, o la aplicación aceptara validación de terceros vía Open ID o similares? 

Sobre todo es importante es necesario tener claridad acerca de la información que la organización desea hacer pública o accesible por dispositivos que no controla. Y esto último es mucho más difícil porque la organización debe clasificar y definir que desea proteger.  Y eso, aunque irónico, no es claro muchas veces.

jueves, 21 de abril de 2016

Ransomware. La plaga informática

Un tipo de software malicioso, conocido como ransomware, se ha extendido como una plaga e infectado los computadores de diferentes organizaciones a nivel mundial. A diferencia de otros virus y gusanos informáticos, ransomware no busca notoriedad ni la simple infección de computadores.  El principal objetivo de los creadores de ransomware es financiero.

Pero ¿Qué es ransomware? Este tipo de software malicioso infecta computadores y restringe el acceso de los usuarios legítimos a los archivos almacenados en el sistema. Cuando el computador es infectado, un aviso en la pantalla advierte al usuario que es necesario hacer un pago para poder acceder a los archivos del computador. De ahí el nombre ransomware (ransom en inglés significa rescate).  En otras palabras, es una extorsión pero en este caso cibernética.

Aunque el uso de ransomware no es nuevo y se ha observado desde hace varios años, en el 2016 se ha presenciado un auge inusitado de este modo de operación de acuerdo al reporte de McAfee Labs, la firma de seguridad informática. Los perpetradores de estos atracos digitales no exigen grandes sumas de dinero, y el rescate oscila entre los U$400 y U$600 que se deben pagar en moneda digital como bitcoin. El uso de valores relativamente bajos es conocido como fast-cash (dinero rápido) porque permite a las víctimas obtener fácilmente el rescate exigido. Dado que el número de víctimas es bastante alto, las grandes sumas se obtienen con altos volúmenes de usuarios infectados.

El equipo de respuesta de emergencia cibernética de los Estados Unidos (US-CERT) ha señalado que los extorsionistas digitales han sido muy exitosos en sus ataques. La rápida diseminación de esta plaga digital se debe a numerosas razones, pero entre las causas principales se encuentran el fácil acceso a plataformas tecnológicas y maliciosas, la facilidad con que un usuario medianamente familiarizado con tecnologías de la información puede causar daño y desafortunadamente a las muy malas prácticas de administración de información de usuarios y empresas por igual.

La efectividad del ransomware está también ligada con el mensaje de pánico e intimidación que se presenta a los usuarios. Por ejemplo, algunos mensajes dicen:

“Su computador ha sido infectado con un virus. Haga clic para solucionar el problema”

“Su computador ha sido utilizado para visitar sitios web con contenido ilegal. Para acceder sus archivos debe seguir las instrucciones”


¿Cómo se puede evitar esta plaga o al menos mitigar las consecuencias de un ataque de este tipo? Las soluciones son variadas y no hay un cura milagrosa, y en la próxima entrega indicaré algunas de ellas.

jueves, 7 de abril de 2016

Seguridad, un incómodo invitado. Lecciones de una aplicación móvil II


Ya conté en el caso de la aplicación móvil las consideraciones de seguridad que no se tuvieron en cuenta, y como el área de seguridad llegó tarde al proyecto de software. Un punto importante fue el almacenamiento de datos en el dispositivo móvil. En el caso de aplicaciones privadas esto no es mayor problema porque las soluciones BYOD en el mercado permiten crear contenedores que aíslan los datos personales de los empresariales en un teléfono o tableta. Estas mismas soluciones BYOD permiten borrar la información empresarial sin tocar los datos privados del usuario móvil. 

Sin embargo, esta consideración cambia cuando el App es de uso público o lo utilizan socios comerciales. En este caso el software BYOD no puede ser utilizado por simple razones de logística y precio. En este caso las consideraciones de privacidad y confidencialidad deben ser tenidas en cuenta por la aplicación móvil. 

 Las buenas prácticas desaconsejan almacenar información en el dispositivo móvil, especialmente si esta información es sensitiva o personal del cliente. Este requerimiento obligaba a un cambio de arquitectura y diseño. Mercadeo quería que el cliente tuviera acceso a la información incluso cuando el dispositivo móvil estuviera fuera del área de cobertura. Pero la información estaba clasificada como critica por la misma organización y las leyes locales del país. Lo cual hacía necesaria la autenticación del usuario cada vez que se accede a esa información. 

