Durante estas vacaciones he podido comprobar como EMV es por fin una realidad palpable en España. También he podido comprobar como algunos grandes comercios siguen pudiendo operar en fallback a banda magnética, lo que les evita exigir a cada uno de sus clientes que tecleen su PIN en los terminales, pero eso es harina de otro costal y no el objeto de este pequeño artículo.

Como era previsible, si hay algo que no ha cambiado es el escaso cuidado con el que la gente emplea su número secreto. Por desgracia, la transición a EMV no ha convertido mágicamente a los tarjetahabientes en expertos en seguridad en medios de pago. Si durante estos pasados nueve días no he visto en algún supermercado, restaurante o establecimiento al menos una decena de PINs, no he visto ninguno. Y es que quizás hemos pasado del PIN apuntado en la cartera a teclearlo alegremente sin tapar el teclado, permitiendo que cualquiera en las inmediaciones sepa qué número secreto tenemos en nuestra tarjeta.

Y esto, amigos míos, tiene un peligro más que obvio. En un mundo EMV, donde autenticamos las operaciones mediante PIN dejando a trás los recibos firmados, se reducen los escenarios donde reclamar un fraude caso de sufrirlo. Reclamar alegando que una operación autenticada mediante número secreto no es nuestra no es tan sencillo como pueda parecer, con lo que conservar la privacidad del PIN es absolutamente necesario e imprescindible si queremos conservar nuestra salud financiera.

Gestionar bien el PIN es algo fácil de hacer siguiendo tres sencillos pasos:

• Rotar el número periódicamente y siempre que se sospeche que puede haber sido visualizado por alguien. Escoger números personales aleatorios es obligatorio, con lo que las fechas de nacimiento, los números triviales y en general, los que sean previsibles de algún modo, deben ser evitados.
• Cuando se teclee el PIN cubrid con la mano el teclado, lo que impedirá que cámaras o los ojos curiosos de algún amigo de lo ajeno obtengan el número.
• Por último, especialmente si viajas a algún país de menor nivel de bancarización o simplemente a algún país donde EMV no sea un estándar, infórmate en tu sucursal sobre las condiciones que son aplicables a tu medio de pago con relación a los eventos de fraude.

Un saludo, y espero que tengais un buen regreso a lo cotidiano tras las vacaciones :)

Estuve hace poco invirtiendo un poco de tiempo en examinar la situación actual del mercado de las herramientas de clonado de discos con la idea de actualizarme. Este es un segmento donde casi todos los días aparece nuevo software, bien sea libre o propietario, con lo que a veces no es fácil tener claro qué herramientas son las mejores para nuestras necesidades.

El que tenga prisa y no quiera seguir leyendo que se vaya a Wikipedia. Esta fantástica tabla resume bien los distintos productos que estuve evaluando. Los demás son libres de seguir leyendo :)

Criterio 1 : ¿Soportada o DIY?

Muchos cometen el error de discutir primero si lo que debemos usar ha de ser libre o propietario. Es siempre mejor empezar a preguntarse si necesitamos o no soporte para la herramienta. Las herramientas comerciales suelen contar con soporte, ya que el cobro de una licencia suele implicar el derecho al soporte de la solución. En el software libre el soporte también existe, ya que este puede provenir de la comunidad (foros de ayuda, listas de correo, etc.) o bien del desarrollador del producto. Lo relevante en este punto es preguntarse si necesitamos ayuda o si podemos operar la solución nosotros solos.

Criterio 2 : ¿Copias crudas o copias inteligentes?

En este punto debemos preguntarnos si lo que necesitamos es ejecutar copias crudas, es decir, sector a sector, o bien copias inteligentes, que son aquellas en las que se detecta qué sectores del disco están ocupados para copiar únicamente aquellos que estén siendo usados. Típicamente la diferencia entre uno y otro provocará que el tamaño del clonado sea igual al del disco si la copia es cruda o bien igual al tamaño de lo que se ocupa si la copia es inteligente.

Aunque cada caso es un mundo, salvo que el tamaño sea pequeño, yo recomiendo el uso de copias inteligentes. Ojo a este factor, ya que no todas las soluciones admiten ambas posibilidades.

