Aunque en la -antes muy activa- página de noticias del movimiento "No a la Guerra" la última reseña es del año 2003, no nos dejemos engañar, ya que guerras, como las meigas, "haberlas haylas", e incluso hay españoles involucrados en algunas de ellas.

Como en otros aspectos de la actividad humana, Internet se convierte de nuevo en un espejo de la realidad, reflejando en la vida virtual guerras con muertos muy reales...

Estas guerras se llevan a cabo en el ciberespacio, en ocasiones, al margen de los gobiernos que combaten, pero en otros muchos casos, la ciberguerra o la guerra centrada en la red, es llevada a cabo por los militares implicados en las hostilidades.

Nos podemos preguntar ¿cuál es el ambiente que se respira actualmente en los campos de batalla cibernéticos?.

Pues bien, la respuesta es relativamente sencilla, ya que hay una página muy interesante que nos permite contestar esta pregunta, "Zone-H" y que incluso tiene una versión en castellano. En dicha página hay un enlace que nos da acceso al archivo de ataques digitales que, con licencia Creative Commons, nos permite conocer, y con bastante precisión, lo que pasa en el Ciberespacio en cada momento.

Por ejemplo, si seleccionamos la lista Top de atacantes especiales (la que tiene una estrella), tendremos una estadística de los que más páginas han atacado, con el porcentaje de ataques que han realizado por motivos políticos. La mayoría de los ataques de estos grupos son del tipo "Web site defacement", es decir, la modificación de la página principal, para que muestre un determinado mensaje reivindicativo, como éste, llevado a cabo por el grupo afincado en Marruecos Team-Evil, contra la página de la Nissan en Israel y en nombre de los niños Libaneses y Palestinos.

A poco que busquemos entre los grupos que realizan más ataques por motivos políticos, veremos que muchos son árabes o pro-árabes y que atacan preferentemente webs americanas o israelíes, pero no siempre es así. Por ejemplo, entre los grupos más activos, tenemos al italiano dark-underground, que se encuentra en el puesto 17 y tiene un 98,39% de ataques motivados por razones políticas, aunque éstas son de lo más variopinto y colocan en las webs mensajes contra diversas guerras y conflictos, desde Beslan a Irak, pasando por Palestina.

Si nos centramos en los grupos árabes, destaca Team-evil, que está afincado en Marruecos y se encuentra en el puesto 27 del ranking de los más activos, con un 42,77% de ataques generados por motivos políticos. Este grupo de hacktivistas goza de relativa inmunidad, ya que en Marruecos no hay legislación relativa a Internet, por lo que aunque este país pertenece a la Interpol, no persigue este tipo de delitos informáticos y por tanto tampoco concede la extradición por ellos. Ahora bien, hay rumores de que agentes del Mossad, el servicio secreto de Israel, se han desplazado a Casablanca para localizar a estos ciberdelincuentes y desactivarlos. Aunque también se dice que agentes de la CIA les están buscando, pero en este caso se dice que para contratarlos.

Por otra parte, también hay que diferenciar entre hacktivismo y ciberterrorismo, puesto que estos grupos por el momento no persiguen desconectar redes de comunicaciones o eléctricas, ni crear accidentes manipulando los sistemas informáticos que gobiernan sistemas críticos.

Para tranquilidad de todos, hay que señalar, que hasta el momento, no hay documentado ningún ataque ciberterrorista.

Aquí hay un interesante artículo [pdf] que explica la forma en la Team-evil llevó a cabo de sus ataques de "Web site defacement" y aquí, otro interesante artículo sobre las actuaciones de este grupo marroquí.

"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Con fecha 28 de Mayo de 2006, nuestro querido amigo José Manuel, después de poner sobre aviso al personal, tuvo a bien publicar mi artículo titulado "Grave fallo de diseño en PKI compromete las firmas digitales", artículo polémico como ninguno, que cuenta con más de diez mil lecturas y cientos de comentarios en su haber, tanto en Kriptópolis como en otras páginas. Todo un récord...

El artículo, que se mantuvo en portada de Kriptópolis casi una semana, generó opiniones para todos los gustos, y sin contar la de aquellos llegaron al insulto y a la descalificación personal, como si supieran de lo que hablaban, la mayoría de los participantes en el debate optó por alguna de estas tres sensatas opiniones:

* Se trataba un error de diseño del estándar PKI.
* Se trataba de un error de implementación del estándar en las aplicaciones que lo usaban.
* Se trataba de un error de uso por parte de los usuarios, ya que no se deben instalar certificados de varias personas en un contenedor.

No insistiré sobre mi postura, ya que queda bien clara en mi artículo y, como señalo en él, también hice mis deberes, poniendo en conocimiento de los que consideraba más implicados en el problema la existencia del mismo y sus posibles consecuencias.

En resumen, avisé a la AEAT y a la FNMT antes de publicar la información, y una vez publicada, generé informes de bugs para Mozilla, Enigmail y OpenOffice. Pues bien; nada de esto ha servido para nada.

