iso 27000  dropzones

biometría

comunidad antihackers
malware
Infosecurity Buenos Aires 2010
Antirrobo
intypedia

stuxnet
vulnerabilidades
ciberguerras

noticias bolsa
agenda lectores
pases

Ediciones Anteriores:

OCTUBRE 2010

Proceso de Certificación ISO 27001
Roberto Demaria

Jefe de seguridad y administración de riesgos de IT

Grupo Peñaflor S.A
1er Empresa Vitivinícola del Mundo en certificar ISO 27001

¿Cuál es el modelo de negocios de Grupo Peñaflor S.A.?

Nuestro modelo de negocios es único en Argentina y exitoso en el mercado internacional. Está sustentado en una profunda vocación por comprender y satisfacer las necesidades de los consumidores y en la custodia de la autonomía de gestión de nuestras Bodegas.

¿Cuáles son las estadísticas de la Compañía?

Ventas anuales por 1.013 millones de pesos argentinos. (Fuente: Balance Legal).

Exportaciones anuales por 128 millones de dólares americanos. (Fuente: Balance Legal)

Ubicado entre los primeros 7 productores mundiales de vino, con 242 millones de litros anuales de producción. (Fuente: InternationalWine and Spirit Record Octubre09)

Tecnología de clase mundial.

5.215 hectáreas propias cultivadas en diferentes climas y regiones vitivinícolas del país.

9 líneas con capacidad total de fraccionamiento en botellas de 60.600 botellas por hora.

5 líneas con capacidad total de fraccionamiento en cartón de 30.000 litros por hora.

1.700 empleados.

Certificaciones de calidad y operación bajo estándares internacionales.

Camino a la Certificación ISO 27001

• Se dispara la necesidad de negocio
• Definir la Estructura adecuada y los recursos necesarios
• Identificar al “candidato”, adentro o afuera?
• Selección del socio adecuado para la alineación
• Formar y capacitar al Jefe de Seguridad y Riesgos de IT
• Vender el proyecto dentro de IT
• Donde estamos parados, el “Assessment”
• Evaluar los Riesgos de IT y su tratamiento
• Concientizar a toda la Organización
• Adaptar los procedimientos internos a la Norma
• Mitigar los riesgos seleccionados
• Seleccionar a la certificadora
• Iniciar el proceso de certificación

Para tener en cuenta

• Apoyo de la Dirección
• Conocimiento de la organización
• Consultora con experiencia
• Conocimientos de la norma ISO 27001 (capacitarse)
• Buscar aliados , referentes de cada sector de la empresa
• Concientizar al personal
• Armar un SGSI presentable (buscar algún software)
• Análisis y tratamiento de riesgos (simple ,sin formulas complejas)
• Hacer SOA y justificar adecuadamente los puntos que no aplican
• No dejar puntos sin tratar aunque no tengamos soluciones – Asumir riesgos - justificar

Auditoría de Fase 1

• Tener presente que es una auditoria voluntaria
• Tener bien preparado el plan de auditoria (ver quienes van a participar , elegir adecuadamente los interlocutores a entrevistar)
• Invertir tiempo en explicar cultura e idiosincrasia de la empresa
• Demostrar que sabemos de lo que hablamos y que hemos trabajado duro para llegar a esta instancia
• Tener presente que siempre van a encontrar algo y si es algoprevisto mejor

Auditoria de Fase 2

• Nuevamente - preparar bien el plan de auditoria (ver quienes van a participar , elegir adecuadamente los interlocutores a entrevistar- ver cuales se desempeñaron bien en la auditoria anterior)
• Tener tratadas todas las observaciones de la auditoria de Fase 1 (sin excepción )
• Si no tenemos todos los puntos solucionados , demostrar que tenemos intención de hacerlo (mostrar plan de implementación – facturas – ordenes de compras – mail, etc.)
• No justificar lo injustificable (NO MENTIR)

Luego de Certificar

• Festejar (La empresa mas grande certificada en la Argentina, la única que certificó todos sus procesos y la 1er. vitivinícola en el mundo en hacerlo)
• Preparase para la revalidación (1 Año) esto recién empieza
• Tener presente que es mas fácil llegar que mantenerse

Fuente: InfosecurityVip.com

SEPTIEMBRE 2010

Crea virus para demostrar inseguridad de Twitter
Por BBC World

"Hubo varios otros que se valieron del error. Yo sólo creé el gusano", indicó el hacker

La red social Twitter corrigió un error en su sitio en internet que estaba siendo explotado para hacer aparecer mensajes en ventanas emergentes y enlaces a sitios pornográficos. Inicialmente, los usuarios sólo tenían que mover el ratón de la computadora sobre un mensaje que contenía un vínculo- sin hacer clic en él- para abrirlo en el navegador. El código se esparció a través de gusanos informáticos, un software malicioso que tiene la propiedad de duplicarse a sí mismo.

Miles de usuarios fueron víctimas del problema.

Por su parte, Twitter dijo a través de su blog que "el problema ya fue solucionado".

La gente que utilizó el software para Twitter escrito por terceros – como por ejemplo, Tweetdeck - no se vio afectada por el problema.

El comando - escrito en un lenguaje de programación llamado Javascript- dirigía automáticamente a los usuarios a otras páginas en internet, algunas de las cuales contenían pornografía.

Los enlaces maliciosos contenían el código "onmouseover”.

Sin arrepentimiento

El primer mensaje en contener el código pareció haber sido enviado por un programador llamado Magnus Holm.

"Escribí el primer gusano informático que se ha estado propagando", le dijo a la BBC.

"Yo simplemente quería explotar la falla de seguridad sin hacer 'daño real', añadió.

Holm afirmó que el error ya había sido identificado por otras personas y ya había sido utilizado para otras cosas.

"Hubo varios otros que se valieron del error. Yo sólo creé el gusano", indicó.

Según Holm, hasta el momento de la entrevista había visto al "gusano" pasar en aproximadamente 200.000 mensajes.

Sin embargo, advirtió que ya había otras variantes del gusano que estaban siendo difundidas y que utilizaban "otros trucos desagradables o inteligentes".

"Era sólo cuestión de tiempo antes de comenzaran en la red los gusanos más serios", agregó.

Sin embargo, Holm dijo que no se arrepentía y que "no estaba seguro" de si recibiría una llamada de Twitter.

No es la primera vez que la red social ha sufrido un ataque informático.

En abril de 2009, otro gusano propagó enlaces a un sitio rival, mostrando de nuevo mensajes no deseados en las cuentas de los usuarios infectados.

El investigador de la empresa de seguridad Sophos Graham Cluley, le dijo a la BBC que Twitter necesita "un control mucho mayor" sobre lo que los usuarios pueden incluir en un tweet para evitar problemas similares en el futuro.

Fuente: BBC World

AGOSTO 2010

Información a buen recaudo

Infosecurity reunió en Perú a expertos para hablar sobre seguridad
Ligia Piccinini

Coordinadora Regional de Infosecurity para Latinoamérica

Infosecurity Vip

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.

DURANTE EL CICLO de conferencias se analizaron los nuevos peligros que rondan a las empresas, así como las estrategias que las organizaciones deberían tener en cuenta para evitar pérdidas originadas por descuidos en materia de protección de datos.

Frano Capeta, Director de Education Center de I-SEC indicó que a pesar de la creencia extendida de que los gerentes de TI deben reforzar su seguridad hacia el exterior, la experiencia demuestra que son los usuarios internos los que generan mayor cantidad de amenazas de forma intencional o involuntaria.

Señaló también que las empresas se han preocupado de crear barreras en el perímetro, pero la nueva realidad obliga a involucrar a socios externos en el área de TI; ofrecer mayor movilidad a sus empleados; disolver el perímetro y exigir mayor control sobre la infraestructura y comunicaciones. El experto enumeró que las principales amenazas giran, hoy por hoy, en torno a los ataques distribuidos (DoS), el spam y las redes de computadoras zombies y botnets. Estas últimas son máquinas infectadas que sirven como plataformas para realizar nuevos daños o emitir spam.

Según señaló, los crackers están trabajando en la creación de malware que les permita controlar botnets (computadoras zombies) a través de protocolos web o de IRC, los cuales siempre deben permanecer abiertos en las redes. Indicó además que en el mercado negro de la Intenet ya se comercializan troyanos optimizados para no ser detectados por los antivirus, los mismos que ofrecen garantía y soporte por US$40. Incluso se alquilan servicios de plataformas de spam a un costo de US$50 por hora y hasta US$200 por 24 horas de servicio continuo.

Por su parte, también se disertó acerca de las estrategias para proteger la información de la empresa y evitar que los empleados filtren información a terceros abusando de la inviolabilidad de las comunicaciones. Se menciono que la empresa debe informar a los empleados que toda la información contenida en las computadoras pertenece a la organización: es compartida y, por tanto, puede ser revisada. Adicionalmente, es necesario establecer niveles de control para que las personas tengan acceso solo a determinados contenidos. Además, los trabajadores tienen que estar informados de las políticas corporativas
y debe constar en un documento que los miembros de la institución tienen conocimientos de la norma.

Se puntualizó que un uso indebido (como ver pornografía o descargar archivos en redes P2P) sería causal de despido. La empresa, frente a un conflicto en el que requiera probar la falta de un empleado, debe restringir el acceso a la computadora del trabajador y recurrir a un notario, a fin de realizar una auditoría y abrir las comunicaciones de dicho equipo. También se señaló además que es lícito realizar un backup de todos los correos entrantes y salientes de un servidor pero no se pueden revisar a menos que se obtenga una orden judicial. Contar con una copia de un mail sin tener la respectiva autorización invalida las pruebas.

