bSecure by Netmedia

marzo 2009 · 52 · www.bsecure.com.mx

EMPOWERING BUSINESS CONTINUITY

$50.00 M.N.

REDUCIR ELFUEPHISHING SOLO EL PRINCIPIO... La falta de recursos legales modernos y ágiles contra el phishing, llevó a Alfredo Reyes Krafft a crear iCrime, con muy buenos resultados. Por ello y por su labor en la industria, él es nuestro b:Secure Award 2009.

Asista y obtenga el universo completo de las actuales batallas:

"Ya estamos en problemas ¿Ahora qué?", Jesús Torrecillas, consultor CEMEX

Forensia desde una galaxia muy muy lejana

Andrés Velázquez, Digital Investigations Director, Mattica

Delitos informáticos 10 años después

Joel Gómez, Gerente general jurídico, NCR de México e Ivonne Muñoz, Experta Digital and E-Security Rights Managements

Nuevas herramientas de protección

Un evento de

Producido por

Con apoyo de

11 de junio 2009 Hotel Camino Real Monterrey

Tel: (55)-2629 7285, 2629 7260 opci贸n 4 01800 670 6040 eventos@netmedia.info

www.bsecureconference.com.mx/mty

9 MARO 12

ACCESO

07 LO MÁS MALICIOSO PARA EL 2009

Dejará de ser una preocupación crítica la infección de sitios legítimos, mientras que aplicaciones Web maliciosas están en el ojo del huracán

08 CANCIONES SIN DRM PERO CON DATOS DEL USUARIO

B:SECURE AWARD

Apple anunció que quitaría el candado anticopia a las canciones vendidas por su tienda de música, pero podría incluir datos del comprador aún.

Alfredo Reyes Krafft es nuestro b:Secure Award de este año.

09 CUIDADO CON REDUCIR COSTOS SIN ESTRATEGIA

Advierte firma de asesoría que las empresas mexicanas no realizan análisis de riesgos, o lo hacen sin metodologías.

10 MÁS DE 2.600 DIRECCIONES IP INFECTADAS EN MÉXICO

El país se encuentra entre las 25 naciones con más direcciones IP infectadas en el mundo, y como la sexta en América Latina.

11 CONFLICTO EN MEDIO

ORIENTE AUMENTA HACKTIVISMO Activistas afectan a sitios en Internet, controlan computadoras remotamente e intervienen redes sociales eliminando grupos; hay evidencias del comienzo de una ciberguerra.

BUSINESS PEOPLE

16 ¿POR QUÉ LAS

ORGANIZACIONES DEBEN TENER UNA ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN? OPINIÓN

18 LETDOWN – JUST LET ME DOWN

19 LA CRISIS Y LA SEGURIDAD DE LA INFORMACIÓN ÁREA RESTRINGIDA

20 INGENIERÍA INVERSA: CONTRAMEDIDAS CISO TO CISO

22 CONTINUIDAD DE NEGOCIOS

Arquitectura de Procesos de Seguridad de Información / Framework de Seguridad.

03 EN LÍNEA

04 LOGIN 24 SINNÚMERO

ENLÍNEA BSECURE.COM.MX

DELITOS INFORMÁTICOS: SÍ SON CASTIGADOS EN MÉXICO

En México se sigue teniendo la idea errónea de que la legislación mexicana se ciñe únicamente a: 211 bis 1 al 211 bis 7 del Código Penal Federal, los grandes mitos en el tema es que los delitos informáticos sólo existen si hay acceso no autorizado a un sistema de información y que en las entidades federativas no hay legislación, coincidieron expertos en derecho informático. En el marco del 6º b:Secure Conference Ivonne Muñoz, especialista en derecho informático, reveló que de la legislación mexicana existente en el tema, 83% ha sido generada y aplicada en los Estados de la República y 13% es federal. Muñoz aseguró que en México sí hay marco legal para castigar una amplia gama de delitos informáticos, pero aceptó que aún falta eliminar la figura de ‘mecanismo de seguridad’ dentro de la norma federal y en algunas normas estatales. El tema del mecanismo de seguridad ha sido más un estorbo conceptual y práctico para realizar las investigaciones pertinentes por parte de la autoridad. La experta digital, y E-security Rights Management llamó a los legisladores a porporcionar definiciones propias o estandarizadas de qué es lo que se protege, qué es la información, qué es un sistema de información, este último concepto que es definido únicamente en la legislación del Estado de Colima.

APRUEBAN LEY PARA MONITOREAR CORREOS ELECTRÓNICOS El Parlamento Finlandés aprobó la Ley de Protección a las Comunicaciones Electrónicas mediante la cual empresas y órganos de Gobierno podrán monitorear los contenidos de correos electrónicos de empleados. La reforma es también conocida como la Ley ‘Nokia’, debido a que el fabricante finlandés de teléfonos celulares presionó durante casi dos años al Parlamento para su aprobación con el fin de evitarlas filtraciones de información y el espionaje industrial. Dicha Ley ha levantado ámpula particularmente entre expertos en derecho y organizaciones que luchan a favor de la privacidad de la información por considerar que representa una violación a los derechos de las personas. Anteriormente la ley garantizaba el derecho a la privacidad de las comunicaciones electrónicas y era una prerrogativa de las autoridades policiacas realizar investigaciones que implicaran revisar correos electrónicos, por ejemplo.

Estos y otros artículos en

www.bsecure.com.mx b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Mónica Mistretta DIRECTORA GENERAL Elba de Morán DIRECTORA COMERCIAL

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

Jonathan Hernández Sosa DIRECTOR EDITORIAL

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS María Eugenia Solares DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL

TEMA LIBRE

Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

EL GALLETERO

Jonathan Hernández, director editorial y editor de b:Secure, despotrica sobre lo último de los gadgets y la tecnología de consumo.

CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora COLUMNISTAS Roberto Gómez, Ricardo Morales, Joel Gómez, Andrés Velázquez, Irving García EDITOR ON LINE Efraín Ocampo ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto DISEÑO Pablo Rozenberg

BLOGUEROS INVITADOS

VENTAS Y PUBLICIDAD Morayma Alvarado, Sonia Gómez, Cristina Escobar

Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

SUSCRIPCIONES Sonco-Sua Castellanos, Stefanye García

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info

CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

Marzo 09 B:SECURE 3

LIBERA INVESTIGADOR HERRAMIENTA GRATUITA PARA DOS Un investigador ha puesto a disposición de los usuarios de Internet una herramienta para hackear sitios Web de manera gratuita. La herramienta, llamada ‘LetDown’, permite encontrar las vulnerabilidades de cualquier página en Internet y literalmente tirarlo mediante un ataque de negación de servicio (DoS, por sus siglas en inglés). El autor es el investigador italiano Acri Emanuele, y ‘LetDown’ forma parte de una colección de herramientas desarrolladas por él mismo para resolver problemas denominada ‘Complemento’. En el post de la descripción de dichas herramientas, el autor –con el nickname ‘crossbower’– dice que su propósito es realizar pruebas de escaneo de dominios que utiliza un escaneo de fuerza bruta para encontrar los subdominios que serán el objetivo del ataque. Uno de los posible usos que cualquier entendido de la informática pudiera darle a ‘LetDown’ es dañar un servidor sin necesidad de contar con una botnet. El servidor tendría que contar con deficiencias en la configuración por utilizar conexiones muy lentas. No obstante, originalmente fue desarrollado para probar el rebote de los ataques DoS en las redes de quienes hacen las pruebas, con el fin

de hacer los ajustes necesarios tanto en infraestructura como en configuración.

