Diciembre 2009 · 59 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
TENDENCIAS 2010 ARRANCA LA DÉCADA DE LA CIBERSEGURIDAD
Más ataques a los sevicios web, nuevo malware para teléfonos inteligentes y la fiebre por Windows 7 serán los temas que acapararán los escenarios de la seguridad IT en 2010.
9 DIC O
EVENTOS
13 A VIGILAR LA RETAGUARDIA
Es complejo mantener la seguridad IT en las organizaciones cuando no se tiene el apoyo de usuarios y entes regulatorios. Los ataques también pueden venir por ese frente.
ACCESO
14 GOOGLE PRESUME LA SEGURIDAD DE CHROME OS
Google se prepara para competir contra Windows y Apple en el mercado de sistemas operativos. No por nada la empresa ya comparó los niveles de seguridad de su plataforma contra la de sus adversarios.
B:SECURE FOR BUSINESS PEOPLE
18 ESTRATEGIA DE SEGURIDAD, UN ENFOQUE PRÁCTICO Y PRAGMÁTICO PARTE TRES
No hay mejor forma para determinar una estrategia de seguridad IT que la basada en el Costo-Riesgo al ponderar controles y su contribución para mitigar los riesgos prioritarios de una organización.
OPINIÓN
20 UN EMPEÑO HUMANO, LECCIONES DE SHAKESPEARE Y OTROS
Se piensa erróneamente que la literatura, psicología y las ciencias sociales poco tienen que ver con la ciberseguridad. Pero quizá en el estudio de otros temas es radica el secreto para mejorar el desempeño de los profesionales de la seguridad IT
23 RE: CUENTO DE LOS HECHOS
Se terminó el año pero ¿cómo nos fue en materia de educación, concientización, amenazas y retos en ciberseguridad? Nadie mejor que Andrés Velazquez para resumir el año desde su punto de vista.
LA LEY Y EL DESORDEN
08 TENDENCIAS 2010
Redes sociales, teléfonos inteligentes, Windows 7 y computadoras Macintosh serán algunos de los blancos de ataques y las tendencias, que expertos vislumbran para el próximo año en materia de ciberseguridad.
03 EN LÍNEA
06 LOGIN
26 SINNÚMERO
24 CIBERGUERRA, CIBERARMAS, CIBERDELINCUENTES Y CIBERATAQUES A OTROS PAÍSES. ¿QUÉ SIGUE?
EL dinero y la fama han dejado de ser los únicos motivos detrás de los ataques cibernéticos y, en la segunda década del Siglo XXI, fenómenos como la ciberguerra dejarán de ser un mero concepto teórico o de película de ficción.
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL Elba de Morán DIRECTORA COMERCIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES
USUARIOS DE FACEBOOK DAN DEMASIADOS DATOS PERSONALES
NIÑOS CURSARÁN ASIGNATURA DE SEGURIDAD EN INTERNET
Un estudio reveló que casi la mitad de los usuarios en Facebook están dispuestos a agregar “amigos” a su red sin conocerlos y entregarles o publicar datos personales de familiares, amigos, medios de contacto y hasta domicilios y lugar de trabajo. El análisis realizado por la firma de seguridad Sophos detectó que 46% de los usuarios en la red social más grande del mundo, con más de 300 millones de perfiles registrados, están dispuestos a revelar datos personales a completos desconocidos. “Luego de las dos semanas de estudio cerca de 95 internautas con perfiles en Facebook eligieron ser amigos de Daisy y Dinette (usuarias falsas), peor del que establecimos en 2007, cuando 41% de los usuarios de la red revelaron datos personales a los desconocidos”, cita el reporte de Sophos. Así, alrededor de 89% de los que aceptaron a Daisy y, 57% de los que aceptaron en su red a Dinette entregaron la fecha completa del día y año de su nacimiento; 100 y 88%, respectivamente, revelaron su correo electrónico y; 74 y 22%, entregaron información como lugar y dirección de su colegio o trabajo.
A partir de 2011 los niños ingleses aprenderán cómo gestionar su información personal en Internet y a cuidarse de los engaños en la Web. El Consejo del Reino Unido para la seguridad en Internet integrado por unas 140 organizaciones emprendió una campaña dirigida a niños de nivel primaria. Las pláticas tendrán como objetivo enseñarle a los infantes cómo administrar sus datos personales en sitios Web de todo tipo, incluidas las redes sociales, así como detectar comportamientos inadecuados y bloquear mensajes no deseados. El Consejo está conformado por empresas como Google, Facebook y Microsoft que también aportan ideas para informar a los menores cómo enfrentarse a situaciones de todo tipo que pongan en riesgo su seguridad y bienestar en Internet. Hoy en día este tipo de iniciativas ya operan para los adolescentes que cursan la educación secundaria. La educación sobre seguridad en Internet es un complemento a la orientación que ya recibe este segmento de la población británica en temas como la drogadicción y, la sexualidad.
Estos y otros artículos en
Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez,
WEB MASTER Alejandra Palancares
[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
BLOGUEROS INVITADOS
Iaacov Contreras CIRCULACIÓN Y SISTEMAS
EDITOR ON LINE Efraín Ocampo
www.bsecure.com.mx FABUOLUS BLOG
Alejandro Cárdenas DIRECTOR DE ARTE
TEMA LIBRE Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info
VIDEO Fernando Garci-Crespo DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Diciembre, 2009 B:SECURE 3
KEYNOTE SPEAKERS Guillermo Aguirre
Guillermo Aguirre
El doctor Guillermo Aguirre cuenta con una amplia experiencia en el diseño y desarrollo de metodologías que permiten anticipar las tendencias de evolución tecnológica. Durante el sexenio 2000 – 2006 fue Director Adjunto del departamento de Desarrollo Tecnológico y Negocios de Innovación del CONACYT, y tuvo bajo su responsabilidad el diseño, implantación, coordinación y operación de programas que incentivaran la inversión del Sector Productivo en Investigación y Desarrollo Tecnológico. Además de la creación de empresas de alto valor agregado basadas en la explotación de descubrimientos científicos y desarrollos tecnológicos. Actualmente, el Dr. Aguirre es Director del Grupo de Innovación Aguirre, así como Director-Fundador de LatlPnet, la Red Latina de Innovación y Negocios, encargada de implementar el proceso de innovación para generar valor sostenible y rentable en negocios, procesos y productos.
El Sr. Cassio Dreyfuss es Vicepresidente de Gartner Investigación.
Cassio Dreyfuss
Su trabajo está centrado en las áreas de interfase de negocios y TI, así como en aspectos de organización, gestión y planificación de TI. El interés principal de su investigación está dirigido al sourcing estratégico, con énfasis en prácticas de estrategia, organización, gobierno y gestión. El Sr. Dreyfuss también sigue las tendencias y direcciones de TI en América Latina. Actualmente, es el director del programa de trabajo de Gestión y Gobierno de los Servicios de Sourcing y analista principal de los Servicios de Sourcing en América Latina.
La verdad desnuda de nuestro mediocre crecimiento,
Carlos Elizondo Mayer-Serra
Carlos Elizondo Mayer-Serra, Investigador del CIDE En el pasado hemos podido crecer. Fuimos tan exitosos en presentar una imagen de una sociedad que estaba convergiendo hacia los niveles de bienestar de los países desarrollados que en 1968 México fue sede de los juegos olímpicos, 40 años antes de los juegos olímpicos de Beijing en 2008. ¿Por qué el llamado milagro mexicano no se ha repetido? ¿Quién atora nuestro crecimiento? ¿Cómo hacerle para crecer?
Taller: La Agenda del CIO 2010
Bajo la experta conducción de Ricardo Rendón, ex CIO de Hylsa y actual consultor de los mayores directivos de Sistemas de México, las “mentes más brillantes en IT” elaborarán la agenda del CIO 2010.
Ricardo Rendón
S
El encuentro de las mentes mรกs brillantes en IT 4 - 7 de marzo 2010 Grand Velas All Suites & Spa Resort Riviera Maya www.ciosummit.com.mx INFORMES: Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opciรณn 4. / LLAMANDO AL s s &AX s EVENTOS NETMEDIA INFO Un evento de
Producido por
LOGIN LOGIN
URGEN A PROTEGER APLICACIONES WEB
Con el crecimiento acelerado de los servicios de Internet, fenómenos como el Cloud Computing o el software como servicio (Saas, por sus siglas en inglés) las empresas y responsables de la seguridad IT deben comenzar priorizar una protección hacia las aplicaciones web y, no exclusivamente para los servidores e infraestructura del negocio, aseguró Ariel Sucari, gerente de consultoría de Itera. Durante el congreso 5 Día de la Seguridad de la Información, organizado por la Secretaría de Hacienda y Crédito Público (SCHP), Sucari mencionó que las organizaciones necesitan cambiar su enfoque de protección y establecer parámetros para conocer dónde se encuentra la información más sensible y los mayores riesgos o vulnerabilidades para la compañía. “Las empresas tienen que establecer esquemas de protección con base en la ubicación de sus datos sensibles, con políticas de control y manejo de riesgos y, con un análisis profundo para determinar los puntos rojos en temas de vulnerabilidades”, informó el especialista de Itera. En ese sentido, Sucari comentó, que la protección a las aplicaciones web se coloca como uno de los vectores más urgentes y olvidados, en términos de vulnerabilidades y resguardo, por parte de las organizaciones. “Diversos análisis muestran que 54.9% de las aplicaciones web cuentan con vulnerabilidades o riesgos potenciales. Peligros, que en 74% de los ca-
sos no son solucionados luego de un año de estar expuestos dentro de la infraestructura de la organización”, dijo Sucari. El problema es que del total de los ataques a las organizaciones 75% van dirigidos a las aplicaciones web y el resto a la infraestructura de red y servidores de la empresa, apuntó Sucari. Sin embargo, irónicamente, dijo el experto de Itera, 90% del presupuesto de seguridad IT se invierte en reforzar la infraestructura en servidores y, únicamente 10% se gasta en mejorar la protección de las aplicaciones web. “Las empresas no están enfocado la seguridad hacia sus aplicaciones web, a pesar de que siete de cada diez ataques están dirigidos a sus servicios en Internet. El tema, no es dejar de proteger la infraestructura, pero es necesario comenzar a mirar nuevos vectores de riesgo”, mencionó. Pero la seguridad en las aplicaciones web debe comenzar desde su gestación, pues de acuerdo con Sucari 64% de los programadores en las compañías desconocen cómo escribir códigos y programas sin errores o vulnerabilidades. “La seguridad es problema de todos, desde los departamentos de seguridad IT, los programadores de las herramientas, hasta los usuarios que las utilizan. Definir de antemano procesos, responsables por área, tiempos de despliegue y de ejecución puede ahorrar muchos problemas y riesgos para el negocio”, apuntó.
