Los primeros días estuve trasteando un poco pero no conseguí nada en claro. Este fin de semana me decidí intentarlo de nuevo y lo he conseguido. Como he visto cientos de “tutoriales” en internet que realmente no sirven para mucho, he documentado los pasos que yo he seguido, por si a alguien le pudiera ser de utilidad. El procedimiento es válido para un iPod Touch 1G modelo MA627LL con iOS versión 3.1.3 (7E18).

Hoy está @areino (y @alfredo_reino ) en @atrubeorg hablando de seguridad IT bit.ly/SwowFB

— David Casado (@dondado) October 31, 2012

La receta es de quark alemán, pero me ha quedado un poco más espeso que el quark típico. Ha quedado una consistencia de la ricotta (que es un queso diferente, porque se hace con el suero resultante de hacer queso, en vez de leche) o del requesón español. Sabor ligeramente ácido, pero bastante suave y cremoso.

He usado leche pasterizada, de la granja cercana, cuajo vegetal en pastillas, y un “starter” mesofílico con lactosa y lactococcus lactis (subespecies lactis y cremoris). Es una receta rápida (12 horas cuajando, y 12 horas escurriendo), y esta mañana lo he desayunado.

Como lo recojo este sábado, ayer por la tarde me puse a buscar una aseguradora que me hiciera buen precio. Decidí utilizar  el comparador de seguros para coche de Google UK. Después de meter todos los detalles (les faltó la partida de nacimiento de la tortuga que tenía cuando era pequeño), me dan varias opciones a elegir, y eso hago, cogiendo (por supuesto) el más barato de los que cumplen mis requisitos.

Por cierto, los seguros de coche en Reino Unido son bastante más caros que en España. Y los precios van desde (x) a (5·x).

Desde la página de Google le doy a “Buy online”, y me lleva a la página de la aseguradora $INSURER con el presupuesto correcto y pone que para contratar tengo que llamar a un teléfono y dar el número de referencia.

Claro, pienso yo, estos no tienen integrado el backend con el comparador de Google. Así que me dispongo a marcar el número.

Ahora viene lo bueno.

Mientras estoy marcando el número de teléfono, de pronto me llaman. Lo cojo y me dicen “Buenas tardes, bla bla bla, esto es referente al seguro que quiere usted contratar, bla bla bla, necesitamos hacerles unas preguntas para confirmar sus datos, bla bla bla”. Qué eficiente, te llaman al segundo.

Después de media hora confirmando todos los datos, me dicen que van a ver si me pueden mejorar la oferta. Al rato me dicen que el mejor precio es (2·x). Es decir, el doble que la oferta que ya tenía. Les digo que la oferta SUYA que ya tenía es de la mitad, y me dicen extrañados que no puede ser. Que imposible más barato, y que tengo que decidirme ya.

Así que les digo que me lo tengo que pensar y mirar un poco más.

Entonces me llega el email con la oferta que me acaban de hacer por teléfono, y me doy cuenta de que es OTRA aseguradora con la que había estado hablando.

Es decir, que tu les das tus datos a Google para comparar seguros, y cuando das a “Buy online” al que te gusta, le pasan tus datos a OTRA aseguradora que te llama inmediatamente sin dejar claro del todo quiénes son para “confirmarte la oferta”.

Aunque en este caso sea legal, y seguramente revisando la letra pequeña, esté todo muy bien explicado por parte de Google, es un “ataque de ingeniería social” en toda regla.

Y como en este tipo de ataques de ingeniería social, las recomendaciones son las de siempre:

• Haz la llamada tú, no dejes que te llamen.
• Confirma la identidad de tu interlocutor, aunque te parezca obvio quién es.
• No te dejes apabullar ni meter prisa para tomar una decisión. Si hasta media hora antes no sabían nada de ti, no pasa nada porque esperen un rato más.
• Cuidado con los intermediarios. Esto lo puede hacer Google, y lo puede hacer cualquier “buscador” o “comparador” de productos.

Por cierto, el coche que me he comprado, por 1500 libras esterlinas, es este:

Tiene unos cuantos añitos ya, pero está muy bien cuidado. Y así tengo un coche con el volante en el lado correcto

Una que tenemos cerca de casa es la Lockey Farm, en Arborfield. Ya hemos ido dos veces, y nos encanta. La carne es estupenda. Tiene cervezas elaboradas localmente. Además tiene parque infantil (con columpios y minigolf), y los niños pueden acercarse a los animales.

Y las salchichas y la panceta son espectaculares.

Me dijeron que nada, que no encontraban los móviles.