LA FRASE: TWITTER RECOMIENDA CAMBIAR CONTRASEÑAS POR BRECHA Debido a un problema de seguridad que experimentó, Twitter ha invitado a sus usuarios a que verifiquen sus correos y contraseñas. El sitio de microblogging informó que durante la mañana del lunes 5 de enero detectó que 33 cuentas habían sido hackeadas, entre las cuales se encuentra la del presidente electo Barack Obama, entre otros personajes prominentes. Aunque el mencionado conjunto de cuentas han sido aseguradas, y sus usuarios han recuperado ya el control de ellas, Twitter comunicó en su blog (http://blog.twitter.com/) a través de Biz , cofundador del sitio, que el hecho no está relacionado con el engaño de phishing en el cual fueron víctimas algunos de sus usuarios este fin de semana. El hacker, que consiguió tener acceso a las 33 cuentas detectadas, lo logró gracias a que penetró en herramientas utilizadas por el equipo de soporte, las cuales, entre otras cosas, ayuda a los usuarios a cambiar la contraseña de sus cuentas o a editar los correos electrónicos asociados a sus cuentas en Twitter. En el informe, Biz aseguró que las herramientas de soporte dejaron de estar disponibles para evitar que más cuentas fueran comprometidas; sin embargo, no se ha dado aviso aún de que se encuentren nuevamente disponibles. El sitio informó que esto sería posible hasta que hubiera la seguridad de que el soporte es seguro. Por tal razón, Twitter recomienda a sus usuarios a cambiar sus contraseñas y revisar que los correos electrónicos que asociaron a sus cuentas sean las que ellos dieron de alta. “Consideramos esto como una brecha de seguridad muy importante”, expresó Biz en el aviso oficial sobre el hecho criminal.

4 B:SECURE Marzo, 2009

“Para evitar el robo de identidad en una empresa es indispensable establecer una estrategia que profundice en las capas que conforman la organización, a fin de identificar y mitigar riesgos”. Gerardo Alcarraz, Certified Information Systems Auditor (CISA) del Banco de la República Oriental del Uruguay.

PERFILES FALSOS EN LINKEDIN INFECTAN CON MALWARE Una vulnerabilidad en la red social de contactos profesionales LinkedIn fue aprovechada por atacantes para reenviar a usuarios a sitios donde descargarían malware sin su conocimiento para infectar su PC. Según un reporte, la vulnerabilidad en LinkedIn fue aprovechada para crear perfiles falsos de personalidades conocidas, mayormente actrices y cantantes, cuyas ligas contienen código malicioso, de modo que si se les da clic dirigirá a los usuarios directo a la trampa. La red social con más de treinta millones de usuarios, de acuerdo con cifras oficiales, continúa albergando el código malicioso que explota el hueco hallado por los hackers, según el reporte de Trend Mi-

cro, por lo que permanece siendo una amenaza. El ataque se esparce a través de la lista de contactos, y no se ha concentrado en una geografía en particular, sin no que se ha esparcido en el mundo, indicó la firma de seguridad. Salma Hayek, Beyonce Knowles, Victoria Beckham, Christina Ricci, Kirsten Dunst y Kate Hudson, entre otras, son algunas de las personalidades que cuentan con perfiles apócrifos en los cuales se encuentran vínculos a sitios Web maliciosos donde serán descargados programas que infectarán la PC de la víctima. Los cibercriminales utilizan funciones del sitio como LinkedIn Answers y el acceso desde dispositivos móviles para establecer sus trampas.

CIBERCRIMINALES SON MÁS LENTOS Y EFECTIVOS Los tiempos en los que los hackers ejecutaban sus ataques por reconocimiento han quedado muy atrás; hoy, la táctica es tener un bajo perfil para obtener beneficios económicos. Un reporte de la compañía de seguridad iQnetworks reveló que los cribercriminales buscan no ser detectados y trabajar silenciosamente para lograr sus objetivos, y que esta tendencia predominará, motivando que los atacantes sean más metódicos y estudiosos en los pasos que darán, así como que utilicen mejores tecnologías. Igualmente, el informe prevé que la mayoría de los cibercriminales ejecuten sus fechorías en esta modalidad, ya que buscan cubrir sus rastros y son capaces de suspender su ataque cuando se percatan de que han sido despertadas sospechas de una intrusión, por ejemplo. Este sería precisamente el perfil del hacker que busca penetrar a un sistema, y que seguirá este modelo de acción, asegura la compañía, ya que es prácticamente un hecho que los criminales van por información sensible con la cual podrán hacer un daño serio o que les dejará grandes ganancias al hacer uso de ella. El proceder de este tipo de delincuentes, de acuerdo con iQnetworks, es tan limpio que no es preciso buscar en el desorden o detectar cambios notables en los sistemas, ya que suelen poner en su lugar lo que movieron. La firma alertó a los administradores de IT de las organizaciones en cuanto a que la puerta de entrada favorita a los sistemas de la organización mayormente son vulnerabilidades en aplicaciones Web, o mediante ataques de phishing exitosos en los que haya caído por lo menos un empleado de la compañía.

BREVE Symantec advirtió que hubo un aumento en la cantidad de mensajes maliciosos de spam en los Estados Unidos, en los días previos a la toma de poder del nuevo presidente de ese país, Barack Obama. Los correos detectados llevaron títulos llamativos como “Debes ver esto”, “Noticia de última hora”, “Qué pasará con el país”, y dentro del correo se leían mensajes como “Obama ha renunciado a ser presidente” y “Obama no está”, entre otros. El correo también incluía una liga a lo que parecía ser el sitio oficial de Obama-Biden, pero que en realidad era una página llena de enlaces con código malicioso y descargas de archivos con nombres como usa. exe, obamanew.exe, pdf.exe, statement. exe, barackblog.exe, barackspeech.exe. Lo que en realidad se descargaba en el sitio era un malware llamado W32. waledac, que aunque no era una amenaza de alto riesgo, sí puede: recolectar información sensible del equipo atacado, transformar una computadora en un “zombie” para envíos de spam, y crear un “backdoor” o puerta trasera en la computadora para que sea controlada remotamente.

Marzo, 2009 B:SECURE 5

EL CIBERCRIMEN SÍ PAGA La proliferación de paquetes de herramientas para llevar a cabo ataques de phishing o simplemente para automatizarlos es un buen negocio. Tanto así, que en este modelo criminal todos los participantes ganan. Los hackers desarrollan herramientas fáciles de usar, para que cualquiera pueda llevar a cabo ataques como phishing, spam o de negación de servicio, las venden y a su vez quien las compra puede hacer dinero fácil sacándoles provecho. Los hackers que producen paquetes de estas herramientas simplemente automatizan los ataques, y los ponen en venta en Internet, con lo cual contribuyen a la proliferación de ataques electrónicos y a su masiva diversificación, tal como se ha previsto en los pronósticos de las amenazas para 2009. Por ejemplo, de acuerdo con un reporte de la BBC, existen en el mercado negro de estas herramientas algunos paquetes que ofrecen incluso hasta 12 meses de soporte técnico en caso de que algo fallara. Sin embargo, los precios de algunos de los mejores tool kits alcanzan la asombrosa cifra de hasta $10,000 pesos. Un ejemplo es la herramienta MPack, de la cual pueden descargarse de Internet actualizaciones del software para asegurar que podrá ser utilizado en las más recientes vulnerabilidades descubiertas. De esta forma, sus creadores garantizan que sea sencillo atacar páginas Web u obtener acceso a las PC para convertirlas en zombies sin que el usuario se dé por enterado. MPack también se especializa en tener actualizadas las vulnerabilidades más recientes de los navegadores Web, para enviar ataques que comprometan la computadora de quienes ingresen en páginas de Internet comprometidas o infectadas con malware. De acuerdo con un reporte de Symantec, la economía clandestina de software malicioso ha madurado a tal punto que se ha convertido en un mercado global que funciona eficazmente. El Informa de la Economía Clandestina de la firma, difundido a finales del año pasado, asegura que entre el 1 de julio de 2007 y el 30 de junio de 2008 el valor estimado del total de los bienes anunciados fue superior a los $276,000,000 de dólares. —Efraín Ocampo

