Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

Entrevista con Juan Carlos García Cuartango

Instituto de Seguridad de Internet

Entrevista con Juan Carlos García Cuartango

Este ingeniero en telecomunicaciones es probablemente uno de los mayores expertos en seguridad de Internet en España. Después de muchos años realizando labores de consultoría para empresas, su fama y prestigio lo ha alcanzado en los últimos tiempos por ser el descubridor de agujeros de seguridad en diferentes programas. García Cuartango ha charlado sobre este tema.

1Manuel Martínez02/11/2005 11:00:21

¿que opinas sobre el proyecto de DNI digital, las vulnerabilidades del MD5, y el negocio que se esta tratando de hacer a cuenta de algo que sabemos (algunos) que dentro de pocos años va a tener mas agujeros que un queso de gruyere? Y aprovechando, comenta algo sobre las nuevas tarjetas con RFID gracias por todo lo que has hecho y seguiras haciendo

El DNI digital va a proporcionar grandes ventajas. Lo del MD no es muy preocupante pero habria que ir pensando en otros algoritmos. Lo del RFID no está mal, algo es algo.

2kerpedena02/11/2005 10:06:17

tengo siempre los antivirus actualizado pero muchas vezes pago cosas por internet su consejo de este tema que seria

Mi consejo es que pagues solo en sitios serios y que estés seguro de que el sitio es el auténtico. También es conveniente usar un pasarela de pago perteneciente a un banco. Yo pago a amenudo por Internet.

3ninHer02/11/2005 10:07:33

¿ Sería hora ya de empezar a plantearse el uso masivo del software libre en cuanto a elevar el nivel de protección personal del usuario medio ? Gracias.

El software libre no garantiza la seguridad y además para el usuario medio suele ser más difícil de utilizar.

4jam02/11/2005 11:12:35

Como ve el mercado de empresas de seguridad infórmatica en España? Hay suficientes? Tienen buen nivel? Cual es la mejor(aparte de la suya? Gracias.

Lo veo de lejos, así que no se mucho al respecto.

5politzer02/11/2005 10:55:14

me gustaris saber si las propias casas que fabrican los antivirus no son ellas quienes los crean para asi ganar mas dinero

Eso se dice, ellas lo niegan. Yo personalmente no me lo creo.

6María02/11/2005 10:11:43

Buenos días. No soy una usuaria tecnológica muy avanzada, pero me defiendo lo suficiente como para utilizarla sin muchos problemas. Más que los virus, me preocupa la seguridad de mi wifi. ¿Existe alguna herramienta que me ayude a configurarla adecuadamente de forma sencilla? ¿Porqué tenemos menos ayuda en este campoque con firewalls o antivirus?

En Windows no es muy difícil la configuración. Tienes que asegurarte de usar seguridad WPA, nunca ninguna ni WEP que se rompe con la gorra.

7rosauro02/11/2005 10:15:31

Saludos. ¿Por qué hay tantas estafas y robos a los clientes del banco online? ¿Quien lo está haciendo mal? ¿Qué podría hacerse para detener el phishing?

Estos ataques son fáciles, baratos y sobre todo repeptitivos y automatizados. Su exito se basa en que el phising lo recive mucha gente y alguna pica. No existe manera de combate eficaz. De todos modos la mayoría de los bancos usan dos contraseñas, la de sesión y la de operación (que a veces es una tarjeta) con phising solo nos robarían la primera y en teoría no podrían realizar operaciones sobre la cuenta.

8pablo02/11/2005 10:28:01

Microsoft acaba de anunciar que su software se podrá utilizar a través de Internet. El modelo de sofware vía web ¿es más seguro que el de tener los programas en tu ordenador?

La principal ventaja al respecto es que los agujeros serían corregidos inmediatamente. Los intentos de WEB-PC con el sftware JAVA en un servidor por parte de Sun y Oracle fracasaron estrepitosamente.

9francinovela02/11/2005 11:02:30

Llevamos años oyendo hablar de ciberterrorismo, pero asi como hemos visto grandes ataques 'reales' como 11-s, 11-m y 7 -j, no ha habido aún ningún ataque a gran escala contra las redes de comunicaciones. Al menos con fines terroristas, que yo sepa. ¿Llegarán? ¿Qué infraestructuras de Internet corren más peligro y porqué? Muchas gracias

Esos ataques ya se han producido. Se han atacado los sistemas DNS csntrales. Seguro que se producirán nuevos ataques. Los elemento más sensibles son los "routers". Cualquier sistema en Internet puede ser paralizado (denegación de servicio) si se cuenta con los recursos suficientes para saturarlo.