ESTADOS UNIDOS PROPONE LEGISLACIÓN EN MATERIA DE CIBERSEGURIDAD El Comité de Ciencia y Tecnología de Estados Unidos divulgó una nueva propuesta de ley, que busca incrementar la inversión en investigación y desarrollo (R&D, en inglés) que, el vecino del norte, tiene en materia de tecnología y estándares de seguridad IT. La propuesta de ley entregada por el Comité, a finales de noviembre, lleva el nombre de Acta de Mejora en Ciberseguridad 2009, la cual combina estatutos, comentarios y resoluciones establecidas en dos borradores de ley entregados a principios de septiembre pasado ante el legislativo. “Esta nueva legislación está basada en el concepto de que, para mejo-
6 B:SECURE Diciembre, 2009
rar la seguridad en nuestras redes y sistemas, que son tanto públicas como privadas, el gobierno federal necesita hacer un mayor trabajo y coordinación con el sector privado”, informó Bart Gordon, presidente del Comité de Ciencia y Tecnología durante la presentación de la propuesta de ley. La legislación contiene las recomendaciones estipuladas en el Acta de Conciencia y Coordinación para la Ciberseguridad, desarrollada por el subcomité de Tecnología e Innovación del Instituto Nacional de Estándares en Tecnología (NIST, por sus siglas en inglés), una propuesta de ley que busca facilitar el desarrollo de estándares internacionales en seguridad. Y, además del acta del NIST, también se contemplaron las recomendaciones y estatutos establecidos en el Acta de Enmiendas para la investigación y el Desarrollo de Ciberseguridad 2009 presentada por el Subcomité de Ciencia y Desarrollo y, la cual obliga a las agencias federales a comprometerse con un plan a largo plazo, detallado, con objetivos claros y fondos suficientes en R&D de ciberseguridad. El mismo presidente Comité de Ciencia y Tecnología comentó que esta nueva acta incluye recomendaciones específicas en materia seguridad IT dirigidas a la actual administración de Barack Obama. Tales como: el desarrollo de capital humano especializado en seguridad, coordinación y prioridad en materia de R&D de ciberseguridad, mejorar la transferencia tecnológica entre la academia y el sector privado para que nuevas tecnologías alcancen el mercado mucho más rápido, promoción y educación del tema en la sociedad y el desarrollo de estándares internacionales en la materia.
MATTICA LANZA HERRAMIENTAS DE SEGURIDAD WEB 2.0 El laboratorio de cómputo forense Mattica, de América Latina anunció la salida de un conjunto de herramientas de seguridad, que funcionan como complementos del navegador web del usuario. La barra de herramientas de Mattica, es similar a lo que otras firmas de seguridad informática ofrecen en el mercado, pero incluye funciones adicionales de interactividad, recomendaciones y noticias. “Las herramientas que conjuntamos en la barra de Mattica, fueron seleccionadas basándonos en las activi-
dades que realizan los investigadores digitales durante su labor diaria, se trata de visualizar de una manera específica y en un sólo lugar los diferentes sitios más uti-
lizado, así como las recomendaciones para llevar paso a paso la búsqueda de resultados”, dijo Andrés Velázquez, director de investigaciones digitales de Mattica. El programa incluye 11 herramientas de Internet, que van desde un acceso directo al sitio oficial del laboratorio, acceso para busquedas en página o a través de un motor de websearching como Google, lector de encabezados de correos electrónicos, hasta un identificador de direcciones IP y un programa para detectar y explicar las extensiones de archivos. Además de las aplicaciones de seguridad o para realizar investigaciones de cómputo forense, los programas de Mattica incluyen un software para traducir páginas web al español, información sobre cursos y certificaciones en el área de seguridad, y avisos o comentarios de los administradores de la barra herramientas. El programa de Mattica es compatible con los exploradores web más conocidos del mercado como Internet Explorer de Microsoft, Safari de Apple y FireFox de Mozilla y puede ser descargada sin costo alguno desde www.mattica.com o http://mattica. ourtoolbar.com/.
LLAMAN A ADOPTAR SISTEMAS CONTINUIDAD DEL NEGOCIO POR INFLUENZA Expertos de salud han alertado al mundo sobre un posible rebrote del virus de la influenza AH1N1, el cual provocó que la Organización Mundial de la Salud (OMS) lo declarara pandemia en mayo pasado, provocando la suspensión de clases y de labores en muchos sectores, especialmente en la Ciudad de México. Para minimizar el impacto que medidas de este tipo pudieran tener en las organizaciones, existen
normas y certificaciones que las ayudan a estar preparadas ante una potencial interrupción del negocio ocasionada por el resurgimiento de la pandemia. En particular, la norma y certificación de Gestión de Continuidad del Negocio (BCM, por sus siglas en inglés) BS 25999-2 es la que establece los requerimientos para establecer mantener un sistema efectivo para incluso, contratar un equipo de trabajo temporal o establecer nuevos lugares de trabajo en muy poco tiempo. “Los riesgos son diferentes para cada organización, pero BS 25999-2 ayuda a determinar cuáles son y a realizar los preparativos necesarios”, comunicó el organismo de certificación BSI Management Systems. La norma fue desarrollada por la BSI en Reino Unido y fue publicada en 2007. La BSI colabora con el Departamento de Salud del Gobierno Británico para certificar al sector salud en BCM.
BREVES
Atacan sitio de la NASA. De acuerdo con la firma de seguridad Damballa, dos sitios, propiedad de la Agencia de Investigación Espacial de Estados Unidos, fueron blancos de un ataque de inyección SQL. Este tipo de ataques comúnmente buscan obtener información confidencial a través de comandos o peticiones adcionales a los servidores.
Symantec liberó tres plataformas para la protección, control y administración de dispositivos móviles como PDA, teléfonos inteligentes o los Mobile Internet Devices (MID). Esto, ante el notable incremento de vulnerabilidades y malware dirigidos a este tipo de aparatos. El gobierno estadunidense también aprobó una propuesta de ley sobre la Notificación en caso de fugas o brechas de información. El acta obliga a todas las organizaciones comerciales o gubernamentales a notificar clara y transparentemente a los usuarios y a la autoridad en caso de sufrir una fuga o robo de sus datos.
Diciembre, 2009 B:SECURE 7
TENDENC ARRANCA LA DÉCADA DE LA CIBERSEGURIDAD
8 B:SECURE
Diciembre, 2009
CIAS 2010 Más ataques a aplicaciones y plataformas web, vulnerabilidades para nuevos sistemas operativos como Windows 7, pero también para, el hasta ahora inmune, MacOS, nuevo malware para teléfonos inteligentes y dispositivos móviles y, ataques cibernéticos especializados y con un alto nivel de ingeniería social serán algunas de las principales tendencias que veremos en seguridad IT durante 2010. Por Carlos Fernández de Lara carlos@netmedia.info
Diciembre, 2009 B:SECURE 9
C
erca de 25,000 muestras de nuevo malware todos los días y con crecimientos anuales de 500%. Más de cinco millones de códigos maliciosos a la fecha rondando la web, con ciclos de vida no mayores a las seis horas. Alrededor de 220 millones de registros y fugas de datos empresariales en los últimos doce meses y más de 8,000 millones de dólares defraudados de los bolsillos de internautas en todo el mundo, a través de delitos informáticos. Sin duda, estas cifras son reflejo de que la seguridad IT y los delitos informáticos fueron un tema del qué hablar durante 2009. Pero ante la enorme dependencia que las sociedades, los gobiernos y los negocios de todo el mundo han desarrollado por las máquinas y la información digital, conformada por los unos y ceros de un código binario, 2010 podría marcar el inicio de lo que será bautizado como la década de la ciberseguridad, de acuerdo con expertos en la materia consultados en exclusiva por b:Secure. “En 2009 se transformó el paradigma de la seguridad IT, porque hasta hace unos años se hablada de hackers para referirse a las personas que violan los sistemas y hoy, hablamos de cibercriminales o crimen organizado en Internet”, explicó Rafael García, gerente regional de Producto para Symantec América Latina. Una actividad ilegal, agrega Garcia de Symantec, que generó en 2008 más 266 millones de dólares en ganancias, por la venta clandestina de datos confidenciales, pero que tiene un valor potencial que rebasa los seis mil millones de dólares y, que se estima ya sobrepasa en rentabilidad al tráfico clandestino de estupefacientes. La razón, refiere Ramón Salas, gerente territorial para México y Centroamérica de Websense, se debe a la facilidad, anonimato y apertura que les ofrece la Web a los criminales para el robo o sustracción de la información. “Es bien sabido que los criminales buscan los datos que tienen un valor en el mercado, el problema es que muchas empresas únicamente protegen elementos de infraestructura como las bases de datos, computadoras, memorias flash y CD, cuando la realidad es que, estos vectores, únicamente representa 5% de la fuga de información, mientras que las aplicaciones web y el correo electrónico son responsables del 75% de la pérdida de los datos en las empresas”; dice Salas de Websense. En otras palabras, hoy los criminales pueden obtener cientos de millones de registros personales desde cualquier parte del mundo y a un clic de distancia y, el crecimiento de fenómenos como las redes sociales y los dispositivos móviles como los teléfonos inteligentes, sólo terminarán por acrecentar el “dinamismo” de la información. Así, los riesgos a los que empresas y usuarios se enfrentarán durante los próximos años por proteger esos uno y ceros digitales se-
10 B:SECURE
Diciembre, 2009
rán cada vez más complejos y el impacto de su pérdida será mucho mayor. En b:Secure planteamos las siete tendencias en seguridad IT más fuertes para 2010.
1
EN LA MIRA POR SOCIALES Y AMISTOSOS
Con más de 55 millones de visitas todos los meses en Twitter y alrededor de 300 millones de usuarios con perfiles en Facebook es entendible porque los cibercriminales han encontrado en las redes sociales uno de sus principales vectores de ataque durante 2009 y, el cual seguirá a lo largo del próximo año.
“Se estima que este año las redes sociales presentará un crecimiento sin precedentes en popularidad. Esa cantidad de usuarios, que atraen a diario, sin duda hará que el número de ataques hacia este tipo de plataformas sea más común y marcado que en 2009”, explica García de Symantec. Salas de Websense, por su parte agrega, que los hackers han encontrado en los sitios legales y con un alto nivel de tráfico el pretexto ideal para infectar máquinas, propagar malware o acrecentar su redes bot. Situación que se complica en los ambientes empresariales, a medida que los empleados comienzan a utilizar estas plataformas como medios de comunicación e interacción entre socios, proveedores o los mismos trabajadores. “En los laboratorios de Websense hemos detectado que 85% de los ataques van dirigidos a sitios en Internet legítimos tales como Facebook, Google o Twitter. El problema es que el uso de estas plataformas contrario a disminuir en los próximos años crecerá, pues se estima que 90% de las empresas estarán involucradas en la adopción o implementación de herramientas de la llamada web 2.0”, dice Salas de Websense. García de Symantec comenta que durante el próximo año los tres principales modos de ataque en redes sociales serán las aplicaciones desarrolladas por terceros que corren en dichas plataformas, el vulnerar equipos a través de vínculos maliciosos o el uso de perfiles falsos para engañar a los internautas.
2
MENSAJES ELECTRÓNICOS MORTALES
Con más de dos décadas de uso masivo el correo electrónico seguirá siendo uno de los principales dolores de cabeza para los responsables de la seguridad dentro de las organizaciones. Así, el envío de los famosos correos basura (spam) serán la vía perfecta para difundir códigos maliciosos, vínculos vulnerados o fraudes de phishing.
Datos de firmas como McAfee, Symantec o Cisco estiman que durante 2008 el promedio global del spam rebasó los 85 puntos porcentuales, del total de correos electrónicos enviados. Para 2010,
estiman que la cifra se eleve entre 30 y 40%, hasta alcanzar los casi 350 mil millones de correos basura enviados alrededor del orbe en tan sólo un mes. “El spam no es un problema de desempeño o saturación en el ancho de banda de la compañía o capacidad de almacenamiento en su servidores, sino que representa un foco rojo para el robo de datos e identidades. En México, en promedio, entre 70 u 80% de todos los correos electrónicos recibidos por una organización son basura”, comparte Antonio Inclán, especialista de Spamina en México. El experto de la firma, dedicada al desarrollo de soluciones para el filtrado de los correos basura, agrega que las compañías no deberán descuidar durante 2010 la seguridad en sus sistemas de correos electrónicos, a pesar del crecimiento de otros vectores de ataque. “Estamos seguros que el correo electrónico se mantiene como un componente clave en el desarrollo y operación de cualquier compañía. Es necesario contar con una premisa de protección para estos sistemas, porque deshabilitar este servicio, tan sólo durante media hora a consecuencia de un mal filtrado de spam, puede impactar de manera muy fuerte al negocio”, afirma Inclán de Spamina.
