Julio 2010 · 64 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
The AGe of
humAn SecuriTy
$80.00 M.N.
Por años las empresas de seguridad IT han luchado, sin éxito alguno, por desarrollar sistemas inviolables a ciberataques, robo de información o incluso a la torpeza humana. En la segunda década del siglo XXI, muchas de estas compañías planean llevar el concepto de seguridad a un nivel simbiótico con los seres humanos
ww.de w
om.mx .c
oshow m
CONFERENCISTAS MAGISTRALES> Marcelo Kawanami > Es gerente de industria del área de Información y Comunicación,
de la práctica de tecnología para Frost & Sullivan América Latina. Desde su ingreso, en 2005 a Frost & Sullivan, Kawanami ha desarrollado varias investigaciones y proyectos de consultoría en Servicios IT, Seguridad en red, Software y aplicaciones, Telecomunicaciones, Tarjetas inteligentes entre otras. Anteriormente a Frost & Sullivan, Kawanami se desempeñó como analista de mercado para Orbitall. Cuenta con extensos conocimientos financieros y ha sido responsable de monitorear la dinámica de los mercados, competitividad, basados en las necesidades del cliente y ubicación geopolítica.
Rogelio Oliva > Profesor asociado de administración de información y operaciones de Mays Business School en Texas A&M University, profesor adjunto del MIT Zaragoza Logistic Center y miembro de Cutter Consortium. La investigación del doctor Oliva explora cómo los aspectos conductuales y sociales de una organización interactúan con sus componentes tecnológicos y determinan, así, el desempeño operativo de una empresa. Posee un B.E. en Ingeniería Industrial y de Sistemas por el Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM), de México; un M.A. en Sistemas de Administración por parte de Lancaster University (Reino Unido), y un Ph.D. en Gestión de Operaciones y Dinámica de Sistemas por el Massachusetts Institute of Technology (MIT), de Estados Unidos. Antes de formar parte del profesorado de Mays Business School de Texas, el profesor Oliva enseñó seis años en Harvard Business School, y tres años en el ITESM de México Informes: Tel: (55)- 2629 7260 opción 4, 2629 7280, 81, 84, 85 > 01800 670 6040. > eventos@netmedia.info
Un evento de
Producido por
jul 2010
ACCESO
LA ftc sAncionA A twitter por prometer seguridAd y no cumpLir La Comisión Federal de Comercio (FTC) de Estadis Unidos obligó a la red social a modificar su programa de seguridad, tras fallar en proteger la información de sus usuarios.
ACCESO
rodeA poLémicA A iniciAtivA de Ley sobre ciberseguridAd en eu
Con todo y sus críticas la propuesta de ley, que permitiría a Barack Obama “apagar el switch” de internet, fue aprobada por Comité del Senado de Estados Unidos de manera unánime.
lO dEl MES...
pubLicA cALderón LA Ley federAL de protección de dAtos personALes Ya fue aprobada la nueva la ley federal de protección de datos personales en posesión de los particulares. Ahora es momento de conocerla.
B:SECURE FOR BUSINESS PEOPlE
LA función de seguridAd ¿eL primero pAso A seguir? Cuarta y última entrega sobre este manual para el desarrollo de los cimientos de toda buena estrategia o programa de seguridad IT.
lA lEY Y El dESORdEN
LA industriA de it yA tiene su mAnuAL
10 the Age of humAn security Las empresas de seguridad han luchado, sin éxito alguno, por desarrollar sistemas de seguridad inviolables. en la segunda década del siglo xxi, muchas de estas compañías planean llevar el concepto de seguridad a un nivel simbiótico con los seres humanos
04 lOGIN
20 SINNúMERO
Un breve y certero vistazo al Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones.
SEGURO QUE lO QUIERES
un xbox sin Aro rojo de LA muerte
Conoce las razones y motivos que podrían hacerte cambiar de consola de videojuegos u obligarte actualizar tu viejo Xbox 360.
Julio, 2010 b:Secure 1
enlínea bSecure.com.mx
Mónica Mistretta directora general Carlos Fernández de Lara director editorial
Pedófilos observan a víctimas vía webcam
El Centro de Explotación Infantil y Protección en Línea de Reino Unido alertó a la sociedad sobre el incremento de fotos y videos de niños tomadas desde sus propias webcam que están circulando entre redes de pedófilos de aquél país. El informe del órgano indica que un mayor número de niños se han tomado fotos y videos desde su cámara web y las ha compartido en salas de chat. En algunos casos, cuando ciertos sitios de internet cuentan con servicios de transmisión de video, los pedófilos capturan las imágenes de los menores de edad con software especial para continuar reproduciendo el material o para comercializarlo. Muchos de ellos son convencidos de ejercer actos sexuales frente a la cámara, comunicó. En su reporte anual, el Centro ha identificado un importante incremento en las imágenes infantiles con contenido sexual, pero de manera exponcial las captadas con webcam. De hecho, en Reino Unido ha protegido de abusos a 278 niños entre febrero de 2009 y marzo de 2010, el doble en comparación con el año anterior. Cuando los pedófilos tienen en su poder las imágenes, sean estáticas o con movimiento, es común que comiencen a chantajear al menor comprometido y solicitarle mayor cooperación a cambio de no revelarlas. Los criminales, incluso han salido de sus países para acosar y abusar de los menores, lo que implica que son más agresivos y activos que antes, dio a conocer el órgano de protección infantil.
Elba de Morán directora comercial Gabriela Pérez Sabaté directora de proyectos especiales Alejandro Cárdenas director de arte Iaacov Contreras circulación y sistemas Gabriela Bernal directora administrativa José Luis Caballero asesoría legal
aPrueban la creación oficial del dominio .xxx La Corporación de Internet para la Asignación de Nombres y Números (ICANN por sus siglas en ingles) dio su aprobación preliminar para la creación del dominio .xxx en su conferencia en Bruselas. Tras una larga campaña a favor del domino .xxx, la ICM Registry Name Reservation afirma que su creación facilitará que se segmente el contenido inapropiado. El dominio sería asignado a aquellos contenidos en internet que sean etiquetados para adultos. El siguiente paso, según la Corporación, será establecer pláticas con la ICM para asegurarse que el dominio tenga suficiente respaldo por parte de la industria de adultos para justificar su creación. Miembros del consejo de ICANN admitieron, durante la conferencia, que cometieron un error al rechazar la solicitud del dominio en el 2005. De acuerdo con la ICM, la ventaja de utilizar este dominio es que permitirá a todos los consumidores del mercado de contenidos para adultos un mayor grado de confianza en su experiencia en línea, mientras que aquellos individuos que quieran evitar este tipo de contenido obtendrán un confiable sistema de filtrado. La ICM espera que se inauguren los primeros dominios “.xxx” a principios de 2011. También anunció que ya cuenta con más de 110,00 preregistros para este tipo de dominios. Esta entidad criticó la decisión por parte de ICANN de rechazar la propuesta del domino .xxx y destacó que la International Centre for Dispute Resolution concluyó que la Corporación no había sido consistente con la aplicación de la políticas de neutralidad, objetividad y justicia en documentos. A raíz de esta queja, la ICANN reconsideró su fallo.
Estos y otros artículos en www.bsecure.com.mx [los editores de netmedia hablan sobre los temas de más actualidad de la industria]
aunque Me coRRan
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
Fabuolus bloG
TeMa lIbRe
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
bloGueRos InvITados: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
2 b:Secure Julio, 2010
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
consejo editorial Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez, Mario Velázquez. columnistas Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, Elihú Hernández, Mario Velazquez editor on line Efraín Ocampo web master Alejandra Palancares diseño Pablo Rozenberg asistentes de redacción Gabriela Rivera, César Nieto, Oscar Nieto ventas y publicidad Morayma Alvarado, Carmen Fernández, Cristina Escobar suscripciones Sonco-Sua Castellanos, Diana Zdeinert
20 y 21 de octubre 2010 Hotel W, Ciudad de México
“The difference between PR and social media is that PR is about positioning, and social media is about becoming, being and improving.” – Chris Brogan Social Media Guru
www.somebiz.com.mx
Las plataformas sociales con sus millones de usuarios son la oportunidad para que usted salga a pescar. El reto actual es entender cómo diseñar el anzuelo perfecto en el amplio mar de los medios sociales. ¿Está listo para llevar a su empresa al siguiente nivel?
KEYNOTE SPEAKERS LOREN MCDONALD vicepresidente de Relaciones Industriales para Silverpop
Loren es responsable de administrar el portafolio y los servicios de liderazgo de Silverpop, para compartir con los mercadólogos los nuevas mecanismos y manera de maximizar y comprometer a los consumidores o prospectos con sus productos o servicios. Loren ha desarrollado varios estudios, investigaciones, Webinars, artículos y blog en materia de marketing en línea.
