Cómo hacer para que NIC.AR te entienda
mayo 17, 2013 § 1 comentario
Para muchos de nosotros registrar un dominio no es cosa que sea de todos los días. Registrar un dominio .AR tiene sus particularidades, y son bastante evidentes si uno ha experimentado registrar por ejemplo un dominio .COM.
Hacer los trámites es NIC.AR no es muy problemático (aunque lento en comparación con otros TLD), si uno tiene la suerte de tener todo configurado como NIC.AR espera. ¿Configurado? si, me refiero al correo, porque los trámites se realizan con confirmaciones por correo electrónico.
El sistema de NIC.AR que procesa los trámites funciona con las misma limitaciones y exigencias al menos hace 8 años (quizás más).
Una vez que uno registra la solicitud, recibe un correo con el “formulario” y los datos ingresados más un identificador. Y para confirmar el inicio del trámite uno debe responder ese correo, con los siguientes cuidados:
- formato solo texto (tal como se recibió)
- nada de ese correo puede ser alterado,
- no pueden haber más ni menos lineas,
- ni más ni menos saltos de lineas o espacios,
- ni renglones truncados,
- ningún formateo está permitido.
Hasta aquí parece, relativamente, sencillo. Con un modesto cliente de correo esto se configura fácilmente: correo solo texto/sin formato, y largo de linea 90 caracteres (para que no trunque el formulario). Incluso NIC.AR posee guías de configuración para varios clientes muy usados.
Pero si uno trabaja dentro de una organización es probable que el correo se envíe mediante un servidor propio y que los correos salgan, sin que uno necesite saberlo, codificados con base64. Y eso es algo que NIC.AR no entiende.
Ejemplo 1, aceptable para NIC.AR:
- Abrir el mensaje de asigdom@nic.ar (o de asigdel@nic.ar) titulado “Nueva Registracion …” ó “Registro y Delegacion de ….“.
- Con el correo abierto, ir al Menú “Acciones” -> “Otras Acciones” -> “Codificación” y allí cambiar de “Unicode(UTF-8)” a “Definido por el usuario”.
- Hecho lo anterior, procedo a responder tal como lo indican. (quitar cualquier firma o los encabezados del correo original que incluye el cliente de correo).
Codificación base64
La codificación base64 en los correos electrónicos, es un mecanismo estándar para resolver cuestiones de transferencia de contenidos o archivos entre sistemas de correo. Uno como usuario no se entera ni debe preocuparse de nada de eso. Salvo cuando uno debe responde al sistema de NIC.AR.
NIC.AR en el año 2013 mantiene un sistema de gestión de tramites híbrido, parte web y parte por correo. Siendo el correo algo crucial para la gestión. Sigue así, casi sin cambios, hace muchos años y no se ha modernizado aun hacia una gestión web completa. Lamentablemente sigue con el formato de respuestas por correo donde valida datos como en los inicios de Internet. Pero aun así sigue también sin haberse modernizado y en los correos no entiende la codificación base64, a pesar que esto es algo estándar y normalizado (RFC 4648).
Decodificar base64 es trivial. Esa funcionalidad está disponible gratis para cualquier programador en cualquier lenguaje. Hasta la fecha NIC.AR no ha incorporado ningún mecanismo para decodificar algo tan estándar como el formato MIME “Content-Transfer-Encoding:base64″. (librerías hay para C++, Apache, PHP, Python).
Pero discutir acerca de que NIC.AR decodifique base64 es una discusión atrasada. Hace tiempo pasó su momento; aunque siga presente esa deficiencia.
Lo actual es discutir porque no tienen, hace tiempo, una gestión web ágil. En eso los que sigue retrasando son los sistemas de NIC.AR. Ojalá el hace varios meses anunciado “nuevo sistema” de NIC.AR traiga soluciones a la dificultades actuales.
Raúl de la Redacción de Segu-Info
Android y las actualizaciones de seguridad
mayo 8, 2013 § 1 comentario
Hace dos años tratábamos con Ezequiel Sallis (@simubucks) sobre el complicado, y a mi juicio fallido, mecanismo de actualizaciones del SO Android.