La Blackberry no me preocupa, porque en teoría hoy me daban la que voy a usar en UK, e iba a dejar de usar la de España, todavía en roaming. Además está cifrada y protegida con contraseña bastante compleja, por lo que nadie va a poder usarla. El teléfono personal me preocupa más. La SIM tiene PIN (esta mañana la he bloqueado), pero el teléfono no tenía contraseña (mal, Alfredo, MAL).

Después de hablar con la compañía de taxis, entré en mi cuenta de Google y revoqué el acceso a la cuenta desde todas las aplicaciones que tenía en el móvil (GMail, etc.) por si acaso.  Pero todavía con la esperanza de encontrarlo en algún momento.

Esta mañana se me ha ocurrido mirar el log de “actividad” de la cuenta de Google, y he visto esto:

Como podéis ver, las conexiones marcadas como “Spain (77.209.224.163)” son las mías, con la conexión de datos de Vodafone España en roaming.

Las marcadas en rojo como “United Kingdom (77.76.76.243)” están hechas desde una IP pertenece al bloque de un operador de comunicaciones británico.

Con lo cual puedo descartar que vaya a encontrar los teléfonos alguna vez, ya que claramente alguien los encontró, quitó la SIM española, y le puso una SIM británica. Al arrancar el teléfono, se generó la actividad con mi cuenta de Google a través de la integración con Android. Entonces improvisé el siguiente procedimiento, que debería haber hecho anoche sin esperar a hoy:

• Cerrar todas las sesiones abiertas en mi cuenta de Google.
• Deshabilitar la autenticación de doble factor por SMS de Google (ya que los mensajes se envían al teléfono robado).
• Asegurarme de que ninguna aplicación que tuviese instalada en el móvil puede acceder a mi cuenta de Google (Mail, Calendar, etc.) -> esto lo hice anoche
• Revocar el acceso desde Android para mis cuentas de Twitter.
• Revocar acceso desde Android a mi cuenta de TripIt, que también tenía instalado en el móvil.
• En general, comprobar qué aplicaciones tienes instaladadas, y bloquear acceso a todas ellas y cambiar las contraseñas de TODO (Spotify, Instagram, Amazon, Evernote, etc.)
• Llamar a tu operador a reportar como robadas los teléfonos para el bloqueo de las SIM.

En general, revocar permisos de acceso a servicios web desde aplicaciones de Android (redes sociales, correo electrónico, sincronización de calendarios, etc.),

Es la primera vez que me pasa, pero he aprendido sobre todo dos cosas:

• Proteje el móvil con contraseña. SIEMPRE. Me da vergüenza hasta tener que escribirlo.
• Ten un procedimiento de emergencia, para no tener que improvisar y proteger todos tus datos personales.
• Si tu móvil lo permite, cifra todo el contenido personal, sobre todo la tarjeta de memoria SD (fotos, etc.)

Ahora estoy intentando hablar con el operador de la SIM del “ladrón”, para ver si pueden identificar el usuario por la IP.

Ya os contaré.

Salgo en la prensa y no me decís nada ‘Dos españoles, entre los nuevos consejeros de agencia UE contra ciberataques’ expansion.com/agencia/efe/20…

— Alf (@areino) September 9, 2012

Deseando que llegue el fin de semana…

Dejé Madrid el domingo, en coche, camino de Santander, para coger el lunes el ferry a Portsmouth. Llegué ayer martes a Reading.

Es un viaje largo (sólo el ferry son unas 24 horas), pero relativamente relajante, ya que no tienes otra cosa que hacer que dormir, comer, beber, leer y escuchar música.

Es menos relajante la toma de contacto con las carreteras inglesas, y el camino entre Portsmouth y Reading. Conducir con un coche con el volante a la izquierda es cómodo por la autopista, pero en carreteras de doble sentido, no tienes ninguna visibilidad para saber cuándo adelantar al camión que llevas delante. Igual si pongo una webcam en la parte derecha del coche y un tablet en el salpicadero…

Bueno, pues eso, no mucho que contar de momento, pero sirva este post para reactivar el blog

Tengo el blog abandonado desde noviembre del 2011. Creo que voy a retomarlo ahora que nos vamos a otro país

— Alf (@areino) July 27, 2012

“There are four piles of things in the world:

• Things you like/love.
• Things you are good at.
• Things you can be paid to do.
• Things that are important.

