Month: July 2021

bookmark_borderPrint-Nightmare: una vulnerabilidad parchada… pero no del todo

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

El Servicio de Cola de Impresión o PSS –Print Spooler Service- de Microsoft nuevamente ocupo los titulares de noticias de ciberseguridad, tanto de Microsoft como de portales especializados. La noticia fué la causa de mucha confusión entre los usuarios ya que en principio se tenia por arreglado el problema, sin embargo, resulto que eran dos los problemas que de forma independiente afectaban el PSS, que se ejecuta con total acceso a los componentes básicos del sistema operativo.

Hace poco más de 10 años, se ejecutó un ataque a sistemas SCADA en Iran, en instalaciones nucleares de la empresa alemana Siemens. El incidente tuvo como uno de los vectores de vulnerabilidad el PSS. El incidente de aquellos días se relacionó con el gusano informátic Stuxnet, el primero quizá con capacidad de espíar y reprogramar sistemas industriales. El experto en seguridad Steve Gibson explica que muchos de los problemas que afrontan los sistemas de empresas como Microsoft, es que fueron diseñados cuando no existia Internet y varios de sus componentes aún se encuentran en las nuevas versiones, con vulnerabilidades que no pudieron ser previstas en su creación.

La dificultad y confusión con la vulnerabilidad resulta de la actualización o parche liberado por Microsoft el 8 de junio, que corrigió la vulnerabilidad CVD-2021-1675. Microsoft implemento su actualización en base a lo reportado por el investigador de seguridad Will Dorman, lo que resultó ser una solución deficiente e incompleta. Al menos 2 investigadores de seguridad informática, publicaron durante el mes de junio pruebas de concepto sobre como explotar la vulnerabilidad del PSS para obtener escalada de privilegios y ejecución remota de código.

Un poco a regañadientes, Microsoft aceptó la existencia de una segunda vulnerabilidad en el PSS, la cuál se registro como CVE-2021-34527 y que fue corregida con la actualización liberada el 7 de julio. Una lección aprendida es que no se puede abordar una vulnerabilidad de forma superficial, los técnicos de Microsoft únicamente se enfocaron en lo reportado por Will Dorman, sin investigar con mayor profundidad las causas del problema.

Algunas de las recomendaciones para este caso son las siguientes:

  • Instalar las actualizaciones constantemente
  • Si no se necesita el PSS, desinstalarlo
  • En servidores de dominio no es necesario tenerlo instalado o activo

Microsoft ha venido sufriendo por meses una serie de dificultades con sus actualizaciones, cayendo en una especia de historia sin fin, ya que las actualizaciones corrigen algunas cosas, pero afectan otras. Expertos en tecnología aseguran que hay más vulnerabilidades aún no dadas a conocer en el PSS y que la pesadilla aún no termina.

Bigliografía

bookmark_borderLey antitrámites: la modernización de los trámites públicos (Parte II)

Posted on by Juan Luis Herrera
Reading Time: 7 minutes

En esta entrada continúo con el análisis de la Ley para la Simplficación de Requisitos y Trámites Administrativos, decreto número 5-2021. El mes pasado abordé los primeros 2 capítulos de la ley que ofrece mejorar la difícil situación que abordan los ciudadanos al realizar trámites en diversas instituciones del Estado. Sin más esperar, avancemos