3
MALWARE CON MUCHO MOVIMIENTO
Con más de 160 millones de teléfonos inteligentes vendidos en todo el mundo a lo largo de 2009, de acuerdo con cifras de la firma de consultoría Gartner, estos dispositivos móviles se colocarán como el nuevo parque de recreo, exploraciones o diversiones para los cibercriminales.
A finales de 2009 firmas como Websense y Cisco detectaron más de cuatro vulnerabilidades o códigos maliciosos para el teléfono de Apple, el iPhone. En ese mismo periodo Symantec también anunció la existencia de un programa espía para los dispositivos BlackBerry, de la firma canadiense Research In Motion (RIM). Si bien la gran mayoría de estos códigos maliciosos eran meras pruebas concepto, pues su alcance era limitado y su impacto era menor, García de Symantec y Salas de Websense, estiman que durante 2010 los virus para teléfonos inteligentes podrían convertirse en foco rojo para la fuga o robo de información empresarial y personal. Reflejo de ello es el interés del mercado por desarrollar soluciones de seguridad para estas plataformas, pues se espera que la venta la venta de software de seguridad para móviles podría alcanzar los 1,6 mil millones de dólares en 2013, en comparación con los 113 millones de dólares ganados en 2008. El reto para las áreas de seguridad IT será el control y administración de los datos en los dispositivos independientemente de la plataforma o sistema operativo en el que corran, explica Vicente Amozurrutia, director de Check Point para el norte de América Latina.
“Se trata de una espiral que nunca se va a detener, los atacantes siempre van a poner los ojos en las aplicaciones o dispositivos donde existan datos que les permitan conseguir algo y, el fenómeno de la movilidad no es más que otra alarma de seguridad que hay que comenzar a ver y tomar en cuenta”, dijo Amozurrutia de Check Point.
4
¿NUEVA CAMPAÑA DE MERCADOTECNIA PARA APPLE?
Entre 2008 y 2009 Apple logró colocar más de 20 millones de computadoras Macintosh, portátiles y de escritorio en todo el mundo. Según Gartner, las máquinas con el símbolo de la manzana se colocaron como la cuarta marca con más ventas registradas en Estados Unidos, durante el tercer trimestre de 2009, con una participación de mercado cercana los nueve puntos porcentuales.
Los números sin duda son reflejo de cómo los sistemas operativos MacOS han dejado su nicho de mercado, dedicado exclusivamente a las artes gráficas o el diseño, y se han convertido en piezas de hardware atractivas para los usuarios, empresas, pero también para los cibercriminales. Para 2010 Symantec y Websense estiman que el número de códigos maliciosos, para el promocionado sistema operativo “inmune” a virus y gusanos, aumentarán de manera notable, a medida que la base de usuarios crece y robar datos de una computadora Mac se vuelve mucho más atractivo para los cibercriminales. “Existe un riesgo adicional para los usuarios de Mac, ya que muchos asumen que son inmunes a las amenazas a la seguridad y por tanto emplean menos medidas de seguridad y parches, así que los atacantes tienen un incentivo adicional para ir tras la plataforma OS X”, cita el reporte de Tendencias y predicciones 2010 de Websense. Diversas firmas de seguridad ya se han adelantado a la necesidad del mercado y desde finales de 2009 anunciaron la salida de programas de seguridad, para usuario final y empresas, para los equipos de Apple, una tendencia que, seguramente, se replicará durante 2010 a medida que el número de malware y vulnerabilidades para el sistema MacOSX crece.
5
MIEDO Y ERROR HUMANO, EL MEJOR MALWARE DEL MUNDO
Con los avances en los sistemas de análisis y detección de riesgos, los criminales han descubierto que la barrera más fácil de vulnerar es el error y miedo humano. Según García de Symantec, en 2010 veremos ataques combinados con alto componente de ingeniería social.
“En 2009 una de las formas de infección más prominentes fue a través de los denominados rogueware o scareware, programas apócrifos que, supuestamente detectan un gusano o malware en com-
Diciembre, 2009 B:SECURE 11
putadora del usuario y lo intimidan a comprar un licencia, que no sólo es falsa sino que contiene códigos maliciosos”, dice el experto de Symantec. Durante 2009 la firma detectó alrededor de 250 muestras de rogueware y más de 43 millones de descargas, cifra que seguramente se elevará durante 2010 con la sofisticación de los ataques en la red o el uso de correos fraudulentos, relacionados a eventos políticos, sociales y culturales de alto impacto.
6
LA GUERRA DE LAS BOTNETS
Casi 65,000 máquinas zombis son agregadas a las redes bot todos los días y, si bien se estima que durante los próximos 12 meses la intensidad en la infección y crecimiento de algunas de las botnets más importantes se mantenga, su modo de sobrevivencia y ataque se modernizará para ser menos detectables.
“La red bot Storm desde 2009 comenzó a enviar correos electrónicos y malware a través de host comprometidos y cambiantes, utilizando una combinación entre redes Peer to Peer, comandos de distribución controlados y un direccionamiento en las direcciones proxy. Esta estructura hace mucho más complejo o imposible el rastreo o ubicación original de la botnet”, cita el análisis de Tendencias de Symantec. Modernizadas, pero también en lucha contra ellas mismas, pues de acuerdo con un estudio de Websense además de los envíos masivos de spam con fraudes de phishing y programas maliciosos. En 2010 se prevé el inicio de una guerra entre botnets por ganar territorio o máquinas comprometidas. “Esperamos un comportamiento más agresivo entre diferentes grupos de botnets, incluyendo bots con la capacidad de detectar y desinstalar a otros de sus competidores. En los laboratorios de Websense ya se han detectado guerras por ganar territorio, cuando la botnet Bredolab inhabilitó a Zeus/Zbot en las computadoras infectadas”, explica el reporte de Websense.
7
MAL DE AMORES POR WINDOWS 7
Para diciembre de 2009, a poco más de dos meses del lanzamiento mundial de Windows 7, Microsoft ya había liberado más de cinco parches de seguridad para el sistema operativo. Los especialistas de Symantec y Websense afirman que los ataques a la nueva plataforma, de la compañía más grande de software en el orbe, apenas han comenzado.
“Sin duda veremos más ataques dirigidos a varias plataformas de Microsoft, entre ellas Windows 7. Los criminales buscarán en cada rincón y código la manera de vulnerar el sistema y comprometer la máquina”, menciona García de Symantec. Los expertos de Websense aseguran que los ataques y códigos maliciosos buscarán eliminar las ventanas emergentes de advertencia a
12 B:SECURE
Diciembre, 2009
los usuarios, así como la búsqueda de nuevas vulnerabilidades para la aplicación Internet Explorer 8, para obtener control remoto de la computadora infectada.
8
LA NUBE DE ESPERANZA Y EDUCACIÓN
Los ataques se modernizan y los criminales son más especializados, pero la tecnología en defensa contra las vulnerabilidades y riesgos también avanza y durante 2010, por primera vez, se podría romper con el mito de que para incrementar los niveles de seguridad se necesita doblar el presupuesto.
Así, con el desarrollo de plataformas de cómputo en la nube o el software como servicio (Saas, por sus siglas en inglés), las empresas tienen la posibilidad de eliminar parte de los costos totales de operación, adquisición y mantenimiento de las tecnologías de seguridad. “El cómputo en la nube permite que empresas, prácticamente de cualquier tamaño posean soluciones avanzadas de seguridad bajo un esquema de renta mensual o anual. Con el Cloud Computing ya no será necesario invertir más para estar más seguros”, menciona Salas de Websense. En ese mismo sentido, Inclán de Spamina afirma que, en medio de un ambiente macroeconómico golpeado, es muy riesgoso descuidar la inversión en los sistemas de seguridad, por lo que la entrega de soluciones avanzadas bajo un esquema de servicios ofrece la posibilidad de mantener protegida la información de la compañía sin derrochar el presupuesto. Pero el cómputo en la nube no será de ninguna manera la panacea para la seguridad, pues como explica Amozurrutia de Check Point es necesario delimitar responsabilidades y políticas de operación y resguardo en el manejo de los datos, tanto para la compañía que renta el servicio como para la que lo provee. “Las soluciones de seguridad en la nube tienen que madurar, las propuestas que existen actualmente van enfocadas a proteger el perímetro de la empresa, todavía no son tan granulares como para llegar hasta el escritorio, el próximo año esto puedo ser un gran cambio”, agrega Amozurrutia. Pero 2010 tiene un tendencia, que se debe convertir en constante para toda organización; la educación en temas de seguridad. Sea a través de regulaciones gubernamentales, comerciales o mejores prácticas, las compañías deben comenzar a desarrollar planes de educación y concientización para los usuarios en el manejo, uso y control de las aplicaciones y los datos empresariales. “Ha llegado la hora de que las áreas de seguridad IT entiendan que el mundo y los riesgos actuales son totalmente diferentes. Lo que debemos hacer es estudiar el tema, entenderlo y ver qué medidas tomar para resolver los problemas siempre pensando en tres pasos básicos, tecnología, procesos y gente”, subraya García de Symantec. ●
EVENTOS A VIGILAR LA RETAGUARDIA ES COMPLEJO MANTENER LA SEGURIDAD IT EN LAS ORGANIZACIONES CUANDO NO SE TIENE EL APOYO DE USUARIOS Y ENTES REGULATORIOS. LOS ATAQUES TAMBIÉN PUEDEN VENIR POR ESE FRENTE. Por Fabiola V. Gonzålez
A
tacados por dos frentes: asĂ se encuentra hoy por hoy el usuario IT. Por un lado, los crecientes volĂşmenes de informaciĂłn y las nuevas tendencias tecnolĂłgicas –como el cloud computing, que colocarĂĄ todas las aplicaciones en la nube, y los smartphones y netbooks, como portadores de los datos del negocio– incrementan la complejidad de los encargados de resguardar la seguridad IT en las empresas. Y por el otro, el avance del cibercrimen de la mano con el rezago regulatorio empeoran la situaciĂłn. En el marco del Symantec Leadership Forum 2009, celebrado en la ciudad de MĂŠxico, el vicepresidente senior de Symantec para las AmĂŠricas, Rich Spring, hablĂł de la importancia de ser proactivos en la seguridad informĂĄtica en el entorno actual: “Es necesario buscar formas de lidiar con una informaciĂłn que se multiplica cada dos aĂąosâ€?, seĂąalĂł, ahondando tambiĂŠn en el peligro que representan las nuevas prĂĄcticas, ya comunes, de los empleados en la oficina, pues entran con sus dispositivos personales y podrĂan salir llevĂĄndose consigo informaciĂłn crĂtica del negocio. El cibercrimen estĂĄ en todas partes. A lo anterior hay que aĂąadir la preocupante falta de una conciencia en torno al cibercrimen y su apabullante crecimiento y diversificaciĂłn. Como bien explica Juan Carlos Guel, director general de delitos cibernĂŠticos de la PFP, el delito del cibercrimen no sĂłlo se da en Internet, sino que incluye a cualquier dispositivo electrĂłnico susceptible de almacenar datos, y agrega: “El crimen cibernĂŠtico estĂĄ tomando un papel muy importante; lo vemos en USB, celulares, etc.â€?. Lo peor es que, de acuerdo con AgustĂn RĂos, vicepresidente del ComitĂŠ JurĂdico de la AsociaciĂłn Mexicana de Internet (Amipci), el tĂŠrmino no tiene una definiciĂłn en el CĂłdigo Penal Federal. “La Ăşnica legislaciĂłn penal que define al delito informĂĄtico es la del estado de Si-
NĂšMEROS INTERESANTES 8,000%
s %N LOS ĂžLTIMOS SEIS AĂ—OS EL MALWARE HA CRECIDO ALREDEDOR DE s s
MĂŠxico es No. 1
EN EL RANKING DE CĂ˜DIGO MALICIOSO GENERADO Y EL .O EN EL DE LOS PAĂ“SES CON MAYOR NĂžMERO DE USUARIOS AFECTADOS
90% DEL CĂ˜DIGO MALICIOSO FUE DISEĂ—ADO PARA ROBAR INFORMACIĂ˜N PERSONAL Y DE LAS EMPRESAS
s
60% DE LAS PERSONAS QUE DEJAN UNA EMPRESA SEA POR DESPIDO O PORQUE HALLARON OTRA OPORTUNIDAD LABORAL SE LLEVAN CONSIGO ALGO DE INFORMACIĂ˜N DE LA COMPAĂ—Ă“A COMO ESTRATEGIAS DE MARKETING CARTERAS DE CLIENTES ETC
naloa; de ahĂ la complejidad del temaâ€?, apunta. “La realidad nos estĂĄ rebasando.â€? AdemĂĄs, para las organizaciones estĂĄ resultando complicado administrar toda esta informaciĂłn que no se queda dentro de la empresa, hecho que aprovechan los cibercriminales. Al respecto, Rafael GarcĂa, experto en seguridad y gerente regional de producto de Symantec, seĂąala: “Las organizaciones vienen de un esquema centralizado, pero ya no es posible tener una barrera en el data center para proteger la informaciĂłn principal del negocio, debido a que la conexiĂłn a Internet en un cibercafĂŠ y en los smartphones es cada vez mĂĄs comĂşn. Al final, la
ÂżY QUÉ ESTĂ HACIENDO SYMANTEC? ,AS PRIORIDADES DE LA COMPAĂ—Ă“A ENFOCADA EN ASEGURAR Y ADMINISTRAR LA INFORMACIĂ˜N SON s s
Extender LA SEGURIDAD MĂˆS ALLĂˆ DE LA CORPORACIĂ˜N Invertir EN ADQUISICIONES PARA CONTAR CON SOLUCIONES QUE TRAIGAN MAYOR VALOR A LOS CLIENTES
s
Liberar
MĂˆS SOLUCIONES BASADAS EN CLOUD COMPUTING Y EN SOFTWARE AS A SERVICE ASĂ“ COMO EN END POINT SECURITY ON THE CLOUD QUE SALDRĂˆ AL MERCADO PRĂ˜XIMAMENTE
complejidad en la gestiĂłn de la informaciĂłn es cada vez mĂĄs alta, y este hecho estĂĄ alimentando las redes de la economĂa clandestinaâ€?. Por otro lado, los cibercriminales estĂĄn perfectamente organizados. “Hay bandas de crimen cibernĂŠtico organizado en MĂŠxico que estĂĄn atacando con las mismas herramientas y mĂŠtodos que se observan en Europa, porque en Internet se encuentra fĂĄcilmente informaciĂłn de cĂłmo hackear y hasta blogs de narcotrĂĄficoâ€?, explica Guel (de la PFP). En cuanto a sus intereses, GarcĂa (Symantec) seĂąala que lo mĂĄs comercializado en el mercado negro del cibercrimen son las tarjetas de crĂŠdito, seguidas por nĂşmeros de cuentas bancarias a las que acceden desde Internet. En este sentido, Mauricio Braverman, director de producto de Visa MĂŠxico, participante tambiĂŠn del Symantec Leadership Forum 2009, aprovechĂł el micrĂłfono para instar a los implicados en una transacciĂłn electrĂłnica a asegurarse de que el movimiento es seguro: “Los usuarios pueden prepararse con polĂticas y una infraestructura de seguridad adecuadas; el comercio, con software y estĂĄndares para el manejo correcto de los datos y herramientas de autenticaciĂłn; los bancos, con reglas para determinar cuando una transacciĂłn es mĂĄs cercana a ser fraudulenta, y el gobierno, con una legislaciĂłn adecuadaâ€?. â—? Diciembre, 2009 B:SECURE
13
ACCESO
CHROME OS PRESUME SU SEGURIDAD Por Staff Netmedia Online
LA GUERRA DE LOS SISTEMAS OPERATIVOS ESTÁ POR ARRANCAR Y COMO APPLE LO HACE CON MAC OS, GOOGLE BUSCA PROMOVER CHROME OS UTILIZANDO COMO ARMA PRINCIPAL EL PUNTO MÁS CRITICADO DE WINDOWS, SU SEGURIDAD.
C
on la web y todos sus servicios como el principal canal del ataque en el siglo XXI no es de extrañar que Google presumiera los niveles de seguridad de Chrome OS, un sistema operativo ligero diseñado para computadoras portátiles y las llamadas netbooks, que corre completamente desde la nube de Internet y que se estima será lanzado en la segunda mitad de 2010. De acuerdo a una serie de datos liberados por Google, la seguridad en Chrome OS será muy similar a la que ya cuenta el navegador web del mismo nombre y liberado en 2008. Chrome OS mezcla diversos niveles de protección, que están dirigidos a mitigar el nivel de vulnerabilidades o ataques. Uno de ellos, la tecnología de Sanboxing o caja de arena, la cual permite que todas las aplicaciones y servicios corran en particiones separadas, lo cual limita la interacción entre las aplicaciones. Así, de manera similar al explorador web, que evita que todo el programa se cierre en caso de que una ventana o pestaña falle o se impacte, el sistema operativo de Google también dividirá la operación de las aplicaciones, limitando la cantidad de código que puede ser atacado o la propagación del malware dentro del sistema. Expertos de Google han informado en diversos medios especializados de seguridad, que esta arquitectura contrasta a la de los sistemas operativos actuales. Donde si una aplicación es infectada o alterada todo el sistema se ve afectado. El nuevo Chrome OS de Google cuenta con proceso de arranque con 14
B:SECURE Diciembre, 2009
criptografía que asegura que el kernel, basado en Linux, la memoria del sistema y sus particiones no están manipuladas por ningún código malicioso, de acuerdo con Will Drewry, ingeniero de seguridad del puntocom californiano. Drewry explica que en caso de que una aplicación maliciosa logre salir de la “Caja de Arena” para llegar al Kernel y alterar o manipular el sistema, Chrome OS detectará automáticamente el cambio, notificara al usuario y tratará de limpiarse o restablecer la configuración la próxima vez que arranque la máquina. Y dado que la información del sistema está separada de los datos personales del usuario, en caso de que necesite limpiar todo el operativo a consecuencia de un malware, la información sensible no se perdería. Los datos divulgados por Google mencionan que Chrome OS también será distinto a su principal competidor, Windows de Microsoft, pues el sistema ejecutará las actualizaciones de manera automática y en segundo plano, sin tener que exponer a los usuarios a las vulnerabilidades mientras se deciden a actualizar el sistema. Google reconoce que Chrome OS no será perfecto e inviolable, pero agrega que su sistema operativo constantemente agregará nuevas capas de seguridad. Y debido a que la empresa será la responsable de administrar cada aspecto del programa desde la nube de Internet, el existencia o instalación de programas de protección como los Antivirus o los constantes mensajes emergentes de seguridad, podrían desaparecer por completo. ●
ACCESO LA PIRATERÍA, ARMA EN EL ROBO DE INFORMACIÓN
Por Carlos Fernández de Lara
L
os más de 836 millones de dólares que pierde la industria del software al año en México a consecuencia de la piratería son tan sólo una parte del problema, pues de acuerdo con Microsoft 32% de los programas apócrifos contienen códigos maliciosos o malware dedicado al robo de información o datos personales, explicó David Finn, director global de Antipiratería de Microsoft. Durante “El día de protección al consumidor”, Finn anunció la integración de México al listado de 70 países, que forman parte de la iniciativa, en el combate, apoyo y educación, para hacerle frente al fenómeno de la venta y distribución del software ilegal, alrededor del orbe. “Se tiene la creencia errónea de que el fenómeno de la piratería está relacionado a un tema de precios, cuando se ha demostrado en diversos análisis que la principal causante es la falta de educación sobre los riesgos que enfrentan al adquirir software ilegal tanto empresas como usuarios”, dijo Finn. Así, el hombre encargado de las estrategias de Microsoft, en cada rincón del planeta, dedicadas a combatir la piratería, un fenómeno que al año le quita más de 53,000 millones de dólares a la industria del software de todo el mundo, colocó al cibercrimen, el robo de información y el malware como el principal riesgo o consecuencia al adquirir programas falsos. El director global de Antipiratería de Microsoft mencionó que 32% de todos los programas piratas contienen uno o varios códigos maliciosos. El reisgo, agregó, es que las firmas que utilizan software apócrifo son 73% más propensas a sufrir pérdidas, daños o robo de información sensible a consecuencia del malware oculto en los programas falsos. Cabe recordar que, a finales de octubre, la Business Software Alliance (BSA) liberó un reporte en donde establecía que existe una correlación entre el nivel de piratería de software y la cantidad de malware de un país.
MÁS DE 30% DE TODO EL SOFTWARE APÓCRIFO CONTIENE CÓDIGOS MALICIOSOS. ASÍ, EL ROBO DE DATOS PERSONALES SE CONVIERTE EN UNA DE LAS CONSECUENCIAS MÁS PELIGROSAS DE USAR PROGRAMAS PIRATAS. De acuerdo con el análisis de la BSA países como Turquía, Brasil, Rusia y México, que poseen índices de piratería por arriba de los 55 puntos porcentuales, enfrentan tasas de presencia de malware superiores al 20%. En México, según Finn, casi seis de cada diez programas son piratas. Y si bien, en algunos casos la compra se hace a conciencia y sin medir los riesgos; en otras ocasiones, el usuario es engañado por comerciantes que buscan hacer pasar el software apócrifo como legítimo. En ese sentido, el directivo mencionó que Microsoft concentra el combate a la piratería bajo tres frentes: educación a usuarios, empresas y gobiernos, ingeniería con el desarrollo de tecnologías, sellos de protección y validez del software y, con la ejecución de diversos proyectos. La entrada de México al programa “Día de protección al consumidor”, implica el desarrollo de cursos de capacitación para personal de la Procuraduría Federal del Consumidor (Profeco). Y, junto con la capacitación, Microsoft México colocará mapas interactivos que detallan los esfuerzos en contra del fenómeno de la piratería en todo el mundo y una guía práctica para poder denunciar este tipo de productos. De manera similar, a los comentarios de la BSA sobre impacto de la piratería en México, Finn y los ejecutivos de Microsoft apuntaron que la reducción en el consumo de software falso, no sólo reduciría el nivel de riesgo para los usuarios y empresas, sino que también mejoraría la economía y competitividad de la nación. “Si se lograra reducir la tasa de piratería diez puntos, la industria de las ITC, en México, crecería alrededor de 1.5 mil millones de dólares y, se generarían más de 3,500 empleos de alto valor”, dijo David González, director Antipiratería de Microsoft México. ● Diciembre, 2009 B:SECURE
15
ACCESO LOS DOMINIOS MÁS PELIGROSOS DEL ORBE
L
os dominios cameruneses (.cm) alcanzaron la presea del primer lugar como los más peligrosos del planeta, desbancando a Hong Kong (.hk) país que contenía las páginas web, con el mayor número de códigos maliciosos o amenazas para los internautas, de acuerdo con el reporte Mapping the Mal Web de McAfee. De acuerdo con el análisis de la firma de seguridad IT Camerún terminó con el dominio de país más peligroso al alcanzar un porcentaje de riesgo de 36.7%, luego de que, de los más de 82,000 sitios con el sufijo .cm, cerca de 57,000 contuvieran contenido riesgoso. Expertos de McAfee informaron, que el crecimiento en las vulnerabilidades o códigos maliciosos de los dominios .cm, es reflejo de la similitud que guarda con el dominio más utilizado en el mundo el .com, el cual terminó en segundo lugar del listado con un porcentaje de riesgo de 32.2%. En la tercera posición están las páginas web con .cn, perteneciente a los sitios en China, el cual cerró con 23.4% de nivel de riesgo y más de 193,000 sitios peligrosos de los 561,000 analizados, cita el reporte. Mientras que Hong Kong, que en 2008 terminó en primer lugar, logró reducir su nivel de riesgo “drásticamente” a 1.1%, para terminar en la posición 34, dentro del listado de McAfee. Del continente Americano, únicamente Estados Unidos, Venezuela y Belice, fueron catalogados entre los primeros 30 lugares, con porcentajes de infección de 3.1, 2.1 y 1.2, respectivamente.