En el SO Android, el mecanismo de actualizaciones interpone dos actores adicionales en el camino para que una actualización de seguridad realizada por Google, llegue a nuestros smartphones.
Esos dos actores, el fabricante del celular y las empresas de telefonía celular (telcos), están en el camino obligado para adaptar al hardware y a la infraestructura celular particular, cualquier posible cambio en el SO.
Con la diversidad de modelos de cada marca, versiones del OS Android, evidentemente no hacen a tiempo lo necesario para que nos lleguen los parches de seguridad y así tapar pronto los agujeros por donde intentarán colarse los ciber-delincuentes, para ingresar sin permiso a nuestros celulares Android.
A dos años de aquello leemos en el blog de TrendLabs sobre una queja planteada por la American Civil Liberties Union ante la Federal Trade Commission (FTC) por la falta de actualizaciones para muchos dispositivos Android describiendo esto como una “práctica de negocios fraudulenta y engañosa”.
El planteo legal realizado allá, en USA, lleva este tema de la falta de actualizaciones sabido en el ámbito tecnológico, a conocimiento de las entidades de regulación.
Destaca la gente de TrendLabs que según las propias estadísticas de Google, la versión de Android 2.3 (Gingerbread) que es la más utilizada, fue actualizada por última vez en Septiembre de 2011 (!).
Evidentemente este problema esta lejos de poder ser solucionado en el mediano plazo, y como comentan en Arstechnica el intento que emprendió hace dos años Google para intervenir en este asunto con la iniciativa Android Update Alliance no consiguió ningún resultado.
El estado de las cosas es tal que las actualizaciones de Android solo llegan rápido a apenas unos selectos modelos como Samsung Galaxy Nexus o HTC Nexus One, que son desarrollados con estrecho apoyo de Google, mientras que el resto reciben actualizaciones de forma tardía o son abandonados prematuramente por sus fabricantes.
Por parte de las Telcos las demoras dispares que sufre el envío de las actualizaciones a los dispositivos de sus clientes parece estar relacionado con la (poca) capacidad de realizarlas a tiempo para cada modelo por parte de su personal técnico, manteniendo la personalización de Android propia realizada por cada Telco en cada país.
Si tenemos en cuenta el predominio en el mercado del SO Android y los problemas relatados antes, estamos frente a un paraíso para los atacantes informáticos y a un colador de seguridad apenas visible para algunos usuarios.
Lamentablemente con los problemas de las actualizaciones, Google (Android) repite casi intencionalmente errores pasados (y ya aprendidos) de la industria del software.
Desde la vereda de enfrente los usuarios de iPhone y BlackBerry gozan en cuanto a seguridad por una menor popularidad y más prontas actualizaciones.
Es sorprendente el exitoso trabajo realizado por Google y los resultados obtenidos con Android. Pero errores como estos respecto de las actualizaciones solo dejan como ganadores a los fabricantes que se pueden asegurar otro medio para dejar obsoletos antes de tiempo a dispositivos perfectamente funcionales. Otra modalidad de obsolescencia programada.
Facebook lo sabe… todo
abril 19, 2013 § Dejar un comentario
Finalmente el Retargeting con datos de Facebook Exchange y Google Data es oficial y con cuatro partners extras: Acxion, Datalogix, Epsilon y BlueKai cada uno con sus particularidades de forma de tener perfiles que, si antes eran precisos, ahora son casi tu persona.
Para darles una idea de la magnitud de estos datos; Facebook tiene más de 150 campos de datos personales explícitos que uno llena constantemente, luego tiene las relaciones y publicaciones que generan datos personales “inferibles” (si existe esa palabra) a los que se suman en orden de relevancia de privacidad:
- Acxion: agrega datos de empresas financieras y datos penales.
