bSecure ABRIL-MAYO 2009 by Netmedia

abril 2009 · 53 · www.bsecure.com.mx

EMPOWERING BUSINESS CONTINUITY

CONTRA EL

$50.00 M.N.

LADO OSCURO DE LA SEGURIDAD

Hay dos consideraciones que se deben tener en toda estrategia de seguridad: una, enfocarse en la prevención y protección. Y dos, conocer a fondo qué herramientas usan y por dónde serán los ataques del lado oscuro. Expertos ahondaron en ambas.

11 de junio 2009 Hotel Camino Real, Monterrey

www.bsecureconference.com.mx/mty

Ante estas circunstancias, solo queda una cosa por hacer: asistir al llamado y ser parte del b:Secure Conference Monterrey 2009, el foro más reconocido de seguridad de la información del país, donde los grandes maestros de defensa estarán a su alcance para explicarle las líneas de protección y contraataque más avanzadas –sin dejar a un lado los beneficios que esto conlleva para el negocio.

NO SE PUEDE PERDER

Estamos en guerra. El lado oscuro se ha fortalecido, está mejor organizado y no muestra signos de debilidad. Incluso, ha logrado convencer a elementos dentro de su empresa para unirse a su causa, sin que sean detectados. Usan las mejores armas disponibles: ingeniería social, huecos en su estrategia de seguridad y trabajan en la última tecnología para ser invencibles.

KEYNOTE INVITADO Jesús Torrecillas, consultor de seguridad en Cemex, expondrá a lo largo de una hora la relación que existe entre el negocio, la crisis económica y la seguridad. Ha participado antes en b:Secure Conference de Monterrey y es la primera vez que participa en la edición de la Ciudad de México.

PANELES DE LUJO Andrés Velázquez y Adolfo Grego entablarán un debate sobre la forensia remota. Además, Ivonne Múñoz y Joel Gómez discutirán sobre los avances (y retrocesos) en la legislación mexicana sobre delitos informáticos.

Lo esperamos el próximo 11 de junio de 2009 en el Hotel Camino Real, donde no sólo los conferencistas magistrales expondrán las últimas tendencias en seguridad, sino que usuarios y expertos discutirán en paneles temas como forensia, legislación mexicana, nuevas herramientas de protección, tendencias, y seguridad en tiempos difíciles.

KEYNOTES DE EXPERTOS Para hablar de tecnología, expertos de las firmas Ernst & Young, Websense, Extreme Networks y Enterasys expondrán las últimas tendencias y las nuevas herramientas y prácticas de seguridad de la información.

¡No se puede quedar fuera!

SPEAKERS Andrés Velázquez Jesús Torrecillas Es profesor honorario en la Universidad Regiomontana y la Universidad Pontificia Comillas. Escribe para la revista e_security, y es conferencista en Dirección de Seguridad y Tecnologías de Información. Posee títulos de ingeniero certificado de Microsoft Lan Manager, ingeniero certificado Novel e ingeniero certificado en IBM.

Joel Gómez Es licenciado en Derecho, egresado del ITESM, con maestría en Derecho Comercial Internacional por la Universidad de Arizona. Abogado especialista en derecho informático y propiedad intelectual desde 1996

Especialista en cómputo forense. Cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. Es profesor de la facultad de seguridad en redes de la University of Advancing Technologies (UAT) en Phoenix, Arizona. avelazquez@uat.edu

Ivonne Múñoz Licenciada en Derecho. Maestra en Comercio Electrónico ITESM. Desde agosto de 2002 es profesora del Diplomado en Seguridad Informática del ITESM, Desde el 2005 fue incluida como parte del proyecto de creación de la Maestría en Seguridad de la Información a ser impartida en la Secretaría de Marina, aportando para ello el programa académico de la asignatura: Aspectos Legales en la Seguridad de la Información. Desde el 2008, es catedrática del Centro de Estudios Superiores Navales, lugar donde se imparte la Maestría mencionada a miembros del Estado Mayor Presidencial.

PANELES JUEVES 11 JUNIO 8:00 - 9:00 Registro 9:00 - 10:00 Keynote Ernst & Young 10:00 - 11:00 Forensia desde una galaxia muy muy lejana 11:00 - 11:10 Receso 11:10 - 11:40 Delitos informáticos 10 años después 11:40 - 12:40 ExtremeNetworks Conferencia simultanea 12:40 - 12:50 Receso 12:50 - 13:50 Keynote Websense 13:50 - 15:00 Comida 15:00 - 16:00 Panel de tendencias 16:00 - 17:00 Keynote Conferencia 17:00 - 17:30 Conferencia simultanea simultanea 17:30 - 17:40 Receso 17:40 - 18:40 Nuevas herramientas de protección 18:40 - 19:40 "Ya estamos en crisis ¿Ahora qué?", Jesús Torrecillas, consultor CEMEX 19:40 - 21:00 Show Clausura. Invitado Especial Ricardo Alcalá

Forensia desde una galaxia muy muy lejana Ya no es necesario que el equipo de forensia se encuentre físicamente en el momento del incidente y en el lugar de los hechos, ya que existen herramientas para realizar recolección de evidencia desde lugares remotos. Expertos compartirán tips para el levantamiento eficaz de evidencia en forma remota.

Las nuevas tooltroopers para protegerse Cada año la galaxia es amenazada por nuevas armas de malware masivo. Los panelistas discutirán cuáles son las nuevas herramientas para contrarrestar todos los intentos de ataque.

Delitos informáticos 10 años después Han pasado 10 años desde que la legislación mexicana reconoció a los delitos informáticos. En una década, ¿qué ha mejorado? ¿Estamos mejor o peor? Expertos abogados expondrán la realidad legislativa en nuestro país.

b:Secure Conference MTY 2008

costos Pase para el programa completo $2,350* Incluye: acceso a keynotes, conferencias simultáneas, comida los dos días y evento de clausura.

Early bird: pague antes del 8 de mayo y el pase completo cubre a dos asistentes de la misma organización. *Precios en pesos, incluyen IVA.

Descuentos

Formas de pago Los pagos serán efectuados a nombre de Netmedia, S.A. de C.V. en moneda nacional o en dólares americanos. En caso de que los pagos sean efectuados en moneda nacional, se utilizará para la conversión el “Tipo de cambio para solventar obligaciones denominadas en moneda extranjera pagaderas en la República Mexicana” publicado en el Diario Oficial de la Federación en la fecha de pago de que se trate o en el día hábil inmediato anterior, en caso de que la fecha de pago correspondiente recaiga en un día inhábil.

¡Capacite a su equipo y ahorre!

Depósito bancario

Grupos: un programa exitoso de seguridad depende de la intervención de todo un equipo. Al inscribir a cuatro personas de la misma empresa, tendrá 20% de descuento sobre el monto total de las cuatro inscripciones.

Bancomer Cuenta No: 0451318241 Clave interbancaria (clabe): 012 180 00451318241 3 A nombre de Netmedia S.A. de C.V.

Gobierno: funcionarios de gobierno tienen 10% de descuento Estudiantes: alumnos inscritos a cursos, diplomados o maestrías relacionadas con tecnologías de información o seguridad informática en el ITESM , UNAM , miembros de ISACA y ALAPSI tienen 30% de descuento.*

Un evento de

Banamex Sucursal No: 261 Cuenta No: 2704168139 Clave interbancaria (clabe): 002 1800 2704168139 2 A nombre de Netmedia S.A. de C.V.

Tarjeta de Crédito American Express, Visa, Mastercard Posteriormente al movimiento bancario le rogamos mandar su comprobante al número de fax 26297280 acompañado de sus datos (razón social, dirección completa, nombres de los asistentes, numero telefónico e importe del depósito).

Producido por

Con apoyo de

9 ABR O 08

ELLOS COMBATEN EL LADO OSCURO Expertos comparten sus métodos, herramientas y trucos para combatir al lado oscuro de la seguridad IT.

ACCESO

06 TODO ES CIBER:

CIBERCRIMEN, CIBERGUERRA...

Las denuncias de fraudes en línea y el monto de las pérdidas continúan incrementándose de manera imparable, reportó el Centro de Denuncias de Crímenes en Internet (IC3, por sus siglas en inglés).

07 JUNTOS CONTRA LA CIBERDELINCUENCIA

La Alianza Internacional Multilateral contra las Ciberamenazas (IMPACT, por sus siglas en inglés) fue creado para fungir como un centro de respuesta global para emitir alertas tempranas sobre la actividad maliciosa en Internet.

OPINIÓN

13 EL GOBIERNO DE

SEGURIDAD: ¿ES UNA FALACIA, ES UN FENÓMENO EN CIERNE O YA ES UNA REALIDAD QUÉ AFRONTAR? LA LEY Y EL DESORDEN 2.0

14 PROYECTO DE LEY FEDERAL PARA LA PROTECCIÓN DE LOS DERECHOS DE LOS USUARIOS DE INTERNET. Senadores del PRD se ponen las pilas y proponen ley que asustará a la IP.

BUSINESS PEOPLE

16 SEGURIDAD EN APLICACIONES

Las aplicaciones es una de las capas más importantes en el ambiente de la TI pero desafortunadamente muy ignorada desde la perspectiva de la seguridad. Me refiero, sobre todo, a las aplicaciones transaccionales donde realmente se hace el proceso y que residen en el back-end de la infraestructura.

CISO TO CISO

18 CONTROL DE ACCESOS ÁREA RESTRINGIDA

20 CIFRADO EN DISCO OPINIÓN

22 SÍNTOMAS, DETECCIÓN

Y PREVENCIÓN FRENTE A DOWNADUP/CONFICKER/KIDO

03 EN LÍNEA

04 LOGIN 24 SINNÚMERO

ENLÍNEA BSECURE.COM.MX

ENGAÑAN CON SITIOS DE BLOGS, NOTICIAS, SEXO Y ESPIONAJE VÍA SMS

La nueva ofensiva de la botnet Waledac incluye una amplia gama de sitios Web falsos de prácticamente todo tipo para asegurar la infección de millones de computadoras para pertenecer a la red de equipos zombie. Estos días la botnet Waledac creció significativamente el número de los sitios Web maliciosos para incrementar el número de infecciones a computadoras personales, dio a conocer la firma de seguridad F-Secure en su blog. Asimismo, la cantidad de archivos ejecutables maliciosos se han multiplicado. Fueron detectados por la mencionada compañía algunos como sms.exe, trial.exe, smstrap.exe, freetrial.exe y smsreader.exe, estos diseñados especialmente para un engaño que está relacionado con la existencia de sitios Web apócrifos que ofrecen una prueba gratis de una aplicación para espiar a otra persona mediante el envío de un mensaje de texto SMS a su teléfono celular. Sin embargo, el engaño no se limita a este tipo de sitios, sino que los creadores de Waledac han creado un conjunto de sitios Web relacionados con noticias, blogs, sexo, amor, terror y miedo, ventas, así como regalo de cupones de promociones. F-Secure hizo pública esta lista de sitios de Internet para informar a los usuarios con el fin de evitar que sean víctimas de estos engaños.