CHRIS BAGGOT CEO; Compendium Blogware
Chris Baggott es un mercadólogo reconocido internacionalmente, con más de 20 años de experiencia en la industria. En 2009 Baggott alcanzó la posición 21 de los 100 mercadólogos más influyentes del mundo. Sus comentarios han sido citados en medios y publicaciones como The Wall Street Journal, la revista Forbes, Inc y AdWeek.
Un evento de
Producido por
login LOGIN
ReapaRece en escena la botnet KRaKen
Ha reaparecido Kraken, la poderosa red de computadoras zombie que en abril de 2008 fuera identificada por la empresa de antivirus Damballa y se distinguiera por atacar un promedio de 600,000 direcciones IP diariamente, cada una de las cuales tenía la capacidad de enviar alrededor de 550,000 piezas de spam. De esta forma, Kraken superó fácilmente a la que hasta ese momento había sido considerada como la botnet más potente del mundo, Storm, que sumó 400,000 ataques diarios. A dos años de haber desarmado Kraken, ha resurgido del fondo de la red para volver a convertirse en una amenaza, pues en la semana de detección, el Centro de Seguridad e Investigación del Tecnológico de Georgia ha informado que el nuevo Kraken manda más de la mitad de correos de los que mandaba en 2008. Para principios de julio, la red bot ya suma más de 380,000 nodos o IP infectadas. “Que haya vuelto Kraken es una muestra del poderío maligno de este software y poderlo contrarrestar será muy complicado y caro” declaró Paul Royal,
científico del Centro de Seguridad e Investigación. El nuevo Kraken, a diferencia de su versión anterior, es más complicado de eliminar, pues los programas de antivirus de McAfee y Symantec únicamente detectaron la versión pasada del código maliciosos, comunicó el Centro. El análisis también detectó que el programa está relacionado con la ya conocdia botnet Mariposa. Los investigadores descubrieron que Kraken utiliza el elemento similares a los de Mariposa, y dado que sus compentes se encuentren en venta en el web su armado es mucho más dinámico y sencillo. “El reuso de Kraken implica la tendencia potencial de la reutilización del codigo malicioso. Lleva tiempo desarrollar éste tipo de códigos maliciosos. Como cualquier pieza de software, debe pasar por una serie de cambios y, como resultado, es muy caro reemplazarlo”, dijo Paul Royal, investigador del Centro.
IDc coRona a FoRtInet como el líDeR en Utm en méxIco Fortinet lidera en México el mercado de Gestión Unificada de Amenazas (UTM, por sus siglas en inglés), según el reporte de IDC Latinoamérica sobre Appliances de Seguridad 2009, con 53% de participación total en el mercado nacional. “Los ambientes virtuales altamente amenazados que todos los negocios enfrentan hoy hacen imperativo el contar con una solución UTM que proteja sus redes”, dijo Joel Guerrero, director general de Fortinet en México. El reporte entregado en mayo de 2010 reveló que 35% de los clientes de Fortinet en México son grandes mientras que 59% son consideradas empresas medianas. Pero no solo la compañía ha fortalecido su posición en territorio mexicano, va por consolidar su presencia en América Latina, región en la que ha duplicado su crecimiento para alcanzar 26% del mercado total. “Nuestro reto estos próximos años es continuar creciendo en el mercado Enterprise con nuestras soluciones robustas que pueden asegurar efectivamente las redes más grandes y complejas”, dijo en un comunicado la cabeza de la compañía de seguridad. 4 b:Secure Junio, 2010
De acuerdo a IDC, para ser incluidos en esta categoría, en oposición a otros segmentos de appliances de seguridad, los appliances UTM deben incluir múltiples funcionalidades de seguridad integradas en un solo equipo, como son la capacidad de firewall de redes, detección y prevención de intrusos en la red y antivirus Gateway, así como el hospedaje de otras funcionalidades de seguridad o de red.
Virus de iPhone, comPatibles con iPad Los productos de Apple son compatibles hasta en el malware. De acuerdo con investigadores de la firma de seguridad Panda, los programas maliciosos creados para el teléfono iPhone, son también compatibles con su recién lanzada tableta multimedia la iPad. A través de un video colocado en su blog de seguridad, demostraron como Eeeki, un gusano desarrollado a finales del año pasado para el iPhone, es capaz de infectar y afectar las operaciones de la tableta sensible al tacto iPad. “Debido a la reciente popularidad de dispositivos Apple y su creciente cuota de mercado, parece que están empezando a hacer “ruido” algunos ejemplares de malware especialmente diseñados para esta plataforma”, advirtió Luis Corrons, director técnico de PandaLabs. Desde su lanzamiento en Estados Unidos, Londres y algunos otros países de Europa y Asía, Apple ha logrado vender más de tres millones de unidades de la iPad. La misma compañía afirma que esta tableta multimedia se ha convertido en el dispositivo con las ventas más aceleradas de sus productos. Así, al igual que las aplicaciones y programas instalados en el iPhone son compatibles con la iPad, los expertos de Panda aseguran que los códigos maliciosos
y programas también serán interoperables entre ambos dispositivos. Cabe recordar que ya en otras ocasiones, expertos de seguridad han detectado vulnerabilidades o códigos maliciosos que afectan el sistema operativo o incluso permiten robar la información contenida en el teléfono, como los SMS o correos electrónicos. Se espera que la compatibilidad entre programas maliciosos permanezca incluso con la llegada del nuevo sistema operativo iOS 4, que Apple liberó el 21 de junio y que correrá en el iPhone 3G, 3GS y el nuevo iPhone 4, además de en los iPod y las iPad. Sin embargo, los mismos expertos de Panda reconocen que este tipo de vulnerabilidades, como Eeeki, únicamente afectan a usuarios de iPhone o iPad que hayan desbloqueado o “crackeado” su equipo, para permitir la instalación de programas no aprobados por Apple para su AppStore. “Esto no quiere decir que ahora vaya a haber una avalancha de infecciones. Siempre hemos dicho que a medida que Apple adquiera más cuota de mercado, mayor será la atención que reciba de los delincuentes para comenzar a hacer negocio con la masa de usuarios que utilizan esta plataforma”, explico Luis Corrons.
hackers atacan sistema de ayuda y soPorte de WindoWs XP Más de 10,000 computadoras afectadas fue el saldo que dejó un ataque luego de que Microsoft ignorara una advertencia sobre el abuso potencial de una vulnerabilidad en el sistema. La alerta la hizo Travis Ormandy el pasado 10 de junio. El ingeniero de Google previó el posible ataque tras encontrar una falla en el sistema de ayuda y soporte de Windows XP. El sistema remoto de ayuda a usuarios del sistema operativo de Microsoft fue para los hackers una vía efectiva para infiltrarse en la PC y una vulnerabilidad en dicho sistema
fue explotada para llevar a cabo el ataque. Una variedad de trojanos y spam empezaron a ser descargados de manera aleatoria en distintos equipos de cómputo alrededor del mundo. Por toda Europa se registraron ataques, según diversos reportes de firmas de seguridad. Aunque culpó a los usuarios de no actualizar sus antivirus, Microsoft informó que se responsabilizará de corregir el error en su sistema de ayuda. La compañía recomendó desactivar Windows Help Center Protocol con el fin de mantener seguros los equipos.
breveS Trend Micro presentó Browser Guard 2010, un plug-in gratuito para los navegadores web que protege a los internautas y bloquea la páginas web con amenazas y códigos maliciosos. El programa promete proteger incluso contra amenazas día cero, códigos maliciosos en JavaScritp y vulnerabilidades contenidas en los sitios de internet. El programa está disponible en http://free.antivirus.com/ browser-guard/. McAfee nombró a Rafael Torres Castro como nuevo director general en México. Torres cuenta con más de 15 años de experiencia en el sector de las telecomunicaciones y anteriormente se desempeñó como coordinador nacional de Redes Gubernamentales en Teléfonos de México (Telmex). El nombramiento tiene por objetivo consolidar las operaciones de McAfee en el país. BitDefender reportó que un grupo de cibercriminales comenzaron a utilizar la imagen de la tableta multimedia de Apple para efectuar un fraude de robo de identidades en la red social Facebook. A través de una rifa en una página de la red social, supuestamente para ganar una iPad, los cibercriminales ya han logrado recolectar los datos personales de más de 3,000 personas.
