Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

viernes, 31 de diciembre de 2010

Un año menos

Este blog cumple un año este mes desde su primer post, y como siempre, estas fechas son de mirar hacia atrás, meditar, y pensar en el futuro. Se termina el 2010 y es un año menos que tenemos para  poner en marchar esos proyectos, ideas, o pequeñas metas que nos vamos proponiendo, así que... ¡aprovecha el tiempo!. Echaré la mirada atras para ver un 2010 resumido, y meditar sobre que será el 2011:
  • Trabajo en algo, que como dicen por ahí; nuestros padres nunca hubieran soñado. Con un equipo de un gran nivel técnico, y este año, pese a la situación actual, se han conseguido grandes resultados. Lo que convierten al 2011 en un año apasionante. Para mí, es todo un desafío formar parte de un equipo así.
  • Realizar presentaciones siempre ha sido algo que me pone un nudo en el estómago nada más oir esas palabras. Pero este año he aprovechado unas pocas oportunidades para ello, y el año que viene espero que unas cuantas más.
  • Este año obtuve la certificación CISA.
  • Descubrí (si lo hubiera sabido antes, lo hubiera hecho antes) que podía realizar el BSc(hons) vía online. Así que estoy cursando para sacarme el BSc(hons), inicialmente me faltaba sólo un año para conseguirlo, pero con la carga de trabajo actual, me lo voy a tomar con más calma.
  • El inglés sigue siendo la asignatura pendiente, pero no desperdicio ninguna oportunidad de asistir a cursos ni practicar.
  • Finalice un reto deportivo, al menos uno al año hay que afrontar.
  • El verano es la época que más aprovecho para leer, necesito aprovechar mejor el tiempo antes y después de ese periodo para leer más.
  • He conocido a alguien en Internet con el que poder hacer pequeños proyectos y colaboraciones juntos. Es el precio que hay que pagar por tener una TV tan mala en este País, te obligan a buscarte otros hobbys. :D

Aquí os dejo un video apto para visualizar en estas fechas, y con un mensaje claro: "Wear Sunscreen".




¡¡ FELIZ AÑO 2011 !!

martes, 21 de diciembre de 2010

Comprueba si esa tienda online es de fiar

Estaba buscando un regalo para estos días en esta web, y me resulto un tanto sospechoso que los precios fueran notablemente más baratos que en el sitio oficial. Aunque no vendría mal para mi bolsillo, no me gustaría arriesgarme y exponer mis datos o incluso que no llegue el pedido, así que busqué algo de información sobre ese dominio.


$ whois ghd-espana.net

Domain Name: GHD-ESPANA.NET
Registrar: HANG ZHOU E-BUSINESS SERVICES CO.LTD.
Whois Server: whois.eb.com.cn
Referral URL: http://www.eb.com.cn

Registrant Contact:
  lucy zhang


mmm, un dominio y contacto de china. Por otra parte los datos del dominio oficial muestran lo siguiente:

$ whois ghdhair.com
Domain Name: GHDHAIR.COM
Registrar: GROUP NBT PLC AKA NETNAMES

Registrant:
  Jemella Ltd
  Unit 12, Ryefield Way
  Silsden West Yorkshire
  BD20 0EF
  UK



No tienen nada que ver entre sí, y teniendo en cuenta que el producto es inglés no me muestra mucha confianza el sitio chino. Además, en el sitio oficial tienen un verificador de páginas web falsas


Así que ya sabes, si la web donde vas a realizar una compra no es muy conocida, realiza una verificación básica para ver por quién está registrada, y confía en tu intuición. Si los datos son anónimos tampoco debiera darnos mucha confianza. En fin, tendré que estirarme esta vez.

jueves, 9 de diciembre de 2010

Webmaster, tu sitio ha sido comprometido y todavía no lo sabes

O vendes cialis sin saberlo. Esta es una lista de más de 200 dominios que han sido comprometidos y sus dueños o webmasters que los administran todavía no lo sabían cuando se publico, ¿esta el tuyo en esa lista?. En la actualidad, la mayoría ya están corregidos.

Con el PoC urldigger también puedes comprobar si ocurre algo extraño en tu dominio pero todavía no lo sabes, por ejemplo algo como en este:

#urldigger.py -S http://www.misitioweb.com

Looking for SPAM in......http://www.misitioweb.com
Looking for SPAM in......http://www.misitioweb.com/?429/buy-windows-home-server
Looking for SPAM in......http://www.misitioweb.com/?4447/buy-windows-vista-home-premium
Suspicious SPAM!!! -------> http://www.misitioweb.com:8888/index.4810.php [generic viagra]

Lo normal sería ver en el código html directamente el spam, pero haciendo uso de técnicas cloaking, aparecían únicamente en las búsquedas, esta vez se trataba de un nuevo tipo de ataque que usaba los dominios comprometidos pero en diferentes puertos para campañas de SPAM. Esto hacía que el ataque pasará inadvertido para los webmasters el mayor tiempo posible. Fuente y detalles en unmaskparasites.

Como ya viene siendo habitual hace años, el año que viene no va a ser menos, y los ataques web seguiran siendo una de las tendencias del 2011.


Pero ¿cómo consiguen acceder a nuestros dominios para modificarlos?, de varias maneras:

1. Con vuestras credenciales de webmaster.


Lo anterior es una traza wireshark de este troyano, os puede llegar por múltiples vías, correo electrónico como una imagen a visualizar, programa descargado de p2p, url acortada en red social...  Con tan sólo un click estaremos enviando todas las contraseñas guardadas en nuestro MSN, firefox, IE y gestor de sitios s/ftp filezilla a los malos. Y todo ello cortesía nuestra. Existen multitud de variedades de estos keyloggers, form-grabbing, ftp-manager-grabbing.

2. Vía vulnerabilidad en la plataforma de nuestro sitio web (wordpress, joomla, drupal...). Consultar el excelente material de el maligno sobre ello.

3. Vía vulnerabilidad en tu navegador o alguno de sus plugins para saltarse la ingeniería social e ir directamente al grano. Cuando hacen esto, se centrarán más en robar tus credenciales bancarias (troyanos bancarios, donde Zeus es el rey) que en otras, pero las otras (si cogen de sitios web o redes sociales), seguiran siendo útiles para seguir propagándose.

4. Si pierdes o te roban el portátil y usas filezilla, tendrán acceso a todas las contraseñas ftp de tus sitios. Evítalo protegiendo el sitemanager.xml

¿Conoceis más formas de que accedan a nuestros sitios web para modificarlos.? Dejarlas en los comentarios.


¿Y qué hacen una vez qué tienen acceso a nuestro sitio web?:

1. Te alojan SPAM de cualquier manera, ya sea como en el caso anterior intentado permancer ocultos a la vista del webmaster  o de manera más llamativa.

