bSecure - Septiembre 2010 by Netmedia

$80.00 M.N.

Septiembre 2010 · 65 · www.bsecure.com.mx

EMPOWERING BUSINESS CONTINUITY

Ya no hay marchas atrás. Las computadoras, los teléfonos inteligentes y el Internet han dado nacimiento a un fenómeno que ningún CIO o CISO, por más que desee, podrá detener: el uso y masificación de las redes sociales en los negocios

eMedia eMedia Redes Redes Sociales Sociales Webcast Webcast Podcast Podcast Blogs Blogs Revistas Revistas Digitales Digitales eNewsletter eNewsletter

Lﾃｭder en

Custom New eMedia

SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTﾃ，TENOS www.netmedia.info t. 2629 7260 ext. 1125

SEP 2010

ACCESO

AMENAZA A SECTOR FINANCIERO MEXICANO CRECIMIENTO DE CIBERATAQUES

Durante el primer semestre de 2010, la SSP registró un incremento de 217% en el número de ataques cibernéticos semanales con respecto al año pasado

ACCESO

PAGAN EMPRESAS HASTA $3.8 MILLONES DE DÓLARES POR BRECHAS DE SEGURIDAD

Los ataques web, los que utilizan códigos maliciosos y los ejecutados por los mismos empleados acapararon 90% de los costos por brechas de seguridade.

B:SECURE FOR BUSINESS PEOPLE

LA SEGURIDAD DE LA INFORMACIÓN COMO UNA FUNCIÓN EMPRESARIAL Para que sea relevante y exitosa, la función de seguridad de la información debe ser vista y tratada como una función de negocios.

LA LEY Y EL DESORDEN

MÉXICO ESTRENA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES

Luego de una década de espera México por fin cuenta con esta legislación. Qué paso en el camino y dónde estamos parados. Nuestro experto legal hace el recuento.

ÁREA RESTRINGIDA

10 THE DARK SIDE OF SOCIAL MEDIA Ya no hay marchas atrás. Las computadoras, los teléfonos inteligentes y el Internet han dado nacimiento a un fenómeno que ningún CIO o CISO, por más que desee, podrá detener: el uso y masificación de las redes sociales en los negocios.

04 LOGIN

20 SINNÚMERO

LAS VULNERABILIDADES DE LOS ARCHIVOS LNK Y DEL PROTOCOLO WPA2

El sistema de atajos de Windows LNK y los prótocolos de seguridad inalámbricos WPA2 ocupan el escenario de las vulnerabilidades de este mes para nuestro experto.

SEGURO QUE LO QUIERES

SI NO TE GUSTA LO PUEDES REGRESAS: APPLE

El iPhone 4 ya está en México. Con o sin problemas nos preguntamos ¿Dejarás que la manzana de la discordia te tiente?

Septiembre, 2010 B:SECURE 1

ENLÍNEA BSECURE.COM.MX

Mónica Mistretta DIRECTORA GENERAL Carlos Fernández de Lara DIRECTOR EDITORIAL

OFRECE DELL NAVEGADOR WEB CON SEGURIDAD GRATIS

Dell liberó un navegador seguro denominado como Dell KACE para proteger a las compañías contra malware, redireccionamientos y cross-site scripting que pongan en riesgo su información y seguridad. KACE ya está disponible para su descarga y pretende impedir que los usuarios sean llevados a sitios web maliciosos o inapropiados al ‘envolver’ a un navegador Firefox 3.6 en una aplicación construida con tecnología de virtualización llamada ‘Virtual Kontainer’. No sorprende que junto con la descarga Dell haya incluido los plug-in de Adobe Reader y Flash. El navegador seguro de Dell promete contener las amenazas antes de que se conviertan en un problema difícil de solucionar. Para los entornos empresariales, la aplicación de administración KACE K1000 ayudará a las organizaciones a gestionar los Navegadores Seguros mediante el uso de listas blancas y negras a través del monitoreo de estadísticas. Dicha aplicación tiene costo y es para las empresas de 100 a 10,000 empleados. La versión de lanzamiento es para versiones de 32 bits de Windows XP, Vista y 7, que soporten al navegador Firefox. De acuerdo con el presidente de KACE de Dell, Rob Meinhardt, la compañía procura dar soporte también para Internet Explorer (IE) de Microsoft, aunque será más difícil por ser una tecnología propietaria y no de código abierto como Firefox.

Elba de Morán DIRECTORA COMERCIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL

POLÉMICA ENTORNO A ADOPCIÓN DE ‘BOTÓN DE PÁNICO’ POR FACEBOOK Facebook se une a Bebo y Myspace al incorporar el polémico ‘botón de pánico‘, una iniciativa que impulsara el Centro de Protección Online de Menores (CEOP, por sus siglas en inglés) del Reino Unido. El botón permite a los menores de edad ponerse en contacto con las autoridades correspondientes al ser víctimas de algún tipo de abuso en la red social de la que sea usuario. Aunque hoy parece haber una buena relación entre la popular red social y el CEOP, durante las negociaciones la situación fue completamente distinta pues fueron ríspidas y se llevaron a cabo en medio de acusaciones contra Facebook y sus endebles prácticas para proteger la seguridad de los menores. Según la red social, al final las cosas son como ellos decidieron y no como el Centro quería, que demandaba que el botón fuera instalado en la página de inicio. El CEOP acusó públicamente a MySpace y Facebook de resistirse a adoptar el botón de pánico como una medida de protección, tras la cual Myspace cedió enseguida. Sin embargo, Facebook respondió que hace un mejor trabajo en la protección de los menores y habló de los acuerdos que tiene con la policía de Reino Unido y de otros países para crear un entorno seguro para los menores de edad. No obstante, Facebook finalmente ha decidido apoyar al botón de pánico pero ha condicionado su uso. Facebook por el momento seguirá trabajando en su página de seguridad, la cual ademas de tener un alcance global ofrece educación para evitar situaciones riesgosas a niños, padres y maestros.

Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

AUNQUE ME CORRAN

Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

FABUOLUS BLOG

TEMA LIBRE

Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

2 B:SECURE Septiembre, 2010

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info

CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez, Mario Velázquez. COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, Elihú Hernández, Mario Velazquez, Alberto Ramírez EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert

REPORTE PREVÉ OLA DE ATAQUES CON MAYOR COMPLEJIDAD Que los ataques tradicionales sean menos efectivos no es precisamente una buena noticia, pues expertos en seguridad preveén que esa sea la razón para que el cibercrimen opte por ataques combinados que burlen sistemas de detección por más sofisticados que sean. De acuerdo con el último reporte bianual del Laboratorio de Seguridad de M86, en el futuro proliferarán ataques combinados que utilicen el lenguaje JavaScript y el ActionScript de Adobe para burlar y anular los más novedosos mecanismos de detección proactiva. “Los métodos tradicionales como los robots que envían spam y código dinámico de ofuscación aún son muy utilizados. Sin embargo, la primera mitad de 2010 ha visto emerger nuevos métodos avanzados, como los ataques combinados”, dijo Bradley Anstis, vicepresidente de estrategia tecnológica de M86 Security. Anstis subrayó que los cibecriminales buscan con mayor ahínco vulnerar los mecanismos más avanzados de detección de amenazas en internet para lograr sus objetivos. Situación que complica el panorama para los proveedores y para los usuarios.

Un ejemplo claro es el software Flash de Adobe, que está escrito en ActionScript y que actualmente es explotado en ataques combinados con JavaScript, el lenguaje en el que están escritos diversos componentes de una página web. Para ventaja de los atacantes, Flash tiene una interfase incluida desde su desarrollo para JavaScript, facilitando así la comunicación entre ambos lenguajes. Otra de las tendencias, que M86 observó durante la primera mitad del año, es que la estructura de ataque de algunas de las botnets más poderosas del web, como la Asprox, operan como robot spammers y atacan de manera automática sitios web que utilizan Microsoft Active Server Pages (ASP). Asprox infectó alrededor de 10,000 sitios en sólo tres días, durante junio pasado. El análisis de la compañia confirmó que el volumen de spam continúa creciendo. Según el reporte, pues se estima que entre uno y tres por ciento de todo el spam contenga códigos maliciosos. El resto, es usado por tiendas en línea de dudosa credibilidad que buscan llevar tráfico a sus sitios web. Los programas que esos negocios utilizan para enviar spam están a la venta en el mercado negro en Internet, son fáciles de conseguir y relativamente baratos.

ASOCIACIONES DE INTERNET, IT Y CABLEROS EN MÉXICO RECHAZAN ACTA EN INTERNET ACTA sí, pero en internet no, reclaman las asociaciones que aglutinan las empresas que operan en internet, de cableros y de las tecnologías de la información basadas en México. En un documento, la Asociación Mexicana de Internet (AMIPCI), la Asociación Mexicana de la Industria de Tecnologías de la Información (AMITI) y la Cámara Nacional de la Industria de Electrónica, Telecomunicaciones y Tecnologías de la Información (Canieti) consideran que el Acuerdo Comercial Anti-falsificación (ACTA, por sus siglas en inglés) es anticonstitucional. En un documento dirigido a la Secretaría de Economía las organizaciones empresariales acusaron al tratado internacional de intentar convertir en “policías” a los proveedores de servicios de internet (ISP), para perseguir a los usuarios que intercambien sin autorización contenidos y propiedad intelectual protegida. Los borradores que han circulado por internet proponen en la sección 4 que el ISP tendría que deshabilitar o impedir el acceso a los contenidos protegidos que sean transmi-

tidos o almacenados sin autorización de la entidad que tenga los derechos, posterior a su notificación legal. Asimismo, ACTA busca que se castigue con las leyes locales la falsificación de marcas y la piratería en internet de contenidos protegidos. Una de las propuestas es castigar a los usuarios a través de la limitación del servicio que ofrecen los proveedores de servicios de internet (ISP) o proveedores de servicios en línea. Las asociaciones consideran que la aprobación del tratado impactará negativamente al comercio electrónico legal y a los servicios de comunicaciones. Además, señalaron que la aprobación del ACTA violaría el artículo 14 constitucional, al hacer alusión al monitoreo que pretende el Acuerdo que ejerzan los ISP a los usuarios sobre sus actividades en internet.

A T C A

4 B:SECURE Septiembre, 2010

INGENIERÍA, AUTOMOTRIZ Y TURISMO LOS MÁS AFECTADOS POR SPAM Empresas del sector de ingeniería, automotriz y de turismo son los principales blancos de ataque por spam, reveló un estudio hecho por Symantec. La lista la encabeza la industria de la ingeniería, pues del total de correos electrónicos diarios que recibe este sector 94.1% son spam. Le siguen las empresas automotrices con un 92.9% de correo basura del total, y en tercer lugar con 90.5% las empresas de la industria hotelera, según un reporte especial del laboratorio de mensajes de la firma. El reporte, publicado en el sitio web de la compañía, dio a conocer que las empresas medianas reciben más spam que las grandes compañías, lo mismo pasa con las áreas que están cerca de medianas o de grandes empresas, las primeras son más afectadas que las segundas. “El spam no es simplemente una molestia a las empresas, sino una amenaza real que puede consumir los

recursos y poner en riesgo información valiosa independientemente de su ubicación”, dijo Paul Wood, analista senior de MessageLabs Junto a los problemas de consumo de ancho de banda de las compañías, el spam puede funcionar como puerta de entrada o enlace para el robo de información, infección por códigos maliciosos y los ataques de phishing. El mismo análisis de Symantec afirma que 90% del total del spam, que invade las bandejas de entrada de los negocios de todo el mundo, es generado por alrededor de cinco o seis millones de computadoras comprometidas por códigos maliciosos y redes bot. “Estos millones de PC, comprometidas por cibercriminales, son administradas a través de redes bot bien organizadas, las cuales mandan alrededor de 120,000 millones de correos basura al día”, cita el reporte de la compañía. Según un estudio hecho por Sophos, Estados Unidos es el país con más spam en el mundo, con 15.2% de estos mensajes. Seguido por la India, en tercer lugar Brasil y reino Unido y Corea del Sur al final de la lista.

VISA Y MASTERCARD NUEVOS BLANCOS DEL TROYANO ZEUS Una nueva configuración del potente troyano, Zeus, ha suplantado la identidad de Visa y MasterCard en distintas páginas de internet, engañando a cientos de cuentahabientes al ofrecerles, mediante phishing, una mejor protección en sus pagos, informó la firma de seguridad Trusteer. De acuerdo con la información publicada en el sitio web de la firma, al momento de que los internautas se conecta a alguno de los 15 sitios bancarios comprometidos, el troyano despliega una pantalla “copia” de dos de los servicios bancarios más utilizados “Verificado por Visa” (Verified By Visa) y “MasterCard SecureCode”. Ambos son parte del los programas usados por los bancos para la protección de las cuentas bancarias, al realizar movimientos o transacciones en línea. Las pantallas falsas, según informó Amit Klein, CTO de Trusteer, incitan a los usuarios a colocar su número de seguridad social, el de su tarjeta de crédito o débito y su clave de acceso o PIN bancario. Datos que son recolectados por los cibercriminales para la generación de fraudes bancarios. “Aunque para muchos usuarios de la banca en línea, el hecho de que las pantallas falsas les pidan sus datos de ingreso, puede parecer extraño. El hecho de que el troyano aproveche servicios financieros de uso masivo y legítimos como Visa y MasterCard coloca este ataque de phishing como uno de los más peligrosos de los últimos meses”, explicó Klein de Trusteer.

Cabe recordar que el troyano Zeus es uno de los malware más peligrosos para el sector financiero, pues el código malicioso extrae sumas menores de las cuentas comprometidas para no activar las alertas de los sistemas bancarios, e incluso puede eliminar de los estados de cuentas los retiros de efectivo realizados por los cibercriminales.

Dado que el malware actúa como botnet tiene la capacidad de propagarse y comprometer la mayor cantidad de equipos en poco tiempo. Del mismo modo, al momento de robar las contraseñas el malware las envía de forma inmediata a su Centro de Comando. El experto de Trusteer mencionó que de los más de tres millones de equipos infectados por Zeus desde 2009, más del 55% eran computadoras que contaban con sistemas de seguridad originales y actualizados. Según los datos de la firma, se estima que uno de cada 100 sistemas de cómputo, ya están infectados con este malware.

BREVES Blue Coat Systems liberó Reporter 9.2, la última versión de su herramienta de reporteo de vulnerabilidades que permiten a los administradores de seguridad evaluar los riesgos existentes e identificar rápidamente a los usuarios infectados por malware o virus. Esta nueva versión analiza la información de navegación desde las capas de entrada a Internet, las defensas de cloud, incluyendo las aplicaciones de Blue Coat ProxySG y ProxyAV así como los dispositivos WebFilter y ProxyClient. Websense y Microsoft anunciaron la extensión de la integración de Websense Data Loss Prevention, solución que cuenta con la tecnología Windows Server 2008 R2 File Classification Infrastructure de Microsoft. Esta solución permite la identificación, clasificación y remediación automática de datos sensibles con políticas de seguridad administradas centralmente, para ayudar a las organizaciones a cumplir los crecientes requerimientos regulatorios y de seguridad. Kaspersky desarrolló Threatpost para iPhone. La aplicación descargable para los dispositivos móviles de Apple (iPhone, iPod Touch y iPad) promete contener toda la información de noticias y comentarios de ciberseguridad del sitio web que incluye artículos de seguridad, editoriales, podcasts y vodcasts. El programa puede ser descargado desde iTunes en la computadora o, directamente desde el dispositivo a través de la AppStore. Septiembre, 2010 B:SECURE 5

ACCESO Mientras el puntocom californiano propone un tiempo máximo de dos meses para que los desarrolladores de software corrijan las vulnerabilidades en su software, 38 Estados de la Unión Americana investigan a la firma por violar leyes de privacidad de datos

GOOGLE DEFIENDE LA SEGURIDAD POR LA QUE ES DEMANDADO

Google gobiernos Europeos y el mismo Estados Unidos le aplican la frase: “no hagas cosas buenas que parezcan malas, ni malas que parezcan buenas”. Esto luego de que países como Alemania, España y Reino Unido criticaran a la compañía web por recolectar datos de redes inalámbricas públicas, a través de su servicio Street View. Para colmar el vaso de problemas, 38 estados de la Unión Americana se adhirieron a la investigación contra Google para determinar si cometió alguna infracción al recabar datos, mientras tomaba imágenes para su programa de mapas Street View. El fiscal general del estado de Connecticut, Richard Blumenthal, dijo que la postura de estos estados coincide con las investigaciones que hay contra Street View en otras partes del mundo, dieron a conocer diversos sitios web y medios internacionales como la BBC. “Google debe estar completamente limpio y explicar porqué sucedió esta invasión a la intimidad personal”, citó la BBC al fiscal general. El fiscal le exige a Google que proporcione el nombre o nombres de los responsables del software espía, y si no se habían realizado pruebas del software en los “carritos Street View” antes de enviarlos a las calles de todo el orbe. Aunque Google reconoció en mayo que la flota de vehículos que usa para dar soporte a Street View había recogido información de redes Wi-Fi no protegidas, el gigante de Internet justificó el robo de información personal como un error de software y no como una acción ilegal. El creador de Street View ya fue llamado a declarar ante la coalición de los 38 estados para explicar qué el uso y los procedimientos que ha tomado con respecto a la información recabada y de qué lugares en específico fue recogida. En Reino Unido el legislador Rob Halfon ha llamado a las autoridades a investigar Street View, siendo éste el cuarto país del viejo continente en unirse contra el sistema de mapeo, aunque las autoridades han declarado que no pueden iniciar ningún procedimiento hasta que se demuestre que Google ha violado alguna ley.

