Panda Security Insight

Se acaba de hacer pública la detención de los presuntos ciberdelincuentes que estaban detrás de Mariposa, una de las mayores redes de bots de la historia. La operación ha sido posible gracias a la colaboración del FBI y la Guardia Civil española y ha contado con la colaboración de Panda Security y de Defence Intelligence, así como del Georgia Tech Information Security Center. En la investigación también participó CDmon, el ISP donde los ciberdelincuentes tenían alojados los dominios.

Quienes están detrás de esta red de bots (que se conoce como el Botnet Mariposa), controlaban casi 13 millones de ordenadores que incluían a usuarios domésticos, empresas, entidades públicas y universidades de más de 190 países. La información robada incluye nombres de usuario, contraseñas, datos bancarios y de tarjetas de crédito… El análisis continúa y pronto tendremos un informe completo en http://pandalabs.pandasecurity.com/.

Por supuesto, tenemos que felicitar a los cuerpos policiales –FBI y Guardia Civil española- por el trabajo realizado que ha permitido detener a los presuntos delincuentes. Es un trabajo que no siempre resulta sencillo: el carácter global de los delitos que se cometen a través de Internet complica y ralentiza la persecución de estas mafias. Sin embargo, tal y como ha explicado Juan Salom, jefe del Grupo de Delitos Telemáticos de la Guardia Civil, las actuaciones coordinadas y conjuntas de distintas fuerzas policiales internacionales y la Guardia Civil, junto con el esfuerzo de la industria de la seguridad en Internet, han podido hacer frente a la amenaza global del cibercrimen.

Las detenciones como ésta son en sí mismas un gran éxito de la lucha contra el cibercrimen. Pero no son más que un primer paso, más o menos efectivo en función del castigo que después se impone.  Si no es lo suficientemente duro, no sirve como ejemplo para los muchos que están generando millones de Euros en este tipo de actividades criminales. Pienso en Ehud Tenenbaum, que después de ser declarado culpable de atacar PCs de los Gobiernos de USA e Israel fue condenado a 6 meses de servicios comunitarios. Eso sucedió en 2001. En agosto del año pasado fue detenido de nuevo por un fraude de 10 millones de dólares contra diferentes bancos en USA. Necesitamos penas disuasorias. Si queremos luchar contra el cibercrimen, un tipo de delito en el que las mafias mueven más dinero que con la droga, tenemos que conseguir que deje de ser rentable y que los que hoy en día se benefician de este negocio entiendan que ha “dejado de merecer la pena arriesgarse”.

Hace tiempo que desde Panda Security venimos insistiendo que para hacer frente al cibercrimen tenemos que trabajar tanto la industria de seguridad informática como las instituciones públicas en los distintos países en tres líneas de trabajo bien diferenciadas:

1. concienciar a los usuarios de la existencia de un problema de escala global y gran impacto en nuestras economías como es el cibercrimen (no podemos obviarlo ni prestarle atención sólo cuando salta alguna noticia como la que nos ocupa);
2. fomentar la existencia de una legislación adecuada que además se aplique con toda su dureza para que sirva de medida disuasoria (en el desarrollo de dicha legislación es clave que trabajemos conjuntamente los reguladores y la industria para que las leyes reflejen la una realidad en constante evolución); y
3. formar técnicamente a las personas que componen los equipos de trabajo, tanto en la industria como en las instituciones y fuerzas policiales para que puedan desarrollar tecnologías adecuadas de prevención por un lado, y poder perseguir eficientemente a los criminales por otro.

Sólo cuando el sector público y el sector privado trabajen conjuntamente tendremos alguna opción para mejorar una situación que, desgraciadamente, empeora día a día por los grandes beneficios que está reportando a los hackers y a las cibermafias.  Esta coordinación además tiene que extenderse a nivel internacional para poder hacer frente a estas organizaciones que no entienden de fronteras.  Noticias como la de hoy nos reafirman que mejorar la situación es posible.  No podemos soñar en erradicar el crimen en la red, pero si en tener una red mucho más segura si seguimos trabajando así.

