Bueno, después de un largo letargo, este es el primer post de 2013, ¿qué te parece?

Intentaré ser breve. El otro día un organismo con el que colaboro sufrió un ataque de phishing. El típico correo que simula muy burdamente provenir de Informática instando a los usuarios a pinchar en un enlace. En ese enlace se solicitan sus datos de acceso al correo que serán utilizados para otras fechorías más tarde.

En este escenario, una vez detectado el ataque, algunas de las acciones tomadas fueron la de bloquear al remitente de correo en el servidor de correo (que era siempre el mismo) y bloquear la página del enlace para que, si el usuario pinchaba, no llegase ‘a ningún sitio’.

Y, digo yo, ¿y si aprovecháramos para concienciar y obtener algunas métricas?

En vez de enviar la página a ‘a la nada’ ¿se les podría enviar a una página concienciatoria y aprovecharla para recopilar métricas?

Veamos cómo podría ser la cosa.

2013-02-11-225604_573x533_scrot

Una vez detectado el ataque de phishing, tomamos la URL a la que envía al usuario y la redirigimos (vía DNS o en el cortafuegos) a una página de concienciación en la que se le indique al usuario que ha estado a punto de liarla y se le recuerda que no debe pinchar en los enlaces de correos, en general.

En el servidor de esta página se mantiene una estadística para detectar cuántos han pinchado en el enlace del correo. Si esta información se correla con todos los que han recibido el mensaje (a partir de los logs del servidor de correo) sería interesante extraer una métrica de cuántos usuarios han pinchado.

Por supuesto, hay que considerar que “puede que no todos hayan abierto el correo” o “puede que algunos hayan accedido desde informática para análisis”, etc. Pero desde luego es un ejercicio interesante a la vez que consigues concienciar a los usuarios que sí hayan pinchado porque no se trata de un simulacro, sino de un ataque real.

Y, visto que hay gente que pica independientemente de lo chungo del mensaje, todo lo que se gane con estas acciones, ahí queda.

Dejando a un lado que la versión más segura de Java es la que no está instalada :), conviene tener cuidadico con este software. Desde hace tiempo llevo oyendo que es uno de los vectores de infección más comunes… y con razón. Y es que es uno de esos software que tiene todo el mundo instalado, aunque no le haga falta.

La verdad es que, en el navegador, es para pensárselo, ya que cada vez se usa menos. Aunque no es raro encontrarse todavía interfaces de administración de dispositivos y de software base que usan applets de Java.

Bueno, a lo que iba. Que es importante mantener Java actualizado y, por eso, los señores de Rapid7 han creado esta web: http://isjavaexploitable.com/.

Si la visitáis, veréis si hay riesgo en la versión de Java que tenéis instalada.

Si todo va bien, encontraréis algo como esto.

En cambio, si no habéis actualizado, tendréis algo como esto.

Un detalle gracioso son las estadísticas que vienen más abajo, extraídas de los usuarios que se conectan a la página.

Como veis, la adopción de nuevas versiones de Java va lentito. La verdad es que da pereza, pero si tienes alguna responsabilidad sobre microinformática o seguridad deberías considerarlo para mantener a tus usuarios un poco más protegidos frente a las inclemencias del tiempo y los peligros que les acechan.

Por otro lado, en serio considerad en eliminar el Java de los navegadores, total, para lo que sirve… ah, no, espera… que lo usan para firmar en casi todos los trámites con la Administración Pública… cachis la mar…

Recientemente he tenido ocasión de analizar redes de clientes donde había expuestas multitud de impresoras de diversas marcas y he estado investigando un poco sobre el tema. Os comento brevemente lo que he averiguado sobre la configuración habitual de estos equipos y sus implicaciones para la seguridad de la organización.

Aunque digo impresoras, realmente, en algunos casos se trata de equipos multifunción que hacen no sólo de impresora sino también de fax, escáner, fotocopiadora, máquina de café, sandwichera y picadora.

Servicios

Antes de nada, veamos qué ofrece una impresora cualquiera.