Nelson Delgado Muller, Gerente Comercial de la firma Ti-Partners, expuso las aplicaciones de la llave de memoria Hardkey para la protección de software contra piratería y el refuerzo de políticas de seguridad.

Explicó que esta llave puede ser utilizada para impedir copias no autorizadas, pues se condiciona la ejecución de un programa a la presencia del dispositivo en un puerto USB. También destacó su uso en los procesos de autenticación de usuarios en una empresa y para encriptar correo electrónico, el cual solo podrá ser abierto por otro usuario con una llave similar, garantizando la protección de las comunicaciones.

Por su parte Linck Tello Flores, Gerente de Tecnología y Networking de Innovare demostró el funcionamiento de la consola de control centralizado Endpoint Security and Control de Sophos. Esta herramienta permite controlar las aplicaciones que se ejecutan en la red y seguir en forma remota los puertos USB, quemadoras y otros dispositivos que se utilizan en las máquinas.

Además incluye un administrador de cuarentenas y parches. El centro de control establece las políticas a ejecutar y cede la gestión de la infraestructura hacia otros entornos de administración como la consola para help desk. Ello permitirá a los técnicos actuar frente a una alerta, pero impedirá cambiar las políticas establecidas por el administrador de red desde la consola central.

Martín Vila CEO de I-SEC, explicó el concepto de pruebas dirigidas de análisis de vulnerabilidad, el cual se basa en que los activos de información de la empresa tienen un valor en tanto están directamente relacionados a los procesos orientados a los objetivos de negocios. Hay que considerar que no toda la data de un negocio está en formato digital: existe mucha información por proteger que aún se administra sobre papel. Guerrero señala que no existe un sistema 100% seguro; sin embargo, antes de lanzarse a realizar pruebas de vulnerabilidad, se debe definir una meta a lograr en función del nivel de protección de los contenidos y según su relevancia para la organización.

Dicho análisis previo debe considerar, además, el método de almacenamiento y transporte de la data y el nivel de confianza, integridad y disponibilidad de los datos que se requiere.

Respecto al origen de los ataques en las compañías, Vila reveló cifras de un estudio de I-SEC en el que se indica que el 69% de los fraudes en empresas se dan por parte de los propios empleados, 20% por colusión con personas externas y solo 11% fue originado por personas ajenas a la organización.

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.

JULIO 2010

Celebrado "InfoSecurity Caracas 2010"
Ligia Piccinini

Coordinadora Regional de Infosecurity para Latinoamérica

Infosecurity Vip

“No es novedad que el mundo de las organizaciones está cada vez más expuesto a los peligros informáticos que amenazan la continuidad del negocio: espías y hackers esperan el momento justo para atacar. Difundir la trascendencia del resguardo de la Información es lo que nos ha llevado a organizar el evento InfoSecurity.   Además, nos hemos unido a empresas como Microsoft y Electronic Services de Venezuela, ya que conocemos sus esfuerzos para promover la seguridad de la información y la seguridad en Internet y esto añade mucho valor al público”

Difundir la trascendencia del resguardo de la información es el objetivo de InfoSecurity que este año se llevó a cabo en su sexta edición en el país.

Fue celebrado en Caracas y por sexto año consecutivo InfoSecurity, evento internacional de la seguridad de la información que este año adoptó un nuevo formato llevándose a cabo dentro del marco de la Semana de la Seguridad ISEC 2010.

Con más de 56 Ediciones en las principales ciudades de Latinoamérica y con más de ocho años de trayectoria, InfoSecurity es el evento que reunió a los speakers y empresas del mercado de TI en un ámbito de intercambio y debate, donde la problemática fue la Seguridad Informática, sus retos y sus tendencias dentro de la seguridad de la información en Venezuela y Latinoamérica.

Los profesionales de TI, dijeron los expertos en sus ponencias, enfrentan un reto muy grande hoy día para poder proteger sus empresas y organizaciones de una amplia gama de amenazas a la seguridad de la información, las cuales se encuentran evolucionando todo el tiempo. Hoy día las amenazas son más avanzadas, más frecuentes y principalmente motivadas por una ganancia económica.

De acuerdo a Ligia Piccinini, coordinadora Regional de InfoSecurity para Latinoamérica, el valor de la Información de una empresa u organización amerita que se tomen decisiones para su resguardo, ya que de otra manera las empresas quedarían expuestas a un riesgo casi letal. "No es novedad que el mundo de las organizaciones está cada vez más expuesto a los peligros informáticos que amenazan la continuidad del negocio: espías y hackers esperan el momento justo para atacar. Difundir la trascendencia del resguardo de la Información es lo que nos ha llevado a organizar el evento InfoSecurity. Además, nos hemos unido a empresas como Microsoft y Electronic Services de Venezuela, ya que conocemos sus esfuerzos para promover la seguridad de la información y la seguridad en Internet y esto añade mucho valor al público", comentó.

Infosecurity cuenta regionalmente con el apoyo y participación de empresas e instituciones como Microsoft Venezuela, TippingPoint, APC, Kaspersky, Sonicwall, Watchguard, Oracle, I-SEC Information Security, ESV (Electronic Services de Venezuela), Grupo HPA, ISF Alpiz, Bucret, Zyxel, entre otros.

Para Microsoft y de acuerdo a Aldo Hernández, gerente de Seguridad y Privacidad de Microsoft Venezuela. "Iniciativas como ésta de InfoSecurity nos ayudan a sumar esfuerzos para ofrecer información actualizada sobre las últimas tendencias de seguridad a todos los asistentes. Para Microsoft resulta fundamental el tema de la seguridad de la información y, en este sentido, estamos permanentemente educando a nuestras audiencias, usuarios, empresas, socios de negocios y funcionarios e instituciones, sobre las mejores prácticas para mantener seguros sus datos y equipos".

Un encuentro con múltiples contenidos de interés

“NOS ACOMPAÑO EN EL EVENTO EL DIRECTOR Y COUNTRY MANAGER DE ISEC ECUADOR, ING. SIXTO FLORES”

Los profesionales de IT enfrentan un reto muy grande hoy día para poder proteger sus empresas y organizaciones de una amplia gama de amenazas a la seguridad de la información, las cuales se encuentran evolucionando todo el tiempo. Hoy día las amenazas son más avanzadas, más frecuentes y principalmente motivadas por una ganancia económica. El perfil de público se centra en Gerentes y Jefes de Sistemas, Encargados de Seguridad Informática, Consultores y Auditores de IT, CIOs, CISOs.

La conectividad se ha convertido en un factor crítico para el éxito de las organizaciones porque les permite proveer información en tiempo real a sus empleados, generar ahorros a través del auto servicio y la automatización de su cadena de suministro. Pero esta conectividad conlleva riesgos porque abre la puerta a usuarios no autorizados que utilizan el acceso para atacar los sistemas de diferentes formas.

El ímpetu de estos ataques también ha evolucionado; los hackers ahora están motivados por el lucro y atacan organizaciones específicas para obtener información confidencial –muy valiosa- incluyendo nombres, direcciones, número de seguro social y datos financieros. También, cada vez es mayor el costo de estos ataques.

Por otro lado, las soluciones fragmentadas también presentan un reto. Históricamente las soluciones de IT se han tenido que construir de una variedad de productos de distintos proveedores, lo que implicaba diferentes herramientas de administración. El despliegue y la configuración de estas soluciones de seguridad consume mucho tiempo y su mantenimiento resulta complejo y tedioso.

En estos tiempos de crisis y reestructuración económica general, la protección física y electrónica de los ejecutivos toma un rol esencial en las compañías, por lo que es más que una necesidad conocer los últimos datos, herramientas y procedimientos en Seguridad Informática para que todas las empresas puedan protegerse de la manera adecuada.

Fuente: Computerworld, Venezuela

JUNIO 2010

MAYO 2010

"No entienden que rompas un sistema de seguridad por diversión"
Dos hackers repasan la escena underground, desmontando algunos mitos sobre la seguridad. Mikel Gastesi e Iñaki Etxebarria comparten una curiosa dualidad: son hackers pero, al mismo tiempo, trabajan en empresas de seguridad informática. El primero, de 27 años y navarro, es experto en malware (programas maliciosos) y es investigador de e-crime en S21Sec. Iñaki, vizcaíno de 28 años, sabe mucho de rootkit (programas que se esconden a sí mismos u ocultan a otros) y está en Panda Security.

¿Se puede ser hacker y trabajar en una empresa de seguridad?

Iñaki. Sí, incluso es positivo para la empresa. Tiene a un tipo al que le gusta lo que hace, que trabaja incluso en casa, por hobby.

Mikel. Una empresa de seguridad tiene que saber a lo que se enfrenta para combatirlo. No puede pelear contra algo que no sabe lo que es.

¿Hay buenos y malos en el hacking?

I. Hay buenos y malos porque, aunque el conocimiento sea el mismo, algunos lo usan con fines éticamente cuestionables. Como los que hacen troyanos para acceder a los bancos, por ejemplo. Eso no está bien visto.

¿Son estas cosas las que han provocado la mala imagen de los hackers, su confusión con los crackers y delincuentes informáticos?

I. Se ha estigmatizado el activismo hacker. Atacar una página con contenido indeseable o un servidor no está bien visto por algunos, porque es una forma de tomarse la justicia por su mano, usando lo que sabes como herramienta política. Pero hay también muchos hackers que ni siquiera son activistas, sólo son curiosos.

M. Lo que pasa es que hay quien no entiende que rompas la seguridad de un sistema por diversión.

¿Hay tanto peligro en la Red como transmite los medios de comunicación o es alarmismo?

