Enero-febrero 2010 · 60 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
MODERNIZACIÓN E INVESTIGACIÓN
EN LA PGR
Tener el valor para romper con el estereotipo que la sociedad mexicana asume de los funcionares públicos y las autoridades judiciales y colocar a México al día en materia de investigación forense digital y combate al cibercrimen son dos de los principales atributos de este policía cibernético
b:Secure Award 2010
Oscar Lira Arteaga
$80.00 M.N.
(DGCSP de la PGR)
[+] ACTA
Mitos, realidades e impactos de un Tratado Internacional rodeado de misterio y polémica pág. 26
KEYNOTE SPEAKERS ¿Tienen los CIO un rol más estratégico?
Guillermo Aguirre
Muy pocas organizaciones pueden prosperar sin un énfasis estratégico en IT. Las soluciones de negocios no pueden estar separadas de las tecnológicas. Aún así, no todos los líderes IT asumen el rol clave en la planeación a largo plazo que los altos ejecutivos quisieran ver. El nuevo CIO participa en las definiciones con respecto a los incrementos en ventas, en calidad y en reconocimiento de marca. Por fortuna también los nuevos líderes empresariales así lo entienden. Examinaremos de qué madera están hechos los CIO y qué se espera de ellos.
The Coming of Age of Web-Based Technologies - The CIO’s Guide to the Cloud
Cassio Dreyfuss
Internet es una realidad en los negocios desde hace varios años. Actualmente no existe una sola empresa que no cuente con un proceso de negocio basado en Web. Los servicios del cómputo en la nube han comenzado a madurar y demandan un cambio radical en la operación de las empresas, enfocado en la arquitectura centrada en las aplicaciones Web. Los CIO deben estar preparados para alinear sus operaciones con las del negocio y liberar el potencial que ofrecen estos nuevos servicios y tecnologías.
La verdad desnuda de nuestro mediocre crecimiento
Carlos Elizondo Mayer-Serra
En el pasado hemos podido crecer. Fuimos tan exitosos en presentar una imagen de una sociedad que estaba convergiendo hacia los niveles de bienestar de los países desarrollados que en 1968 México fue sede de los juegos olímpicos, 40 años antes de los juegos olímpicos de Beijing en 2008. ¿Por qué el llamado milagro mexicano no se ha repetido? ¿Quién atora nuestro crecimiento? ¿Cómo hacerle para crecer?
Taller: La Agenda del CIO 2010
Ricardo Rendón
A través de una sesión altamente interactiva, Ricardo Rendón dividirá a los asistentes en grupos de cinco personas liderados por un CIO de alto nivel. El objetivo será definir, compartir y discutir las tareas y retos de los CIO del siglo XXI en los aspectos operativos, tácticos y estratégicos de las organizaciones. El taller será el camino ideal para que los participantes no sólo debatan las temáticas, sino que también aporten sugerencias y recomendaciones que se traduzcan en mejores prácticas a compartir por la comunidad IT.
El encuentro de las mentes mรกs brillantes en IT 4 - 7 de marzo 2010 Grand Velas All Suites & Spa Resort Riviera Maya www.ciosummit.com.mx INFORMES: Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opciรณn 4. / LLAMANDO AL s s &AX s EVENTOS NETMEDIA INFO Un evento de
Producido por
Producido por
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL Elba de Morán DIRECTORA COMERCIAL
CLINTON PIDE APOYO MUNDIAL POR CIBERATAQUES
Los ciberataques originados en China que tuvieron como objetivo infraestructuras corporativas de empresas estadunidenses, entre ellas Google, no deben ser condenados solo por el país norteamericano, sino por todos, asceveró el gobierno de Estados Unidos. La Secretaria de Estado de EU, Hillary Clinton, llamó a los países de todo el mundo y especialmente en donde resintieron los ciberataques a unirse en un frente de rechazo internacional a estos hechos. En un discurso dado en la capital estadunidense, Clinton pidió a las naciones involucradas en los ciberataques, por los que Google ha estado al borde del rompimiento con China, que se unan y condenen tales incidentes.“En un mundo interconectado, el ataque a las redes de una nación puede significar el ataque a todas”, argumentó en su mensaje. Es el primer llamado público de esta naturaleza que Clinton hace con respecto a la intrusión informática a compañías estadunidenses, cuyo resultado fue el robo de secretos industriales y propiedad intelectual.
Es cierto, aún hay personas que dejan la llave de la entrada de su casa abajo del tapete de la puerta principal esperando que nadie la descubra, pero generalmente el resultado no será lo que esperan. La firma de seguridad Imperva dio a conocer los resultados de un estudio que analizó 32 millones de contraseñas que fueron superadas por intrusos en la brecha que afectó al sitio Rockyou.com. Los resultados demostraron que 50% de los usuarios usaron nombres, palabras slang y series de números consecutivos como contraseñas. El ejemplo de la brecha de Rockyou.com es reflejo de la importancia que le dan los usuarios a la seguridad de su información en Internet, asegura el reporte. El documento publicó la lista de las diez contraseñas más comunes que fueron violadas para dar acceso a los intrusos a información confidencial de los usuarios, entre las más comunes se encuentran “iloveyou”, “abc123” o “password”. Este listado es difundido para que los usuarios eviten usar tales contraseñas, comunicó la empresa. “Todos necesitan entender que significa tener contraseñas pobres en un mundo de ciberataques automatizados donde, con apenas un esfuerzo mínimo, un hacker puede ganar acceso a una nueva cuenta cada segundo o a 1,000 cuentas cada 17 minutos”, explicó Amichai Shulman, CTO de Imperva. Uno de los principales hallazgos del reporte es que una contraseña corta o simple es suceptible de ceder ante un ataque de fuerza bruta o de ruptura de candados.
Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
FABUOLUS BLOG
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
TEMA LIBRE
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y
Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
2 B:SECURE Enero-Febrero, 2010
Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara
PUBLICAN LISTA DE CONTRASEÑAS MÁS COMUNES
AUNQUE ME CORRAN
Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
ENE-FEB 2010
ACCESO
8 ROMPE 2009 RÉCORD EN EJEMPLARES DE MALWARE.
El 2010 arranca con aires y promesas de mayor estabilidad económica. Una realidad que sin duda será de mucho provecho para los cibercriminales
10 7 MILLONES DE DÓLARES: EL COSTO DE LAS BRECHAS DE SEGURIDAD
En promedio cada dato que las organizaciones pierden o les roban tiene un costo superior a los 214 dólares.
B:SECURE FOR BUSINESS PEOPLE
12 TIPS PARA IDENTIFICAR EL NIVEL DE MADUREZ DE SEGURIDAD EN UNA ORGANIZACIÓN
A través de un modelo de madurez las organizaciones pueden obtener una idea clara y estandarizada, para determinar el estado de la seguridad de la información. Aquí una guía práctica.
ÁREA RESTRINGIDA
20 VULNERABILIDAD EN EL PROTOCOLO SSL
Con el crecimiento de los teléfonos inteligentes en todo el mundo era cuestión de tiempo para que alguien encontrara vulnerabilidades en dichas plataformas. El primer turno le tocó al iPhone de Apple.
OPINIÓN
18 RISK IT: LA NUEVA
PROPUESTA DE ISACA PARA LA GESTIÓN DE RIESGOS
Cada vez más organizaciones en nuestro país toman en serio la Gestión de Riesgos de IT. Sin embargo, con tantas ofertas de modelos de gestión de riesgos cómo encontrar las más adecuada.
21 QUE MIS EMPLEADOS ESTÁN TWITEANDO ¿QUÉ? 08 B:SECURE AWARD ES PARA…
Oscar Lira Arteaga, jefe del departamento de Informática y Telecomunicaciones de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la PGR quien presume a México como un país líder en materia de investigación forense digital y combate al cibercrimen.
04 LOGIN
28 SINNÚMERO
Las redes sociales han permitido que grupos de personas colaboren, incluso existen varias personas del área de seguridad de la información que ya están en Twitter y Facebook
AUDITORIA EXTREMA
25 SOFTWARE PARA INGENUOS.
La desconfianza que la gente tiene hacia los vendedores, personas y ofertas en el mundo físico podrían servir de mecanismo de protección en las barreras de las realidades virtuales.
LOGIN LOGIN
EVALÚAN RESULTADOS DE REVISIÓN DE LAPTOPS EN ADUANAS La revisión de computadoras portátiles y dispositivos móviles tales como teléfonos celulares en las aduanas estadunidenses no dejan la polémica y el debate a poco más de nueve meses de que entrara en operación la medida. El jueves pasado la agencia de Protección Fronteriza y Aduana (CBP, por sus siglas en inglés) de los Estados Unidos liberó los documentos con información concerniente a nueve meses de revisiones efectuadas a laptops y celulares en aduanas de aquél país. La medida adoptada en la administración de George W. Bush daba la autoridad a los agentes fronterizos y de aduanas de requerir la revisión de
un dispositivo móvil sin justificación alguna. El argumento consistió en que, de esta manera, se incrementaban las medidas contra el crimen y el terrorismo. El gobierno de Barack Obama continuó con las revisiones y hace casi un año la Suprema Corte determinó que las computadoras portátiles son como maletines, los cuales están sujetos a revisión en aeropuertos y demás cruces fronterizos. La jurisprudencia fue impugnada por una variedad de grupos sociales que reclamaron que la información almacenada en las laptop no fuera tratada con distintas medidas de seguridad. Durante nueves meses fueron revisados más de 1,500 dispositivos, entre ellos 560 teléfonos celulares y 360 computadoras portátiles, de acuerdo con la documentación de la CBP. Uno de los principales cuestionamientos de los cuales ha sido objeto la agencia es que sus agentes copian documentos extraídos de los dispositivos revisados para canalizarlos a otras agencias de gobierno, cuyos nombres no fueron especificados. Los documentos liberados incluyen cartas emitidas por ciudadanos, en las que externan dudas sobre la posibilidad de negarse a proporcionar contraseñas a los agentes fronterizos o preocupaciones relacionadas con la entrega de sus equipajes con cámaras o dispositivos que no les pertenecían.
5 RECOMENDACIONES EN OUTSOURCING DE SEGURIDAD Co-sourcing es como denomina la firma de análisis Forrester a la nueva colaboración que tendrán los departamentos IT de las organizaciones con proveedores de servicios de seguridad. Sin embargo, aunque no es un concepto muy distinto al de tercerización u outsourcing, en la firma creen que debería ser repensado, para integrar la idea de la colaboración entre las áreas IT y los proveedores. Ya muchas organizaciones tercerizan sus procesos de seguridad, sobre todo, para que sea otra compañía la que lleve a cabo el cumplimiento de regulaciones que podrían significarles una pesada carga operativa y administrativa. El reporte de Forrester, sin embargo, aclara que la organización que terceriza aún es responsable de la protección de la información que es manejada por un proveedor de servicios. Esto ocurre, indica el documento, porque las organizaciones esperan ‘lavarse las manos’ cuando surja un problema, esperando que el proveedor lo arregle. En la investigación titulada “Doce recomendaciones para su estrategia de seguridad de la información 2010” el analista Khalid Kark asegura que, si la organización tiene un desastre en su ambiente, no existirá un incentivo para arreglarlo y que incluir a un tercero en ello solo empeoraría las cosas.
4 B:SECURE Enero-Febrero, 2010
No obstante, Forrester sugiere que las empresas que contraten outsourcing de seguridad deben hacerlo con una compañía que esté dispuesta a compartir la responsabilidad en caso de que ocurra una brecha de información. Compartir información con un tercero es el área de mayor riesgo que las compañías tendrán que manejar en 2010, según el reporte. Cada empresa deberá replantearse la noción de perímetro de seguridad a la hora de diseñar sus arquitecturas de seguridad. Cada empresa debe reconsiderar la noción de ‘riesgo para el socio de negocios’ cuando se trata de tercerización de servicios de seguridad, ya que el riesgo es similar que con otros socios. Los profesionales de la seguridad deben dejar de asumir que construirán un fuerte perímetro para tener control sobre la infraestructura y el flujo de información. Hay que tener muy claro qué funciones de seguridad pueden ser tercerizadas, en torno a qué es conveniente en términos de costo y de si este modelo ayudará a tener mejor calidad en los controles de seguridad. Entender los retos de propiedad qué significa tercerizar y que la protección de la propiedad intelectual de la empresa no puede descansar únicamente en la tecnología.
APROVECHAN CIBERCRIMINALES CATÁSTROFE EN HAITÍ A menos de 72 horas del terremoto que devastó la isla de Haití, los cibercriminales ya han comenzado a tomar ventaja del suceso a través de correos y sitios web apócrifos o vulnerados con códigos maliciosos para ejecutar robo de datos o fraudes en Internet. Como sucedió con el huracán Katrina, la victoria de Barack Obama y la muerte de Micheal Jackson los cibercriminales ya comenzaron a tomar ventaja de la catástrofe en la isla de Haití, luego de que esta fuera golpeada por un terremoto de 7.0 grados en la escala de Richter. Horas después del suceso, el FBI liberó un comunicado en su sitio web, en donde alertaba a todos los internautas a que “usaran un ojo crítico” en todos los mensajes electrónicos que recibieran de organizaciones no lucrativas solicitando donativos para los damnificados en Haití. “En el pasado las tragedias y los desastres naturales han fomentado que individuos con intenciones criminales soliciten contribuciones o donativos en nombre de una buena causa o de ayuda humanitaria”, cita el texto de la autoridad estadunidense.