Como podéis ver, hay un conjunto considerable de servicios ofrecidos para diferentes métodos de impresión y de acceso. Como yo no soy un experto en impresoras me centraré en los protocolos que sí conozco y son los que me interesan:

  • ftp: acceso para la subida directa de ficheros que serán imprimidos por la impresora.
  • telnet: interfaz de configuración en modo texto. Se trata de una pequeña shell con los parámetros de configuración y consulta de estado.
  • http/https: interfaz web de configuración. Son los mismos parámetros que en la interfaz telnet pero para quien prefiera el navegador.
Sobre el acceso FTP es interesante conocer que algunas impresoras permiten realizar escaneos de puertos mediante el uso de la directiva PORT de las impresoras. Con el script ftp-bounce de nmap podemos identificar si un servidor FTP lo permite.

En el caso de que el servidor lo soporte, es posible, mediante nmap, realizar un escaneo empleando el servidor FTP: nmap -b servidor_ftp servidor_destino

Acceso

Normalmente, las impresoras te dejan ver su configuración sin necesidad de disponer de credenciales de acceso. Sin embargo, para configurarlas es posible establecer una contraseña de administración, aunque la experiencia me dice que no es común cambiar la que traiga por defecto, si es que traen.

Cuando encontréis una impresora con contraseña, buscad en vuestra lista de contraseñas por defecto favorita y probad a ver si es que no han cambiado la contraseña por defecto.

Por ejemplo, algunas de las que me he encontrado recientemente:

  • Impresoras HP: no suelen tener contraseña
  • Impresoras Kónica/Minolta: la contraseña de administración por defecto es 12345678
  • Impresoras Canon: normalmente sin contraseña
  • Impresoras Ricoh: la contraseña del usuario admin está en blanco por defecto
  • Impresoras Brother: las credenciales de administración son ‘admin/access’
  • Impresoras Kyocera: normalmente sin contraseña
  • Impresoras EPSON: normalmente sin contraseña
  • Impresoras OKI: la contraseña del usuario admin son los 6 últimos dígitos de la MAC (que puedes obtener sin necesidad de autenticación)
  • Impresoras Lexmark: normalmente sin contraseña
  • Impresoras Printronix: la contraseña del usuario admin está en blanco

Esto es mi experiencia reciente en los modelos que he encontrado, para más información véase el manual del modelo correspondiente o las susodichas listas de contraseñas por defecto.

Registro

A través de la interfaz de configuración es posible acceder al registro de impresión donde, si tenemos suerte, veremos nombres de usuario, otros equipos de red y los nombres de los documentos imprimidos.

En el caso particular de las impresoras Ricoh, que disponen de un Document Server, podemos ver algunos documentos almacenados (como imágenes) en la propia impresora.

Posibilidades

Bueno, pues ahora que puedo acceder a administrar una impresora… ¿qué puedo hacer que sea relevante desde el punto de vista de seguridad? O, dicho de otro modo, ¿cómo puedo putear? Os adjunto un listado de posibles acciones sencillas con las que dar por culete al que se ha dejado la impresora sin proteger:

La primera cosa que se puede hacer es, por supuesto, imprimir. Esto puede ser una chorrada evidente. Pero considerad que hay veces que la impresora está gestionada por un servidor de impresión con software dedicado a controlar (restringir, registrar) la impresión. Si la impresora permite imprimir por jetdirect, ftp o desde la propia interfaz web… probablemente nos saltemos estas restricciones y registros.

Ahora bien, consideremos que, realmente, podemos imprimir cualquier cosa, no sólo documentos. Haciendo un volcado de nuestro disco duro a la impresora nos aseguramos una denegación de servicio y un gasto de papel considerable.

Por otro lado, dado que la mayor parte de las impresoras no tienen asignada la contraseña de administrador, podemos asignar una contraseña y forzar a que tengan que volver a ‘factory default’ para reconfigurarla. Si esto lo hacemos en un número interesante de impresoras podemos incurrir en un coste interesante en mantenimiento y pérdida de funcionalidad.

Modificando la configuración de los parámetros de impresión podemos volver loco a más de uno, que pensará que se trata de una mala configuración del Word.

Una cosa que no he probado nunca es a pedir suministros a través de la propia impresora. En algunos modelos, existe la opción de enviar un informe de estado de la impresora y solicitar suministros… De hacerlo, no sé qué pasaría.

Si queremos que no se pueda imprimir, siempre podemos cambiar la configuración de red de la impresora o suprimir  servicios de impresión.