2. Defacements: modifican tu sitio para vanagloriarse de su grupo o cualquier otro motivo más oscuro. Esto es más típico de los años 90, pero todavía sigue habiendo casos.


3. Tu web se convierte en una amenza para tus visitantes ya que contendrá exploits para instalar más troyanos en los equipos de tus visitantes, y continuar así el ciclo de infección. Ejemplo de código que podría tener tu sitio web. Y lo que finalmente ocurríra con tu sitio si contiene ese tipo de código malicioso será caer en listas negras.

Lo recomendable sería, a parte de mantener una buena política de Seguridad tanto en tu equipo local, como en las actualizaciones del software de tu web, realizar monitorizaciones de cambios inadvertidos en alguno de tus dominios, existen servicios profesionales avanzados y personalizados pero orientados a grandes sitios. Pero esto no quiere decir que nosotros, por muy pequeño que sea nuestro sitio web, no podamos aplicar alguna medida proactiva/reactiva, por ejemplo con un simple script para verificar el MD5 de nuestra página principal. Otra vía más avanzada es hacer uso del servicio de aviso de código malicioso en web de Google. De cualquiera de esta formas, si nuestro sitio ha sido modificado recibiremos un mail de aviso indicándonoslo, no tendremos que esperar a que sean nuestros usuarios quienes nos avisen, o a que Google nos bloquee el dominio. No hay excusa para que esto nos coja por sorpresa.

martes, 30 de noviembre de 2010

Día de la Seguridad Informática

No sabía que existía este día, el "Día de la Seguridad Informática", nos vamos a quedar sin días en el año para todas las conmemoraciones que se hacen.

Hoy lo he visto por twitter, y únicamente quería compartir con vosotros el recurso de la "Oficina de Seguridad del Internauta". Se trata de un servicio del Gobierno Central y puesto en marcha por INTECO. En él, cualquier usuario de Internet tendrá a su disposición un teléfono (901 111 121) para cualquier consulta o problema relacionado con la Seguridad Informática. Un foro de Seguridad,  y un asistente de Seguridad, y así como consejos y ayudas para desinfectar tu PC en caso de que sospeches de algo. En definitiva, ya no tienes excusas para mantener tu equipo a salvo de virus y otros intrusos no deseados y que tu comportamiento en Internet sea el adecuado para no ser víctima de ningún fraude online.


A mí me gusta Internet, pero una Internet Segura, ¿y a tí?. Aunque la otra, a veces también sea divertida para los que nos dedicamos a ello, no lo es tanto para las víctimas de esa Inseguridad. Por una Internet Segura.

martes, 23 de noviembre de 2010

Este sitio es una web atacante o visitar este sitio puede dañar tu equipo

Seguro que los has visto. Tanto si eres un usuario habitual de Internet o propietario de algún sitio web o blog, apuesto lo que sea a que te has encontrado con algún mensaje de estos en alguna ocasión, estan por todas partes:

este sitio es una web atacante
Aviso visual en navegador firefox

Aviso visual en el navegador chrome

De no ser así, te puedes considerar afortunado o quizá es que navegues con IE, en cuyo caso, el mensaje sería similar a este, pero esto es otra historia que ya comenté en su día:

Aviso visual en el navegador IE8


 A lo que ibamos, para mí, lo interesante son las 2 primeras imágenes, ya que son la muestra visible que el usuario normal percibirá de la tecnología SafeBrowsing de Google, disponible para que cualquiera pueda hacer uso de ella, tal y como hace el navegador firefox y chrome. El caso es que cada vez, es más común tropezarse con pantallas de ese tipo, y de acuerdo a los últimos datos publicados por dasient, las estadísticas no son nada halagueñas. Estas información se puede resumir en que el ataque drive-by es el método más usado para distribuir malware. Y el origen de estos ataques no viene de sitios de dudoso contenido, sino de sitios web  muy populares y conocidos, así como también de sitios de Gobiernos, universidades, etc. 

El caso es que casi en paralelo a estos datos, se publicaron las charlas de la conferencia de Seguridad SecTor, entre las cuales podemos encontrar la interesante presentación sobre la infraestructura que hay detrás de SafeBrowsing, titulada: Google's approach to malware on the web. Vídeo de la misma charla

Los datos mostrados encajan con los publicados por Dasient tal y como se muestra en la siguiente gráfica:


pero con algunas matizaciones como que la Ingeniería social está relacionada con los drive-by downloads en tanto estos necesiten de un click para su descarga incluso aunque no se sepa donde se está haciendo click. Esto todavía encaja con la definición de drive-by download ya que no has dado tu consentimiento para descargar nada.(click para cerrar pero era un baner gigante con la única opción de aceptar, etc)

Una interesante presentación que merece la pena ver para comprender un poquito el chirinquito que hay montado tras la tecnología SafeBrowsing.


En un momento de la presentación, Fabrice, comento que las máquinas virtuales que componían la arquitectura que navegaba las urls en busca de ataques drive-by, estaba compuesta por máquinas vulnerables con Windows + IE, el público entonces estalló a carcajadas. Y luego hablan del humor inglés.


Actualización [3-1-11]: Recursos para actuar cuando te sale este aviso.

jueves, 11 de noviembre de 2010

Seguridad con Firefox

Esta es la presentación que hice en Fundación Dédalo, dentro de la semana de Software Libre, sobre Seguridad con Firefox. Se trató de una charla no muy técnica orientada al usuario medio con el fin de conocer algunas amenazas de la red y de cómo Firefox nos protege. Es una pena que no sea autoexplicativa, pero el resumen podría ser:

"Ningún navegador te va a proporcionar una seguridad Total en Internet. Tienes la libertad de decidir cual de todos se ajusta más a tus necesidades y usar siempre las versiones más recientes y con todos los plugins actualizados. Los malos están ahí fuera esperándote. Navega con protección. Todo ello aderezado con algunos ejemplos." ;-)

Una pequeña anécdota: en la misma sala donde estuve, hace unos meses Chema Alonso ofreció una presentación sobre Seguridad en navegadores Web, dejando a Firefox en no muy buena posición (¡¡será sectario!!) -desde el cariño y la admiración :-) -. Tenía por delante el marrón de hablar sobre Seguridad en Firefox con tal antecedente.

miércoles, 3 de noviembre de 2010

Enlaces de spam y código desconocido en tu sitio web o blog

Sí tu sitio web o blog ha sido comprometido, es posible que ni siquiera te enteres (los defacements ahora son solo para script-kiddies). Pero cuando tu ranking en los buscadores y las visitas a tu sitio bajen y disminuyan, o incluso alguien te avise de que tu sitio web no está disponible por qué forma parte de alguna lista negra. Entonces quizá sea demasiado tarde para actuar. Por ello, lo mejor es no perder el tiempo y empezar a limpiar tu sitio de iFrames o enlaces de spam que no forman parte de él.