10Gatesia02/11/2005 10:26:01

He visto que hace unos años comparó a microsoft con un coche y a sus competidores con una carretilla para explicar que el primero sigue siendo mejor que el segundo aunque se estropea más (es más complejo). En el campo de los navegadores sigue siendo igual? Firefox o IE?

En los últimos tiempos ha habido más fallos de Firefox que de IE. Con Windows XP-SP la seguridad del IE ha mejorado bastante.

11ManoloCimas02/11/2005 11:20:01

Slaudos!!! ¿Cree que los virus para móviles son un peligro real?

El ingebnio humano no tiene límites.

12Suspe02/11/2005 10:29:22

Eso de que las compñías antivirus detecten y curen, ¿no es como si farmacéuticas y médicos fueran lo mismo? ¿Podemos fiarnos de un sistema como éste?

Como las lentejas las tomas o las dejas. De momento no hay otro sistema.

13P.J.F.D.02/11/2005 11:09:50

Las tecnologías drm contra la piratería están muy extendidas, pero cada vez que se publica una nueva alguien la rompe. ¿Llegará alguna que realmente funcione? ¿Está a favor de estos sistemas?

Lo siento no trabajo mucho en ese tema.

14kroketa02/11/2005 10:24:55

¿Puedo fiarme del cortafuegos de windows xp? ¿Podría recomendarme uno que sea gratuito?

Funciona bastante bien, su protección es razonable para equipos domésticos. Existen gratuitos busca en Google.

15karlosito02/11/2005 11:12:02

¿Existen los antivirus de código abierto? ¿Son mejores o peores que los de código 'cerrado' )(No se si se llaman así)? Gracias.

Codigo abierto o cerrado da igual.Llo importante, tal y como dijo el presidente González, es que caze ratones.

16Josepm02/11/2005 10:16:22

Hay algunos perfiles de seguridad que al instalarlos aumenten la seguridad del XP? De donde se pueden descargar? Gracias

Hay un sitio del gobierno americano : www.nsa.gov , proximamente se publicaran plantillas por el gobierno español

17Pablo02/11/2005 10:33:29

¿Que sistema operativo crees que es mas seguro para montar un servidor y para un ordenador de casa?

Todos son iguales. Se trata de instalarlos y configurarlos correctamente.

18DiEstéfano02/11/2005 10:38:12

Hola, el desarrollo de tiendas para Internet por particulares (o Freelances no muy diestros) sin un dominio de las reglas mínimas de seguridad en Internet puede provocar agujeros de seguridad (accesibilidad a números de tarjeta, compras a traves de otro usuario sin su consentimiento...) ¿Como se puede combatir ésta problemática?

Es una cuestión de formación. Para hacer una tienda no basta con saber PHP o ASP hay que tener una buena formación en cuestiones de seguridad que normalmente se considera cosa de los administradores y que sin embargo es vital para cualquiera que programe en Internet.

19 duda02/11/2005 10:32:52

¿Pueden existir virus sin vulnerabilidades? Si desaparecieran los agujeros en el software que usamos, estaríamos absolutamente seguros? Existe el entorno totalmente seguro?

Existen muchos virus sin vulnerabilidades. Se basan en acciones erróneas del usuario al ejecutar algún programa malicioso. Estoes loq ue se llama "ingeniería social" y que en castellano sería mejor llamar picaresca.

20maría02/11/2005 10:54:18

Siempre dicen que nosotros somos el eslabón mas debil en la seguridad informática. ¿Por que somos tan imprudentes? ¿Qué más podemos hacer quienes ttrabajamos en este campo para concienciar a la gente de que no se puede hacer clic en todo lo que se nos cruza?

La picaresca (Ingeniería social) tiende a aprovecharse de nuestros´"más bajos instintos" y nunca se terminará con ella. Lo que realmente habría que hacer es que el hacer "doble click" no tuviera las implicaciones actuales. El software es una tecnología basura, la que menos ha avanzado en la historia de la humanidad, de hecho no ha avanzado nada en los últimos años.

21micomicón02/11/2005 10:50:41

¿Cuál es el virus más cachondo con el que se ha encontrado? ¿Han desaparecido ya los creadores de virus que sólo lo hacían por investigar? ¿Es cierto eso de que ahora andan todos asociados con grandes redes criminales?

Se llamaba Corine, no causaba ningún daño solo escribía en una parte del disco "Corine te amo".

22ariadnamar302/11/2005 11:07:33

Respecto a la seguridad en los foros tipo phpbb: ¿hay alguna forma de evitar que sean hackeados? Muchas gracias.

Si son "hackeados" será porque estén mal montados.

23Enrique Castro02/11/2005 11:20:26

¿Como se puede evitar el fenómeno del anonimato en las bitácoras? ¿ Existe alguna solución?

Lo siento. No comprendo la pregunta.

24flo02/11/2005 10:36:25

Como explicarias el hecho de que los Bancos electrónicos no tengan ya integrados procedimientos de firma electrónica o de acreditación a traves de dispositivos fisicos como el móvil habiendo como hay tanto intento de phishing.

La respuesta es evidente: dinero. La implantación de esos sistemas conlleva fuertes inversiones. Existen sistemas através del móvil que funcionan muy bien y que están empezando a ser implantados.

25Miguel02/11/2005 10:56:00

El 90% de los problemas de seguridad entran en nuestro ordenador por el correo electrónico ¿ Como evitaría, en su opinión, el spam?

Habria que rediseñar el correo. El protocolo SMTP es una basura.

26JP02/11/2005 11:06:36

Como calificaria el fenomeno de los blogs desde el punto de vista de la seguridad, creoque son utilizados habitualmente por los hackers y por delincuentes para dejar en sus páginas el material sensible sin que ellos sean conscientes.

No ma parecen un problema de seguridad. Los delincuentes cuentan con muchisimos otros mecanismos para almacenar y comunicar la información. Páginas gratuitas, correo gratuito, libros de visitas, foros, noticias ...

27Graz02/11/2005 10:45:45

Hola Juan Carlos, otra pregunta relacionada con el phishing, ¿es conveniente no teclear las claves directamente desde el teclado y utilizar la opción de copiar y pegar para que así no queden registradas las teclas utilizadas? ¿Dónde debemos tener guardadas las claves para que no se localicen en el ordenador?Gracias por su asesoramiento. Resulta crucial estar bien informados en estos aspectos.

Los teclados "virtuales" o lo de copiar y pegar solo sirve para eludir los capturadores de teclado físicos. Lo mejor es usar bancos con tarjetas de claves para las operaciones. O aún mejor sitemas basados en el teléfono móvil para aprobar las operaciones.

28jose pellicer02/11/2005 10:49:20

Que recomendaciones daria a un usuario que tiene una red WiFi en su empresa o en su casa para estar seguro de que no se pueden conectar a ella extraños. Y tambien si puede decirme ¿Que grado de inseguridad añade WiFi a Internet?

Nunca dejar la red abierta (sin criptografía) usar WPA con claves largas nunca usar WEP

29Antonio02/11/2005 11:08:25

¿Qué puertos son los más vulnerables para la seguridad?

Evidentemente los puertos del Mediterráneo.

30Alberto Iglesias02/11/2005 10:47:25

Para los que profesionalmente queremos orientarnos al campo de la seguridad ¿Cuál crees que son actualmente las mejores vías de trabajo? Un cordial saludo.

Hou por hoy es una buena opción, hay mucha demanda de profesionales.

31Nachete02/11/2005 11:09:11

Es seguro consultar cuentas bancarias via wireless? Tengo entendido que así el sistema es más vulnerable pero quisiera saber hasta qué punto. Muchas gracias

Si la red no tiene encriptación mejor no lo hagas, mejor aún no lo hagas nunca.

32Ariadna02/11/2005 11:17:15

Existen en España espías profesionales para este campo? Si es así, a qué nivel están dentro de Europa?

Supongo que existirán, pero no creo que vayan contándolo por ahí y mucho menos a gente tan bocazas como yo. Tampoco conozco los campeonatos europeos de espionaje.

33Tony02/11/2005 11:14:21

¿Crees efectiva la seguridad del directorio activo,servidor proxy,excahnge,etc... de Windows server 2003 para configurar redes Wan o Lan?, o crees que es mejor la tecnología unix....Gracias Juan Carlos.

La seguridad es un estado mental (no se si lo dijo Bruce Schneier,o como se escriba) independiente por tanto del HW/SW utilizado.

Mensaje de Despedida

Muchas gracias a todos por vuestas preguntas. He pasado un rato muy divertido.