La misma institución desarrolló una serie de sugerencias para los internautas con intenciones de donar o entregar dinero a los haitianos. La cuales van desde no responder ni dar clic en mensajes electrónicos de supuestas organizaciones no lucrativas o con información sobre el terremoto en la isla, hasta ignorar correos de supuestas víctimas o sobrevivientes de Haití, que solicitan dinero, víveres o cualquier tipo de información. “Si están interesados en hacer contribuciones háganlas directamente a las organizaciones y no dependan o realicen este tipo de donaciones a través de un tercero”, comentó el FBI. Miembros del instituto de Sistemas de Administración, Auditorías, Redes y Seguridad (Sans, por sus siglas en inglés) comentaron, en diversos medios de comunicación, que la catástrofe en Haití, sin duda será el pretexto perfecto de los criminales en Internet para realizar envíos masivos de spam, infectar usuarios o robar de información confidencial. Algo, que de hecho ya ha comenzado a suceder, un día después del evento, la firma de seguridad Websense descubrió que diversos sitios en Internet con datos e imágenes del terremoto en la isla contenían códigos maliciosos. “La gente alrededor del mundo está buscando en la red información reciente sobre este acontecimiento, para saber cómo hacer donaciones, tratar de descubrir la magnitud de esta catástrofe a través de fotos o videos. Por desgracia, los criminales utilizan las crisis y eventos importantes como éste para propagar código malicioso”, afirmó la compañía en su blog.
MUNDIAL DE FÚTBOL Y CIBERCRIMEN El planeta entero estará sumergido este año en la fiebre futbolera generada por la Copa del Mundo 2010 de la FIFA y ya se prevé que todo lo relacionado con el tema esté entre los engaños preferidos de los cibercriminales. La empresa de seguridad Symantec pronostica que la acitividad maliciosa en Internet aumente como ha ocurrido en el marco de eventos deportivos de caracter global. “Nuestra investigación ha demostrado que eventos deportivos como los Juegos Olímpicos y la Copa Mundial de fútbol desencadenan fraude en línea, sitios Web falsificados, suplantación de identidad y ataques de spam, además de hackeo”, dijo Gordon Love, director regional de Symantec en África. Sudáfrica ha crecido su infraestructura de banda ancha, introduciendo dos nuevos cables submarinos de fibra óptica. De esta manera, el país sede delpróxi-
mo Mundial de Fútbol podría responder mejor a la demanda de acceso a Internet y velocidad que los asistentes demandarán. Sin embargo, lo anterior también representaría nuevos retos. “A través de los años, Symantec ha visto un incremento en la actividad maliciosa principalmente en países que introducen una banda ancha más rápida, barata y accesible”, añadió Love. En el 2008, Egipto alcanzó el sitio número uno de actividad maliciosa por suscriptor de banda ancha en la región de Europa, Medio Oriente y África (EMEA) después de que la conectividad se volviera prioridad para el gobierno del país y el número de suscriptores de banda ancha aumentara. Listado en el que no figuraba en el 2007. Symantec actualmente instala sensores de red adicionales en Sudáfrica para optimizar el monitoreo de las amenazas en Internet.
BREVES McAfee anunció una nueva iniciativa para combatir el cibercrimen a través de una serie de webcast diseñados para educar a los internautas de todo el orbe. Los programas de la firma muestran a los usuarios paso a paso algunas de las técnicas que los delincuentes informáticos utilizan para el robo de información. Websense desarrolló Defensio 2.0, una aplicación diseñada exclusivamente para proteger a los usuarios contra las amenazas en internet en sitios del fenómeno de la web 2.0, como redes sociales, blogs o páginas con contenidos generados por los usuarios. La herramienta promete entregar protección en tiempo real contra ligas o vínculos con contenido malicioso. Apple liberó un parche de seguridad para cubrir 12 vulnerabilidades de su sistema operativo Mac OS X. La actualización corrige siete fallas en un plugin del reproductor Flash Player, los cuales podría permitir la ejecución de códigos maliciosos. Además la firma corrigió fallas en CoreAudio, CUPS, ImageIO, Image RAW y Open SSL.
Enero-Febrero, 2010 B:SECURE 5
5 PRINCIPALES RAZONES PARA ASISTIR AL B:SECURE CONFERENCE 2010
1 2
Porque es la cita anual obligada de los profesionales de Seguridad IT en México Porque podrá anticipar las tendencias, retos y preocupaciones que CIO y CISO enfrentan para mantener la continuidad de su negocio, en voz de reconocidos expertos
3
4 5
Porque tendrá la oportunidad de conocer a los editores de la mejor revista de seguridad informática y, con suerte, aparecer en sus páginas Porque podrá divertirse al tiempo que aprende en el único foro que combina creatividad con información, y el show de Platanito
Porque es el principal foro en México para elaborar un red de colaboración entre empresas, proveedores líderes y profesionales de la Seguridad IT
THE CLOUD RELOADED: SEGURIDAD EN LA NUBE
LA GRAN CIBERESTAFA
THE NET, SOCIALMENTE PELIGROSAS
DURO DE HACKEAR 7.0
YO EMPLEADO: MÁS MÓVIL Y MÁS INSEGURO
EL ABOGADO DEL HACKER: LA LEY Y MARCO JURÍDICO ¿ARMAS REALES CONTRA EL CIBERCRIMEN?
INFILTRADOS: EN MI EMPRESA
COLLATERAL DATA LOSS PREVENTION
¿Y DÓNDE ESTÁ MI PROVEEDOR 2?
88 MINUTOS…PARA CERTIFICAR
INFORMES:
Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4. "Ê > > ` Ê> ÊÓÈÓ Ê ÊÇÓnäÊUÊÓÈÓ Ê ÊÇÓn£UÊÓÈÓ Ê ÊÇÓnx >ÝÊÓÈÓ Ê ÊÇÓn ÊUÊiÛi Ì ÃJ iÌ i` >° v
Un evento de
Producido por
ACCESO EL 2010 ARRANCA CON AIRES Y PROMESAS DE MAYOR ESTABILIDAD ECONÓMICA EN TODO EL MUNDO Y, LA CUAL SIN DUDA SERÁ DE MUCHO PROVECHO PARA LOS CIBERCRIMINALES.
C
ROMPE 2009 RÉCORD EN EJEMPLARES DE MALWARE
risis económica, Influenza Humana H1N1, aumento de impuestos… sin duda olvidar el 2009 será complicado para la mayoría de las personas. Sin embargo, para el cibercrimen los últimos 12 meses se colocan como el mejor año desde que se inicio esta actividad ilegal, hace más de dos décadas. De acuerdo con su reporte Informe Anual liberado por la firma española de seguridad IT Panda Security, durante 2009 fueron detectados más de 40 millones de ejemplares de malware, con una media de más de 55,000 muestras nuevas todos los días. “Sólo en 2009 han aparecido más ejemplares de malware que en toda la historia desde la creación del primer virus. De hecho, sólo durante este año, hemos detectado más códigos maliciosos que en los 19 años anteriores que tiene la compañía de existir”, cita el estudio de Panda Security. La principal razón de este crecimiento exponencial en los códigos maliciosos y amenazas informáticas es reflejo de que el cibercrimen ha dejado de ser un actividad clandestina de baja rentabilidad para convertirse en un negocio multimillonario. En los últimos doces meses, los hackers y organizaciones criminales en la Web han robado o generado más dinero que en los últimos 20 años desde la aparición de los primeros virus informáticos. “Es difícil determinar la cantidad o monto exacto defraudado, pero se estima que la cifra de pérdidas como consecuencia de infecciones y ataques de hackers rebasa los miles de millones de dólares”, según el reporte. Ya anteriormente empresas como Symantec determinaron que durante 2008 el cibercrimen y el robo y venta de información confidencial generaron ganancias por $266 millones de dólares, pero alberga un valor potencial por arriba de los $6,000 millones de dólares. Incluso actividades de recién ingreso al mundo del cibercrimen como el rogueware o scareware, programas fraudulentos que fingen ser soluciones de seguridad, pero que en realidad contienen malware, representan una actividad que en 2009 redituó en más de $400 millones de dólares para los delincuentes en línea. De modo que el dinero y los beneficios detrás del robo de datos personales o la infección de computadores se mantiene como el principal pretexto o incentivo para los cibercriminales. Una teoría que tiene respaldo en el número de troyanos, pues de acuerdo con Panda Security de los más de 40 millones de ejemplares de malware, 66% está representado por este tipo de códigos maliciosos. 8
B:SECURE Enero-Febrero, 2010
Así, los troyanos bancarios o de robo de información observaron un crecimiento exponencial durante 2009, mismo que seguramente se mantendrá en 2010, debido a la facilidad con la que se consiguen o desarrollan estos programas. “Es importante destacar que es relativamente sencillo conseguir nuevos ejemplares de este malware, pues existe todo un negocio de venta online de troyanos a la carta y herramientas de desarrollo que se pueden encontrar en Internet, y que con una serie de clics te permiten tener listo un troyano para su distribución”, afirman los expertos de Panda Security en el reporte. Detrás de los troyanos, el adware y los virus se colocan como el tipo de códigos malicioso más prevalentes en la red con 17.62% y 6.61%, respectivamente. Mientras que el software espía (spyware) y los gusanos cerraron con un porcentaje de presencia de 5.70 y 3.42%. Taiwán, Rusia y Polonia terminaron como las tres naciones con el mayor rango de infección de todo el orbe, con porcentajes de con un 62.2, 56.7 y 55.4%, respectivamente. México, por su parte terminó en la posición 16 con un nivel de infección cercano al 42%, es decir de cada diez equipos de cómputo que habitan en el país cuatro albergan uno o más códigos maliciosos.
