Panda Security Insight

Una de las ventajas para Panda Security de organizar el Security Bloggers Summit es que nos permite interactuar con los ponentes mientras están en Madrid e intercambiar opiniones e impresiones con ellos. La comida en Casa Botín se ha convertido ya en toda una tradición. Es un bonito contraste: Panda, empresa tecnológica, lleva a sus ponentes a Botín, conocido como el restaurante más antiguo del mundo ( fue fundado en 1725).

La comida del pasado jueves con algunos de los ponentes (Brian Krebs, Joseph Menn, Kurt Wismer, Marc Cortés, Yago Jesús, Javier Sanz) resultó muy interesante. Como siempre, la comida fue estupenda. Y además tuvimos tiempo de discutir –animadamente- sobre diversos temas candentes en materia de seguridad.

Una de las cosas que más me sorprendió fue una declaración de Joseph: existen importantes bandas de ciberdelincuencia protegidas por algunos de los principales gobiernos del mundo. Recientemente ha publicado un libro muy recomendable sobre este tema. La mayoría de los que asistieron a la comida estaban de acuerdo con el hecho de que ni los gobiernos, ni las diferentes policías, ni los jueces hacen mucho contra los delitos informáticos porque no está realmente en su lista de prioridades. Cuando pregunté por qué, todos respondieron que la razón es básicamente que los gobiernos no entienden la magnitud del problema y ni la policía ni los jueces disponen de las herramientas, la competencia o la voluntad de convertirlo en prioridad. Como se señaló horas más tarde durante el Summit, para que la seguridad se convierta en una prioridad para los gobiernos “alguien tendrá que morir”… Lo cierto es que, según Joseph, tampoco estamos tan lejos de que suceda.

He dicho en más de una ocasión que el coste de no hacer nada es mucho mayor que la adopción de medidas. Suelo utilizar el ejemplo del tabaco como analogía. Llegó un momento en el que los gobiernos se dieron cuenta de que, además de matar a una gran parte de su población, el tabaco tenía un fuerte impacto económico: absentismo laboral, enormes costes para los sistemas nacionales de salud. Sólo entonces se tomaron medidas. Les llevó años darse cuenta de esto… y deberíamos aprender de nuestros errores.

La tecnología está integrada en nuestras vidas, su importancia no deja de crecer. Ignorar la seguridad es una receta para el desastre. No es sólo cuestión de pedir a los usuarios que tengan una solución de seguridad, se trata de que conozcan las amenazas, de que tengan en cuenta la privacidad a la hora de utilizar aplicaciones y redes sociales, se trata de proteger infraestructuras críticas, de legislar, perseguir y castigar a los que se benefician de los delitos informáticos, de enseñar a los niños en los colegios a usar la tecnología de forma segura y responsable, etc.

Los usuarios no sólo no son conscientes de los peligros sino que viven con la percepción de que el mundo digital es seguro, y como sabemos, no es cierto. Permitidme terminar con un ejemplo real: antes de impartir una charla sobre seguridad en la red en un colegio público, un amigo preguntó a los estudiantes sus nombres. Durante una semana, y usando sólo las redes sociales, se dedicó a “investigarles”. El día que habló a la clase, comenzó diciendo a los alumnos dónde habían pasado el fin de semana, sus domicilios y números de teléfono, y muchos otros muchos detalles personales. Los niños, sorprendidos, preguntaron cómo había logrado hacerse con toda esa información. Una vez conseguida su atención, mi amigo empezó a explicar por qué hay que tomar determinadas precauciones al aceptar a la gente como “amigos” en las redes sociales y cómo mantener cierto grado de privacidad en sitios como Facebook o Tuenti … que eran los que él había utilizado para recoger esa información.

Si no podemos encontrar ninguna otra razón, al menos deberíamos llevar la ciberseguridad a las portadas de los periódicos por el bien de nuestros hijos. Pueden estar en riesgo sin ni siquiera saberlo.

Tweet This Post 

Blogs, Concienciación, Panda Security, seguridad

Durante las últimas semanas he participado en varios eventos en los que he tenido la oportunidad de dar a conocer, junto con otros miembros del equipo de Panda, nuestras últimas investigaciones sobre las últimas amenazas que hemos descubierto en el laboratorio.  Algunos ejemplos de éstas los hemos publicado en el Blog de PandaLabs, a través de Notas de Prensa o incluso en este mismo blog.

