La sociedad está cambiando. Los consumidores ahora saben que hay cosas que se esconden detrás de los anuncios de publicidad, y las redes sociales amplían nuestras fuentes de información. La gente va sabiendo que hay niños explotados en plantaciones de cacao, o corrupción exagerada en empresas de electricidad, por citar dos graves ejemplos, y muchos no están dispuestos a apoyar ni directa ni indirectamente tales barbaridades. Por eso, la reputación de tales empresas cae, sus inversores se alejan, y sus beneficios o posibilidades de mejorarlos también.

En un artículo anterior dábamos un resumen del Cuadro de Mando Integral (CMI, o BSC), de la Responsabilidad Social Empresarial (RSE), y de su importancia. La utilidad del CMI quedó clara para cualquier organización (y no sólo para empresas, donde hasta ahora tiene más éxito). El CMI ayuda a conseguir los objetivos de una organización, pero no vale hacerlo a cualquier precio, es preciso usar la ética: no sólo porque lo requiere la ley o los intereses financieros, sino porque evitaremos riesgos reputacionales que nos mermarán la capacidad de alcanzar nuestros objetivos (incluyendo ahí, por supuesto, los financieros). También ampliaremos activos tangibles e intangibles, y conseguiremos mayor felicidad personal y corporativa.

Pero es preciso que los directivos entiendan que la RSE no es sólo para quedar bien (greenwashing), sino que ahorra riesgos de gastos (por errores, multas… ), riesgos en la reputación, además de mejorar los intangibles. Si se incorpora como norma en la organización, la RSE evita problemas cada vez que hay que modificar algún proceso (por demandas externas, por leyes, por los inversores, por protestas ciudadanas…). La RSE siempre sale rentable, pero no siempre podemos cuantificarla económicamente.

Un ejemplo: El Banco Santander financia a la papelera APRIL, implicada en la destrucción de la selva tropical de Indonesia. En 2014, el Santander lo supo y no hizo nada. En 2015, cuando la ONG GreenPeace denunció y publicó el caso recogiendo casi 200.000 firmas, decidió actuar y cumplir sus compromisos firmados de RSE. ¿Cuántos clientes u operaciones perdió por esa mala imagen? Sin duda, hubiera sido mejor atajar el problema en cuánto se supo, ya que ahora es un ejemplo que aún mancha su mala imagen. Otro ejemplo lo vimos en la primera parte de este artículo, donde vimos cómo no querer adaptarse a los nuevos tiempos con energía renovable, está acabando con el negocio de algunas empresas de electricidad, pues están perdiendo clientes masivamente a favor de empresas de electricidad renovable.

Entonces, «empresa responsable» no es sólo aquella que paga por un informe de RSE, sino que es la que consigue que la RSE esté en todos los ámbitos de la empresa (ver vídeo). Hay que unir RSE a lo largo de toda la cadena del CMI (o mapa estratégico). Sin ánimo de ser exhaustivos, aquí vamos a dar algunas ideas para cada perspectiva, aunque los detalles concretos dependerá del tipo de organización, y de su sector de trabajo.

Algunos expertos proponen crear una perspectiva ambiental en el CMI, para darle la importancia que, sin duda, merece. Esta perspectiva ambiental estudiaría el impacto de la organización en el planeta, y la influencia del medio ambiente en la organización. Pero también se pueden conservar las 4 perspectivas tradicionales, y estudiar en cada una de ellas el tema ambiental:

1. Perspectiva VITAL/Financiera: Es preciso aquí clarificar para qué existe la empresa u organización, cuáles son sus objetivos más importantes, y sus valores. Por supuesto, si es una empresa normal, tendrá que ganar dinero y ese será uno de sus objetivos. Eso es bueno. Lo malo es cuando ese es el único objetivo, y no hay otros valores. Por tanto, hay que meter otros objetivos fundamentales y pensar en cómo medir si los logramos o no.
   • Ejemplos de indicadores en esta perspectiva pueden ser: Además de objetivos financieros, es preciso colocar otros objetivos, como por ejemplo que nos permitan medir cómo conecta la organización con las necesidades sociales de la población local, o cómo contribuye a la sociedad en su conjunto (mejoras ambientales, sociales, huella ecológica…). Deben tenerse en cuenta también las inversiones en sectores éticos, y las operaciones en banca ética: una empresa ética no puede trabajar con un banco tradicional. Indicadores que midan la satisfacción de empleados y clientes pueden colocarse aquí o en otras perspectivas, pero es fundamental medirlo de alguna forma.
2. Perspectiva del Beneficiario (o del cliente): Consiste en ver la organización a través de los ojos de las personas que se benefician de ella. En las posibles encuestas, será preciso medir el interés en temas ambientales de los mismos. Desde un punto de vista práctico, aquí lo más importante es la satisfacción del beneficiario o cliente. Pero tener clientes satisfechos no implica estar haciendo las cosas bien y eso puede suponer un riesgo reputacional que nos genere problemas en el futuro. El objetivo será minimizar los daños ambientales de los clientes, para conseguir la plena sostenibilidad.
   • Ejemplos de indicadores: Se pueden medir las facilidades que la empresa ofrece a los clientes para arreglar sus averías, o para reciclar sus residuos (aparatos antiguos, por ejemplo).
3. Perspectiva de Procesos Internos: En el apartado quizás más importante hay que evaluar los riesgos: de accidentes laborales a nuestros trabajadores, de contaminación ambiental… Un vertido o el anuncio de una actividad mala para el medioambiente o para la sociedad, podría tener más pérdidas en clientes presentes y futuros que en indemnizaciones. Algunas empresas no valoran su impacto ambiental (huella ecológica) porque piensan que es caro, sin ni siquiera hacer estudios que miren los costes, la calidad final, y sus relaciones con la comunidad (imagen, reputación, intangibles…). Por ejemplo, la empresa Shell reduce sus beneficios, cada vez que se publica algo de su contaminación y abusos en Níger o de su destrucción en el Ártico. La contratación de electricidad de origen renovable es un factor que muchas empresas utilizan para reducir sus huellas (ecológica, hídrica…), y mejorar su reputación. Es obvio que es preciso también ser exigentes con los proveedores, para no externalizar los impactos negativos. La deslocalización es un proceso por el que algunas empresas sitúan sus centros de trabajo (o subcontratan a otras empresas) en países donde la mano de obra es más barata, o la legislación no es tan estricta (laboral, ambiental, de seguridad…). Un grave accidente en Bangladesh destapó el abuso a mujeres por prestigiosas marcas de ropa, como Zara. Entre las muchas ideas de sostenibilidad, podemos encontrar algunos indicadores interesantes.
   • Ejemplos de indicadores: Tasa de reducción en CO2 u otros tóxicos, tasas de reciclaje, eficiencia energética y material, evaluación de calidad y durabilidad de los productos elaborados (evitar obsolescencia), proyectos o iniciativas sociales/ambientales o de eco-innovación, evaluaciones de impacto ambiental efectuadas, informes de RSE, inversiones en sectores no éticos (armas, energías fósiles…), huellas y otras medidas (de la organización, y de sus suministradores), implantación de energías renovables (autoconsumo solar), número de riesgos ambientales/sociales en nuevos/viejos productos o servicios (multas, o incumplimientos de la normativa interna), y a qué población y extensión afectan, proveedores con informe de RSE positivo, desarrollo de la ley de las 3 erres, sustitución de ingredientes o componentes perjudiciales o de producción lejana (transgénicos, aceite de palma, productos de soja, grasas trans…), auditoría energética (consumo en standby)… Como puede verse, la lista de posibles indicadores ambientales es inmensa.
4. Perspectiva de Aprendizaje y Crecimiento: Aquí hay que estudiar si es preciso hacer cambios para conseguir mejorar los indicadores y objetivos de las anteriores perspectivas. ¿Están los empleados bien formados? ¿Es la maquinaria adecuada? ¿Estamos usando procedimientos correctos? ¿Hay un clima de trabajo agradable? Para todo esto, las encuestas a los empleados son muy importantes, y que ellos sepan que sus opiniones son escuchadas.
   • Ejemplos de indicadores: Medir la satisfacción de los empleados, y su conciencia ambiental, huella ecológica por cada puesto (o por empleado), acceso de los empleados a información sobre sostenibilidad y al informe RSE de la organización… Por otra parte, la reposición de máquinas mejores (menos contaminantes, más eficientes…) puede ser un buen indicador, pero a veces puede ser engañoso.