PERMITIRÁ GRAN BRETAÑA HACKEO A SISTEMAS DE SOSPECHOSOS La Oficina del Interior de Gran Bretaña (GB) firmó un acuerdo que promueve la Unión Europea para permitir a las fuerzas de seguridad hackear sistemas de cómputo de sospechosos de haber cometido delitos sin que medie una orden judicial. De esta manera, el Gobierno británico incrementa el poder de las policías, lo cual ha despertado temores en el sentido de que esta tendencia se vea incrementada, de acuerdo con un reporte del sitio Web de la BBC. La iniciativa fue originada desde el Concilio de la Unión Europea, donde conceder estos poderes a las policías locales tiene como propósito mejorar las estrategias para combatir el cibercrimen, según la instancia europea. No obstante, para el Gobierno británico esto sólo refuerza su estrategia de prevención del crimen. Actualmente las policías de GB tienen la facultad legal para accesar remotamente a las computadoras, con el fin de incrementar la vigilancia y pre-

6 B:SECURE Marzo, 2009

venir o detectar así crímenes serios mediante la Ley de regulación de poderes de investigación promulgada en 2000. La Unión Europea pretende extender este programa entre los países miembros, y voceros han asegurado querer asegurarse de que muestren estar comprometidos en la luchas en contra del cibercrimen. Los antivirus actuales podrían detectar la presencia de hackers policiacos en sus PC, ya que muchos están diseñados para detectar cuando existe acceso remoto no autorizado, como el realizado por los atacantes mediante troyanos y spyware. Probablemente el aspecto más difícil de probar, tanto para la policía como para los afectados, es en qué medida la evidencia pudo haber sido sembrada durante la revisión remota. Cualquier país miembro de la Comunidad Europea podría solicitar a GB se investigue a uno de sus ciudadanos en esta modalidad.

DESCUBREN FORMA PARA BLOQUEAR ENVÍOS DE SMS Investigadores de una firma de seguridad encontraron que un mensaje de texto corto malformado podría deshabilitar el envío y recepción de SMS en ciertos modelos de teléfonos celulares de Nokia. La denominada ‘maldición del silencio’ por expertos de F-Secure afecta a algunos dispositivos que corren el sistema operativo de Symbian S60. Este ataque es del tipo de negación de servicio y afecta al sistema de envío de SMS únicamente, conservando sus otras funciones. Hasta el momento, Nokia ha liberado una actualización de seguridad que ha hecho llegar a los usuarios de teléfonos equipados con S60, pero por el momento únicamente a quienes son clientes de servicios de F-Secure. La forma de operar el ataque de hecho es tan sencilla que lo puede llevar a cabo cualquier persona. Los atacantes pueden enviar un correo electrónico a un teléfono celular como SMS, configurándolo como ‘Internet Electronic Mail’. El mensaje deberá contener como dirección más de 32 caracteres y terminar con un espacio sin carácter para que una gran variedad de teléfonos S60 estén imposibilitados para enviar mensajes SMS ni multimedia (MMS), de acuerdo con F-Secure. Según la compañía Caos Computer Club, de origen alemán, el mensaje debe enviarse al objetivo once veces a los teléfonos S60 v3.1 y sólo una vez a las demás versiones del S60. Finalmente, algunos teléfonos afectados que reciban SMS o MMS mostrarán un mensaje advirtiendo al usuario que no pueden recibir mensajes porque la memoria está llena, aunque el buzón se encuentre vacío. Los modelos afectados según la firma alemana son los S60 de tercera edición (feature pack 1) E90 Communicator, E71, E66, E51, N95 GB, N95, N82, N81 8GB, N81, N76, 6290, 6124, 6121, 6120, 6110 y 5700 Xpressmusic; así como los S60 tercera edición E70, E65, E62, E61i, E61, E60, E50, N93, N92, N91 8GB, N91, N80, N77, N73, N71, S500, 3250; además de los S60 segunda edición feature pack 3 y 2.

ACCESO LO MÁS MALICIOSO PARA 2009

Dejará de ser una preocupación crítica la infección de sitios legítimos, mientras que aplicaciones Web maliciosas están en el ojo del huracán.

Por Efraín Ocampo

ste año, las firmas de seguridad no se pusieron de acuerdo con respecto a cuáles serán las principales amenazas a las seguridad de la información durante este año. La seguridad del Cómputo en la Nube, las aplicaciones falsas de seguridad o scareware, los sitios legítimos utilizados para infectar las PC con malware, las nuevas variantes de malware o la utilización de aplicaciones basadas en Web como Flash y Google Gears son algunas de las mayores preocupaciones para 2009. El común denominador de los pronósticos de las firmas de seguridad como Sonicwall, Symantec y Websense es que las amenazas Web continuarán predominando en el mapa de la seguridad. Por esa razón, a pesar de que aún figuran entre las 10 mayores preocupaciones, el spam y el phishing han dejado de protagonizar el panorama. En cambio, las fugas de datos han cobrado relevancia, las cuales están íntimamente relacionadas con los efectos de los códigos maliciosos a los que están expuestos los usuarios de Internet desde un enlace de un correo spam, phishing o el secuestro de un sitio confiable para cambiar algunos vínculos y enviar tráfico a sitios que descargan malware. Esta última amenaza es particularmente importante, ya que de acuerdo con Websense 75% de los sitios Web donde fue hallado código malicioso son legítimos. Como novedad, Websense predice que los servicios proporcionados vía cloud computing como Amazon Web Services, Microsoft Azure y GoGrid, por ejemplo, serán más atractivos para los cibercriminales ya que la nube, según la firma, puede utilizarse para enviar spam o lanzar ataques más sofisticados como hospedar código malicioso para descargar o realizar pruebas. También se espera que las aplicaciones, particularmente las de oficina basadas en Web, como Google Gears, Air, Flash y Silverlight, sean el objetivo de ataques a gran escala al aprovechar vulnerabilidades encontradas en ellas para ejecutar código remotamente. Para Symantec la mayor preocupación recae en las nuevas variantes de las amenazas, pasando de la distribución masiva de pocas amenazas a la micro distribución de grandes familias de amenazas, lo cual hace más difícil

su identificación y control. El scareware fue especialmente común durante 2008, y la firma prevé que los programas falsos de seguridad experimenten un crecimiento este año. En cambio, Sonicwall enfoca la atención de sus pronósticos al cumplimiento de regulaciones y las fugas de datos. Según la compañía, la crisis financiera genera nuevas y más estrictas regulaciones en la industria, y con ello requisitos más estrictos de supervisión, auditoría y elaboración de informes. Por ello, evitar el fraude y la invasión a la privacidad, ambas provocadas por las amenazas, será crítico para las organizaciones. En ese sentido, los CIO y los expertos en seguridad deberán administrar el riesgo de la mejor manera, con estrategias más holísticas y proactivas que consigan evitar el gasto excesivo en infraestructura adicional.