Criterio 3 : ¿Ejecutables en caliente o no?

Igualmente relevante es determinar si tenemos necesidad de ejecutar el clonado en caliente, es decir, a la par que usamos el sistema a clonar, o no. Estos métodos son frecuentes cuando se usan tecnologías de clonado Microsoft en las que se hace uso de shadow copies.

El clonado en caliente siempre es recomendable para las personas con menos nociones o cuando es estrictamente necesario mantener el sistema en línea. Habida cuenta que las copias en línea suelen estar vinculadas a tecnologías Microsoft, suelen además ser herramientas gráficas dotadas de una alta simplicidad de uso.

Criterio 4 : ¿Ejecutables mediante LiveCD/LiveUSB?

Este criterio normal es excluyente con el anterior, ya que suele aplicar a aquellas soluciones que no operan en caliente. Independientemente de este hecho, que no siempre tiene que darse (véanse los entornos de preinstalación de Windows) este criterio nos dirá si la herramienta que queremos ejecutar está disponible en formatos LiveCD y LiveUSB, es decir, ejecutables sin instalación desde medios ópticos y flash.

Dependiendo del nivel de noción del usuario y de las ganas que se tengan de hacer DIY este criterio puede tener más o menos peso. La experiencia me dice que la mayoría de la gente no quiere o no sabe generar entornos live, con lo que disponer de versiones LiveCD y LiveUSB suele ser bastante importante.

Criterio 5 : ¿Clonado de discos completos o de particiones?

Tener claro si queremos clonar un disco completo o una partición es relevante, especialmente por el hecho de que las particiones suelen ser menores que los discos (a no ser que el disco tenga una única partición, claro) con lo que la velocidad del proceso puede ser acelerada considerablemente. Con los tamaños actuales, clonar un disco completo es una tarea que requiere bastante tiempo y no es recomendable salvo que sea estrictamente necesario, generalmente cuando no existe un particionado no primario.

Este criterio es especialmente relevante en sistemas donde existe particionado múltiple en el disco a clonar, como por ejemplo, los derivados Unix donde se generan particiones para /home, y otras distintas para temporales y otras partes del sistema. Aunque la enorme mayoría de las herramientas admite ambos modelos no siempre es así, con lo que debemos dedicar un cierto tiempo a investigar este concepto.

Otros criterios

En este cajón misceláneo podemos meter todos los demás criterios que consideremos relevantes, como por ejemplo saber si la herramienta que vamos a emplear admite cifrado de los medios a generar, partición de tamaños elevados en ficheros pequeños, conectividad en red para operaciones remotas, soporte de distintos sistemas de fichero, ejecución independiente o mediante cliente-servidor, etc. Para ello lo ideal es referirse a los manuales y la documentación una vez se haya escogido la herramienta a emplear en función a los criterios anteriores.

No dejéis de consultar estas opciones adicionales cuando tengáis claro qué herramienta usar. Tenéis una relación de herramientas y funcionalidades en esta tabla de la Wikipedia.

Mis recomendaciones

Aunque no resulta fácil recomendar ya que existen muchas y buenas soluciones ahí fuera, me suelo decantar por:

• Soluciones comerciales: Acronis True Image. Es tremendamente fácil de usar, el soporte es de alta calidad y la relación calidad precio es excelente ($29.99 la versión Home). Puede ser usado en caliente si utilizamos Microsoft o fuera de línea mediante un medio ejecutable facilitado por el propio producto. Ojo a los sistemas Mac, ya que Acronis no admite HFS+
• Soluciones no comerciales: Clonezilla. Aunque no admite operaciones en caliente y es puramente offline, es una herramienta sencilla y soporta prácticamente todos los escenarios imaginables. Si se requieren operaciones en caliente, es factible emplear ODIN, aunque esta herramienta está limitada a entornos Microsoft.

¿Tienes experiencia con alguna de las soluciones de clonado habituales? ¿Quieres recomendarla? Déjanos un comentario :)

Un saludo,

Como habréis notado he respetado el título original del artículo ya que creo que cualquier intento de traducción estropearía un titular que me parece -además de divertido- adecuado.