M. Peligro sí que hay. Existe mucho malware, troyanos bancarios, exploit para controlar navegadores. Hay miles de sitios web fraudulentos ahí afuera y otros que, siendo legítimos, están infectados. La cosa empeora por la falta de concienciación de la gente.

I. Quizá sea bueno ese alarmismo, igual es sano. Quizás debería haber incluso más, la gente se concienciaría del riesgo que existe.

¿El hacking puede tener una finalidad social, política?

I. Yo he ido más por el lado de la diversión. Pero algunos tiene una conciencia más social, y esos conocimientos adquiridos por diversión, los usan con fines políticos.

M. El hacking al principio es más por curiosidad, por afán de aprender. Cuando consigues algo, la satisfacción que sientes no la paga el dinero.

¿Hay empresas y gobiernos metidos en la escena underground?

I. En el mundillo se habla del Gobierno ruso o los israelíes; se sabe que el Mossad tiene hackers en una guerra electrónica. Lo que no sé es cuánto hay de mito. Pero si la Guardia Civil tiene hackers de los buenos, o que al menos lo fueron al principio, es lógico que haya otras entidades que usen este conocimiento.

M. Expertos de seguridad, sí. ¿Hackers? No estoy seguro.

Desde EEUU se acusa a China de intrusión en sus redes y espionaje electrónico.

I. Hay algo de sensacionalismo, pero tanto en China como en Rusia hay muchos ISP blindados, que son el paraíso de actividades sospechosas.

M. En China hay mucho movimiento, con dominios con código malicioso.

EEUU ha anunciado que va a contratar a hackers.

I. Eso indica o que no son éticamente muy coherentes, o bien han aceptado que contratar gente de la escena hacker no es malo, de hecho es bueno técnicamente.

M. La ética no suele tener mucho que ver con la práctica política. Los gobiernos, como cualquier empresa, necesitan conocer la tecnología y lo que hay, y para eso, nada mejor que tener a un entusiasta del tema.

¿Cómo ven la seguridad del usuario doméstico medio?

I. Baja o nula.

M. No actualizan el ordenador o no ponen un antivirus en condiciones. Muchos tienen el sistema Windows pirateado y no lo actualizan para que no se les bloquee.

¿Es más seguro el sistema operativo Linux que Windows?

I. La operativa tradicional de uso en Linux es que tengas un usuario especial para hacer cambios en el sistema, pero para las tareas normales, tienes una cuenta de usuario restringido. En Windows, el 99% de los usuarios domésticos tienen una cuenta de administrador, eso es un verdadero peligro. Además, en Linux hay una cultura de paranoia, de desconfiar más, que en esto viene bien.

M. Windows es tan seguro como lo configures y Linux también. Pero el perfil del usuario de Windows es mas novato que el de Linux. Además hay mucho más malware para el entorno Windows.

¿La industria de seguridad va por detrás?

I. Cada minuto hay malware nuevo que, sin ninguna innovación técnica, no supone problema alguno. Pero en ocasiones, ante una nueva vulnerabilidad del sistema operativo, como la que aprovechó Conficker, te pega muy duro y tardas en responder. Pero aún así, eso es mejor que nada.

M. El nivel de seguridad sería aceptable si se usara lo que existe.

¿Han sido malos alguna vez?

I. Depende de lo que se entienda por malo. Hacer algo deliberadamente a alguien o aceptar dinero por algún encargo, algo que me haga sentir arrepentido, no.

M. Como Iñaki, habré hecho alguna cosa que no es muy correcta pero, como él, nada que haya ido contra mi ética.

Fuente: Público.es

ABRIL 2010

MARZO 2010

ENERO 2010 - FEBRERO 2010

ENTREVISTA A RIK FERGUSON
"China lleva años creando unidades de ciberguerra"
Experto en seguridad informática de Trend Micro, Rik Ferguson, asesora a grandes empresas y administraciones sobre ataques informáticos a sus redes

Rik Ferguson (Londres, 1968) es uno de los expertos en seguridad mejor calificado del mundo. Google reveló hace unas semanas que había sufrido un ataque a sus sistemas desde China, la operación Aurora, con el objetivo de robar parte de su propiedad intelectual. ¿Ha sido tan serio como han asegurado?

Fue un ataque con un objetivo concreto, no aleatorio. Se trató, a grandes rasgos, de una página web trampa que usaba una vulnerabilidad de Internet Explorer para instalar un programa malicioso conocido como caballo de Troya. Una vez instalado, el troyano conectaba con su origen, quedando la máquina bajo control del atacante. Pero no iba sólo contra Google. Otras 20 compañías también se han visto afectadas. Se ha tratado de un ataque muy serio.

Sin decirlo abiertamente, Google ha señalado a elementos del Gobierno chino y no a piratas individuales. ¿Tiene China un ejército de hackers?

"La difusión de un virus por móvil será más rápida al usar Internet y la red de telefonía". Hay un consenso generalizado sobre el hecho de que el Ejército de Liberación Popular de China lleva años creando unidades de guerra electrónica compuestas de civiles y militares. Pero la extensión y cuánto hay de verdad en esto sólo lo pueden aclarar los chinos. En todo caso, sólo porque un ataque proceda de servidores en China o, como en este caso, Taiwán, no significa necesariamente que provenga realmente de China, ni supone que esté apoyado por el Gobierno chino. La naturaleza del espionaje de alta tecnología hace muy difícil llegar hasta su origen.

El ataque se aprovechó de un fallo de seguridad en Internet Explorer. Esto provocó que los gobiernos de Francia y Alemania desaconsejaran usar el navegador de Microsoft. ¿Fueron alarmistas?

La alarma se lanzó demasiado pronto y fue excesiva. El fallo afectaba sólo a la versión 6 de Explorer y, una semana después, también a la 7. Pero, por lo que sé, no ha a afectado a la última, la número 8. Si la gente se pasa a otro navegador sin estar familiarizada con su configuración puede que acaben en una situación menos segura que antes.

"El contenido viene de tus amigos y te fías de ellos. Por eso los ataques son más potentes"

A finales de 2009, aparecieron dos virus informáticos para el iPhone. ¿Son los móviles la siguiente víctima?

Por ahora no son un gran problema. El primero era más una prueba de concepto y no salió de Australia. Pero el código fuente de este gusano ya está en Internet, cualquiera podrá cogerlo y hacerlo más dañino. La infección y difusión de un virus en la telefonía móvil será más rápida, ya que se puede difundir por Internet y también por la red de telefonía.

Además de los móviles ¿qué otras amenazas vendrán?

Las redes sociales, sin duda. Los ataques de siempre, spam [correo no deseado], virus, phishing [robo de información] se aprovecharán de la confianza propia de las redes sociales. Koobface, por ejemplo, es un nuevo gusano que circula por Facebook. Crea nuevas cuentas y solicita amigos. Si le agregas, te roba toda la información de tu perfil.

"Que un ataque venga de un servidor chino no significa que lo apoye el Gobierno"
Pero, ¿por qué son más peligrosas las redes sociales que un correo que esconda un troyano o una web infectada?

Por dos razones. Antes era una empresa la que creaba el contenido y tú te limitabas a leer. Ahora, con la interactividad de la web 2.0, tú creas el contenido y puedes introducir material malintencionado. Lo segundo es la confianza. El contenido viene de tus amigos y te fías de ellos. Por eso es un ataque más potente.

La informática en la nube está de moda. ¿No es un peligro mayor tener los datos en servidores externos que en casa?

En las empresas, lo que hay que hacer es revisar la seguridad de los distintos proveedores. Sus niveles de seguridad siempre deberán estar por encima o al nivel de los propios. Para las personas, en el caso del correo personal o las redes sociales, hay que seleccionar, los datos más críticos no deben estar ahí.

Los expertos dicen que el eslabón más débil de la seguridad es el usuario. ¿No podrían hacer algo más las empresas, en particular las operadoras?

Deberían comprometerse más, es cierto. En EEUU ya hay algunas que avisan a los usuarios.

¿Y por qué no se extiende esto?

Por coste, les costaría mucho dinero. Tener un flujo de datos limpio exige tecnología y eso vale su dinero.

Fuente: Público.es

DICIEMBRE 2009

Ciberdelito desde la perspectiva de la Mujer
Entrevista a Magali Pineda

Directora ejecutiva del Centro de Investigación para la Acción Femenina

Las nuevas tecnologías no sólo han colaborado con la promoción de los derechos humanos y la inclusión de los menos favorecidos. Han contribuido también al desarrollo de la pornografía infantil, la venta de servicios sexuales por internet donde una vez más la imagen de las mujeres es distorsionada y desvalorizada. ¿Cómo ataca el movimiento de mujeres estos problemas? ¿Qué incidencia tienen las mujeres organizadas en el ámbito de las políticas públicas y la elaboración de legislaciones que combatan estos temas? Sobre estas y otras cuestiones conversamos con Magaly Pineda, directora ejecutiva del Centro de Investigación para la Acción Femenina.

¿Cómo se interpreta o se entiende el tema de cibercrimen desde una perspectiva feminista?