Pero lo que me parece más divertido es la posibilidad de modificar la configuración de red de la impresora para interferir con otros sistemas. Por ejemplo, podemos ponerle a la impresora la dirección IP del router por defecto, provocando un conflicto de direcciones IP que afectará a los que se encuentren cerca. O ponerle la dirección IP de cualquier otro servicio al que queramos afectar. Me imagino cuándo y cómo se darán cuenta de que se trata de la impresora.

Conclusiones

La verdad es que todo esto viene porque un cliente en particular tiene un conjunto considerable de impresoras expuestas a Internet, por lo que el riesgo es mucho mayor que en otros casos. Por lo tanto, la primera conclusión, visto lo visto, es no exponer las impresoras a Internet (no puedo pensar en ninguna razón para hacerlo).

La segunda conclusión es que es bastante recomendable ponerle una contraseña a la impresora para administración o sustituir las que vengan por defecto. Las contraseñas asignadas pueden ser almacenadas en algún repositorio cifrado para que la comparta el personal de microinformática, por ejemplo.

Por aquello de reducir la superficie de exposición y evitar que exploten vulnerabilidades en servicios que no usas, merece la pena perder el tiempo en analizar la funcionalidad de la impresora y reducir los servicios expuestos que no sean necesarios.

Respecto a la situación de las impresoras, es práctica habitual que se encuentren en el mismo segmento de red de los usuarios, aunque no hay nada que impida ubicarlas en su propio segmento de red con reglas del cortafuegos para evitar que usuarios no autorizados accedan a servicios expuestos que no sean necesarios (en el caso de que no se puedan desactivar o para curarse en salud).

Por otro lado, no está de más monitorizar la impresora. La mayor parte tienen la posibilidad de monitorización mediante SNMP, así que no cuesta nada añadirlas a nuestro Nagios o software similar y monitorizar su estado. Algunas incluso soportan syslog.

También conviene hacer una copia de la configuración por si se desconfigura de forma misteriosa, reducimos el tiempo de volver a ponerla operativa.

En fin, quizá estoy siendo un poco paranoico en este sentido. Aunque desde luego exponer tus impresoras a Internet está totalmente fuera de lugar, normalmente nadie en la red interna suele andar puteando… pero… yo me quedo más tranquilo si tengo todos los cacharros controlados, ¿y tú?

Referencias

Además de lo citado anteriormente, hay otros problemas que podrían provocar denegación de servicio e incluso ejecución de código. Para más información podéis leer este artículo de IronGeek o esta presentación de Andrei Costin.

Por último, si todo esto no te convence, siempre puedes hacer lo que hicieron los protagonistas de ‘Trabajo basura’ y desahogarte de todas las veces que la puta impresora te hizo la vida imposible.

Esta semana, la buena gente del INTECO organiza la semana de la seguridad con el objetivo de promover y concienciar y otras cosas que ya @olyoly nos ha convencido de que no sirven para nada son muy útiles.

Es por ello que desde Sevilla Sec&Beer queremos contribuir proponiendo medidas acordes para que, durante esa semana, celebréis el éxtasis de la seguridad en vuestras organizaciones.

  • Activar el salvapantallas con contraseña de todos los equipos para que salte cada cinco minutos (aunque haya actividad)
  • Hacer que las contraseñas cambien obligatoriamente cada día y que incluyan números, letras, mayúsculas, símbolos y un carácter klingon
  • Borrar cada día de forma aleatoria ficheros de los servidores, para ver si alguien se queja y para probar las copias de seguridad, que luego cuando pasa de verdad viene el tiempo de llorar
  • Aplicar listas blancas en el proxy, dejando inicialmente la web de la organización y poco más, exigir que se solicite formalmente el acceso para cada nueva web
  • Eliminar todos los permisos de los usuarios privilegiados y que tengan que justificar su ‘necesidad de conocer’
  • Infectar equipos de la organización con virus y gusanos para comprobar la fiabilidad de los sistemas antivirus
  • Hacer ataques de phishing a los empleados solicitando que introduzcan datos personales, contraseñas, tarjetas de crédito y luego creando una sección de la intranet en la que se publiquen los más pringados, por aquello de la concienciación graciosa
  • Desactivar todas las aplicaciones web que no hayan pasado recientemente un análisis de seguridad… ups, que son todas… qué le vamos a hacer, todo sea por la celebración
  • Cambiar todas las contraseñas de root y Administrador y sorprenderte al ver cuánta gente/scripts las usan
  • Enviar las alertas del IDS a la cuenta del Director/Consejero/Comité o lo que esté más arriba de vuestra organización para que tenga muy presente las amenazas a las que está expuesto o, por lo menos, que se acojonen un poco

En definitiva, es un gran momento para demostrar a todos el valor de la seguridad.

