¡Hola que tal!
¿Alguien entró en el mundo virtual de la ciudad prohibida?
Bueno, hoy traigo una propuesta más relacionada con la informática.
Resulta que ayer en el post del Chema explicaba cómo los organizadores de Campus Party 2009 se habían equivocado, y habían puesto que este chico tan majo era Chema Alonso (que no lo es):
El caso es que el título también estaba mal y ponía "Correos falsos en Internet, cómo reconocerlos". Me imagino que es el título de la ponencia de Chema.
Con ese título no me lo pensé dos veces y empecé a ver el vídeo. Se trata de una charleta no técnica pero con cierto interés ya que se explica la seguridad desde el punto de vista de un banco. Concretamente el ponente trabaja en la parte de seguridad web del BBVA.
Habla del phising, el smishing, de conceptos como accesibilidad del código, gratuidad de la técnica, modelos estables, inestables, globalización, replicabilidad, cadenas de valor, inmediatez, mecanismos de defensa, CRM (Customer Relationship Management), detección del fraude, etc. etc.
Todas esas cosas se ven un poco de pasada y sin entrar en lo técnico, pero hay cosas muy interesantes.
Por ejemplo, ¿los bancos ponen todos los medios disponibles para evitar el fraude?
En principio se ponen los medios que económicamente justifiquen el esfuerzo. Es decir, teniendo en cuenta datos estadísticos (porcentaje de fraude en tanto por ciento) y el importe de fraude, ¿está justificado un gasto de... digamos 100.000 euros? Sí, pues se invierte en seguridad. Que no, pues nada, déjalo estar, que luego si el cliente engañado insiste mucho y hay que pagar se paga y punto.
La verdad es que es lo normal en una empresa privada, pero llama la atención que se diga abiertamente.
Momentos estelares de la conferencia:
10' 50'': El speaker estaba hablando de una particularidad del sistema bancario español que parece ser va a desaparecer en breve: las domiciliaciones. En fin, que va un tío, levanta el brazo, interrumpe la emisión y explica en largos minutos como a él le pasaron una domiciliación y pudo ir al banco a devolverla. Valioso testimonio XD.
23' 20'': Aparece el término "los malos". Jejeje, me imagino que los del banco son "los buenos". Queridos Administradores de sistemas, nunca os fiéis de esta simplificación. La mayor parte de los ataques son de dentro, de "los buenos".
39'05'': Surge el tema LOPD (Ley Orgánica de Protección de Datos). Sí, el hecho de que las IP-s se consideren datos de carácter personal impide que se puedan pasar listas de IP-s atacantes entre los bancos o empresas colaboradoras (ojo al dato). Utilizar algoritmos de hash no es la solución porque al final permite identificar una IP. De forma muy acertada el ponente concluye: "No te hagas trampas en el solitario".
Respecto a incumplir las directrices de la LOPD, no lo hacen, primero por principios (no suena demasiado convincente :-), y segundo porque como dice él: "La Agencia de protección de datos no es tonta".
Bueno, nada más por hoy. Saludos.
jueves, agosto 13, 2009
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario