La herramienta MBSA ha sido actualizada a la versión 2.1. Las principales novedades respecto de la versión 2.0.1. es que proporciona soporte para Windows Vista y Windows Server 2008. La nueva versión se encuentra en Microsoft Baseline Security Analyzer 2.1

También cabe destacar la aparición del conector para Visio 2007 del MBSA. Este complemento permite colorear un dibujo de red, identificando aquellos equipos que menos actualizados se encuentran. PAra ello es necesario crear un diagrama de red con Visio y proporcionar como datos el nombre de red e IP. La imagen ilustra qué tipos de resultados se producen.



Se puede obtener de aqui.

Según Recovery Labs (http://www.recoverylabs.com) compañía especializada en el desarrollo y comercialización de aplicaciones y servicios de recuperación de datos, borrado seguro y peritaje informático, el número de solicitudes de peritaje informático para investigar fugas intencionadas de información, ha aumentado considerablemente con respecto al año anterior.peritaje informático. Se trata del dato más llamativo al comparar los motivos [...]

“Piensa antes de copiar” es un programa educativo gratuito diseñado para hacer que los estudiantes de escuelas primarias y secundarias tomen conciencia sobre el Derecho de Autor y refuercen el comportamiento responsable en Internet.  Business Software Alliance (BSA), la principal organización dedicada a promover un mundo digital seguro y legal, presentó en Perú el programa “Piensa [...]

Recordando la famosa frase de Sun Tzu "Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado." hoy aparece referenciado via FayerWayer una primera imagen de los grafos que construyen las redes botnets que se construyen con equipos zombies.

Tal como explica la Wikipedia, "Botnet" es un término que hace referencia a una colección de software robots, o bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Sus fines normalmente son poco éticos.

El experto en seguridad informática David Voreland mapeó computadores infectados y los que los controlan para poder visualizar la topología de estas redes de computadores zombies infectados que terminan siendo usados para ataques DDoS, spamear y robo de identidad.

El artículo aparece publicado en la revista CSO online y presenta mediante una aplicación flash un grafo navegable al estilo Google Maps que permite recorrer el gráfico por zonas y ir subiendo y bajando en la profundidad de la imagen.

Una vez que la amenaza tiene rostro quizás se abren ahora nuevas estrategias para mitigarlas ya basadas en teorías de grafos. Siempre he pensado que la seguridad informática es un campo al que aplicar teoría de redes sociales tratando de identificar los nodos que puedan hacer caer la botnet. Uno de los libros más conocidos entorno a las teorías de redes es "Linked: How Everything Is Connected to Everything Else" de Albert-László Barabási publicado en 2002 con ISBN 0-452-28439-2.

Tal como aparece en Wikipedia, "Barabási ha descubierto que los sitios web que forman la red (de la WWW) tienen ciertas propiedades matemáticas. Las condiciones para que se den estas propiedades son tres. La primera es que la red se debe de estar expandiendo, creciendo. La precondición de crecimiento es muy importante, ya que la idea de emergencia la acompaña. La red está en constante evolución y adaptación. Esta condición es considerablemente apreciable en la World Wide Web. La segunda es la condición de enlazamiento preferencial, es decir, los nodos (sitios web) preferirán enlazarse a conectores (sitios web que poseen las mayores conexiones). La tercera condición es lo que se llama idoneidad competitiva, lo que en términos de red significa su tasa de atracción".

Bien utilizadas, estas teorías pueden proporcionar herramientas importantes a la seguridad de la información si consideramos un sistema como un grafo (en concreto un arbol) como suelo pintar en mis presentaciones como ya expliqué en este post.

A diario recibimos correos no deseados que nuestras aplicaciones antispam se encargan adecuadamente de eliminar. Sin embargo, cuando se trata de mensajes cadena enviados por nuestros contactos, las soluciones técnicas ya no funcionan tan bien. Los filtros antispam suelen utilizar algoritmos para tratar de valorar, según el contenido, asunto y origen si un correo es spam o no.

Esos "solidarios" mensajes cadena enviados por nuestros conocidos suelen saltar este tipo de vallas puesto que no cumplen las reglas comunes del spam: están escritos en nuestro idioma y contienen direcciones válidas o de confianza. En si mismos, no suelen ser un peligro potencial de forma directa, o sea, por leerlos no suele pasar nada. De forma indirecta, y en función del contenido, sí pueden producir mucho más daño. Ya dependerá del objetivo que persiga el mensaje. Podemos distinguir varios:

• Solo hacer perder el tiempo


• Hacer que la gente envie algo a algún sitio para saturar el servidor de correo destino


• Desprestigiar o atentar contra el honor de una persona u organización


• Intentar, por ingeniería social,que la gente proporcione información sensible (direccciones de correo, numeros de cuenta, contraseńas, etc)

Dado que supone una pérdida de tiempo, y el hecho de reenviarlos no aportan ningún beneficio, sólo conseguir hacer trabajar a los servidores de correo, como consejo intentaría que antes de hacer un "reenvio compulsivo" pensar si el contenido es realmente de interés.