Pero el caso es que alguna de las tres posibilidades anteriores debería ser la cierta, máxime cuando algunos expertos en la materia se apuntaron a una u otra desde el primer momento. Es decir, que aunque yo errase en mi valoración inicial, está claro que algo se debería haber hecho para solucionar el problema y que esa acción debería ser consecuente con alguna de las tres posturas anteriores.

Pues bien; cuatro meses después todo sigue igual, es decir, agua de borrajas.

El agujero de seguridad sigue existiendo, tan grande y espléndido como el primer día, aunque -todo hay que decirlo- mitigado en algo para más de 10.000 personas, que han accedido a mi artículo y se han enterado de forma fehaciente de lo que puede valer un peine, si no tienen cuidado con lo que hacen y se fían de la Administración sin más.

De nada han servido los comentarios, o los miles de lecturas del artículo. Ni siquiera se ha llevado a cabo la solución más sencilla, es decir, la de informar a los usuarios para minimizar el problema. Y lo que es peor, páginas institucionales, como la de la AEAT, en su apartado de preguntas frecuentes sobre los certificados, siguen "aconsejando", esa peligrosa práctica, denunciada en mi artículo, de instalar certificados de varios usuarios en el mismo contenedor de software, algo que sigue siendo obligatorio para declaraciones conjuntas de la Renta.

Es decir, que para los responsables del problema ninguna de las tres opciones aportadas desde estas páginas es o ha sido válida. Pues si es así, señores, necesito saber ¿cuál es la opción válida? ¿qué hay que hacer para evitar este grave problema de seguridad?. Yo lo tengo claro, y supongo que a estas alturas todos los lectores también... ¿O no?.

Nos podemos dividir en dos corrientes; los que consideran que hay que modificar el estándar, o los que viendo que no se puede o no se quiere modificar el estándar, prefieren optar por la necesidad de informar a los usuarios sobre lo que no se debe hacer. Sin duda, ésta es la opción más económica, aunque también es cierto que puede que no sea la mejor, ya que siempre puede haber alguien que no conociendo el problema acabe metiendo la pata.

No deja de ser curioso que, visto lo visto, siga habiendo páginas institucionales que pongan cosas tan peligrosas para el usuario como ésta:

Cuestión 7: ¿Puedo tener más de un certificado instalado en mi navegador?.

Respuesta: Sí, pero habrá que solicitar y descargar un certificado por cada declarante que vaya a presentar la declaración-liquidación por Internet desde dicho navegador.

Lo mismo ocurre con la página Ceres de la FNMT. Aunque ha cambiado de dirección, sigue mostrando la misma información que aparece en mi artículo y, por lo tanto, no advierte de que sea peligroso mantener en un mismo contenedor de software certificados de varios usuarios.

Todo lo dicho anteriormente no sería completo si no dijera que también se comentó que el e-dni vendría a solucionar éste y otros problemas. Pero lo cierto es que los certificados de "software" seguirán existiendo, los usuarios los seguirán usando, y el problema no se soluciona mirando para otro lado.

"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Tal como se comenta en este artículo del Start Tribune [inglés], el Juzgado de Apelaciones de Minneapolis ha decretado que el uso de cámaras de tráfico para multar a los que se saltan los semáforos en rojo es inconstitucional.

El juez ha considerado que obligar al dueño del vehículo a identificar al que lo estaba conduciendo en el momento de cometer la infracción, vulnera la presunción de inocencia consagrada en la Constitución americana...

De esta forma confirma una sentencia anterior del Juzgado de Distrito del Condado de Hennepin, lo que demuestra que en este asunto concreto de las libertades civiles los americanos lo tienen claro.

Algo interesante de valorar, ya que la Ley española se encuentra en el mismo caso y obliga a identificar al conductor del vehículo, en un momento en el que proliferan como setas los radares y sus cámaras asociadas en todas las carreteras españolas.

Estamos ante el eterno dilema. Si en nuestra Carta Magna hay consagrados principios como la presunción de inocencia, el derecho a la intimidad o las limitaciónes al uso de la Informática, ¿cómo se justifica en base a esos principios que en España se obligue a identificar al conductor, tal como se establece en el Art. 72.3 de la LST, bajo pena de infracción grave en su grado máximo?.

Es decir, ¿cuál debe ser el bien jurídico que debe gozar con una mayor protección?, ¿la intimidad y la presunción de inocencia, o la seguridad del tráfico?. Porque aunque la excusa para obrar de este modo sea la protección de la vida, la relación no está tan clara como parece.

Sin embargo, los americanos sancionados tendrán que esperar para recuperar las cantidades recaudadas por este concepto, ya que es necesario que la sentencia sea confirmada por un juez en una corte federal.

"Copyleft 2006 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Los usuarios de Windows XP SP1 deberían saber que hoy, 10 de octubre, finaliza el soporte de esta versión del sistema operativo.

