Hoy es el día que he decidido comenzar mis vacaciones. Ha sido un año intenso en todos los sentidos, y desde que comenzó no he dejado de trabajar ni una semana. No he tenido vacaciones ni he descansado nada. Es verdad que tenía muchas cosas en las que centrarme, pero lo cierto es que se han tomado casi todos los días de mi año y puedo contar con los dedos de una mano los días que he estado en algo parecido a descansar. Ya me toca comenzar un periodo de Desconexión Invernal.
Figura 1: Desconexión Invernal
Como el año pasado, he decidido que la mejor forma de hacerlo es desconectar de mi vida digital durante un rato y centrarme en actividades del mundo físico. Así que voy a ver cómo me organizo para nadar, patinar, esquiar o montar en bici. Escuchar música, y olvidarme del ruido digital y laboral para ocuparme cosas de mi vida personal y no profesional. Voy a ver si encuentro un poco de conexión entre lo que hago y lo que es bueno para mí.
Aún tengo alguna cosa que hacer en mi trabajo, con compromisos ineludibles de mis responsabilidades que me van a obligar estar un poco atento, pero serán solo esos que ya tengo grabados a fuego en su slot de tiempo, y el resto de este periodo estaré off. No contestar e-mail, no responder mensajes de ningún tipo, no publicar en blog, no publicar en las redes sociales. Un poco de desconexión de mi “yo” online para conectar un poco más con mi “yo” offline.
Volveré en Enero, después del día de Reyes Magos o por ahí, según me apetezca, y tendréis algún artículo publicado en el blog a lo largo de estas Navidades que ya he dejado programado, pero el resto del tiempo el volumen de actividad bajará mucho por decisión propia, así que no os extrañéis y no os preocupéis por mí. Solo voy a comenzar un pequeño periodo de Desconexión Invernal.
Desde el área de Operaciones y Gestión de Seguridad de la Información, hemos abierto unas becas Talentum para seleccionar a un grupo de jóvenes que quieran venirse a pasar unos meses aprendiendo y trabajando en nuestros equipos de seguridad de información, y hoy es el último día para solicitar participar, así que no lo dejes pasar.
Figura 1: Becas Talentum en Seguridad de la Información
Las pruebas tienen una primera fase online que se cerrará hoy domingo a las 12:00 de la noche, así que si quieres participar debes hacerlo ahora. Los requisitos para participar los tenéis en la convocatoria de las mismas, que os dejo en el siguiente enlace: Becas Talentum en Fundación SEPI.
Figura 2: Becas Talentum abiertas hasta hoy mismo
Como os he dicho, un equipo de estas becas se vendrá directamente con nosotros al área de seguridad, a la parte de gestión y operaciones de seguridad, así que os garantizo que serán unos meses intensos haciendo muchas cosas con seguridad.
Para poder aprovechar esta capacidad tendremos que disponer de un plugin que permita el uso de TOTP como doble factor de autenticación. En nuestro caso utilizaremos el plugin de Two Factor Authentication. Para instalar este plugin iremos al apartado “plugins” de nuestra cuenta y seleccionaremos “Añadir nuevo”, usaremos el buscador para encontrar el plugin y lo instalaremos para después activarlo.
A continuación entraremos en el apartado “Two Factor Auth” de nuestro menú, donde podremos observar distintas opciones de configuración.
Figura 5: Configuración del Plugin de Two Factor Authentication
En la parte inferior tenemos los ajustes avanzados, donde nos aseguraremos de que la opción TOTP este activada.
Figura 6: Activación del plugin
Después procederemos al escaneo del código QR con la aplicación de Latch para añadir el nuevo servicio que queremos proteger.
Figura 7: Configuración de la protección TOTP en la cuenta
Una vez lo hayamos hecho nos dirigiremos a la parte superior de la ventana y activaremos la protección pulsando sobre “Enabled” y después sobre “Guardar Cambios”.
Configurando Latch Cloud TOTP
Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.
Figura 8: Configuración de Latch Cloud TOTP en la app
Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que podamos escanear el código QR que Two Factor Authenticator nos presentó anteriormente. En el momento que lo hagamos o introduzcamos los datos de la semilla "seed" manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que se nos muestra este mensaje, tendremos protegida nuestra cuenta de WordPress con Latch Cloud TOTP.
Iniciando sesión con Latch Cloud TOTP en Wordpress
Ahora, nos dirigimos al login de Wordpress e introducimos nuestro usuario y contraseña. Una vez validado, el sistema de login nos solicitará información sobre el código TOTP, tal y como se puede ver en la imagen siguiente. El segundo factor de autenticación está correctamente configurado en la cuenta de WordPress y podremos utilizar nuestro Latch para acceder a ese valor haciendo clic en la opción de PIN.
Figura 9: Login de WordPress protegido con TOTP
En nuestra aplicación de Latch debemos disponer de una entrada Latch Cloud TOTP que tenga el mismo nombre del servicio (en este caso localhost/wordpress) y generando tokens para la cuenta de WordPress que hayamos integrado con TOTP. Hay un botón, en dicha fila, con la palabra 'Pin' que deberemos pulsar para que nos genere un TOTP que será válido durante un breve período de tiempo (30 segundos), tal y como nos indica el pequeño reloj que aparece junto al token.