Os dejo este interesante paper de Rafal Wojtczuk de Invisible Things Lab, y lo hago por tres razones: la primera es ilustrar cómo un problema serio puede ser resuelto de una manera rápida, consensuada y al gusto de todos los implicados. El 17 de Junio Rafal notificó el problema al equipo de X.org. Tres días más tarde se decide que el problema debe ser discutido con los desarrolladores del kernel de Linux, ya que la manera adecuada de solucionar el problema pasa por parchear el núcleo. El 13 de Agosto Linus Torvalds resuelve le problema con el correspondiente parche, y ayer día 17 de Agosto se publicó este documento.

La segunda razón es dar a conocer el problema. Se trata de una vulnerabilidad descubierta accidentalmente y que al menos está presente desde la introducción hace unos 5 años de la rama 2.6 del núcleo de Linux. Es un problema con consecuencias extremadamente graves, ya que permite la elevación de privilegios a root desde procesos sin privilegiar que tengan acceso al servidor X, si bien no se explota problema alguno en X.

El problema puede ser explotado si un atacante modifica maliciosamente una aplicación que haga uso del servidor (cualquier aplicación con frontend gráfico, por tanto) siendo posible que se logren sobrepasar los mecanismos de seguridad provocando que el proceso corra como root, lo que técnicamente es un compromiso total del sistema. Según se explica en el documento, mediante este ataque es posible escapar incluso del afamado sandbox -X de SeLinux. Casi nada.

El problema se puede solucionar bien parcheando el núcleo (2.6.35.2 y 2.6.34.4 están libres del problema), bien deshabilitando la extensión de intercambio de datos de imágenes entre el cliente y servidor empleando la memoria compartida (MIT-SHM). Tenéis más información de este interesante caso en el blog de Joanna Rutkowska y los detalles del problema están narrados con detalle en el documento Exploiting large memory management vulnerabilities in Xorg server running on Linux.

Sí, efectivamente, tienes razón: eran tres las razones, y me he reservado la última para el final. El tercer motivo es pensar sobre cuántas vulnerabilidades similares a esta estarán aletargadas entre las millones de líneas del código de Linux. Probablemente muchas, y probablemente la mayoría no están siendo explotadas activamente, si bien tener certeza de esto es imposible. Aunque Linux es un sistema extremadamente eficiente, estable y seguro, no sólo hay esqueletos en los armarios de Redmond. Sirva este ejemplo para ilustrarlo.

Un saludo,

Me gustaría aprovechar este breve inciso en las vacaciones veraniegas para hablar de Live View. Esta herramienta es una de mis predilectas, y quizás sea una de esas muchas aplicaciones de alta calidad que por su especialización pasan desapercibidas para el grueso de los usuarios, si bien dentro del mundo del análisis forense es una herramienta utilizada de modo intensivo, habida cuenta de sus virtudes y su carácter gratuito.

Especialmente orientada para trabajar desde una estación Windows y ofreciendo el mejor soporte para el análisis de sistemas también Windows (el soporte de Linux es parcial, y yo no os lo aconsejo) Live View permite al investigador forense estudiar las imágenes forenses que se hayan recogido para realizar una investigación de la misma desde un punto de vista dinámico, es decir, ejecutando dicha imagen.

Mediante Live View es posible crear una máquina virtual VMware a partir de una imagen forense, lo que posibilita al investigador obtener un punto de vista dinámico de la ejecución del sistema que se quiere analizar tal y como hemos comentado. Tradicionalmente casi todas las herramientas forenses son estáticas: se monta la imagen, se buscan cadenas, se correlacionan los eventos y se observa la relación de los mismos, extrayendo las conclusiones pertinentes. El punto de vista dinámico nos permite observar el sistema en ejecución, lo cual puede ser especialmente interesante si planeamos hacer operaciones como el estudio de los procesos en ejecución, un volcado de memoria, contaminación de los componentes del sistema, lanzar aplicaciones, capturar el tráfico de red, etc.