Más información:

• Nota de prensa
• Blog PandaLabs
• Vídeo: Preguntas sobre Mariposa

Tweet This Post 

Concienciación, Malware, Panda Security, seguridad

Reflexionaba en mi último post sobre la necesidad de que la cyber-seguridad se convierta en una prioridad. Creo que merece la pena completarlo con la ayuda que nos pueden aportar los medios de comunicación a la hora de concienciar al público general sobre este problema. La semana pasada se publicó el descubrimiento de una red de ordenadores zombies, controlada por una red de bots, llamada “Kneber”. Según las informaciones que se han difundido, ha infectado a 75.000 ordenadores en 2.500 organizaciones de todo el mundo, incluyendo cuentas de usuario de populares redes sociales. Kneber está basado en el famoso troyano Zeus, un ejemplar que apareció en el año 2007 y que lleva ya casi tres años infectando ordenadores.

En realidad, el número de PCs afectados es relativamente bajo, si lo comparamos con otras redes similares. Lo que marca la diferencia es la repercusión mediática que ha tenido. Tenemos que tener en mente que “lo que no se publica no existe para el público general”. Pero trabajamos en un sector complejo, y muchas veces es difícil distinguir qué es importante y qué no, también para los medios de comunicación. Uno de los criterios es el número de afectados, pero desde luego no es el único. Si se publican sólo los ataques masivos, se corre el riesgo de trasladar la percepción errónea de que nos encontramos ante hechos aislados cuando lo cierto es que este tipo de ataques son el día a día en los laboratorios de seguridad. Para que los usuarios entiendan la necesidad de estar bien protegidos y bien concienciados sobre la seguridad tienen que comprender que, además de los ataques masivos que conocen a través de los medios, existen a diario amenazas mucho menos masivas y más dirigidas cuyo objetivo es el robo de identidad o de datos, es decir, la obtención de beneficios económicos.

Detrás de estos cyberataques hay auténticas organizaciones que funcionan con una estructura, que ganan millones de euros todos los meses con un modelo de negocio desplegado a través de un canal que permite el anonimato y que hace difícil su persecución, por varios motivos: reclutamiento de “peones” que hacen el trabajo sucio y que dificulta el rastro a los verdaderos artífices de las estafas; falta de herramientas legales y de cuerpos de seguridad bien equipados para combatirlos, y descoordinación de los diferentes actores responsables de la seguridad a nivel internacional.

Las compañías de seguridad trabajamos para identificar las nuevas amenazas y ofrecer soluciones contra éstas a nuestros clientes, pero no es suficiente. Hoy en día, el cybercrimen está tan desarrollado y organizado, que según ofrecemos soluciones, o descubrimos redes como Kneber, sus autores son capaces de, en menos de 24 horas, rehacer los códigos de los bots y de los troyanos y volver a desplegar la red, burlando de nuevo los sistemas de seguridad.

En las conversaciones que mantengo con personas de la industria, de las administraciones y de los cuerpos de seguridad, solemos coincidir todos en que hace falta trabajar de forma conjunta si de verdad queremos hacer frente al cybercrimen. Pero no será posible hasta que no seamos capaces de concienciar acerca de las dimensiones reales del problema tanto a las administraciones, como a las empresas y a los usuarios. Y aquí los medios de comunicación juegan un papel importante como vehículos de información, concienciación y educación acerca de la seguridad. Es decir, pueden ayudar a incluir en la agenda la regulación contra el cybercrimen como una prioridad. Sólo de esta manera podremos hacernos un hueco en la mente de los usuarios y mejoraremos, entre todos, una situación que de momento empeora día a día.

Tweet This Post 

Concienciación, General, Malware, seguridad

Una de las ventajas para Panda Security de organizar el Security Bloggers Summit es que nos permite interactuar con los ponentes mientras están en Madrid e intercambiar opiniones e impresiones con ellos. La comida en Casa Botín se ha convertido ya en toda una tradición. Es un bonito contraste: Panda, empresa tecnológica, lleva a sus ponentes a Botín, conocido como el restaurante más antiguo del mundo ( fue fundado en 1725).

La comida del pasado jueves con algunos de los ponentes (Brian Krebs, Joseph Menn, Kurt Wismer, Marc Cortés, Yago Jesús, Javier Sanz) resultó muy interesante. Como siempre, la comida fue estupenda. Y además tuvimos tiempo de discutir –animadamente- sobre diversos temas candentes en materia de seguridad.

