bSecure - Octubre, 2010

octubre 2010 · 66 · www.bsecure.com.mx

EMPOWERING BUSINESS CONTINUITY

el diariode la

Continuidad de negoCios

$80.00 M.N.

Los desastres naturales y sociales han puesto en la mente de la alta dirección, de todas las empresas en México, las palabras continuidad de negocio. Hoy, las áreas de IT deben aprovechar los recientes acontecimientos y convertir la catástrofe en oportunidad.

eMedia eMedia Redes Redes Sociales Sociales Webcast Webcast Podcast Podcast Blogs Blogs Revistas Revistas Digitales Digitales eNewsletter eNewsletter

LĂ­der en

Custom New eMedia

Si deSea incorporar Social Media en Su eStrategia, contĂĄctenoS www.netmedia.info t. 2629 7260 ext. 1125

oct 2010

ACCESO

Here you Have… un virus

No se trata de una amenaza cibernética avanzada, ni de un malware sofisticado. Un ciberataque a la vieja usanza ha hecho sufrir a empresas y gobiernos de todo el mundo

ACCESO

redes sociales sin políticas golpean seguridad de empresas

Hasta $100,000 dólares en pérdidas puede causar el mal uso de los medios, el principal factor de riesgo es la pérdida de información sensible.

B:SECURE FOR BUSINESS PEOPLE

lo que debe saber y Hacer la alta dirección en seguridad

La alta dirección en materia de seguridad debe tener skills y una visión particular del negocio. ¿Cuál es?

áREA REStRINgIdA

los flujos de datos alternos de los ntfs

Qué son los archivos de NFTS, qué tipo de mecanismo estenográficos podemos sacar de ellos. Nuestro experto le dice todo lo que tiene que saber.

SECURIty AwARENESS

¿concientizar, imponer… o inception?

10 el diario de la continuidad del negocio los desastres naturales, digitales y sociales han puesto las palabras continuidad de negocio en las mesas directivas. Hoy, las áreas de it deben aprovechar los recientes acontecimientos y convertir la catástrofe en oportunidad.

04 LOgIN

20 SINNúmERO

La seguridad entre los usuarios se impone, se enseña o se aprende. El mundo para los CISO serìa más fácil si la hipótesis de la película Inception fuera cierta.

SEgURO QUE LO QUIERES

las moras negras tienen libro En el marco del Developers Conference 2010, en la ciudad de San Francisco, Mike Lazaridis, co presidente de RIM, creadores de la BlackBerry presentó la PlayBook, una tableta digital sensible al tacto que promete hacer llorar a la iPad. ¿Lo logrará? ¿Qué dicen tus bolsillos?

Octubre, 2010 b:Secure 1

¿POR QUÉ ASISTIR?

SoMeBiz es el único foro de Social Media en México con un enfoque completo sobre las tendencias, retos y alcances que más interesan a los negocios en el uso de estos nuevos canales de comunicación.

CIERRE LA BRECHA DEL SOCIAL MEDIA EN SU NEGOCIO

DIRIGIDO A:

• Directores de marketing • Directores de sistemas • Directores de recursos humanos • Ventas • Agencias de Publicidad

20-21 de Octubre, Hotel W Ciudad de México

www.somebiz.com.mx

¡REGÍSTRESE YA! Costo: Inscripción ambos días: $4,500.00*

(Incluye acceso a keynotes, comida los dos días y evento de clausura.) Inscripción sólo para el segundo día: $2,900.00* (Incluye acceso a keynotes, comida y evento de clausura.) * IVA Incluido.

Informes: Tel: (55)- 2629 7260 opción 4, 2629 7280, 81, 84, 85. 01800 670 6040. eventos@netmedia.info Evento de

Producido por

Con apoyo de

KEYNOTE SPEAKERS › Evoluciona o muere: El futuro de la comunicación en línea Kyle Lazy, autor del libro Twitter Makerting for Dummies

› Social y móvil: ¿Pura moda o un nuevo imperativo de los negocios?

Loren McDonald, experto en integración de tecnologías móviles y herramientas del Web 2.0

› Social Capital and the New Tribe

Julien Smith, coautor del libro Trust Agents y pionero en medios electrónicos del mundo Web

› Listening to the Wisdom of Crowds

Kishore Swaminathan, responsable de Investigación tecnológica a nivel mundial de Accenture

› Control y manipulación de la conversación en Social Media. Guillermo Pérezbolde, experto en Social Media

en América Latina y responsable del estudio Twitter en México.

› En el Web 2.0 nadie se esconde

Javier Matuk, reconocido blogger en tecnologías de consumo, conductor del programa Dommo y activo promotor de las IT en México.

enlínea bSecure.com.mx

Mónica Mistretta directora general

SecueStrador atrapado por Su perfil en una red Social Una empresaria brasileña decidió tomar el papel de detective y policía y se lanzó a la búsqueda del hombre que la secuestró hace medio año, hasta que logró locizarlo en Orkut, la red social más grande y famosa del país latino. De acuerdo a informes de la policía de Sao Paulo, la mujer ubicó al presunto secuestrador gracias a una fotografía colocada en su perfil de la red social Orkut, propiedad de Google. La empresaria lo contactó mediante una identidad falsa y luego lo denunció ante las autoridades. La policía dijo que Eduardo dos Santos, de 34 años, fue detenido por la información ofrecida por la mujer, quien no fue identificada por razones de seguridad. Según informes de la agencia de noticias AP el detective Glauco Myga indicó que las autoridades le pidieron a la mujer que buscara entre los expedientes de personas radicadas en la zona donde fue secuestrada, y finalmente el esfuerzo dio resultado. La empresaria fue secuestrada en marzo y permaneció cautiva 15 días en una ciudad de la periferia de Sao Paulo. De inmediato no hubo detalles del caso. Actualmente la red social Orkut, es operada por Google Brasil debido al impacto que la plataforma ha tenido en aquel país. Según datos de Alexa al 2010 Orkut cuenta con mas de 100 millones de usuarios alrededor del mundo, 48% son brasileños, 39.2% son de la India y el porcentaje restante son internautas de diversas naciones.

Viral: ataque en twitter Se actiVa al paSar puntero Sobre una liga Un hueco en el código de Twitter ha sido explotado para dar ocasión a un nuevo ataque conocido ya como ‘onmouseover’ debido a que no hace falta dar clic en la liga maliciosa, sólo con mover el puntero con el ratón sobre ella, las cuentas son infectadas, redirigiendo el tráfico a otros sitios. Al pasar el puntero sobre un tweet, que es una liga rara o extraña automáticamente es abierta en el navegador una ventana que conduce a otro sitio web el usuario es redireccionado a un sitio de pornografía, particularmente de origen japonés. La voz se ha pasado entre los usuarios de Twitter y que se han infectado de esta manera y han colocado avisos advirtiendo a otros usuarios que no pasen el mouse por encima de la liga maliciosa. No obstante, investigadores en seguridad también han analizado el problema y, aunque no ofrecen una cifra, aseguran que son decenas de miles las cuentas comprometidas para estas alturas. De acuerdo con los expertos, se trata de una falla en el código JavaScript del sitio de microblogging. Twitter había guardado silencio por varias horas y en el sitio los usuarios se han preguntado si la compañía está haciendo algo o no para detener el ataque, pero Twitter comunicó la mañana del martes que ha parchado el ataque XSS. Asimismo el sitio pidió a quienes tengan información sobre lo ocurrido que envíen un mensaje a @safety para proporcionar datos que ayuden a la compañía a conocer mejor la falla.

Estos y otros artículos en www.bsecure.com.mx [loS editoreS de netmedia hablan Sobre loS temaS de máS actualidad de la induStria]

aunque Me coRRan

Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

Fabuolus bloG

TeMa lIbRe

Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

bloGueRos InvITados: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

4 b:Secure Octubre, 2010

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info

CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

Carlos Fernández de Lara director editorial Elba de Morán directora comercial Gabriela Pérez Sabaté directora de proyectos especiales Alejandro Cárdenas director de arte Iaacov Contreras circulación y sistemas Gabriela Bernal directora administrativa José Luis Caballero asesoría legal

consejo editorial Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez, Mario Velázquez. columnistas Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, Elihú Hernández, Mario Velazquez, Alberto Ramírez editor on line Efraín Ocampo web master Alejandra Palancares diseño Pablo Rozenberg asistentes de redacción Gabriela Rivera, César Nieto, Oscar Nieto ventas y publicidad Morayma Alvarado, Carmen Fernández, Cristina Escobar suscripciones Sonco-Sua Castellanos, Diana Zdeinert

login LOGIN

ArrestAn A ciberdelincuente por FrAude nigeriAno… y sí es nigeriAno Okpako Diamreyan, fue sentenciado a 13 años de prisión por la planificación de una estafa de pago anticipado. De acuerdo con los datos liberados por diversos medios de comunicación en Estados Unidos, el nigeriano engañó a 67 víctimas en territorio norteamericano y logró generar ingresos por $1.3 millones de dólares. Diamereyan hacía uso del ya conocido “fraude nigeriano”, a través del cual informaba a sus víctimas que tenía el control de un envío en Ghana, el cual contenía una cantidad comprendida entre $11.5 millones dólares y

$23.4 millones dólares. En los correos electrónicos el estafador prometía 20% de esta cantidad a sus víctimas, siempre y cuando éstas lo ayudaran a trasladar la suma millonaria a una cuenta en Estados Unidos. Para poder realizar la transacción los defraudados tenían que depositarle cierta cantidad de dinero, con el fin de cubrir los trámites bancarios que el movimiento requería. La corte del Distrito de Connecticut también condenó al acusado a pagar $1.02 millones de dólares como compensación a las 67 víctimas que cayeron en uno de los engaños o fraudes web más conocidos. “La larga condena que se ha impuesto hoy debería enviar un fuerte mensaje a aquellos que tengan la intención de cometer crímenes similares - seguiremos estos casos a donde quiera que nos lleven”, declaró David Fein, procurador de Connecticut, citaron distintos medios de comunicación. Datos publicados por el sitio web SCMagazineus informan que Diamereyan de 31 años de edad fue sentenciado por la juez Janet Hall de Bridgeport Connecticut, Estados Unidos a 151 meses en prisión, seguido de tres años de libertad condicional.

Hp desembolsó $1,500 millones de dólAres por ArcsigHt Luego de pelearse por semanas con Dell por la adquisición de 3Par, la firma de IT HP pagará la friolera de $1,500 millones de dólares por la firma de seguridad ArcSight. En el comunicado, HP informa que ofreció $43,50 dólares por acción de ArcSight, es decir, $1,500 millones de dólares por la empresa. Esta es la segunda adquisición más grande en el mundo de seguridad IT de los últimos meses, luego de que Intel anunciara que pagaría $7,700 millones de dólares por McAfee. “La combinación de HP y ArcSight proveerá a los clientes la posibilidad de fortalecer sus aplicaciones, de manera activa así como supervisar los hechos y responder a las amenazas”, dijo Bill Veghte, vicepresidente ejecutivo de software y soluciones de HP. Con la adquisición de ArcSight HP busca hacer crecer las soluciones de seguridad empresarial, que ofrece dentro de su portafolio de servicios, en particular al entregar funciones adicionales de protección de datos, fraude, espionaje y manejo de contenidos, dentro de todos sus equipos de cómputo. Cosa que no es de extrañar para HP, como el mayor vendedor de computadoras en el mundo.