DE POLICÍAS Y LADRONES El análisis de Panda Security también resume algunos de los robos o atracos cibernéticos más notorios del 2009 como el ataque a varios hospitales de Sheffield, un condado del Reino Unido, en el cual, un código malicioso fue capaz de infectar 800 computadoras y inhabilitar la comunicación de tres instalaciones de salubridad. También figura el robo de información de más de 130 millones de números de tarjetas de crédito instrumentado por Albert González, un hacker que fue aprendido por las autoridades estadunidenses a finales de agosto y sentenciado a más de 20 años en prisión. “Pero no todo son malas noticias”, subraya el texto de la firma, pues afirma que los avances en materia de seguridad IT y colaboración entre autoridades internacionales y sector privado llevaron a la aprensión de alrededor de 30 ciberdelincuentes culpados de cometer delitos como robo de información, fraude, espionaje o extorsión por Internet. Panda Security augura que el crecimiento en los códigos maliciosos, el robo de información, los ataques a sistemas Windows 7, Mac OS o dispositivos móviles se mantendrán durante 2010. Así como un crecimiento exponencial para los usuarios Web derivado de la expansión de fenómenos como las redes sociales y el cómputo en la nube. ●
ACCESO 7 RETOS DE SEGURIDAD PARA 2010 EN LA MEDIDA EN QUE LAS APLICACIONES EMPRESARIALES CORREN MÁS Y MÁS DESDE LA NUBE Y LOS SERVICIOS MÓVILES CRECEN SUS CAPACIDADES Y DISPONIBILIDAD, LA INFORMACIÓN ALBERGADA EN ESTAS TAMBIÉN REPRESENTA RIESGOS PARA LA SEGURIDAD DE LAS COMPAÑÍAS. Por: Efraín Ocampo
P
or esa razón, la confiabilidad y la integridad de la información se ha vuelto un valor que la seguridad ayuda a mantener y 2010 será un año, anticipan las firmas especializadas, en el que habrá retos muy importantes en esta materia. Las organizaciones deberán realizar inversiones para hacer frente a los nuevos retos que la seguridad enfrenta, lo cual coadyuvará a mantener las cada vez más exigentes labores preventivas. y los engaños en las redes sociales. Ya se volvió común re1 Elcibirspam mensajes privados o públicos de contactos de redes sociales en los cuales nos invitan a ir a una página Web, comprar un producto o a darle clic a un vínculo, de acuerdo con expertos de Symantec, Websense y de X-Force, unidad de seguridad Web de IBM. Si las redes sociales se habían incorporado a la vida de muchas empresas, como Facebook, LinkedIn o Twitter, los profesionales IT ahora se verán obligados a proteger sus redes y seguir utilizándolas o prohibir su uso. maliciosas. Por si no fuera poco proteger la infraestructura 2 Nubes con las amenazas existentes, la nube podría ser un nuevo riesgo. Firmas de seguridad como X-Force y RSA han detectado actividad de cibercriminales en servicios proporcionados desde la nube, ya que pretenden usarlas para dirigir y ejecutar ataques. la hora de Mac OS. Grandes cantidades de malware dirigido 3 Llegó al SO Mac a través del navegador Safari es lo que proyecta para este año Websense. Las compañías de seguridad han soñado con este momento, por el gran mercado que representa, sobre todo, con el pasar de los años. Los usuarios de Mac, es sabido, no usan antivirus y quizá no estén muy dispuestos a pagar por uno, pero Symantec apuesta a que esto cambiará. legítimos secuestrados. Todas las firmas de seguridad tienen 4 Sitios mucho que decir al respecto, pronostican que los ataques de inyec-
ción SQL se intensificarán para infectar las PC de más usuarios y, sin duda, ha sido una táctica probadamente exitosa para ellos. móvil a la carta. No sólo ha crecido la fuerza de tra5 Seguridad bajo móvil, sino que la cantidad de aplicaciones empresariales disponibles en versiones móviles se ha diversificado. Esto significa que las ventanas de acceso a información confidencial hacia las redes empresariales se han multiplicado, por lo que por sí mismo representa un vector de ataque atractivo. Los smartphones se han convertido en micro computadoras de bolsillo y los desarrolladores crean aplicaciones empresariales que corran sobre el iPhone, Android y Blackberry. Afortunadamente ya existen o están desarrollando soluciones de seguridad para móviles. aquí, clic allá: publicidad y búsquedas maliciosas. Otra forma 6 Clic de explotar los canales que aún mantienen la confianza de los usuarios de Internet son las búsquedas maliciosas, encubriendo en los resultados malware o ligas hacia sitios Web donde el usuario descargará en su PC, sin saberlo, todo tipo de software malicioso. Para abatir también las amenazas que representa el malvertising o la publicidad maliciosa, Websense y AVG desarrollan tecnologías para detectarlos y mostrar advertecias en tiempo real al usuario para evitar que dé clic en ella. bot, nunca pasarán de moda. Segun Symantec, las conoci7 Redes das botnet son la columna vertebral del cibercrimen y su economía ilegal. Afortunadamente, la comunidad de la seguridad ha mejorado su comunicación para hacerles frente. Uno de los fenómenos que las firmas de seguridad avizoran, es el de los ataques bot vs bot entre pandillas de cibercriminales para tomar control sobre las de la ‘competencia’ y crecer sus recursos exponencialmente. ● Enero-Febrero, 2010 B:SECURE
9
ACCESO
EL ROBO O FUGA DE INFORMACIÓN SE MANTIENE COMO UNO DE LOS PRINCIPALES DOLORES DE CABEZA PARA LAS ORGANIZACIONES, PUES EN PROMEDIO CADA DATO PERDIDO LES CUESTA MÁS DE 214 DÓLARES. Por Carlos Fernández de Lara
7 MILLONES DE DÓLARES:
EL COSTO DE LAS BRECHAS DE SEGURIDAD EN 2009
L
as fugas de información y las brechas en la seguridad de las compañías se mantienen como uno de los eventos más costosos y riesgosos para la operación y permanencia de las organizaciones en todo el mundo, de acuerdo a un estudio liberado por el Instituto Ponemon. El reporte titulado El costo de la brechas o fuga de datos, analizó más de 45 compañías basadas en Estados Unidos que sufrieron la pérdida o robo de información de entre 5,000 y más de 100,000 registros en 15 industrias o sectores diferentes. “La fuga de datos en las empresas sigue siendo uno de los eventos más costosos para las organizaciones toda vez que el costo promedio por resolver las brechas en seguridad paso de 6.65 millones de dólares a más de 6.75 millones de dólares para 2009”, cita el reporte del Ponemon Institute. De hecho, el reporte explica que de las brechas analizadas la más costosa rebasó los 31 millones de dólares para resolverse, mientras que la menos costosa no bajo de los 750,000 dólares, es decir casi diez millones de pesos mexicanos para solucionarla. En otras palabras, durante 2009 por cada archivo perdido o robado, las compañías deben pagar un promedio de 214 dólares, contra los 202 dólares que tenían que desembolsar en 2008. El análisis cita que, del total de brechas o fugas de datos 42% corresponde a fallas o errores en los sistemas de terceros o socios de negocios, 36% involucran la pérdida de una computadora portátil o teléfono inteligente y 24% son derivados de ataques cibernéticos y códigos maliciosos. Sin embargo, en este último punto las fugas o robo de datos causados por cibercriminales y ataques maliciosos le cuestan a las empresas entre 30 y 40% más, que los generados por negligencia humana, es decir 215 dólares por malware contra los 156 dólares que las organizaciones deben pagar por cada archivo cuando sus empleados pierden datos accidental o intencionalmente. El Instituto Ponemon también señala en el estudio que el promedio de archivos perdidos también se incrementó durante 2009, pues en 82% de los casos las empresas reconocieron haber perdido más de 1,000 registros con datos personales de sus clientes, empleados o proveedores.
GASTAR EN PROCESOS NO EN SOLUCIONES MÁGICAS Si bien, se cree que las plataformas tecnológicas deben ser el primero paso 10
B:SECURE Enero-Febrero, 2010
para resolver la fuga o robo de información 67% de los encuestados mencionaron a las campañas de concientización como la herramienta más efectiva para reducir las brechas de seguridad. Educación seguida de mejoras en los procesos de control y acceso (58%), aumento en el uso de tecnología de encripción (57%), soluciones de identificación y administración de acceso (49%) y tecnología de DLP (42%), de acuerdo a los datos publicados.
PENSAR ANTES DE INFORMAR Contrario a lo que se podría pensar sobre la velocidad o tiempo que las empresas deben tomar antes de notificar a sus clientes y usuarios sobre la pérdida o robo de sus datos, el reporte del Instituto Ponemon, afirma que es más barato tomarse su tiempo antes de avisar sobre la brecha de seguridad. “Moverse muy rápido en la notificación de una brecha de seguridad puede aumentar los costos en el proceso, sobre todo ante la omisión de tareas forenses durante una etapa temprana de detección”, cita el análisis. Así, las empresas que analizan y notifican con más detenimiento sus brechas de seguridad pueden ahorrarse hasta 12 por ciento del costo promedio por registro perdido, es decir, 196 dólares contra 219 dólares.
CISO MÁS QUE UN SIMPLE PUESTO El reporte del Ponemon Institute también afirma el peso que tiene para la organización la figura del CISO al momento de sufrir una brecha de seguridad o robo de información. “En algunos casos las empresas que afirmaron contar con responsable de seguridad como CISO o cargo similar, pueden disminuir las brechas en su infraestructura hasta 50%, contra las que únicamente manejan al CIO como responsable de toda el área de IT”, cita el estudio. Así, las empresas que contaban con un CISO alcanzaron un promedio de costo por archivo perdido de 157 dólares, contra los 236 dólares en promedio que pagaron quienes solamente contaban con un gerente o directos de sistemas. Esto, según el estudio, se debe a que los CISO manejan un estrategia únicamente enfocada en torno a la seguridad de la compañía lo que les permite responder a los incidentes mucho más rápido. ●
for
BUSINESS PEOPLE
TIPS PARA IDENTIFICAR EL
NIVEL DE MADURE
Por Adrián Palma
El modelo CMMI (Capability Maturity Model Integration) ha tenido gran difusión y uso a nivel de las organizaciones del sector de Tecnologías de Información y Telecomunicaciones, principalmente. Por esta razón hacer una adaptación de este modelo para que incluya los temas de seguridad d la información hace mas fácil la elaboración y comprensión de la propuesta de un Modelo Madurez para la seguridad de la información en una organización. Al proponer un modelo de madurez, se busca establecer una valoración estandarizada, con la cual se pueda determinar el estado de la seguridad de la información. Una manera sencilla de evaluar este grado de madurez es la matriz presentada a continuación, la cual permite muy rápidamente mediante indicadores saber en que nivel de madurez esta la organización en materia de seguridad de la información. Cabe la pena señalar que son indicadores totalmente prácticos y basados en la experiencia adquirida a través de varios proyectos. 12 B:SECURE
Enero-Febrero, 2010
ETAPAS de Madurez
Actitud y Entendimiento de la Alta Dirección
Estado Actual de la Organización en Seguridad
Etapa 1 Inicio o Incertidumbre
No es entendida y comprendida la función de seguridad. Se entiende que otros factores (como el diseño del sistema o poca confiabilidad de los equipos) son los causantes de los “problemas de seguridad”
No existen funciones asociadas al mantenimiento de seguridad. Estructuras de seguridad rudimentarias definidas por administradores de sistemas, redes o soporte técnico
Etapa 2 Repetible o Aprendizaje
Reconoce que la seguridad sobre la información puede ser de gran valor, pero no desea invertir tiempo, dinero y esfuerzo alguno para que esta función se concretice. Confianza en la seguridad provista exclusivamente por los productos y servicios instalados.
Se crea o designa la figura del encargado de seguridad (pero no reporta directamente a la alta dirección). Se enfatiza la colección centralizada de reportes sobre incidentes de seguridad y acciones detonadas de estos hechos.
Etapa 3 Definido o Iluminación
La alta dirección toma conciencia que una infraestructura de seguridad de la información es requerida para toda la organización. Son soportadas las tareas de entrenamiento para un security awareness. La gerencia entiende la necesidad de aplicar el programa de seguridad con un esquema top-down. Son soportadas las funciones de seguridad pero con recursos limitados.
El encargado de seguridad reporta directamente a la alta dirección (pero no necesariamente es un CISO por el nivel de Dirección). Son generadas políticas de seguridad de la información al nivel organizacional, y se implanta un programa de entrenamiento sobre seguridad de la información. El encargado de seguridad realiza revisiones de seguridad, y realiza análisis de riesgos y ayuda a reducir la exposición de dichos riesgos con la administración de los mismos.
Etapa 4 Administrado o Entendimiento
Participación activa de la alta dirección. Proceso de entendimiento de la seguridad de la información. La alta dirección impulsa los elementos organizacionales para adecuar y optimizar la seguridad de la información basada en sus necesidades específicas.
El encargado de seguridad tiene una función de seguridad establecida. Los productos de seguridad son periódicamente actualizados.
La Alta Dirección considera la función de seguridad como parte esencial de la Organización. La Alta Dirección provee recursos adecuados y soporte total para el programa de seguridad de la información.
El CISO regularmente tiene juntas periódicas con la alta dirección. La prevención es la mayor preocupación. La participación en foros públicos mejora la imagen pública de la organización.
Etapa 5 Optimizado o Tolerancia
Segunda de 2 partes
Pruebas de penetración y auditorías son realizadas. Se generan alianzas estratégicas con otras organizaciones (socios de negocio, proveedores etc.).
EZ DE SEGURIDAD EN UNA ORGANIZACIÓN Manejo de Incidentes
Inversión en Seguridad
Acciones de Mejora Respecto a la Seguridad
Perspectiva de la Organización desde su Postura Actual de Seguridad
Los incidentes de seguridad son atendidos una vez que se presentan de manera totalmente reactiva y correctiva. La estrategia es de corrección y recuperación y no de prevención. Los procedimientos de corrección o recuperación son débiles o inexistentes.
Mínima o nula inversión. Las perdidas debido a incidentes de seguridad no son conocidas.
No existen actividades organizadas de mejora sobre seguridad. La organización no entiende sobre tópicos de seguridad ni actividades de reducción de riesgos. No hay planeación asociada a actividades de mejora. La compañía funciona de manera reactiva a incidentes de seguridad.
“No sabemos por qué continuamente tenemos problemas de seguridad de la información.”
Punto centralizado de contacto disponible para reportar incidentes de seguridad. Los incidentes de seguridad son atendidos una vez que se presentan (correctivo vs. preventivo). Estadísticas rudimentarias sobre incidentes de seguridad. Sólo los mayores incidentes son identificados.
Prevención: Fondos mínimos aunado al desperdicio de ellos, invertidos en soluciones de seguridad incompletas provistas por vendedores que anuncian los dispositivos de seguridad “built-in” de sus productos.
El encargado de seguridad trata con proveedores y firmas consultoras de seguridad para conocer servicios y soluciones de seguridad. Algunas políticas y procedimientos de seguridad a nivel organizacional son generadas para resolver aquellas situaciones más comunes. Los usuarios finales tienen una percepción de “obstrucciones innecesarias” respecto a controles de seguridad.
“¿Siempre tendremos problemas de seguridad de la información*?”
Debido al desarrollo de un procedimiento de reporte formal, los reportes de incidentes contienen información relevante que facilita el diagnóstico oportuno de dichos incidentes. Se utilizan herramientas de monitoreo y correlación de eventos. Mejoramiento en las estadísticas de incidentes clarifican los problemas existentes.
Prevención: La estrategia de seguridad está basada en la información sobre incidentes y los análisis de riesgos realizados. Inicialmente se presentan gastos administrados y justificados, aunque los presupuestos pueden verse limitados por el tiempo requerido para el cumplimiento de proyectos.
Gracias a los esfuerzos de programas de awareness los usuarios finales son más cuidadosos y tienden a generar mayores reportes de incidentes. Los usuarios finales identifican controles de seguridad como “necesarias”. Las actividades de la función de seguridad de la información incluyen: programas de awareness, análisis de riesgos, e iniciativas de reducción de riesgos principalmente.
“A través de comités de administración y mejoras a la seguridad de información, estamos identificando, priorizando y protegiendo nuestros activos ”, o “Estamos actualmente buscando soluciones para nuestros problemas de seguridad”
La ocurrencia de eventos de seguridad es revisada periódicamente. Acciones legales son definidas para cada tipo de incidente que se presente.