Mónica Mistretta DIRECTORA GENERAL

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

La Agencia de Protección de Datos española comenzó a perseguir a los responsables de subir estos videos a la Web.Aunque sólo se habían abierto expedientes de denuncias ciudadanas, la Agencia de Protección de Datos española lleva a cabo investigaciones que den con los responsables de difundir grabaciones de cámaras de videovigilancia en Internet. Gente caminando por ciertas calles, entrando a ciertos edificios, bares, restaurantes o negocios de otro tipo, todos los días es captada por cámaras de videovigilancia, pero cuando los rostros de esas personas son exhibidos en Internet el tema adquiere nuevas dimensiones. Sigue leyendo en: http://www.netmedia.info/security/filtran-videovigilancia-ainternet

Estos y otros artículos en

www.netmedia.info b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Jonathan Hernández Sosa DIRECTOR EDITORIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS María Eugenia Solares DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL

TEMA LIBRE

Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

Sigue leyendo en: http://www.netmedia.info/security/enganan-con-sitios-de-blogsnoticias-sexo-y-espionaje-via-sms

FILTRAN VIDEOVIGILANCIA A INTERNET

Elba de Morán DIRECTORA COMERCIAL

EL GALLETERO

Jonathan Hernández, director editorial y editor de b:Secure, despotrica sobre lo último de los gadgets y la tecnología de consumo.

CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora COLUMNISTAS Roberto Gómez, Ricardo Morales, Joel Gómez, Andrés Velázquez, Irving García EDITOR ON LINE Efraín Ocampo ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto DISEÑO Pablo Rozenberg

BLOGUEROS INVITADOS Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info

CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info

VENTAS Y PUBLICIDAD Morayma Alvarado, Sonia Gómez, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Stefanye García

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

Abril, 2009 B:SECURE 5

ACCESO

TODO CIBER: CIBERCRIMEN, CIBERESPIONAJE Y CIBERGUERRA FRÍA Las denuncias de fraudes en línea y el monto de las pérdidas continúan incrementándose de manera imparable, reportó el Centro de Denuncias de Crímenes en Internet (IC3, por sus siglas en inglés).

egún el reporte anual 2008 del IC3, en cooperación con el Buró Federal de Investigaciones (FBI) y Centro Nacional de Crímenes de Cuello Blanco (NW3C), las denuncias de cibercrímenes recibidas durante el año pasado rompieron una nueva marca al sumar 275,284, esto es 33.1% más que las recibidas en 2007. Pero no fue la única marca que el cibercrimen rompió. Las pérdidas totales ligadas al fraude en línea fueron de $265,000,000 de dólares, cerca de $25,000,000 más que durante 2007. Cada denunciante habrá perdido en promedio $931 dólares. Desde 2004 cuando la cantidad de denuncias y el monto de las pérdidas comenzaron a ser cuantificados, el dinero perdido por fraude en línea se ha incrementado constantemente, comportamiento que no ha tenido la cifra de denuncias. En 2004 fueron recibidas 207,449 denuncias, mientras que el siguiente año aumentaron a 231,493 y en 2006 descendieron a 207,492, para continuar descendiendo en 2007 a 206,884 y finalmente dar un gran salto para 2008. El fraude en línea a consistido, según el IC3, en mercancía comprada en Internet no entregada, pagos no procesados por la empresa cuando el cargo sí se efectuó, subastas fraudulentas en Internet y fraude a tarjetas de débito y crédito. “Esto resalta la necesidad de continuar la vigilancia y aplicar la ley, los negocios y los usuarios domésticos de computadoras deben estar prevenidos sobre estas estrategias y adoptar procedimientos de seguridad”, dijo Shawn Henry, director asistente de la División Cibernética del FBI.

¿CIBERGUERRA FRÍA? Del mito y las sospechas, se ha pasado a asegurar que el ciberespionaje es una amenaza real gracias al descubrimiento de la red de espionaje dirigida 6 B:SECURE Abril, 2009

desde China que ha infiltrado sistemas de embajadas y gobiernos en 103 de los 195 países existentes en el mundo, afirmó categóricamente un reporte de la firma de análisis Merrill Lynch. Estados Unidos, por lo pronto, es de los pocos gobiernos que dedican una partida presupuestal a la protección de las ciberfronteras y, tan solo en el año fiscal 2009, el gobierno de Barack Obama dedicará $14,600 millones de dólares en ciberseguridad. “La infraestructura de Estados Unidos es vulnerable a ataques cibernéticos debido a la dependencia de las tecnologías que ha adquirido el sector público y el privado. Con el incremento de amenazas viniendo de China, creemos que la administración de Obama continuará con su enfoque de asegurar la ciberfrontera”, prevé la firma analista. El fin de semana pasada un grupo de expertos de Centro Munk, adscrito a la Universidad de Toronto, Canadá, descubrió lo que ahora conocemos como ‘GhostNet’, la red internacional de ciberespionaje. Quienes ejecutaban GhostNet utiliza la ingeniería social para que los usuarios instalen software malicioso que permite al atacante el control remoto del sistema infectado para así robar información. Según estimaciones de Merrill Lynch, Estados Unidos irá incrementando su gasto en ciberseguridad para 2013 hasta alcanzar la cifra de $25,500 millones de dólares. Con el conocimiento de ciberespías reales, la posibilidad de que otros países y empresas realicen este tipo de prácticas se ha hecho latente, lo cual a su vez hace más real la amenaza de una ciberguerra. Por lo pronto ya es un hecho la participación del gobierno de EU en esta área. Los presupuestos continuarán engordando para obtener un mayor equipamiento en ciberseguridad para protección y defensa de la infraestructura tecnológica, así como de la propiedad intelectual y la información confidencial. ●

ACCESO

SE UNEN CONTRA LA CIBERDELINCUENCIA

l organismo operará en 191 países, entre los que se encuentra México y también tendrá como tarea ayudar a gestionar la crisis en entidades públicas y privadas, así como para llevar a cabo análisis de las amenazas a la seguridad en tiempo real, para ejecutar acciones preventivas y reactivas en los países donde se requiera. El centro de operaciones de IMPACT tendrá como sede Malasia y combinará la información de proveedores de soluciones de seguridad que operan redes de inteligencia y monitoreo de amenazas en todo el mundo como F-Secure, Kaspersky, Symantec y Trend Micro. México se ha vuelto un país que ha atraído la atención del cibercrimen mundial. El gusano Conficker, según reportes de F-Secure, infectó decenas de miles de computadoras en febrero pasado. El país se encuentra ubicado en la tercera posición de los países latinoamericanos donde se genera más actividad maliciosa, según un reporte de Symantec.

¿Y EN MÉXICO? La iniciativa privada y las autoridades deberían trabajar de la mano en

temas de seguridad informática, pidió Víctor Chapela, presidente del Consejo de Sm4rt Security Services. Sin embargo, el experto en seguridad lamentó que el Gobierno mexicano no tuviera el nivel y que le faltara mucha capacidad para atender la problemática de los riesgos a los que están expuestos los usuarios de tecnologías de la información pero sobre todo de Internet. “Están interesados en el tema pero les falta foco, se han enfocado en combatir la pornografía infantil pero han dejad de lado asuntos críticos como garantizar la seguridad en Internet, el tema de las transacciones, (temas) que no sólo con se atienden con regulaciones de la Comisión Nacional Bancaria y de Valores (CNBV)”, opinó Chapela. Víctor Chapela considera que aún faltan leyes que permitan que lo digital sea evidencia en procesos legales, así como establecer tratados internacionales de cooperación en lo que se refiere a cibercrímenes que son cometidos a través de Internet por la delincuencia organizada de otros países. En suma, concluyó que hasta ahora no existe una total seguridad jurídica en el ámbito internacional, particularmente. ● Abril, 2009 B:SECURE

CONTRA EL

LADO

DE LA

8 B:SECURE

Abril, 2009

OSCURO

SEGURIDAD

ómo realizar mejores planes de contingencia, utilizar la auditoría como prevención, conocer las mejores prácticas, y lo bueno y malo de los fraudes en internet son algunos de los temas abordados en el 6to b:Secure Conference 2009 Ciudad de México, organizado por Netmedia Events. Durante una de las conferencias, Gilberto Vicente, gerente de desarrollo de negocios en seguridad de Cisco Systems, declaró que, si bien estamos en un ambiente adverso, según sus palabras, es el momento de la seguridad. En su charla titulada “Mejores prácticas de seguridad en tiempos de crisis”, el ejecutivo dijo que hoy más que nunca las empresas realmente están interesadas en hacer un replanteamiento de la seguridad. Esto se reafirma con un informe de IDC, el cual muestra que los recortes en gasto se harán en áreas como business intelligence, colaboración y herramientas de productividad más que en seguridad. “Este rubro es de los que se perciben con menos recortes”, apuntó Vicente. Hoy las empresas están abrumadas con una gran cantidad de elementos que hay que usar inteligentemente para tener arriba la operación, ya no digamos la seguridad. A decir del conferencista, “con temas como movilidad y los niveles de interacción que hoy se requiere en los negocios, ya no se pueden conocer las fronteras de la red. Es más crítico, entonces, replantear la estrategia de seguridad, porque no se puede tener una solución IT puntual para cada uno de los elementos a proteger”. ¿Cómo salir librados ante tal panorama? La información se encuentra resumida en el recuadro adjunto (“Tips para resolver los retos en seguridad”), pero para el directivo se resume en “evolucionar y adaptarse al nuevo entorno. En este sentido, Cisco tiene un ecosistema que incluye capacidades de investiga-

10 B:SECURE Abril, 2009

ción y desarrollo (R&D, por sus siglas en inglés), tecnologías apegadas con las mejores prácticas y una visión de integración, que el cliente hoy por hoy está requiriendo. En cuanto a las tendencias que están surgiendo en el terreno de la seguridad destacan, en primera instancia, la seguridad integrada y la seguridad en la nube; otras son: la protección a la fuga de información (DLP, por sus siglas en inglés), la protección a aplicaciones y bases de datos, la convergencia entre seguridad física y lógica, y el control de acceso a la red –no tan nuevo, pero todo enmarcado en una tendencia de consolidación del mercado–.