Por lo general en América Latina y el Caribe el cibercrimen se asocia con el robo de tarjetas de crédito. Los casos de pornografía no se asocian al cibercrimen. Por otra parte el tema de la pornografía es muy ambiguo, pues toca otro debate de la interna del movimiento feminista, el debate sobre la libertad que tienen los seres humanos de expresar su sexualidad de múltiples formas. Mucha gente piensa que si se hace una campaña en este sentido, la derecha puede aprovechar para decir que una foto de una pareja gay es pornográfica. Entonces: ¿cuál es el límite entre erotismo y pornografía? ¿Cuál es el límite entre lo que impulsa tu placer individual y el derecho de los otros a no ser intimidado con una exhibición? Es un tema muy complejo. Es un tema que ha estado enredado de mucha moralina atrasada. Es fundamental atacar las redes de pedófilos y el uso de las imágenes de niñas/os en internet. En Santo Domingo, a pesar de que no existe una ley específica en contra del cibercrimen, es posible prevenirlo a través de los códigos de niñas/os y adolescentes. Y eso creo que es lo que está pasando en algunos países de nuestra región con en el tema de la pedofilia, pues en los códigos está bien claro el tema del uso de la imagen y demás. Por ahí los jueces y los fiscales tienen una manera de poder condenar a los pedófilos. Creo que al tratarse el tema del cibercrimen es importante que las feministas prestemos atención en esto.

¿Cómo la legislación de los crímenes cibernéticos se conecta con la legislación de los crímenes en línea relacionados con la violencia contra las mujeres? Por ejemplo, las multas al crimen cibernético se refieren al terrorismo, robo de identidad, spam, etc.; pero no se dice nada con respecto a las agresiones y el acoso cibernético.

Sería bueno hacer un relevamiento en nuestra región para ver cuántos países han promulgado leyes contra el cibercrimen. Yo pienso que en América Latina todavía la preocupación ha estado muy ligada a hechos como los de tarjeta de crédito, ni siquiera la suplantación de identidades. Generalmente se manifiesta en términos de fraude económico. Mucha gente tiene la percepción de que eso es el cibercrimen. Por otra parte esto trae consigo algunos costos en la lentitud de los avances que se dan en la región en el área del comercio en línea, pues como la gente se ha hecho una idea de que es muy común que te roben las tarjetas de crédito no se atreven a comprar por internet y de hecho se ha descubierto un nicho de mercado en este sentido, donde se terceriza el servicio de compras por internet. Yo pienso que la preocupación está orientada hacia ese lado y se desconocen otras formas de cibercrimen.

¿El movimiento de mujeres no tiene participación a nivel de las políticas públicas de TIC, te parece que eso responde a algún aspecto específico del género?

Si, claro. Yo creo que nosotras como movimiento reproducimos lo que le pasa a las mujeres con la tecnología a nivel individual. Y quiero decir que es incluso un poco contradictorio, porque creo que el movimiento feminista y el movimiento de mujeres es de todos los movimientos sociales el que usa más el correo electrónico, en la difusión de las campañas por correo electrónico. Creo que hay una fuente amplia de comunicación en las redes. Lo empezamos a usar muy tempranamente, cuando no había web, ya existían organizaciones de grupos de mujeres trabajando con correo electrónico pero sin embargo cuando tu hablas de tener páginas web, subir ahí todos los materiales que vas produciendo, brindar servicios a través de un portal web o de tu página vas viendo como se reduce la cantidad de mujeres que utilizan estas herramientas.

Es decir, a medida que se hace un poquito más complejo las mujeres se quedan fuera. Hay una apropiación de las tecnologías pero para acciones concretas, no como política pública. Es por eso que muchas de las páginas de las organizaciones de mujeres son páginas como con “la sonrisa congelada”, porque las hicieron muy bonitas pero la última actualización fue el 8 de marzo del 2004, por decir algo. A esto se le suma un aspecto no menor y es que en el movimiento se ha perdido la capacidad de elaboración. Cierta tendencia hacia el activismo, hacia los servicios, hace que haya menos tiempo para la reflexión y por lo tanto menos tiempo para escribir y para sistematizar, entonces el tema de contenidos también tiene un problema en nuestras organizaciones. Eso es mucho más claro en Centroamérica y el Caribe. La mayoría de las ONG de mujeres están ligadas a programas de servicios que se obligan mucho al activismo y hay poca reflexión.

Entonces te das cuenta que la gente se ha desacostumbrado a escribir. En mi experiencia trabajando con maestras he visto este fenómeno. Las maestras no quieren que los niños se den cuenta que ellas saben menos que ellos del manejo de las computadoras. Tiene que ver con la socialización, cómo nos enseñaron a jugar, a ser tan cuidadosas con las cosas, con los juguetes, que no se dañen, que no se rompan. Nuestros juguetes nunca eran máquinas sino cosas que imitaban la vida: un bebé, una muñeca, un juego de tazas. Entonces todo lo que sea un aparato nos da como un poco de miedo, además porque nunca los rompimos, no éramos como los varones que querían ver lo que había adentro del autito. Esto también se traslada a las organizaciones de mujeres. Una de las cosas que a mi me inquietan es saber por qué las mujeres en general usan Internet Explorer como navegador y no Mozilla. No tienen un cuestionamiento sobre Microsoft, por más anticapitalista que sean no ven la relación entre Microsoft y la lucha contra el capitalismo. No saben lo que es un Software libre, siguen usando cuentas de Hotmail, Yahoo, software propietario. Incluso en la misma búsqueda de información hay muy pocas habilidades.

Fuente: GenderIt.org

NOVIEMBRE 2009

"De los miles de casos que hemos investigado, el público sólo conoce unos pocos"
Entrevista a Shawn Henry

Subdirector de la División Cibernética del Federal Bureau of Investigation

Los ciberdelincuentes violan con regularidad sistemas de seguridad informáticos, robando millones de dólares y números de tarjetas de crédito en casos que compañías mantienen en secreto, dijo el principal investigador de delitos en Internet del FBI en una entrevista.

Por cada ataque altamente publicitado, como el sufrido por TJX Co y Heartland Payment, en los que redes de 'piratas' informáticos robaron millones de números de tarjetas de crédito, hay muchos más que nunca salen a la luz pública.

"De los miles de casos que hemos investigado, el público sólo conoce unos pocos", dijo Shawn Henry, subdirector de la División Cibernética del Federal Bureau of Investigation (FBI). "Hay casos de millones de dólares que nadie conoce", agregó en una entrevista con Reuters.

Las compañías que son víctimas de ciberdelitos son reacias a denunciarlos ante el temor de que la publicidad dañe su reputación, ahuyente a los clientes y afecte sus beneficios. A veces no comunican los delitos al FBI en absoluto. En algunos casos esperan tanto que es difícil rastrear pruebas.

"Ocultar la cabeza bajo tierra a la hora de denunciar un informe implica que los malos van a golpear al próximo, y al próximo después", dijo Henry.

El problema del ciberdelito se ha acrecentado durante los últimos tres años porque los delincuentes han cambiado sus métodos de ataque ya que las compañías han reforzado su seguridad, observó. "Absolutamente, se ha hecho más grande, sí, absolutamente", declaró.

Esto se debe a que Internet está creciendo rápidamente como una herramienta para el comercio. Conforme lo hace, consumidores y empresas por igual exponen datos valiosos como sus planes de negocio, números de tarjetas de crédito, información bancaria y números de la Seguridad Social. "Hay cientos de miles de millones de dólares que cruzan Internet", destacó.
Objetivos más fáciles

Los ciberdelincuentes están buscando más allá de las grandes compañías, que en los últimos 10 años han impulsado la seguridad en sus redes con productos desde 'software' de firmas como Symantec, McAfee y Trend Micro. Cisco Systems, IBM y Websense también venden productos para proteger las redes informáticas.

En su lugar, los delincuentes atacan a pequeñas y medianas empresas que no tienen la intención, dinero o experiencia para evitar los ciberdelitos.

También atacan a ejecutivos corporativos y a otras figuras públicas adineradas que son relativamente fáciles de rastrear utilizando documentos públicos. El FBI persigue estos casos, aunque rara vez trascienden.

El 4 de noviembre, el FBI advirtió de una serie de importantes casos de fraude que implican el robo de credenciales bancarias 'online' propiedad de pequeñas y medianas empresas, gobiernos locales y distritos escolares.

En este caso, como en otros, personas contratadas mediante planes de trabajo desde sus casas fueron utilizadas para trasladar el dinero al extranjero.

Fuente: Reuters

OCTUBRE 2009

"Cada vez mas estamos tratando con redes organizadas con un objetivo muy claro de ganar, ganar y ganar dinero"
Por InfoSpyware.com

Entrevista a Florín Baras – CEO BitDefender España

Aprovechando nuestra presencia en el InfoSecurity Lima 2009 tuvimos la oportunidad de entrevistar a Florín Baras – CEO BitDefender España, hombre de hablar pausado, pero con una firme convicción de lo que dice. Mientras vamos a la sala de prensa para realizar la entrevista, me comenta que  piensan implementar un laboratorio en Perú ya que el mercado latinoamericano ha llamado bastante la atención de Bitdefender.

¿Qué metodología va aplicar BitDefender en el mercado peruano?

En primer lugar a través de nuestro partner Iybcorp y Francisco en especial que está poniendo mucho esfuerzo aquí, para dar a conocer la marca, estamos promocionando varios programas de canal, en especial que consideramos que es el tronco principal a través del cual se podría construir una política muy correcta de distribución ha sido participar a los mayoristas y a los canales de aquí, llegando a través de ellos con servicios agregados al cliente final. A nivel de usuarios estamos concientizando también la necesidad de tener un producto no solo antivirus sino de protección para sus hijos. A nivel de empresa, vamos mucho mas allá de lo que es la protección de datos y ayudamos a configurar ciertas políticas. Y también a nivel de gobierno intentamos implicarnos en políticas globales que ayudemos a mejorar lo que es la relación con las empresas antivirus y echar una mano en todo lo que es la detección mas rápida, tanto redes organizadas como de escritores de virus que están haciendo bastante daño también en esta región.

Uno de los aspectos que el usuario final aprecia en un antivirus, es el consumo de recursos ¿Cómo se desempeña BitDefender en este aspecto?