16
B:SECURE Diciembre, 2009
CAMERÚN CERRÓ COMO EL PAÍS CON EL DOMINIO WEB MÁS PELIGROSO DEL MUNDO, POR ARRIBA DEL MUNDIALMENTE CONOCIDO .COM Y EL .CN DE CHINA. MÉXICO TERMINÓ EN EL LUGAR 69, DEL LISTADO DE 104 DOMINIOS.
Por su parte, el dominio .mx, de México, terminó en el sitio 69 del listado, de un total de 104 posiciones, con un nivel de riesgo de 0.4% y un total de 369 sitios peligrosos de los más de 42,000 analizados por la compañía. Japón (.jp), Irlanda (.ie) y Croacia (.hr) fueron los dominios de países con el menor nivel de riesgo, al poseer porcentajes de riesfo que no rebasan 0.1%. “El reporte es el reflejo perfecto de lo rápido que los cibercriminales cambian o modifican su estrategias para infectar a los usuarios. Los grupos criminales en la Web están vulnerando o usando dominios de fácil registro, baratos y convenientes para ellos, por el bajo perfil que les permite mantener”, dijo Mike Gallagher, jefe de tecnología de McAfee. Los riesgos, con estos dominios, es que los criminales los aprovechan para infectar a los usuarios, a través de descargas ilegales, programas espías o de captura de teclas, conocidos como spyware o Keyloggers o para controlar la computadora e integrarlas a un red bot.
Y AL RESTO ¿CÓMO LES FUE? El reporte Mapping the Mal Web de McAfee también analiza el nivel de riesgo, en los llamados dominios genéricos de alto nivel como .edu. .info, .net y .gov. Así, además del .com, los dominios .info, .net y .org, alcanzaron los rangos de riesgo más altos del estudio, con 15.8%, 5.8% y 4.2%. Tan sólo de .info, McAfee detectó más de 137,000 dominios con riesgos potenciales. Mientras que .edu y .gov terminaron como los dominios con el menor nivel de riesgo, prácticamente de todo el listado, con porcentajes de 0.1% y 0.0%, según las cifras reveladas en el estudio. McAfee explica que el reporte muestra una realidad preocupante, pues de los más 27 millones de sitios web analizados de todo el orbe, 5.8% contenían algún tipo de riesgo para los internautas, es decir más 1.5 millones de páginas web son fuentes probables de infección y robo de información. ●
ACCESO SE PREPARAN CIBERCRIMINALES PARA NAVIDAD LAS FIESTAS DE FIN DE AÑO COMÚNMENTE HACEN REFERENCIA A LA BUENA FE, CONVIVIR Y EL COMPARTIR. PERO PARA LOS CIBERCRIMINALES ESTA TEMPORADA ES EL MARCO IDEAL PARA DELINQUIR.
E
n los últimos dos años los cibercriminales han defraudado a los usuarios de internet por más de ocho mil millones de dólares en todo el mundo, de acuerdo con el reporte State of the Net Survey Consumer Reports 2009. Esta navidad estos grupos criminales se preparan para recabar su aguinaldo y caja de ahorro, a través de nuevos engaños informáticos, de acuerdo con McAfee. La firma de seguridad liberó un documento, con un listado de los 12 principales fraudes o engaños cibernéticos más relevantes durante esta temporada de fiestas de fin de año. A continuación un resumen de ellos. 1. Phishing de caridad. La generosidad y, el famoso dar y regalar de la temporada, también serán aprovechados por los hackers, quienes de acuerdo con McAfee, ya han comenzado a enviar correos simulando ser organizaciones de caridad, apoyo o a favor de grupos necesitados para efectuar fraudes de phishing. 2. Paquetería apócrifa. Para quienes tengan familiares en otras partes del mundo y manden sus regalos por paquetería, la empresa ha detectado diversos grupos criminales que buscan robar dinero o información con notificaciones falsas, proveniente de empresas como Federal Express o UPS, que solicitan información personal del cliente como domicilio, teléfono o números de tarjeta de crédito. 3. Ciberamigo criminal. Con el crecimiento acelerado de las redes social, los cibercriminales han comenzado a enviar solicitudes de amistad en Facebook y Twitter apócrifas, con enlaces a malware o códigos maliciosos, dice McAfee. 4. Tarjeta explosivamente navideña. El envío de las famosas e-cards (tarjetas de felicitación electrónica) en esta época, es el pretexto perfecto para que los criminales inyecten códigos maliciosos, gusanos u otro tipo de malware dentro de las mismas para su propagación masiva, explica McAfee. 5. Ofertas que salen caras. La empresa afirma haber detectado correos fraudulentos, con ofertas de productos de marcas de lujo para esta Navidad en diversos sitios web falsos, que engañan a los usuarios a pagar por artículos que nunca recibirán. 6. Robo de Identidad al alza. De acuerdo con Forrester Research el número de compradores web, tan sólo en Estados Unidos rebasará los 100 millones de internautas. Motivo por el cual los cibercriminales estarán pendientes a cualquier descuido o error del consumidor, para robar o clonar su identidad o tarjeta bancaria en la web. 7. Tono navideño virulento. McAfee estima que el número de sitios falsos que prometen fondos de pantalla, tonos para celular o imágenes con temáticas navideñas se incrementará durante el periodo para infectar a la mayor cantidad de usuarios. 8. Empleo mortal. Con las tasas de desempleo rompiendo récords históri-
cos en todo el mundo, cibercriminales han detectado un área de oportunidad en el envío de correos electrónicos con falsas promesas de trabajo, que incitan a las personas sin trabajo a llenar formularios con datos personales para competir por la vacante fantasma. 9. Subastas peligrosamente baratas. McAfee informa que en años previos los hackers han aprovechado el robo de información y dinero, mediante la generación de subastas espectaculares en sitios como eBay. “El usuario debe de entender que si la oferta es demasiado buena como para ser verdad, seguramente es falsa”. 10. Te regalo mi contraseña. La compañía también informa sobre un crecimiento acelerado de programas para el robo de contraseñas como los keyloggers durante las fiestas decembrinas. Con este tipo de malware el criminal busca acceder a cuentas de correo electrónico, servicios de comercio en línea o de tarjetas de crédito. 11. Banco X regala dinero esta Navidad. El phishing de bancos no termina, McAfee detectó un crecimiento en el número de mensajes que aparentan provenir de instituciones financieras ofertando promociones por fin de año o solicitando datos personales. 12. Secuestros Express de PC. Con la gran cantidad de malware o fraudes rondando la web, los cibercriminales ahora toman control de la computadora del usuario, usan programas para encriptar el contenido del equipo y solicitan un “monto de rescate” para borrar los candados y devolver los datos a su legítimo dueño, un fraude conocido como ransomware.
EL FBI AL SERVICIO DE LA COMUNIDAD Con la escalada de los fraudes cibernéticos durante la temporada de fin de año, la misma División de Delitos Cibernéticos del FBI generó un listado de recomendaciones para los internautas que planean comprar productos en la Web. Estas recomendaciones van, desde no proveer datos personales a vendedores o servicios comerciales, usar medios de pagos electrónicos legítimos y validados como seguros hasta, revisar la reputación o comentarios del vendedor de otros usuarios, no comprar artículos o regalos a través de sitios web de subastas o clasificados, no responder a correos electrónicos no solicitados, evitar dar clic en ligas desconocidas ni descargar programas de remitentes extraños y usar el sentido común. “Los cibercriminales siguen creando métodos agresivos e ingeniosos para robar la información y el dinero de los usuarios. Al mes, el Centro de Quejas por Crímenes en Internet (IC3) recibe más de 300,000 reclamos a consecuencia de fraudes en línea. Por ello emitimos estas recomendaciones pata que los internautas tengan prudencia en sus compras de temporada” cita el texto divulgado por la autoridad estadunidense. ● Diciembre, 2009 B:SECURE
17
for
BUSINESS PEOPLE
ESTRATEGIA DE SEGURIDAD UN ENFOQUE PRÁCTICO Y PRAGMÁTICO Por Adrián Palma
Tercera de Tres Partes
E
n algunas organizaciones se ha buscado solucionar el problema de la seguridad de la información desde dos enfoques diferentes. El primero de éstos, se orienta hacia el cumplimiento estricto de mejores prácticas, modelos de la industria, estándares internacionales especializados, y recomendaciones de proveedores. El segundo de los enfoques considera la implementación de herramientas y soluciones tecnológicas con base en la experiencia de un área responsable y configuraciones generales de las soluciones. Sin embargo, el problema de la seguridad es variable en cada organización, puesto que atiende a un gran grupo de factores tales como: el tipo y la forma de realizar sus funciones sustantivas, su operación, la cultura organizacional y el entendimiento del problema, entre otros. En este sentido, la forma más asertiva para manejar el problema de la seguridad en todas las organizaciones, debe basarse en un reconocimiento de la propia seguridad de la información como un factor crítico en el logro de la misión y los objetivos de la organización, rebasando las soluciones puntuales y el contexto tecnológico. De esta forma, la seguridad de la información debe iniciarse en la identificación y jerarquización de los riesgos de seguridad a los que está expuesto el negocio, y la creación de una estrategia de seguridad para el tratamiento de los mismos, hasta lograr un nivel aceptable del riesgo para la organización, que corresponda a sus necesidades reales de operación y seguridad, así como el nivel actual de vulnerabilidad. En el caso de la estrategia de seguridad de la información, se requiere la priorización de los riesgos, que se obtiene como resultado de un ejercicio de análisis; y la definición de categorías de controles de seguridad, los cuales son evaluados en términos de sus niveles de contribución para la mitigación de los riesgos. De esta forma, se desarrollaron actividades relativas a la definición y agrupación de controles de seguridad implementados y funcionales. Un proyecto de análisis de riesgos no proporciona una estrategia de seguridad de la información, con base en sus resultados solamente, como lo dicen las Best Practices debido a que se requieren Segunda de otrosde elementos 2 partes para 18 B:SECURE
Diciembre, 2009
realizar una toma de decisiones relativa a la inversión de los recursos para solucionar el problema de seguridad. Adicionalmente, se debe considerar que este ejercicio de análisis de riesgos no indica en qué medida se están mitigando los mismos, ni cuales son los controles más apropiados e importantes que se deben implementar y mejorar. Por esta razón, el estado de la seguridad de la información en términos de operación y solución del problema no ha cambiado sustancialmente. Debe tenerse en cuenta que la estrategia de seguridad no se puede integrar solamente con los costos de los controles y una valoración general de su costo beneficio, puesto que un control mitiga más de un riesgo y un riesgo puede ser mitigado por varios controles. Por lo que, se debe realizar una consolidación de información suficiente para construir la estrategia de seguridad con un enfoque costo-riesgo, concepto acuñado por un servidor, basado en el nivel de contribución y costo de los diferentes controles, para mitigar el nivel hipotético (porque no hay ningún control que mitigue un riesgo al 100%) total de riesgo identificado. A continuación les explico una metodología para desarrollar una estrategia real (porque lo hemos hecho en más de 8 empresas a nivel organizacional) y practica porque ha funcionado y dado los resultados deseados y esperados, quiero hacer mención que esta metodología se desarrollo por un requerimiento de un cliente, es decir, hasta ese momento desarrollábamos la estrategia sólo basada en un análisis costo beneficio de los controles como lo dicen todas las metodologías, métodos y modelos de análisis de riesgos, hasta que el Director General de la empresa me comentó que ese análisis costo beneficio no le decía mucho y, a partir de ahí desarrollamos el enfoque de realizar otra estrategia, pero basada en un costo riesgo. Determinación de la estrategia de seguridad informática basada en la ponderación de controles y la contribución de los mismos para mitigar los riesgos prioritarios de una organización. (Costo Riesgo) La ponderación de los riesgos a los que se encuentra expuesta una organización no provee en sí cuales serán los pasos a seguir para establecer una
estrategia de seguridad asertiva, es de conocimiento general que cualquier control, por simple que parezca, contribuye a mitigar invariablemente mas de un riesgo, y que el grado de contribución que cada control aporta para mitigar uno o más riesgos varia de un control a otro. El problema se complica cuando deseamos incorporar costos a nuestra estrategia de seguridad, y pretendemos ver de forma clara una relación costo – riesgo, que en la mayoría de los casos es obtenida de forma subjetiva. Con frecuencia no se tiene una justificación clara de los costos, debido a que los asociamos con los riesgos y no con los controles que son en sí la inversión que vamos a realizar. Para establecer una estrategia de seguridad basada en costos – riesgos, tenemos que partir de riesgos que han sido priorizados y de una relación aceptable de controles que pueden mitigarlos, sin tener hasta el momento que decidir cuales son mas importantes o de mayor peso. Una vez que se ha determinado la prioridad de los riesgos construimos una Matriz de Contribución de la siguiente manera:
al 9; y en números ponderados – normalizados a 100, los cuales toman en cuenta el peso de los riesgos identificados. No es lo mismo la contribución que realiza un control para mitigar un riesgo de alta importancia relativa, al que requiere riesgo no prioritario, no obstante tengan el mismo nivel de contribución numéricamente hablando.
