Charla Pentesting

Pues el día de hoy voy a impartir una charla en el Instituto Tecnológico de Aguascalientes, por invitación de Cesar Nava. la charla es para la materia de Auditoria informática.

como este mundo de la seguridad me gusta y mucho, yo les preparé una charla sobre:

• PENTESTING: otra forma de auditoria

espero sea de su agrado.

Pentesting ITA

Robos de sesión Usando Firesheep

algunos días atrás se regó por muchos blogs la noticia sobre el robo de sesiones de FaceBook y Twitter, trataré de explicar un poco de como es que esto es posible.


Nivel: intermedio.


La palabra hijacking se utiliza para definir la acción de realizar un ataque dirigido a uno o varios usuarios con la intención de capturar sus cookies y así poder suplantar su identidad. En la gran mayoría de portales web, este ataque se puede llevar a cabo gracias a que no se hace un buen uso del protocolo SSL, sea por sencillez, ahorro de recursos o malos hábitos de programación, etc.


En muchos de los sitios Web una vez el usuario ha sido autenticado mediante el protocolo HTTPS, este pasa a continuar la conexión con el protocolo HTTP, por lo que todos los datos que se estén enviando viajaran sin encriptardse por la red



Anteriormente para hacer una suplantación de identidad de este tipo, eran necesarias muchas herramientas y conocimientos técnicos avanzados sobre redes y programación; Pero ahora con la extensión para Firefox: Firesheep soportada en Windows y Mac OS X. Lo que hace esta herramienta es "escuchar" todo el tráfico de nuestra interfaz (tarjeta de red) y detectar cuando se están enviando cookies que puedan ser de interés para quien escucha, mostrándolas en la pantalla y de este modo dando la posibilidad de realizar suplantaciones de identidad de una forma sencilla, intuitiva y muy rápida ( #Damn por eso luego hay muchos que se autodenominan Hakers)

Solo con fines Didácticos les dejaré algunas imágenes para que conozcan como es que trabaja la herramienta.

Lo primero que hay que hacer es descargar la herramienta desde la web de Firesheep. buscamos el archivo con formato XPI, lo más sencillo para instalarlo sería arrastrar este archivo ahora a nuestro navegador Firefox, automáticamente se nos informará si deseamos instalar la extensión. Una vez instalada y reiniciado el navegar podremos observar al firesheep Instalado.

Por default la extensión aparece oculta, para activarla debemos ir al menú ‘Ver / Panel lateral / Firesheep’ y automáticamente aparecerá un panel en la banda izquierda del navegador que nos permitirá utilizar Firesheep.

En la parte inferior del panel lateral se puede configurar el complemento

Para comenzar a trabajar con la extensión y capturar cookies sólo hay que oprimir el botón "Start Capturing", y esperar a que alguien realice alguna conexión a alguno de los portales web soportados.

Una vez capturada una cookie de otro usuario, el complemento la añadirá al panel y ya podremos acceder (haciendo doble click sobre la imagen) a la página que estaba visitando la víctima, haciéndonos pasar por ella.

La extensión permite programar filtros, así que el numero de sitios puede crecer ilimitadamente.

Para probar sólo tendrías que ir a algún sitio con red inalambrica sin protecciones como las de los StarBuks o alguna escuela y probar la extensión (aguas con @vipitel que es libre también xD ).

Una solución a este problema será conseguir extensiones para nuestro navegador, para "obligarlo" a que todo lo que se envíe a través de él sea encriptado.

Aquí podemos comprobar que la seguridad comienza en uno.
Saludos seguros 0=¬)

Ingeniería social: Casos de la vida Real

En este espacio pretendo contar anecdotas mezcladas con un tema de seguridad así que aunque se que hay mucho material escrito sobre el tema, no quiero dejar de compartirles esta hisotoria:

Hace algunos años en la empresa donde trabajo pidieron que comprara unos FireWalls para protejernos de los posibles ataques provenientes de Internet. Posteriormente nos pidieron implementar un IDS (sistema de detección de instrusos) y así pensamos que nuestra red estaba "Super" protegida. Y para terminar de fortalecer la seguridad se implementó un antivirus perimetral (proteje los equipos que están en contacto con el internet). 

