Tarsis.net - Consultoría y Agencia Internet para empresas
Internet para empresas
Tarsis.net – Blog

Archive for the ‘Seguridad’ Category

Inseguridad jurídica de los dominios .ES

Viernes, enero 11th, 2013

El pasado 16 de noviembre de 2012 la agencia gubernamental Red.es daba a conocer en una nota de prensa que los dominios .ES podrían ver “reasignado” su propietario en pro del interés general, dependiendo este hecho meramente de la voluntad administrativa.

Red.es: Otro caso de uso privado de recursos públicos

Es una vieja historia que todos conocemos a través de las cadenas de televisión: las cadenas públicas resultan ser las más privadas de las cadenas, a las órdenes de los partidos políticos que las han infiltrado, frecuentemente — aunque no siempre — aquellos que están en el poder.

Un ciudadano inocente podría aspirar a que un organismo que se ocupa de la gestión de recursos públicos — como es el caso del espacio de nombres de dominio .ES — hiciera un esfuerzo titánico por defender la equidad y defensa de la ley y de la norma, del uso de ese recurso, pero claro, eso sería un ciudadano inocente, o quizá un ciudadano de otro país.

Cambiando las reglas del juego en mitad de la partida, Red.es mostró el pasado 16 de noviembre sus verdaderos colores, que no tienen nada que ver con un color político u otro, sino con la forma tradicional de hacer de la burocracia en España: Inflexible con el débil y complaciente hasta la náusea con el poderoso. “¿Igualdad de trato para todos y respeto a las normas? Por ese nombre no me viene nada“.

Quedamos avisados: Nuestros dominios .ES pueden ser “reasignados” unilateralmente por Red.es mediante un sencillo acto administrativo, bastando la voluntad de un funcionario convenientemente adiestrado (“Sit, sit, plas, plas. Buen chico, te has ganado otro Moscoso.”). Quizá podríamos recurrir… ¡ah, no, espera!, que ahora ya los recursos cuestan un ojo de la cara más los tradicionales ocho años de resolución del caso judicial.

Primer caso: sareb.es

No ha hecho falta esperar mucho — a alguien peor pensado podría ocurrírsele que la medida “en defensa del interés general” es en realidad una medida ad-hoc — para encontrarnos con el primer caso: El “banco malo”, alias Sareb, ha causado que el día 4 de enero Red.es (“Sit, sit, plas, plas”) haya expropiado el dominio sareb.es a sus propietarios para reasignárselo a la nueva entidad.

No es que los antiguos propietarios fueran una banda de ciberocupas, ni la mafia ucraniana, no. Se trata de una empresa legalmente establecida, dedicada al negocio textil y con la marca “Sareb” registrada en la Oficina de Patentes y Marcas del Ministerio de Industria.

Se trata, claro, de una pequeña empresa. Si a alguien se le hubiera ocurrido que el banco malo en lugar de adoptar el nombre Sociedad de Gestión de Activos Procedentes de la Reestructuración Bancaria, S. A. se hubiera llamado Sociedad para la Armonización de Activos Bancarios S. A., ¿alguien cree de verdad que hubieran expropiado el dominio saab.es? Hagan sus apuestas.

Para cualquiera que haya creado una web para su empresa, y que haya tenido que promocionarla, ganar clientes y posicionarla en los buscadores debe ser evidente el impacto que una actuación como ésta tiene en el negocio: echa por tierra años de trabajo, dinero  y un buen número de clientes, aparte de los gastos derivados del cambio de direcciones en todos los elementos de comunicación corporativa — email, tarjetas, cartas, facturas, etc. –.

¿Cómo exactamente se sirve al interés general cuando se crea una inseguridad jurídica que pueda tener este efecto? ¿Cómo confiar en la administración, en Red.es? ¿No es esto otro indicador más de que poner en marcha un negocio en España es mucho más difícil y más caro que en cualquier país civilizado — y otros no tanto –? ¿Un empujoncito más hacia el “no vale la pena” justo en un momento en el que país necesita de más iniciativas de emprendimiento que nunca?

Hipocresía burocrática y graves antecedentes de arbitrariedad

Pero que la propia Red.es tenía ya mala conciencia de sus actos desde el mismo momento en que hicieron pública la nueva norma está bien claro por la forma en que se apresuraron a ponerse la venda antes de la herida, cuando en la nota de prensa del anuncio de la nueva norma declaran:

La persona (física o jurídica) que registra un nombre de dominio directamente relacionado con el interés general, sin representarlo, dispone del uso (nunca de la propiedad) de un recurso público que legítimamente no le corresponde. Por esta razón bajo ningún concepto puede hablarse de una “expropiación forzosa”, sino de “reasignación”.

Uno puede tratar de engañar a los demás utilizando cuantos eufemismos se le ocurran, pero la pérdida económica, el lucro cesante y la vulneración de los derechos particulares son incuestionables.

