Select Page
Ciberataques a centrales eléctricas… o Godzilla vs King Kong

Ciberataques a centrales eléctricas… o Godzilla vs King Kong

by | Jun 18, 2019 | Actualidad, Argentina, Centrales Electricas, CiberDefensa, Ciberprotección, CiberSeguridad, Hackers, Industria, Infraestructuras Criticas

Recientemente, una impactante noticia sobre ciberataques a redes eléctricas recorrió portales en todo el mundo. La posibilidad de atacar centrales eléctricas, paralizando ciudades, estados y hasta países enteros, sería ya una realidad.

Ya habíamos mencionado hace poco más de un año, que los principales blancos de ciberataques a las infraestructuras críticas, eran las centrales eléctricas. Diferentes grupos en todo el mundo vienen intentando ingresar a las redes que controlan los sistemas de producción y distribución de electricidad.

Los principales blancos de ciberataques a las infraestructuras críticas, son desde hace mucho tiempo, las centrales eléctricas.

Estos grupos estuvieron tan activos, que hasta desarrollaron malware específico. Hace algunos años, investigadores de ESET descubrieron  malware como el Crashoverride (también llamado Industroyer), diseñado específicamente para atacar centrales eléctricas. El código fue descubierto dentro de una planta de distribución de energía eléctrica de Ucrania. El halllazgo se produjo luego de la interrupción del suministro eléctrico en la zona norte de la ciudad de Kiev, a varias decenas de miles de usuarios y por poco más de una hora. En ese momento la repercusión mundial fue enorme. La empresa Dragos analizó técnicamente al Crashoverride y los resultados del análisis se pueden ver en su sitio web, o en la charla que dieron en BlackHat en 2016.

 

Godzilla

Si bien esta actividad lleva años, esta semana ocurrió algo nuevo. El New York Times, publicó una serie de notas, que hacen referencia a un informe en el que se deja expuesto otro aspecto del problema. Según el informe, el gobierno de Estados Unidos, desarrolló e implantó un elaborado sistema de malware dentro de las redes del sistema de producción y distribución de energía eléctrica de Rusia. El objetivo parecería ser el de atacar la red eléctrica rusa en caso de que se produjera un conflicto importante entre Moscú y Washington.

 

King Kong

Pero del otro lado, las cosas no parecen ser muy diferentes. Ya el Wall Street Journal informaba muy detalladamente a principio de este año, sobre las actividades de hackers rusos en la infraestructura crítica de Estados Unidos. Al parecer  se fueron detectando rastros de infiltraciones en compañías eléctricas de 24 estados de la Unión. Previamente a esto, el 15 de marzo del año pasado, el gobierno de Estados Unidos, publicó un detallado informe en el que declararon la existencia de una campaña de hacking por parte de Rusia, para infiltrar la infraestructura crítica de Estados Unidos.

 

El G-20

Tanto ha escalado este conflicto silencioso en estos últimos días, que en este momento se está hablando que Putin y Trump se reunirían en privado, durante el próximo capítulo del G-20, sólo para tratar este tema. Lo que está claro es que las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, dos monstruos decidieron enfrentarse.

 

Las redes de energía eléctrica se han convertido recientemente en un campo de batalla internacional. Un nuevo campo de batalla donde, al parecer, Rusia y Estados Unidos decidieron enfrentarse.

 

La pelea

¿Fue o no fue un ciberataque? Cuando hoy en día se produce un gigantesco apagón, dadas las circunstancias expuestas, lo primero que pensamos es que fue un ciberataque. Si bien puede ocurrir que en algunos casos no lo sea, la verdad es que la probabilidad de que sí lo sea es alta. Las herramientas de ataque están desarrolladas y disponibles. El esfuerzo por protegerse es muy alto mientras que el esfuerzo para atacar es mucho menor.

Para usar términos futbolísticos, los que estamos de este lado, sabemos que estamos perdiendo por goleada. Más o menos 10 a 1. Es 10 veces más facil atacar que defenderse. Se paga a los especialistas en ciberseguridad 10 veces más en el lado oscuro. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa. Genera 10 veces más adrenalina atacar que defenderse. Los que estamos de este lado, perdemos en todos los partidos, aunque eso no significa que vamos a darnos por vencidos 🙂 algún día los sistemas serán lo suficientemente robustos como para que estas cosas no ocurran. De todos modos, hay un partido que ganamos, de cada 100 intentos de ataque, sólo uno llega al blanco.