Todas las buenas prácticas en Seguridad recomiendan mantener las últimas versiones del software en producción, Pero a veces esto no es suficiente. Ya que los atacantes pueden haber dejado puertas traseras para volver a acceder aún cuando hayamos actualizado el software. Estas puertas traseras pueden ser un directorio oculto que no será sobreescrito con una actualización, código insertado en un tema o CSS o simplemente creando una cuenta con permisos de administrador.

Recientemente me encontré con un caso de un sitio muy bien posicionado. La táctica de este tipo de ataques es que no es visible para los visitantes ni los dueños de los sitios web, a no ser que sean muy cautelosos. Pero si se puede percibir a través de la cache de google o de una búsqueda como "site:tusitio.com viagra". Este tipo de táctica se denomina cloaking. También muy conocido como pharma hack, ya que tu sitio se habrá convertido en una tienda de todo tipo de productos farmaceúticos para quién llegue a través de un buscador o para los bots. Y esto es muy común en sitios web no muy protegidos o con versiones antiguas vulnerables.

Veamos el ejemplo del sitio que comento. Al hacer una búsqueda en Google y pulsar sobre "Cache"

 Imagen 1. Para preserver la intimidad del sitio


Podíamos ver esto:



Figura2

Si esta situación se mantiene durante mucho tiempo, tu sitio irá descendiendo posiciones en los SERPs y lo que es peor, podrá ser bloqueado.

Otra de las curiosidades de este tipo de ataques, es ver que otros dominios y recursos aprovechan. Concretamente en este, se está haciendo uso de recursos de las siguientes Universidades:
Como se puede comprobar, las Universidades son una gran fuente de recursos disponibles para dar cobijo a este tipo de tácticas. Una correcta administración y monitorización del sitio solucionaría en gran parte este problema.

En próximos posts, la solución para eliminar este hack de nuestro servidor.

jueves, 28 de octubre de 2010

Ten -todavía- más cuidado con las wifis abiertas

Firesheep es un plugin de firefox creado por Eric Butler (361,264 descargas en 3 días). Fue liberado hace escasos días en la conferencia de seguridad TorCon.  Su objetivo no era otro qué hacer un llamamiento de responsabilidad a todos esos sitios web que durante años han estado ignorando la seguridad de sus aplicaciones. Entre estos sitios se encuentran: Twitter, Google, Facebook, Amazon, Windows Live, Cisco y un largo etc que siguen.

El ataque qué demuestra Firesheep es sencillo de realizar usando las herramientas adecuadas y ha estado ahí disponible durante años; owasp top ten (el nivel de dificultad ahora debería cambiar), the WASC threat classification online , tanto la comunidad de Seguridad como los cibercriminales lo sabían. El peligro que tiene ahora, es que cualquiera, sin ningún conocimiento técnico puede robar sesiones de usuario en redes wifis abiertas.

Todos los navegadores de Internet son susceptibles a esta vulnerabilidad. La mejor manera de protegernos frente a esto es no conectar a ninguna WIFI abierta y hacer login en cualquier sitio con HTTP. Sin embargo sabemos que esto a veces no es viable, por lo que si estás conectado a una WIFI abierta y necesitas hacer uso de alguna red social o servicio con HTTP, hazlo con HTTPS; por ejemplo escribe https://www.twitter.com en lugar de http://www.twitter.com.

Firefox además te lo pone fácil, para que no tengas que recordar eso cada vez, puedes hacer uso de esta extensión HTTPS everywhere. En firefox 4 esta funcionalidad ya vendrá de serie.

lunes, 11 de octubre de 2010

Como comportarse ante el robo de identidad

Hace unos meses comentaba la mala práctica de twitter de resetear contraseñas en casos legítimos de robo de cuentas. Lo cierto es que en casos de robo masivo de cuentas, no existe solución idónea, pero lo que hacía twitter era de risa.

Recientemente me he enterado de como facebook maneja este tipo de casos. Pongamos por ejemplo, Facebook ha descubierto el robo de 3000 cuentas de sus usuarios. El problema principal es de facebook, pero los demás servicios, en este caso proveedores de correo de las cuentas asociadas también están implicados indirectamente, por lo que todos deben actuar para corregir esa situación.

Los procedimientos de Facebook han mejorado hasta llegar a lo siguiente:
  1. Una vez que descubren que una cuenta ha sido comprometida. Envían un mail de notificación, pero sólo de notificación, sin enlace.
  2. La próxima vez que el usuario con la credencial robada intente hacer login en facebook, este le mostrará un mensaje indicando que su cuenta ha sido temporalmente deshabilitada. 
  3. A continuación entraran en un proceso de verificación para demostrar que ellos son los verdaderos dueños de la cuenta.
  4. Una vez que lo demuestren, facebook les indicará como crear una contraseña robusta y les mostrará consejos de seguridad.
  5.  
Esta cuestión, la de cómo resetear cuentas de usuarios que han sido comprometidas, algo que parece tan trivial, no lo és. Microsoft o Google no tenían procedimientos claros para casos así, y twitter nos demostró que sus procedimientos no son los correctos en la Industria de la Seguridad, donde siempre se le ha enseñado al usuario a desconfiar de enlaces de correos no solicitados. Esta vez Facebook ha ido un paso adelante enseñando a los grandes como actuar en casos de robo masivos de identidad, algo que por desgracia ocurreo más de lo deseado.

Otra característica de seguridad de Facebook notable, es como alguien comentaba que estando en un hotel fuera de su País, al hacer login en Facebook este le indicaba que usualmente no accedía desde esa IP y le pidio que como medida adicional identificase a alguno de sus amigos vía fotos. Nice!!

domingo, 3 de octubre de 2010

Dá lo mismo como lo hagas, te seguiremos robando

El sábado pasado (25 de Sep), David Barroso aka lostinsecurity publicaba en el blog en inglés de S21sec una nueva variante de robo de credenciales de la banca online. El caso era novedoso hasta tal punto que ésta era la primera vez que se tenía constancia de un troyano capaz de saltarse sistemas de autentificación de dos factores.

Para explicarlo de manera sencilla, un sistema de autentificación de dos factores se basa en algo que tienes + algo que sabes. Lo solemos usar a menudo en nuestra vida cotidiana, por ejemplo cuando sacamos dinero con nuestra tarjeta del banco. Necesitamos la tarjeta + PIN secreto. En la banca online el sistema de autentificación de 2 factores funciona con la combinación usual de usuario/password + código vía SMS para realizar transferencias. El uso de un canal alternativo como el móvil evitaba que en caso de que nuestras credenciales hubieran sido robadas por un virus/troyano, los malos no pudieran completar la transacción al no disponer del código vía SMS; podrían conocer nuestros datos pero no tendrían el código enviado por SMS.