Suelen apelar a motivos humanitarios porque de esa forma es mas fácil sensibilizar a las víctimas y hacer que se colabore en la difusión. Los motivos alegados suelen ser de lo mas variopinto y no suele haber ningún tipo de escrúpulos a la hora de utilizar temas como la gravedad de un enfermo, evitar enfermedades, salvar una vida o hacer ingresar dinero. A continuación, trato de identificar algunas reglas básicas para identificar este tipo de correos:

• Algunos dicen en su texto que ESTE NO es una mentira (o una cadena, o una leyenda urbana, o lo que aplique)


• La mayoría pide explícitamente dentro de su texto que es necesario pasarlo al menos a n personas para tenga efectividad, cuantas más, mejor.


• Hay que mandar una copia del correo a una cuenta en especial, que generalmente no existe o el originador de la cadena lo hace precisamente para llenar el buzón de la víctima.


• Tienen títulos o contienen frases como "Por si las dudas, mas vale creer", apelando al sentido común de la gente.


• Promenten ingresos a algún beneficiado gracias a tu solidaridad dado que por cada dirección a quien se envíe, se ingresará una cantidad de dinero.

La principal molestia que causan los mensajes cadena es que ponen en peligro tu dirección de correo frente al spam como muestra la imagen.


Si no eres tú quien envía el mensaje en cadena pero tu dirección aparece entre los receptores, yo como primera acción suelo responder amablemente al origen demostrando que el contenido se trata de un rumor (también calificado en ingles como Hoax). Para ello, la medicina es bien sencilla: copiar o parte del asunto o parte del contenido en Google y buscar, a ver que sale. Cuando se trata de rumores, normalmente las primeras entradas corresponden a páginas de empresas antivirus o antispam que comentan que dicho contenido es un Hoax.
Incluso las casas antivirus ya disponen de secciones donde enumeran todos los mensajes cadena que tienen identificados:
- Symantec-Hoax list.
- VS-Antivirus Hoax.

Por tanto, si no quieres que tu cuenta de correo reciba spam, trata de no publicarla o enviarla como dato en sitios cuya confianza y reputación no esté garantizada. Sigue estas pautas:

• No publicar en foros de news tu dirección, o si lo tienes que hacer, introducir caracteres que alteren la dirección para cuando se busquen direcciones dentro de páginas webs, no se consiga tu dirección correcta.
  Ejemplos: midirección_NOSPAM@email.com, NO_midirección_SPAM@email.com, midirección'arroba'email.com, midirección'at"email.com.
  
• No ser origen de mensajes cadena en donde aparezcan dibujos o webs, ya que vía programación web, alguien puede conseguir tu dirección.

Para saber como de comprometida está tu dirección de correo haz una sencilla prueba. Busca con Google tu cuenta de correo. Si la encuentras,malo ...malo. El problema es que una persona no tiene absoluto control sobre el uso de su dirección de correo, ya que todos tus contactos pueden ser a veces los que cometan las imprudencias que revelen cual es tu dirección.

Por tanto, para todos aquellos de dedo rápido que pulsan antes de pensar, tener en cuenta que no sólo vuestra dirección de correo es la que se verá afectada. Estáis comprometiendo también la de vuestros contactos. Hay que ser conscientes de que la dirección de correo es en muchos casos un dato de carácter personal, por tanto "I love data protección".


Sería también deseable que en las empresas y organismos se enseñaran cuales son las buenas prácticas en el uso del correo electrónico. En empresas grandes se están dando cuenta de la influencia que tiene el uso del correo en la improductividad y están empezando a concienciar al personal respecto al uso más adecuado.

El término Netiquette (la etiqueta de la Red) designa a un conjunto de reglas para el buen comportamiento en Internet. Hay reglas para los distintos servicios de Internet (listas de discusión, IRC, FTP, etc.). Las que siguen son algunas de las reglas para aplicar al correo electrónico:

1) Identificación clara del remitente y el destinatario
En una casa u oficina, puede ocurrir que varias personas utilicen la misma computadora y la misma cuenta de mail.
Por lo tanto:
- Debemos escribir el nombre de la persona a la que va dirigido el mail.
- También debemos firmarlo.
No es agradable recibir un mail que diga solamente "el envío fue despachado ayer".

2) Privacidad
El mail no es tan privado como parece.
Debemos tener cuidado con lo que escribimos. Otras personas pueden leerlo.

3) Del otro lado hay seres humanos
No olvidar que, aunque estemos mirando un monitor, lo que estamos escribiendo lo recibirá una persona. Si recibimos un mail que nos disgusta, lo mejor es esperar al día siguiente para contestarlo y no escribir algo de lo que después nos arrepintamos.