Los resultados económicos miran parcialmente el pasado de la empresa, pero el CMI y la RSE predicen y conducen el futuro. La RSE no es cosa sólo de directivos, sino que hay que implicar a toda la empresa, y mejorar la comunicación, en todas las direcciones. La Responsabilidad Social Individual, marca la diferencia, y este vídeo seguro que te va a gustar:

Más información:

• Primera parte de este artículo: Cuadro de Mando Integral y RSE (1/2): Resumen para mejorar cualquier organización.
• Peter Singer: “Ética Práctica” (un libro esencial antes de hablar de ética).
• 4 pasos para crear una estrategia ética en tu empresa.
• I. Lameda, “Cuadro de Mando para la Gestión Ambiental” (PDF de 17 páginas con buen conjunto de referencias bibliográficas).
• J. González García, “Perspectiva ambiental del Cuadro de Mando Integral de una Organización” (PDF de la revista Ingeniería Química, 6 páginas).
• Puedes Pagar por Electricidad Renovable, en España y en toda Europa, en tu casa o en tu empresa (resuelve tus dudas).
• ¿Por qué Debemos CONSUMIR MENOS? (el mejor documental ecologista y humanitario).
• Vídeo “¿Qué es una Empresa Socialmente Responsable?”:

¿Para qué sirve la RSE (Responsabilidad Social Empresarial)? Dos científicos españoles, Fernández-Guadaño y Sarria-Pedroza, han publicado un estudio en el que pretenden responder a la pregunta de si la RSE de una empresa genera valor o ventajas para sus accionistas, sus empleados, sus acreedores y para el Estado.

Los autores dicen que recientemente las empresas y las instituciones han realizado esfuerzos importantes para desarrollar políticas de RSE con el objetivo de mejorar los resultados de la compañía y contentar a los inversores y a otros grupos de interés o stakeholders (clientes, empleados, suministradores…). La RSE debe ir más allá de contentar a unos pocos, debe servir de guía para establecer relaciones equilibradas con todos. Es razonable que las empresas se centren en sus stakeholders, pero han de saber que eso no es suficiente.

¿Qué es la RSE?

Según la Comisión Europea, la RSE es la responsabilidad de las empresas con sus impactos en la sociedad. Pero sin embargo, la mayoría de los estudios solo se centran en uno de esos stakeholders, el accionista o inversor, como si fuera el único que se ve afectado por la empresa. La RSE (o RSC, Corporativa) significa cumplir con unos principios que Wood dividió en tres áreas:

1. Legitimidad: las empresas deben satisfacer las demandas y expectativas tanto de sus stakeholders como de la sociedad.
2. Responsabilidad pública: las empresas son responsables de resolver problemas que hayan causado por sus operaciones e intereses comerciales.
3. Directivos éticos: los gerentes tienen la responsabilidad de ejercer su buen juicio y hacer ‘lo correcto’.

Durante muchos años ha prevalecido en las empresas la gestión orientada hacia los beneficios económicos, es decir, hacia el accionista (shareholder government), pero hoy va ganando interés la gestión orientada hacia todos los grupos de interés en la empresa (stakeholder governance).

Aunque hay muchos estudios que afirman que la RSE afecta positivamente a los resultados de la compañía, esta relación causa-efecto todavía no está clara, ya que el éxito económico depende, en realidad, de muchos factores.

Índices de sostenibilidad y GreenWashing

El estudio compara las empresas socialmente responsables según el índice español de sostenibilidad FTSE4Good, con las compañías listadas en los otros índices de la familia Ibex. Según dicen, los criterios para figurar entre las empresas de FTSE4Good son trasparentes y se desarrollan a través de un amplio proceso de consulta (incluyendo agencias gubernamentales, ONG, consultores, académicos, empresarios e inversores). El estudio incluye 40 empresas medianas y grandes, y resulta llamativo que la mayoría de las grandes compañías (88.46%) estén incluidas en el índice de sostenibilidad ya que, según otras visiones, las grandes empresas son difícilmente buenas en sostenibilidad. Por otra parte, el porcentaje de empresas medianas incluidas en el índice de sostenibilidad es bastante menor (42.85%). Según los autores, en España los informes de sostenibilidad están bien establecidos en las grandes empresas, pero deben introducirse de forma más amplia en las pequeñas y medianas empresas.