La doble autentificación es un sistema de seguridad que en España lo empezó a implantar la banca online en el 2009, actualmente muchas cajas y bancos se encuentran en procesos de implantación de este sistema para asegurar las transacciones de sus clientes, pero el descubrimiento del primer troyano capáz de recoger credenciales del PC y del móvil de su víctima para poder realizar la operativa online fraudulenta dejará en entredicho la justificación de la inversión en estos sistemas de Seguridad.

Curiosamente, el descubrimiento de la nueva variante de este troyano (Zeus/zbot) ha sido reflejado en las portadas de los principales medios online, por citar algunos ejemplos:

pero apenas se vio ninguna referencia a esta noticia en ningún medio en castellano, a pesar de que este troyano se descubrió aquí y su objetivo eran únicamente entidades españolas. Posteriormente algunos sitios se fueron haciendo eco, pero muy tímidamente.

Ahora será cuando muchos CISOs y CIOs inmersos o no en la implantación de estos sistemas, se cuestionen su utilidad frente al desembolso necesario para su uso. Bien es cierto que sistemas similares como locuciones automáticas o reconocimiento de voz podrían utilizarse, pero da lo mismo la tecnología que se use. Mientras se sigan cometiendo estafas a través de una de las vías más seguras: ir al banco en persona a sacar el dinero. No importaran las medidas tecnológicas de seguridad que se implanten. Está comprobado.

domingo, 19 de septiembre de 2010

Consultoría gratis para micropymes

Como forma de celebrar la aprobación del examen CISA, voy a invertir una pequeña parte de mi tiempo libre en intentar aprovechar mi experiencia en sistemas, seguridad y Software Libre.

Cualquier empresa de Navarra, especialmente las micropymes, que son las más abundantes y que menos recursos cuentan, podrán plantear sus dudas, consultas o preguntas* acerca de los siguientes temas:
  • Soluciones de Software Libre en su negocio.
  • Problemas en sus sistemas (comunicaciones, costos, errores...) 
  • Nuevas soluciones de comunicaciones
  • Concienciación en Seguridad (¿llevas tu portátil con documentos confidenciales sin cifrar?, ¿wifis abiertas?, uso de Internet... )
  • Soluciones económicas para disponer de presencia en Internet.
  • Cómo aprovechar plataformas y servicios gratuitos de Internet (antivirus, almacenamiento, publicidad...)
  • Consulta mi perfil en Linkedin o envía un correo para consultar cualquier otro tema en que crees podría servirte de ayuda.

¿Por qué?: Mejor competir por conocimiento que por costes. Hay que buscar soluciones a la crisis. Sí algo de mi experiencia sirve para mejorar, solucionar o encauzar algún asunto en la empresa, ella se beneficiará. Yo ganaré perspectiva.

¿Cómo?: Las consultas se puede realizar por 2 vías; correo electrónico o concertando una mini-reunión previa. Lo de mini es por que a nadie le sobra el tiempo, esta opción sólo será válida cuando sea imprescindible ver las instalaciones de quien consulta, posteriormente enviaré mi respuesta. Sí se hace por correo, en un plazo indicado dependiendo del tipo de consulta, enviaré mi respuesta.

¿Cuando?: Esta propuesta estará activa hasta el 31 de Octubre de 2010.


*Dudas, consultas o preguntas: Deberán ser lo más concretas posibles en relación al propio negocio que las haga. Es decir, no tiene sentido que una empresa pregunte: "¿Qué opciones de Software Libre existen para implantar en mi negocio?. Por contra, una consulta válida sería; tenemos 5 equipos en un dominio con un servidor Windows 2003 como servidor de archivos y reglas de acceso configuradas con diferentes perfiles. ¿Qué opciones hay de tener este entorno con SL?. Creo que se coge la idea. Preguntas concretas para soluciones concretas.
El límite de consultas por negocio seran 2.


"En los momentos de crisis, sólo la imaginación es más importante que el conocimiento". (Albert Einstein)

lunes, 13 de septiembre de 2010

Mis libros del verano

El recomendar lecturas más bien parece una tarea de inicio de verano más que de final, pero ahora también es un buen momento para ello, cuando vuelve a la tele la programación de nivel a que nos tienen acostumbrados. Estos han sido los libros que he leido este verano entre piscina playa y vacaciones:


  • La Buena Suerte (Alex Rovira Celma, Fernando Trías de Bes, 2004) 
    • "Deseo e iniciativa como claves es algo que se puede extraer de esta sencilla y aleccionadora fábula."

  • Lo que no le enseñaran en la Harvard Business School (Mark McCommarck, 1984)
    •  "Los dos sentidos; común y el del humor son claves en la empresa. Este libro está escrito en un estilo de confidencias totalmente prácticas de inicio a fin. Tratándose de un libro escrito hace más de 20 años, su contenido es de rabiosa actualidad, además se expone la forma en que se manejaban en la empresa antes de la era de la Información."  
    • En defensa de antiguos libros

  • La conjura de los necios (John Kennedy Toole, 1980)
    • "Divertidísima y ácida novela con un protagonista comparado por algunos con Don Quijote. En muchos momentos no pude evitar reirme con las pomposas frases del protagonista."

  • Una breve historia de casi todo (Bill Bryson, 2005)
    • "Todo aquello que te preguntaste de pequeño y no tan pequeño sobre la Ciencia, tiene respuesta y diálogo en este libro."

  • Socialnomics (Eriq Qualman, 2009)
    • "Algún capítulo es muy básico, pero en general, contiene bastante información para que los responsables de marketing de las compañías vean el social media como la plataforma de comunicación del futuro donde las viejas reglas ya no aplican."

  • The Google Story (David A. Vise, 2005)
    • "Para tener una visión completa de como empezó todo, con datos e historias internas desconocidas por la mayoría."

He puesto a propósito un enlace a una review de cada libro en lugar de la página oficial o de un sitio de compra.

¿Cuales han sido tus lecturas del verano?

    lunes, 23 de agosto de 2010

    Sistemas -> Seguridad -> CISA ->

    Tras más de 5 años trabajando en el área de Sistemas, aproveché un Curso online para prepararme con el objetivo de conseguir la certificación CISA. Lo cierto es que simplemente el estudio merece la pena, aunque todo es teórico, si has tenido experiencia en el área, te da un enfoque y perspectiva diferente y complementa tus conocimientos técnicos con otros como gobierno TI, gestión y auditorías. 

    Hace unos días me confirmaron que aprobé el examen, por lo que ahora estoy en el segundo paso que es, enviada toda la documentación acreditando experiencia de más de 5 años en auditoría de sistemas, control o seguridad de la información, esperar la confirmación para continuar con el proceso hasta conseguir la certificación oficial CISA.

