• Estamos mejor que México, Brasil y… Estados Unidos. También estamos mejor que Costa Rica, país al que algunos quieren vender como extraordinariamente seguro.
• De los países occidentales desarrollados, EEUU es el peor rankeado. También es el único en el que se aplica la pena de muerte.
• Mirando los datos sobre tenencia de armas, no parece haber correlación. En EEUU hay muchísimas armas, pero también las hay en Canadá que es tan segura como Europa Occidental.
• Canadá, Europa occidental, Australia y Japón tienen una tasa baja de homicidios. En EEUU,  México, Brasil y Argentina es relativamente alta. ¿La desigualdad es el factor determinante? Parecería, si no fuera porque Chile, Bolivia y los países árabes también parecen ser bastante seguros.

¿Conclusión? Ninguna, para ser sincero. Sólo obviedades: la pena de muerte no soluciona nada, en general los países más igualitarios son más seguros, y a lo mejor no estamos taaaaaaaan mal como nos quieren hacer creer: de hecho, venimos mejorando desde el mayor pico de inseguridad que fue en 2002 (no casualmente, el peor momento de la crisis económica) y estamos en el mejor momento desde 1995 (año del Tequila, cuando empezó a resquebrajarse el modelo económico menemista y se hablaba de “crisis de desocupación”). Pero es un análisis muy light.

KeyScramble: Encripta lo que tipeás en formularios antes de que un keylogger pueda interceptar tus claves y otra información. Más que interesante. No está para Linux, pero no le tengo miedo a los keyloggers en Linux.

TrackMeNot: Manda pedidos aleatorios a varios motores de búsqueda (Google, Yahoo, Windows Live y AOL). Esconde tus búsquedas de la misma manera que Borges esconde el libro de arena: las rodea de otras búsquedas.

FoxyProxy: Simplifica el uso de proxies para acceder a sitos web de manera anónima.

Lo malo: una empresa de seguridad informática usa una versión vieja de WordPress para sus blogs. La rama 2.0 de WP ya va por el release 10, y en McAfee están usando el release 6. La Res Publica, en cambio, usa la rama 2.1 (el penúltimo release, es verdad, pero yo no tengo tiempo para actualizar mi blog cada dos semanas, cuando no hay vulnerabilidades detectadas para mi versión, y a menos de un mes del lanzamiento de WP 2.2).

Para entender como hacer una clave segura, hace falta saber como hacen los crackers para entrar a servicios protegidos. Las maneras más comunes son:

1. Phishing/Ingeniería social: Se arma un sitio o programa que parezca legítimo, pero cuya única finalidad es permitirle al usuario ingresar su contraseña en un campo de texto. La información se envía al cracker, que puede usarla para ingresar al servicio en cuestión.
2. Keyloggers: Son programas maliciosos que se instalan en nuestra computadora como un virus o un troyano. Graban todo lo que tecleamos, capturan pantallas, y guardan conversaciones de mensajería instantánea e historiales de navegación. Toda la información se envía a una dirección de email del cracker.
3. Ataques de diccionario: El cracker esconde su dirección IP utilizando proxys. Con un programa, empieza a ingresar claves automáticamente, tomadas de un diccionario que incluye las contraseñas más comunes.
4. Ataques de “fuerza bruta”: El último recurso de un cracker, es similar al anterior. En vez de tomar claves de un diccionario, el programa las genera automáticamente.

De estos cuatro tipos de ataques, los dos primeros no se pueden solucionar con una contraseña segura: nosotros se la proporcionamos inadvertidamente al cracker. Hay maneras de prevenir la mayoría, pero no tienen nada que ver con mejorar las claves. Para evitar ser infectados por keyloggers, lo ideal es cambiar a un sistema operativo tipo Unix (Linux, BSD, Solaris, Mac OS X), o por lo menos tener un Windows moderno (2000 o superior) actualizado con herramientas antispyware y antivirus, y controlar las fuentes de nuestro software. Para no ser víctimas de phishing… hay que avivarse, y no confiar en nadie.

Los otros dos tipos de ataque, en cambio, son más fáciles de evitar. Los ataques de diccionario pueden prevenirse totalmente. Los de “fuerza bruta” no, dado suficiente tiempo cualquier contraseña puede obtenerse. Lo que sí puede hacerse es, con una clave segura, hacer que el cracker se harte de esperar y elija otro objetivo.