LO QUE DEBE SABER DE UN PLAN DE CONTINUIDAD También el marco del b:Secure Conference, expertos dieron a conocer los componentes básicos de los planes de contingencia o de recuperación de desastres. Según lo expuesto en el panel del mismo nombre, un plan de contingencia para proteger la empresa frente a incidentes previsibles e incidentes imprevisibles. Los gusanos y los virus son previsibles si las máquinas fueran adecuadamente parchadas y si los antivirus estuvieran actualizados y funcionando. Los desastres naturales como, el que tuvo lugar en Villahermosa Tabasco el año pasado, pudieran ser imprevisibles. La evaluación correcta del riesgo debe incluir un diagnóstico y definición de lo que está en riesgo y cómo afectaría esto a la operación del negocio, el análisis del riesgo en sí mismo, así como de la infraestructura crítica, lo cual finalmente da como resultado el plan de contingencia. El mejor momento par comprobar la correcta validación del plan es la realización de un simulacro o prueba. El plan debe contener también quienes realizan las acciones de recuperación para rendir cuentas y presentar un informe detallado. Lo que se necesita para recuperar los servicios proporcionados por los sistemas caídos, primero es identificar lo que se necesita reanudar y recuperar, así como qué elementos se requieren para hacerlo. En contraparte, los errores que deben evitarse son que la información no esté actualizada o que esté desorganizada, que la documentación sea muy

compleja, que el plan sea muy genérico o que sea demasiado detallado, una mala estimación del tiempo de recuperación, el no acceso a respaldos, así como que el personal responsable no esté capacitado en el manejo de crisis. Para que los planes de contigencia sean exitosos deben contar con el apoyo de la alta dirección, ser sencillos y claros, concisos, contar con presupuesto apropiado, incluir a todos los participantes e incluso proveedores), considerar un proceso de respaldo fuera de sitio, ser documentado y probado frecuentemente, flexible, adaptable y tenen un proceso continuo para su mantenimiento. Las empresas que tercerizan servicios también deben cumplir con las políticas de la compañía.

AUDITORÍA COMO PREVENCIÓN Durante el panel Auditoría de seguridad, en el que participaron Erika Saucedo, gerente de la práctica de seguridad en Ernst & Young México y Adrián Palma, catedrático y conferencista a nivel internacional en cuestiones de seguridad informática, se profundizó en la importancia de la auditoría de seguridad, es decir, de la identificación de la desviación entre la seguridad percibida y la seguridad real. Además de esto, los panelistas definieron las dos diferentes formas de auditoría: la técnica en la que se realizan pruebas de penetración, análisis de vulnerabilidades, configuraciones de la infraestructura de aplicaciones Web y contraseñas; y la de procesos, en la que se analizan los requerimientos y estrategias de seguridad, cumplimiento con regulaciones, políticas y procedimientos, seguridad física y clasificación de la información. Ambos expositores recomendaron la importancia de este proceso, sobre todo ahora que el cumplimiento regulatorio o compliance es uno de los puntos fundamentales de casi todas las empresas.

LO BUENO Y LO MALO DE LOS FRAUDES EN INTERNET Una de las pláticas más dinámicas y ricas en información fue la que dieron Alfredo Reyes Krafft, vicepresidente ejecutivo de la Asociación

Mexicana de Internet (AMIPCI), así como presidente del Consorcio Mexicano de Software y director de nuevos medios de pago de Grupo Financiero BBVA Bancomer, y Luis Javier Pérez del Real, director general de la consultora en seguridad Pilambda Omega y presidente de Grupo Evoluta (empresa de entretenimiento IT), en el marco de la sexta edición del bSecure Conference celebrado en la ciudad de México. El mensaje que quedó en el ambiente es que las instancias financieras están lo suficientemente blindadas y la comunidad de hackers ya no están perdiendo su tiempo intentando obtener beneficio a través de prácticas oscuras. No lo necesitan. Ahora el desarrollo de Internet está llevando a los ciber criminales a una zona de confort, donde el mismo usuario “solito” está entregándose al ataque. El panel llevó por nombre “Reingeniería Social: la última frontera”. Reyes Krafft dejó claro que el crecimiento de Internet es impresionante: en México hoy hay 27.8 millones de usuarios y 75.6 millones de teléfonos móviles con acceso a la Red (moviéndose, según datos del AMIPCI, a una tasa anual de crecimiento de 27%). “Hoy estamos en una etapa de diversificación. Ya no es una red centralizada ni descentralizada; son redes con las cuales hay que compartir”, agregó el experto. “Es un Web abierto, estandarizado y colaborativo.”

POR DESGRACIA NO TODO ES MIEL Sin duda, los beneficios a nivel comercial y de expansión de mercados que puede traer ya no sólo el Internet tradicional sino las redes sociales, es innegable. Con todo, hay un lado muy negro, y es el de la ingeniería social. A amenazas como el skimming, el hawking, el phishing, el pharming, el spyware (keyloggers, troyanos), etc., se está agregando la pericia de los estafadores de la red con tecnologías de persuasión cada vez más sofisticadas, y herra-

Abril, 2009 B:SECURE 11

mientas de inteligencia comercial (a veces de diversas fuentes) dirigidas a una sola persona. Y la fuente de información, así como los medios de ataque, son las redes sociales. ¿Quién las usa? De acuerdo con Pérez del Real, no hablamos sólo de gente joven, como a veces se supone. Por supuesto, el número de personas de 25 a 34 años se duplica en Facebook cada seis meses, pero los últimos reportes de esta red social muestran que el uso de Facebook por gente de entre 35 y 54 años creció 276% en el año, y el de mayores de 55 años también subió, en su caso, 194.3%. En estas redes –que prácticamente “todo mundo” usa–, hay riesgos latentes, como el robo de identidad o el encuentro con contenido malicioso, “que ha sido publicado libremente porque no hay quien valide qué se sube a este tipo de sitios”, puntualiza el directivo de Pilambda Omega. “Hay poca restricción de acceso a sitios como Hi5, LinkedIn, Facebook, Twitter…, donde se publican datos personales, y los hackers pueden andar buscando información sobre usted –agregó el directivo–, de sus grupos de interés, sus gustos, sus citas, e incluso qué están haciendo, qué problemas tiene y quiénes son sus amigos.”

¡RECURSOS HUMANOS ES UN FIREWALL! Las áreas de Recursos Humanos podrían cargar con la responsabilidad de permitir el ingreso o no de personas que puedan sabotear a las áreas IT y a la compañía completa cambiando contraseñas, privilegios en los sistemas o provocando incidentes de seguridad. En el marco del b:Secure Conference 2009 expertos coincidieron en la necesidad de evaluar mejor a los nuevos empleados antes de su ingreso en la compañía con el fin de evitar incidentes de seguridad. Mercedes Romano, directora de la División Organizacional de Markey Research Services, aconsejó a los CIO que implementen buenas prácticas para detectar a los empleados que representen una amenaza para la compañía, particularmente en el área de sistemas utilizando diversas metodologías, entre ellas la de background check para entren a la organización. Romano consideró que las variables culturales inciden en las prácticas de 12 B:SECURE Abril, 2009

los empleados dentro de las compañías. Por ejemplo, en México 35% de los delitos que se cometen dentro de las organizaciones son robo de propiedad industrial, 30% son amenazas y difamaciones, y 30% son fraudes y abuso de confianza, según cifras de Mattica. De acuerdo con Romano, la selección de personal juega ya un papel trascendente en el esquema de prevención de incidentes de seguridad al interior de las compañías y presentó cuatro categorías de empleados que podrían representar amenazas: los no informados, los descuidados, los resentidos y los de tendencias sicópatas. En el caso del resentido, dijo que todo comienza con un conjunto de expectativas insatisfechas y el sabotaje se detona con un evento. En el del psicópata, destacó que en una entrevista de trabajo éste es difícil de detectar, para ello el background check para ir más allá del historial laboral y de los antecedentes penales. “Los exámenes que se practican en una entrevista laboral y las pruebas sicométricas no son suficientes porque no existen muchas métricas al respecto, la prueba del polígrafo pudiera ayudar pero poca gente la sabe usar. Al parecer es necesario incluir en cada entrevista laboral una entrevista clínica especializada” opinó la consultora. Por su parte, Daniel Peñaloza, CSO de Banco Wal-mart, dijo que los CIO deben buscar el punto de inflexión entre el costo total de la seguridad y lo que podría costarle a la organización la pérdida de la información o las consecuencias de un incidente de seguridad. Peñaloza recomendó tener más información sobre los empleados a través del background check y sugirió llenar solicitudes de empleo que estén alineadas a las leyes aplicables de la industria, siempre obtener la firma autógrafa aceptando el proceso de obtener referencias, documentar si los expatrones se rehúsan a dar referencias de un empleado, pedir siempre más referencias y contactos, así como ocupar las entrevistas como un medio para aclarar dudas, entre otras. En el panel ‘Infiltrados en la fuerza’ 94% de los asistentes opinaron mediante votación electrónica que es muy importante un buen reclutamiento, pues puede prevenir la pérdida de información en las organizaciones. No toda la responsabilidad recaería en las áreas de Recursos Humanos. Magahandi Suárez, consultor de seguridad SpencerStuart, dijo que el rol del CISO no tiene que ver solamente con temas de seguridad, sino que también está muy ligado con el cumplimiento de regulaciones, investigación de amenazas, comportamiento de los usuarios y otros temas. El CISO, como parte de sus tareas, debe analizar las tendencias de la operación del día a día, cómo los nuevos usuarios se comportan y descubrir lo que la organización está descuidando, explicó Suárez. ● —Con el apoyo de Mónica Mistretta, Elisa Nájera y Efraín Ocampo.

´ OPINIÓN EL GOBIERNO DE SEGURIDAD EN LA INFORMACIÓN;

¿ES UNA FALACIA, UN FENÓMENO EN CIERNE O YA ES UNA REALIDAD? [PARTE UNO] Por Raúl Aguirre

nvito a directores a reflexionar brevemente sobre cuál es la situación de su institución para buscar el Gobierno de Seguridad en la Información. Prácticamente en México hay pocas organizaciones maduras en este proceso y para constatarlo usted en lo que respecta a su empresa: ¿en cuál de los siguientes estados se encuentra? ¿Cuál debería ser la siguiente acción en cuanto a Gobierno de Seguridad en la Información en su organización?