6 b:Secure Octubre, 2010

De acuerdo al último reporte de venta global de PC de Gartner HP controla más del 17% del mercado de equipos de cómputo casi cinco puntos porcentuales por encima de su competidor más cercano la taiwanesa Acer. Por su parte, las acciones de ArcSight incrementaron 25% su precio respecto al costo que tenían el viernes, cuando la empresa de seguridad estaba valuada en $1,200 millones de dólares. Según el informe de HP la adquisición de ArcSight concluirá a finaesl de año. Esta es la segunda gran adquisición de HP tras la salida de Mark Hurd, su ex CEO. El mes pasado el fabricante de computadoras compitió hombro a hombro con Dell por la compra de la empresa de almacenamiento de datos, 3Par, HP superó a su competidor al ofrecer $2,400 millones de dólares. Con la adquisición de 3Par la empresa de Palo Alto, California busca expandir sus servicios de cómputo en la nube y virtualización.

SpammerS eStrenan la red Social de apple ping Aún no tienen 500 millones de usuarios como Facebook o más de 50,000 millones de tweets al día, pero la nueva red social de Apple, Ping rompió récord de uso para los cibercriminales. Así, en cuestión de horas y no días, los cibercriminales estrenaron su presencia en la nueva red social a través de cientos de mensajes basura o spam. La red social, soportada sobre la aplicación de administración de contenidos multimedia de Apple iTunes, fue liberada el miércoles pasado dentro de actualización del programa, la cual también incluía parches para 13 vulnerabilidades detectadas previamente. Similar a Twitter o Facebook, Ping permite que los usuarios creen cuentas en la plataforma, agreguen o sigan a sus conocidos y artistas musicales y compartan estados, canciones, fotografías o recomendaciones de compras generadas en iTunes. Sin embargo, parece que por la euforia de lanzar el servicio, Apple no consideró colocar un sistema de filtrado de URL o sistemas de prevención contra spam, pues la red pronto se vio saturada por cientos de mensajes basura. Medios de comunicación como SCMagazine informaron que en sus primeras 24 horas de vida los perfi-

les de cantantes y grupos de rock como U2, Lady Gaga, Justin Beiber y Linkin Park ya contenían importantes cantidades de mensajes basura o con ligas a sitios maliciosos. Expertos de seguridad afirmaron que Apple no imaginó que la red social fuera a ser utilizada por spammers, pero advirtieron que en todos los sistemas web en donde permites que los internautas escriban algo habrá problemas de spam. Algunos de los mensajes falsos más comunes en Ping eran sobre imágenes sexuales de artistas y sitios que prometían regalar un iPhone 4, a aquellos usuarios que llenaran un cuestionario con datos personales. Uno de los factores que facilitan la propagación de spam dentro de Ping radica en que la creación de nuevos perfiles, es relativamente sencillo, pues el sistema no solicita datos personales o de corroboración. Así, cualquier usuario tiene la facilidad para crear un perfil. Aunque la compañía no ha comentado al respecto de los mensajes basura en el sitio, diversos expertos no tardó en tomar cartas en el asunto, pues iTunes es uno de los servicios más protegidos por la firma de la manzana.

multifuncionaleS el nuevo eSpía en la oficina Los equipos de impresión de HP “Todo en Uno” poseen una vulnerabilidad que puede ser aprovechada para robar información a las empresas que cuenten con estos aparatos, reveló la firma de seguridad Zscaler. La aplicación “WebScan”, disponible en las multifuncionales es la responsable de la brecha de seguridad, pues esta característica permite activar el scanner de manera remota así como conseguir las imágenes que éstos capturen, informó el blog de la compañía. Michael Sutton, vicepresidente de investigación de seguridad de Zscaler, declaró que debido a ésta vulnerabilidad cualquiera que tenga acceso a la red local de una empresa tiene la opción de activar el scanner y robar documentos sensibles para la compañía o para los usuarios. HP argumentó que la compañía informa a sus clientes sobre las ventajas de mantener segura su red para evitar cualquier robo de información, según el blog. Como respuesta al comunicado de HP, Sutton y su equipo accedieron a la red de la compañía fabricante de

computadoras y por medio del WebScan de los equipos de impresión de ésta obtuvieron documentación importante sin que fueran detectados por los sistemas de seguridad de HP. “Lo preocupante es que hay millones de estos escáneres en las empresas y muchas veces éstas no saben de la existencia de esta función por lo que cualquier usuario de esa red tiene la capacidad para ejecutar el escáner”, apunta Sutton. El investigador subraya que en la actualidad la mayoría de los equipos de las empresas, como impresoras o fax, cuentan con una conexión a la red por medio de un IP, por lo que estos aparatos se han convertido en la puerta ideal para que las compañías sufran distintos ataques. Dichos ataques son fáciles de perpetrar ya que cuando las empresas actualizan sus sistemas de seguridad nunca toman en cuenta este tipo de dispositivos, concluyó Sutton. Aunque Sutton analizó sólo equipos de HP, no descartó la posibilidad de que impresoras de otras marcas presenten el mismo problema.

breveS SonicWall anunció el desarrollo de una nueva estrategia para llevar seguridad a dispositivos móviles y usuarios de redes sociales. Como parte su estrategia “Seguridad Dinámica para la Red Global”, que está basada en la entrega de servicios de seguridad bajo un modelo de SaaS, la firma planea reforzar sus soluciones firewall de última generación SSL VPN para el uso de dispositivos móviles tanto a nivel personal como institucional. CheckPoint publicó la disponibilidad de sus nuevos programas de entrenamiento y certificación en R71 que enseñan cómo implementar, mantener y optimizar eficientemente la arquitectura de software blade. El nuevo curso incluye ejercicios prácticos y una biblioteca en línea con guías de estudio descargables y exámenes de práctica. La firma promete que los profesionales de seguridad aprenderán cómo configurar las políticas de seguridad, comunicaciones seguras en la red y defenderse contra las amenazas emergentes en internet desde la comodidad de su propia computadora. Fortinet liberó nuevos appliances virtuales para brindar seguridad a lo largo de ambientes virtualizados y en la nube. Los nuevos FortiGate, FortiManager, FortiAnalyzer y FortiMail se combinan con appliances físicos, lo que le permite a la compañía ofrecer una integración más profunda dentro de los ambientes virtuales.

Octubre, 2010 b:Secure 7

acceso HErE you HavE… un virus

E

mpresas como Comcast, Disney y Procter & Gamble, dependencias de gobierno como la NASA o el Departamento de Transporte de Florida y miles de usuarios web alrededor del mundo han caído víctimas de “Here you have” (Aquí tienes el…), un ciberataque con un método de ataque simple y antiguo, pero que concentra toda su efectividad en la ingenuidad, curiosidad y torpeza humana. El ataque fue detectado a mediados de septiembre, pero comenzó a ganar la atención de firmas de seguridad y medios de comunicación por sus niveles de propagación e infección alrededor del mundo y la simplicidad en su estructura. Así, al igual que el gusano “I love you”, uno de los más famosos en la historia del malware, “Here you have” replica el éxito de la vieja guardia y centraliza su foco de infección en la ingenuidad o torpeza de los internautas. Los expertos del laboratorio de seguridad de McAfee definieron al gusano como un malware de rápida propagación, pues se distribuye por medio de un correo electrónico con un enlace malicioso, reportó la firma de seguridad. Hasta ahora McAfee ha detectado dos versiones del mensaje que contienen dicho correo. La primer versión y más famosa de “Here you have” se distribuye a través de un correo electrónico, que contiene un enlace para descargar un documento en formato PDF. La segunda versión es casi idéntica, pero contrario a un archivo contiene una liga a un supuesto video con conteni-do pornográfico. Cuando el usuario da clic sobre dicho vínculo, éste permite que el virus se instale en su máquina, al tiempo que accede a los contactos del correo electrónico para reenviarse entre los mismos. A pesar de simpleza ,“Here you have” ha logrado elevar los niveles de alerta ante distintos caso de infección masiva. La firma de seguridad Symantec liberó un comunicado donde específica que el gusano ha elevado su nivel de riesgo de uno, a tres, en una escala de cinco. 8

b:Secure Octubre, 2010

no se trata de una amenaza cibernética avanzada, ni de un malware sofisticado. un ciberataque a la vieja usanza de los ataques web por correo electrónico, como el famoso “i Love You”, ha hecho sufrir a empresas y gobiernos de todo el mundo “Hablé con un cliente que vio alrededor de 100 correos electrónicos por segundo, que se enviaban en su red. Esa cantidad de correo basura fue suficiente para tirar su sistema”, dijo Kevin Haley a SCMagazine, director responsable de segurida de de Symantec. La revista informa que distintos expertos de seguridad aún no comprenden porque los creadores del gusano usaron un método de la “vieja escuela” para llevar acabo el ataque de “Here you Have”. Pero no por viejo es poco efectivo, pues empresas y dependencias gubernamentales de Estados Unidos como la Nasa, AIG, Disney, Procter & Gamble, Wells Fargo, La ABC, Comcast y el Departamento de Transporte de Florida reconocieron ser víctimas del ciberataque, a través de comunicados o comentarios en sus perfiles oficiales de rede sociales. Un ejemplo claro fue el ISP Comcast, quien dio a conocer por medio de su Twitter oficial, que debido al ataque del “Here you Have” los servicios de correo electrónico de la compañía tuvieron que ser suspendidos de manera temporal. Algunos expertos de seguridad comparan popula propagación del gusano con la del popu lar virus “I love you”, que en mayo de 2000 computacontagió más de 50 millones de computa doras en todo el planeta.