EL OTRO LADO DE LA MONEDA Mientras Google se enfrenta ante los tribunales y críticas de expertos en pri6

B:SECURE Septiembre, 2010

Por Sergio López y Efraín Ocampo

vacidad de datos de todo el mundo, miembros del equipo de seguridad de Google publicaron en el blog de la compañía una propuesta para mejorar los niveles de seguridad en el software y aplicaciones. De esta forma, Google propone dar un tiempo límite de dos meses, para que los desarrolladores de software reparen las vulnerabilidades y fallas que sean encontradas en sus programas por investigadores e ingenieros. “Por la efectividad y rapidez que han alcanzado los ataques maliciosos en los últimos años, es necesario subir el estándar de atención para evitar que estos prosperen”, justificaron los expertos en el blog de Google. En el comunicado, Google dio a conocer su posición sobre la responsabilidad que tienen los vendedores e investigadores ante un posible ataque a los usuarios, por la falta de efectividad para acatar y resolver los errores o vulnerabilidades en los programas. De acuerdo a la propuesta, en caso de que el plazo de 60 días se cumpla y no haya una solución real ante el problema, los investigadores deberán dar a conocer a los consumidores o usuarios del software un reporte, en el que se especifique en qué falló el programa. Actualmente estos reportes llegan a los desarrolladores del software afectado únicamente y no a los usuarios finales. Google también anunció que los incentivos económicos, que suele otorgar a quién descubre alguna vulnerabilidad en Chromium, sistema en el que está basado su explorador web y el sistema operativo Chrome, aumentarán de $1,337 dólares a $3,133 dólares, por “vulnerabilidad severa”. Estos aumentos están relacionados al hecho de que Mozilla, creadores del famoso explorador FireFox, aumentarán el pago a los investigadores que detecten vulnerabilidades en la aplicación de $500 dólares a $3,000 dólares. No todos han seguido la medida de Mozilla y Google, ya que Microsoft avisó que continuará con su política de simplemente otorgar un reconocimiento verbal y no económico. Sin embargo esta media contradice al mismo Google, ya que a pesar de que los problemas legales que ha tenido con Street View no son directamente vulnerabilidades en su software, expertos de seguridad afirman que el gigante de internet no está en una posición en la que pueda exigir cuentas sobre como son tratados los usuarios y su seguridad. ●

SECCIÓN ESPECIAL

REDIT: MÁS QUE UN CAMBIO DE NOMBRE PARA METRONET TRAS CASI TRES LUSTROS DE VIDA LA EMPRESA MEXICANA METRONET DECIDE CAMBIAR SU NOMBRE A REDIT, COMO REFLEJO DE SU CRECIMIENTO, NUEVAS SOLUCIONES Y SERVICIOS PARA CONQUISTAR MERCADOS INTERNACIONALES

cidió “salir a buscar la competencia y adelantarespués de 14 años de existencia en TODOS LOS NICHOS, se a las necesidades de los clientes, antes que la México, Metronet dio un salto en la esTODOS LOS CLIENTES competencia dominara el mercado”, según palacala empresarial con miras a la internabras de Lauro Cantú, socio director de RedIT cionalización y presentó su nueva cara: RedIT, Sin importar el giro o sector, el portafolio Así la oferta de servicios de RedIT va mucho nombre que traerá consigo toda una nueva y de soluciones y servicios de RedIT promete más allá de la cartera con la que iniciaron en mejor oferta de servicios para sus clientes. estar listo para cubrir las necesidades y retos de las compañías del siglo XXI. 1996, que era proveer a las compañías de larga “En realidad no sólo es un cambio de nomdistancia con una red de acceso metropolitano. bre, es la unificación de los servicios que ya ofreDesde servicios de seguridad, soluciones Ahora está fortalecida con soluciones y servicios cíamos las cuatro marcas que forman parte del para maximizar la productividad, hasta herramientas para incrementar la de centros de datos con accesos remotos, cómgrupo, con la finalidad de ofrecer más y mejores eficiencia y colaboración de su equipo de puto en la nube y virtualización, entre otros. servicios a nuestros clientes”, afirmó Hugo Gartrabajo sin importar la distancias, de forma Por si fuera poco, trabajan en un esquema cía, director general adjunto de la empresa. flexible y sin perder el control y velocidad de seguridad empresarial llamado ROC (Risk Y es que en el 2000, a cuatro años después de de respuesta necesarios. Aquí un vistazo a Operation Center). “Se trata principalmente de su nacimiento, Metronet concluyó las negociala apuesta de RedIT por sector. consultoría. El negocio de la seguridad así debe ciones para adquirir Xertix, compañía dedicada Financiero: Seguridad empezar y ofrecer soluciones customizadas que a ofrecer servicios administrados de tecnologías Servicios: Desempeño se adapten a las necesidades de los clientes”, exde información. Gobierno: Colaboración plicó Hugo García. Las dos siguientes marcas se unieron en el Con un crecimiento acumulado del 100% en 2009, cuando Metronet adquirió Diveo y CastRetail: Flexibilidad los últimos tres años y más de $200 millones de le Access, ambas especializadas en data centers. Manufactura: Control dólares de inversión desde el inicio de Metronet, Con estas adquisiciones se completó el plan Salud: Agilidad la meta de la firma es clara: aprovechar la intemaestro de la compañía, que era responder con gración de las marcas, los productos y servicios soluciones eficientes y efectivas a las necesidades para posicionar a RedIT tanto en México como en Estados Unidos, aprode un mercado creciente de tecnologías de la información y comunicación. Lo anterior demuestra las ganas de crecimiento del corporativo, pues de- vechando la adquisición de los data centers de Castle Access y explotar al máximo su experiencia e infraestructura tecnológica. Con esta nueva era, RedIT tiene la posibilidad de ofrecer servicios a diferentes sectores empresariales, como el financiero, retail, servicios, gobierno, salud y servicios. Además, en esta etapa Microsoft es su socio comercial, de tal manera que el cloud computing se lleva al siguiente nivel, con características integradas con seguridad, hosting y virtualización.

“No sólo es un cambio de nombre, es la unificación de todas nuestras marcas para ofrecer más y mejores servicios”

Hugo García Director General Adjunto RedIT

EMPRESA MEXICANA Otra de las cosas que resalta Hugo García, es que RedIT es una empresa mexicana con un porcentaje mínimo de participación extranjera y mientras compañías internacionales llegan a México a comprar marcas, se dieron el lujo de salir al extranjero para conseguir nuevas oportunidades de negocio, como fue el caso de la adquisición de Castle Access, que aun cuando sólo tienen participación del 40% pueden concretar el 100% en los próximos dos años. ● Septiembre, 2010 B:SECURE

REPORTE ESPECIAL

DOMINAR EL RIESGO En el contexto empresarial, la vida sin peligro no existe. El recurso que sรญ estรก disponible, dice BSI Amรฉrica, es la capacidad de convivir con las contingencias Por Andrรฉs Piedragil Gรกlvez

i el mundo fuera perfecto, nadie tendrรญa que pensar en los riesgos que implica vivir. Lamentablemente, el planeta Tierra estรก lejos de la perfecciรณn. En cualquier espacio cotidiano โ la calle, el hogar, la oficinaโ , el peligro acecha y, con un poco de mala suerte, cualquier persona puede sentir su mordida. El รกmbito empresarial, fiel a su condiciรณn terrรญcola, es imperfecto y generoso en riesgos. Todos los dรญas, una organizaciรณn, mรกs allรก de su giro productivo, tiene que enfrentar mรบltiples y constantes contingencias: emergencias sanitarias, conflictos laborales o legales, fallas en los procesos de manufactura, caรญdas de los sistemas de tecnologรญas de informaciรณn (TI), crisis financieras o bursรกtiles, ataques a la reputaciรณn y un largo etcรฉtera. Estos riesgos causan insomnio a los lรญderes empresariales. Y en realidad, nadie tendrรญa que perder horas de sueรฑo. Por principio de cuentas, estas

amenazas nunca desaparecerรกn, forman parte de la naturaleza de la actividad econรณmica. En segundo tรฉrmino, โ ninguna compaรฑรญa puede aspirar a eliminar los riesgos; lo que sรญ puede hacer es identificarlos perfectamente y tomar decisiones informadas respecto a ellosโ , dice Robert Whitcher, gerente de Producto de BSI Amรฉrica, quien charlรณ con InformationWeek Mรฉxico en una reciente visita al paรญs.

ENTENDER EL PELIGRO Whitcher es un reconocido experto en los estรกndares ISO/IEC 27001 (asociado a operaciones y polรญticas para garantizar la seguridad de la informaciรณn), ISO/IEC 20000 (tecnologรญa de informaciรณn) y BS 25999 (continuidad del negocio). Hoy, el ejecutivo de BSI Amรฉrica plantea una visiรณn integral de las normas: aprovecharlas conjuntamente para crear un marco de trabajo (framework) de Gobierno, Riesgo y Cumplimiento (GRC). Un framework

TRES PILARES DEL FRAMEWORK ISO/IEC 27001 t /PSNB JOUFSOBDJPOBM BVEJUBCMF RVF EFGJOF MPT SFRVJTJUPT QBSB VO TJTUFNB EF HFTUJยงO EF MB TFHVSJEBE EF MB JOGPSNBDJยงO 4(4* -B OPSNB TF DPODJCJยง QBSB HBSBOUJ[BS MB TFMFDDJยงO EF MPT DPOUSPMFT EF TFHVSJEBE BEFDVBEPT Z QSPQPSDJPOBMFT t &M FTUยธOEBS QSPUFHF MPT BDUJWPT EF JOGPSNBDJยงO Z CSJOEB DPOGJBO[B B MBT QBSUFT JOUFSFTBEBT -B OPSNB BEPQUB VO FOGPRVF QPS QSPDFTPT QBSB GJKBS JNQMBOUBS PQFSBS TVQFSWJTBS SFWJTBS NBOUFOFS Z NFKPSBS VO 4(4* *40 *&$ FT VO FTUยธOEBS ยงQUJNP QBSB DVBMRVJFS PSHBOJ[BDJยงO HSBOEF P QFRVFยฉB EF DVBMRVJFS TFDUPS P QBSUF EFM NVOEP -B OPSNB FT QBSUJDVMBSNFOUF JOUFSFTBOUF TJ MB QSPUFDDJยงO EF MB JOGPSNBDJยงO FT DSยญUJDB DPNP FO GJOBO[BT TBOJEBE TFDUPS QยกCMJDP Z UFDOPMPHยญB EF MB JOGPSNBDJยงO 5*

ISO/IEC 20000 t /PSNB JOUFSOBDJPOBM QBSB HFTUJยงO EF TFSWJDJPT EF 5* -B DFSUJGJDBDJยงO EF FTUF FTUยธOEBS QFSNJUF EFNPTUSBS B MPT DMJFOUFT EF VOB GPSNB JOEFQFOEJFOUF RVF MB PSHBOJ[BDJยงO DVNQMF DPO MBT NFKPSFT QSยธDUJDBT EFM DBNQP t *40 *&$ FTUยธ CBTBEP FO MB OPSNB FO #4 &M FTUยธOEBS TF IB QVCMJDBEP FO EPT QBSUFT 6OP FTQFDJGJDBDJยงO QBSB MB HFTUJยงO EF TFSWJDJPT RVF BCBSDB MB BENJOJTUSBDJยงO EF TFSWJDJPT EF 5* ร TUB FT MB QBSUF RVF TF QVFEF BVEJUBS Z FTUBCMFDF VOPT SFRVJTJUPT NยญOJNPT RVF EFCFO DVNQMJSTF QBSB PCUFOFS MB DFSUJGJDBDJยงO %PT DยงEJHP QSPGFTJPOBM QBSB MB HFTUJยงO EF TFSWJDJPT RVF EFTDSJCF MBT NFKPSFT QSยธDUJDBT QBSB MPT QSPDFTPT EF HFTUJยงO EF TFSWJDJPT FO FM ยธNCJUP EF MB FTQFDJGJDBDJยงO

BS 25999 t 1SJNFS OPSNB CSJUยธOJDB QBSB MB HFTUJยงO EF MB DPOUJOVJEBE EF OFHPDJPT #VTJOFTT $POUJOVJUZ .BOBHFNFOU #$. 4F DPODJCJยง QBSB BZVEBS B NJOJNJ[BS FM SJFTHP RVF JNQMJDB VOB JOUFSSVQDJยงO B MBT PQFSBDJPOFT oB DBVTB EF VO TJOJFTUSP NBZPS P VO JODJEFOUF NFOPS &M FTUยธOEBS BZVEB B FTUBCMFDFS MBT CBTFT EF VO TJTUFNB #$. Z TF EJTFยฉยง QBSB NBOUFOFS FO NBSDIB MBT BDUJWJEBEFT EVSBOUF MBT DJSDVOTUBODJBT NยธT JOFTQFSBEBT Z EFTBGJBOUFT QSPUFHF B MPT FNQMFBEPT TV SFQVUBDJยงO Z QSPQPSDJPOB MB DBQBDJEBE EF DPOUJOVBS DPO MB BDUJWJEBE Z FM DPNFSDJP t #4 FT VOB OPSNB BEFDVBEB QBSB UPEB PSHBOJ[BDJยงO HSBOEF P QFRVFยฉB EF DVBMRVJFS TFDUPS &T FTQFDJBMNFOUF BQSPQJBEB QBSB PSHBOJ[BDJPOFT RVF PQFSBO FO FOUPSOPT EF BMUP SJFTHP EPOEF MB DPOUJOVJEBE EF MBT BDUJWJEBEFT FT DMBWF QBSB MB FNQSFTB TVT DMJFOUFT Z BTPDJBEPT DPNP MBT GJOBO[BT MBT UFMFDPNVOJDBDJPOFT FM USBOTQPSUF Z FM TFDUPS QยกCMJDP Fuente: BSI. 8 B:SECURE Septiembre, 2010

GRC permite identificar, gobernar y administrar los distintos factores de riesgo que enfrenta una organización. La propuesta de Whitcher implica una perspectiva panorámica. A la fecha, cada estándar, que incluye protocolos y reportes de gestión de riesgo y gobierno, contribuye a generar información útil para la toma de decisiones. Sin embargo, los datos producidos no son homogéneos: son diferentes en lenguaje, en métricas de evaluación, en presentación de resultados. Por tal motivo, para lograr una visión completa de los riesgos que encara la compañía, asegura el entrevistado, la dirección de la empresa tiene que dedicar mucho tiempo a entender cada una de las contingencias reportadas (sanitarias, financieras, operativas, tecnológicas). Y aun así, es muy probable que su perspectiva de los riesgos resulte fragmentada e inconsistente. La meta de un framework GRC, en ese sentido, “es que los directivos comparen manzanas con manzanas –dice Whitcher– No importa qué métodos u operaciones impliquen los estándares, lo relevante es que la información que arrojen sobre riesgos sea coherente en presentación, lenguaje y métricas”. Al ser la instancia más beneficiada por el enfoque, la dirección general debe encabezar los esfuerzos de la construcción de un marco de trabajo GRC. La iniciativa exigirá un gran empeño, ya que generalmente se asume que los tres estándares tienen una base tecnológica, y por lo tanto, su área de influencia se restringe a la infraestructura TI de la organización. Y la realidad es que las normas, en coordinación con otros estándares de control de procesos, pueden sentar las bases del framework GRC. “Si el proyecto arranca en el área de TI, se le verá como un tema técnico y nunca saldrá de ese departamento” –asegura el especialista de BSI América– Si el senior management no se compromete con la iniciativa, ésta no irá a ningún lado, ya que carecerá de fondos, respaldo corporativo y personal adecuado”. De ahí que una sugerencia sea iniciar una implantación con BS 25999, que tendrá una repercusión de rango más amplio en la empresa, y no con ISO/IEC 20000, cuyos beneficios están más acotados a un área específica y su influencia hacia el resto de la organización tomará más tiempo.

en forma eficiente”, añade el entrevistado. Y claro, para entender y encarar los riesgos que enfrenta la empresa. La propuesta de BSI América, de un marco GRC construido a partir de tres normas específicas, está en su fase inicial de desarrollo. Sin mencionar los nombres, Robert Whitcher asegura que la iniciativa ya se prueba en dos organizaciones de Estados Unidos. No obstante, el entrevistado confía en que la idea cuenta con todos los atributos para ser bien reciba en el mercado. “Actualmente, hay mucho foco en los riesgos de IT y en los financieros. Se olvida que las distintas fases de la actividad empresarial, cuentan con contingencias potenciales que podrían afectar los ingresos, la reputación, las ventas”, comenta Whitcher. La iniciativa de BSI América no promete un mundo sin sustos. Lo que sí vaticina es una mejor capacidad para enfrentarlos. La solvencia para decir: sí, podemos tomar ese riesgo”. ●