Capítulo III – Medios Electrónicos

  • Medios electrónicos: las dependencias deben implementar de forma progresiva de medios electrónicos, con el fin de poder realizar los trámites a distancia, tomando en cuenta la seguridad. Deben también ir reduciendo progresivamente elementos que no permita que el resultado final del trámite pueda extenderse o enviarse de forma electrónica. Los medios electrónicos, como portales web y sistemas, no deben tener restricción de horarios. Comentario: es el primer artículo donde se menciona la seguridad en el sentido de “seguridad de la información”, lo cual no tiene mucha relevancia a los largo de todo el texto de la ley. Respecto del acceso sin restricción de horario pareciera innecesario, sin embargo, existen portales de instituciones del Estado que no siempre funcionan. Un ejemplo es el Registro de la Propiedad, que siempre queda inaccesible a las 7 de la noche por 1 o 2 horas.
  • Obligación de informar sobre los trámites administrativos: las dependencias deben publicar
    • El listado de trámites que pueden gestionarse en dicha dependencia
    • Los requisitos
    • El costo del trámite
    • Procedimiento (pasos) a seguir por el usuario
    • El tiempo de respuesta
    • Normativa aplicable
  • No será necesaria la presencia física para informar sobre el trámite o notificar alguna resolución. También deben implementar mecanismos de trazabilidad. Comentario: es un recurso muy útil para los usaurios, muchas veces no hay forma de conocer que trámites se pueden obtener en una dependencia, ni siquiera los funcionarios lo saben. Tambien es dificil poder tener certeza del procedimiento, tiempos o costos. Informar o notificar de forma electrónica o adistancia también evita a los usaurios perder tiempo visitando las dependencias solo para enterarse que no ha pasado nada o que nadie sabe del trámite. Implementar un sistema de trazabilidad también es útil, pues permite a los interesados saber en que paso y con que funcionario se encuentra el trámite.
  • Trámite a distancia: las dependencias deben implementar la realización de trámites a distancia, automatizando sus procesos. Tambien debe implementarse, si la ley no lo prohibe, que el resultado final del trámite pueda obtenerlo el usuario de forma electrónica. Otra alternativa es el envío del resultado mediante servicios de mensajeria a costa del usuario. Comentario: un poco redundante, la parte inicial de este artículo. Lo interesante es poder utilziar servicios de mensajeria para entrega de resultados en forma física. Es una altenativa útil si lo electrónico no es posible, sobre todo ahora que existen en el país muchas empresas que prestan este servicio.
  • Formularios: las dependencias deberan colocar formularios en internet para que puedan ser descargados por los usuarios. Cuendo exista un sistema para el trámite, este deberá incorporar la generación del formulario. Cuando existan formularios para descargar o electrónicos, no será obligatorio presentarlos de forma física. Ninguna dependencia podrá cobrar por los formularios. Comentario: los formularios descargables o en línea son de gran utilidad. El Registro Mercantil y el Registro General de la Propiedad, por ejemplo, ya los utilizan y mejoran mucho los procesos. La prohibicion de cobrar es de gran ayuda, un caso muy molesto es el Registro de Quetzaltenango que actualmente cuenta con una oficina en la zona 9 de la capital. Para ciertos trámites utilizan formularios que solo se pueden obtener comprándolos, además hay que hacer cola con todos los que llegan a realizar trámites solo para obtener los formularios.
  • Documentos y copias: los documentos electrónicos o digitalizados, firmados con firma electrónica avanzada enviados a una dependencia pública no requeriran entrega de copia física. Las dependencias conservarán copias digitales de los mismos. Los documentos en todo trámite podran ser firmados y presentados electrónicamente. Solo en caso de duda, podrá pedirse en las dependencias el documento en forma física. Comentario: el reconocimiento de comunicaciones y firmas electrónicas esta regulado desde el año 2008, pero lamentablemente muy poco utilizado por el Estado, espermos que eso cambie. El Registro Mercantil tiene implementado trámites totalmente electrónicos, que se realizan sin poner un pie en dicha dependencia y de una forma más rápida. Recientemente el Registro General de la Propiedad habilitó el tramite de certificaciones complementa en línea y puedo decir que funciona muy bien.
  • Expediente y archivo electrónico: las dependencias deberan implentar el “expediente electrónico”, que contendrá toda la información del trámite. Se utilizaran bases de datos con las medidas de seguridad necesarias. Cuando varias dependencias esten involucradas en un mismo trámite deberan compartir base de datos o archivos. Se utilzaran servidores locales o remotos, propios o de terceros, contratando servicios especializados. Cuando un usuario no de seguimiento a un trámite por más de 3 meses, ya sea que no presente o realice algun paso solicitado por una dependencia o no recoja el resultado final, este se archivara de oficio. También se promoverá la transición de archivos físicos a electrónicos, implementando sistemas de consulta con las medidas de seguridad necesarias. Comentario: un expediente electrónico es una excelente idea, sin embargo, su implementación no es algo sencillo, lo que se complica aún más si hay varias dependencias involucradas. Un aspecto importante y hasta preocupante es la seguridad de la información y la privacidad de los datos de los usaurios, un aspecto poco trabajado en las dependencias públicas y con poca normativa en el país. El traslado de lo físico a lo digital es un proceso delicado y tratandose de información legal deberá ser realizado de una forma responsable y profesional.
  • Acceso a la información en registros públicos: los registros públicos deben implementar mecanismos de consulta y validación de los datos que posean. No podrá cobrarse por la consulta de la información que administran. Deberan permitir la consulta a distancia, sin la necesidad de crear cuentas o registrar correos electrónicos. Deberan proteger los datos considerados como “sensibles” por la Ley de Acceso a la Información Pública. Las dependencias públicas deberan implementar mecanismos electrónicos de intercambio de información, tanto con entidades públicas como privadas. Comentario: los sistemas de consulta son muy útiles, sin embargo, esta disposición me parece confusa, ya que no aclara que sean sistemas a distancia o electrónicos y además, que no es necesario tener cuenta de usuario o algun correo electrónico para su utilización. Otro aspecto curioso es que indica que no se cobraran las consultas, lo cual creo que en la práctica no será realizable.
  • Validez de documentos e información transmitida electrónicamente: los documentos e información transmitida electrónicamente tienen el mismo valor y eficacia que los documentos físicos. Los documentos con firma electrónica avanzada prevalecen sobre la versión física. La versión física es considerado original si tiene un mecanismo de validación. Se podrá obtener información entre dependencias, sin necesidad que sea el usuario quien tramite dicha información o documentos. Comentario: la parte final de esta disposición es muy importante. Muchas veces los usuarios deben solicitar en una dependencia, un documento que requiere otra dependencia. En estos casos todos hemos expresado que estamos “de Herodes a Pilatos”, por lo que si es posible que las dependencias se comuniquen y envien la información que así sea en beneficio de los usuarios.
  • Interconectividad del Estado: las dependencias del Estado deberán coordinar esfuerzos para el intercambio y homologación de información, a fin de poder generar información estadistica de una mejor manera. No será necesario suscribir acuerdos o convenios adicionales interinstitucionales para el cumplimiento de este precepto , temas de transparencia, trazabilidad o simplificacion de trámites. Comentario: la interconectividad estatal es un objetivo muy importante. Actualmente deben existir cientos o miles de fuentes de información dispersa y en diversos formatos, situación que hace imposible conocer con exactitud cualquier dato que provea el Estado. Esta situación pasa en las empresas pequeñas y grandes, por lo que a nivel estatal seguramente es un caos de fuentes de información.