Y no es que a Red.es (alias ES-NIC) le falten tampoco antecedentes de un uso abusivo de su posición monopolística, siempre inclinándose favorablemente hacia el mismo lado. Habrá aún quien recuerde que, en un tiempo en el que conseguir registrar un dominio .ES requería pasar por una pesadilla burocrática, y cuando sus normas de registro incluían: 1) que no se podían registrar nombre genéricos, y 2) que el plazo mínimo de registro era de un año, se autorizó a Telefónica a registrar durante los tres meses previos a su salida a bolsa el dominio acciones.es.

Piénseselo bien

A la luz de este nuevo estado de cosas parece mucho más sensato pensarse dos veces si un dominio .ES es la mejor opción para establecer la presencia online de nuestro negocio, o si por el contrario sería más prudente optar por un .COM u otro dominio genérico de primer nivel antes que verse envuelto en algún delirio burocrático.

Lo que está en juego es una parte importante de su negocio en la que usted ha invertido y trabajado durante años. Píenselo.

 

Recursos:

 

 

Posted in Dominios, Miscelánea, Negocios, Presencia online, Seguridad | No Comments »

Phising: un caso próximo

Lunes, julio 16th, 2007

Hace dos semanas fuimos testigos en nuestra empresa de un caso real de phising (robo de datos de clientes mediante la impostación de un sitio web). Un cliente que contrató una cuenta de alojamiento básica, y que lo pagó a través de tarjeta de crédito, resultó ser un delincuente informático.

Por suerte la cosa no fue a mayores, ya que desde el principio su forma de proceder resultó sospechosa, y por tanto vigilamos los movimientos de ese cliente y, en cuanto comprobamos de qué se trataba la cuenta de alojamiento fue inmediatamente bloqueada. Nos pusimos en contacto con al Unidad de Delitos Telemáticos de la Guardia Civil para denunciar el hecho, y ellos están investigando el caso.

En una reunión con ellos nos comentaron varios aspectos interesantes de estos casos, como es que las entidades financieras prefieren asumir los daños económicos de estos casos a cuenta de los ahorros de costes que les reporta la banca Internet –con lo que este tipo de casos tiene todos los visos de perpetuarse– o que, sorprendentemente, los operadores de telecomunicaciones prestan muy poca cooperación a la Guardia Civil cuando se les demandan datos de una determinada conexión.

Hay que reconocer que los phishers crean unas páginas a imagen y semejanza de los originales, por lo que para una persona que no tenga suficiente experiencia como para descubrir los sitios maliciosos a primera vista, el engaño puede resultar fatal. Uno debe permanecer siempre vigilante a cualquier mensaje de correo electrónico que proceda de una entidad financiera y, en caso de la más mínima duda, eliminar el mensaje.

Unas recomendaciones de herramientas antiphishing:

  • Los navegadores más utilizados (Internet Explorer, Firefox) disponen de medidas de seguridad antiphising, que se van refinando según avanzan sus versiones. Es una buena idea tener estas medidas habilitadas. Si cabe más importante es que los clientes de correo electrónico (Outlook Express, Thunderbird) tengan también habilitadas esas medidas. Vale la pena consultar configuración de seguridad de su navegador y cliente de correo electrónico para comprobar que están correctamente configurados y actualizados.
  • OpenDNS ofrece la posibilidad de utilizar gratuitamente sus servidores de DNS en lugar de los que tenga usted configurados de forma que aquellos sitios web que han sido detectados como maliciosos son sencillamente bloqueados.
  • Phistank es una iniciativa para la creación de una base de datos de sitios web considerados maliciosos. Si tiene dudas sobre algún sitio web puede consultar sobre él visitando su web (en inglés).

Como información adicional, las entidades financieras están tratando de llegar a un acuerdo con ICANN (el organismo de Internet que gestiona la existencia de dominios de primer nivel) para poner en marcha el dominio .bank, que se asignará rigurosamente a entidades financieras reconocidas. De esta forma todos los mensajes y direcciones web que se acojan a este dominio de primer nivel tendrían un grado mucho más alto de seguridad.

Más información: Phising (Wikipedia).

Posted in Seguridad | No Comments »

Una temible combinación

Lunes, marzo 13th, 2006

Usted está seguramente familiarizado/a tanto con el correo comercial no solicitado, como con los virus. Ambas son plagas del correo electrónico que amenazan no sólo nuestro trabajo diario, sino también nuestros datos. Lo que no todo el mundo sabe es que estas dos plagas llevan tiempo trabajando juntas en lo que se conocer como ordenadores zombies.

La invasión de su ordenador empieza mediante una infección de un virus, que se instala de forma silenciosa en su ordenador, y que trabaja por su lado a las órdenes de un ordenador remoto o bien en colaboración con otros ordenadores zombies. Estos ordenadores son utilizados para producir spam que es enviado a millones de destinatarios. En otras palabras: su ordenador está al servicio de los temidos spammers, quienes lo utilizan para sus propios propósitos.

No hay nada que pueda sustituir a un buen antivirus debidamente actualizado, pero tenga en cuenta que si usted dispone de una solución que detiene el spam y los virus antes de que lleguen a su ordenador habrá recuperado la iniciativa frente a estas amenazas.

Posted in Seguridad | No Comments »