VISIÓN DE NEGOCIOS Al ser un tema de negocios, y no necesariamente tecnológico, el diseño de un framework GRC implica mirar hacia el interior de la compañía; con el fin de documentar procesos y operaciones, establecer controles para prevenir o resolver contingencias, crear políticas para garantizar la calidad del producto terminado, entre otras actividades. Por tal motivo, la propuesta de BSI es óptima para medianas y grandes empresas, las cuales, por la magnitud de su actividad productiva y por el tamaño de su estructura corporativa, poseen una diversidad de tareas y operaciones –y por ende, de riesgos– que deben analizarse, acreditarse y establecerse como políticas. A la hora de llevar a cabo este proceso, más que el tiempo, el reto es entender la lógica de la iniciativa: los estándares no determinan la forma de trabajar de la organización, por el contrario, se adaptan a los métodos que ya usa la firma; documentándolos con el objetivo de fijar controles y así asegurar que todas las labores conduzcan a la eficiencia operativa deseada y a la calidad esperada por el cliente. “No le tienes que decir a la empresa cómo hacer las cosas. Si lo haces, empiezas a encontrar resistencias políticas en las distintas divisiones y pones en riesgo el éxito de la implantación”, dice Whitcher. Por otro lado, de acuerdo con la experiencia del entrevistado, cuando una empresa pequeña crece y alcanza el estatus de mediana, no es raro que empiece a sufrir porque ignora los beneficios que aportan estándares como ISO/IEC 27001, ISO/IEC 20000 o BS 25999 (continuidad del negocio). “Cuando una compañía crece necesitan estándares y estandarización para cumplir su promesa de valor

Robert Whitcher, gerente de Producto de BSI América

Septiembre, 2010 B:SECURE 9

ACCESO

AMENAZA A SECTOR FINANCIERO MEXICANO CRECIMIENTO DE CIBERATAQUES Durante el primer semestre de 2010, la SSP registró un incremento de 217% en el número de ataques cibernéticos semanales con respecto al año pasado Por Efraín Ocampo

l robo de identidades y la fuga de información son algunas de las amenazas que potencialmente crecerán y afectarán con mayor intensidad al sector financiero en el 2011. Tradicionalmente, una serie de amenazas han perjudicado la información sensitiva del sector financiero, ya sea a través de ataques de virus, malware o phishing, conocidos también como “sitios espejo”. El impacto de estas actividades fraudulentas son cada vez más graves. Este mes en el estado de Sonora la Comisión Nacional para la Defensa de los Usuarios de las Instituciones Financieras (Condusef) registró un aumento de fraudes en banca en línea con pérdidas que se sitúan entre los $70 y $250,000 pesos en los 25 casos denunciados. Según cifras citadas oficiales, en México aproximadamente 330,000 personas sufrieron de robo de identidad cibernético en 2009. Durante el primer semestre de este año la Secretaría de Seguridad Pública registró un incremento de 217% en el número de ataques cibernéticos semanales con respecto al año pasado. La Comisión Nacional Bancaria y de Valores (CNBV) les exige a las empresas financieras que utilicen tecnología especializada para la pro10

B:SECURE Septiembre, 2010

tección de los datos, así como que implementen el uso de dispositivos y mecanismos para la autenticación de sus usuarios. De acuerdo con Roberto González, gerente de ventas de SafeNet México, el uso de tecnología basada en criptografía como los tokens de autenticación y HSM, son una opción que ayudaría a las entidades financieras a cumplir con esta regulación de la CNBV. “Con mejores prácticas, mayor protección y cumpliendo con las regulaciones, la reducción de los fraudes cibernéticos se verá reflejada y las instituciones financieras podrán estar tranquilas de la seguridad de sus datos y evitarán costosas multas”, comentó González. Los tokens son llaves de identidad del usuario de banca electrónica que mejoran la seguridad de los procesos en línea. Los HSM son módulos de seguridad encargados de administrar los tokens. La protección de los datos, sin embargo, ha dejado de ser una preocupación exclusiva del sector bancario y financiero con el decreto de la Ley de protección de datos personales en posesión de los particulares, por la cual las empresas que operen en México que recaban, almacenan y utilizan datos personales estarán obligadas a a informar a su titular cuando la seguridad que los protege sea vulnerada. ●

Turn On the Bit!

server: 174.37.13.66:8016

Sabemos que no siempre tiene el tiempo para leer las últimas noticias sobre IT, seguridad, gadgets y demás temas tecnológicos que tanto le interesan. Por eso Netmedia le ofrece un canal de radio en línea para que escuche los contenidos más actuales de nuestros sitios en cápsulas de audio, podcats y la mejor música 24x7 TechTalk podcast Mónica Mistretta y miembros del staff de Netmedia comentan y discuten los temas más actuales y las novedades en gadgets y aplicaciones de consumo.

Byte podcast Tecnología aplicada… a la vida. Podcast semanal sobre nuevas tecnologías, cultura digital e información relacionada. Con David Ochoa y La Canija Lagartija.

Miércoles 16 hrs Viernes 12 hrs (repetición)

Viernes 14 hrs Martes 16 hrs (repetición)

Disponible por iTunes

Crimen Digital Programa conducido por Andrés Velázquez y Mario Juvera, con temas de cómputo forense, prevención y análisis de los delitos cibernéticos de México y el mundo, entre otros. Lunes 16 hrs

:Enter:: podcast Tecnología, gadgets, música, videojuegos, para geeks y aquellos que creen que no son geeks. Jueves 16 hrs

ACCESO

Son los ataques web, los que utilizan códigos maliciosos y los ejecutados por los mismos empleados los más costos, pues acapararon 90% de los costos por brechas

PAGAN EMPRESAS HASTA $3.8 MILLONES DE DÓLARES POR BRECHAS DE SEGURIDAD Por Efrain Ocampo y Sergio López

as empresas atacadas con el fin de sustraer información pierden anualmente de uno a 53 millones de dólares, reveló el Instituto Ponemon en un estudio donde comparó la pérdida de información de 45 compañías en Estados Unidos. Estos ataques afectan de manera exitosa a las empresas una vez por semana y su costo podría ascender a $3.8 millones de dólares anualmente sumando gastos para la detección, investigación, contención y procedimientos de respuesta a la brecha de información, según el estudio del Instituto Ponemon. “El robo de información sigue siendo la más alta consecuencia de un ataque y el tipo de información robada va desde la información de la gente hasta la propiedad intelectual y código fuente”, cita el documento a Larry Ponemon, CEO del Instituto. El reporte indica que la mayoría de los ataques son virus, gusanos y troyanos. Pero son los ataques web, los que utilizan códigos maliciosos y los ejecutados por los mismos empleados los más costos, pues acapararon 90% de los costos por brechas de información por organización anualmente. Un ataque basado en web costó $143,209 dólares y de código malicioso $124,083. Las computadoras tipo botnet solo representan 8% de los ataques al año y las pérdidas económicas por este tipo de agresión ascienden a $1,627 dólares. No obstante, el Instituto estima que esta cifra es conservadora, pues podría ser más grande. La fase económicamente más crítica es la detección y recuperación de la información pues en promedio tarda 14 días y tiene un costo de $17,696 dólares al día. En el caso de los ataques internos este proceso toma por lo menos 42 días en ser resuelto. En Estados Unidos 69% de los robos de información son de Números de Seguridad Social, seguido por las tarjetas de crédito con 14%. Pero aunque constituyeron tan bajo porcentaje del total de los robos de información, el número de registros de tarjetas de crédito robados constituyó 45% de los 328.1 millones registros comprometidos consignados en el estudio. Las 45 empresas atacadas fueron elegidas de manera aleatoria y la mayoría no contaba con herramientas de seguridad de la información y de atención de eventos (SIEM por sus siglas en inglés) por lo que las compañías no sabían de las amenazas, ni cuando fueron atacadas indica el estudio de Ponemon. Sin embargo, aquellas que contaban con soluciones SIEM amortiguaron hasta 24% el costo generado por la brecha, en comparación con las que no las tenían. 12

B:SECURE Septiembre, 2010

MÁS GADGETS Y MÁS VULNERABLES Al dolor de cabeza de los responsables de seguridad IT, que representan los cibercriminales, los códigos maliciosos y la torpeza o mal intención de sus empleados, se suman también la llegado de nuevos dispositivos móviles o gadgets, que cada vez son más comunes en los ambientes empresariales. De acuerdo con un reciente estudio de la RSA cerca de 80% de los ejecutivos de seguridad de las empresas ven la influencia de los usuarios en las decisiones del área IT, lo cual ha provocado que introduzcan sus propias netbook, laptop, teléfonos inteligentes y computadoras pizarra como iPad. Por otro lado, son ya 23% de los responsables de seguridad quienes aseguran que la organización sufrió un “incidente serio” provocado por el uso de un dispositivo móvil de un empleado y la rampante popularidad de smartphones como Blackberry, iPhone y otras tecnologías del mercado de consumo todavía no impacta a las compañías como se espera que ocurra. La encuesta indica que 76% de los oficiales de seguridad y de IT ven que los usuarios ejercen influencia en decisiones de compra de aplicaciones y de dispositivos móviles, sobre todo en cuanto a lo último en tecnologías de consumo se refiere. Más de 60% de los encuestados dijeron recibir sugerencias de los usuarios sobre el tipo de smartphones que deberían comprar para ellos y 20% dijo permitir que ellos mismos escojan. En el caso de las netbook la cifra desciende a 52% en el caso de los que reciben retroalimentación de los usuarios y 50% en quienes dijeron consultarlos para la adquisición de computadoras tablet. Los usuarios ejercen menos influencia cuando se trata de compra de PC de escritorio y portátiles, pues apenas 35% de ellos opinan mientras que 47% de las empresas toman la decisión sin consulta. Según el reporte de la RSA, aún no es muy común que las empresas permitan que sus empleados lleven sus propios equipos de cómputo y dispositivos móviles, pero este grupo ya constituye una cuarta parte de los encuestados. Curiosamente, coincide con la cifra citada sobre incidentes de seguridad provocada por el uso de dichos dispositivos. La mala noticia es que apenas 11% de los encuestados dijo estar muy confiado para hacerle frente a esta amenaza con el nivel de seguridad que actualmente tiene, al mismo tiempo que continúa dando acceso a más dispositivos móviles y aplicaciones. ●

C R M

B A S E S

D E

D A T O S

M E D I U M

B U S I N E S S

P R O C E S S

Quitamos la paja por ti /P UF QJFSEBT FO MB C|TRVFEB Informaciรณn a la medida para tu negocio IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP powered by:

$MJFOUFT DPO WBMPS CRM

Las aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son mรกs accesibles y fรกciles de usar. Conรณzcalas.

"SDIJWPT EJHJUBMFT Bases de Datos

El crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la informaciรณn. Aquรญ le decimos cรณmo.

/FHPDJPT FO DSFDJNJFOUP Medium Business Soluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.

&NQSFTBT FGJDJFOUFT Business Process

Las mejores prรกcticas se incorporan a las tecnologรญas de negocio a travรฉs de aplicaciones que automatizan los procesos empresariales y estรกn a su alcance.

IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP C R M

B A S E S

D E

D A T O S

M E D I U M

B U S I N E S S

P R O C E S S

REPORTE

DEL MES

LA BATALLA POR LA SEGURIDAD DE NUESTROS DATOS Empresas, internautas y responsables de seguridad IT deben aprender a frenar una ola de nuevos ciberataques, con códigos maliciosos personalizados, delincuentes organizados, enemigos disfrazados de empleados y usuarios descuidados. La batalla por la información ya comenzó.

Una guerra en la que nadie cree y de la cual pocos están enterados está por intensificarse. Pero no se trata de delincuentes armados hasta los dientes listos para robar un banco, ni terroristas en busca de atención mediática o venganza, ni tampoco de guerrilleros que han tomado la justicia por sus manos, hablamos del principal enemigo de las sociedades modernas y digitalizadas, los cibercriminales. De acuerdo al estudio 2010 Data Breach Investigations Report, publicado por la firma de telecomunicaciones Verizon y con el apoyo del Servicio Secreto de Estados Unidos (SSUS) afirma que aunque las principales ciberamenazas provienen de factores externos, los cibercriminales han comenzado a aliarse con empleados o enemigos internos para incrementar las posibilidades de éxito en el robo de información. Así, como reflejo de nuevas medidas de seguridad adoptadas por las empresas y un mejor trabajo a manos de las autoridades y policías cibernéticas de todo el mundo, los cibercriminales cada vez dependen menos de las vulnerabilidades en aplicaciones y software para el robo de información.

LOS CULPABLES DE DELITO

¿Quién está detrás de las brechas de seguridad?

70% son provocados por agentes externos

De acuerdo con los autores, el reporte recolectó información de más de 900 brechas de seguridad y cerca de 900 millones de archivos robados o comprometidos para ser analizados por expertos del operador Verizon y el Servicio Secreto. La información reveló que 70% de las brechas de seguridad fueron generadas por “agentes externos” a la compañía primordialmente cibercriminales, 48% fue responsabilidad de elementos internos como empleados y, 11% fueron consecuencia de actos malintencionados o equivocaciones de socios de negocios. En términos de datos comprometidos cerca del 98% fue generado por agentes externos, mientras que únicamente 3% de los archivos o registros robados fueron responsabilidad de los empleados de la compañía. Aunque la mayoría de las brechas fueron generadas por agentes externos a la compañía, este rubro se contrajo nueve puntos porcentuales, al compararse con los resultados del año pasado. Mientras que los incidentes o brechas de seguridad a manos de internos aumentaron más de 26% durante los últimos doce meses.

EL MIEDO NO TE DEJA DORMIR

Principales amenazas en las organizaciones

Mal uso 48% Hacking 40%

48% causados por empleados 11% implican a socios de negocios

Malware 38% Social 28% Robo físico 15%

27% involucran a más de un actor

14 B:SECURE Septiembre, 2010

Errores 2%

EL ROSTRO DEL DELITO Cómo se conforman los atacantes externos

45% se desconoce completamente 1% Clientes 1% Competidores 1% Otra organización 2% Exempleados 2% Grupos de activistas 3% sitios externos

21% individuos

24% pertenecen al crimen organizado

“De forma increíble 97% de los más de 140 millones de archivos robados en 2009, fueron comprometidos con el uso de códigos maliciosos personalizados para la víctima”, 2010 Data Breach Investigations Report Según los autores, este cambio es reflejo de que los cibercriminales, al reconocer que pueden terminar tras las rejas por sus actos, han desarrollado un mecanismo para “cubrirse” las espaldas al tratar de buscar contactos o elementos internos que les faciliten el robo de información. El mismo reporte reconoce que la captura y sentencia de Albert González, responsable del robo de más de 130 millones de número de tarjetas de crédito, posiblemente utilizó cómplices internos para borrar las huellas de su delito. De esta forma los expertos de Verizon y el SSUS afirman que los criminales web ahora buscan “aliarse” con empleados de la compañía para que estos les den acceso al sistema o les entreguen sus contraseñas de entrada. “El problema con esta tendencia es que las investigaciones, comúnmente encontrarán al empleado involocrado como único culpable del delito, pues rastrear al delincuente externo será prácticamente imposible”, cita el reporte. NO TE HAGAS...

De acuerdo con el reporte 2010 Data Breach Investigations Report de los ataques externos 24% corresponde a células criminales organizadas en internet, 21% son individuos no identificados, 2% antiguos empleados y 45% son atacantes desconocidos. De los atacantes, 21% proviene o fue ubicado en Europa del Este, 19% está en Estados Unidos y 18% se localiza en Asía. El reporte estipula que aunque si es posible determinar el origen de cierto grupos criminales o delincuentes web, en el 31% de los casos no es posible detectar su ubicación física.

El reporte también da un vistazo a los tipos de empleados más “peligrosos” para las organizaciones, pues del 48% de las brechas detectadas por agentes internos, 51% fueron a manos de empleados regulares, 12% personal finanzas, 12% fueron administradores de redes o IT y 7% eran trabajadores con niveles ejecutivos o de alta gerencia. “Contrario al pensamiento común, de que el empleado provoca brechas de seguridad o son responsables de la fuga de datos por equivocación, el análisis demuestra que en 90% de los casos el trabajador actuó de forma deliberada, 6% fue por un uso inapropiado de las herramientas y únicamente 4% fue a consecuencia de un accidente”, cita el reporte. MALWARE: EL EXCALIBUR DEL CIBERCRIMINAL

Si en la guerra el país ganador es el que tiene el mejor armamento y estrategia, en la batalla por los datos digitales, el dueño del mejor malware será el poseedor de la mayor cantidad de información. El reporte de Verizon estima que las técnicas de hackeo son la principal amenaza de las compañías, pues son responsables del 40% de las brechas de seguridad y están detrás del 96% de los casos de información robada. Seguidos del malware con 38% y la ingeniería social con 28%. En el caso de las técnicas de hackeo, el uso de contraseñas robadas (38%), comandos de control remoto (29%) y los ataques de inyección SQL (25%) fueron los principales vectores de ataque. “A través de ataques de phishing simples y de Inyección de SQL los criminales tiene un rango de éxito superior al de cualquier otra técnica (de dos a uno), para acceder a un gran cantidad de información o infectar los equipos con nuevo malware”, cita el reporte. Los expertos del estudio afirman, que a través de parches sencillos y estrategias en torno al cuidado y uso de las contraseñas de acceso muchas de las brechas en seguridad pueden ser controladas. “Hay una lección importante en todo esto. Sí, nuestros adversarios tienen cada vez más habilidades y recursos, pero el estudio pone en claro que sí existen las herramientas y conocimientos necesarios para hacer un buen trabajo. El reto es encontrar buenas herramientas y métodos para proteger la información, que no se vuelvan obsoletos con el tiempo, porque la evidencia demuestra que es en esos momentos cuando nuestros enemigos toman mayor ventaja de nosotros”, subraya el reporte.