1. No sé o no tenemos nada formalmente definido y entonces se tiene que ubicar al grupo directivo, posiblemente al comité de dirección si existe, de esta necesidad y trabajar en concientizar y orientar al respecto para tomar conciencia del riesgo en caso no atenderse la Seguridad en la Información. Es un problema de ignorancia casi general. No se tiene un registro y respuesta ante incidentes e impactos por pérdida de información en su confidencialidad, integridad y disponibilidad de los procesos del negocio. 2. Se tiene algo definido, alguien tiene la función de Seguridad de la Información, sin embargo, está bajo el mando de IT. No está puesto en la preocupación de la alta dirección por tener otras prioridades, pero confiamos en la dirección responsable sabe hacer las cosas correctas, pero ¿está en el camino correcto y tiene una estrategia adecuada, conveniente para la institución? 3.- Se tiene un proyecto de Seguridad de la Información así como una estrategia en proceso de definición en un periodo corto. Se tiene contemplado identificar la normatividad y los recursos requeridos para atender el tema. Apenas se está justificando el alcance del tema y será en el corto plazo un tema de preocupación por el comité de dirección. 4.- Contamos con un proceso de Seguridad de la Información y se viene trabajando en este tema por más de un año controlando riesgos y amenazas de la seguridad en la Tecnología de Información. Tenemos una estrategia revisada, autorizada y en proceso de actualización constante. Contamos con una normatividad definida, actualizada, autorizada y difundida, así como recursos asignados. 5.- Ya es un tema en la agenda del comité de dirección y se tiene una estrategia revisada y que ha dado vida a un sistema de gestión de seguridad. Existe conciencia de los riesgos más importantes y sobre ellos se trabajará para empezar a lograr el Gobierno de Seguridad en la Información. Hay conocimiento y sustento de definición y autorización de estrategia de seguridad, con base en las guías, metodolo-

gías, modelos y estándares internacionales. 6.- Hay un comité de seguridad avalado y patrocinado por el comité de dirección para resolver y trabajar sobre la estrategia de seguridad en la Información. Ya existe un sistema de gestión en el que se trabaja para controlar los riesgos de seguridad. Se tienen definidas políticas, estándares y procedimientos, así como los roles y responsabilidad en el tema. Se llevan a cabo análisis de riesgos de forma periódica y son el componente fundamental para la elaboración de un plan de seguridad autorizado. Asimismo, están en operación los procesos de seguridad y continuamente se revisan y se llevan a cabo ajustes para mejorarlos. 7.- Además de lo que se tiene en el punto anterior (6), existe conciencia de la necesidad de un proyecto que habilite el Gobierno de la Seguridad ya que se tienen definidas un conjunto de responsabilidades y prácticas ejecutadas por el Comité de Seguridad y los ejecutivos con el propósito de dar dirección estratégica, asegurar que los objetivos se obtengan, garantizando que los riesgos sean atendidos adecuadamente y verificando (monitoreando éxito o fallas) que todos los recursos de la empresa sean utilizados responsablemente. Si una institución considera tener ya un Gobierno de Seguridad maduro, es igual que decir que tiene implementado un Sistema de Gestión de Seguridad de la Información (SGSI) Maduro. Existen en México empresas que ya están certificadas bajo el estándar ISO 27001, sin embargo, habría que validar el alcance de la certificación, porque puede suceder que el alcance sea poco sustantivo, pero es una investigación que ALAPSI se dará a la tarea de obtener en el futuro cercano. Existen alrededor de 20 empresas certificadas en ISO27001 ó BS7799-2, adicionales a las no certificadas pero que ya cuenta con un SGSI. ¿Qué porcentaje de empresas se pudieran encontrar en esta última situación? De ellas, ¿cuántas empresas estarán en un nivel de madurez aceptable? Dudo que lleguemos a un número muy alto. Lo anterior sin minimizar el mérito y la importancia de la certificación. ● REFERENCIAS: (*1) El Sistema de Control Interno como un elemento esencial para garantizar la eficacia del Gobierno Corporativo. Guillermo Cruz –Delloitte- (Centro de Exelencia en GC - 2006). (*2) Information Security Governance - Guidance for Board of Directors & Executive Management, 2nd. Edition, IT Governance Intitute (*3) Gobierno de TI y Continuidad del Negocio. José Peña Ibarra ISACA Mty (*4) Seguridad y Buen Gobierno, Juan Ignacio Ruiz Guinaldo, Grupo AVIVA Abril, 2009 B:SECURE 13

LALEYYELDESORDEN 2.0 UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN

Por Joel A. Gómez Treviño

PROYECTO DE LEY FEDERAL PARA LA PROTECCIÓN DE LOS DERECHOS DE LOS USUARIOS DE INTERNET SENADORES DEL PRD SE PONEN LAS PILAS Y PROPONEN LEY QUE ASUSTARÁ A LA IP. 1ª PARTE

esde principios de la presente década se han presentado ante el Congreso de la Unión siete iniciativas de ley que buscan regular “la protección de datos personales”. Desafortunadamente la industria mexicana del telemarketing e internet ha sido lo suficientemente hábil para bloquear todos los intentos que han existido por regular esta materia. Todavía recuerdo que por ahí entre el 2002 y 2003, cuando trabajaba para una empresa manufacturera transnacional en Monterrey, me llegaron varios correos de alguna asociación de telemarketing o similar, solicitándome que hiciera todo lo posible para solicitar una reunión con los legisladores de Nuevo León, a efecto de solicitarles que no aprobaran la propuesta de “Ley Federal de Protección de Datos Personales” en virtud de “los graves daños que sufriría la industria mexicana” de aprobarse la misma. Varias de las propuestas de ley en esta materia, han sido promovidas por el PRD. Pues apenas el pasado 2 de abril (ayer para mí) se publicó en la Gaceta del Senado un proyecto de decreto por el que se expide la “Ley Federal para la Protección de los Derechos de los Usuarios de Internet”. Si bien el objetivo primordial de este proyecto de ley no es regular los datos personales, si contempla en su Capítulo V “los datos personales y la privacidad del usuario”. No sabemos a ciencia cierta si el PRD le cambió el título a la ley o intentó meter el tema discretamente dentro de otra ley, a ver si ahora si tienen suerte en que sea aprobada, aunque sea en menor medida, algún tipo de protección de datos personales para los usuarios de Internet. ¡Ojalá lo logren! Lo cierto es que este proyecto de ley no busca regular en exclusiva los datos personales, sino contempla un propósito mucho más amplio, “proteger los derechos de los usuarios de servicios de Internet así como los de los usuarios de servicios prestados a través de Internet y los consumidores de productos comercializados a través de portales o sitios en Internet”. Algunos de los rubros que pretende regular este 14 B:SECURE Abril, 2009

proyecto de ley son: la garantía en la disponibilidad del acceso, la estabilidad de la conexión, la neutralidad en el manejo de la Internet, la privacidad del usuario, la protección de sus datos e información, la seguridad en las operaciones, financieras, bancarias y comerciales realizadas a través de la red, los servicios gubernamentales prestados a través de la Internet, las restricciones para menores, así como el uso y distribución en medios digitales de obras protegidas por el derecho de autor. La vigilancia y cumplimiento de esta ley estará a cargo de la Secretaría de Comunicaciones y Transportes, quedando facultados para auxiliar a la misma la CONDUSEF, la PROFECO y la Secretaría de la Función Pública. En el artículo 3 se detallan una serie de definiciones, tendencia adoptada del derecho anglosajón y de instrumentos de derecho internacional. Como es de esperarse, la mayoría de las reformas a normas mexicanas en materia de comercio electrónico y firma electrónica están dotadas de definiciones. Algunas definiciones que llaman la atención en particular las siguientes definiciones: Datos Personales - Toda información que permita identificar a un usuario en relación a un servicio de Internet, un servicio prestado por Internet o una operación comercial o financiera realizada por Internet y permita su identificación física o ubicación geográfica. Esta definición es ampliada por el artículo 27: son considerados datos personales del usuario su nombre, domicilio, fecha de nacimiento, nacionalidad, registro federal de contribuyentes, clave única del registro de población, número de seguridad social, teléfono, teléfono celular, correo electrónico, números de tarjetas de crédito o débito, números de cuentas bancarias, nombres de usuario y contraseñas para acceso a servicios o compra de productos y dirección IP desde la que se realice la conexión del usuario.

Contrasta con la definición de datos personales de la Ley de Protección de Datos Personales para el Distrito Federal: La información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen étnico o racial, características físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular, correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el ADN y el número de seguridad social, y análogos. También se define “portal” y “sitio”, ambos definidos como “interfaz gráfica que tiene por objeto establecer comunicación entre un usuario y un comerciante o prestador de servicios a través de Internet” pero la única diferencia entre ambas es que la definición de portal agrega: “y que da acceso a uno o más sitios en Internet.” Algo que seguramente no verá con buenos ojos la industria es la obligación que se establece para los Prestadores de Servicios de Internet: “establecer las medidas necesarias para garantizar que los derechos establecidos en la presente Ley sean respetados en todo momento”. Por su parte el artículo 5 establece obligaciones adicionales a las establecidas en el artículo 76 bis de la Ley Federal de Protección al Consumidor para los prestadores de servicios de conexión a Internet, los prestadores de servicios de hospedaje de sitios en Internet y los comerciantes o empresas que vendan productos o servicios a través de portales o sitios en Internet, entre ellas: I.- Proporcionar un mecanismo expedito y sencillo para que, en los casos de servicios de suscripción, el usuario pueda cancelar el servicio de forma electrónica e inmediata […]; II.- Proporcionar las características exactas de los servicios o productos que comercialicen a través de sus sitios en Internet; IV.- Establecer un mecanismo para la recepción y gestión electrónica de quejas, así como tiempos máximos de respuesta y solución del problema que haya motivado la queja […]. A juicio de un servidor, la fracción II ya está contemplada en la fracción V del artículo 76 bis de la Ley Federal de Protección al Consumidor. Es interesante lo previsto en la fracción IV de este artículo 5 en cuanto a la instauración de un sistema de gestión electrónica de quejas, pues ha sido preocupación a nivel internacional la manera en cómo los consumidores pueden sustanciar de manera eficiente sus quejas contra proveedores. A decir de la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD), el daño a la sociedad y al interés público radica en lo reiterado y frecuentes que se han convertido las violaciones a los derechos de los consumidores individuales (en materia de comercio electrónico). Es por esto que la UNCTAD promueve la implementación de mecanismos de Resolución Alternativa de Controversias, como una opción conveniente para manejar las reclamaciones de los consumidores en el ámbito electrónico. El Capítulo II del proyecto de ley trata la neutralidad en la prestación de los servicios de conexión a Internet y en los Servicios de Hospedaje de Sitios en Internet. Establece que la naturaleza y funcionamiento de la Internet es y deberá permanecer libre, neutral y sin controles centralizados. A los prestadores de servicios de internet se les imponen muy diversas obligaciones, entre ellas: deberán garantizar que el en-