Junio, 2010 b:Secure 5
acceso sanciona a TwiTTer por promeTer seguridad y no cumplir
Por Carlos Fernández de Lara
T
La Comisión Federal de Comercio (FTC, por sus siglas en inglés) obligó a la red social Twitter a modificar su programa de seguridad para concluir con los cargos que había impuesto a la plataforma web por fallar en proteger la información de sus usuarios.
siones a cibercriminales obtener acceso no autorizado a cuentas de Twitter, sus mensajes directos, su información personal o incluso para permitirles mandar mensajes falsos desde cuentas legales como la del presidente Barack Obama, Fox News, entre otros”, cita el texto publicado por la FTC en su sitio web. Bajo los términos del acuerdo, la red social tiene prohibido engañar a sus usuarios sobre su verdadero alcance para proteger la privacidad y la información personal de éstos en los próximos 20 años, mismo periodo en el que será vigilado por la autoridad competente. Asimismo, la compañía deberá establecer y mantener un “programa comprensivo de seguridad de la información”, el cual será evaluado por un tercero cada 10 años aproximadamente. Observadores opinan que con la medida, la FTC se ha extralimitado en sus atribuciones, pues la sanción a Twitter radica más en el campo de de acceso complejas a sus empleados la privacidad de los datos personales que en asuntos comerciales de almacenar contraseñas de administradores en textos planos o empresariales. Célebre, fue el ataque efectuado por un hacker francés, que loque suspende o deshabilita el ingresos de contraseñas, tras diversos gró comprometer la cuenta del presidente de Estados Unidos en Twitter, mejor conocido como el en las claves administrativas, como por ejemplo por un “ataque de diccionario”, técnica basada en el uso de software, que adivina nombres de usuarios que son reconocidas y claves de acceso de cuentas personales hasta que encuentra la adecuada y rompe el acceso. l
witter fue obligado a establecer un acuerdo con la Comisión Federal de Comercio (FTC, por sus siglas en inglés) por poner en riesgo la información de sus usuarios. La FTC alegó que Twitter engañó deliberadamente a sus usuarios sobre las precauciones, que supuestamente tomaba para proteger sus datos. Es la primer demanda que la FTC presenta contra una red social por no proporcionar la seguridad que le prometió a sus clientes. Estas medidas fueron tomadas a partir de dos ciberataques, que obtuvieron gran publicidad el año pasado. “Las investigaciones sobre Twitter marcaban un severo error en los sistemas de seguridad de la compañía, que permitieron en dos oca-
TwiTTer a TwiTTer le Tocó Tabla por • Falló al no requerir contraseñas • No prohibió a sus trabajadores dentro de cuentas de correo electrónico.
• No cuenta con tecnología intentos fallidos.
• No reforzar cambios periódicos sistema de caducidad a los 90 días.
• Impedir el acceso a la red desde ciertas direcciones IP, por ejecutar actividad maliciosa
6
b:Secure Julio, 2010
acceso
Rodea polémica a iniciativa de ley eStadunidenSe SobRe cibeRSeguRidad A pesar de las controversias causadas por la inciativa de ley en ciberseguridad, que permitiría a Barack Obama “apagar el switch” de internet, el Comité del Senado de Estados Unidos la aprobó de manera unánime.
S
in oposición alguna y de manera unánime el Comité del Senado de Estados Unidos aprobó la legislación en materia de ciberseguridad que otorgaría al presidente de dicha nación el control de emergencia sobre infraestructura de redes críticas, así como la creación de oficinas y responsables de seguridad IT para la Casa Blanca y el Departamento de Seguridad Nacional. Como publicara Netmedia y b:Secure, la propuesta de ley busca otorgar al presidente de Estados Unidos, Barack Obama, la capacidad de responder ante cualquier incidente de ciberseguridad, que pusiera en riesgo la viabilidad o seguridad nacional. Para muchos especialistas esta capacidad le daría a Obama poderes suficientes para “bajar o apagar el switch” de internet, ordenando a los proveedores de servicios de internet (ISP, por sus siglas en inglés) a desconectar la infraestructura crítica concesionada. Según la propuesta, los clientes no podrían demandar a los ISP por cortar el servicio bajo estas circunstancias. La iniciativa conocida como Protegiendo el ciberespacio como un bien nacional Acta 2010, es un documento de más de 200 páginas creado por los senadores Joe Lieberman, Susan Collins y Tom Caper, que tiene el objetivo de fortalecer y coordinar la seguridad de las infraestructuras de red civiles y federales de Estados Unidos. La ley, una vez aprobada por el Comité del Senado, será discutida ante el resto de los senadores estadunidenses para su aprobación final y publicación. Ante las polémicas generadas por la iniciativa de ciberseguridad, el Departamento de Seguridad Nacional, en el Comité del Senado desarrolló un resumen de la iniciativa, en el cual se determina que el Presidente puede ejecutar el uso de medidas de emergencia, con el fin de proteger la infraestructura de red pública y privada que sea crítica para Estados Unidos. Estas facultades, expresaron expertos en la materia ante el sitio especializado SCMagazine, es similar entregar el control sobre el switch de energía de internet a una sola persona, en este caso Barack Obama. De hecho más de 22 organizaciones en defensa de los derechos civiles y la privacidad de los datos, entre ellos El Centro para la Democracia y Tecnología y la Unión de Americanos de Libertades Civiles escribieron una carta a los senadores en la que señalan su preocupación por dicha legislación.
“Aunque la iniciativa de ley aclara que no autorizará la vigilancia electrónica, más allá de lo que las leyes nacionales actuales permiten, existe una enorme preocupación que dentro de las medidas de emergencia que entrega esta ley, se incluyan el apagado o acceso limitado a las comunicación de internet que pudieran están soportadas en sistemas de infraestructura crítica”, cita la carta publicada en el web. Temor que no esperó respuesta del gobierno, pues el mismo Comité del Senado publicó una serie de mitos alrededor de la iniciativa dentro de los cuales subraya en primer lugar “que ésta no entregará ningún poder absoluto al presidente para apagar internet o controlarlo”. La información publicada por el mismo Joe Lieberman, explica que la iniciativa únicamente tiene el objetivo de proteger el ciberespacio nacional frente a cualquier amenaza a posibles riesgos, más no buscar un dominio excesivo sobre internet. “Los riesgos de un ciberataque son reales. No se trata de un asunto de “qué tal si”, sino más bien es un tema de “cuándo” va a suceder. Tan sólo en marzo pasado la división de Sergeant Arms reportó que las oficinas ejecutivas de gobierno y el mismo Congreso enfrentaron más de 1.8 mil millones de ciberataques al mes”, escribe Lieberman. El senador explica, que más que entregar un interruptor sobre internet, sería mucho más sencillo que el presidente de Estados Unidos tome control sobre todas las comunicaciones, basado en las legislaciones que existen desde hace varios años en el país. De hecho, el Acta de Comunicaciones de 1934 subraya que el presidente tiene una “autoridad total”, para cerrar o apagar cualquier cable, instalación o sistema de comunicación en el país. El cambio radical, según el senador estadunidense, es entregar autoridad al presidente para responder ante ciberataques modernos, bajo los escenarios y panoramas del siglo XXI. Según la propuesta de ley Obama y sus sucesores podrían limitar la comunicación en internet en un periodo límite de 30 días, con posibilidad de extenderlo hasta los 120 días con aprobación del Congreso. A pesar de todo los pormenores de la nueva legislación diversos expertos en seguridad y compañías del sector privado afirman que la iniciativa es un “salto necesario y hacia adelante”, ante la necesidades, amenazas y retos que enfrenta Estados Unidos en materia de ciberseguridad. l Julio, 2010 b:Secure
7
The age of
human Secu Por años las empresas de seguridad IT han luchado, sin éxito alguno, por desarrollar sistemas inviolables a ciberataques, robo de información o incluso a la torpeza humana. En la segunda década del siglo XXI, muchas de estas compañías planean llevar el concepto de seguridad a un nivel simbiótico con los seres humanos Por Carlos Fernández de Lara carlos@netmedia.info
L
a tarde de trabajo es como cualquier otra. Sin mucho que hacer antes de la hora de comida decides acceder al servidor de información confidencial de la firma. Sobre tu escritorio una pantalla virtual se abre y te muestra la ventana de acceso al programa. Sin notarlo un sensor de temperatura en tu cuerpo se activa, un escáner de retina comienza funcionar y con sólo levantar la palma de tu mano el sistema virtual empieza el proceso de revisado de tus huellas digitales, todo eso mientras un algoritmo analiza que seas tú el que está tratando de ingresar al sistema. Aunque suene a ciencia ficción o nivel de acceso cinco en el Pentágono de Estados Unidos, la masificación de la tecnología, el crecimiento de los servicios web, la nanotecnología, la biometría y los algoritmos avanzadas fungirán como los elementos vitales para que empresas, gobiernos y los mismos usuarios resguardan el activo más importante de las economías modernas: la información digital. Así, los antivirus, los códigos de encripción, las cámaras de seguridad, la biometría e incluso la nanotecnología comenzarán a mezclarse en una nueva serie de soluciones de tecnología que, por primera vez, podrían interactuar o corregir los errores acontecidos en la Capa 8, conocida en el argot humorístico de la ciberseguridad como el error humano. Aunque el panorama es mucho más vasto, que esta breve imagen, a continuación mostramos la forma en la que ciertas tecnologías de seguridad física o lógica cambiarán el concepto de seguridad en los próximos diez años, y como algunas de estas innovaciones ya han comenzado a dar el primer salto entre la interacción hombre-máquina.