Una de las cosas que más me sorprendió fue una declaración de Joseph: existen importantes bandas de ciberdelincuencia protegidas por algunos de los principales gobiernos del mundo. Recientemente ha publicado un libro muy recomendable sobre este tema. La mayoría de los que asistieron a la comida estaban de acuerdo con el hecho de que ni los gobiernos, ni las diferentes policías, ni los jueces hacen mucho contra los delitos informáticos porque no está realmente en su lista de prioridades. Cuando pregunté por qué, todos respondieron que la razón es básicamente que los gobiernos no entienden la magnitud del problema y ni la policía ni los jueces disponen de las herramientas, la competencia o la voluntad de convertirlo en prioridad. Como se señaló horas más tarde durante el Summit, para que la seguridad se convierta en una prioridad para los gobiernos “alguien tendrá que morir”… Lo cierto es que, según Joseph, tampoco estamos tan lejos de que suceda.

He dicho en más de una ocasión que el coste de no hacer nada es mucho mayor que la adopción de medidas. Suelo utilizar el ejemplo del tabaco como analogía. Llegó un momento en el que los gobiernos se dieron cuenta de que, además de matar a una gran parte de su población, el tabaco tenía un fuerte impacto económico: absentismo laboral, enormes costes para los sistemas nacionales de salud. Sólo entonces se tomaron medidas. Les llevó años darse cuenta de esto… y deberíamos aprender de nuestros errores.

La tecnología está integrada en nuestras vidas, su importancia no deja de crecer. Ignorar la seguridad es una receta para el desastre. No es sólo cuestión de pedir a los usuarios que tengan una solución de seguridad, se trata de que conozcan las amenazas, de que tengan en cuenta la privacidad a la hora de utilizar aplicaciones y redes sociales, se trata de proteger infraestructuras críticas, de legislar, perseguir y castigar a los que se benefician de los delitos informáticos, de enseñar a los niños en los colegios a usar la tecnología de forma segura y responsable, etc.

Los usuarios no sólo no son conscientes de los peligros sino que viven con la percepción de que el mundo digital es seguro, y como sabemos, no es cierto. Permitidme terminar con un ejemplo real: antes de impartir una charla sobre seguridad en la red en un colegio público, un amigo preguntó a los estudiantes sus nombres. Durante una semana, y usando sólo las redes sociales, se dedicó a “investigarles”. El día que habló a la clase, comenzó diciendo a los alumnos dónde habían pasado el fin de semana, sus domicilios y números de teléfono, y muchos otros muchos detalles personales. Los niños, sorprendidos, preguntaron cómo había logrado hacerse con toda esa información. Una vez conseguida su atención, mi amigo empezó a explicar por qué hay que tomar determinadas precauciones al aceptar a la gente como “amigos” en las redes sociales y cómo mantener cierto grado de privacidad en sitios como Facebook o Tuenti … que eran los que él había utilizado para recoger esa información.

Si no podemos encontrar ninguna otra razón, al menos deberíamos llevar la ciberseguridad a las portadas de los periódicos por el bien de nuestros hijos. Pueden estar en riesgo sin ni siquiera saberlo.

Tweet This Post 

Blogs, Concienciación, Panda Security, seguridad

Después de la buena acogida que tuvo el Security Blogger Summit que organizamos en Madrid el año pasado, hemos decidido organizar la segunda edición del encuentro. Este año estará más enfocado hacia seguridad para usuarios finales, con la idea de dirigir la conversación hacia conclusiones que nos ayuden a todos a mejorar la concienciación sobre seguridad de los ciudadanos de a pie. Este enfoque es resultado de diferentes conversaciones que hemos tenido con bloggers, opinion leaders y sobre todo con muchos de los que estuvieron en la pasada edición y que nos han dado muchos y muy buenos consejos (¡gracias a todos!).

Contaremos con la participación, entre otros, de Brian Krebs, Kurt Weismer, Marcelo Rivero, Joseph Menn, Alejandro Suárez Sánchez-Ocaña, Javier Sanz, Marc Cortés, Yago Jesús y alguna que otra sorpresa… que de momento no vamos a desvelar.

