Ya que estamos esto, cuando quieres enviar un email a un grupo de personas, usualmente pones sus direcciones separadas por una coma o usas la opción CC (Con Copia), ¿no es así?

Pues bien, existen 3 razones por las que NO debes hacerlo, sobre todo cuando se trata de envíos a un gran número de personas:

1) PRIVACIDAD: Al escribir las casillas de esta forma estarás revelando todas las direcciones de envío a cada uno de los destinatarios. En algunos casos no tendrá importancia, pero en otros estarás revelando casillas para uso privado que la gente no desea hacer públicas. Sé considerado.

2) ESPAM: Sí… todos odiamos esos correos basura ofreciendo créditos, loterías, novias rusas, viagra y otras tantas cosas que no necesitamos (bueno, al menos yo).

¿Sabías que al enviar un correo a muchos destinatarios generas listas con direcciones que -tarde o temprano- llegarán a un generador de espam? Oh sí, les estás haciendo un gran favor a esos pequeños bastardos.

3) RAPIDEZ: Si tu correo está dirigido a mucha gente, esa lista de direcciones adjunta añadirá un peso adicional (e innecesario) al mensaje. Cuenta con que se entregará más rápido sin ellas.

Pero entonces… ¿cómo mando esa invitación para la junta de nuestro club de Polka? Simple: todo servicio de correo electrónico -tanto programas como vía web- tiene una opción llamada Copia Oculta o BCC (Blind Carbon Copy).

Si anotas las casillas de tus destinatarios con esta opción, recibirán el contenido pero nunca se enterarán de quienes eran los otros destinatarios. Wow! Es práctico, fácil, rápido, bonito, pero sobre todo: privado.

Y ahora que ya lo sabes, ve y cuéntaselo al gordito de la oficina que se regocija reenviándole al mundo PowerPoints, ¿vale?…

Si algo positivo tuvo el incidente del fin de semana, fue precisamente la paranoia por la seguridad que dejó en muchos internautas, renovando sus claves esa misma noche.

Sin embargo no basta cambiarlas: para sernos útil, una contraseña debe cumplir requisitos mínimos de extensión, calidad, y uso. De hecho los expertos aconsejan tener una por sitio web, de 14 intrincados caracteres como mínimo y rotarlas cada 2 meses… claro, precauciones tan efectivas como poco realistas.

¿Qué hacer? A continuación les doy 3 simples pasos a seguir para crear un entorno seguro alrededor de sus casillas de correo, redes sociales, blogs, tiendas y sitios financieros, sin devanarse los sesos.

Tomen acción ahora… antes de que alguien lo haga por ustedes (y si buscan datos para webmasters, Eduardo también propone algunos tips interesantes).

1) Divide tus sitios web en (al menos) 3 grupos

Usar un password por cada sitio sería demencial, sin embargo podemos definir grupos a los que confiar una clave, lo que nos permitirá limitar el daño en caso de que sea vulnerada.

Por ejemplo, usa una contraseña masiva para tus sitios más prescindibles (suscripciones a boletines, foros, registros, etc). Otra para los sitios que portan tu identidad (redes sociales, comunidades, blogs, etc) y una tercera acotada a tus sitios más críticos (correo, tiendas, servicios, etc).

Adicionalmente, deberías crear una 4º contraseña única para tu banco. No sólo porque una intrusión tendría las peores consecuencias, sino porque en Chile muchos de ellos -irónicamente- sólo aceptan contraseñas de baja calidad (hasta 8 caracteres, sólo letras y números).

2) Crea contraseñas fuertes

Una buena clave debe evitar al máximo 2 situaciones: poder ser adivinada por alguien o poder ser descifrada (crackeada) por un programa especializado.

Esto depende directamente de la longitud y tipo de caracteres que utilicemos: una clave numérica de 7 dígitos puede ser vulnerada en sólo 5 minutos, mientras que una de igual extensión pero con letras y números puede tardar entre 6 a 18 días. Hace una diferencia, ¿eh?

Así, una contraseña fuerte debe:

» Tener un mínimo de 8 caracteres (el ideal es sobre 10).
» Usar letras, números y símbolos (cuando son admitidos).
» Alternar entre mayúsculas y minúsculas.
» JAMAS basarse en fechas de cumpleaños, nombres, direcciones, teléfonos, secuencias de teclas o cualquier otro dato ‘adivinable’.

Microsoft ofrece una herramienta en línea bastante útil para probar la fortaleza de tus passwords (y no, no se queda con ellos). Como comprobarán, es muy exigente en cuanto a extensión y caracteres utilizados, por lo que parece imposible satisfacerla sin ingresar una sencuencia ininteligible de teclas.

Entonces, ¿cómo creamos una contraseña tan difícil que no pueda adivinarse pero lo suficientemente sencilla para recordarla? Vamos a eso…

3) Usa la mnemotecnia

No. No es un concepto de Robotech ni del maestro Yoda, sino una técnica para recordar largas secuencias como fórmulas, siglas y por supuesto, contraseñas.

Se basa en tomar los primeros caracteres de una frase -a veces adaptándolos- para crear un acrónimo del que sólo su inventor pueda comprender (y recordar) el significado.

Por ejemplo pensemos en la estrofa de la canción de un artista al azar como… eh… uh… Laura Pausini:

Culpa de un verano, del perfume de una noche de un momento que

Si dejamos sólo los primeros caracteres, pasamos a digitos los números y conservamos la coma, podemos tener algo así:

Cd1v,dpd1nd1mq

Listo. Una clave de fortaleza máxima creada en base al poder del amor ♥

Desde luego no es necesario usar siempre canciones. Piensa en libros, lugares e incluso en otros sistemas como invertir números de teléfono, reemplazar letras por números (L0sTr3s) o cualquiera que te acomode.

