Junio 2010 · 63 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
EL ENEMIGO MÓVIL
$80.00 M.N.
La premisa es sencilla: a mayor conectividad, mayores riesgos. Y en la era de la información digital no existen mejores abanderados de esta premisa que los dispositivos móviles y los teléfonos inteligentes
OCTUBRE28-29 CENTROBANAMEX
Por primera vez en México, reunimos a los proveedores líderes IT del mercado para que demuestren en vivo y en tiempo real sus productos y servicios, así como su beneficio para las organizaciones. La inversión en tecnología no se detiene.
Usted ¿ya está listo para invertir?
Asista a la conferencia que le mostrará lo último en IT bajo un mismo techo.
www.demoshow.com.mx Un evento de
Producido por
JUN 2010
ACCESO
CADA DÍA 400,000 NUEVOS CÓDIGOS MALICIOSO Entre 2008 y 2009 el número de muestras de malware creció de diez millones a más de 16 millones.
EL REPORTE DEL MES
EL CIBERCRIMEN APRUEBA EL SEMESTRE
De acuerdo con Microsoft en la segunda mitad del 2009 se detectaron más de 126 millones de muestras de programas mal intencionados.
B:SECURE FOR BUSINESS PEOPLE
LA FUNCIÓN DE SEGURIDAD ¿EL PRIMERO PASO A SEGUIR? Tercera entrega de cuatro partes, sobre los cimientos de toda buena estrategia o programa de seguridad IT en las organizaciones.
LA LEY Y EL DESORDEN
CLOUD COMPUTING…
¿Una tormenta legal se avecina? Retos y paradigmas legales en este nuevo modelo de servicios informáticos
OPINIÓN
ASOCIARSE A LA COMUNIDAD DE EDUCACIÓN EN SEGURIDAD Un vistazo a las comunidades, congresos y programas de fomento, capacitación y análisis en ciberseguridad de Estados Unidos.
AUDITORÍA EXTREMA
POR FIN, UNA LEY DE PROTECCIÓN DE DATOS PERSONALES
10 EL ENEMIGO MÓVIL
La premisa es sencilla: a mayor conectividad, mayores riesgos. Y en la era de la información digital no existen mejores abanderados de esta premisa que los dispositivos móviles y los teléfonos inteligentes
06 LOGIN
31 SINNÚMERO
Aunque por el momento hay muchas dudas alrededor, ya está en puerta la nueva ley mexicana de protección de datos personales
SEGURO QUE LOS QUIERES
UN ANDROIDE CON RADIO
Era cuestión de tiempo para que los equipos con tecnología iDEN conocieran el mundo Andriod, las aplicaciones y la telefonía inteligente
Junio, 2010 B:SECURE 3
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL Elba de Morán DIRECTORA COMERCIAL
RENTE UNA BOTNET POR MENOS DE $120 PESOS LA HORA
Expertos de la firma de autenticación en línea VeriSign demostraron el poco conocimiento informático e inversión monetaria que se necesitan para utilizar los servicios de una botnet. Luego de una evaluación, de mes y medio, la unidad de Ciberseguridad de VeriSign detectó que los servicios de distribución de malware y spam, de redes bot pueden ser contratados a un precio inicial de $8.94 dólares ($116 pesos mexicanos). De acuerdo con la información divulgada por VeriSign los expertos evaluaron las ofertas de renta de 25 operadores de redes bot en los mundos clandestinos de internet. Así, el precio más bajo, por una hora de distribución de códigos maliciosos o spam, es de $8.94 dólares, mientras que el costo más alto es de $67.20 dólares. Además de spam y malware los servicios de botnets incluyen la generación de vectores de ataques, incluyendo ICMP, SYN, UDP, HTTP y HTTPS. Así como el desarrollo de ataques de denegación de servicios (DoS, en inglés). Según la información de la firma de seguridad estos servicios no van dirigidos a las organizaciones criminales de alto nivel, sino a grupos o individuos con intenciones criminales, pero con un nivel bajo de conocimientos en informática. “De esta forma los ataques pueden ser realmente avanzados, pero las mentes criminales detrás de los mismos podrían ser neófitos en conocimientos de seguridad IT o cibercrimen”, afirma la compañía.
LOS PROBLEMAS DE FACEBOOK En respuesta a las múltiples críticas por parte de usuarios y organizaciones de privacidad de datos, ejecutivos de Facebook se dieron a la tarea de revisar los controles de privacidad del sitio web, con el fin de ayudar a los usuarios de la red social a decidir qué personas ven qué tipo de información. El nuevo sistema consistirá en mostrar en una sola página una lista de todas las aplicaciones y el usuario podrá elegir una de tres opciones de privacidad en cada una. El nuevo diseño de la página de privacidad mostrará de una sola vista la información del usuario, a la cual podrá aplicar la configuración que elija. Facebook conserva las tres opciones de privacidad liberadas en diciembre pasado: amigos, amigos de mis amigos y todos. De esta manera el usuario podrá controlar el contenido, su información básica y las aplicaciones. Además, quienes busquen un “control granular” podrán acceder a las configuraciones existentes. Facebook ha dado pasos consistentes en modificar, por ejemplo, la privacidad predeterminada del perfil de usuario, la cual era pública. A partir de abril pasado la red social sugiere que los usuarios recategoricen la información del perfil si consideran que hay mucha disponible en internet.
Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
AUNQUE ME CORRAN
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
FABUOLUS BLOG
TEMA LIBRE
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
4 B:SECURE Junio, 2010
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez, Mario Velázquez. COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, Elihú Hernández, Mario Velazquez EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
LOGIN LOGIN
DESMANTELAN RED SOCIAL DE PORNOGRAFÍA INFANTIL Autoridades federales estadunidenses desmantelaron y aprendieron a más de 50 personas responsables o usuarios de una red social de pornografía infantil. Autoridades estadunidenses, con la colaboración de elementos policiales de otras naciones, lograron detener la operación de una red social de pornografía infantil, que en su momento llegó a contar con más de mil usuarios registrados. De forma similar a la que opera Facebook, al permitir a sus usuarios compartir imágenes o fotografías, esta red clandestina funcionaba como una plataforma de distribución de imágenes pornográficas de menores de edad, entre sus miembros de todo el mundo. Ante los medios estadunidenses el subprocurador general de Estados Unidos Steven DeBrota catalogó el caso como el más importante y grande en delitos contra menores de edad del orbe. El funcionario afirmó que las autoridades lograron cerrar el sitio web internacional y arrestaron a más de 50 personas (usuarios y responsables) de 50 naciones distintas. La investigación, que comenzó desde principios de 2008, también incluye el proceso de extradición de Delwin Savigar, supuesto líder de la red de pornografía, y quien actualmente cumple una sentencia de 14 años por abuso a tres menores de edad en Reino Unido. El sitio web fue calificado por DeBrota como red social, pues los miembros únicamente podían acceder a través de contraseñas, compartir sus experiencias o fantasías con menores de edad, o en algunos casos mirar co-
lecciones fotográficas que superaban hasta el millón de imágenes. “No hay duda alguna, esto operaba como una red de contactos sociales”, afirmó. Según datos publicados por la agencia de noticias AP, el grupo no se concentraba únicamente en producir las fotografías, pues se encontró que varios miembros habían abusado sexualmente de menores, y que a veces habían aportado fotos del abuso.
Se estima que la red social alcanzó hasta los mil miembros. Sin embargo, la cifra cayó a poco menos de 500 usuarios cuando las autoridades estadunidenses cerraron la página web Los sospechosos arrestados provienen de diversos Estados de la Unión Americana como Indiana, Louisiana, California, Alaska, Nueva York, Pennsylvania, Ohio, Maryland, Michigan, Virginia y Florida, dijo DeBrota. DeBrota reconoció la colaboración de autoridades de varios países entre ellos Francia, Alemania y Gran Bretaña.
PLANEAN INVERITR $115 MDP PARA PROTEGER SISTEMAS DE CISEN Aunque no hay recursos asignados para ello, la Secretaría de Gobernación (Segob) pretende invertir $115 millones de pesos para construir una arquitectura de seguridad que protega los sistemas tecnológicos y la infraestructura de comunicación y redes del Centro de Investigación y Seguridad Nacional (Cisen). De acuerdo con un reporte del periódico Reforma, fueron presentados proyectos ante la Secretaría de Hacienda y Crédito Público (SHCP), que prevén que la millonaria inversión sea destinada al blindaje de sistemas de cómputo, redes de comunicación y a los sistemas tecnológicos del Centro. Los sistemas de seguridad que se busca integrar a la operación del Cisen son de alta disponibilidad, de control y gestión de accesos para comprobar la autenticidad del personal que pretenda hacer uso de la información clasificada que resguarda la entidad dependiente de Segob. Las inversiones en redes de comunicación consistirían en construir una infraestructura de servicios de voz y datos segura y de gran capacidad. Los proyectos también contemplan utilizar los recursos en la mejora y actualización de sistemas de almacenamiento y procesamiento de datos de los sistemas de inteligencia del Cisen. Para el ejercicio fiscal 2010, el Secretariado Ejecutivo del Sistema Na6 B:SECURE Junio, 2010
cional de Seguridad Pública destinará otros $115.5 millones de pesos a la partida presupuestal 3306 de Servicios de Informática, según se publicó (PDF) en su Programa Anual Estimado de Adquisiciones, Arrendamientos y Servicios.
SYMANTEC COMPRA VERISIGN POR $1.28 MIL MILLONES DE DÓLARES Luego de comprar la firma de encripción de datos PGP, Symantec reforzará su portafolio de seguridad en la web con la compra del jugador clave en el mercado de autenticación de identidades VeriSign. Luego de diversos rumores en medios de comunicación, que dejaron entrever la intenciones de Symantec por adquirir VeriSign, ambas compañía afirmaron haber llegado a un acuerdo por la friolera de $1.28 mil millones de dólares. El acuerdo de adquisición, publicado en el sitio web de Symantec, afirma que este último pasará a controlar y administrar las divisiones de VeriSign’s flagship SSL Certificate Services, además de las áreas de Public Key Infrastructure (PKI), Identity Protection (VIP) Authentication and Trust services, de VeriSign. Sin embargo, VeriSign permanecerá como dueño y administrador del área de servicios de dominios, que administra la autenticación y seguridad de más de 100 millones de dominios .com y .net de todo el planeta. “Con el anonimato que ofrece internet y ante el crecimiento de las amenazas web, empresas, usuarios y gobiernos lidian por mantener la seguridad y confian-
za en la interacciones e identidades que utilizamos en el web”, afirmó Enrique Salem, CEO de Symantec durante la publicación del acuerdo de compra. El hombre el frente de la firma de seguridad agregó que la solución a este problema es el motivo detrás de la compra de VeriSign, pues la combinación de ambos portafolios de tecnología permite incrementar la adopción de medidas de seguridad, al tiempo que facilita su uso, acceso y administración desde cualquier punto o dispositivo digital. Symantec presumió que con la compra de VeriSign la compañía tendrá la posibilidad de desarrollar nuevas soluciones en el área de identificación y seguridad en sitios web, protección de acceso en dispositivos móviles y seguridad en Cloud Computing. Sin embargo, de acuerdo con lo publicado por otros medios de comunicación estadunidenses es posible que Symantec haya pagado de más por VeriSign, pues esta última ha visto como si división de autenticación ha perdido ganancias en los últimos trimestres, a medida que muchas usuarios han comenzado a utilizar servicios más baratos de SSL como Comodo y Go Daddy.
MÉXICO NO DEBERÍA FIRMAR ACTA: GOOGLE México no debería de participar en la firma del Acuerdo Comercial Anti-falsificación (ACTA, por sus siglas en inglés), aconsejó Manuel Tamez, responsable de Políticas Públicas de Google en México. En el marco del Congreso 2010 de la Sociedad Internet, el ejecutivo de Google calificó al tratado internacional como una “mala legislación” debido a que presupone la culpabilidad de un usuario que haya subido a internet un contenido protegido por derechos. ACTA, a decir de Tamez, podría otorgar mayores ventajas a quienes son los titulares de los derechos reservados de los contenidos, en comparación con las atribuciones que tendrían los ciudadanos. Este hecho, dijo en su conferencia titulada “Desafíos de la información en línea”, podría provocar la comisión de abusos y limitar la innovación en internet. En abierta oposición, el representante de Google México mostró preocupación porque la directriz internacional fincaría responsabilidades secundarias a los proveedores de servicios de internet, si sus usuarios suben o descargan contenidos protegidos. De acuerdo con el borrador de ACTA, que la Unión Europea ha hecho público, el acuerdo pretende que los proveedores de servicios de internet, como Google, monitoreen sus servicios para identificar el almacenamiento no autorizado o la transmisión de contenidos
protegidos. Lo anterior ha disparado preocupaciones relacionadas con la protección de la privacidad entre los países que participan en las discusiones del tratado. Por ser un borrador, hasta ahora, ACTA no deja claro a cuál entidad se le podría fincar la responsabilidad legal por distribuir, transmitir o poner a disposición del público copias de contenidos protegidos. Si a los proveedores de servicios en línea o a los individuos que los hayan publicado o facilitado dentro de los servicios de dichos proveedores. Según el Senador Francisco Castellón, la propia Unión Europea ha solicitado que el apartado sobre internet se retire del Acuerdo. ACTA es promovido por Estados Unidos y Japón para su discusión y adopción en Canadá, Marruecos, Singapur, la Unión Europea, Corea, Nueva Zelanda, Australia y México.