vío y recepción de datos por parte de los usuarios fluya de forma constante y sin una disminución del ancho de banda contratado; deberán garantizar que las comunicaciones que se den desde sus servidores, hacia estos y a través de sus redes de telecomunicaciones, se proporcionen sin distinciones que concedan un acceso preferencial o discriminatorio a cualquier sitio o portal en Internet; el bloqueo de un sitio o portal en Internet únicamente podrá efectuarse mediante orden o resolución judicial debidamente fundada y motivada; no deberán llevar a cabo acciones que impidan el uso o disminuyan el rendimiento de las aplicaciones utilizadas por el usuario basadas en Internet; no podrán imponer limitación alguna al uso de la conexión que proporcionen al usuario. “Del Uso Libre de la Internet” es el tema que aborda el Capítulo III. Básicamente se establecen lineamientos generales de la libertad de expresión y uso del internet por parte de los usuarios, con la única limitante de respetar el derecho de terceros, la moral y las buenas costumbres. Ninguna autoridad podrá coartar o impedir el derecho de los usuarios de acceder a contenidos disponibles en internet, salvo que medie orden judicial. El Capítulo VI pretende regular las transacciones comerciales y financieras realizadas a través de Internet y de los servicios públicos prestados por sitios Gubernamentales. El artículo 16 mezcla obligaciones que ya están contempladas en el artículo 76 bis en sus fracciones I y II, pues establece que “los comerciantes o empresas que vendan u ofrezcan sus productos o servicios a través de Internet deberán de garantizar que la operación de compra-venta o contratación del servicio se lleve a cabo de forma segura y confidencial respecto de cualquier tercero ajeno a la operación. Para lo anterior, estarán obligados a contar con tecnología y mecanismos suficientes que permitan el envío y recepción de datos encriptados que impidan su revelación en caso de interceptación o desvío”. Es poco afortunado el uso de los términos “encriptados”, así como “certificados de seguridad” en el artículo 20, pues pudiere interpretarse que se está faltando al principio de neutralidad tecnológica que establece la Ley Modelo de Comercio Electrónico de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, en el que están basadas las reformas del 29 de Mayo del año 2000 al Código de Comercio en materia de comercio electrónico. Al igual que lo hace la Directiva sobre Comercio Electrónico de la Unión Europea en su artículo 11, diversos artículos del Capítulo IV establecen la obligación de enviar vía correo electrónico al usuario notificaciones, confirmaciones o acuses de recibo con información relacionada a la transacción celebrada. Resulta curioso que el artículo 19 habla de la obligación de las empresas y comerciantes de entregar “el comprobante correspondiente a cada obligación… que cumpla con los requisitos establecidos por las disposiciones fiscales vigentes”, pues las referidas leyes fiscales hablan claramente de “comprobante fiscal digital” y “facturación electrónica”. La continuación de la presente síntesis y análisis, así como conclusión de la opinión sobre este proyecto de ley tendrán que terminar en una segunda parte de este artículo, pues como es obvio toda publicación tiene sus límites de espacio. No se pierdan en el siguiente número de b:Secure la segunda y última parte de este artículo! ●

Joel Gómez (abogado@joelgomez.com) es licenciado en Derecho, egresado del ITESM, con maestría en Derecho Comercial Internacional por la Universidad de Arizona. Abogado especialista en derecho informático y propiedad intelectual desde 1996.

Abril, 2009

B:SECURE 15

for

BUSINESS PEOPLE

SEGURIDAD EN APLICACIONES Por Adrián Palma

Primera de 2 partes 16 B:SECURE

as aplicaciones es una de las capas más importantes en el ambiente de la tecnología de la información pero desafortunadamente muy ignorada desde la perspectiva de la seguridad. Me refiero, sobre todo, a las aplicaciones transaccionales donde realmente se hace el proceso y que residen en el back-end de la infraestructura ( Legacy, Cliente Servidor, Distribuidas, Orientadas a Objetos, ERP´s, CRM´s etc.) y no a las que hoy día en el mercado se les pone mayor atención que son las basadas en Web. Actualmente la referencia que se tiene con respecto a la seguridad en aplicaciones es el control de acceso y éste en definitiva es un punto importantísimo pero no suficiente. Cuando hablamos de una seguridad más robusta en las aplicaciones, éstas definitivamente deberían tener una seguridad nativa —como le llamo a los controles intrínsicos que tiene la aplicación. Un ejemplo sería un digito verificador ( 0056788349-3 ) contenido en un número de cuenta de cualquier aplicación bancaria, el cual permite que no haya error en la captura o lectura de la cuenta y garantice que es una cuenta existente. Una de las reglas de dedo en la seguridad en aplicaciones es cuando se sabe que si en el ciclo de desarrollo de una aplicación no se analiza, diseña e implementan los controles. Es decir, actuar preventivamente y proactivamente muy difícilmente se hará en producción aunque hay honrosas excepciones y les comento esto porque hoy día estamos trabajando en un proyecto de esta índole. Una de tantas razones es que en la mayoría de las organizaciones las aplicaciones literalmente están con alfileres y que por lo tanto es prácticamente imposible que dejaran que la gente de seguridad (que como se comento anteriormente difícilmente se involucra con las aplicaciones ) pudiera echarles mano por la simple y sencilla razón que la operación y el servicio es primero. Entonces la pregunta obligada es ¿qué pasa con todas nuestras aplicaciones que están en producción, tienen seguridad nativa o no? ¿Qué tan adecuada es? ¿Es suficiente? En mi experiencia les puedo comentar que las respuestas no serán nada positivas por la simple y sencilla razón de que la gente que desarrolla piensa en funcionalidad y no en seguridad. Es comprensible desde el punto de vista del desarrollador ya que por lo general no tienen un enfoque de seguridad y lo podemos comprobar muy sencillamente con una pregunta: ¿cuántos encargados de seguridad conocen que vengan de la parte de desarrollo? Otro problema es que, debido al enfoque y alcance que hoy día se le da a la seguridad, se hacen análisis de vulnerabilidades a la red, a los sistemas

operativos, por ahí a las bases de datos, a las aplicaciones Web (utilizando scanners) pero ¿qué pasaría si quisiéramos o nos pidieran saber que tan bien está la seguridad de mi aplicación de cajeros automáticos o cualquier otra aplicación? Dicho en otras palabras, “necesitamos que se haga un análisis de vulnerabilidades a mi aplicación de cajeros automáticos por la razón que ustedes gusten y manden ¿qué haríamos? ¿Dónde conseguiríamos un scanner? Imposible de encontrar. La respuesta menos adecuada: no se puede hacer. O simplemente y sencillamente “no sé cómo hacerlo”. Hoy día la sugerencia es que se evalúen los controles de la aplicación. El problema es que la mayoría de las veces no se tienen guías especificas de evaluación de controles para poder obtener las vulnerabilidades de la aplicación. Sin embargo, a continuación describiré de manera general qué se puede hacer en estos casos donde impera la necesidad de no modificar el código para implementar seguridad en aplicaciones en producción, aunque reitero que no es la mejor forma ya que estamos actuando correctivamente. Aún así, nos puede ayudar muchísimo para que esas aplicaciones trabajen con un nivel de riesgo aceptable. Ya hablamos anteriormente que lo mejor es hacerlo en el desarrollo y justo de este tema hablaremos en la segunda entrega de este articulo. Todas las aplicaciones transaccionales (exceptuando las Web que trabajan de distinta forma por su funcionamiento y manera que se desarrollan) siguen unas etapas que les podemos llamar áreas de control o seguridad que se muestran en la figura 1. Todo empieza con la necesidad de la seguridad en el origen de la transacción debido a que se tiene que asegurar que la información ingrese completa y exacta a la aplicación. La validez y exactitud de los datos en las aplicaciones están directamente relacionadas con la existencia y funcionamiento de los controles en el origen de los datos. Algunos de los objetivos que se deberán cumplir son la autorización del origen de una transacción, que no sea efectuada por usuarios no autorizados, y que la originación de una transacción no contenga errores. La segunda etapa es la de entrada de datos o transacciones y aquí es vital tener controles para asegurar que la información introducida a la aplicación esté completa y exacta. Algunos objetivos a cubrir en esta etapa son que el proceso de entrada de los datos o transacciones se desarrolle con exactitud para todos los datos fuente recibidos, y que el proceso de entrada permita una óptima validación de los mismos. Los controles en la comunicación de datos son necesarios para asegurar que estos no pierdan su integridad, confidencialidad y disponibilidad, si es que la aplicación requiere que haya comunicación de los datos desde el momento en que son introducidos hasta el momento que son recibidos. Los objetivos a cumplir en esta etapa serían el asegurar controles adecuados para que los datos se transmitan de acuerdo a lo especificado por la aplicación. La siguiente etapa es el proceso y se necesita tener controles adecuados para asegurar que la información sea procesada de forma exacta y completa y no se tengan incidentes de seguridad que violen la integridad, confidencialidad y disponibilidad de los datos esto hasta su salida. El proceso tiene muchas características ya que no es posible observar físicamente la secuencia de operaciones hechas por la computadora. Algunos de los objetivos a

TABLA 1 ORIGEN DE LA TRANSACCIÓN

ENTRADA DE DATOS (BATCH/ON LINE/TIEMPO REAL) TRANSMISION DE DATOS PROCESO EN LA COMPUTADORA

ALMACENAMIENTO Y RECUPERACIÓN DE DATOS

SALIDA DE DATOS

perseguir es tener controles que verifiquen que todas las transacciones sean introducidas para su proceso y aprovechar algunas de las bondades que ofrecen hoy día los sistemas operativos en cuestión de seguridad. La siguiente etapa tiene que ver con el almacenamiento de los datos (en la mayoría de los casos en una base de datos) y es necesario tener controles para asegurar que los datos se mantengan sin haber perdido su integridad, confidencialidad y disponibilidad durante los periodos en que no están siendo utilizados por la aplicación. Algunos objetivos serían asegurar la protección de los datos por una pérdida, robo, o cambios no autorizados en la base de datos, así como el tener procedimientos y herramientas para garantizar la recuperación de los datos. La última etapa es fundamental para poder cerrar el ciclo de la seguridad de las aplicaciones en producción y es de suma importancia el tener controles en la salida de los datos para que estos sean obtenidos y conocidos por usuarios autorizados. Imagínense que de alguna u otra manera tuviéramos una muy buena seguridad en las etapas anteriores, ¿de qué nos serviría si en la salida de los datos estos llegaran a usuarios o personas no autorizadas y pudieran conocer o modificar dichos datos? Así es de importante tener controles para la salida de datos. Algunos objetivos serían asegurar que los datos procesados incluyan datos autorizados, completos y exactos, asegurar que el resultado sea conocido, utilizado o entregado a usuarios autorizados. En realidad hablar de seguridad en las aplicaciones en general es complejo y mucho más si hablamos de aplicaciones en producción. El punto es dar a conocer que hay muchas cosas que se pueden hacer en relación a dichas aplicaciones y que no todo está perdido debido a su complejidad y entorno en el que se encuentran. Es importante dar a conocer que se tienen soluciones efectivas y probadas ya sea haciendo un análisis de vulnerabilidades, implementando seguridad a la aplicación o ambas. En la segunda entrega veremos todo lo relacionado a la seguridad en el desarrollo de las aplicaciones. ● Continuará...