Daremos un repaso a las principales amenazas y tendencias para 2010, y evaluaremos si realmente se está haciendo todo lo necesario para conseguir que estemos más seguros y evitemos ser víctimas de fraudes que pueden causarnos un gran daño. Igualmente, discutiremos sobre la regulación legislativa, la colaboración entre países, los límites de la privacidad… Desde luego, hablaremos de acciones concretas que nos ayuden en nuestro doble objetivo de mejorar la seguridad y aumentar la concienciación de los usuarios finales.

Queremos que el Summit vuelva a ser un punto de encuentro para la reflexión, para el intercambio de opiniones y experiencias… y para pasar un buen rato entre todos aquellos que, desde una perspectiva u otra, por motivos profesionales o personales, estamos interesados en temas de seguridad. Hemos habilitado un perfil en Twitter para el seguimiento en tiempo real del encuentro y para que asistentes (y no asistentes) podáis formular vuestras preguntas o comentarios. Además, aparte de producir videos resumen de los momentos más destacados, tenemos la intención de que se pueda seguir por video streaming. Estad atentos en la página del Security Blogger Summit a los datos para poder seguirlo por video streaming si no podéis desplazaros hasta Madrid.

El año pasado el encuentro se parecía mucho a una reunión –numerosa, de acuerdo- de amigos, y así esperamos que sea este año otra vez. Tenéis más información en la propia web del Security Blogger Summit, desde donde aquellos que estéis interesados también os podéis apuntar. ¡Os esperamos!

Tweet This Post 

Concienciación, General, Malware, Panda Security, seguridad

Hemos leído hace unos días en los medios que los eurodiputados han propuesto recientemente crear un centro especializado en delincuencia digital como un paso más en la lucha contra los ciberdelitos. El Parlamento Europeo ha votado a favor de la creación de un Tribunal Europeo de Asuntos Informáticos, una propuesta de la Eurocámara que aún debe pasar los demás filtros de la Administración comunitaria hasta llegar a los jefes de Estado, quienes tendrán la última palabra. Se decidirá probablemente en la cumbre de Jefes de Estado y de Gobierno que se celebrará los días 10 y 11 de diciembre.

A falta de saber cuál será la decisión final y si la iniciativa saldrá adelante, creo que merece la pena destacar la importancia que por fin parece que adquiere la lucha contra la ciberdelincuencia en el seno de la UE. Después de unos años en los que las cifras de los delitos cometidos a través de la red no dejaban de aumentar sin que al incremento siguieran medidas específicas para combatirlo, es positivo oír que La UE mueve ficha.

Y es bueno que se haga precisamente a través de la UE. La lucha contra la ciberdelincuencia desde la perspectiva nacional es necesaria, pero se ve muy limitada: es muy difícil luchar contra un tipo de crímenes y delincuentes que no conocen fronteras desde una jurisdicción limitada a un territorio nacional. Por eso la lucha desde estamentos supranacionales como la UE debe impulsarse. De hecho, en este mismo sentido, desde Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) en España hemos apoyado la iniciativa parlamentaria que propone la creación del Plan Europeo de CyberSeguridad en la Red. La moción presentada en el Senado español contempla, entre otras acciones, impulsar un Plan Europeo de Cyberseguridad en la Red en el marco de la Unión Europea durante la Presidencia de España 2010.

La petición que acaban de presentar los eurodiputados para crear el Tribunal Europeo de Asuntos Informáticos se basa en el aumento de “forma significativa en los últimos años” de los delitos online. El lado oscuro de la red. Pero no podemos olvidar que Internet es un medio que aporta grandes oportunidades a la sociedad actual y a su tejido económico financiero, además de acercar culturas y organizaciones sin barreras geográficas. Defender una buena Internet, libre de amenazas, es un ejercicio colectivo en el que las instituciones tienen un papel fundamental.

Tweet This Post 

Concienciación, General, seguridad

La semana pasada tuve la oportunidad de participar en un encuentro digital con los lectores de Expansión, para resolver sus dudas sobre seguridad informática. Resultó una experiencia muy enriquecedora, ya que pude comprobar de primera mano cuáles son las inquietudes de los usuarios.