La inversión es administrada y continuamente justificada debido a la reducción de pérdidas derivadas de las continuas revisiones de seguridad. La inversión es administrada a través de los continuos esfuerzos realizados costo/beneficio (análisis de riegos, e impactos al negocio).
Los riesgos son adecuadamente evaluados y administrados. Las funciones de seguridad incluyen actividades de investigación de tendencias y buenas prácticas, iniciadas para adaptarse al cambiante ambiente relacionado con la seguridad. El programa de security awareness se expande a un programa continuo, técnico y detallado de entrenamiento de seguridad.
“Sabemos qué proteger, de qué debemos protegerlo y qué es lo más importante para nosotros.”
Las causas son determinadas y las acciones correctivas necesarias son generadas y monitoreadas. La información sobre incidentes es retroalimentada en el proceso de administración de riesgos.
La inversión es justificada, totalmente.
Actividades sobre ingeniería de seguridad (análisis de riesgos, auditorías, investigación, etc.) son comúnmente realizadas. Propuestas sobre mejoras de seguridad son generadas por usuarios, dueños de la información y custodios de la información.
“Conocemos y entendemos nuestros requerimientos de seguridad y vivimos y operamos con un nivel de riesgo aceptable.”
La inversión en seguridad contribuye al marketing de la organización.
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM así como de la maestría de seguridad de la información del CESNAV y la UPIICSA, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Enero-Febrero, 2010
B:SECURE 13
b:Secure Award es para…
Oscar Lira Arteaga,jefedeldepartamentodeInformáticay Telecomunicaciones de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la PGR
MODERNIZACIÓN E INVESTIGAC
EN LA PG Tener el valor para romper con el estereotipo que la sociedad mexicana asume de los funcionares públicos y las autoridades judiciales y colocar a México al día en materia de investigación forense digital y combate al cibercrimen son dos de los principales atributos de este policía cibernético Por Carlos Fernández de Lara carlos@netmedia.info
14 B:SECURE
Enero-Febrero, 2010
N CIÓN
GR Enero-Febrero, 2010 B:SECURE 15
S
on casi las once de la mañana. Las nubes aún no despejan y, como muchos otros días en la capital del País, se pronostica un clima “raro” (frío con posible lluvia por la mañana y cielo despejado después del mediodía). Bajo ese escenario el edificio de la Dirección General de Coordinación de Servicios Periciales (DGCSP) de la Procuraduría General de la República (PGR), luce como cualquier otra infraestructura de gobierno, sería y con colores fríos, un tanto desgastada por fuera y con vigilancia, dos policías, en la entrada. Luego de pasar los controles de registro: entrega de credencial de identificación, toma de fotografía e impresión de pase digital, Oscar Lira Arteaga recibe a b:Secure para la entrevista. De traje negro y corbata roja a rayas, Lira luce más como un alto funcionario de gobierno o empresario que como lo que realmente es, un investigador digital y policía cibernético. “Te costó trabajo llegar”, pregunta y agrega “no muchos conocen este edificio de la PGR”. Tras subir un par de pisos, Lira me guía hasta el Departamento de Informática y Telecomunicaciones, un espacio, donde diversos servidores, computadoras y cables forman parte de su decoración, con cerca de medio centenar de personas “los chicos”, les llama él, quienes trabajan frente a sus equipos de cómputo. Uno se pregunta al verlos qué clase de delito informático están investigando: robo, fraude, pornografía infantil en la red o qué tipo de criminal persiguen. Después de todo en Internet los únicos rostros “reales” que conocemos son secuencias de nùmeros, mejor conocidas como direcciones IP Oscar Lira ya sabe que ha sido acreedor al b:Secure Award, una distinción que la revista entrega, desde su formación hace más de un lustro, a los profesionales de seguridad de la información por su labor y aportación en la materia en beneficio de su organización, el gobierno o la sociedad Nacido en la Ciudad de México, Lira Arteaga es egresado de la carrera de Ingeniería en Comunicaciones y Electrónica en la Universidad Tecnológica de México y maestro en Tecnologías de la Información por la Universidad la Salle. Como muchos otros profesionales y especialistas de seguridad IT, Lira comenzó en el mundo de la consultoría en la parte de soporte y desarrollo de políticas de seguridad, campo que eventualmente lo llevó al sector público, más específicos a la PGR. “Hace ocho años nos invitan a formar el departamento de Informática y Telecomunicaciones de la Dirección General de Coordinación de Servicios Periciales de la PGR. En ese sentido tuvimos la fortuna y el honor de crear el área”, dice. Y si bien, confiesa que, en un principio se discutía sobre si el nuevo departamento de IT sería de servicios o de investigación. Hoy, agrega que lo comenzó como un área con tres personas creció a una división con más de “50 almas” trabajando en materia
16 B:SECURE
Enero-Febrero, 2010
de informática en sistemas y comunicaciones y electrónica. Como jefe del departamento Lira y su gente se vieron en la necesidad de desarrollar con éxito, dice, una metodología de investigación en delitos cometidos a través de tecnologías de la información y comunicaciones, la cual, apunta, sigue estándares y procedimiento internacionales adaptados a la realidad mexicana. “En estos ocho años nos hemos dedicado a trabajar con metodología internacional y personal altamente capacitado. Te puedo decir que 50% de los miembros del departamento tienen estudios de maestría y el resto está por concluirlos. En otras partes del mundo miembros del FBI y el Servicio Secreto están adiestrados únicamente en una herramienta o proceso”, comparte Lira. Así, ante el cambiante escenario de los delitos, el robo y fraudes por Internet Lira Arteaga afirma que la PGR y su división de especialistas tienen la capacidad para resolver 95% de los delitos cometidos a través de tecnologías de la información. De modo que desde su punto de vista sería un error tratar de legislar o tipificar conductas y actos como el phishing o el pharming, pues el día de mañana podría tener otro nombre y por lo tanto la legislación quedaría obsoleta. Aun así confiesa, que sí se requieren marco regulatorios sobre los proveedores de Internet (ISP, por su siglas en inglés) para facilitar la investigación de los delitos informáticos, leyes que ya han comenzado a avanzar con las recientes modificaciones que el gobierno hizo a la Ley Federal de Telecomunicaciones. “Con los cambios que se dieron el año pasado en la Ley Federal de Telecomunicaciones, por primera vez, los proveedores de servicios de telefonía móvil tienen la obligación de proveer a la PGR identificación geoestacional de un dispositivo en una plazo no mayor a las 72 horas de conexión”, apunta Lira. Caso contrario con los ISP, que si bien reconoce Lira, casi siempre están dispuestos a colaborar no hay nada en nuestra legislación que les obligue a guardar la información de conexión por determinado tiempo. “En Francia, por ejemplo, los ISP tienen la obligación de almacenar la información de conexión de sus clientes hasta por un año, en Alemania la tienen que guardar durante 6 meses, en México no hay ley. Y, aunque los ISP del país quieran cooperar si no tienen los datos cómo nos ayudan”, explica. Hasta ahora, como Jefe del departamento de Informática y Telecomunicaciones de la DGCS de la PGR Lira ha logrado acuerdos con los ISP del país a través de la Asociación Mexicana de Internet (Amipci). En el área legislativa, el experto también ha actuado como consultor en la generación de nuevas propuestas de ley para el combate de delitos cometidos mediante el uso de tecnologías de la información y comunicaciones en la Cámara de Diputados.
NO ESTAMOS EN PAÑALES NI DESARMADOS
Pero a pesar de la falta de trabajo en el área legislativa Lira Arteaga menciona, que el robo, el fraude, la pornografía, la trata de persona e incluso el acceso ilegal a sistema informáticos sí están tipificados en el Código Penal Federal. La diferencia para encausar y castigar dichos delitos en mundo web está en los procesos y tiempos que las víctimas toman para denunciarlos. “Nosotros trabajamos con base en la leyes que tenemos en nuestro Código Penal y, es muy triste escuchar a la sociedad decir que no existen leyes para combatir este tipo de delitos. Yo les preguntaría qué fue primero los delincuentes o las Tecnologías de la Información. Los crímenes no han cambiado, lo que se transformó es el medio por el cual ejecutan el crimen”, explica. Una realidad que pocos ciudadanos conocen, pues la desconfianza de la sociedad sobre las autoridades y policías y, el estereotipo de corruptos e ineficaces de todos los funcionarios públicos complican la denuncia de los delitos informáticos y, por consiguiente su investigación. “Las leyes dicen que el Ministerio Público es el único responsable de encausar una investigación. Es este, quien tiene que determinar si será la PGR o la Policía quien intervenga en la investigación de delito”, menciona. El problema dice, Lira Arteaga, es que cuando la sociedad piensa en PGR o en autoridades imagina funcionarios corruptos, flojos e incapaces de ayudar al ciudadano. Esta falta de confianza genera una ausencia de la denuncia en el país. “Los más complejo de nuestra esta tarea es el convencimiento. La gente debe de saber que puede confiar en nosotros, muchas veces nosotros tenemos una imagen negativa de que no estamos preparados, que somos unos gorilas prepotentes, cuando uno dice PGR la gente piensa en nube negra”, comparte Lira Para borrar esa realidad, Lira comparte que su metodología de trabajo la han comenzado a “convidar” hacia otros Estados de manera exitosa. Al tiempo que imparten cursos de cómo se deben formar y entrenar a los policías cibernéticos. “Puede parecer que no, pero yo siempre he encontrado una mano extendida de mis superiores. Cuando empezamos con este departamento se sabía poco de la materia e, incluso yo pensaba que era difícil crear un cambio desde el gobierno. Poco a poco estamos logrando la credibilidad de la gente”, dice. TAN SÓLO UN LADO DE LA MONEDA
Pero las herramientas tecnológicas, la constante capacitación y la metodología con las que, Oscar Lira y su equipo del Departamento de Informática y Telecomunicaciones cuentan, son tan sólo una parte en el desarrollo y avance para la resolución y combate de los delitos informáticos. Pero por más avanzada que sea la investigación forense digital
en México, sin la confianza de la gente y su interés por denunciar los delitos detener a los cibercriminales será imposible. “Este es un trabajo de todos, no sólo de la PGR si la gente no tiene el valor de denunciar no se puede hacer una investigación. Yo sé que es difícil y se requiere de mucho estomago ir ante un MP, pero debemos tomar confianza en las autoridades. La ley nos impide, como funcionares, desatender a los ciudadanos, es mucho más difícil demostrar quién cometió un delito, que demostrar y castigar a un funcionario corrupto”, asegura. Quizá fue esta desconfianza de los ciudadanos o desconocimiento sobre la realidad de los delitos informáticos en el país, lo que motivo a Lira a desarrollar uno de los primeros libros en materia de investigación forense digital; Ciberiminalidad, fundamentos de investigación en México, obra que verá la luz en el primer trimestre de 2010, menciona. “En los próximos meses saldrá la publicación y nuestro objetivo con esta, es decirle a la gente qué es lo que hacemos como departamento de investigación y cómo combatimos este fenómeno de acuerdo a la legislación del país”, explica. UNA REALIDAD DE TODOS
Pero los problemas, trabas y retos de México en materia de ciberseguridad no son exclusivos de la nación, pues países latinoamericanos como Chile y Colombia o incluso naciones desarrolladas como Estados Unidos enfrentan realidades muy similares. “He tenido la oportunidad de asistir y formar parte en congresos y foros de ciberseguridad nacionales e internacionales y es un alivio encontrarse que los mismos problemas que enfrentan los chilenos o los estadunidenses en esta materia, no son tan distintos a los que tenemos en México”, apunta. Así, con acuerdos de cooperación entre autoridades y asociaciones, nacionales e internacionales, una metodología de primer nivel, que ya han comenzado a replicar en otros Estados de la República Mexicana, y profesionales altamente capacitados, Lira y su equipo de trabajo afirman estar listos para dar respuesta y solución al creciente número de actividades ilícitas que se cometen mediante el uso de tecnología. Ahora el turno es de la sociedad que tiene la posibilidad de demostrar la eficacia del sistema político y judicial en el combate al cibercrimen a través de la única arma que como ciudadanos tenemos para reclamar por la violación de nuestros derechos y propiedades, la denuncia. “No inventamos el hilo negro en investigación digital, sino que adaptamos, lo que se trabaja en todo el mundo, a las necesidades de México. Pero de nada servirá este trabajo si la población no juega su papel. Si la gente no denuncia, no hay estadística, no hay impacto y sin impacto no hay manera de tratar de legislar o avanzar en el tema de los delitos informáticos” subraya. ●
Enero-Febrero, 2010 B:SECURE 17
´ OPINIÓN
Por Mario Ureña Cuate
RISK IT:
LA NUEVA PROPUESTA DE ISACA PARA LA GESTIÓN DE RIESGOS
S
on cada vez más las organizaciones en nuestro país que toman en serio la Gestión de Riesgos de IT y la han convertido en parte importante de la agenda. Sin embargo, con tantas ofertas de modelos de gestión de riesgos que se pueden encontrar en el mercado la pregunta es: ¿Cuál de ellas utilizar?. En la actualidad, las organizaciones han adoptado modelos de gestión de riesgos muy especializados tales como el ISO27005, el cual ha sido bien recibido gracias al incremento en las implementaciones de Sistemas de Gestión de Seguridad de la Información basados en el estándar ISO27001, o bien, aquellas organizaciones ubicadas en segmentos muy concretos como el financiero, las cuales adoptan modelos como Basilea II. Para poner un poco de orden en este sentido, se ha desarrollado el estándar ISO31000 que pretende ser la guía para la implementación de la gestión de riesgos desde un enfoque de mejora continua. Sin embargo desde el punto de vista de gestión de riesgos de IT las organizaciones han encontrado que los modelos actuales o tienden a ser muy generales (ej. ISO 31000) o muy específicos (ej. ISO27005) y es aquí donde entra en escena la nueva propuesta de ISACA con el marco de referencia de “Risk IT”. Risk IT pretende ser una herramienta práctica para la gestión de riesgos basado en los conceptos de valor y beneficios que la organización obtiene a través de sus iniciativas de IT. Al igual que sus hermanitos CobIT y Val IT, Risk IT se concentra en el cumplimiento de los objetivos de la organización. Mientras CobIT se concentra en la gestión de procesos de IT a través de la implementación, mantenimiento y monitoreo de controles y Val IT se concentra en la gestión del portafolio de iniciativas de IT para generar valor a la organización, Risk IT tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios, así como los riesgos de no aprovechar las oportunidades y beneficios que una iniciativa de IT podría proporcionar a la organización. Es decir, el riesgo de no tomar ventaja de IT. Esta última descripción separa al Risk IT de otros modelos de riesgos, ya que mientras la mayoría de ellos busca eliminar los riesgos, Risk IT también considera la posibilidad de tomar e ir en la búsqueda de riesgos que podrían beneficiar a la organización, siempre y cuando se encuentre el balance adecuado entre Riesgo / Valor. En muchas ocasiones que he tenido la oportunidad de desarrollar proyectos relacionados con la gestión de riesgos, es común que los representantes de áreas no informáticas de una organización me soliciten que como resultado del proyecto, les indique ¿Cuál es el nivel de riesgo que deben tomar para poder maximizar sus beneficios? La respuesta a este tipo de cuestionamientos se puede obtener adoptando Risk IT como modelo de gestión de riesgos.