Septiembre, 2010 B:SECURE 15

Por siglos la humanidad ha enfrentado la adopción y aceptación de cambios tecnológicos inevitables. Algunos de los más recientes: las computadoras personales, los teléfonos móviles y el Internet. Ahora, la mezcla de estos tres han dado nacimiento a un fenómeno que ningún CIO o CISO, por más que desee, podrá detener: el uso y masificación de las redes sociales en los negocios. Por Carlos Fernández de Lara carlos@netmedia.info 16 B:SECURE

Septiembre, 2010

a no es cuestión de si vale la pena o no implementarlas. Ya no depende de si representan un beneficio para los empleados o son una amenaza a la productividad. Ya no se trata de bloquear, negar o filtrar su uso. Hoy, las redes sociales han dejado claro que, le pese a quien le pese, operarán dentro de la mayoría de los ambientes empresariales. Es decir, se trata de un cómo y cuándo, más que de un quizás o un tal vez. Así, por primera vez en la historia de los departamentos de IT el uso de una tecnología, programa o aplicación no depende del sí o no del CIO o CISO de esa organización. Sino que se trata de una decisión del negocio. En la que muchas veces la opinión de los, alguna vez llamados “gurús de IT”, ni siquiera es tomada en cuenta. La pregunta para ellos entonces es: ¿al menos están enterados? y de estarlo ¿están listos para jugar un rol central en la masificación de las IT? Y aunque eso de la masificación de las IT suene a otro tema totalmente distinto. La realidad es que dentro de ese fenómeno, mejor conocido como la “consumerización” de IT, son las redes sociales las que juegan como punta de lanza, pues a diferencia de muchas otras tecnologías, cuyos orígenes se remontan a desarrollos militares o empresariales, estas surgen de una comunidad para el uso de la sociedad. Es decir, son los negocios y no los usuarios los que deben adoptarlas, no porque quieran sino porque las necesitan. Algo que sin duda ya comenzó a suceder, pues de acuerdo con un análisis de Gartner para 2012 50% de las empresas de todo el mundo utilizarán “activamente” canales de comunicación como microblogging (Twitter), social web interaction (Facebook) o video streaming (YouTube). La misma consultora estipula, que para 2014 las redes sociales remplazarán al correo electrónico y a la mensajería instantánea como los principales canales de comunicación interpersonal en el web, incluso entre usuarios empresariales. Una realidad que no escapa a México, pues de acuerdo a la encuesta Business Tracker de Regus, 32% de las compañías en el país ya han “apartado” una parte de su presupuesto de mercadotecnia, exclusivamente para redes sociales, 50% ha tenido éxito al usar estos canales para atraer nuevos clientes y 52% afirmó que el principal uso de negocios de estos medios es la posibilidad de gestionar la comunicación y conexión con diversos grupos de clientes. “Es un tema que está en la mesa de discusión y los consejos directivos de todos los negocios alrededor del mundo, y la realidad es que no se trata de un asunto que recaiga en IT, sino que es una decisión de estrategia o proyecto para el negocio. Muchas veces tomada por otros departamentos”, apunta Rafael Pereda, senior manager de la práctica de Seguridad de Accenture.

Mas aún, pues como comparte Rafael García, gerente regional de Producto para América Latina de Symantec, ante la masificación de la tecnología entre las sociedad de todo el mundo, los responsables de IT han perdido la capacidad para limitar o marcar la línea entre la vida personal y la laboral. “Es imposible tratar de eliminar la dualidad que hoy existe entre el trabajo y la vida personal. Como empresa ya no es posible separar al trabajador del individuo. Ante este escenario los responsables de seguridad sólo tienen dos opciones: o cierran todas las ventanas de comunicación y con ello también eliminan las nuevas oportunidades para el negocio, o aceptan estas plataformas web y tratan de entender su impacto, riesgos y beneficios”, cita García de Symantec. SOCIAL MEDIA: ¿ENEMIGO O ALIADO DEL NEGOCIO? A principios de marzo de 2010 medios de comunicación de todo el mundo reportaron unos de los ejemplos más claros del impacto y alcance de las redes sociales, cuando un solado del ejercito israelí escribió en su muro de Facebook “El miércoles limpiamos Qatanna, y el jueves, primero Dios, nos vamos a casa”. El mensaje, además de los buenos deseos del solado por regresar pronto a casa, contenía detalles sobre su unidad militar, la fecha y locación exacta de la operación en Qatanna. Inofensivo podrían pensar muchos usuarios de esta red, que hasta comparten su desayuno matutino y cada minuto de su quehacer diario. Sin embargo, para desfortuna del israelita en cuestión de segundos el comentario fue visualizado por decenas de sus “amigos”, muchos de ellos también soldados, quienes dieron aviso a sus superiores acerca de la información compartida en la red. Bueno o malo una actualización en Facebook culminó en la cancelación de un ataque militar, algo que muchas veces ni siquiera tratados u organismos internacionales han logrado detener. Pero el soldado israelita no estuvo solo en su odisea social, pues ese mismo mes el instituto de seguridad SANS y otros medios de comunicación reportaron como una banda de phishers comprometieron la cuenta de Facebook de un empleado de una de las instituciones financieras más grandes de Estados Unidos. Con la cuenta infectada, los atacantes divulgaban mensajes sobre el perfil del empleado que invitaban a sus “amigos” a observar las fotos de la última reunión empresarial. Imágenes que en realidad albergan un programa keylogger, que les permitió robar contraseñas de acceso y obtener control sobre dos servidores empresariales, con el único objetivo de robar el activo más valioso de la firma, su información.

TOP 5: SOCIAL NO ES IGUAL A INSEGURO Que no lo podamos controlar no significa que no podamos actuar. Nuestros expertos comparten cinco consejos para dar inicio a una estrategia de redes sociales seguras.

5. Antes de decir qué va a proteger analice, clasifique y valore su información. De nada sirve prometer seguridad cuando ni siquiera sabe qué es lo quiere o debe asegurar ni cómo o quiénes divulgan o acceden a esos datos o aplicaciones con un nivel de riesgo o con contenido sensible.

4. Con los datos clasificados genere políticas de uso, alrededor de cada plataforma social. Cómo, quiénes, desde dónde y cuándo acceden a los perfiles. NO deje todo en el papel aprenda a ejecutar las políticas.

3. Si no va a bloquear, tampoco sancione. Grandes compañías han demostrado que la mejor forma de educar sobre el uso seguro de redes sociales es enseñarles a los empleados los riesgos que enfrentan, más que como empleados, como usuarios de estas plataformas. Si lo entienden en su vida personal lo ejecutarán para el negocio.

2. Aunque parece imposible controlar algo que no te pertenece, diversas firmas de seguridad cuentan con sistemas de análisis de información en tiempo real, que tienen funciones predeterminadas por aplicación o tiempos. OjO Pregunte a su proveedor el alcance de sus sistemas de protección actuales antes de invertir en tecnología.

1. Sea transparente con los usuarios, no deje nada oculto o sin avisar. Si necesita saber qué están “posteando” los empleados en sus perfiles sociales, informales que los va a seguir o agregar. Para evitar fugas de información en redes sociales no es necesario borrar la línea entre la vida privada y la laboral.

Septiembre, 2010 B:SECURE 17

Ambos errores fueron retomados por el EjĂŠrcito militar de Estados Unidos como ejemplos sobre los riesgos que implica el uso de las redes sociales y herramientas del Web 2.0 para empresas, gobiernos y ciudadanos. â&#x20AC;&#x153;Parece difĂcil de creer, pero actualmente los correos electrĂłnicos representan un porcentaje bajo en el nĂşmero de ataques cibernĂŠticos. La mayorĂa de los cĂłdigos maliciosos proviene del web, siendo las redes sociales la punta de lanza de este vector de ataqueâ&#x20AC;?, cita el documento del National Security Institute (NSI), liberado por el ejĂŠrcito. En ese sentido, Pavel Orozco ingeniero senior de Websense para MĂŠxico, Centro AmĂŠrica y el Caribe comparte que hoy 35% de los ataques son generados desde el web, 25% provienen de correos electrĂłnicos, seguidos de vulnerabilidades y ataques por dispositivos USB. Y lo cierto es, que no solo las empresas, sino tambiĂŠn los cibercriminales han entendido que las redes sociales son los nuevos espacios de convivencia para los consumidores e internautas alrededor el mundo. Un estudio de la firma de seguridad Sophos afirma que el nĂşmero de compaĂąĂas que sufrieron ataques, infecciones o robo de informaciĂłn a travĂŠs de las redes sociales creciĂł 70% entre 2008 y 2009. El mismo reporte subraya que 57% de los usuarios, de este tipo de sitios, recibieron mensajes basura, mientras que 36% de los miembros de estas redes fueron infectados con alguna de las mĂĄs de 50,000 variantes de cĂłdigos maliciosos detectados por la compaĂąĂa en 2009. Gusanos como Koobface, con mĂĄs de 147 Centros de Comando y que, en su momento, llegĂł a infectar mĂĄs 20,000 IPs Ăşnicas ya fueron creados en exclusiva para propagarse dentro de plataformas como Facebook, Twitter, LinkedIn y MySpace. EN PLENA TORMENTA Y SIN PARAGUAS Lo que se ve no se preguntan, dicen comĂşnmente ante la obviedad de un asunto. El tema, asĂ, no es verificar si las redes sociales estĂĄn bajo el visor de los cibercriminales o si podrĂan actuar como posibles espacios para la fuga o robo de informaciĂłn. La pregunta estĂĄ en si los departamentos de seguridad saben cĂłmo proteger algo que no les pertenece. â&#x20AC;&#x153;El reto para los CISOs es que, por primera vez, el problema no estĂĄ en casa, no se trata de una aplicaciĂłn instalada en un servidor o una vulnerabilidad en su red. Se trata de errores o riesgos en plataformas en la nube de internet a cientos, quizĂĄ miles, de kilĂłmetros de distancia de su controlâ&#x20AC;?, dice Leonardo Castro, director general de Trend Micro MĂŠxico. Pereda de Accenture, por su parte, agrega que ademĂĄs de la falta de control sobre estos espacios virtuales, la posibilidad que Facebook, Twitter y otras redes sociales han entregado para que desarrolladores de

todo el mundo creen aplicaciones o servicios en estas plataformas complica aĂşn mĂĄs la capacidad de protecciĂłn. Esto, ante la imposibilidad de saber si la aplicaciĂłn es segura y quiĂŠn la valida. â&#x20AC;&#x153;Hoy, existen mĂĄs de 500 millones de usuarios en Facebook y cerca de un millĂłn de desarrolladores creando aplicaciones sĂłlo para esta red social, ese flujo en la informaciĂłn generan un descontrol y convierte a los datos en activos apetitosos para los criminalesâ&#x20AC;?, dice Pereda. Ante este mar de riesgos se suma la incapacidad de las compaĂąĂas para desarrollar o generar polĂticas de seguridad o uso alrededor de estas plataformas. Un encuesta reciente de Symantec titulada Social Networking at Work afirma, que si bien 53% de los empleados usan estos medios por motivos empresariales, 42% de las compaĂąĂas carecen de una polĂtica o sistema de uso alrededor de los mismas. Ante esta realidad, comparte GarcĂa de Symantec, sĂłlo existe una salida para los responsables de seguridad IT y los CIOs: aprender a convivir, educar y definir los alcances y riesgos en el uso de las redes sociales. O de lo contrario correr el riesgo de desaparecer del escenario de decisiones en esta materia, porque en el siglo XXI pocos serĂĄn los negocios que decidan operar si una estrategia de Social Media. â&#x20AC;&#x153;En la actualidad IT, o se reinventa como parte del negocio o desaparecen. Bloquear las redes sociales no es el camino indicado porque se estĂĄ bloqueando un posible habilitador para el negocio. Si mi CIO o CISO me dice que tiene que bloquear las redes sociales para tener seguridad no lo utilizo como CIOâ&#x20AC;?, dice Castro de Trend Micro. De seguir el camino del bloqueo a todo, los CISOs podrĂan poner en riesgo la capacidad de la compaĂąĂa para atraer capital humano, joven y de alto nivel, pues la encuesta de Symantec subraya que para 32% de los entrevistados el hecho de que una empresa permita o niegue el uso de redes sociales impactarĂa â&#x20AC;&#x153;mucho o pocoâ&#x20AC;? su decisiĂłn de trabajar para ellos. â&#x20AC;&#x153;Es irĂłnico como muchas compaĂąĂas tienen sitios web espectaculares y en todo la pĂĄgina ves anuncios de â&#x20AC;&#x2DC;sĂguenos en Twitter, Facebook, YouTubeâ&#x20AC;&#x2122;, y cuando haces un anĂĄlisis interno descubres que sus empleados tienen negado todo acceso a estas plataformas. La gran mayorĂa de las empresas no estĂĄn preparadas para usar y vivir en el ambiente del web 2.0â&#x20AC;?, dice Orozco de Websense. AsĂ, algo es innegable. Con el crecimiento de las redes sociales en los negocios y la inminente explosiĂłn de los servicios en la nube, los telĂŠfonos inteligentes y nuevos dispositivos mĂłviles, el reloj para la transformaciĂłn de IT, como habilitador del negocio, inicia su cuenta regresiva. Entonces ÂżEstĂĄ listo para adoptar su papel de consejero en materia de innovaciĂłn y seguridad para su compaĂąĂa, o sigue creyendo que sĂłlo usted y su equipo saben de tecnologĂa? â&#x2014;?

EL MENOS COMĂ&#x161;N DE LOS SENTIDOS:

EL SENTIDO COMĂ&#x161;N

Si en el mundo real seguimos reglas de convivencia para no afectar nuestra imagen o persona, entonces Âżpor quĂŠ las hemos olvidado para nuestras vidas virtuales? AquĂ siete puntos que no debe pasar por alto para la socializaciĂłn en lĂnea. s 5NA COSA ES COMPARTIR EXPERIENCAS Y OTRA abusar DE TODO LO QUE LE SUCEDE EN LOS CAMPOS PERSONALES Y LABORALES DE SU DĂ&#x201C;A A DIA s

No mezcle LOS ASUNTOS PERSONALES CON LOS PROFESIONALES 3EA EL PERFIL DE LA EMPRESA O EL PERSONAL evite las riĂąas O PELEAS EN REDES SOCIALES

Sea escĂŠptico !SĂ&#x201C; COMO EXISTE UNA ENORME CANTIDAD DE INFORMACIĂ&#x2DC;N Ă&#x17E;TIL EN LAS REDES SOCIALES TAMBIĂ?N HAY DATOS FALSOS QUE LO PUEDEN COMPROMETER .O ES

s 0ENSAR QUE AQUEL USUARIO CON EL MAYOR NĂ&#x17E;MERO DE SEGUIDORES O AMIGOS ES EL MEJOR ES UN ERROR Valore A QUIĂ?N SIGUE Y QUIĂ?NES LO SIGUEN ,AS REDES SOCIALES SON PARA COMPARTIR CON UNA COMUNIDAD O GRUPO VINCULADO A USTED O SU EMPRESA NECESARIO CONOCER SU NIVEL DE POPULARIDAD EN 4WITTER 2ECUERDE QUE LAS APLICACIONES O SERVICIOS LIGADOS A UN RED SON LA PRINCIPAL FUENTE DE ROBO DE INFORMACIĂ&#x2DC;N

s 2EVISE LAS polĂticas de privacidad DE LA RED ANTES DE QUE LO SORPRENDAN CON UN hES QUE YO NO SABĂ&#x201C;Av MEJOR LEA LOS ACUERDOS Y CONTRATOS DE USO EN ESTOS PERFILES Y CONOZCA QUE INFORMACIĂ&#x2DC;N SIEMPRE SERĂ&#x2C6; SUYA Y CUĂ&#x2C6;L FORMARĂ&#x2C6; PARTE DE LA COMUNIDAD AL MOMENTO DE SUBIRLA

s .O HAGAS NADA QUE NO HARĂ&#x201C;AS EN TU VIDA O TRABAJO !NTES DE ESCRIBIR ALGO EN LA RED piense SI ES ALGO QUE HARĂ&#x201C;AS O DIRĂ&#x201C;AS EN TU VIDA FUERA DEL WEB 18 B:SECURE

Septiembre, 2010

EL INVITADO SEGURIDAD INTEGRAL EN CLOUD COMPUTING Por Gerardo Kató, gerente y estratega de Cloud Computing en IBM México

l cómputo en la nube es una plataforma de entrega flexible, eco-

nómica y comprobada para dar servicios informáticos a empresas y consumidores por Internet. Los recursos de la nube pueden implementarse con cierta rapidez y con el aprovisionamiento de todos los procesos, aplicaciones y servicios “bajo demanda”, sin importar la ubicación o el dispositivo del usuario. Actualmente se utilizan modelos de nube privada y pública. Las primeras pertenecen y son utilizadas por una sola organización. Ofrecen casi los mismos beneficios que las nubes públicas, pero dan mayor flexibilidad y control a la empresa. Muchas organizaciones adoptan ambos modelos bajo el concepto de nubes híbridas. Estos híbridos están diseñados para satisfacer requisitos específicos de negocio y tecnología. Pero para beneficiarse plenamente de la computación en nube, una organización debe asegurarse de que los datos, las aplicaciones y los sistemas estén correctamente asegurados de modo que la infraestructura de la nube no exponga a la empresa a riesgos. A continuación un breve resumen con los cincos requisitos de seguridad más importantes a cubrir para el cómputo en la nube de clase empresarial.