Su origen podría eStar en eSpaña Al poco tiempo del caos causado por el malware, Tarek Bin Ziad perteneciente a la Iraq Resistance subió un video a YouTube y se responsabilizó de la creación y distribución del virus. El líder asegura tener 26 años y residir en España, en dicho video explica la creación del gusano, resaltando que es una venganza contra Estados Unidos por la invasión a Iraq. Panda Labs subraya que en el video, se muestra de manera permanente una imagen de Andalucía, junto a una foto y un escudo, el cual podría ser identificativo del grupo, concluye la firma de seguridad. l

acceso Redes soCiales sin polítiCas golpean seguRidad de empResas Hasta $100,000 dólares en pérdidas puede causar el mal uso de los medios, el principal factor de riesgo es la pérdida de información sensible

C

ada día le encuentran más beneficios y posibilidades de negocio a las redes sociales, mejor conocidas como el Social Media, sin embargo un análisis de la firma de seguridad española Panda afirma que el mal uso de estos canales puede generar pérdidas severas de información y dinero para las empresas. De acuerdo a su encuesta AnnualSocial Media Risk Index for Small to Medium Sized Businesses 35% de las empresas entrevistadas reconocieron haberse visto impactadas negativamente por el uso de estos canales del Web 2.0. Así, el 33% de las Pymes entrevistadas por Panda afirmaron haber sufrido infección de malware o códigos maliciosos, 38.2% han visto una reducción en la productividad de sus empleados y 23.2% han enfrentado pérdida de información sensible a consecuencia del uso de canales como Facebook, Twitter, LinkedIN y YouTube. Más allá del impacto, el reporte subraya que la gravedad radica en que el mal uso de los medios sociales y la falta de políticas alrededor de las mismas, ya comenzaron a generar pérdidas económicas dentro de las organizaciones. Tan sólo por infecciones de malware la encuesta de Panda revela que casi cuatro de cada diez compañías sufrieron pérdidas monetarias. Donde el 52.2% de estas perdieron entre $1 y $5,000 dólares, 13% entre $5,000 y $10,000 dólares y otro 18.1%, los tres niveles más graves, perdieron entre $10,000 y más de $100,000 dólares. No es de extrañar, que el reporte de Panda coloque a Facebook como el principal canal de infección de malware y de pérdida de información sensible para las compañías con 71.6% y 73.2%, respectivamente. Pero la red social más grandel del mundo no está sola en el ban-

quillo de los acusados, pues los encuestados señalaron a Twitter como posible responsable del 50.7% de los casos de violación de privacidad y fue el canal para 32.4% de las infecciones causadas por Malware. YouTube tampoco libró la acusación. De acuerdo con la encuesta de Panda la plataforma de videos, propiedad de Google, causó 29.6% de la pérdida de información y 41.2% de las infecciones por códigos maliciosos.

Y, sin embargo se usan A pesar de los niveles de riesgo, 77% de las más de 315 compañías (entre los 15 y 1,000 empleados) consultadas por panda afirmaron que utilizan estos canales de comunicación. Y si bien 54.6% de los entrevistados tienen estos canales habilitados para el uso personal de sus empleados, la mitad de las Pymes afirmaron utilizar las herramientas del Social Media como fuente de investigación, 48% para atención o servicio al cliente, 43% para campas de marketing y 35% las usa como canales de ventas. El reporte deja entrever que varias organización ya comenzaron a tomar acción preventiva alrededor del tema, pues 56% cuentan con políticas de uso sobre Social Media contra 36% que aún no han establecido reglamento alguno. Sin embargo, la educación alrededor de las redes sociales va a medio camino, 56% de las pymes encuestadas mencionaron conocer todos los riesgos atados al uso de Social Media, aun así, otro 42% confesó no estar al tanto de todos los impactos negativos para su organización. l Octubre, 2010 b:Secure

9

acceso

Antivirus seguro sin ActuAlizAciones: trend Micro Casi cuatro de cada diez usuarios odian su software de seguridad por caro, lento y complejo. Ahora la firma de seguridad Trend Micro busca cambiar ese paradigma con Titanium su nueva marca y soluciones de seguridad para hogar y oficina

Y

a no actualices tu Antivirus dice Trend Micro. Sí, contrario a la cultura general fomentada por los desarrolladores de soluciones de seguridad que incitan al usuario a comprar versiones originales de sus programas para acceder a las constantes actualizaciones y firmas de códigos maliciosos, la compañía promete que “nunca más tendrás que volver a actualizar el AV”. La premisa es tan directa para la compañía, que la primera ventana del proceso de instalación de las nuevas soluciones de Trend Micro conocidas como Titanium, cacarea la leyenda “Bienvenido, nunca más vuelva a dar clic en el botón de actualizar”. Así, la firma de seguridad asegura ser la primera en ofrecer una solución de protección para el hogar totalmente en la nube, exenta de las constantes y pesadas actualizaciones de las bases de datos de los Antivirus convencionales. “En una encuesta realizada por Trend Micro, a usuarios web, comprobamos que de todos los programas instalados en la PC el más molesto para ellos es el Antivirus con 32%”, explica Jorge Osorio, responsable del área de canales de Trend Micro en México. De hecho, el ejecutivo señala que los principales motivos detrás del descontento de los usuarios por sus programas de seguridad son la lentitud o impacto en desempeño que generan en su computadoras (39%), el precio elevado (36%), el rendimiento (31%) y la complejidad o interfaz gráfica compleja (24%). “La mayoría de los usuarios hogareños o Pequeñas empresas creen que los problemas de ciberseguridad únicamente están relacionados a los virus. Sin embargo, actualmente el número de amenazas en el web y el ciclo de vida de la misma se acelerado de manera exponencial”, comenta Osorio. De hecho, aunque suene a comercial, las palabras de Osorio no son erradas en absoluto. El reporte de Threats Report: Second Quarter 2010 de McAfee afirma que tan solo durante la primera mitad de 2010 se registró un promedio de más de 100,000 millones de correos basura al día, con un máximo de hasta 175,000 millones de mensajes spam cada 24 horas. 10

b:Secure Octubre, 2010

En el campo del malware los datos de McAfee tampoco son halagüeños, pues entre enero y junio de este año la firma de seguridad catalogó más de diez millones de nuevas muestras de códigos maliciosos. De manera similar los laboratorios de Sophos afirmaron registrar cerca de 60,000 nuevas muestras de malware todos los días. Es decir, a este ritmo nace una nueva amenaza en internet cada 1.4 segundos. A pesar de la amenaza cibercriminal, el costo elevado y el impacto que genera en sus equipos son razones suficientes para que los usuarios prefieran mantener sus equipos desprotegidos. En ese sentido, dice Osorio, Titanium busca cerrar la barrera entre la brecha económica y el descontento o falta de conocimientos informáticos por parte de los usuarios finales. “Hemos cambiado desde el nombre hasta la tecnología de la solución, Titanium aprovecha la red de seguridad en la nube de Trend Micro, Smart Protection Network y Smart Scan, lo que permite tener protección en tiempo real desde la nube y sin necesidad de actualizar las pesadas bases de datos”, dice Osorio. Según la firma, esta posibilidad reduce el consumo de recursos y memoria de la computadora y agiliza los sistemas de seguridad. Comparada con versiones de AV anteriores, Osorio presumió que Titanium son 93% más ligeras, usan 59% menos espacio en disco duro y hasta 88% menos recursos de la memoria de la PC. Los ejecutivos de Trend Micro aseguraron que, aunque las firmas de malware y actualizaciones estén en la nube web, el programa seguirá funcionando incluso sin conexión a Internet. Titanium viene en tres versiones con costos de los $29 dólares a los $60 dólares. Sin embargo, el ejecutivo mencionó que a corto plazo la firma desarrollará un esquema para proveer una versión gratuita del programa, de manera similar a lo que hacen firmas como Avast. “Estamos caminando para ese lado y queremos que el usuario conozca nuestra tecnología y avance o crezca sobre ese campo. Así, dependiendo de sus necesidades de seguridad podrá adquirir la versión que más le acomode”, menciona. l

árearestringida

Los fLujos de datos aLternos de Los ntfs Por Roberto Gómez Cárdenas

L

a esteganografía tiene por objetivo el ocultar información en archivos, sin despertar la sospecha de terceros. Existen una gran variedad de herramientas esteganográficas que varían de acuerdo al tipo de archivos utilizados para ocultar la información. Por ejemplo, la herramienta Stools nos permite ocultar información en archivos de tipo WAV o imágenes de tipo BMP, la herramienta MP3Stego en archivos MP3, etc. El tamaño de la información a ocultar depende del tamaño del archivo portador; en algunos casos es 10% del tamaño del archivo portador. Para poder recuperar la información oculta es necesario que el receptor cuente con la herramienta que se usó para ocultarla. Una opción para ocultar información, dentro de archivos que no requieren de herramientas especiales, es lo que se conoce como Flujos Alternativos de Datos (Alternate Data Streams), una característica del sistema de archivos NTS de Windows. Un archivo hace referencia a información almacenada en un dispositivo. Para que el usuario acceda a dicha información es necesario utilizar el nombre del archivo. Los Flujos Alternativos de Datos (ADS por sus siglas en inglés) permiten almacenar información alterna asociada al nombre del archivo. Los flujos de datos en archivos NTFS se referencian de la siguiente forma: archivo:flujo Consideremos un archivo de nombre a1.txt, el flujo alterno de nombre datos se debe especificar de la siguiente forma: a1.txt:datos. No es posible manipular al flujo alterno a través de los comandos usuales como TYPE, DEL o RENAME, sin embargo un programador puede acceder a los mismos con funciones como open(“a1.txt:datos”,O_RDONLY); o la función unlink(“a1.txt:datos”);. El hecho de que el carácter “:” se use para definir un flujo alterno puede producir confusiones, ya que no se puede diferenciar entre la designación de un drive o el nombre de un archivo. Consideremos el ejemplo C:a1.txt, no se puede saber si se está haciendo referencia al archivo a1.txt en el drive C, o al flujo alterno a1.txt del archivo C. Para evitar confusiones se recomienda usar la ruta completa del archivo, en nuestro ejemplo sería C:\a1.txt. Con el objetivo de mostrar la forma en que se crea un flujo alterno de datos, se presenta el siguiente ejemplo. C:\> echo Esto es una prueba > a1.txt C:\> echo Hola Mundo > a1.txt:datos C:\>type a1.txt Esto es una prueba C:>\type a1.txt:datos The filename, directory name, or volumen label syntax is incorrect. C:\> more < a1.txt:datos Hola Mundo C:\> notepad a1.txt:datos (se abre la aplicación Notepad con Hola Mundo como contenido) En este caso se creó un archivo de nombre a1.txt y un flujo alterno

