fernandosaenz.com

Pursuing the gold hidden behind raw data


Bienvenido/a,

No te voy a mentir, esto es un blog técnico, aunque no trata sobre tecnologías específicas. Expongo la motivación que hay detrás del diseño de cada sistema, y sus resultados. No voy a darte una explicación técnica de cada tecnología que diseño o utilizo. No vamos a "ver las tripas".

En estos últimos diez años, en los que he ejercido de gerente, he podido ver cómo la explotación inteligente de datos mejora de forma notable los resultados en diferentes ámbitos de la empresa. En este blog comparto esas experiencias, explicadas de forma resumida pero clara.

fernandosaenz.com
En cada post verás que incluyo una ficha que encabeza la lectura, y que ofrece una visión instantánea de lo que encontrarás si decides continuar. La mayoría de artículos los podrás leer en 3-4 minutos de tu tiempo.

Busco ofrecer un formato de micro-posts que giren en torno a la búsqueda de valor añadido buceando en datos crudos. Y siempre orientados a la divulgación de las experiencias que he vivido en esta obsesión que tengo por aplicar tecnología, a veces sencilla pero suficiente, en cada ámbito de la empresa.

Espero que lo disfrutes tanto como yo.

- Fernando Sáenz -

segurización

28/02/17 tecnología no hay comentarios # , , ,

Ciberseguridad en la Industria Digital; ciberataques que impactan en el mundo físico

  • Tiempo de lectura: 7 minutos
  • Problema: la convergencia de infraestructuras IT y OT está provocando un aumento en las vulnerabilidades de equipamiento industrial
  • Observación: el incremento de ataques dirigidos a infraestructuras OT está creciendo de forma alarmante, a la par que también resulta alarmante el aumento en la cantidad de dispositivos OT vulnerables y accesibles desde internet
  • Propuesta: los dispositivos OT nunca deberían conectarse de forma directa, es conveniente utilizar un dispositivo intermedio que aporte una capa de seguridad y soporte los ataques provenientes de la infraestructura IT sin afectar a la OT. Además, las redes de datos de las fábricas deberían de estar convenientemente segmentadas dado que muchos protocolos industriales operan bajo estándares TCP/IP, siendo fácilmente accesibles desde sistemas IT, y resultan muy vulnerables.

Ya son varios los artículos que he dedicado al tema de la ciberseguridad en este blog. Sin embargo, quiero retomar este tema para reflexionar sobre el impacto que provocan las IT sobre las OT cuando estas convergen. Se trata de algo muy común en los últimos años y que está demostrando ser una tendencia al alza. Pero no siempre se está haciendo bien. En este artículo veremos dos recomendaciones muy básicas, pero que pueden hacer la vida muy difícil a los hackers.

Mapa de Sistemas de Control Industrial accesibles desde Internet

Mapa de Sistemas de Control Industrial accesibles desde Internet

Leer más

26/10/16 tecnología no hay comentarios # , , ,

El cibersoldado ya ha llegado, y duerme en tu casa

Vale, el título me ha quedado un poco sensacionalista, pero créeme si te digo que no exagero. Y el famoso ataque de este pasado viernes lo demuestra, como explicaré a continuación.

Repercusiones ataque DDoS Dyn Oct16

Repercusiones en caídas de servicio provocadas por el ataque DDoS a Dyn en Octubre de 2016 – informe obtenido en downdetector.com

 

Leer más

10/04/16 eventos , tecnología un comentario # , , , ,

“Panama Papers”, o cómo la falta de ciberseguridad puede destruir a los líderes mundiales

En este artículo quiero revisar la sucesión de malas decisiones que provocó un estado tan vulnerable en los sistemas de Mossack Fonseca, que cualquier colegial con unos mínimos conocimientos básicos de seguridad podría haber accedido fácilmente y en muy poco tiempo a toda su información. Veremos qué tipo de información se ha robado, qué pasos se dieron en el ataque para llevarlo a cabo, y qué decisiones de diseño en los sistemas del bufete fue el que posibilitó este enésimo escándalo. Para analizar la secuencia de pasos del ataque, veamos primero el tipo de información que fue sustraída.

Volumen de la información

Volumen de la información – Fuente: Süddeutsche Zeitung 

Leer más

04/12/15 tecnología no hay comentarios # , ,

Ciberseguridad: los 5 puntos críticos de las interfaces ubicuas (2/2)

  • Tiempo de lectura: 6 minutos (artículo 2/2)
  • Problema: aparecen nuevas amenazas de seguridad al incluir acceso ubicuo en plataformas complejas
  • Observación: existen numerosas técnicas y metodologías ya maduras, los entornos web tienen ya más de 20 años de vida
  • Propuesta: es necesario incluir las técnicas de segurización de entornos web en los sistemas en los que se ofrezca este tipo de accesos, y educar a los usuarios que los utilizan

Hoy presento aquí la segunda parte del artículo “ciberseguridad: los 5 puntos críticos de las interfaces ubicuas“. En el artículo anterior ya enumeré los puntos que considero clave en mi particular visión de la “cadena de seguridad”, según mi criterio y experiencia. En esta nueva entrega vamos a ver cada uno de ellos con un poco más de detalle, pero respetando el formato de artículo corto y ameno que siempre intento hacer. Por supuesto cada uno de estos apartados es un mundo en sí mismo, de hecho la literatura existente sobre cada uno de ellos es muy extensa, y recomiendo dedicarle un rato en caso de estar trabajando en un sistema de estas características.

Veamos de nuevo cuáles son los eslabones de nuestra cadena de seguridad:

Leer más

17/11/15 tecnología no hay comentarios # , ,

Ciberseguridad; los 5 puntos críticos de las interfaces ubicuas (1/2)

  • Tiempo de lectura: 4 minutos (artículo 1/2)
  • Problema: aparecen nuevas amenazas de seguridad al incluir acceso ubicuo en plataformas complejas
  • Observación: existen numerosas técnicas y metodologías ya maduras, los entornos web tienen ya más de 20 años de vida
  • Propuesta: es necesario incluir las técnicas de segurización de entornos web en los sistemas en los que se ofrezca este tipo de accesos, y educar a los usuarios que los utilizan

El CNN (Centro Criptológico Nacional) ha publicado un informe de amenazas sobre seguridad en telefonía móvil. Se trata de un informe muy completo y actualizado, en el que incluso se detallan un conjunto de medidas para mitigar la famosísima vulnerabilidad Stagefright, que afecta al 95% de los dispositivos basados en el sistema operativo Android. Realmente creo que es un informe muy completo, que explica paso a paso cómo configurar el dispositivo para impedir o dificultar mucho los ataques más comunes.

Si bien el informe me parece muy acertado, quizá echo en falta un prólogo que tuviera un enfoque más pedagógico, que estuviera orientado a concienciar al usuario sobre la importancia de tener una buena higiene general en lo que respecta a la seguridad de los dispositivos con los que interactúa. Aun así, considero que es un informe que debería divulgarse lo máximo posible, así que quería aportar mi granito de arena.

Pero además de eso, los que trabajamos diseñando sistemas complejos – en especial los que incluimos acceso desde dispositivos móviles – tenemos la responsabilidad de, por un lado, diseñar sistemas seguros, y por otro lado ayudar a los usuarios a entender la importancia de esta seguridad, y enseñarles a identificar los elementos que la ponen en riesgo.

 

Técnicas de ataque

Imagen: algunas técnicas comunes de ataque

 

Leer más