Un falso ataque de phishing con un correo sobre contraseñas expiradas realizado como parte de una auditoría de seguridad entre los usuarios de la red de ordenadores del gobierno estatal de Michigan entrega un resultado alarmante: uno de cada tres empleados abrieron el correo, una cuarta parte hizo además clic en el enlace suministrado, y casi una quinta parte introdujo usuario y contraseña en la página resultante. Las cifras no resultan extrañas, y seguramente lo sabes: es perfectamente posible que si un ataque similar fuese llevado a cabo en tu organización, obtuviese resultados similares o incluso más elevados. De hecho, una métrica así podría ser un indicador muy razonable del nivel de cultura digital en una compañía. En la mía, una persona del departamento de Seguridad se encarga, metódicamente, de mantenernos actualizados compartiendo constantemente a través de la red corporativa ejemplos de phishing y posibles problemas de seguridad, en un intento de mantener una presencia permanente, crear un repositorio de referencia y generar una conciencia sobre la importancia de la seguridad.
El phishing es una técnica para obtener información sensible de usuarios simulando ser una entidad confiable en una comunicación electrónica. Sus orígenes se remontan a los años ’80, aunque el término como tal no se acuñó hasta mediados de los ’90 cuando comenzaron este tipo de actividades, fundamentalmente dentro de AOL. El primer ataque contra un sistema de pagos como tal tuvo lugar en junio de 2001: a lo largo del tiempo, el sistema se ha sofisticado notablemente y en muchas ocasiones llega a técnicas de ingeniería social y de personalización verdaderamente brillantes, y se estima que en la actualidad, los ataques de tipo spear phishing, esquemas personalizados diseñados contra individuos o compañías concretas son responsables de alrededor de un 91% de los ataques en la red. El ataque utilizado como prueba en la auditoría de Michigan, sin embargo, como la gran mayoría de los que suelen llevarse a cabo en este tipo de operaciones, era completamente trivial, similar en su operativa a los que se llevaban a cabo hace más de dos décadas.
¿Qué lleva a que un ataque de phishing relativamente trivial y conocido por cualquiera que utilice habitualmente internet o el correo electrónico, siga teniendo el nivel de éxito que tiene? La respuesta es muy sencilla: por más esfuerzos que hacen los departamentos de sistemas en las compañías, una gran parte de sus trabajadores y, por extensión, un porcentaje importante de la sociedad sigue estando compuesta por auténticos analfabetos digitales, por personas incapaces de reconocer un ataque de phishing aunque siga los patrones más obvios. En el caso de las compañías puede ser incluso peor: personas que, aunque puedan sospechar de un posible ataque, deciden hacer clic porque piensan que, al tratarse de su compañía, la seguridad es «cosa de otros». O ya rizando el rizo de la irresponsabilidad… que simplemente «les da igual», «no es su problema».
El phishing y la seguridad, en realidad, son simplemente síntomas de un problema mucho más grave: la carencia de alfabetización digital. En muchos casos, estamos hablando de transformar digitalmente compañías cuando la dura realidad es que muchos de sus directivos y trabajadores están aún en la más dura Edad de Piedra en lo que a cultura digital se refiere. Y no solo lo están, sino que además, les trae completamente sin cuidado: desprecian lo digital, les parece «cosa de frikis» o justifican sin despeinarse su ignorancia con una simple frase del tipo «yo es que de esto de las nuevas tecnologías sé poco». ¡¡Pero vamos a ver, alma cándida: si de «las nuevas tecnologías» (que provienen en muchos casos de hace más de dos o tres décadas) sabes poco, es muy posible que simplemente, a día de hoy, no estés a la altura para trabajar en una empresa seria!! Por alguna razón, muchos consideran que «las nuevas tecnologías» no son parte de su trabajo, son algo que aparece ahí mágicamente para que puedan llevarlo a cabo, pero que no son cosa suya, que son responsabilidades que recaen en un tercero. En general, al que hace clic en aquel correo que no debería haber abierto jamás y, para más gracia, entra en una página y facilita su usuario y contraseña como si fuese lo más normal, tendemos a mirarlo con comprensión, con cierta sensación de «le podría pasar a cualquiera». Pues no, lo siento… no debería pasarle a cualquiera. O al menos, no a cualquiera con un mínimo de cultura digital y dos dedos de frente. No estoy diciendo que si todo el mundo tuviese ese mínimo de cultura digital, este tipo de ataques no existirían: como ya he dicho anteriormente, los hay muy sofisticados, muy personalizados y muy bien calculados, en ocasiones con diseños que, desde el punto de vista técnico o social, resultan auténticos derroches de ingenio. Cualquiera podría caer fácilmente en uno de esos: la seguridad total no existe, ni para los más formados y actualizados. Pero obviamente, ese tipo de ataques no son lo más habitual.
