No exactamente. Actualmente casi todas las compañías de cierto tamaño proveen a los empleados de herramientas de trabajo como laptops plataformados seguros, VPN para la conexión remota a la intranet, protección de acceso remoto, infraestructuras de acceso remoto, etc. Todo esto, significa que una empresa que ya esté preparada para trabajar de forma remotamente no tendrá ninguna variación ni pérdida de seguridad en sus políticas de acceso remoto. Como mucho, cuando muchos trabajadores de forma no prevista trabajen remotamente, quizás podrá tener ciertos problemas de rendimiento, velocidad de conexión o ancho de banda. El problema ocurre cuando la empresa no ha definido políticas, prácticas y metodologías de acceso remoto para el teletrabajo de forma previa y se tiene que enfrentar en estos momentos a una multitud de empleados accediendo a su intranet desde el exterior. Las prisas y la falta de preparación pueden y suelen generar situaciones de inseguridad e incluso caos, lo que acarreará fallos de funcionamiento, denegaciones de servicio e incluso vulnerabilidades de seguridad no previstas, lo que le pondrá en una situación peligrosa. Las políticas y arquitecturas de seguridad deben de ser preparadas con tiempo y probadas de antemano, al igual que tomar decisiones o legislar por impulso nunca es una buena idea. Las empresas medianas y pequeñas están mucho peor preparadas para este cambio y se ponen en situaciones más vulnerables a nivel técnico y organizativo, dependiendo de programas de acceso inseguros y pesados, dependiendo en muchos casos de ordenadores personales en el domicilio del teletrabajador para conectar a sus puestos de trabajo remotos. Esto sí que resulta un riesgo de seguridad para ellas ya que el nivel de seguridad dependerá de la configuración de seguridad de los empleados y no de las políticas de seguridad corporativas.

Solemos asociar el teletrabajo con un buen acceso a la plataforma de gestión e intranet, ¿pero que otros aspectos hay que cuidar?

El teletrabajo va asociado a muchos aspectos tanto técnicos como organizativos dentro de la estructura de una compañía. Crear una buena planificación de esta nueva capacidad es necesario para implantar buenas políticas, normativas de cumplimiento, estándares, normas de gestión y funcionamiento, políticas de privacidad, políticas de recursos humanos, estructuras de soporte, etc. No se trata de algo banal que se pueda organizar en un par de días y afecta a muchos aspectos organizativos y técnicos. Es muy importante tener todo esto en cuenta a la hora de implantar políticas de trabajo remoto eficientes y seguras, que además sigan cumpliendo todos los requisitos normativos y legales. Además está la infraestructura de acceso segura que permita sostener todo lo anterior de forma eficaz, redundante y fiable. Si se ha tenido todo esto en cuenta, la verdad que a día de hoy, el teletrabajo es una gran solución para mejorar nuestra calidad de vida y de trabajo, conciliar el trabajo y la familia y no aglomerar la población en torno a grandes urbes, además de bajar los costes productivos para las empresas.

¿Cual seria la mejor solución? ¿Que hay que proveerle al trabajador?

La mejor solución es la planificación y la organización como ya mencioné. Si al trabajador se le provee de las herramientas de acceso y de control necesarias se evitan en la mayor parte de los casos problemas de seguridad y eficiencia. Un laptop bien configurado, plataformado por la compañía y dotado de los programas y utilidades necesarias para hacer bien el trabajo, solo dependerá de un buen acceso remoto tipo VPN y de una buena velocidad de acceso tanto del acceso a internet del empleado, como del ancho de banda de acceso de la compañía. Esto permite utilizar las mismas plataformas, herramientas, programas, dispositivos como si estuviesemos dentro de las instalaciones. Por otro lado nos permite mantener conferencias, videoconferencias persona a persona o grupales con los diferentes empleado y departamentos. En general en las corporaciones cambia poco el trabajo cuando se ejecuta de forma remota que local. En las pequeñas y medianas compañías suele ser diferente y no se está preparado para este tipo de cambios estructurales, aunque se pueden adaptar normalmente si no dependen de entornos de producción, como fabricación, máquinas, almacenes, productos, etc.