GOBERNABILIDAD DE SEGURIDAD, ADMINISTRACIÓN DE RIESGOS Y CUMPLIMIENTO REGULATORIO Las organizaciones requieren visibilidad de la seguridad de su nube. Esto incluye la visibilidad de base amplia de los cambios, la gestión de incidentes e imágenes, así como el informe de incidentes para el registro específico de tenants y datos de auditoría. Las leyes europeas de privacidad y otras normativas exigen capacidades integrales de auditoría. Como las nubes privadas son una “caja negra” para el usuario, los dueños de estas redes tal vez no tengan la capacidad de responder al cumplimiento. Una red privada o híbrida, por otro lado, puede configurarse para satisfacer estos requisitos.

La federación de identidades y capacidades de incorporación de nuevos miembros (on-boarding) deben estar disponibles para coordinar la autenticación y autorización con los sistemas de back-end o de terceros. Es preciso tener una capacidad basada en estándares, de autenticación única para simplificar el ingreso de los usuarios finales.

DATOS E INFORMACIÓN La mayoría de las organizaciones cita la protección de los datos como su problema de seguridad más importante. Las preocupaciones típicas van desde la forma en que se almacenan y accede a los datos, los requisitos de cumplimiento regulatorio y auditoría, hasta las cuestiones relativas al costo de las violaciones de seguridad, de notificación y daño al valor de la marca. En ese sentido la administración de claves de encriptado de datos en tránsito a la nube o que descansan en el centro de cómputo del proveedor de servicios son críticos para proteger la privacidad de los mismos y mantener los niveles de cumplimiento regulatorio. La encripción de medios móviles y la capacidad de compartir en forma segura esas claves de encripción entre el proveedor del servicio de nube y el consumidor constituyen una necesidad importante y a menudo desatendida.

APLICACIÓN Y PROCESO En general, los clientes consideran los requisitos de seguridad de las aplicaciones de nube en términos de seguridad de imágenes. Todos los requisitos típicos de seguridad de aplicaciones siguen aplicándose en la nube, pero también se trasladan a las imágenes que hospedan esas aplicaciones. El proveedor de la nube debe seguir y respaldar un proceso de desarrollo seguro. La suspensión y destrucción de imágenes debe realizarse con cuidado, asegurando de que los datos sensibles contenidos en esas imágenes no estén expuestos.

RED, SERVIDOR Y PUNTOS EXTREMOS PERSONAS E IDENTIDAD Es vital contar con la seguridad de que los usuarios autorizados y la cadena de suministro tengan acceso a los datos y herramientas que necesitan, al tiempo que bloquean los accesos no autorizados. Los ambientes de nube en general dan soporte a una gran comunidad de usuarios muy diversa, de modo que estos controles son aún más críticos. Además, el cómputo en la nube introducen un nuevo nivel de usuarios privilegiados: administradores que trabajan para el proveedor. El monitoreo de usuarios con privilegios, incluso las actividades de registro, se convierten en un requisito importante. Este monitoreo debe incluir tanto monitoreo físico como verificación de antecedentes.

En el ambiente de nube compartida, los clientes desean asegurarse de que todos los dominios ocupados se aíslen adecuadamente y que no exista posibilidad de que se filtren datos o transacciones de un dominio a otro. Para ello, es necesario la capacidad de configurar dominios virtuales confiables o zonas de seguridad basadas en políticas. En resumen, la computación en nube presenta una oportunidad para mejorar la seguridad de las empresas. Sus características, como la estandarización, automatización y mayor visibilidad de la infraestructura, pueden elevar los niveles de seguridad. No hay que olvidar que el acceso a información en forma confiable, flexible y económica es una cuestión clave que hoy muchas organizaciones enfrentan. ● Septiembre, 2010 B:SECURE 19

for

BUSINESS PEOPLE

LA SEGURIDAD DE LA COMO UNA FUN

Por Adrián Palma

ara que sea relevante y exitosa, la función de seguridad de la información debe ser vista y tratada como una función de negocios. En esencia la seguridad se debiera convertir en otra área de negocio de la organización o como una función sustancial en organizaciones sin fines de lucro. Como con cualquier área de negocio hay componentes de planeación, ventas, marketing, producción, entrega, económicos y de control. La misión principal de la función de seguridad es garantizar la Confidencialidad, Integridad y Disponibilidad de la información. Sin embargo, la misión debe ser completada dentro del contexto de seguridad como un facilitador para el desarrollo y entrega de los productos y servicios de la organización. La seguridad debe ser vista como el área donde uno busca respuestas acerca de cómo avanzar con la seguridad de un producto nuevo o servicio y asegurar que el compromiso de confianza en la organización está siendo logrado con sus clientes y socios de negocio. Esto, debe hacerse a través de una función de seguridad eficaz con un enfoque de manejo de riesgos para el desarrollo de soluciones alternativas.

ESTRUCTURA ORGANIZACIONAL Es importante como primer paso que se distingan perfectamente las funciones de seguridad de la información de la gestión de actividades o tareas netamente operativas de seguridad que se necesitan para garantizar que funcionen adecuadamente las aplicaciones, las bases de datos, la red, los sistemas operativos etc. Estas actividades o tareas son responsabilidades del área de IT (custodio), aunque en la mayoría de los casos estas son tareas de la función de seguridad. El papel de la seguridad de la organización será la de establecer, supervisar y ayudar a aplicar una normatividad (Políticas, Estándares, Guías, Baselines y procedimientos) dentro del marco de referencia de roles y responsabilidades desde la óptica de seguridad de las diversas funciones y áreas de la organización. Si, como sucede la mayoría de las veces veces, la función de la seguridad también es responsable de la administración de la seguridad, entonces la parte normativa debe ser separada de la función operativa. Aunque, como comento, no es la mejor alternativa pero en dichas circunstancias esto podría aligerar esta revoltura de roles y responsabilidades.

CULTURA La primera tarea en la elaboración o revisión de una función de seguridad es evaluar y comprender la cultura de la organización. La identidad de una organización es rara vez definida, pero es crucial cuando la normatividad se desarrolla, implementa, pruebaSegunda y práctica.de La2Seguridad partes 20 B:SECURE

Septiembre, 2010

de la información es mucho más que un agente de cambio, actividades, procesos, cambios y tecnología. De esta manera, la cultura de la organización necesita ser considerada y direccionada. Esto es muy difícil, la cultura dentro de una empresa consta de los supuestos, valores, comportamientos normativos, y expectativas. ¿Tiene la organización una cultura, donde las personas trabajan en equipo para lograr objetivos comunes? ¿O es una fortaleza de la cultura, donde todo el mundo es “el enemigo”? Son funciones de negocio y/o técnicas descentralizadas y autónomas, o son funciones centralizadas para garantizar con mayor efectividad el éxito? La actitud hacia el riesgo es sin duda una cuestión cultural. Una organización con una aversión al riesgo tendrá una fuerte tendencia a pegarse a la “carta de la ley” para aplicar su seguridad y afectará de manera significativa el propósito primordial de esta, que es vivir en la organización con un nivel de riesgo aceptable. Aprender a lidiar con la cultura es un elemento esencial de una función de seguridad exitosa. Otra clave cultural tiene que ver con el cómo una compañía interpreta y enfoca los aspectos legales, marcos regulatorios y la función de auditoría. Una vez que los riesgos legales, regulatorios y el core del negocio son entendidos es necesario plantear y contestar algunas preguntas: ÊUÊ·+ÕjÊ >À?Êi Ê} L iÀ ÊìÊÃi}ÕÀ `>`ÊìÊ >Ê v À >V ÊÊi ÊÌ `>Ê >Ê organización? UÊ · Õ? iÃÊÃiÀ? Ê V Õ ` ÃÉ Ì ` ÃÊìÊ >Ê >ÀÌ>ÊìÊ >Ê À}> â>V ÊìÊ seguridad? UÊ ·1 >Ê iÌ ` } >ÊìÊÀ iÃ} ÃÊÃiÊÕÌ â>À?Ê«>À>Ê >ÊÌ >ÊìÊìV Ã nes con respecto a la seguridad de información? UÊ · >ÊvÕ V ÊìÊÃi}ÕÀ `>`Ê>VÌÕ> i ÌiÊiÃÊVi ÌÀ> â>]ÊìÃVi ÌÀ> â>]Ê o una combinación de las dos? UÊ · ÊÞÊ` ìÊi V> >Ê >ÊvÕ V ÊìÊ >ÊÃi}ÕÀ `>`Êi Êi Ê À}> }À>ma de la empresa? UÊ · Ê >Ê-i}ÕÀ `>`ÊìÊ >Ê v À >V ÊÃiÊÀi >V >ÊV Ê ÌÀ>ÃÊvÕ ciones de negocios de la organización? UÊ · Õ? ÊiÃÊi Ê Ûi ÊìÊV «À Ã ÊìÊ >Ê> Ì>Ê` ÀiVV ÊV ÊÀiÃ«iVÌ Ê al presupuesto? UÊ · Ê >ÊÃi}ÕÀ `>`ÊìÊ >Ê v À >V ÊÃiÊÀi >V >ÊV Ê ÌÀ>ÃÊvÕ ciones de control, como la auditoría, el compliance, manejo de riesgos, y la seguridad física? ·UÊ+ÕjÊvÕ V iÃÊº«iÀÌi iVi »Ê> Ê -"¶Ê·+ÕjÊvÕ V iÃÊ Ê«iÀÌi icen al CISO, y cuál es la decisión de los problemas a resolver? No hay una estructura única. Existen diferencias significativas en cómo las organizaciones y la función se gestionan. Sin embargo, un

INFORMACIÓN NCIÓN EMPRESARIAL factor común es que los procesos de negocio como los presupuestos, mercadeo / ventas, planeación, construcción, producción y explotación son parte del tratamiento de la seguridad como una función de negocios.

UBICACIÓN DE LA FUNCIÓN Históricamente, las áreas de seguridad o mejor dicho los encargados de seguridad, (muchas veces ni recursos tienen) han reportado un nivel abajo dentro del organigrama de IT. Una práctica más reciente es la de informar al jefe de la Dirección de Tecnología (CTO), que gestiona la infraestructura tecnológica. Otro atributo de un enfoque histórico es tener más de una área de seguridad sin necesidad de que ninguna se responsabilice de la función a nivel organizacional esto ocurre algunas veces en los grandes corporativos, y cierta forma hace sentido, ya que la tecnología en sí misma es fragmentada. En algunas organizaciones hoy día, la función de seguridad de la información a menudo informa a un vicepresidente responsable de IT o de las operaciones de una organización. Otro enfoque es que la función de seguridad de la información del área de IT, opere ya sea reportando directamente a la alta dirección o a otra área especializada de la organización, como podría ser la de administración de riesgos, planeación y estrategia, seguridad física, a un comité de seguridad y en algunos casos extremos al área legal o de auditoría interna.

MODIFICACIÓN DE ACTIVIDADES EN LA FUNCIÓN DE SEGURIDAD En caso de que la organización no parezca estar funcionando de manera efectiva, se pueden realizar algunas actividades para poder mejorar la situación actual de la función de seguridad: UÊ Consolidar funciones diferentes. Si la función es fragmentada debe ser un objetivo al menos consolidar instancias múltiples basadas solamente en la necesidad de eficiencia y reducción de costos. UÊ Separar la parte normativa de los aspectos operativos. Como se señaló anteriormente, se necesitan diferentes habilidades para manejar la parte normativa y conceptual vs a una función operativa. La separación también puede ayudar con algunas de las cuestiones “políticas” que deben ser dirigidas. UÊ Benchmarking. Una pregunta común que se debe de hacer el en-

cargado de seguridad es la de cómo esta mi organización en materia de seguridad con respecto a mis peers. Teniendo una respuesta precisa mejorará significativamente las oportunidades para los cambios en la organización así como el desarrollo e implementación de la normatividad. UÊ Contratar a un consultor. Tener una opinión de una persona creíble y reconocida fuera de la organización muchas veces ayuda a desarrollar e implementar un plan de acción eficaz para la función de seguridad. Esto es especialmente verdadero si la opinión del consultor es el resultado de una evaluación de la viabilidad del programa de la función de seguridad de la información. La estructura organizacional y las responsabilidades de la función de seguridad deben adaptarse a la cultura de la organización en general. El nivel de reporte necesita ser lo suficientemente alto para influir en el cambio y no ser indebidamente limitado por otras funciones de la organización. Si la organización de la seguridad de la información es centralizada, descentralizada, o una combinación de las dos, es un factor de cultura organizacional. Y puede cambiar basándose en la evolución de la función, generalmente hablando tiende a estar a niveles más grandes de centralización en las etapas más tempranas del ciclo de vida donde se está desarrollando el programa. En cualquier organización ya sea comercial, de gobierno o sin fines de lucro, para que las funciones de negocio sean exitosas deben ser lideradas y guiadas por una persona que tenga la difícil y compleja habilidad de comunicarse y colaborar con otros ejecutivos, directores, gerentes y personal de la organización. El líder debe desarrollar un nivel de credibilidad en sus perspectivas, recomendaciones y sus decisiones. Uno de los objetivos del programa de seguridad es el desarrollo de una apreciación de la necesidad y la responsabilidad de la seguridad en todos los niveles de la organización, desde el más alto nivel hasta el más bajo. Todos los niveles dentro de la organización deben tener una seguridad adecuada o un nivel de riesgo aceptable, ya que es “propiedad” de todos y no sólo de la función de seguridad. El logro de este objetivo es el core de la venta y marketing de la seguridad de la información. Un programa exitoso debe de tener a la gente adecuada para que la función de la seguridad de la información sea eficaz, que cumpla con los requerimientos y necesidades en materia de protección para la organización. ●

Adrián Palma es licenciado en Informática cuenta con más de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integrida-

ta, tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, y de la maestría de seguridad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Septiembre, 2010

B:SECURE 21

´ OPINION DE VUELTA A LA ESCUELA Por Matt Bishop y Deborah A. Frincke

ientras se va acabando el verano, el profesorado y los estudiantes dirigen la atención a la planificación académica. Antes, esto se era una tarea sumamente pesada, pues el profesorado tuvo que desarrollar la mayor parte de sus materiales desde cero. Ahora, al contrario, en vez de solamente unos cuantos materiales a los que se les puede echar mano para planificar un curso sobre la seguridad y la privacidad, existen numerosos ejemplares de cronogramas de estudios, libros de texto, y otros materiales de apoyo. La pregunta es, entonces: ¿dónde se encuentran? Para todos los profesionales académicos que están allí, ocupados con los preparativos de sus clases y los estudiantes que están a punto de reunirse con ellos, les dedicamos a ustedes este artículo con la ayuda de los Centros de Excelencia en la Educación en el Aseguramiento Informático y con la esperanza de que alivie un poco el paso frenético de los preparativos.

tema, estableciendo de esta forma un modo de pensamiento positiÛ ÊÞÊÕ ÊiÃ« À ÌÕÊìÊºLÖÃµÕi`>ÊVÕÀ Ã>»Êi ÌÀiÊ ÃÊiÃÌÕ` > ÌiÃÊÞÊv > do un precedente para la resolución interactiva de problemas. Estos escenarios pueden utilizarse a lo largo del semestre de muchas formas, por ejemplo, para distinguir entre lo que puede ser posible o deseable (la política), en comparación con la experiencia vivida de lo que es posible (mecanismos para hacer cumplir las políticas). /> L j ÊiÃÌ ÃÊiÃVi >À ÃÊ«À « ÀV > ÊÕ Ê iV> Ã Ê«>À>Ê ÌÀ `ÕV ÀÊìÊv À >Ê ` ÀiVÌ>Êi Ê` ÃVÕÀÃ Ê«ÖL V Ê v À > ÊVÕ> ` ÊV venga (algo que sería de beneficio para muchos estudiantes en la tecnología). Por fin, los estilos modernos de aprendizaje recalcan lo µÕiÊ ÕV ÃÊìÊ Ã ÌÀ ÃÊÞ>ÊÃ>Li ÃÊ>ÊL>ÃiÊìÊ >À} ÃÊ> ÃÊi Ê >ÊÃ> >Ê de clases: muchos tienen que entender el significado de un concepto antes de poder hacer buen uso de ese tema.