Con la versión 2010 el enfoque que hemos dado es tanto en rendimiento como en estabilidad, son los dos pilares claves para esta versión, con todas las tecnologías nuevas que hemos incluido, donde somos los únicos que permiten una integración a nivel de núcleo con el sistema, el uso de recursos de la máquina es muy limitado. Estamos en Top 3 en lo que representa uso de recursos de la máquina, tanto en el inicio como el análisis, etc. Incluso hemos desarrollado varios mecanismos para optimizar todo este análisis. En tecnologías “In the Cloud”, hemos creado bases de datos de listas blancas y listas negras, una vez que se analiza la máquina, se firman con un MD5, lo que es el fichero y permite en 2 ó 3 análisis aumentar lo que es la velocidad, porque todo lo que no se ha modificado está monitorizado pero no se analiza hasta que no hay cambios reales en los archivos y aparte hay otros mecanismos que permiten firmar archivos de sistema, poder optimizar el análisis de ciertos archivos que no pueden ser dañinos, aunque es óptimo analizar todos los archivos, es de los pocos antivirus que viene preconfigurado para que analice todo, hay ahora opciones de detener ficheros con doble extensión, etc. y el riesgo es mayor hoy en día.

Nos mencionaste el punto de la Cloud Computing, significa que también poseen una estrategia en la cual se considera el apoyo de la comunidad o la actualización de la base de datos de firmas de virus depende exclusivamente del laboratorio de BitDefender?

Hoy en día estamos ya colaborando con la comunidad, llevamos casi dos años donde implicamos a los usuarios en lo que es la detección de malware el producto tiene incluido un módulo que permite avisar en caso de detectar procesos malignos en el equipo que sean desconocidos, si este número de procesos aumenta en una zona, automáticamente se envía una alerta y permite la recogida de estos ficheros de manera automática, colaboran con nosotros casi 4 millones de usuarios hoy en día. También utilizamos tecnologías “In the cloud” acabamos de lanzar un producto que se llama Quick Scan que permite dar un veredicto en menos de 1 minuto. Si la máquina está infectada o no, analizando todo lo que es registro, procesos del sistema, todo lo que realmente se está ejecutando en la máquina y de esta manera también todo lo que es desconocido se envía al laboratorio de BitDefender, pasa por unos procesos automáticos de análisis y se da un veredicto.

¿Cuales son las amenazas que considera más peligrosas para la seguridad de nuestros equipos?

Si hablamos de amenazas hablaría en primer lugar de personas, no de malware, cada vez mas estamos tratando con redes organizadas con un objetivo muy claro de ganar, ganar y ganar dinero, se está desarrollando cada vez mas malware a medida, se está creando redes de ordenadores zombie, también a medida, que están vendiendo credenciales, incluso aprovechan estas credenciales para robar dinero. Incluso creo que acá en Perú también os habeís encontrado con la situación de que se infectaba una máquina, se encriptaba todo el disco para tener acceso a la máquina, tenías que pagar para tener una contraseña que te permite desbloquear el acceso a los datos. Pero si hablamos de malware en concreto los más peligrosos vienen a ser los rootkits que es una nueva generación de malwares que va a muy bajo nivel en el SO y que permite estar latentes nuevamente llevan troyanos acoplados a ellos y de esta manera permiten actualizarse y estar pendientes de recibir nuevas órdenes para atacar. Conficker creo que es uno de los ejemplos mas recientes en casi todo el mundo aunque tenga menos de 10% propagación es muy peligroso, hay casi 12 millones de ordenadores zombies hoy en día creando los botnets y a partir de ahí que se utilizan para atacar.

Cuál es la visión de BitDefender para Latinoamérica y en especial para el Perú de aquí a los próximos años?

Estamos muy interesados en reforzar nuestra posición aquí sobre todo, queremos lanzar lo antes posible un laboratorio de análisis de malware aquí, sobre todo en Perú, teniendo en cuenta la experiencia que tiene el país con dos fabricantes locales como HackerSoft y Per Antivirus y queremos aprovechar este conocimiento para ir avanzando mucho mas rápido en crear el laboratorio. También desde el punto de vista comercial tenemos distribución en casi todos los países de la zona y la idea es de ir complementando las soluciones actuales con servicios y otras soluciones complejas de seguridad que pueden aportar una mayor garantía al usuario de que estará protegido, y sobre todo también la formación es importante de cara al usuario, ayudarlos a implementar políticas y todo lo demás que se requiera.

Fuente: InfoSpyware.com

SEPTIEMBRE & AGOSTO 2009 - "LA SEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE RETRASO"

-¿Quién eres tú?

- Un ciudadano de Italia, nacido el 3 de julio de 1973. Vivo en Torino. Crecí rodeado de montañas, en una familia de clase media. Mi padre lleva una fábrica de automatización, por lo que crecí entre máquinas, aceite y muchas horas de trabajo. Creo que esta ha sido una de las razones que me llevó a alejarme de las cosas mecánicas y dedicarme a las computadoras.

-¿A qué edad empezaste a hackear?

- A los 15 empecé a estudiar informática en la escuela. Pero desde que tenía... diría que 9 o 10 años empecé a jugar con videojuegos. Cuando tenía 12, mis padres me compraron mi primer "ordenador personal", un Commodore VIC-20. Después de algunos meses jugando a videojuegos, MUY caros para una chiquillo, decidí intentar crackear sus protecciones. A los 13 años compré mi propio Commodore C-64 y un "adaptador telemático" (el módem del abuelo ;). Aquí empezó todo: BBS, llamadas internacionales, tarjetas para llamadas internacionales, blue-boxing... Así no tuve que pagar nunca más facturas exorbitantes a la compañía telefónica.

-¿Cómo recuerdas aquellos años?

- Sin duda, aquellos tiempos, entre mis 13 y 20 y pico años, fueron los mejores de mi vida. Básicamente, empecé a hackear a veces solo y a veces con amigos en línea, dependiendo del objetivo (el sistema operativo del ordenador objetivo), la hora del día o de la noche y así. A medida que pasaron los años, fui prefiriendo hackear solo... Creo que es lo normal. Quiero deci cuando eres un newbie no sabes mucho, no tienes el conocimiento necesario. Es por eso que practicar el hacking con amigos estaba bien para mi, ya que cada uno tenía el conocimiento de una pequeña pieza y juntos podíamos hacer el cuadro completo. La escena hacker en aquellos años (1986-1995) era increíble. En primer lugar, no existía el concepto de "crimen": hackear fue ilegal en Italia sólo a partir de 1994 y lo mismo sucedió en muchos países europeos. Por tanto, podías sentir la magia, aquella increíble sensación gracias a la cual era capaz, desde mi pequeña habitación de adolescente, de chatear o hablar por voz con gente totalmente desconocida que vivían en el norte de Europa, en los Estados Unidos, en Australia... Era algo parecido a cuando yo era un niño pequeño y mi padre hablaba, a través de las ondas cortas, con otras personas apasionadas por la Banda Ciudadana. Era una sensación parecida.

-¿Cuándo te convertiste en un buen hacker? ¿Cuál fue el punto de inflexión?

-Lo recuerdo perfectamente. Sucedió cuando pasé de las zonas de chat "estándar" a las "hacker": QSD en Francia, Pegasus en Suiza, SecTec en Alemania, aquello eran auténticas "cuevas de hackers", en las que la gente pertenecía a la crema, a un grupo de élite. Y, de repente, me dí cuenta de que era parte de este mundo, que mi vida pertenecía a él. Aún hoy estoy en contacto con esa gente y algunos están entre mis mejores amigos. Crecimos juntos, algo nos une. Hicimos cosas que eran tan pioneras, vimos piezas de este mundo que "los humanos no verán en sus vidas", aún tenemos secretos que guardamos... Es como una hermandad de sangre.

-Tú eres un especialista en redes X.25. ¿Cómo empezaste a jugar con eso?

-Básicamente conozco las redes X.25 tan bien porque no tenía otra salida. En aquellos años, la Internet no era accesible como lo es hoy: sólo unos pocos centros de investigación, unas pocas universidades y, por supuesto, el ejército norteamericano la usaban. Antes de la Internet de las organizaciones, tanto gubernamentales, institucionales como multinacionales, teníamos que depender de las redes mundiales X.25 para conectar los unos con los otros. Aquí fue donde empecé, ese era mi mundo. Posiblemente, esta es la razón de que, hoy, sea considerado uno de los 4 o 5 expertos mundiales que "conocen el percal" en este tema específico. Tener un acceso X.25 era también la única forma de poder hablar con mis amigos hackers, así como de "saltar" a Internet desde un ordenador "dual-homed" X.25/IPv4.

-¿Es cierto que hackeaste compañías de telecomunicaciones, bancos, redes de satélites y más? Me parece algo muy difícil...

-En aquellos tiempos, eras realmente capaz de "encontrar" cualquier cosa en X.25, como pasa hoy con Internet. Era muy común encontrarte sistemas de bases de misiles, telecos, bancos, gobiernos. Y, sobre todo, todo era tan inseguro. La seguridad de la información era algo nuevo, los administradores de sistemas no sabían que adolescentes del otro lado del mundo podían estar allí acechando, esperando sus errores para hackear en sus sistemas. Sólo para que lo entiendas: a finales de los 80 yo había hackeado toda la red WAN interna de Telefónica y tenía el control total de todo el Sistema Nacional de Telecomunicaciones Español. Esto sucedió con casi todos los operadores de telecomunicaciones del mundo, en aquellos años, todos estábamos hackeando telecos porque era divertido, fácil y útil. Y, por supuesto, porque "los hackers aman las telecos" ;)

-¿Hoy es tan fácil hackear redes X.25?