- Epsilon: transacciones en la “vida real ®” agregadas para conocer tus hábitos de consumo
- Datalogix: similar pero categorizada (y dicen que anonimizada) especializada en datos de gastos de universidades
- Chango: acceso a datos de buscadores para entender que buscás fuera de Facebook
- BlueKai: que hace unas cookies específicas para marcas que permiten entender patrones de navegacion en sus sitios
Es interesante, los millones de terabytes usados en entender y apuntar publicidad a un segmento cada día más y más específico es (en cierto sentido) atemorizante ¿unir mi mundo social con mi perfil judicial y mis hábitos de compra offline más las búsquedas en Google? Y seamos honestos ¿cuanto falta para que además incluyan datos de aplicaciones y geolocalización en estos perfiles?
“Es, en última instancia, bueno para los usuarios… “Llegan a ver mejores anuncios, más relevantes, de marcas y empresas que les interesan y que tienen una relación previa con ellos… No hay información sobre los usuarios que está siendo compartidos que no han compartido ya.”
Esta frase es del director de producto de Facebook Gokul Rajaram, uno de los tipos que más me intrigan en la industria, y más allá del consabido “Es bueno para el usuario” el detalle de “no hay información que no se haya compartido ya” me deja intranquilo ¿eso implica que como ya se compartió ahora se combina y vuelve a compartir? ¿hasta que punto mis datos están siendo “transados en el mercado”?
Fuente: Uberbin
Fuga de información, la mayor amenaza para la reputación corporativa
abril 17, 2013 § Dejar un comentario
Por Arantxa Calvo Moyano, Directora de Marketing de Secura IT
Las empresas son sólo tan buenas como su reputación o su imagen corporativa: en la era digital que vivimos dicha reputación puede forjarse, o destruirse, a la velocidad de un click gracias a Internet.
Pero, ante una fuga de datos: ¿dónde queda la reputación corporativa?, ¿cuáles son sus costes cuando ocurre un incidente de seguridad? La seguridad de la información es un aspecto crítico para evitar la mala imagen que proyecta una empresa incapaz de contener ataques y fuga de datos estratégicos. No se trata únicamente de haber perdido información importante sino el efecto que, más allá de esto, puede provocar en el mercado y la sociedad en general, sin contar los aspectos legales (LOPD). Esto es, pérdida de confianza.
Las brechas de seguridad son un verdadero problema, sobre todo cuando datos confidenciales pasan a manos ajenas, ocasionando no sólo un grave incidente de seguridad para la compañía sino también un fuerte golpe a su reputación, tal como le ocurrió a Sony que en el año 2011 sufrió uno de los ataques más escandalosos. Los analistas calcularon que el agujero de seguridad pudo ocasionar una pérdida que superará ampliamente los 1.000 millones de dólares.
Durante los últimos cinco años, las organizaciones han experimentado un aumento en el volumen de fugas de información intencionales o no. En este escenario conceptos como reputación corporativa o riesgo reputacional han ido ganando relevancia en el ámbito empresarial propiciado por los ataques a grandes firmas unido al endurecimiento de las normativas. Las pérdidas, multas y costes derivados de los grandes ciberataques de los últimos años confirman el trastorno para las compañías. Zurich Insurance PLC fue multada con 3.800 millones de dólares por la pérdida y exposición de registros de más de 18.000 clientes.
En España, hace ya algunos años se produjo uno los casos más importantes de fuga de datos: 11.300 historias clínicas, 4.000 de ellas en casos de aborto, se filtraron en la red a través de Emule, debido a un error de un empleado. La Agencia Española de Protección de Datos (AEPD) sancionó a un centro médico de Bilbao con 150.000 euros.
Más recientemente firmas como LinkedIn, Yahoo!, Last.Fm o incluso Apple también han sufrido brechas de seguridad, perdiendo parte de su reputación conseguida hasta ahora. No se salva ni la NASA.
Simultáneamente a los ciberdelincuentes, algunas personas con acceso a información privilegiada han utilizado nuevos métodos para sacar conductas cuestionables a la luz pública mediante la difusión de datos confidenciales en sitios web como es el caso de WikiLeaks.