4) Cadenas
No reenviar ninguna cadena de solidaridad. La mayoría son falsas. Si querés colaborar con gente que lo necesita, te propongo que te pongas en contacto con instituciones serias que pueden canalizar tu inquietud.
Seguramente encontrarás alguna forma de ayudar en esta lista de instituciones.


5) Mensajes publicitarios no solicitados (spam)
No enviar nunca mensajes publicitarios no solicitados.
Si querés promocionar tu negocio o tu página web, conseguí las direcciones de forma lícita, por ejemplo, poniendo un formulario en tu página o creando un boletín.
Es muchísimo más valioso tener una lista opt in (o sea, de personas que se suscribieron voluntariamente) de 500 o 1.000 direcciones que 1 millón de direcciones de personas a las que no les interesa nuestro negocio.
Por eso, para preservar la privacidad de todos en la red, jamás compres o vendas direcciones de mail.


6) No responder ningún mensaje no solicitado
No responder ningún mensaje no solicitado ni siquiera con la palabra REMOVE o UNSUSCRIBE ya que respondiendo estamos diciendo que nuestra dirección es válida.
Los spammers utilizan esta técnica para confirmar las direcciones con lo cual, en vez de dejar de recibir mensajes, comenzamos a recibir más.

7) Subject o Asunto
No envíes un mensaje sin Subject.
En el Subject o Asunto, describí breve y claramente el contenido del mail.

8) ¿De qué estás hablando?
No respondas un mail diciendo solamente "OK" o "Yo no".
Explicá en forma concisa de qué estás hablando.


9) No incluir todo el mensaje original en la respuesta
No incluyas, en la respuesta a un mensaje, todo el mail original.
Suprimí todo lo que no sirva, dejando solamente lo necesario para darle contexto a tu respuesta.

10) Reenviar mensajes
Si recibís un mail y querés reenviarlo asegurate de borrar todas las direcciones que aparecen en el mensaje.

11) Enviar un mensaje a un grupo
Utilizá el campo "CCO" o "BCC" para escribir las direcciones cuando quieras enviar un mail a varias personas.
De esta manera evitás que todos conozcan las direcciones del resto de la lista.

Tras la entrada en vigor el pasado 19 de abril del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, aprobado por el Consejo de ministros el 21 de diciembre, Áudea Seguridad de la Información participa en la “Jornada sobre la puesta en marcha del nuevo Reglamento de la LOPD”, el próximo 5 [...]

Se ha dado a conocer el software OSSEC, un detector de intrusos de host(HIDS) que permite la correlación de eventos y el análisis de logs, chequeos de integridad de ficheros, monitorización del registro en máquinas windows, detector de rootkits y un sistema de alertas en tiempo real instalable en las plataformas Linux, OpenBSD, FreeBSD, MacOS, Solaris y Windows.

Es un producto freeware bajo licencia GNU General Public License (version 3). Para conocerlo mejor, podéis acceder almanual. Quien decida probar el producto, lo puede descargar en OSSEC.

En el blog de Mercé Molist aparece una entrevista a Mar Monsoriu sobre el uso de Internet y las tecnologias por parte de los menores y la verdad es que se ponen los pelos de punta porque los padres sin conocimientos técnicos adecuados pueden no ser conscientes de los riesgos a los que exponen a sus hijos. No es la primera vez que en el blog se trata este tema desde la perspectiva tecnica y la sugerencia de ciertas herramientas de control parental.

Lo queramos o no Internet es un riesgo ("Una causa que puede tener una consecuencia"). Potencialmente es la mayor biblioteca de Alejandría que jamás ha podido existir pero en la realidad sus usos dependen principalmente de la madurez del usuario que se sienta frente al teclado y en este sentido, los niños son absolutamente vulnerables. A ello se suma la interactividad con otros usuarios, que pueden inducir al menor a comportamientos no adecuados. El video que colgó la campaña SafenetII es bastante ilustrativo.

De la entrevista que puede ser leida completamente en
Entrevista Mercé Molist a MAR MONSORIU: "LOS NIÑOS ESTÁN SUBYUGADOS POR LA TECNOLOGÍA" selecciono los trozos más relevantes:

"Internet ha cambiado los hábitos y, a veces, la vida de numerosas personas adultas, pero lo que está provocando en los niños es un maremoto de dimensiones no sólo imprevisibles sino también desconocidas por sus padres y educadores. Chicos que pasan horas "videojugando", niñas que chatean cuando su familia duerme... Ni cortándoles los cables del ordenador es posible echarlos del ciberespacio".

"Una niña de 14 años me preguntó: 'Si no debemos añadir a desconocidos en el Messenger, ni bajarnos películas del eMule, ni poner nuestra foto en Fotolog, ¿para qué nos sirve Internet?' Con eso y los videojuegos se resume lo que más interesa a los preadolescentes".