-Bueno, si sabes cómo hacerlo, la respuesta es sí. Te cuento porqué: en el pasado, todos los hackers dependían de X.25. Hoy esta gente ya no hackea (la mayoría): se han pasado a la seguridad como un trabajo full-time, están en empresas de seguridad y ya no hackean, o simplemente están haciendo otras cosas. Hoy en día los hackers crecen con Internet y Google. No pueden hackear redes X.25 porque son otra cosa. Por tanto, desde este punto de vista la respuesta es que no, hoy es más difícil hackear en sistemas X.25. Por lo que yo sé, mi empresa es una de las pocas en el mundo capaz de ofrecer tests de penetración basados en X.25.

-¿Jugaste con más cosas, además de las redes X.25, en tus tiempos de hacker?

-Solía hackear en unas 134 redes X.25 en todo el mundo, lo que significa más de 100 países. Nunca contabilicé los sistemas hackeados, simplemente porque serian cientos de miles. Recuerdo que, después de 1993, simplemente paré de anotar todos los sistemas que era capaz de hackea eran demasiados, tenían 5 agendas y 10 blocs de notas llenos totalmente de direcciones X.25, nombres de usuario y contraseñas y dije: "Esto es demasiado: estoy perdiendo más tiempo para escribir todas las notas que el tiempo que necesito para entrar en estos sistemas".

-En tu biografía oficial puede leerse: "Después de una serie de sensacionales interferencias, tanto en telecos como en otras instituciones militares, gubernamentales y financieras...". ¿Cuáles fueron esas sensacionales interferencias? ¿Qué hiciste?

-Oh.. bueno... Como he dicho, es imposible hacer una lista completa. Entré en las principales telecos del mundo (AT&T, GTE, MCI, Sprint Communications..), hackeé en la red global del ejército norteamericano, bancos, bolsas de valores... La frase "sensacionales interferencias" es de la unidad especial que me detuvo años después. Los policías estaban muy impresionados por la cantidad de conocimiento que tenía en mi cabeza, por mi juventud y por el hecho de que un adolescente controlase las ¾ partes de todo el mundo IT y TLC de aquellos años.

-También en tu biografía oficial se dice: "Fue oficialmente reconocido como uno de los miembros de la escena hacker europea y norteamericana por autoridades internacionales en 1995". No entiendo: ¿qué autoridades internacionales te dicen si eres un hacker o no?

-Con esta pregunta veo que no has hackeado en tu vida ;) Las únicas autoridades internacionales que, de alguna forma, pueden "decir al mundo" que estás entre los top-one son dos: el FBI y la Interpol. Por tanto, no lo digo yo sino el FBI y la Interpol. Lo que quiero decir es que, en estos años, cuando tu eres un hacker europeo, ser perseguido por el FBI significa que no eres un "script-kiddie", sino que eres capaz de "cruzar las fronteras" de tu país, que estás haciendo realmente un montón de ruido, aunque seas cauto y paranoico.

-Te detuvieron en 1995. ¿Por qué?

-Entré en Bankitalia, la agencia espacial italiana, la ENEA (National Body for Alternative Energy) y otras 50 compañías y les dije que todo el sistema italiano no era seguro. Podría decirse que no les gustó mucho.

-¿Fuiste a la cárcel?

-No, nunca he estado en la cárcel, ni un solo día. Probablemente porque tanto los fiscales como los jueces se dieron cuenta de que yo era un adolescente muy curioso, bastante listo, que se aburría mucho en la escuela y descubrió el hacking como un estilo de vida. Como no había dañado los sistemas informáticos que había penetrado, y no había robado dinero, decidieron que, después de todo, era un buen chico. Además, fuí el primer caso hacker del país: los legisladores no sabían muy bien cómo manejar aquello, los abogados no tenían ni idea de qué les estaba hablando... De alguna forma, había sido un gran lío.

-¿Fue entonces cuando dejaste de hackear, por miedo, y te convertiste en un consultor de seguridad?

-No fue por miedo. Esto es algo que, típicamente, les pasa a dos categorías de hackers, cuando son pillados: los "script-kiddies" y los hackers éticos. Pero por diferentes razones. Los "script-kiddies" suelen ser muy jóvenes (12-16 años) y, obviamente, les asusta el arresto, la policía y lo demás: es por eso que dejan sus actividades de hacking. Los hackers éticos simplemente crecen y entienden que, si siguen con el hacking, la próxima vez no será tan fácil como la primera. Por último y no menos importante, la historia es normalmente la misma: en todo el mundo viejos hackers saltan al mundo de la seguridad informática. Después de todo, este es nuestro mundo, conocemos lo que hay, amamos lo que hacemos. Entonces, ¿por qué no?

-¿De verdad crees que alguien puede dejar de ser un hacker?

-No y sí. No porque eres un hacker dentro de tu alma: no es sólo tecnología, es la forma como ves las cosas, si crees o no lo que "ellos" te cuentan. Me gusta decir que puedes ser un hacker incluso sin saber cómo usar un PC, puedes ser un hacker de motores, de leyes.. el hacking no va sólo de hacking. Pero la respuesta a tu pregunta también es un sí: ahora mismo tengo 35 años. Básicamente, si quisiera realizar ataques de hacking hoy en día probablemente sería un idiota. Crecí y evolucioné, igual que todos los seres humanos de este mundo. Lo que intento decirte es que es normal, cuando creces, parar de perder tu tiempo y de cometer errores: esto es exactamente lo que hice. Creo, después de todos esos años, que la detención fue, de alguna forma, una especie de suerte, que me permitió darme cuenta de lo que estaba haciendo, de lo que era capaz de hacer y de a qué riesgos me había expuesto.

-¿Cuál es tu trabajo como consultor de las Naciones Unidas?

-Empecé a trabajar con el Instituto Interregional de Investigación sobre Crimen y Justicia de las Naciones Unidas (UNICRI) hace unos cinco años. Soy el jefe técnico en todo lo que concierne al cibercrimen: llevamos diferentes proyectos, básicamente dedicados a investigación y desarrollo en diversas áreas, como formación en  para fuerzas de la ley (usando software abierto), infraestructuras nacionales críticas, etc. Aquí hay más información: htt//www.unicri.it/wwd/cyber_crime/index.php. El UNICRI me ha ayudado mucho con el proyecto "Hacker's Profiling Project" (htt//hpp.recursiva.org)

-Cuáles son las infraestructuras peor defendidas?

-Si hablamos de países, siempre me ha sorprendido el alto nivel de inseguridad que puedes encontrar en países como Corea del Sur y Japón. Es increible que países tan "hi-tech" no sean capaces de manejar su seguridad informática. Si, por otro lado, hablamos de áreas económicas y no de países, las empresas de telecomunicaciones son las menos inseguras de todas. Ahora mismo, mientras te respondo, nos enteramos de que T-Mobile ha sido hackeada por enésima vez.

-Cuál es el estado del arte, en general, de la seguridad de las infraestructuras críticas? Cuáles son los más grandes agujeros de seguridad?

-No estamos hablando de agujeros sino de ignorancia. Estas infraestructuras y, en general, todo el mundo de la automatización industrial, ahora mismo está como estaban las tecnologías de la información hace diez años. Para ponerte un ejemplo, no usan antivirus... porque puede frenar la producción de los ordenadores. Al ser ordenadores industriales, si dejan de trabajar la empresa deja de ganar dinero. ¿Alguna vez te has preguntado cuánto cuesta parar la cadena de producción de una empresa cementera, por ejemplo? Por lo tanto, las infraestructuras críticas y la automatización industrial básicamente adolecen de lo siguiente: no hay segmentación de la red, no hay antivirus, detectores de intrusos, registros, auditorías, test de seguridad y penetración, no hay parches ni actualizaciones (en serio), se usan sistemas operativos sin soporte, como Windows 98, la seguridad se enfoca desde la oscuridad, no hay autenticación ni cifrado, se usan configuraciones por defecto, no se controlan los accesos remotos, no hay planes de recuperación ante desastres (o, si los tienen, son inútiles).

-Has estado testeando estos sistemas, supongo, para saberlo...

-Hace unas semanas estuvimos probando una Planta Nacional de Energía entera. La respuesta, entonces, es sí. Nos contratan para probar, en todo el mundo, infraestructuras críticas nacionales y lo estamos haciendo desde hace años. Yo pertenezco además a un grupo de investigación internacional, Cristal (htt//cristal.recursiva.org) y estamos continuamente intercambiando experiencias y tendencias de seguridad con otros investigadores.

-Estamos realmente en grave riesgo? Tienes algunos ejemplos?

-Las malas noticias son que estos incidentes se están dando ya en sitios como servicios públicos de energía eléctrica, nuclear, gas natural, producción de petróleo y sistemas de transmisión; empresas de comunicaciones y tecnologías de la información, finanzas (banca, valores, inversiones), salud (hospitales, instalaciones de suministro de sangre, farmacéuticas), industria alimentaria, servicios del agua, transporte, seguridad (armas químicas, biológicas, radiológicas, nucleares, servicios de emergencia), gobiernos (incluídas sus redes de información) y la industria manufacturera.

-¿Tanto?

