Luego de la publicación de nuestro post Cazando mitos: HTTPS y del vídeo educativo sobre Ataques de Phishing por HTTPS que realizamos sobre la misma noticia, la misma ha sido publicada por innumerables medios en español e inglés, tales como PC World (Chile), Sputnik (México), IT Now (Centro América), el blog de ESET en inglés y la prestigiosa revista SC Magazine de Inglaterra.

Sin embargo, en algunos casos la información ha sido mal interpretada y nos parece oportuno clarificar algunos conceptos de forma tal de que si otros lectores han tenido las mismas dudas que se presentaron, poder compartir los comentarios con todos ellos.

En el blog de StartCom, Eddy Nigg escribió un post en donde manifestaba, como respuesta a nuestro artículo, un ataque de nuestra parte a los certificados gratuitos que emite la empresa donde trabaja.

A través de los comentarios del post, hemos explicado al autor del mismo la mal interpretación de nuestro post (que el mismo Eddy manifestó entender en comentarios subsiguientes), y aprovecho la oportunidad para clarificar esas ideas con ustedes, compartiendo el comentario que dejé en el post:

Estimado,

En nuestro post en ningún momento nos oponemos al uso de certificados gratuitos. Tampoco es nuestra intención discutir la calidad de StartCom como empresa.

Sin embargo, es nuestro deber alertar a la comunidad si cierta tecnología puede ser usada maliciosamente. El problema en cuestión no son los certificados gratuitos, sino el falso mito que tienen los usuarios respecto a que HTTPS es garantía de que un sitio es seguro.

Cuando nosotros reportamos, por ejemplo, que atacantes usan las redes sociales para propagar malware; no nos estamos oponiendo a las redes sociales, sino informando a los usuarios de los riesgos a los que se exponen, para utilicen dichas tecnologías, pero con el cuidado necesario ante las amenazas.

No nos oponemos al uso de certificados gratuitos, pero la noticia de que los mismos serían aceptados por los navegadores era el momento para explicar a nuestros lectores qué es HTTPS y qué no. La falsa creencia de que HTTPS garantiza la seguridad total de un sitio no es nuestra responsabilidad ni de StartCom, pero nosotros tenemos el deber de informar a la comunidad para que no se expongan a riesgos innecesarios.

Esperando haber clarificado sus dudas, y agradeciendo la comunicación, le dejo un cordial saludos.

Al igual que con Eddy Nigg espero que, para los lectores, este post sirva para clarificar si quedaron dudas sobre el mito del protocolo HTTPS.

Sebastián

Categories: Educación, Phishing
3 Comments »

En los seminarios que dictamos regularmente en universidades, instituciones educativas, eventos y congresos de todo Latinoamérica, hay temas recurrentes y preguntas del público que se van repitiendo, producto de las dudas e inquietudes más comunes en materia de seguridad.

Una situación muy frecuente, que proviene generalmente de un público técnico y dedicado a la informática, es escuchar el siguiente planteo cuando se habla de educación y concientización en seguridad:

Yo se mucho de computadoras, me dedico a ello, y conozco mucho sobre las amenazas a las que me expongo. Así que yo uso la computadora con cuidado, se dónde hago clic y dónde no; y eso es suficiente protección para mí. No necesito ni utilizo tecnologías de seguridad como firewall o antivirus porque soy muy consciente de lo que hago y lo que no en mi computadora, y de hecho nunca me pasó nada.

Este tipo de planteos estoy seguro que muchos de los lectores lo habrán escuchado. Sin embargo, el mismo posee ciertos errores que me interesa compartir con ustedes para clarificar algunos conceptos y contarles una analogía sobre la seguridad en otros ámbitos.

Voy a pasar rápidamente el primer vicio de este planteo: ¿cómo sabe un usuario que nunca sufrió un incidente? A diferencia de otros ámbitos, muchos incidentes en una computadora pueden tener perjuicios difíciles de identificar por cualquier usuario: robo de información o actividad del tipo botnet, entre otros.

Pero avancemos a lo que más nos interesa. ¿En qué debo depositar mi seguridad: en la tecnología o en la concientización? Este es el dilema que muchos parecen plantear con frases como la que da origen al post. También están aquellos que, del otro lado de la vereda, ofrecen a los usuarios tecnologías de seguridad 100% seguras, algo que ya hemos explicado que es imposible.

¿Entonces? La respuesta es que, para una mejor seguridad de nuestros sistemas, debemos combinar tecnologías de seguridad con la educación de los usuarios. No es una riña entre una u otra. Son ambas. Ninguna de las dos provee un 100% de seguridad. Ambas combinadas tampoco, pero obviamente aumentan la protección.

Para graficar esto se me ocurrió pensar en otro aspecto de la seguridad: la seguridad vial. Pensemos al respecto:

• Tecnologías de seguridad: aquí podríamos incluir todas las tecnologías que colaboran en disminuir los accidentes de tránsito, como autopistas y rutas bien señalizadas, cinturones de seguridad, airbag, etc.
• Educación del usuario: aquí estamos hablando de conductores que conozcan las leyes de tránsito, que sepan manejar, que sepan que no deben conducir su automóvil ebrios, que no circulen a altas velocidades, etc.