LAS FUGAS DE DATOS HAN COBRADO RELEVANCIA, LAS CUALES ESTÁN ÍNTIMAMENTE RELACIONADAS CON LOS EFECTOS DE LOS CÓDIGOS MALICIOSOS A LOS QUE ESTÁN EXPUESTOS LOS USUARIOS DE INTERNET Sonicwall y Symantec coinciden en que la fuga de datos será el aspecto crítico mientras prevalezca la crisis financiera. Los despidos, así como las adquisiciones y fusiones que ocurren con mayor frecuencia en un ambiente económico violento o incierto, generan tensión entre los empleados, quienes sustraen información sensible para utilizarla en su beneficio en caso de tener que salir de la organización. De acuerdo con la firma de seguridad Cyber-Ark, de 56% de encuestados que dijeron estar preocupados por perder su empleo, más de la mitad de ellos dijo haber descargado información corporativa sensible y estar planeando utilizarla como una herramienta de negociación para conservar su empleo en caso de ser despedidos. ● Marzo, 2009 B:SECURE

ACCESO CANCIONES SIN DRM, PERO CON DATOS DEL USUARIO Apple anunció que quitaría el candado anticopia a las canciones vendidas por su tienda de música, pero podría incluir datos del comprador aún.

n junio de 2007, Apple anunció que logró un acuerdo con EMI Music para vender la música del sello discográfico a través de su tienda en línea iTunes Store, pero sin el candado anticopia o DRM. Sin embargo, dichos archivos contenían los datos del comprador. Este hecho constituyó un problema para los compradores de los archivos musicales, ya que aunque tenían la posibilidad de compartir de un dispositivo a otro la música comprada sin restricciones, también estaban compartiendo su información personal embebida en los archivos AAC, sin ningún tipo de advertencia de la tienda de iTunes, según versiones. Tal información fue difundida por la organización Electronic Frontier Foundation (EFF), dedicada a la protección de los derechos digitales, la cual aseguró que cuando el usuario de iTunes compra una canción, en ella se incrustan metadatos que identifican a su comprador

LAS CANCIONES COMPRADAS EN LA ITUNES STORE SIN EL CANDADO ANTICOPIA (DRM) PODRÍAN COMPARTIRSE CON TODO Y LOS DATOS PERSONALES DEL COMPRADOR, SEGÚN LA ELECTRONIC FRONTIER FOUNDATION. más allá de un correo electrónico o nombres. Apple anunció que iTunes Store venderá las canciones de su catálogo de más de diez millones de canciones sin el candado anticopia o DRM que habían incluido desde 2003, cuando surgió la tienda en línea. Sin embargo, la duda que tuvieron los usuarios de iTunes Store hace año y medio continúa siendo válida en esta ocasión. Por esa razón, las canciones compradas en iTunes Store sin el candado anticopia podrían compartirse con todo y los datos personales del comprador, aunque no se tiene información precisa sobre cuáles son 8 B:SECURE Marzo, 2009

los datos que integran la información del comprador. Muchos usuarios se han quejado ya de este problema, y han dejado explicaciones en un sinfín de mensajes en el Weblog no oficial de Apple, Ars Technica. Allí, ya desde el año pasado, mencionan que se puede ver los datos del comprador en las canciones compartidas de iTunes haciendo clic con el botón secundario del ratón sobre la canción, y eligiendo la opción “Obtener información”. Estos datos escondidos en las canciones sin protección pueden usarse para rastrear quién las compartió. De hecho, hay quienes opinan que esto podría ayudar a autoridades y a proveedores del servicio de Internet (ISP) a rastrear a aquellos que comparten la música a través de redes P2P, aunque esto es objetable porque la información en los metadatos puede ser manipulada, y esto dificultaría demostrar en un tribunal que la persona cuyo nombre aparece en la canción es quien efectivamente compró la canción. En cambio, iTunes podría rastrear qué canciones en el disco duro de un usuario han sido compradas por otros. “Lo que Apple y las discográficas quieren ver de cerca es si uno compra una canción para sus cinco mejores amigos. No sería una sorpresa que estos datos se analizasen para saber más sobre este tema, aunque la política de privacidad de Apple no parece que lo permita”, dice Ars Technica. Apple remite a un artículo del analista Michael Gartenberg, quien asegura que esto de los metadatos una práctica común en otras tiendas virtuales para un trato personalizado con el cliente. Para Gartenberg, “es difícil sentir simpatía por los que se preocupan por colocar música en P2P y que no se les pueda localizar. Si te preocupa, es que estás haciendo algo malo. Esto es música sin protección DRM, no música sin copyright”. Actualmente en Francia se persigue y juzga a los usuarios que comparten música por Internet. Países como Gran Bretaña, Estados Unidos y España, entre otros, buscan castigar a los usuarios que comparten música en Internet a través de legislación o de medidas conjuntas entre las disqueras, las autoridades y los ISP, con el fin de frenar la piratería en la Red. ●

ACCESO ¿REDUCIR COSTOS SIN ESTRATEGIA? ¡CUIDADO! Advierte firma de asesoría que las empresas mexicanas no realizan análisis de riesgos, o lo hacen sin metodologías.

Por Efraín Ocampo

as organizaciones mexicanas implementan acciones para evitar gastos sin un plan claro, y sin estar alineadas a los objetivos de las compañías, advirtió el informe de una conocida firma de asesoría a negocios. En efecto, según un reporte de Ernst & Young, tal situación podría llevar a la eliminación de controles clave para la seguridad corporativa, lo que provocaría que existan más vulnerabilidades en negocios, gracias a una reducción de costos ejecutada sin que exista una estrategia clara detrás. El estudio, realizado por la consultora con ejecutivos de 50 organizaciones mexicanas, reveló que 60% de ellas no está realizando análisis de riesgos o lo llevan a cabo informalmente, sin aplicar ninguna metodología. “Las acciones de optimización de costos que las empresas instrumentan para hacer frente a los efectos de la recesión mundial deben tener un fundamento estratégico que no comprometa la seguridad de la información y además permita, en un contexto de presión económica, detectar riesgos y vulnerabilidades que podrían derivar en fraudes”, alertan especialistas de Ernst & Young. De acuerdo con Carlos Chalico, socio de la firma, la misión de los empresarios en este contexto de recesión global es hacer más con menos, y detectar los proyectos que no agregan valor con el fin de aplazarlos o cancelarlos en caso de ser necesario. Sin embargo, en este afán por hacer negocios más eficientes y esbeltos podrían sacrificarse elementos de control clave. “Lo verdaderamente clave es que este esfuerzo por ser más eficiente no deje a la empresa con una estructura de control interno débil o vulnerable a fraudes o violaciones a normas corporativas”, dijo Chalico.

El especialista indicó que deben respetarse o habilitarse controles necesarios para reducir la posibilidad de continuar operando con altos riesgos. En un entorno como el actual se corre el riesgo, dijo, de atender emergencias

EL ESTUDIO, REALIZADO POR LA CONSULTORA CON EJECUTIVOS DE 50 ORGANIZACIONES MEXICANAS, REVELÓ QUE 60% DE ELLAS NO ESTÁ REALIZANDO ANÁLISIS DE RIESGOS O LO LLEVAN A CABO INFORMALMENTE

que pongan a los empleados en la tentación de violar las normas de la empresa. En otro escenario, los empleados podrían tener la presión suficiente para ejecutar algún fraude en contra de la empresa. La firma aconseja a las organizaciones formalizar esquemas robustos de privacidad y confidencialidad de la información, ya que considera que es un tema poco desarrollado en el sector privado mexicano. “…existe el alto riesgo de lastimar seriamente la reputación de una compañía que no prevenga eventuales fugas de información”, advirtió Ernst & Young en su informe. ● Marzo, 2009 B:SECURE

ACCESO

MÁS DE 2,600 DIRECCIONES IP INFECTADAS EN MÉXICO

El país se encuentra entre las 25 naciones con más direcciones IP infectadas en el mundo, y como la sexta en América Latina. Los atacantes han infectado en todo el mundo un aproximado de 2,400,000 millones de computadoras de todo el mundo a través de servidores Web de compañías, informó un reporte. Aunque la cifra es conservadora de acuerdo al informe, el hecho es que casi 250,000 direcciones IP ubicadas en todo el mundo han sido utilizadas para actividades maliciosas, y muchas de ellas pertenecen a grandes empresas, cuyas computadoras han sido virtualmente infectadas. De ellas 2,685 direcciones IP, hasta el miércoles 21 de enero pasado, fueron detectadas en México, lo cual ubicó al país como uno de

LOS CIBERCRIMINALES SE LAS HAN INGENIADO PARA INCORPORAR A SU ESTRATEGIA ALGORITMOS COMPLICADOS PARA GENERAR POSIBLES NOMBRES DE DOMINIO DIARIAMENTE.