Sin duda, el mayor costo para una organización es la mala reputación. Considerar los riesgos reputacionales de una empresa equivale a proteger su reputación y aquí radica la importancia de abordar de una forma adecuada tales riesgos, con la conciencia de que proteger la reputación de una empresa es hacerla mejor.
Según un estudio europeo, “las brechas de seguridad de los datos continuarán exponiendo a las empresas europeas a riesgos innecesarios, dañando su reputación, a no ser que se tomen acciones para mejorar la gestión y protección de la información sensible, fundamental para el buen desarrollo de su negocio”.
La fuga de información de una red corporativa puede ocurrir deliberadamente como resultado de una acción intencional de algún empleado, como consecuencia de un ciberataque, o inadvertidamente, por un colaborador desprevenido víctima de un software malicioso. Hoy en día es imprescindible para un profesional o para una empresa proteger sus datos ante un imprevisto como los que he citado, ya que solo son un ejemplo de miles de casos registrados hasta ahora.
Controlar la información confidencial dentro de una organización es todo un reto, ya que deben considerarse las amenazas internas además de las externas. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.
Aun así un informe de la Cumbre Europea sobre el Riesgo de la Información constata que “solamente alrededor de la mitad de las empresas medianas considera la pérdida de información sensible como uno de los tres principales riesgos a los que se enfrentan sus negocios”.
Las empresas deberían centrarse en la seguridad para evitar y prevenir estos ataques, pero también para poder proporcionar a los clientes confianza y tranquilidad sobre cómo sus datos, dinero y propiedades intelectuales están en buenas manos, tanto dentro como fuera de la red corporativa.
Una buena seguridad de la información necesita tres elementos: personas, procesos y tecnología. Las empresas suelen invertir en tecnología, pero ésta por sí sola no es efectiva. Los beneficios de la tecnología no merecen la pena sin la seguridad adecuada, por lo que es imperativo establecer unas políticas se seguridad y unas conductas responsables. Los trabajadores deben ser formados, conocer y tomar responsabilidades en cuanto a la seguridad de su compañía se refiere.
En el aspecto técnico, para fugas internas, los DLP (Data Leak Prevention) son herramientas para la prevención de fuga de información. El software de prevención de fuga de datos resuelve eficazmente el 80 por ciento de las fugas debidas a accidentes y negligencias. Según IDC, los errores involuntarios o no de los empleados son la cuarta amenaza en importancia para la seguridad de la empresa.
También es necesario tener en cuenta que la protección contra las amenazas del software malicioso externo es una parte esencial de la prevención de la fuga de datos.
En la misma línea contar con un programa de respuesta de incidentes robusto le permitirá reaccionar rápida y correctamente cuando eventos o individuos no previstos amenacen sus operaciones comerciales.
En definitiva, la defensa contra la fuga de datos requiere una combinación de políticas que definan las prácticas aceptables y de tecnologías, personas y procesos que hagan cumplir las políticas de forma sistemática y dinámica, reduciendo así al mínimo la probabilidad de una brecha de seguridad.
La fuga de información es un riesgo que debe ser considerado prioritario en el diseño de un esquema de seguridad de la información, teniendo en cuenta tanto los aspectos tecnológicos que involucra, como aquellos de gestión y educación para minimizar el mismo. En mi opinión, hoy día la gestión de la seguridad de la información supone una clara nueva ventaja competitiva para las empresas y deberían tomar nota. Acometerán con garantías, minimizando riesgos y costes, maximizando rentabilidad.
Fuente: Red Seguridad
Las aplicaciones, el nuevo plato favorito de los cibercriminales
abril 4, 2013 § Dejar un comentario
La seguridad informática tiene que ser uno de los temas más importantes para los departamentos de TI. La reciente dinámica de esta industria obliga a que las empresas, sin importar su tamaño o su industria, implementen medidas de seguridad de acuerdo al nivel de información que manejan. Es diferente proteger los bancarios de los clientes que otro tipo de información, pero de todas maneras no se puede dejar la puerta abierta. Aprovechando la situación, hablamos con José Parada, gerente de ventas de redes en Latinoamérica y el Caribe de Citrix.