    Actualmente trabajo en el área de Seguridad, una transición lógica, según dicen. Cada vez es más crucial darse cuenta de que el mejor defensor de cada uno es uno mismo, nadie va a exaltar tus virtudes ni te va a traer el trabajo de tus sueños en una bandeja de plata. Con esto en mente tendremos que hacer lo mejor que podamos en reconocer nuestras deficiencias y lo más importante, nuestros puntos fuertes. Nadie tiene un inventario de las habilidades que posees, y en Seguridad, un área tan extensa y fascinante, con tantas facetas que explorar, tendrás que asegurarte de encontrar un área que te divierta técnicamente, y seguir formándote de forma complementaria. Habrá que estar preparado para lo que pueda llegar.

    Hasta mediados de septiembre estaré de vacaciones, pero a la vuelta, celebraré de forma algo inusual y útil, el haber aprobado el examen CISA.


    jueves, 19 de agosto de 2010

    TEST en Firefox REAL en IE8. WTF?!!

    Entre las múltiples características de seguridad del navegador firefox, se encuentran la protección contra el phishing y el malware. En su FAQ podrás aprender  más en cuanto a su funcionamiento. Y si tienes algún problema con algun dominio web de tu propiedad, en este post podrás ver recursos para salvarlos.

    El caso es que, Firefox tiene la siguiente url <http://www.mozilla.com/firefox/its-a-trap.html> harcodeada con propósitos de testear y probar la interfaz de warning tal y como se mostrará en los sitios con auténticos phishing y malware. Si continuamos, veremos que efectivamente se trata de una página de test.

    URL harcodeada

    Lo curioso de todo esto es que IE8, es decir Microsoft ha recibido informes de que este sitio contiene amenazas. WTF!!!, ¿De quién ha recibido esos informes?

    lunes, 9 de agosto de 2010

    El éxito de GNU/Linux y el Open Source

    ¿Todavía piensas que el éxito de GNU/Linux llegará cuando esté instalado en más equipos de Usuario que MS Windows?

    Ese pensamiento podría corresponder a épocas anteriores donde lo más importante era el PC y sus programas, pero ya hace tiempo que el mundo de la informática ha cambiado. Existen más vías para juzgar el éxito de GNU/Linux y el Open Source. 

    Estos son algunos titulares de esta semana pasada:

    Actualización con noticias positivas sobre el Open Source

    jueves, 29 de julio de 2010

    Cualquier empresa podrá tener su propia nube

    Existen, por supuesto, alternativas Open Source para cualquier software propietario actualmente. Pero, existe un desafío a día de hoy para crear el próximo sistema operativo GNU/Linux, navegador web Firefox y plataforma de móviles Android. ¿Y cuál es este gran desafío?; construir una plataforma Open Source para la nube.

    Esto reza en la wiki de OpenStack respecto a su principal objetivo:

    "Our goal is to produce the ubiquitous Open Source cloud computing platform that will meet the needs of public and private cloud providers regardless of size, by being simple to implement and massively scalable."
     
    El software resultante de OpenStack se podrá ejecutar en hardware económico de cualquier tipo para que empresas de todos los tamaños, puedan tener así su propia nube y no depender de terceros. Se abren así interesantes vías de negocio para empresas que ganen expertise en esta tecnología: consultorías, implantaciones, integraciones. Estamos en el principio de una nueva tecnología de gran impacto.

    lunes, 19 de julio de 2010

    lunes, 5 de julio de 2010

    Extreme Bardenas XIII (2010)

    Otro reto realizado, he disfrutado de un fantástico día en las Bardenas Reales -el desierto más grande de Europa- junto a 1500 bikers, el pueblo de Arguedas (donde tengo raíces) volcado en todos nosotros y una organización de 10. Pero todo el sufrimiento del cuerpo se ve recompensado con la satisfacción de participar en una de las pruebas más exigentes de Mountain Bike.

     Subida al yugo Km 96 (el de la derecha)

    Poco más se puede decir, mallo ha realizado una gran descripción detallada. Una de las cosas que más me gusta es el contraste de humor en el ambiente, los primeros KMs son siempre de buen ambiente, risas y bromas, luego llega un punto en que el silencio domina y cada uno, lleva el sufrimiento por dentro como bien puede, los últimos KMs son un auténtico cuadro de caras y cuerpos al límite. Mientras, durante todo el recorrido da tiempo a tener todo tipo de sensaciones; alegría, emoción, subidones, carne de gallina, temblores, bajones, ganas de retirarse, y llega ese punto en el que ya se convierte en una lucha mente VS cuerpo, pero finalmente, cuando consigues llegar a meta, siempre piensas lo mismo: el año que viene repito.

    Los títulares de los periódicos los días previos y posteriores lo decían todo:
    Y la clasificación  final de esta edición, competitiva, no competitiva, que más da, cada uno es libre de ponerse al límite o no hacerlo.

    Recopilación de fotos:

    jueves, 1 de julio de 2010

    Tenemos un plan: Moderna Navarra

    El plan Moderna Navarra pone de relieve que la Comunidad Foral ya no puede competir por costes, sino por conocimiento. Se trata de una iniciativa conjunta del Gobierno de Navarra y con el impulso de las 2 Universidades; pública y privada, entre otros agentes políticos, económicos y sociales.


    En los años 60, hubo en Navarra una transformación radical del tejido productivo navarro, cambiando de la tradicional economía agraria a la industrial. Actualmente, y este es uno de los objetivos de el Plan Moderna, el salto debe ser hacia la sociedad del conocimiento.

    Algunas palabras clave en el libro del Plan Moderna son:

    • Implicación y participación de ciudadanos
    • Instituciones públicas/privadas abiertas, flexibles y transparentes (O-governement)
    • Diálogo social innovador
    • Sociedad del conocimiento
    • Mejora y ampliación constante de la educación
    • Vigilancia e inteligencia estratégicas
    • Codiseñar e integrar las innovaciones y desarrollos de otros
    • Espíritú emprendedor, innovadores, creativos
    • Inglés, internacionalización
    • Energías renovables, incremento de la innovación
    • Explotar las TIC para estar conectados sobresalientemente
    • Focalizarse en el cliente
    Para la elaboración y desarrollo del plan moderna, se ha realizado fielmente siguiendo varios de sus principios; el más abierto, dando la posibilidad a cualquiera de dar su opinión en la construcción del futuro de Navarra, simplemente aportando alguna idea. Yo aproveché y aporte la mía.

    miércoles, 16 de junio de 2010

    La oficina desaparecerá como tal

    El otro día a raíz de una presentación Pecha Kucha que estaba preparando para el trabajo, publiqué este tweet:



    Y hoy he leído el artículo "Goodbye to the office" de Seth Godin. En él expone ciertas características de pérfiles que podrían permitirse trabajar sin necesidad de ir a la oficina. Se ganaría en velocidad, productividad y felicidad, pero falla algo. Otro sitio de trabajo que no sea la oficina, cuando esto se solucione, la oficina morirá, explica.