1. Definición de la estructura: En las Columnas se incluyen los “outcomes”, o bien, “lo que quiero obtener”. La información que aquí se incluye son los riesgos que quiero mitigar, ordenados en función de su importancia. En las Filas se incluyen la relación de controles que me permitirá mitigar los riesgos de las columnas.
En la columna de TOTAL es posible ver como el control específico contribuye a mitigar el nivel de riesgo total de la organización, considerando siempre que un control ayuda a mitigar más de un riesgo. Este resultado no es un promedio, sino un ponderado que considera también la importancia que los riesgos tienen para el negocio. Este TOTAL también indica el beneficio que el control aportará a la organización en función de cuánto contribuye a mitigar los riesgos, y a su vez le otorga de forma individual un peso versus los demás controles. En el renglón de TOTAL es posible identificar el acumulado de todos los controles requeridos para mitigar el riesgo específico de cada columna.
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 4
INPUTS
Control 1 Control 2 Control 3 Control 4 Control n
2. Grado de contribución de los controles. Por cada riesgo existente en la organización, identificaremos el nivel de contribución que le proporcionan los controles para que sea mitigado. Este proceso debe ser realizado con la participación de expertos en tecnología y seguridad de la organización. El nivel de contribución será determinado mediante un proceso de votación en el que se analiza el grado de consenso de los participantes y si éste es bajo, aparece un histograma que permite guiar la discusión para generar y compartir información relevante entre los participantes, y se procede a una segunda votación, hasta que el grado de dispersión en las respuestas es reducido. Al final del proceso de votación, es posible determinar cual es el grado de contribución que el control tiene para mitigar cada uno de los riesgos en particular, y eso le asigna en automático una importancia con respecto a los demás. La Matriz de Contribución es expresada en números absolutos o sencillos, tal como resultaron los promedios de cada votación en la escala del 1
INPUTS
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 4
Control 1
6.8
3.2
0.0
2.4
Control 2
5.9
7.0
3.2
1.0
Control 3
1.3
2.7
8.0
1.2
Control 4
4.5
6.2
3.9
3.3
Control n
2.8
0.3
6.9
4.5
TOTAL
TOTAL
3. Análisis de costos y estrategia de seguridad. Considerando que el presupuesto de seguridad tiene que ser invertido de la mejor manera procedemos a analizar el costo de cada control vs. el beneficio que me provee en función de su contribución para mitigar los riesgos. OUTCOMES
INPUTS
OUTCOMES
OUTCOMES
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 4
TOTAL
COSTO VALOR
Control 1
6.8
3.2
0.0
2.4
7.3
$
Control 2
5.9
7.0
3.2
1.0
4.5
$
Control 3
1.3
2.7
8.0
1.2
3.2
$
Control 4
4.5
6.2
3.9
3.3
5.7
$
Control n
2.8
0.3
6.9
4.5
5.4
$
TOTAL
$
Por cada control autorizado, podremos ver como el nivel de riesgo específico y global de la organización es reducido y en que porcentaje, por el contrario por cada control de autorizado, podremos ver el efecto inverso. Es importante mencionar que la estrategia debe ser enfocada a la implementación de aquellos controles que tengan un mayor peso en la mitigación de los riesgos a un costo razonable. ●
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de
Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM así como de la maestría de seguridad de la información del CESNAV y la UPIICSA, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Diciembre, 2009
B:SECURE 19
´ OPINIÓN UN EMPEÑO HUMANO
LECCIONES DE SHAKESPEARE Y OTROS Por Matt Bishop y Deborah Frincke, Instituto de Ingenieros Eléctricos y Electrónicos
H
ace veinte años era poco común que las universidades ofrecieran una sola asignatura en la seguridad informática, la privacidad, o el aseguramiento informático. En 2005, la Agencia Nacional de Seguridad de los EE.UU. certificó 67 establecimientos académicos como Centros de Excelencia Académica para los Estudios sobre el Aseguramiento Informático, lo cual quiere decir que ofrecían programas académicos que se enfocaban en la seguridad informática. Un amplio abanico de universidades ofrecen clases en de forensia digital, la seguridad del comercio electrónico, el derecho sobre la privacidad, las normas de certificación, tales como los Criterios Comunes, y otros temas especializados. Un aspecto positivo de esta proliferación es que estas clases técnicas permiten que los estudiantes, que antes se esforzaban por localizar esta información, ahora sí dispongan de ella. Un aspecto negativo proviene de la creencia, demasiado común, de que la seguridad informática no es nada más que un tema técnico. Esto pasa por alto el hecho de que los aspectos técnicos de la seguridad informática radiquen en los principios fundamentales comunes a muchos campos del saber. Igual a todos los principios, los estudiantes que ven su aplicación a varias carreras aprenden a adaptarlos a diferentes situaciones y contextos – dos puntos claves para el éxito profesional. En este artículo, destacaremos las disciplinas no informáticas de importancia que los estudios de grado o postgraduados en la carrera tecnológica hoy, a menudo descuidan.
PSICOLOGÍA Para empezar considere que la piedra angular de la seguridad informática son las personas. Para entenderlas habrá que volver la atención al estudio de la mente y de la conducta: la psicología. Entre sus varias aplicaciones, la psicología nos puede ayudar a determinar por qué alguien querría encontrar brechas en las defensas de un sistema. ¿Qué beneficio espera sacar? ¿Por qué está atacando este sistema o sitio en particular en vez de otro? Esto, tiene relación directa con la simulación de amenazas y con el análisis de riesgos – para determinar cuáles son los recursos que deben ser protegidos y a dónde se deben dirigir los mejores esfuerzos por desarrollar mecanismos de seguridad. La psicología también nos puede ayudar a determinar quién tiene mayor probabilidad de ser atacado. ¿Por qué divulgan las personas sus contraseñas? ¿Cómo es que los atacantes escogen a las víctimas que suelen abrir enlaces que dicen “oferta especial” o que abren adjuntos de correo electrónico que parecen provenir de personas conocidas? Las asignaturas en la psicología cognitiva examinan cómo entienden las personas tales estímulos y cómo y por qué reaccionan así. Con el apoyo de estos conocimientos, podemos rebajar al mínimo la probabilidad de que las personas vayan a reaccionar según los deseos de los atacantes. Esto se relaciona con los tipos de control, las advertencias, las claves visuales o auditivas, y otras defensas que tienen más probabilidad de ser eficaces y los que tienen más probabilidad de fracasar. 20 B:SECURE Diciembre, 2009
Otra aplicación de la psicología trata de entender cómo las personas pueden abrir brecha en las defensas de un sistema. Esto nos ayudará a determinar cuáles son los mecanismos específicos de seguridad que se deberán usar. ¿Es suficiente una contraseña que se marca para fines de la autenticación, o hace falta el análisis del ADN? El principio de la aceptabilidad psicológica – que dice que los mecanismos de seguridad no deben obstaculizar el acceso más, estando presentes los mecanismos, que si estuvieran ausentes – da a entender que los mecanismos de seguridad deben ser tan poco intrusos como sean posibles. También quiere decir que deben de ser diseñados para ser servibles. Sin entender cómo se relacionan las personas con los mecanismos, es fácil echar la culpa a los usuarios por las brechas de seguridad que en realidad provienen de las deficiencias en esos mecanismos. Un mecanismo de seguridad debe resistir a los fallos y debe responder a los que lo han configurado, informándoles de los actos que tomará. Debe detectar toda posición contradictoria o anómala, debe dar por sentado que alguien quiere abrir brecha o evadirlo, y debe advertir al administrador. A menos que todas estas características estén presentes, no se puede culpar al usuario. El cambio de enfoque sugiere otra aplicación de la psicología: entender al atacante. ¿Cómo podemos engañar a los atacantes para que desperdicien sus esfuerzos o para que tomen medidas que permitan a los defensores averiguar lo que aquéllos están haciendo, lo que quieren, y de dónde vienen? Cliff Stoll, autoridad reconocida sobre la seguridad informática, demostró los beneficios de aplicar la psicología básica a la defensa. Engañó al atacante para que éste descargara un archivo tan grande que dejó la línea telefónica del atacante abierta por suficiente tiempo para permitir a las autoridades rastrear la llamada – la cual fue una llamada internacional.
