27 Ene 2015

¿Tan malos son nuestros passwords?

WorstPasswords-2014Recientemente ha aparecido una de esas listas que más gustan a los medios de comunicación: la lista de los passwords mas usados en 2014. Como ha ocurrido en los últimos años, la compañía SplashData ha hecho pública su lista de las contraseñas más usadas en 2014. Como era de esperar, 123456 y sus variantes copan la mayoría del top ten.

Esto me hace reflexionar sobre la labor de concienciación que realizamos en materia de seguridad y hacerme la pregunta que da título a este post: ¿Tan malos son nuestros passwords? La respuesta, menos mal, es no.

La información importante de esta lista no es el top ten, sino los porcentajes de ese top ten. Por ejemplo, vamos a analizar el caso del password ‘123456’. En 2011, el porcentaje de passwords que era ‘123456’ se situaba en el 8,5%. En 2014, ese porcentaje disminuyó hasta menos del 1%, lo cual es aceptable. Como se desprende de estas estadísticas, la cultura de seguridad sí que está calando en la sociedad y cada vez los passwords que se usan son mejores.

Pero no todo van a ser buenas noticias. Desgraciadamente, los passwords siguen siendo débiles y resulta bastante sencillo obtener las contraseñas de los usuarios. Vamos a hacer un ejercicio de cracking. Nos vamos a poner en el caso que hemos obtenido una lista de contraseñas cifradas en MD5 de la empresa Empresa S.A. y queremos obtener contraseñas de forma rápida. Para ello, deberíamos generar un diccionario con las siguientes reglas:

  • Hacer una lista de usuarios de la empresa buscando en fuentes de información pública. Añadir estos usuarios a la lista de passwords.
  • Añadir variaciones de los nombres de usuario: dlladro, Dlladro, DlladrO, dll4dr0, Dll4dr0…
  • Añadir a los nombres de usuario 3 cifras: dlladro1, dlladro11, dlladro111, dlladro999
  • Realizar las mismas acciones con el nombre de la empresa: empresa, Empresa, 3mpr3s4…
  • Añadir todos los posibles números de 9 cifras desde 000000000 hasta 999999999. Con esta regla obtendríamos todas las contraseñas que sean fechas (01012015), DNIs, números de teléfono…

Con esta lista bastante genérica, obtendríamos de forma rápida, muchas credenciales de la empresa atacada. Una vez terminado este ataque, podríamos empezar con un ataque de fuerza bruta clásico utilizando una tarjeta gráfica.

A modo de ejemplo, os adjunto una imagen de lo que se tardaría en obtener una contraseña en función de su complejidad y longitud con una tarjeta gráfica potente (200€ aprox).

MD5- AMD R9 290

 Viendo esta gráfica, el panorama parece desolador para los usuarios. ¿Como se puede recordar múltiples contraseñas del tipo Adj37%·dsaDASF? Imposible para un ser humano normal. Pero, ¿sería difícil recordar una contraseña como “escribo en blog seguridad informatica”?

No lo creo, es mas, yo creo que ya la han memorizado. Sin ninguna dificultad, se puede memorizar contraseñas de 37 caracteres o incluso más. Así que no hay excusa para cambiar las contraseñas por unas robustas y sencillas de recordar.

David Lladró
Responsable de Seguridad en 
Datadec Online

[subscribe2]

12 Ene 2015

¿Son diferentes las herramientas de gestión en empresas tradicionales y startups?

Todos los días, prácticamente, aparecen nuevas tecnologías y herramientas de gestión empresarial. No siempre resulta fácil escoger la más indicada para cada modelo de negocio. Tanto las grandes y medianas empresas, tradicionales o vanguardistas, como las startups presentan distintas necesidades, por lo que entienden la innovación como un elemento potenciador del crecimiento de su negocio.

El software de última generación o el CloudComputig no son patrimonio exclusivo de las firmas de nueva creación, tecnológicas o digitales. No obstante, las tradicionales, más enfocadas a la producción y las ventas, se muestran todavía reticentes a la hora de acoger estos programas. Pero todas pueden desarrollar proyectos innovadores para mejorar la calidad de sus productos, diversificar sus líneas de negocio y abrir nuevos mercados.

Cuando se trata de asumir un cambio de software o de sistemas informáticos, la tradicional mantiene por un tiempo un modelo en el que coexisten dos herramientas de gestión: la estándar y la proporcionada por las nuevas tecnologías. Una vez que se demuestra que esta última incide positivamente en los resultados, se incorpora definitivamente. En el caso de las multinacionales, el proceso de la toma decisiones se alarga aún más, ya que el sistema se halla centralizado y se requiere una coordinación internacional. Por ello, prima la homogeneización de productos, sistemas y soluciones.