ROMPEHIELOS PARA LA SALA DE CLASES

EFECTO DE POLÍTICAS UNIVERSITARIAS SOBRE LOS MECANISMOS EN LA SALA DE CLASES

En el mundo académico, igual que con el mercadeo, se quedan grabadas las primeras impresiones. Un buen rompehielos para el primer día abre el paso para establecer el marco para una experiencia positiva de aprendizaje. He aquí algunas sugerencias para facilitar la transición desde el verano a la sala de clases: UÊ ÃV }iÀÊÕ >ÊiÝ«iÀ i V >ÊìÊÛiÀ> ÊV Ö Ê>ÊÌ ` ÃÊÞÊ> > â>À >Ê usando los principios de la seguridad o de la privacidad asociados con la temática de la clase. Una clase que busque enfocarse en la privacidad puede considerar las compras durante un viaje de verano con base en el uso de las tarjetas de crédito —¿qué pueden indicar los archivos de la empresa de tarjeta de crédito sobre las preferencias personales?—. UÊ Ã } iÊ>Ê ÃÊiÃÌÕ` > ÌiÃÊ}ÀÕ« ÃÊìÊÌÀ>L> ]Ê«>À>ÊµÕiÊ> > Vi Ê sus propios sistemas, en busca de programas informáticos es« >]ÊÀiÛ Ã iÃÊi ÌÀ> ÌiÃÊ«>À>ÊÛÕ iÀ>L `>ìÃ]ÊÞÊ ÃÊ > >` ÃÊ }ÕÃ> ÃÊ v À ?Ì V ÃÊµÕiÊÃiÊìÃ« >â> Ê> Ê>â>À°Ê*iÀ Ê ]Ê>VÌÖiÊ con cautela porque un exceso de entusiasmo puede llevar a los estudiantes a analizar recursos que no tienen o a poner un reVÕÀÃ Ê « ÀÌ> ÌiÊi Ê«i }À °Ê Ê >ÞÊ >`>ÊV Êi ÌiÀ>ÀÃiÊìÊ que ciertos piratas en las charlas por relevo en Internet (conocidas por sus siglas en inglés como “IRC”) han tomado “prestada” la computadora de un compañero para llamarles la atención a los estudiantes. UÊ/> L j Ê«ÕiìÊ >ViÀÊµÕiÊ ÃÊiÃÌÕ` > ÌiÃÊ>«Ài `> ÊÌ> Ì ÊV Ê puedan sobre sí mismos, sobre sus compañeros de clase, o de un voluntario desconocido en el Internet, provistos solamente ìÊÕ Ê LÀiÊÞÊÕ Ê >Ûi}>` À°Ê ÃÌiÊi iÀV V ÊV Û i iÊ>ÊÕ >Ê clase en la privacidad, si se conforma a las directrices universiÌ>À >ÃÊV Ê >ÊìL `>ÊV Ã ìÀ>V °Ê/i }>ÊVÕ `>` ÊV Êi ÊL > co que escoja. La clave para un rompehielos exitoso es redirigir la atención de los estudiantes del verano a la clase, a la vez que se individualiza el 22 B:SECURE Septiembre, 2010

>ÞÊ ÕV ÃÊ i Ì ÃÊìÊºÌiÊ« j»]ÊiÃV ` ` ÃÊi Ê >ÃÊ>VÌ Û `>ìÃÊ prácticas para los encargados de impartir clases en la seguridad, ÕV ÃÊ ?ÃÊµÕiÊi Ê >Ê >Þ À >ÊìÊ >ÃÊ` ÃV « >ÃÊìÊV i V >ÃÊ v À ?Ì V>Ã°ÊÊ ÌiÀ À i Ìi]Ê ÃÊì«>ÀÌ> i Ì ÃÊìÊ-i}ÕÀ `>`ÊÞÊ*À Û>V `>`Êì Ê ÃÌ ÌÕÌ ÊìÊ }i iÀ ÃÊ jVÌÀ V ÃÊÞÊ iVÌÀ V ÃÊÞÊi Ê otros lugares han hablado de detalles específicos de los ejercicios en los laboratorios de computadoras. Los acontecimientos recientes en los medios de comunicación, que varían desde las conversaciones sobre las prácticas individualizadas de la seguridad, hasta ÃÊÌi >ÃÊìÊ ÃÊÛ ÀÕÃÊ v À ?Ì V ÃÊÞÊ >ÊjÌ V>ÊìÊ >Ê« À>ÌiÀ >Ê` } Ì> Ê deben ser prueba convincente de que la preparación es necesaria para la atención externa. De acuerdo a ese espíritu, nos permitimos la libertad de hacer sugerencias sobre las mejores prácticas para los pedagogos en la seguridad: UÊ *ÀiÃi Ì>ÀÃiÊ V Ê >Ê «iÀÃ >Ê ÀiÃ« Ã>L iÊ «>À>Ê >Ê Ãi}ÕÀ `>`Ê ìÊ ÌiV } >Ê v À ?Ì V>Ê /®ÊìÊ >ÊÃiìÊÕ ÛiÀÃ Ì>À >°Ê-iÀ?ÊÖÌ Ê >blar con esa persona, llamándola por su primer nombre, sobre todo si resulta que los experimentos autónomos en la sala de clases en realidad no son tan autónomos. Los administradores de tecnología informática en las sedes universitarias también «Õiì Ê>ÞÕ`>À Ê>Ê ÊÃ LÀi«>Ã>ÀÊ ÃÊ ÌiÃÊìÊ >ÃÊ« Ì V>ÃÊÕ versitarias para mantener un uso apropiado de las computadoÀ>Ã°Ê Ã Ã ]Ê iÃÊ«Õiì Ê«Ài}Õ Ì>ÀÊÃ Ê >ÞÊ> }Õ >ÃÊÌ>Ài>ÃÊì Ê mundo real con valor pedagógico que sus estudiantes podrían realizar. UÊÊ*ÕiìÊÃiÀÊÃÕ > i ÌiÊÛ> Ã>ÊÕ >ÊLÕi >ÊÀi >V ÊV Ê ÃÊiÃ«iV > ÃÌ>ÃÊi ÊÞÊiÝ«iÀÌ ÃÊìÊiÃÌ ÃÊi Ê ÃÊ i` ÃÊìÊV Õ V>V Ê ÊV Êi Ê>L }>` ÊìÊ >ÊÃiìÊÕ ÛiÀÃ Ì>À >°ÊÊ/i }>ÊV v > â>Ê completa en nosotros con respecto a este punto. UÊÊ >ÃÊ ìv V iÃÊ Õ ÛiÀÃ Ì>À >ÃÊ «>À>Ê i Ê ÌÀ>Ì Ê V Ê >ÃÊ «iÀÃ >ÃÊ ÞÊ ÃÊVÀ ÌiÀ ÃÊ«>À>Ê` V ÊÌÀ>Ì ÊÛ>À > Ê ÕV °Ê Ê ÕV >ÃÊÕ versidades, es obligatorio un rastro riguroso de comprobantes

documentales que tienen que rellenarse con mucho tiempo de anticipación. Y a veces un comité tiene que repasar la solicitud y dar su visto bueno. Nuestra recomendación es la siguiente: no importa que se haya montado una red de miel (Honeypott) o que esté husmeando los datos de red por medio de un escanógrafo de red o las latas de papas fritas como parte de los experimentos relacionados con la seguridad inalámbrica, asegure que sus actividades cumplen con los criterios universitarios establecidos para sujetos humanos. Considere que los formularios que habrá que rellenar constituyen otro ejercicio más para la clase y aprovéchese de esa oportunidad para hablar de la seguridad, la privacidad, y la ética, temas que quedan plasmados en los documentos de cumplimiento obligatorio para todos los estudiantes. UÊÊ1Ì â>ÀÊ >Ê ` ÃVÀiV Ê VÕ> ` Ê ÃiÊ « > v V> Ê iÃ ÃÊ i iÀV V ÃÊ `iÊ práctica, sobre todo cuando tienen que ver con las infraestructuras críticas, la ingeniería social, o la recolección de datos personales. Hace un tiempo, un equipo estudiantil salió para evaluar de forma visual su sistema local de represas y ferrocarriles en busca de vulnerabilidades. Los estudiantes pasaron un rato bastante desagradable, cuando fueron interrogados por las autoridades judiciales de la localidad, como resultado de una > >`>Ê>«À « >`>®ÊµÕiÊ â ÊÕ ÊV Õ`>`> Ê«Ài VÕ«>` °Ê,iV mendamos que usted hable de tales excursiones por adelantado con las autoridades universitarias—a quienes conoce usted por primer nombre ahora, ¿verdad que sí?—para asegurar que sus ideas son completamente aceptables, que usted ha orientado a sus estudiantes bien, y que usted ha entregado una descripción de esa tarea a la cátedra del departamento o al decano en caso de que algo salga mal cuando usted no se encuentre. UÊÊ Ãi}ÕÀ>ÀÊµÕiÊÃÕÊ >L À>Ì À ÊÌ i iÊÕ >Ê« Ì V>ÊÃ LÀiÊi ÊÕÃ Êº ÕÃto e ético”. La elaboración de una de esas políticas puede llegar a ser ejercicio valioso por sí solo. Es indudable que estos preparativos pueden ser engorrosos—usted nunca tenía necesidad de ellos antes, y está seguro de que no los necesitará en el futuro, así que todo lo que venimos diciendo es Ã « i i ÌiÊ«>À> >o· Ê iÊÃÕi >Ê>ÊÕÃÌi`ÊV Êi ÊºÀ>â > i to” del que ha oído hablar antes?

UÊ ì Ì v V>ÀÊÕ ÊÌÀ>L> Êi ÌÀiÊ >ÃÊÌ>Ài>ÃÊìÊ iVÌÕÀ>ÊìÃìÊ >Ê«À iÀ>ÊÃi > >°ÊÊ Ûi ÌiÊÕ >ÊÃiÀ iÊìÊV Ì>V iÃÊV ÀÀiVÌ>ÃÊiÊ V rrectas de ese trabajo. Obligue a los estudiantes a revisarlas, de tal forma que tienen que repasar el trabajo por lo menos someramente para encontrar los comentarios citados. Hacer que las citaciones tengan que ver con una definición que usted quiere recalcar agrega aún más valor. UÊ Û ` ÀÊ>Ê ÃÊiÃÌÕ` > ÌiÃÊi ÊiµÕ « ÃÊÞÊ«i` ÀÊµÕiÊi ÃÊ Ûi Ìi Ê sus propios ejemplos de citaciones fáciles y más difíciles con base en las citaciones previas. Puede que usted desee retomar el tema desde otros ángulos: UÊ Ã ìÀ>ÀÊ Õ >Ê Ì>Ài>Ê i Ê >Ê «À }À> >V Ê iÃÌ Ê ºv Ài Ãi»Ê µÕiÊ LÕÃµÕiÊ >ÊÌÀ> ÃviÀi V >Ê Ê>ÕÌ À â>`>ÊìÊ >ÌiÀ > iÃÊ«À Ìi} ` ÃÊ a una localidad fuera del sitio de la clase. UÊ >L >ÀÊìÊ >ÃÊÌjV V>ÃÊ«>À>Ê ì Ì v V>ÀÊ>Ê ÃÊ>ÕÌ ÀiÃÊìÊ«À }À>mas informáticos maliciosos, tal como se relaciona con la identificación del plagio. UÊ"L }>ÀÊ>Ê ÃÊiÃÌÕ` > ÌiÃÊ>Ê>VÌÕ>ÀÊìÊÀi`>VÌ ÀÊÃ LÀiÊ ÃÊÌÀ>L> ÃÊ escritos finales, unos para otros, y a calificar a los estudiantes en sus actuaciones, tanto como de redactor, así como de autor.

}> iÃÊµÕiÊÕ >Ê`iÊÃÕÃÊÌ>Ài>ÃÊiÃÊ>Ãi}ÕÀ>ÀÊµÕiÊi Ê >ÌiÀ > ÊiÃÊ À ginal (preparado como si el autor del mismo fuera a entregarlo a una revista o boletín profesional para la publicación), y prestar ayuda al autor con la corrección de los errores, si las hay, antes de que el trabajo sea entregado para el repaso final. Existen muchas otras formas para entablar conversaciones sobre el plagio; aquí enumeramos solamente algunas que los infrascritos autores y los líderes en otros centros de excelencia han usado con éxito en el pasado.

ORGANIZAR A LOS CONFERENCISTAS DE INVITADO Les es grato a los estudiantes ver un cambio de cara detrás del atril ìÊVÕ> ` Êi ÊVÕ> ` °Ê «>ÀÌiÊìÊ`>ÀÊV iÀÌ>ÊÛ>À i`>`]ÊÃ ÊìÊ ÕV Ê beneficio los varios modelos de actuación profesional a todo nivel educativo. El aspecto negativo tiene que ver con los altos gastos incurridos para el pasaje por avión y el alojamiento, y los presupuestos universitarios que siguen recortándose a menudo resultan en que Þ>Ê ÊµÕi`> Êv ` ÃÊ«>À>ÊÌ> iÃÊ>VÌ Û `>ìÃ°ÊÊ v ÀÌÕ >`> i Ìi]Ê >ÞÊ otras formas para tener invitados sin declarar bancarrota.

CÓDIGOS DE CONDUCTA La introducción del curso normalmente incluye advertencias sobre las consecuencias de la conducta no profesional o ilícita. Tal conducta prohibida varía desde el plagio a la contravención de las políticas sobre el uso debido de las computadoras, o hasta otros códigos universitarios de conducta. Con respecto a la creatividad, se puede aprovechar de estos te >ÃÊ Ì À«iÃÊ «>À>Ê Ài> â>ÀÊ V iÀÌ>ÃÊ iÌ>ÃÊ «i`>} } V>Ã°Ê Ã `iÀiÊ i Ê plagio, una cuestión de creciente preocupación entre los pedagogos. Hasta que sea posible que los estudiantes que tienen un entendimiento general de los principios básicos del tema no sepan cómo enfrentarse con los casos más peliagudos, tales como reproducir la citación de un autor en el trabajo de otro que no sea el autor mismo, con el resultado que ellos necesitarán mayor información. Existen técnicas fáciles para comunicar esa información sin restarle valor al contenido de la materia que se enseña en clase.

AGENCIAS FEDERALES Y ESTATALES }Õ >ÃÊ>}i V >ÃÊviìÀ> iÃÊÞÊiÃÌ>Ì> iÃÊ> > Ê>ÊÃÕÃÊi « i>` ÃÊ>Ê actuar de conferencistas de invitado; algunas incluso tienen un presupuesto limitado para los gastos de viaje y alojamiento. Se citan V Ê i i « ÃÊ >Ê ÀiVV Ê iìÀ> Ê ìÊ ÛiÃÌ }>V Ê ìÊ ÃÊ ÃÌ>` ÃÊ1 ` Ã]Êi Ê ÃÌ ÌÕÌ Ê >V > ÊìÊ À >ÃÊÞÊ/iV } >ÊìÊ ÃÊ ÃÌ>` ÃÊ1 ` Ã]ÊÞÊ >Ê*À VÕÀ>`ÕÀ >Ê i iÀ> ÊìÊ ÃÊ ÃÌ>` ÃÊ1 ` ÃÊV Ê entidades que de buena gana se prestan a hacer visitas a las sedes universitarias. Sería de ayuda si se extiende la invitación muy por >ì > Ì>` Ê ÞÊ Ã Ê Ì i iÊ v iÝ L `>`Ê V Ê ÀiÃ«iVÌ Ê >Ê >Ê viV >pÌ> Ê ÛiâÊ haga que coincide con el período dedicado al reclutamiento activo. Cuando está colaborando con las agencias federales, esté atento a las reglas que rigen los regalos que se les permiten a esas personas >Vi«Ì>À°Ê Ãi}ÕÀiÊµÕiÊÌ ` ÃÊi Ì i ì ÊL i ÊÌ ` ÃÊ ÃÊ>ÀÀi} ÃÊv > cieros por adelantado. ● Septiembre, 2010 B:SECURE 23

CONFERENCISTAS EMPRESARIALES Muchas empresas, por ejemplo, ofrecen a su personal para compromisos de conferencista; otros aportarán a los gastos incurridos. Por ejemplo, Cisco subvenciona un programa de conferencistas de invitado al siguiente sitio de web (www.cisco.com/security_services/ciag/initiatives/education/ guestlecturers.html). Otras empresas dan a sus conferencistas ciertas aclamaciones en las revisiones anuales cuando reciben este tipo de invitación, por lo cual enviar una nota de agradecimiento al conferencista (y a su supervisor) será una forma gentil de demostrar su agradecimiento por el tiempo que pasaron con su clase.

programas de estudios durante los últimos 10 años, y en las columnas venideras, ampliaremos en más detalle sobre este tema. Por ahora, en aras de la brevedad, recomendamos que usted comience aquí: UÊ i ÌÀ ÊìÊ >Ê1 ÛiÀÃ `>`ÊìÊ*ÕÀ`ÕiÊ«>À>Ê `ÕV>V ÊiÊ ÛiÃÌ gación en el Aseguramiento y la Seguridad Informática (www. cerias.purdue.edu/). UÊ i ÌÀ ÊìÊ >Ê1 ÛiÀÃ `>`ÊìÊ/Õ Ã>Ê«>À>Ê >Ê-i}ÕÀ `>`Ê v ?Ì V>Ê (www.cis.utulsa.edu). UÊÊ i ÌÀ Ê >V > Ê«>À>Ê >«>V Ì>V ÊÞÊ `ÕV>V Êi Êi Ê Ãi}ÕÀ>miento Informático (www.niatec.info). UÊÊ > â>ÊìÊ6 À} >Ê«>À>Ê-i}ÕÀ `>`Êi Ê >Ê «ÕÌ>V ÊÞÊ >Ê terconexión de Redes (www.vascan.org).