Pensamos en su momento: "ahora si que nos ataque quien quiera" muy seguros de que habíamos amurallado totalmente el acceso al interior de nuestra red.

Pero...

Grande fue mi sorpresa cuando a los dos días de esto, nuestra red empieza a presentar un brote de virus descomunal, ¡cientos de maquinas generando trafico saliente a lo loco! lo que hizo que algunos servicios se vieran afectados (navegación, correo, Telefonía IP) no podrían navegar algunos compañeros, no se podían hacer pagos electrónicos, no había correo electrónico y la telefonía sonaba peor que la voz de un robot (cuando se escuchaba)

No podíamos creer lo que veíamos, y la pregunta obligada era ¿Cómo?

Pues muy sencillo:

Al día siguiente del brote de virus le platicaba yo a la secre(taria) lo que estaba ocurriendo en palabras que los seres humanos pudieran entender, a lo que me dice: "- Yo creo que eso es lo que está afectando mi Messenger, Mira:" Mi sorpresa fue ver que estaba haciendo click en un enlace que decía: "Hey mira mi foto ¿cómo salgo?"


#DAMN Una persona conocida, de todas sus confianzas, amigas desde el prescolar, hermanas de Pellizco de nalga y toda la cosa; le estaba mandando una "fotografía" ¡¿Cómo no conofiar en ella?! 

Algún maldito estaba utilizando esa relación de confianza para meterle un "Malware" a la secre y asi como ella muchos usuarios cayeron en la tramapa que consistía en presentar un ENLACE que al hacer click sobre él, descarga un programa con fines no muy sanos.

Esto amigos, es un ataque de ingeniería social, aprovechan un vinculo, una relación de confianza con la persona para obtener información valiosa sobre la persona, empresa, oficina, gobierno, etc.

Y estos ataques se pueden ver no sólo en sistemas de computo, ¿quién no ha escuchado? sobre esas llamadas telefónicas donde dicen: Usted se ganó un aauuuuutoooooo, deme sus datos que yo se lo envío
Ese trabajo de convencer, envaucar, enmarañar es toda una ingeniería social.

Después de haber aprendido de esta experiencia y tratando de fortalecer la seguridad interna, un día llamé al área de soporte técnico de mi trabajo dando el nombre de mi Director, su extensión telefónica, su cuenta de correo electrónico y  dije que no podía entrar a "mi" correo; Los muchachos "buena onda" me restablecieron la contraseña y me la dijeron por teléfono. xD así que ese día pude entrar a la cuenta de correo del director. (no me pregunten como les fue a los de soporte después}:¬P )

Todo aquel gasto, aquellos aparatos tan sofisticados, no nos sirvieron de mucho para prevenir este tipo de situaciones #Fail.

En las empresas se debe cuidar tanto el esquema de seguridad externo como el interno, en ocasiones es mucho mejor dedicarle más tiempo al interno pues las peores ataques siempre vienen de adntro "Soné como película Holiwoodense xD" 

Así como en las empresas, nosotros mismos, en nuestras casas podemos protejernos de estos ataques ¿cómo? nunca proporcionando más información de la que nos soliciten y mucho menos información sensible, verificando la procedcencia de quien solicita los datos y nunca responder o aceptar cosas que no hemos solicitado.

Igualmente en nuestra computadora por muy amigos, hermanos, familiares jefes, etc. nunca hagas click en ningún archivo que tu no hayas solicitado o que no estés esperando. no aceptes a todo mundo como "tus Amigos" en las redes sociales y menos hagas click sobre todo lo que publiquen en ellas, desconfía un poco.

Recuerden la seguridad empieza en uno.
Saludos seguros 0:¬)

Password Multiusos

Hace muchos años que empecé en esto de internet y pues en aquellos tiempos (como dijo Jesús xD) uno sólo entraba a su correo electrónico y/o a las salas de chat del IRC, algunos usuarios mas avanzados entrabana a los BBS's y/o a alguna lista de noticias, nos podíamos dar el lujo de tener un password para cada servicio (y recordarlos todos)

Conforme los años han pasado, los servicios que la web nos ofrece se han ido incrementando, aparecieron : 

• Foros de discusión,
• Chats web, 
• Redes sociales
• servicios para compartir archivos
• para descargas 
• compartir videos.... etc.

en fin ¡creo que son muchísimos!

