Comentaba el otro día con un colega de trabajo sobre la dificultad de estar en la cresta de la ola en entornos TIC. A la que te despistas te han cambiado el nombre del Webex de toda la vida, o tu fabricante de seguridad de cabecera se ha inventado nuevas formas de venderte la moto con fantabulosas funcionalidades en sus Firewalls; o quien sabe, tal vez Elon Musk te planta una base en Marte :-P .

Ojo, no es una crítica. Bueno, en el fondo un poquito si lo es, pero no a los avances tecnológicos, sino a la rapidez con la que pasa el tren. Joder, es que a veces ni lo vemos.

Como conclusión de la conversación con mi sufrido compañero, volví a convencerme de que estamos camino a una hiper-especialización tecnológica. Pronto los integradores -sobre todo los de tamaño pequeño y medio- vamos a tener que decantarnos por un camino determinado. Ojo, esto no es nada nuevo, ya ocurrió en su día: Sistemas o Infraestructuras, Linux o Windows, Bases de Datos o Desarollo. En breve tendremos que elegir entre Networking, Seguridad, Colaboración o lo que toque.

Como Pre-venta, a veces me encuentro en una situación dificil en la que el conocimiento necesario para aportar soluciones con criterio se expande hasta el infinito. Ya lo dice el refrán, el que mucho abarca... Y aún así, creo que esto no tiene por que ser negativo desde el punto de vista del negocio. Los pequeños implantadores de soluciones probablemente no podremos competir con los grandes en cuanto a abanico de soluciones, pero si en cuando a calidad de la implantación. Se avecinan tiempos inciertos pero interesantes, y toca surfear la ola.

Creo que a estas alturas todos los que trabajamos en productos tecnológicos hemos sufrido en algún momento de Titulitis Certificatum, enfermedad que nos arrastra de forma inexorable a querer certificarnos a en la mayor cantidad de tecnologías posible. Y es que los certificados quedan muy bien en el Curriculum Vitae, y abren puertas, según dicen. Desgraciadamente, la proliferación de páginas como Examcollection, Gratisexam o Testkings a hecho que el profesional pueda parecer lo que no es, o peor aún, puede que sentemos a una persona a gestionar dispositivos críticos sin experiencia previa alguna, y claro, luego pasa lo que pasa.

No quiero ser hipócrita: las certificaciones y las páginas para ayudar a superarlas creo que son (tristemente) necesarias. Yo he hecho uso de ellas bastantes veces. Lo gracioso de todo esto es que muchos fabricantes exigen a sus resellers certificaciones y títulos para poder acceder a mejores ofertas y ser así competitivos en el mercado, creando un negocio más alrededor de las titulaciones. Si tienes la suerte de que tu empresa te pague el curso o el examen que da acceso a la certificación, estás de enhorabuena; sino, me temo que toca adquirir el conocimiento por tu cuenta, y esto en general está bastante lejos del bolsillo de la mayoría de los mortales.

Así pues, ahí va un pequeño consejo: Fórmate por tu cuenta, trastea, lee lo que puedas, trastea aún más, visualiza vídeo tutoriales en Youtube, Vimeo, o mejor aún, consigue una cuenta en la página learnflakes.net.

Learnflakes, compartir es aprender.

Learnflakes, compartir es aprender.

Learnflakes es un tracker privado de bittorrent con cientos y cientos de horas de vídeo y documentos oficiales de distintos fabricantes. Es la herramienta definitiva de formación para el ingeniero IT con pocos recursos económicos, o con empresas que no desean invertir un euro en su formación. Desgraciadamente puede ser difícil conseguir una cuenta en el tracker ya que solo se accede por invitación, pero existen lugares en internet para conseguirlas si se busca un poco.

Los días 23-24 de Junio se celebrará en San Sebastián la segunda edición del EuskalHack Security Congress, simposio dedicado a la Ciberseguridad organizado por la asociación Euskalhack.

C9eZ-T7XcAAQgad

Estaré allí durante la charlas y talleres que se impartirán ambos días. Espero poder hacer un breve resumen del evento y, si el tiempo (¡y la pasta!) me lo permite, acudir a algún taller.

Sirva este post como una pequeña reflexión ante toda esta paranoia surgida a raíz del suceso Malware acaecido el pasado 12 de Mayo.

Creo que a nadie que trabaje en el sector IT le ha pasado desapercibido el hecho de que hace un par de semanas, un Ramsomware llamado Wannacry hacía cundir el pánico en grandes empresas estatales, hasta el punto de mandar a sus trabajadores a casa ante el miedo de que se extendiese más la infección. El Payload del Malware no es nuevo. Básicamente hace lo que sus antecesores CryptoLocker o CryptoWall: dame bitcoins o te secuestro tus información sensible. Lo que hacía diferente a Wannacry, sin embargo, era su rapidez en extenderse, tanto temporal como geográficamente, hasta el punto de tener a medio mundo en jaque en menos de 24 horas. Triste pero cierto, la seguridad de empresas como Telefónica, Iberdrola o los servicios Sanitarios Ingleses quedaba en entredicho el mismo día.