BREVES SonicWall anunció su estrategia para reforzar la ciberseguridad en el ámbito empresarial y de gobierno, a través de una plataforma de seguridad escalable de forma masiva, denominada como SuperMassive que integra una tecnología capaz de detectar y controlar aplicaciones, prevenir intrusiones, y bloquear malware a una velocidad de hasta 40 Gbps sin aportar latencia a la red.
RSA se unió al Grupo de Ética y Cumplimiento Abierto de Normas (OCEG por sus siglas en inglés), organización sin fines de lucro con la misión de ayudar a las empresas a alinear sus actividades administrativas de IT Governance, riesgo y cumplimiento de normas. Como miembro de la organización RSA participará en los Consejos de Liderazgo y Tecnología para impulsar el Modelo de Capacidad de GRC.
Check Point liberó la nueva versión de ZoneAlarm, un firewall soportado por una de las comunidades de seguridad IT más grandes del mundo y capaz de analizar, detectar y eliminar automáticamente el malware reportado por la comunidad de millones de usuarios.
Junio, 2010 B:SECURE 7
ACCESO
ASCIENDEN A $51,000 MILLONES DE DÓLARES LAS PÉRDIDAS POR PIRATERÍA DE SOFTWARE EN 2009
Las pérdidas generadas por la venta de software apócrifo rebasaron los $51,000 millones de dólares en 2009, es decir cuatro de cada 10 programas instalados durante el año pasado fueron piratas
L
a venta, distribución e instalación de programas o aplicaciones piratas en todo el orbe se mantiene como uno de los problemas más apremiantes para la industria o sector de las Tecnologías de la Información, de acuerdo al último reporte de la Business Software Alliance (BSA) y la firma consultoría IDC. El reporte titulado Global Software Piracy Study, afirma que el porcentaje de programas piratas instalados o vendidos durante 2009 fue de 43%, dos puntos porcentuales por arriba de los registrado durante 2008. En otras palabras, cuatro de diez programas instalados en las computadoras durante 2009 eran piratas. Este porcentaje significó pérdidas para la industria del software por arriba de los $51,000 millones de dólares y representa una cantidad menor a los 51,400 millones de dólares, que la industria perdió durante 2008 a consecuencia del software pirata. Sin embargo, la BSA e IDC indican en el reporte que el crecimiento en el porcentaje de la venta de software pirata no respondió a un adopción o uso masivo de estos productos, sino al crecimiento de los usuarios de computadoras en naciones emergentes como Brasil, México, India y China. “A pesar del progreso que se ha logrado a nivel global, los rangos de uso de software pirata se elevó dos por ciento. Este incremento es resultado de la rápida adopción del mercado de PC en países en desarrollo, específicamente Brasil, India y China”, cita el texto. De hecho, agrega el reporte, únicamente estos tres mercado representaron 86% en el crecimiento de ventas de computadoras durante 2009 en todo el mundo. A pesar de ello, los autores del estudio confiesan que la crisis económica global pudo afectar de manera notable en la adquisición de software apócrifo, pues muchos programas elevaron sus costos, mientras que los usuarios sufrieron reducciones salariales o la pérdida de su empleo. Más allá de las pérdidas monetarias para la industria el organismo internacional, afirma que los altos niveles de piratería también elevan los porcen8
B:SECURE Junio, 2010
tajes de infección o distribución de códigos maliciosos. Un análisis de IDC afirma que en el 59% de las redes Peer to Peer (P2P), donde se descargan la mayoría de los programas apócrifos, también distribuyen códigos maliciosos para infectar y robar información de los usuarios.
LOS PIRATAS DE LOS SIETE MARES De acuerdo al Global Software Piracy Study las tres regiones con los mayores porcentajes de piratería de software son Europa Central y del Este con 64%, América Latina 63% y Asía Pacífico con 59%. En China, por ejemplo cita el análisis de la BSA, las pérdidas por software pirata rebasaron los $7.6 mil millones de dólares durante 2009. El segundo país del mundo, justo por debajo de los Estados Unidos, nación donde el uso de software falso tiene un valor de $8.3 mil millones de dólares. Los países con los mayores porcentajes de piratería de software fueron Georgia (95%) Zimbabue (92%) Bangladesh (91%) y Moldava (91%). Mientras que las naciones con los menores índices fueron Estados Unidos (20%) Japón (21%) Luxemburgo (21%) y Nueva Zelanda (22%). México, por su parte, se colocó en la onceava posición del impacto a la industria del software por la piratería, al registrar pérdidas en 2009 por $1,056 millones de dólares, justo por debajo de los $1,581 millones de dólares en pérdidas que registro Reino Unido. Los cinco países con el mayor número de pérdidas por la venta de programas falsos fueron Estados Unidos con $8,390, China $7,583, Rusia $2,613, Francia $2,544 y Brasil $2,254 mil millones de dólares. La BSA asegura en el reporte que en la gran mayoría de los países se logró disminuir los porcentajes de piratería en uno o dos puntos porcentuales. A pesar de ello, el organismo y la consultora internacional estiman que de no modificar el escenario actual y reducir la piratería a mayores tasas anuales. El porcentaje de software apócrifo para 2013 podría alcanzar 51%, es decir, la mitad de todos los programas vendidos o instalados en el orbe serán piratas. ●
ACCESO CADA DÍA 400,000 NUEVOS CÓDIGOS MALICIOSO
La opción auto ejecutable de Windows, conocida como AutoRun, fue la función más prevalente de los gusanos web durante los primeros tres meses del 2010, de acuerdo con McAfee
I
nfectar rápido y sin que el usuario lo note son dos de los principales elementos de los códigos maliciosos del siglo XXI. Habilidades que los cibercriminales han logrado dominar a través de la función AutoRun de Windows, afirman expertos de seguridad de McAfee. De acuerdo al Reporte de Amenazas para el primero trimestre de 2010, la gusanos con la opción de auto ejecución de Windows, mejor conocida como AutoRun acapararon la posición número uno de prevalencia del total de códigos maliciosos. Así, los datos de McAfee demuestran que de los cinco códigos maliciosos más prevalentes en los primeros tres meses de 2010, dos corresponden a gusanos con la opción de AutoRun en su estructura. Esto, explican los expertos, es porque el usuario no necesita dar ningún clic ni aceptar ningún tipo de instalación para que el código malicioso se instale en el equipo. La misma compañía reconoce que gusanos con un alto nivel de notoriedad y de infección como Conficker utilizaron este mecanismo para propagarse rápidamente por el web. La opción de AutoRun de Windows permite la ejecución de dispositivos, principalmente memorias o discos USB, al momento de conectarse al equipo, lo que hace particularmente peligrosos al malware que se aprovecha de esta funcionalidad. Luego de los gusanos con AutoRun, McAfee afirma que malware como los troyanos de robo de claves de acceso, el rogueware y códigos maliciosos de hurto de información personal, también terminaron dentro de las primeras cinco posición de prevalencia en la red.
Por Carlos Fernández de Lara
EL CUENTO DE NUNCA ACABAR El análisis de McAfee afirma que el desarrollo de nuevos códigos maliciosos mantiene su estabilidad y “salud”, pues entre 2008 y 2009 el número de muestras de malware creció de 10 millones a más de 16 millones. Una tendencia que no cambiará durante 2010, pues en los primeros tres meses del año McAfee detectó más de tres millones de muestras de malware, es decir, cada día se encuentran más de 400,000 nuevos códigos maliciosos en el web.
SPAM SOCIALMENTE INFORMADO El Threat Report de McAfee subraya que el número de correos electrónicos se mantuvo estable durante el periodo analizado, al alcanzar un incremento únicamente del 5%. Así entre enero y marzo de 2010 la compañía registró más de 139,000 millones de correos basura al día. El spam representa 89% de todo los correos electrónicos enviados en el mundo. Sin embargo, los expertos de la firma de seguridad, mencionan que ya comenzaron a detectar un nivel de madurez en los correos basura, al utilizar eventos, noticias o gustos de internautas por país. Por ejemplo, los terremotos de Haiti y Chile, y el Mundila de Fútbol fueron tres de los eventos más explotados por los cibercriminales para distribuir spam durante el primer trimestre de 2010. En el caso de nuevos URL infectados o comprometidos con códigos maliciosos 98% corresponden a servidores ubicados en Estados Unidos, el 2% restante se lo llevan China y Canadá (con 61 y 34%, del porcentaje correspondiente). ● Junio, 2010 B:SECURE
9
EL ENEMIG MÓVIL La premisa es sencilla: a mayor conectividad, mayores riesgos. Y en la era de la información digital no existen mejores abanderados de esta premisa que los dispositivos móviles y los teléfonos inteligentes Por Carlos Fernández de Lara carlos@netmedia.info
E
l mundo y sus sociedades anhelan y desean la movilidad. Para muchos una computadora de escritorio o una laptop ya no es suficiente. Para otros es su primer enlace al mundo web y su entrada a la era de la información digital. Como sea, los teléfonos y dispositivos inteligentes están por convertirse en las computadoras del futuro y en las pesadillas de los responsables de seguridad, alrededor del mundo. De acuerdo con un análisis de la firma de consultoría Gartner, durante 2009 se vendieron más de 172.3 millones de teléfonos inteligentes. Es decir, de los más 1,000 millones de equipos despachados el año anterior, casi dos de cada diez eran Smartphones. Más aún, según Gartner en los primeros tres meses de 2010 se
10 B:SECURE
Junio, 2010
vendieron más de 54 millones de teléfonos inteligentes, 34% más que los despachados durante el primer trimestre de 2009. ¿Cómo pesan estas cifras en el mundo del cómputo? Simple, la era de la PC está por culminar. De acuerdo con la consultora en 2009 se vendieron más de 305 millones de computadoras en cada rincón del planeta, cinco por ciento más equipos que los despachados en 2008. A este ritmo, para finales de 2012 la venta de teléfonos inteligentes rebasará, sin problemas, a las de las computadoras, convirtiéndose así, en el dispositivo por excelencia alrededor del orbe para acceder a información en línea, mandar correos electrónicos o comunicarse en tiempo real.
GO
Junio, 2010 B:SECURE 11
Esto, sin contar la explosión inminente de nuevos dispositivos móviles, como las tabletas multimedia con pantallas sensibles al tacto tipo iPad, pues se estima que para finales de 2010 se vendan más de 362.7 millones de estos equipos, 96% más que los registrados en 2009. Ante este escenario la pregunta es clara: ¿Están listas las empresas, usuarios y responsables de la seguridad de la información para contener y controlar los datos digitales, en decenas de dispositivos, cada uno de ellos, con su propio sistema operativo, sus vulnerabilidades, sus aplicaciones y sus herramientas de administración? Queramos o no dentro de las organizaciones la era de “BlackBerry o nada se acabó”. LOS CONSUMISTAS DE IT
El tema no es que un dispositivo móvil allá superado a otro, sino que para muchos la burbuja explotó con lo que hoy las firmas de tecnología llaman The IT consumerization, un fenómeno en donde no son las empresas las que proveen las herramientas tecnológicas para trabajar, sino que son los mismos empleados las que las piden o las adquieren por cuenta propia. Incluso, muchas empresas han optado por el modelo Bring your own computer, es decir permitir que el empleado “lleve su computadora o teléfono inteligente al trabajo”. Y, aunque para la gente de IT esta realidad sea un dolor de cabeza, son pocos los gerentes o directores de finanzas que se oponen a que los empleados compren sus propios dispositivos móviles, sobre todo si también los van utilizar para su trabajo. “Nos estamos moviendo de un esquema de infraestructura a uno de información. En el futuro el canal por donde accedamos a nuestras aplicaciones será lo de menos, lo importante es que estos datos estén siempre disponibles, independientemente del lugar o medio de acceso”, afirma Paulo Vendramini, director de Ingeniería de Sistemas de Symantec, América Latina. Y aunque la ola de angustia y terror se nota imparable, a medida que los usuarios piden y compran más dispositivos móviles, los CISO y responsables de seguridad en las organizaciones aún están a tiempo de planear y prevenir su impacto. De acuerdo a una encuesta realizada por nuestra revista hermana InformationWeek, a 307 CIO y CISO, demuestra que actualmente sólo 21% de las compañías en Estados Unidos tienen empleados con teléfonos inteligentes. Sin embargo, 87% de los entrevistados aseguran que este tipo de dispositivos se convertirán en un factor predominante en los próximos años, y la seguridad y protección de la información se colocan como el primer motivo para desplegar una estrategia de seguridad móvil, alrededor de estos equipos. Así, si antes las empresas desestimaban el impacto que un celular podría tener para su negocio, su operación o su supervivencia, esta realidad cambió en el momento en el que muchos de estos dispositivos alcanzaron desempeños, capacidades de almacenamiento y
12 B:SECURE
Junio, 2010
funcionalidades similares a las de muchas computadoras, hoy disponibles en el mercado. No es de extrañar que la principal preocupación de los responsables de la seguridad IT, sea que los empleados extravíen o les roben sus teléfonos inteligentes. De hecho 72% de los encuestados afirmaron que la funcionalidad primordial de todo sistema de Administración Móvil debe ser el borrado remoto. Algo que firmas como RIM, Motorola y Apple ya han comenzado a proveer incluso para los consumidores en general, no únicamente para el sector empresarial. EL ROSTRO CIBERCRIMINAL EN PANTALLA DE 3.5 PULGADAS
Pero más que mero descuido o torpeza humana, los dispositivos móviles, independientemente de su plataforma, se enfrentan al mismo rostro del cibercrimen que los equipos de cómputo: fuga o robo de información, fraudes bancarios, hurto de identidades, phishing o infección por códigos maliciosos. La diferencia, es que en el mundo de los teléfonos inteligentes no existe un jugador dominante, como sí lo hay en el segmento de las computadoras, donde Windows OS, de Microsoft, domina más del 93% de participación del mercado computadoras. De hecho en los últimos años jugadores como Research in Motion, fabricante de BlackBerry, Google con Andriod y Apple con su iPhone OS han desbancado o generado serias pérdidas de participación de mercado a firmas como Nokia con Symbian y Microsoft con Windows Mobile. Esta heterogeneidad del mercado limita la cantidad de malware, ataques cibernéticos o intentos de robo de información a dispositivos móviles, asegura Víctor Ibañez, íctor Ibáñez, gerente de marketing online y experiencia del usuario de Norton en Latinoamérica. “La gran realidad es que no existe el mismo número de firmas o códigos maliciosos, ni de ataques detectados para teléfonos inteligentes, que los que hay para PC, porque aún no existe un verdadero motivo en términos de rentabilidad para los cibercriminales el desarrollar malware en estas plataformas”, dice Ibañez de Norton. Y aunque muchas, son meras pruebas concepto con un alcance y peligro menor, expertos en seguridad han encontrado vulnerabilidades en todas las plataformas móviles, como por ejemplo sencillos rootkits, gusanos de robo de información o programas espías para los teléfonos. El problema para los cibercriminales, explica Gabriel DiMattia gerente de Introducción de Nuevos Productos para América Latina Mobile Devices de Motorola, es que sistemas como Andriod de Google operan con una tecnología, conocida como “Sandbox” que aísla la interacción del programa con los procesos centrales del sistema operativo. “De esta forma, aunque la aplicación se instale en el equipo no tiene acceso a tu información sensible como contactos o documentos y tampoco puede interactuar con otras aplicaciones del sistema”, dice DiMattia de Motorola.