Por el contrario, las pymes y startups se adaptan de forma más rápida a las nuevas tecnologías. Existe un gran interés por optimizar los costes y la escalabilidad para adaptarse a nuevas necesidades, sin incurrir en cuantiosas inversiones adicionales.

herramientas de gestión en empresas startups

En cualquier caso, la aplicación de los últimos avances supone un aumento de la eficiencia y una ventaja competitiva que las empresas más reconocidas han aprovechado gracias al software de gestión empresarial ERP (Planificación de Recursos Empresariales). Las grandes empresas, entre ellas algunas tradicionales, han sido las primeras en incorporar sistemas ERP. Después, las pymes se han ido sumando a la implementación de estos programas.

Por su parte, el Cloud Computing ofrece la posibilidad de encontrar en “la nube” diversas herramientas y servicios que optimizan la gestión de todos los procesos de una actividad empresarial. Las startups se han volcado por completo con este sistema. Muchas se complementan y no cubren todas las funciones de un ERP, pero resultan especialmente válidas a la hora de poner en marcha un negocio.

En esencia, aunque las herramientas expongan diferencias y la forma de adaptarlas varíe de una empresa tradicional a otra de nueva creación, se debe realizar siempre un estudio sobre las novedades tecnológicas existentes aplicadas a cada negocio. Resulta igualmente importante que estos sistemas optimicen el rendimiento y constituyan un elemento diferenciador o ventaja competitiva para fomentar el crecimiento.

08 Ene 2015

Estrategias de marketing online en tiempo de crisis

A la hora de definir estrategias de marketing online en tiempo de crisis, el marketing online pone a disposición de las empresas un ingente número de posibilidades y muchas de ellas no exigen un gran desembolso para su ejecución. Se trata del marketing low cost, una solución perfecta para pymes y emprendedores que cuentan con un presupuesto escaso para desarrollar una adecuada planificación de marketing digital.

Estrategias de marketing online en tiempo de crisis
Estrategias de marketing online en tiempo de crisis

Considerando la importancia que han alcanzado las nuevas tecnologías en España (y en el resto del mundo), ya no resulta concebible desarrollar un negocio tradicional sin una buena estrategia de marketing online que lo apoye. De hecho, muchos negocios tradicionales se encuentran realizando actualmente el tránsito del off al online debido a los grandes beneficios que reporta una adecuada presencia en la red. Algunos simples consejos pueden ayudar a mejorar el posicionamiento y notoriedad web, así como la experiencia del usuario que visita la página:

1. Descripción adecuada de metaetiquetas: cada URL del menú o submenú de un sitio de Internet posee una función diferente. Por ejemplo, crear una página para hablar de la \”Misión\”, \”¿Quiénes somos?\” o \”Historia\” exige necesariamente que, en el link, se contenga dicha información sin acentos y separando cada palabra por guiones.

2. Marketing de contenidos: se trata de la estrategia por excelencia del denominado marketing en crisis o de guerrilla debido a la escasa inversión que exige y los beneficios que reporta. La publicación de contenidos únicos, exclusivos y de alta calidad constituyen el eje central de una buena estrategia de posicionamiento (SEO). La creación de artículos de revista especializados y segmentados adecuadamente a un público objetivo genera fidelización y engagement. Basta con moderar adecuadamente y poner a disposición de los lectores o clientes potenciales la mejor selección de noticias y tendencias del sector para obtener referencias y enlaces (backlinks) de otras webs.

3. Campañas atractivas y con gancho: no hace falta regalar coches de gama alta, sueldos vitalicios o viajes a una isla paradisíaca con los colegas. Si bien es cierto que campañas de estas características suponen un reclamo innegable, también se pueden diseñar \”Llamadas a la Acción\” (CTAs o Call to Action, en inglés) con escaso presupuesto. El sentido del humor, la ilusión, el optimismo y la positividad son las mejores armas con que las empresas cuentan para motivar las conversiones y transmitir su mensaje al público objetivo.

4. Redes sociales: no existe nada mejor que crear e interactuar con una comunidad online. Fomentar su participación, suscitar preguntas y generar debates suponen la clave del éxito para aumentar el número de seguidores y conseguir un efecto \”boca a boca\”. Cada plataforma se halla especialmente destinada a tareas específicas. Por ejemplo, LinkedIn o Xing se presentan como las mejores para promocionar el lado corporativo; Facebook y Twitter son idóneas para viralizar publicaciones; YouTube, contenidos audiovisuales, e Instagram y Pinterest, para promocionar la compañía a través de imágenes fotográficas.