Los requerimientos mencionados, mas muchos otros obligaron a un rediseño de la aplicación. Aunque hubo varios compromisos que seguridad accedió a no considerar hasta una segunda versión de la aplicación móvil, el efecto acumulado de cambios en las especificaciones del proyecto más los requerimientos de seguridad causaron un retraso de varios meses, mayor que el tiempo previsto originalmente para lanzar la aplicación móvil al público. A la empresa desarrolladora de la aplicación se le canceló el contrato y el costo proyectado se multiplicó varias veces y con un alcance mucho menor. En otras palabras los ingredientes de un fracaso.

jueves, 24 de marzo de 2016

¿Wireshark o Tcpdump?




Esta pregunta solo la hacen algunos verdaderos aficionados y amantes del análisis de tráfico. Oh mira qué pasa si dices algo que ofenda a alguno de los dos bandos. Es posible que Wireshark tenga un mayor número de usuarios y es la herramienta número uno de acuerdo a sectools, pero Tcpdump tiene sus aguerridos defensores que no dudan en señalar las deficiencias y vulnerabilidades de Wireshark.

Es indudable que las capacidades graficas de Wireshark facilitan el análisis de tráfico y una visión rápida de lo que puede estar sucediendo. Sin embargo, de forma paradójica Wireshark facilita la falta de análisis según sus críticos. Eso no es culpa de Wireshark. Si alguien quiere mirar un paquete en profundidad, Wireshark ofrece esa capacidad y el usuario está a un clic de mirar más allá. Además con la facilidad de marcar tráfico con colores, se facilita aún más  la visión de lo que se está examinando. 


Pero los críticos de Wireshark señalan un punto muy importante y es la frecuente aparición de serias vulnerabilidades en el software. Y no solo son las librerías graficas de Wireshark que adolecen de este problema sino las librerías de capturas. Es importante reconocer que los desarrolladores de Wireshark son prontos en arreglar los problemas publicados, y solo en el 2013 el equipo de Wireshark ha resuelto más de 40 importantes vulnerabilidades. Por ejemplo, algunas de los bug de software causan que Wireshark deje de capturar datos, o peor permiten un acceso no autorizado al sistema. Y estos son puntos importantes a considerar cuando se captura tráfico. Aquí está el listado de parches de Wireshark https://www.wireshark.org/security/


En mi caso han sido muchas las horas perdidas usando Wireshark porque deja de capturar información por una causa desconocida. Por fortuna, si almacenas la información en diferentes archivos es posible minimizar esa perdida. Si como profesional estás haciendo capturas mientras realizas otras actividades, Tcpdump puede ser una mejor alternativa. En primer lugar Tcpdump no adolece de los recurrentes vulnerabilidades que aquejan a Wireshark (aunque obvio hay vulnerabilidades). Segundo, Tcpdump es mucho más liviano y no requiere tanta capacidad de proceso.


Estas son dos importantes características, especialmente si el analista está capturando tráfico mientras realiza un pentest. El pentester nunca quiere que su computador sea vulnerable a terceros mientras realiza su trabajo, y Tcpdump minimiza esa superficie de ataque. Y segundo, el analista quiere mantener sus ciclos de procesamiento en la actividad que está realizando y no en la captura de tráfico. A pesar de que Wireshark ofrece una alternativa de instrucciones en línea llamada Tshark, Tcpdump es campeón en este aspecto.


Yo uso Wireshark para analizar capturas complejas, pero considero mejor Tcpdump para realizar esas mismas capturas y hacer análisis superficiales. Que herramienta usar depende de nuevo de lo que se desea hacer. Al final es cuestión de preferencias, Wireshark facilita el análisis con poderosas herramientas de filtrado y Tcpdump es ampliamente reconocido. Tanto Tcpdump como Wireshark aparecen en la lista de herramientas preferidas publicada por NMAP (ver http://www.sectools.org/)


viernes, 11 de marzo de 2016

Cierre el puerto TCP. Como buscar una vulnerabilidad de un puerto TCP




Alguien realiza un pen test y encuentra un puerto TCP abierto. El analista simplemente recomienda cerrar el puerto sino se está utilizando, nada más. No hay recomendaciones adicionales, no hay el mínimo esfuerzo de encontrar que aplicación usa ese puerto. Ese analista está en riesgo de ser reemplazado por un script. El script puede hacer lo mismo y generar esa misma recomendación en solo unos segundos y mucho más barato.