Live View no daña la imagen original, respetando así la validez de las evidencias. Otra enorme ventaja es que, dado que se generan imágenes VMware, es factible gestionar snapshots de las mismas para ir realizando cambios y reviritiéndolos rápidamente si fuera necesario. Live View permite montar y analizar imágenes crudas (dd) tanto de discos completos como de particiones, así como discos físicos (unidos a la máquina mediante USB o Firewire). Los sistemas soportados son Windows 2008, Vista, 2003, XP, 2000, NT, Me, 98 y existe soporte parcial para Linux.

Live View es software libre según GPL y puede ser descargado sin coste desde http://sourceforge.net/project/showfiles.php?group_id=175252

Un saludo,

El pasado 22 de Julio IBM presentó el nuevo miembro de su gama más alta de productos de computación. IBM zEnterprise System. En líneas muy generales, zEnterprise System está compuesto por tres componentes principales: núcleos zEnterprise 196 (z196), aceleración de aplicaciones en rack de hardware independiente zEnterprise BladeCenter Extension (zBX) y ejecución multiplataforma con un único punto de control centralizado mediante zEnterprise Unified Resource Manager.

Para los que estéis familiarizados con los mainframes de IBM, este nuevo engendro comparte la arquitectura z/Architecture 2 (ARCHLVL 3) con System Z10. Impulsado por procesadores z196 5.2 GHz, formados por cuatro núcleos y con funcionamiento en ejecución fuera de orden u OoOE (Out-of-Order Execution), estas nuevas máquinas soportan hasta 3 TB de memoria DDR3 en una configuración especial de alta disponilibilidad llamada RAIM (Redundant Array of Independent Memory) que proporciona mecanismos de comprobación de errores y corrección de los mismos, lo cual es verdaderamente interesante habida cuenta de lo problemáticos que suelen ser los fallos de cualquier componente hardware de un mainframe, especialmente de la memoria.

Este nuevo juguetito, siempre según el fabricante, incrementa el rendimiento de z10 en un 60% con una reducción del consumo energético del 80%. A mí me parecen números un tanto forzados, seguramente producto de pruebas en laboratorio y no procedentes de una explotación real, aunque seguramente el rendimiento y el consumo han mejorado bastante. Para los que deseéis ampliar conocimiento sobre esta nueva familia, el pasado 28 de Julio se publicó, bajo el formato de Redbooks, zEnterprise System Technical Introduction. Este libro gratuito contiene información sobre z196, zBX y la gestión centralizada, y está especialmente indicado para casi todo tipo de perfiles, ya que no requiere conocimiento previo de la tecnología y terminología IBM System z. A los que les sepa a poco la introducción pueden optar por la guía técnica completa IBM zEnterprise System Technical Guide.

He querido seleccionar este lanzamiento para ilustrar un inconveniente que sufrimos los que nos dedicamos a la seguridad y a la auditoría de sistemas. La imparable evolución tecnológica trae consigo imparables cambios en la manera en la que gestionamos la seguridad y auditamos los sistemas. Estos cambios los pueden producir cambios en los negocios o cambios en la tecnología que los sustenta. Aquellos que creen que las cosas nunca cambian y que pueden sortear la evolución tecnológica sin refrescar conocimiento están condenados al fracaso, siendo la misma idea es aplicable a los que creen que los negocios siempre se hacen igual y que son invariables en el tiempo. Es por esto que lo primero que debe hacer un auditor es comprender bien, aunque sea la decimonovena vez que audita lo mismo, cuál es la situación actual del negocio y de la tecnología sobre la que tiene que opinar.

Para el caso que nos ocupa, zEnterprise System, parte del cambio de nomenclatura es meramente mercadotécnico, aunque sería injusto asumir que tras el cambio de nomenclatura sólo hay cambios estéticos. Existe un cambio muy relevante en la tecnología subyacente, y esto nos obliga a comprender los cambios para ver hasta qué punto nuestros programas de auditoría y seguridad precisan ser actualizados.

Esta labor de actualización también es relevante para los que explotan estas máquinas y planifican los cambios. Por ejemplo, z196 será el último servidor que soporte ISC-3 para Parallel Sysplex, con lo que los clientes deben migrar al nuevo formato de conexión Parallel Sysplex InfiniBand (PSIFB). Es sólo un ejemplo de los muchos cambios que, como cualquier otro producto que debe ser soportado, se van introduciendo con los cambios de versión. Por citar un ejemplo, imaginaos las repercusiones en la auditoría, derivadas de la nueva apuesta centralizada, que puede tener un cambio de arquitectura completo, donde una transacción determinada que antes pasaba por cinco dominios tecnológicos ahora sólo pase por un par de ellos.