Para plantearse un proceso de transformación digital en una compañía, la cultura digital de sus trabajadores y directivos tiene que alcanzar un mínimo determinado, o estarás intentando construir rascacielos sin tener la cimentación adecuada. Tendrás que esforzarte por atraer y retener talento con el nivel de cultura digital necesario. Tendrás que poner las cosas muy claras: que quien diga (o sienta) eso de «yo es que de las nuevas tecnologías no sé nada», no tiene sitio en tu compañía, en una compañía que pretende digitalizarse de arriba a abajo. Y no, no es esa persona sea necesariamente idiota: no tiene por qué ser un torpe, es posible que haya cosas de su trabajo que haga fenomenalmente bien, puede incluso que tenga un gran valor para la organización… pero no se ha preocupado de estar mínimamente actualizado, de prepararse para el entorno que le rodea. Y con esa actitud, cuando el entorno se mueve a la velocidad que se mueve, ya no se va a ninguna parte. En un mundo digital, la alfabetización digital ya ha alcanzado el nivel de cualificación necesario e imprescindible para llevar a cabo la mayoría de las tareas con un mínimo de responsabilidad: que un trabajador carezca de esa cultura no solo revela un problema en su compañía, sino que revela un problema de actitud, de concienciación en el trabajador. Cuando esa carencia tiene lugar en un directivo, cuanto más alto sea su nivel, más grave y patético resulta. La política es ya el extremo: para poder encargarse de algo tan importante como la toma de decisiones y la gestión de información que nos afecta a todos, tener un mínimo de cultura y formación digital debería ser un requisito imprescindible, que o bien tienes ya razonablemente desarrollado cuando recibes la confianza de los votantes, o tendrías que recibir obligatoriamente como formación cuando accedes al cargo, antes de comenzar a desempeñar tus responsabilidades. Tener políticos digitalmente alfabetizados eliminaría una parte de los absurdos problemas que tenemos actualmente cuando los vemos tomar decisiones en temas en los que evidencian una absoluta ignorancia.
¿Podemos dejar de considerar la falta de cultura y alfabetización digital como algo disculpable, como un detalle anecdótico, en lugar de calificarlo y considerarlo como lo que es, como un auténtico must-have de cara a la transformación digital?
This article was also published in English at Forbes, “Digital literacy: time to shape up or ship out»
Cómo vas a pedir cultura digital, y encima entre nuestra clase política, si en idiomas andan también a 0, y orgullosos de ello. En este país de lleva con orgullo y satisfacción la incultura y la mediocridad, denostando al que se forma y sabe…
¡Exácto!, la alfabetización digital es imprescindible a todos los niveles. Pero en los colegios e institutos siguen prohibiendo los móviles o, peor aun, haciendo como que no existen. En las colas del paro, personas que no saben qué es LinkedIn o incluso como adjuntar su curriculum en un email. En las empresas, quienes te llaman por teléfono para preguntarte si te ha llegado el correo electrónico que te acaban de enviar. Consumidores que compran móviles por su resolución de imagen sin tener ni idea de en qué consiste «la resolución» ni si tiene realmente relación con su calidad… Los ejemplos están por todos lados, algunos completamente surrealistas. Ya no es solo una tema de seguridad, eficiencia o productividad, es prácticamente una cuestión de superviviencia.