Sin embargo, el estudio no habla de temas importantes:

• Las grandes empresas tienen más medios para hacer informes de RSE y podrían fácilmente rellenar cuantas páginas desearan.
• Hacer un informe de RSE no significa que ese informe sea correcto, sea cierto o sea tomado en serio por la organización. Un ejemplo de ello es la empresa Naturgy (antigua Gas Natural) que a pesar de sus informes de RSE, es una de las empresas con menos ética social y ambiental del Ibex. Como detalle, esa empresa cuenta con Antonio Fuertes como “responsable de Reputación y Sostenibilidad“, lo cual demuestra que ellos ven la sostenibilidad como algo útil en la medida en que afecta a la reputación. Es decir, lo que les importa a muchas grandes empresas es su reputación, no la sostenibilidad.
• Las grandes empresas pueden permitirse todos los costos que suponga que te incluyan en un índice de responsabilidad. No decimos que sobornen a gestores o auditores, sino que podrían permitirse gastos inmensos para beneficiar su reputación, como costosas campañas publicitarias.
• Las empresas más contaminantes de España también están en el índice DJSI (Dow Jones Sustainability Index), el índice de sostenibilidad de la bolsa de Nueva York, un índice, a todas luces, sospechoso de ser una estafa en toda regla.
• No se debe hablar de RSE sin medir, de alguna forma, cuánto de greenwashing hay en dicha RSE. Hay siete cuestiones para identificar las empresas que se pintan de verde sin desearlo de verdad.

Algunos estudios señalan que la RSE de una empresa es para sus empleados uno de los factores más importantes de la reputación. Aquí se incluye prestar atención a las políticas de recursos humanos, tales como la participación de los trabajadores en la toma de decisiones, la posibilidad de participar en el capital, la flexibilidad laboral, la seguridad jurídica y las relaciones sindicales. Otros grupos de interés se fijan en otras cuestiones que también afectan a la reputación empresarial, como por ejemplo, pagar los préstamos puntualmente, garantizar la calidad del producto o servicio o no usar paraísos fiscales (pagar impuestos en el país donde la empresa hace negocios y contribuir así al desarrollo social del país).

Resultados del estudio

Independientemente del tamaño de las empresas estudiadas, la RSE no tiene, según este estudio concreto, impacto en la creación de valor para los accionistas, pero sí para el estado de forma positiva y para los empleados de forma negativa. Por tanto, aunque muchas empresas buscan países con escasa legislación ambiental o social, los datos muestran que la RSE tiene impacto positivo para los países, por lo que legislar para obligar a las empresas a ser “responsables” implica mejoras para la sociedad, lo cual es bastante intuitivo, pero es bueno que quede demostrado con este tipo de estudios.

Los propios autores indican que estos resultados no coinciden con otros estudios anteriores y que habría que considerar más indicadores. Por otra parte, un problema existente es que no está claro cómo medir adecuadamente las ventajas para los diferentes stakeholders, salvo para el accionista, para el que lo más importante suele ser la ganancia económica.

Para cualquier persona medianamente ética es evidente que la RSE aporta solo ventajas. Sin embargo, medir la influencia de la RSE no es fácil porque ni siquiera se sabe bien qué ventajas debemos considerar. No obstante, para el empresario la RSE debería ser una declaración sobre qué es lo importante o, en otras palabras, sobre si el dinero es más importante que la vida.

Más información:

• J. Fernández-Guadaño y J.H. Sarria-Pedroza. “Impact of Corporate Social Responsibility on Value Creation from a Stakeholder Perspective“. Sustainability 10(6), 2018.
• European Commission. Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions. A Renewed EU Strategy 2011–14 for Corporate Social Responsibility; COM(2011) 681 Final; Brussels, 2011.
• Cuadro de Mando Integral y RSE:
  1. Parte 1: Resumen para mejorar cualquier organización.
  2. Parte 2: Una perspectiva medioambiental para mejorar tu empresa.