 

En ciberseguridad, es 10 veces más fácil atacar que defenderse. El costo de las herramientas de ataque es 10 (¿o cien? ¿o mil?) veces más barato que las de defensa.

 

La baticueva

Mientras tanto en la baticueva… los diseñadores y programadores de todo este malware, deben probar muy bien el funcionamiento de sus desarrollos. ¿Y dónde probar…? El laboratorio es el laboratorio…, tiene grandes limitaciones. Es imposible reproducir todas las condiciones, escenarios y variables de instalaciones reales. Habrá que probar entonces de otra forma, en un escenario más verdadero, pero sin atacar a Godzilla ni a King Kong. ¿Porqué no hacerlo entonces, en algún pequeño y remoto país, con mínimas o nulas medidas de ciberprotección, y donde no haya demasiadas repercusiones por interrumpir el suministro eléctrico por algunas horas a algunos miles (¿…millones…?) de habitantes?

 

Los diseñadores y programadores de malware para centrales eléctricas, deben probar muy bien el funcionamiento de sus desarrollos.

 

Los monstruos

Cuando de chico veía las películas de Godzilla, siempre me preguntaba sobre la suerte que corrían las personas que quedaban aplastadas cuando los edificios se derrumbaban durante las peleas. Es que cuando pelean gigantes, es imposible no quedar cubiertos por toneladas de escombros como efecto colateral de tan titánica batalla.

 

 

 

Nota por Carlos Benitez

 

Carlos Benitez es un reconocido experto en seguridad de la información.
Cayendo en la trampa del Fallback…

Cayendo en la trampa del Fallback…

by | May 13, 2019 | CiberSeguridad, Actualidad, Ciberprotección, Encriptados, Infraestructuras Criticas, Privacidad, Seguridad de la Información, Tecnologías

La empresa china eyeDisk desarrolló lo que prometía ser un pendrive “inhackeable“[1] y terminó siendo tan inseguro como cualquiera, por el inocente agregado de un fallback.

Todos los que estamos en este negocio, conocemos las dimensiones de seguridad de la información. Las 3 principales son: confidencialidad, disponibilidad e integridad. Nuestra tarea desde seguridad, es la de definir el esfuero y los recursos para protegerlas adecuadamente. Pero dependiendo del contexto y del negocio o la misión particular, a veces no todas las dimensiones se deben proteger de la misma forma.

 

Un caso extremo:

En el caso de las redes OT, a través de las que se controlan procesos industriales, la dimensión más importante a proteger es la disponibilidad. Muy especialmente en infraestructuras críticas. La interrupción de un servicio o proceso industrial no sólo puede llegar a costar muchísimo dinero, sino que además puede provocar gravísimos daños en el equipamiento o hasta en el medio ambiente. Es por esto que todas las medidas de protección van a estar enfocadas en que la disponibilidad sea lo más invulnerable posible. Integridad y confidencialidad se dejan en segundo plano.

 

Un caso intermedio:

Al desarrollar sistemas de protección, muchas veces se establecen, diseñan e implementan estrategias de vías o caminos alternativos para el caso que algún componente falle. Es el esquema de “fallback” o “plan B” en el que a veces se deben establecer relaciones de compromiso en las que se pierden o degradan algunas características de seguridad para mantener otras.

Un ejemplo de esto es el sistema de cifrado de la telefonía celular. Cuando se establece una comunicación entre teléfonos celulares, la información viaja cifrada. Esto se hace para que nadie que tenga un receptor de radio en la frecuencia de emisión de la comunicación, pueda interceptar fácilmente las conversaciones. El sistema de cifrado que se usa en GSM es la familia A5. Sin entrar en la discusión de las vulnerabilidades particulares de estos algoritmos (tanto A5/1 como A5/2 fueron rotos), es importante mencionar que la familia está compuesta por 5 miembros: A5/0, A5/1, A5/2, A5/3 y A5/4.