Uno de los grandes problemas, es que los departamentos de informática siguen reportando al CFO en lugar de al CEO.
También hay que ponerse en el lado del usuario: me capan el Facebook, el Marca, no puedo instalarme lo que yo quiera … pues si al servidor de correo me ha enviado este mensaje, bien estará.
No se en donde estaras pero los cortafuegos de al menos 3 empresas del Ibex 35 consideran a As y Marca como necesarios para la productividad del empleado, y sitios como de dearrollo de Linux y otros Open Source o, algo mas sencillo, el GAME para poder reservat el juego de tu crio como un nkdo de viboras dispuestos a asaltar la productividada y seguridad de la empresa… Pero su WiFi te deja bajarte el Candy Crash de Google o Amazon sin problema
Queda claro que un mínimo de formación en cultura digital debemos recibir, porque la perdida de horas productivas que nos puede implicar un agujero en seguridad ¿Social?, da escalofríos sólo de pensarlo. Como estamos acostumbrados a la inmediatez (siempre conectados), sólo paramos a reflexionar cuando sabemos que puede afectar a nuestro bolsillo, pero en muchas ocasiones realizamos acciones sin pensar en su repercusión .
Mucha gente utiliza las redes sociales, pero pocos nos hemos parado a pensar si realmente tenemos bien configurada nuestra seguridad y privacidad en cada una de ellas (¿qué repercusiones puede tener?).
Por otra parte, al igual que nos pueden exigir un mínimo de ofimática para un posible empleo, también nos podrían exigir un mínimo de cultura digital…¿No?
Me atrevería a decir que la seguridad informática en una empresa depende en un 80% (y me parece poco…) de la formación que reciban sus empleados y si además recibimos periódicamante unas «píldoras actualizadoras», nos vendrán genial para no bajar la guardia .
El 80% de los delitos informáticos, están basados en la Ingeniería Social. (el 10% restante los comenten los propios programadores de aplicaciones comerciales, que dejan Black Door en las aplicaciones) .
De nada vale el más sofisticado sistema de claves de acceso si luego el usuario escribe su clave en un tipex y la pega en el arco de su pantalla. (como yo he visto puesto), o si abren un email y ejecutan un programa, tan solo porque está supuestamente enviado por un conocido que te manda que ejecutes un programa.
No es cuestión de analfabetismo digital, es que las personas somos de natural confiados y damos a las lleves del coche a cualquier señor que se pone un chaleco reflectante en la puerta de cualquier restaurante, o en casa, abrimos el portal a cualquiera que dice que va a ver a un vecino, o que es el cartero que trae un certificado. Es muy difiíil luchar contra la Ingeniería Social.
En un post-it XD
Aunque igual luego la tapa con tipex y hay que mirarla al trasluz.
¡¡¡ sasto 111
Creo que el analfabetismo digital existe, y que es un problema que hay que combatir.
Pero la tecnología debería ayudar a evitar el phishing y en muchos casos no lo hace.
No es complicado advertir al usuario antes de que ejecute un programa Tampoco es complicado detectar en el correo recibido ciertas palabras como: contraseña, password, clave, etc. (todos los sinónimos) y advertir al usuario. Tampoco es tan difícil advertir frente a enlaces dudosos (y corroborarlos).
La cuestión es evitar que el usuario y víctima proporcione a cualquiera información de riesgo o instale sin saberlo programas maliciosos.
De todas formas, en este experimento solo 2 de cada 10 introdujeronn su usuario y contraseña. Tampoco es tanto. Y si se instrumentan medios técnicos que generen advertencias sobre el riesgo, estos porcentajes podrán bajar notablemente.
algunas estadísticas
Como poder se puede, por supuesto; pero en estos casos, siempre me acuerdo de una frase que leí en un calendario de «Leyes de Murphy»: «No hay nada tan sencillo, como para que no se pueda hacer mal».