#YoConfieso que esto hizo que muchos usuarios utilizaran la misma contraseña para acceder a todos los servicios, lo que en un principio puede sonar bien y muy lógico ( los que nos dedicamos alguna vez al soporte técnico podemos constatar que los usuarios olvidan sus contraseñas más a menudo de lo que se imaginan.) así no no tienen que enfrentarse a recordar una contraseña por cada servicios.

La forma de armar contraseñas también ha ido evolucionando, hace algunos años nos pedían almenos 4 letras para formar una clave, hace menos años nos pedían 6 letras y en estos días nos piden 8 letras y al menos un numero o caracter especial. (el proximo salto es a 12 caracteres)

Pero... ¿por qué todo esto?

Trato de explicar:

Una contraseña de 4 letras representa (mas o menos) unas 260,000 combinaciones diferentes, si tomamos en cuenta que un  procesador actual (doble núcleo) realiza unos mil millones de operaciones por segundo, en teoría una computadora actual tardaría sólo unos segundos en calcular todas las combinaciones posibles de contraseñas y automatizando el proceso tomaría unos cuantos minutos en probarlas todas para encontrar la correcta.

Por eso con las nuevas computadoras y los nuevos procesadores el adivinar contraseñas "débiles" es un juego de niños. Con 6 caracteres ya los  hacemos batallar al menos unas horas.

Por eso es que ahora el mínimo requerido es de 8 caracteres y al menos un caracer especial (&%#*) y un número. ¿Para qué? para hacer mas compleja la deducción de la contraseña por un usuario mal intencionado.

Pero como buenos usuarios solemos pasar por alto todas estas recomendaciones y además si tenemos un PASSWORD multiusos (el mismo para hotmail, twitter, facebook, gmail, Tmblr, etc.) cuando te adivinan uno... ¡TE ADIVINAN TODOS!

Y no conformes con todo esto los usuarios al inscribirse en sitios o servicios 2.0 usan su cuenta de correo electrónico (como en facebook) 

Y la contraseña que ponen en el servicio es la misma que la de su cuenta de correo (#FAIL)

ejemplo:

• servicio: Facebook
• usuario: usuario.correo@gmail.com
• contraseña: Constra$eña

Donde "Contra$eña" es la misma clave que la del correo electrónico así que si nos roban la sesión en facebook (ya hablaremos de como se hace esto) les estamos regalando la información para entrar a nuestro correo electrónico.

Una práctica que podemos implementar es elegir una contraseña que cumpla las caracteristicas que ya mencionamos; además de diferenciarla según el servicio que vamos a utilizar. Un ejemplo sería el siguiente:

formamos nuestra contraseña a partir de la palabra "contraseña"

Contra$eñ4

aquí usamos una letra mayúscula, un $ en lugar de la s y un 4 en lugar de la última A y para hacerlo diferente segun el sitio en el que lo usemos podemos hacer algo como lo siguiente:

• Para Twitter: Contra$eñ4.twr
• Para Hotmail: Contra$eñ4.Hml
• Para FaceBook: Contra$eñ4.Fbk 

Con esto agregamos un caracter especial usando el "." como separador y después usamos 3 letras para diferenciar el servicio en el que usamos la contraseña. 

Esto no es una regla y sólo es un consejo, cada uno de nosotros podemos establecer buenos hábitos para evitar que nos roben la identidad en el mundo 2.0

Recuerden la seguridad empieza en uno mismo.

saludos Seguros 0:¬)

Malware y Redes Sociales

Desde que me inicié en el mundo de la seguridad informática me he vuelto un poco paranoico, pero no es para menos… Darse cuenta de que una “inocente” presentación con una imagen religiosa o con un “inocente” chiste puede contener un programa malicioso #NoEsDeDIOS

Pero son estos medios los más socorridos para hacer esta maliciosa tarea, aprovechando precisamente la “inocencia” de los usuarios (por no decir ignorancia) y se infectan millones de computadoras del mundo con software que roba información o convierte a esa computadora en un “soldado” que permite sumar fuerzas a un ataque específico  que está realizando alguno de esos personajes malintencionados que habitan por Internet.