-Hay multitud de ejemplos. El primer inicidente que conocemos sucedió en 1982 en Siberia, cuando hubo una explosión de tres kilotones. El "software" que usaba una compañía petrolera tenía fallos y no soportó la presión, de forma que el petróleo se encendió y explotó. Otro triste indicente se dio el 10 de junio de 1999 en el Parque de las Cataratas Whatcom, en Estados Unidos: una tubería de acero de 16 pulgadas de diámetro, propiedad de la empresa Olympic Pipe Line Company, se rompió y liberó unos 237.000 galones de gasolina en un arroyo que fluyó a través de las cataratas hasta el parque Bellingham, en Washington. Una hora y media después de la ruptura, la gasolina se encendió y quemó unas 1,5 millas. Dos niños de diez años y un joven de 18 murieron a consecuencia del accidente. Hubo además ocho heridos y la planta de tratamiento de agua de la ciudad de Bellinghamis fue seriamente dañada. Se estimó que los daños ascendieron a 45 millones de dolares. Según el informe oficial, "si el sistema informático de control hubiese respondido a los comandos de los controladores de la compañía Olympics, se habría evitado el accidente".

-Es cierto que todas las redes militares y críticas están separadas de Internet, de forma que nadie pueda acceder a ellas?

-Jajaja. Esto no es cierto. Para poner un ejemplo: ¿cómo crees que el ejército norteamericano en Irak se comunica con sus altos mandos en Estados Unidos? ¿O cómo hablan los soldados con sus familias? ¡A través de Voz IP! Así que, obviamente, las redes militares están unidas a Internet. No olvides que hablamos de entornos muy grandes: siempre se cometen errores, antes o después. Por supuesto no van a instalar sus bases de datos más críticas en la web, pero los atacantes siempre encontrarán otras rutas de ataque para conseguir acceso interno a estas redes y saltar de sistema en sistema, hasta encontrar lo que buscan.

-¿Lo mismo puede decirse para la OTAN?

-En la OTAN usan dos redes de datos diferentes: una "pública" y otra "clasificada". Pero conozco a militares que hacen tests de penetración en entornos militares, también de la OTAN, y la situación no es muy bonita. Los chinos dicen que han hackeado el ejército norteamericano y este lo admite oficialmente... ¿cómo podemos estar tranquilo ante estas cosas?

-Han aumentado los ataques a las infraestructuras criticas en los últimos años?

-En el ejército, sí y exponencialmente. Hace ya años que el gobierno chino empezó a lanzar ataques contra Estados Unidos, Gran Bretaña, Alemania, Italia y otros. En mi opinión, quienes los realizan no son "black hats", si con este término queremos referirnos a alguien que está dentro de la comunidad hacker. Son soldados que conocen las actuales técnicas de hacking, pero no pertenecen ni han crecido en el mundo hacker.

-Hablando de tipos de hackers, tú participas en el "Hackers Profiling Project", que ha recogido un montón de estadísicas sobre los hackers. ¿Cuáles son las mas interesantes?

-La información que hemos recogido es realmente increible. Sobre todo en tres puntos: edades, sexo y distribución geográfica. En edades hemos visto que, en los últimos años, las edades en que los chicos empiezan a hackear han bajado dramáticamente: en los 90 tenían entre 13 y 15 años, mientras que ahora algunos empiezan a los 8 y 9 años. Esto significa que, gracias a la difusión de Internet y la documentación y herramientas de hacking, los chiquillos entran antes en este mundo.

-Y en cuanto al sexo?

-Aquí la sorpresa es que en los 80 el percentaje de mujeres en la comunidad hacker era de un 0,5%. En los 90 subió a entre un 1% y 2%. Hoy estamos en el 6%, lo que significa mucho. Desde hace unos años estoy viendo cada vez más mujeres participar en eventos hacker y estoy seguro de que esta cifra crecerá en los próximos años.

-En cuanto a distribución geográfica?

-En los 80, los hacker vivían en ciudades. Esto era así simplemente porque no era fácil, en aquellos días, encontrar una tienda de informática, o una línea telefónica dedicada, o una línea digital en el campo y las ciudades eran la única solución. Hoy, Internet está en todas partes y permite a la gente de ciudades pequeñas y pueblos iniciar sus "carreras de hacker".

-Aparte de esto, ha cambiado la escena hacker en 20 años? (sí, sé que es la típica pregunta)

-Sí, pero aún así está bien formularla. Obviamente la escena hacker ha cambiado mucho. Hablamos de una evolución, de la pérdida de la vieja ética mientras se creaba otra y de la mezcla entre el crimen organizado y las actividades de hacking (la Rusian Business Network y las organizaciones de código malicioso de San Petersburgo y Kiev podrían darnos algunas lecciones).

-Qué tipos de hackers están aumentando y cuáles desapareciendo?

-Está claro que los malos chicos están aumentando, también el crimen organizado de bajo nivel de países como Rumanía, Ucraina y algunos de Sudamérica. No veo en cambio ninguna tipología de hacker decreciendo.

-¿Qué hay de los black hats que trabajan con los terroristas? ¿Existen realmente?

-El "ciberterrorismo" es una gran mentira, querida Merce. Primero, porque simplemente no hemos visto aún a un auténtico terrorista lanzar ataques IT. Por supuesto que muchos gobiernos sienten que el "ciberterrorismo" es una nueva tendencia, una nueva "palabra clave" para los próximos años, lo que significa que muchas instituciones gubernamentales gastarán billones de dólares en este tema (el presupuesto para 2010 del Departamento de Seguridad Interior de EEUU incluye 40 millones de dólares para la seguridad nacional en tecnologías de la información).

-Te defines como un hacker ético. ¿Qué es, para ti, un hacker ético?

-En pocas palabras, los hackers éticos hacen investigación y siguen una política de divulgación total o responsable, no dañan los sistemas que hackean, no roban nada. Tienen "buen corazón" y su alma nunca hará nada "malo". Por supuesto estas normas han cambiado con los años, pero aún hoy los hackers éticos hacen sus propias investigaciones, comparten los resultados con todo el mundo y, básicamente, ayudan al mercado IT y a la comunidad mundial a elevar el nivel de seguridad de todo el mundo.

-Tú eres un defensor del "full disclosure". ¿Sin límites?

-99% sí, sin límites. Pero tengo que ser franco: algunas ocasiones en mi vida me ha sucedido que "1%". Esto pasa cuando las vulnerabilidades que encuentras y tienes en tus manos pueden impactar realmente en el mundo en el que vivimos. En estos casos, he optado por una no-divulgación total. Aún hoy, poseemos las vulnerabilidades y exploits que no hemos hecho públicos, ¡y siguen funcionando después de tantos años!

-En un mundo con cada vez más inseguridad, con todas esas botnets, virus, spam, te miro, consultor de seguridad, y pregunto: ¿En qué hemos fallado?

-Es una fantástica pregunta. ¿En qué hemos fallado... o: hemos fallado?, debería preguntarte. Las fuerzas del mal son más rápidas que nosotros. Los enemigos no son hackers, son una mezcla de criminales, ladrones y gente cualificada en IT. Están organizados como empresas de verdad, con flujos de dinero e información. Los expertos en IT pueden ganar algunas batallas, pero no toda la guerra. No solos. Necesitamos el apoyo de las empresas de IT, las fuerzas de la ley y el "underground" también. Y, como puedes imaginar, no es nada fácil.
Fuente: Mercè Molist.

JULIO 2009

El Cibercrimen y la Muje “No basta una ley, es necesario educar...”

Carlos Gregorio, Investigador del Instituto de Investigación para la Justicia de Buenos Aires, Argentina

“Las diferentes formas de violencia contra las mujeres deben estar contenidas en la legislación penal, porque esta es la forma de reproche para las conductas antisociales. Pero no basta una ley, es necesario educar, prevenir, crear mecanismos de defensa, disponer de un sistema judicial capaz de corregir estas conductas sin que esto signifique una pesadilla para la víctima”. Carlos Gregorio, investigador del Instituto de Investigación para la Justicia de Buenos Aires, Argentina, comparte su visión sobre algunos aspectos del cibercrimen.

¿Cómo la legislación de los crímenes cibernéticos se conecta con la legislación de los crímenes en línea relacionados con la violencia contra las mujeres?

Es muy difícil dar una respuesta que abarque la legislación de todos los países de América Latina. Mi sensación es que la legislación de delitos cibernéticos está sesgada hacia los aspectos que afectan directamente el comercio y la economía o se centra en el tema hediondo (como le llama la legislación brasileña) de la trata, explotación sexual o pornografía infantil. En muchas legislaciones no es visto aún como un ciberdelito el ataque a la imagen o la vida privada de una persona, y en este sentido la mayoría de los ataques violentos con contenido sexual están dirigidos a la mujer. Existen en la región muchos casos de violencia online contra la mujer (su privacidad, su imagen) que no son perseguidos, y también el sistema judicial ha mostrado mucha debilidad e impotencia para resolver estos casos cuando si se ha podido identificar y acusar a un probable responsable. Uno de los problemas es la falta de jurisdicción territorial en internet, es difícil establecer a quién acusar del delito o ante qué tribunal. Recientemente en Chile (artículo 374 ter del Código Penal reformado de acuerdo a la Ley Nº 19.927 (del 14 de enero de 2004) se estableció que los tribunales chilenos son competentes en cualquier ciberdelito de pornografía infantil mientras que ese sitio en internet pueda se visitado desde Chile... creo que será muy interesante evaluar en la práctica como operará este recurso normativo.

¿Cómo las propuestas de ley del cibercrimen han sido utilizadas para restringir el ejercicio de los derechos de la mujer, directa o indirectamente?

Existen propuestas (o leyes) para combatir el cibercrimen que ven como necesario restringir los derechos individuales, fundamentalmente la intimidad o privacidad por medio de sistemas discrecionales para intervenir comunicaciones o indagar en la vida privada sin orden judicial. Otras propuestas entran en conflicto con algunas garantías constitucionales, como la del derecho a un debido proceso legal que se relacionan - por ejemplo - con el uso de agentes encubiertos. Ambas situaciones podrían relacionarse con restricciones al ejercicio de los derechos de la mujer.