Por muchas facilidades que se pongan, si el usuario carece del mínimo sentido común necesario, no hay nada que hacer.
La fortaleza de una cadena se mide por el eslabón más débil. Basta que un cretino integral de esos que «lo ven demasiao complicao» para que pueda mandar al carajo la seguridad de una gran empresa.
Todavía recuerdo el pollo que montó un vendedor porque tuvo que rescatar un «correo importantísimo» del buzón de SPAM… y como la presidenta le tuvo que recordar cual era la puerta de la calle porque el muy cretino ya había metido un virus por el USB (la máxima de Mao: uno es casualidad, dos es traición)
Se juntan varias cosas:
– Las carencias de la mayoría de los usuarios en cuestiones de seguridad (me resisto a llamarlo analfabetismo digital porque en el uso del día a día se defienden).
– La tecnología relativa a la seguridad es bastante complicada para el usuario medio: gestores de contraseñas fiables (que funcionen en cualquier navegador, cualquier web, cualquier app, cualquier dispositivo), certificados digitales, DNI electrónico, 2FA, etc.
– Los ataques de ingeniería social: nadie está libre de ellos. Yo caí en uno hace dos semanas: un correo enviado desde el ordenador de un remitente conocido con un documento Word con extension .doc (que permite macros) que contenía un ransomware. Dada mi configuración de seguridad, no pudo encriptar mi disco porque no se pudo instalar con permisos de administrador, y si lo hubiera hecho habría restaurado el sistema operativo (mis datos ya están todos en copias en la nube). Como medida de seguridad adicional, ahora no permito que Word abra documentos .doc, solo .docx (no permiten macros). Pero hace un mes un ataque al ordenador de un familiar cercano tuvo éxito (aunque ignoro cómo fue), encriptó el disco justo cuando el único disco de backup estaba conectado (se encriptó también) y tuvo que pagar un rescate de 1 bitcoin porque los datos eran realmente importantes.
Es necesaria más educación en seguridad, mejores herramientas de detección, configuraciones de sistema operativo más seguras (al menos en Windows), etc. pero desgraciadamente serán los desastres sufridos en propia carne los que eleven el nivel de seguridad y la concienciación.
OFF Topic
Lo que todos temíamos que ocurriera, ha ocurrido
Un auto sin conductor ha matado a un peatón por primera vez .
El automóvil autónomo, operado por Uber, golpeó a un peatón y los mató en lo que se cree que es la primera muerte de este tipo. El taxi autónomo estaba operando como parte de una prueba que Uber espera que represente el futuro, pero ahora se ha suspendido.
En el momento del accidente, que ocurrió durante la noche, el automóvil estaba en modo autónomo con un operador de vehículo detrás del volante, dijo la policía de Tempe.
¿Tienes la cifra de cuántos peatones han muerto atropellados por vehículos con conductor en ese mismo día? A ver, es una desgracia, sin duda, pero toda tecnología provoca accidentes en algún momento: como bien dices, sabíamos que iba a ocurrir en algún momento. Dicho esto, Uber parece ser claramente la que más está intentando apurar el tema, porque se juega nada menos que su valoración en ello. Y las prisas nunca fueron buenas…
No tengo ni idea. Tampoco tengo idea de lo que suponen ese número de muertos. respecto del parque total de automóviles con conductor y cuanto supone un muerto respecto del número de coches autónomos.
Pero sin saber absolutamente nada, me alegro de no estar dentro de la camisa de quien dio permiso a UBER para hacer experimentos de coches autónomos por las calles de Tempe
Me imagino que también te alegrarás de no estar en la camisa del primero que dio permiso para que un avión comercial volase…
Dado que ese coche sí tenía conductor de seguridad, el fallo habría sido de ambos, el sistema autónomo y el conductor de seguridad.