a este archivo de nombre datos. Como se puede constatar, no se puede utilizar el comando TYPE para ver el contenido del ADS del archivo a1.txt. Sin embargo se pueden utilizar los operadores de redirección para este propósito. Es posible mandar llamar una aplicación que tome como entrada el contenido del flujo alterno. En el ejemplo anterior se mando llamar la aplicación notepad. Los ADS no se concretan a solo texto. Es posible almacenar cualquier tipo de contenido, por ejemplo un ejecutable. La siguiente instrucción permite almacenar el contenido de la aplicación paint de Windows, en un flujo alterno al archivo a1.txt de nombre pinta.exe. C:\> type C:\Windows\system32\mspaint.exe > a1.txt: pinta .exe Para ejecutar el flujo se usa el comando start C:\> start C:\a1.txt:pinta.exe Hay que tomar en cuenta que es necesario especificar la ruta completa del flujo para que lo anterior funcione. Ahora bien, las nuevas versiones de Windows, Vista y 7 no permiten la ejecución de flujos alternos binarios, por lo que el ejemplo anterior no funcionará si se prueba en cualquiera de estas versiones de Windows. Una forma de poder ejecutar un flujo alterno en Windows Vista o 7 es a través de un script. En el script se invoca el programa que desea ejecutar y el script se añade como flujo alterno. El script se puede implementar en el idioma que se desee (Perl, Python, etc). Consideremos un archivo de nombre pinta.py, que contiene el siguiente script Python: import os path = ‘C:\Windows\system32\mspaint.exe ‘ os.system(path) El archivo script se añade al flujo de datos del archivo a1.txt de la forma habitual: C:\> type pinta.py > a1.txt: pt.py Para ejecutar se utiliza el motor de ejecución de scripts de python, pasándole como entrada el flujo alterno que contiene el script. C:\> Python26\python.exe a1.txt: pt .py Como resultado final se ejecuta la aplicación paint. Un listado de los archivos con el comando dir solo despliega los nombres de los archivos, y no indica si los archivos cuentan con flujos de datos alternos. Para poder localizarlos es necesario utilizar herramientas como lads o AlternateStreamView permiten detectar ADS. La primera solo los detecta y la segunda permite borrarlos. Por último hay que tomar en cuenta que esta característica no solo se puede aplicar para llevar a cabo acciones dañinas. Algunos archivos que se bajan de internet cuentan ADS que identifican la zona de donde se bajaron y algunas aplicaciones dejan una marca en los archivos que han procesado para no procesarlos dos veces o verificar la última vez que procesaron el archivo. Octubre, 2010 b:Secure 11

eL diariode La

continuidad de negocios Los desastres naturaLes y sociaLes han puesto en La mente de La aLta dirección, de todas Las empresas en méxico, Las paLabras continuidad de negocio. hoy, Las áreas de it deben aprovechar Los recientes acontecimientos y convertir La catástrofe en oportunidad Por Carlos Fernández de Lara carlos@netmedia.info Lunes 30. Agosto. Alex Estimada agenda de trabajo: No me lo vas a creer, pero el día de hoy el mero, mero presidente de la empresa me preguntó si nuestros procesos de negocio están habilitados para mantener la continuidad de sus operaciones ante cualquier eventualidad humana, natural o informática y en todas nuestras sucursales y oficinas alrededor del país. Honestamente no supe qué contestar. Todo pasó justo después del impacto de Alex, el huracán, en el norte del país, más específicamente en Monterrey. Y no es para menos que el presidente (mi jefe) me haya preguntado sobre la continuidad de nuestro negocio, según datos del Fondo Nacional de Desastres Naturales (Fonden), tan sólo en esa ciudad las pérdidas rebasan los $2,282 millones de pesos. Carreteras, hogares, parques públicos, instituciones, escuelas, Alex arrasó con todo y con todos. Los negocios tampoco estuvieron exentos. De acuerdo con la Secretaría de Comercio en Nuevo León el fenómeno meteorológico afectó 43 municipios y más de 1,046 empresas, que sufrieron daños por más de $329 millones de pesos. Hoy, cientos de ellas ya no existen, el huracán se las llevó consigo. “No dejó de pensar que uno de esos negocios pudimos haber sido nosotros”, dijo el presidente durante la junta “¿Estamos preparados para mantener operaciones ante una eventualidad de este tipo?”, remató. Obvio, al estar soportados muchos de los activos más valiosos del negocio en datos digitales, la pregunta (para mi mala fortuna) iba dirigida al departamento de tecnología, y por ende a mí. No es de extrañar que en la era digital gran parte de los procesos de un negocio dependan de la infraestructura de IT. Así, pues la primera piedra en el desarrollo de un Plan de continuidad de negocios cayó sobre mi responsabilidad.

Lunes 6. Septiembre. México y la continuidad de sus CIOs Estimada agenda de trabajo: Creo que vamos a medio camino, como país y dentro de la empresa. Al menos sé que no estoy sólo en esta enorme tarea. Lo pensé justo después de leer los resultados del Estudio Nacional de Riesgos IT en México 2010 de la firma de consultoría Deliotte. El reporte me abrió los ojos, pues subraya que únicamente 38% de los CIO en México han logrado alinear el departamento de IT con los objetivos estratégicos del negocio.

12 b:Secure

Octubre, 2010

Según datos del informe, 61% de los CIO han logrado integrar IT “parcialmente” con el negocio, un dato considerablemente superior al 1% de respondientes, que confesaron no contar con ningún tipo de alineación. “De lograr una integración de los riesgos de IT con los objetivos estratégicos de la empresa, estaremos evitando grandes pérdidas financieras, por acciones de remediación y recuperación de un daño ya materializado”, asegura el documento. En el caso de los planes de administración de riesgos, parte esencial de un Plan de continuidad de Negocios (PCN), 58% de las compañías confesaron no contar con uno, mientras que 42% sí contaban con este tipo de estrategia dentro de su organización. El reporte de Deliotte coloca a la fuga de información confidencial, accesos no autorizados y la continuidad ante desastres (justo como Alex) como los principales riesgos para la operación de una compañía. De llegar a enfrentar cualquiera de estos riesgos, 43% de los CIOs entrevistados afirmaron que el desempeño de la organización se vería afectado y otro 52% piensa que afectaría la imagen y reputación de su organización. El reporte de la consultora me dejó entrever que el desarrollo del PCN no puede caer únicamente en las manos de los departamentos de IT o seguridad informática, pues con un presupuesto limitado y costos de mantenimientos elevados, requeríamos de inversión o de un presupuesto adicional. El problema, es que según los datos del reporte de Deliotte, solo 13% de las firmas consultadas invierten entre $150 y $250,000 pesos en sus planes de evaluación de riesgos, mientras que 18% desembolsan menos de $150,000 pesos.

Lunes 13. Septiembre. Imperativo del negocio Estimada agenda de trabajo: No hay mejor forma de aprender que preguntándole a los expertos. He entrevistado a cuatro de ellos, para conocer sus puntos de vista y recomendaciones para mi horrible y laboriosa tarea de alinear el negocio bajo un Los consejos de Pereda PCN. OjO Decírselos al consejo adm Por más variadas que fueran sus opiniones, los cuatro concordaron en inistrativo en la siguiente junta dos factores claves en mi tarea. Uno, el desarrollo del plan no puede caer, -Identificar y definir el nivel ni ser responsabilidad exclusiva del departamento de tecnología (algo que de operación adm isible para los procesos centrales ya había imaginado). Dos, contar con un Plan de continuidad se está conde la compañía. virtiendo en un imperativo de negocio para todas las empresas que desean -Asegurar un verdadero pat competir en un mundo completamente globalizado. rocinio ejecutivo, con entendimiento de los altos niveles “En América Latina existieron dos acontecimientos clave en 2010 que del negocio. -Pr oba r, pro bar , pro bar, probar y probar el plan comenzaron a mover el pensar de las empresas en torno a la Continuidad de continuidad. Nunca creas que estás listo contra lo de Negocios: el terremoto en Chile y el huracán Alex en Monterrey. Hoy, en que no has enfrentado, 42% de los PCN fallan porque grandes empresas tener un PCN es una prioridad para los consejos de adnunca se probaron. ministración. El reto es que este tipo de iniciativas no se vean vistas como -Obtener recursos dedicados . Esto involucra a todo un proyecto más de IT”, me dijo Rafael Pereda, senior Manager de la prácel negocio, no es parte de IT. tica de Seguridad de Accenture. -Utilizar una metodología com probable. No A veces pienso que una parte de mi tarea sería más fácil si trabajará en podemos saber cómo avanza el proyecto si no tenemos datos de las áreas, pro sectores altamente regulados. Según me explicó Larry Fisher, director de cesos y tecnología inv olucrados. investigaciones de ABI Research, en nuestra charla telefónica a Nueva York, -Comprar no es todo. Aunqu en países altamente regulados, como los europeos, los mandatos legales e diversos proveedores te vendan su solución como la pan han convertido el tema de PCN en una estrategia de negocio por obligaacea a tus problemas evalúa lo que ya tien es antes de gastar. ción.

Octubre, 2010 b:Secure 13

“Como resultado de la creciente necesidad que existe sobre los datos y las estructuras digitales, industrias como la financiera y la de salud ahora operan bajo mandatos federales, que les obliga a contar con planes de recuperación o continuidad en sus operaciones”, lo apuntó textual como lo dijo Fisher. Pero la necesidad sobre los datos electrónicos no es exclusiva de estas industrias. El experto de ABI Research comentó que durante los próximos años, gobiernos, entes comerciales nacionales e internacionales e incluso los usuarios finales comenzaran a demandar PCN, en todo tipo de organizaciones como reflejo de estabilidad y confianza en sus operaciones. “En el mundo de los usuarios finales el tema de Continuidad de Negocios ya es importante. Un estudio de ABI Research demuestra que más del 60% de los usuarios elijen a su proveedor de servicios web (correo, web 2.0, aplicaciones de productividad) basados en si éste cuenta con políticas de respaldo y recuperación de su información”, dice Fisher. Y si no son regulaciones gubernamentales o comerciales, son estándares o mejores prácticas. De hecho, en mi tarea de investigación he detectado que desde el ISO9001, ISO27001, ISO20000, Basilea II (para el sector financiero), BS2599-2:2007 de la BSI, todos hacen énfasis en la definición e implementación de una política, control de documentos y registros, medidores de desempeño, ejecución de auditorías internas, revisión por parte de la gerencia, así como la implementación de acciones preventivas y correctivas. La lista parece ser interminable e incluso algunas van dirigidas a los departamentos de tecnología y seguridad informática de los negocios: CobIT, Val IT, Risk IT, ITIL. Todos tienen un objetivo similar: permitir el control, monitoreo y prevención de los riesgos que enfrenta la organización y su estructura de sistemas. “Los estándares o mejores prácticas deben de ser vistas como guías practicas en la creación de nuestro plan de negocio. Pero no debemos casarnos con una en particular o tratar de seguirla al pie de la letra. Es necesario entender que cada empresa es diferente y tenemos que adaptar estas guías prácticas a nuestro negocios y no al revés”, explica Leandro Olivier director de Ingeniería de Symantec LATAM. Ya es tarde, continuaré el tema en una segunda entrada. Por lo mientras hay mucho material que leer para comenzar con el PCN de la empresa. Eso y comenzar a platicar entre el resto de las áreas del negocio para conocer su opinión respecto al tema. Después de todo parece que la chamba no solo me toca a mí.