Le agradezco la franqueza y la capacidad de diálogo, a veces tan escasa en estas tierras digitales. Mis intervenciones están señaladas en cursiva.

» Porque su forma de administración genera roces con muchas personas, al punto de provocar “despidos” y renuncias masivas de editores el año pasado.

JF: En toda la historia de FayerWayer, solo se ha despedido a una persona y nunca ha habido tal cosa como renuncias masivas*

[Nota: Sé de al menos 6 personas que salieron de FW en situaciones "poco placenteras", principalmente por la mala actitud de uno de los directivos de BZ (que no es JF ni LP). No me entiendo autorizado a publicar sus nombres salvo que ellos mismos lo expresen].

» Además un sector importante de la comunidad se siente traicionada por la nueva dirección comercial de los sitios. Sólo hace momentos conversaba con un usuario antiguo de CHW que se quejaba en torno a la displicencia administrativa de BZ, la baja calidad de las noticias o los problemas con la migración a FreeBSD que tienen a muchos disconformes.

JF: La baja calidad de las noticias breves en CHW es algo en que estamos trabajando, sin embargo el líder del equipo de noticias de CHW es el mismo que esta hace muchísimo tiempo (de hecho la estructura editorial pre-Betazeta y post.-Betazeta se mantiene intacta).

Los problemas de estabilidad es algo en lo que estamos trabajando y que ha sido bastante difícil. Por último, somos una startup y los recursos son limitados. No olvidemos que los sitios de Betazeta atraen muchísimo trafico y esto así mismo, trae compejidades propias de carga.

» La sola salida de 4 sitios de los que originalmente conformaban BZ (Zancada, The Clinic, Bligoo y Dale Albo) es evidencia per sé de problemas internos.

JF: Zancada decidió salir de Betazeta por decisión propia, estaban vendiendo muy bien con nosotros, sin embargo quieren seguir un camino independiente. Si hablas con la Paty, dueña de Zancada, te puede confirmar esto.

La salida de The Clinic, también fue por decisión de ellos y la razón es sencilla, no tiene sentido que estemos juntos, son dos escuelas muy distintas y no hay beneficio alguno para ninguno de los dos en que estemos juntos. Nuevamente, esta información puedes corroborarla con la gente de The Clinic, con quienes somos y seguimos siendo muy amigos.

Tu asumes que los sitios salieron por malos tratos, sin embargo con Paolo [Bligoo], TC y la Paty tenemos excelentes relaciones y de hecho a TC los seguiremos ayudando por un tiempo. Nuestro equipo comercial sigue haciendo cosas con la Paty y Zancada, y con Paolo, siempre hemos tenido una excelente relación y es un gran amigo, lo cual, nuevamente, puedes confirmar con él.

Saludos,

JF

This is the common term used to describe a malicious hacker, though it also can refer to code breakers. Crackers get into all kinds of mischief, including breaking or “cracking” copy protection on software programs, breaking into systems and causing harm, changing data, or stealing. Hackers largely regard crackers as a less educated group of individuals who cannot truly create their own work, and simply steal other people’s work to cause mischief or for personal gain, not to promote understanding.
(Geek.com Technical Dictionary).

Como quizá ya habrán leído o escuchado, a medianoche la red de Betazeta -FayerWayer, CHW, The Clinic, entre otros- sufrió un serio ataque que además de dejarla fuera de servicio, expuso información sensible de sus editores.

Esta vez no fue la típica ‘travesura’ a que algunos grupos de hackers nos tienen acostumbrados. Esto fue una acción maliciosa, con el fin evidente no sólo de hacer daño, sino de menoscabar la dignididad de quienes trabajan en ella.

Y sí, puede que en muchos sentidos Betazeta sea una empresa de mierda. También puede que sus muchachos hayan consentido gafes de seguridad considerables. Sin embargo cuando alguien deja la puerta de su casa abierta se le advierte -con sorna si se quiere- pero no entrando a robar.

Claro, salvo que seas un delincuente.

Desde aquí mi solidaridad con Betazeta. Nos agraden o no sus actitudes, estos chicos están poniendo el nombre del país en las lides digitales y no comprender eso o peor aún, tratar de sabotearlo, es sólo reflejo de pobreza mental.

La última evidencia es el mega-condoro de la empresa de seguridad McAfee, que tras enviar ayer su actualización DAT 5664 provocó que cientos de computadores en todo el mundo quedaran inutilizados, luego que el antivirus confundiera archivos vitales de Windows con el troyano PWS!hv.aq y los pasara a cuarentena.

Y considerando que sólo hace unos días un error de BancoEstado provocó que los depósitos del día anterior se computaran como giros (sin ofrecer explicación alguna), sumado al desliz de Google que en enero vetó a toda la Internet como “sitio peligroso”, me hace pensar que de cara al futuro necesitaremos mayores estándares para los procedimientos que afecten los servicios, computadores (o las vidas) de gran parte de la población.

¿Qué tal si hacemos una licencia A5 para navegar?… mientras no las entregue la Fundación Chile, claro está.

Cuando hablamos de los peores errores que cometen los usuarios de computadoras, uno de mis favoritos es la poca atención que incluso las empresas prestan a su seguridad informática.

Y no hablo de utopías marxistas como hacer regularmente copias de respaldo, tener conexiones con contraseña o habilitar un cortafuegos, sino a una norma tan básica como ignorada: contar con un buen programa antivirus.

Rayemos la cancha con 2 axiomas:

· Todo PC con Windows debe usar un antivirus.
· Todo antivirus se debe actualizar a diario o se volverá inútil.