Hay muchas aplicaciones hoy en día que usan diferentes puertos TCP o UDP, y un escáner de vulnerabilidades no siempre tiene información de puertos y sus aplicaciones relacionadas. Por fortuna tenemos esa biblioteca gigantesca en Internet que nos puede ayudar, pero en ocasiones no se encuentra mucha información específica de ciertos dispositivos o aplicaciones. Aunque los analistas son a veces brillantes, es incomprensible como los representantes de la generación en línea no usan bien el motor de búsqueda. Se supone que saben cómo usar Google o Yahoo. 
 
Seguramente si el puerto TCP existe alguien más lo ha buscado o ha publicado información al respecto. En ocasiones limitando la búsqueda al puerto TCP te envía a páginas genéricas de TCP/IP que poca información proveen. Una simple búsqueda del puerto TCP mas la palabra vulnerability (Buscar: tcp port X vulnerability) probablemente arrojara resultados. Irónico que tenga que explicar esto una y otra vez. Reporte no aprobado. Después de una corta clase de cómo usar operadores en Google, dejo de ver  la única recomendación que indica que se debe cerrar el puerto TCP. Pero no toma mucho tiempo en volver a ver un mínimo esfuerzo plasmado en un reporte. 

Google (o Yahoo o Bing) también dan mucha más información sobre la posible aplicación que usa un puerto específico. También cuando alguien se conecta, muchas aplicaciones indican el nombre de la aplicación y la versión. La generacion Copy-Paste parece no ver lo que está delante de sus ojos. 
 
En el caso particular de Google hay un gran número de operadores que facilitan la búsqueda de información. En una próxima ocasión volveré sobre este tema.




lunes, 22 de febrero de 2016

Seguridad, un incómodo invitado. Lecciones de una aplicación móvil I


Hace unas semanas contaba que invitar tarde al personal de seguridad de informacion puede ser fatal para un proyecto. Continuo con la historia. El área de mercadeo de esta organización planeaba  lanzar la aplicación en un periodo de unos meses, tiempo corto dado los alcances esperados. Los tradicionales problemas de un proyecto que cambia sus alcances y objetivos no demoraron en aparecer. Pero la llegada tarde del personal de seguridad de información acervó el retraso en el desarrollo. 

El personal de seguridad carecía de experiencia en el manejo de aplicaciones móviles, pero si era un equipo curtido en auditorias de aplicaciones web tradicional.  Y empezaron con las preguntas tradicionales: ¿Qué tipo de datos se transmitirán al dispositivo móvil? ¿Es la comunicación entre el dispositivo móvil y el servicio web protegida con encripción? ¿Serán estos datos almacenados en el dispositivo móvil? ¿Cómo válida el servicio web al usuario? ¿La aplicación valida los datos que el usuario provee? ¿Hay alguna limpieza de los mensajes de error que el servicio web entrega? Todas estas simples preguntas de seguridad que se hacen durante el desarrollo de una aplicación. 

El personal de seguridad contaba con una ventaja y es que varias de esas preguntas hacen parte de la arquitectura de toda aplicación web que se aprueba. La paradoja de la situación fue que el desarrollo móvil no considero los mismos parámetros que se tienen para una aplicación tradicional. Y este parece ser un error común. A pesar de sus diferencias los delineamientos generales de seguridad en una aplicación web no son muy diferentes en una aplicación móvil. 

Todas estas preguntas en un estado avanzado de desarrollo empiezan a ser incómodas porque una respuesta que no se ajuste a los estándares de seguridad ocasiona retrasos en el desarrollo. 
Algunos de los cambios necesarios no eran complicados pero si vitales. Por ejemplo, tener todas las transacciones entre el dispositivo móvil y el servicio web vía HTTPS es un cambio menor que protege la confidencialidad de la información transmitida. Otros como la validación del dispositivo puede cambiar la arquitectura original. 