8 b:Secure
Julio, 2010
urity
Protección en 1080 líneaS de reSolución Hasta hace un par de años ninguno dependía de las actividades del otro. Pero con la evolución de la tecnología y el crecimiento de internet, el siglo XXI marcará un nuevo hito para todos los profesionales de la ciberseguridad, la integración con los departamentos de seguridad física. De acuerdo a una encuesta realizada por Netmedia Research, a más de 200 profesionales IT entre CIO y CISO, 46.4% ya tienen o manejan un nivel de responsabilidad sobre los presupuestos de seguridad física. El análisis demuestra que más del 74% de los encuestados afirmaron que es inminente una convergencia entre las tecnologías de video vigilancia, la biometría y la seguridad y sistemas de protección de información lógicos. Una integración por la que no tendremos que esperar una década, pues 45% de los entrevistado afirman que la unión de ambos departamentos “ya está sucediendo”, contra 10% que proyectan el cambio en menos de un año y 15% más que auguran más de un año para la transformación. Como sea, el debate de la seguridad en el futuro no consiste en que si los profesionales de IT serán responsables de administrar o implementar las cámaras de video vigilancia, los sistemas de monitoreo y la biometría a la infraestructura de redes. La transformación radica en la intercambio de información que generarán ambas tecnologías para el desarrollo de nuevas aplicaciones o sistema de seguridad. Firmas como Sony, Panasonic y Samsung ya comenzaron a subir los primeros escalones en la escalera hacia el desarrollo de sistemas de seguridad física, altamente vinculadas a la internet. En el caso de Sony, dice Guillermo Dávila, gerente de mercadotecnia de Aplicaciones, la firma ha decidido apostar por el desarrollo de sistema de video vigilancia en alta definición. “A mejor ancho de banda es posible transmitir imágenes mucho más nítidas y claras. Eso nos da la posibilidad de desarrollar cámaras de alta definición, con sistemas de corrección de contraste y mejores algoritmos de video”, comparte Dávila. Actualmente los equipos de Sony, con el uso de programas y tableros de video vigilancia, permiten a las empresas determinar parámetros de control que generan alertas al sistema, basadas en movimientos, sectores de vista o tiempos. Sin duda, un paso más hacia el concepto de la realidad aumentada o extendida, definida como la mezcla de sistemas que combinan elementos de la vida real, con datos o contextos digitales. Por ejemplo, el video de un pasillo de oficina, que al pasar el empleado despliega datos o información digital como nombre, departamento en el que trabaja, nivel de autorización o número de incidentes en los últimos seis meses, mediante algoritmos y programas de reconocimiento de rostro o voz. El experto de Sony afirma que conforme el ancho de banda crezca los servicios de video vigilancia dejarán de estar sujetos a perímetros, para convertirse en sistemas de monitoreo móvil, mucho más dinámicos y precisos. “Si la Ciudad de México contara con una red inalámbrica de alta velocidad sería posible trabajar sobre aplicaciones de monitoreo o seguridad, como patrullas o unidades de servicio, que además de computadoras contarán con cámaras HD conectadas a la red alimentado datos, peticiones o eventos en tiempo real y de forma clara”, ejemplifica Dávila. Julio, 2010 b:Secure 9
Tu menTe en una panTalla Más allá de los carros voladores, las máquinas que viajan en el tiempo, los robots y los poderes sobrenaturales existe un tema que ha sido constante en los cuentos, novelas o historias de ciencia ficción: la posibilidad de leer la mente humana, conocer y anticipar cada movimiento y pensamiento de las personas y reaccionar con base en ellos. Cuentos dirían algunos, pero para la firma israelita de seguridad física y lógica WeCU Technologies y su fundador y CEO Ehud Givon los lectores de mentes no son mera fantasía, sino una tecnología real que la compañía ya ha comenzado a instalar en aeropuertos y zonas de control en diversas partes del mundo. Definido como un sistema de Detección de Intenciones, la tecnología de WeCU hace honor a su nombre, al operar con equipos, que literalmente, son capaces de leer el cuerpo humano, su temperatura, ritmo cardiaco o movimientos, a fin de generar patrones de comportamiento, que contrastados con bases algorítmicas y perfiles predefinidos, permiten detectar y evitar intenciones criminales o problemas. “A través de un proceso de escaneo, menor al minuto y medio y
sin necesidad de controles adicionales, el sistema WeCU es capaz de detectar e interpretar las intenciones de los individuos, que pueden suponer una amenaza o riesgo, por ejemplo un ataque terrorista, algún acto violento o un asalto”, dice Givon en entrevista telefónica con b:Secure desde Israel. El sistema combina decenas o cientos de sensores biométricos (dependiendo de la utilidad que se le quiera dar) a lo largo de una infraestructura. Estos sensores, sin que el usuario lo note, realizan lecturas biométricas de su cuerpo y generan patrones de comportamiento. Givon de WeCU Technologies informa que toda esta información es contrastada en tiempo real, con programas que contiene perfiles de comportamiento predefinidos o generados por la empresa que utiliza el sistema. Así, contrario a desperdiciar horas en los controles de seguridad de los aeropuertos o esperar a que un asaltante de bancos desfunde su arma, el CEO de WeCU Technologies asegura que su tecnología es una forma “moderna e inmediata para controlar y asegurar ambien-
Yo conozco a Juan Y Tú no eres Juan: aTenTamenTe la pc A pesar de los grandes avances, que firmas de seguridad IT han alcanzado en el desarrollo de soluciones de monitoreo, prevención y detección de ataques cibernéticos o fugas de información. Las sociedades de la era digital siguen confiando en un esquema de autenticación, como el eslabón del acceso a los datos. Sin importar si deseas acceder a tus cuentas de correo electrónico, tus aplicaciones o servicios web, las bases de datos o carpetas con información sensible de tu empresa, o simplemente actualizar tu perfil en una red social, el punto final de control sigue siendo el proceso de autenticación. Es decir, tu nombre de usuario y contraseña. Pero en un mundo altamente conectado, y en el cual internet se ha convertido en el canal principal de comunicación y negocios. Los usuarios y empresas se han visto obligados a desarrollar contraseñas largas, alfanuméricas y temporales, con tal de mantener los niveles de seguridad de forma óptima, explica Tom Helou, presidente y COO de Authenware. “Actualmente existen más de 1.6 mil millones de internautas en todo el mundo, se estima que en promedio cada usuario cuenta con diez contraseñas de acceso, y en algunos casos los internautas más avanzados manejan hasta 27 contraseñas de acceso”, dice Helou de Authenware en entrevista con b:Secure.
10 b:Secure
Julio, 2010
Esta situación, contrario a convertir el método de autenticación en un medio de control, ha facilitado que los cibercriminales vulneren sistemas y roben información, muchas veces sin necesidad de códigos maliciosos o programas de hackeo de contraseñas de por medio. Esto, por la simplicidad de las claves de acceso de los usuarios o administradores IT. Para muchos, dice Helou de Authenware, la solución ha sido el desarrollo de sistemas de autenticación de múltiples etapas. Sin embargo, estos mecanismos han sido fuertemente criticados por ser poco amigables y flexibles para los usuarios y los negocios. Fue bajo este escenario que la compañía llegó al desarrollo de Authenware, un software, que Helou define como un programa que genera una simbiosis o enlace entre el teclado de la computadora o dispositivo y la sinapsis o proceso cognitivo humano. En otras palabras, la tecnología de Authenware es un programa de reconocimiento de escritura basado en el perfil, comportamiento y hábitos del usuario. Su objetivo no es otro que impedir que un cibercriminal o cualquier persona, en posesión de tus contraseñas, tenga acceso al sistema o a la aplicación. Detrás de su definición simple, Helou explica que el esqueleto
Lo que nos faLta tes, espacios públicos y privados sin molestar o atosigar a las personas, a tal grado que ni siquiera sabrán que existe”, dice. En los aeropuertos, la tecnología de WeCU es apoyada por una serie de imágenes de noticias, figuras públicas o símbolos, que se proyectan de forma aleatoria en las pantallas de las instalaciones. Givon afirma, que cuando una persona observa una imagen con la que tiene relación, su cuerpo reacciona de manera inmediata, elevando su temperatura corporal o ritmo cardiaco, cambios que son detectados en tiempo real por los sensores biométricos para generar alertas de seguridad. Aunque el sistema no requiere que las personas estén en contacto físico con los sensores biométricos o que pasen por cuartos o espacios específicos para ser escaneados. Varias organizaciones han tachado este tipo de avances tecnológicos como invasivos o violatorios a la privacidad de las personas. Críticas que desestima el CEO de la compañía al bautizar a WeCU como una de las tecnologías de seguridad “menos invasivas y más transparentes del mercado”, y la cual, a partir del 2011, planea promover alrededor del mundo en aeropuertos, oficinas, bancos o instituciones de gobierno. Puede que WeCU, por el momento, aún sea incapaz de conocer en qué número estás pensando. Sin embargo, Givon comparte que en los próximos años los sensores biométricos y programas de análisis de comportamiento permitirán generar interpretaciones mucho más precisas y en espacios más abiertos, por ejemplo grandes metrópolis como la Ciudad de México.