Pero una vez convencidos de esto, las cosas parecen tornarse menos claras. ¿En qué soluciones antivirus podemos confiar? ¿Son realmente buenas las alternativas gratuitas? ¿Cuál de todas es la mejor?…

Tras investigar un poco, noté que a nivel mundial existen 3 grandes certificaciones aplicadas a las soluciones antivirus: la Checkmark de West Coast Labs, el sello ICSA Labs y el premio 100% de Virus Bulletin (VB100).

Todas aseguran que el programa cumple con requisitos mínimos de calidad, pero tanto por la información que nos facilita como por la forma en que se realiza, el test de VB100 merece que le demos un vistazo en profundidad.

Parte de la empresa de seguridad Sophos en Inglaterra, esta revista y conferencia anual evalúa sin costo para los fabricantes las distintas aplicaciones en el mercado, checando si son capaces de detectar el 100% de los virus considerados activos al momento de la prueba, con una dificultad adicional: sólo en su configuración por defecto y sin dar falsos positivos.

Ahá. Sin medias tintas. Indultar un solo bicho o zamparse un archivo indefenso basta para fallar.

Pero hay más. Bajo VB100 los programas son reevaluados periódicamente sobre las plataformas más utilizadas, tanto en computadoras personales como servidores, e incluso sobre Linux*.

*¿Linux? ¿No que Linux no tenía virus? Bueno, además de no ser una afirmación totalmente cierta, todo servidor dotado de Linux debería contar con un programa antivirus por una razón muy simple: trafican archivos de Windows. Y aunque no les afecte, estarían propagando la infección. Curioso, ¿eh?

Así las cosas, decidí echar un vistazo al historial de los 9 antivirus más conocidos en Chile + 3 soluciones gratuitas. Una especie de resumen de notas de 1º básico a 4º medio que nos indicará su promedio de efectividad:

Okey, ¿Nod32 y Norton la llevan mientras Panda y AVG apestan? No tan rápido.

Así como un pésimo alumno en básica puede mejorar sus notas en la secundaria, los antivirus también tienen algo que decir cuando revisamos sus calificaciones uno a uno. A continuación los comentarios individuales:

1) (Alwil) Avast: Nuestra primera solución gratuita no ha sido un buen estudiante últimamente. Entre 2007 y 2008 ha fallado 3 tests, incluyendo falsos positivos en Ubuntu y Windows 2000, más humillantes 19 virus no reconocidos sobre Windows Vista.

Con su 53.1% de efectividad histórica, Avast no parece ser el mejor guardián.

2) (Grisoft) AVG: La segunda opción gratuita es todo un ejemplo de resarcimiento. De un inicio plagado de fallos entre 1998 y 2003, AVG mejoró hasta pasar indemne sus últimas 5 pruebas entre 2008 y 2007.

Su último fallo fue por 1 omisión sobre Windows XP en junio de 2007 y antes en 2004, lo que pese a su 50% de efectividad histórica le brinda un estátus relativamente confiable.

3) Avira: Nuestra última solución gratuita tiene una historia corta pero exitosa con VB100, ya que de 13 pruebas entre 2005 y 2008 sólo ha fallado 2, ambas sobre Windows 2000 y por falsos positivos.

Con un 86.6% de efectividad, si no fuera porque su versión gratuita no incluye protección especial para correo electrónico (POP3), sería el antivirus perfecto.

4) BitDefender: Ya en los programas de pago -aunque con una edición gratuita- BitDefender estaba por anotarse un récord “sin accidentes” cuando en abril de este año tuvo un resbalón: 2 virus se le filtraron sobre Windows Vista.

Pero considerando que no fallaba desde 2004 -nuevamente por omitir virus- con su 70.8% histórico BitDefender aún así parece ser una buena solución.

5) F-Secure: Tras una pésima racha entre 1999 y 2002, F-Secure se había mantenido confiable hasta 2007, cuando omitió un virus sobre Windows XP. El mes pasado repitió el numerito sobre Linux, esta vez con un falso positivo.

Con 67.4% de efectividad y 2 fallos recientes, yo le daría una vuelta más.

6) Kaspersky: Puede venir de Rusia y con mucho amor, pero Kaspersky ya no es lo que era antes.

Con 2 fallos por omitir un virus en junio y diciembre de 2007 sobre Windows XP y Windows 2000, más un tercer fallo el mes pasado sobre Linux por falso positivo que bajan su historial a 72.4%, los chicos de Kaspersky van a tener que esforzarse un poco más.

7) McAfee: Orientado casi exclusivamente a empresas y con fallos cada cierto tiempo, McAfee no está haciendo todo lo que puede para un segmento que exige máxima seguridad.

Su última caida fue en abril de este año, tras pasar 1 virus sobre Windows Vista. Antes fue en febrero de 2007, omitiendo 2 virus también sobre Vista. Con un 63.6% de efectividad histórica eso es… hasta la vista.

8) MS OneCare: Pese a que “seguridad” y “Microsoft” son 2 términos que parecen no poder ir en la misma línea, el antivirus de Bill Gates ha hecho progresos interesantes, pasando sus 2 últimas pruebas en junio de 2007 y abril de 2008 sobre Windows XP y Windows Vista.

Por desgracia, su novel historial se empaña por una caída horrenda en febrero de 2007: 37 virus pasaron felices ante su presencia, sobre Windows Vista.

¿Mi opinión? Esperaría un poco más… aunque sigamos observando.