Pero eso sí, esto es noticia a nivel mundial, a diferencia de los muchos muertos que hoy, como cualquier otro día, habrán causado los conductores borrachos. En estos momentos es portada en las webs de (por ejemplo) El País y El Mundo.
Aquí mismo dije hace no mucho que lo que difícilmente disminuiría con los autos autónomos son los accidentes causados por la imprudencia de los peatones. Si alguien distraidamente cruza la calle sin darse cuenta de que a pocos metros se acerca un automóvil (autónomo o no), lo más probable es que sea atropellado ya que incluso con un frenado inmediato el vehículo necesitará varios metros para detenerse.
El problema es que aunque el peatón sea el culpable del accidente, la gente tiende a atribuirle la culpa al conductor. Este tipo de accidentes que ningún vehículo (autónomo o no) podría evitar son una de las razones que me hacen pensar que todavía faltan varios años para que los autos autónomos sean una realidad cotidiana. Publicitarlos como autos seguros que salvarán vidas podría llegar a ser real estadísticamente, pero no serlo desde la percepción cotidiana ya que dichos vehículos poco podrán hacer si de repente tienen delante de ellos a un peatón distraído, a uno que duda, a uno que se ha tropezado o a uno que se ha quedado paralizado.
Triste pero cierto. A juzgar por el primer comunicado de la policía, el accidente habría sido causado por la propia peatona cruzando la calle fuera del paso cebra.
No atender a la realidad estadística sería una irresponsabilidad. Los coches autónomos deben ser permitidos si sus resultados son mejores que los de los conductores humanos. Solo faltaría que tuviéramos más muertos de los necesarios por un prejuicio.
Por estar trufados de sensores, cámaras incluidas, en caso de accidente es especialmente fácil con los coches autónomos el determinar qué pasó en cada caso.
No atender a la realidad estadística sería una irresponsabilidad.
Los coches autónomos ya suman dos muertos en pocos meses y no creo que superen los 10000 en todo el mundo. ¿En el mismo periodo de tiempo cuantos muertos corresponderían a un parque de coches con conductor?
No se mide así, Gorki. No se evalúa por número de coches, sino por millas (miles de millones de millas, en realidad) recorridas frente a accidentes. Y en ese sentido, dado que el denominador es tan pequeño en el caso de los vehículos autónomos (dos frente a varios millones en el de los vehículos de conducción humana), las cifras salen aún muy favorables. Otra cosa sería si de repente, por un fallo determinado, tuviésemos oleadas de muertos en conducción autónoma, cosa que – espero – no va a ocurrir. Por el momento, la estadística es MUY favorable a la conducción autónoma, y lo seguirá siendo, porque contrariamente a lo que ocurre en la conducción manual, toda la flota aprende de cada caso.
https://en.wikipedia.org/wiki/Transportation_safety_in_the_United_States
Será cuestión de tiempo que salga el agoguero apocalíptico con los coches-asesinos reprogramados por el comando yihadista-norcoreano-pongasufobia masacrando a buenos americanos… Curiosamente ya salió en un episodio de ¿CSI?
Lo bueno de esto es que las empresas implicadas hasta el momento se lo están tomando mucho más en serio que los Sistemas Operativos o los coches actuales hackeables con comprar un cacharro en AliExpress.
Gorki:
¿2 muertos en pocos meses? El accidente del Tesla fue en mayo del 2016…
En ambos accidentes mortales había conductor humano (de seguridad en este último). En este la culpa parece haber sido de la peatona. Tesla nunca ha dicho que su Autopilot pueda ir sin conductor humano. Como tú mismo has señalado en otras ocasiones, el Autopilot no es conducción autónoma, sino ayuda a la conducción (y según tú, ese es el camino a seguir).