De manera similar, Pablo Kulevicius, gerente de Seguridad de RIM AmĂŠrica Latina, explica que en el caso del RIM OS para BlackBerry el margen de riesgo de infecciĂłn que existe es mĂnimo, pues el sistema operativo impide la instalaciĂłn de programas de forma silenciosa. “El sistema impide las instalaciones silenciosas o sin permiso del usuario, las aplicaciones no tienen acceso al kernel del sistema, y en caso de que alguna lo alcance el equipo se reinicia automĂĄticamente para corregir o eliminar el programa que estĂĄ causando problemasâ€?, agrega Kulevicius. Sin embargo, del mismo modo que el cibercrimen ha encontrado en la ignorancia humana, su mejor arma para vulnerar equipos de cĂłmputo o robar informaciĂłn. En el caso de los Smartphones esta realidad no es distinta, explica Vendramini de Symantec. “El problema es que todos estos equipos estĂĄn permitiendo la instalaciĂłn de cientos de miles de aplicaciones, y en un ambiente tan diversos como el de los telĂŠfonos inteligentes, contralar cada una de esas aplicaciones es imposibleâ€?, menciona el experto de Symantec. Actualmente firmas como Apple, tienen mĂĄs de 250,000 aplicaciones disponibles para el iPhone, desde simple juegos de video hasta complejos administradores de cĂĄmaras de seguridad CCTV. SegĂşn Gartner, se estima que en 2010 los usuarios de estos telĂŠfonos (BlackBerry, iPhone, MotoDext, Nokia) descarguen mĂĄs de 4,500 millones de programas a sus equipos y, que para 2013 la cifra rebase los 21,000 millones de aplicaciones descargadas. En ese mar de unos y ceros digitales y ante plataformas abiertas, como Andriod, serĂĄ fĂsicamente imposible que los desarrolladores de sistemas operativos analicen a conciencia, uno por uno los programas en sus tiendas de aplicaciones. “No hay forma de que las empresas revisen tal cantidad de aplicaciones. En algunos casos ya se han comprobado intentos de malware o cĂłdigos maliciosos, que se hacen pasar por aplicaciones, que el usuario descarga, permite que se instalen en el equipo, e incluso a veces hasta pagan por ellosâ€?, afirma Adolfo Grego director de tecno-
logĂa de Mycros Electronics y experto en temas de seguridad mĂłvil. Durante el b:Secure Conference Monterrey Grego demostrĂł el funcionamiento de un cĂłdigo malicioso concepto, que corren en todas las plataformas mĂłviles, y es capaz de otorgarle control remoto del dispositivo al atacante. “Yo con este programa puedo marcar al telĂŠfono y decirle que no suene, no vibre, o que siquiera prenda la pantalla. TambiĂŠn puedo hacer que me conteste la llamada y active el micrĂłfono, sin que el dueĂąo del equipo estĂŠ enterado, puede definir parĂĄmetros para espiar llamadas o comenzar a grabar conversaciones en determinados momentos.â€?, demostrĂł Grego de Mycros. A MI EXPLORADOR DE LOS MARES DE LA WEB
Si no es por el lado de las aplicaciones existe un vector de ataque mĂĄs en el que los cibercriminales no tienen que mover un solo dedo para aprovechar y maximizar el nĂşmero de vĂctimas; el explorador web de los telĂŠfonos. Actualmete mĂĄs del 75% de los ataques cibernĂŠticos van dirigidos a aplicaciones o servicios en el web. AsĂ, los usuarios y su informaciĂłn personal o empresarial, son igual de vulnerables a fenĂłmenos como el phishing o la ingenierĂa social, independientemente del tamaĂąo de la pantalla o sistema de su dispositivo. “Muchos de estos equipos permiten la instalaciĂłn o cuentan con exploradores web con la mismas capacidades de navegaciĂłn que los que existen en una computadora. En ese sentido, los usuarios de telĂŠfonos inteligentes, son igual de vulnerables a ataques como el phishing o a la ingenierĂa socialâ€?, menciona IbaĂąez de Norton. Mientras el camino se aclara para hacer frente a todo estos retos, los expertos concuerdan, en que una realidad permanecerĂĄ para todos los responsables de seguridad. La no capacitaciĂłn y educaciĂłn en el uso de la tecnologĂa, es una bomba de tiempo para el mundo mĂłvil. ÂżAl igual que con las computadoras tambiĂŠn la dejaremos estallar? â—?
EL CANON MĂ“VIL Aunque no hay un camino Ăşnico en la protecciĂłn y administraciĂłn de dispositivos mĂłviles. Existen diversas recomendaciones que puede tomar en cuenta antes de dar el salto a la telefonĂa inteligente.
s .O BUSQUE PROTEGER administrar o controlar los telĂŠfonos inteligentes de la misma forma en que resguardar la informaciĂłn de los equipos de cĂłmputo. Desarrolle o busque polĂticas de seguridad, especĂficamente para este tipo de dispositivos mĂłviles.
s $EFINA BIEN LAS NECESIDADES DE SU NEGOCIO establezca niveles de uso y acceso a la red. Si no sabe por dĂłnde comenzar consulte con varios proveedores de seguridad o de dispositivos mĂłviles antes de comprar o invertir en soluciones.
s .O TODO ES INSERVIBLE Aunque le digan que hay que tirar y reemplazar tecnologĂa, analice primero las plataformas y sistemas de seguridad que ya tiene y, Ăşnicamente trabaje en integrar soluciones o servicios para cerrar esos huecos que tiene su infraestructura.
s %VITE ESTAR A LA MODA no porque su vecino, competencia o sus empleados se lo piden, debe decir que sĂ a todo. Revise quĂŠ ĂĄreas realmente deben ser mĂłviles y cuĂĄles realmente necesitan acceso a la red empresarial.
s %DUQUE CAPACITE Y SANCIONE Aunque suene a frase de pelĂcula de superhĂŠroe “Con un gran poder, viene una gran responsabilidadâ€?,
imparta por obligaciĂłn y en todos los niveles cursos de capacitaciĂłn en el uso adecuado de dispositivos mĂłviles, desarrolle polĂticas y aplĂquelas sin distinciĂłn de cargo.
Junio, 2010 B:SECURE 13
ACCESO
MICROSOFT SE LANZA CONTRA EL “LAVADO” Y FRAUDE DE CLICS La empresa de software levantó dos demandas legales contra sitios web en Estados Unidos por supuesto fraude y lavado de clics
D
e acuerdo con medios estadunidenses el gigante del software Microsoft levantó dos demandas legales en Seattle contra sitios web por supuesto fraude de pago por clic y el también llamado “lavado de clics”. De acuerdo con la compañía en su blog de seguridad el fraude de clic ocurre cuando una persona o sistema imita los clics legítimos de los internautas sobre anuncios o publicidad en internet, con el propósito de generar estadísticas fraudulentas para las campañas de CPC (Costo por clic, en inglés). Por su parte el lavado de clics, es catalogado por Microsoft como una “técnica más avanzada diseñada para evadir los sistemas de detección de fraude de clics, al ocultar el origen de los clics falsos, del mismo modo que ocurre con el lavado de dinero en el mundo real”. Comúnmente el lavado de clics involucra el uso de códigos maliciosos, que modifican los resultados en las búsquedas de internet y direccionan a los usuarios a sitios web, en los cuales, sin saberlo, están generando clics en publicidad de otras páginas en internet. Estos dos fenómenos afectan los negocios de compañías como Google y Microsoft que patrocinan anuncios o pequeños textos con hipervínculos a publicidad de las compañías y que colocan en sus motores de búsqueda en línea. Google y Microsoft también comparten esta publicidad con otros 14
B:SECURE Junio, 2010
sitios web, y cada vez que un usuario le da clic a la publicidad, las compañías comparten un porcentaje de las ganancias, dependiendo del número de clics conseguidos. La demanda en sí, explica el sitio web SCMagazine, fue contra la pagina de internet de noticias y contenidos de ciencia y salud RedOrbit. com, su presidente, y otros sitios web, supuestamente son culpables de ejecutar un fraude de lavado de clics para obtener ingresos. De acuerdo con la compañía de software a mediados de 2009 RedOrbit comenzó a generar una gran cantidad de clics de procedencia dudosa, pues entre septiembre y diciembre de 2008 la empresa entregaba 75 clics por día y para los primeros meses del año pasado el sitio web contabilizaba más de 10,000 clics a los anuncios por día. “Al generar estos clic fraudulentos los acusados generaron una gran cantidad de tráfico que canalizaron a la red de anuncios de Microsoft, en busca de ganancias ilegales y a expensas de los anunciantes”, afirma Microsoft en su demanda. Sin embargo, voceros de RedOrbit aseguran que Microsoft ha cometido un error al acusarlos de una actividad fraudulenta sin fundamentos. Del mismo modo, que agregaron que la compañía de software jamás entregó dinero al sitio web por esos clics. Al momento Microsoft no ha solicitado ningún tipo de compensación por daños ni existe fecha para llevar el caso a la corte. ●
Registre su proyecto antes del 30 Agosto
y demuestre que su institución es una de las más innovadoras
El reconocimiento más importante a la Innovación en IT
Participe en la tercera edición de este importante estudio.* Registre su proyecto en www.innovadorassectorpublico.com ya que de otra forma no podremos considerarlo como candidato al listado. Fecha límite 30 de agosto 2010. La premiación se llevará a cabo en el Government Innovation Forum el 13 de octubre y los resultados se publicarán en la edición de octubre 2010 de InformationWeek México. *Su participación no tiene costo.
LA ENTREVISTA Hackear era como un videojuego para mí: Kevin Mitnick Kevin Mitnick, en algún momento uno de los hackers más famosos y perseguidos por autoridades internacionales como el FBI aseguró en su visita a México, que robar información no tiene nada que ver con saber de tecnología. Por Carlos Fernández de Lara
16 B:SECURE Junio, 2010
P
or años su nombre y hazañas rondaron los titulares de periódicos su fecha de nacimiento, 90% la escuela donde estudiaron y 92% su tey noticieros en todo el mundo, su vida ha impulsado la creación léfono personal o el de su hogar”, advierte. Mucha de esta información es paso inicial para el robo de identide libros, tesis universitarias e incluso se pensó en un película. Así, Kevin Mitnick, en uno momento uno de los hackers más búsque- dades, fraudes financieros o ataques de phishing. Sin embargo, el exdados del mundo visitó México, para compartir su visión de consultor en seguridad YO HACKEABA POR DIVERSIÓN, POR LA BÚSQUEDA con pasados de cibercriminal.
DEL CONOCIMIENTO. HOY, LAS TENDENCIAS DEL
La temperatura en el salón-bodega era insoHACKEO SON TOTALMENTE DISTINTAS. SOY DE LA portable. La falta de ventanas o grandes espaVIEJA GUARDÍA, LO HACIA MÁS POR EL RETO DE cios limitaban la ventilación del lugar, y aunque LOGRARLO, COMO UN VIDEOJUEGO la temperatura no pasaba de los 25 grados centígrados, para muchos de los asistentes el calor y hacker reconoce que la tecnología también está a disposición de los lo sofocado del lugar era reflejo de cuerpos derretidos, al menos en sudor.