LITERATURA Como la psicología, la literatura nos enseña sobre las personas. Las necesidades humanas y sociales fundamentales – de seguridad, amor, comprensión, conocimiento y privacidad– corren por las historias y mitos de toda cultura. Y, en efecto, muchas obras que no son técnicas encierran temas que tienen aplicación directa a las cuestiones técnicas. Las piezas teatrales de Shakespeare, por ejemplo, nos dan una idea clara de la necesidad de varios mecanismos de seguridad informática. Considere Una Comedia de errores, comedia en la cual todo el mundo toma a un gemelo por el otro. ¿Hay mejor metáfora por los problemas generados por la falta de autenticación? O, también, considere Julio César como ejemplo del estudio trágico de la amenaza que plantea un confidente – el asesino de César, Brutus, que era su amigo de mayor confianza. Una escena clave en El Mercader de Venecia demuestra el efecto de la imprecisión en las especificaciones. Volviendo nuestra atención a las obras clásicas, encontramos que La Odisea de Homero presenta el uso más notorio del “programa malicioso” – el caballo original troyano. El ardid del que se aprovechó Odiseo para per-
suadir a los troyanos para que introdujeran el caballo dentro de la ciudad, abriendo brecha en las murallas municipales, impenetrables hasta ese momento, las advertencias de Casandra y de Laoconte a que no prestaron atención los troyanos, y el saqueo resultante de la ciudad ofrecen un ejemplo paralelo a los métodos de los atacantes que engañan a los usuarios para llevarlos a ejecutar programas que saltan por encima de los mecanismos de seguridad, así como las repercusiones desastrosas de la confianza mal puesta. Las obras no ficticias son otra fuente de información útil. Tenga en cuenta El Arte de la Guerra de Sun Tzu. Esta obra con más de 2500 años de edad ilustra de forma brillante las mejores prácticas para atacar y defender sistemas con sus descripciones de la planificación, del acercamiento, de las estrategias, de la táctica, y, sobre todo, de lo que se debe evitar. En un sentido más amplio, la literatura nos puede ayudar a considerar los supuestos subyacentes y el efecto del cambio. El hombre demolido de Alfred Bester pregunta cómo, en una sociedad con telepatológicos, alguien puede cometer un asesinato que no se puede detectar. “La Máquina de la Coartada” de Larry Niven mira los aparatos de teletransporte dentro del contexto del delito. La máquina de la verdad de James Halperin presenta un mundo donde los detectores de mentiras están disponibles dondequiera que se vaya. Todas estas obras examinan los efectos perturbadores de las nuevas tecnologías y las nuevas reglas y cómo reaccionan las sociedades a ellas. Los efectos de introducir nuevas tecnologías de seguridad o de cambiar políticas y procedimientos son menos dramáticos, pero un tema común a todos ellos persiste: tenemos que considerar cómo estos cambios van a afectar a las personas y debemos reconocer que estos cambios pueden generar efectos inesperados sobre ellos.
OTROS TEMAS Junto con los aparatos del teléfono y el facsímile, el Internet ha desencadenado una revolución en la diseminación de conocimientos, y las sociedades están luchando por hacer frente a ese nuevo sistema mundial y con las cuestiones de seguridad y privacidad que éste presupone. Las perspectivas sobre este tema varían mucho con respecto a las múltiples jurisdicciones políticas a las que llega la red informática. A pesar de ello, ¿cuántos estudiantes se titulan con algo más que una comprensión superficial de los efectos prácticos de estas perspectivas diferentes? Las asignaturas sobre la ciencia política pueden ayudar a los estudiantes a entender las diferencias entre culturas y a prepararlos mejor para formular soluciones que tendrán una amplia acogida. Por ejemplo, las diferencias culturales entre los Estados Unidos, Francia y China, con respecto a la protección de la “privacidad”, tienen repercusiones enormes para los tipos de defensas, la auditoría, y las normas que corresponden al desarrollo económico – sobre todo cuando se extienden más allá de las fronteras nacionales. Es difícil conservar el respeto por las costumbres locales, a la vez que se apoya la interacción a nivel mundial, y lo más probable es que esta cuestión se haga aún más compleja –el tema si la interconectividad se ha convertido en una necesidad humana básica es una cuestión existencial para el siglo actual. Para hacer frente a los desafíos de los riesgos y del análisis de costos/ beneficios sociales, los estudiantes en la tecnología pueden sacar mucho provecho de las asignaturas en la económica y los negocios. Por ejemplo, ¿cuánto cuesta en realidad a un campus universitario enseñar a todos los
estudiantes entrantes de primer año a instalar y mantener la protección más actualizada contra virus en sus computadoras portátiles? ¿Cuánto cuesta dejar de hacerlo? ¿No es más economizante repartir copias gratuitas de programas informáticas de antivirus a los estudiantes entrantes o hacer cumplir una política, que exige que los programas informáticos de antivirus estén actualizados antes de que conecten sus computadoras a los sistemas en el campus universitario? Es difícil determinar los costos comerciales de la seguridad de por sí, mucho menos computarlos y hacer que las personas se pongan de acuerdo sobre las cuestiones, como si se debe nde incluir los salarios de los administradores de sistemas y del personal en la mesa de apoyo técnico a base de las horas realmente trabajadas, o si sería mejor excluir dichos salarios porque ese personal iba a cobrarlos el dinero de todas formas. Esto demuestra la necesidad de la capacidad para persuadir. Son raras las veces que los analistas de seguridad simplemente deciden que hay que poner en marcha un mecanismo o una política de seguridad y que luego exijan que se haga. Por lo normal, tienen que convencer a los de la gerencia que existe una necesidad de tal cambio. Esto quiere decir que tienen que presentar motivos comerciales que lo justifiquen – demostrar que el costo de dejar de hacerlo es mayor que el costo de ponerlo en marcha – lo cual exige conocimientos comerciales, así como la capacidad para analizar alternativas, para expresar información en forma escrita, y para hacer presentaciones públicas. Estas destrezas caen dentro del dominio del inglés como idioma y la retórica (o sea, el arte del bien decir ante el público) – dos materias más que valen la pena de estudiar en la carrera tecnológica. Podría decirse que esto nos lleva al aspecto no técnico de mayor importancia de la formación del estudiante en la seguridad informática: el estudio del trabajo en equipo y la dinámica de equipos. Aunque ya se considera una disciplina fundamental en la sociedad moderna, a menudo salta por encima de esta materia o, cuanto más, se enseña simplemente por organizar a los estudiantes en grupos, diciéndoles que colaboren en el mismo proyecto. Dos problemas interrelacionados a menudo se plantean con esta perspectiva: algunos miembros del equipo se encargan de la mayor parte del trabajo, mientras los otros se descuidan de sus responsabilidades, creyendo (o sabiendo) que los demás miembros del equipo compensarían por su ausencia, para evitar que todos sufran. Una asignatura que imparte un maestro que sabe bien organizar a los equipos y a enseñar a los miembros a colaborar es de alto valor. Puede que sea muy útil para que los estudiantes de seguridad participen en los deportes de equipo porque los buenos entrenadores están muy diestros en ese aspecto. Y, por fin, la seguridad informática tiene que ver más con las personas que con las computadoras y la información. Las soluciones sobre la seguridad que dejan de tener en cuenta la naturaleza humana quedan predestinadas al fracaso. Hemos podido tocar solamente unas cuantas áreas de investigación que no son técnicas con aplicación directa a la seguridad informática y computacional. Muchas otras disciplinas también ofrecen lecciones igualmente pertinentes, pero el espacio aquí impide que hablemos de todas ellas. Tanto los estudiantes tradicionales como los de la educación profesional contínua pueden ampliar el horizonte más allá de los libros de última novedad sobre la seguridad de redes para abarcar otras posibilidades de igual importancia pero menos obvias. ●
Matt Bishop es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y profesor de ciencia informática en la Universidad de California, Davis. Para comunicarse con él, diríjase al bishop@cs.ucdavis.edu Deborah Frincke es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y científica principal del Grupo de Seguridad Cibernética del Laboratorio Nacional del Pacífico del Noroeste. Para comunicarse con ella, diríjase al deborah.frincke@pnl.gov Para informarse en mayor detalle sobre el Instituto de Ingenieros Eléctricos y Electrónicos, favor de visitar al www.ieee.org Diciembre, 2009 B:SECURE 21
EL INVITADO ANÁLISIS FORENSE DIGITAL ¿HECHOS O FICCIÓN? Por Elihú B. Hernández La constante lucha contra el “lado oscuro de la fuerza” (hackers) reta constantemente tanto a proveedores, como al personal de TI de las empresas, a estar actualizados en las diferentes técnicas de ataque existentes que les permitan responder de manera más eficiente ante un incidente de seguridad de la información dentro de la organización. Recientemente se ha hablado mucho sobre el análisis forense digital y su aportación de esta disciplina en el esclarecimiento de incidentes de seguridad de la información. Sin embargo poco se ha hablado sobre la veracidad de los hallazgos identificados durante una investigación de este tipo. Incógnitas sobre si los resultados obtenidos son 100% confiables o estamos presenciando una de las tantas asombrosas ilusiones de Criss Angel. (http://es.wikipedia. org/wiki/Criss_Angel). Todo esto nos lleva a la reflexión acerca de que no es posible la existencia de un protagonista sin un antagonista, del bien sin el mal y, en nuestro caso, del análisis forense digital sin las técnicas anti-forenses.