A día de hoy, a la espera de que concluya la investigación de este accidente, la estadística de los coches autónomos es de cero muertos causados por ellos, pese a haber recorrido literalmente millones de Km. Eso es más de lo que se puede decir de muchos miles de humanos que sí han matado a alguien.
El diferencial entre la capacidad de adaptación del ser humano y su consolidación es tremenda. Si los demás animales la tuvieran parecida, habría multitud de especies en situación de «dinosaurio».
Si cojemos un caso concreto, ya histórico, como la introducción de los medios AV en los centros escolares, podemos notar la diferencia abismal entre las posibilidades que brinda el ADN humano y su realización práctica.
Somos una especia rácana a más no poder desde el punto de vista evolutivo. La velocidad actual del avance tecnológico nos sobrepasa.
Pero, por otro lado, hay mucho humano amante del filete, aunque sea virtual (Matrix).
Seré breve: «El problema (siempre) está entre el teclado y la silla»
No es analfabetismo, es simple desidia y estupidez, algo que lleva acompañándonos desde el amanecer de los tiempos. Lo que pasa es que antes las estupideces se cometían en el dominio analógico y su alcance era muy restringido, ahora se han pasado al digital y lo que haga un cretino en Seúl puede afectar a todo el mundo.
¡Asteroide, ven ya!
Los países donde los adultos tienen los mejores y peores resultados en matemáticas financieras básicas
Volvo dijo que si hay un accidente con un coche autónomo suyo asumirán siempre la culpa.
ver aquí
Ahora se ha dado el caso…y dicen otra cosa…
ver aquí
En realidad, Volvo es de la china Geely que ahora quizás esté en un lío.
Lo que dijo el presidente de Volvo fue esto:
«He will say Volvo will accept full liability whenever one if its cars is in autonomous mode, making it one of the first car makers in the world to make such a promise.»
Que no es lo mismo que asumir siempre la culpa. Simplemente asumieron la responsabilidad legal del conductor. Manda carajo que un acto de responsabilidad se use ahora para difamarles.
Si mi inglés es de la suficiente calidad lo traduciría por
«»Él dijo que Volvo aceptará la responsabilidad total cada vez que sus autos estén en modo autónomo, lo que la convierte en una de las primeras automotrices del mundo en hacer tal promesa».
O sea «Volvo aceptará la responsabilidad total cada vez que sus autos estén en modo autónomo» como dice JJ
No, JJ no dijo eso. Él dijo «asumirán siempre la culpa». Eso es diferente de decir «aceptará la responsabilidad».
No es tan difícil de entender, creo yo. Si hay un accidente por causa de un error de conducción de un coche autónomo, ¿de quién es la responsabilidad? ¿Del fabricante del coche? ¿Del dueño? ¿Del que va en el asiento del conductor y decidió que el coche se condujera solo en lugar de conducirlo él? (no tiene por qué ser el dueño).
Cuando solo había conductores humanos la cosa estaba clara, pero ¿y si quien conduce es la máquina?
El presidente de Volvo señaló que su empresa asumía esa responsabilidad. Lo cual es muy diferente de asumir siempre la culpa, con independencia de que el accidente lo haya causado un peatón u otro conductor (humano o no).
Cito del artículo que enlacé:
«Volvo indica que si hay que culpar a alguien en estos casos y uno de sus vehículos está implicado, que les culpemos a ellos».
Pues el día que le de a algún Gobierno por Alfabetizar Digitalmente la Administración…
La Guardia Civil señalando la utilidad de formación en seguridad básica para usuarios como la proporcionada por el módulo de seguridad de ECDL (www.ecdl.es): http://bit.ly/ECDLSeguridad-GuardiaCivil2016. En España lo de las autoridades y la capacitación digital va mal, la insistencia en autoevaluaciones que no sirven de nada es otro problema: independencia de evaluación o certificaciones es un elemento imprescindible: http://ecdl.org/policy-publications/perception-reality-measuring-digital-skills-gaps-in-europe-india-and-singapore