“Las transacciones en línea están creciendo en todos los sectores y necesitan proteger sus servidores”, aseguró el ejecutivo. Las empresas deben entender que la seguridad informática pasó de ser un tema de bancos y servicios en línea a ser una preocupación para cualquier compañía. “Los colegios y las universidades, el gobierno, todas estas empresas orientadas a una arquitectura de servicio en línea” necesitan una protección adecuada contra los ataques informáticos.
El gran cambio hoy en día es la vulnerabilidad de las aplicaciones. Aunque todavía existe el riesgo de un hueco en la infraestructura, las aplicaciones se han convertido en un blanco importante para los piratas informáticos. “Tenemos reportes de bancos mexicanos que han visto ataques… todavía no reconocen que hay que protegerse a nivel de la aplicación”, agregó Parada.
Los bancos todavía siguen siendo el blanco más apetecido por los criminales informáticos. “Aunque hemos visto este tipo de ataques crecer por otros lados, siempre hay una razón por la que lo quieren hacer”, dijo Parada. Es normal, los bancos siempre serán el objetivo más importante para los piratas.
Aprovechamos la charla para conocer la opinión de Parada sobre ‘bring your own device’ o ‘traiga su propio dispositivo’ (BYOD, por sus siglas en inglés) y cómo esta nueva forma de administrar dispositivos afecta la seguridad. El ejecutivo aseguró que esta tendencia es mucho más complicada ya que los administradores de TI tienen que detectar los ataques en los equipos móviles que posiblemente esten fuera del perimetro de control de la empresa. Para mejorar la seguridad, Parada dijo que hay que “primero, limitar los dispositivos que se pueden usar y asegurar que estos tengan sus propias medidas de seguridad”. Además agregó que lo más importante es “que los usuarios reconozcan un posible ataque para prevenirlo y usar el sentido lógico”.
Fuente: Enter
El "gran" ataque a Internet es una mentira
marzo 28, 2013 § Dejar un comentario
Ha sido una de las noticias del día, recogida por grandes medios de comunicación y promovida como una de las mayores amenazas hasta la fecha contra la infraestructura de la red pero el ataque que según el New York Times “ha colapsado” Internet en realidad apenas ha supuesto un pequeño susto y no, no presagia un inminente colapso.
Todo suena tan dramático y está apoyado por tantos grandes medios que podría parecer una idea plausible. Y el fondo del asunto es cierto. Un operador de hosting alemán, Cyberbunker, lleva varios días tratando de ahogar con un ataque de denegación de servicio al grupo holandés Spamhaus (detalles técnicos), que trata de identificar a varios spammers en la red que podrían estar alojados en ese servidor de hosting.
Pero ahí acaba todo. Las historias que circulan hacen creer que esos ataques están paralizando la red. Pero si esto fuera verdad, cabría hacerse algunas preguntas: ¿Por qué mi conexión no se ha ralentizado? ¿Por qué nadie se ha dado cuenta durante la semana pasada, cuando comenzaron los ataques? ¿Por qué nadie afectado económicamente por estos ataques piensa que esto se trata de un desastre? ¿Por qué no se han caído infraestructuras de servicios muy utilizados, como Netflix? ¿Por qué las web y grupos que se dedican a vigilar el tráfico en al red no han notado ni una pequeña alteración del tráfico de la red?
(Estos gráficos tendrían grandes subidas y bajadas si estuviésemos ante un ataque global)
Sólo dos compañías parecen estar interesadas en hablar del asunto. Una es Spamhaus, que es la principal afectada por los ataques, la otra es CloudFlare, que es la empresa que Spamhaus ha contratado para protegerse de los ataques de denegación de servicio. Esta última compañía es la que está elevando el ataque a proporciones épicas en parte porque tiene mucho que ganar del pánico generado.
