Después de toda la semana con la polémica del Ministro en funciones de Industria José Manuel Soria y su implicación en los papeles de Panamá, desde El Fisgón Trenologico queremos ahondar en el aspecto tecnológico de este tema , para ello estrenamos sección la de entrevistas con Amador Aparacio de la Fuente profesor de informática en el Centro Don Bosco de Villamuriel de Cerrato ( Palencia ) y experto en seguridad informática.
Los Papeles de Panamá es la filtración de más de once millones de documentos de la firma panameña Mossack Fosenca. Lo sacó a la luz el Consorcio Internacional de Periodistas de Investigación.
En otros medios hablan que Mossack Fosenca se encarga de que la documentación de sus clientes esté segura con el borrado de registros telefónicos y de la computadora de su sede en las Vegas. Pero parece ser que no ha sido suficiente del todo
Por ello vamos a descubrir con Amador Aparicio a como se ha podido tener acceso a toda esa información.
AMADOR APARICIO DE LA FUENTE
Tiene 37 años y ya desde hace 12 se dedica a la formación , aunque desde hace 10 a la formación profesional dentro del Centro Don Bosco de Villamuriel de Cerrato , también impartió matemáticas en Bachillerato en su modalidad de nocturno en el IES Jorge Manrique de Palencia donde yo tuve el justo de conocerle.
Ingeniero informático por la universidad de Valladolid , Postgrado de seguridad de las tecnologías de la información y comunicación en las universidades de Oberta y Cataluña, mentor de las becas Talentum de Telefónica.
También es promotor de las jornadas seguridad informática en el Centro Don Bosco de Villamuriel de Cerrato , todos los años consigue reunir a más de 300 personas interesadas en este tema, este año también ha sido particice en las I Jornadas de CiberDay Palencia
Pasemos a la entrevista y descubramos el tema en general :
ElFisgónTrenologico ( EFT) – Buenos Días Amador
Amador Aparicio (A) – Buenos días Fisgón TRenológico!
EFT – En algunos medios se habla de que la obtención de estos documentos es un claro ejemplo de phising, ¿nos podría aclarar un poco en qué consiste este tipo de ataque?
A – Por supuesto, el phising es un tipo de ataque dentro del fraude online cuyo objetivo es engañar a la víctima para obtener datos privados o sensibles de esa persona, como por ejemplo, contraseñas de acceso a servicios y páginas en internet, datos bancarios, información de una tercera persona, etcétera, siempre con el fin de obtener un beneficio a través de esa información.
EFT – ¿Cuál ha sido el principal error de este bufete?
A – Según las fuentes oficiales, el error se debe a la falta de securización de las páginas web del buffete de abogados. Al parecer utilizaban el famoso sistema de gestión de contenidos wordpress y drupal y estos, aparte de no estar actualizados, utilizaban pluggins con una configuración insegura que permitía a los atacantes acceder a información contenida en el propio servidor.
También hay que mencionar que la configuración de la web del bufete de abogados presentaba una configuración insegura en su servidor web que permitía ver el contenido de las carpetas del servidor, como se ve en la siguiente imagen:
En la imagen anterior se puede ver como Google ha indexado información de las carpetas del servidor de este bufete de abogados y a día de hoy aún lo tiene cacheado.
El gran problema ha sido el no actualizar. Hasta aquí es la visión que ha salido en todos los medios de comunicación, pero nadie ha barajado la posibilidad de que fuese una persona interna en la organización la que pudiera haber obtenido toda esta cantidad de información. Recordemos que la cantidad de documentos que se han filtrado han sido 11 millones y medio y, en cantidad de información, más de 2 terabytes de datos.
Me gustaría saber cuáles han sido los resultados de los análisis forenses realizados a los servidores para ver si existen indicios de accesos internos a la propia organización.
EFT – ¿Cree que tanto gobiernos, instituciones públicas, buffetes de abogados, bancos etc… trabajan adecuadamente en la seguridad informática?