Risk IT no se limita a la seguridad de la información, también considera: UÊ ,iÌÀ>à ÃÊi Ê >Êi ÌÀi}>Ê`iÊ«À ÞiVÌ Ã UÊ Ê> V> â>ÀÊÕ ÊÃÕv V i ÌiÊÛ> ÀÊ`iÊ / UÊ Õ « i Ì UÊ Ê> i>V Ê`iÊ /ÊV Ê >Ê À}> â>V UÊ ÀµÕ ÌiVÌÕÀ>Ê`iÊ /Ê Là iÌ>ÊÞÉ Ê v iÝ L i UÊ *À L i >ÃÊi Ê >Êi ÌÀi}>Ê`iÊÃiÀÛ V ÃÊ`iÊ / Los principios de Risk IT contemplan: UÊ - i «ÀiÊiÃÌ>ÀÊV iVÌ>` ÊV Ê ÃÊ L iÌ Û ÃÊ`iÊ >Ê À}> â>V UÊ i>V Ê`iÊÀ iÃ} ÃÊÀi >V >` ÃÊV Ê >Ê}iÃÌ Ê`iÊ /ÊV Ê ÃÊ riesgos de toda la organización UÊ > > ViÊ`iÊV ÃÌ ÃÊÞÊLi iv V ÃÊi Ê >Ê}iÃÌ Ê`iÊÀ iÃ} à UÊ *À ÛiÀÊÕ >ÊV Õ V>V Ê>L iÀÌ>ÊÞÊ ÕÃÌ>Ê`iÊ ÃÊÀ iÃ} ÃÊ`iÊ / UÊ ÃÌ>L iViÀÊi ÊÌ ÊV ÀÀiVÌ Ê`iÃ`iÊ >Ê> Ì>Ê` ÀiVV Ê i ÌÀ>ÃÊÃiÊ`ifine y refuerza la responsabilidad del personal para operar en niveles de tolerancia aceptables y bien definidos UÊ Ìi ` i Ì Ê`iʵÕiÊÃiÊÌÀ>Ì>Ê`iÊÕ Ê«À Vià ÊV Ì Õ ÊÞÊv À >Ê parte de las actividades diarias Risk IT se encuentra dividido en tres grandes dominios que incluyen: Gobierno de Riesgos, Evaluación de Riesgos y Respuesta al Riesgo y será presentado y discutido en la próxima conferencia internacional de ISACA que se llevará a cabo en Cancún (por primera vez en Latinoamerica) el próximo mes de Junio.
LA NUEVA CERTIFICACIÓN DE ISACA - CRISC Como parte de los esfuerzos que la asociación ha emprendido en relación con el tema de gestión de riesgos se ha confirmado la emisión de la certificación CRISC (Certified in Risk and Information Systems Control) que en conjunto con las certificaciones CISA, CISM y CGEIT promete ser una de las más solicitadas por los profesionales de IT. Esta certificación contempla dentro de su base de conocimiento: UÊ `i Ì v V>V ÊÞÊiÛ> Õ>V Ê`iÊÀ iÃ} à UÊ ,iëÕiÃÌ>Ê>ÊÀ iÃ} à UÊ Ì Ài Ê`iÊÀ iÃ} à UÊ Ãi ÊiÊ « i i Ì>V Ê`iÊV ÌÀ iÃÊ`iÊà ÃÌi >ÃÊ`iÊ v À >V UÊ Ì Ài ÊÞÊ > Ìi i Ì Ê`iÊV ÌÀ iÃÊ`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v Àmación El esquema para poder obtener ésta certificación, como en otros casos requiere la aprobación de un examen de conocimiento, demostración de experiencia y adherencia al código de ética. Sin embargo, se iëiÀ>ʵÕiÊ«>À>Êi Ê iÃÊ`iÊ>LÀ Ê`iÊjÃÌiÊ> ÊÃiÊ V iÊÕ Ê«À Vià Ê`iÊViÀtificación a través de la opción de “grand fathering”. Esperemos ver la aceptación de los profesionales de IT y Seguridad de la Información tanto para ésta nueva certificación CRISC (See Risk), como para Risk IT. ●
Mario Ureña Cuate es director general de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Formadores de Opinión del British Standards Institution (BSI). www.mariourenacuate.com
18 B:SECURE Enero-Febrero, 2010
ÁREARESTRINGIDA VULNERABILIDAD EN EL PROTOCOLO SSL Por Roberto Gómez Cárdenas
T
odos los días se encuentran nuevas vulnerabilidades y se llevan a cabo ataques a sistemas de información. En el mes de noviembre se dio a conocer un ataque sobre los telefonos inteligentes iPhone desbloqueados (Jailbreaking, como se le conoce), y se presentó una vulnerab ilidad sobre su protocolo SSL. El protocolo SSL (Secure Socket Layer) permite establecer un intercambio de información seguro entre dos entidades. El protocolo tiene por objetivo el garantizar la confidencialidad, integridad y autenticidad de los datos intercambiados entre las dos entidades participantes. La mayor parte del tiempo se asocia al protocolo con servidores Web y el protocolo HTTP. Sin embargo, el protocolo SSL puede ser usado para proteger el protocolo POP3, IMAP, etc. Cuando uno habla de HTTPS se refiere al uso de HTTP sobre SSL, es decir dada una conexión SSL establecida se envía información HTTP dentro del canal. Por otro lado existe el protocolo S-HTTP que fue creado para ser usado exclusivamente en comunicaciones HTTP. La propuesta de S-HTTP implica una extensión del protocolo HTTP para permitir cifrado y autenticación dentro de este protocolo. El protocolo SSL fue desarrollado por la gente de Netscape. Aunque no era un protocolo propietario su uso era libre y se conocía su funcionamiento, este no se encontraba definido en ningún estándar. La IETF (Internet Engenieering Tasking Force) creó el estándar TLS (Transport Layer Security) basándose en las especificaciones de SSL. La última versión del estándar se puede encontrar en el RFC 5246. El protocolo SSL funciona de la siguiente forma. El cliente contacta al servidor enviando un mensaje Client Hello y le indica que desea establecer una comunicación segura, así como los algoritmos de cifrado que maneja. El servidor responde con un mensaje Server Hello y la selección del algoritmo, así como un certificado para que el cliente pueda garantizar la autenticidad del servidor. El cliente define una llave de cifrado temporal, extrae la llave pública del servidor de su certificado y la usa para enviarle la llave temporal de forma segura. A partir de este momento las dos entidades cuentan con una llave de cifrado y pueden intercambiar información de forma segura. En la especificación del protocolo se indica que el cliente opcionalmente puede presentar un certificado al servidor. En noviembre del 2009 se dio a conocer una vulnerabilidad en el protocolo SSL que permite llevar a cabo un ataque de hombre en medio. La vulnerabilidad fue descubierta por Marsh Ray y Steve Dispensa de 20 B:SECURE Enero-Febrero, 2010
PhoneFactor, y es resultado de una debilidad en el protocolo en sí no de una implementación de este, por lo que su impacto afecta a varios sistemas. La vulnerabilidad aprovecha la facultad de renegociación de SSL. Esta facultad permite al cliente o servidor renegociar los parámetros de seguridad en cualquier momento. Como ejemplo cualquiera de las dos entidades puede refrescar las llaves criptográficas, incrementar el nivel de autenticación, incrementar la fortaleza del algoritmo de cifrado, o llevar a cabo cualquier otro tipo de acción similar. Para llevar a cabo la renegociación el cliente debe enviar un mensaje Client Hello. El servidor responde con un mensaje Server Hello y el resto de la negociación se lleva a cabo como arriba se describe. La renegociación se lleva a cabo sobre la conexión SSL ya establecida. La vulnerabilidad permite implementar un ataque de hombre en medio, permitiendo al atacante ejecutar comandos entre el cliente y el servidor. Es necesario que el atacante pueda ver todos los paquetes que el cliente y el servidor se intercambian, por lo que el ataque sólo se puede llevar a cabo a nivel local. Cuando el atacante se da cuenta que el cliente se desea conectar con el servidor intercepta la petición y la detiene. El atacante se conecta al servidor, pudiendo llevar a cabo una serie de peticiones/respuestas con él. Es en este momento que el servidor solicita una renegociación al servidor SSL. Una vez que la renegociación inicia, el atacante deja pasar la petición de conexión del cliente al servidor. Este último, al creer que ambas peticiones de negociación provienen del mismo, las junta, teniendo como consecuencia que al cliente le llega la sesión del atacante. Cualquier protocolo corriendo bajo SSL es susceptible a un ataque. Uno de los protocolos más utilizados bajo SSL es HTTP. El investigador Anil Kurmus, demostró cómo se puede usar esta vulnerabilidad para lanzar un ataque sobre Twitter. Se montó un ataque que permitió robar información de acceso al servidor de Twitter. El servicio Twitter ya actualizó su servidor y este ataque ya no es posible. Por otro lado Marlinspike, creador de la herramienta SSL StripTool, declaró que es necesario que el atacante lleve a cabo una autenticación del cliente, un escenario poco general cuando se usa SSL. De acuerdo a personal de IBM-ISS se considera el ataque como una variante de un ataque CSFR, al que se supone que cualquier banco y/o organización seria, obligada a cumplir la directriz PCI, no debe ser vulnerable. La vulnerabilidad aún existe y se ha convocando a una reunión para tomar decisiones. Aunque el riesgo es mínimo se recomienda actualizar los servidores SSL que se estén usando. ●
´ OPINIÓN QUE MIS EMPLEADOS ESTÁN TWITEANDO ¿QUÉ? Por Andrés Velázquez
L
as redes sociales han permitido que grupos de personas colaboren, incluso existen varios miembros del área de seguridad de la información de empresas y organizaciones que ya están en Twitter y Facebook. No es un secreto que la tecnología avanza a pasos agigantados y es difícil alcanzarla. Un ejemplo de ello, es que como especialistas de seguridad de la información le huimos a las redes sociales. Las redes sociales fueron creadas como una plataforma de colaboración, se han perdido entre la fina línea de un chismógrafo de escuela y en algunos casos en una nueva forma de buscar proyectos y trabajo. Facebook por ejemplo, se ha inundado de aplicaciones que sólo hacen que alguien dentro de la organización pueda perder una gran cantidad de tiempo. Sin embargo, nuestros empleados lo usan para postear fotografías de sus últimas hazañas tanto dentro como fuera de la organización. Twitter es una historia diferente; es la red social que parece más inofensiva. Con sólo 140 caracteres, el usuario debe usar poderes inimaginables para poder convertir una idea o conjunto de ellas en una pequeña frase que pueda ser relevante para los demás. En Twitter no hay muchos permisos que administrar. O dejas que todo el mundo te vea o simplemente tú eliges a quién dejar ver tu “timeline” (lo que estás posteando). Éstas personas que te siguen, se convierten en tus followers; una mezcla entre amigos-fans que estarán leyendo lo que compartes –en 140 caracteres- a cada rato. Por otro lado, tú te conviertes en follower de otros, usuarios que vas conociendo a partir del tiempo de leer de otras personas. También existen las cuentas de Twitter de empresas; donde es posible seguir de cerca nuevos lanzamientos, vulnerabilidades, etc., que publican las principales compañías del mundo. Por ejemplo, la de ISC2 (@ISC2) o Cisco Systems (@CiscoSystems). Es como tener un boletín pequeño de lo que pasa en el medio. Es en Twitter donde últimamente se han puesto mejor los debates de que, si no fuera por esta plataforma, no nos enteraríamos de lo que acontece en el mundo. Negociaciones de un Convenio de Anti-Pirateria (ACTA), el impuesto al Internet (#internetnecesario) y muchos eventos de los cuales no tendríamos noticia alguna. Dos preguntas claras evidencian a un escéptico cuando platico acerca de Twitter: ¿Y para qué tener una cuenta de Twitter? Porque permite, en un tiempo muy corto, aprender, conocer y compartir información con otras personas del gremio o de los mismos intereses. Por ejemplo, hace un par de días, fue gracias a un twit (nombre