A cualquier profesional IT que trabaja y da servicio a clientes sensibles tales como Banca o Sanidad, la noticia no le habrá sorprendido tanto. Lidiar con este tipo de software malicioso es el pan de cada día en las empresas tecnológicas que se dedican directa o indirectamente a las Comunicaciones. Cualquiera acostumbrado a gestionar Firewalls conoce las limitaciones a la hora de prevenir el contagio de este tipo de Malware, pese a que se conoce el modus operandi de su infección desde hace bastante.


Wannacry en plena acción chantajeante.

La forma de entrada es prácticamente siempre la misma, siendo típicamente un correo con un PDF adjunto en forma de factura no pagada, o bien un falso remitente haciéndose pasar por una empresa de mensajería que requiere autorización. El usuario abre el PDF o lanza el link en cuestión y... ¡BOOM!, se establece una conexión HTTPS entre el PC y un servidor remoto que al Firewall le va a costar mucho detectar. Lo que ocurre entre este punto y la petición de rescate es algo bastante técnico que lo explican muy bien en el blog de COMAE Technologies.

Así pues, y visto el jaleo, creo que todas las molestias que se toman las empresas IT están justificadas. Prevenir siempre antes que curar, pero se ha de dar por hecho que tarde o temprano se recibirá algún ataque o se infectará algún equipo. Es inevitable cuando el factor humano entra en juego. Ahora bien, si hay algo que he aprendido con la experiencia, es que se debería de evitar, en la medida de lo posible, las malas praxis en cuestiones de seguridad. Aquí van unos consejos aprendidos, muy a mi pesar, en el día a día:

  • Si tienes un Firewall, aprovechalo. Actualmente casi todas las empresas tienen la posibilidad de adquirir un Firewall con funcionalidades de IPS, DPL, AntisSpam o Webproxys basados en reputación y categorías. ¡Pero es que estas características no se explotan! Ya sea por desconocimiento o porque no hay personal cualificado, se quedan muchas veces sin configurar siquiera :-(
  • Asegurate de tener actualizados, en la medida de lo posible, los endpoints de los usuarios. Si hay algo de lo que estoy seguro es que el Malware entrará por uno de ellos y se propagará a los servidores críticos. A tener vigilado especialmente al personal administrativo y de gestión.
  • En relación a lo de arriba... Creo que es una medida drástica pero necesaria deshabilitar los puertos USB de los ordenadores.
  • Backups. Y Backups de los Backups, si puedes. Si estás infectado es lo único que te puede salvar el pellejo. Bueno eso y montones de pasta para pagar el rescate.

Y hasta aquí mi pequeño ensayo sobre las idas y venidas de estos no tan simpaticos programitas. En breve espero poder dar más información sobre como formarse en Ciberseguridad de forma gratuita.

Hubo unos años a finales de los noventa y sobre todo a principios de la década del 2000 en los que cualquier juego en los que se viera medio pixel era automáticamente descartado y vilipendiado. Primaba sobre todo el aspecto técnico, muchas veces sacrificandose jugabilidad y diversión. Era un tiempo en las que las 3D y los poligonos se comían el mercado dejando a los arcades clásicos en el olvido.

En lo personal me parece que el inicio del nuevo milenio fué una muy buena época para el mundo del videojuego, pero creo que hay una generación que se perdió una parte importante de la esencia que vió despegar a la industria. Debemos recodar que muchas de las sagas y generos que a día de hoy generan millones de dolares tienen su origen en la decada de los 90, muchas veces incluso en la de los 80. Es curioso observar como mis compañeros de trabajo, casi todos nueve o diez años más jovenes que yo - y jugadores empedernidos - no saben que el primer Metal Gear surgió de la mente Kojima antes de que nacieran. Pero ete aquí que todo vuelve. Mirando atrás, los 80 fueron una época dorada y mágica en la que nos sentíamos en la gloria reunidos entorno a una mesa jugando a rol. O leyendo la última Micromanía. O simplemente viendo como el colega machacaba en el Speedball a sus contrincantes mientras merendábamos una Pantera Rosa.

Ahora, casi 30 años después de aquello, me veo intentando recuperar ese nosequé que nos hacía sentir tan bien. Con novelas como Ready Player One, o con series como Stranger Things intento dar un poco de consuelo a esta cosa que llaman nostalgia, sabedor que no estoy solo y de que a mi alrededor hay muchos Peter Pans que rondan los 40 y que no quieren seguir creciendo.

Aquí va pues mi pequeña lista de juegos modernos (post 2010) que funcionarán a modo de metadona para aquellos que sientan morriña de aquellos mundos coloridos en 2D y música chiptune en 8 bits.

  1. Hyper Drift Lighter (2016)

  2. Fez (2012)

  3. Sword and Sworcery (2011)

  4. Super Meat Boy (2010)

  5. OwlBoy (2017)

  6. Shovel Knight (2014)

  7. Cave Story+ (2011)

  8. Thimbleweed Park (2017)

Página 1 / 2 »