9) (Eset) Nod32: Es el campeón indiscutido de las pruebas VB100, fallando apenas 3 test de 55 que ha presentado desde 1998. Su último porrazo fue en abril de 2002, pasando exitosamente las pruebas para todas las plataformas en uso actualmente.

Con un 94.3% de efectividad histórica, no hay dónde perderse.

10) Panda: Contrario a su primo del Kung-Fu, este oso sí se rindió, pues tras un pésimo inicio entre 2000 y 2002, Panda no se presentó más a las pruebas VB100, dejando un triste registro de 25% de efectividad.

Sería injusto juzgarlo por tests realizados hace tanto tiempo… pero si no ha regresado a certificarse, por algo será.

11) (Symantec) Norton: Norton Antivirus tiene un récord asombroso de eficiencia, sin registrar un solo fallo nada menos que… ¡desde 1999!

Con un 88% de efectividad y éxito en todas las plataformas, Norton sería la mejor alternativa de no ser porque su obesidad y capacidad de impertinencia le han otorgado un segundo reconocimiento: ser uno de los programas preinstalados más infames de la historia.

12) Trend Micro: Nuestro último participante lo ha tenido de dulce y agraz. Entre 2002 y 2006 mantuvo un ritmo perfecto de éxitos, hasta que el abuso de alcohol le hizo fallar 4 de las pruebas más recientes a las que se ha presentado, dejando escapar virus y presentando falsos positivos tanto sobre Windows Vista como en Windows 2000.

Ciertamente Trend Micro no es mi candidato… hasta que se rehabilite.

Conclusión

En la categoría comerciales, Nod32 sigue ratificando por qué pese a ser el producto de una compañía pequeña y sin grandes recursos de marketing, le veo cobrar fuerza en el entorno de empresas.

De hecho es mi opción personal desde 2005 y -sin que este análisis tenga relación alguna con el Sony Vaio que me deslizaron bajo mi puerta- puedo decir que hasta la fecha no tengo de qué quejarme, proveyendo una excelente protección sin afectar negativamente mi trabajo (como sucede en el caso de Norton).

Su licencia tampoco es cara: algo más de 27 mil pesos (89 USD) al año.

Ahora, si preferimos una opción gratuita, claramente la alternativa es Avira, que con uno de los mejores promedios históricos de las pruebas VB100 rivaliza incluso con soluciones de pago más conocidas.

Desde luego, no pretendo que este resumen sea una guía definitiva de antivirus. A la efectividad se unen muchos factores, como la facilidad de uso, rendimiento o precio de cada producto… y esa es la parte donde entran ustedes.

¿Opiniones?

En una actitud destacable, Rocío Posadas, PR & Consumer Marketing Manager de Intel para el Cono Sur, me hizo llegar un comunicado oficial de la empresa sobre nuestra última denuncia, donde se declaran alertas ante la posibilidad de un fraude en el concurso Qué es un procesador que están llevando adelante.

Transcribo:

Estimado Christian:

A nombre de Intel lamentamos que un usuario pueda eventualmente desperfilar el real sentido del concurso Qué es un Procesador. Ésta es una iniciativa orientada a la comunidad tecnológica de Chile que tiene por único objetivo el que la gente se acerque a la compañía y aporte colaborativamente respecto de su definición de un procesador.

En esta oportunidad, las medidas de seguridad que tomamos fueron las siguientes:

- Rastreo de IP por intervalo de tiempo.
- Cookies
- Datos en sesión de servidor
- Captcha de 4 a 7 dígitos alfanuméricos con textura de fondo posición random de dígitos y líneas que cortan los mismos para dificultar visibilidad.

Adicionalmente, corregiremos en el sitio el dato que dice “Vistas” puesto que corresponde a pageviews de la página que contiene el video en concurso y no a reproduciones del mismo.

Esta situación es puntual y la experiencia de Intel en este tipo de actividades es muy positiva. Por ello, invitamos a todos nuestros usuarios a seguir votando por su video favorito y habilitaremos desde este miércoles 23 de julio a las 12:00 horas el correo info@queesunprocesador.com para que puedan enviarnos sus comentarios y sugerencias para poder canalizarlas.

Seguiremos desarrollando actividades orientadas a la industria digital, apelando a la buena fe de los participantes y tomando los resguardos técnicos necesarios. Creemos en la web 2.0 y nuestro compromiso es que todos pueden aportar con ideas.

Saludos,

Rocío Posadas
PR & Consumer Marketing Manager
Intel Cono Sur

Concuerdo con Rocío. Es deleznable (por no usar un término más siútico) que con frecuencia estas instancias de participación acaben empañadas por facinerosos acostumbrados a saltarse la fila. Máxime si ni siquiera tienen la excusa de competir con un trabajo que valga la pena trampear.

Para las empresas también involucra un dilema: entre más filtran la votación -captchas, registros, bloqueos- más dificultan participar y el concurso pierde brillo desde la óptica publicitaria… razón primera por la cual lo organizaron.

Vuelvan al caso de Katty Ko, donde los organizadores abiertamente reconocían que su objetivo era lograr votaciones altas, aún si esto significaba que podía dejar a un abuelo con parkinson votando una y otra vez por mi candidato.

¿Mi conclusión? Por más triste que suene, no puedes dejar una elección 100% en manos del público. Mientras la seguridad en la web no se perfeccione, las votaciones deberían ser una opinión más en un panel de jurados, neutralizando (y desincentivando) eventuales manipulaciones de votos.

Bien por la reacción de Intel. Ahora sólo confiemos en que tomarán las medidas necesarias en caso de comprobarse el chanchullo.

Por regiones, América Latina tiene una tasa de piratería del 65%, sólo superada por Europa Central y del Este con 68%. El Asia Pacífico registra en tanto un 59%, la Unión Europea un 35%, Europa Occidental un 33% y Norteamérica un 21%.