Hay una pregunta que siempre hacen los que asistieron a esos eventos: “dadas las amenazas y su impacto en la sociedad, ¿por qué las compañías de seguridad no las hacen públicas?”.  Nuestra contestación es siempre: “lo hacemos”.  Hay algo que no estamos haciendo bien desde el punto de vista de comunicación… Se está haciendo un gran esfuerzo por parte de todas las compañías de seguridad para alertar de estas amenazas, tanto a empresas como a consumidores.  El malware ha aumentado mucho en los últimos años y, además de mejorar nuestras tecnologías, la mayoría de las compañías de seguridad han aumentando sus esfuerzos de comunicación en los mercados donde operan.  Somos conscientes de que la tecnología por si misma, no puede ganar esta batalla, y necesitamos que los usuarios conozcan un mínimo sobre las amenazas para que puedan actuar apropiadamente cuando usan y se benefician de la tecnología en general. 

Uno se puede hacer rápidamente una idea (y ver cuántas y cómo de distintas son las potenciales amenazas), visitando los blogs de algunas de las compañías de seguridad.  Además del de PandaLabs, puedes visitar los de McAfee, Symantec, F-Secure, Sophos y muchos otros.   En este link se puede ver un ejemplo concreto: es un video preparado por Hispasec sobre un troyano que crea un video que captura la pantalla mientras el usuario introduce sus claves en un teclado virtual (una medida de protección usada por muchos bancos) y lo envía al hacker, que a partir de ese momento puede acceder a las cuentas con impunidad.

Si todas las compañías de seguridad comunican recurrentemente con el mercado compartiendo su visión sobre las amenazas y hacen iniciativas aumentando la visibilidad sobre las mismas y cómo protegerse, ¿por qué la Sociedad en general tiene tan poca conciencia del problema? Una de las razones puede ser que se piense que nuestra comunicación pueda estar sesgada por un posible conflicto de interés y que estamos interesados en exagerar el problema.  La realidad es que, aunque lógicamente nos beneficia que lo usuarios compren nuestras soluciones, nuestra motivación no es mejorar nuestra cuenta de Pérdidas y Ganancias.  Si se pudiera calcular el retorno de la inversión (ROI) de nuestras actividades de concienciación, no me sorprendería encontrarme con que fuera negativo (nuestra campaña de Menores en la Red puede servir como ejemplo).  Hacemos estas actividades (hablo por Panda, pero estoy seguro que casi todas las demás compañías de seguridad también) porque son una parte intrínseca de nuestra misión.

Teniendo en cuenta esto y para conseguir tener un mucho mayor impacto, animo desde aquí a todas las administraciones públicas y organizaciones sin ánimo de lucro, a ayudarnos a extender el mensaje.  La Tecnología en general e Internet en particular son unas grandes herramientas que nos ayudarán a conseguir un mundo mejor.  A medida que se usan por un porcentaje cada vez más grande de la sociedad y las empresas en su actividad diaria, tenemos que seguir trabajando conjuntamente para mantenerlas seguras. 

Tweet This Post 

Blogs, Concienciación, General, Malware, seguridad blog, Panda, PandaLabs, seguridad

El viernes pasado, el Presidente Obama presentó las conclusiones del informe que encargó semanas después de su llegada a la Casa Blanca sobre el estado de la cyber-seguridad en Estados Unidos.  Dicho informe, que ha sido coordinado por Melissa Hathaway, se ha centrado en entender los esfuerzos que hasta ahora hacía el gobierno federal para proteger la infraestructura de información y comunicaciones de Estados Unidos, así como presentar una recomendación para proteger esas redes y garantizar la prosperidad de Estados Unidos.  Podéis ver el video del discurso de Obama, así como una transcripción del mismo.  También podéis descargar el informe completo.

Para los que nos dedicamos a la seguridad informática no hay datos muy novedosos ni en el discurso del Presidente, ni en el informe en sí.  Sin embargo sí que se puede entrever un cambio trascendental después del 29 de Mayo de 2009: el Presidente Obama, de forma clara y contundente, hace pública a la sociedad de Estados Unidos (y al mundo por extensión) la necesidad de tomar acciones coordinadas encaminadas a proteger tanto a la infraestructura en sí como la actividad que en ella se desarrolla frente a la amenaza creciente del cyber-crimen y el cyber-terrrorismo.  Es ahí donde desde mi punto de vista, se ha producido un punto de inflexión tras este anuncio.  Podéis encontrar la visión de algunos analistas que sigo sobre este anuncio: Bruce Schneier, Byron Acohido, Wall Street Journal, USA Today y Brian Krebs .