Me despido deseandoos feliz semana de la seguridad a todos y ya nos contaréis qué habéis hecho para celebrarla.

Fuck you

Hola ¿qué tal?,

el otro día chmeee nos hablaba de concienciación de usuarios en uno de sus Lunes Desmotivadores y citaba a Ranum:

“la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado”

Ayer uno de nosotros sec&beerreros twiteaba lo siguiente:

“hoy un reputado profesional de la infosec me ha dicho “la concienciación de los usuarios es una batalla perdida” …

Pues a Ranum, al reputado profesional (desenmascarado hoy por @adaecjl) y a todo el que sostenga eso, yo le respondo “y un carajo!“. No digo que sea una batalla perdida, digo que no podemos saber si lo es. Es una batalla que nunca hemos luchado en serio.

Chmeee decía:

“Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone”.

Pues yo digo:

“Uno de los principales escollos es la falta de conocimientos de los profesionales de la infosec respecto al ser humano, a las relaciones interpersonales, a la forma en que pensamos, sentimos, aprendemos y actuamos dentro de una organización.”

Os imagináis que las campañas de seguridad vial las diseñaran los mismos ingenieros y mecánicos que diseñan los airbags, los ESPs, el ABS y las estructuras deformables???  ¿Pensáis que las campañas de prevención del tabaquismo las diseña un cirujano especializado en pulmón?  Pues esto es lo que hacemos en seguridad de la información, al menos es lo que yo he vivido.

Y hombre… los reputados profesionales de la seguridad son buenos en su campo, pero quizá no son buenos en otras áreas profesionales del terreno de las ciencias sociales. Cuando nosotros hablamos de concienciación, a un experto de este campo le debe sonar igual que cuando nosotros escuchamos a un psicólogo hablar de firma electrónica….

Si todos estamos de acuerdo en que la gestión de la seguridad se debe basar en el modelo de Personas, Procesos y Tecnología (PPT), en cualquier departamento de seguridad o proveedor de servicios de seguridad deberíamos encontrar:

  • psicólogos, sociólogos, pedagogos, expertos en comunicación y marketing, etc (Personas)
  • juristas, expertos en organización, administración y gestión empresarial, etc (Procesos)
  • Ingenieros y técnicos (Tecnología)

Por deformación profesional, cuando hablo de seguridad de la información, me refiero a seguridad de la información corporativa. Es decir, a la disciplina que trata de garantizar que la organización (ya sea empresa, administración, asociación, etc) protege su información con el fin de que la consecución de sus objetivos se cumpla con eficiencia.

En el ámbito de la seguridad corporativa y partiendo del mantra PPT la solución al problema completo únicamente la encontrará un equipo multidisciplinar.

Y ahora por 25 pesetas, díganme organizaciones con equipos de seguridad multidisciplinares. Por ejemplo  ******  un, dos, tres, responda otra vez…

 

Un tema recurrente en este blog y en nuestras discusiones en la realidad es la concienciación de usuarios. Del usuario final, del directivo, del personal de TI, del que sea que no esté todavía concienciado con aplicar ciertas pautas de seguridad en sus quehaceres diarios.

Está claro que cada cual tiene sus preocupaciones, sus prioridades  y su nivel de entendimiento por lo que la concienciación es un trabajo complejo si se quiere llegar a todos.

Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone.

Os dejo el cartel del lunes desmotivador donde destaco la incapacidad de muchos usuarios para llegar a entenderlo nunca.

Algunos de los fracasos en este sentido son todas estas medidas de seguridad que se basan en la decisión del usuario para funcionar. Por ejemplo, el método de aceptar certificados ‘con problemas’ en HTTPS en los navegadores, que no sólo presenta una explicación confusa para el usuario sino que además, dejan a su elección si aceptar o no la situación anómala.

Por último, creo que Pirri da en el clavo en su post ‘¿Por qué?‘ sobre cómo enfocar la concienciación para llegar a los usuarios, relacionando ideas de su entorno con las decisiones de seguridad.

Aunque siempre nos queda la visión de Marcus Ranum, que dice que la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado :).