Todos los cambios tienen implicaciones en cómo se aborda el análisis de seguridad o la auditoría de un sistema determinado, con lo que es crucial conocer las modificaciones para realizar un trabajo de calidad. Esto nos recuerda nuevamente la imperiosa necesidad que tenemos los que nos dedicamos a la seguridad y auditoría de infraestructuras tecnológicas de estar, permanente e inexcusablemente, atentos a los cambios de aquello que es susceptible de ser revisado como parte de nuestro cometido profesional.

Un saludo,

¿Os acordáis de los averigua quien te ha borrado/quien te tiene no admitido del MSN? Ahora que el Messenger ya no está tan de moda los usuarios se están topando con cosas similares especialmente en las redes sociales, como por ejemplo, los averigua quien ha mirado tu perfil Facebook.

A tenor de lo publicado por Net Security parece que hay actividad creciente en este campo, lo cual no me extraña lo más mínimo teniendo en cuenta la popularidad de Facebook, la curiosidad de la gente y su tendencia a creerse cualquier cosa que les llegue por correo. Hay información (incluyendo la captura) sobre este ataque en el blog de Robert Thompson de AVG.

El engaño es simple. El cebo es ofrecer una aplicación que permite saber quién ha mirado nuestro perfil en Facebook. Pero la descarga nunca se ofrece, ya que lo que se pide es completar una serie de encuestas (para que tú mismo les des tu perfil actualizado a los atacantes) y registrarse en un servicio que cuesta 20 dólares al mes.

A los que uséis Facebook, especialmente a los que habéis llegado a este artículo buscando fórmulas mágicas: no se puede saber quien ha mirado tu perfil. Tampoco puedes ver quien ha visto partes del perfil, como las fotos. Ninguna aplicación desarrollada por terceros permite esta funcionalidad y además, todas aquellas que claman poder hacer estas tareas violan la política de la red social. Si te topas con correos o páginas que te ofrecen este tipo de servicios, haz caso omiso.

Un saludo,

Ya lo decía Francisco de Quevedo: poderoso caballero es don Dinero. Sirva este ejemplo para ilustrar, casi 500 años más tarde, que el dinero sigue siendo un poderoso caballero. Especialmente en la informática empresarial.

He marcado en rojo el asunto del mensaje para que quede claro que este pequeño artículo no pretende bajo ninguna circunstancia publicitar ni a Oracle ni a sus productos, sino emplear su mercadotecnia para ejemplarizar lo que pasa habitualmente en las empresas a la hora de comprar tecnología. Confieso que, tiempo atrás, me costó un poco razonar y comprender que la parte técnica de la tecnología es interesante, pero salvo raras excepciones reservadas a empresas puramente tecnológicas, no es la palanca que mueve el mundo en el mercado empresarial. Lo que cuenta en las empresas es la traducción a términos financieros de los activos que se utilizan para explotar el negocio. Empleando una expresión más coloquial, lo que cuenta es el dinero.

Es por esta razón que el asunto del correo habla de reducción de costes, y no de las bondades técnicas de la solución. Lo cual tiene su lógica, teniendo en cuenta que quien dispone de la chequera para invertir sólo lo hará si ve que esa inversión implica ganancia en el más corto plazo posible.

Este es el típico mensaje de correo que en un círculo puramente técnico suscitaría un interesante debate sobre si la solución en particular es mejor o peor, o más o menos conveniente, pero señoras y señores, los círculos puramente técnicos no son los que deciden qué comprar, cómo y cuando. Si eres uno de esos trabajadores que está en un círculo técnico lo mejor que puedes hacer, en vez de irritarte con los mensajes que contienen escasas o nulas referencias a tu dominio, es tratar de traducirlos a términos económicos. Esto no significa que dejes de hacer lo que debes hacer, que es valorar las cosas desde el punto de vista técnico. Hazlo, y cuando sepas qué solución es la mejor desde el punto de vista tecnológico, traduce las bondades a euros, dólares o la moneda que sea precisa.