Ya no somos sólo las empresas del sector (cuya visión podía percibirse sesgada por intereses empresariales) los principales abanderados de la necesidad de hacer frente a esta lacra.  La Administración Obama se une al esfuerzo concienciador que veníamos haciendo desde la industria desde hace años.  No quiero decir que los esfuerzos hasta ahora hayan sido nulos por parte de las entidades públicas de los distintos países, pero sí que claramente son mejorables.  Todo ello, respetando, tanto la privacidad dentro de la red, como la neutralidad de la misma. 

Las acciones anunciadas por el Presidente Obama se enmarcarán en cinco áreas principales:

• Establecer un liderazgo claro en temas de cyberseguridad con una estructura suficiente que revisará las leyes y políticas y mejorará el “accountability” de las administraciones federales, estatales y locales en Estados Unidos
• Desarrollar un entorno que facilite una respuesta coordinada del gobierno, entidades privadas y aliados en cualquier incidente de cyberseguridad que lo requiera
• Fortalecer la colaboración tanto entre el Gobierno americano y sus aliados como con la iniciativa privada, en manos de quienes están la mayoría de las infraestructuras críticas de la red.  Todo ello sin dictar estándares de seguridad, sino colaborando para tomar medidas que mejoren la seguridad y aseguren la prosperidad
• Aumentar la inversión en innovación y desarrollo para asegurar que está a la altura de las necesidades que se visualizan
• Empezar una campaña de concienciación social que permita no sólo que la población esté informada de los riesgos, sino que esté preparada para trabajar e innovar en las tecnologías que se desarrollarán durante el siglo XXI

Comparto completamente la línea de las acciones propuestas, no sólo en Estados Unidos, sino en todos los países.  A lo largo del tiempo hemos visto numerosas iniciativas, pero muchas veces adolecen del liderazgo, el compromiso o el apoyo a largo plazo.  Al igual que en mundo físico, los problemas de seguridad en la red y otras infraestructuras de telecomunicaciones seguirán en aumento y es necesario el establecimiento de compromisos y objetivos a medio/largo plazo para conseguir contribuir a solucionarlos. 

Con toda esta problemática presente, hace algunos meses comenzamos a trabajar en la constitución del Consejo Nacional Consultivo de CyberSeguridad, como anunciamos recientemente.  Desde antes de su constitución hemos estado trabajando, conjuntamente con instituciones públicas y privadas, proponiendo medidas muy similares a las propuestas por el Presidente Obama.  Este anuncio en Estados Unidos nos confirma que estábamos en la dirección correcta y esperamos animará a todos los actores involucrados del ámbito público y privado a seguir dedicando esfuerzos por mejorar la seguridad en la red y garantizar el desarrollo económico de nuestro país. 

Tweet This Post 

Blogs, Concienciación, General, seguridad CNCCS, cyberseguridad, Obama, política

Aunque el modelo existe hace mucho tiempo (pensemos en la Gillette de principios del siglo XX), la evolución de Internet y el uso que hacemos de la red ha favorecido la proliferación servicios/productos gratuitos.  Tanto es así, que el usuario tiene muchas veces incluso la expectativa (justificada?) de poder optar a determinados productos o servicios sin pagar.  Es sostenible un negocio en el que los usuarios no pagan por el uso de un servicio que ha costado millones de euros desarrollar? Se ha escrito mucho sobre este tema.  Aquí hay algunos links interesantes de Chris Anderson: “Free! Why $0.00 Is the Future of Business”; “The economics of giving it away”; así como un post de Jesús Encinar de hace ya algún tiempo.

Desde la perspectiva empresarial, creo que ya hemos superado la discusión y ya no hay duda de que hay un “modelo free” que ha probado con creces que, dando servicios de calidad a los usuarios, puede crear riqueza tanto para empleados como accionistas.  Pensemos en Google, Skype, Youtube, Facebook, Twitter y otros muchos, que o bien tienen un modelo de negocio rentable o bien tienen tantos usuarios que pocos dudan lo van a tener en un futuro próximo.