Uno de los temas que más intriga a los usuarios es el del funcionamiento de las mafias que se mueven por Internet. La privacidad de los datos personales y la seguridad de las cuentas bancarias a la hora de realizar transacciones online son preocupaciones plausibles de una sociedad cada vez más informatizada. Me alegra ver que poco a poco se está consiguiendo una concienciación más efectiva del internauta, aunque me temo que aún nos queda mucho camino por recorrer para que se tome conciencia completa del peligro real que pueden suponer este tipo de organizaciones de ciberdelincuentes. Asimismo, las empresas muestran la misma tendencia, está claro que la seguridad y confidencialidad de una compañía son claves para la evolución del negocio.

Sí merece la pena mencionar que el hecho de que haya “peligros” en la red no significa que debamos ser alarmistas: como vengo diciendo en este blog, con una buena protección y un uso responsable de las tecnologías, tanto el uso de la red, como el comercio electrónico, son mucho más seguros que otras actividades que hacemos diariamente sin preocuparnos por sus posibles peligros.

También me alegró responder a una pregunta sobre la posición de Panda Security en España en cuanto innovación. Como ya he comentado varias veces, Panda Security siempre ha sido reconocida a nivel mundial como referente tecnológico, ya que históricamente reinvertimos el 30% de nuestra facturación en I+D+i y esto nos permite desarrollar y lanzar al mercado avances mucho antes que otras compañías. Esto se comprueba gracias al reconocimiento que nos dan premios como el que hemos conseguido recientemente por parte de IDG, que nos ha concedido el galardón al mejor software de seguridad de 2009 por nuestro producto Panda Managed Office Protection en Latinoamérica.

Por último, destacar el interés que ha generado el Consejo Nacional Consultor sobre Cyber-Seguridad. Muchos de los internautas que participaron en el encuentro quisieron que les aclarara diferentes aspectos de esta iniciativa que, como muchos ya sabéis, está orientada a hacer más segura Internet y las redes de Información, así como potenciar la innovación y el crecimiento económico de nuestro país mediante la consecución de un comercio electrónico nacional más seguro.

En resumen, una gran iniciativa en la que estuve encantado de participar, porque soy un firme creyente en la comunicación de tú a tú con nuestros clientes. Panda Security es una empresa cercana, que escucha, que aprende, que, en definitiva, quiere ofrecer soluciones a los problemas con los que se encuentran nuestros usuarios en el día a día de la Red.

Tweet This Post 

Concienciación, General, Juan Santana, Malware, Panda Security, seguridad

Estos días hemos sabido que Ehud Tenenbaum, alias “The Analyzer” se ha declarado culpable en Nueva York de fraude con tarjetas bancarias por su papel en una sofisticada trama de hacking. Los funcionarios federales estiman que robó $10 millones de los bancos de USA. Tenembaun, de 29 años, también fue detenido el año pasado en Canadá, donde aún no ha sido juzgado, por el presunto robo de 1,5 millones de dólares de los bancos canadienses. Este hacker de origen israelí ya fue noticia hace 10 cuando fue detenido por primera vez a los 19 años. Ahora se enfrenta a una pena de un máximo de 15 años de prisión que esperemos que sea disuasoria. Wikipedia tiene una lista de los ciberdelincuentes condenados en los últimos años, pero la lucha contra los ciberdelincuentes no siempre llega a un final así…

El malware se ha convertido en un negocio multimillonario en el que no sólo es difícil atrapar a los culpables (Internet no tiene fronteras, pero la ley y la policía sí) sino que para los pocos a los que se consigue atrapar las diferentes legislaciones prevén penas y multas casi nunca proporcionales a la gravedad de sus delitos y al enriquecimiento ilícito que consiguen. Recuerdo una viñeta que lo mostraba de forma muy cómica: un atracador apuntaba al cajero con una pistola mientras éste, sorprendido, le contestaba: “pero por qué se toma tantas molestias si lo puede hacer on line de manera más cómoda?”. Y menos arriesgada, deberíamos añadir.