"La mayoría de padres y profesores no saben qué es una red social, ni que sus hijos cuentan su vida minuto a minuto en Twitter. A veces tengo la sensación de que viven en diferentes galaxias. De hecho, muchos hijos suelen tener una doble vida, un perfil 'artístico' con el que se mueven en Internet y del que sus padres no conocen ni el "nickname".

"No se les pasa por la cabeza que su hija se desnuda de cara a la webcam. Todos piensan: 'Mi hija, no'. Y tampoco se imaginan que sus hijos de 11 años queden en persona con desconocidos del Messenger. Los niños viven la red de un modo muy distinto al de los padres, la mayoría van por libre sin ningún tipo de criterio ni guía".

El libro ofrece recursos para ayudar a:

• Limitar el tiempo de acceso a Internet.


• Decidir qué programas se instalan en el ordenador e impedir que se instalen nuevos programas sin autorización.


• Supervisar las páginas Webs que visitan los hijos.


• Controlar las relaciones que establecen los hijos por la Red.


• Vigilar, con el único objetivo de protegerles, lo que escriben en el Messenger y otros chats, correos electrónicos, foros, o blogs.


• Ver lo que están haciendo los hijos en su ordenador, desde cualquier
  otro ordenador (acceso remoto).

El libro puede ser adquirido en Cómo... Técnicas de Hacker para Padres

La semana pasada tuvo lugar en Kyoto una reunión del Subcomité 27 de ISO para seguir avanzando en la elaboración de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:

• ISO/IEC 27000 - proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.


• ISO/IEC 27001:2005 - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI).Publicada en 2005.


• ISO/IEC 27002:2005 - Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.


• ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.


• ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.


• ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve a lo largo del año.


• ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.


• ISO/IEC 27007 será una guía para auditar SGSI.


• ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.


• ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.


• ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051)


• ISO/IEC 27031 estará centrada en la continuidad de negocio
• 
  
• ISO/IEC 27032 será una guía para la cyberseguridad.


• ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.


• ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.


• ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.

La Agencia Española de Protección de Datos (AEPD)  ha sancionado con una multa de 150.000 euros a una clínica ginecológica de Bilbao por considerar que no "ha custodiado con el debido sigilo" los datos de 11.300 pacientes que acabaron circulando por Internet. El problema se debió a que uno de los empleados de la clínica utilizaba [...]

Ya está accesible el número 16 de la revista (In)secure Magazine. Los contenidos de este ejemplar son:
- Security policy considerations for virtual worlds
- US political elections and cybercrime
- Using packet analysis for network troubleshooting
- The effectiveness of industry certifications
- Building a secure future: lessons learned from 2007's highest-
profile security events
- Advanced social engineering and human exploitation, part 2
- Interview with Nitesh Dhanjani, Senior Manager at Ernst & Young
- Is your data safe? Secure your web apps
- RSA Conference 2008
- Producing secure software with security enhanced software
development processes
- Network event analysis with Net/FSE
- Security risks for mobile computing on public WLANs: hotspot
registration
- Black Hat Europe 2008 Briefings & Training
- A Japanese perspective on Software Configuration Management
- Windows log forensics: did you cover your tracks?
- Traditional vs. non-tranditional database auditing
- Payment card data: know your defense options

El documento está accesible en Numero 16 (In)secure Magazine.

Ya está accesible el número 16 de la revista (In)secure Magazine. Los contenidos de este ejemplar son:
- Security policy considerations for virtual worlds
- US political elections and cybercrime
- Using packet analysis for network troubleshooting
- The effectiveness of industry certifications
- Building a secure future: lessons learned from 2007's highest-
profile security events
- Advanced social engineering and human exploitation, part 2
- Interview with Nitesh Dhanjani, Senior Manager at Ernst & Young
- Is your data safe? Secure your web apps
- RSA Conference 2008
- Producing secure software with security enhanced software
development processes
- Network event analysis with Net/FSE
- Security risks for mobile computing on public WLANs: hotspot
registration
- Black Hat Europe 2008 Briefings & Training
- A Japanese perspective on Software Configuration Management
- Windows log forensics: did you cover your tracks?
- Traditional vs. non-tranditional database auditing
- Payment card data: know your defense options

El documento está accesible en Numero 16 (In)secure Magazine.