Capítulo IV – Portales Interinstitucioales

  • Portales interinstitucionales: las pedendencias relacionadas con trámites o sectores específicos trabajaran mediante portales interinstitucionales, que integrarán todo lo que sea necesario tramitar por los usuarios, ya sea de forma electrónica o física. Las dependencias determinaran la ubicación física o virtual del portal. También será obligatorio un portal interinstitucional, cuando en un trámite intervengan varias dependencias. Comentario: los portales interinstitucionales son una buena idea, pero pueden ser un problema debido a la dinámica propia de las instituciones públicas. Aunque la último disposición del capitulo anterior aclara que no será necesario realizar nuevos convenios, será imposible evitar la generación de documentos oficiales por cada portal interinstitucional, lo que seguramente implicará muchos pasos y reuniones. Creo que estos famosos portales no veran la luz pronto.
  • Funciones de los portales interinstitucionales: tendran las funciones siguientes:
    • Información de los trámites, requisitos, costos y duración.
    • Generación o recepción de los formularios , documentos y requisitos de los trámites.
    • Gestión y custodia de expedientes.
    • Comunicar decisiones, entregar comunicaciones y resoluciones de trámite o finales
    • Notificaciones sobre el trámite y su trazabilidad
    • Recepción y atención de quejas o sujerencias
    • Promover mejoras de los servicios
    • Consulta sin costo de los expedientes
    • Recepción de pagos, pudiendo unificarlo y distribuirlos en las dependencias involucradas
    • Otras que acuerden las dependencias