Agradecimientos: A Josefina Fernández-Guadaño por sus comentarios a este artículo y por sus aclaraciones.

La empresa española Naturgy (antes llamada Gas Natural) está empeñada en sacar adelante sus cuatro proyectos gasísticos que amenazan el Parque Nacional de Doñana. Esta empresa solo busca su propio beneficio y por tanto, animamos a sus clientes a que abandonen esta empresa y se pasen a las renovables, y a sus accionistas a que inviertan en empresas más éticas. Aquí explicamos porqué y cómo hacerlo.

Doñana amenazada por una empresa sin escrúpulos

Los proyectos de Naturgy/Gas Natural (y de su socio La Caixa) en esa valiosa zona de Doñana no tienen garantías de seguridad, lo que significa que podrían contaminar toda la zona y generar graves terremotos (como ocurrió con el desastre de Castor en Tarragona). La evaluación de impacto ambiental fue dividida en 4 partes más pequeñas, para que individualmente cada parte fuera menos dañina, pero no se hizo un análisis global, como dicta la lógica y la ley. Las obras del proyecto están avanzando mientras los políticos, con suma tranquilidad, están estudiando si hay que pararlo. La empresa ya ha avisado que pedirá una indemnización a España de 359 millones de euros si el proyecto es paralizado. ¿Pagaremos sus errores como estamos pagando el error de Castor? Si Naturgy/Gas Natural tiene licencia para esas obras, es por una evaluación de impacto ambiental mal hecha.

Por increíble que parezca, esas obras están siendo subvencionadas con dinero público: el gobierno de España les ha regalado 12.6 millones entre 2017 y  2018. Así, eso de que “el que contamina paga“, en España se traduce por “el que contamina cobra subvenciones“. El gobierno español se desentiende del proyecto, pero lo subvenciona. La Junta de Andalucía se opone, pero lo consiente. Un ejemplo más del caos en la España de las autonomías.

Mientras, Doñana sigue acosada por los combustibles fósiles y los vertidos petroleros, hasta que ocurra una tragedia irremediable.

Los trapos sucios de Naturgy/Gas Natural

Esta empresa tiene un largo historial de conflictos éticos. El más conocido es su corrupción por puertas giratorias, con Felipe González como cabeza de cartel, pero que afecta al menos a otros 28 políticos. También son famosas sus inversiones en paraísos fiscales, sus multas, sus impactos ambientales (Gas Natural mantiene algunas de las centrales más contaminantes de España), su inhumana gestión de la pobreza energética, su manipulación de precios y sus engaños publicitarios. Aún recordamos su publicidad televisiva con la que intentaba que todos creyéramos que quemar gas era una energía “ecológica”. Hoy, todo el mundo sabe que quemar cualquier cosa emite CO2, y que los combustibles fósiles, además, no son renovables. Pero ojo, el gas ciudad o gas natural es principalmente metano, un gas mucho peor que el CO2 para el cambio climático.

Por todo lo dicho, Naturgy es un nombre nuevo pero hereda una pésima reputación y una nula responsabilidad social corporativa (RSC). Por eso, muchos clientes se están cambiando de empresa y muchos inversores están desinvirtiendo en todo tipo de energías fósiles. Desde aquí queremos animar a todos los ciudadanos a abandonar el gas (todo tipo de gas) y a pasarse a una empresa de electricidad 100% renovable.

¿Cómo abandonar esta empresa y todas las energías sucias de tu hogar o empresa?

Lo primero sería cambiar todo lo que usemos con gas ciudad. El butano no es una opción razonable pues sigue siendo una energía no renovable, aparte del problema de acarrear bombonas. Por tanto, lo mejor es ver si podemos usar la energía solar, al menos para calentar agua (la energía solar térmica es muy eficiente). El resto de aparatos de gas (calefacción, cocina…) es fácil pasarlos a tipo eléctrico, informándose antes de las opciones disponibles (por ejemplo, una placa de inducción es mejor que una de vitrocerámica).