Los datos fueron recabados por IDC a encargo de la BSA, sindicando a Armenia como el país con mayor uso de software ilegal en el mundo con un 93%, mientras en el extremo opuesto se ubica EEUU con un 20%.

(Fuente: AméricaEconomía)

Nota: Revisar comentario #11 sobre metodología utilizada.

A los chilenos, Microsoft ha de querernos mucho, mucho.

Lo digo porque no sólo nos regala generosas iniciativas sociales y acuerdos de colaboración con nuestro gobierno, sino que ahora nos da el honor de encabezar un programa piloto a nivel mundial… contra la piratería.

Seguro muchos de ustedes conocen la infame estrellita de Windows -o WGA- con que Microsoft nos comunica que no estamos disfrutando la orgásmica experiencia de un Windows legítimo, por lo que la arruina aún más con acciones que van desde prohibirnos descargar software hasta saturarnos con carteles advirtiendo que nuestro PC estallará en llamas.

La novedad está en que este programa se extenderá ahora a Microsoft Office XP y Office 2007, teniendo a Chile, España, Italia y Turquía como sus primeros “beneficiarios”.

¿Qué sucederá exactamente a los herejes que no logren demostrar por Internet que poseen una copia de MS-Office original? Según la directora de la iniciativa de software genuino de Microsoft, Cori Hartje:

“Específicamente, los usuarios de Microsoft Office no-genuino en los países del programa piloto recibirán un mensaje advirtiéndoles que su copia no es original. El cliente verá este mensaje cuando abra una aplicación de Office -y de nuevo cada 2 horas- durante 30 días. También recibirán más información sobre el problema y cómo adquirir una copia legítima.

Tras recibir estas notificaciones por 30 días, las aplicaciones de Office quedarán marcadas con un recordatorio visual de que esa copia no es legítima. Tantos los mensajes como las marcas visuales desaparecerán una vez que el cliente obtenga una copia original o desinstale los productos no-genuinos.

Ninguna de estas advertencias impedirá a los clientes acceder a sus datos o preparar documentos”.

Así es. El programa no deshabilita funcionalidades o impide trabajar (como sucedió en un principio con Windows Vista), por lo que es fácil suponer que a muchos usuarios caseros les importará poco ver mancillado su orgullo al verse acusados de piratas.

Sin embargo, dudo que a las empresas o instituciones estatales en situación irregular les haga la misma gracia… menos aún las que atienden directamente a sus clientes (¿imaginan a su ejecutivo bancario o funcionario municipal con una planilla de Excel que cruza la pantalla diciendo “este software no es original”?).

Ahora, Microsoft tiene todo el derecho a mosquear a los usuarios ilegales, por lo que aplaudo la iniciativa. Primero porque ayudará a crear conciencia de cuán enraizada está la piratería, pero más todavía, porque será una excelente oportunidad para la promoción de OpenOffice.

Por cierto, notables los RRPP de Microsoft:

“La iniciativa de software genuino sigue progresando para proteger a sus clientes“

Wow. Me siento tan protegido…

Y cuando digo en el fondo, realmente me refiero al fondo, al núcleo. El mismo que da vida a Windows Server 2008.

Pero vamos por partes.

Por cortesía de los chicos de ITSur, este jueves Claudio, Franco y yo asistimos al adelanto que Microsoft hizo en el Hotel Araucano de su nuevo sistema operativo para servidores -Windows Server 2008- y del primer paquete de actualizaciones (Service Pack) para Windows Vista.

(Nuestro amigo Javier también estaba inscrito, pero se corrió olímpicamente por temor a contagiarse algo).

Para mi sorpresa, el evento superó con creces nuestras expectativas. Esto, porque en vez de traernos al típico presentador hiperventilado que nos iba a engrupir con las 100 (risibles) razones para actualizar a Vista, trajeron un presentador hiperventilado que hizo todo lo contrario a un profesional de mercadeo: mostrar como efectivamente es útil un producto.

Así, el asesor de Comunidades IT, Christian Linacre, se dedicó por casi 3 horas a recorrer las ventajas que tiene WS2008 para un administrador de redes. Y déjenme decirles que tras una sobredosis de conferencias donde el encargado -con suerte- lee las especificaciones en su Blackberry, de camino y durante los semáforos en rojo, se agradece que Redmond nos haya enviado alguien que sí sabía de lo que estaba hablando, respondiendo a cabalidad cada pregunta.

Pero fuera de lo mucho o poco que a uno le agrade Windows Vista, lo en verdad interesante son los temas que se desprendieron indirectamente de la charla. Algunos sobre la empresa, otros sobre los usuarios… e incluso sobre cómo la empresa está tratando de cambiar la relación con sus usuarios.

1. ¿Seguridad? Ah sí, hable con el guardia…

Entre las novedades que ofrece WS2008 en tándem con Windows Vista (se vende por separado en las mejores jugueterías del país) está Windows Deployment System, para instalar copias personalizadas de Windows en red (no, no sirve para crear versiones como Windows Unión Europea); registro de errores bajo estándar XML (iba a sugerir ODF pero valoré más mi vida) y lo que más nos llamó la atención, Network Access Protection (NAP).

NAP es un estricto sistema de seguridad donde cada computador conectado a la red debe cumplir ciertos requisitos para ser declarado confiable, como poseer antivirus (activo) (y actualizado), cortafuegos o algún anti-spyware. En caso contrario, el PC sólo tiene acceso restringido o es derivado a un “servidor correctivo” desde donde instalar las actualizaciones.

En teoría, NAP es la solución a los problemas de seguridad, privacidad, virus y otros tipos de plagas en las empresas, sin embargo la infraestructura que requiere claramente no está pensada en pymes sino en grandes empresas, pero más aún… ¿es compatible con la displicente idiosincracia chilena?

Quien haya trabajado sobre una red corporativa sabrá que -en su mayoría- los niveles de seguridad en nuestro país son paupérrimos, y no porque se carezca de medios, sino porque nadie se molesta en aplicar (o exigir) las barreras. Si consigues un cable de red, ya tienes libre acceso al archivo de gerencia. Felicidades.

Quizá en EEUU la paranoia sea razonable, ¿pero aplicarán los encargados de seguridad un sistema complejo como NAP en forma adecuada en un país donde se acostumbra dejar la radio desmontable… en la guantera del auto?

Considerando que un 90% de las empresas a nivel mundial tienen pendiente mejorar su seguridad sin necesidad de recurrir a gastos extra -es decir, con su infraestructura actual- lo veo poco, muy poco probable.

Supongo que la razón para tardar tanto es que mi mente no lograba concebir el esquema que deseaba darle. Nunca me he considerado bueno en entrevistas personales, mientras que los grandes temas he preferido reservarlos a los medios donde trabajo. Pero… ¿y si mezclamos un poco de ambas?

Fue la multitud de bitácoras que visité tras el acuerdo Gobierno-Microsoft lo que me llevó a confirmar que esta comunidad llamada blogósfera se ha convertido en un increíble reducto no sólo de vivencias, sino también de conocimientos, ideas, debates y proyectos que son impulsados por ciudadanos tan comunes como extraordinarios — tanto como cualquiera de nosotros.

Allí es donde quería apuntar.

Así nace 7 Preguntas, un experimento que busca indagar en estos mundos y personajes que se esfuerzan por hacer la diferencia desde la red. Y quién mejor para inaugurarlo que Paulo Colomés, un joven aysenino que con sólo 24 años ya está dando que hablar en el área de la seguridad informática local.

¿Que quién es Paulo? Un estudiante de ingeniería informática de la Universidad de Temuco que además de dictar clases en la UFRO, Inacap y el CFT Andrés Bello, creó el sitio Seguridad-Informatica.cl, portal pionero en Chile por la alerta y seguimiento de las vulnerabilidades en importantes sitios nacionales… tarea que puede resultar bastante ácida, como ahora comprobarán.

1) Salvo la experiencia del CLCERT de la Universidad de Chile y la propuesta en la Agenda Digital 2.0 de crear un centro nacional de alertas, hasta donde tengo conocimiento Seguridad-Informática.cl es el único portal chileno dedicado a investigar y difundir fallos de seguridad en nuestro país.

¿Qué te llevó a crear este sitio Web? ¿Cómo ha sido la experiencia de mantenerlo?

Un día necesitaba encontrar información respecto a un tema muy específico para el diplomado en seguridad informática que relato en la UFRO y -por más que busqué- no hallé nada asociado a la realidad chilena. La mayoría de la información provenía de España y Argentina, o de sitios en inglés y alemán.

Entonces pensé que, asimismo como necesitaba esa información, debía haber muchas personas más en la misma situación, por lo que decidí crear yo mismo un portal de seguridad informática donde tratar el tema desde el punto de vista de nuestro país. Básicamente la idea fue ayudar.

Manter el sitio no ha sido fácil. En poco más de 3 meses ya cuenta con 20 mil visitas, lo que fue una gran sorpresa al darme cuenta del interés que había en el tema y -sobre todo- la necesidad de que esa información sea transparente.

2) Relacionado con lo anterior, sé que la labor de los portales de seguridad es ingrata pues, cuando descubren una vulnerabilidad, los afectados suelen acusarlos de fomentar que otros individuos aprovechen esos fallos al hacerlos públicos.

¿Qué pasos sigues cuando descubres o te informan de una vulnerabilidad? ¿Cómo suelen reaccionar las empresas en Chile?

Es lo más polémico que debo enfrentar diariamente. En lo personal no me guío por un “manual de las buenas prácticas” o por la “ética del hacker” cuando tengo que publicar una vulnerabilidad, sino que sólo sigo mis conocimientos y mi propio criterio.

Todos los días me siento en mi PC, programo mis softwares para que escaneen algunos servidores conocidos, redes o páginas web y que me devuelvan sus reportes. Cuando encuentro que hay algún problema que afecte la seguridad tomo uno de dos caminos:

1) Cuando la vulnerabilidad es realmente grave y el daño puede ser muy grande, no lo publico y me contacto con las personas encargadas para que corrijan el problema. Esto no es por ética como decía anteriormente, sino que simplemente se trata de que si llegaran a atacar ese servidor me sentiría cómplice por conocer el problema y no ayudar a prevenirlo. Nada más.

2) Cuando la vulnerabilidad encontrada es de bajo o medio riesgo, entonces lo publico por 2 razones:

A) Porque le servirá a los programadores, administradores y webmasters como ejemplo de lo que deben evitar.

B) Porque genera interés y atrae personas al sitio. A la gente le gusta estar informada respecto de estos problemas.

Ahora, en el 90% de los casos de todas formas alerto a los responsables con un correo, sin embargo a las personas no les gusta que sus sitios aparezcan con el título de VULNERABLES, más por un problema de prestigio que por interés en protección de la información.

Algunas personas arreglan el problema y no se dignan enviar de vuelta un correo de agradecimiento (como el Registro Civil o Telefónica del Sur) pero otras personas sí agradecen que se hagan públicos sus problemas para solucionarlos a la brevedad, como los desarrolladores del CMS Prontus (usado en Fonasa, el Senado y varios diarios nacionales), quienes sí me respondieron amablemente por ayudarles a proteger a sus clientes.