Cada algoritmo posee mayores fortalezas de cifrado que el anterior y, como consecuencia, de consumo de recursos. A pesar de que muchas veces no lo notamos por las deficiencias de las redes, en realidad los sistemas celulares están diseñados para que las comunicaciones nunca se interrumpan. Entonces, el uso de algoritmos de cifrado más fuertes, está íntimamente relacionado con contar con muy buena señal en los dispositivos. ¿Qué pasa entonces si estamos en una condición de baja señal? El sistema tiene varias instancias de fallback, en las que los algoritmos de cifrado se van degradando para no perder la comunicación. En el caso de tener muy baja señal, nuestros celulares bajan hasta el modo A5/0 en el que la comunicación no se cifra en absoluto. En este caso, alguien podría escuchar nuestras conversaciones.

Pero el negocio manda. Es decir, en telefonía celular, si bien no es tan crítico como en el caso de sistemas industriales, la dimensión que más se preserva es la de disponibilidad. ¿La razón? es más que obvia: segundo que el sistema no funciona, segundo que no se factura…

El fallback que implica la degradación de la privacidad está incorporado por diseño con toda la intención de que sea así.

 

Un caso erróneo:

Ahora bien, cuando se diseña un dispositivo cuyo principal objetivo es preservar la confidencialidad. Cuando se anuncia con bombos y platillos que el sistema es absolutamente “inhackeable“, se deben tomar ciertos recaudos. La firma china eyeDisk desarrolló por la modalidad de crowdfunding un pendrive que incorpora la sofisticada tecnología de lectura de iris para asegurar la confidencialidad de los datos que él se almacenen.

Según sus especificaciones, el acceso a los datos sólo puede hacerse mediante la lectura de iris del dueño. Teniendo en cuenta que el sistema de lectura de iris es resistente a la lectura de imágenes o fotografías, la empresa parecía haber creado el perfecto “for your eyes only“…

Sin embargo, David Lodge, de PenTestPartners, descubrió recientemente que si bien la resistencia a ataques de lectura de iris es real, el fallback del sistema compromete completamente la confidencialidad tan promocionada. Si la lectura de iris falla, se puede desbloquear el contenido del pendrive con una contraseña provista por el usuario al momento de la configuración.

Resulta que investigando la manera en la que se transfieren los datos, el investigador descubrió que internamente, la contraseña almacenada se transfiere via USB desde el dispositivo a la PC antes de la validación y en texto plano!!! Por esta razón, con sólo un poco de conocimientos y esfuerzo, es posible obtenerla y usarla…

 

Usando fallbacks

Hay veces que sinceramente no entiendo la forma en la que se diseñan los sistemas. En el caso de eyeDisk “el” argumento de venta del producto es la imposibilidad de que sea hackeado. El usuario debería quedarse 100% tranquilo de que si pierde un pendrive con información valiosa, nadie tendría forma de recuperarla mientras el pendrive no vuelva a encontrarse con el ojo del dueño. El concepto es muy bueno…!!! ¿qué necesidad hay entonces de crear un fallback que permita al usuario desbloquear el pendrive haciendo un bypass de la principal protección del sistema, la lectura del iris? ¿para qué dar esa vuelta más innecesaria cuando al hacerlo se destruye por completo el concepto inicial?

Al pensar, diseñar y construir dispositivos o sistemas, se los dota a éstos de un objetivo. Si se hacen bien las cosas, ese sistema deberia cumplir perfectamente con su objetivo y hacer sólamente eso, la razón para la cual fue diseñado. Esto es lo que diferencia a un producto líder de uno del montón, el hacer muy bien su trabajo. El error se comete cuando se intentan agregar objetivos o funciones extra, y es en esa diversificación innecesaria, cuando lo que se hacía muy bien en principio bien, se termina diluyendo.

En sistemas muy complejos, con muchos componentes y escenarios posibles, en los que se debe tener siempre una respuesta válida, son necesarios los fallbacks. Pero éstos deben estar bien pensados. Porque sino, podríamos sin darnos cuenta, caer en la trampa del fallback, instalando por ejemplo un botón que abra la puerta de calle de nuestras casas desde el exterior, por si nos olvidamos el token de la cerradura electrónica que acabamos de instalar en nuestra nueva puerta blindada…

 

[1] Perdón por el término, pero fue lo mejor que pude traducir la palabra original del fabricante, es decir: “Unhackable”…

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Búsqueda Implacable

Búsqueda Implacable

by | Abr 9, 2019 | Actualidad, CiberSeguridad, Noticias

Alarma la escasez de profesionales en ciberseguridad en todo el mundo. Se estima que este año la diferencia entre demanda y oferta alcanzará a casi a 3 millones de profesionales.

