VB2012 – Día 2

Una de las cosas que no me gustan de las conferencias es cuando hay dos charlas a las que quieres asistir, pero están programadas a la misma hora. Y esto es lo que me ha pasado en el VB2012.

Por suerte la charla de David duraba una hora, de manera que asistí a la primera mitad, y después fui a la de Fabio.

Ambas charlas tenían que ver con dispositivos “no sospechosos” que los ciberdelincuentes abusan. David se refirió a cómo la gran parte de la industria antivirus quizás no está prestándole suficiente atención a la protección de los dispositivos y servidores que funcionan con Unix/Linux. Es común ver cómo los ciberdelincuentes abusan de todo tipo de servidores *nix para distribuir sus programas maliciosos y para implementar su infraestructura maliciosa. Como dice David: “¿Por qué estoy hablando de algo que ya tiene 10 años? ¡Porque no hemos hecho nada!”

Fabio nos dio un ejemplo real de cómo en Brasil se abusa de otros dispositivos no sospechosos, los routers DSL domésticos. Los ciberdelincuentes brasileños abusan de la existencia de vulnerabilidades bien conocidas para estos dispositivos y de la facilidad de encontrar dispositivos vulnerables en Internet para desviar a sus víctimas hacia sus servidores DNS. Con una ganancia mensual que supera los 50.000 dólares, los ciberdelincuentes decidieron gastar todo su dinero en prostitutas en Río de Janeiro. Pero el problema es que los implicados en este asunto (proveedores de Internet, LE y fabricantes) no le están dando a la seguridad la importancia que se merece.
¿Quién fue el ganador de la batalla? Lo siento David, pero Fabio ganó el #presentattionGame y dijo la palabra secreta en su charla.

Sin embargo, hubo otros materiales interesantes en el día 2 del VB2012. Una de las charlas que me pareció muy interesante fue la de Tyler Moore: “Cómo medir el coste del ciberdelito”. Él y su equipo han estado trabajando en un marco económico completo para calcular el verdadero coste del ciberdelito en base a datos sólidos y a las consecuencias económicas. Creo que esto es necesario para que toda la industria y la sociedad entiendan de verdad y basen la percepción del riesgo en sólidos cimientos en vez de estimaciones. Más información disponible aquí.

Y como bono adicional, aquí puedes encontrar la presentación que hoy ofrecí sobre privacidad:

Voy a preparar un artículo más detallado, ya que entiendo que puede resultar difícil seguir el documento PDF sin una explicación, pero espero que te interese.