Cuando el calor pasaba, la tranquilidad del momento se esfumaba con el movimiento de una mano o el sacudir del cuerpo, en busca de alejar a las cientos, “miles” decían algunos, de moscas que volaban dentro del auditorio. Y si bien, su naturaleza o mera existencia no era la de molestar, y aun así lograban el cometido de desesperar hasta al más paciente de los asistentes. Aún así, todos y cada uno de los visitantes. Ninguno cedió, pues para muchos la posibilidad de ver en persona a Kevin Mitnick, en su momento de los hackers más buscados y perseguidos por el FBI y las autoridades estadunidenses, era suficiente razón para soportar las inclemencias del lugar. Mitnick, de traje azul, refleja actualmente más la figura de un empresario, que la de un fugitivo (en su momento) o hacker culpado y sentenciado de haber robar propiedad intelectual y penetrado en los sistemas de compañías como Motorola, Nokia, Fujitsu, Pacific Bell, por sólo mencionar algunas. Una actividad que él mismo reconoció como un mero pasatiempo, un reto a sus habilidad y a sus conocimientos. Contrario a los industria actual del cibercrimen. “Yo lo hacía por diversión y entretenimiento, por la búsqueda de conocimiento. Hoy, las tendencias del hackeo son totalmente distintas: los que corrompen sistemas lo hacen en busca de información con valo. Yo soy de la vieja guardía, lo hacia más por el reto de lograrlo, como si fuera un videojuego para mi”, comparte Mitnick. La voz de Mitnick, hoy es la de un ejecutivo que domina los escenarios, a la prensa y las multitudes, y no la de un hacker arrestado que sirvió cinco años de prisión, cuatro de ellos previo al juicio, más 8 meses en aislamiento total. Durante su conferencia en el marco del c4expo Mitnick abordó lo que para él representa el arma más letal de todo aquel que desee vulnerar sistemas o infraestructura tecnológicas o ganar acceso a información o datos confidenciales; la ingeniera social. “¿Por qué la ingeniera social es la mejor arma de los hackers? Primero que nada, porque opera y funciona sobre cualquier plataforma o sistema operativo, porque no requieres acceder o quebrantar registros o firewalls y porque para ejecutarla no necesitas realmente muchos conocimiento de informática”, afirma. De esta forma, reconoció Mitnick, que muchas veces la cordialidad, amabilidad y el saber cómo pedir las cosas son elementos suficientes para obtener información o datos privados de las personas. “Se ha demostrado que a cambio de boletos o plumas gratis 100% de las personas son capaces de entregar sus nombres completos, 94% dan
criminales en busca de datos personales. “El primer paso de todo ataque de ingeniería social es ganarse la confianza de la víctima, posteriormente pueden utilizar esta confianza para instalar en los sistemas de cómputo elementos para completar el robo de información como troyanos o keyloggers”, comparte. Pero las palabras no dicen nada sin los actos y durante su presentación Mitnick realizó una demostración de dos intentos de hackeo y robo de información en tiempo real. Primero, como si se tratara de un curso de programación para principiantes, Mitnick logró instalar un troyano, a través de una vulnerabilidad en un archivo PDF de Adobe, que le otorgó acceso remoto al equipo infectado, el cual le permitió registrar las teclas, acceder al historial de navegación Web, hacer capturas de la pantalla o incluso encender o apagar la cámara web del equipo. En el segundo caso, mediante un PVX falso y un correo electrónico apócrifo, supuestamente proveniente de una institución financiera, el experto en seguridad IT ejecutó un ataque de Man in the middle, utilizado para el robo de cuentas bancarios o claves de acceso. “El problema son las personas. Porque se creen inmunes a todo, son extremadamente confiados, siempre buscan como ayudar al otro, incluso sin conocerlo, tienden a subvaluar la información y casi nunca piensan en las consecuencia de sus actos”. En otras palabras, la ingeniera social es la mejor arma del hacker, porque depende totalmente de las personas y su educación o políticas de seguridad.
EL FUTURO DEL HACKING Contrario a mejorar, ironiza Mitnick, la dependencia de la humanidad hacia la tecnología, el internet y los dispositivos electrónicos, únicamente traerán más complejidades y problemas a la operación de la sociedades modernas. “La complejidad trae consigo vulnerabilidades. Cuando me arrestaron estuve un año en confinamiento porque decían que con sólo silbar a un teléfono celular era capaz de lanzar un ataque nuclear. Eso es ficción, pero hoy en día personas malintencionadas pueden devastar la operación de un hospital mediante un ataque cibernético, y eso es totalmente real y posible”, reitera. Aún así, el mismo Mitnick afirma que estamos lejos de un mundo con ciberguerras o poblado de ciberterroritsas. “Bueno o malo, la realidad es que los grupos terroristas o militares todavía prefieren estrellar aviones contra edificios, colocar armas biológicas en una estación de metro o volar un auto en medio de Manhattan. Eso, causa más terror que vulnerar o tirar un sistema”, comenta. ● Junio, 2010 B:SECURE 17
REPORTE
DEL MES
EL CIBERCRIMEN APRUEBA EL SEMESTRE
De acuerdo al 8º del Informe de inteligencia sobre seguridad de Microsoft en la segunda mitad del 2009 se detectaron más de 126 millones de muestras de programas mal intencionados, casi 10% más que lo registrado a inicios de año
MÉXICO ANTE EL MALWARE
La información es poder, y quien entiende el pasado podrá prever el futuro. Si la premisa es correcta, en el mundo del cibercrimen, el robo
Tipos de códigos maliciosos en México
de información y los códigos maliciosos, el panorama no es nada alentador alrededor del planeta, de acuerdo al 8º del Informe de inteligencia sobre seguridad de Microsoft (SIR, por sus siglas en inglés).
Gusanos
31.4%
Troyanos misceláneos
El análisis liberado a finales de mayo aborda un escenario general del software malintencionado y potencialmente no deseado, las
16.5%
Troyanos de descarga
12.4%
vulnerabilidades de seguridad de software, las infracciones de seguridad y las vulnerabilidades tanto en el software de Microsoft como en el software de terceros, según refiere el texto, publicado en el sitio oficial de la compañía.
Software potencialmente no deseado
10.9%
Backdoors
8.9%
Herramientas de robo de claves o monitoreo
8.1%
De acuerdo con la información entregada por los expertos, tan sólo en los últimos seis meses del 2009 el Centro de protección contra el malware de Microsoft detectó más de 126 millones de muestras de códigos maliciosos.
Adware
7.1%
Virus
2.8%
Spywware
1.1%
Vulnerabilidades
0.7%
Estos cifra representa un crecimiento de 8.9% en comparación con la primera mitad del 2009, cuando la división de seguridad detectó poco más de 115 millones de muestras de malware.
FUENTE: 8º del Informe de inteligencia sobre seguridad de Microsoft
154% y pasar de poco más de 1.3 millones de registros en el primer semestre de 2009 a
De acuerdo al reporte las vulnerabilidades en sistemas operativos o aplicaciones se colocaron como el principal riesgo a la seguridad de usuarios y compañías, al crecer
más de 3.3 millones para la segunda mitad del año.
LOS MÁS BUSCADOS Categoría
Segunda mitad 2009
Primera mitad 2099
Diferencia
Virus
71.991.221
68.008.496
5,9% p
Diversos troyanos
26.881.574
23.474.539
14,5% p
Descargadores e instaladores de troyanos
9.107.556
6.251.286
45,7% p
Diverso software potencialmente no deseado
4.674.336
2.753.008
69,8% p
Adware
3.492.743
3.402.224
2,7% p
Vulnerabilidades de seguridad
3.341.427
1.311.250
154,8% p
Gusanos
3.006.966
2.707.560
11,1% p
Programas de interceptación de contraseñas y herramientas de supervisión
2.217.902
7.087.141
-68,7% q
Programas de puerta trasera
812.256
589.747
37,7% p
Spyware
678.273
269.556
151,6% p
126.204.254
115.854.807
8,9%
Total FUENTE: 8º del Informe de inteligencia sobre seguridad de Microsoft
18 B:SECURE Junio, 2010
Seguidos del spyware con más de 600,000 muestras, es decir 151% más, el software potencialmente no deseado con 69.8% y más de 4.6 millones de muestras, y los troyanos de descarga o instalación con 45.7% de crecimiento durante los últimos seis meses del 2009 y más de 9.1 millones de muestras en el periodo. Si bien, cita el SIR de Microsoft, los Virus informáticos únicamente alcanzaron un crecimiento de 5.9% son la categoría con el mayor número de muestras en el periodo con más de 71.9 millones. A pesar de ellos los expertos de la compañía señalan que esto no es indicio de una proliferación masivo de los virus. “El gran número de muestras de virus se debe al hecho de que los virus pueden infectar muchos archivos diferentes, cada uno de los cuales es una muestra única. Por este motivo, los recuentos de muestras para
LOS 15 CAMPEONES… DEL MALWARE País/Región
PC infectadas segunda mitad 2009
PC infectadas primera mitad 2009
Cambió semestral
Estados Unidos
15.383.476
13.971.056
10,1% p
China
3.333.368
2.799.456
19,1% p
Brasil
2.496.674
2.156.259
15,8% p
Reino Unido
2.016.132
2.043.431
-1,3% q
España
1.650.440
1.853.234
-10,9% q
Francia
1.538.749
1.703.225
-9,7% q
Corea
1.367.266
1.619.135
-15,6% q
Alemania
1.130.632
1.086.473
4,1% p
Canadá
967.381
942.826
2,6% p
Italia
954.617
1.192.867
-20,0% q
México
915.786
957.697
-4,4% q
Turquía
857.463
1.161.133
-26,2% q
Rusia
677.601
581.601
16,5% p
Taiwán
628.202
781.214
-19,6% q
Japón
609.066
553.417
10,1% p
41.024.375
39.328.515
4,3% p
En todo el mundo
FUENTE: 8º del Informe de inteligencia sobre seguridad de Microsoft
Además de los códigos maliciosos, el documento de Microsoft alerta que una de los categorías de infección más comunes durante el periodo fue el rogueware o scareware, un tipo de fraude, que busca asustar a los usuarios con ventanas falsas de que su equipos han sido infectados y los obliga a instalar un software de seguridad, que en realidad es un programa maliciosos como un troyano. “En el periodo los productos de seguridad de Microsoft limpiaron más de 7.8 millones de equipos con rogueware, en comparación con los 5.3 millones de equipos del primer semestre. Un aumento del 46,5%, lo que indica que el software de seguridad falso ofrece
Los “Padrinos del spam” Una cuantas botnets están detrás de la distribución del spam en todo el mundo Donbot Grum Lethic
Cutwail
1.6%
El resto
2.5%
1.8%
6.7%
8.6%
El 8º SIR de Microsoft también entrega una fotografía de los países más afectados por temas de seguridad, cibercrimen o programas malintencionados. La nación con el mayor número de equipos infectados y limpiados por Microsoft en el periodo fue de 15.3 millones de computadoras, 10% más que las PC desinfectadas en la primera mitad del año. Sin embargo, China y Brasil fueron los países más afectados, durante el segundo semestre de 2009, al incrementar sus porcentajes de máquinas infectadas 19.1 y 15.8%, para colocarse en segundo y tercer lugar del mundo, respectivamente.
México por su parte terminó en la onceava posición con más de 915,786 computadoras infectadas. Sin embargo, la cifra es 4.4% menor a los datos registrados
Rustock
39.7%
Los tipos de programas maliciosos más comunes en México fueron los gusanos, al representar 31.4% de todo el malware en el país, seguidos de los troyanos comunes (16.5%) y los troyanos de descarga con 12.4%.
MÁS CONECTADOS, MÁS INFECTADOS Los datos del 8º SIR afirman que los equipos conectados a dominios empresariales son más propensos a ser infectados por troyanos de descarga automática, redes bot y gusanos, principalmente por sus mecanismos de propagación. “Normalmente, los gusanos se extienden de forma más eficaz a través de archivos compartidos no seguros y dispositivos de almacenamiento extraíbles, que suelen estar muy presentes en entornos empresariales y son menos habituales en los hogares”, cita el documento de Microsoft. Por su parte, riesgos como el scareware, el adware y los troyanos de diversos tipo son más comunes en los hogares o usuarios caseros. A pesar del riesgo en los ambientes empresariales, la capacitación o políticas de seguridad han comenzado a dar resultados en el manejo y cuidado de la seguridad, pues a principios de 2008 las compañías enfrentaban un promedio de más de 110 incidentes por robo de equipos de cómputo. Para la segunda mitad del 2009, el SIR de Microsoft registró menos de 35 incidentes relacionados al robo de PC, 22 incidentes a pérdidas de computadoras y 33 incidentes en promedio relacionados a ataques cibernéticos o códigos maliciosos.
10.4%
Bagle-cb
MÉXICO DE LOS 11 MEJORES… EN SISTEMAS INFECTADOS
en la primera mitad del año pasado.
virus no deberían entenderse como un indicador de grandes cantidades de variantes reales de estas familias”, cita el documento.
DarkMailer
a sus distribuidores mayores beneficios respecto a otras amenazas”, cita el reporte.
28.6%
FUENTE: 8º del Informe de inteligencia sobre seguridad de Microsoft
“Existe una clara tendencia a la baja en el número total de incidentes de cada categoría a excepción de los ataques de malware, que permanecen igual. Sin embargo, aunque muchos relacionen los errores de seguridad con hackers, que buscan y obtienen acceso no autorizado a información confidencial, estos incidentes han sido superados por temas de negligencias y falta de políticas como equipos robados, perdidos, divulgación accidental de datos o eliminación incorrecta de equipos y documentos”, subraya el texto. ●
Junio, 2010 B:SECURE 19
for
BUSINESS PEOPLE
LA FUNCIÓN DE Por Adrián Palma Tercera de cuatro partes
C
ontinuando con las entregas de este artículo proseguiremos hablando un poco de un tema fundamental en el establecimiento de la función de seguridad, que es el análisis de riesgos (Tema ampliamente tratado en anteriores artículos) el concepto de riesgo se define a menudo usando muchos ejemplos de diferentes tipos y formas. Algunos de los términos empleados para describir los riesgos que enfrentan las organizaciones hoy en día incluyen el riesgo comercial, riesgo financiero, riesgo político, riesgo geopolítico y el riesgo de tecnología. Comprender los diferentes elementos de riesgo que afectan a su organización puede ser una poderosa herramienta para la creación de apoyo para el programa de seguridad de su organización. Comprender la naturaleza de estos riesgos y ser capaz de comunicar sus posibles repercusiones para la operación de la organización puede ser una herramienta muy útil para alcanzar el interés de la organización en los apoyos del programa de seguridad de la información que su vez, como hemos comentado anteriormente, es la base para la implementación de la función de seguridad.