Ahora, pensemos planteos extremos como el que inaugura este post. Supongamos que estas personas saben conducir muy bien, son muy responsable al volante y lo hacen a velocidades moderadas y con extremo cuidado. ¿Alguna de estas variables hace que esta persona cuando se suba a su automóvil no use el cinturón de seguridad, no utilice mejores frenos y compre sus automóviles sin airbag?

Como se imaginarán, esta situación parece absurda. ¿Cómo no usar una tecnología como el cinturón de seguridad independientemente de la educación vial que posea el conductor?

El planteo inverso tampoco tiene sentido: pensar que como una persona usa cinturón de seguridad o airbag, puede no ser consciente de las leyes de tránsito o puede manejar a altas velocidades.

De hecho, para cerrar este concepto, los usuarios más conscientes y educados respecto a la seguridad vial son aquellos que utilizan más las tecnologías. Aquellos usuarios menos educados, son los que se suben al automóvil y no utilizan su cinturón de seguridad.

Espero que esta analogía sea de utilidad para compartir con ustedes por qué hacemos tanto hincapié en combinar tecnologías de seguridad con la educación del usuario. En cualquier posición extrema, no creemos que genere mayor seguridad para el usuario.

Así que ahora, cuando utilicen su computadora, haganlo a velocidades moderadas… ¡y con cinturón de seguridad!

Sebastián

Categories: Malware
5 Comments »

Luego de 15 excitantes días de visita a 10 ciudades de México, recorriendo el país de norte a sur, luego de haber visitado más de 15 universidades y con más de 2.000 estudiantes, profesores, profesionales, expertos, directivos de empresas y  usuarios finales que asistieron a nuestros seminarios, regresamos con el orgullo del deber cumplido.

En este caso se pueden ver los asistentes al seminario presentado en Tijuana:

Como muchos usuarios nos han expresado, con estas acciones ESET demuestra día a día ser un pionero en la detección proactiva de amenazas pero también en la iniciativa de brindar educación en seguridad antivirus allí donde es necesario, brindando a todos los usuarios las herramientas necesarias para conocer las últimas amenazas y la forma de detectarlas y eliminarlas.

Ahora, nos espera Colombia, en donde comenzaremos nuestra Gira de Seguridad Antivirus el próximo lunes 26 de octubre… allí nos vemos.

Cristian

Categories: Educación, Eventos
6 Comments »

Durante nuestra Gira de Seguridad Antivirus en México, esta semana hemos tenido el placer de visitar la ciudad más al norte del país, Tijuana, en donde hemos batido el record de asistentes a nuestros Seminarios; y también la ciudad ubicada más al Sur del país, en el estado de Chiapas.

En este último estado hemos desarrollado dos de nuestros Seminarios en la Ciudad de San Cristobal de las Casas. Más allá de su arquitectura colonial, en donde se destaca la Iglesia de Santo Domingo, esta ciudad también ha sido declarada por la UNESCO como Patrimonio Cultural de la Humanidad.

Además de contar con el placer de llevar nuestra compromiso con la Educación y tener la posibilidad de hacer conocer nuestra empresa; dejando de lado la seguridad de la información, no deja de asombrarnos  la hospitalidad de sus habitantes y lo fantástico de la naturaleza de México.

Esperamos poder seguir realizando estas giras por todo Latinoamérica con todas las satisfacciones que nos han generado hasta ahora.

Cristian

Categories: Educación, Eventos
No Comments »

Como ya hemos anunciado en varias oportunidades, desde ESET Latinoamérica llevamos varios años ofreciendo capacitación de forma gratuita sobre Seguridad Antivirus en Internet, la cual presentamos a través de seminarios presenciales en Universidades de todo Latinoamérica.

Otro de los formatos que también hemos iniciado hace varios años son nuestros cursos, también presenciales, en donde las temáticas propuestas se llevan a cabo con un nivel de profundidad mayor que el habitual en los seminarios, cubriendo de forma completa todo lo relacionado al mundo del malware.

Entre los temas principales, se tratan las metodologías de propagación e infección, prevención en profundidad y particularmente análisis de malware, dictado en clases prácticas de laboratorio donde cada asistente analiza diferentes muestras de códigos maliciosos y puede abordar el análisis de cada ejemplar bajo nuestra supervisión.

En esta oportunidad, la casa de altos estudios elegida para llevar el curso adelante, es la sede Buenos Aires de la Universidad Tecnológica Nacional de Argentina. A continuación les dejo una imagen de nuestra primera clase, el último martes 13:

Cabe aclarar que este tipo de cursos posee una importancia particular no sólo para quienes estamos al frente de su dictado sino también para quienes se interesan, cada día más, por la seguridad antivirus.

Durante los próximos martes estaremos completando las clases presenciales del curso que son complementadas con contenidos y exámenes en línea desde nuestra Plataforma Educativa.

En futuras ediciones esperamos contar con la presencia de muchos otros profesionales. Por último y como siempre, agradecemos desde ESET la presencia y apoyo de ustedes tanto en los seminarios como en estos cursos.

Jorge

Categories: Educación, Eventos
5 Comments »