En esta segunda parte sobre la Ley antitrámites, se analizaron los capítulos relativos a lo que ofrece el Estado y sus dependencias a los usuarios en la gestión de trámites públicos. Los medios electrónicos y los portales interinstitucionales se presentan como los medios idóneos para superar la desgastante situación que hoy por hoy afronta todo ciudadano ante las dependencias públicas. El papel que juega la tecnología y los medios de comunicación electrónicos es fundamental, sin embargo, no se trata de una varita mágica, que de forma automática dotará de eficiencia a los servicios públicos.

El diseño, desarrollo e implementación de sistemas informáticos, tanto locales como en la nube requiere de conocimientos y experiencia, de lo contrario, tal como ha pasado por decadas en la iniciativa privada, se términa en un mar de sistemas y fuentes de información descoordinados, que llevado a la dimensión de los servicios públicos puede resultar siendo la cura peor que la enfermedad.

Existe desde hace un buen tiempo un peligro poco conocido o comentado inclusive por los expertos en sistemas, el cual resulta de la afectación causada a los usuarios de dichas herramientas por decisiones de quienes las diseñan e implementan. Trasladado al sector público, resulta común encontrar que muchas características de los sistemas informáticos lesionan derechos y garantías de los ciudadanos, convirtiendo a los desarroladores en los nuevos legisladores de ventanilla, que al desconocer de aspectos legales, implementan soluciones sin tener en cuenta que sus decisiones son de alcance nacional, y que pueden afectar seriamente la vida de muchos ciudadanos.

En la siguiente y última entrada de análisis de la ley, se analizarán los restantes 3 capítulos de dicha normativa, que abordan el régimen institucional, sancionatorio y lo que no puede faltar en toda nueva norma: las disposiciones finales y transitorias.

bookmark_borderRobocalls: el imparable problema del spam teléfonico

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

Las llamadas automáticas pregrabadas –Robocalls-, han sido utilizadas por un buen tiempo como una forma eficiente de llegar a los clientes. Han sido utilizadas en áreas de Marketing y también para fines políticos, llegando en muchas ocasiones a ser un verdadero dolor de cabeza para los usuarios. En el año 2019, en el Mobile World Congress se dió a conocer que el crecimiento de este tipo de llamadas habia crecido un 325 a nivel mundial, con una cifra estimada de 85 mil millones de registros. Desde el año 2017 la Alliance for Telecommunications Industry Solutions -ATIS- y la Federal Communications Commission -FCC- permiten a los operadores tomar medidas para frenar este tipo de llamadas, lo que dio vida a un campo de desarrollo de soluciones diversas.

El crecimiento de incidentes es impactante, derivado de la pandemia COVID 19 inicialmente parecia ir en disminución, sin embargo la industria logro una adaptación interesante, la situación empeoró a nivel global y las autoridades ven con procupación los peligros que representa para los usuarios. Algunos datos estadísticos interesantes:

  • Mundialmente (2019): 26 billones de usuarios afectados entre enero y octubre
  • Mundialmente (2020): 31.3 billones de usuarios afectados entre enero y octubre
  • Europa (2020): varios países aparecieron por primera vez en el top 20 de este tipo spam
  • Brazil (2020): los usuarios recibieron 50 llamadas mensuales, el mayor número por país
  • Estados Unidos (2021): en febrero se registraron 4.6 billones de llamadas

En 2019, durante la administración de Donald Trump se promulgo el Telephone Robocall Abuse Criminal Enforcement and Deterrence Act -TRACED Act-, una ley que impone penas de decomiso por violar la prohibicion de cierto tipo de llamadas automatizadas, sean estos actos intencionales o no. Tambien requiere a los proveedores desarrollar tecnologías de identificación de llamadas, a fin de evitar el spoofing telefónico, confirmando la autenticidad de las lineas involucradas mediante el ID del emisor de la comunicación. La norma tambi{en requiere que la Federal Communications Commission -FCC- a crear reglas, politicas y procedimientos para proteger a los individuos de las llamadas fraudalentas, incluyendo también mensajes de texto desde numeros no autenticados. El TRACED Act constituye un avance a un tema resagado por muchas decadas, ya que es una enmienda al Communications Act de 1934.