Los ciberdelincuentes llevan ventaja porque resulta muy difícil “tirar del hilo”. La estructura de su negocio es cada vez más compleja: Los que crean el troyano bancario, por ejemplo, no son los mismos que lo distribuyen para robar las claves de las tarjetas de crédito ni los mismos que después blanquean el dinero robado. A esto se añade que la actividad delictiva se reparte entre varios países y existen pocos acuerdos de cooperación entre estados. Las fuerzas de seguridad se ven limitadas a la hora de investigar.

Además, en los pocos casos en los que se consigue identificar a los culpables, sucede que cuando son llevados a juicio no existe una legislación adecuada a la ciberdelincuencia -los delitos no están tipificados- y, en general, el aparato judicial no está preparado para juzgar este tipo de casos. Algunos son castigados con penas de cárcel, pero en muchos casos la sanción es una multa… que a los ciberdelincuentes les compensa pagar.

Sólo a modo de ejemplo, me gustaría compartir un “ejercicio matemático” realizado desde PandaLabs. Debido al rápido crecimiento del rogueware (falso software antivirus para eliminar infecciones inexistentes) y a su único objetivo de obtener beneficios financieros, PandaLabs quiso cuantificar el efecto económico de este tipo de malware. Basándose en estimaciones existentes dentro de la industria informática, extrapoló la información estimó que los delincuentes están ganando más de 34 millones de dólares al mes gracias al rogueware.

El gran beneficio potencial requiere legislaciones adaptadas, acuerdos entre estados y penas disuasorias. Cada vez más, detrás del malware nos estamos encontrando con delincuentes profesionales a los que hay que hacer frente.

Tweet This Post 

Concienciación, General, Malware, Panda Security ciberdelincuentes, Malware, PandaLabs

Durante las últimas semanas he participado en varios eventos en los que he tenido la oportunidad de dar a conocer, junto con otros miembros del equipo de Panda, nuestras últimas investigaciones sobre las últimas amenazas que hemos descubierto en el laboratorio.  Algunos ejemplos de éstas los hemos publicado en el Blog de PandaLabs, a través de Notas de Prensa o incluso en este mismo blog.

Hay una pregunta que siempre hacen los que asistieron a esos eventos: “dadas las amenazas y su impacto en la sociedad, ¿por qué las compañías de seguridad no las hacen públicas?”.  Nuestra contestación es siempre: “lo hacemos”.  Hay algo que no estamos haciendo bien desde el punto de vista de comunicación… Se está haciendo un gran esfuerzo por parte de todas las compañías de seguridad para alertar de estas amenazas, tanto a empresas como a consumidores.  El malware ha aumentado mucho en los últimos años y, además de mejorar nuestras tecnologías, la mayoría de las compañías de seguridad han aumentando sus esfuerzos de comunicación en los mercados donde operan.  Somos conscientes de que la tecnología por si misma, no puede ganar esta batalla, y necesitamos que los usuarios conozcan un mínimo sobre las amenazas para que puedan actuar apropiadamente cuando usan y se benefician de la tecnología en general. 

Uno se puede hacer rápidamente una idea (y ver cuántas y cómo de distintas son las potenciales amenazas), visitando los blogs de algunas de las compañías de seguridad.  Además del de PandaLabs, puedes visitar los de McAfee, Symantec, F-Secure, Sophos y muchos otros.   En este link se puede ver un ejemplo concreto: es un video preparado por Hispasec sobre un troyano que crea un video que captura la pantalla mientras el usuario introduce sus claves en un teclado virtual (una medida de protección usada por muchos bancos) y lo envía al hacker, que a partir de ese momento puede acceder a las cuentas con impunidad.

Si todas las compañías de seguridad comunican recurrentemente con el mercado compartiendo su visión sobre las amenazas y hacen iniciativas aumentando la visibilidad sobre las mismas y cómo protegerse, ¿por qué la Sociedad en general tiene tan poca conciencia del problema? Una de las razones puede ser que se piense que nuestra comunicación pueda estar sesgada por un posible conflicto de interés y que estamos interesados en exagerar el problema.  La realidad es que, aunque lógicamente nos beneficia que lo usuarios compren nuestras soluciones, nuestra motivación no es mejorar nuestra cuenta de Pérdidas y Ganancias.  Si se pudiera calcular el retorno de la inversión (ROI) de nuestras actividades de concienciación, no me sorprendería encontrarme con que fuera negativo (nuestra campaña de Menores en la Red puede servir como ejemplo).  Hacemos estas actividades (hablo por Panda, pero estoy seguro que casi todas las demás compañías de seguridad también) porque son una parte intrínseca de nuestra misión.