Adrián Palma es licenciado en Informática. Cuenta con más de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org B:SECURE 17

CISOTOCISO

CONTROL DE ACCESOS

n artículos anteriores establecimos las bases de una Arquitectura de Procesos de Seguridad de Información o Framework de Seguridad de Información, que definimos consta de seis procesos básicos: Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios, Control de accesos y Monitoreo de Seguridad. El pasado artículo trató sobre el proceso de Continuidad de Negocios, ahora veremos el de Control de accesos.

CONTROL DE ACCESOS Uno de los principios básicos de Seguridad de Información es la reducción de riesgos. Cuando hablamos de reducción de riesgos dentro de la ecuación de riesgos existe una variable llamada “factor de exposición”, que aumentará o disminuirá su valor dependiendo qué tan accesible puede ser el activo de Información. Si bajo un escenario un activo de Información está implementando para acceso desde Internet sin ninguna protección el nivel de exposición es alto y por lo tanto aumenta directamente proporcional el nivel de riesgo. Por otro lado, un escenario donde este activo de Información está implementado en una zona desmilitarizada detrás de un Firewall, bajo el monitoreo de un IPS y personal experto, el nivel de exposición es bajo en comparación a la situación anterior y por lo tanto disminuye el nivel de riesgo. Por lo anterior expuesto la clave del proceso de control de accesos es restringir el acceso al activo de información solo a aquellas entidades que requieren el mismo donde hace sentido desde el punto de vista del negocio. Es un proceso que requiere mucho conocimiento en materia de Seguridad de Información dado que presiona a implementar lo mejor de muchos mundos: modelos, diseños, desarrollos, procesos, mecanismos tecnológicos, estándares, personal capacitado, etc.

DEFINICIÓN Control de acceso son mecanismos para limitar el acceso a la información y recursos de procesamiento de datos sólo a los usuarios o aplicaciones autorizadas, así como las tareas que se pueden realizar en los mismos. Pero, ¿cuál es el problema? Los problemas relacionados en la implementación son: -Gran cantidad de plataformas o sistemas Esto dificulta mucho el proceso de automatización debido a la gran diversidad en fabricantes, estándares, niveles de soporte del proveedor, etc., prácticamente es tranquilizar las aguas en una torre de Babel. -Usuarios con diferentes identidades por sistema En ocasiones hay decenas de aplicaciones que el usuario utiliza con diferentes identidades (usuario, password), lo que representa un reto para minimizarlo y porque no, buscar una sola identidad (Single Sign ON). -Múltiples administradores con diferentes criterios En las organizaciones no está estandarizado el uso de políticas y prácti18 B:SECURE Abril, 2009

Por Ricardo Morales

cas para el manejo del control de acceso en general, lo anterior requiere una visión global o corporativa en este tipo de proyectos. -Procesos poco definidos para autorización y otorgamiento de privilegios en el ciclo de vida del personal. Definitivamente, se tiene que establecer una ingeniería de roles donde se tenga una visión del personal que cubra aspectos desde antes de ingresar a la organización, durante su ciclo de vida, cambios en la organización por parte del personal así como su salida, al respecto, el promedio en América Latina donde el personal que sale de la organización sigue teniendo acceso a los sistemas de información de la empresa es de ocho meses trayendo una gama de impactos tremendos a la organización.

NECESIDADES DE CONTROL DE ACCESO LÓGICO Este proceso debe de responder a una necesidad del negocio, de tal forma que busquemos la justificación de estos proyectos de implementación y comprender que esto justamente es un reto por el nivel de esfuerzo requerido por gran parte de las organizaciones y una inversión importante en lo que respecta a la plataforma tecnológica necesaria. A continuación les paso algunos tips sobre los tópicos más importantes para justificar estos proyectos, estos tópicos los podemos dividir en tres grandes rubros: -Seguridad de Información UÊ « Þ Ê>Ê >ÃÊ« Ì V>ÃÊìÊV ÌÀ ÊìÊ>VViÃ Ê iViÃ `>`ÊìÊV ViÀÊÊÞÊ menor privilegio) UÊ VViÃ Ê>Ê ÃÊ>VÌ Û ÃÊìÊ v À >V ÊL>Ã>` Êi ÊÀ iÃ UÊ Ìi}À>V ÊìÊ ì Ì `>`Êì Ê«iÀÃ > Êi ÊÌ ` ÃÊ ÃÊÃ ÃÌi >ÃÊ` ìÊ se justifique) UÊ ,iÛ V>V ÊìÊ>VViÃ ÊÊìÊv À >ÊÀ?« `>ÊVÕ> ` Êi Ê«iÀÃ > ÊV> L >Ê de rol UÊ ,i} ÃÌÀ ÊÞÊ>Õ` Ì À >ÊÊìÊ>VViÃ ÃÊ UÊ "L }>ÀÊ >ÊÕÌ â>V ÊìÊV ÌÀ>Ãi >ÃÊvÕiÀÌiÃ UÊ « V>V ÊìÊV ÌÀ iÃÊìÊÃi}ÕÀ `>`Êi ÊÕ >ÊÃ >Ê« >Ì>v À >Ê -Administración UÊ - « v V>V Êì Ê«À ViÃ ÃÊìÊ> Ì>]ÊL> >ÊÞÊ ` v V>V ÊìÊ«À Û i} ÃÊ de acceso UÊ Ã ÕV Êi Êi ÊÌ i « ÊìÊVÀi>V ÊìÊVÕi Ì>ÃÊìÊ>VViÃ UÊ Ìi}À>V ÊìÊ ì Ì `>`Ê«>À>ÊÛ>À ÃÊ>VÌ Û ÃÊìÊ v À >V Ê UÊ i ÌÀ> â>V ÊìÊ«À Û i} ÃÊ«>À>ÊÛ>À ÃÊ>VÌ Û ÃÊìÊ v À >V UÊ ,i`ÕVV Êi Êi Ê Ö iÀ ÊìÊ > >`>ÃÊ>Ê >Ê iÃ>ÊìÊ>ÞÕ`>ÊÀi >V >das con contraseñas -Regulatorio/Legales UÊ Õ « i Ì ÊV ÊÀi}Õ >V iÃÊ}ÕLiÀ > i Ì> iÃÊÀi >V >`>ÃÊV Ê auditoria de acceso UÊ « Þ Ê > Ê VÕ « i Ì Ê ìÊ iÃÌ? `>ÀiÃÊ V Ê -"Ê ÓÇää£]Ê ->ÀL> iÃÊ Oxley, etc. UÊ Õ « i Ì ÊìÊV ÌÀ>Ì ÃÊV Ê i ÌiÃÉÊ*À Ûii` ÀiÃÊì Ê i} V

COMPONENTES DE UN PROCESO DE CONTROL DE ACCESOS Los principales elementos que componen un proceso completo de Control de acceso son: - Controles Físicos Debemos de tomar en cuenta que es muy importante los controles físicos. De qué sirve tanta tecnología de protección si se cuenta con site de tabla roca y con una puerta de madera que da al exterior del callejón de atrás de la empresa. Podemos nombrar como controles de acceso físicos a: Guardias Candados Credenciales Tarjetas de acceso Seguridad Perimetral (bardas, bollas, etc.) - Controles Lógicos Son los que normalmente los profesionales de Seguridad de Información nos avocamos a desarrollar más. Son complejos por naturaleza, requieren una muy buena selección de tecnologías, desarrollar procesos operativos, entrenamiento de personal, etc. Podemos nombrar como controles de acceso lógicos a: Controles que permiten separación de redes Firewalls Antivirus Smartcard /Biométricos Listas de acceso en los sistemas y aplicaciones Cifrado de Información Sistemas de detección/ prevención de Intrusos Uso de Contraseñas robustas - Controles Administrativos Estos controles son base para la organización del proceso de control de accesos, no recomiendo lanzar proyectos importantes hasta no tener establecidos este tipo de controles, podemos listas algunos controles administrativos: Políticas y procedimientos de Control de accesos y Administración de Identidades Concientización del Personal Supervisión de empleados durante todo su ciclo de vida Separación de funciones del personal Rotación de funciones del personal Vacaciones obligatorias (para evitar fraudes) Los siguientes elementos normalmente surgen de la combinación de Controles Físicos, Lógicos y Administrativos. -Administración de identidad Lo relacionado al manejo de identidades, elemento clave para el éxito de todo el Proceso -Administración de roles Debemos de trabajar la Administración de roles muy de cerca con el área de Recursos Humanos para establecer los roles adecuados -Administración de privilegios en redes, Sistemas operativos y Aplicaciones

Una vez que los usuarios tienen acceso a los Sistemas de Información, ¿que es lo que pueden hacer?, esto es fundamental -Procedimientos de acceso (workflow) Sin duda no podemos concebir que este Proceso de Control de accesos viva sin la ejecución de workflows que nos permitan solicitar accesos, aprobarlos y otorgarlos, todo lo anterior en sistemas computacionales, no es un trabajo de firma de papeles lo que representaría una gran barrera y pierde todo sentido el Proceso -Administración de contraseñas Parte vital que debe de estar alineada a las políticas de contraseñas, cambiarlas en el tiempo, que sean robustas, hacer el reset de las mismas, etc; No esta tarea fácil -Auditoria de acceso y autorizaciones Una vez que estamos bajo una fuerte automatización, será necesario que el proceso de auditoria sea fácil y expedito para nuestro gran amigo “el auditor”, en ocasiones ciertos usuarios y administradores hacen un “Bypass” de los sistemas de control de acceso y eso se debe de castigar -Cumplimiento con Regulaciones Al final una falla en los sistemas de control de accesos podría repercutir fuertemente en la organización cuando se violenta una ley, regulación o contrato puede traer grandes impactos negativos