Crímenes relativos a la propiedad intelectual; ¿qué es lo que esto significa en términos de la propiedad del conocimiento de las mujeres?

Debe partirse del hecho que la legislación sobre propiedad intelectual es mayormente de carácter económico y que en realidad hay más mecanismos destinados a proteger las inversiones que la generación de arte o conocimiento. En consecuencia cualquier conocimiento que pertenezca a una comunidad no organizada económicamente puede no tener la protección adecuada, o al menos ésta podría quedar sólo en la letra de la ley y no existir una protección efectiva.

Apoyar o no apoyar la criminalización de los incidentes relacionados con la violencia contra las mujeres (el acoso cibernético, el chantaje a mujeres, agresiones cibernéticas en la ley nacional) ¿cuáles pueden ser las consecuencias negativas para la privacidad de una mujer y en su acceso al conocimiento?

La mayor debilidad de estas legislaciones está en la protección de la identidad de las víctimas. Existe claramente una doble o triple victimización, que incluye someterse a pruebas médicas, careos y especialmente la publicidad de su condición de víctima. Esto abre un espectro de riesgos personales y de procesos de discriminación. Sin duda hay un conflicto aun no resuelto en la legislación entre el derecho de acceso a la información, el derecho a un juicio público y los derechos de intimidad y privacidad de las víctimas. Las diferentes formas de violencia contra las mujeres si deben estar contenidas en la legislación penal, porque esta es la forma de reproche para las conductas antisociales. Pero no basta una ley, es necesario educar, prevenir, crear mecanismos de defensa, disponer de un sistema judicial capaz de corregir estas conductas sin que esto signifique una pesadilla para la víctima. La prevención es esencial, porque una vez que algo entra en la web se multiplica exponencialmente en otros sitios o se comparte entre pares y, ninguna decisión judicial, puede borrar nada que se haya publicado en internet.

¿Cómo la criminalización del sexo online y el comercio sexual afecta los derechos sexuales de la mujer?

Las tendencias legislativas no son muy diferentes ahora - para las relaciones online - que como eran antes para otros medios, la diferencia está en qué existen nuevos paradigmas sobre qué se entiende por un espacio público y quienes pueden ser las personas o los intereses potencialmente perjudicados. Al debatir esas diferencias se revive una gama muy amplia de opiniones sobre la sexualidad y el comercio sexual, que naturalmente están representadas en las legislaciones. Sin embargo, e independientemente de esas visiones, la mayoría de las legislaciones en la región que fueron pensadas para el mundo online se centran en la protección de los niños, niñas y adolescentes, situación que es entendible porque ellos son nativos digitales (no solo llamados así al compararlos con los adultos sino porque se han apropiado de internet como un espacio propio) y al mismo tiempo mantienen toda la vulnerabilidad propia de su edad. Es interesante analizar el ejemplo de Bolivia donde una ley prohibió la pornografía (artículo 324 del Código Penal introducido por Ley 3325 (del 18 de enero de 2006), ya que la ley fue anulada por el Tribunal Constitucional (Sentencia 0034/2006, del 10 de mayo de 2006). Esto nos deja ver que es un tema en el que se entremezclan preconceptos o impotencia, entre otras cosas y por tanto son aspectos muy difíciles de regular con consenso y eficacia. También en Venezuela se había incluido la explotación sexual en el proyecto de ley contra la delincuencia organizada pero finalmente fue sólo aprobado para la pornografía infantil (ver artículos 14 y 38 de la Ley contra la Delincuencia Organizada del 6 de septiembre de 2005) por los cuestionamientos a la figura del agente encubierto.

Fuente: GenderIT.org

JUNIO 2009

MAYO 2009

Los malos están también en Internet y saben utilizarlo

Víctor Domingo - Presidente de Asociación de Internautas - España

La precaución como escudo. Este es el consejo que el presidente de la Asociación de Internautas, Víctor Domingo, da a los padres, además de los dispositivos que la tecnología pueda ofrecer, para evitar que los menores sean víctimas de los abusos en la Red.

La Asociación de Internautas ha lanzado una campaña en Internet para proteger a los menores de contenidos inapropiados y situaciones de acoso, y evitar la difusión de sus datos personales y los fraudes en línea. Bajo el lema «Protección para tus hijos, confianza en línea para tod@s»

¿Por qué esta campaña ahora?

Desde la asociación venimos haciendo distintas campañas desde el año 2001 y todas en la línea de ofrecer confianza y tapar un hueco que ahora mismo está abierto y es que nadie enseña a la gente a conectarse, navegar con confianza y las medidas mínimas de protección. Primero hicimos una campaña antivirus, luego los cortafuegos y ahora hay que hacer frente al fraude on line. Hay un déficit en cuanto a seguridad y protección de los datos, pese a que los niños están a la última en la cultura del clik, pero los padres no tanto. Hay mucha gente en Internet suplantando identidades, acosando y abusando de los menores. Hemos dado charlas a los padres para explicarles de qué va todo esto y transmitirles la idea de que sus hijos tienen que utilizar Internet con prudencia e información. Los menores son menores y cuando están conectados es como si estuvieran en la calle, sometidos a peligros.

¿Cómo puede la familia evitar esos peligros?

Hay que informar a los padres y a los tutores, que es donde vemos mayores carencias. Los padres identifican Internet como si fuera la televisión o la radio y no piensan que los menores son sujetos activos de la información. La familia tiene que asesorarse de los peligros que existen, de la legislación y como hacer un uso positivo de Internet.

¿Cuántos menores se conectan cada día a la Red?

Según distintas fuentes, hay 25 millones de usuarios y se calcula que el 40% son menores.

Aquí hay dos cuestiones; una es la residencia y otra las escuelas. Nosotros vemos un déficit parecido en el conocimiento de maestros y maestras que en la familia. Tanto unos como otros minimizan los peligros y los beneficios de Internet. Esto es una herramienta y hay que utilizarla y muchos, por desconocimiento, van de un extremo a otro: o cortan Internet o dejan a los menores sin control. Lo que intentamos es ir por el camino de en medio, que es el más largo. Lo que recomendamos es que no dejen a los niños solos con el ordenador en la habitación, sino que los aparatos y los puntos de acceso a Internet en los domicilios tienen que estar en los sitios públicos, como salones, al lado del televisor, donde se pueda tener un cierto control. No estamos diciendo que sea como un estado policial, pero tiene que haber un control de las redes sociales y las mensajerías que maneja el menor.

¿Cuál es el camino largo?

La educación. El estar más con los niños y saber en todo momento lo que están haciendo. Puedes quitarte el problema de encima y poner filtros para que no accedan a determinadas páginas. Ese es el camino corto. Otro más corto todavía es cortar Internet, y eso podría ser la guerra total, es como invitarle a que se vaya de casa. El camino largo es controlar los contenidos a los que accede tu hijo.

¿De qué alertan exactamente?

De los contenidos inapropiados a los que puede acceder un menor. También vamos a trabajar sobre la privacidad. Esto es muy importante porque aquí están involucrados todos los asuntos de las redes sociales, el messenger, los abusos y acosos.

Fuente: Asociación de Internautas - España

ABRIL 2009

El Hacker que descifró los enigmas del IPHONE

Resumen de multiagencias

Las 500 horas que pasó descifrando los enigmas del juguete tecnológico más codiciado del momento, hoy se ven recompensadas con un suntuoso auto deportivo, especialmente diseñado para los amantes de la aventura como él: un poderoso Nissan 350Z. George Hotz está feliz. Aunque en sus planes no contaba cambiar su descubrimiento por un juguete de cuatro ruedas y tres Iphones con ocho gigas de memoria cada uno, se cansó de esperar la súper oferta en la página ebay, por su controvertido logro, que por estos días anda en boca de todos los amantes de la tecnología.

¿Cómo lo logró? Cuatro ‘hackers’ del grupo informal Dev Wiki trabajaron junto al adolescente, en Nueva Jersey, en la tarea de ‘romper’ los candados que ataban el Iphone a la compañía AT&T.

“Viví y respiré con este teléfono desde hace dos meses”, dice George, al precisar también que su gran mérito consiste en no haber empleado piezas adicionales para decodificar su equipo. En su blog, htt//iphonejtag.blogspot.com, este estudiante de Glen Rock expresa que gracias a su logro, sobre el cual mantienen herméticos en Apple (creadora del Iphone) se podrán multiplicar el número de clientes potenciales del equipo.

Hasta ahora, por estar ligado a un operador estadounidense –a pesar de los anuncios de venderlo pronto a otros países– son muchos los que quisieran llevarse un Iphone a casa, pero sólo quienes habitan en E.U. podían satisfacer ese sueño. “Llegan japoneses con ánimo de comprar varios, pero cuando les decimos que están ligados a AT&T y que para darlos de alta hay que firmar un contrato de dos años con la compañía y facilitar datos como un número de seguro social estadounidense o una dirección de facturación en este país quedan desilusionados”, comenta un vendedor de Nueva York.

Quizás por ello el ‘hacker’ no tardó en patentar su hazaña, ayudado, eso sí por todos: CNN, NBC, New York Times y otros poderosos medios que desde el viernes repiten la entrevista con el inquieto adolescente. Cansado de recibir ofertas engañosas, en las que prometían el oro y el moro por su Iphone libre para cualquier operador, Hotz anunció públicamente que se terminaba la subasta y que recibía la oferta de Terry Daidone, fundador de la compañía Certicell (dedicada a reparar celulares) quien le ofreció a cambió de su equipo un Nissan 350Z y tres Iphones de ocho gigas de memoria.

Fuente: Diario El País - Colombia