17 de mayo: Día de Internet

17 de mayo, Día de Internet*

Hoy celebramos el Día de Internet; todos los 17 de Mayo, desde 2005. No en todo el mundo; es un día internacional sobre el que la Wikipedia dice: “El Día de Internet es una efeméride que se celebra en MéxicoPerúChileParaguay, ArgentinaEspañaColombiaUruguayEcuadorBoliviaVenezuela y República Dominicana y en algunos otros lugares del mundo el 17 de mayo, impulsada por la Asociación de Usuarios de Internet y por la Internet Society, respectivamente.” La idea partió aquel 2005 de la “Asociación de Usuarios de Internet”, entidad española sin ánimo de lucro; que no se diga que no ponemos en marcha cosas buenas, ¿verdad?

Países afectados por WannaCry el 12-05-2017 **

Countries initially affected in WannaCry ransomware attack.png

Hace un año, este día se celebraba entre temblores y recelos; algunos se sujetaban la cabeza por temor a que se la cortaran… Lo recuerdas, ¿verdad?: el viernes 12 de mayo de 2017 WannaCry atacaba a más de 141.000 ordenadores en todo el mundo (esta fue la cifra oficial “confesada”; se sospecha que la vergüenza de haber sido atacado impidió que fuera mayor), encriptando su contenido y pidiendo rescate a cambio del desencriptado. Ese día los usuari@s de Internet añadían una nueva palabra a su vocabulario: RANSOMWARE, pensando que estaban “a la última”; nada más lejos de la realidad, ya que hacía décadas que se sufrían ataques de ransomware. La diferencia era la magnitud y la importancia estratégica de muchas de las empresas y organismos afectados.

Desde entonces, se han sucedido cientos de nuevos ataques de ransomware, unos más “famosos” que otros, pero la realidad es que no han cesado y además han “evolucionado”, como un Pokemon, añadiendo nuevas “prestaciones” y poniendo en jaque constante a los responsables de sistemas de todas (¿todas?) las empresas y organismos del mundo, así como a los usuarios domésticos.

Es triste tener que decir que no se ha aprendido demasiado después de aquello y de lo que vino después: se sigue pensando en que nuestra empresa (o nuestra casa) no puede ser un objetivo de los atacantes (“¿quién va a querer atacarme a mí, que soy una empresa pequeña?“, se comenta con candidez). Nada más lejano de la realidad: el fin es sacar dinero de quien sea (particular, empresa grande o pequeña…); al fin y al cabo, seguro que sí nos importaría -y mucho- perder las fotografías que tenemos guardadas en nuestros ordenadores, teléfonos móviles, discos externos… a nivel personal; a nivel empresarial, perder nuestros datos y los de nuestros clientes nos puede causar muchos más problemas que la simple pérdida. Recordemos que en una semana (el 25 de mayo) el GDPR (Regulación General de Protección de Datos a nivel europeo) es de obligado cumplimiento y las sanciones por fuga de datos (pérdida, encriptación, robo…)  pueden llegar a millones de Euros.

A estas alturas, parece que casi tod@s están (no me incluyo) muy tranquilos ya que ni prensa ni televisión  hablan ya del ransomware; en realidad, apenas hablan aún de GDPR, a pocos días de su obligado cumplimiento. Y como lo que no sale en la tele no existe, reina la tranquilidad.

En ciertas empresas sí hay inquietud por ambos temas, pero me estoy encontrando últimamente con que priorizan la adaptación al GDPR (hasta hoy, han tenido 722 días para adaptarse) antes que la securización de sus sistemas para protegerse de ataques del exterior. En realidad, no se están dando cuenta de que cumplir con lo primero les obliga a preocuparse por lo segundo… Mera cuestión de entendederas basada en el falso concepto de que la seguridad es cara. ¿O no es más caro tener la empresa parada durante días por un ataque informático y, además, hacer frente a una sanción económica de la Agencia de Protección de Datos?

Opino que la mejor manera de celebrar este Día de Internet es concienciar, educar, evangelizar a usuari@s y empresas sobre los riesgos que corren a diario. Y cuidado, que hoy no he hecho referencia a los riesgos que corren en Internet los pequeños usuari@s, los menores; lo dejo para otro día.

Ojalá el próximo año podamos celebrar el Día de Internet Seguro (o Segura, como prefiráis).

Josep Miquel Fèlix i Zahonero

* Imagen de cabecera cortesía de ComputerWorld.es

** Imagen de User:RokeFile:BlankMap-World-v2.png, CC BY-SA 3.0, Enlace

31 de marzo: Día Internacional de la Copia de Seguridad

Desde hace unos años, el 31 de marzo se celebra el Día Internacional de la Copia de Seguridad

En realidad, como cualquier otro día internacional, no es más que una excusa para concienciar (o intentarlo) a los usuarios de sistemas informáticos de cualquier tipo (ordenadores, servidores, portátiles, tabletas, smartphones…) de la importancia de contar con un respaldo de nuestra información que pueda evitarnos las consecuencias de perderla ante cualquier incidente (robo, destrucción, corrupción de la información, encriptado por ransomware…)

Si en el ámbito personal, ya es un gran problema perder información, cuando se trata de empresas la gravedad es máxima: de la información que guardamos dependen el presente y el futuro de la empresa, así como el propio archivo histórico (proyectos, facturas, presupuestos, contratos, planos…)

Lo más grave es que el Backup se considera, en muchas ocasiones, como una cuestión secundaria. Claro, la opinión cambia cuando se produce un desastre de datos, cuando hemos perdido la preciada información que mantiene nuestra empresa en pie y con proyección de futuro. Es en esos momentos cuando alguien se percata de que sí era importante disponer de un sistema de Copia de Seguridad eficiente.

En la mayoría de los casos, el “Plan B” consiste, exclusivamente, en realizar (de manera manual o programada) una copia de las carpetas que nos ha indicado el proveedor de nuestro sistema de gestión (ERP, CRM…) y alguna más que se nos ocurre a nosotros. En cuanto a la frecuencia, hay quien opina que una vez a la semana está más que bien. Y en cuanto a la efectividad, muy pocos se preocupan de comprobar si esas copias que están haciendo son realmente recuperables.

Realizar Backups Avanzados, que no sólo copien carpetas seleccionadas, sino el sistema completo del equipo, con sus actualizaciones, las aplicaciones instaladas y sus datos, el coreo electrónico, la configuración de usuario (fondo de pantalla incluido, sí) es el verdaderoPlan B“. Esto resulta más importante cuando hablamos de servidores, en los que además está funcionando un Active Directory (con todos los usuarios y permisos de acceso), una base de datos (SQL, Oracle, MySQL, PostgreSQL…), un servidor de correo o un servidor web.

Cuando hemos tomado estas precauciones y utilizamos un sistema de Backup Avanzado, la recuperación tras un eventual desastre lleva horas en lugar de días.

Los destinos de las copias pueden ser de lo más dispar: un NAS (almacenamiento en red) local o remoto, la nube, soportes extraibles… Todas las precauciones son pocas cuando el futuro de nuestra empresa depende del respaldo de nuestra información.

No lo dudes. Avanzado no quiere decir caro, sino efectivo. No lo dejes para mañana.

 Josep Miquel Fèlix i Zahonero