PROCESO “CORE” DE CONTROL DE ACCESOS Identificación, Autentificación, Autorización y “Accountability” Definitivamente tenemos que considerar en todo proceso de control de accesos estos cuatro rubros, identificación y autentificación se refiere a establecer la identidad del usuario o sistema, esta puede ser de varios niveles, un nivel básico es lo que el usuario conoce (usuario, password), otro nivel es lo que el usuario posee (token, etc.) y otro nivel es lo que el usuario es en sí mismo (uso de biométricos). Cuando hablamos de autorización básicamente es la asignación de privilegios sobre la información (leer, borrar, modificar, agregar, etc.). En lo que respecta a “accountability” estaremos hablando de evitar repudiación , detección de violación de políticas, cadena de custodia (manejo de evidencia), etc. Definitivamente el proceso de control de accesos no escalará mucho en las organizaciones si no está automatizado de punta a punta, en ocasiones hay organizaciones que automatizan el proceso hasta la autorización de privilegios pero existe una interfaz manual para cada uno de los sistemas, es decir el administrador de las aplicaciones hace las modificaciones en forma directa. Conclusión Es fundamental para todo CISO considerar en el modelo de Seguridad de Información lo relacionado al control de acceso. No es un proceso sencillo por todo lo aquí expuesto, requiere un alto nivel de entendimiento por la organización y un alto nivel de automatización, además de que será necesario involucrar a los más altos niveles de la empresa para facilitar más el camino, el no hacerlo conlleva un alto riesgo al negocio. ● Ricardo Morales está a cargo del área de seguridad de información de Alestra y es presidente de ALAPSI Noreste. Alestra es el primer pestador de servicios en telecomunicaciones en México y otros países en obtener el certificado ISO27001. Su mail: rmoralesg@alestra.com.mx. Abril, 2009 B:SECURE 19

ÁREARESTRINGIDA

CIFRADO EN DISCO Por Roberto Gómez Cárdenas

l activo más importante de toda organización es la información. Hace unos diez años, residía en los discos de las computadoras de la organización. En su mayoría eran computadoras de escritorio y en otros casos en servidores o mainframes. No era tan simple extraer la información en un medio físico y llevarla consigo. El avance de la tecnología ha propiciado que una gran cantidad de información se almacene en dispositivos pequeños, fáciles de transportar y también de extraviar (PDAs, CDs, DVDs, USBs, etc.) También hay que tomar en cuenta que las laptops han reemplazado a las computadoras de escritorio y que información crítica de la organización viaja junto con el empleado. El robo de laptops y/o dispositivos de almacenamiento puede po-

20 B:SECURE Abril, 2009

ner dar a conocer información sensible. Por lo tanto es importante asegurar la integridad de la información ahí almacenada. La primera pregunta a responder es que es lo se desea proteger, ¿todo el disco duro o el dispositivo, o solo un archivo? Existen herramientas tanto para cifrar todo el disco como para cifrar archivos. La siguiente pregunta es, cómo se van a proteger. Existen dos opciones, la primera es ocultar el archivo de tal forma que nadie se percate de su existencia y la segunda es cifrar el archivo, lo que implica que la gente conocerá su existencia, pero no podrá ver su contenido. Al igual que la primera pregunta existen diferentes herramientas para cualquiera de los dos casos, y para una combinación de las dos.

El ocultar información puede involucrar un simple archivo o toda Crypt, Truecrypt, Crypto-FS, Enc-FS para Linux. Para MacOS enuna partición. Una forma muy simple de ocultar una partición es contramos PGP Disk, Truecrypt, MacFUSE (EncFS), FileVault. Una buena práctica para evitar que el cifrado del disco afecte el a través del MBR. A través de la utilería de arranque se accede a la tabla de particiones y se cambia el tipo de sistemas de archivos desempeño, es particionar el disco y solo cifrar algunas particiode la partición por uno que no entienda el sistema de archivos. Al nes. De esta forma hay una partición sin cifrar que se puede usar arrancar el sistema de operativo este no entenderá el sistema de como temporal para aquellas tareas que requieran de un constante archivos y no lo cargará. Aunque la técnica funciona, cualquier acceso a disco. Sin embargo hay que tener cuidado que la informapersona con un mínimo conocimiento de sistemas operativos po- ción que se escriba en esta parte no debe ser crítica. drá darle vuelta a esta técnica. Las herramientas esteganograficas son útiles para ENTRE LAS HERRAMIENTAS PARA ocultar archivos. Dependiendo de la herramienta es WINDOWS ESTÁN BESTCRYPT, posible ocultar archivos dentro de otros archivos. Un CROOSCRYPT, CRYPTO2000, PGP, archivo se puede ocultar dentro de una imagen, un arFREESECURITY, STEGANOS, NCRYPT. chivo de sonido, un video o dentro del mismo sistema PARA LINUX ESTÁN BESTCRYPT, de archivos. El archivo no estará a la vista de ninguCOMANDO CRYPT, GPG, FREESECURITY. na persona. Las herramientas varían de acuerdo al tipo de archivo utilizado para ocultar la información. Es importante diferenciar entre el cifrar una partición y crear Por ejemplo, Stools utiliza archivos BMP y WAP, Gifshuffle dentro de archivos GIF y Slacker dentro del sistema de archivos de Win- una partición cifrada. Varias aplicaciones ofrecen la opción de crear una partición cifrada y “ocultarla” a la vista del resto de los dows. La protección de archivos puede involucrar el cifrado de uno usuarios. Cuando se desea ver la información dentro de esta parsolo o de un conjunto de estos. Entre las herramientas para Win- tición la aplicación monta la partición y el usuario puede acceder dows podemos mencionar a BestCrypt, CroosCrypt, Crypto2000, a sus archivos. La aplicación no crea una partición, sino que crea PGP, FreeSecurity, Steganos, NCrypt. Para plataforma Linux en- un archivo o directorio, dentro del cual se almacena la información. contramos BestCrypt, comando crypt, GPG, FreeSecurity, Ncrypt, Este archivo se comprime, se cifra y se almacena en alguna parte Pad y para Mac OS LockSecret, SecretBox, PGP, FreeSecurity. Es del sistema operativo. Cuando se desea ver la información este arimportante considerar que algunas herramientas no borran el archivo se descifra, se descomprime y se monta como una partición. chivo original, una vez que este es cifrado. Por otro lado, también En el caso de Steganos este archivo tiene una extensión .SLE. es importante tomar en cuenta que si el archivo es borrado este se Recordemos que si el archivo reside en una partición formateada puede recuperar a través de una herramienta de recuperación de como FAT32, el archivo no podrá ser más grande de 4G lo que limiinformación borrada. En el caso de que el archivo se haga llegar ta la cantidad de archivos a proteger. El cifrado de información a almacenar en dispositivos móviles a otra persona por algún medio, es necesario saber si la otra persona requiere de la misma herramienta para descifrar el archivo. no es diferente de lo visto anteriormente. Si es tan solo un archiAlgunos productos, como PGP o Steganos, producen archivos au- vo lo que se quiere cuidar, basta con utilizar algunas de las herrato-descifrables, lo que facilita la tarea de descifrado al receptor. Sin mientas arriba descritas. Sin embargo existen herramientas que embargo estos archivos son ejecutables, lo que dificulta el enviar- permiten cifrar todo el dispositivo. En algunos casos el contenido los por correo electrónico ya que varias organizaciones filtran este del dispositivo solo se descifrara si está conectado a la computipo de archivos. Es posible cambiar la extensión o comprimirlos, tadora donde se copio la información. En otros casos este podrá verse, previa captura de contraseña, en cualquier máquina a la pero esto no siempre funciona. El cifrar el disco puede involucrar cifrar todo el disco o solo una que se conecte. Por otro lado, en el caso de PointSec, toda inforpartición. En el primer caso, es necesario tomar en cuenta que este mación transferida de la computadora al dispositivo se cifrará auafectara al desempeño de las aplicaciones que corren sobre este, tomáticamente, haciendo imposible verla fuera de esta. Claro que ya que es necesario que se descifren archivos (algunos de los cua- PointSec permite transferir información en un USB previa confiles son ejecutables) cada vez que se desee ejecute una aplicación. guración y protegida por una contraseña. Entre las herramientas Recordemos que el sistema operativo también reside en el disco, para cifrado de USB podemos mencionar USB Disk Guard Pro, Cryptoloop, TrueCrypt, FreeSecurity, Bcrypt, y Challenger. LA PRIMERA PREGUNTA A RESPONDER La protección de la información es importante, pero ES QUE ES LO SE DESEA PROTEGER, antes de adquirir un producto y empezar a cifrar todo ¿TODO EL DISCO DURO, UN es necesario establecer políticas. Entre los puntos a toDISPOSITIVO, O UN ARCHIVO? HAY mar en cuenta hay que considerar si el usuario olvida HERRAMIENTAS TANTO PARA CIFRAR su contraseña para descifrar la información y los pasos TODO EL DISCO COMO ARCHIVOS a seguir en caso de que la máquina sea sospechosa de algún incidente y es necesario someterla a un análisis por lo que al momento del arranque es necesario descifrar esta par- forense. Por último no todas las herramientas son infalibles, la gente para contar con un sistema operacional. Entre el software que se te de la universidad de Pricenton desarrollaron un ataque denomipuede utilizar para cifrado en disco podemos mencionar: PGP Disk, nado “Cold Boot Attack” que puede comprometer algunas de las Truecrypt, PointSec, EFS para Windows, así como Loop-AES, DM- herramientas arriba mencionadas. Abril, 2009 B:SECURE 21