En palabras de Microsoft, "Microsoft no proporcionará más opciones de soporte por incidente o actualizaciones de seguridad para este retirado Service Pack".

La consecuencia es clara, hay que actualizarse, forzosamente a SP2. Algo preocupante, si tenemos en cuenta que hay usuarios que no se actualizaron a PS2 huyendo de los problemas de compatibilidad del parche con algunas aplicaciones.

¿Quién me soluciona este problema? Pagar licencias para luego no poder usar los programas bajo el sistema operativo para el que están diseñados, situación surrealista a más no poder...

Aunque esta vez el paso a la nueva versión es en teoría gratis, no lo fue cuando se hizo necesario el paso a Windows XP desde Windows 98 o ME, al finalizar su soporte "extendido" el pasado 11 de julio de 2006.

Digo que en teoría es gratis, ya que es posible que eso también nos obligue a "actualizar" algunas versiones de nuestros programas o hardware, para que mantengan la necesaria compatibilidad con el SP2.

En la página web del fabricante: "Microsoft recomienda que los usuarios que siguen utilizando Windows 98 o Windows Me migren a un nuevo y más seguro sistema operativo, como Windows XP, lo antes posible."

Bueno, yo hice otra cosa muy distinta: dejé "morir" mi licencia de Windows 98 (y de eso hace ya varios años) y comencé a usar Linux como único sistema operativo. Digo que la dejé "morir", ya que tras instalar una nueva placa base con un chipset más moderno, por culpa de un incendio en mi ordenador, Windows 98 no volvió a arrancar nunca más, ni siquiera instalando los controladores de la nueva placa, por lo que no perdí más tiempo con ello. Algo que no pasó con mi partición Linux, que arrancó a la primera, tras unos mensajes de que se había detectado nuevo hardware y de que se realizaban los cambios en la configuración de mi sistema.

Bueno; ahora me hago la siguiente pregunta: ¿tenemos que entender, que a pesar de las actualizaciones de seguridad realizadas hasta esa fecha de cese del soporte de Windows 98 o ME, estos sistemas seguían sin ser seguros?, duda espeluznante donde las haya. El caso es que hasta el momento de aparecer en el mercado la alternativa del Windows XP, no tenía constancia de que Microsoft dijera nunca que Windows 98 o ME fueran inseguros, algo que me hace pensar y mucho.

Al igual que lo anterior, también me hace pensar el hecho de que Microsoft se negó a reparar un grave fallo de seguridad que afectaba a los dos sistemas operativos anteriores, y en su momento, también hizo lo mismo con Windows NT, que por cierto, tampoco tiene soporte desde el 31 de diciembre de 2005.

Algo curioso, ya que es relativamente frecuente encontrar en algunos cajeros automáticos, a fecha de hoy, mensajes de error de Windows NT, de Windows 98 o de un sorprendente y raro superviviente: OS/2. No es menos sorprendente, que los fabricantes de cajeros automáticos, no hayan aprendido nada y se sigan decantando por Windows, en esta ocasión en su versión XP, para sus soluciones "más actualizadas".

Con esto solamente quiero decir que el soporte para sistemas propietarios, a pesar del enorme precio que se paga por las licencias, deja mucho que desear, sobre todo en lo que se refiere a la garantía de que habrá continuidad y calidad en los parches de seguridad, o en que mantenernos actualizados en seguridad no nos costará un dineral.

Pero no nos engañemos: en esto está el negocio. En muchas ocasiones, mantener la seguridad, o una falsa sensación de seguridad, no se puede realizar sin el desembolso económico que supone el paso a la siguiente versión del sistema operativo propietario.

Es evidente que en el caso de los sistemas operativos libres, esto no ocurre, al menos, no de este modo tan drástico.

Mientras la versión está "viva", por ejemplo Mandriva 2006, las actualizaciones están disponibles en la web del fabricante, y la actualización a la siguiente versión, por ejemplo la 2007 que ya está disponible para descarga, es poco más que una actualización de una mayor entidad, pero no muy diferente a las parciales que se han venido haciendo antes.

He de decir, que en ningún caso, después de más de 7 años con Mandrake/Mandriva, en los que habré realizado unas 5 actualizaciones mayores de mi sistema Linux, las actualizaciones nunca me han supuesto el perder el acceso a mis datos, o problemas de compatibilidad con el hardware, puesto que las incompatibilidades con el software no proceden, al ser actualizados automáticamente todos los paquetes instalados en el sistema. Como mucho, he tenido que actualizar algunas configuraciones, por cambios menores en las opciones disponibles, pero nada grave.

Con todo esto, solamente me queda recomendar el uso de sistemas operativos y aplicaciones libres. Es sin duda la opción más razonable y económica, sobre todo en entornos corporativos o de la Administración, pero, como todo, es una opinión muy particular y discutible, pero que viene de un feliz usuario de software libre.

"Copyleft 2006 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"