Teniendo en cuenta esto y para conseguir tener un mucho mayor impacto, animo desde aquí a todas las administraciones públicas y organizaciones sin ánimo de lucro, a ayudarnos a extender el mensaje.  La Tecnología en general e Internet en particular son unas grandes herramientas que nos ayudarán a conseguir un mundo mejor.  A medida que se usan por un porcentaje cada vez más grande de la sociedad y las empresas en su actividad diaria, tenemos que seguir trabajando conjuntamente para mantenerlas seguras. 

Tweet This Post 

Blogs, Concienciación, General, Malware, seguridad blog, Panda, PandaLabs, seguridad

El viernes pasado, el Presidente Obama presentó las conclusiones del informe que encargó semanas después de su llegada a la Casa Blanca sobre el estado de la cyber-seguridad en Estados Unidos.  Dicho informe, que ha sido coordinado por Melissa Hathaway, se ha centrado en entender los esfuerzos que hasta ahora hacía el gobierno federal para proteger la infraestructura de información y comunicaciones de Estados Unidos, así como presentar una recomendación para proteger esas redes y garantizar la prosperidad de Estados Unidos.  Podéis ver el video del discurso de Obama, así como una transcripción del mismo.  También podéis descargar el informe completo.

Para los que nos dedicamos a la seguridad informática no hay datos muy novedosos ni en el discurso del Presidente, ni en el informe en sí.  Sin embargo sí que se puede entrever un cambio trascendental después del 29 de Mayo de 2009: el Presidente Obama, de forma clara y contundente, hace pública a la sociedad de Estados Unidos (y al mundo por extensión) la necesidad de tomar acciones coordinadas encaminadas a proteger tanto a la infraestructura en sí como la actividad que en ella se desarrolla frente a la amenaza creciente del cyber-crimen y el cyber-terrrorismo.  Es ahí donde desde mi punto de vista, se ha producido un punto de inflexión tras este anuncio.  Podéis encontrar la visión de algunos analistas que sigo sobre este anuncio: Bruce Schneier, Byron Acohido, Wall Street Journal, USA Today y Brian Krebs .

Ya no somos sólo las empresas del sector (cuya visión podía percibirse sesgada por intereses empresariales) los principales abanderados de la necesidad de hacer frente a esta lacra.  La Administración Obama se une al esfuerzo concienciador que veníamos haciendo desde la industria desde hace años.  No quiero decir que los esfuerzos hasta ahora hayan sido nulos por parte de las entidades públicas de los distintos países, pero sí que claramente son mejorables.  Todo ello, respetando, tanto la privacidad dentro de la red, como la neutralidad de la misma. 

Las acciones anunciadas por el Presidente Obama se enmarcarán en cinco áreas principales:

• Establecer un liderazgo claro en temas de cyberseguridad con una estructura suficiente que revisará las leyes y políticas y mejorará el “accountability” de las administraciones federales, estatales y locales en Estados Unidos
• Desarrollar un entorno que facilite una respuesta coordinada del gobierno, entidades privadas y aliados en cualquier incidente de cyberseguridad que lo requiera
• Fortalecer la colaboración tanto entre el Gobierno americano y sus aliados como con la iniciativa privada, en manos de quienes están la mayoría de las infraestructuras críticas de la red.  Todo ello sin dictar estándares de seguridad, sino colaborando para tomar medidas que mejoren la seguridad y aseguren la prosperidad
• Aumentar la inversión en innovación y desarrollo para asegurar que está a la altura de las necesidades que se visualizan
• Empezar una campaña de concienciación social que permita no sólo que la población esté informada de los riesgos, sino que esté preparada para trabajar e innovar en las tecnologías que se desarrollarán durante el siglo XXI

Comparto completamente la línea de las acciones propuestas, no sólo en Estados Unidos, sino en todos los países.  A lo largo del tiempo hemos visto numerosas iniciativas, pero muchas veces adolecen del liderazgo, el compromiso o el apoyo a largo plazo.  Al igual que en mundo físico, los problemas de seguridad en la red y otras infraestructuras de telecomunicaciones seguirán en aumento y es necesario el establecimiento de compromisos y objetivos a medio/largo plazo para conseguir contribuir a solucionarlos. 