Lunes 27. Septiembre. ¿Realmente conozco mi negocio? Estimada agenda de trabajo. Llevaba varios días preguntándome por dónde comenzar el desarrollo del PCN. ¿Finanzas, Ventas, Recursos humanos, IT, Marketing? ¿Cómo saber qué área y proceso debe ir primero en la lista? Gabriel Vázquez, director de Preventas de Software AG, me explicó que muchas veces el mayor problema para IT en el desarrollo de un PCN está en que no saben por dónde empezar, porque no conocen su negocio. Los Planes de continuidad de negocio requieren de la participación de todos los departamentos. Es decir, IT debe tender un entendimiento real de la compañía. “Debemos entender y detectar cuáles son los procesos esenciales de la organización, esas tareas que se tienen que ejecutar pase lo que pase. El rol de IT es hablar con las áreas involucradas y preguntarles qué es lo más importante alrededor del proceso y cuál es el impacto económico o de imagen si éste se encuentra fuera de servicio por una hora”, dice Vázquez de Software AG. En otras palabras, se trata de entregar valor a lo que da vida mi negocio. Si entiendo cuáles son los procesos que dan vida al negocio, puedo identificar qué necesito proteger, cuáles son las herramientas que requiero para hacerlo y qué niveles de operación son admisibles en esas tareas durante alguna contingencia. ¿Cómo detectarlos? Olivier de Symantec me ha dado un consejo que anote como clave: “La mejor forma de detectar los procesos vitales del negocio, es determinar dónde se encuentra la información más importante de la empresa”.

Lunes 4. Octubre. Pensar menos actuar más Estimada agenda de trabajo. Hemos comenzado a identificar los procesos vitales para nuestro negocio. La labor no ha sido fácil y requiero de capital humano adicional. La buena noticia es que diversos departamentos han entendido el valor

14 b:Secure

Octubre, 2010

de un PCN, ya forman parte del desarrollo del plan y nos han ayudado a definir niveles de contingencia, impacto y riesgos. Hemos adoptado las mejores prácticas que encajan en nuestro negocio y desechado aquellas que son demasiado específicas y ajenas a nuestras operaciones. La idea es comenzar cuanto antes y siempre con la misma frase de Olivier de Symantec en mente: “La regla básica de un PCN no está en disparar en grande o a nivel general, porque muchas empresas se mueren pensando en cuál es el Plan de continuidad perfecto, que abarca todo su negocio, cuando la realidad es que por lo menos deberían empezar con algo, aunque sea pequeño”. Cierto, no hay peor muerte para las empresas que la que se genera por incapacidad para actuar. Ahora viene la junta. Ahora sí jefe dispare con confianza. l

IntelIgencIa tIene que ver contInuIdad Aunque el punto central de su contenido no es la continuidad de negocio, ni la gobernabilidad de IT. En mi camino encontré este libro que me dejó pensando que para que un negocio mantenga sus operaciones, tiene que ser inteligente. Aquí los consejos que robé... perdón tomé prestados del libro y los adapté a los planes de continuidad de negocios.

Los 5 ELEmEnTos quE TIEnEs quE hAcEr dE A WILson Los PCN no son un Plug and Play: como toda buena estrategia requiere de conocimientos adquiridos y de capacitación. A mayor entendimiento mayor influencia podrás tener sobre el resto de los involucrados. Pon de tu lado a los “jefazos”: De nada sirve un PCN si no cuentas con el apoyo de la alta dirección. Involucra a las áreas que más impacta el Plan y la falta de uno, y que sean ellos tus evangelizadores. No luches solo. La continuidad es de todos: Aunque el impacto sea más claro en ciertas áreas o niveles los PCN son de toda la organización. Si no se entiende así nunca saldrá adelante. Evalúa y mide el avance: Antes de decir “tenemos que hacer esto o comprar aquello”, analiza tu negocio. No puedes curar o medicar un proceso, si no sabes porqué existe la dolencia. Ah y no olvides evaluar y probar constantemente. 4ever and ever PCN: Uno nunca logra o termina un PCN. No mientras tu negocio esté vivo. La continuidad del negocio es para siempre, y debe enfrentar constantes cambios y actualizaciones.

Los 5 fAcTorEs A Los quE dEbEs dEcIrLEs nELson Salirse del camino dorado: Entre tanta información, tecnologías, expertos, estándares es fácil que uno pierda el camino u objetivo del PCN. Recuerda: para regresar a la pista hay que recordar cuáles eran las dolencias o procesos vitales de tu negocio. Sentirse Súperman: Este punto está en los dos listados porque en verdad creer que un hombre o área pueden sacar adelante el PCN sólo es un suicidio. Busca apoyo, interesados o planta la semilla de la duda y la del beneficio. Ah ¿eso era? Ya lo tengo: Seguramente encontrarás que la empresa no está en pañales, totalmente, y que algunas áreas ya tienen procesos o cumplen estándares. Ojo las mejores prácticas, estándares o regulaciones siempre han existido y, seguramente vendrán más. No porque ya lo hiciste o ya lo tienes, quiere decir que no debes mejorar o adaptarlo. Esto es una tarea de IT: Lamentablemente como muchos de los procesos de negocios están soportados sobre plataformas o sistemas digitales, es muy probable que la creación de un PCN surja de ellos. Pero no porque la tecnología se volvió en un componente vital de las empresas, quiere decir que todo sea culpa o tarea de IT o seguridad. El desarrollo de un PCN requiere de gente y de un presupuesto propio. La continuidad no es un proyecto más de IT.

Octubre, 2010 b:Secure 15

lo del mes El salón dE la HackErfama

No han ganado un Oscar, ni tampoco la Copa del Mundo o si quiera el Ariel, pero sus nombres y rostros han aparecido en medios de comunicación, noticieros y sobre todo sitios web de todo el planeta. Aquí los Hackers y Crackers más famosos de la historia, según Kaspersky y otras firmas de seguridad IT ARd RICH MAN l STAl Mejor conocido como el padre o creador del software libre, Stallman comenzó a laborar a principios de la década de los setenta en el laboratorio de Inteligencia Artificial de Instituto Tecnológico de Massachusetts (MIT). Su acercamiento con la seguridad IT surge cuando en 1977 el laboratorio del MIT instaló un sistema de control de claves, Stallman encontró el modo de desencriptar las claves, logró mandar a los usuarios mensajes que contenía su clave decodificada y les sugirió modificar la contraseña, o más bien deshabilitarla. A principios de los ochenta Stallman fue uno de los primeros programadores en oponerse a la medida de software propietario que muchas compañías de IT estaban tomando, con el fin de evitar la piratería de sus programas. Tras diversas discusiones y peleas frente a esta medida Stallman renunció al MIT y fundó el proyecto GNU y la Fundación de Software Libre.

THAN JONAMeS JA James es quizá uno de los hackers negros, también llamados crackers más memorables de la historia pues fue el primer menor de edad en ser mandado a prisión en Estados Unidos por hackeo, a la edad de 16 años. Entre sus principales ataques o intrusiones más famosas se encuentra la instalación de un programa de puerta trasera (backdoor) en uno de los servidores de la DTRA (Agencia de Defensa para la Reducción del Riesgo, en español), la cual reporta al Departamento de Defensa de los Estados Unidos, y es bien conocida por trabajar para reducir el riesgo de ataques nucleares, biológicas y químicas en Estados Unidos. Además de la DTRA James, también conocido como “c0mrade”, logró vulnerar el sistema de la Agencia Espacial de Estados Unidos (NASA) y sustrajo un software con un valor aproximado de 1.7 millones de dólares, según marcó el Departamento de Justicia durante su sentencia. De haber sido mayor de edad James habría pasad más de una década en prisión, sin embargo el DoJ lo sentenció a 6 meses de prisión, por violar su libertad condicional, y se le prohibió todo acceso a cualquier equipo de cómputo.

RT RObeRIS MOR Ex empleado de la Agencia Nacional de Seguridad estadunidense (NSA), Robert Morris fue el primer hacker en ser procesado por el sistema judicial en 1986 y famoso por crear el “Gusano Morris” o Morris Worm, el primer malware de la historia liberado en Internet. En un inicio Morris aseguró que el gusano únicamente tenía la intención de “descubrir que tan grande era Internet”. Sin embargo, una vez liberado el programa comenzó a reproducirse de manera exponencial, impactando en el desempeño de los sistemas de cómputo de todo el planeta. Algunos expertos señalan que el gusano impactó a más de 6,500 computadoras. Actualmente Morris se encuentra trabajando para el departamento de Ciencia de la Computación del MIT.

16 b:Secure Octubre, 2010

JOHN R e dRAp Conocido en el mundo de la seguridad IT como el Capitan Crunch o ‘Cap’n Crunch’ John Draper saltó a la fama tras mostrar su habilidad para vulnerar los sistemas de los teléfonos utilizando únicamente un silbato que se regalaba en las cajas del famoso cereal Cap’n Crunch’ y que emitía un sonido de 2600 hertz exactamente, frecuencia que le permitió entrar el sistema de teléfonos de AT&T. Su habilidad lo bautizo como el creador o padre del término pone phreaking y actualmente tiene una empresa de seguridad y filtrado de spam.

n Kevi cK i n Mit De acuerdo con el Departamento de Justicia de Estados Unidos Kevin Mitnick “fue el criminal de computadoras más buscado de la historia en Estado Unidos”. Mitnick se volvió famoso tras obtener acceso a propiedad intelectual o información sensible mediante el uso de técnicas de hackeo, pero también de la hoy famosa ingeniería social. El hacker fue culpado y sentenciado de haber robar propiedad intelectual y penetrado en los sistemas de compañías como Motorola, Nokia, Fujitsu, Pacific Bell, por sólo mencionar algunas. En un entrevista reciente con b:Secure Mitnick confirmó que las autoridades estadunidenses llegaron a pensar que con “simplemente silbarle a un computadora yo era capaz de lanzar un ataque nuclear”. Actualmente Mitnick se desempeña como consultor y autor de diversos libros de seguridad IT.

iMir vlad in lev Conocido como un matemático ruso y experto en informática Vladimir Levin se ganó las páginas de los periódicos, a mediados de los noventa, cuando se le acusó de haber robado más de $10 millones de dólares de la institución financiera Citibank. Levin fue arrestado en 1995 por la Interpol y sentenciado en Estados Unidos a tres años de prisión y el pago de $240,000 dólares como restitución. Citibank aseguró que recuperó todo el dinero menos $400,000 dólares. Diez años después del arresto de Levin un miembro del grupo de hackers, conocido como ArkanoiD publicó en sitios web que Levin no era más que un simple administrador de sistemas, y que la vulnerabilidad en la red de Citibank fue descubierta por el grupo de hackers, quienes aseguraron que no robaron dinero del banco por miedo a ser atrapados. Se creé que uno de los miembros de ArkanoiD vendió a Levin datos sobre la vulnerabilidad, supuestamente en menos de $100 dólares.

y chie t i r n s i o denn thoMPs n Ke Dennis Ritchie y Ken Thompson por haber creado el software más significativo del siglo XX: el sistema de operación UNIX y el lenguaje de programación C. Ambos comenzaron sus carreras en los Laboratorios Bell en 1960. Actualmente Thompson se ha retirado del mundo de los ordenadores, mientras que su compañero Ritchie es empleado en Lucent Technology, trabajando en un nuevo sistema de operación derivado del UNIX llamado ‘Plan9’.