Consejos para tener una clave segura:

1. No usar palabras del diccionario, ni nombres, como contraseña. Este tipo de clave cae frente a un ataque de diccionario. Buenas listas (en inglés) de claves inseguras pueden encontrarse acá y acá. Tampoco usar una palabra común más un prefijo o sufijo: existen programas que prueban variantes de las claves más usadas.
2. No hacer claves de menos de ocho caracteres. Muchos sitios piden un mínimo de seis, pero es poco. Ocho tampoco es taaaanto mejor, pero es bastante más que seis.
3. Usar los cuatro grupos de caracteres: minúsculas, mayúsculas, números y símbolos. La diferencia entre usar un sólo grupo y usar los cuatro es abismal, como lo muestra la tabla de este otro sitio.
4. No usar la misma clave para todo. Sería como usar la misma llave para todas las puertas de una casa. De esa manera, si alguien consigue una de nuestras claves, no perdemos las demás.

Ahora: ¿como hacer para armar una clave que además de segura sea fácil de recordar? Fácil. Podemos partir de una palabra o frase fácil de recordar, y de ahí derivar hasta llegar a una contraseña segura.

Para dar un ejemplo arbitrario, voy a elegir un elemento de la tabla periódica. Me gusta el rubidio (por varios motivos), así que voy a partir de esa palabra. Son siete letras minúsculas, lo que nos da una expectativa de vida de algunas horas… si un ataque de diccionario no lo encuentra antes. Por eso vamos a ir modificándolo:

• Agregar mayśculas: Rubidio
• Reemplazar algunas letras por números: Rub1d10
• Agregar símbolos de puntuación: Rub1d10??

El resultado es una clave más larga (9 letras) y con todos los tipos de caracteres. Según nuestro sitio de referencia, un cracker con una computadora de escritorio moderna y una conexión normal tardaría 20.000 años en encontrar la clave. La clave no es imposible de descubrir, pero es lo suficientemente dificil como para que la mayoría de los crackers se dediquen a buscar claves de otras personas.

Ejemplos como este hay miles, y cada uno sabrá que puede recordar mejor. Otras buenas claves son:

• Para nostálgicos de las aventuras gráficas de principios de los 90: **6uyBru$h**
• Para abogados: 33CN=>implici705
• Para quienes se ríen de la desgracia ajena: ¢erB0alaB

En fin, hay muchas posibilidades. Existen muchas maneras de transformar una palabra insulsa en una clave más o menos segura. Es más fácil crear una contraseña segura que llorar por no haberlo hecho.

Sistema operativo

Windows es un colador. Las versiones 95/98/Me ya no tienen soporte, por lo que nadie debería ni considerarlas. XP y Vista tienen soporte, pero no sirve de nada si no lo usamos. Usuarios de Windows: estén al día con las actualizaciones de Windows Update.

Ahora, si quieren cortar por lo sano, lo ideal es pasarse a un sistema operativo Unix-like. Te olvidás de virus, spyware, adware y otras yerbas. Hay una buena oferta: Linux, FreeBSD y OpenSolaris son todos mucho más seguros que Windows. Otra opción es comprarse una Mac: Mac OS X está basado en FreeBSD, y es un sistema muy seguro (al margen de que a mi no me gusten las Macs). Tengo entendido que el sistema operativo más seguro es OpenBSD, pero pasarse desde Windows puede ser más problemático. Recomendación: alguna distribución simple de Linux. A mi me gusta Ubuntu (te mandan CDs gratis a casa si los pedís!), pero hay otras buenas como Mepis, Mandriva y Fedora.

Software

Usuarios de Windows: abstenerse de bajar programas desde redes P2P (emule y similares). Sé que es duro, pero son un vector de contagio de virus y troyanos importantísimos. Tener el antivirus actualizado y usarlo con frecuencia. Dejar de usar Internet Explorer, y pasarse a un navegador más seguro como Firefox, Seamonkey, Flock u Opera. Tener siempre a mano programas antispyware. Siempre que sea posible, utilizar software libre antes que privativo: como los desarrolladores de software libre publican el código fuente de sus programas, cualquiera puede “auditarlos” para ver que no incluyan código que espía nuestro comportamiento (aclaro: no hace falta que NOSOTROS lo hagamos, hay un “efecto paraguas” que nos protege a todos. No conozco spyware libre).