dado a cada mensaje vía Tweeter), pude conocer de un lanzamiento de una nueva versión de un producto que tengo en mi infraestructura; también pude saber y compartir puntos de vista con abogados y gente del medio de seguridad informática sobre el ataque de Google. Pero yo no tengo nada que decir, ¿para qué tengo una cuenta de Twitter? Todos tenemos algo que compartir (hay que saber hasta dónde y cuándo). Pero permite generar un grupo de opinión en algo en lo que somos expertos. Pero no todo es color de rosa. El problema central al que me he enfrentado se da cuando alguien dentro de la organización tiene una cuenta en alguna red social y se la pasa hablando de los proyectos, incidentes y problemáticas en los cuales se encuentra trabajando. Siendo así que muchas veces comparte información confidencial que puede afectar a la compañia. ¿Pero cómo vamos a saber cómo educar si no tenemos una cuenta? Por ejemplo, Facebook puede ser una excelente herramienta para el área de recursos humanos; donde pueden validar el tipo de información que sus empleados o seleccionados comparten con los demás; sus hábitos después de la oficina y las posibles balconeadas que hizo en su empleo anterior o en su actual. Lo mismo se puede hacer en Twitter. Yo les recomiendo que inicien aprendiendo de la plataforma, verán que si tienen interés en algo en particular, encontrarán a otro usuario que les compartirá información a partir de sus vivencias que pueden ser enriquecedoras para ustedes. Para que inicien con su lista de a quién seguir en twitter, pueden agregar a Mónica Mistretta (@monicami), Carlos Fernández de Lara –editor de b:Secure- (@cfernandezdlara) y algunos columnistas de esta revista: Joel Gómez (@joelgomexmx) y Roberto Gómez (@cryptomex). Mucho de esto y más, estaremos hablando en el b:Secure Conference de este año. Particularmente en la conferencia: “The Net, socialmente peligrosas”; donde mostraré algunos ejemplos prácticos. Andrés Velázquez es un mexicano especialista en delitos informáticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. avelazquez@uat.edu Síguelo en Twitter: http://twitter.com/cibercrimen
Enero-Febrero, 2010
B:SECURE 21
´ OPINIÓN ENSEÑANZA DE LA PROGRAMACIÓN SEGURA Por Matt Bishop y Deborah Frincke,
Instituto de Ingenieros Eléctricos y Electrónicos
L
os usuarios, los gerentes, y los profesionales desarrolladores de computadoras todos están de acuerdo en que necesitamos programas y sistemas informáticos que sean “más seguros”. Tales esfuerzos tendrán que contar con el apoyo que brindan tanto las comunidades de educación como las de capacitación técnica, para mejorar el aseguramiento de los programas informáticos – sobre todo para escribir códigos seguros. Las conversaciones sobre lo que hay que enseñar al fin y al cabo remontan a quien enseña, a quien aprende, y a lo que es la última finalidad de lo enseñado. Existen diferencias importantes entre los planes académicos dedicados a mejorar el conjunto de habilidades del estudiante (la capacidad específica para escribir un código seguro, por ejemplo) y los planes académicos dedicados a mejorar los conocimientos del estudiante (los principios que fundamentan la escritura de códigos seguros). Los dos tipos son imprescindibles para realizar mejoras duraderas en el estado de los productos modernos de programas informáticos. Si desarrollamos y revisamos solamente los programas académicos dedicados a mejorar el conjunto de las destrezas específicas, el ritmo rápido del cambio tecnológico pronto hará que las destrezas sean obsoletas y las personas que acaban de adquirirlas tendrán que someterse a la capacitación continua. Si solamente desarrollamos conocimientos, habrá muchas personas que conocen bien los principios que tienen que aplicarse, pero que no podrán producir un buen código seguro.
¿QUÉ ES EL ASEGURAMIENTO? “El aseguramiento” tiene tantos significados como los que quieren explicarlo. En este artículo, consideramos que se define como una medida de confianza que alguna entidad – tal vez un programa informático – puede cumplir sus criterios. De forma paralela, “el aseguramiento de seguridad” para un puente abarcaría las medidas demostrables que aumentaría nuestra confianza que el puente es seguro para el uso dentro del medioambiente indicado. “El aseguramiento de seguridad” llama la atención a los criterios relacionados con la seguridad. Un profesional en el campo que “escribe un código que es claramente seguro” demuestra una destreza que merece mayor confianza que el sistema que está usando ese código será seguro. Igual que el puente, esta perspectiva hacia el aseguramiento de la seguridad está enlazada con el entendimiento del medioambiente de uso, con los usos esperados a que se dedicará el sistema o el código resultante, y alguna definición de lo que constituyen los medios “seguros” (o asegurados) dentro de este contexto. La divergencia de estas expectativas lleva al sistema fuera del ámbito de lo conocido y podría resultar en el fracaso, igual que el manejo de un camión con peso excesivo sobre un puente podría resultar en el derrumbe. Con respecto a los estudios superiores, la meta principal de enseñar el aseguramiento no es enseñar a los estudiantes a evitar el desbordamiento de la memoria intermedia temporal en un lenguaje de programación 22 B:SECURE Enero-Febrero, 2010
particular, sino enseñarlos sobre los principios que se debe usar para determinar cuáles son las prácticas de programación que habrá que seguir para evitar que surja el problema del desbordamiento de la memoria intermedia temporal. La diferencia entre estas dos perspectivas es la diferencia entre los estudios teóricos superiores y la formación técnica.
DISEÑAR LA SEGURIDAD COMO COMPONENTE BÁSICO YA INTEGRADO El enfoque de los estudios superiores recae sobre el diseño de seguridad desde un principio, en vez de meterlo después como componente agregado. Incorporar los mecanismos de seguridad a un sistema ya existente, o reparar las vulnerabilidades presentes en éste, puede generar varios problemas, y es posible que ni corrija el problema original que fue objeto de la reparación. El nuevo mecanismo debe ser diseñado para funcionar debidamente con todos los aspectos del sistema existente. Los parches de seguridad pueden introducir nuevas vulnerabilidades de seguridad, como se dio cuenta un proveedor cuando corrigió un defecto de seguridad que se dio a conocer ampliamente en la prensa, el cual dejó a los atacantes leer los correos electrónicos de los usuarios: el parche introdujo un defecto nuevo que tenía el mismo efecto que el original – y que fue más fácil de explotar. El mecanismo agregado también de por sí puede generar problemas de seguridad. Por ejemplo, considere el programa “Windows XP Service Pack 2”, que fortalece bastante la seguridad de Windows XP. Desafortunadamente, también estorbó ciertos programas existentes e impedía que algunos funcionaran – la denegación de servicio. El paquete de servicio fortaleció los sistemas de usuarios que no usaban esos programas, pero, al contrario, generaron un nuevo problema de seguridad para los que sí los usaban.
IMPORTANCIA DE LO GENERAL Al evitar un enfoque sobre ciertas vulnerabilidades de seguridad particulares, podemos enseñar a nuestros estudiantes a identificar problemas que pueden plantearse en el futuro, recurriendo al análisis de los medios que se usaban para poner los sistemas y los programas informáticos en práctica. En vez de concentrarnos sobre las matrices que desbordan, por ejemplo, un estudiante aprendería que las variables implícitamente impone restricciones sobre el tamaño – un número entero, por ejemplo, tiene que ser entre 2,147,483,647 y 2,147,483,648, inclusive. La pregunta que corresponde hacer es qué pasará si no se respeta este supuesto. Si consideramos que los tipos de matrices también incluyen su tamaño – por ejemplo, una matriz de 100 caracteres – corresponde el mismo principio, y el problema del desbordamiento de la memoria temporal viene siendo un aspecto de un problema más general y omnipresente. Aprender a enfrentarse con los desbordamientos de memoria intermedia no ayudará al programador a resolver desborda-
mientos numéricos, pero si el programador aprende a enfrentarse con los desbordamientos en términos generales, sabrá cómo enfrentarse con los dos tipos de desbordamiento. El acercamiento más generalizado es la marca distintiva de los estudios superiores. Este enfoque sobre lo general deja a los estudiantes aplicar los conceptos y principios a todo lenguaje de programación y a todo medioambiente. Considere, por ejemplo, los lenguajes de programación. La enseñanza de los aspectos concretos de la programación con la seguridad aumentada para cierto conjunto de lenguajes solamente ayuda cuando el estudiante está trabajando con esos lenguajes particulares. Si los estudiantes entienden problemas en sus aspectos más generales, pueden especializarse con la programación de ciertos lenguajes particulares.
ACERCAMIENTO A BASE DE LOS PRINCIPIOS A fines de la década de los 60, los científicos empezaron a preocuparse por las consecuencias de almacenar la información en las computadoras. Aunque sólo hablaban de esas consecuencias dentro del contexto de la información privilegiada, los problemas que reconocieron incluían la confidencialidad, la integridad, y la disponibilidad. Dentro del medioambiente académico, estos principios son fundamentales para la enseñanza del aseguramiento. Considere el concepto del mecanismo de validación de referencias encarnado en un módulo de control de acceso, el cual es un componente de sistema que permite acceder a cierto recurso. El módulo de control de acceso tiene que cumplir tres criterios: UÊ / ` Ê>VVià Ê`iLiÀ?Ê«>Ã>ÀÊ« ÀÊ i` Ê`iÊj Æ UÊ / i iʵÕiÊÃiÀÊÃi V Ê«>À>Êv iÃÊ`iÊÛiÀ v V>V Ê`i Ê Ã ÆÊÞÊ UÊ / i iʵÕiÊÃiÀÊ>Ê«ÀÕiL>Ê`iÊ > «Õ >V ]Ê«>À>ʵÕiÊ ÊÃi>Ê V Ì>mente modificado. Ahora aplique este concepto a un servidor sencillo del Web que ha sido diseñado para transmitir archivos (páginas Web) a los clientes. No se debe permitir a todos los otros servidores en la red tener acceso a estos archivos. Ésta es una cuestión de configuración que exige que abordemos algunas consideraciones sobre la programación (tales como la comprobación de permisos) y decisiones administrativas (en donde se debe colocar los archivos). El criterio de la sencillez quiere decir que el servidor debe ser tan pequeño como sea posible, provisto de la funcionalidad para servir solamente esas páginas Web. No debe ejecutar, por ejemplo, un subproceso para leer los archivos. Y, por fin, el criterio del programa tiene que ser a prueba de manipulación quiere decir que el servidor debe impedir que se altere el código ejecutable. Esto requiere que se eviten desbordamientos de la memoria intermedia temporal (los cuales típicamente inyectan un código ejecutable en el proceso). Mientras vamos agregando criterios al servidor Web – por ejemplo, la capacidad para ejecutar cierto conjunto de programas de interfaz de entrada común (conocidos en inglés por sus siglas “CGI”) – la aplicación de esos principios cambia (el criterio de ser a prueba de manipulación ahora abarca los programas de interfaz de entrada común que se ejecutan a favor de los servidores del Web). Sin embargo, los principios siguen siendo los mismos. Esto explica por qué es importante estudiar la historia del aseguramiento. Los estudios tempranos presentan obras seminales que todavía son vigentes hoy en día, aunque dentro de contextos diferentes. La
máxima de Santayana sin duda cabe aquí: quien no conoce la historia está condenado a repetirla (o redescubrirla).