Según cuentan que para trascender en esta vida hay que plantar un árbol, escribir un libro y tener un hijo. Sin embargo en la era digital bien se podría agregar “hackear un sitio o robar millones de datos”. De acuerdo con Kaspersky estos hombres han destacado no por su belleza o capacidad de actuación sino por su inventiva para vulnerar sistemas de cómputo, por el mero afán de hacerlo o para generar un lucro persona e ilegal

n Kevi en s l Pou El “Hannibal Lecter de las computadoras”, según las autoridades estadunidenses, Kevin Poulsen ganó reconocimiento luego de haber hackeado en 1990 el sistema de teléfonos de la estación de Radio KIIS-FM de Los Ángeles. Esto le permitió hacer la llamada número 102 del programa y ganar un Porsche 944. Tras meses de escapar de la policía y otros intentos de vulnerar sistemas Poulsen fue arrestado y sentenciado a cinco años de prisión. Tras servir su pena Poulsen se desempeña como periodista de una de las publicaciones de IT y ciencia más famosas del mundo Wired.

oMu tsut Mura o shiM Según los medios Tsutomu Shimomura es uno de los hackers blancos más famosos del orbe, su nombre saltó del mundo de los bits y bytes, al de la literatura e incluso el cine, después de haber sido reconocido como el responsable de atrapar al entonces hacker más buscado por el FBI: Kevin Mitnick. De acuerdo con las versiones, Shimomura junto con el periodista IT John Markoff, apoyó al FBI a la localización de Mitnick al hackear un teléfono de celular del operador AT&T para rastrear las llamadas generadas en la red, eventualmente el experto logró reducir la zona de rastreo lo suficiente para que las autoridades dieran con Mitnick. Años más tarde Shimomura escribió, con el apoyo de Markoff, el libro Takedown: The Pursuit and Capture of America’s Most Wanted Computer Outlaw -- By The Man Who Did It, mismo que se convirtió en la adaptación cinematográfica Track Down en el 2000.

linuslds a torv Más que hacker, Linus Torvalds es un programador nacido en Finlandia, conocido por ser el responsable detrás del desarrollo del sistema operativo, basado en Unix más famoso del mundo Linux. Linus comenzó el desarrollo del sistema operativo en 1991 adoptando varias tecnologías controversiales en su proyecto conocido como Free Software y GNU’s Public License System, entre ellas la de Andrew Tannenbaum, autor de Minix la fuente de inspiración del sistema operativo

Octubre, 2010 b:Secure 17

for

business people

Lo que debe saber La aLta direcci Por Adrián Palma

E

n esta entrega hablaremos de lo que requiere saber y el rol que debe de jugar la alta dirección en materia de seguridad basado en el concepto de gobierno de seguridad de la información (GSI) un concepto relativamente nuevo y empezado a usar en algunas organizaciones de nuestro país aunque no con el nombre rimbombante de GSI. Pero primero empecemos por entender la palabra gobierno acuñada por ahí de 1998 por la ISACA (Information Systems Audit and Control Association) y el IT Governance Institute donde gobierno es “ el conjunto de responsabilidades y prácticas, ejercidas por el consejo y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se manejen en forma apropiada y verificar que los recursos de la organización se utilicen con responsabilidad “, en pocas palabras es el manejo efectivo y eficiente de la tecnología de información por parte de la organización. Por lo tanto el GSI es el buen manejo de la seguridad de la información a través de toda la organización en todos sus niveles y es aquí donde se da el primer gran problema que viven hoy día las organizaciones en México, el gran desconocimiento en la mayoría de los directivos de las organizaciones con respecto al tema de la seguridad, ¿qué beneficios me da?, ¿qué me puede pasar si no tomo en cuenta la seguridad?, ¿cuáles son sus objetivos?, etc. Estos son algunos comentarios vertidos por algunos ejecutivos, en primer instancia se cree que es un mal necesario, la piedra en el zapato, lo tengo que hacer por el cumplimiento de los marcos regulatorios y/o de la normatividad interna del holding, en qué me va a beneficiar esto de la seguridad, recuerdo que algún día un directivo importante de una empresa me dijo “mira en esta empresa aun con fraudes e incidentes de seguridad como tu le llamas, seguimos generando riqueza así es que a mi este tipo de temas me tiene sin cuidado porque pase lo que pase seguiremos ganando” obviamente este tipo de postura es totalmente extremista pero existen y eso es lo realmente grave del problema la falta de conocimiento. Basado en mi experiencia muy pocos son los que realmente por una autentica convicción creen que la seguridad de la información les va a dar beneficios tanto tangibles como intangibles y por lo tanto asegurar una operación con un nivel de riesgo aceptable en todo lo relacionado con seguridad de la información. Otro problema es que se piensa que la seguridad es responsabilidad de las áreas de tecnología, sistemas o informática y esa es una gran mentira, la seguridad es responsabilidad de toda la organización y no solo de dichas áreas o del responsable de la seguridad de la información en la organización, naturalmente en alguien deberá de recaer el ownership, en este caso es el responsable de la seguridad, pero todos los usuarios de la organización desde el más alto nivel jerárquico hasta el más bajo tendrán roles y responsabilidades que cumplir sin excepción. Derivado de esto se desprende otro gran problema que actualmente se vive en las organizaciones la función de seguridad no esta de a un2 nivel adeSegunda partes

18 b:Secure

Octubre, 2010

cuado (Dirección, Subdirección o Gerencia) en las organizaciones por lo general se da a un nivel operativo y por consiguiente no se tiene la autoridad ni la facultad para trascender en todo lo relacionado con la seguridad de la información aunado a esto, otro problema es que difícilmente en las organizaciones hay un presupuesto asignado para seguridad, pocas son las organizaciones afortunadas en contar con recursos para seguridad además de que dicho presupuesto es obtenido de las áreas de tecnología (entre un 2 y 4 % del total de IT) y no de un presupuesto a nivel organizacional que eso sería lo ideal y lo más recomendable, no obstante de todo lo anterior, cuando no hay un presupuesto asignado para la seguridad y hay requerimientos, acciones a seguir o incidentes de seguridad como decimos coloquialmente se le rasca o quita a presupuestos de otros proyectos relacionados con IT. Es importante recalcar que también muchas organizaciones no cuentan con una función de seguridad establecida, por lo regular esta responsabilidad recae en las áreas de tecnología a un nivel jerárquico bajo (por lo regular el administrador de la red, soporte técnico etc.) y sin disponer de recursos humanos ni presupuestales para desempeñar las funciones mas básicas de seguridad. Además de que la perspectiva de seguridad es muy acotada o limitada no se toman en cuenta otros activos de información en capas como aplicaciones, bases de datos, en los procesos de negocio y mucho menos en el eslabón mas débil de la cadena que es la gente. Por lo regular se enfocan en la red y sistemas operativos por los skills de los responsables de seguridad. Sin embargo la mayoría de las organizaciones, que sí tienen esta función realizan actividades más operativas que estratégicas y normativas, dificultando que la seguridad se permee en toda la organización, y sólo sea vista desde la óptica de IT, Sistemas o Informática, y no desde la óptica de lo que requiere realmente la organización, independientemente de la problemática y complejidad técnica de la seguridad. Los problemas descritos arriba son los obstáculos para poder implementar un GSI de manera efectiva y eficiente y es el gran reto que tendrán que superar las organizaciones en materia de seguridad, ya que a fin de cumplir con la difícil tarea de brindar una protección adecuada a la información y a los activos de información forzosamente se tendrá que contar con el apoyo de la alta dirección, este es un factor crítico de éxito tal como sucede con otras funciones sensitivas de la organización por lo que la complejidad, importancia y criticidad de la seguridad y su gobierno exigen el total respaldo por parte de los niveles mas altos de la organización. Es fundamental que la alta dirección comprenda perfectamente el alcance y la severidad de los riesgos a los cuales esta expuesta la información la cual, al ser el activo mas importante de la organización, deberá ser tratada con el cuidado, precaución y prudencia que amerita. El GSI deberá ser responsabilidad de la alta dirección, consejo de administración o el nivel más alto jerárquicamente dentro de la organización. La creciente dependencia de las organizaciones de su información y de la

y hAcer ión en seguridAd infraestructura tecnológica que la maneja, junto con los riesgos, beneficios y oportunidades que representan, hacen que el GSI tome una relevancia fundamental además de tratar los requerimientos legales y marcos regulatorios, un GSI efectivo se debe ver como un buen negocio por las siguientes razones basadas en mi experiencia de proyectos realizados: • Aumentar la previsibilidad y reducir la incertidumbre en las operaciones de la organización al reducir los riesgos a niveles aceptables • Tratar la creciente posibilidad de que la organización y la alta dirección se enfrenten de manera responsable y habitual a la responsabilidad legal o civil como resultado de errores o imprecisiones en la información, recordemos que cada vez hay más marcos regulatorios que cumplir. • Brindar un nivel de confianza en que las decisiones cruciales no se basan en información errónea. • Proporcionar un fundamento sólido para el manejo de riesgos y una mejora de procesos, así como una respuesta rápida a incidentes. • Brindar confianza en el cumplimiento de las políticas • Dar una mayor confianza a los socios de negocio o clientes de la organización • Crear nuevas formas de hacer negocio o de dar servicio • Proteger la imagen y reputación de la organización. Por ultimo, y no menos importante, dado que la tecnología brinda la posibilidad de tener ventajas competitivas además de una mejora sustancial en el desempeño de la organización el contar con una función de seguridad de la información adecuada puede añadir un valor muy significativo a la organización, al reducir las perdidas derivadas de eventos que estén relacionados con la seguridad y brindar la confianza de que los incidentes de seguridad y las violaciones a la misma son manejados adecuadamente. Pero ¿quién participa en un GSI? La respuesta es contundente la alta dirección y/o consejo de administración, ya que se requiere de un gran impulso y lineamientos estratégicos, compromiso, recursos y algo de suma importancia: la asignación de la responsabilidad para la función de seguridad de la información y, reitero, sólo es posible lograr un gobierno eficaz de seguridad mediante el apoyo y la participación de la alta dirección. Implementar un gobierno eficaz de seguridad y definir los objetivos estratégicos es una tarea ardua y compleja. Tal como sucede con cualquier otra iniciativa importante tiene que contar con liderazgo y apoyo constante de las direcciones de la organización para que tenga éxito. Para desarrollar una estrategia real y efectiva se requiere como regla de dedo la integración y la cooperación de los dueños del proceso de negocio o funcionales que al final de cuenta son los que se verán beneficiados en este rubro. Hasta cierto grado, la seguridad afecta todos los aspectos de la organiza-