de tecnológico del programa consiste en un algoritmo matemático basado en lógica difusa muy sofisticado, que genera patrones, parámetros y perfiles del usuario basados en su comportamiento, hábitos y horas de acceso, e incluso velocidad y ritmo de escritura. “Si no podemos evitar que los cibercriminales roben o descubran las contraseñas, sí podemos detener que accedan a la aplicación o servicio. De tal forma, que no importa si tiene información robada, lo importante es que no pueden hacer nada con ella”. Según Helou, el programa tiene una probabilidad de uno en 100,000 para ser vulnerada y requiere que el cibercriminal cumpla o salte parámetros específicos. El ejecutivo asegura que este tipo de tecnología tiene la capacidad de aprender del usuario conforme éste utilice el sistema. Así, contrario a cambiar la contraseña cada tres o seis meses por seguridad, mientras más tiempo mantengas una clave de acceso, más información recolectará el programa sobre la forma en la que tecleas y más difícil será de vulnerar. Aunque en la mayoría de los casos el software no requiere estar instalado en la computadora y puede funcionar desde cualquier PC, sin importar su ubicación, Helou reconoce que el siguiente paso en la evolución de esta tecnología es el mundo móvil. “Estamos trabajando con operadores de telefonía e instituciones financieras para tratar de llevar esta tecnología a los equipos móviles. Sabemos que la convergencia está por llegar y que los equipos móviles serán los nuevos mecanismos de pago y acceso de servicios, y debemos trabajar para evitar, que alguien, que no eres tú, ingrese a los servicios de tu teléfono”, apunta.
En el arranque del siglo XXI empresas, gobiernos y usuarios observaron como la industria de la ciberseguridad comenzó a adaptarse ante dos cambios centrales: la expansión de internet y su evolución a la llamada web 2.0 y el nacimiento de la industria del cibercrimen, actividad que hoy supera en rentabilidad al tráfico de drogas. De acuerdo al documento The Future Security Environment 2009-2030, liberado por el departamento del Desarrollo de la Fuerza (CFD, por sus siglas en inglés) del gobierno de Canadá, en las próximas dos décadas los cimientos de la industria de la seguridad serán las computadoras y el internet. Desde simples robots o unidades automatizadas capaces de ejecutar controles de monitoreo y vigilancia de bajo costo, equipos biométricos de alto alcance y sensibilidad, hasta sistemas de monitoreo de redes o control de fuga de
información a base de nanotecnología y algoritmos computacional avanzados. Una cosa queda clara. En los próximos 20 años será la tecnología la que aprenderá no sólo a protegernos de los actos e intenciones criminales, sino también de nuestros errores humanos, en algunos casos incluso sin la intervención del hombre. Será momento de empezar a preguntar y ¿quién nos enseñará a protegernos de la tecnología?
Julio, 2010 b:Secure 11
acceso
VuLnerAn hAckers iTunes y youTube Los cibercriminales festejaron el día de la independencia de Estados Unidos comprometiendo dos de las plataformas de internet más famosas del orbe: YouTube de Google y iTunes de Apple. Por Sergio López
L
os cibercriminales no descansan ni en días festivos. Mientras la mayoría de los estadounidenses celebraban un aniversario más de su independencia, dos de los sitios o plataformas web más populares del mundo: iTunes y YouTube se enfrentaron a severos ciberataques de robo de información y daño a la infraestructura. De acuerdo con información liberada por SCMagazine, el primero en sufrir la embestida fue la popular página de videos You Tube. Esto, mediante una vulnerabilidad detectada en el sistema de comentarios del sitio web, conocida como Cross-site Scripting (XSS en inglés). El error en el código le permitió a los atacantes inyectar código HTML en una porción de las páginas, de la también llamada red social de videos, el cual desplegaba ventanas emergentes que direccionaban a los usuarios de YouTube a sitios con contenidos pornográficos. Según los reportes de seguridad, las principales páginas afectadas en YouTube por el ataque fueron aquellas relacionadas al cantante canadiense Justin Bieber. Incluso, cita SC Magazine, una de las ventanas emergentes contenía la leyenda “Noticas de última hora: Justin Bieber murió en un terrible accidente automovilístico, por favor visita la pagina de CNN para más información”. Google logró frenar los ataques después desactivar los comentarios y un par de horas después el sitio volvió a la normalidad. “Tenemos que trabajar sobre nuestra vulnerabilidad para evitar que esto se repita en el 12
b:Secure Julio, 2010
futuro”, declaró Jay Nancarrow representante de Google, empresa que dirige a You Tube. De acuerdo con un blog del Internet Storm Center, las vulnerabilidades de XSS normalmente son molestas para los usuarios, pero no generan ningún daño adicional. Sin embargo, los expertos mencionaron que este tipo de ataque también le permite a los cibercriminales inyectar códigos maliciosos a través de JavaScript para infectar usuarios o robar información. Golpe en seguridad para Apple El mismo 4 de julio, pero horas más tarde diversos sitios web comenzaron a revelar que una gran cantidad de cuentas de iTunes fueron hackeadas para consumir las aplicaciones creadas por un fantasma de la red vietnamita conocido como Thuat Nguyen, quién logró colocar 40 de sus aplicaciones entre las 50 más vendidas del AppStore. Aún no es claro como el criminal logró colarse al sistema y, a pesar de que su cuenta y sus aplicaciones han sido eliminadas, el error y robo de información han dejado en duda el filtro de la compañía para seleccionar las aplicaciones y sus sistemas para validar el trabajo y la identidad de sus desarrolladores. Según datos de Apple la plataforma de iTunes, que también integra su tienda de aplicaciones para iPhone, iPod Touch y iPad, cuenta con más de 100 millones usuarios registrados en todo el mundo, la gran mayoría de ellos han ingresado los números de sus tarjetas de crédito. l
Registre su proyecto antes del 30 Agosto
y demuestre que su dependecia es una de las más innovadoras
El reconocimiento más importante a la Innovación en IT
Registre su proyecto en www.innovadorassectorpublico.com Participe en la tercera edición de este importante estudio.*
Fecha límite 30 de agosto 2010. La premiación se llevará a cabo en el marco del Government Innovation Forum el 13 de octubre y los resultados se publicarán en la edición de octubre 2010 de InformationWeek México. *Su participación no tiene costo.
Lo deL mes Publica calderón la ley federal de Protección de datos Personales
luego de años de discusión de iniciativas, propuestas y modelos internacionales a seguir, además de meses de debate en el congreso, el presidente Felipe calderón por fin publicó y aprobó la ley federal de protección de datos personales en posesión de los particulares. Por Efraín ocampo y carlos Fernández de lara
L
uego de haber sido aprobada por la Cámara de Diputados y Senadores, el Ejecutivo Federal publicó a principios de julio en el Diario Oficial de la Federación (DOF) la Ley de protección de datos personales en posesión de los particulares, por la cual las empresas que operen en México que recaban, almacenan y utilizan datos personales estarán obligadas a a informar a su titular cuando la seguridad que los protege sea vulnerada. El Ejecutivo Federal expedirá el reglamento de la ley dentro del año siguiente a su entrada en vigor. Según el documento desplegado en el sitio web del DOF, la ley fue publicada el pasado cinco de julio del 2010, sin modificaciones por parte del Ejecutivo y entrará en vigor “al día siguiente al de su publicación en el Diario Oficial de la Federación”. Aquí un compilado de los artículos y capítulos más importantes de la nueva legislación.
En El capítulo 1: DisposicionEs gEnEralEs Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Artículo 2.- Son sujetos regulados por esta Ley, los particulares, sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. 14 b:Secure Julio, 2010
Como Netmedia y b:Secure publicaran anteriormente el Instituto encargado de regular el funcionamiento de la nueva legislación será el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI). Un tema sensible, pues diversos expertos en materia de seguridad y derecho informático afirmaron que, de no contar el IFAI con el presupuesto necesario, el impacto o alcance de la ley estará muy limitada en el mejor de los casos, o en el peor será letra muerta.
En El capítulo ii, sobrE los principios DE protEcción DE Datos pErsonalEs Estos son algunos de los lineamientos señalados por la nueva legislación. Artículo 6.- Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Artículo 8.- Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la presente Ley. En este rubro la ley estipula que el consentimiento deberá ser expresado entre el titular y la entidad privada de manera verbal, escrita, mediante el uso de medios electrónicos, ópticos o “cualquier uso de otra tecnología”. En el caso de los datos financieros o patrimoniales requerirán el consentimiento expreso del titular de los mismos. Artículo 9.- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. En su artículo 10 contempla que no será necesario el consentimiento del titular para el tratamiento de datos personales en ocasiones excepcionales.