En marzo de 2021, la FCC dió a conocer sobre la multa de 225 millones de dolares, impuesta a una compañia de telemarketing ubicada en Texas. Es la multa más larga en la historia de la FCC, impuesta por transmitir apróximadamente un billon de llamadas fraudalentes, para vender planes de seguros de salud, suplantando la identidad de compañias de seguros de renombre. El dueño de la compañía admitió haber realizado millones de llamadas diaras durante el primer semestre del 2019, a sabiendas que se realizaban a consumidores que expresamente indicaron no autorizar recibirlas. Las llamadas fraudulentas relacionadas con servicios de seguros de salud se han visto incrementadas desde el año 2018. Como parte de los esfuerzos para detener este tipo de llamadas, el 30 de junio venció el plazo para implementar el protocolo Stir –secure telephone identity revisited- /Shaken –signature-based handling of assesrted information using tokens-. Los mayores proveedores de servicios de vos en Estados Unidos, como AT&T, Verizon y T-Mobile deben implementar dicha tecnología en la que las llamadas pueden ser rastraedas para mitigar las que sean consideradas fraudulentas.

Las llamadas automáticas pregrabadas difilmente desapareceran, seguramente surgiran nuevas modalidades de este tipo de spam.

Bibliografía

bookmark_borderEl legado de Alan Turing

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

Alan Mathison Turing es considerado una figura fundamental en el campo de la computación y la informática, su trabajo y aportes constituyeron  la base de conceptos como lenguaje de máquina, programa, algoritmo y la noción de inteligencia artificial entre otros.

Nació el 23 de junio de 1912, en Londres, considerado padre de las ciencias de la computación y precursor de la informática. Turing murió por envenamiento con cianúro el 8 de junio de 1954, aparentemente luego de ingerir una manzana envenada. La versión más aceptada es que se suicidó. Su muerte aún genera polémica, ya que debido a su orientación homosexua -conducta considerada como delito en Inglaterra hasta 1967-, fué condenado a la carcel en 1952, pero optó por someterse a la castración química para no perder su libertad. En 2013, de forma póstuma, la reina de Inglaterra indultó a Turing. El Primer Ministro de entonces en una carta pública expreso Así que en nombre del gobierno británico y en el de todos los que vivimos en libertad gracias al trabajo de Alan me siento orgulloso de decir: Lo sentimos, te merecías algo mucho mejor. Como un homenaje a sus aportes y conmemerando su fecha de nacimiento, Inglaterra decidió en marzo poner en circulación, a partir del 23 de junio de 2021 billetes de 50 libras con el rostro de Turing

En su biograría se encuentran datos curiosos de su vida de estudiante en el Instituto Privado de Sherborne

  • Sacaba malas notas
  • Su aspecto no era aceptado por sus profesores
  • Gustaba de leer a Einstein y entendió la crítica a Newton sin que Einstein lo hubiera manifestado expresamente.
  • Sus principales inquietudes eran científicas: matemática, astronomía y química
  • Para asistir a la escuela recorria 90 kilometros

Su pasión por la ciencia fué fundamental, pero sería la lectura de los trabajos de Von Neuman en 1932 lo que transformó su interés en rigurosas investigaciones científicas. Aunque todo giraba alrededor de la matemática, su genialidad  y su encuentro con la lógica matemática de Bertrand Russell lo llevarían a un campo ininmaginable. En 1935  supo de un reto planteado en el campo de la lógica simbólica,  el  Entscheidungsproblem, que en castellano significa problema de decisión, que consistía en responder si es posible encontrar un método o proceso –al menos en principio-, que decidiera si una forma de cálculo de primer orden es un teorema. El problema fué planteado en 1928 por David Hilbert y Wilhelm Ackerman, pregunta que se remonta al siglo XVII con Gottfried Leibniz.