TÉCNICAS ANTI-FORENSES Uno de los grandes problemas a los que se enfrenta el investigador forense, durante la investigación de un incidente de seguridad es la identificación de aplicaciones anti-forenses. Estas aplicaciones tienen como objetivo principal ocultar, ofuscar o eliminar información contenida en el sistema, a fin de generar un alto grado de incertidumbre durante la investigación, dificultando la trazabilidad en un escenario forense (reconstrucción de los hechos). El uso de estas herramientas potencialmente puede ocasionar que un delito logre quedar impune, ya que la falta de “pruebas claras” dificultaría explicar ante una instancia legal (tribunal) que lo que a simple vista se obtiene como una prueba (recordando que las instancias legales en nuestro país no son expertas en peritajes informáticos) en realidad no es la prueba incriminatoria por sí misma, sino únicamente una representación de los datos que el atacante puso deliberadamente en el sistema para confundirnos. Determinar efectos jurídicos sobre este tipo de situaciones resulta sumamente complicado, si nos basamos en la legislación
vigente en nuestro país. Sin embargo, existen suites de análisis forense especializadas que pueden ayudarnos a identificar el uso de estas herramientas (anti-forenses) durante la investigación. Otro factor inherente al uso o detección de herramientas antiforenses es la desventaja moral con la que parte el investigador, pues internamente sabe que en un porcentaje alto de los casos en donde se presenten este tipo de técnicas, sus esfuerzos no terminarán rindiendo los frutos que se espera en una investigación de este tipo. Tener acceso a herramientas anti-forenses no es tan complicado como se piensa, pues basta realizar un simple búsqueda en Google para obtener información detallada de cómo se utilizan estas herramientas y los distintos ámbitos de aplicación de las mismas (positiva o negativamente). Herramientas como MAFIA -muy sugestivo el nombre por cierto en español- es el acrónimo de Metasploit Anti-Forensic Investigation Arsenal, una de las herramientas más populares de anti-forense integrante del proyecto Metasploit que se utiliza principalmente para alterar la información de los tiempos de modificación, creación y acceso de los archivos contenidos en un medio de almacenamiento, permitiendo establecer fechas inverosímiles complicando el análisis forense en el momento que se desea establecer la línea del tiempo (cronología de actividades) del origen del evento. Finalmente, podemos concluir que la efectividad del uso de herramientas anti-forenses para tratar de evadir alguna responsabilidad legal dependerá de 2 factores: la capacidad técnica del analista forense y la legislación aplicable a cada país. Por otra parte, no podemos negar que estas herramientas establecen un desafiante “lado oscuro” para cualquier miembro de un comité de riesgos tecnológicos y, nos deben invitar a “ver con otros ojos” lo que la realidad (pruebas) nos dice, pues este tipo de técnicas encausadas positivamente, pueden ser un aliado fundamental para repensar la seguridad IT. Pero mal utilizadas son una amenaza constante, que nos exige desaprender y mantenernos en crisis permanentemente para tratar de inferir los movimientos de los intrusos. ●
Elihú B. Hernández, GCFA (ehernandezh@produban.com.mx) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)
22 B:SECURE Diciembre, 2009
´ OPINIÓN RE: CUENTO DE LOS HECHOS Por Andrés Velázquez
E
ste no es un reply de un correo electrónico, sino la narrativa de lo que ha pasado en este 2009. Termina de nuevo otro año, nos volvemos a enfrentar al calvario de escribir inconscientemente “2009” en vez de “2010” por unos meses, en lo que nos acostumbramos. Hacemos nuestros propósitos de año nuevo –los mismos del año pasado- que posiblemente no vamos a cumplir y nos quejamos porque nos han tocado muy pocas vacaciones. La situación macroeconómica a nivel mundial no es muy prometedora y los expertos en ello comentan que nos tardaremos varios años en poder salir de esto; sin embargo, el área de tecnologías de la información y, específicamente la de seguridad de la información no se queda atrás. Por ello pido un minuto de silencio, por aquellos que han dejado este medio y se han dedicado a otras cosas. Porque la verdad es que muchas cosas y personas del medio han cambiado. Hay quienes voltean hacia atrás para ver lo que han logrado: nuevas políticas de seguridad dentro de la organización, la aprobación de mayor presupuesto para seguridad de la información, la implementación de nueva tecnología o simplemente haberla “llevado” tranquila durante el año. Algunos se preocuparon por capacitarse o capacitar a su personal, el aprender algo nuevo, el ir a una nueva conferencia o participar más activamente en el medio. Hay muchas cosas que podemos rescatar de este 2009, de las cuales me gustaría compartir contigo. En este año vimos una explosión incontenible con las redes sociales. Éstas fueron usadas por grupos de usuarios para amenazar a hijos de presidentes, usar la información para poder “secuestrar” a alguna persona o menor e incluso para intercambiar o generar pornografía infantil. Vimos cómo ciudadanos mexicanos se hicieron escuchar ante los legisladores para evitar el impuesto a Internet -que aunque no se grabó el mismo- otras telecomunicaciones sufrieron al respecto. Pude constatar que las personas dentro de la organización no solo son las que generan los ataques voluntaria o involuntariamente (robo o fuga de datos, alteración de información o errores) , sino que también se pueden ver expuestas ya que colocaron dónde trabajan y los proyectos que están trabajando por redes sociales. Situación que dentro de la organización no se considera, no se entiende y por obvias razones no se previene.
Entiendo que hemos perdido la capacidad de saber qué información –incluso los del medio de seguridad de la información- es pública, es privada y es confidencial. A pesar de todo esto, seguimos sin tener políticas de uso de Internet ni su debida actualización sobre si es permitido usar las redes sociales dentro de la organización. No hemos usado completamente las mismas redes sociales para ayudarnos y generar grupos de discusión al respecto. Nunca falta el día en que enviamos un correo electrónico con información sensible y nos equivocamos en el destinatario. Queríamos enviarlo a Marcos Hernández y se lo enviamos a Marcos González, situación que puso en riesgo la posible divulgación de dicha información. Aún permitimos que los usuarios no bloqueen sus estaciones de trabajo y que platiquen de trabajo fuera de la oficina. No hemos podido entender que el security awareness dentro de la organización nos podría quitar muchos problemas de “soporte de seguridad”. Los smartphones se convirtieron en una necesidad y moda para los directores de las empresas, sin que pudiéramos explicarles los riesgos que conlleva el tener uno de esos dispositivos. Pero después de todo esto, lo que más me duele de este 2009 que se acaba es que el gremio sigue segmentado. No somos capaces de dejar atrás las empresas donde laboramos para darle entrada a que, como individuos tenemos un gran valor y el conocimiento, para poder educar y compartir vivencias a quienes no tienen idea de los peligros en Internet, en la oficina, las escuelas de nuestros hijos o parientes y en la universidad de donde somos egresados. Pero no todo es malo, debemos valorar lo que ha pasado para que podamos entender que hay mucho más por hacer, nuevos retos y metas que cumplir en este año que inicia. Este no es un correo electrónico cadena, no vamos a dar dinero a un pobre Especialista de Seguridad de la Información sin trabajo por cada vez que lo reenvíen, ni se crearán sus políticas de seguridad automáticamente, ni su jefe le dará más presupuesto. Sólo léalo y coméntelo con quien más confianza le tenga. ● Andrés Velázquez es un mexicano especialista en delitos informáticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. avelazquez@uat.edu Síguelo en Twitter: http://twitter.com/cibercrimen
Diciembre, 2009
B:SECURE 23
LALEYYELDESORDEN 2.0 UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
CIBERGUERRA Por Joel A. Gómez Treviño
CIBERARMAS, CIBERDELINCUENTES Y CIBERATAQUES A OTROS PAÍSES. ¿QUÉ SIGUE?
P
or raro o de ciencia ficción que parezca, cada vez es más común escuchar el término “CiberGuerra” o “Guerra Cibernética”. Algunos especialistas de seguridad nacional e informática afirman, de manera documentada, razonada y justificada, que la próxima guerra mundial será informática. Por gusto y hasta para entretener un poco a mis alumnos en clase, confieso que veo con regularidad películas de hackers y delincuentes cibernéticos, que no son muchas. Recordarán seguramente títulos como “Duro de Matar 4.0” (2005), “Swordfish” (2001), “Hackers” (1995), y de las más antiguas, “Juegos de Guerra” (1983). Actores y actrices de la talla de Angelina Jolie, John Travolta, Hugh Jackman, Halle Berry y Bruce Willis, han dado vida, tanto a delincuentes cibernéticos como policías que buscan salvar al mundo de las garras de éstos. El más reciente thriller cibernético que tiene por protagonista al ya consagrado policía, que tiene más vidas que un gato, Bruce Willis, nos presenta un panorama muy particular. Jóvenes hackers son contratados por terroristas para montar un ataque conocido como “fire sale”, destinado a tomar ventaja de las vulnerabilidades de la infraestructura crítica de la nación que está controlada por computadoras. El primer objetivo del ataque fue el sistema de transporte (hackearon el control informático de los semáforos), seguido de otros ataques al mercado de valores y a los sistemas de gas y energía eléctrica. En pocos minutos, la ciudad de Nueva York se convirtió en un caos y la nación entera estaba en peligro. ¿Ciencia ficción, mito o realidad? Pues, no solo son películas, también hay libros sobre “Ciberterrorismo”, y especialistas de seguridad nacional de muchos países que están alertando al mundo sobre estos temas.
COREA DEL SUR Y COREA DEL NORTE, ALERTAS POR POSIBLE GUERRA CIBERNÉTICA. El pasado mes de julio, la Agencia Nacional de Inteligencia de Corea del Sur informó que recientes ataques informáticos a sitios web surcoreanos fueron lanzados desde 16 países distintos, entre ellos la misma Corea del Sur, Corea del Norte, Estados Unidos, Japón y Guatemala. Corea del Norte advirtió un mes antes sobre una posible guerra cibernética, en la que muchos de sus objetivos serían páginas web “conservadoras”. En las mismas fechas, el Comité Norcoreano para
la Reunificación Pacífica advirtió que el régimen de Kim Jong-Li estaba “completamente preparado para cualquier forma de guerra de alta tecnología”. Los incidentes informáticos sufridos por Corea del Sur (Ministerio de Defensa, Oficina de la Presidencia y Banco Kookmin), e inclusive también por los Estados Unidos (Casa Blanca, Pentágono y la Bolsa de Nueva York), fueron a través de “ataques de denegación distribuida de servicios” (DDoS).
POTENCIAS AVANZAN EN LA CARRERA CIBERARMAMENTISTA. El Informe sobre Criminología Virtual de McAfee establece que las grandes potencias están desarrollando su capacidad bélica en el ciberespacio. Esto fue calificado como una “carrera de ciberarmas” que tiene por objetivo redes informáticas de gobierno y otras infraestructuras críticas para el funcionamiento de diversos países. Un apartado de este informe denominado “Amenaza Constante de Ataque Nacional” advirtió: El informe del año pasado se centró en el uso cada vez más extendido de Internet como arma para el espionaje político, militar y económico… Con frecuencia se ha considerado la amenaza del ciberterrorismo sobredimensionada, sin embargo, cada vez son más quienes opinan que los piratas informáticos acabarán siendo lo suficientemente audaces y poderosos para lanzar ataques que puedan dañar y destruir elementos de la infraestructura nacional de importancia crítica. Los países que se toman seriamente el tema están armando un frente de batalla contra la ciberdelincuencia. Europa tiene a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), quien en el 2008 contaba con un presupuesto de 8 millones de euros. Estados Unidos es el país que más ha invertido en ciberseguridad en el mundo. En el 2008, el Departamento de Seguridad Nacional presupuestó $155 millones de dólares para ciberseguridad y $200 millones para 2009. También en 2008, el Reino Unido invirtió $7 millones de libras en la creación de una nueva unidad de policía central para delitos electrónicos. ¿Aún le siguen pareciendo de ciencia ficción películas como “Duro de Matar 4.0”? Creo que ahora, más que nunca, ese tipo de películas están basadas en hechos reales, que pueden culminar en sucesos no deseados! En el próximo artículo estaremos dándole seguimiento a este tema, con uno paralelo: ¡CiberTerrorismo! ●
Joel Gómez (abogado@joelgomez.com) es Licenciado en Derecho egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Abogado especialista en Derecho Informático y Propiedad Intelectual desde 1996.
24 B:SECURE Diciembre, 2009
SINNÚMERO SE DESPIDEN LAS CIFRAS DE 2009 La primera década del siglo XXI terminó y 2009 se vio marcado por un crecimiento exponencial en los métodos, armas y organizaciones criminales en Internet dedicadas al robo de datos o información sensible, de usuarios y empresas, de todo el mundo. Así, 2010 será el ejemplo perfecto de lo que nos deparan los siguientes diez años en materia de seguridad IT. Aquí, algunos de los acontecimientos en ciberseguridad que inundaron las páginas y planas de revistas, periódicos y sitios web alrededor del mundo.
Albert González, un cibercriminal, hijo de inmigrantes cubanos, es capturado en Estados Unidos y sentenciado a 25 años de cárcel por robar más de 130 millones de número de tarjetas de crédito. Symantec detecta más de 250 muestras de rogueware o scareware y cerca de 43 millones de descargas durante 2009. Adolescente español de 16 años de edad es capturado por las autoridades y culpado de comprometer más de 75,000 computadoras para crear su propia botnet. En mayo, el volumen de spam alcanzó un máximo histórico de 95%, el promedio anual no bajó de los 87.4%. El Centro de Recursos para el Robo de Identidades reportó que 403 brechas o fugas de datos, que comprometieron más de 220 millones de registros de usuarios y empresas. El promedio de zombis en 2009 fue de 65,000 computadoras infectadas por día. El dominio de Camerún (.cm) cerró como el más peligroso del mundo con más de 57,000 sitios riesgosos de los más de 87,000 analizados por McAfee. Diciembre, 2009 B:SECURE 25