El otro día quise dar un paseo en bici, y a la vuelta, como estaba un poco cansado, decidí volver en Metro. Total, que me fuí a la estación, y como era la primera vez que subía la bici al Metro, y no había nadie en la estación, la subí por la escalera mecánica. Cuando llegué arriba, el de seguridad me estaba esperando para decirme que las bicis, por motivos de seguridad, habia que subirlas por el ascensor. Y yo le dije “muy bien señor guardia”, pero la verdad es que en ese momento me fastidió un poco porque no entendía por qué no se podía hacer.

¿Sería porque si la subo por la escalera se me puede escapar de las manos montando un estropicio? ¿Sería porque se puede enganchar en algo y provocarme algún daño? ¿Sería porque en horas puntas la bici en la escalera molesta a los usuarios? ¿O quizás una combinación de todas ellas? En definitiva, ¿por qué?, ¿por qué?, ¿¡POR QUÉ!?

Y claro, ahora se me ocurre que si a mi, cuando me “sueltan” una norma cuya razón de ser a priori no entiendo, me “enajeno” e incluso llego a pensar “no me seas tocahuevos”, lo mismo mis usuarios, cuando les suelto el rollo evangelizador habitual, están pensando lo mismo (vamos, seguro que lo piensan :P).

He asistido a varios cursos sobre Seguridad de la Información. Alguno de ellos eran cursos destinados a usuarios finales (personal no técnico). Y el recuerdo que tengo de ellos es el de uno o varios profesores enumerando una lista de buenas prácticas, pero no recuerdo que ninguno se explayase demasiado explicando por qué es bueno seguirlas. Y cuando lo hacían, los ejemplos que usaban eran demasiado “poco reales”.

Yo creo que si en el futuro me tocase dar formación a usuarios, lo plantearía de otra forma:

Lo primero de todo, dejaría claro que el pensamiento generalizado de “quien que me va querer atacar, si no yo soy importante” es erróneo. Tenemos que conseguir que los usuarios se convenzan de que todos somos potenciales objetivos. Aquí es importante suavizar el mensaje, no debe uno convertirse en “asustaviejas”. Diría que las cosas pasan (porque es verdad), pero también diría que con sencillas medidas, con un poquito de sentido común, etc etc. es muy fácil estar protegidos.

En segundo lugar, conduciría la formación en torno a “casos de uso”. Es decir, buscaría un ejemplo real, preferentemente en vídeo (YouTube es tu amigo, aunque  un recorte de periódico, cuanto más local mejor, tampoco estaría mal). Luego lo expondría, explicando claramente por qué ha pasado eso y a continuación contaría como podríamos haberlo evitado aplicando buenas prácticas (o al revés, se pueden mostrar primero las “buenas practicas” relacionadas con el caso, para presentarlo a continuación).

Importante: lo ejemplos deberían estar adaptados al público que recibirá la formación. Por ejemplo, si vas a hablar del problema de compartir contraseñas y tu público es personal no técnico, y dado que en España los programas del corazón arrasan, yo usaría algo como esto:

http://www.youtube.com/watch?v=t9zcdHc4ESI

Y si puedes encontrar algún ejemplo donde salga gente más “mundana” mucho mejor. Hay que explotar mucho más la empatía.

Uno de los casos de uso, probablemente el primero que expondría, estaría destinado a padres (que muchos de los usuarios lo serán), y aparte de lo habitual añadiría consejos acerca de herramientas que pueden usar para proteger a sus hijos. ¿Qué padre no haría lo que fuese por proteger a sus hijos? Pues aprovéchate de eso para captar su interés desde el primer momento.

Y al final del curso, y a modo de refuerzo más que nada, sacaría la lista típica de buenas prácticas y la repasaría con los usuarios en no más de una hora.

Así es como enfocaría yo las actividades formativas, por lo menos aquellas destinadas al público general. ¿Os parece adecuado? ¿Cómo lo enfocaríais vosotros?

P.D: mientras escribía esto, se me ha ocurrido que en vez de esperar a una actividad formativa, podría usar este esquema en el día a día. Por ejemplo, podría montar en mi organización un blog donde cada vez que apareciese una “noticia desastre” en la tele o en el periódico, esta sería analizada y explicada, comentando que buenas prácticas hubiesen evitado el “desastre”. Por supuesto con los comentarios abiertos, para captar el feedback de los usuarios (por eso no lo haría en base a newsletters). Y para rizar el rizo: desplegaría masivamente un lector de RSS corporativo, de esos que cuando hay mensajes nuevos te sacan el “globito”, configurado por defecto para leer ese blog (y otros del organismo si hubiese).