Para que el cambio sea auténticamente ecológico la electricidad de todo nuestro hogar o empresa debe estar contratada con alguna empresa de renovables (cada vez más gente se borra también de Endesa e Iberdrola). Esto nos permitirá ahorrar algún dinero (haz las cuentas), pero por encima del ahorro, nos quedamos con la tranquilidad de que nuestro dinero no va a malas manos. Además, si puedes poner alguna placa solar fotovoltaica en tu casa, entonces el ahorro será mayor. Recuerda que poner unos pocos paneles no tiene impuesto al sol, es barato y un paso importante para apoyar la generación con renovables de forma distribuida, algo básico para la sostenibilidad de nuestras ciudades.

Si este artículo consigue que un solo cliente o un accionista de Naturgy/Gas Natural deje de serlo, habrá merecido la pena, porque esa persona convencerá a otra y se formará un efecto dominó que tambaleará los cimientos de este gigante con pies de barro hasta que pare sus planes en Doñana (si no se los paran antes). Pero tengamos presente que si el proyecto es paralizado, la empresa Naturgy/Gas Natural no debe ser indemnizada y debe devolver todas las subvenciones recibidas. Así se hará si España cuenta con un gobierno que defienda el interés común de los españoles, por encima del interés de las grandes empresas. Veremos lo que ocurre, pero todo está en nuestras manos.

Información adicional:

• Bruselas mandará una misión a Doñana a evaluar el impacto del plan de Gas Natural.
• El almacén de gas de Doñana debe arreglar sus problemas de “peligrosidad alta” y todo depende del IGME.
• Lista de empresas que deben ser multadas y boicoteadas (HAZLO VIRAL).
• Vídeo de #YoIBEXtigo sobre Gas Natural: Las puertas giratorias de gas natural incluyen al menos 29 personas.
• Greenpeace: Qué “presunta” poca vergüenza la de Gas Natural Fenosa y Endesa.
• Informe Endesa: la empresa más contaminante, paraísos fiscales, desigualdad, puertas giratorias y precariedad laboral.

Ha acabado la cumbre del COP26 y el colapso está cada vez más cerca. Todo parece indicar que el capitalismo ha decidido acabar consigo mismo manteniendo su avaricia. Unos señores han decidido seguir para adelante como siempre… así que el cuerpo nos pide No Future. Y si el cuerpo nos pide punk, pues punk le […]

La entrada Fuck OFF se publicó primero en Radio Topo.

Hace un tiempo cree una honeypot para imitar un dispositivo de IoT con un OS de GNU Linux. La idea era investigar por mi cuenta y por diversión los ataques dirigidos a Linux, puesto que tiene tangencialmente que ver con mi trabajo pero quería hacerlo a mi manera. Los detalles técnicos de cómo la he montado están en este repositorio, pero el resumen es que he copiado el filesystem de OpenWRT con docker, lo he integrado en mi honeypot y he añadido detalles que sabía que solían formar parte del interés de un atacante en estos casos (documentos de configuración, claves SSH, librerias concretas, etc). Pero esta entrada no va de eso, va de una de las campañas que he investigado.

Cuando tienes una de estas honeypot, es posible que recibas muchos ataques, desde diferentes sitios, la mayoría automáticos. En mi caso me dedique a revisar tranquilamente los logs de la honeypot para ver qué había sucedido, por lo general hay algunos detalels que suelen llamar mi atención, para empezar las lineas de comando. La honeypot guarda cualquier comando que se haya intentado ejecutar, de modo que se puede comprobar con un simple grep CMD a través de los logs qué días se han detectado comandos y por parte de qué sesión, cuándo y desde qué dirección IP. Las direcciones IP por si solas dicen más bien poco y no son fiables a largo tiempo como método de detección, pero pueden ayudar a identificar un mismo ataque en un periodo corto de tiempo en una misma máquina. En mi caso cuando estuve revisando líneas de comando descubrí un comando que formaba parte de un ataque automático que resultaba interesante. El ataque descargaba y ejecutaba en segundo plano un script de perl, que tras analizarlo es para un DdoS muy característico, porque utiliza una botnet basada en IRC. Como hay muchos palabros hasta ahora, voy a hacer un inciso para explicar conceptos, puedes saltártelo si ya los conoces:

• DDoS es literalmente “distributed denial-of-service” que es un tipo de ataque relativamente fácil d eprevenir, antiguo en términos de internet, pero que sigue existiendo. Se basa en usar tantas peticiones por unidades pequeñas de tiempo que provoque una sobrecarga de recursos de un servicio. Hemos visto ese ataque, por ejemplo, contra el salto.
• Perl es un lenguaje de programación que suele venir por defecto configurado en los sistemas basados en unix. Interpretado, dinámico y flexible, suele ser utilizado para “one liners” es decir, comandos de una sola línea que hacen cosas útiles y eficientes. Perl6 pasó a llamarse Raku y es un lenguaje diferente.
• Script es un programa pequeño normalmente con una función muy específica. En Linux es habitual usar lenguaje Perl o Bash para esto, pero también puede usarse Python y otros.
• Botnet es una colección de dispositivos normalmente secuestrados que forman parte de una red activa o dormida para realizar a taques como el de DDoS. Los atacantes lo usan mucho para esconder sus huellas.
• IRC, literalmente Internet Relay Chat es un sistema de mensajería bastante antiguo (se creó en 1988). Sin embargo se ha reutilizado para hacer un sistema que utiliza una Botnet para mandar comandos maliciosos y realizar ataques de denegación de servicio, entre otras cosas.

Pues bien, existe una de esas Botnet basada en IRC que está hecha en perl, y es característica de un grupo en particular: Outlaw. Los investigadores ponen nombres mega chulos a todos los atacantes, por algún motivo, no preguntéis. Tenía claro que lo que estaba viendo era un ataque automático de outlaw, pero no estaba segura cuántas de las cosas sospechosas de mi honeypot eran de la misma campaña. Outlaw ya atacó a diversos dispositivos de IoT y Linux hace unos años y a mediados de este año volvieron a llamar la atención, así que cuadraba que estuvieran de nuevo al ataque. Me interesaba averiguar si habían cambiado algo, si había algo nuevo.

Me llama la atención los users por defecto del script. No los pondré públicos por si son diferentes para cada grupo de víctimas, pero son bastante particulares. Si diré que la IP no está en virustotal. También os diré que el que lo ha configurado es un tío. ¿Que como lo se? No diré el nombré del canal que usan porque he visto que cada campaña cambia, pero tiene que ver con penes.

Que obsesión.

Y bueno, una confirmación de que es Outlaw, se les conoce como un grupo de habla rumana. Es más en otra versión del script que no es la que tengo dicen “La educación es como una erección, si la tienes, la ves”, en rumano. Puede ser cierto o una especie de carta para confundir, a mi me da igual, no me dedico a rastrear quiénes son en la vida real, sólo cómo hacen lo que hacen.

En el código puedo ver que utiliza recursos externos para intentar una vulnerabilidad de MD5 collision, con la intención de romper y descifrar hashes, es otra cosa que me llamó la atención. Es parte de los comandos que pueden usarse en la Botnet.

Otro de los ataques automáticos implicaba el uso de una sintaxis propia de perl. Sin embargo las IPs y los días no coincidían. Esto no quiere decir nada por si solo porque hay campañas con días de distancia entre un paso y el siguiente, además de que el uso de una Botnet complica el seguimiento por Ips. Estaba casi segura de que tenía relación pero necesitaba buscar algo más. Después de darle unas vueltas, caí en la cuenta de que los intentos de fuerza bruta contra la honeypot (había intentos de conexión con varias credenciales) parecían hechos con algún tipo de programa de shuffle con una lista de palabras. Me di cuenta de que algunas eran muy específicas, probablemente hechas con un generador automático, y no encontré esas listas en ningún lado (repositorios, pastebin, foros…) de modo que se me ocurrió que podía buscar coincidencias de credenciales especialmente particulares entre las de las sesiones que tenían que ver con el ataque sospechoso. Efectivamente, aunque las Ips variaban, las credenciales particulares se repetían (no exactamente iguales, pero si con combinaciones similares) en las sesiones del ataque sospechoso por una sintaxis de Perl.