En el mundo de la seguridad también encontramos numerosos ejemplos, entre otros Virustotal, ejemplo de una pequeña compañía (española por cierto), cuyo servicio usan a diario cientos de miles de usuarios en todo el mundo.  Chris Anderson habla de diferentes modelos: i) el cross-subsidy: el equivalente a regalar el teléfono móvil para vender la línea o la máquina de afeitar para vender las cuchillas; ii) aquel basado en cobrar la publicidad regalando contenidos o servicios; iii) el “freemium”, que ofrecer servicios básicos gratuitos, mientras se cobra por otros más avanzados o especiales; iv) el de ofrecer muestras gratuitas para generar “boca a boca”, que se multiplica por el poder viral de la web; v) el de la economía digital que hace que los costes de producción y distribución sean cercanos a cero; y iv) el del la “economía del regalo” como en Wikipedia.

Dentro del sector de seguridad se viene utilizando a menudo el modelo Fremium.  El término es un acrónimo de “free” y “premium” (Wikipedia nos cuenta cómo se acuñó el término) y fue definido en 2006 por Fred Wilson: “Give your service away for free, possibly ad supported but maybe not, acquire a lot of customers very efficiently through word of mouth, referral networks, organic search marketing, etc., then offer premium priced value added services or an enhanced version of your service to your customer base”.

Estos modelos generan un gran reconocimiento de marca, convierten a usuarios satisfechos en prescriptores dentro de su círculo de influencia, aumentan la predisposición del usuario a compartir su opinión sincera sobre el producto o servicio y además crean un efecto “club” de usuarios agradecidos hacia la marca y el fabricante si el producto o servicio es de calidad.  Sin embargo, hay que tener claro que el modelo sólo se sustenta si realmente hay una estrategia de monetización por detrás y se es consciente de que el retorno de la inversión es a un plazo más largo.

Recientemente, en Panda hemos sacado una beta de un nuevo producto que tenemos intención se mantenga gratuito a lo largo del tiempo: Panda Cloud Antivirus (www.cloudantivirus.com).  La filosofía del producto tiene muchos de los componentes que hacen que su distribución gratuita tenga mucho sentido desde un punto de vista empresarial: el diseño del producto está basado en que la comunidad comparte conocimiento, en este caso datos sobre posibles infecciones por malware (software malicioso).

Ofrecerlo de forma gratuita es nuestra manera de “devolver” a la comunidad su contribución a la base de conocimiento sobre el que la plataforma se sustenta.  Adicionalmente, eliminamos los “switching costs” para los usuarios nuevos, que no tendrán coste para probar el nuevo modelo de protección.

Panda Cloud Antivirus aprovecha una tecnología propietaria de Panda (Inteligencia Colectiva) que consiste en una plataforma automática para la detección, clasificación y desinfección de malware.  Inteligencia Colectiva reduce el tiempo y automatiza el proceso por el que el laboratorio para analiza nuevas muestras de malware.  Panda Cloud Antivirus reduce al mínimo la dependencia de tener actualizado el fichero de firmas local.

Como venimos señalando desde finales de 2006, cuando sacamos esta tecnología, creemos que esa detección desde la nube es el único futuro posible para poder proteger eficientemente a nuestros usuarios dado que el gran aumento del malware en los últimos años habían hecho que un modelo basado exclusivamente en detección a través de un fichero de firmas en local quedase obsoleto al ralentizar mucho el ordenador.  Este video explica muy gráficamente cómo funciona el producto y los beneficios para los usuarios.

Todos en Panda, estamos convencidos de que Panda Cloud Antivirus cuenta con todos los ingredientes para convertirse en un producto de referencia dentro del ámbito de la seguridad en los próximos años.  La reacción del mercado tras el lanzamiento de la beta ha sido tremendamente positiva: muchos analistas y usuarios están de acuerdo con nosotros en que este modelo de protección y filosofía de producto es el futuro y el producto ha recibido numerosas reviews muy positivas (como  The Tech Herald, CNET, US Today, PCMag, etc.).

A medida que os unáis a nuestra comunidad de usuarios, no dudéis en contribuir con vuestro feedback para seguir mejorando el producto.  Podéis hacerlo a través de nuestro área beta (betaatpandasecurity.com) o a través del blog de Cloud Antivirus que gestiona Pedro Bustamante, nuestro Senior Research Advisor.