ción. Por lo tanto es recomendable que se establezca un comité de seguridad de la información, algo socorrido en varias organizaciones en México, para asegurar la participación de todas las posibles áreas afectadas. Por consideraciones de la seguridad dicho comité esta conformado por representantes de nivel superior de las áreas afectadas (por lo general son los dueños de la información). Esto de alguna manera facilitará consensos sobre las prioridades en materia de seguridad. Otra de las ventajas es tener un canal efectivo de comunicación y una base continua para garantizar que la función de seguridad sea congruente con los objetivos de la organización, además de promover una cultura de seguridad adecuada en la organización. Y por ultimo esta el responsable de la función de la seguridad conocido como CISO (Chief Information Security Officer). Aunque, actualmente la mayoría de las organizaciones, más que un CISO tienen un encargado de la seguridad, que por obvias razones no tiene ni el nivel jerárquico ni la visión organizacional que se requiere para este rol. Las “Buenas Practicas” nos dicen que la línea de reporte del CISO debe ser directamente al Director General de la empresa (CEO) aunque esto no necesariamente es lo mejor por distintas circunstancias. El punto en cuestión es que alguien en la organización debe de tener la responsabilidad de ejecutar todos los lineamientos marcados por el GSI. A continuación comentaré los puntos básicos para contar con un GSI efectivo: 1. Una estrategia integral de seguridad (Gente, Procesos y Tecnología) que este vinculada intrínsicamente con los objetivos de la organización 2. Contar con la normatividad de seguridad (Políticas, Estándares, Guías, y Procedimientos) que traten aspectos de gente, procesos y tecnología en toda la organización, este rubro es fundamental aunque en muchas organizaciones se subestima, la normatividad es tan importante en la función de seguridad que si hiciéramos una analogía con el cuerpo humano dicha normatividad sería el corazón del ser humano. 3. Una estructura organizacional efectiva, que cuente con el nivel y autoridad necesario para que la seguridad se permee a lo largo de la organización, libre de conflictos de interés y recursos adecuados. 4. Métricas y procesos de monitoreo que garanticen el cumplimiento y proporcionen retroalimentación sobre la efectividad de la seguridad en particular este punto es mucho muy complejo por la adopción de métricas claras y efectivas. Como hemos visto a través del artículo el factor crítico de éxito que garantice la adecuada adopción de un GSI esta en el interés y la concientización de la importancia de la seguridad en una organización por la alta dirección. Si esto no se efectuara el GSI estaría condenado al fracaso. l

Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de

Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Octubre, 2010

b:Secure 19

el invitado Hacking Ético e instituciones gubernamentales en mÉxico Por i.S.c Felipe leonardo Valero delgado. Universidad Interamericana para el Desarrollo

¿

Puede ser ético el hecho de hackear un sistema? ¿Podemos pensar que esta práctica puede servir no para dañar sino para ayudar a protegerlo? ¿O que se puede hacer de manera legal y alguien pagaría por ello? Parece que sí podemos pensar todo lo anterior. Además existe otro término para denominar la acción de apropiarse de los datos de alguna compañía o institución ilegalmente: crackear. Aunque el termino hacker se asocia generalmente con el robo de datos de grandes sistemas informáticos, la realidad es que puede ser muy útil tener este tipo de conocimientos en las instituciones. Las empresas privadas son las primeras en hacer conciencia en este punto, mientras que a las dependencias gubernamentales esto les pasa desapercibido. Las estadís-

ticas demuestran que las páginas de los gobiernos son las más vulneradas. Ser un hacker ya no significa ser un pirata de mala fama, puede significar ser un empleado respetable que se ocupa de descubrir las vulnerabilidades de los sistemas informáticos y de esta manera protegerlos. Casi se podría decir que no existe nada completamente seguro situación que incluye, por supuesto, cualquier sistema informático. La seguridad de un sistema depende de la fortaleza o debilidad con la que es capaz de reaccionar ante algún ataque. Se podría considerar que un ataque es cualquier interacción no prevista con el entorno que pueda alterar el comportamiento de un sistema.

DefiNicioNeS Hacker es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker.

Hacker de Sombrero Blanco (White Hat) El white hat es aquella persona que, de manera altruista o no, dedica su tiempo a la búsqueda de vulnerabilidades en un sistema y que posteriormente notifica al administrador para que considere su futura corrección. Sus actos no son malintencionados y normalmente realiza sus acciones bajo el consentimiento del propietario del sistema atacado.

Hacker de Sombrero Negro (Black Hat) El black hat es lo que comúnmente llamaríamos cracker, y sus fines son lucrativos y, la mayoría de las veces, totalmente destructivos. Jamás avisa de los errores encontrados y los utiliza para echar abajo servidores importantes, borrar información privada o colapsar redes enteras bajo el efecto de un ataque de denegación de servicio (DoS o DdoS). Es, desde luego, la persona que menos puede aportar a la comunidad Underground preocupada de la seguridad de Internet, pero debemos ser realistas y afirmar que muchos de ellos acabaron convirtiéndose, después de una profunda madurez de su ética profesional, en hackers de sombrero gris o blanco.

Hacker de Sombrero Gris (Grey Hat) Decir que el grey hat es una mezcla de los dos anteriores no es del todo correcto, puesto que muchas veces es más como el primero. Éste es el Genuino hacker ético (HE). Podríamos decir que se encuentra en un limbo entre las dos fronteras pero que su actitud y ética le permiten decidir con certeza qué comportamientos son los más adecuados con base en la situación a la que se enfrenta.

20 b:Secure Octubre, 2010

Seguridad de inStitucioneS gubernamentaleS En las entidades gubernamentales aún podemos observar políticas de seguridad muy laxas, desde el uso irresponsable de dispositivos de almacenamiento, por los cuales los empleados pueden sacar información sensible del recinto sin ninguna restricción, hasta la mala administración de centros de datos, servidores, cuentas de usuarios y/o conexiones. Hemos podido observar en los medios de comunicación como en nuestro país han aparecido en internet y en mercados ambulantes servicios de compra venta de bases de datos con información personal de los ciudadanos, que son recabadas y administradas por el propio gobierno federal . Información que es confidencial, que contiene datos personales de los ciudadanos, números de cuentas de bancos, teléfonos, direcciones, fotografías; y para demostrar que estas personas están actualizadas, apareció a la venta la última base de datos que el Gobierno de México recabó por decreto: la base de datos

del Registro Nacional de Usuarios de Telefonía Móvi. Observando estos acontecimientos nos podemos preguntar: • ¿cómo es resguardada esta información por el gobierno de este país? • ¿la información es robada por la intrusión de Crackers a los sistemas de información? • ¿La información es robada por los propios empleados? • Se invierte lo suficiente en esquemas de seguridad de esta información? • ¿El personal que trabaja en los sitios donde se almacena esta información está calificado para velar por su seguridad? Independientemente de cómo estos malandros se hayan apoderado de la información, lo que es un hecho: es que la seguridad de la que disponen las instituciones responsables de resguardar dicha información es muy pobre o prácticamente nula.

¿Se invierte en Seguridad? Los gobiernos suelen gastar sumas de dinero millonarias para obtener informacion necesaria para los procesos administrativos que realizan todos los días. Se invierte en infraestructura, en almacenamiento, en conectividad, en software, incluso en “aparatos” que proveen “seguridad”, pero ¿porqué estos dos terminos están entre comillas? Porque los puntos vulnerables de cualquier sistema tienen que ver con el error humano. Los gobiernos no invierten en especialistas de seguridad IT, no cuentan con personal calificado en seguridad de la información e incluso no hacen esfuerzos por formar especialistas certificados en estas áreas.

Por qué PenSar en un Hacker etico Como ya definimos, los Hackers son personas que están en constante actualización, que toman como reto el poder penetrar un sistema. Situación que permite asegurar que son los mejores en materia de seguridad, que conocen cuales son las vulnerabilidades más comunes, y por supuesto saben cómo protegerse de ellas. Podemos hablar de un hecho: Las empresas que buscan hackers lo hacen porque antes han tenido problemas de segridad. Porque alguien ha entrado, husmeado y dañado sus sistemas de información y buscan alguien con los conocimientos suficientes para que solucione sus problemas. Ese alguien sólo puede ser un hacker. Esto se refuerza si tenemos en cuenta que, hoy, los hackers disponen realmente de mejores líneas de comunicación y de información compartida que los expertos en seguridad convencionales. En este sentido, empieza a ser común que los hackers trabajen en el área de seguridad de sistemas, advirtiendo que los conocimientos adquiridos pueden ser empleados para mejorar y certificar la seguridad de los sistemas de las empresas. Es momento de que las oficinas gubernamentales comiencen a dirigir su atención en este tipo de especialistas, ya sea para que los contraten o que para que estos capaciten a su

personal, pero definitivamene deben de contar con un especilista de seguridad ético.

La miSión deL He dentro de LoS gobiernoS. Un Hacker Etico puede hacer revisiones básicos (pero muy importante) como la seguridad que hay en accesos físicos, puertas, ventanas, habitos y conductas de usuarios, politicas y lineamientos referentes a la informática de la empresa y consecuentemente pondrán realizar pruebas a la seguridad implementada para proteger la información y/o sistemas y redes. La inclusión (formación) de hackers Eticos por parte de las Instituciones Gubernamentales serviría para fortalecer sus áreas de IT, lo que permitiría ofrecer una mayor segurdad a la información de las dependencias gubernamentales. Pero eventualmente podrían evolucionar en un área especializada o en una dependencia del gobierno que sea responsable de proveer a las demas instituciones lo que se comienza a conocer como: Hacking Etico. Las actividades de hacking ético dentro de la entidad gubernamental deberán implementar “pruebas de penetración” o “pruebas de intrusión”, buscando comprobar que los sistemas/redes cumplen con los niveles de seguridad para los que fueron diseñados. La “prueba de intrusión” (simulación de un ataque desde el exterior a la red institucional) pretende ver a la institución desde el punto de vista de un pirata informático, de modo que se puede evaluar tanto el riesgo al que se enfrentan los sistemas de la institución si está conectada a Internet, como las posibilidades reales de acceder, interceptar modificar y/o robar información crítica desde el exterior. Realizando de forma periódica estos atáques, permite, además de conocer cómo actúan los piratas informáticos, saber si la seguridad de los sistemas de la institución están preparados para detectar ataques efectuados desde el exterior y responder a tiempo en caso se ser vulnerados. Una vez llevada a cabo la “prueba de intrusión” se elabora un reporte detallado con los fallos de seguridad y con las medidas que se deben aplicar dentro de todos los niveles de la institución para evitar que la infraestructura sea invadida por un pirata de la red. Se recomienda realizar estos ataques simulados de los sistemas con una periodicidad no mayor a tres meses, para mantener al día la seguridad de la información. Si detectó que la seguridad de su institución presenta huecos en su estructura o fallas críticas, tiene que poner manos a la obra, apoyarse en el HE para cerrar todas las puertas “mal cerradas” y corregir todo lo que la prueba halla arrojado como una vulnerabilidad. Continúe haciendo las pruebas programadas, pues esta practica le permitirá prevenir (o reaccionar) ante cualquier eventualidad. Recordemos que la tecnología evoluciona y se encuentran nuevas vulnerabilidades todos los días, por lo que estar actualizado también es una buena practica para evitar cualquier situación no deseada. l