COMUNIDAD UNIVERSITARIA LOCAL Su nuevo amigo, el administrador universitario de tecnología informática, tiene a su disposición una fuente rica de historias sobre todas las cosas, desde el uso indebido por parte de personas privilegiadas hasta las realidades financieras de manejar un sistema de seguridad en la sede universitaria frente a recortes presupuestarios y demandas crecientes para la tecnología informática. En su consejo consultivo—de departamento, de facultad, o de universidad—está alguien con una perspectiva útil sobre la seguridad y la privacidad, y los integrantes del consejo a menudo agradecen la oportunidad de participar en el proceso educativo.

ORGANIZACIONES PROFESIONALES Varias organizaciones profesionales tienen programas de conferencistas. La Asociación de Maquinaria de Computación (conocida en inglés por sus siglas “ACM”) ofrece a los conferencistas por medio de su serie de conferencistas distinguidos (www.acm.org/top/lect. html) a base de la subvención compartida de gastos. El Comité sobre las Mujeres en la Investigación en Computación de la Asociación de Investigación en Computación (conocido en inglés por sus siglas como “CRA-W”) también subvenciona una serie de conferencistas distinguidos; tiene el objetivo específico de aumentar el número de estudiantes femeninos de estudios postgraduados (www. cra.org/Activities/craw/dist_lect.html). El Programa de Invitados Distinguidos de la Sociedad en Computación del Instituto de Ingenieros Eléctricos y Electrónicos (www.computer.org/chapter/dvp/) ofrece programas parecidos.

Y, para aquellos que deseen una experiencia más interactiva, recomendamos que asista a estas funciones: UÊÊ µÕ ÊÃ LÀiÊ >Ê `ÕV>V Êi Ê >Ê-i}ÕÀ `>`ÊìÊ- ÃÌi >ÃÊ v Àmáticos (cada junio). UÊÊ viÀi V >ÊÃ LÀiÊi Ê iÃ>ÀÀ ÊìÊ*À }À> >ÃÊìÊ ÃÌÕ` ÃÊi Ê >Ê -i}ÕÀ `>`Ê v À ?Ì V>ÊìÊ >Ê1 ÛiÀÃ `>`Ê ÃÌ>Ì> ÊìÊ i iÃ>ÜÊ (septiembre de 2004). UÊ /> iÀÊ Ã LÀiÊ >Ê `ÕV>V Ê i Ê >Ê -i}ÕÀ `>`Ê ìÊ «ÕÌ>V Ê (cada julio). UÊ ÀÕ« ÊìÊ/À>L> Ê££°nÊÃ LÀiÊ >Ê `ÕV>V Êi Ê >Ê-i}ÕÀ `>`Ê formática (conocido en inglés por sus siglas como “WISE”) de la Federación Internacional del Procesamiento Informático (conocida en inglés por sus siglas como “IFIP”) (cada dos años, mayo de 2005). Estos sitios de web y foros solamente son unos cuantos ejemplos de los recursos que están disponibles ahora—un grato cambio del estado que existía solamente hace doce años con respecto a los recursos tecnológicos de punta. Estas mejoras provinieron en su mayor parte de la determinación a nivel de la gente común que creía que la educación en la seguridad debe ser una responsabilidad compartida por la comunidad—y los resultados son impresionantes. Es de nuestra esperanza que usted sepa aprovecharse bien de estos recursos y que también haga su propia aportación.

RECONOCIMIENTOS ANTIGUOS ALUMNOS Y ESTUDIANTES Los antiguos alumnos a menudo vuelven a ver la ceremonia de titulación de sus amigos, y escuchar a un panel de antiguos estudiantes que tienen empleo en el sector de la seguridad y que han vuelto para hablar de sus experiencias puede ser muy agradable, tanto para los invitados como para los espectadores.

DESARROLLO DE PROGRAMAS DE ESTUDIOS Ha habido muchos avances positivos con respecto al desarrollo de

Con gratitud reconocemos la ayuda que nos han prestado los miembros de los Centros de Excelencia de la Educación en el Aseguramiento Informático, quienes nos enviaron por correo electrónico muchas de las sugerencias que se incluían aquí y otras sugerencias µÕiÊ Û> ÃÊ >Ê }Õ>À`>ÀÊ «>À>Ê V Õ >ÃÊ vÕÌÕÀ>Ã°Ê /> L j Ê `iÃi> ÃÊ agradecer a las personas tan atareadas (a menudo son voluntarios) que respondieron a las preguntas que hicimos sobre los programas ÞÊ ÃÊVÕÀÃ ÃÊµÕiÊ vÀiVi °Ê/ ` ÃÊÕÃÌi`iÃÊÃ Ê >À>Û Ã ÃÊV i}>ÃÊÞÊ estamos muy agradecidos por todo lo que hacen. ●

Matt Bishop es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y profesor de ciencia informática en la Universidad de California, Davis. Para comunicarse con él, diríjase al bishop@cs.ucdavis.edu

Deborah A. Frincke es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y científica principal del grupo de Seguridad Cibernética del

Laboratorio Nacional del Pacífico del Noroeste. Para comunicarse con ella, diríjase al deborah.frincke@pnl.gov

24 B:SECURE Septiembre, 2010

ÁREARESTRINGIDA

LAS VULNERABILIDADES DE LOS ARCHIVOS LNK Y DEL PROTOCOLO WPA2 Por Roberto Gómez Cárdenas

l tiempo pasa y nuevas vulnerabilidades se presentan. En los últimos meses se anunciaron dos vulnerabilidades importantes, una se presenta en el sistema operativo Windows y la otra afecta al protocolo de protección de redes inalámbricas WPA2. A mediados de julio se dio a conocer una vulnerabilidad en los archivos LNK. Estos archivos se crean cuando se define un “acceso directo”, dado que Windows tiene problemas para obtener iconos para este tipo de archivos y con el objetivo de proporcionar una funcionalidad más dinámica, el sistema ejecuta un código cuando se muestra un ícono. A través de LNK es posible especificar una dll maliciosa que se procese cuando se despliega el ícono, lo que provocará la ejecución arbitraria de código. En un principio la explotación de esta vulnerabilidad estaba dirigida a sistemas de control SCADA (Supervisory Control and Data Acquisition), equipos que permiten controlar a distancia una instalación industrial. Un ejemplo de este tipo de sistemas son aquellos que supervisan los ductos de compañías petroleras. En las primeras investigaciones se encontró que esta vulnerabilidad operaba en conjunto con Stuxnet, un gusano que infecta dispositivos USBs que se conectan al sistema. Al principio se inyecta un backdoor en el sistema y después se copian dos archivos de tipo drive (de nombre ‘mrxcls.sys’ y ‘mrxnet.sys). Uno de ellos oculta la presencia de los archivos lnk y el otro inyecta datos en la memoria de la víctima. Los drivers se encuentran firmados con un certificado digital de una compañía desarrolladora de hardware de nombre Realtek Semiconductor Corp, lo que implica que los desarrolladores del malware tuvieron acceso a la llave privada de la organización. El malware se propaga a través de dispositivos de almacenamiento USB, sin embargo su propagación no es a través de archivos autorun. inf, sino por medio de archivos .lnk. Así, lo único que se tiene que hacer para infectarse es abrir la unidad de almacenamiento con Microsoft Explorer o cualquier administrador de archivos que despliegue iconos. Para poder utilizar la vulnerabilidad se debe actualizar la herramienta y después ejecutar un script que levanta un servidor en el puerto 80. Cuando el servidor es visitado por la víctima, proporciona un Shell de meterpreter a través del puerto 443. Es importante tomar en cuenta que el exploit se activa cada vez que un folder que contiene un archivo LNK contaminado se abre. No es necesario que el archivo se encuentre en un dispositivo de almacenamiento USB para que sea ejecutado. Esto implica que es posible abrirlo desde cualquier lado, incluyendo carpetas compartidas. La víctima solo tiene que acceder a la información compartida para activarlo. Los sistemas Windows XP, Vista y 7 presentan esta vulnerabilidad. Hay que tomar en cuenta que ya no existe soporte para Windows XP

SP2 a partir del 13 de julio del presente año. Al momento de escribir este artículo no existe una solución única al problema. La gente del CERT de EU propone algunas alternativas como deshabilitar el despliegue de iconos de archivos LNK. Otra opción es restringir el alcance de ejecución del malware a través de herramientas como Ariad o el Software Restiction Poilicies (SRP) de Windows. Esta vulnerabilidad abre todo una nueva opción para esparcir malware a partir de dispositivos USBs, a pesar de que la opción de autorun esté deshabilitada. Se rumora que el ataque estaba dirigido a espionaje industrial y, de acuerdo al podcast Risky Business, podría tratarse de un trabajo llevado a cabo por algún gobierno. Del lado de las redes inalámbricas se presentó una vulnerabilidad denominada “Hole 196”. La persona que la descubrió es Md Sohail Ahmad de AirTight Networks. La vulnerabilidad se presenta en el protocolo WPA2 o IEEE 802.11i, considerado como el protocolo más seguro para redes inalámbricas. El primer protocolo que se utilizó para asegurar las redes inalámbricas fue WEP (Wired Equivalent Privacy), pero presenta varias vulnerabilidades. Con el objetivo de cubrir las vulnerabilidades de WEP se desarrolló el protocolo WPA (Wifi Protect Access), que utiliza el mismo algoritmo de cifrado, pero proporciona la opción de autenticarse a través de EAP (Extensible Authentication Protocol), el manejo de llaves es diferente y se utiliza un mecanismo distinto para cuidar la integridad de los paquetes. Actualmente se utiliza el protocolo WPA2, que utiliza el estándar de cifrado AES para cifrar y verificar la integridad de los paquetes transmitidos. La vulnerabilidad se encuentra en la especificación del estándar, que permite que todos los clientes reciban tráfico de tipo broadcast de un punto de acceso con una llave compartida. El atacante se aprovechó de lo anterior para enviar paquetes falsos cifrados con la llave compartida. El protocolo WPA2 utiliza dos tipos de llaves, PTK (Pairwise Transient Key) utilizada para proteger tráfico unicast entre dos usuarios y llaves GTK (Group Temporal Key) utilizada para proteger tráfico de tipo broadcast a varios clientes en la red. Las llaves PTK pueden detectar usurpación de direcciones y falsificación de datos, sin embargo GTK no. A partir de lo anterior un cliente que recibe tráfico a través del protocolo GTK puede crear un paquete de tipo broadcast e inyectarlo a la red. Al recibir el paquete el resto de los usuarios responderían con paquetes que contienen su dirección MAC e información sobre su llave. Para que este tipo de ataque sea posible el atacante debe estar autenticado dentro de la red. Algo que no debe ser tomado a la ligera pues muchos de los ataques son ejecutados por usuarios internos. Por el momento no hay nada que hacer para mitigar este tipo de ataque, se trata de otra vulnerabilidad que espera a ser aprovechada para implementar nuevos tipos de ataques. ● Septiembre, 2010 B:SECURE 25

EL INVITADO ¡HEY DUDE! ¿DÓNDE ESTÁ MI INFORMACIÓN? Por Alberto Ramírez Ayón, CISM, CISA, CRISC Y tú ¿Sabes dónde está tu información?... Éstos son sólo algunos mensajes que he visto en la red (son verídicos, aunque he modificado los datos reales): MSN Messenger: “Mi nuevo número celular cambió. El nuevo es: 132456987” Twitter: “Próxima reunión mañana en el café de Av. Insurgentes esquina Viaducto a las 8PM” Skype: “Hey, me cambio de ciudad, ahora viviré en el D.F. junto a la embajada de Alemania” Foursquare: “Llegando a la oficina (e incluyen nombre del lugar, ubicación sobre un sistema de mapas digital)” Facebook: “Si quieres deposítame en la cuenta 987654321 del Banco ABCD” Hoy, con los robos de identidad y secuestros debemos ser cuidadosos cuando damos nuestra información sea por teléfono, correo electrónico, de forma verbal, en una solicitud o en las redes sociales. Debemos estar seguros del objetivo de compartir esos datos. En términos generales, la gente cree que no pueden ser blanco de organizaciones que orquestan de manera casi perfecta los robos de identidad. Tenemos poca conciencia, aunado al hecho de que a mucha gente le cuesta trabajo decir no o cuestionar un poco más. Pueden robar la correspondencia, entre la que podrían encontrarse resúmenes de cuentas bancarias y de tarjetas de crédito, cheques nuevos e información relacionada con los impuestos. También pueden obtener información de la basura mediante una práctica conocida como dumpster diving. Otro medio es robar los números de las tarjetas de crédito o débito capturando la información mediante una práctica conocida skimming. También no hay que olvidar al phishing, fraude con el que pueden robar información personal a través de medios electrónicos, haciéndose pasar por representantes de compañías con el supuesto pretexto de que necesitan “revalidar ciertos datos o corregir un problema. Sin embargo, actualmente es relativamente sencillo obtener información de las personas, En sitios como Facebook, Orkut o Hi5 podemos tener acceso a datos personales, fotografías y estilos de vida. En LinkedIn podemos saber dónde trabajó o labora actualmente una persona. En Foursquare dónde está o estuvo, incluso con datos precisos como la localización física (en mapa), en dónde vive o trabaja, cuáles lugares acostumbra. Y en Twitter he visto como personas han llegado a publicar información personal como números telefónicos o, si están con algún cliente, el nombre de éste y la ubicación. Es impresionante lo que se puede saber de una persona en las redes sociales sin siquiera conocerlo físicamente. A veces basta sólo un dato que esté entrelazado o referenciado en las redes sociales para crear una cadena de investigación. Por ejemplo: la dirección de correo electrónico sería el primer punto de partida para comenzar a recabar datos de una persona. Otro escenario común son los correos electrónicos que urgen al usua26 B:SECURE Septiembre, 2010

riuo a acceder al portal de los servicios o plataformas web a los que está inscrito para corroborar información. Estos correos contienen vínculos o ligas a sitios apócrifos que replican la legitimidad del servicio para engañar al usuario. Sin embargo, tras bambalinas la información ingresada por el dueño de los datos es recolectada cibercriminales. Aunado a los problemas de falta de conciencia de los usuarios por el cuidado de sus datos, en nuestra idiosincrasia mexicana (¿o latina?) observo con preocupación que nos cuesta trabajo decir que no. Si llaman y pregunta por alguien de la casa u oficina y éste no se encuentra seguro nos dirán: “Oye, tienes su celular u otro teléfono donde lo pueda localizar”; y nosotros: “Claro que sí, por aquí tengo sus datos”. La pregunta ¿se los damos así porque sí? Tanto a nivel corporativo como en el hogar debemos hacer hincapié de los riesgos y amenazas a los que hoy en día estamos expuestos. En las empresas se deben de hacer entrenamientos o pláticas sobre el tema. En el plano personal debemos de recordarles a la gente cercana de lo peligrosos atados al descuido de los datos. Por lo menos, en charlas informales para sembrar la semilla de la duda. Pero ¿cómo detectar la información que más valor tiene para las personas o empresas? Los datos, que puede ser considerados como personal y confidenciales tienes algunos de los siguientes elementos: Elementos de contacto: Nombre, dirección física, e-mail, teléfono, Elementos financieros: Número de seguro social, números de cuenta, historial de transacciones, números de tarjetas de crédito o débito, contraseñas, reportes de buró de crédito, recibos de nómina u honorarios Elementos personales: Género, estado civil, edad, fecha de nacimiento, religión, nacionalidad, información médica, número de pasaporte, número de empleado, número de matrícula estudiantil, preferencia sexual. Elementos confidenciales: Información de clientes y proveedores, estrategias de negocio, adquisiciones, ventas, compras, reportes de auditoría, código fuente de software, bases de datos, presentaciones para clientes. Siempre piensa dos veces (o más) cuando estés dando información. No sabes los fines o usos que le puedan dar. Tal vez sólo se trata de algún viejo conocido o un “ex” enterándose de nuestras vidas. O quizá, es alguien mal intencionado que tiene en mente y conoce palabras como robo de identidad, fraudes bancarios, malversación de fondos o secuestros. Debemos crear conciencia sobre los datos que compartimos, con quién, la manera y medios por donde entregamos está información. No hay necesidad de alcanzar un estado paranoico, la idea simplemente es mantener el cuidado de nuestras personas virtuales, para no terminar preguntándonos “¿Dónde está mi información?”. Always, mind the information security gap! ●