De nuevo la gente de Infosecwriters nos dejan un interesante documento que afronta el tema de la virtualización y la seguridad de la información.
El texto de 19 hojas trata sobre las ventajas de la virtualización, las características de los productos VMware y Microsoft Virtual Server y las consideraciones en materia de seguridad de la información a tener en cuenta.
El documento puede ser descargado en "Server Virtualization Products and Information Security"

De nuevo la gente de Infosecwriters nos dejan un interesante documento que afronta el tema de la virtualización y la seguridad de la información.
El texto de 19 hojas trata sobre las ventajas de la virtualización, las características de los productos VMware y Microsoft Virtual Server y las consideraciones en materia de seguridad de la información a tener en cuenta.
El documento puede ser descargado en "Server Virtualization Products and Information Security"

De nuevo la gente de Infosecwriters nos dejan un interesante documento que afronta el tema de la virtualización y la seguridad de la información.
El texto de 19 hojas trata sobre las ventajas de la virtualización, las características de los productos VMware y Microsoft Virtual Server y las consideraciones en materia de seguridad de la información a tener en cuenta.
El documento puede ser descargado en "Server Virtualization Products and Information Security"

Aparece hoy en el Navegante publicada la contestación de Carlos Sánchez-Almeida a la pregunta sobre el valor del documento digital ante la Justicia.
El texto integro puede ser consultado en Privacidad y nuevas tecnologías « Mundo Binario

A continuación extracto las partes que considero más interesantes:
El documento digital en las leyes
"Tradicionalmente, los documentos han estado siempre vinculados con un determinado soporte al que se incorpora su contenido. Esta circunstancia no ha cambiado, puesto que por muy digital que sea un documento, en el Juzgado siempre habrá de aportarse en un soporte físico, bien sea un papel donde se imprime el correo electrónico, bien sea en un DVD donde se incorpora el código fuente de un programa.

De todas formas, no puede decirse que la legislación no prevea ya la virtualidad de los documentos electrónicos, puesto que son numerosas las normas que, de una u otra forma, aluden a esta figura. Por ejemplo, la regulación de la factura electrónica, que la reciente Ley de Impulso de la Sociedad de la información define en su artículo 1 como el "documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que impide el repudio de la factura por su emisor".


La prueba del correo electrónico
La normativa no establece qué requisitos ha de tener el correo electrónico, como tal, para que sea admisible en juicio y en la práctica pueden darse diferentes supuestos sobre el grado de 'eficacia probatoria' de lo que se aporte al Juzgado.
En relación con el correo electrónico habría que probar dos cosas: la efectividad del envío y el contenido del mensaje.

La efectividad del envío, es decir, que desde una determinada máquina se ha remitido un correo con destino a otra, puede acreditarse de diversas formas, dado que el correo atraviesa las máquinas de diferentes proveedores. Así, si se utiliza un sistema de correo de una tercera persona, como Gmail o Hotmail, o un servidor de correo independiente del emisor, las empresas responsables del servicio puede acreditar diferentes extremos sobre el correo, que podrían considerarse elementos probatorios suficientes como para acreditar su existencia.

Cuestión distinta será acreditar el contenido. Cuando no exista un tercero de confianza, lo que se conseguirá es un resultado análogo a la remisión de una carta certificada, pudiéndose probar exclusivamente quien mandó la carta y quien era el destinatario, pero no el texto de la misma.


Prueba de páginas web
Es cada vez más habitual la necesidad de aportar a juicio una determinada información presente en páginas web, que constituye en no pocas ocasiones, 'el cuerpo del delito'.

Entre las tremendas carencias del sistema judicial español, destaca sobremanera el apego reverencial al documento escrito, y la proverbial ineficacia de los archivos en papel, extremo éste que la reciente huelga de funcionarios de justicia ha puesto trágicamente de manifiesto. Oficinas decimonónicas, atestadas de legajos, ofrecen una imagen de la justicia muy lejana de la que reclama la sociedad del siglo XXI.

Los jueces consideran poco menos que sagrados los documentos en papel, y en no pocas ocasiones la prueba de páginas web se ha de llevar a cabo mediante aportación impresa de dichas páginas. Muchos abogados nos hemos encontrado con una negativa cuando se ha planteado como prueba la aportación a la Sala de Vistas de un ordenador con conexión a Internet, algo imprescindible cuando la materia objeto de prueba son hiperenlaces: a dónde lleva un clic de ratón puede ser imposible de probar mediante una hoja de papel, especialmente cuando al juez de turno la programación html le suena a música celestial.

El derecho constitucional al juez predeterminado por la ley tiene sus ventajas y sus inconvenientes, no siendo el menor la peculiar lotería sobre los conocimientos informáticos del juzgador. Como nunca se sabe si nos va a tocar una magistrada puesta al día, o un Júpiter pretecnológico, resultará recomendable siempre levantar acta notarial que acredite el funcionamiento de la página web en cuestión. A falta de fe en la tecnología, siempre nos quedará la fe pública.