Figura 10: Latch Cloud TOTP token para la cuenta de WordPress
No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura.
Más recursos de fortificación de WordPress
Como punto final, os dejo una lista de recursos que os pueden venir bien si estáis administrando un WordPress o queréis aprender cómo fortificarlo de verdad. Estos son libros, vídeos, papers y artículos publicados que os pueden ayudar.
Por último, como se puede ver en la lista de recursos, es posible jugar con Latch para proteger WordPress de muchas maneras como Latch en las cuentas, Latch Cloud TOTP en las cuentas, Latch como 2FA de las tablas para configurar el Modo Paranoico o Latch para controlar varios WordPress. Pero si tienes una idea para Latch, recuerda que puedes ganar 5.000 USD con el concurso de plugins de Latch de este año. Y si quieres ayuda, puedes contactar con todos nosotros en la Comunidad de ElevenPaths.
Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras Críticas. Es el número 43 de la colección, y en esta ocasión la temática elegida ha sido una de las más importantes en la corriente de Industria 4.0 que se nos viene hoy encima.
Su autor es Juan Francisco Bolívar, y ha volcado su experiencia en la auditoría de estos sistemas para explicar cómo se auditan sistemas PLCs a través de los diferentes interfaces de acceso, cómo funcionan los protocolos HMI o cuál es la arquitectura de los sistemas SCADA que se implantan en muchas fábricas automatizadas a diferentes niveles.
El libro se centra en explicar las tecnologías que forman parte habitualmente de los sistemas industriales, cuáles son sus protocolos y sistemas, para después pasar a explicar cómo se pueden localizar los objetivos, cuáles son las herramientas necesarias para realizar una auditoría de seguridad y termina dando buenas prácticas y recomendaciones para la fortificación de los mismos. Os he subido el índice del libro a mi SlideShare.
La portada es obra de Rodol, que como veis se ha lucido con el diseñado haciendo una de las que a mí personalmente más me han gustado. Una pieza preciosa para mi colección particular de libros.
Hoy quería aprovechar para dejaros un paper que me han llamado la atención sobre cómo perfilar quién y cómo eres a través de tu smartphone utilizando técnicas forenses. Me ha llamado la atención porque a diferencia de lo que pensaba el paper no tiene nada que ver con analizar los datos dentro del terminal sino de analizar los productos que tus manos dejan al tocarlo. El artículo se titula "Lifestyle chemistries from phones for individual profiling".
Figura 1: Lávate las manos antes de tocar tu smartphone o el equipo C.S.I. sabrá cómo eres
Cada contacto deja restos, y las cosas que vas tocando en tu vida van quedando latentes en tus manos, pero además tus manos son parte de tu cuerpo, y algunos de los productos químicos que están dentro de ti, como aquellos tomados por tratamientos médicos especiales, pueden aparecer en tu piel, lo que hará que tal vez terminen en un terminal al tocar la pantalla táctil.
El paper lo que ha tratado de investigar es si se podía clasificar a una persona a partir de los restos químicos que quedan en un terminal, lo que podría ser una nueva forma en el futuro de hacer un perfilado rápido de las personas - al estilo que hacen los controles de aeropuerto cuando te capturan muestras de sudor o sustancias en una maleta o un pantalón -.
Figura 3: Captura de datos de diferentes voluntarios usando diferentes terminales móviles
En la muestra se han utilizado diferentes tipos de personas voluntarias, que han utilizado diferentes tipos de terminales con diferentes tipos de pantallas, que han sido analizados durante distintos momentos, que ha sido analizado para generar análisis de qué muestras y en qué ubicaciones de la pantalla se han descubierto esos restos químicos.
Figura 4: Proceso de análisis y atribución de terminal y estilo de vida
Con estas muestras se ha podido analizar los restos químicos del "estilo de vida", es decir, de las cosas en su día a día que una persona ha hecho. Además se ha hecho un análisis espacial para poder inferir la geometría y tamaño de la mano derecha del voluntario.
Figura 5: Restos químicos que apuntan a diferentes elementos del "estilo de vida"
Para saber el estilo de vida se han analizado los restos moleculares para localizar aquellos que aparecen en algún tipo concreto de producto de belleza, medicamento o alimento, con el fin de poder realizar un perfilado del voluntario.
Figura 6: Perfilado de voluntarios con su estilo de vida
Al final, el análisis final del trabajo consigue unir el estilo de vida, con el terminal móvil y la persona gracias a haber realizado un estudio espacial de la mano de cada uno de los voluntarios, lo que lleva a una identificación bastante concreta de cada uno de los que participaron en este experimento.
Figura 8: Atribución de personas por la geometría de su mano
Al final, el consejo de tu madre de lavarse las manos es muy importante, pero vamos a tener que empezar a trabajar con guantes al estilo Gattaca para no dejar nuestro perfilado completo en el terminal. O tal vez el próximo sensor que tenga el iPhone 8 o los nuevos Android sean sensores para acceder a tus muestras químicas de las pantallas y te pedirán permiso para acceder a él y poder perfilarte mejor para tener "better ads".
