Newsletter 2: 15 de enero de 2024 (en español)

Martijn Grooten

5 min read

Gracias por leer este boletín. Si alguien te envió este boletín, es muy
amable de su parte. No olvides darle las gracias. Puedes
suscribirte aquí para recibir el boletín en tu bandeja de entrada.

Martijn
(martijn@lapsedordinary.net)

No sé mucho de historia

La semana pasada platiqué con Tom Uren y The Grugq del podcast Between
Two Nerds de Risky Business. Para la ocasión, lo renombraron Between
Three Nerds. Platicamos sobre la historia de la seguridad en TI, y en
particular sobre el malware y los virus.

Fue un gran honor haber sido invitado al podcast y disfruté mucho hablar
sobre la historia de la seguridad. Me dolió un poco que me llamaran un
"veterano del antivirus" (es decir, soy viejo, pero no tanto), pero es cierto
que tengo algunos años de experiencia y he visto cómo han cambiado
bastante nuestras actitudes hacia la seguridad.

El mundo está cambiando contantemente y así también lo hace la seguridad
digital. Entender estos cambios y conocer un poco de su historia es muy útil
si trabajas en este campo. Te ayuda a evaluar críticamente y comprender
los consejos de seguridad que a menudo se dan y las opiniones imperantes
de las personas sobre este tema.

Por ejemplo, las filtraciones del ex-empleado de la NSA Edward Snowden
en 2013 llevaron a muchas personas a dejar de utilizar los servicios de
empresas estadounidenses, ya que parecía que todos los datos a los que
estas empresas tenían acceso terminarían en manos de la NSA. La realidad
es más compleja, en parte porque las agencias de inteligencia de muchos
otros países son peores y, además, porque la NSA no está en el modelo de
amenazas de todas las organizaciones.

Otro ejemplo, es la conocida advertencia contra el uso de redes WiFi
públicas sin tener una VPN activada, consejo que se repite una y otra vez.
El consejo fue válido durante un tiempo, ya que la adopción del protocol HTTPS fue lenta y, por lo mismo, cuando no se usaba, otras personas que
estuvieran conectados en la misma red que tú podían ver tu tráfico de red.

Sin embargo, actualmente, el protocolo HTTPS es utilizado por casi todos
los sitios web (e incluso los navegadores te permiten bloquear los sitios que
no lo usan), por lo que para la mayoría de las personas, no debería ser un
problema revisar su correo electrónico, o incluso iniciar sesión en su cuenta
de banca en línea desde una cafetería o en la sala de espera del
aeropuerto. Al menos yo lo hago sin preocuparme. Entiendo que las
personas con un perfil de alto riesgo todavía quieren usar una VPN, ya que
sus modelos de amenazas suelen ser bastante complejos, pero incluso en
su caso, ese no sería mi principal consejo de seguridad.

Si eres relativamente nuevo en el campo de la seguridad digital, este
espacio puede ser bastante abrumador en sí mismo, y eso sin tener en
cuenta su historia. Aún así, no es necesario que la conozcas toda. Sin
embargo, de vez en cuando, no hace daño preguntarse o preguntarle a los
demás, por qué se hacen las cosas de cierta manera y no de otra. No todo
lo que se hace tiene una razón detrás que sigue siendo válida.

¿Qué más?

Bellingcat creó una herramienta que utiliza Wayback Machine para rastrear
tokens históricos de Google Analytics y explica cómo utilizarlos
para vincular sitios de noticias falsas entre sí. Es una herramienta muy
pulcra que funciona tal cual como está anunciada. También podría funcionar
para hacer investigaciones web de otra índole, aunque sospecho que muy
pocos sitios de malware y phishing utilizan Google Analytics.

La empresa de seguridad Sucuri publica regularmente guías claras y
concisas para proteger sitios web, te recomiendo que las leas si te dedicas
a eso. En una de las recientes publicaciones de su blog, analizan el
"principio del menor privilegio" (es decir, dar a las cuentas de usuario no
más accesos de los que necesitan, en lugar de que todos tengan privilegios
administrativos), que es un tema relevante no solo para sitios web, sino para
cualquier sistema o red que tenga varios usuarios.

En el 37º Chaos Communications Congress, Roger Dingeldine de el
proyecto de Tor, hizo una presentación sobre los intentos de censurar Tor en
Rusia, Irán y Turkmenistán, así como los cambios que tuvo que hacer el
proyecto para permitir que las personas en estos países pudieran seguir
utilizando este servicio para acceder a servicios prohibidos. La presentación comienza con una larga introducción a Tor que puede ser útil si no estás
demasiado familiarizado con su funcionamiento o si solo quieres un buen
repaso. Ah, y si no quieres ver el video que dura una hora, las diapositivas
de Roger son bastante detalladas y son lo suficientemente buenas como para
entender la esencia de su charla.

El Software Freedom Law Center de la India (SFLC.IN), en asociación con
la Unesco, publicó una guía muy útil en cuatro idiomas (inglés, hindi, maratí y
malayalam) con consejos para la defensa de los espacios en línea contra la
violencia de género en línea. Si bien este es un problema a nivel global y
las diversas referencias al código legal de la India lo hacen principalmente
útil para aquellos que viven en ese país, también es probable, por lo mismo,
que sea más útil que una guía genérica.

Filterwatch, un proyecto del Miaan Group, obtuvo una aplicación utilizada
por la policía en Irán para hacer cumplir el hiyab. Al analizar la aplicación,
descubrieron funciones ocultas en la misma que sugieren que la aplicación
podría usarse en un futuro para denunciar otro tipo de infracciones como
beber alcohol o participar en una protesta.

The Markup está publicando un blog que llaman ‘Gentle January’, en el que
comparten un consejo de privacidad simple y práctico todos los días.
Muchos de los consejos serán familiares para quienes trabajan en
seguridad digital y aunque no estoy de acuerdo con todos sus consejos
(rara vez le recomendaría a alguien compre un nuevo enrutador), me gusta
su enfoque "amable" y creo que es la actitud correcta hacia la seguridad y la
privacidad.

Cosas no relacionadas con la seguridad

Un libro que disfruté: Phrohet Song de Paul Lynch (ganó el Booker Prize el
año pasado) cuenta la historia de una madre de cuatro hijos en una Irlanda
donde un régimen totalitario ha tomado el poder, y las decisiones que ella y
los miembros de su familia tienen que hacer. Al principio estaba un poco
escéptico con la novela (es decir, hay muchos ejemplos del mundo real que
se pueden usar para contar la misma historia), pero tal vez porque Irlanda
parece ser uno de los países menos probables para que esto suceda, es
una historia poderosa. Además de eso, Lynch (cuyas obras no conocía)
tiene una prosa densa y poética, lo que la convierte en una lectura lenta
pero muy gratificante.

Una canción que me gusta: creo que solo conocía a los alemanes Lassie
Singers por su nombre cuando el año pasado Spotify me sugirió que
escuchara Hamburgo, una canción de hace más de treinta años
(YouTubeSpotify). Terminó siendo una de mis canciones más escuchadas
en 2023. Tengo una debilidad por las canciones de pop sencillas y con voz
femenina, pero fuera de eso, esta canción captura muy bien la sensación de
viajar por Alemania Occidental en su música y letra. Visité Hamburgo por
última vez en 2004 y creo que debería volver a la ciudad donde en el puerto
duermen los peces y los barcos.

Read more