Esto demuestra que el hecho de hacer públicos los fallos genera de inmediato una reacción y -en el 100% de los casos- la gente se motiva para dar prioridad a resolverlos.

3) Mientras en la mayoría de los campos de la informática destaca la colaboración (el código abierto es una de las mejores muestras), tengo la sensación de que en el área de la seguridad se da mucho más la competencia, el recelo, e incluso un conflicto de egos.

¿Compartes esta impresión? ¿Será porque el investigador que publica primero un fallo se lleva la “gloria”?

Realmente es así. Muchas personas se sienten glorificadas por descubrir y publicar un fallo de seguridad, pero en general no se trata de profesionales, sino de personas del ámbito underground y hackers.

Sin embargo creo que la razón más importante para este recelo es que se trata de un buen negocio. Actualmente en Chile es rentable dedicarse a la seguridad porque pocas empresas lo hacen y no es poco lo que cobran. Algunas sienten que les estoy echando a perder el negocio y obviamente cualquiera saltaría si su nicho se ve amenazado, ¿no?

Pero también la seguridad informática es desconocida para la gran cantidad de usuarios de Internet en Chile, y son justamente ellos quienes terminan estafados, infectados con virus o hackeados. La idea de Seguridad-Informatica.cl es educar y para esto es necesario tomar ejemplos reales — no para fomentar hackeos, sino para que los usuarios experimenten y comprueben que las vulnerabilidades suelen ser muy peligrosas, aprendiendo de paso cómo evitarlas.

4) Hurgando en el blog de Liberación Digital, me topé con un comentario tuyo proponiendo recurrir al “hacktivismo” -en el sentido de atacar o intervenir sitios públicos importantes- como método de protesta… propuesta que, por cierto, no tuvo buena recepción.

¿Es el “hacktivismo” un método eficaz de presión política? ¿No crees que puede acabar siendo contraproducente?

Jajaja. Eso lo planteé medio en serio medio en broma.

Lo que pasa es que he sido testigo de cómo el Estado le da cero importancia a los datos personales de sus ciudadanos. Hurgando en servidores por ahí, he visto cómo las bases de datos con toda nuestra información anda suelta sin ningún control sobre quien puede o no tener nuestros datos.

En este momento tiendas o bancos de los que jamás he sido cliente poseen mis datos y me envían publicidad u ofertas de créditos. Eso me genera impotencia. No poder ejercer un control sobre la seguridad de mis datos y estar obligado a dejar mi privacidad en manos de un Ministro que dice “sí, vendámosle esto a Microsoft no más”, eso es lo que no me gusta.

Creo que el hacktivismo no es un método eficaz de presión política, pero sí que ayuda a generar controversia. Mira a los estudiantes que debieron generar un movimiento nacional sin precedentes para que el gobierno los tome en cuenta.

El sentido de ese mensaje iba por ese lado, de que en Chile tendríamos que lanzar ataques a servidores y sitios webs para que los responsables de gestionar la información diga: “oh, esta gente existe y quiere algo”.

5) En el mismo sentido, leí algunas páginas donde se te describe como “hacker”, aunque al parecer no te gusta ese calificativo.

¿Es porque el común de la gente relaciona a los hackers con actividades criminales? ¿Cuál es tu concepto de un hacker y cuál es su rol en la sociedad?

Siempre he dicho que no soy hacker y definitivamente es así. Hay una gran confusión respecto a las denominaciones, pero es algo inevitable. Si le preguntas a cualquier persona qué es un hacker, te va a decir que son personas que saben mucha informática y la aprovechan para cometer algún ilícito. Algo falso y -en parte- culpa de los grandes medios que publican en sus portadas que un “hacker le robó el MSN a la Quenita Larraín“.

Pero no es por esto que no me gusta que me traten de Hacker, sino que para mí los verdaderos hackers son los criptoanalistas, esas personas dedicadas a romper o revertir algoritmos matemáticos de cifrado de datos para buscarles vulnerabilidades y así mejorarlos.

Son como en las películas de la II Guerra Mundial cuando los yanquis tenían una sala llena de digitadores tratando de decodificar los mensajes en clave de los Nazi. Estos eran y son los verdaderos hackers. Yo no tengo el conocimiento ni la inteligencia para lograr eso. Soy un investigador de seguridad informática.

Por cierto, el término correcto es CIFRAR, no ENCRIPTAR. Se debe decir “cifrado de datos” y no “encriptación de datos”. Lo último es un anglicismo tomado de “to crypt” que en español hace referencia a poner algo dentro de una cripta… demasiado tétrico.

6) Centrándonos ahora en soluciones, existe hace tiempo un debate respecto de si son los usuarios quienes deben mantenerse instruidos en temas de seguridad o si son los sistemas informáticos los que deben mejorar para hacerse más seguros y automatizados.

El mismo Jakob Nielsen intervenía hace algunos años sugiriendo que las amenazas de seguridad están creciendo de tal forma en cantidad y complejidad, que es absurdo pretender que el común de la gente se mantendrá al tanto de los procedimientos para enfrentarlas, por lo que es labor de los especialistas crear mecanismos de protección transparentes que los protejan. ¿En qué lado de este debate te apuntas?

Ambos. Para un atacante toda la información que pueda recopilar es de mucha ayuda para sus propósitos. De la misma manera tenemos que actuar quienes nos preocupamos de la seguridad informática. Por un lado es vital hacer software y sistemas cada vez más seguros, pero también es muy importante que los usuarios tengan nociones de seguridad ya que son ellos quienes finalmente resultan engañados o estafados.