Aparece hoy en el Navegante publicada la contestación de Carlos Sánchez-Almeida a la pregunta sobre el valor del documento digital ante la Justicia.
El texto integro puede ser consultado en Privacidad y nuevas tecnologías « Mundo Binario

A continuación extracto las partes que considero más interesantes:
El documento digital en las leyes
"Tradicionalmente, los documentos han estado siempre vinculados con un determinado soporte al que se incorpora su contenido. Esta circunstancia no ha cambiado, puesto que por muy digital que sea un documento, en el Juzgado siempre habrá de aportarse en un soporte físico, bien sea un papel donde se imprime el correo electrónico, bien sea en un DVD donde se incorpora el código fuente de un programa.

De todas formas, no puede decirse que la legislación no prevea ya la virtualidad de los documentos electrónicos, puesto que son numerosas las normas que, de una u otra forma, aluden a esta figura. Por ejemplo, la regulación de la factura electrónica, que la reciente Ley de Impulso de la Sociedad de la información define en su artículo 1 como el "documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que impide el repudio de la factura por su emisor".


La prueba del correo electrónico
La normativa no establece qué requisitos ha de tener el correo electrónico, como tal, para que sea admisible en juicio y en la práctica pueden darse diferentes supuestos sobre el grado de 'eficacia probatoria' de lo que se aporte al Juzgado.
En relación con el correo electrónico habría que probar dos cosas: la efectividad del envío y el contenido del mensaje.

La efectividad del envío, es decir, que desde una determinada máquina se ha remitido un correo con destino a otra, puede acreditarse de diversas formas, dado que el correo atraviesa las máquinas de diferentes proveedores. Así, si se utiliza un sistema de correo de una tercera persona, como Gmail o Hotmail, o un servidor de correo independiente del emisor, las empresas responsables del servicio puede acreditar diferentes extremos sobre el correo, que podrían considerarse elementos probatorios suficientes como para acreditar su existencia.

Cuestión distinta será acreditar el contenido. Cuando no exista un tercero de confianza, lo que se conseguirá es un resultado análogo a la remisión de una carta certificada, pudiéndose probar exclusivamente quien mandó la carta y quien era el destinatario, pero no el texto de la misma.


Prueba de páginas web
Es cada vez más habitual la necesidad de aportar a juicio una determinada información presente en páginas web, que constituye en no pocas ocasiones, 'el cuerpo del delito'.

Entre las tremendas carencias del sistema judicial español, destaca sobremanera el apego reverencial al documento escrito, y la proverbial ineficacia de los archivos en papel, extremo éste que la reciente huelga de funcionarios de justicia ha puesto trágicamente de manifiesto. Oficinas decimonónicas, atestadas de legajos, ofrecen una imagen de la justicia muy lejana de la que reclama la sociedad del siglo XXI.

Los jueces consideran poco menos que sagrados los documentos en papel, y en no pocas ocasiones la prueba de páginas web se ha de llevar a cabo mediante aportación impresa de dichas páginas. Muchos abogados nos hemos encontrado con una negativa cuando se ha planteado como prueba la aportación a la Sala de Vistas de un ordenador con conexión a Internet, algo imprescindible cuando la materia objeto de prueba son hiperenlaces: a dónde lleva un clic de ratón puede ser imposible de probar mediante una hoja de papel, especialmente cuando al juez de turno la programación html le suena a música celestial.

El derecho constitucional al juez predeterminado por la ley tiene sus ventajas y sus inconvenientes, no siendo el menor la peculiar lotería sobre los conocimientos informáticos del juzgador. Como nunca se sabe si nos va a tocar una magistrada puesta al día, o un Júpiter pretecnológico, resultará recomendable siempre levantar acta notarial que acredite el funcionamiento de la página web en cuestión. A falta de fe en la tecnología, siempre nos quedará la fe pública.

En un discurso pronunciado en San José de California, Michael Mukasey, Fiscal General de los Estados Unidos de Norteamérica, analizó cómo la tecnología puede “ayudar a un terrorista internacional a desarrollar un cruel complot” y señaló que, en algunos casos, los grupos terroristas ven los delitos con la Propiedad Intelectual como un negocio lucrativo y [...]

Una reflexión interesante que justifica como debe ser un buen consultor de seguridad. La traducción es de Pedro Verdín, miembro del Grupo Google Forosi.

"Uncle Milton Industries ha vendido granjas de hormigas a los niños desde 1956. Hace algunos años, recuerdo que un amigo abrió una. No se incluían hormigas en la caja. En vez de ello, había una tarjeta que debías llenar con tu dirección, y la compañía te enviaría por correo algunas hormigas. Mi amigo se sorprendió de que pudieras obtener las hormigas por correo. Yo repliqué: "Lo que realmente es interesante es que éstas personas enviarán un tubo de hormigas vivas a quien quiera que les digas".

La seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar.