ENTENDIENDO LOS DIFERENCIADORES DE LA ORGANIZACIÓN Los diferenciadores son algunos aspectos de la organización que causan que dicha organización tenga éxito frente a sus competidores, por ejemplo, mejores productos y servicios, precios más bajos, una entrega más rápida, mejor servicio al cliente etc. Estas son todas las cosas que hacen que una organización destaque de otra. En consecuencia, estos elementos deben ser protegidos porque están directa o indirectamente relacionados en la generación de ingresos. El concepto principal es que los requerimientos y necesidades de la organización conducen a desarrollar programas de seguridad no viceversa como comúnmente pasa. Para planear con eficacia su programa de la seguridad de información, identifique los diferenciadores de la organización y evalúe los controles de seguridad de la información que existen porque estos podrían tener un impacto negativo en dichos diferenciadores. Un ejemplo rápido es el siguiente: Una organización en México está en el negocio de marketing directo por envío masivo de e-mail, y deriva sus ingresos de la habilidad para diseñar y ejecutar campañas directas de marketing para individuos. El diferenciador más crítico de la organización es cómo procesa efectivamente las respuestas de e-mail desde sus varias campañas de marketing. Obviamente de este hecho, el nuevo oficial de seguridad de la información decide que ellos necesitan un sistema de filtrado de e-mail para reducir el volumen de spam entrante que sus empleados están recibiendo en sus computadoras. Él, investiga varias opciones, selecciona una de las más robusta disponibles que tienen la ingeniería para desviar todos los mail entrantes de los empleados, que pasan a través de él –incluyendo los e-mail de respuestas de las campañas directa de marketing. Por no entender el principal Segunda dediferenciador 2 partes 20 B:SECURE
Junio, 2010
¿EL PRIMER
de dicha organización, el oficial de seguridad de la información administró y causó un impacto negativo a un área crítica para la misión del negocio, y se ganó una desacreditación monumental para él como individuo y para la seguridad de la información. Este fue un ejemplo extremo, pero está claro que esos factores que fueron tomados en consideración cuando se determinó el uso de un filtro de spam entrante estuvieron incompletos. Esto error fue compuesto por el hecho de que se introdujo sobre un aspecto de ventaja competitiva de la empresa. Aunque la iniciativa redujo el riesgo, ésta sacrificó el principal componente del negocio.
ENTENDIMIENTO DE MARCOS REGULATORIOS Y AMBIENTE LEGAL Es esencial que usted obtenga una comprensión sólida de las leyes nacionales e internacionales que afectan a su organización. Además los grupos industriales, asociaciones de comercio y entidades gubernamentales tienen requerimientos regulatorios que su organización debe seguir para operar en una industria dada. Las leyes y las regulaciones de la industria son a menudo obligatorias y son los drivers, en muchas ocasiones, para justificar e implementar los programas de seguridad de la información. Como tal, dichas leyes y marcos regulatorios pueden ser eficaces y utilizarse para solicitar apoyo para el programa. El mejor recurso para obtener información acerca de las leyes y reglamentos que hacen frente a su organización es un abogado especialista en aspectos de tecnología, y consultores expertos en seguridad de la información. Estos requisitos se convierten en factores importantes en el desarrollo de su programa de la seguridad de información.
ENTENDIENDO SU ESTRUCTURA ORGÁNICA El paso es obtener una copia del organigrama de toda la organización. Una revisión del organigrama puede generar una gran cantidad de información relevante sin mucho trabajo de su parte. ¿Qué se puede aprender de un organigrama? , ¿La organización cuenta con un organigrama real y vigente? Una organización que no ha podido documentar las funciones y responsabilidades de su administración y del personal no puede tener el control de la infraestructura necesaria, para apoyar un programa efectivo de seguridad de la información. Esto sería análogo a un entrenador de fútbol colocando jugadores en el campo sin asignar posiciones o informar a los jugadores de sus funciones. En segundo lugar, ¿es lo más preciso y actual el organigrama? Una organización que falla en mantener actualizado y vigente un organigrama puede no acentuar el mantenimiento de un sólido conjunto de controles internos y por lo tanto, puede ser una organización difícil para construir un programa eficaz de seguridad de la información. En tercer lugar, el organigrama es una excelente referencia para la identificación de los actores clave en la organización, sus funciones, responsabilidades y las áreas que pueden ejercer algún control o influencia dentro de la organización. Uno siempre
SEGURIDAD
R PASO A SEGUIR? quiere estar preparado para hablar de los objetivos de seguridad a la audiencia objetivo, hacerlo con audiencias equivocadas puede resultar fatal en el proceso de desarrollo del programa de seguridad. Por último, revisar la estructura de la propia organización. Identificando si existen las siguientes áreas - operaciones, tecnología de la información (TI), comerciales, ventas, administración, finanzas, auditoría interna, control interno, marketing, además de saber si la organización es centralizada o descentralizada. El diseño funcional de la organización va a variar en función de la naturaleza de la organización. El mejor lugar para comenzar es la de comparar y contrastar la estructura de las organizaciones en la que uno ha estado. ¿Qué funcionó? ¿Qué no funcionó? Obviamente, esta tarea será más fácil si usted ha trabajado en una organización similar a la actual. Si no, hay que aplicar lo que considera mejor, recordemos que lo que estamos tratando de hacer es identificar oportunidades potenciales, fortalezas, debilidades o los obstáculos. Por ejemplo, después de revisar el organigrama de una empresa de desarrollo de software comercial usted se da cuenta de que no tiene un departamento separado de aseguramiento de la calidad (QA)/pruebas. En vez de eso, usted encuentra que el departamento de QA/pruebas reporta directamente al subdirector de desarrollo de software. Mirando hacia atrás en su propia experiencia, usted recuerda haber trabajado en varios ambientes de desarrollo de software, y se da cuenta que esta estructura organizacional no es consistente con los principios de desarrollo de software estándar y de las buenas practicas, es obvio que existe un inherente conflicto de intereses. Este conflicto de intereses podría impactar negativamente la habilidad para implementar efectivamente un programa de seguridad de la información. Puesto que de este conflicto organizacional, podría ser que el departamento de QA/pruebas pueda de alguna manera estar influenciado para pasar o certificar software sin una prueba adecuada. El objetivo aquí es identificar áreas potenciales dentro de la organización, que pudiera impactar su habilidad para implementar un efectivo programa de seguridad de la información. Otra cosa a considerar es a dónde usted reportará su programa de seguridad de la información. ¿Usted y su programa reportarán a la cabeza de IT, a su oficina de administración del riesgo, al departamento legal, a seguridad corporativa, o a la administración del negocio? Aunque tiene sentido de negocio para las oficinas de seguridad de la información reportar a niveles de alta dirección, usted puede muy bien tener una situación diferente.
ENTENDIENDO UNA ORGANIZACIÓN DINÁMICA Mucha gente confunde las estructuras organizacionales y la dinámica organizacional. La estructura de una organización es importante, y puede decirle bastante acerca de cuánto apoyo puede esperar para su programa. Como un
resultado, se debe de tomar el tiempo para revisar la estructura organizacional e identificar áreas y gente que puedan directamente apoyar y ayudar en el desarrollo del programa. La dinámica organizacional, por otro lado, incluye aquellas cosas, no suficientemente obvias, que pueden tener un impacto significativo en el programa de seguridad de la información. Después de revisar el organigrama de su organización, el paso siguiente es el de buscar e identificar fuera de la estructura organizacional existente personas que indirectamente puedan ayudar o entorpecer el programa de seguridad. Hay tres tipos de gente que jugarán un rol significativo en el desarrollo del programa: tomadores de decisiones, campeones y obstructores Tomadores de decisiones: Estos son gente que puede apoyar directamente su programa a través de su autoridad o responsabilidad. Esta gente es típicamente encontrada en el nivel ejecutivo, y puede fácilmente ser detectados revisando el organigrama de la organización. Influenciadores: algunas veces, usted puede encontrar a individuos quienes pueden no necesariamente ser tomadores de decisiones, pero que pueden tener la habilidad para influenciar indirectamente los resultados de su programa en cualquiera de las dos formas: a través de su apoyo o de su resistencia. Esta gente puede impactar su programa a través de sus relaciones con los tomadores de decisiones, expertos en la materia, control de recursos, o reputación en la industria. Hay dos principales tipos de influenciadores: Campeones: Los campeones son frecuentemente asistentes ejecutivos, arquitectos de sistemas, consejeros legales, auditores internos, administradores, y alguna que otra persona que pudiera tener un interés personal en el éxito del programa. Los campeones pueden apoyar en la implementación del programa permitiendo el acceso a la gente, recursos e información necesarios y pueden ayudar a vender sus ideas a los responsables de tomar decisiones clave. Obstaculizadores: por otra parte, los obstaculizadores se pueden encontrar típicamente donde se supone que ocurren los proyectos e iniciativas pero no consistentemente. Pensamos sobre ellos como los defensores del status quo. Los obstaculizadores tienden a poseer una significante cantidad de inseguridad profesional o personal, un poco de flojera, y son fácilmente amenazados por el cambio. Debido a que los cambios de cualquier clase representan una amenaza a los obstaculizadores, a menudo hacen lo posible para resistirse o para obstruir la implementación de su programa de seguridad de la información. Identifique a los obstaculizadores en su organización y evítelos a cualquier costo. Recuerde nada es más reconfortante que ver a alguien que dice que no se puede hacer, siendo interrumpido por alguien que en ese momento lo está haciendo. ● Continuará……………….