Pero esos personajes no se quedan solamente en el envío de correos, han incursionado también en el mundo de las redes sociales.

Se han creado tantos servicios para esas redes y ha sido tal la aceptación por parte de muchos usuarios “conocidos” que nadie cuestiona cual es el origen de dichos servicios.

Tal es el caso de los acortadores de URL’s, quienes son usuarios de Twitter y Facebook los han adoptado de manera tan natural que no se han dado cuenta del riesgo que esto puede representar. No recuerdo en donde leí una tira cómica que parafraseaba a Forrest Gump “La vida es como una URL acortada, nunca sabes a donde te puede llevar”  y esto es totalmente cierto.

Podríamos comenzar a desconfiar de muchos de estos servicios si estos no proceden de usuarios conocidos pero ¿quién conoce a sus “amigos” virtuales o a sus “seguidores”? ¿quein nos puede decir que las herramientas que usan son de confianza?

El hecho de que estas redes sociales se han hecho tan accesibles a dispositivos móviles y esa idea de escribir en 140 caracteres que nos ha inculcado twitter, prácticamente nos obliga a utilizarlos, lo que ayuda a disfrazar enlaces a sitios malintencionados, característica que pueden usar los “chicos malos” del internet para distribuir su Malware utilizando estos servicios.

En Facebook muchos usuarios comparten videos, fotografías, textos y en muchos casos enlaces, igualmente sucede en twitter, pero propagar por twitter tiene una ventaja aun mayor pues, muchos usuarios que se han autodenominado Comunicadores, SME (Social Media Experts) o que simplemente dan RT (ReTwit) a todo lo que les llega, pueden hacer llegar un enlace acortado a miles de usuarios en cuestión de minutos.

El 21 de septiembre de 2010 pudimos ver un ataque a esta red social utilizando precisamente la misma filosofía de lo que aquí comentamos.[1]

Lo que hizo que cientos de miles de usuarios cayeran en la trampa de hacer click sobre el enlace y reenviarlo a todos sus “seguidores”

Además Twitter provee otra gran ventaja a estos “chicos malos” de la red, basta con seleccionar un objetivo (usuario) y esperar aque escriba algún mensaje (twit)  basta con leer debajo del twit y encontraremos el cliente que está utilizando.

Lo que permite a un usuario mal intencionado identificar qué tipo de vulnerabilidades  pudiera presentar ese usuario preparar un enlace acortado con algún exploit para dicho cliente  y así comenzar un ataque simplemente esperando a que que escriba otro mensaje y responderle con el enlace que hemos preparado para esto.

Automatizar esta tarea es cosa fácil para los “chicos malos” de la red estos pueden crear un programa (generalmente llamado bot o botnet) que puede buscar usuarios que escriban desde un cliente en específico y comenzar a responderles con el enlace acortado que se ha preparado para el ataque.

Así es como están apareciendo muchas cuentas “robot” que comienzan a “tuitear” sin miramientos, de momento son fáciles de detectar pues generalmente no sigeun a nadie, los siguen unos cuantos pero tienen cientos o miles de mensajes enviados en poco tiempo.

Por supuesto son bots  y que posiblemente estén haciéndole “propaganda” a algún malware, lo mejor que puedes hace en estos casos es bloquear esta cuenta y reportarla para que sea investigada y cerrada.

Aunque de momento la creación de una cuenta en twitter es cosa muy sencillas así que tal vez por uno que eliminen aparezcan dos más.

Después del último problema presentado con los enlaces cortos, Twitter ha anunciado su propio servicio para acortar URL’s. me parece una buena medida siempre y cuando se dediquen a monitorear el servicios y filtren los enlaces que representen un riesgo. Pero mientras no lancen este servicio debes tener cuidado con los enlaces acortados de quien sigues.

---

[1] http://conecti.ca/2010/09/21/bug-en-twitter-permite-la-insercion-de-codigo-malicioso-en-tweets/

Hacking Ético e instituciones Gubernamentales en México

El día de hoy les comparto un artículo que tuve la fortuna de me publicaran en la revista B:secure especializada en seguridad de la información , espero que lo disfruten al leerlo tanto como yo al escribirlo.