Desde el punto del trabajador, ¿qué medidas tiene que tomar? Especialmente si trabaja con sus propios equipos

El trabajador no es el responsable en ningún caso de proveer la seguridad ni la infraestructura necesaria para el acceso remoto, especialmente cuando esta situación no se ha contractualizado con la empresa. Este no debe proveer ni la plataforma de acceso, ni siquiera su propio equipo personal para el desarrollo de su trabajo, a no ser que fuera freelance o autónomo. Similar situación se produce cuando los empleados utilizan sus laptops dentro de la intranet o incluso sus propios smartphones en muchos casos. La planificación de seguridad siempre debe de partir de la compañía y nunca del empleado.

The post Ciberseguridad en el teletrabajo appeared first on Yago Hansen CV.

Cómo resumirías las principales claves de la solución tecnológica que proponen?

Uno de los tipos de datos personales más importantes, más privados y más protegidos por los derechos fundamentales, por las leyes internacionales y por los organismos privados debe de ser siempre aquel de caracter sanitario. Una pandemia, que es una amenaza a la que nos hemos enfrentado anteriormente, aunque ahora en una era totalmente digital, no es razón suficiente para modificar este derecho fundamental de cada individuo. Justificar las bondades de digitalizarlo todo no es suficiente motivo para renunciar a derechos irrenunciables que nos protegen ante un totalitarismo digital.

Ante este tipo de noticia, me enfrento a las dos caras de la tecnología, la que me afecta como individuo y la que me afecta como hacker experto en ciberseguridad.

La que me afecta como persona, me obliga a proteger en todo momento la integridad de los datos privados sobre cualquier otro interés común. El interés común no debe ser alcanzado a base de obligar a la renuncia de los derechos fundamentales de cada ciudadano.

Como hacker, pienso que todo debe ser analizado , toda la información debe de ser contrastada antes de decidir utilizarla como base de un proyecto de estas dimensiones. Deben de cuestionarse todas las fuentes y cualquier proyecto debe de ser probado concienzudamente antes de ser publicado.

Observando el caso como un proyecto que pretende ayudar a la sociedad ante los peligros del COVID-19, creo que tampoco nos beneficiaría tanto vivir planteandonos si cualquier persona a la que hayamos estado expuestos, sea el vecino de la puerta contigua, o el repartidor de comida a domicilio, o cualquiera que pase junto a mí en el supermercado… puedan estar infectados. No me parece tan útil, ni creo que solucione demasiados problemas de salud, aunque sin embargo, sí que nos obligará a crecer en paranoia, en odio o en recelo hacia los demás. Se ha estudiado lo que aportaría esto a la sociedad a nivel sanitario o psicologico? Qué pasaría si la aplicación detectara constantemente un positivo cuando estoy en casa…quizás un vecino?

¿Qué crees que pueden aportar Google y Apple que no hayan llegado iniciativas locales como la de Singapur o Corea del Sur, que tantos elogios han recibido?

Primero que nada, como ya indiqué anteriormente, cuando se realiza un proyecto de estas dimensiones, podemos basarnos en las famosas iniciativas «que tanto éxito han tenido» en países totalitaristas, como la base de las virtudes para este proyecto. Pero eso significa que ahora damos por «información contrastada y totalmente válida» la información censurada que recibimos de estos paises respecto a los beneficios de sus sistemas digitales en el control de la epidemia.

Y ahora resulta que ésta es «información contrastada para nosotros», cuando ni siquiera podemos confirmar de forma cierta el número de afectados, fallecidos o la repercusión real de los datos de vigilancia digital de los ciudadanos en la lucha contra la pandemia dentro de estos paises. Por lo tanto, si fallan las bases que justifican este proyecto, el proyecto en sí es cuestionable y más cuando viene de paises digitalmente totalitarios.

Actualmente los desarrolladores, Apple y Google indican que el usuario a través de una APP oficial de cada gobierno introduciría el dato de ser positivo en COVID de forma voluntaria y personal. Pero el marco legal, de privacidad y normativo cambian constantemente y quién garantiza que esto no cambien en un tiempo y sea el propio gobierno quien introduzca a través del sistema sanitario estos datos desde los test de COVID de sus hospitales y centros de salud? Recordemos que esta información sobre Apple y Google que manejamos hoy ya se preparaba hace semanas/meses por parte de los fabricantes y que casualmente el marco normativo español cambió hace días preparándose para esta tecnología.

¿Crees que es posible tirando del bluetooth y no del GPS ofrecer un rastreo efectivo de estos contactos?