Adrián Palma es licenciado en Informática cuenta con más de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integrida-
ta, tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, y de la maestría de seguridad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Junio, 2010
B:SECURE 21
´ OPINION SEGURIDAD EN SISTEMAS MOVILES Por Daniel Molina
R
ecuerdo que hace 5 años, cuando presente la aparentemente loca idea de seguridad para sistemas móviles durante una conferencia de prensa en México, me vieron como si estuviese pronosticando el fin del mundo. El mayor riesgo en ese entonces, me dijeron, era que alguien te robara el dispositivo durante un asalto. Los pocos datos en el teléfono no llegaban al nivel de un riesgo corporativo, pero el valor del dispositivo era realmente un peligro a nivel personal, al igual que tener un buen reloj al caminar sobre Reforma. Según Park Associates, (http://parksassociates.ecnext.com/coms2/ summary_0256-11343_ITM) la demanda para smartphones ascenderá a mas de 1,000 millones mundialmente para el 2014, un crecimiento de mas de 400%. De la misma manera, las amenazas contra dispositivos móviles van creciendo. Según McAfee y Kaspersky Lab, hoy en día hay más de 1,500 diferentes amenazas creadas específicamente contra sistemas móviles. El crecimiento en amenazas móviles es aun mas rápido que el crecimiento exponencial que estas empresas ven en sistemas de computo. Y tiene sentido… Si los hackers saben que no hay cultura de seguridad en dispositivos móviles, los cuales tienen datos altamente codiciados, se vuelven un blanco fácil, redituando el esfuerzo de los hackers. Los primeros virus que se desarrollaron para dispositivos móviles salieron en 1995, y eran más que nada, pruebas de concepto, que comprobaron que se podía instalar el virus via remota en un dispositivo móvil. En ese entonces, se enviaba a través de SMS. Ahora, con teléfonos altamente inteligentes, los cuales están conectados 24x7 a internet, con sistemas operativos complejos, como iPhones, Blackberries, Android, y Windows Mobile, los internautas mexicanos no solo tienen acceso a datos en el centro de computo, como su correo electrónico, sino que también tienen acceso a datos en la nube, como Salesforce.com, y a redes sociales como Facebook y Twitter. La realidad es que la mayoría de las empresas hoy en día tienen una gran cantidad de datos que ya no están en el centro de cómputo, ni bajo
el control de IT; los ejecutivos y otros funcionarios han pedido, y han obtenido, un nivel de movilidad que no existía hace cinco años. La fuerza de ventas ya no tiene que estar en la oficina. Son mucho más valiosos enfrente de sus clientes. La decisión de qué teléfonos van a tener apoyo oficial de IT es ahora similar a la decisión sobre tener Dell o Lenovo para laptops. En la actualidad IT necesita crear un ecosistema para dar apoyo completo a los sistemas móviles de la empresa, y necesita verificar que estos dispositivos estén actualizados mensualmente, con protección contra malware, al igual que lo tienen que hacer con laptops, servidores, y otros dispositivos de misión crítica para la organización. Uno de los problemas que tiene IT en dar apoyo a teléfonos móviles es la rapidez con que estos sistemas cambian. En un mundo de los consumidores, se puede cambiar de teléfono cada año, con pocos problemas. En el mundo corporativo, en que los dispositivos se deprecian a 24 o 36 meses, hay que tomar esta cultura en cuenta, y ver como la gente de negocio puede obtener lo que necesita, sin causar problemas para IT. Del mismo modo, que el modelo “el que llama paga” cambió el panorama de telefonía móvil en México, los nuevos planes de datos, que finalmente son alcanzables, y que los equipos han bajado de precio, han comenzado a cambiar la realidad de los funcionarios mexicanos de una manera increíble. Uno ya puede contestar correos o “twittear” desde el Periférico, o desde el Circuito Interior (aunque no se sugiere hacerlo al manejar), tan fácil como lo hacen desde Chapultepec, o desde el baño. Pronto, veremos que Telcel y Movistar tendrán que ofrecer planes similares a lo que ahora tiene AT&T en EEUU http://www.att.com/shop/wireless/plans/data-plans.jsp ) Ahora con la portabilidad numérica que está disponible en México, un empleado puede mantener su número de teléfono móvil sin importar si cambia de empresa, por lo cual sugiero que, al igual que los sistemas de computo como laptops, estos teléfonos se vuelvan un dispositivo corporativo, administrado por IT, con un plan corporativo para datos y llamadas, que permite obtener ahorros por servicios comprados en mayoreo. De esa manera, IT puede estandarizar los dispositivos que ofrecen a sus clientes internos. ●
Daniel Molina es CISSP y líder de pensamiento en la arena de seguridad informática. Actualmente se desempeña como Gerente de Field Marketing para las Américas de Kaspersky Lab. Puede ser contactado a través de Daniel.Molina@kaspersky.com
22 B:SECURE Junio, 2010
ÁREARESTRINGIDA ATAQUES A ARCHIVOS PDF Por Roberto Gómez Cárdenas
D
e acuerdo a Bruce Schneier, Only amateurs attack machines; professionals target people. Tomando esto en cuenta los ataques al perímetro de una organización empiezan a carecer de interés para algunos atacantes y dirigen sus esfuerzos hacia los usuarios finales. La mira esta puesta en los aplicativos que los usuarios tienen instalados en sus computadoras. En el último año se han desatado una serie de ataques contra aplicativos de Adobe, en particular lectores de archivos PDF y de flash. Los archivos PDF (Portable Document Format) son descendientes de los postcript, cuya terminación era .ps o .eps. El concepto detrás de este tipo de archivos se conoce como WYSIWYG (What You See Is What You Get). La idea es que un documento se vea de la misma forma en cualquier sistema en el que este sea accedido. Al igual que diferentes tecnologías computacionales, surge de Xerox en Palo Alto. Es importante tomar en cuenta que se trata de un lenguaje que describe un documento, el cual es sensible a minúsculas y mayúsculas. Para poder acceder a un documento PDF se requiere de un lector, siendo el Adobe Reader el más utilizado, aunque no el único. El formato fue creado en 1993 y a partir del 2007 es el estándar ISO 32000. Los elementos principales de un documento PDF son el encabezado y los objetos. El encabezado contiene un número mágico, que identifica el archivo como un documento PDF. Los objetos pueden contener catálogos, diccionarios o hacer referencia a un flujo de información. Un ejemplo de objeto se presenta a continuación. 1 0 obj << /Type /Catalog /Outlines 2 0 R /Pages 3 0 R >> endobj El formato PDF permite añadir código JavaScript y ejecutarlo. El lenguaje soporta la asociación de acciones con eventos. Por ejemplo es posible llevar a cabo una acción cuando una determinada página del documento es vista. También es posible implementar marcas de agua, formatos de verificación y acceso a páginas web. El siguiente código permite acceder a la página de Google. 7 0 obj << /Type /Action /S /URI /URI (http://www.google.com) >> endobj
Una acción interesante es aquella asociada con la apertura de un documento. Se puede ejecutar una acción cuando se abra un documento, sin que se requiera interacción por parte del usuario. Sin embargo la máquina de JavaScript es limitada y su interacción con el sistema operativo es mínima. Cuenta con un sandbox que impide que los programas ejecutados accedan a recursos fuera del documento. Por ejemplo, un programa no puede leer archivos si es ejecutado dentro del documento PDF. Los documentos PDF maliciosos se aprovechan de vulnerabilidades para ejecutar código que no esté limitado por la máquina JavaScript. El método JavaScript util.printf del Adobe Reader 8.1.2 sobre Windows XP SP2, presenta una vulnerabilidad de buffer overflow. Dada una secuencia específica, la función permite que el hilo de ejecución se transfiera a una determinada dirección (0x30303030). Sin embargo, el JavaScript dentro de un documento PDF no permite escribir en memoria principal de forma directa, pero a través de una técnica de heap spraying, y el uso de operandos NOP, es posible colocar el código a ejecutar en la dirección requerida. El shellcode a ejecutar se puede bajar de la red o se puede encontrar embebido dentro del documento PDF. Una forma de aprovechar esta vulnerabilidad es construir un documento que contenga un formulario con código JavaScript. El código lleva a cabo un overflow en la llamada a la función util.printf() lo que permite ligar una instancia del intérprete de comandos de Windows a un determinado puerto, para que el atacante se conecte de forma remota y ejecute comandos en la máquina de la víctima. La vulnerabilidad ya no se encuentra presente en las versiones mayores a 8.1.2 de Adobe Reader. Sin embargo, en marzo del 2010 Didier Stevens presentó un documento PDF que cuenta con un ejecutable que se puede lanzar sin necesidad de contar con una vulnerabilidad. Al abrir el documento se ejecuta el código (un intérprete de comandos). En el caso de Adoba Reader se le pide una autorización al usuario para ejecutar dicho código, mientras que en otros lectores (i.e. Foxit Reader) ninguna autorización es requerida. En el caso de Adobe Reader es posible controlar parcialmente el mensaje de autorización desplegado. Usando alguna técnica de ingeniería social se puede convencer al usuario que dé su autorización de ejecutar el código que se encuentra dentro del documento PDF. El uso de antivirus, firewalls personales puede prevenir lo anterior, pero lo más importante es que los usuarios finales estén conscientes de este tipo de peligro. Por otro lado se aconseja que los usuarios no cuenten con privilegios de administradores locales, ya que los programas se copian a la carpeta de SYSTEM32 y sin privilegios el shellcode no podrá escribirse en dicha carpeta. En caso de que sea necesario el correr con privilegios de administrador local es recomendable el restringir el ámbito de acción del lector. Esto se puede lograr con el uso de tokens restrictivos. Los ataques a los aplicativos irán en incremento. Es necesario tomar precauciones a este respecto, siendo la concientización la más importante. ● Junio, 2010 B:SECURE 23
´ OPINION ASOCIARSE A LA COMUNIDAD DE EDUCACIÓN EN SEGURIDAD Por Matt Bishop y Deborah A. Frincke
E
l entusiasmo, la exploración, montones de equipos físicos que van evolucionando, y un fuerte sentido de misión siempre eran los principios incondicionales durante la época de los primeros pioneros de la educación en la seguridad, y aunque estos principios todavía constituyen el núcleo de este campo, van saliendo otras características a la medida que el paisaje de la profesión se pone más y más ordenado. Una tendencia emergente radica en el desarrollo del programa de estudios. El abordamiento caleidoscópico de alcanzar la excelencia del programa de estudios, principalmente a base de los recursos y las ideas locales cede el paso a un abordamiento de actitud abierta que incorpora la experiencia comunitaria creciente, con el fin de integrar de forma armoniosa los resultados anticipados de estudiantes, los talentos del profesorado, y los estilos pedagógicos como armazón que sostiene un plan académico más coherente. Los departamentos académicos en el futuro estudiarán la evolución nacional de la educación y la capacitación en la seguridad y la privacidad, y cómo afecta la variedad de opciones para la educación y la capacitación; también hablaremos de las sedes universitarias que ofrecen tales programas académicos. Empecemos con un análisis desde lo alto de los foros comunitarios para las reuniones dentro de la comunidad de educación y de privacidad y sus partidarios y fuera de la misma.
COOPERACIÓN Y COLABORACIÓN: PALABRAS DE CONSIGNA La educación en seguridad y privacidad siempre ha sido impulsada por más que un espíritu de curiosidad intelectual, la creatividad, y el deseo de sostener el empeño humano, aunque ciertamente estos elementos todavía están presentes en gran medida. La dependencia creciente de la sociedad de las comunicaciones basadas en las computadoras, sus infraestructuras y sus sistemas exige que sea imperativo entender los factores de riesgo, que aprendamos lo que verdaderamente significa “asegurar” los aparatos con que contamos, y que pesemos, después de pensarlo bien, las ventajas tecnológicas relativas de la protección, el rendimiento, y aquellas nuevas características tan fabulosas, contra las decisiones sobre el efecto que tendrán estas implementaciones sobre nuestras libertades y privacidad personales. Ningún aspecto de la sociedad puede ofrecer todas las contestaciones, pero, afortunadamente, varios grupos han surgido para apoyar la necesidad pragmática de compartir materiales y conocimientos especializados.
COLOQUIO SOBRE LA EDUCACIÓN EN LA SEGURIDAD DE SISTEMAS INFORMÁTICOS Un lugar donde es posible buscar contestaciones a la pregunta de “Me 24 B:SECURE Junio, 2010
pregunto cómo lo hacen los demás” es el Coloquio sobre la Educación en la Seguridad de Sistemas Informáticos (www.ncisse.org) (conocido en inglés por sus siglas “CISSE”). El método principal a que recurre el Coloquio CISSE es de guiar y apoyar la educación en seguridad por medio de una conferencia que se celebra cada año, patrocinada una entidad del mundo académico, el sector industrial, o el gobierno. Los antiguos patrocinadores han incluido el poder ejecutivo del gobierno de los Estados Unidos, la Agencia de Seguridad Estadounidense, la Academia Militar de los Estados Unidos en West Point, las empresas Microsoft e IBM, las Universidades James Madison y George Mason. Sus metas se fundan ahora en el reconocimiento de que Estados Unidos requiere “una mano de obra instruida en la informática que se da cuenta de sus puntos vulnerables”, así como la educación de la próxima generación. “El valor del Coloquio proviene de la creación de una red de contactos académicos para desarrollar y compartir programas informáticos inventados, específicamente para la pedagogía, el valor potencial de becas otorgadas para la investigación y los proyectos académicos, y el beneficio de sostener un centro de intercambio sobre las cuestiones académicas de la actualidad,” dijo Allan Berg, tesorero y director de secretaría del CISSE. Fundado en 1997, el Coloquio CISSE reúne a los líderes destacados del mundo académico, del gobierno, y del sector industrial para dar apoyo a las cuestiones de la educación en la seguridad de sistemas informáticos. Las cuestiones que se plantearon en el período más temprano siguen siendo las mismas cuestiones de hoy, aunque ahora las contestaciones incluyen más ejemplos “a base de experiencia práctica”: UÊÊ·+ÕjÊ >ÌiÀ >ÃÊ«iÀÌi iVi Êi ÊÀi> `>`Êi ÊÕ Ê«À }À> >Ê>V>`j V Ê de estudios en la seguridad? UÊÊ·+Õ j iÃÊÃ Ê >ÃÊ«>ÀÌiÃÊ ÌiÀiÃ>`>ö UÊÊ· Ê«Õi`iÊÕ Ê«À vià À>` Ê>`µÕ À ÀÊV V i Ì ÃÊiëiV > â>` ÃÊ en un campo de cambios tan acelerados? UÊÊ· ÊÃiÊ«Õi`iÊ>ÌÀ>iÀÊ>Ê ÃÊiÃÌÕ` > ÌiÃÊ>ÊiÃÌiÊV> « Ê`iÊiÃÌÕ` ö UÊÊ· Ê `iLiÊ >Ê V Õ `>`Ê Ìi Ì>ÀÊ i iÀViÀÊ >Ê v Õi V >Ê Ã LÀiÊ ÃÊ asuntos prioritarios nacionales con el objetivo de apoyar de mejor forma la educación en la seguridad? Las conversaciones en las reuniones recientes recalcan los métodos para realizar las metas pedagógicas y se enfocan en el número creciente de centros de excelencia en la educación en el aseguramiento informático. Los participantes de forma periódica hablan del desarrollo de planes de estudios y programas en el mundo académico—así como las metas deseables—para las nuevas políticas gubernamentales. Un elemento de reciente incorporación al orden del día a estilo de conferencia típica es un campamento de capacitación con orientación práctica
para el profesorado, el cual consiste en un cursillo intensivo y concentrado que se celebra justamente antes del inicio de la conferencia general. Este campamento ofrece contenido sobre la informática, así como técnicas pedagógicas sobre temas concretos.
GRUPO DE TRABAJO SOBRE LA EDUCACIÓN EN SEGURIDAD INFORMÁTICA DE LA FEDERACIÓN INTERNACIONAL DEL PROCESAMIENTO INFORMÁTICO [IFIP WISE] Otro foro para guiar la educación y la capacitación en seguridad informática es el Grupo de Trabajo 11.8 sobre la Educación en Seguridad Informática (conocido por sus siglas en inglés como “WISE”) de la Federación Internacional del Procesamiento Informático (IFIP). Fundado en 1991 como centro internacional de recursos para el intercambio de información sobre la educación y la capacitación en seguridad informática, el objetivo de WISE, de acuerdo a Helen Armstrong, profesora adjunta a la cátedra de la Facultad de Sistemas Informáticos en la Escuela de Comercio Curtin en Perth, Australia, es el de “promover la educación y la capacitación en seguridad informática a nivel universitario en el mundo académico, el gobierno y el sector de privado.” El sitio de web de WISE (www.fis.mephi.edu/wise4) incluye datos sobre inscripción para la próxima reunión, así como una convocatoria para presentar ponencias.