INTRODUCCIÓN

Casi se podría decir que no existe nada completamente seguro situación que incluye, por supuesto, cualquier sistema informático. La seguridad de un sistema depende de la fortaleza o debilidad con la que es capaz de reaccionar ante algún ataque. Se podría considerar que un ataque es cualquier interacción no prevista con el entorno que pueda alterar el comportamiento de un sistema.


Definiciones:

Hacker es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc.[1] Se suele llamar hackeo y hackear a las obras propias de un hacker.

Hacker de Sombrero Blanco
(White Hat)
El white hat es aquella persona que, de manera altruista o no, dedica su tiempo a la búsqueda de vulnerabilidades en un sistema y que posteriormente notifica al administrador para que considere su futura corrección. Sus actos no son malintencionados y normalmente realiza sus acciones bajo el consentimiento del propietario del sistema atacado.

Hacker de Sombrero Negro
(Black Hat)
El black hat es lo que comúnmente llamaríamos cracker, y sus fines son, además de lucrativos la mayoría de las veces, totalmente destructivos. Jamás avisa de los errores encontrados y los utiliza para echar abajo servidores importantes, borrar información privada o colapsar redes enteras bajo el efecto de un ataque de denegación de servicio (DoS o DdoS). Es, desde luego, la persona que menos puede aportar a la comunidad Underground preocupada de la seguridad de Internet, pero debemos ser realistas y afirmar que muchos de ellos acabaron convirtiéndose, después de una profunda madurez de su ética profesional, en hackers de sombrero gris o blanco.

Hacker de Sombrero Gris
(Grey Hat)
Decir que el grey hat es una mezcla de los dos anteriores no es del todo correcto, puesto que muchas veces es más como primero. Este es el Genuino hacker ético (HE). Podríamos decir que se encuentra en un limbo entre las dos fronteras pero que su actitud y ética le permite decidir con certeza qué comportamientos son los más adecuados a la situación a la que se enfrenta.[1]

Seguridad de Instituciones
Gubernamentales
En las entidades gubernamentales aún podemos observar políticas de seguridad muy laxas, desde el uso irresponsable de dispositivos de almacenamiento por los cuales los empleados pueden sacar información sensible del recinto sin ninguna restricción, hasta la mala administración de centros de datos, servidores, cuentas de usuarios y/o conexiones.

Hemos podido observar en los medios de comunicación como en nuestro país han aparecido en internet y en mercados ambulantes (ilustraciones 1 y 2) a la venta bases de datos con información personal de los ciudadanos y que son recabadas y administradas por el propio gobierno federal[2].



Ilustración 1: Nota del Diario Universal: venta de Bases de Datos oficiales del Gobierno de México.


Ilustración 2: Puede parecer una broma de mal gusto… ¡Pero no lo es!

Información que es confidencial, que contiene datos personales de los ciudadanos, números de cuentas de bancos, teléfonos, direcciones, fotografías; y para demostrar que estas personas están actualizadas, apareció a la venta la última base de datos que el Gobierno de México recabó por decreto:

 ilustración 3 EL RENAUT[3].


Ilustración 3 - Base de datos nacional de números telefónicos celulares

Observando estos acontecimientos nos podemos preguntas:

• ¿cómo es resguardada esta información por el gobierno de este país?
• ¿la información es robada por la intrusión de Crackers a los sistemas de información?
• ¿La información es robada por los propios empleados?
• ¿Se invierte lo suficiente en esquemas de seguridad de esta información?
• ¿El personal que trabaja en los sitios donde se almacena esta información está calificado para velar por su seguridad?

Independientemente de como estos malandros se hayan apoderado de la información, lo que es un hecho: es que la seguridad de la que disponen las instituciones responsables de resguardar dicha información es muy pobre o prácticamente nula.

¿Se invierte en Seguridad?
Los gobiernos suelen gastar sumas de dinero muy grandes para obtener informacion necesaria para los procesos administrativos que realizan todos los días. Se invierte en infraestructura, en almacenamiento, en conectividad, en software, incluso en “aparatos” que proveem “seguridad”, pero ¿porqué estos dos terminos están entre comillas? Porque los puntos vulnerables de cualquier sistema tienen que ver con el error humano. Los gobiernos no invierten en especialistas de la seguridad, no cuentan con personal calificado en seguridad de la información e incluso no hace esfuerzos por formar especilitas certificados en tareas de seguridad de l a información.