Una vez hecha esa relación, la red del ataque era más amplia, y seguí investigando. A través de comandos usados en esas mismas sesiones o por esas mismas Ips, llegué a la conclusión de que estaban intentando explotar CVE-2017-9841, una vulnerabilidad de Linux que tuvo un impacto importante en su momento y sigue sin estar del todo parcheado en muchos contextos. Pero, si eso fuese así, para confirmarlo (siempre procuro confirmar una teoría con al menos dos pruebas) tendría que ver evidencias de que se ha intentado usar una shell en PHP, puesto que es la entrada más común de esa vulnerabilidad. Miré los detalles de red de las conexiones y vi como se intentaba hacer llamadas que implicaban shells de PHP de manual: ¡confirmado! Otro inciso técnico:

• PHP es un lenguaje de scripting especialmente pensado para uso en aplicaciones y páginas web. Personalmente lo odio con todas mis fuerzas. No sólo incita a ser desordenado (puedes añadirlo por ejemplo a cachos en cualquier html) si no que suele ser el origen de múltiples vulnerabilidades. Pero gustos colores, que dicen.
• Una shell es una terminal, desde la cual ejecutar comandos. Hay ataques (al que me refiero) que implican forzar al usuario sin saberlo a interactuar con una web para provocar las condiciones de una vulnerabilidad. Cuando se accede a una terminal, puedes intentar realizar ataques contra base de datos, servicios, etc.

Hasta aquí había conseguido: el script original del ataque, el conocimiento de que Outlaw estaba usando MAYDAY (el tipo de malware que aprovecha la vulnerabilidad mencionada, o al menos uno muy similar a ese) y más adelante un intento de sobrescribir claves ssh (¿recordáis lo que os dije de que las claves ssh tienen interés? Con frecuencia es para intentar extender el ataque a las claves ssh conocidas por la máquina afectada, pero en general dan credibilidad a un sistema de mentirijilla). Al investigar los ataques, también utilizaban binarios maliciosos, que se han guardado en mis logs, y he podido comprobar que coinciden con XMRig, usado como criptominero (y el objetivo de mi búsqueda, el por qué del filesystem que elegí para la honeypot). XMRig en si es un minero legítimo, pero se usa forzadamente en máquinas, en forma de malware, para aprovechar recursos para minar crypto (este es, con diferencia, el ataque más visto en Linux). Así que en conclusión en esta campaña:

• He visto que siguen usando el Botnet IRC de Perl
• He visto que usan XMRig (algo que ya usaban)
• Aprovechan CVE-2017-9841, en forma del malware MAYDAY
• Utilizan algún sistema para fuerza bruta con una lista personalizada, probablemente generada automáticamente con patrones que mezclen listas de contraseñas por defecto en sistemas y apps y contraseñas posibles.
• En una versión más avanzada, procuran sobrescribir ssh, esta parte tiene relación con XMRig.

En realidad todo está basado en análisis de los logs durante un par de meses, quizás el tiempo permita ver más detalles, o quizás la campaña acabará antes de eso. El mundo de cyber es un poco como el de la moda textil, a veces vuelven cosas que se creían pasadas ya a la historia. Gracias a este pequeño proyecto, poco a poco, tengo algunos hashes, un script, comandos y TTPs, y espero poder hablar en más detalle (cómo mirar y parsear rápidamente estos logs, qué añadir a las honeypot para tunearlas, etc) de esto y otros que he visto si se me da la oportunidad en alguna charlilla el año que viene.

FediverseTV es una instancia de Peertube que ya tiene año y medio y mucho contenido que en gran parte resulta interesante para diferentes personas con diferentes necesidades e intereses.

En FTV existe la preocupación de no dejar que el tiempo oculte contenidos interesantes, por eso entre las ideas que se generan para solucionar este problema se nos ha ocurrido postear cada tanto en blogs amigos algunos de estos videos… y aquí estamos.

Se me había ocurrido que el primer video de esta lista sea el primer video publicado en la plataforma, vaya… es mio, superando la vergüenza así lo haré :).

Videos antiguos merecedores de redifucion:

Escarola en cero labranza (El primer video publicado en FTV)

I.M.V.E.C.

Las JAM son las primeras Jornadas de Autodefensa Medioambiental, una serie de conversaciones online sobre autodefensa medioambiental ciudadana.

Aprovechando la cuarentena general que están sufriendo distintos paises lanzamos esta propuesta para seguir trabajando y apoyando a diferentes proyectos relacionados con la defensa vecinal de los territorios afectados por procesos de contaminación.