Usar el IMEI de un dispositivo para validar usuarios puede tener complicaciones de privacidad y más de una organización ha estado en líos por guardar esta información que permite identificar usuarios. Aun así no causaba mayor retraso deshabilitar la lectura y registro del IMEI (hoy Apple no permite el uso de este registro)

Sin embargo, el aspecto más problemático fue el almacenamiento de información en el dispositivo móvil. Un problema serio que enfrentan las aplicaciones móviles es la validación de usuarios cuando no hay acceso a la red, y validación local de usuario augura toda clase de problemas. Un bug de software, o peor acceso no autorizado, puede ser mortal para el buen nombre de una empresa. 

Una buena regla es que tu aplicación que terceros, clientes o socios comerciales, van a usar no  almacene datos en el dispositivo móvil.

jueves, 4 de febrero de 2016

Gobierno electrónico en Latinoamérica II

En mi columna anterior hablaba como los nuevos medios han abaratado los costos de servicios que tradicionalmente requerian costosas capacidades de cómputo, y como los gobiernos podrian usar esta promesa para permitir mayor participación. 

Un aspecto importante para lograr un exitoso programa de gobierno electrónico es tener un mayor grado de interoperabilidad entre diversas organizaciones oficiales. Se considera que es la única manera de poder tener un solo punto de acceso a los servicios electrónicos oficiales. Una posible consecuencia es el ahorro a largo plazo en las inversiones tecnológicas necesarias si la interoperabilidad existe.

¿Pero qué significa que las organizaciones estén interconectadas? Para tal efecto se ha creado un índice o matriz de nivel de implementación o interoperabilidad, mejor conocido como GIMM, que está basado en las matrices de madurez. Esto incluye procesos comunes entre diferentes organizaciones, el uso común de codificación de documentos en lenguajes XML, etc.

Este proceso de unificación de criterios es largo y puede ser complicado. Un primer paso que algunos procesos exitosos han iniciado es tener un punto único de identificación y autenticación de usuarios. Tal es el caso de Chile y su programa de identificación electrónica única llamado Clave Única. Los chilenos han identificado claramente los lineamientos para lograr la interoperabilidad entre diferentes entidades oficiales. 

Otro caso de progreso en la zona es Colombia. Luego de varios años de estancamiento Colombia, el segundo país en la región, ha progresado rápidamente; pero el proceso no parece claro, las metas no están bien definidas y los indicadores de progreso no están disponibles en el sitio oficial.

El caso colombiano contrasta con el programa de gobierno electrónico de Chile. Colombia no posee aún un sitio único que permita al ciudadano validar sus credenciales y acceder a todos sus servicios. 
El primer paso para un caso exitoso es centralizar la coordinación entre institutiones y prestar las asesorías necesarias para guiar en la implementación exitosa del programa. No es sorprendente que Chile sea puntero en la región; el programa tiene unos objetivos bien delimitados y el progreso es transparente y la información está disponible para todos (ver http://www.modernizacion.gob.cl).

Pero a pesar de estos esfuerzos, la oferta latinoamericanca de gobierno electrónico aún no permite la participación activa de sus ciudadanos. Aun hay un buen trecho por recorrer.

jueves, 28 de enero de 2016

Gobierno Electrónico en Latinoamérica

Compañías líderes en diferentes ofertas en  línea tales como Google, Amazon, Microsoft y Facebook (conocidas por algunos como la banda de los cuatro) muestran el camino de las posibilidades que diferentes servicios ofrecen al usuario sin mayor costo, o mejor aún gratis.  Servicios tales como el uso de una única clave para acceder a diferentes servicios, almacenamiento de documentos y fotos, y la posibilidad de usar procesadores de palabra y hojas de cálculo sin costo ha significado un paso adelante pues no es necesario tener poderosos computadores para realizar estas tareas.

Este salto de servicios disponibles no solo ha afectado a tradicionales competidores comerciales, sino que ha mostrado una vez mas la desventaja de las ofertas en línea de entidades oficiales o de gobierno electrónico alrededor del mundo. Incluso países punteros como los Estados Unidos admiten que la transformación esperada como consecuencia de la aplicación de tecnologías de información no ha sido la mas efectiva. Escándalos como la estrepitosa falla del sitio web de seguro médico federal, que ha sido una vergüenza para el gobierno de Obama, indican que aún hay mucho camino por recorrer.