Por qué Pensar en un Hacker Etico
Como ya definimos, Los Hackers son personas que están en constante actualización, que toman como reto el poder penetrar a un sistema (independientemente de las razones por lo que lo haga) Sutuación que permite asegurar que son los mejores en materia de seguridad. Que conocen cuales son las vulnerabilidades más comunes y por supuesto saben como protegerse de ellas. Podemos hablar de un hecho: Las empresas que buscan hackers lo hacen porque antes han tenido problemas de segridad. Porque alguien ha entrado, husmeado y dañado su sistemas de información y buscan a alguien con los conocimientos suficientes para que les solucione sus problemas.

Ese alguien sólo puede ser un hacker. Esto se refuerza si tenemos en cuenta que, hoy día, los hackers disponen realmente de mejores líneas de comunicación y de información compartida que los expertos en seguridad convencionales. En este sentido, empieza a ser algo común el que los hackers trabajen en el área de seguridad de sistemas, advirtiendo que los conocimientos adquiridos pueden ser empleados para mejorar y certificar la seguridad de los sistemas de las empresas. Es momento de que las oficinas gubernamentales comiencen a dirigir su atención a este tipo de especialistas, ya sea que los contrate o que capacite a supersonal, pero definitivamene debe de contar con un especilista de seguridad ético.
La misión del HE dentro de los Gobiernos.

Un Hacker Etico puede hacer revisiones desde lo más básico (pero muy importante) la seguridad que hay en accessos físicos, puertas, ventanas, secretarias; habitos y conductas de usuarios, politicas y lineamientos referentes a la informática de la empresa y consecuente mente pondrá a prueba la seguridad implementada para proteger la información y/o sistemas y redes.
La inclusión(formación) de hackers Eticos por parte de las Instituciones Gubernamentales serviría para fortalecer sus áreas de TI, lo que permite ofrecer una mayor segurdad a la información. Pero eventualmente podrían evolucionar en un área especializada o en una dependencia del gobierno que sea responsable de proveer a las demas instituciones lo que se comienza a conocer como: Hacking Etico[3].


Estrategia:
Las actividades de hacking ético dentro de la entidad gubernamental deberán implementar “pruebas de penetración” o “pruebas de intrusión” ilustración 4, buscando comprobar que los sistemas/redes cumplen con los niveles de seguridad para los que fueron diseñados.

Ilustración 4: Realizar ataques "planeados" puede prevenir que un pirata informático entre, manipule o robe información sensible.

La “prueba de Penetración o PenTest” (simulación de un ataque desde el exterior a la red institucional) pretende ver a la institución desde el punto de vista de un pirata informático, de modo que se puede evaluar tanto el riesgo al que se enfrentan los sistemas de la institución si está conectada a Internet, como las posibilidades reales de acceder, interceptar modificar y/o robar información crítica desde el exterior. Realizando de forma periódica estos atáques, permite, además de conocer cómo actúan los piratas informáticos, saber si la seguridad se los sistemas de la institución está preparadoa para detectar ataques efectuados desde el exterior y responder a tiempo en caso se ser vulnerado.

Conclusión.
Una vez llevada a cabo la “prueba de intrusión” se elabora un reporte detallado con los fallos de seguridad y con las medidas que debe aplicar la institución para evitar ser invadidos por un pirata de la red. Se recomienda realizar estos ataques simulados de los sistemas con una periodicidad no mayor a tres meses, para mantener al día la seguridad de la información. Si detectó que la seguridad de su institución presenta huecos en la seguridad o fallas críticas, tiene que poner manos a la obra, apoyarse en el HE para cerrar todas las puertas “mal cerradas” y todo lo que la prueba halla arrojado como una vulnerabilidad. Continúe haciendo las pruebas programadas pues esta practica le permitirá prevenir (o reaccionar) a cualquier eventualidad. Recordemos que la tecnología evoluciona y se encuentran nuevas vulnerabilidades, por lo que estar actualizado también es una buena practica para evitar cualquier situación no deseada.
Referencias

Una isla prehistórica en mundo digital

Les cuento dos historias y encontremos las semejanzas:

1. recuerdo como en un viaje que hice a Barcelona [Diciembre 2006], la mayor de mis hijas enformó y recurrí la seguridad social de aquel país pues quedaba cerca de la casa de mi hermano. llegamos y desde la entrada una recepcionista capturó (en un sistema obviamente) todos los datos de mi hija pues nos explicó que abriría un expediente, nos mandó a la sala de espera y cuando nos llamó el médico al consultorio, ya tenía en la pantalla de su computadora un expediente de mi hija, hizo anotaciones, agregó los medicamentos indicaciones y al terminar nos envío a la farmacia, (no nos dío una receta) allá nos entregaron los medicamento que recetó el médico y nos mandaron a recepción para expedirnos la copia de las indicaciones para tomar los mediamentos y la nota con el cobro de la consulta unos 15euros me cobraron por ser extranjero (ofrecieron darme una factura para que mi "seguridad Social" me reembolsara el gasto xD), para los europeos hubiera sido gratis.
2. [Noviembre 2010] mi hija más pequeña, cayó enferma con 39°c de temperatura. Esto me hizo salir disparado como una bala a buscar un doctor (particular claro) pero como era 1° de Noviembre la mayoría estaban de puente (en México se celebra el día 2 de noviembre el día de muertos) así que me dirigí a una de esas instituciones de Seguridad Social en las que prefieres morir en la calle frente a ellas que enfrentar el largo calvario de malas caras, maltratos y en ocasiones hasta humillaciones. Llegamos a la recepción y el "recepcionisto" que nos recibió nos pidió el último talón de pago para asegurarse que estuviéramos al corriente con las cuotas de aportación al ISSSTE, nos preguntó el RFC del beneficiario y nos mandó a la sala de espera (1hora 30 minutos) cuando el doctor nos llamó ya tenía en su escritorio una carpeta con hojas de papel llenas de anotaciones de tamaños diversos y texturas diversas, desde servilletas hasta postits, tarjetas y una que otra tamaño carta) el Doctor volvió a preguntar todos los datos del paciente (que ya tenía en el expediente) y revisó a la pacente, nos extendió una receta per nos explicó que no ibamos a encontrar el medicamento en la farmaca de la dependencia así que nos hizo una receta "No oficial" por no decir Pirata donde anotó antibioticos de patente, pero no quiso anotar su cedula en la receta me pidió que le dijera a algún medico desos gratuitos que tienen las Farmacias el ahorro pa que el me hiciera la receta oficial. pagué por los medicamentos unos $300 pesos (algo así como 17euros)

¿notan cuantas similitudes hay en las dos historias?

Estamos en una era en el que el mundo 2.0 se hace presente inminente, estar conectado a la red es una necesidad más que un lujo, la necesidad de información se a convertido en una exigencia, muchos tienen todo este poder ya en la palma de sus manos y yo vengo aquí y me encuentro con un doctor malencarado, en un día de descanso y escribiendo en una máquina que data del siglo pasado...

Lo irónico aquí es que tu encuentras a la entrada carteles espectaculares que dicen:

"Un nuevo ISSSTE", "Nos estamos certificando","estamos modernizandonos por ti" #WTF

¡Modernizando Mis polainas! creen que con pintar las paredes y poner una tele en la sala de espera (que ni se ve) ya modernizaron todo el sistema de salud.

Pero en fin esta entrada sólo es de desahogo "digital"  y una prueba, ya escribiré sobre seguridad digital mas adelante.

Iniciando una CiberAventura

Hace tiempo que inicié con la lectura de Blogs, aunque mi vida informática comenzó hace muchos años, debo admitir que mi trabajo (administrativo)  me mantuvo alejado de la vida 2.0 y de un tema que me apasionó durante mucho tiempo: La seguridad Informática.

Nuevamente algo (Casual, Causal, o como le quiera llamar) hizo que ese tema despertara en mi pero ahora con más fuerza. He escrito un par de artículos para unas revistas #YoConfieso que me ha gustado de sobremanera, Pero...

¿Por qué esperar a que alguien publique lo que pasa por mi mente? A partir de hoy comenzaré a ejercitar ese musculo de la escritura, para mi mismo, si alguien llega a interesarse, pues tome una silla y sientese en el suelo que algo diremos por aquí.