Con toda esta problemática presente, hace algunos meses comenzamos a trabajar en la constitución del Consejo Nacional Consultivo de CyberSeguridad, como anunciamos recientemente.  Desde antes de su constitución hemos estado trabajando, conjuntamente con instituciones públicas y privadas, proponiendo medidas muy similares a las propuestas por el Presidente Obama.  Este anuncio en Estados Unidos nos confirma que estábamos en la dirección correcta y esperamos animará a todos los actores involucrados del ámbito público y privado a seguir dedicando esfuerzos por mejorar la seguridad en la red y garantizar el desarrollo económico de nuestro país. 

Tweet This Post 

Blogs, Concienciación, General, seguridad CNCCS, cyberseguridad, Obama, política

Hoy quiero compartir algunos de los blogs que leo regularmente y aprovechar para pediros recomendaciones de sobre otros que creáis puedan ser interesantes para el que escribe o los que siguen este blog.  En la sección en inglés he incluido algunos de los que sigo regularmente en inglés.

Sin orden predeterminado, los blogs son:

1. Error500
Antonio Ortiz es el autor de este blog, centrado en el análisis de las últimas tendencias sobre Internet. Pudimos disfrutar de sus opiniones en el Security Blogger Summit.

2. Carlos Blanco
Es el CEO del grupo ITnet. El primer martes de cada mes, organiza el First Tuesday, evento que trata de poner en contacto a emprendedores con inversores de una forma sencilla. Mikel Urizarbarrena y yo tuvimos el placer de participar en dicho evento el pasado mes de febrero.

3. El blog de Enrique Dans
Enrique Dans es profesor de Sistemas de Información en IE Business School desde el año 1990. Escribe sobre temas relacionados con Internet y las nuevas tecnologías y colabora activamente con diversos medios de comunicación españoles. Es uno de los “culpables” de que me decidiera a comenzar mi propio blog, como indiqué en mi primer post.

4. A todo chip, Javier Villacañas
Javier Villacañas es presentador de varios programas radiofónicos en la COPE y desde febrero de 2007, elabora a diario este blog que recoge la actualidad tecnológica desde un punto de vista informativo. Participó como ponente en el primer Security Blogger Summit.

5. Genbeta
Es un blog multiautor dedicado a seguir la actualidad de los programas y servicios web, donde he encontrado aplicaciones muy variadas y programas muy útiles en el día a día.

6. Infoman
El autor de este blog es Rodolfo Carpintier, presidente de Digital Assets Deployment. Centra su discurso en el mundo empresarial relacionado con la web.

7. Infospyware blog
Marcelo Rivero es el artífice de este blog, así como del foro que lleva el mismo nombre. Desde que nos conocimos, hemos colaborado en algunas iniciativas para conseguir proporcionar a los internautas una Internet más segura, por ejemplo Infospyware participa en la campaña www.menorenlared.com

8. Interactividad
Se trata de un blog relacionado sobre todo con el marketing electrónico y los “social media”. Marc Cortés es la persona que está detrás de todo ello.  Con Marc comparto además el ser un fan de Twitter.

9. Merodeando
Julio Alonso es el fundador de Weblogs S.L. y escritor de este blog. Sus temas preferidos se centran en la evolución digital, la publicidad online y el blogging corporativo.

10. Nubeblog
Este blog, como se puede adivinar fácilmente al ver el título, trata sobre temas de Cloud Computing, un concepto rompedor que, bajo mi punto de vista, va a ser la base de las nuevas tecnologías en los próximos años. Sin duda, es el siguiente escalón del mundo digital.

Tweet This Post 

Blogs, Concienciación, General, Juan Santana Blogs, Cloud Antivirus, ideas