    Personalmente pertenezco a ese pérfil que podría trabajar desde casa, de hecho algún compañero lo hace algún día a la semana. El correo y una VPN con acceso OTP es todo lo que necesitamos para acceder a los servicios internos necesarios para desarrollar nuestro trabajo. Las ventajas del teletrabajo son numerosas para ambas partes, pero tambien existen desventajas. ¿SOLUCIÓN?

    En mi opinión es sencilla. Ni blanco ni negro; gris, es decir; flexibilidad. Puedes tener lo mejor de ambas opciones. ¿Por qué no trabajar desde casa 1 o 2 días a la semana?, o simplemente, cuando tengamos necesidad de estar en casa por cualquier motivo, véase; reparaciones domésticas, hijos enfermos, gestiones... Al final, lo esencial es que los proyectos salgan y con calidad, no importa si desde casa, la oficina o cualquier otro lugar. ¿Qué opináis?


    Actualización [6-12-2010]: ¿Por qué no se trabaja en el trabajo?

    miércoles, 9 de junio de 2010

    Detectar tendencias, spam y otras hierbas

    Es lo que estoy haciendo con una pequeño script que al mismo tiempo me sirve para aprender a programar en python, lo tengo como un pequeño proyecto personal. Con urldigger puedes ver las tendencias actuales de varias fuentes, extraer las URLs de las búsquedas de google y usarlas para lo que quieras, e incluso escanearlas en busca de spam y algún otro uso malicioso.

    ¿Por qué he creado esta herramienta?: Porque me gusta aprender practicando y es una buena forma de aglutinar todo en un sitio, y si al mismo tiempo a alguien también le sirve para algo aunque sea mínimo, mejor.

    En las pocas pruebas que he realizado con ella, ha detectado por casualidad algunos patrones no deseados en varios sitios web.

    Tú también la puedes probar como en este ejemplo. (los amigos de la UCLM han sido avisados varias veces pero parece que nadie se hace cargo de esos servidores más que algunos spammers de vez en cuando).


    Entre muchas de mis áreas de interés, en relación a este tema puedes echar un vistazo a todo lo que me interesa. Me gustaría tener más tiempo para dedicarle, espero que cuando termine con el CISA y otros asuntos más, le pueda dedicar todo lo que me gustaría.

    viernes, 14 de mayo de 2010

    Los intereses de los trabajadores contra la política de Seguridad de la empresa

    Un informe de Trend Micro el cual incluía 1600 usuarios finales en U.S., U.K, Alemania y Japón, muestra que las prácticas y actitudes de riesgo en el trabajo son costumbres habituales independientemente del País.

    Los usuarios están más preocupados por sus propios intereses que por la política de Seguridad establecida en su compañía. Estas actitudes generalizadas conllevan a: 
    • Divulgar datos sensibles y privados de la empresa; a través de conexiones inseguras de correo, USBs, portátiles perdidos...
    • Desconocer el tipo de información que manejan y tienen acceso
    • Realizar tareas que nada tienen que ver con su trabajo en horas y con recursos de la empresa
    • Daño a la reputación corporativa
    entre otros cientos más de amenazas. Todo esto no es nada nuevo. A nadie tendría que sorprenderle. Es la naturaleza humana, la mayoría de la gente va a estar más preocupada por sus intereses que por los de la empresa en la que trabaja. Sin embargo, las organizaciones parece que olvidan esto y no se preocupan por la concienciación en seguridad de sus empleados. Y las que lo hacen, en la mayoría de programas de concienciación lo realizan con un enfoque erróneo, basándose en lo que la gente no puede hacer, en lugar de en cómo se beneficiarían si lo hicieran correctamente.


    En los tiempos actuales, estos programas de concienciación tendrían que ser una parte importante de las acciones internas en las organizaciones. No sólo en pro del buen gobierno corporativo, sino que, dada la tendencia alcista del fraude online, se hace necesario dar a conocer todo el entramado del crimen electrónico y no caer así, en suculentas ofertas de trabajo que le dan cobertura. En EEUU estas ofertas se ofrecen en los principales portales de empleo, es por ello que ahora el FBI está promoviendo campañas de concienciación sobre el peligro de aceptar esos trabajos.

    ¿Habeis participado en alguna acción de concienciación en Seguridad en vuestra empresa?, ¿conoceis la política de seguridad y buenas prácticas del sitio en donde trabajais?

    domingo, 9 de mayo de 2010

    Software libre en la empresa e Ideas

    El último informe presentado por CENATIC: sobre el estado del arte del Software de Fuentes Abiertas (SFA) en la empresa española. 2009 muestra interesantes datos a tener en cuenta en estos tiempos inciertos:

    • Falta de profesionales cualificados en tecnologías relacionadas con software de middleware y aplicaciones de negocio. 
    • Para el 86% de las pymes encuestadas la falta de formación de los usuarios finales es la principal barrera a la adopción de tecnologías basadas en fuentes abiertas.
    • La Seguridad, la disponibilidad de soporte y el coste total de la propiedad, son los tres aspectos que más preocupan a los responsables de TI.
    • Las categorías que, según Gartner, ofrecerían un  mayor   beneficio al  negocio  son: software de virtualización, servidor de portales, software de testing, herramientas de desarrollo en dispositivos móviles, y herramientas verticales para sector público.
    • El SFA ofrece oportunidades en Europa para el desarrollo de nuevos negocios, así como la oportunidad de jugar un rol más significativo en la sociedad de la información.
    • Las primeras áreas en las que el SFA adquirirá un uso másivo por el gran público serán aplicaciones móviles y software social.
    La encuesta realizada a las empresas españolas usuarias de SFA muestra que los productos más utilizados a día de hoy son; software ofimático, sistemas operativos, sistemas de gestión de bases de datos y servidores web. Las aplicaciones más vinculadas al core del negocio gozan de menor aceptación en el mercado. 


    Si en tu empresa existen dudas a la hora de implantar soluciones con Software de Fuentes Abiertas o tienes alguna idea de negocio alrededor de él, este informe te será de gran interés.

    martes, 27 de abril de 2010

    La concienciación en Seguridad no es sólo cosa de políticos

    El inicio del uso de las redes sociales por parte de políticos lo podríamos situar en 2008, cuando Barack Obama se convirtió en Presidente de Estados Unidos en parte gracias a su magistral uso de Internet. En el artículo "La era de las redes sociales", el asesor Antoni Gutierrez-Rubí indica que ninguna formación de nuestro país se ha dejado transformar de verdad por la cultura de la red

    En Navarra, esto empieza a no ser cierto. Fernando Ferrer (UPN), es un ávido usuario de los medios sociales hace ya tiempo, y en su BIO de twitter se puede leer que cada día aprende más de la web 2.0. Por otra parte, Roberto Jimenez (PSOE) hace poco ha empezado a usar twitter como "medio para escuchar a los ciudadanos". Este tweet suyo

    me hizo pensar en que la Seguridad no es sólo cosa de políticos. Hace pocos años, la gente todavía se resistía a usar su nombre real en Internet, hoy en día compruebo como la gente se siente a gusto compartiendo su localización exacta en el Mundo. Los chicos del sitio PleaseRobme (Robame por favor) se hicieron eco de esto, y su éxito fue enorme. 