Unas horas después de que la BBC hablase sobre “el mayor ataque a Internet de la historia” CloudFlare escribió un extenso post sobre “el ataque que casi acaba con Internet”. Ese post no es más que una nota de prensa similar a la que Pfizer escribiría contándote todas las horribles enfermedades que vas a tener si no te tomas su medicina. Matthew Prince, CEO de CloudFlare, cuenta una historia sobrecogedora sobre como defendió a Spamhaus tras contratar sus servicios -que es cierta- pero también habla de la amenaza de la red que aún permanece latente, como si fueran bombas nucleares soviéticas.
Uno de los encargados de mitigar los ataques de denegación de servicio de los gigantes de Internet me escribió un email este fin de semana: “Siempre he sostenido que que no tenemos que prepararnos para el mayor ataque, sólo para el mayor ataque que nos pueda llegar que no cause un daño colateral masivo. Parece que has llegado a ese punto, así que… ¡felicidades!”
En CloudFlare nuestra meta es que los ataques de denegación de servicio sean algo que sólo leas en los libros de historia. Estamos muy contentos de cómo nuestra red se portó durante un ataque tan grande y estamos trabajando con otras compañías para asegurarnos de que este tipo de amenazas puedan ser repelidas en un futuro.
En una cita al New York Times, Prince incluso hace la analogía con la amenaza nuclear:
“Estos [ataques DDoS] son en esencia como bombas nucleares”, dice Mathew Prince, presidente de CloudFlare. “Es tan sencillo hacer tanto daño”.
Esto sería terrorífico si no se tratase básicamente de publicidad encubierta. Prince está en el negocio de vender protección contra ataques online. Su compañía, hasta el momento, ha demostrado ser muy buena en esto. Pero eso quiere decir que también está en el negocio de asustar a la gente. En su post asegura que el ataque a Spamhaus “podría ser relativamente modesto” comparado con lo que vendrá después.
Nuestro redactor de Gizmodo USA, Sam Biddle, se mostró escéptico ante estos reportajes de colapso de la red y el propio Prince se puso en contacto con él. Quería que comprobase con uno de los grandes operadores de la red -los que mantienen la infraestructura básica de Internet- las afirmaciones que hacía en su web. Después de preguntar, NTT -un gran operador- respondió:
Hola Sam, nos alegra hablar contigo.
Me temo que no tenemos nada que pueda corroborar esos efectos globales de forma sustancial. Imaginamos que habrás leído la cifra que circula de 300 gbps y aunque es una cifra muy alta para un simple proveedor o empresa, la capacidad global de datos que nos llegan de fuentes como TeleGeography muestran capacidades de más de un tbps no afectadas en prácticamente todas las regiones del planeta. Estoy contigo a la hora de cuestionar el efecto global de esto.
Chris
En resumen: No. Tal vez fue un problema para Holanda, pero Holanda no es Internet.Usando terminología de béisbol, esto hacen dos strikes para CloudFlare. Aún así, seguimos buscando evidencias de que la red hubiera sido afectada de forma crítica.
Ni un sólo comentario en la red de una caída de Netflix. ¿Qué hay del servicio masivo de Amazon de hosting para empresas, con una escala global? Si Internet hubiese sufrido un ataque masivo, ¿no quedaría reflejado? Según los propios datos de Amazon no hubo ni una sola interrupción en su servicio durante la pasada semana, ni siquiera en Europa, donde se produjo el ataque.
Lo que no está bien es que una compañía trate de asustar a los internautas haciéndoles creer que viven en una zona de guerra para promover su negocio. El mundo de la red ya tiene bastantes peligros. Habrá más ataques y más atacantes. Si estás en el negocio de la seguridad, no te va a faltar trabajo. Pero si tu producto vale algo, no deberías mentir a internet para venderlo.