´ OPINIÓN DOWNADUP/CONFICKER/KIDO

SÍNTOMAS, DETECCIÓN Y PREVENCIÓN Por Irving García Mendoza

l día 8 de agosto de 2006, Microsoft publica en su boletín de seguridad con clave MS06-0401, una vulnerabilidad que tiene como objetivo al servicio “Server” (no confundir con Windows Server) y su incapacidad de validar mensajes enviados a través de RPC, el atacante podía provocar un buffer overflow y ejecutar código arbitrario con privilegios de sistema. Posteriormente Microsoft publica un parche de seguridad para los sistemas afectados pero aún así se vieron repercusiones con los sistemas comprometidos. El más conocido fue el caso del Mocbot, una mezcla entre worm y bot que había sido visto originalmente atacando sistemas vulnerables a lo descrito en el boletín MS06-0391 publicado el 9 de agosto de 2005. Bajo este antecedente se esperaba que el servicio “Server” hubiese sido mejorado o cerrado finalmente a ataques similares, lamentablemente Microsoft publica en su boletín de seguridad MS08-671 del día 23 de octubre de 2008, los detalles de una vulnerabilidad de nivel Crítico en el servicio “Server” informando sobre la posibilidad de ejecutar código arbitrario de forma remota en el equipo vulnerable después de provocar un buffer overflow. La vulnerabilidad se origina a través del Puerto 135/TCP que es mejor conocido como RPC (Remote Procedure Call) una vez más apuntando al servicio “Server” propiciando, en caso de un ataque exitoso, la ejecución de código con privilegios de Sistema en el equipo vulnerado, además se mencionó que previamente el “atacante” debía estar autenticado en el equipo vulnerado para los casos en que el sistema operativo se tratase de Windows Vista, Windows Server 2008 y Windows 7 (actualmente en beta), esto por las funciones DEP (Data Execution Prevention) y ASLR (Address space layout randomization) incorporadas en dichos sistemas operativos, pero en el caso de que el sistema operativo fuese Windows XP o cualquier versión previa, el ataque podía llevarse a cabo sin la necesidad de un autenticación previa. Se incorpora una lista completa de los sistemas operativos afectados en el “Anexo A”. Síntomas de posible infección Es probable que en principio uno no distinga cuando un equipo ya ha sido infectado pero se ha observado que en muchos casos los principales síntomas son algunos de los siguientes: Alertas o avisos sobre cuentas de usuario bloqueadas por exceso de intentos de inicio de sesión incorrectos; esto debido a que algunas variantes intentan iniciar sesión como un usuario, ya sea en el equipo o en el Servidor de Dominio y debido a que utiliza técnicas de fuerza bru-

22 B:SECURE Abril, 2009

ta, es posible que una o más cuentas se bloqueen después de varios intentos infructuosos Servicios como Actualizaciones Automáticas, “Background Intelligent Transfer Service (BITS)”, Windows Defender o el Servicio de Reporte de Errores (en inglés Error Reporting Services) se muestran desabilitados Se detienen también los siguientes servicios, los nombres son los de sus ejecutables: wuauserv BITS wscsvc WinDefend ERSvc WerSvc Servidores de Dominio responden después de mucho tiempo de espera a las peticiones de servicios de dominio o autenticación La red se ve con una gran carga de trabajo en forma constante durante casi todo el día Se pierde la posibilidad de conectarse a varios sitios web en Internet relacionados con noticias o tecnologías de seguridad de la información, esto colgándose de APIs para consultas de nombre de dominio (DNS). Se incorpora una lista sobre las palabras clave que el worm intenta bloquear a nivel host en el “Anexo B” DNS_Query_A DNS_Query_UTF8 DNS_Query_W Query_Main sendto Se pierde la posibilidad de instalar aplicaciones o realizar tareas de mantenimiento que tengan que ver con el servicio de Microsoft Installer; esto aplica principalmente para archivos de extensión .msi, también es muy utilizado por las aplicaciones de protección, tales como antivirus y firewalls para realizar sus tareas de actualización de firmas Mensajes de error en intervalos de tiempo aleatorio relacionados a los archivos services.exe ó svchost.exe En caso de tener una solución de Firewall capaz de capturar tráfico de red en OSI Layer-2 y en caso de que dicha solución cuente con las firmas necesarias para la detección de dicho ataque, se pueden observar múltiples alertas sobre tráfico hacia segmentos de red inexistente

sobre los puertos 135/TCP o 445/TCP, esto debido a los métodos de propagación por broadcasting del worm en la red Aparece la siguiente clave en el registro de Windows: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters] “TcpNumConnections”=dword:00fffffe Métodos de Infección Para su propagación, este worm modifica la clave de registro previamente mencionada “TcpNumConnections” con la finalidad de dispersarse con mayor rapidez entre la red o redes a las que tiene acceso. Pero no solamente realiza esta modificación, para acelerar aún más su dispersión modifica el número máximo de conexiones posibles en memoria conocidas como “half-open”, esto a través del controlador de TCP de Windows aumentando el valor a 268435456 (0x10000000) el archivo relacionado es %system%\drivers\tcpip.sys. Métodos de protección Debemos reconocer que mantener los equipos actualizados con los parches del fabricante es el principal medio de prevención de ser víctimas de incidentes de seguridad o pérdida de información. Se recomienda la implementación de Microsoft Windows Server Update Services (WSUS) a fin de tener una plataforma de control de las actualizaciones para las distintas versiones de todos los productos Microsoft instaladas en la empresa o incluso en la mediana y pequeña empresa. Lo lamentable es que hoy día es más seguro un equipo de uso personal que uno de uso empresarial, ya sea laptop o de escritorio y esto debido a que nuestros equipos de uso personal vienen preconfigurados para una fácil utilización y con un cierto nivel de protección/seguridad predefinido por el fabricante o proveedor y esto se refiere en el caso del sistema operativo Windows, a su módulo de Firewall, al nuevo Windows Defender, al Security Center, al Malicious Software Removal Tool que se distribuye periódicamente a través de Windows Update, el cual también es habilitado por default cuando adquirimos un equipo nuevo con Windows pre-instalado. Y cuando desactivamos alguno de estos servicios, recibimos alertas visuales sobre el riesgo que corremos al hacerlo y recordatorios periódicos sobre la conveniencia de reactivarlos. Ahora bien, en un equipo de oficina que pertenece a un Grupo de Trabajo o Dominio a través de Directorio Activo siempre vamos a depender de las políticas que se distribuyan o no a través del Directorio Activo y esto es debido a la forma en que se trabaja en un entorno de red. Tomemos por ejemplo la necesidad de distribuir y compartir información con otros compañeros de oficina o personal de distintos departamentos dentro de la empresa que necesiten dichos datos para realizar sus actividades, para ello contamos con dispositivos USB, directorios compartidos en las estaciones de trabajo, algunos utilizarán almacenes de archivos alojados en servidores y accesibles desde cualquier punto de la red, o contarán con tecnologías NAS o SAN para la distribución y almacenamiento de cantidades más grandes de información, bases de datos, bitácoras, archivo muerto, etc. También es muy seguro que necesitemos compartir dispositivos, los más comunes, las impresoras ó en otros casos contemos con aplicaciones de colaboración y comunicación en tiempo real, tal como lo permite la suite de Lotus o las últimas tecno-

logías de Microsoft como Live Communicator Enterprise y esto nos lleva a que son tantas las aplicaciones, soluciones, tecnologías y recursos que necesitamos para nuestras actividades laborales, que los administradores de sistemas terminan por desactivar las funciones de protección predefinidas, ya que es más fácil configurar de un solo click a todos los equipos de la red para que permitan todo e ignoren cualquier cosa a pasar semanas y a veces meses, definiendo una buena estrategia de seguridad de la información. Definir una estrategia de Seguridad de la Información Es importante que en la empresa se realicen juntas de planeación para definir los distintos niveles de importancia o criticidad de la información, de los recursos tecnológicos o de los procesos y procedimientos para la obtención y análisis de los datos, también se deben definir los distintos niveles jerárquicos para el control y acceso a la información, los distintos perfiles de usuario en base a sus puestos de trabajo y actividades y definir los tipos de control de acceso que deberán utilizar para hacer uso de los recursos tecnológicos de la empresa. Como hemos visto, Downadup/Conficker tiene incorporadas funciones que le permiten aprovecharse de contraseñas bastante débiles, sencillas y comunes, de igual forma, con los detalles mencionados, nos podemos dar cuenta de que cuando se ha vulnerado un equipo en donde el usuario tiene privilegios de Administrador, su propagación se hace muchísimo más fácil y el problema es que actualmente, en muchas empresas que carecen de políticas de seguridad definidas, es una costumbre común proveer a todas las personas con cuentas de usuario y privilegios de Administrador en los equipos de cómputo de la Empresa. Registros DNS y el servicio OpenDNS Una de las principales características y habilidades para su distribución integradas en el código de Conficker, son aquellas relacionadas a la búsqueda de varios dominios en internet para verificar que su código se encuentre actualizado. Es el día 1º. de Abril y la hecatombe no se presentó, aún así se ha visto una gran actividad para la resolución de los aproximadamente 50,000 dominios que puede generar Conficker según el algoritmo en su programación, existe una lista que puede ser utilizada a modo de detectar y filtrar las peticiones en relación a ellas y de esta forma saber que equipos en nuestra red están infectados, el link actual para descargarla es el siguiente: http://www.f-secure.com/weblog/archives/00001593.html La lista de dominios alcanza un total de 7,000 registros y no se recomienda que sea utilizada como un anexo al archivo de hosts ya que reduce el desempeño del sistema al momento de realizar consultas hacia Internet. Otro medio de impedir su propagación es utilizando el servicio gratuito de OpenDNS (http://www.opendns.com), configurando una cuenta y siguiendo las instrucciones del sitio, podemos bloquear la propagación del virus en hosts infectados, puede integrarse a routers de uso doméstico pero para nivel empresarial siempre es mejor contar con algún sistema de filtrado de contenido y nuestros propios servidores DNS configurados para monitorear la posible propagación de este tipo de amenazas. ● Abril, 2009 B:SECURE 23

SINNÚMERO ¡ESO ES MUCHO CÓDIGO MALICIOSO! ¿Qué pasa en el mundo? ¿Cómo van los ataques de Internet? Es un hecho: sí hay un cambio. Para los atacantes de Internet, ahora el mundo es plano. Hoy en día el criminal puede estar en un país, el código malicioso en otro y el ataque en otro.

El país que más código malicioso generó fue

Estados Unidos con más de 115 millones, seguido de Asia con más de 39 millones y de Europa con más de 25 millones. En Centro América, en la que se incluye

México, el número apenas asciende a más de 56 mil; mucho menos a comparación con los tres primeros números. Entre los principales ataques está el MS-

SQL: Slammer-Sapphire Worm, con más de 28 millones de hits. Le sigue IP: Short Time To Live, con más de diez millones de hits. En tercer lugar en tipo de ataques está

Invalid TCP Traffic: 2:03 PM Possible nmap Scan (No Flags) con más de un millón de hits.

Fuente: Tipping Point

24 B:SECURE Abril, 2009