    El sitio de PleaseRobme mostraba tweets de gente indicando cuando se encontraban fueran de casa, o que estaban en casa (con la geolocalización ON) pudiendo relacionar así, direcciones y fechas de casas vacías entre otros jugosos datos. Recuerdo cuando mi abuela me enseñaba a no bajar las persianas cuando nos ibamos de vacaciones, para que los ladrones pensaran que estabamos en casa. Dulce ironía la de los tiempos actuales.
    Al hilo de todo esto, el artículo ¿será FourSquare el próximo twitter?, te puede interesar. 

    Me parece muy buena la iniciativa de estos dos ejemplos en Navarra,  veremos como siguen y si otras formaciones toman ejemplo. Y la concienciación en Seguridad que vaya más allá de los políticos.

    Actualización (05-05-2010): Parece que la política en Navarra se anima en twitter.

    sábado, 17 de abril de 2010

    Un correo legítimo de twitter maquillado como phishing


    Actualización(13-5-2010): Luis Corrons (Director técnico de PandaLabs) escribe sobre esto en el blog de pandalabs y en el de inglés, y la prensa inglesa se hace eco.

    En mi correo llegan regularmente phishings de los cuales el 99.999999% de ellos o más se ve que son falsos sin ni siquiera abrirlos. Fallan en un concepto importante; no son de un banco o servicio del cual sea cliente.

    Aunque lo anterior tampoco es fiable 100% a día de hoy.  Ya que cada vez más, la banca online ofrece servicios de notificaciones incluso aunque no seas cliente. Recientemente recibí un mail de un banco del cual no era cliente, pero se trataba de una notificación real de ingreso en otro banco del que si soy cliente. Pero a lo que iba.

    Hace 2 días me encuentro un correo de twitter informándome que han resetado mi contraseña, y me proporcionan un enlace para que la cambie. Me informan que mi cuenta puede haber sido víctima de phishing, uno de los 10 usos fraudulentos de twitter.




    Parecía real, -por todo lo que veo en mi trabajo, hace que desconfíe más de lo normal-, pero el enlace era correcto: dominio twitter.com,  cabeceras del correo correctas, y al pasar el puntero sobre el enlace adjunto, la dirección reflejada en la parte inferior del navegador no variaba. Aún así decido comprobar que, efectivamente, me han reseteado la cuenta. Por lo que intento hacer login en la página de twitter.com. Así es, mi contraseña actual no funciona. Así que utilizo ese enlace y me la cambio, pero. ¿por qué utiliza twitter este procedimiento?

    La banca online y todos los servicios en Internet, nos han enseñado como usuarios, que nunca nos van a solicitar la contraseña o un cambio de la misma sin haberlo solicitado previamente. 

    Consejo de uno de los principales bancos de España:
    "- Nunca atienda solicitudes de claves que le lleguen a través de correo electrónico."

    De ser así, estarían dando soporte oficial al phishing, proporcionando más apoyo para las campañas de phishing actuales.   

    Pero ahora twitter, actúa de esta manera. Enviando un correo a miles de usuarios solicitándoles un cambio de contraseña. ¿Cómo va a poder un usuario normal diferenciar entre un correo legítimo de twitter contra un phishing medianamente montado?. Independientemente de que los usuarios ignoran todas las recomendaciones de seguridad, Twitter no está actuando en los términos correctos. Los esfuerzos de la industria de Seguridad en concienciar a los usuarios son en vano, mientras twitter siga utilizando esta práctica contraveniendo todas las normas de seguridad aprendidas, los usuarios cada vez estarán más confundidos.

    Es la primera vez que me encuentro con un servicio en Internet que actúa de esta manera. Sabía que lo hacían así, ya que de esto hablé en la presentación "Seguridad en Twitter". Pero ahora lo he comprobado en primera persona.


    ¿Por qué creeis que Twitter actúa de esta manera?
    ¿Qué otras alternativas tendrían en vuestra opinión?


    Disclaimer: Desconozco porque me llego ese correo, la única AAPP que uso es "hootsuite" un cliente de confianza.

    martes, 13 de abril de 2010

    Estudiante del mes en la BBC. Objetivo cumplido

    Ya comenté que el mes pasado iba a estar por el blog de la BBC como estudiante invitado. Cumplí mi objetivo.

    Fue una agradable y motivante experiencia de practicar inglés. Mi profesora fué Nuala, la creadora de los famosos flatmates. En esta experiencia he descubierto que tras la web de la BBC hay un gran equipo de profesionales, y una gran comunidad de usuarios.

    Como el inglés es mi asignatura pendiente y entre mis recursos online de inglés, solía usar la web de la BBC de manera ocasional, ahora lo haré más asiduamente; sobre todo la parte de los blogs donde realizan las correciones de estudiantes.

    miércoles, 7 de abril de 2010

    ¿Por qué tu negocio debe estar en la primera posición de Google?

    ¿Estas gastando más dinero en anunciarte en las páginas amarillas qué en marketing en Internet?, ¿por qué?, ¿tús clientes usan más las páginas amarillas que Internet?

    Sí tu sector es tecnológico, esto no seran nuevas noticias para tí, pero si vendes productos al consumidor en un mercado local, y todavía piensas que el anuncio de dos colores que ocupa media hoja en las páginas amarillas es tu mejor estrategia de marketing, tendrías que pensar en reconsiderarlo.

    Situación real: En tu piso nuevo, en alguna habitación decides poner un armario empotrado a medida. Realizas la búsqueda (armario empotrado ciudad), si realizas la búsqueda para Pamplona, sabrás donde lo compré. (tras comprobar varios más por recomendacion de redes sociales amigos por supuesto) :-)
    Simplemente así, encontré lo que quería sin ni siquiera pensar donde tenía las páginas amarillas.
    ¿Tan irreal es realizar búsquedas en Internet del tipo?; "reparación de calefacción ciudad", "fontanero ciudad", "electricista ciudad", "cocinas a medida ciudad", "baños ciudad" cambia ciudad por tu zona de residencia y así podríamos seguir indefinidamente. ¿Dónde tienes las páginas amarillas en tu casa/trabajo, y el ordenador? ¿Qué opinais?

    Este artículo es un pequeño extracto personalizado del original Why your business must be on the first page on Google?