¿Qué sacamos con instalar 4 cortafuegos (firewalls) perimetrales, implementar VPNs súper seguras, ejecutar aplicaciones bajo HTTPS, cerrar todos los puertos de red innecesarios o cambiar claves automáticamente cada 2 días si al final Carlos de contabilidad (como el comercial de Movistar) va a darle su clave de acceso al sistema de gestión financiera de la empresa a un atacante que lo engañe por teléfono, haciéndose pasar por funcionario de soporte?

7) Por último, ¿qué consejos darías al usuario común y corriente para mantenerse lo más protegido posible ante las amenazas de seguridad?

1) No deje de leer Seguridad-Informatica.cl. Más que hacer promoción al sitio, trato de mantenerlo actualizado y en un lenguaje cercano al usuario que no sabe nada de informática. Por esto en el mismo sitio a veces me tratan de “lammer” por poner cosas muy básicas.

También es la razón por la cual los colores son claros y blancos en vez de negros y rojos. Así un usuario inexperto se sentirá más cómodo preguntando que en un sitio de puro lenguaje h4x0r.

2) La desconfianza absoluta. Desconfíe de todo lo que no pueda comprobar con sus propios ojos. Cuando uno se confía mucho es donde aparecen estos tipos de los celulares diciendo que nos ganamos un Jeep si les compramos una tarjeta de celular y les decimos el número.

3) Haga de la seguridad una prioridad. No deje de informarse o exigir seguridad sólo por dejación.

4) Si sabe nada o muy poco de seguridad informática, consulte con alguien que le guíe o haga una pequeña capacitación. Todos, absolutamente todos quienes trabajamos con PCs -por ese sólo hecho- ya nos vemos afectados por la seguridad informática.

Si usted es de las personas que consulta con frecuencia su estado de cuenta en el banco y usa una red inalámbrica, ¿sabía que no cuesta mucho intervenir esos datos y robarle las contraseñas, aunque vayan en HTTPS?

Ese es el tipo de cosas de las que no debe dejar de estar pendiente.

Un enfoque fresco, en vez del típico espacio donde se publican los mismos comunicados de prensa de siempre, ahora bajo la palabra “blog” y un espacio para comentarios – debidamente moderados.

Por cierto y a sólo 4 días del advenimiento del hijo de Dios que regresará a la tierra en forma de iPhone (Amén), un artículo de Marc Fossi me hizo ver que quizá el éxito de este aparato acarreará una pérdida insospechada para el mundo Mac: su célebre inmunidad ante los virus.

¿Que-Qué…? Veamos.

Como bien nos refriegan en la cara los comerciales de Apple, hasta la fecha los usuarios de Macintosh han disfrutado una envidiable calma respecto de las epidemias informáticas que confrecuencia asolan a quienes usamos un PC con Windows.

De hecho, recién en febrero de 2006 la firma de seguridad corporativa Sophos anunció haber descubierto el primer virus para Mac OS X -en verdad una minucia difundida por iChat- excepción que confirma la regla de que los productos antivirus para Apple tienen tanto trabajo como un arquero brasileño frente a la selección chilena.

Pero mientras los seguidores de la manzana insisten en felicitarse, la razón tiene que ver más con economías de escala que con seguridad informática. Simple: ¿para qué desgastarse escribiendo virus para una plataforma con menos del 10% del mercado, cuando uno para Windows afectará al 90%? Ser mayoría nunca resultó tan penoso.

Volteemos hacia el mercado de la telefonía celular. Aunque su crecimiento ha sido vertiginoso -con 252 millones de aparatos vendidos sólo en el primer trimestre de este año- los virus para comunicadores móviles se han mantenido apenas en pruebas de concepto que han hecho noticia más por su escasez que por sus posibles consecuencias.

¿La razón? Exactamente la misma que Apple pero con un giro: la fragmentación de sistemas operativos, con el segmento de teléfonos inteligentes divididos cual polis griegas entre Symbian, Windows Mobile, BlackBerry OS, Palm OS y Linux, más una miríada de software propio de otros fabricantes, en especial con teléfonos de menores prestaciones.

A nadie extraña entonces por qué atacar un teléfono celular no sale a cuenta.

Ahora, el iPhone es un teléfono para el que todos analistas coinciden en preveer un éxito enorme: 19 millones de potenciales interesados sólo en los Estados Unidos, que podrían aumentar su base de usuarios a 45 millones para 2009. Pero eso no es todo: al estar basado en Mac OS X, el iPhone podrá compartir software con sus hermanos mayores de escritorio.

¿Alguien suma 2+2?…

Según escribe Fossi, la convergencia de ambas plataformas y sus perspectivas de crecimiento la harán “irresistible” para los programadores de virus, quienes además verán facilitado su trabajo gracias a la inclusión de Safari -que ya ha demostrado ser tan vulnerable como cualquier otro navegador- y el correo basado en HTML en el iPhone, a quienes describe como los “vectores ideales”.

Claro, Apple entregará parches para su sistema periódicamente, como hace con el Mac OS X de escritorio, pero… ¿estarán los usuarios dispuestos a actualizar de la misma forma considerando que los proveedores de Internet móvil cobran -y bastante caro- por cada KB descargado de la red?

¿Sorpresas de este ajedrez tecnológico? Nada nuevo si en algunas semanas más, Symantec nos sorprende con un oportuno Norton AntiVirus – OS X Edition.

Quizá el iPhone acabe siendo un verdadero caballo de Troya al mundo OS X, ya sea para los creadores de virus… o las firmas de seguridad.