A – Aquí hay de todo, pero por desgracia, por los casos que van apareciendo, creo que no se toman, a día de hoy, todas las medidas adecuadas para estar prevenidos y preparados. Tenemos ejemplos de ciberespionaje entre gobiernos, cómo la NSA ha espiado líderes mundiales y cuenta con la tecnología suficiente para espiar a casi cualquier persona, según revelaron las filtraciones de Edward Snowden.
Pero volviendo a tu pregunta, muchas empresas realizan grandes inversiones en tecnologías de prevención de ataques pero no se ocupan de tener todo el software actualizado, eliminar todos los bugs se sencilla explotación en las web o resolver el problema de las contraseñas e identidades digitales de las empresas. Son problemas que se conocen desde hace mucho tiempo.
EFT – Refiriéndonos a España como ve este trabajo de seguridad informática en nuestras instituciones, empresas etc…
A – Las empresas y administraciones públicas cada vez van siendo más conscientes de la importancia de que sus sistemas y aplicaciones sean seguras, por toda la información de la empresa y clientes que puede ser expuesta y robada, pero sobre todo por el impacto negativo traducido en falta de confianza por parte de los clientes si una web de comercio electrónico es vulnerada y los clientes detectan fallos de seguridad en la web.
La realidad me dice que, aunque las organizaciones son conscientes de que la seguridad informática es importante cuando se tiene presencia en Internet por el impacto que éstas pueden sufrir, aún hay un largo camino por recorrer en este sentido. A día de hoy aún son muchas las empresas y administraciones públicas que adolecen vulnerabilidades en sus sistemas en forma de fugas de información, servidores web mal securizados, errores en la programación de sus aplicaciones web lo que en muchas ocasiones permite acceder directamente a su base de datos, nombres de usuarios por defecto como Admin, etc…
Desgraciadamente esto es extensible fuera de España
EFT – Podría hablarnos de medios para intentar evitar este tipo de ataques
A – Aquí te mando estos 5 consejos a ver qué te parecen:
- Como rutina, actualiza todo el sodtware de tus sistemas. Puedes hacerlo una vez a la semana.
- Utiliza segundos factores de autebticación. Es infinitamente más seguro que únicamente utilizar un password. Como ejemplo, Google Authenticator, SMS, Latch o Verificación en dos pasos de Apple.
- Utiliza un antimalware con análisis en tiempo real. Personalmente yo los prefiero de pago y es infinitamente mejor que no tener nada.
- Utiliza un sistema antirrobo en tu dispositivo móvil y ordenador portátil, como por ejemplo Find My iPhone, Prey o cualquier otro. Mejor poder localizarlo si un día pierdes tu portátil o dispositivo móvil.
- Cifra el contenido de tu dispositivo móvil y del disco duro de tu ordenador. Utiliza por ejemplo Bitlocker, FileVault, TrueCrypt o PGP, pero no pierdas fácilmente tus datos.
EFT – Como experto en seguridad informática cree que estamos alguna vez 100% seguros
A – Aunque suene a tópico, la seguridad 100% es imposible porque cada vez existen más punto de exposición porque cada vez más gente tiene acceso a la tecnología. Por ejemplo, cada vez tenemos más noticias de que alguien ha sufrido un problema de robo de identidad en Internet o de que alguien ha pedido algún crédito a su nombre. Empresas y particulares a las que les han robado el dinero, gente espiada y acosada en el mundo virtual, empresas que no pueden trabajar porque un cryptolocker ha cifrado sus sistemas, o persiones que sufren extorsión poruqe alguien les ha pillado haciendo sexting en Internet. No tomar precauciones en nuestra vida digital puede tener grandes impactos en nuestra vida física.
Lo que sí que tengo muy claro es que sin hackers el mundo tecnológico sería menos seguro y menos evolucionado y, pero es definitiva.
EFT – Muchas Gracias Amador
A – A vosotros!
Espero que os haya servido para entender un poco más el caso de los papeles de panamá además de ahondar en la seguridad informatica
Deja una respuesta