Desafortunadamente, como es usual en Latinoamérica, las ofertas de gobierno electrónico están en relativo atraso. Por ejemplo, el índice de desarrollo de gobierno electrónico de las Naciones Unidas (EGDI por sus siglas en inglés) no muestran a ningún país latinoamericano en los primeros treinta lugares. Chile con el primer lugar en la región muestra un descenso relativo en la tabla respecto a años anteriores. Otros países de Latinoamérica como Colombia y Uruguay muestran también descenso relativos. Estos países que son punteros en el continente están lejanos a nivel mundial. 

No es que nuestros países no tengan sitios web de sus principales agencias y ministerios. De hecho  estas ofertas en línea existen. Sin embargo, las ofertas modernas de gobiernos electrónico también se han transformado. Atrás quedaron los días en que un ministerio o una agencia oficial simplemente publicaba su sitio web.

Los gobiernos en línea de hoy buscan ofrecer un modelo unificado en el que el ciudadano pueda buscar y ser atendido en los servicios que necesita. En otras palabras un gobierno electrónico avanzado permite la participación ciudadana, pero el actual modelo descentralizado de gobierno electrónico de los países latinoamericanos no es eficiente porque obliga a los ciudadanos a conocer los diversos sitios web de las agencias y ministerios.

jueves, 14 de enero de 2016

Seguridad móvil


Cuando hablamos de seguridad móvil tendemos a pensar en la seguridad de los dispositivos móviles tales como iPads, Android, Blackberry, etc. Sin embargo, hay un componente que los profesionales de seguridad a veces no consideran y que es tan importante como la seguridad del dispositivo en particular. Este componente es el desarrollo de aplicaciones móviles. A pesar de la explosión en el desarrollo de aplicaciones móviles, la experiencia en el campo es más bien limitada dada la novedad del tema.  Como consecuencia tanto desarrolladores, programadores y profesionales de seguridad informática apenas están empezando a analizar los requerimientos que una aplicación de este tipo necesita. 

La siguiente historia refleja los problemas que una organización puede enfrentar cuando decide desarrollar una aplicación móvil, o App como es conocida. Esta compañía decidió usar un proveedor tradicional que le había dado muy buenos resultados en previas aplicaciones web. La empresa ya tenía una aplicación móvil de uso interno que su solución BYOD protegía. 

Esta nueva aplicación móvil estaba pensada para sus actuales y futuros clientes, y se calculaba que un poco más de un millón de usuarios podrían bajarla de las tiendas de aplicaciones Apple y Google.  La agenda para lanzar la aplicación era muy apretada, y por esa razón el proveedor decidió usar el acercamiento Agile, lo cual facilita la rapidez de desarrollo. Sin embargo, el cliente no estaba familiarizado con este acercamiento y prefería el desarrollo tradicional pero ante la presión del tiempo se acordó usar la propuesta del proveedor. 

Al inicio del proyecto las cosas marcharon sin mayor contratiempo, y el proveedor cumplió con los diversos tiempos acordados. Algunos requerimientos que no se podían entregar fueron posponiéndose de común acuerdo. Luego estos mismos retrasos fueron acumulándose y el cliente decidió cambiar el alcance del proyecto a uno menos ambicioso. A pesar de ese cambio, los problemas empezaron cuando el departamento interno de calidad de servicio empezó a realizar pruebas de calidad en la aplicación. Algunas de las esperadas características no funcionaban bien. En el caso de la versión Android, la respuesta era diferente según el dispositivo. Aunque la versión del sistema operativo Android era la misma, el funcionamiento no era igual en diferentes marcas de dispositivos. Esto obligó a concentrarse en iOS. Por fortuna el cliente observaba que su sitio móvil lo visitaban en su mayoría usuarios iOS, y era lógico dedicar energías a un App iOS. 

Quienes tienen experiencia en manejo de proyectos saben muy bien que estos continuos cambios en el alcance y características esperadas de un proyecto puede ser fatales.  Pero la historia no termina ahí. 

Como es usual, el departamento de seguridad tal cual niña fea fue invitado tarde a la fiesta. Y ahí empezó el verdadero retraso.