De forma independiente  Alan Turing y el matemático norteaméricano Alonzo Church, demostraron que tal proceso es imposible, lo que hace también imposible que exista un proceso que pueda decidir sobre la certeza o falsedad de frases concretas de la aritmética.

En cada uno de los trabajos de Turing y Church,  se dió vida a las ideas precursoras de  lo que hoy se conoce como algoritmo, pero Church se quedaría con un enfoque matemático, en tanto que Turing relacionó su trabajo con las operaciones que las cosas reales y las personas realizan, construyó un puente entre la lógica y el mundo físico.

El  trabajo de Turing de 1936,  “Los números computables, con una aplicación al Entscheidungsproblem”,  presenta la  Maquina de Turing, capaz de resolver cualquier problema matemático que pueda representarse mediante un algoritmo, concepto que  sería el fundamento de la teoría moderna de la computación. Adicionalmente, la abstracción de la Máquina de Turing derivó en otro concepto, El Procedimiento Almacenado, pieza fundamental de la computadora moderna, que permite trasladar las instrucciones de un algoritmo a un componente físico.

La segunda guerra mundial introdujo a Turing en la criptografía, trabajó como asesor de una división de la inteligencia britanica.  Su tarea consistió en descifrar mensajes de la máquina alemana Enigma, haciendo una generalización de una máquina electrómecanica llamadas Bombe,  que utilizaban los polacos para descifrar los mensajes. Luego de varias mejoras  a las máquinas descifradoras se sugiere el uso de circuitos electrónicos para mejorar la velocidad, lo que concluyo en la creación de las Colossus, que incluian métodos estadísticos creados por Turing. Se estima que sus aportes anticiparon el final de la guerra al menos en tres años. Las máquinas mejoradas de Turing y la Colossus son consideradas las primeras computadoras sin capacidad de almacenamiento, por lo que Turing se propone construir un Computador Real con Programa Almacenado.

En 1945, un equipo norteaméricano construye una versión mejorarda de la Colossus, la ENIAC, acrónimo de Electronic Numerical Integrator  And Computer, proponiendo posteriormente una nueva máquina, cuya novedad sería almacenar un programa en memoria. El gobierno británico decide competir con Estados Unidos, por lo que encarga a Turing un proyecto similar, que culminaría con el diseño conocido como ACE,  Automatic  Computing Enginedel cual surgieron conceptos como las redes de cómputo, la subrutina y la biblioteca de software. Nunca se logró construir en la realidad el diseño de Turing, pero todos los diseños posteriores partieron de ésta idea.

Otro aporte importante de Alan Turing se dió en el campo de la inteligencia artificial, en 1950 escribe un artículo en una revista de filosofía británica, el que comenzaba de ésta forma “Me planteo desarrollar la siguiente cuestión ¿Pueden pensar las máquinas?”. Con esta inquietud  se trata por primera vez la posibilidad de la inteligencia artificial, cuya tésis principal es que si una máquina se comporta como inteligente, debe ser inteligente. Propone revisar los conceptos de máquina pensar, reflexión que expone una visión científica y filosófica   que dió paso a transformaciones importantes para la sociedad informática que hoy vivimos.

La informática es parte de nuestras vida diaria, pero no siempre fué así, las ideas y trabajos de Turing son aún fundamentales para el desarrollo de las nuevas tecnologías, su legado en informática, entre otros, es de un valor inmensurable y constituye pieza fundamental para nuevos descubrimientos que están por venir.

Bibliografía 

  1. CUARTERO, Fernando. (2012). ¿Pueden pensar las máquinas? Alan M. Turing.
  2. HODGES, Andrew. (1995). Alan Turing – a short biography.
  3. PEÑA M., Ricardo. (2013). Vida y Obra de Alan Turing. Seminario de la Historia de la Matemática 2012/13, Departamento de Sistemas Informáticos y Computación, Universidad Complutense de Madrid.
  4. TURING, Alan M. (1950). Maquinaria Computacional e Inteligencia. Traducción del ingles al español por Cristobal Fuentes Barassi, 2010, Universidad de Chile.
  5. Perdón real póstumo para el matemático británico Alan Turing.
  6. Un nuevo billete de 50 libras con Alan Turing entrará en circulación en junio