10 B:SECURE Marzo, 2009

los 25 países con más direcciones IP infectadas en el mundo, y como el sexto lugar en América Latina después de Brasil (34,814), Argentina (11,675), Chile (5,882), Colombia (3,719) y Venezuela (2,828). “Una gran parte de este tráfico proviene de redes corporativas, a través de firewalls, proxies y ruteadores NAT. Esto significa que una dirección IP única que hemos detectado bien podría englobar a 2,000 computadoras en la vida real”, aseguró la firma F-Secure en su weblog. Los atacantes necesitan un conjunto de sitios Web para tomar el control de las máquinas infectadas, pero muchos de ellos son fáciles de detectar y tirar. No obstante, los cibercriminales se las han ingeniado para incorporar a su estrategia algoritmos complicados para generar posibles nombres de dominio diariamente, según el reporte, lo cual hace mucho más compleja la tarea de identificarlos y ponerlos fuera de servicio. Los dominios generados con el algoritmo, con mayor potencial, son registrados por los atacantes, y hacen con ellos sitios Web para ganar acceso a máquinas que ya se encuentran infectadas. Es utilizando esta misma lógica como F-Secure ha realizado sus proyecciones. China, Brasil, Rusia, India y Ucrania son los cinco países con más direcciones IP infectadas, según el reporte. El listado total de las naciones donde fueron detectadas IP infectadas ha sido publicado por la compañía de seguridad en su weblog. ●

ACCESO CONFLICTO EN MEDIO ORIENTE INTENSIFICA HACKTIVISMO Activistas afectan a sitios en Internet, controlan computadoras remotamente e intervienen redes sociales eliminando grupos; hay evidencias del comienzo de una ciberguerra. Por Efraín Ocampo

as acciones de los activistas, tanto palestinos como israelíes, han afectado a Internet en lo que algunos consideran como la intensificación de expresiones del hacktivismo estimuladas por el conflicto de ambas naciones del Medio Oriente. Sitios Web de entidades militares de Estados Unidos, así como bancarias y financieras basadas en Israel, e incluso Facebook, han sido objetivos del activismo cibernético, principalmente de simpatizantes de la causa palestina. Hacktivistas palestinos atacaron el sitio Web del Ejército de Estados Unidos el pasado 7 de enero, así como el de la Asamblea Parlamentaria de las naciones que pertenecen a la Alianza del Atlántico Norte, entre las cuales se cuentan algunas de las más poderosas del mundo. La crisis en Gaza también ha provocado que los hacktivistas autodenominados ‘Agd_Scorp/Peace Crew’ hayan sustituido páginas Web de diversos sitios por una famosa foto de un muchacho palestino que tira piedras a un tanque israelí apostado en la zona de conflicto, imagen que se ha repetido en numerosas incursiones del ejército israelí en Gaza. Asimismo, los hacktivistas han colocado fotos de las banderas de Israel, Estados Unidos o Gran Bretaña que presentan un gran tache rojo. Además, han colocado leyendas que dicen: “un día los musulmanes limpiarán al mundo de ustedes”, haciendo referencia a Israel y a Estados Unidos, países a los que exigen un alto en sus ofensivas militares. Por si fuera poco, los hackers que simpatizan con la causa palestina han secuestrado y tomado el control de sitios Web israelíes de noticias como el de ynetnews.com, redirigiendo el tráfico hacia páginas que contienen consignas palestinas. Pero hacktivistas israelíes han hecho también su trabajo, atacando si-

tios de la causa palestina y colocando banderas israelíes con consignas. En particular, la Fuerza Judía de Defensa en Internet tomó el control de varios grupos pro palestinos en Facebook, en los cuales removió contenido y lo sustituyó con el logo de la Fuerza y con consignas. El Centro Simon Wiesenthal, dedicado a monitorear el odio y el terrorismo digital, dio a conocer que en el sitio del Comité británico de los Asuntos Públicos de los Musulmanes se han posteado informaciones donde se

SITIOS WEB DE ENTIDADES MILITARES DE ESTADOS UNIDOS, ASÍ COMO BANCARIAS Y FINANCIERAS BASADAS EN ISRAEL E INCLUSO FACEBOOK HAN SIDO OBJETIVOS DEL ACTIVISMO CIBERNÉTICO PRINCIPALMENTE DE SIMPATIZANTES DE LA CAUSA PALESTINA.

les dice a los musulmanes locales cómo elaborar una lista de judíos prominentes para presuntamente “intimidarlos o hacerles algo peor”, según dijo Abraham Cooper, asociado del Centro. El sitio Web Defensetech.org dio a conocer que una página Web pro israelí recluta voluntarios para llevar un acabo un ataque distribuido de negación de servicio (DDoS) a los sitios de la guerrilla palestina Hamas, para lo cual es necesario descargar una herramienta DDoS que el movimiento ‘Help Israel Win’ o ‘Ayuda a Israel a ganar’ ofrece gratuitamente. De consumarse este hecho, asegura el sitio, podría desencadenar una ciberguerra. ● Marzo, 2009 B:SECURE

RED EL

Una charla con Alfredo 12 B:SECURE

Marzo, 2009

Reyes

DUCIR L PHISHING

FUE SOLO EL PRINCIPIO... La falta de recursos legales modernos y ágiles que les permitieran luchar contra una gran amenaza de phishing que surgió hace unos años, llevó a la AMIPCI y a Alfredo Reyes Krafft a crear el iCrime, un grupo de seguridad dentro de este organismo que lucha por disminuir el phishing en México combatiéndolo desde los propios proveedores de servicios de internet. Por Jonathan Hernández Sosa

s Krafft, el bSecure Award 2009 Marzo, 2009 B:SECURE 13

Cómo ingresa un doctor en derecho al mundo de la seguridad informática, sin haber tomado un solo curso de sistemas? Empieza a trabajar en la Asociación Mexicana de Internet, la AMIPCI. “Tengo años ahí, y uno de los puntos más importantes es precisamente el concepto de seguridad y la percepción de inseguridad que los usuarios tienen”, dice Alfredo Reyes Krafft, hoy vicepresidente ejecutivo de la asociación y director de Negocios Digitales e Industria Bancaria del Grupo Financiero BBVA Bancomer. Con el fin de luchar contra el aumento de los crímenes informáticos, la asociación decidió crear un comité interno de seguridad, y formar el iCrime, un grupo especial dedicado a frenar el phishing en México y, de paso, a mejorar las herramientas jurídicas relacionadas con este esfuerzo. El grupo iCrime, donde Reyes Krafft es el coordinador y secretario, “surgió hace unos años cuando hubo una amenaza grande de phishing, pero el trámite legal para bajar el sitio tardaba días, semanas, al ir a las autoridades para

Sus miembros se reúnen una vez al mes, y entre los avances que ya han conseguido con NIC México están, por ejemplo, el manejo de notificaciones para bajar sitios web peligrosos directamente a los usuarios y proveedores de servicios de acceso a internet. “Nos dimos cuenta de que era más práctico combatir el phishing mexicano desde los ISP, así que reunimos a los principales y logramos niveles impresionantes de la gente de la UNAM”, comenta Reyes Krafft. “Ya no lo hacemos por la NIC, sino por el propio proveedor, quien asume con un medio de comunicación centrado en la AMIPCI, centrados en el contrato del cliente, que no se pueden poner sitios que vayan en contra de la ley o la ética. Es decir, son ‘Notice & Take Down’ dirigidos al propio proveedor de internet. Esto es un paso importante”, afirma. Sin embargo, el iCrime no es el único esfuerzo de la AMIPCI por acabar con el delito informático. Otro grupo interno, el INFRA, está empezando a trabajar en un proyecto para lograr que los requerimientos del Ministerio Público se concentren en una sola asociación, como la AMIPCI, y sean más específicos. Esto quiere decir que sería la propia asociación la que entregaría la orden judicial al ISP, para que guarde solo una cierta información relaEl director de Negocios Digitales e Industria Bancaria del Grupo Financiero BBVA Bancomer es también cionada con un caso (para las pruebas de juicios y los vicepresidente ejecutivo de la Asociación Mexicana de Internet (AMIPCI) y presidente del Consorcio Mexicano procesos), en lugar de hacer que almacene todo. Así de Software. se evitarían costos adicionales para el ISP que podrían Es doctor en derecho, con mención Cum Laude, por la Universidad Panamericana, y tiene un posgrado en dirección afectar el precio de sus servicios para el usuario final. de empresas (D1) por el Instituto Panamericano de Alta Dirección De Empresas (IPADE), con estudios de especialidad en contratos y daños en la Universidad de Salamanca.

¿QUIÉN ES ALFREDO REYES?

MÁS ALLÁ DEL PHISHING

También es investigador nacional nivel 1 del Sistema Nacional de Investigadores (CONACYT) y ha sido Director Contralor Jurídico de Banco del Atlántico y Presidente de la Asociación Mexicana de Internet (AMIPCI).

Pero, por supuesto, estos esfuerzos aún no son suficientes. Para Alfredo Reyes, la lucha contra el phishing es solo el primer paso. “Hay mucho que ver. Cada día Asimismo, es profesor de la Universidad Panamericana (facultad y posgrado en derecho y comunicación), profesor surgen nuevas amenazas, y estamos trabajando mude posgrado en Derecho en la Universidad Nacional Autónoma de México (UNAM) y en la Escuela de Graduados cho para reconocerlas, ubicarlas y conocerlas, y denen Administración Pública (EGAP) del Tecnológico de Monterrey (ITESM) en el Campus del Estado de México, así tro del grupo interdisciplinario ver cómo alertarnos y como maestro de la cátedra de Comercio Electrónico en el doctorado en derecho privado de la Universidad de defendernos”, comenta. Salamanca. Y como una de las principales amenazas es la desinReyes Krafft igualmente forma parte del Comité Consultivo de NIC MÉXICO, es secretario del Consejo Directivo formación y falta de conocimiento de los usuarios, así de AMECE (Asociación Mexicana de Estándares para el Comercio Electrónico), es integrante del grupo impulsor de como la carencia actual de herramientas en la legislala legislación en materia de comercio electrónico (GILCE) y coordinador del Grupo de Trabajo de Banca y Comercio ción mexicana para enfrentar adecuadamente este tipo Electrónico de la Asociación de Banqueros de México. Además, colabora con la comunidad alfa redi, integra el capítulo de delitos, el grupo iCrime decidió tratar de atacar ammexicano de Internet Society y es autor del libro “La firma electrónica y las entidades de certificación” (Editorial Porrúa, bos puntos a la vez, y creó cursos de capacitación para 2003) y coautor de los libros “Tecnologías de la información y las comunicaciones. Aspectos legales” (Porrúa-Itam, jueces locales y federales. 2005) e “Internet. Columna vertebral de la sociedad de la información” (Porrúa-ITESM, 2005). Además de jueces con mejor preparación, el grupo ha conseguido también que se acepte el uso de la viAdicionalmente, colabora regularmente en publicaciones nacionales e internacionales y en foros relacionados con deoconferencia para presentar pruebas en los juicios, internet, derecho y tecnología, como AMECE, SAT, IMPUESTUM, SWIFT, UNAM, IIJ, AMIS, APEC, AMIPCI, SCJN y WSIS, así como que se empiece a usar más los medios elecentre otros. trónicos dentro del ámbito federal. “Todavía peleamos muy fuerte para darle cabida al documento electrónico que ellos manden una instrucción a NIC México de que se baje. Eso suponía y a la firma electrónico en el ámbito penal, para darle equivalencia funcional un riesgo grandísimo”, cuenta el ejecutivo. “Con este grupo bajamos sitios en menos de media hora de respuesta, un a la tecnología y así no tener que cambiar toda la ley”, subraya Reyes Krafft. tiempo menor aún que el de los estándares internacionales. Esto ha ayudado Felizmente, el grupo ha encontrado un aliado importante en el Consejo de la en cuestiones prácticas muy puntuales, y ha permitido enfrentar estos pro- Judicatura, que los está apoyando en el tema de la capacitación. “Tarde o temprano, el grupo iCrime va desaparecer, pero esto será cuando blemas de una manera muy rápida”, refiere. la legislación funcione. Hoy negociamos con ISP, con las autoridades, llegamos a acuerdos, tratamos de manejar acuerdos contractuales y mantenemos UN ESFUERZO CONJUNTO Aunque iCrime integra diversas entidades del sector público, privado, aca- diálogos con diversos organismos. Lo mejor sería que todos estos esfuerzos démico y civiles, tales como PFP, Cofetel, Canacintra, ABVM, Visa y ALAP- estuvieran formalizados en leyes; sin embargo, mientras no sea así no nos vaSI, entre otras, para Reyes Krafft sigue siendo un grupo de amigos que busca mos a detener, porque nos falta mucho por hacer. Pero vamos por buen ca“mejorar la experiencia del usuario en internet y evitar el delito cibernético”. mino”, concluye Reyes Krafft. ● 14 B:SECURE Marzo, 2009

C R M

B A S E S

D E

D A T O S

M E D I U M

B U S I N E S S

P R O C E S S

Quitamos la paja por ti /P UF QJFSEBT FO MB C|TRVFEB Informaciรณn a la medida para tu negocio IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP powered by:

$MJFOUFT DPO WBMPS CRM

Las aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son mรกs accesibles y fรกciles de usar. Conรณzcalas.

"SDIJWPT EJHJUBMFT Bases de Datos

El crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la informaciรณn. Aquรญ le decimos cรณmo.

/FHPDJPT FO DSFDJNJFOUP Medium Business Soluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.

&NQSFTBT FGJDJFOUFT Business Process

Las mejores prรกcticas se incorporan a las tecnologรญas de negocio a travรฉs de aplicaciones que automatizan los procesos empresariales y estรกn a su alcance.

IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP C R M

B A S E S

D E

D A T O S

M E D I U M

B U S I N E S S

P R O C E S S

for

BUSINESS PEOPLE

¿POR QUÉ LAS ORGANIZACIONES DEBEN TENER UNA ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN? Por Adrián Palma

16 B:SECURE

as organizaciones requieren hoy en día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan, así como tener una operación con un nivel de riesgo aceptable, derivada del uso de las tecnologías de información y que asegure la tranquilidad de los accionistas, directivos, funcionarios, clientes y socios de negocio. Las grandes incógnitas son: ¿Cómo se puede lograr esto?, ¿por dónde hay que empezar?, ¿qué se necesita realmente?, ¿cuánto presupuesto se necesita? y ¿quién es el responsable de implementarlo? Las respuestas son difíciles y complejas, ya que hoy las organizaciones resuelven los problemas de seguridad de una manera puntual, reactiva, correctiva y no desde un punto de vista estructurado. Una respuesta, por ejemplo, es una solución basada en una Arquitectura de Seguridad de la Información, la cual permitirá identificar los elementos y los componentes necesarios para definir, normar, implantar, monitorear y auditar los requerimientos de seguridad con una visión de negocios que se apoye en tres factores críticos de éxito: recursos humanos, procesos de negocio y tecnología. Nótese la diferencia entre una arquitectura de seguridad de la información y una arquitectura de infraestructura de seguridad, donde esta última es diseñada con elementos tecnológicos exclusivamente y no con elementos que involucren a toda la organización. En las organizaciones todo cambia con el tiempo: las personas, la tecnología, la forma de hacer negocio, los procesos, los volúmenes de información, los riesgos, etc. Por lo tanto, las necesidades y requerimientos de

FIGURA 1.

seguridad también cambian. Esto hace extremadamente complejo determinar el nivel de seguridad requerido para tratar de mitigar estos nuevos riesgos, y por eso es fundamental contar con una arquitectura de seguridad cuyo objetivo principal sea tener una base en la cual los nuevos riesgos generados por cualquier tipo de cambio estén incluidos y alineados bajo este marco. Así, el proceso podrá ser lo más transparente y sencillo para la organización.