En algunas paradas de autobuses de la Barrosa (playa de Chiclana de la Frontera) se puede ver este cartel concienciador sobre el uso de Internet. Realmente va enfocado al uso de Internet por parte de menores y, casi todos los puntos tienen como receptor a los padres.

Aunque me gusta ver este tipo de propuestas que animan a mejorar la seguridad, tengo dudas acerca del enfoque de este cartel. Os comento lo que pienso después de la foto.

Lo primero que destaca de esta imagen es que ‘la educación es corresponsabilidad de todos/as’. No queda muy claro a qué se refiere, supongo que será parte de un programa con más contenidos y que ‘todos/as’ son los padres (a diferencia de otras fuentes de educación del niño: la tele, profesores, la internet…).

Por otro lado, como ya decía, el enfoque de casi todas las líneas son los padres de la criatura, aunque eso no queda claro en el título. Hecho en falta que se dirija algún mensaje a los jóvenes, al fin y al cabo, parece que es el grupo objetivo.

Respecto a los consejos, la mayoría puede resumirse en ‘hable y establezca una relación de confianza con sus hijos para que no hagan cosas en las redes sociales que usted no sepa y que puedan ser malas para ellos‘. Pero bueno, digamos que eso podría aplicar a cualquier otra situación de la relación con los hijos y no específicamente en el ámbito del uso de internet / redes sociales.

Hay dos entradas, sin embargo, que parecen dirigidas al padre y que no hacen relación a los hijos, que son:

  • Tenga cuidado con el e-mail y los archivos adjuntos, cuando no conoce quién lo envia. Nunca abra correos sospechosos.
  • Evite las páginas con contenidos nocivos o falsos. No crea todo lo que encuentre, vea o lea en Internet.

El primero indica precaución, aunque no advierte que, aunque sea de un ‘conocido’ también conviene tener precaución. Esos mensajes con sólo un adjunto o una URL que vienen de tu amigo… igual no es él. Además, la coma sobra.

Respecto a evitar páginas nocivas o falsas… sin comentario :). El consejo de incredulidad siguiente, creo que debe aplicarse no sólo a Intenet, aunque no me parece mal recordarlo.

En definitiva, que no quiero perder más tiempo con esto que no deja de ser anecdótico: concienciar usuarios es complicado y no creo que este cartel esté muy bien enfocado, aunque no me parece mal que se vayan dando mensajes porque, al final, algo quedará.

El asunto de que los chavales no se metan en líos en Internet y en las redes sociales (ese invento de la CIA) no deja de ser el mismo que fuera y no me parece que esté tan relacionado con ‘uso seguro de Internet’.

Quiero compartir con vosotros este cómic sobre los estados de la auto-concienciación que nos ha enviado @esanz (muchas gracias, es genial).

Respecto a seguridad de la información, es muy importante, al menos, saber las propias limitaciones y dónde nos encontramos. ¿En qué estado te encuentras tú?

Hoy se ha publicado en el BOJA la política de seguridad de la Junta de Andalucía. La verdad es que leer textos legales (aunque sean de seguridad) es un rollo, así que he pensado en echar un vistazo general usando Wordle.

Wordle de la política de seguridad de la Junta de Andalucía

Wordle de la política de seguridad de la Junta de Andalucía

Mucho mejor así, ¿eh? Lo tenéis aquí por si queréis verlo en Java, aunque no parece que se pueda editar.

Para contentar a @lmmarcos y a @esanz adjunto otro con sólo minúsculas y con colores menos corporativos (bueno… un poco sí).

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Wordle de la política de seguridad de la Junta de Andalucía en minúsculas

Por otro lado, podéis jugar con el data set de la política en manyeyes.

He creado este ‘árbol de palabras’ que viene muy bien para analizar el texto. Por ejemplo, escribiendo ‘ley’ en el recuadro podéis ver todas las leyes a las que hace referencia el texto.

Probad con ‘seguridad’ (start y end) para verle el gustillo al tema este. O con ‘principio’ para ver el listado de principios que enumera la política.

Por cierto, ¿qué os parecen este tipo de visualizaciones? ¿ Útiles? ¿Chulas? ¿Inútiles?