SmartWater es un líquido con un identificador único vinculado a un propietario específico. "La idea es pintar esta cosa en mis bienes como prueba de propiedad", escribí cuando leí por primera vez acerca de esta idea. "Creo que una mejor idea podría ser poner mi pintura bienes ajenos, y luego llamar a la policía".
Simplemente, no podemos evitarlo.

Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad.
Muchas veces he especulado sobre cuánto de esto es innato, y cuánto es enseñable. En general, creo que es una forma particular de ver el mundo, y que es más fácil enseñar alguna experiencia en un dominio -criptografía o seguridad de software o ataque seguro o falsificación de documentos- que enseñar algo sobre mentalidad en seguridad.
Esto es por lo que CSE484 , un curso en seguridad computacional para pre-graduados que se imparte este trimestre en la Universidad de Washington, es muy interesante observar. El profesor Tadayoshi Kohno está tratando de enseñar una mentalidad en seguridad.
Se pueden ver los resultados en el blog que los estudiantes están generando. Se les invita a colocar revisiones de seguridad sobre cosas al azar: cajas de píldoras inteligentes, monitores para el cuidado de ancianos, Cápsulas del tiempo de Apple, el sistema de seguridad OnStar de GM, semáforos, cajas fuertes, y seguridad en dormitorios.
El más reciente es sobre un concesionario de automóviles. La persona que posteaba, describía cómo ella fue capaz de recuperar su coche después de un servicio con sólo dar a quien la atendía su apellido. Ahora cualquier propietario común podría estar feliz sobre cuán fácil es tener su coche de regreso, pero alguien con una mentalidad en seguridad inmediatamente piensa: "¿De veras puedo tener un automóviles con sólo saber el apellido de alguien que tenga el auto en el servicio?"
El resto de las ponencias en el blog especulan sobre cómo alguien podría robar un coche explotanto esta vulnerabilidad de la seguridad, y si tiene sentido para el concesionario tener esta seguridad laxa. Se puede evadir el punto con el análisis -tengo curiosidad sobre la responsabilidad que tiene el concesionario, y si su seguro cubriría cualquier pérdida- pero esa es toda la experiencia del dominio. El punto importante es notar, y entonces cuestionar, la seguridad en primer lugar.
La falta de mentalidad en seguridad explica un poco la mala seguridad que está por ahí: máquinas para votar, tarjetas de pago electrónico, dispositivos médicos, tárjetas ID, protocolos de Internet. Los diseñadores están tan ocupados haciendo que estos sistemas funcionen que no se detienen a identificar cómo podrían fallar o hacerlos que fallen, y entonces cúantas de dichas fallas podrían ser explotadas. Enseñar a los diseñadores una mentalidad en seguridad contribuirá en gran medida a hacer los sistemas tecnológicos del futuro más seguros.
Esta parte es obvia, pero creo que la mentalidad en seguridad es benéfica de muchas otras maneras.
Si la gente puede aprender como pensar fuera de su enfoque limitado y ver una imagen mayor, ya sea en tecnología o en política o en su vida diaria, ellos serían unos consumidores más sofisticados, ciudadanos más escépticos, menos gente crédula.
Si mas gente tuviera una mentalidad en seguridad, los servicios que comprometen la privacidad podrían no tener tal nicho de mercado -y Facebook podría ser totalmente diferente. Las computadoras portátiles podrían no perderse con millones de números de seguridad social sin cifrar en ellas, y no tedríamos que aprender algunas cuantas lecciones de seguridad por la vía difícil. La red de suministro eléctrico podría ser más segura. El robo de identidad podría ir a la baja. Los registros médicos podrían ser más privados. Si la gente tuviera una mentalidad en seguridad, no hubieran tratado de ver los registros médicos de Britney Spears, pues podrían darse cuenta que podrían ser atrapados.
No hay nada mágico en estas clases de la universidad; cualquiera puede ejercitar su mentalidad en seguridad simplemente tratanto de ver el mundo desde la perspectiva del atacante. Si yo quiero evadir este dispositivo de seguridad en particular, ¿cómo podría hacerlo? ¿podría seguir lo que dice esta ley, pero evadiendo el espíritu? Si la persona que escribió esta publicidad, ensayo, artículo o documental de televisión no tuvo escrúpulos, ¿qué podría haber hecho? Y entonces, ¿cómo podría protegerme yo mismo de estos ataques?
La mentalidad en seguridad es una habilidad valiosa de la que se puede beneficiar cualquiera, sin importar la trayectoria profesional."

Texto original en Schneier on Security: The Security Mindset

Una reflexión interesante que justifica como debe ser un buen consultor de seguridad. La traducción es de Pedro Verdín, miembro del Grupo Google Forosi.

"Uncle Milton Industries ha vendido granjas de hormigas a los niños desde 1956. Hace algunos años, recuerdo que un amigo abrió una. No se incluían hormigas en la caja. En vez de ello, había una tarjeta que debías llenar con tu dirección, y la compañía te enviaría por correo algunas hormigas. Mi amigo se sorprendió de que pudieras obtener las hormigas por correo. Yo repliqué: "Lo que realmente es interesante es que éstas personas enviarán un tubo de hormigas vivas a quien quiera que les digas".

La seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar.

SmartWater es un líquido con un identificador único vinculado a un propietario específico. "La idea es pintar esta cosa en mis bienes como prueba de propiedad", escribí cuando leí por primera vez acerca de esta idea. "Creo que una mejor idea podría ser poner mi pintura bienes ajenos, y luego llamar a la policía".
Simplemente, no podemos evitarlo.

Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad.
Muchas veces he especulado sobre cuánto de esto es innato, y cuánto es enseñable. En general, creo que es una forma particular de ver el mundo, y que es más fácil enseñar alguna experiencia en un dominio -criptografía o seguridad de software o ataque seguro o falsificación de documentos- que enseñar algo sobre mentalidad en seguridad.
Esto es por lo que CSE484 , un curso en seguridad computacional para pre-graduados que se imparte este trimestre en la Universidad de Washington, es muy interesante observar. El profesor Tadayoshi Kohno está tratando de enseñar una mentalidad en seguridad.
Se pueden ver los resultados en el blog que los estudiantes están generando. Se les invita a colocar revisiones de seguridad sobre cosas al azar: cajas de píldoras inteligentes, monitores para el cuidado de ancianos, Cápsulas del tiempo de Apple, el sistema de seguridad OnStar de GM, semáforos, cajas fuertes, y seguridad en dormitorios.
El más reciente es sobre un concesionario de automóviles. La persona que posteaba, describía cómo ella fue capaz de recuperar su coche después de un servicio con sólo dar a quien la atendía su apellido. Ahora cualquier propietario común podría estar feliz sobre cuán fácil es tener su coche de regreso, pero alguien con una mentalidad en seguridad inmediatamente piensa: "¿De veras puedo tener un automóviles con sólo saber el apellido de alguien que tenga el auto en el servicio?"
El resto de las ponencias en el blog especulan sobre cómo alguien podría robar un coche explotanto esta vulnerabilidad de la seguridad, y si tiene sentido para el concesionario tener esta seguridad laxa. Se puede evadir el punto con el análisis -tengo curiosidad sobre la responsabilidad que tiene el concesionario, y si su seguro cubriría cualquier pérdida- pero esa es toda la experiencia del dominio. El punto importante es notar, y entonces cuestionar, la seguridad en primer lugar.
La falta de mentalidad en seguridad explica un poco la mala seguridad que está por ahí: máquinas para votar, tarjetas de pago electrónico, dispositivos médicos, tárjetas ID, protocolos de Internet. Los diseñadores están tan ocupados haciendo que estos sistemas funcionen que no se detienen a identificar cómo podrían fallar o hacerlos que fallen, y entonces cúantas de dichas fallas podrían ser explotadas. Enseñar a los diseñadores una mentalidad en seguridad contribuirá en gran medida a hacer los sistemas tecnológicos del futuro más seguros.
Esta parte es obvia, pero creo que la mentalidad en seguridad es benéfica de muchas otras maneras.
Si la gente puede aprender como pensar fuera de su enfoque limitado y ver una imagen mayor, ya sea en tecnología o en política o en su vida diaria, ellos serían unos consumidores más sofisticados, ciudadanos más escépticos, menos gente crédula.
Si mas gente tuviera una mentalidad en seguridad, los servicios que comprometen la privacidad podrían no tener tal nicho de mercado -y Facebook podría ser totalmente diferente. Las computadoras portátiles podrían no perderse con millones de números de seguridad social sin cifrar en ellas, y no tedríamos que aprender algunas cuantas lecciones de seguridad por la vía difícil. La red de suministro eléctrico podría ser más segura. El robo de identidad podría ir a la baja. Los registros médicos podrían ser más privados. Si la gente tuviera una mentalidad en seguridad, no hubieran tratado de ver los registros médicos de Britney Spears, pues podrían darse cuenta que podrían ser atrapados.
No hay nada mágico en estas clases de la universidad; cualquiera puede ejercitar su mentalidad en seguridad simplemente tratanto de ver el mundo desde la perspectiva del atacante. Si yo quiero evadir este dispositivo de seguridad en particular, ¿cómo podría hacerlo? ¿podría seguir lo que dice esta ley, pero evadiendo el espíritu? Si la persona que escribió esta publicidad, ensayo, artículo o documental de televisión no tuvo escrúpulos, ¿qué podría haber hecho? Y entonces, ¿cómo podría protegerme yo mismo de estos ataques?
La mentalidad en seguridad es una habilidad valiosa de la que se puede beneficiar cualquiera, sin importar la trayectoria profesional."

Texto original en Schneier on Security: The Security Mindset