TALLERES SOBRE LA EDUCACIÓN EN LA SEGURIDAD DE COMPUTACIÓN Dirigido por Cynthia Irvine del profesorado de seguridad en computación y en redes informáticas de la Escuela Naval de Estudios Posgraduados en Monterey, California, el Taller sobre la Educación en Seguridad de Computación (WECS) fue uno de los primeros grupos que se reunían formalmente en forma organizada para los pedagogos en seguridad. Igual que las primeras reuniones del Coloquio Nacional para la Educación en Seguridad de Sistemas Informáticos (NISSCE)/CISSE, en el primer taller de WECS que se celebró en Monterey, California, en 1997, se llevaron a cabo conversaciones formales, juntas con las conversaciones informales que anticipaban la aparición de programas modernos de la Fundación Nacional de Ciencias (NSF) para fomentar el desarrollo del profesorado especializado en seguridad; juegos públicos de guerra cibernética para fines pedagógicos, los principios sobre los cuales se fundaron los centros nacionales de excelencia; y el Cuerpo Cibernético (el llamado “Cyber Corps” en inglés), el cual capacita a los expertos en seguridad en computación para formar la primera línea de defensa contra las amenazas cibernéticas a nivel internacional. El taller WECS sigue siendo un foro de alto valor para el intercambio de información entre los principiantes y los pedagogos con larga experiencia en seguridad. Intencionadamente se pone límite sobre el número de concurrentes que pueden asistir a las reuniones—alrededor de algunas docenas de personas—pero el número más reducido de asistentes no reduce de forma importante la amplitud de puntos de vista. Al intentar alcanzar un equilibrio entre los expertos, los principiantes, y los
nuevos graduados del WECS, y en busca de representación de las varias sedes universitarias, las reuniones proporcionan un equilibrio justo entre la novedad y la experiencia. Aunque las reuniones del WECS abordan amplios temas de alcance nacional, tienen el objetivo principal de recalcar el desarrollo práctico de programas y de planes académicos para uso inmediato en la sala de clases. Hay sesiones de estudio independiente, con enfoque práctico con el fin de permitir conversaciones enfocadas sobre cierta capacidad clave que puede ser difícil de aprender por cuenta propia para los pedagogos nuevos.
CENTROS DE EXCELENCIA ACADÉMICA Ninguna conversación sobre la comunidad de pedagogos en seguridad estaría completa sin la mención de los Centros Nacionales de Excelencia. En noviembre de 1998, la Agencia Nacional de Seguridad (conocida como l “NSA”) estableció los Centros de Excelencia Académica en la Educación en el Aseguramiento Informático (conocidos como CAEIAE o CAE). En su principio, el programa fue impulsado principalmente por la Directiva de Resolución Presidencial Nº 63 de Política sobre la Protección de Infraestructuras Críticas, promulgada en mayo 1998 por la administración del Presidente Clinton. Este año, el Departamento Estadounidense de la Seguridad de la Patria y la NSA se pusieron de acuerdo para copatrocinar el programa y han cambiado su denominación para destacar su amplio alcance nacional, al dar al programa la nueva denominación de Centros Nacionales de Excelencia Académica de Educación en el Aseguramiento Informático (www.nsa.gov/ia/academia/acade00001.cfm). Esta nueva denominación está vinculada a la Estrategia Nacional de Estados Unidos para Asegurar el Ciberespacio. Aunque no es posible aquí, por motivos de espacio, entablar una conversación extendida sobre el programa de los Centros CAE, el número creciente y el nivel aumentado de sofisticación de los centros—y cómo se relacionan entre sí—son factores claves detrás de la forma en la cual se imparte la educación en la seguridad en los Estados Unidos de hoy en día y merece una columna por cuenta propia. Podría decirse que la educación en seguridad ha salido de su etapa inicial y la próxima pregunta planteada ante nosotros ahora es ¿qué pasará después? ¿Cómo se puede equilibrar la educación y la capacitación? ¿Qué influencia deben ejercer los pedagogos sobre la legislación nacional e internacional, y viceversa? ¿Cómo podemos, como comunidad, apoyar el aprendizaje a lo largo de la vida? ¿Qué pasa con respecto a la necesidad de aprender rápidamente destrezas que son complejas y de corta vida útil y de diseminar principios subyacentes claves? Todavía queda mucho por hacer y la educación en la seguridad y la privacidad seguirá siendo un campo de estudios fascinantes y de grandes cambios por muchos años más. Una cosa no deja de ser muy clara: la pedagogía y la práctica de seguridad y privacidad constituyen una empresa colaboradora que exige la asociación y el intercambio estrecho entre el mundo académico, el gobierno, y el sector industrial. De igual necesidad es la participación informada de los ciudadanos, quienes tendrán que sobrevivir con las respuestas que les sean entregadas. ●
Matt Bishop es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y profesor de ciencia informática en la Universidad de California, Davis. Para comunicarse con él, diríjase al bishop@cs.ucdavis.edu
Deborah A. Frincke es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y científica principal del grupo de Seguridad Cibernética del
Laboratorio Nacional del Pacífico del Noroeste. Para comunicarse con ella, diríjase al deborah.frincke@pnl.gov
Junio, 2010 B:SECURE 25
LALEYYELDESORDEN 2.0 .
UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
CLOUD COMPUTING… ¿UNA TORMENTA LEGAL SE AVECINA? RETOS Y PARADIGMAS LEGALES EN ESTE NUEVO MODELO DE SERVICIOS INFORMÁTICOS Por Joel A. Gómez Treviño
E
n octubre de 2009 compré la revista “The Economist”, creo que es la primera vez que compro esta revista (no se lo cuenten a nadie, pero una de las materias que más odié en la carrera fue Economía!). La razón, muy sencilla, en portada alcancé a leer “The Battle Over Cloud Computing”. Como ilustración aparecían 5 “teledirigibles”, sostenidos por nubes. Cada “vehículo” le disparaba al otro, y cada uno portaba un logotipo: Google, Microsoft, Amazon, Apple y Yahoo. Antes de leer siquiera el artículo, ya me había caído el veinte: tenía que ponerme a estudiar el fenómeno legal del Cloud Computing. Voy a omitir toda la parte teórica-técnica, sobre qué es Cloud Computing, puesto que doy por hecho que la audiencia es técnica por el segmento al que va dirigida esta revista. A riesgo de no agotar el tema en una parte, me permito enlistar los aspectos legales y retos que todo usuario enfrentará dentro del tema de los aspectos contractuales del cómputo en la nube. Ámbito de aplicación de procesamiento de datos. ¿Qué tipo de datos pueden ser procesados? ¿Para qué propósitos? Su empresa tendrá que decidir si entra de lleno al mundo de la computación en nube, o si solo le da una “probadita”. Si éste es el caso, ¿qué clase de información estaría dispuesta su empresa a subir a la nube? Software, aplicaciones, bases de datos, listas de clientes, contratos, “know-how”, planos o fichas técnicas de tus productos, datos personales de clientes y proveedores… en general, mucho de lo que usted mueve en su empresa es sin duda información confidencial. Sub-contrantes (outsourcing en la nube). ¿Bajo qué condiciones el proveedor puede subcontratar partes del servicio de computación en nube? Puede usted estar negociando con “súper empresas”, con una extraordinaria reputación en el mercado. ¿Pero qué pasa si esas empresas sub-contratan parte de los servicios en la nube? ¿Los sub-contratistas se obligarán con el contratista en los mismos términos y condiciones en que lo hizo con usted? ¿Tendrán los sub-contratistas los mismos niveles de seguridad, confidencialidad y de servicio (SLA) que la empresa con quien usted está contratando? Transferencia y/o Borrado de la información. Durante el noviazgo todo es color de rosa, pero… ¿qué pasa si te divorcias de tu proveedor de cómputo en la nube? ¿Cómo operará la transferencia de tu información en el plano físico, electrónico o en ambos? ¿Estará tu proveedor actual obligado a colaborar en el proceso de transferencia con otro proveedor? Sabemos que es práctica común en la industria de IT el hacer respaldos de la información. Una vez que termines la relación con tu proveedor, ¿qué garantías tienes de que realmente no se quedó con una copia de tu información? ¿Presenciaste o auditaste el proceso
de eliminado electrónico (confiable) de tu información? Ubicación de la información. Una de las características principales de los servicios de cómputo en la nube, es la flexibilidad con que se pueden brindar. Pero esto implica que el proveedor podrá decidir en cualquier momento dónde o en qué servidores podrá estar tratando y almacenando su información. ¿Qué sucede si su proveedor hoy tiene su información en servidores mexicanos, pero mañana decide moverlos a un servidor estadounidense o europeo? En el terreno legal, un lugar físico significa jurisdicción. Si su información está en un servidor Alemán, probablemente estará sujeta a las leyes alemanas. Autoridades extranjeras podrían no solo auditar, sino eventualmente “confiscar” su información, ante un incumplimiento de leyes locales. El proveedor debe obligarse a no transferir la información a otros países, sin el previo consentimiento expreso del cliente. Protección de datos personales. Este es un tema íntimamente ligado al anterior. Como ejemplo, la Unión Europea tiene los más altos estándares en materia de protección de datos personales, mientras Estados Unidos tiene un modelo sectorial flexible. El pasado 27 de abril la Cámara de Senadores, actuando como cámara revisora, aprobó el proyecto de Ley Federal de Protección de Datos Personales en Posesión de Particulares, al cual solo le falta la sanción Presidencial para publicarse en el DOF. El tratamiento de datos personales en bases de datos es cada vez más sensible y está tremendamente fiscalizado. Auditorias. El usuario debe poder verificar que el proveedor está cumpliendo con lo pactado. Pudiere haber auditorias gubernamentales, en las que ambas partes deberán cooperar para salir bien librados. Pérdida de la información. Ante un escenario trágico de pérdida de su información por negligencia, culpa o dolo de su proveedor, ¿cuáles son los recursos legales que usted dispone? ¿Hay penas convencionales o pago daños y perjuicios? ¿Existe en el contrato algún límite de responsabilidad para el proveedor? Segregación de la información. ¿Están mis datos separados de los de otros clientes? Eventualmente cierto tipo de empresas podrían estar interesadas en que sus datos o información este segmentada o separada del resto de los clientes, sobre todo si el proveedor pudiera brindarle servicios a empresas competidoras. Para concluir solo me resta agregar que a la fecha no hay ninguna ley –ni a nivel nacional ni internacional- que regule al Cloud Computing, ni las habrá en muchos años seguramente. Esto significa que la única manera de regular este fenómeno es por la vía contractual. Lea bien los contratos de sus proveedores, y asegúrese de que su abogado entienda el tema. ●
Joel Gómez es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. abogado@joelgomez.com 26 B:SECURE Junio, 2010
EL INVITADO ¿LA ALTA GERENCIA “GASTA” EN PLANES DE CONTINUIDAD Y CONTINGENCIA? Por Alberto Ramírez Ayón, CISM, CISA
En la triada de seguridad de la información existen los siguientes conceptos: Confidencialidad, Integridad y Disponibilidad. La Disponibilidad puede entenderse como el concepto de asegurar que la información (incluyendo los sistemas) puedan ser accedidos cuando se requiera. ¿Por qué son importantes los planes de continuidad y contingencia? ¿Será para justificar la inversión de tecnología, recursos materiales o humanos? ¿Acaso para pasar sólo las auditorías internas y externas? En el trascurso de la historia hemos visto como desastres naturales, errores humanos, actos de terrorismo, accidentes, etcétera, han ocasionado que empresas y bancos pierdan información vital para su negocio. Hoy en día cualquier corporación o firma requiere -de manera imperativa- contar con una estrategia que le permita recuperarse de una situación imprevista, para poder garantizar la continuidad de los servicios y productos a sus clientes y accionistas. Las corporaciones deben contar con mecanismos que le provean elasticidad para regresar al punto o posición original. En la actualidad contamos con un seguro para los autos; sin embargo, esperamos nunca tener que usarlo. Bueno, pues de ese mismo modo hay que ver una infraestructura que permita continuar brindando los servicios mínimos e indispensables. Algunos sectores tienen mayor regulación para que las empresas cuenten con planes, tales como el sector financiero, el cual está sometido a auditorías de varias entidades externas. Para verificar el cumplimiento y efectividad de los procesos de “recuperación ante de desastres”. Se auditan los planes y las pruebas que se realicen para corroborar que dichos planes permitirán la operación. Los tiempos han cambiado y actualmente encontramos estándares, políticas, manuales, procedimientos, mejores prácticas internacionales, marcos de referencia. Pero muchas veces, las áreas que gestionan estos esfuerzos, se ven detenidas ya que, en ocasiones, la alta gerencia y dirección no encuentra el beneficio real de destinar recursos o tener una infraestructura para una “contingencia”. Y es ahí, donde se deben mostrar los riesgos de NO contar con ésta. Dependerá del giro, tamaño, número de personas, presupuesto, diversos factores, incluso geográficos, sociales y de otras índoles en cada caso. A los ojos de algunos, todo este “rollo” es un gasto mas no una inversión. ¿Se han puesto a pensar en el impacto financiero, de imagen, social o legal que podría acarrear el no contar con una estrategia ante un desastre? No sólo basta con tener respaldos de las bases de datos y sistemas. ¿Estamos guardando suficiente historial de transacciones u operaciones? No es suficiente contar con un servidor alterno ¿Sino saber si cuenta con los mismos niveles de seguridad que el de producción? No es solamente que algunas personas tengan laptops o equipos móviles, sino entender el impacto si el sistema que soporta dicho dis-
positivos no está disponible. Cualquier esfuerzo tecnológico se puede ver mermado si la estrategia no es parte del negocio. En otras palabras, que ésta tenga el soporte y compromiso de la alta gerencia para asegurar la DISPONIBILIDAD.