´ OPINION INGENIERÍA INVERSA Por Elihú B. Hernández Hernández

espués de un mes de ausencia por la euforia mundialista y donde dicho sea de paso el spam estuvo a la orden del día aprovechando el escaparate de la copa del mundo, quisiera retomar un poco lo comentando en mi última columna. En ella, platicábamos acerca de las características, conocimientos técnicos y habilidades con las que debe de contar un investigador forense. En este numero quisiera agregar que un investigador en materia de análisis forense digital no puede prescindir de técnicas de Ingeniería inversa. Y es que actualmente, cada vez son más las organizaciones delictivas que se dedican a diseñar productos malware cuya finalidad es capturar los datos del equipo, robar información o obtener los números de tarjetas de crédito o debito y enviar los datos mediante redes P2P o por medio de una conexión remota a un servidor. Otra variante de malware que he visto recientemente, es una especie de troyano bancario diseñado específicamente para operar en ATM (Cajeros Automáticos), cuya finalidad es recabar la información contenida en la banda magnética (conocida como track 2) y capturar el PIN de seguridad de usuario. Pero en todo esto ¿dónde está la ingeniería inversa y para qué la necesita el investigador forense digital? Quisiera compartir con ustedes como la ingeniería inversa me ayudó a detectar, precisamente el troyano bancario descrito en los párrafos anteriores. Resulta ser que durante el análisis del caso (evidencia electrónica) la situación empezaba a complicarse, ya que el antivirus con el que se examinó el disco duro, no detectaba ninguna presencia de malware o código dañino. Lo que en un principio, eliminaba la posibilidad de que el disco estuviera contaminado. Sin embargo, dadas las altas sospechas que se tenían alrededor de este medio magnético, decidí realizar un análisis comparativo a nivel de hashes de todos los archivos contenidos en el disco duro, es decir comparar uno a uno los archivos contenidos en el medio de almacenamiento con una base de datos de hashes (firmas MD5) que a lo largo del tiempo he ido alimentando con programas malicioso que no son reconocidos por algunos fabricantes de antivirus. El análisis reveló algo muy importante, había un archivo en el disco duro con el nombre de notepad.exe pero su firma digital (hash MD5) no correspondía a ninguna versión del notepad.exe (bloc de notas) utilizado en las versiones del sistema operativo de Microsoft Windows. Al revisar las propiedades del ejecutable, me encontré con que los crimianles se habían tomado la molestia de especificar que el fabricante era Microsoft. Incluso tenían las propiedades correctas tal y como un notepad.exe legítimo. Sin embargo la firma MD5 (Hash) no coincidía y eso era suficiente motivo para realizar un análisis de ingeniería inversa. Una vez realizada una copia de seguridad del archivo en cuestión lo primero que se me ocurrió fue extraer del binario todas las cadenas de texto para identificar posibles mensajes de error o parámetros de ejecutable, que tuviera el programa sospechoso. En efecto, tenía muchas ca-

denas de texto que no tenían nada que ver con el ejecutable legitimo. Sin embargo de todas las cadenas de caracteres que se lograron extraer del binario, había una que sin lugar a dudas confirmaba que estábamos ante la presencia de un malware. Ésta, contenía la cadena “VB6” lo que apuntaba que el ejecutable había sido diseñado en Visual Basic versión 6, que dicho sea de paso, es el lenguaje de programación más popular para elaborar este tipo de malware. Una vez realizado este análisis preliminar y confirmar que por ningún motivo esta diferencia en el hash MD5 fue propiciada por alguna actualizaciones de software de Microsoft decidí realizar un análisis mucho más profundo haciendo uso de un debugger (programa para examinar un ejecutable del cual no se tiene el código fuente). Dentro de esa pieza de software, de más o menos 150 KB, estaban contenidas diversas instrucciones en las que se le indicaban al equipo infectado que debía de crear nuevos servicios en el sistema y además ocultarlos mediante un nombre que no pudiera ser apreciado a simple vista. El nombre de este servicio en cuestión estaba conformado por cuatro caracteres de espacio, lo que dificultaba su identificación vía las herramientas tradicionales de administración utilizadas por Windows. Adicionalmente, poseía una rutina de validación en la que verificaba que ciertas condiciones se cumplieran en la maquina objetivo para poder instalarse en el sistema y, en donde una de ellas, era que la cuenta de usuario con la que se ejecutara el programa malicioso (notepad.exe) tuviera derechos de administrador. El malware también utilizaba una rutina “genérica” de cifrado de datos; con el propósito de encriptar la información recabada. Esta información la corroboré al extraer la memoria de rutina y escanearla con un AV, que detectó la presencia de un código malicioso identificado como cryp-gen, un software presente en una gran gama de malware y cuya única función radica en cifrar los datos robados. Así, después de revisar e interpretar pacientemente cada una de las rutinas almacenadas en el malware (notepad.exe) descubrí dónde y cómo se almacenaban y cifraban los datos, y identifiqué los probables puntos de contagio. Cabe destacar que identificar toda esta información no hubiera sido posible sin un análisis de ingeniería inversa y sobre todo mucha pero mucha paciencia y capacidad de análisis. Esta anécdota debe obligarnos a reflexionar y a pensar que aunque la disciplina del análisis forense digital es “relativamente nueva” no por ello evoluciona lentamente. Desde mi óptica es muy importante que un investigador forense digital cuente con estas capacidades, pues el análisis forense ya no se limitan al estudio de los log’s del sistema o de los archivos, sino que se requieren habilidades que nos permitan hacer una disección de las piezas de software sospechosas encontradas en un equipo, a fin de reconstruir un caso y ubicar eficazmente las contramedidas necesarias para evitar volver a pasar por ese escenario y, sobre todo entender realmente qué fue lo que sucedió. ●

Elihú B. Hernández, GCFA (ehernandezh@produban.com.mx) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)

Septiembre, 2010 B:SECURE 27

LALEYYELDESORDEN 2.0 .

UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN

MÉXICO ESTRENA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES Por Joel A. Gómez Treviño

1ª PARTE

DESPUÉS DE CASI 10 AÑOS DE INICIATIVAS, POR FIN CONTAMOS CON UNA LEY IDÓNEA

l pasado 5 de julio de 2010 se publicó en el Diario Oficial de la Federación el Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Esta es probablemente una de las leyes más polémicas y al mismo tiempo más esperadas de México, considerando que el primer proyecto para regular esta materia se presentó al Congreso en el año 2001. Algunos de los proyectos que antecedieron al que finalmente culminó en ley fueron los siguientes: Proyecto de Ley Federal de Protección de Datos Personales, presentado por el Senador Antonio García Torres el 14/02/2001. Fue dictaminado y aprobado en la Cámara de Senadores el 30/04/2002 y se remitió a la Cámara de Diputados. Su contenido sufrió varias modificaciones fue seriamente cuestionado. Nunca se tomaron en cuenta las propuestas de alternativas de solución a los cuestionamientos. Proyecto de Ley Federal de Protección de Datos Personales, presentado por el Senador Antonio García Torres el 2/02/2006. Para llegar a esta ley, el Congreso Mexicano también tuvo que hacer varias reformas previas: El 20 de julio de 2007 se reformó el artículo sexto de la Constitución Política. La modificación está vinculada con la protección de datos personales: (a) El derecho a la información será garantizado por el Estado. (b) Para el ejercicio del derecho de acceso a la información, la Federación, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los ciertos principios y bases. (c) La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. Dos años después, el 30 de abril de 2009, se publicó una reforma constitucional al artículo 73, fracción XXIX-O, que otorgó facultades al Congreso de la Unión a legislar en materia de protección de datos personales en posesión de particulares. En este mismo año, el 1° de junio de 2010, se agrega un párrafo segundo al artículo 16 de la Constitución Política: “Artículo 16. […] Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley[…]” Como este artículo no bastará para tratar toda la ley, comenzaremos primero con una breve sinopsis de la misma: La Ley tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el

derecho a la autodeterminación informativa de las personas. Establece que los responsables en el tratamiento de datos personales, deben observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. Algunas definiciones más relevantes en el (art. 3) de esta ley son: I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable. V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. Sin embargo, nuestros legisladores son expertos en hacer las cosas diferentes en cada ley, a pesar de que haya antecedentes previos con la misma temática. Como muestra, las tan variadas y distintas definiciones de “datos personales” en otras leyes y regulaciones: Por ejemplo, el artículo 2 de la Ley de Protección de Datos Personales para el Distrito Federal contempla la definición de Datos Personales como “Información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen étnico o racial, características físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular, correo electrónico no oficial, patrimonio, ideología, creencias, convicciones religiosas y filosóficas, preferencia sexual, la huella digital, el ADN […]”. Esto se repite con la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y el Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones, cada una con su propia definición de “datos personales” Si bien las definiciones entre cada legislación son similares, no son iguales. ¿Por qué el ciudadano tiene que andar leyendo diferentes definiciones en varias leyes para saber si sus datos son o no considerados “personales” o “sensibles” a los ojos de determinada normatividad? Continuaremos en el próximo número con más datos interesantes sobre esta ley! ●

Joel Gómez es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. abogado@joelgomez.com 28 B:SECURE Septiembre, 2010

SINNÚMERO NO ME ROBES MIS DATOS, MEJOR TE DOY MI CARTERA

Una encuesta de Unisys demuestra que casi ocho de cada diez mexicanos están más preocupados por delitos como el robo de identidad o los fraudes en internet que por los asaltos o robos físicos. En México hay un tema que ningún ciudadano pierde de vista o elude y no es precisamente el fútbol ni la liguilla bicentenario, sino los asuntos relacionados a los temas de seguridad: Nacional, en Internet, en los sistemas financieros y en contra de los desastres naturales. De acuerdo a datos publicados en el Global Security Index de Unisys Brasil, México y Alemania son los países con los mayores índices de preocupación ante temas de seguridad. El estudio recabó datos de más de 11,000 persones en 11 países. Así, en una escala de cero a 300, siendo cero “ninguna preocupación” y 300 “máxima preocupación”, México terminó con un índice de 173, por debajo de los 177 de Brasil y arriba de los 151 de Alemania. Aquí, más datos del porqué la palabra seguridad causa miedo entre los mexicanos. Para 77% de los mexicanos la seguridad nacional es el mayor ámbito de preocupación en el país. La seguridad de los datos personales y el robo de identidad representan una preocupación para 75% de los mexicanos, incluso por encima del robo físico que es preocupante para 72% de los encuestados en el país. Cerca del 48% de los entrevistados en México temen hacer transacciones bancarias por internet, mientras que 50% están preocupados por los códigos maliciosos en el web. Los desastres naturales y las epidemias representan una preocupacion para 74% de los mexicanos. Mientras que 56% temen que la inestabilidad laboral del país les permita cumplir con sus compromisos financieros.

30 B:SECURE Septiembre, 2010

SEGURO… QUE LO QUIERES SI NO TE GUSTA LO PUEDES REGRESAR: APPLE A pesar de los cantados problemas de la antena del nuevo iPhone 4, se estima que su dueño, Apple, ya logró vender más de seis millones de unidades. El dispositivo ya está a la venta en México. ¿Dejarás que la manzana de la discordia te tiente?

SEGURO QUE LO QUIERES POR UÊ ÀiÃÊÕ ÊfanáticoÊìÊ «« iÊÞÊÌ ` ÃÊÃÕÃÊ«À `ÕVÌ Ã°Ê- Ê >ÊV «> >Ê > â>Ê> Ê iÀV>` ÊÕ Ê VÀ `>ÃÊ VÀ Ü>Ûi®ÊÃi}ÕÀ ÊÌ> L j Ê >À >ÃÊ v >Ê«>À>ÊV «À>À ° UÊ Ê ÕiÛ Êprocesador A4Ê V Õ ` Êi Ê >Ê *>`®ÊÞÊÃÕÊ«> Ì> >ÊV Ê ÌiV } >Ê,iÌ >Ê Ã« >ÞÊÛ> i Ê« ÀÊÃ ÊÃ ÃÊi Ê«ÀiV ÃÊì ÊiµÕ « ]ÊµÕiÊ i Ê«Ài«>} ÊV i â>Êi Ê ÃÊf ]ÎääÊ«iÃ Ã° UÊ * ÀÊv Ê «« iÊiÃVÕV ÊÌÕÃÊ« i}>À >ÃÊÞÊ iÊ«ÕÃ ÊÕ Êºv µÕ Ì »ÊLED FlashÊ>Ê >ÊV? >À>Ê` } Ì> Êì ÊiµÕ « ° UÊ Õ ÃÌiÊ`Õi ÊìÊÕ Ê * iÊÎ ÊÞÊÎ -]Ê« ÀÊ ?ÃÊµÕiÊµÕ iÀ>ÃÊ ÊÌ i iÃÊ i ÊÛ> ÀÊ«>À>Ê«iÀìÀÊÌÕÃÊaplicaciones° UÊ À>ÃÊìÊ ÃÊµÕiÊ«i Ã>L> ÊµÕiÊ >ÊKillerapp de la BlackBerryÊiÀ>Êi Ê Ê iÃÃi }iÀ]Ê«iÀ ÊV Ê7 >ÌÃ>««ÊÌiÊ`>ÃÊ VÕi Ì>ÊìÊ ÊiµÕ Û V>` ÊµÕiÊiÃÌ>L>Ã°

SEGURO QUE NO LO QUIERES POR UÊ V>L>ÃÊìÊ«>}>ÀÊ ?ÃÊìÊfÈ]äääÊ«iÃ ÃÊ« ÀÊÌÕÊÌi jv °Ê ÃÊf£ä]xääÊµÕiÊ Ì i iÃÊ> ÀÀ>` ÃÊÃ Ê«>À>Ê >ÊiPad Wi-Fi-3G de 64GB°Ê UÊ ÊµÕ iÀiÃÊ«i Ã>ÀÊV ÊÌ i iÃÊµÕiÊ>}>ÀÀ>ÀÊi Ê * iÊ{Ê«>À>Ê Ê bloquearle la antena]Ê« ÀÊiÃ Ê«Àiv iÀiÃÊµÕi`>ÀÌiÊV ÊÌÕÊ Ìi jv Ê Ê Ìi }i Ìi]Ê«iÀ ÊV Êi ÊµÕiÊÃ Ê«ÕiìÃÊ >L >À° UÊ ÀiÃÊÕÃÕ>À ÊìÊAndriodÊ ÊBlackBerryÊÞÊiÃÌ?ÃÊi ÊV ÌÀ>Ê ìÊÌ ` Ê ÊµÕiÊÌi }>ÊÕ Ê } Ì « ÊìÊ > â> >°Ê >ÃÌ>Ê >ÊvÀÕÌ>ÊÌiÊ >ViÊ i >À UÊ ÊV «À>ÃÊ }Ö Ê * iÊ >ÃÌ>ÊµÕiÊ ÊV âV>ÃÊ ÃÊ« > iÃÊìÊ`>Ì ÃÊ Î ÊìÊMovistar° UÊ ÊìLiÃÊìÊV «À>ÀÊÕ >ÊfundaÊ«>À>ÊµÕiÊvÕ V iÊL i °Ê >ÃÊ ìV ` ` Ê«>Ã>ÀÊ> ÊL> ` ÊìÊ >ÃÊº À>ÃÊ i}À>Ã»°ÊÊ

32 B:SECURE Septiembre, 2010

MÁS ALLÁ D E LA ANTEN A s 0

ROCESADOR ! CON " EN 2!- A s #ÈMARA D '(Z E MEGAPIX EL ES CON ,%$ &LA s 0ANTALLA SH DE PULG ADAS CON TEC $ISPLAY DE NOLOGÓA 2ETIN X PIXEL A ES s -EMORIA INTERNA DE O '" s "ATERÓA QUE SEGÞN ! PPLE OFRECE HASTA TIEMPO DE U MÈS SO s 7I &I '0 3 "LUETOOTH

'IROSCOPIO ACELERØMETRO DE TRES EJES Y

¿POR QUÉ ASISTIR?

SoMebiz es el único foro de Social Media en México con un enfoque completo sobre las tendencias, retos y alcances que más interesan a los negocios en el uso de estos nuevos canales de comunicación.

CIERRE LA BRECHA DEL SOCIAL MEDIA EN SU NEGOCIO

DIRIGIDO A:

U Directores de marketing U Directores de sistemas U Directores de recursos humanos U Ventas U Agencias de Publicidad

20-21 de Octubre, Hotel W Ciudad de México

¡REGÍSTRESE YA!

www.somebiz.com.mx

Early bird (20% de descuento)

Inscríbase antes del 24 de septiembre y pague: $3,600.00* Costo: Inscripción ambos dias: $4,500.00* (Incluye acceso a keynotes, comida los dos días y evento de clausura.) Inscripción sólo para el segundo dia: $2,900.00* (Incluye acceso a keynotes, comida y evento de clausura.) * IVA Incluido.

Informes: Tel: (55)- 2629 7260 opción 4, 2629 7280, 81, 84, 85. 01800 670 6040. eventos@netmedia.info

Producido por