¿QUÉ PAPEL HACEN LAS LISTAS DE CONTROL? Las listas de control sobre la seguridad dan la voz de alarma (porque pueden reemplazar el razonamiento con el conformismo con las normas que no atañan al caso), así como inspiran entusiasmo (porque sirven de guía para confirmar que se tuvieron en cuenta debidamente las consideraciones sobre la seguridad). Las listas de control hacen un papel en el aseguramiento. Piense en la formación de estudiantes para la carrera de piloto. Utilizan listas de control a lo largo del proceso de su formación – todo aspecto desde el prevuelo (el aseguramiento que el avión está listo para el despegue) hasta las maniobras durante el vuelo (el aseguramiento que todo va bien antes de iniciar las maniobras para ladear o aterrizar el avión). Los pilotos profesionales también usan y respetan las listas de control para asegurar que ni la familiaridad en exceso ni la prisa les lleva a saltar por encima de elementos claves de seguridad. Puede haber listas de control propias de aviones específicos – el tablero de control en un avión de Cessna 172 es bastante diferente del de un Boeing 747 – pero el estudiante piloto debe tener suficiente conocimiento de los principios que se usaron para elaborar estas listas de control, para que sea capaz de formular respuestas generalizadas en casos de urgencia. Esto establece el papel que hacen las listas de control con respecto a la programación segura. Pueden brindar enumeraciones muy útiles sobre los actos específicos necesarios para la seguridad y el aseguramiento. Primero, deben derivarse de principios sólidos sobre el aseguramiento, para después adaptarse al medioambiente y a las necesidades de protección concretos. No son sustitutos del estudio de los principios que impulsaron su formulación, ni debemos considerarlas sustitutos del buen juicio. Mientras la disciplina de la ciencia informática va madurando, la capacidad para escribir códigos seguros debe considerarse tan fundamental para el estudiante universitario de grado en la ciencia informática como el alfabetismo básico. Los estudiantes de grado en la ciencia informática (y los que van a contratarlos) normalmente esperan terminar la carrera dotados de las destrezas básicas que necesitan para conseguir y ocupar un puesto de trabajo, así como del conocimiento de conceptos, principios y los métodos de pensar que los dejarán actuar con un alto nivel de competencia. Hay una preocupación creciente dentro de la comunidad académica que la necesidad de la seguridad mejorada para los programas informáticos pondrán mayor presión para enseñar destrezas de enfoque estrecho sobre los lenguajes específicos y sistemas operativos a expensas de la enseñanza de estudiantes en los conceptos fundamentales del aseguramiento. El deber del mundo académico no es enseñar simplemente técnicas de programación, sino impartir conceptos, principios, y métodos de razonamiento que los estudiantes pueden aplicar a las situaciones nuevas. Por su parte, los ya titulados y a los empleadores, deben apoyar el compromiso hacia la formación profesional continua, para que los empleados puedan perfeccionar las destrezas necesarias para llevar esos conceptos y esos principios a la práctica dentro del contexto de sus trabajos. ●
Matt Bishop es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y profesor de ciencia informática en la Universidad de California, Davis. Para comunicarse con él, diríjase al bishop@cs.ucdavis.edu Deborah A. Frincke es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y científica principal del Grupo de Seguridad Cibernética del Laboratorio Nacional del Pacífico del Noroeste. Para comunicarse con ella, diríjase al deborah.frincke@pnl.gov Para informarse en mayor detalle sobre el Instituto de Ingenieros Eléctricos y Electrónicos, favor de visitar al www.ieee.org Enero-Febrero, 2010 B:SECURE 23
EL INVITADO
Por Elihú B. Hernández
¿CAFÉ PURO O DESCAFEINADO?
P
ara los que están relacionados de alguna manera con el análisis forense digital probablemente el término COFEE les resulte familiar. Para aquellos que no lo están tanto, COFEE es el acrónimo de Computer Online Forensic Evidence Extractor, una colección de herramientas que desde Junio de 2007, Microsoft puso a disposición de distintas agencias especializadas en el combate de delitos cibernéticos alrededor del mundo. Esta suite se compone de aproximadamente 150 comandos y está orientada al análisis en vivo de sistemas Windows recabando información de procesos ejecutados en memoria, aplicaciones, conexiones de red, etcétera: minimizando la perdida de datos (evidencia volátil) de una manera automatizada mediante la inserción de un dispositivo USB en el equipo que se desea analizar. COFEE además de recolectar información del sistema también es capaz de decriptar passwords, recolectar la información relacionada con las preferencias de navegación del usuario, entre otras; pero sin duda lo que más sobresale de la herramienta es que toda la extracción de datos del sistema la realiza de manera automatizada y almacena los resultados en el mismo llavero que se utiliza para el análisis sin que se requiera un entrenamiento especial para el usuario. Como puede suponerse esta aportación de Microsoft contra el cibercrimen disgustó a la comunidad hacker quien, en respuesta a COFEE creó DECAF (Detect and Eliminate Computer Assisted Forensics), una herramienta que inhibe el uso de la suite COFEE. Las acciones que toma DECAF van desde eliminar de manera inmediata todos los archivos temporales (entre los que COFEE escudriña) hasta bloquear por completo el equipo. Afortunadamente DECAF solo está orientado (momentáneamente) a contrarrestar el uso de COFEE, por lo que no bloquea el uso de otras herramientas dedicadas a la automatización de recolección de información y análisis de sistemas en vivo tales como Helix Live Response, herramienta similar que hace uso de la portabilidad y auto-ejecución mediante un dispositivo USB. Helix Live Response a diferencia de COFEE se puede adquirir sin pertenecer a una agencia especializada en delitos informáticos y tiene un costo de aproximadamente 500 USD. Posee diversas funcionalidades como búsquedas de patrones, (hashes) estado de los drives (dispositivos de almacenamiento) que se encuentren encriptados entre otras funcionalidades y puede ser adquirido desde su propio sitio web (e-fense) sin las restricciones aplicables a COFEE (Microsoft) Evidentemente la tendencia dentro del mundo del análisis forense digital es contar con herramientas automatizadas y esto desde mi punto de vista es el resultado de 2 factores críticos cuando en un supuesto delito se encuentra involucrada evidencia digital: Los graves errores humanos cometidos durante el proceso de recolección de evidencia digital
La falta de profesionales en materia de cómputo forense para enfrentar una investigación. ¿Cuántas veces no nos hemos topado con un incidente de seguridad de la información o un posible caso de fraude y no sabemos qué hacer y sufrimos de una parálisis total, sobre todo si no se tiene bien definido un proceso de respuesta a incidentes dentro de la organización? Desconocemos si el incidente hay que notificarlo al área de redes, soporte técnico, seguridad informática y para colmo una vez que fue notificado, cada área en cuestión tiene diferentes puntos de vista de cómo abordar el incidente. Quizá el departamento de redes decida bloquear las reglas de algún firewall o de plano desconectarla de la red, el área de soporte prefiera formatear el equipo, haciendo alusión al dicho de muerto el perro se acaba la rabia, y por último el departamento de seguridad informática quizá pida el resguardo del equipo para poder realizar una revisión detallada, cuando muy probablemente ya no hay ningún dato de valor en el equipo para la investigación. Todo esto nos lleva a reflexionar acerca del valor de estas nuevas herramientas. Si responder a un incidente fuera tan fácil como conectar un llavero USB a un equipo y recabar de manera automatizada la evidencia volátil minimizando la perdida de datos al mismo tiempo que se recaban elementos suficientes para realizar una reconstrucción de lo ocurrido en un análisis detallado que pudiera llegar a utilizarse dentro de un proceso legal. ¿Qué pensaría? En conclusión estos novedosos dispositivos pueden ser un aliado importante para responder oportunamente a un incidente e incluso apoyar en las tareas de detección de vulnerabilidades de manera oportuna. Sin embargo, mal utilizados pueden ser un arma peligrosa que nos puede jugar en contra sobre todo por la simplicidad de su uso (Plug & Play), pues pueden ser fácilmente utilizada para fines ilícitos tales como el espionaje o la recolección de usuarios y contraseñas guardadas en el sistema si el consentimiento del usuario. Afortunadamente para los que tiene la mayoría de sus servidores en sistemas tipo Unix estas herramientas (COFEE & APERIO) por el momento solo están diseñadas para ejecutarse bajo las plataformas de Microsoft. No obstante la inmensa mayoría de los usuarios finales utilizan la plataforma de Microsoft Windows para realizar sus labores diarias. ¿Se imagina qué pasaría si una de las estaciones de trabajo que utiliza su personal de administración de infraestructura utilizara la opción de Windows de recordar contraseñas y fuera utilizado COFEE o Helix Live Response en ese equipo? El único camino o contramedida que nos queda es el de siempre fortalecer los procesos y las políticas de seguridad de la compañía evitando o controlando todos aquellos dispositivos que puedan ser reconocidos como una unidad de almacenamiento extraíble; y tal y como sucede con la mayoría de los virus actuales, eliminar la funcionalidad de reproducción automática de todas las unidades. ●
Elihú B. Hernández, GCFA (ehernandezh@produban.com.mx) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)
24 B:SECURE Enero-Febrero, 2010
´ EXTREMA AUDITORÍA
SOFTWARE PARA INGENUOS
CONTRA USUARIOS INGENUOS NO HAY HERRAMIENTAS DE SEGURIDAD
Por Mario Velázquez
S
i en la calle, alguien a quien no conocemos, ofrece vendernos un iPhone increíblemente barato, seguramente no lo compraríamos; sin duda pensaríamos: “algo anda mal, probablemente es robado o es un fraude”. Y es que ya hemos aprendido a tener este tipo de suspicacias y a evitar riesgos de la vida diaria. La pregunta es, ¿por qué en Internet no aplicamos la misma regla?, ¿Por qué sí creemos que on-line regalan cosas?, cuando lo cierto es que cuidando algunos comportamientos en el uso de Internet reduciríamos considerablemente los riesgos a los que estamos expuestos, y muchos de los descuidos contra los cuales no hay herramientas ni dispositivos de seguridad que nos ayuden. Un ejemplo de la ingenuidad que manifiestan los cibernautas es la descarga, en sus equipos, de programas de seguridad fraudulentos, cuyo costo ronda los $ 0.52 centavos de dólar. Por supuesto, este precio deslumbra a muchas personas, quienes los adquieren sin pensar en las consecuencias. La razón por la cual los internautas compran estos productos, además del precio, es el temor a tener en su máquina algún tipo de malware, puesto que el gancho para atraparlos es un aviso en un website pup-ups o mensajes con alertas falsas que le indican al usuario que su equipo está infectado. Después, en el sitio invitan a la víctima a hacer click en una liga donde hay un programa para remediar su riesgo de seguridad, y como este software es sumamente barato, pues ya está hecho. Esto es más fácil que vender lápices en el colegio en un día de examen. Para probar lo anterior, basta decir que, de acuerdo a un estudio de Symantec, se detectaron alrededor de 250 programas de seguridad fraudulentos circulando en la red, y un amplio porcentaje de estos fueron descargados voluntariamente por los usuarios. Pero ojo, estos programas no sólo no resuelven los problemas de seguridad que, probablemente, no existían en una máquina, sino que, además, contienen código malicioso que se instala en la computadora de la persona para tomar control de ésta, conocer información confidencial del propietario o realizar otros fraudes. Aunque muchas veces los sitios web de donde se descargan estos programas de seguridad apócrifos son parte del mismo fraude, en oca-
siones los website legítimos son susceptibles de publicitar a estos programas falsos sin saberlo. Las pérdidas por este fraude tal vez no son muy importantes para el usuario por los bajos costos del software, sin embargo el hecho de que la seguridad de la computadora quede realmente comprometida es invaluable. Por otro lado, lo que puedan hacer los defraudadores con la información de la tarjeta de crédito con la que se realizó la compra sí puede tener impactos importantes para el internauta. Otros datos que arrojó el estudio de Symantec, es que de los 50 principales programas de seguridad fraudulenta, 61% de los ataques se realizaron en América del norte, 31% se presentó en Europa, Medio oriente y África, 6% en Asía pacífico y 2% en América Latina. El precio que tienen estos programas depende mucho de la región. El 93% de éstos se publicita en sitios web que fueron creados especialmente para realizar este tipo de actividades fraudulentas, mientras que 52% es publicitado a través de publicidad Web. Se ha generado también un nuevo modelo de negocio para conseguir más víctimas. Los cibercriminales pagan una comisión a los scammers que logren convencer a los usuarios de instalar software de seguridad falso. Además de las recomendaciones tradicionales para reducir los riesgos cuando navegamos en Internet, hay que evitar descargar programas de seguridad de los cuales no tenemos referencias y confiar más en aquellos que son conocidos, que ya tienen un prestigio. Estos programas se venden, principalmente, en establecimientos serios o con proveedores conocidos, aunque cuestan más, claro. Y es que mientras no exista una herramienta de seguridad que nos limite a los usuarios a tomar decisiones y acciones que implican riesgos, vale la pena tener en cuenta las recomendaciones que nos dicen los expertos y, sobre todo, aplicar el sentido común; bueno, eso pienso yo, pero ¿usted qué cree? ●
Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.