Tweet This Post 

Blogs, General, Inteligencia Colectiva, Twitter Facebook, freemium, Google, Panda Cloud Antivirus, Skype, Twitter, YouTube

Hoy quiero compartir algunos de los blogs que leo regularmente y aprovechar para pediros recomendaciones de sobre otros que creáis puedan ser interesantes para el que escribe o los que siguen este blog.  En la sección en inglés he incluido algunos de los que sigo regularmente en inglés.

Sin orden predeterminado, los blogs son:

1. Error500
Antonio Ortiz es el autor de este blog, centrado en el análisis de las últimas tendencias sobre Internet. Pudimos disfrutar de sus opiniones en el Security Blogger Summit.

2. Carlos Blanco
Es el CEO del grupo ITnet. El primer martes de cada mes, organiza el First Tuesday, evento que trata de poner en contacto a emprendedores con inversores de una forma sencilla. Mikel Urizarbarrena y yo tuvimos el placer de participar en dicho evento el pasado mes de febrero.

3. El blog de Enrique Dans
Enrique Dans es profesor de Sistemas de Información en IE Business School desde el año 1990. Escribe sobre temas relacionados con Internet y las nuevas tecnologías y colabora activamente con diversos medios de comunicación españoles. Es uno de los “culpables” de que me decidiera a comenzar mi propio blog, como indiqué en mi primer post.

4. A todo chip, Javier Villacañas
Javier Villacañas es presentador de varios programas radiofónicos en la COPE y desde febrero de 2007, elabora a diario este blog que recoge la actualidad tecnológica desde un punto de vista informativo. Participó como ponente en el primer Security Blogger Summit.

5. Genbeta
Es un blog multiautor dedicado a seguir la actualidad de los programas y servicios web, donde he encontrado aplicaciones muy variadas y programas muy útiles en el día a día.

6. Infoman
El autor de este blog es Rodolfo Carpintier, presidente de Digital Assets Deployment. Centra su discurso en el mundo empresarial relacionado con la web.

7. Infospyware blog
Marcelo Rivero es el artífice de este blog, así como del foro que lleva el mismo nombre. Desde que nos conocimos, hemos colaborado en algunas iniciativas para conseguir proporcionar a los internautas una Internet más segura, por ejemplo Infospyware participa en la campaña www.menorenlared.com

8. Interactividad
Se trata de un blog relacionado sobre todo con el marketing electrónico y los “social media”. Marc Cortés es la persona que está detrás de todo ello.  Con Marc comparto además el ser un fan de Twitter.

9. Merodeando
Julio Alonso es el fundador de Weblogs S.L. y escritor de este blog. Sus temas preferidos se centran en la evolución digital, la publicidad online y el blogging corporativo.

10. Nubeblog
Este blog, como se puede adivinar fácilmente al ver el título, trata sobre temas de Cloud Computing, un concepto rompedor que, bajo mi punto de vista, va a ser la base de las nuevas tecnologías en los próximos años. Sin duda, es el siguiente escalón del mundo digital.

Tweet This Post 

Blogs, Concienciación, General, Juan Santana Blogs, Cloud Antivirus, ideas

La semana pasada organizamos en Madrid el primer First Security Blogger Summit. La idea me gustó mucho desde un principio porque íbamos a reunir a gente muy interesante (entre ellos a Bruce Schneier). Me alegró ver que la idea no sólo me gustó a mí, también a los más de 200 asistentes (sin contar a todas las personas de Panda que no quisieron perdérselo, claro…) que acudieron a escuchar lo que decían los ponentes, gente muy conocida en el mundo de la seguridad informática y cuya opinión tiene un peso en nuestra industria.

Entre los asistentes, hay muchos que se han hecho eco ya de algunos de los temas allí tratados y han publicado sus opiniones sobre el evento (Enrique Dans, Security by Default, Error 500, Jorge Hierro, Periodista Digital y ADSLZone, entre muchos otros). También nosotros hemos publicado nuestras conclusiones y algunas de las cosas que se dijeron durante la cita en nuestra web.

Leer más…

Tweet This Post 

Blogs, General ADSLZone, blog, Bruce Schneier, Byron Acohido, Enrique Dans, Error 500, información, Jorge Hierro, José Cerdán, Julio Alonso, Panda, Periodista Digital, Security Blogger Summit, Security by Default