Tales como: que los datos figuren en fuentes de acceso público, que tengan el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable, en caso de exista una situación de emergencia que pueda dañar a un individuo en su persona o en sus bienes o que sean necesarios para la atención médica, la prevención, diagnósti- c o , la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios. Artículo 14.- El responsable velará por el cumplimiento de los principios de protección de datos personales establecidos por esta Ley, debiendo adoptar las medidas necesarias para su aplicación. Lo anterior aplicará aún y cuando estos datos fueren tratados por un tercero a solicitud del responsable. El responsable deberá tomar las medidas necesarias y suficientes para garantizar que el aviso de privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guarde alguna relación jurídica. Artículo 15.- El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad. La legislación estipula que este aviso deberá contener de forma clara y transparente datos como: identidad y domicilio del responsable que los recaba, medios que ofrece para limitar la divulgación de sus datos y formas, mecanismos y procedimientos para acceder, rectificar o cancelar el derecho sobre los datos. Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Artículo 20.- Las vulneraciones (sic) de seguridad ocurridas en cualquier fase del tratamiento que afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán informadas de forma inmediata por el responsable al titular, a fin de que este último pueda tomar las medidas correspondientes a la defensa de sus derechos.
Un IFAI con nUevAs AtrIbUcIones De acuerdo con lo publicado por el ejecutivo en el DOF, el IFAI tendrá nuevas atribuciones y retos a raíz del nacimiento de la ley.
cAPÍtULo vI De LAs AUtorIDADes seccIón I DeL InstItUto Artículo 38.- El Instituto, para efectos de esta Ley, tendrá por objeto difundir el conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este ordenamiento. De acuerdo al artículo 39 estas serán algunas de las nuevas atribuciones del IFAI en materia de protección de datos: Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta Ley, en el ámbito de su competencia, con las excepciones previstas por la legislación;
• Proporcionar apoyo técnico a los responsables que lo soliciten. • Divulgar estándares y mejores prácticas internacionales en materia de seguridad de la información. • Rendir al Congreso de la Unión un informe anual de sus actividades; • Elaborar estudios de impacto sobre la privacidad previos a la puesta en práctica de una nueva modalidad de tratamiento de datos personales o a la realización de modificaciones sustanciales en tratamientos ya existentes. Sin embargo, el IFAI no estará solo como ente regulador sobre la nueva legislación. Conforme a la Sección II del Capítulo VI, la Secretaría de Economía también jugará un papel central para esta nueva legislación. Artículo 41.- La Secretaría (de Economía), para efectos de esta Ley, tendrá como función difundir el conocimiento de las obligaciones en torno a la protección de datos personales entre la iniciativa privada nacional e internacional con actividad comercial en territorio mexicano; promoverá las mejores prácticas comerciales en torno a la protección de los datos personales como insumo de la economía digital, y el desarrollo económico nacional en su conjunto.
LAs sAncIones Los capítulos IX y X de la ley establecen los procedimientos de sanciones e infracciones para los particulares, en caso de incumplimiento de la nueva legislación. El artículo 63 de la ley señala como causas de sanción o infracción algunas de las siguientes conductas. • No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley. • Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales. • Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable. • Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley. • Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos. • Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable. • Recabar datos en forma engañosa y fraudulenta. Las multas estipuladas en el DOF en caso de la violación o conducta inapropiada irán desde los 100, hasta los 320,000 días de salario mínimo. Al día de hoy, el salario mínimo vigente en el Distrito Federal asciende a $52 pesos. La ley de Protección de datos personales en posesión de los particulares, también implica nuevos riesgos para los responsables de seguridad CISO o CIO dentro de las organizaciones. De acuerdo al Artículo 67 el Instituto está en atribuciones de imponer de tres meses, hasta tres años de prisión “al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración (sic) de seguridad a las bases de datos bajo su custodia”. l Julio, 2010 b:Secure 15
for
business people
la Función De Por Adrián Palma Cuarta de cuatro partes
DeterminanDo la misión De su programa La misión del proyecto refleja la visión que se requiere para establecer el programa. Es generalmente un plan a largo plazo y es amplio en su definición. Debe describir adecuadamente el último estado del programa y de los objetivos deseados. Otras características a considerar son las siguientes: • Alineada con la misión de la empresa • Ampliamente comunicada y publicada • Que proporcione una visión amplia, radical, y convincente • Debe señalar responsabilidades relevantes de su programa, como la seguridad de la información y continuidad del negocio
Declaración De la misión Una declaración de misión es la declaración escrita de la intención, principios y objetivos de la misión del programa de seguridad de la información. Las declaraciones de la misión pueden proporcionar, claridad y dirección. Al desarrollar esta declaración, es importante mantenerla tan breve, sucinta, y relevante como sea posible.
DeterminanDo la estructura De su programa Estos factores son los que dirigirán e influenciarán la estructura de su programa de seguridad de la información: • Operacional contra lo no operacional • Centralización contra lo no centralizado
operacional contra lo no operacional El primer aspecto estructural a considerar es el grado de involucramiento que tendrá el programa de la seguridad en las operaciones de la organización. Para el propósito de este articulo, las operaciones estarán definidas como el curso del soporte y mantenimiento de la producción de un ambiente de TI. Cuando un programa de seguridad de la información es operacional, está directamente interrelacionado y es responsable de estas operaciones en curso. En un modelo no operacional, la oficina de seguridad de la información está alineada junto a los equipos operativos sin responsabilidades de soporte y mantenimiento. Veamos un poco más de cerca la estructura de cada función de seguridad. Como fue identificado anteriormente, una función de seguridad de la información operacional es generalmente responsable tanto de establecer políticas de seguridad y de dar soporte a varias funciones operacionales de todo el ambiente de TI. Consecuentemente, esto puede ser un aspecto significativo para reconocer la misión de seguridad en virtud de residir en el mismo equipo las funciones operacionales y de seguridad (en el debiera ser porque Segunda dela2mayoría partesde 16 b:Secure
Julio, 2010
¿el primer
las veces no ocurre así), sin agendas que estén en conflicto entre los miembros del equipo, puede ser más fácil que la gente trabaje junta, asegurándose de que la seguridad está incorporada sobre el ambiente de TI, vamos a ver los pros y los contra de construir un programa operacional de seguridad de la información.
pros De la Función De seguriDaD operacional • No hay agendas que están en conflicto y no hay ninguna venta implicada asegurando que los procesos son incorporados, seguidos, y mejorados por el personal. • El no tener agendas en conflicto combinadas con el acceso total a los recursos proporciona una perspectiva amplia para la cual se diseñan soluciones. • En general, permite el control de la seguridad relacionado con los dispositivos, herramientas, mecanismos y la infraestructura tecnológica. Así como el control del personal operativo proporciona una mayor continuidad entre las prácticas y procedimientos de seguridad operacional, el control de los dispositivos que hacen cumplir la infraestructura operacional de la organización proveerá ventajas similares: • La primera es la capacidad de obtener una visión global del medio ambiente, permitiendo una mayor integración y la integridad de las prácticas de seguridad en dichos dispositivos herramientas y mecanismos. • Garantiza que las iniciativas relacionadas con la seguridad consideran al negocio o requerimientos organizacionales, operaciones, y los impactos a la seguridad. • Permite la rápida reacción a los incidentes de seguridad.
contras De la Función De seguriDaD operacional • ¿Está vendido? ¿Cree que el modelo operativo es el camino a seguir? Vamos a describir algunos de los posibles efectos negativos los aspectos de una función operativa: • Si está ejecutando un entorno de Operaciones 24X7, puede que necesite apoyo las 24 horas del día de trabajo del personal y tendrá que estar listo para trabajar a cualquier horario. • La misión y los objetivos de seguridad de la información y las necesidades reales del negocio u organización pueden entrar en conflicto. Típicamente, la operación está interesada en hacer las cosas rápidas, baratas y de forma eficaz. Seguridad de la información debería estar preocupado por los principios de seguridad: confidencialidad, integridad y disponibilidad. • Soporte al cliente la expectativa de muchos elementos en las operaciones del cliente es la disponibilidad del 99.999%. Cualquier cosa menos que
seguridAd
r PASo A SEGuIr? eso puede dar lugar a clientes insatisfechos. Esto también está relacionado con los temas anteriores, objetivos contradictorios. • Otro punto importante es que ahora es 100% responsable del análisis, diseño, desarrollo, pruebas, despliegue y administración de cualquier iniciativa de seguridad. Si algo sale mal, la función de seguridad será totalmente culpable. • La construcción del equipo será mucho más complicada debido al aumento de la complejidad y la interacción de los skills requeridos por todos los miembros del equipo. Una función de seguridad no operacional (normativa) es aquella que no posee ninguna autoridad o responsabilidad para el apoyo continuo y el mantenimiento de la producción en el entorno de IT. Esto puede resultar en la garantía de que la función trabajará con una misión, políticas, estándares, guías, baselines y procedimientos, además de cumplir con cualquier tipo de auditoría ya que el objetivo será trabajar con un nivel de riesgo aceptable. El objetivo general será el de identificar el riesgo y recomendar soluciones para reducir o mitigar esos riesgos. En este modelo, las soluciones que identifica la función de seguridad de la información serán aplicadas por los dueños y custodios y no por elementos de la función de seguridad de la información. A continuación nos ocuparemos de algunos de los pros y contras de una función de seguridad no-operacional.