Este proceso de dos fases convierte lo que se esperaba de tí en un trabajo de calidad con auténtico valor. ¿Quieres diferenciarte y mostrar tu valía? Este es el camino. Da igual en qué segmento de las TI trabajes, seguridad, explotación, diseño, operaciones, soporte ... este consejo funciona en todas las áreas. Saca el aprobado haciendo lo que debes (valoración técnica) y ve a por la matrícula de honor haciendo lo que nadie suele hacer: traducir al valor económico.

Un saludo,

Tener la posibilidad de cerrar la tapa del portátil y encontrarnos las cosas como estaban al volver a abrir la tapa es una gran ventaja para muchas personas. Desde la aparición de Windows 2000, el sistema operativo de Redmond soporta una función que casi todos hemos empleado en alguna ocasión: la suspensión de estado a disco, o hibernación.

La hibernación en el nivel de sistema operativo tiene como principal ventaja no requerir drivers adicionales. Técnicamente hablando también es frecuente encontrar en la literatura referencias al estado de hibernación como ACPI S4 (Advanced Configuration and Power Interface). Este estándar abierto, cuya primera versión data de 1996, fue escrito originalmente por Intel, Microsoft, y Toshiba. En síntesis, y para equipos Microsoft, el estado ACPI S4 se traduce, en términos prácticos, en la creación de un fichero oculto llamado hiberfil.sys, cuyo tamaño total es siempre equivalente a la cantidad de RAM de la máquina. La hibernación sólo es posible si todo el hardware de la máquina cumple con los requisitos ACPI y Plug-and-play, debiendo ser los drivers compatibles con PnP.

Este fichero no es más que una imagen de la memoria de la máquina comprimida con un algoritmo que nunca ha sido publicado ... hasta que alguien encontró la manera de manipular estos ficheros.

Accediendo y manipulando ficheros de hibernación. La manera elegante

La manera elegante (y a su vez, adecuada) para analizar ficheros de hibernación es la transformación en volcados forenses que podamos utilizar en nuestras herramientas habituales. La primera referencia sobre cómo realizar esta tarea es obra de Matthieu Suiche, autor en 2008 de una charla BlackHat llamada Windows Hibernation File for Fun and Profit en la que ofreció detalles acerca de cómo manipular este tipo de ficheros. Suiche, como parte de su proceso de investigación, realizó ingeniería inversa y dedujo cómo estaban comprimidos los ficheros hiberfil.sys. También, como parte del proceso de investigación, Suiche liberó las herramientas Sandman para poder manipular los ficheros de hibernación.

Lo que en su día fue Sandman es hoy en día Moonsols Windows Memory Toolkit, que tiene una versión comercial y una versión community que podéis descargar y usar. Dentro del juego de herramientas hay una aplicación llamada hibr2bin que puede ser utilizada para la conversión.

También es posible convertir ficheros de hibernación a una imagen cruda empleando Volatility, que dispone de un módulo llamado hibinfo basado en el código de Suiche. Este módulo permite generar una imagen legible a partir del fichero de hibernación.

Una vez obtenida una imagen lineal, es trivial analizar los contenidos. Ya que hemos hablado de Volatility, ojead este artículo para tomar alguna idea sobre cómo realizar el análisis. También podéis ojear los contenidos de este otro artículo.

Strings en Unix. Una manera rápida de evaluar los contenidos de los ficheros de hibernación.

Si lo que queremos es hacer una evaluación rápida de los posibles contenidos del fichero, sin tener que generar una imagen legible, es posible buscar en los contenidos del fichero una vez extraídas las cadenas.

Estos son algunos ejemplos de los contenidos de mi fichero de hibernación:

Algunos usuarios y servicios de red:

Credenciales de Filezilla:

Administrador de router, contraseña y contraseña wireless:

¿Cómo solucionar el problema?