Fuente: Gizmodo
¿Ciberguerra?… Aún queda mucho trabajo por hacer
marzo 9, 2013 § Dejar un comentario
Los continuos y trascendentes cambios geopolíticos que están aconteciendo en el mundo, la proliferación de actores estatales y no estatales con capacidades bélicas, la imparable difusión tecnológica y los importantes recortes en los presupuestos de defensa sitúan a España, y al resto de nuestros aliados, ante una situación de riesgo permanente que conjugados podrían desencadenar en la ´tormenta perfecta´. Recientemente, muchos analistas abogan por incluir en este explosivo cóctel una hipotética ‘ciberguerra’ y sus imprevisibles consecuencias.
Los ciberataque contra sistemas militares, el robo de información sensible, el ciberespionaje industrial, los ciberdelitos de índole económica, la difusión masiva de código malicioso, el robo de datos de carácter personal así como innumerables riesgos críticos fruto de la creciente interconexión entre el ciberespacio y cualquiera de los entornos tradicionales ponen en peligro la seguridad de un conjunto de servicios e infraestructuras críticas necesarios para el desarrollo social, económico y cultural de cualquier nación. Desgraciadamente, todo este tipo de eventos son cada vez más frecuentes y ya forman parte de nuestro día a día.
Las contraseñas. Un sobreviviente de las batallas frente a la inseguridad de la información
febrero 23, 2013 § Dejar un comentario
El uso de contraseñas se remonta a la antigüedad cuando los centinelas solicitaban el “santo y seña” para lograr el ingreso. Sólo quien contestaba la seña correcta podía tener acceso. En ese entonces, igualmente se mantenía la rutina de cambio del santo y seña, dada la vulnerabilidad propia del conocimiento de la misma bien por su uso cotidiano o por revelación de la misma de manera no autorizada.
De otra parte la palabra símbolo, viene del latin symbolum y del griego σύμβoλoν, que significa signo, contraseña. En la antigüedad un símbolo era un objeto partido en dos, del que dos personas conservaban cada uno la mitad, lo cual servía para reconocer a los portadores y dueños de los compromisos adquiridos.
Como podemos observar, las palabras claves, se han usado desde la antigüedad para mantener el control de la autenticación de al menos dos partes, las cuales aún sin conocerse, son capaces de identificarse y asociarse, para completar una identificación. El secreto de la palabra clave, es el reto más importante del reconocimiento, toda vez que la palabra per se, si bien no representa en sí misma la autenticación, si manifiesta la forma como se reconocerá a la persona que la porta.
Facebook obliga a instalar antivirus para seguir usándolo
febrero 18, 2013 § 4 comentarios
Facebook obliga a instalar software de uno de sus socios comerciales como condición de desbloqueo de las cuentas de sus usuarios.
Estimados, una tranquila tarde de domingo mientras subía una imagen en Facebook, el sistema me expulsa abruptamente obligandome a un nuevo logueo. Casualmente, me dice lo que pueden observar en la primer pantalla.
Resulta que “parece” según Facebook y sus conocimientos sobre mi propio sistema, que mi máquina tiene virus! Parece! No importa, Facebook es tan bueno y solidario, que me dice que me va a AYUDAR. Asombrado,y sin otra alternativa que hacer click en continuar, me sorprendo con esta segunda.
Un buen consejo de seguridad, pero sigue aún sin aportarme nada a la situación, y nuevamente, sin otra opción que continuar. Si bien siempre tengo bastante cuidado en la ejecución de algún tipo de archivo desconocido (más allá de mi propio antivirus de pago y mi firewall), Facebook se encarga de sembrarme la duda… además me pregunto: ¿De donde saca Facebook información sobre mi equipo que le permita llegar a tal conclusión?
Ahora sí! Mirá vos la solución… A Facebook le complace ofrecerme un antivirus que no me interesa, sin costo alguno. Ojo, dice que si yo lo prefiero, puedo eliminar los virus yo mismo! encantado dije, totalmente negado a instalar precisamente un software que no deseo en mi sistema.