Pros de lA Función de seguridAd no oPerAcionAl • Permite a su equipo centrarse en conceptos y actividades reales de seguridad, en lugar de aspectos operacionales. • Los skills requeridos para un equipo no-operacional son de mayor nivel comparados a una oficina de seguridad operacional. Porque las responsabilidades son más complejas ya que es mucho más difícil realizar un análisis de riesgos o un programa de awareness que la configuración de firewalls o IP´s • Una mayor capacidad de planear los proyectos, ya que estos no afectan tanto como los aspectos del día a día de las operaciones de la organización aunque tampoco se trata de que entremos en el clásico análisis hace parálisis. • El éxito inicial del programa es más fácil de alcanzar porque los proyectos a entregar de seguridad no son relacionados a la operación. • Percepción de un bajo costo de la seguridad. Este concepto se alinea directamente al tamaño y al alcance de la función de seguridad el programa
de seguridad de información tendrá generalmente un presupuesto a nivel de otras áreas de la organización o se compartirá dicho costo entre las distintas áreas involucradas con la seguridad.
contrAs de lA Función de seguridAd no-oPerAcionAl Los aspectos negativos de una función de seguridad no-operacional se asocian sobre todo a la carencia del control sobre las áreas críticas que afectan directamente al programa. Esto es análogo a un coach de bateo que puede enseñar a los bateadores a cómo pegar un home-run, pero finalmente el bateador necesita seguir sus instrucciones y puede resultar frustrante si los demás integrantes del equipo no tienen las habilidades o no cumplen con las instrucciones dentro del diamante. • Carencia de dar prioridad a la ejecución de las tareas o actividades de seguridad ya que esta es una prioridad de nivel 2 por lo tanto primero está la operación y el servicio. • Disponibilidad de los recursos. Los recursos son activos fijos el tener un proyecto relacionado con la seguridad no quiere decir que los recursos estén disponibles para implementarlo. • Calidad de recursos, así como no todas las iniciativas de seguridad son las mismas, no todos los profesionales de TI poseen la misma habilidad, aptitudes y ética. Las iniciativas son dependientes de alguien más en áreas operacionales, para que personal ejecute y maneje el proyecto. Hay que garantizar que la gente responsable de ejecutar estas iniciativas esté en el equipo. • La función de seguridad posee el riesgo, pero no la capacidad de mitigarlo. Por ejemplo, si se identifica un riesgo y se presentan a los responsables de la operación los planes de la mitigación, la falla al prevenir un riesgo sigue siendo a menudo responsabilidad de la función de seguridad. • Requiere una planeación a detalle y robusta para tener éxito. • Un costo más alto de seguridad, la razón para esto es la acrecentada burocracia y complejidad de la comunicación en las organizaciones con respecto a la seguridad. • Asegurar una continua integridad de la seguridad es difícil una vez que una solución se despliega a la operación. Obviamente, los pros y las contras que hemos enumerado arriba son generales, y variarán dependiendo de la organización, naturaleza, tamaño, clima político etc. de su organización. l
Adrián Palma es licenciado en Informática cuenta con más de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integrida-
ta, tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, y de la maestría de seguridad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Julio, 2010
b:Secure 17
laleyyeldesorden 2.0 .
unidad de víctimas del cibercrimen
La industria de it ya tiene su manuaL Por Joel A. Gómez Treviño El pASADO 13 DE JulIO DE 2010, SE publICó El ACuERDO pOR El quE SE ExpIDE El MAnuAl ADMInISTRATIVO DE AplICACIón GEnERAl En MATERIA DE TECnOlOGíAS DE lA InfORMACIón y COMunICACIOnES. Aquí un COMpEnDIO DE lOS CApíTulOS y SECCIOnES MÁS IMpORTAnTES. Dicho Acuerdo, entre otros, considera que: El Plan Nacional de Desarrollo 2007-2012, establece como estrategia para lograr el objetivo 10 del Eje Rector “Estado de Derecho y Seguridad”, la ampliación de los programas de simplificación administrativa y mejora regulatoria en toda la administración pública, procurando que los cambios tengan un impacto directo en el combate a la discrecionalidad, la arbitrariedad o la corrupción; Se revisó el marco jurídico aplicable en materia de tecnologías de la información y comunicaciones, para identificar aquellas disposiciones o procedimientos, tanto de carácter general como interno, que en la actualidad no garantizan procesos, trámites y servicios eficaces; Que el presente Acuerdo tiene por objeto establecer las disposiciones administrativas en materia de tecnologías de la información y comunicaciones que se deberán observar en el ámbito de la Administración Pública Federal y, en lo conducente, en la Procuraduría General de la República, como parte de la estrategia de gobierno digital orientada a coordinar las políticas y programas en esa materia, para homologar y armonizar reglas y acciones definidas y contar con procesos uniformes para el aprovechamiento y aplicación eficiente de las tecnologías de la información y comunicaciones, lo que redundará en el mejoramiento de las políticas y normas de aplicación general y, en consecuencia, en el incremento de la efectividad de las instituciones públicas [...] Este acuerdo tiene dos particularidades, solamente tiene 9 artículos (1.5 cuartillas) y un Anexo, que en total forman un documento de 175 páginas. A continuación citamos y/o comentamos algunos de los artículos y definiciones del Anexo. Capítulo I.- Objeto, Ámbito de Aplicación y Definiciones. Artículo Primero.- El presente Acuerdo tiene por objeto establecer las disposiciones administrativas en materia de tecnologías de la información y comunicaciones, y expedir el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones, que en términos del Anexo Único del presente Acuerdo, forma parte integrante del mismo. El Manual a que se refiere el párrafo anterior contiene las reglas, acciones y procesos que en materia de tecnologías de la información y comunicaciones deberán observar de manera obligatoria, las dependencias y entidades de la Administración Pública Federal y, cuando corresponda, la Procuradu18 b:Secure Julio, 2010
ría General de la República. Por si hubiera duda, el Artículo Segundo nos deja claro (en dos definiciones) quiénes están obligados a cumplir el Acuerdo: I. Dependencias: las secretarías de Estado, incluyendo a sus órganos administrativos desconcentrados y la Consejería Jurídica del Ejecutivo Federal, así como las unidades administrativas de la Presidencia de la República, conforme a lo dispuesto en la Ley Orgánica de la Administración Pública Federal. La Procuraduría General de la República será considerada con este carácter en lo que el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones le resulte aplicable conforme a lo previsto en su Ley Orgánica; II. Entidades: los organismos públicos descentralizados, empresas de participación estatal mayoritaria y fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública Federal Paraestatal; Capítulo II.- De los Responsables de su Aplicación. Artículo Tercero.- Los titulares de las dependencias y entidades, en el ámbito de sus respectivas atribuciones, realizarán las acciones que estimen necesarias para que se cumpla de manera estricta lo dispuesto en el presente Acuerdo. Artículo Cuarto.- Los titulares de las dependencias y entidades, en el ámbito de sus respectivas atribuciones, instruirán lo conducente para que se dejen sin efecto los acuerdos, normas, lineamientos, oficios circulares y demás disposiciones o procedimientos de carácter interno que se hubieren emitido en materia de tecnologías de la información y comunicaciones que no deriven de facultades expresamente previstas en leyes y reglamentos. Capítulo IV.- Interpretación, Seguimiento y Vigilancia. Artículo Séptimo.- La interpretación del presente Acuerdo y del Manual, para efectos administrativos, la resolución de los casos no previstos en el mismo, corresponde a la Secretaría, a través de la Unidad. Artículo Octavo.- Los procesos y procedimientos contenidos en el Manual a que se refiere el presente Acuerdo deberán revisarse, cuando menos una vez al año, por la Secretaría, a través de la Unidad, para efectos de su actualización.