Felipe Valero es Subdirector de Tecnologías de Información en el Instituto de Educación del Estado de Aguascalientes, es estudiante de la Maestría en Tecnologías de Información en la Universidad Interamericana para el Desarrollo. Certificado en tecnologías Microsoft. En proceso de certificación como Hacker Ético: felipe.valero@aguascalientes.gob.mx

Octubre, 2010 b:Secure 21

opinión Security AwAreneSS:

¿concientizAr, imponer… o inception? Por alberto ramírez ayón, CISM, CISA, CRISC

H

ace unos días fui al cine a ver la película Inception (El Origen) por segunda vez como buen cinéfilo asiduo. Acepto que superó mis expectativas, entre otras cosas porque me dejó un tema a reflexionar sobre la “concepción” de las ideas. Obvio, no revelaré ningún spoiler que puedan echar a perder el final. Básicamente la película es un thriller de ciencia ficción que trata sobre cómo a través de los sueños un grupo extrae algunos secretos para robar información. Los extractores y sus víctimas duermen, conectados por un aparato que administra sedantes y comparten un mundo de sueños construido con sus proyecciones mentales. Durante el desarrollo de la película, los protagonistas requieren insertar, originar o suplantar una idea en otra persona. Ahora, ¿qué tiene que ver esta gran producción del director Christopher Nolan con la seguridad de la información?

Seguridad o inSeguridad, eSa eS la cueStión... Es más que sabido que el eslabón más débil en la cadena de seguridad de la información es el propio usuario. No hay tecnología que pueda cubrir en 100% la negligencia, ignorancia, indiferencia o malas intenciones de la gente. Siempre he creído que un factor vital para que una solución de seguridad de la información tenga éxito, es que los usuarios estén conscientes y participen en la misma. No basta con decirles: Es importante la seguridad de nuestra información”. Una de las mejores formas de vender un producto reside en la mercadotecnia que tenga. Cada uno de las personas que integran una empresa deben saber los riesgos que tienen al manejar información. Por lo mismo, debe existir un programa de concientización sobre Seguridad (Security Awareness Program) que ataque por diferentes medios a los usuarios. Éste, debe ocurrir de manera continua, tocando diferentes tópicos o temas relevantes dependiendo del giro o audiencia y obvio, los riesgos que existan en cada empresa o área. Las personas que dirijan el programa deberán destinar de manera adecuada los mensajes que intentan emitir al público. No es lo mismo hablar de seguridad IT con altos ejecutivos, que con las personas que desarrollan software, o con los que manejan información sensible de clientes. Aclaro, el mensaje de seguridad será el mismo; sin embargo la manera de exponerlo podría cambiar para poner ejemplos claros, reales y tangibles.

Alguna vez leí: “Las personas no reaccionan a la realidad; sino que reaccionan a su percepción de la realidad”. Esto es cierto, y un ejemplo claro es que en cuanto escuchamos noticias relacionadas a la seguridad de Facebook, varias personas comenzaron a interesarse en el tema y a cambiar las configuraciones de privacidad en sus perfiles. Las medidas de seguridad se pueden implementar a nivel tecnológico, pero siempre existirá el factor humano; y es importante que la gente entienda el porqué de las medidas, los riesgos a los que como organización y como individuos, están expuestos. No nos gustaría saber que nuestra información bancaria la tienen todos los empleados que laboran en el banco. Nuestro expediente médico, nuestro buró de crédito, los teléfonos y direcciones de nuestros familiares, salario, deudas, etcétera. Pues en ese mismo sentido, la información de clientes e información corporativa que manejamos en nuestro día a día, debe de ser tratada con la confidencialidad que nosotros esperamos que traten la nuestra. Mientras escribía este texto, recibí una llamada de una persona que para ofrecerme algunos servicios. Me dijo mi nombre completo y dónde trabajo actualmente; y obviamente tiene mi teléfono y correo electrónico. Sólo me hizo referencia que un conocido mío le dio mis datos porque yo podría estar interesado. Cuando le pregunté a esta persona quién le dio mis datos, respondió que por confidencialidad no me podía decir. Retomando Inception, el programa de concientización debiera incluir incluso ejemplos de incidentes de seguridad; podrían ser públicos (que ya hayan salido en las noticias) o internos (cosas que hayan pasado en la organización). Esto para mostrar a la gente que estas situaciones sí pasan en la vida real. Las personas de nuevo ingreso deben ser asesoradas inmediatamente sobre estos aspectos para que no incurran en ellos por que nadie les dijo que “no se podía”. Estos planes pueden estar desarrollados en conjunto por las áreas de Seguridad, Recursos Humanos, Legal y Cumplimiento, y todas aquellas que tengan injerencia en algún punto. Recuerden que no hay ningún “parche de seguridad” para la ignorancia de la gente. La concientización, entendimiento y compromiso del personal, definitivamente NO removerán los posibles incidentes o brechas de seguridad; pero ayudarán a reducirlos, significativamente siempre y cuando toquemos las fibras más sensibles de donde se originan y conciben las ideas y la percepción de las mismas, en las personas.

¿concientizar o imponer?, eSa eS la cueStión Hay acciones que habrán de imponerse; especialmente a nivel tecnológico. No basta con decirles a los usuarios que no pueden hacer uso del puerto USB; sino habrá que bloquearlo, lo mismo sucede con los CDRW (“quemadores”). No basta con intentar persuadir a los usuarios de no dejar información confidencial sobre sus escritorios; hay que hacer revisiones periódicas de manera aleatoria. No basta con decirles que no entren a páginas que no tengan que ver con el negocio, sino hay que filtrarlas; especialmente aquellas que podrían traer repercusiones legales o de imagen para individuos o empresas; incluso judiciales. 22 b:Secure Octubre, 2010

The best way to get management excited about a disaster plan is to burn down the building across the street. — Dan Erwin, Security Officer, Dow Chemical Co. Traducido sería algo así: “La mejor manera de entusiasmar a los directivos sobre los planes de recuperación de desastres, es incendiar el edificio de enfrente” –, así implantaremos una idea de algo que sí puede ocurrir… o en otras palabras, haremos un “Inception”. Recuerden: Mind the Information Security Gap! Always… l

sinnúmero Pégame Pero déjame en Paz cibercrimen Aunque suene irónico el cibercrimen se ha convertido en un mal amante o novio celoso del cual no nos podemos deshacer. Uno que no sigue a todos lados y que espera cualquier error para sacarnos ventaja por su beneficio propio. Y, a medida que crece el uso de la tecnología y el internet en las sociedades de todo el mundo, son más personas las que caen víctimas de esta turbia y peligrosa relación. Una encuesta global realizada por Symantec, titulada Cybercrime Report: The Human Impact, demuestra que más del 65% de todos los adultos del mundo han sido víctimas de algún tipo de crimen digital. Del total de víctimas de cibercrimen, 51% ha padecido infecciones de códigos maliciosos o virus, 10% fueron blancos de fraudes en líneas, 9% de phishing y 7% del robo de su perfiles en redes sociales. Únicamente 44% de los afectados levantaron un reporte con las autoridades. De hecho 79% de los encuestados consideraron que los cibercriminales jamás serán aprendidos o encarcelados por sus delitos. De los más de 7,000 encuestados 86% consideran al cibercrimen como una amenaza real y únicamente 3% creen que nunca serán blanco de ataques o fraudes en internet. A pesar de la consciencia sobre el fenómeno, más de la mitad de los entrevistados (51%) aseguraron que no cambiarán la forma o hábitos que tienen en internet. Según el análisis de Symantec resolver un cibercrimen financiero, para regresar el dinero al cuentahabiente, tarda alrededor de 28 días y tiene un costo promedio de $334 dólares. Más aún 31% de los afectados por el robo de información o datos de sus tarjetas de crédito aseguraron que nunca lograron resolver el delito ni recuperar su dinero. Al preguntarles cómo se sintieron luego de haber sido víctimas del cibercrimen 58% dijo que enojado, 51% irritado, 40% dijo haberse sentido engañado y manifestaron que les hace sentir así saber que los ladrones no serán entregados a las autoridades.

Octubre, 2010 b:Secure 23

seguro… que lo quieres Las moras negras tienen Libro En el marco del Developers Conference 2010, en la ciudad de San Francisco, Mike Lazaridis, co presidente de RIM, creadores de la BlackBerry presentó la PlayBook, una tableta digital sensible al tacto que promete hacer llorar a la iPad. ¿Lo logrará? ¿Qué dicen tus bolsillos?

SEguRo QuE La QuIERES PoR • Es de RIM y tiene el sello BlackBerry por todos lados • Con tal de no seguirle la corriente a los Applefans eres capaz de comprarte una tabla de cortar, obvio la PlayBook es mucho mejor. • Tiene pantalla de 7 pulgadas y dos cámaras para video llamada (Helloooo!! iPad) • Entrada de HDMI, ¿hay que decir más? Ah sí es compatibles con Adobe Flash, HTML 5 y Java.

SEguRo QuE no La QuIERES PoR • Tienes un altar de Steve Jobs en tu cuarto, para ti RIM es el Diablo • Aun no tiene fecha de salida ni precios aproximados... estás temeroso • No corre con el RIM OS y eso te encanta, pero no conoces el QNX OS6 • Hasta este momento nadie sabe cómo funciona. Nuestro enviado al DevCon y todos los asistentes únicamente tocaron el cristal de la vitrina que la resguardaba.

24 b:Secure Octubre, 2010

EL LIBRo Co n EL QuE ju gaRáS • Pantalla de 7 pulga

das LCD, 1 024 x 600 m • 1 GHz du ultitouch al-core proce ssor • 1 GB en R AM • Dos cám aras HD (3 MP de frente soporte de g , 5 MP trase rabación de ra), video de ha sta 1080p H • Salida de D video vía pu erto HDMI • Wi-Fi – 8 02.11 a/b/g /n • Bluetooth 2.1 + EDR • Medidas 5.1”x7.6”x0 .4” (130mm x 193mm x • Peso (0.9 10mm) libras o 400 g) • RIM plan ea ofrecer m odelos que cu conectivida entan con d 3G y 4G e n el futuro.