Así fue nomás que perdí bastante tiempo escaneando de manera completa mi equipo, sin encontrar nada extraño…
Probé con otro navegador y tampoco pude acceder a mi cuenta de Facebook, siempre bloqueada, y siempre sin otra alternativa para continuar que ese antivirus que ellos amablemente me ofrecen. No! Me fui a buscar mi notebook, un equipo con menos de 2 semanas, prácticamente inmaculado, del cuál no dudaba ni un segundo sobre sus condiciones y resulta que tampoco puedo entrar a mi cuenta, que aún continuaba bloqueada a la espera de instalar el soft de su empresa socia.
Asombrado, y ante la advertencia que descargar el soft implicaba aceptar sus condiciones de servicio, me puse a repasar un poco sus cláusulas (mi lado como abogado quería participar de mi frustación como informático y usuario).
Terminaron siendo unas condiciones de servicio bastante comunes, los clásicos términos para usuario final que tiene casi cualquier software. Lo raro era que en ningún momento explica ni menciona como es que el mismo funciona en cooperación con Facebook…
Tras perder bastante tiempo, y ya tomando el contratiempo como un caso de estudio, me decido a documentar todo e instalar el dichoso soft mágico que prometía resolver todos mis problemas de “virus”.
Al descargar e instalar la aplicación (que vale decir, que al ejecutarla, ni se abre una guía de instalación de soft tradicional, sino que ni siquiera devuelve un cartel de “instalación exitosa”), automáticamente comenzó a funcionar dentro de la propia plataforma de Facebook, una suerte de escaneo online de algunos minutos (menos de 3), algo bastante exiguo como para asegurar que mi sistema realmente no posee ningún tipo de amenza no?
Finalmente, lo que sospechaba desde un principio (!)… resulta que el inicial “parece que tienes un virus” (archiconocido engaño para aquellos que trabajamos en el mundo de la seguridad de la información, precisamente para hacerte instalar algo que no necesitas), termino por transformarse en un “No se encontraron archivos infectados…”
La increíble novela no termina allí, porque hacía falta un gran final, que como sucede en las peliculas, terminara mostrando la imagen completa que termina por hacer comprender el cuadro (si es que realmente era necesario a esta altura).
Sí… como podrán observar, mi cuenta no sólo fue reestablecida, sino que además, mi gran amigo solidario Facebook, me ofrece descargar una suscripción complementaria por seis (si 6 meses!) de este producto, para que mi sensación de seguridad informática, se encuentre satisfecha… Ojo, no es que tengo nada en contra de esta solución de antivirus en particular, era lo mismo cualquiera hubiese sido.
Tras pulsar en el último continuar, finalmente pude acceder a mi cuenta de Facebook tal cuál estaba y como si nada hubiera pasado… Pero algo pasó, y bastante grave y notorio desde mi punto de vista.
Una sensación de impotencia, es lo que me permite describir la situación, que por lo visto en el Facebook Security Oficial, hay miles de personas con el mismo sentimiento. Creo que el caso es una manifestación clara y exacta de como los usuarios somos la moneda de cambio y el activo de estas empresas. Si bien esto no es algo para nada nuevo, la diferencia del caso viene por el nivel de agresividad para imponerte el servicio del socio de turno.
La inexistencia de una alternativa (que busque por todos lados) para no instalar la milagrosa solución ofrecida, muestra como es el nivel de acorralamiento que en cualquier momento, estas empresas pueden hacer con nosotros (digo estas, porque de acuerdo a los términos y condiciones, todos aceptamos la posibilidad que en cualquier momento, podamos ser despojados del servicio, sin más derecho que a la lágrima).
Sólo queda hacer la reflexión sobre la utilización de este tipo de servicios y la manipulación que existe sobre los usuarios como mercancía, más aún como se utiliza la excusa de una posibilidad de infección de virus (algo que por lo general, hace que la gente acepte cualquier cosa que le pongan delante del mouse), utilizada para hacer negocios y vender suscripciones… lo grotezco de la maniobra, decepciona.
Fuente: Abog. Marcelo Temperini