But only you can sort out what belongs in each pile, or hopefully, all four piles at the same time. Growing up, we’re fed many stories about what we’re supposed to like, or enjoy, or find pleasure in, and only some of that turns out to be true. It’s implied you need a great career to be happy, but many people with fancy careers seem miserable. You can’t be passionate if you’re living your parents’ dream and not your own. And to separate the two requires some wandering, some courage, and some time where you know the answer won’t come quickly.

My advice is simple: pick something. Do it with all your heart. If you can’t keep your heart in it, do something else. Repeat. Your desires will change as you age, and to assume you can do one thing your whole life and be satisfied is foolish. Developing selfknowledge will help you make the next choice, and the next, leading to a passionate life. Few people have the courage to do this, even for a year, much less a lifetime. But my suspicion is, if you ask passionate people how they make choices, this is what you’ll hear.”

Scott Berkun, “Mindfire”

Es muy fácil recurrir a los marcos de trabajo clásicos, normativas, Sistemas de Gestión de Seguridad de la Información (SGSI), o simplemente “comprar productos de seguridad” esperando que los problemas se resuelvan “automágicamente” o bien demostrar la diligencia debida (también conocida como “cover your ass”) en caso de incidente (“¡pero si tenemos firewall y antivirus! ¡qué podíamos saber!”).

El mundo de la PYME y la micro-PYME es el gran olvidado. Las amenazas a los que están expuestos son las mismas en principio:

• pérdida de continuidad de negocio por indisponibilidad de infraestructura y/o aplicaciones
• pérdida de continuidad de negocio por pérdida o corrupción de datos
• robo de “propiedad intelectual”, suponiendo pérdida de ventaja competitiva
• sanciones legales por mala gestión (o pérdida de control) sobre datos de carácter personal (LOPD)

Sin embargo estas empresas no suelen tener un departamento de Seguridad (muchas ni siquiera tienen un departamento de T.I.), ni gente dedicada al análisis y gestión de riesgos, ni un presupuesto dedicado a mitigar riesgos.

Según datos de INTECO, alrededor del 98% de las empresas pequeñas y medianas usan algún tipo de antivirus, un 72% cortafuegos en el PC, 61% algún tipo de filtro para SPAM, y sólo un 8% usan herramientas de cifrado de disco. Los datos son para 2009, por lo que no están actualizados (aunque dudo mucho que la magnitud de gasto en seguridad de las PYMES sea muy grande estos dos últimos años).

¿Qué se puede hacer? Inspirado por esta presentación de Wendy Nather (“Living Below the Security Poverty Line“), aquí van algunas sugerencias de lo que se puede hacer o bien gratis, o por 2000€.

Gratis (o casi)

• Cambiar contraseñas por defecto en routers, switches, puntos de acceso WiFi, etc.
• Configurar autenticación segura en el punto de acceso o router wireless (¡WPA, no WEP!)
• Habilita Windows Firewall en todos los puestos de trabajo.
• Configurar puestos de trabajo y servidores Windows para que se actualicen automáticamente (¡sin excusas!)
• Utilizar TrueCrypt para cifrar datos o disco completo en portátiles.
• Usar productos antivirus gratuitos como AVG, Comodo, avast!, etc. (pero cuidado con los “falsos antivirus”, mejor usar uno recomendado y conocido)
• Leer la norma PCI y comprueba si te aplica (si cobras con tarjeta de crédito o débito, seguro que sí)

Por 2000 €

• Solución de navegación web segura (filtrado URLs y antivirus/antispyware) basado en “cloud” para 40-50 usuarios.
• Solución de correo electrónico seguro (anti-SPAM y anttivirus) basado en “cloud” para 75-100 usuarios.
• Producto de “endpoint protection” (antivirus, antispyware, detección de ataques, firewall personal) para unos 75 usuarios.
• Herramienta de escaneo de vulnerabilidades (2 años de actualizaciones).
• Servicio de consultoría (3 o 4 jornadas) para ayudar con normativas PCI o LOPD.

La lista por supuesto no es exhaustiva, sino unos pocos ejemplos de entre la infinidad de cosas que se pueden hacer. Los precios y estimaciones son aproximados, y en el caso de productos comerciales no doy nombres, porque no es el objetivo de este post, sino contribuir a la concienciación de que se puede hacer bastante con poco dinero.

Es importante tener en cuenta la diferencia entre PREVENCIÓN y DETECCIÓN. Como dice la presentación de Wendy Nather, se suele recomendar DETECCIÓN porque la PREVENCIÓN termina fallando en algún momento. Pero si quieres algo gratis o por 2000€, lo que puedes conseguir es PREVENCIÓN (que es mejor que no tener nada).