ANEXO ÚNICO: 1. DEFINICIONES Y TÉRMINOS Activo de TIC: La información, base de datos, programa de cómputo, informático físico, sistema o aplicativo, relacionados con el tratamiento de la misma; que tengan valor para la Institución. Certificado digital: El registro electrónico de datos que garantiza la autenticidad de los datos de identidad del titular del certificado. NOTA: Esta definición no coincide con otras del marco jurídico nacional que supuestamente “revisaron”: Código de Comercio, Art. 89.- Certificado: Todo Mensaje de Datos u otro registro que confirme el vínculo entre un Firmante y los datos de creación de Firma Electrónica. NOM-151-SCFI-2002, Art. 3.28.- Certificado Digital: Al mensaje de datos firmado electrónicamente que vincula a una entidad con una clave pública. Código Fiscal de la Federación, Art 17-D.- Certificado: Para los efectos mencionados en el párrafo anterior, se deberá contar con un certificado que confirme el vínculo entre un firmante y los datos de creación de una firma electrónica avanzada, expedido por el Servicio de Administración Tributaria cuando se trate de personas morales y de los sellos digitales previstos en el artículo 29 de este Código, y por un prestador de servicios de certificación autorizado por el Banco de México cuando se trate de personas físicas. Datos personales: La información concerniente a una persona física, identificada o identificable, entre otra, la relativa a su origen étnico o racial, o que esté referida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o mentales, las preferencias sexuales, u otras análogas que afecten su intimidad. NOTA: Esta definición no coincide con otras del marco jurídico nacional que supuestamente “revisaron”: Ley de Protección de Datos Personales para el Distrito Federal, Art. 2.- Datos Personales: La información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen étnico o racial, características físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular, correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el ADN y el número de seguridad social, y análogos; Ley Federal de Protección de Datos Personales en Posesión de Particulares, Art. 3.- Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Interesante también la categorización de datos personales que hacen los “Lineamientos para la Protección de Datos Personales en el Distrito Federal” en su artículo 5. Me abstengo de incluirla porque es un poco larga y poco relevante para los propósitos del presente post. Documento electrónico gubernamental: El instrumento que contiene datos y/o información, enviada, recibida o almacenada por dispositivos de TIC, que usa la firma electrónica avanzada para auten-
ticar la información que se intercambia entre los sistemas o aplicativos de las Instituciones. Esta información puede consistir en acuerdos, actas, atentas notas, cartas, circulares, dictámenes, informes, invitaciones, memorandos, minutas, notas informativas, oficios, solicitudes y volantes, así como los archivos que se adjunten. NOTA: Sin considerar la palabra (orientación) “gubernamental”, esta definición no coincide con otras del marco jurídico nacional que supuestamente “revisaron”: Firma Electrónica Avanzada: Los datos en forma electrónica que permiten la identificación de titular del certificado digital correspondiente; ha sido creada por medios electrónicos bajo exclusivo control del titular, de manera que está vinculada únicamente al mismo y a los datos a los que refiere. NOTA: Esta definición no coincide con otras del marco jurídico nacional que supuestamente “revisaron”: Código de Comercio, Arts. 89 y 97.- Firma Electrónica Avanzada o Fiable.- La Firma Electrónica se considerará Avanzada o Fiable si cumple por lo menos los siguientes requisitos: I. Los Datos de Creación de la Firma, en el contexto en que son utilizados, corresponden exclusivamente al Firmante; II. Los Datos de Creación de la Firma estaban, en el momento de la firma, bajo el control exclusivo del Firmante; III. Es posible detectar cualquier alteración de la Firma Electrónica hecha después del momento de la firma, y IV. Respecto a la integridad de la información de un Mensaje de Datos, es posible detectar cualquier alteración de ésta hecha después del momento de la firma. Gobierno digital: Las políticas, acciones y criterios para el uso y aprovechamiento de las tecnologías de información y comunicaciones, con la finalidad de mejorar la entrega de servicios al ciudadano; la interacción del gobierno con la industria; facilitar el acceso del ciudadano a la información de éste, así como hacer más eficiente la gestión gubernamental para un mejor gobierno y facilitar la interoperabilidad entre las Instituciones. Infraestructura de TIC: El hardware, software, redes e instalaciones requeridas para desarrollar, probar, proveer, monitorizar, controlar o soportar los servicios de TIC. El término infraestructura de TIC incluye todas las TIC pero no las personas, procesos y documentación asociados. Marco rector de procesos en materia de TIC: El conjunto de procesos tendientes a la homologación de la gestión interna de las UTIC, así como a eficientar la elaboración y entrega de servicios digitales al ciudadano y los mecanismos de medición del desempeño de los procesos. Seguridad de la información: La capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información. Vulnerabilidad: La debilidad en la seguridad de la información dentro de una organización que potencialmente permite que una amenaza afecte a un activo de TIC. Esto únicamente es una pincelada de un manual mucho más extenso y complejo, que habrá que analizar a detalle y, sobre todo seguir de cerca para conocer el impacto y alcance que tiene sobre el sector de las Tecnologías de la Información. Pero eso será tema de otra columna, por esta ocasión el espacio se me ha acabado. l
Joel Gómez es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. abogado@joelgomez.com
Julio, 2010 b:Secure 19
sinnúmero Los confianzudos e incréduLos
Fenómenos como Facebook y Twitter han dejado en evidencia que para los cibercriminales no existe mejor arma para vulnerar sistemas de cómputo o robar información que el exceso de confianza e incredulidad del ser humano. El problema radica, que a pesar de las fuertes campañas de concientización, en torno al cuidado y resguardo de los datos personales y la exposición en perfiles de redes sociales, los usuarios continúan compartiendo información sensible con completos desconocidos. De acuerdo a una encuesta publicada por McAfee el sector menos cuidadoso de su información en redes sociales y dentro del web son los adolescentes, grupos vulnerables a robo de identidades, casos de pornografía infantil y casos de abuso sexual o violencia física y psicológica. Aquí un vistazo a estos descuidados
Casi 70% de los usuarios entre los 12 y los 20 años comparten datos personales como su ubicación en redes sociales o dentro de foros web. Cerca del 30% de los encuestados reconocieron mantener conversaciones en internet con completos desconocidos. EL estudio revela que 32% de las mujeres mantiene pláticas con desconocidos en el web, contra 24% de los hombres. McAfee detectó que 43% de los adolescentes comparten datos personales con extraños como su nombre completo, 24% entrega su dirección de correo electrónico, otro 18% publican o mandan fotos y 12% da el número de su teléfono celular. El control para los padres es complejo, pues
87% de los jóvenes reconocieron acceder a su perfil de redes sociales o foros web a través de computadoras ajenas a su hogar o desde su teléfono móvil.
20 b:Secure Julio, 2010
seguro… que lo quieres Un XboX sin aro rojo de la mUerte Durante el pasado E3 en la ciudad de los Ángeles, Estados Unidos, Microsoft presumió al mundo la salida de su control de movimiento para su consola de videojuegos Xbox 360, Kinect. Junto al nuevo periférico la compañía también presentó uno nueva versión de la consola Xbox 360. Aquí las razones que podrían convencerte a renover modelo.
SEGURO QUE LO QUIERES • El diseño, más estético que el anterior, y en negro brilloso hará que tu negro brilloso hará que tu consola luzca elegante en tu sala o cuarto de juegos. juegos.
UN vIStazO a La NUEva NEGRa caja
Disco duro d e 250 GB Wi-Fi revisión 802.11n inte grado Sistema de ventilación m á s silencioso Botones sen sibles al tact o en la consola 5 puertos U SB Entradas de HDMI, Audio óptico y Kin Integrados C ect PU y GPU en un Chipset de 45 nanóm etro
integrado. Basta de gastar en • Tiene 250GB en disco duro y Wi-Fi integrado. Basta de gastar en de los $1,500 pesos. accesorios adicionales que están por arriba de los $1,500 pesos. • Su regulador de corriente es más pequeño, porque el anterior lo porque el anterior lo personal o mueble. podías utilizar como arma de defensa personal o mueble. • Tiene entrada para el control de movimiento Kinect. Ya no puedes Kinect. Ya no puedes esperar para jugar parado, brincar y moverlos los brazos como moverlos los brazos como demente. • En los últimos cuatro años has mandado a servicio más de cuatro servicio más de cuatro Xbox 360 por el problema del “aro rojo de la muerte”. Esta versión muerte”. Esta versión promete ser inmune al error.
SEGURO QUE NO LO QUIERES POR • Microsoft sigue sin entender que las películas en Blu-Ray ya películas en Blu-Ray ya no son tan costosas y su consola sí sigue sin reproducirlas. reproducirlas. • No piensas comprar un nuevo Xbox 360, hasta que hasta que Microsoft te pague los más de $3,000 pesos que pagaste que pagaste para tener Wi-fi y un mejor disco duro en tu viejo Xbox 360. viejo Xbox 360. • Ya tienes Sony PlayStation 3 y Nintendo Wii, eso de tener eso de tener una consola más te parece un abuso. • El hecho de que el nuevo Xbox 360 sea compatible con compatible con Kinect te da lo mismo. Eso de jugar sin control es como control es como bailar sin pareja, no es lo mismo.
Mayo, 2010 b:Secure 21