    La presencia en Internet y redes sociales junto con unas buenas técnicas SEO y una estrategia definida son claves para conseguirlo.

    miércoles, 31 de marzo de 2010

    ¿Por qué los usuarios ignoran todas las recomendaciones de seguridad?

    El magnífico paper "So long, And no thanks for the externalities: The Rational Rejection of Security Advice by Users" de Cormac Herley de Microsoft, lo expone claramente.

    En el se examinan 3 áreas en las que la comunidad de Seguridad ha puesto grandes esfuerzos en materia de educación a los usuarios, pero sin grandes resultados:
    • Las reglas de una buena contraseña
    • La identificación de sitios phishing
    • Los avisos de certificados SSL
    Las recomendaciones en cada uno de esos tres puntos son complejas y cada vez mayores. Los beneficios de seguirlas dudosos. Esto genera la siguiente ironía:
    Muchas recomendaciones de Seguridad no sólo hacen más daño que el beneficio que generan (por lo cual se suelen ignorar) sino que hacen más daño que los ataques que puedan prevenir.
    No son los usuarios quienes necesitan una mejor educación en los riesgos de Seguridad, sino, la comunidad de Seguridad.

    Coste de un fraude financiero online

    Mientras la "concienciación de los usuarios" es una de las mejores medidas para luchar contra el fraude online, el coste-beneficio de que lleven a cabo las recomendaciones dadas, no es favorable. Los costes y beneficios deben ser aquellos que importan al usuario, no aquellos que nosotros pensamos deben importarle.

    Estudios con métricas anteriores y posteriores a campañas de concienciación podrían mostrar datos objetivos del beneficio real de seguir recomendaciones de seguridad. 

    En definitiva, dicho paper, da respuestas a todo aquel que se pregunta que falla en la concienciación de seguridad a los usuarios, y que líneas seguir para no caer en errores conocidos.

    HoneyTech -empresa de concienciación- rebatiendo el paper

    martes, 30 de marzo de 2010

    ¿Cuáles son tus mejores hacks para la vida?

    En What are you best lifehacks y sssh comparte los pequeños secretos de tu vida, puedes pasarte unas cuantas horas leyendo desde trucos serios hasta sarcasmos usuales de sitios como reddit. Esta es una pequeña lista que he recopilado, me han parecido interesantes y divertidos.



    ¿Y para tí, cuales son los pequeños secretos de tu día a día?

    Para estudiantes: Para aquellos que tengan que escribir un gran "paper" de investigación. Encuentra uno de referencia que pertenezca a tu tesis y usa las fuentes bibliográficas para encontrar nuevas fuentes.

    Para los olvidadizos: Cuando necesites llevar algo al día siguiente, déjalo junto a las llaves del coche o la casa. 

    Prácticos: Memoriza lo que mide tu palmada. De esa manera no necesitarás una regla para medir pequeñas cosas.

    Habilidades sociales: Ponte en tantas situaciones torpes como puedas, de esa manera te insensibilizaras y te hara más abierto.

    Ejercicio sencillo para ganar pulsaciones: Cuando leas un artículo en tu navegador, activa la función de búsqueda (ctrl+f) y empieza a escribir el texto que estas leyendo. Con firefox o chrome, el texto que estas escribiendo simultaneamente se resaltará. Simplemente lee el texto resaltado, y siguelo escribiendo tan rápido como puedas.

    Práctico: Nunca te tires un pedo cuando lleves auriculares.

    Cargador de móvil: La próxima vez que lo pierdas, no compres otro. Ve a un hotel, y dí que te lo dejaste ahí. Es el elemento en #1 posición que se olvida en los hoteles. Los hay de todas las gamas inimaginables.

    La compra de la semana: Cuando vayas al supermercado nunca lo hagas con hambre, come algo antes de ir.

    Toallitas húmedas de bebe: No fueron inventadas por un bebe, fueron inventadas por un hombre, un hombre muy listo. Usalas.

    Más energía: La  cafeína tarda en empezar a hacer efecto entre 15-20 minutos. Cuando te sientas cansado, toma un cafe, echa una siesta de 15-20 minutos, y te levantaras despejadísimo y con energías.

    Parking: Si aparcas en un gran parking, haz una foto con el móvil al número de localidad. Ahorraras tiempo buscando el coche.

    Compra de coche: No te compres un coche en su primera generación. Casi siempre se usan para testearlos en el mundo real. La segunda-tercera generación son mucho más estables.

    Servicios de atención al cliente: Quéjate de manera privada. Felicita de manera pública. ¿Cuantas veces has pedido hablar con un manager de soporte técnico cuando algo ha ido mal? ¿Y cuando algo ha ido bien?

    Gente negativa: Mantente alejado de esas personas que irradian negatividad.

    Positivo: Mantén un angulo positivo en todo. Ejem. Si una comida no te gusta,  intenta sentir lo que hace que le guste a otras personas, céntrate en esa parte, y puede que empiece a gustarte. Esto se aplica a gran parte de las cosas (viendo la parte positiva de ellas y centrándonos en ello).

    Lo importante: No te abrumes por las cosas que tienen poca importancia. A menos que te esten apuntando con una pistola, todo lo demas son cosas de poca importancia. ("Don't sweat the small stuff. Unless you are getting shot at, everything is small stuff.")

    Emergencias: Cuando seas testigo de algún accidente y tengas que hablar con el 112. Las 4 Ps son la mejor forma de ser eficiente en una emergencia:
    • Posición
    • Personas
    • Problema
    • Progreso

    Y en ese orden.
    Ejemplo: Estoy en la Avda Navarra, núm 130. Pamplona. Hay un bebe, una mujer de unos 30 años y un hombre de alrededor de 50 años víctimas de un accidente de coche. El bebe parece que está bien, la mujer está consciente pero con una herida en el estomago. El hombre está inconsciente pero respira. No tiene heridas visibles. Hay un señor ayudando a la mujer aplicando presión en la herida.

    Puntualidad: Siempre voy 10 minutos antes a cualquier sitio, no importa a donde; una vez que lo conviertes en hábito, no te estresarás por llegar tarde. Si algo inesperado te ocurriría, irías con tiempo!

    Pon atención: Nunca deja de sorprenderme las pequeñas observaciones que suelo hacer de cualquier cosa, me fijo en los detalles. Las conexiones entre estas pequeñas cosas se empezarán a formar y de repente te verás sentado en una reunión y parecerás un gran líder porque fuiste capaz de encontrar la solución a cualquier crisis que os enfrenteis porque pusiste atención a los pequeños detalles que otros no detectaron.


    Fill your bowl to the brim and it will spill.
    Keep sharpening your knife and it will blunt.
    Chase after money and security and your heart will never unclench.
    Care about people's approval and you will be their prisoner.
    Do your work, then step back.
    The only path to serenity.
    (Lao Tzu)