Aunque la hibernación es una funcionalidad que se puede desactivar, el primer pensamiento que nos puede venir a la mente para protegernos ante la recuperación indeseada del estado de hibernación quizás sea el cifrado completo del disco. Esto, que dicho sobre el papel suena fácil, es en realidad un problema difícil de solucionar. Habida cuenta de que Microsoft no proporciona APIs para manipular el proceso de hibernación, los procesos de cifrado de este fichero se basan (con la excepción de BitLocker, cifrado nativo de Microsoft) en la modificación de componentes de Windows que no están documentados, con lo que ante cualquier cambio por parte del fabricante los medios escogidos para el cifrado podrían tornarse inútiles. La situación de ventaja que tiene BitLocker sobre otros medios es un tema que sigue suscitando polémica, y que sigue sin estar plenamente resuelta.

Un saludo,

Hace algunos años se introdujo por parte de las marcas lo que hoy se conoce como 3-D Secure. La idea no era mala: ponerle coto al fraude con tarjeta no presente (card not present fraud), que es aquel que se consuma disponiendo de los datos de la tarjeta y no de la tarjeta en sí. Para reducir los eventos de fraude, 3-D Secure introdujo una contraseña que serviría para confirmar que somos los legítimos propietarios de la tarjeta que pretendemos emplear. En este escenario que muchos conoceréis, al introducir los datos de tarjeta se nos transporta a una pantalla en la que introducimos, como parte del proceso de compraventa, la contraseña que hayamos especificado en nuestro programa Verified by Visa o MasterCard SecureCode para la tarjeta que estemos usando. Sin introducir esta contraseña no es posible completar la operación, independientemente del hecho de conocer el PAN, la fecha de caducidad, el titular y el código de verificación.

Este protocolo se ideó con buenas intenciones, pero tiene un error de diseño mortal de necesidad consistente en la creencia de que las contraseñas serían eternamente suficientes para poder impedir el fraude. Durante años nadie ha hecho nada para mejorar lo que a todas luces era mejorable, algo que ha quedado patente con la banca a distancia y el fracaso de las estrategias de autenticación de personas basadas en contraseñas.

Tal y como ha evolucionado el crimen tecnológico, salir a la red a realizar operaciones financieras protegiendo nuestros activos sólo con contraseñas es una receta para el desastre. Los responsables son los de siempre, los amigos de lo ajeno, que en vez de dormirse en los laureles de la lucha contra el fraude innovan todos los días y no dejan títere con cabeza aprovechando cualquier resquicio de debilidad, evidenciando, tal y como hemos explicado, que los métodos tradicionales de autenticación están absolutamente muertos a todos los niveles. Ya lo descubrimos tiempo atrás con la banca a distancia y hoy confirmamos que con el comercio electrónico, como no podía ser de otro modo, pasa igual. Los ejemplares de Zeus atacando al protocolo 3-D Secure son una clara evidencia de ello.

El comercio electrónico del siglo XXI merece una seguridad acorde a los tiempos que corren. El camino es autenticar transacciones, no a las personas. Espero que la más que previsible proliferación de este tipo de ataques sirva para poder acercar a los titulares de las tarjetas medios verdaderamente seguros para operar en Internet, aunque mucho me temo que a tenor de lo ocurrido en la banca a distancia, pasará mucho tiempo antes de que veamos medios realmente seguros disponibles para todos. Espero equivocarme.

A lo largo de los años he ocupado distintos puestos relacionados con la seguridad. Durante una buena temporada fui un consultor de seguridad con foco exclusivo en ventas, una figura bastante usual en el mercado de trabajo. Es una tarea que realicé con sumo gusto y que he realizado en otras ocasiones, y que realizo con alegría cuando se me requiere: Creedme que no hay nada más gratificante que sentirte identificado con los colores de tu empleador y salir al ruedo a darlo todo, ofreciendo tus productos y servicios con la esperanza de resolver un problema en un cliente potencial.

Comerciales, ejecutivos de cuentas, account managers, personal de desarrollo de negocio, ... hay muchas maneras de definir a los profesionales que se dedican a las ventas. También durante el transcurso de estos años he podido verificar que muchos de estos profesionales son generalmente objeto de menosprecio e incluso burla - es un vendehumos, ha venido a colarnos un gol por la escuadra, menuda moto nos quiere vender, no tiene ni puñetera idea - ¿quién no se ha quejado de la actuación de un comercial en alguna ocasión? Ni siquiera el mundo de la seguridad se libra de que, como en todos los negocios, podamos sufrir la visita de personal de ventas de escasa o ninguna cualificación que al final sólo nos deja un sabor agrio, sensación de tiempo perdido y una mala imagen de la empresa a la que representaba.