Técnicamente sí que lo es. Bluetooth ofrece también tecnologías de localización cercanas que se pueden relacionar con el GPS del dispositivio inteligente. No debemos olvidar que ya se geolocaliza de forma constante en los smartphones por parte de Google y Apple, algo que ya les permite obtener de forma constante la localización de cualquier individuo. No se puede valorar esta iniciativa como algo único e independiente. La información que se obtiene siempre puede ser agregada a otras fuentes, como la geolocalización en tiempo real de los dispositivos. Si ya poseo un registro de la localización de un usuario, día tras día, hora tras hora, minuto y minuto, segundo tras segundo… puedo conrastar, comparar esta información con cualquier otra, como la del bluetooth para agregar datos que permitan próximamente desanonimizarla. Ejemplo: tengo una lista de identificadores anónimos de móviles que han pasado hoy junto a mí. Mañana vuelvo a hacer el mismo recorrido, me tropiezo con las mismas personas o similares y recopilo también información de identificadores anónimos. Al tercer día, hago lo mismo, pero me informa de que me he tropezado un con positivo de COVID. Por lógica puedo identificar mentalmente quién pudo ser. A nivel digital, para las grandes compañías como estas, es aún más facil desanonimizar la información, ya que disponen de suficiente información para comparar esta base de datos local con otras de mayor alcance, como la de geolocalización de dispositivos por lugares comunes, etc.

¿Con la información que han publicado se puede presuponer que los datos realmente privados y que no?

Es dificil afirmar que algo determinado es privado a día de hoy. La tecnología indica que la información se queda durante catorce días en el dispositivo de cada persona, hasta que se introduce un positivo en la aplicación.

Esta tecnología no se trata de una simple aplicación sino de una gran modificación en la pila de Bluetooth de los sistemas operativos basados en Android de Google e iOS de Apple. Se implementa a través de unas actualizaciones en los teléfonos y no de una simple APP que instalamos, lo que da al dispositivo todo el control sobre lo que se hace, sobre lo que se recopila, lo que se almacena o lo que se envía. Es un cambio radical en la tecnología y como tal es peligroso.

Siempre he defendido la idea de que lo que hoy es un dato privado, protegido o cifrado, no significa que mañana no se pueda, mediante la tecnología o el cibercrimen, convertir en un dato público y accesible. Una base de datos cifrada con un tipo de cifrado de hace diez años se puede facilmente romper hoy para descifrar y extraer su información. Por lo tanto no podemos, al manejar datos tan privados o confidenciales pensar desde un punto de vista cortoplacista.

Qué pasaría si otra aplicación (como una APP de juegos) accede a la información guardada por este protocolo y la envía a su nube, además de utilizar su propia geolocalización del juego para agregar más datos? Se generaría un riesgo de filtración de datos que nada tendría que ver con Google o Apple, pero que se produce en sus dispositivos.

¿Cuáles son las principales dudas que te genera?

Moxie Marlinspike, uno de los principales criptógrafos prácticos actuales y desarrolador del sistema de cifrado de Whatsapp afirma que hay graves dudas de seguridad en este planteamiento. Se podría, desde atacar al sistema generando falsa información, denegar el servicio impidiendo que funcione correctamente, o generar falsos positivos impidiendo que los datos sean fiables y útiles .

Personalmente dudo de las bondades de este sistema, además de la seguridad del mismo en su aplicación real. Además este tipo de tecnologías son muy «fáciles» de implementar pero resultan, por experiencia, difíciles de desimplementar. Si de verdad es una solución provisional para este caso de alarma, se debería dejar claro que se desimplentará definitivamente tras la alarma.

The post Privacidad y COVID-19 appeared first on Yago Hansen CV.

Esta es mi primera publicación dentro del blog yagohansen.com. Deseo agradecerle que visite mi sitio web personal y muestre interés por mi perfil y carrera profesional. Decidí crear este sitio web de perfil porque realmente no me siento tan cómodo con las redes sociales, incluso usando las de tipo profesional como LinkedIn o Twitter. Me parece una opción más adecuada crear mi propio espacio en el que pueda actualizar los eventos, experiencias, hechos, opiniones, etc. más siginificativos. Intentaré mantenerlo actualizado con todas las nuevas experiencias que me ofrezca la vida.

Diariodeunhacker.com era un sitio web sobre piratería informática y seguridad cibernética que creé y administré hace muchos años. Como no podía continuar con el proyecto porque estaba demasiado ocupado, decidí revivirlo de alguna manera ahora.

¡Gracias de nuevo y que tenga un gran día!

The post Hola mundo! appeared first on Yago Hansen CV.