jueves, 19 de mayo de 2016

Ransomware. La plaga informática II


Como describí previamente, el masivo auge del ransomware afecta por igual a usuarios empresariales y privados. Afortunadamente, el pequeño usuario con su computador personal puede tener una ventaja sobre los usuarios empresariales.

La primera regla es tener una copia de respaldo de los archivos mas importantes. Una buena práctica es tener un disco duro adicional donde se guarden copias de fotos, archivos y otras cosas. Es importante resaltar que este disco duro no debe estar conectado permanentemente al computador. Otras opciones existen en la nube tales como Dropbox o Google Drive pueden servir como respaldo.

Constantemente nuestro departamento forense informático recibe usuarios cuyos datos se han perdido o ya no los pueden acceder. En el mundo de hoy, muchos padres no solo guardan las fotos familiares en sus computadores personales sino la contabilidad familiar, y otros documentos importantes. Es desalentador ver la cara de desasosiego de un padre al recibir la noticia que ha perdido las fotos de sus pequeños o de su juventud.  Es esta posibilidad la que extorsionistas digitales utilizan en su favor para obtener dinero fácil.

La segunda recomendación es mantener el sistema operativo y otros programas actualizados. Los proveedores de software actualizan permanente sus productos y liberan estas actualizaciones sin costo alguno. Por defecto, paquetes de software como Office, Windows, Mac OSX , iTunes, etc. Actualizan el software sin intervención del usuario. Desafortunadamente, ese no es el caso de software ilegal en su mayor parte. La práctica de piratería de software es muy extendida en nuestros países y muchos son los usuarios que tienen instalado software no legal en sus computadores.  Al usar software no legal, los usuarios están poniendo en riesgo la preciosa información que guardan en sus computadores.

La tercera regla es similar y es mantener el software Antivirus actualizado. De nuevo, la común práctica de piratería de software en los usuarios de nuestros países minimiza esta buena prevención. El no uso de software antivirus, o software desactualizado, es extendido no solo en equipos personales sino en micro y pequeña industria.

Finalmente, no abrir archivos provenientes de correos de personas desconocidas ni ejecutar las macros de Office y otros programas es una buena práctica.

Estas son prácticas sencillas que cualquier usuario pueden usar para minimizar las malas consecuencias de un ataque de ransomware.  En el caso de usuarios empresariales, hay un arsenal de defensa mas complejo pero que al mismo tiempo presenta dificultades.

jueves, 12 de mayo de 2016

Seguridad, un incómodo invitado. Lecciones de una aplicación móvil III


El caso descrito en las previas semanas resalta los obstáculos que el desarrollo de una aplicación móvil puede tener. Este caso de la vida real tiene otras implicaciones pero hay algunos que vale la pena resaltar. Como todo desarrollo de software, el proyecto tiene que involucrar a todas las partes interesadas desde el principio. Esto retrasa el arranque del proyecto pero es vital para el éxito de una empresa. Segundo, cuando una organización decide que sus datos o información crítica pueden ser accedidos remotamente usando dispositivos no sancionados por la organización el criterio de seguridad y protección es bien diferente.
 
Y este nuevo criterio y las presunciones que se asumen difieren a los de una aplicación web tradicional. En muchas ocasiones los departamentos de sistemas se pierden en los detalles técnicos sin considerar la verdadera necesidad de la organización. Hay muchas soluciones BYOD en el mercado que cumplen sus funciones a cabalidad, pero estas herramientas de software no proveerán la protección necesaria para información que pueda ser accedida por clientes o socios comerciales y en cuyos dispositivos la herramienta BYOD no aplica. 

No es necesario ser un experto desarrollador o un arquitecto hábil para orientarse en este nuevo ámbito. El personal del proyecto debe estar familiarizado con la legislación de privacidad donde la aplicación se vaya a utilizar. La legislación norteamericana de Estados Unidos respecto a privacidad de información es menos restrictiva que la europea y bien diferente de la de varios países latinoamericanos. Este aspecto es muy importante a la hora de tomar decisiones que pueden afectar la arquitectura de la aplicación. 

Hay otras preguntas bien importantes respecto a la validación del usuario. ¿Serán los usuarios validados por la organización directamente, o la aplicación aceptara validación de terceros vía Open ID o similares? 

Sobre todo es importante es necesario tener claridad acerca de la información que la organización desea hacer pública o accesible por dispositivos que no controla. Y esto último es mucho más difícil porque la organización debe clasificar y definir que desea proteger.  Y eso, aunque irónico, no es claro muchas veces.