 

No hace falta decir que a medida que pasa el tiempo el mundo se va informatizando exponencialmente. De más está decir también, que el efecto colateral es que la “ciberinseguridad” crece al mismo ritmo.

Empresas, gobiernos, ONGs, nuestras propias casas; en todos los ámbitos se deben tomar medidas adecuadas de ciberseguridad. La complejidad, la especificidad y la velocidad con la que aparecen las vulnerabilidades y las medidas de protección, hacen que sea irremediablemente necesaria la intervención de profesionales en el área. Esos profesionales, además, deben estar altamente calificados.

Del mismo modo que en otras disciplinas, existen estudios que analizan la necesidad de profesionales. En particular, la organización ISC(2) (International Information System Security Certification Consortium) viene realizando este tipo de análisis cada 2 años desde 2004.

El informe se denomina GISWS (Global Information Security Workforce Study). Su objetivo es hacer un seguimiento del impacto del clima económico en los miembros del consorcio. Se toman en cuenta salarios en ciberseguridad, perspectivas de contratación, presupuestos, amenazas y muchos otros aspectos.

Para tener una visión amplia del problema, y debido a que cada año las encuestas y los análisis fueron cambiando, armé este gráfico utilizando el GISWS y otras fuentes. La figura muestra la evolución de oferta y demanda laboral en el mundo en puestos relacionados con ciberseguridad desde 2003 hasta 2018.

 

 Oferta vs. demanda histórica de profesionales de ciberseguridad en el mundo

 

Para construir el gráfico, utilicé datos históricos del GISWS, datos del 2015, del 2016, del 2017 y del 2018.

Ya en el informe del GISWS de 2005, aparece en la página 8 una frase premonitoria. Menciona que si se les aumentara el presupuesto en ciberseguridad a las empresas, éstas incorporarían más profesionales. Pero que, por otro lado, “Anecdóticamente, muchos proveedores de servicios de seguridad están luchando por encontrar candidatos apropiados para cubrir vacantes dentro de su fuerza laboral de ciberseguridad.

Lo que posteriormente se ve muy claro es que a partir del 2013 se empieza abrir una brecha entre la demanda de profesionales de ciberseguridad y la oferta. Esta escasez se fue ampliando con los años hasta llegar hoy a 2.9 millones de profesionales en todo el mundo.

Las razones que mencionan los diferentes informes son variadas. Una de las principales es la necesidad de especialización que es sensiblemente mayor que en otrar ramas de IT. Esto parece que no hace tan atractiva a la disciplina, a pesar que los salarios a nivel mundial son muy altos.

Otra, por ejemplo, es el desinterés de los Millenials o post-Millenials a trabajar en el área. Esto lleva a que la mayor parte de los puestos estén cubiertos por profesionales de más de 40 o 50 años, con una limitada capacidad de recambio.

La realidad es que la cantidad de ciberincidentes crece año a año, así como el costo de los fraudes o las intrusiones. Por otro lado, se sabe desde hace años que el punto clave para tener una buena ciberprotección en una organización es la gente. Sin embargo, algo pasa que no es posible cubrir esas necesidades y que las organizaciones hagan enormes e infructuosos esfuerzos en estas búsquedas. Este se convierte entonces, en otro ámbito en el que los malos de la película, parecen estar ganando.

Nota por Carlos Benitez

 

Carlos Benitez es un reconocido experto en seguridad de la información.
Blockchain… hasta el bitcoin y mas allá!!! (parte 3)

Blockchain… hasta el bitcoin y mas allá!!! (parte 3)

by | Feb 23, 2019 | CiberSeguridad, Actualidad, Bitcoin, Blockchain, Internet of things, Privacidad

Si bien la blockchain fue creada para soportar la primer criptomoneda, hoy en día existen muchos otros usos de esta tecnología más allá del bitcoin. Luego de la primera y la segunda, en esta tercera y última parte, les mostraré otros de los usos no-criptomoneda de la blockchain. En este caso, las aplicaciones son bastante más extrañas…………………………………………………………………………………….