Usuarios de Linux: en la medida de lo posible, bajar todos los programas de los repositorios de nuestra distribución. Los que no estén, cerciorárnos de que son de una empresa reconocida, y optar por alternativas libres siempre que sea posible (aunque la mayor parte del software para Linux es libre).

Spam

No publicar nuestro email en sitios de internet. Los spammers usan programas que recolectan direcciones. Para dejar nuestro mail, escribirlo de manera “disfrazada”, como por ejemplo: sarasa (arroba) dirección punto com. Otra opción es dejarlo como una imágen, los spambots no pueden leerlas.

Phishing

NO ENVIAR DATOS SENSIBLES POR CORREO ELECTRONICO. Léase: no creerle a mails que parecen enviados por empresas reconocidas pidiendonos números de cuenta, claves o información similar. Ninguna empresa seria hace eso. Ante la duda, llamar a la empresa en cuestión.

Contraseñas.

Este tema amerita un post propio, que supongo desarrollaré mañana. Lo ideal es que sean largas, con distintos tipos de caracteres (letras, números, símbolos), y sin palabras del diccionario.

Evidentemente, aún un usuario de Linux con un navegador seguro y ningún software externo puede cometer errores garrafales de administración que abran su sistema a intrusos, pero siguiendo estos consejos básicos ya vamos bien. Falta el anexo ‘Contraseñas’, a lo mejor el componente fundamental de cualquier estrategia de seguridad. Pero por ell momento alcanza con esto. Mañana escribo el post sobre contraseñas.

Las posiciones de la mayor parte de las personas sobre Blumberg parecen ser:

• Para la derecha, Blumberg es alguien que, inspirado por la trágica muerte de su hijo, sale a defender a la sociedad de la inseguridad (léase: de la violencia física ejercida por los pobres). A partir de la muerte de Axel, Blumberg se capacitó en cuestiones de seguridad y tiene la valentía para llevar adelante la “cruzada”.
• Por su parte, la izquierda (del gobierno y de la oposición, moderada y radical, de base marxista y de base peronista) pinta a Blumberg como un fascista maquiavélico empecinado en criminalizar a los pobres. Algunos (como el autor del “rap de Blumberg” que circuló antes de su última marcha) llegan al punto de acusarlo de racismo, homofobia, y otras ideas similarmente discriminatorias y totalitarias.
• Finalmente el propio Blumberg se considera “de centroizquierda”, sosteniendo (acertadamente) que la mayor parte de las víctimas de la inseguridad son los pobres.

Personalmente, creo que las tres visiones son erradas. Y el problema es la sobreestimación. Blumberg no es un tipo muy inteligente, a decir verdad. Vive a pocas cuadras de mi casa, y es un caso típico de lo que se ve por acá. Blumberg podría ser cualquiera de sus vecinos.

Blumberg es, a mi entender, un salame. No tiene la menor idea de lo que dice y manda un furcio por oración (así: “[Furcio], me entiende?). En 2003 presentó un “petitorio” (figura no contemplada como forma de democracia semidirecta válida por la Constitución, por no tener la forma de ley requerida para una iniciativa popular) de medidas para mejorar la situación en cuanto a seguridad, la mayoría inútiles, muchas perjudiciales, casi todas mal argumentadas. Por ejemplo, proponía limitar el uso de armas en poder de personas ajenas al estado diciendo “En Atlanta quien sale a la calle armado va preso!”, cuando Georgia es uno de los estados que mas literalmente se aferran al derecho constitucional de portar armas (2º enmienda de la constitución estadounidense). En general, las medidas de ese petitorio perjudicaban a quienes se comportaban de acuerdo a la ley (como la citada iniciativa antiarmas, y los controles a la venta de celulares) sin afectar a los delincuentes.

Es por esto que me da risa cuando lo proponen a Blumberg como candidato a gobernador: a Blumberg una delegación municipal le queda grande. No es un ideólogo neofascista: es meramente un tipo de pocas luces que no puede con su vida.