Enero-Febrero, 2010 B:SECURE 25
LALEYYELDESORDEN 2.0 UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
ACTA 1ª PARTE
UN TRATADO INTERNACIONAL RODEADO DE MISTERIO Y POLÉMICA; CIBERNAUTAS TEMEN PERDER PRIVACIDAD Y SER CRIMINALIZADOS. Por Joel A. Gómez Treviño
E
n el número anterior les prometí platicar sobre otro tema, pero en vista de sucesos recientes en México prefiero dejar dicho tópico para una futura ocasión. El pasado 20 de enero se celebró una consulta en la Secretaría de Economía que causó polémica, inclusive desde antes de que iniciara. La consulta versó sobre ACTA (Anti-Counterfeiting Trade Agreement). Veamos a continuación algunos hechos, mitos y realidades sobre este tratado. ¿Qué es el ACTA? En español, existen dos posibles traducciones de este acrónimo: Tratado Comercial Anti-Piratería o Tratado Comercial Anti-Falsificación. En estricta teoría, la traducción más literal sería la segunda. Se trata de un tratado comercial multilateral que, de acuerdo a sus promotores, nace en respuesta al incremento del comercio global de bienes falsificados y obras protegidas bajo derechos de autor “piratas”. ¿Qué países están negociando el ACTA? Los “creadores originales” de este tratado son Estados Unidos y Japón, quienes comenzaron a discutir ideas sobre el mismo en 2006. En octubre de 2007, Estados Unidos, la Unión Europea (y sus 27 estados miembros), Suiza y Japón anunciaron que negociarían el ACTA. En Junio de 2008 iniciaron formalmente las negociaciones del ACTA, teniendo un grupo de 37 países participantes: Australia, Canadá, la Unión Europea, Japón, México, Marruecos, Nueva Zelanda, República de Corea, Singapur, Suiza y Estados Unidos. ¿Cuál es el objetivo del ACTA? El ACTA pretende establecer estándares internacionales para la observancia y ejecución de derechos de propiedad intelectual para poder pelear más eficientemente contra el creciente problema de la falsificación y piratería. El enfoque es sobre actividades de falsificación y contrabando que, significativamente afectan intereses comerciales, más que en actividades de ciudadanos ordinarios. ACTA no tiene intención de interferir con la habilidad de un signatario para respetar los derechos fundamentales y libertades civiles de sus ciudadanos, y será consistente con el Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio (TRIPs por sus siglas en inglés) de la Organización Mundial del Comercio (OMC). Es importante enfatizar que ACTA no es un “Tratado de Internet”, pero parte de su contenido pudiere tener un impacto importante en el entorno digital relacionado con la propiedad intelectual. ¿Cuál es la estructura y contenido del ACTA? Aunque a la fecha no se ha circulado una versión oficial del texto de este tratado, varios documentos que circulan en Internet proveen un índice de sus capítulos y describen brevemente sus contenidos. Capítulo 1: Disposiciones preliminares y definiciones. Capítulo 2: Marco legal para la observancia de derechos de propiedad intelectual. 26 B:SECURE Enero-Febrero, 2010
Sección 1: Observancia en materia civil. Sección 2: Medidas en frontera. Sección 3: Observancia en materia penal. Sección 4: Observancia de derechos de propiedad intelectual en el entorno digital. Capítulo 3: Cooperación internacional. Capítulo 4: Prácticas de observancia. Capítulo 5: Asuntos institucionales Capítulo 6: Disposiciones finales. Siendo la Sección 4 del Capítulo 2 la que pudiere ser más relevante para quienes nos desarrollamos en el entorno informático, vale la pena profundizar un poco más en ella. El documento oficial en español denominado “El Acuerdo Comercial Anti-Falsificación – Resumen de Elementos Clave que están en Discusión”, que el Instituto Mexicano de la Propiedad Industrial (IMPI) puso a disposición del público en su página web dice, en lo que respecta a este punto, lo siguiente: “Esta sección del acuerdo pretende tratar algunos retos especiales que las nuevas tecnologías presentan a la observancia de los derechos de propiedad intelectual, tales como el posible rol y responsabilidades de los prestadores de servicio de Internet en la disuasión de la piratería de derechos de autor y derechos conexos en la Internet. Aún no se ha desarrollado un proyecto al respecto toda vez que las discusiones están siendo enfocadas en la compilación de información sobre los diferentes regimenes (sic) nacionales a fin de desarrollar un entendimiento común que trate de la mejor manera estos asuntos.” Sin embargo, el documento equivalente en inglés disponible en Internet también, en lo particular a esta sección difiere un poco, siendo más amplia la explicación sobre el tema en concreto (traducción del autor): “Esta sección del acuerdo pretende tratar algunos retos especiales que las nuevas tecnologías presentan a la observancia de los derechos de propiedad intelectual. Elementos en discusión en esta sección incluye la disponibilidad de recursos: En casos de responsabilidad de terceros, sin perjuicio de la disponibilidad de excepciones y limitaciones; UÊ ,i >V >` ÃÊV Ê >ÌiÀ > Ê vÀ>VÌ ÀÊi Ê i>]Ê V ÕÞi ` Ê Ì>V nes en la aplicación de dichos recursos a proveedores de servicios en línea: UÊ ,i >V >` ÃÊV Ê >ÊiÛ>Ã Ê Êi ÕÃ Ê`iÊ i` `>ÃÊÌiV } cas de protección, incluyendo la disponibilidad de excepciones y limitaciones; UÊ ,i >V >` ÃÊV Ê >Ê«À ÌiVV Ê`iÊ >Ê v À >V Ê`iÊ>` ÃÌÀ>ción de derechos de autor, incluyendo la disponibilidad de excepciones y limitaciones.” Hasta aquí se ha manejado información “oficial” que ha sido libera-
da, comunicada o revelada por diversos gobiernos que han participado en las negociaciones del ACTA. ¿Por qué ha generado tanta polémica, confrontación y polarización este tratado? Básicamente, las razones son de forma y de fondo. Tratemos primero las razones de forma. (1) Desde 2006 a la fecha (enero de 2010), ningún gobierno ha compartido públicamente la versión oficial del texto del ACTA, a pesar de que muchas organizaciones civiles, no gubernamentales, ciudadanos y la misma industria lo han solicitado vigorosa y reiteradamente. Además, (2) se rumora que algunos gobiernos (particularmente Estados Unidos y Japón) han dado acceso a representantes de la industria al documento oficial del ACTA, previa firma de un acuerdo de confidencialidad, negando la misma posibilidad a organizaciones civiles e internautas. Por último, (3) cuando han existido “consultas públicas”, gobiernos como el de México, han permitido acceso a cualquier interesado a las mismas, previa firma de un acuerdo de confidencialidad y prohibiendo el acceso con teléfonos celulares, ni aparatos de localización al recinto (esa era la intención al menos, pero me referiré a este punto más tarde). En resumen, las razones de forma se traducen en la tremenda secrecía, falta de transparencia y ánimo excluyente o discriminatorio con el que se han llevado a cabo las negociaciones del tratado. Salvo el punto 2, las razones 1 y 3 son reales y objetivas, ausentes de presunciones. En un segundo bloque de ideas, vienen las razones de fondo que han generado polémica y confrontación en lo relativo, no a la negociación, sino a los contenidos de este tratado. El problema con los siguientes argumentos o razonamientos, es que están basados meramente en rumores y en documentos supuestamente “infiltrados” de negociaciones previas del ACTA. Como las autoridades que negocian este tratado siguen sin compartir su contenido oficial, estos rumores no solo crecen (incluyendo las molestias derivados de los mismos), sino que mucha gente ya los da por hechos ciertos. Veamos algunas de las razones de fondo más importantes. (4) Responsabilidad de intermediarios en Internet. La Ley de Derechos de Autor de los Estados Unidos contiene cuatro “puertos seguros” (safe harbors), limitando la responsabilidad de intermediarios en Internet por infracciones secundarias en materia de derechos de autor derivadas de actividades rutinarias tales como: actuar como un conducto de comunicaciones vía Internet, almacenar información en memoria caché, hospedar contenido creado por usuarios y proveer herramientas de información y búsqueda. Tal como lo ha afirmado la Electronic Frontier Foundation (EFF), no existe una armonización internacional del concepto “responsabilidad secundaria por infracciones en materia de derechos de autor”. Sin embargo, este régimen ha sido “exportado” al marco legal de socios de negocios de los Estados Unidos a través de Capítulos de Ejecución y Observancia de todos los acuerdos bilaterales y multilaterales de libre comercio firmados desde 2002, como parte de la implementación específica del artículo 41 del TRIPs. Contrario a la creencia popular, el inciso (m) de la Sección 512 del Título 17 del Código de los Estados Unidos específicamente establece que los Proveedores de Servicios de Internet (ISP´s) y los Proveedores de Servicios En Línea no están obligados a monitorear ni buscar activamente evidencia de infracciones potenciales en sus redes. De manera similar, la Directiva 2000/31/CE del Parlamento Europeo y del Consejo sobre el Comercio Electrónico, en su artículo 15 (1) estable-
ce la “inexistencia de obligación general de supervisión”: Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas […] Los artículos 12, 13 y 14, establecen limitaciones de responsabilidad semejantes, aplicables a la mera transmisión, la memoria tampón (caching) y el alojamiento de datos, a favor de los prestadores de servicios intermediarios. Sin embargo, la industria de titulares y propietarios de derechos de autor ha intentado en reiteradas ocasiones romper el balance del régimen de “puerto seguro” de los derechos de autor de los Estados Unidos y su equivalente en la Unión Europea, en un esfuerzo por detener las aparentemente amplias infracciones a derechos de autor en el entorno digital, perpetradas por usuarios de Internet. Como ejemplos, podemos citar los siguientes: UÊ En julio de 2002, en Estados Unidos un Senador de California propuso al Congreso la entonces llamada “Ley para la Prevención de Piratería en Redes P2P”, que tenía por principal característica el legalizar que cualquier titular de un derecho de autor pudiera hackear (deshabilitar, interferir, bloquear, desviar o menoscabar) sitios web P2P conocidos por cometer infracciones en materia derechos de autor; UÊ En noviembre de 2007, la Federación Internacional de Industrias Fonográficas solicitó al Parlamento Europeo que ordenara a los ISP’s el bloqueo de comunicaciones que usaran determinado protocolo de Internet, la instalación de filtros a nivel red, y bloquear el acceso a sitios web que facilitaran infracciones a derechos de autor; UÊ A petición de un importante grupo de la industria de la música, Francia y el Reino Unido han propuesto una legislación en pro de una “respuesta gradual” que requiera a los ISP’s enviar una noticia de advertencia a presuntos suscriptores infractores [primer strike], para suspender el acceso a dichos clientes en una segunda advertencia [segundo strike], y a terminar el acceso a Internet de clientes con base a una tercera denuncia [tercer strike] de un titular de derechos de una infracción de derechos de autor, independientemente de cualquier revisión judicial, también conocida como “la regla de los 3 strikes”. Por si fuera poco, la propuesta Francesa también requiere que los ISP’s creen e intercambien “listas negras” de usuarios de Internet a quienes no se les debe proveer servicio de Internet. Sobre este punto de sospecha, la Electronic Frontier Foundation recomienda que el tratado propuesto debe respetar los regímenes legales nacionales y no buscar imponer “responsabilidad secundaria” a ISP’s e intermediarios de Internet. Dicho acuerdo debe incorporar recursos para titulares de derechos que sean proporcionales al daño sufrido de un incidente de infracción de derechos de autor, y no debe obligar a intermediarios de Internet a que terminen las cuentas de acceso de sus suscriptores, a menos que sea ordenado por un juez competente, después de seguir el correspondiente proceso judicial. Cuando empecé a planear y escribir este artículo pensé que me costaría trabajo llenar el espacio destinado a mi columna. Para bien o para mal, lo que me costó trabajo fue ¡ceñirme al mismo! Todavía falta mucho que platicar sobre ACTA. En la segunda parte de este artículo trataré el resto de las razones de fondo que han polarizado el ambiente en relación con este tratado, así como una interesante reseña de lo que (verdaderamente) sucedió en la Consulta que el pasado 20 de enero realizó el IMPI sobre el ACTA en el auditorio de la Secretaría de Economía. ●
Joel Gómez (abogado@joelgomez.com) es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE.
Enero-Febrero, 2010 B:SECURE 27
SINNÚMERO AUMENTAN RIESGOS Y VULNERABILIDADES PARA LAS PLATAFORMAS DE APPLE Apple ha logrado, a través de su campaña de mercadotecnia convencer a los usuarios que sus productos Mac son inmunes a los códigos maliciosos y cualquier otro tipo de malware, en comparación con su competencia Windows cuya plataforma está expuesta diariamente a millones de peligros. Sin embargo, Intego, una firma dedicada al desarrollo de software para las plataformas de Apple demostró en su reporte “The Year in Mac Security”, que contrario a ser inmune la tecnología de la firma con la manzana y, sobre todo su base instalada de usuarios apenas comienzan a llamar la atención de los cibercriminales. Aunque los riesgos en los productos y programas de Apple aún están muy lejos de alcanzar los riesgos que enfrentan los usuarios y empresas corriendo Windows, de ninguna manera están exentos de fallas o peligros potencialmente aprovechables por los ciberdelincuentes.
Intego detectó un troyano en la versión ilegal del iWork 2009 tras su lanzamiento, el cual logró infectar a más de 20,000 usuarios en todo el mundo. En los últimos 12 meses Apple liberó más de 39 actualizaciones de seguridad para su sistema operativo Mac OS X. El año pasado la firma con el símbolo de la manzana detectó y corrigió más de 60 fallas o vulnerabilidades en su navegador web, Safari. El iPhone tampoco fue inmune, pues la compañía liberó casi 50 parches de seguridad para el iPhone OS. Desbloquear (Jailbreaking) un iPhone remueve más del
80% de los niveles de seguridad incluidos en el sistema operativo. Intego detectó más de 5 amenazas para el iPhone que proveen la capacidad de comprometer, robar información o convertir al equipo en parte de una botnet.
Enero-Febrero, 2010 B:SECURE 28
eMedia eMedia Redes Redes Sociales Sociales Webcast Webcast Podcast Podcast Blogs Blogs Revistas Revistas Digitales Digitales eNewsletter eNewsletter
Lテュder en
Custom New eMedia
SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTテ,TENOS www.netmedia.info t. 2629 7260 ext. 1125