 

#9- Mascotas virtuales

El concepto de la mascota virtual no es nuevo, hace 20 años aparecieron los famosos Tamagotchi que los dueños deberían cuidar y alimentar para que no murieran. La diferencia hoy con los CriptoKitties es que estos últimos no viven en un llavero, sino en la blockchain. Del mismo modo que los viejos Tamagotchis, estas nuevas mascotas virtuales corresponden a un “juego centrado en criaturas criables, coleccionables y tan adorables que llamamos CryptoKitties! Cada gato es único y 100% de su propiedad; no puede ser replicado, retirado o destruido.

 

#10- Certificados académicos digitales

Desde el año 2015, el MIT inició un proyecto para que todos los certificados de estudios académicos que cursen sus alumnos, se incorporen a la blockchain. Si esta iniciativa se aplicara a nivel masivo, permitiría reducir drásticamente los fraudes en la presentación de títulos académicos.

 

#11- Verificar la autenticidad de las Zapatillas

Otro objeto de copias y falsificaciones en todas partes del mundo son las zapatillas de alta gama. Es por esto que la empresa Chronicled creó un método para incorporar las zapatillas a la blockchain. De esta forma, un chip insertado en cada calzado puede verificarse contra la blockchain y saber si éste es verdadero o falso. Para evitar que los chips de zapatillas verdaderas sean sacados e introducidos en zapatillas falsas, las antenas se rompen al tratar de extraerlas. Por otra parte, y dado que alguien podría venderle sus zapatillas a otros, las funciones en la blockchain permiten la transferencia.

 

#12- Consentimiento sexual

En enero de 2018, la empresa LegalThings, especialista en contratos inteligentes sobre la blockchain, lanzó una aplicación llamada LegalFling. Esta aplicación también tiene el propósito de validar contratos, pero en este caso muy particulares: el consentimiento sexual entre los participantes. Los responsables de LegalThings dicen que se inspiraron en el movimiento #MeToo.

La aplicación móvil está disponible para iPhone y Android y va más allá de registrar si el usuario consiente en tener relaciones sexuales. También puede especificar los requisitos y si acepta ciertas prácticas. Algunas de ellas van desde compartir fotos y videos hasta usar o no preservativo, declarar que no padece enfermedades venéreas o que se pueda usar lenguaje explícito durante el encuentro. Una vez dado de alta el contrato, se envía una solicitud a su potencial pareja sexual. Al recibirlo, ésta decide si acepta o rechaza los términos. Esta aceptación o rechazo registra en la blockchain, por lo que ninguna de las partes puede alterar ese registro después de ese momento. Tampoco puede alegar que su contraparte aceptó la relación sexual si es que en la blockchain quedó registrado que no. Del mismo modo, no puede alegar que no aceptó tener la relación, si en la blockchain quedó almacenado el sí.

 

Como puede verse, el concepto de la blockchain está redefiniendo muchos aspectos de la vida de las personas. Mucho más allá del propósito con el que fue el creado: el soportar una criptomoneda. Ahora es sólo cuestión de imaginación de algunos y aceptación de muchos para que la blockchain se incorpore en nuestras vidas de forma mucho más abarcativa.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
El día de DNS

El día de DNS

by | Ene 27, 2019 | DNS, Actualidad, CiberSeguridad, DDoS, Noticias

El próximo viernes 1 de febrero (el “DNS Flag Day”) cambia parte de la implementación del software de servidores DNS en todo el mundo y algunos dominios podrían dejar de funcionar.

Los componentes que cambiarán son algunas configuraciones y parches poco ortodoxos que vienen siendo instalados desde hace casi 30 años.

¿Porqué se instituyó el DNS Flag day?

Los detalles se encuentran descriptos en el sitio DNS flag day. Tal como allí se explica, el sistema para resolver nombres en Internet se ha vuelto innecesariamente lento. Esto se debe a implementaciones de algunos servidores que no cumplen con el protocolo EDNS (Extension Mechanisms for DNS). Si bien este protocolo fue creado a principio de los ’90, nunca se logró implementar completamente. Algunas de estas configuraciones corresponden al uso de balanceadores de carga o firewalls configurados de forma incompleta o incorrecta.