SÓLO PUEDES ESPERAR LO INESPERADO Es importante realizar un análisis de impacto al negocio, el cual identifique y cuantifique –de forma cuantitativa y cualitativa- el impacto en caso de una potencial pérdida o interrupción a los procesos de una organización. Priorizar los procesos críticos que coadyuvan a cumplir con las metas y se alinean a la misión de cualquier entidad. Clasificar los procesos y los tiempos máximos tolerables para estar con una interrupción. Hay que evaluar cuáles son las amenazas que pueden explotar vulnerabilidades dentro de la organización, así como su probabilidad de ocurrencia. Alguna vez escuché una frase en inglés: Expect the unexpected, la cual refleja una realidad que debemos entender. Los planes deben contemplar desde la estrategia de alto nivel de negocio, hasta los procedimientos técnicos sobre telecomunicaciones, bases de datos, y en general la infraestructura tecnológica. Un árbol de llamadas de las personas claves en el proceso; procedimientos claros para la declaración de contingencia. El personal debe saber qué es lo que tiene que hacer. Si hay un sitio alterno, deben saber dónde está, cómo llegar, quiénes irán y qué es lo que deberán hacer. Opciones hay muchas. Habrá que evaluar de acuerdo a diferentes factores, incluyendo el presupuesto, la solución que se requiere. Sin lugar a duda, uno de los principales factores de éxito de cualquier iniciativa de este tipo, es contar con el compromiso de la alta gerencia y dirección; ergo, hay que comenzar por exponerles cuáles son los beneficios de contar con un plan de continuidad de negocios (BCP por sus siglas en inglés). La alta gerencia y dirección NO decidirán los aspectos técnicos de la solución o del mismo plan, pero sí serán patrocinadores y promotores de cualquier iniciativa relacionada. Al final, ellos también aprueban cualquier presupuesto. Quizá la percepción de la gente cambie el día que una manifestación bloquee el acceso a sus oficinas, un error humano borre tablas de las bases de datos, una fuga de agua moje equipos de cómputo con aplicaciones críticas, o que un corte de energía afecte las oficinas principales y el centro de cómputo. Ya ni siquiera mencionaré cosas más dramáticas porque esos ejemplos son sólo cuentos que pasan en las películas ¿no es cierto?... No. No fue sarcasmo. Sólo que a veces la realidad supera la ficción y debemos estar preparados. Y como siempre cito en mi blog: Always Mind the Information Security Gap! ● Junio, 2010 B:SECURE 27
´ EXTREMA AUDITORÍA
POR FIN, UNA LEY DE PROTECCIÓN DE DATOS PERSONALES Por Mario Velázquez
Aunque por el momento hay muchas dudas alrededor, ya está en puerta la nueva ley mexicana de protección de datos personales
H
ay quien piensa que esta ley llega demasiado tarde a México y en cierto modo es verdad. Muchos otros países ya cuentan con una similar, y no sólo los llamados de primer mundo, sino inclusive varios países latinoamericanos, como Argentina, que la puso en marcha desde hace tiempo. Aún así, parece ser que valió la pena la espera, ya que se tomó como base lo escrito en leyes similares de Estados Unidos, Canadá y Europa. Como resultado de esto, tenemos una ley razonablemente completa y moderna, que incorpora aspectos como consentimientos electrónicos de los titulares, lo cual ayudará y reducirá costos en su implementación. Y aunque es cierto que hay muchas dudas alrededor del tema, las cuales se han ganado espacios en debates públicos y charlas de café, por el momento no es la intención profundizar mucho en éstas. Conviene para ello espera hasta la publicación del reglamento que indicará el cómo de la implementación de dicha ley. Lo que sí es necesario es que, tanto las empresas (responsables) como la autoridad empiecen a abordar los temas macro, que le corresponden a cada quien, para cumplir y hacerla cumplir. Sabemos que el IFAI fue el organismo elegido para normarla y verificar su cumplimiento. La principal preocupación, en este sentido, es sin duda el presupuesto que debe asignársele, ya que, de acuerdo a la experiencia en otros países, sus nuevas funciones y responsabilidades son, por mucho, mayores a lo que venía realizando. Ahora tendrá que regular también a particulares, cosa que no hacía antes. Por lo pronto, y aunque todavía no se publica oficialmente, el IFAI ya está trabajando en el o los reglamentos correspondientes a la ley, que deberán estar listos pronto, para que los responsables puedan prepararse: habrá 18 meses de plazo a partir de su publicación. Por el otro lado están las empresas que deben cumplirla. Pero, ¿Quiénes están obligados?, todas aquellas empresas que tengan bases de datos de particulares. De acuerdo a lo que se entiende de la ley, esta regulación protege aquellos datos personales proporcionados por los particulares, pero que no se derivan de una actividad comercial, ya que en estos casos la relación está regida por un contrato. La duda en este caso es, si estos datos, que pueden incluso ser más sensibles, están protegidos por alguna ley similar. 28 B:SECURE Junio, 2010
Independientemente de que el IFAI emita el mencionado reglamento, las empresas deben empezar a prepararse tanto en lo técnico, como en sus procesos. Cinco puntos en los que se puede empezar a trabajar son: UÊ `iVÕ>ÀÊÃÕÃÊ« Ì V>ÃÊ`iÊ«À Û>V `>` UÊ iv ÀÊ ÃÊ«À Vi` i Ì ÃÊ`iÊ LÌi V Ê`iÊV Ãi Ì i Ì Ê`iÊ ÃÊÌ tulares UÊ 6iÀ v V>ÀÊ >ÊV à ÃÌi V >Ê`iÊÃÕÃÊL>ÃiÃÊ`iÊ`>Ì Ã]Ê >V i ` Ê`i«ÕÀ>V nes sí es necesario UÊ iv ÀÊ«À Vià ÃÊ«>À>Ê>Ìi `iÀÊ >ÃÊà V ÌÕ`iÃÊ`iÊ`>Ì ÃÊ« ÀÊ«>ÀÌiÊ`iÊ ÃÊ titulares UÊ *ÀiÃÕ«ÕiÃÌ>ÀÊÀiVÕÀà ÃÊ«>À>Êi ÊVÕ « i Ì Ê`iÊ >Ê iÞ°Ê ÃÊ « ÀÌ> te considerar que se necesitarán recursos para la implementación y después para el soporte diario. Seguramente las grandes empresas tienen los recursos técnicos y económicos para prepararse, sin embargo la gran duda es qué pasa con las Pymes y micro empresas, ya que no están exentas de su cumplimiento. Paradójicamente, si a una de estas empresas le aplican una de las multas por fuga de información, prácticamente desaparecería. Quienes también deben prepararse para la entrada en vigor de la nueva ley, son los especialistas en peritaje informático y cómputo forense, ya que seguramente cobrarán mayor relevancia para efectos de resolución de controversias. Como comentaba al inicio, esta ley fue muy esperada y es bien recibida, sin embargo es preocupante pensar que su incumplimiento no castiga a quien haga mal uso de los datos personales, sino a quien cometió errores al implementar su estrategia de seguridad. En otras palabras, esta ley podría estar castigando a los custodios y no a los delincuentes, lo cual generará polémica. Por lo pronto, preparémonos para acatarla y obtener sus beneficios. Bueno, eso pienso yo, pero ¿usted qué cree? ●
Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.
SINNÚMERO LATAM CON LA MIRA EN LOS CIELOS DEL CLOUD Sea por reducción de costos, mantenimiento o complejidad el Cloud Computing representa un nuevo paradigma en la operación de los negocios en todo el mundo. Pero contrario al pan de todos los días, América Latina podría ser la región mejor posicionada para su adopción. De acuerdo a la encuesta de ISACA Internacional ISACA IT Risk/Reward Barometer a más de 86,000 profesionales de IT en todo el mundo, una de cada tres organizaciones en América Latina afirmaron que implementarán soluciones de cómputo en la nube antes de que concluya el 2010, cifra por encima de países como Estados Unidos o regiones como la Unión Europea. Aquí un breve vistazo del porqué a los latinoamericanos nos gusta mirar al cielo tecnológico, más que nuestros colegas estadunidenses y europeos. La encuesta informa que 30% de los negocios en América Latina adoptarán Cloud Computing en 2010, contra 25% de Estados Unidos y 18% de las compañías europeas.
41% de los profesionales IT encuestados consideran que los riesgos de la computación en nube sobrepasan los beneficios, mientras que 18% opinan todo lo contrario y 42% creen que riesgos y beneficios están balanceados. Aun así la encuesta demuestra que 34% de los entrevistados no cuentan con un plan sobre Cloud Computing.
15% de las empresas en Latam planea utilizar el Cómputo en la nube para aplicaciones de bajo riesgo y no críticas. Contra 17% que sí delegarán al Cloud Computing la operación de sus aplicaciones de negocio y operación más importantes. Según Gartner estima que el valor en el mercado de servicios en la nube rebase los $150,000 millones de dólares, comparado con los $56,000 millones de dólares que facturó en 2009.
Junio, 2010 B:SECURE 29
SEGURO… QUE LO QUIERES UN ANDROIDE CON RADIO Era cuestión de tiempo para que los equipos con tecnología iDEN desarrollada por Motorola conocieran el mundo Andriod, las aplicaciones y la telefonía inteligente. Ahora la firma lanza a nivel global el i1, el primer equipo iDen con Andriod OS del mercado.
MOTOROLA I1 AL DESNU UÊ - ÃÌi DO >Ê «iÀ>Ì Û
Ê `À `Ê£ °x UÊ >Ûi}> ` ÀÊ"«iÀ> Ê ÊV ` LiÊ > Êà « ÀÌiÊ` Ã Ê Ìi iÊ UÊ ? >À> Ê`iÊxÊ i} >« Ýi ià UÊ i À >ÊiÝ«> ` L iÊ >ÃÌ>Ê ÃÊÎÓ Ê UÊ /iV } >Ê`iÊiÃV À ÌÕÀ>Ê-ÜÞ «i UÊ *> Ì> > Ê`iÊΰ£Ê«Õ } > `>ÃÊ 6 Ì>VÌ ÊÃi à L iÊ> Ê UÊ /iV } >Ê Ê` iÊV Õ V Ì> >V Ê«ÕÃ Ì UÊ Vi iÀ iÌÀ
SEGURO QUE LO QUIERES POR… UÊ ÃÊi Ê«À iÀÊÊÌi jv Ê`iÊ iÝÌi ʵÕiÊ ÊÌiÊ`>Ê«i >ÊÃ>V>ÀÊ vÀi ÌiÊ>ÊÌÕÃÊ> } ÃÊV Ê * i]Ê Ì iÝÌÊ Ê >V iÀÀÞ° UÊ ÀiÃÊ`iÊià ÃʵÕiÊÌ i iÃÊÌÀiÃÊVi Õ >ÀiÃÊV }>` ÃÊ`i Ê V ÌÕÀ \Êi ÊÌÕÞ ]Êi Ê`iÊ >Êi «ÀiÃ>]ÊÞÊi ÊÀ>` Ê`iÊ >Ê V «> >°Ê Êi Ê £Ê« `À?ÃÊÌi iÀÊÌ ` Ê >ÊV Õ V>V Ê i ÊÕ Êà Ê` ë Ã Ì Û ° UÊ ÃÊi Ê«À iÀÊÌi jv Ê i ʵÕiÊÌiÊ«iÀ ÌiÊ ÃÌ> >À iÊ > } ]Ê Êà µÕ iÀ>ÊÌiÊ«Ài VÕ«>Êà ÊÛ>ÃÊÕÌ â>ÀÊ >ÃÊ >« V>V iÃÊ Ê ° UÊ Õi Ì>ÊV ÊÌiV } >Ê-ÜÞ«iʵÕiÊv>V Ì>ÊÊÞÊ>} â>Ê >Ê iÃVÀ ÌÕÀ>Êà LÀiÊ«> Ì> >ÃÊÌ?VÌ iÃ
SEGURO QUE NO LO QUIERES POR… UÊ ÊiµÕ « ÊÃ Ê ÊµÕ iÀiÃ]Ê ÊµÕiÊ ÊµÕ iÀiÃÊiÃÊ> Ê «iÀ>` À° UÊ /i iÀÊÀ>` Ê Ì>` Ê ÊÌiÊV Ûi ViÊÌ> Ì ÊV Ê «>À>ÊV> L >ÀÌiÊ`iÊ «iÀ>` À°Ê Êv ÊÞÊ> ÊV>L ÊÌ ` ÃÊÌÕÃÊ V Ì>VÌ ÃÊÌiÊÃ> i Ê>Êf£°ääÊ«ià Êi Ê ÕÌ ° UÊ ÀiÃÊÃi}Õ ` ÀÊ`iÊ >Ê >ÀV>Ê`iÊ >Ê > â> >Ê Ê`iÊ >Ê À>Ê i}À>ÊÞÊ Ê« i Ã>ÃÊÌÀ> V >ÀÊÌÕÃÊ«À V « ð UÊ /i iÀÊÕ ÊiµÕ « Ê ÊiÃÊÕ Ê«>Ã Ê ?ÃÊ«>À>ÊL ÀÀ>ÀÊ >Ê i>Êi ÌÀiÊÊÌÕÊÛ `>Ê«iÀà > ÊÞÊi ÊÌÀ>L> °
30 B:SECURE Junio, 2010