Algunas de las etapas que se deben considerar en una arquitectura son: UÊ ? Ã ÃÊìÊÛÕ iÀ>L `>ìÃÊÞÊ Û> Õ>V ÊìÊV ÌÀ iÃ] UÊ ÀÀiVV ÊìÊÛÕ iÀ>L `>ìÃ] UÊ iÃ>ÀÀ ÊìÊ« Ì V>Ã]Ê ÃÌ? `>ÀiÃ]Ê Õ >Ã]Ê*À Vi` i Ì ÃÊÞÊ baselines, UÊ Ài>V ÊìÊ >ÊvÕ V Ê v À ?Ì V>] UÊ ? Ã ÃÊÞÊ Û> Õ>V ÊìÊÀ iÃ} Ã] UÊ ÃÌÀ>Ìi} >ÊìÊÃi}ÕÀ `>`] UÊ *À }À> >ÊìÊV V i Ì â>V ] UÊ `µÕ Ã V ]Ê iÃ>ÀÀ ÊiÊ ÃÌ> >V ]ÊÞÊ*ÕiÃÌ>Ê>Ê«Õ Ì ÊìÊ herramientas, UÊ Ì Ài ]Ê Õ` Ì À >ÊÞÊ «ÕÌ Êv Ài Ãi° Ver figura 1. Ejemplo de Road Map Al contar con una Arquitectura de Seguridad de la Información diseñada a su medida, y basada en sus propios riesgos tecnológicos que impactan directamente en sus procesos de negocio o funcionales, las instituciones y organizaciones podrán conocer el difícil, complejo y misterioso punto de equilibrio –entre el riesgo, el costo y la seguridad– que necesita ser implantado, sin que estas medidas afecten la capacidad de operación y de servicio de la organización, y con las ventajas competitivas que brinda la tecnología. Tener una arquitectura de seguridad también garantizará contar con todos los elementos necesarios para una adecuada administración de riesgos ÌiV } V ÃÊ/ iÀ>À]Ê/À> ÃviÀ À]Ê Ì }>ÀÊ Êi Ê> }Õ ÃÊV>Ã ÃÊ Û Ì>À®]ÊÞÊÃiÊ« drá ser preciso en la identificación e implementación de los controles y mecanismos de seguridad que realmente requiere la organización, y así evitar inversiones cuantiosas e innecesarias. Las organizaciones que tengan la convicción real y la visión adecuada lograrán un liderazgo en su ramo como pioneros en la definición e implantación de una Arquitectura de Seguridad de la Información, y contarán con estándares y lineamientos de seguridad que les permitan responder de manera preventiva y proactiva ante cualquier intento de ataque, evento, incidente o fraude que ponga en peligro la operación, el servicio o la información sensitiva y crítica de la organización. Además, en caso de que este tipo de intentos llegaran a materializarse, las empresas estarán seguras de que estos no impactarán de manera significativa. Recordemos que no hay ningún mecanismo 100% seguro, y que en algún momento las organizaciones siempre se enfrentarán con un incidente de seguridad, así que la diferencia versará en que ese incidente no afectará la capacidad de operación, servicio y, en algunos casos, la supervivencia de las organizaciones. Igualmente, como resultado de lo anterior, cualquier organización que siga este modelo será capaz de operar de forma preventiva y no reactiva, asegurando la disminución de pérdidas ocasionadas por la materialización de los riesgos tecnológicos, y estará preparada para recibir y aprobar cualquier tipo de auditoría o revisión en materia de seguridad de la información, y obtener cualquier tipo de certificación internacional. Final i Ìi]Ê >Ê Ì>Ê ÀiVV ÊÌi `À?Ê >ÊÌÀ> µÕ `>`ÊìÊµÕiÊ >Ê À}> â>V Ê Ê institución estará operando de manera segura y confiable. ●

Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en TI y Seguridad Informática, tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org B:SECURE 17

´ OPINIÓN LETDOWN – JUST LET ME DOWN Aun cuando se corte la energía eléctrica, los datos almacenados en la memoria DRAM de una laptop pueden recuperarse, y el frío ayuda en ello. Por Irving García Mendoza

l 08 de diciembre de 2008, el desarrollador Acri Emanuele publicó en su sitio web (http://complemento.sourceforge.net/), la versión 0.4b de lo que él llama “Complemento”, una colección de herramientas que al principio, como él mismo menciona, usaba únicamente para su beneficio personal y que posteriormente decidió publicarlas para toda la comunidad. En principio nada hay de malo en que una persona haga públicas las herramientas que utiliza y que cree que pueden ayudar a un grupo de personas con intereses afines a él mismo, pero sin lugar a dudas me atrevo a decir que tanto el enfoque que se le dio a sus herramientas, como la cobertura amarillista que se leyó en revistas, sitios web y blogs se excedieron por mucho de lo que realmente nos estaba “regalando” y ese es precisamente el tema que deseo tratar. La suite Complemento se compone de tres aplicaciones y ninguna de ellas es una “herramienta para hackear sitios web” como se llegó a mencionar en algunos medios, la primera aplicación que mencionaré es LetDown Antes recordemos el proceso 3-way-handshake para establecer comunicación entre dos equipos vía TCP 1. Equipo A envía paquete TCP SYN al Equipo B 2. Equipo B recibe el paquete TCP SYN del Equipo A 3. Equipo B responde un paquete TCP SYN/ACK (SYNchronizeACKnowledgement) 4. Equipo A recibe el paquete SYN/ACK del Equipo B 5. Equipo A envía un paquete TCP ACK al Equipo B 6. Equipo B recibe el paquete ACK y se dice que la conexión TCP ha sido establecida (Status Established) Cuando nosotros utilizamos una aplicación para hacer uso de un servicio mediante una conexión TCP, por ejemplo, para revisar nuestro correo electrónico, el cliente de correo realizará los pasos arriba mencionados con el servidor que proporciona el servicio para establecer un canal de datos y enviar los correos o recibir los correos que tengamos en espera pero esto se logra debido a que el cliente de correo desea este canal de datos y está programado para comunicarse con servidores de correo. ¿Qué pasa cuando una aplicación X envía un paquete SYN a un servicio Y? Bien, si la aplicación X está programada para enviar paquetes SYN de manera arbitraria a puertos seleccionados por el usuario pero no se le programa más allá de esto, entonces la negociación de conexión se cancelará y no pasará nada. Pero en el caso de LetDown esto es distinto ya que LetDown envía múltiples paquetes SYN al puerto que nosotros le especifiquemos y si el servicio efectivamente está funcionando, nos responderá con un paquete SYN/ACK y en ese momento, LetDown responde con un paquete ACK pero no hace nada más, simplemente realiza la conexión, así pues nos acabamos de dar cuenta que LetDown es una 18 B:SECURE Marzo, 2009