Esto hizo que el sistema global de DNS se haya vuelto lento y que deje la posibilidad de que se generen fácilmente algunos tipos de ataques de Denegación de Servicios (DoS). La comunidad y un conjunto de las principales empresas de tecnología decidieron poner un punto final a esta situación. Y le pusieron fecha.

¿Qué pasará ese día?

El 1 de febrero de 2019 todas estas configuraciones y parches que mencionamos anteriormente dejarán de funcionar. Esto significa que todos los servidores DNS que estén mal configurados podrán, desde funcionar mucho más lento, hasta directamente dejar de resolver algunos nombres de dominio.

Por otro lado, el uso completo de EDNS agrega funcionalidad nueva que incluye mecanismos de protección contra algunos tipos de DoS que no podía ser utilizada hasta ahora.

¿Qué tenemos que hacer?

Si tenemos registrados dominios de Internet, debemos verificar si los servidores que resuelven esos nombres de dominio cumplen con el estándar o si se verán afectados y en qué medida. Para ello debemos ingresar a:

https://dnsflagday.net/#domain-holders

o a:

https://ednscomp.isc.org/ednscomp/

Si en cambio somos administradores de servidores de dominio, deberemos ingresar al siguiente sitio:

https://dnsflagday.net/#dns-admins

 

Si estas herramientas automáticas detectan errores en las configuraciones, mostrarán los pasos a seguir o cambios a realizar para solucionarlos. Es importante realizar estas verificaciones y, de ser necesario, los cambios antes del 1 de febrero próximo.

De esta forma, y casi 30 años después, lograremos entre todos, poner el DNS en orden…

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
¿11S leaks?

¿11S leaks?

by | Ene 6, 2019 | Filtraciones, Actualidad, CiberSeguridad, Hackers, Noticias

El grupo de hackers The Dark Overlord amenaza con publicar alrededor de 18.000 documentos, que declaran que tienen en su poder, supuestamente relacionados con los atentados del 11S.

Según el grupo, la información fue robada de un estudio de abogados cuyos sistemas fueron comprometidos.

El grupo que se hizo conocido hace 3 años cuando publicó en la dark web información confidencial de salud de miles de pacientes, robada de varios centros médicos de EE.UU., y obligando a los usuarios a pagar para eliminar dicha información de la red. Poco tiempo después el grupo filtró una temporada completa de “Orange is the new black” de Netflix previo a su estreno.

En esta oportunidad, el grupo alega que se introdujo en los sistemas de un estudio de abogados que trabajó con litigios relacionados con los ataques a las Torres Gemelas, aunque también nombra de manera confusa a varias compañías de seguros. Una de dichas compañias, el Grupo Hiscox, indicó que los hackers violaron los sistemas de un bufete de abogados que los asesoró en estos casos, y que probablemente robaron archivos relacionados con litigios sobre los ataques del 11 de septiembre. También indicó que los sistemas de la firma de abogados no están conectados a la infraestructura de TI de Hiscox y que los sistemas propios de Hiscox no se vieron afectados por el incidente.

Tal como en las otras ocasiones, el grupo pide un rescate para que la información no sea revelada. Una de las cosas que llaman la atención, es la suma de dinero que solicitan por entregar toda la información… sólamente 2 millones de dólares.

 

 

De no recibir ese pago, en bitcoins, amenazan con publicar información que, según dicen, tendrá consecuencias devastadoras para las autoridades de EEUU. A este respecto, y para hacer el caso más extraño y sorprendente, en el tuit donde anuncian la filtración, indican que a través de esa información robada, se darán “… muchas respuestas sobre conspiraciones relacionadas con el 11S…”. De más está decir que la cuenta de Twitter, @tdo_h4ck3rs, fue suspendida inmediatamente.

Si bien los posts fueron eliminados de casi todos los sitios, como thedarkoverlord publicó en Steemit, donde todo lo publicado queda guardado en una blockchain, aquí se puede ver el contenido de dichos posts.

Si bien publicaron a modo de ejemplo unos 500 documentos que parecen estar relacionados con litigos por el 11S, no se sabe realmente cuánta más información poseen. Como sea, y por lo que ya fue publicado, otra vez se muestra la falta de controles y medidas de seguridad de las empresas. Y en este caso con el agravante de lo extremadamente sensible de la información que no fue debidamente protegida.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.