No obstante generalizar es siempre peligroso. No siempre el personal de ventas es, por definición, malo. Hay profesionales extremadamente cualificados que saben presentar sus productos y servicios de una manera convincente y oportuna, siendo la oportunidad la combinación de conveniencia, efectividad y adecuación. Ciertos servicios de seguridad son extremadamente complejos y por tanto el proceso de preventa es largo, tedioso y sobre todo, requiere un conocimiento muy profundo de lo que se quiere vender y de los negocios donde opera nuestro potencial comprador. Es imposible, sin un buen personal de ventas, prosperar en este tipo de operaciones, porque el ciclo de venta se puede extender en el tiempo y requiere profesionalidad continua: al más mínimo desliz podemos perder el contrato. Y un desliz puede ser algo tan simple como que te pregunten por un aspecto del proyecto y dudar más de la cuenta en la respuesta. Por todos es sabido lo difícil que es construir confianza y lo fácil que es perderla. Tirar por la borda 30 o 60 días de labor de preventa por una respuesta errónea o poco convincente es, por desgracia, algo plausible.

Igual que la experiencia me dice que siempre es posible toparse con un comercial ineficaz, desmotivado y poco orientado, la misma experiencia me dice que hay muchas empresas que se sostienen por la brillante actuación de su personal de ventas, especialmente en el mundo de la venta de servicios y productos complejos. La diferencia entre el aspirante a una comisión y un profesional de las ventas es que el segundo siempre te transmite la sensación de que su ayuda es necesaria y que la agradeceremos, y te demuestra en cada paso del proyecto que domina la materia, adelantándose a tus necesidades y construyendo a medida que avanza el ciclo una solución atractiva, personalizada, fiable y útil para resolver problemas reales que es preciso resolver.

Quizás buena parte de la mala fama que arrastra el personal de ventas tenga que ver precisamente por la actuación de quien debería cultivar y beneficiarse de un buen ciclo de ventas en primer instancia. Quizás los primeros en minarse el camino sean los propios empresarios, que muchas veces entienden que cualquiera puede ser comercial a cambio de unos pocos euros al mes y un 10% de comisión sobre ventas, y que cualquiera que sepa descolgar un teléfono, enviar unos PDF por correo o ponerse un traje y una corbata para entregar a puerta fría unos folletos está cualificado para construir negocios, ya se vendan aspiradoras, enciclopedias o servicios de seguridad. Quizás también buena parte de la culpa sea de aquellos mercenarios que, aún estando bien pagados y considerados, lejos de prosperar, aprender e involucrarse, sólo se centran en pasar más kilómetros y dietas de las consumidas, en justificar que han hecho las 50 llamadas que les han pedido (y ni una más, faltaría más) y de poner la mano a fin de mes sin que les preocupe un bledo la salud financiera de quien les paga. Mire por donde se mire el mundo de las ventas está por lo general devaluado, y la culpa la tienen todos los integrantes de la cadena.

Lamentablemente nadie debe olvidar que los negocios viven de los ingresos, y que los ingresos provienen de las ventas. Que nadie se extrañe pues que la salud de la cuenta de resultados dependa directamente de lo buenos que sean los vendedores y lo motivados que estén. ¿Por qué tan pocos comprenden entonces que lo más lógico sería cuidar al personal de ventas? ¿Por qué, salvo honrosas excepciones, los puestos comerciales siguen siendo de escasa cualificación y con perfiles salariales que rozan la vergüenza? ¿Por qué mantenemos la mentalidad de comercial igual a mano de obra barata fácilmente reemplazable, y por qué los malos comerciales sólo siguen centrados en cómo sacar unos euros más a toda costa, totalmente ajenos a involucrarse y sacrificarse?

Demasiadas interrogantes abiertas en un campo donde todo debería estar más claro.