simple aplicación que intenta provocar una excesiva carga de trabajo en un servidor remoto ayudándose de generar cientos o miles de conexiones simultáneas y esto es lo triste ya que no hace nada nuevo o diferente a las muchísimas aplicaciones que ya hay en foros, sitios de descargas de aplicaciones de seguridad, sitios profesionales e incluso hay empresas que tienen productos de alto desempeño para ello, CISCO utiliza varios para hacer pruebas a sus equipos. La siguiente aplicación se llama ReverseRaider, este programa me parece bastante interesante y fue el único que no mencionaron por ningún lado, bueno, ReverseRaider busca resolver un rango de IPs ó una lista de dominios (microsoft.com google.com yahoo.com) y mostrar algunos datos sobre ellos, si resolvió un IP muestra el nombre de host que pudiese tener asignado, si lo que hicimos fue solicitar resolver uno o más dominios, entonces nos mostrará los IPs correspondientes a cada uno de ellos, pero lo que me llamó la atención es su función de lista de palabras y combinaciones sobre ellas, esto es, si nosotros deseamos buscar nombres de hosts dentro del dominio burbujita.com y tenemos una lista de palabras que contenga [mail,w ww,test,demo,users,root,admin], ReverseRaider buscará resolver los hosts mail.burbujita.com www.burbujita.com y así sucesivamente, pero mejor aún, podemos especificar que realice permutaciones numéricas, o sea, intentar resolver mail01.burbujita.com mail03.burbujita.com, esto es muy útil cuando realizamos pruebas externas de análisis de vulnerabilidades y queremos automatizar la búsqueda de servidores que utilicen nomenclaturas comunes. Por último, encontramos a la aplicación llamada Httsquash, lo que hace esta aplicación, que fue interpretada como una herramienta que “hackea” sitios web con un solo click, es conectarse a un sitio web, preguntarle legítimamente a dicho servidor sus datos generales y posteriormente se los despliega al usuario, esto lo hace cualquier navegador web, con la diferencia de que nosotros como usuarios nunca vemos dichos datos, en ningún momento se intenta verificar vulnerabilidad alguna en el servidor web al que se está conectando, pero es funcional si queremos verificar modificaciones hechas al servidor para reducir la cantidad de información o veracidad de la misma que está dando a conocer, por ejemplo, cuando un Administrador modifica el Microsoft Internet Information Services para que responda como un Apache Web Server. Httsquash puede ser automatizado y utilizado para obtener datos de uno o más servidores web, soporta IPv6 y solicitudes de información personalizadas por el usuario. Para finalizar me gustaría hacer mención de una aplicación llamada Scapy, este programa permite la manipulación de paquetes, su captura, truncarlos, enviar paquetes en forma arbitraria, auditar equipos o incluso auditar protocolos. ●

´ OPINIÓN LA CRISIS Y LA SEGURIDAD DE LA INFORMACIÓN Por Andrés Velázquez CISSP, GCFA, IEM

comprar a finales del año pasado ya que hay que hacer un recorte en los gastos de la organización. Y es que tampoco me imagino a las empresas que van a modificar los contratos de prestación de servicios a los guardias de seguridad para sólo dejar uno sólo - en turnos de lunes a viernes por las noches- esperando a que no sean robados durante las horas de trabajo normal. Recuerdo aquellas épocas donde la seguridad de la información era considerada un mito, sólo las empresas muy grandes tenían acceso a dispositivos o a tecnología para poder implementarlo; pocas personas tenían el conocimiento de que existía una disciplina como ésta y más pocos quienes la ejercían. Y no me refiero a que somos muchos dentro del medio, sino al contrario, seguimos siendo un medio pequeño; aunado a que ahora se comenta que existe una creciente escasez de ingenieros para las próximas generaciones. ¿Será entonces que realmente estamos en crisis o que siempre hemos vivido en crisis? Creo que siempre hemos vivido una crisis en poder explicar y hacer que la dirección valore la imporNO HE DEJADO DE LEER EN LOS MEDIOS QUE ESTE tancia de la seguridad de la información. Una crisis AÑO, 2009, SERÁ DE CRISIS. en mantener la unidad como medio y como profesioLA REAL ACADEMIA DE LA LENGUA DEFINE LA nales del mismo. Una crisis personal en cómo justiCRISIS COMO ESCASES O CARESTÍA; SITUACIÓN DE ficar la compra de nueva tecnología o la creación de un sub-grupo de seguridad de la información. En alUN ASUNTO O PROCESO CUANDO ESTÁ EN DUDA gunos casos, incluso el poder tener un área de seguLA CONTINUACIÓN, MODIFICACIÓN O CESE; O EL ridad de la información dentro de la organización. MOMENTO DECISIVO DE UN NEGOCIO GRAVE Y DE Desde hace varios años he escuchado que el CONSECUENCIAS IMPORTANTES. tiempo de crisis es tiempo de oportunidad. Puede que sea nuestra oportunidad de hacer algo importante al respecto. Por lo pronto, creo que la crisis que sufrí este tiempo para escriPero la realidad en el medio, por lo menos desde mi perspectiva, es completamente diferente. La seguridad de la in- bir este texto está a punto de acabar, pero la oportunidad que me formación - vista desde las perspectivas de confidencialidad, dio de apuntar muchos otros temas para las próximas entregas ha integridad y disponibilidad - deben ser vistas como algo que sido refrescante. ● no puede ser "recortado". No me imagino una empresa donde haya que dejar de pagar un cerAndrés Velázquez es un especialista en cómputo forense. Cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. Es profesor tificado digital de un servidor de banca en línea; un mundo donde hay de la facultad de seguridad en redes de la University of Advancing Technoque prescindir de un firewall para el nuevo enlace que acabamos de logies (UAT) en Phoenix, Arizona. avelazquez@uat.edu n las reuniones que he tenido en este inicio de año, algunos amigos - no importando dónde trabajen- comentan que en las empresas en las que laboran han recortado presupuestos en viajes, en celulares e incluso uno de ellos comentó que ahora les dan dos días de vacaciones obligatorias sin sueldo al mes para ahorrar un poco en los excesivos costos que de la noche a la mañana aparecieron. Para poder escribir esta columna, me sentí carente de ideas para poder terminarlo, solicité entonces una junta con el editor, llamé a amigos y compañeros de trabajo para que me inspirara en estas líneas. Dentro de algunas empresas, los proyectos de integración de nuevas tecnologías y la ampliación de la infraestructura actual en tecnologías de la información han dejado de ser una prioridad en la mesa de los altos directivos.

Marzo, 2009 B:SECURE 19

ÁREARESTRINGIDA

INGENIERÍA INVERSA: CONTRAMEDIDAS

n el último artículo se dieron a conocer las diferentes herramientas y técnicas utilizadas en el área de ingeniera inversa. No hay que olvidar que este tipo de técnicas pueden ser usadas tanto para actividades ilegales como legales. Existen diferentes formas de protegerse que varían de acuerdo al tipo de pro-

20 B:SECURE Marzo, 2009

Por Roberto Gómez Cárdenas

tección que proporcionan y a lo que se desea proteger. Existen enfoques que nos ayudan a marcar un software, o un archivo multimedia, para poder establecer el origen de este. Sin embargo el enfoque es diferente si es necesario impedir la copia de datos multimedia, o si se requiere impedir que se conozca el funcionamiento

de un software para impedir utilizar componentes de este o desha- mochila. Una mochila no es más que una caja que contiene un circuito que puede variar en complejidad según el tipo de mochila. bilitar su funcionamiento. Con el objetivo de poder diferenciar un original de una copia Algunas mochilas cuentan con memoria donde se almacenan daes posible marcar el software con una marca de agua, (software tos usados por la propia mochila. El software a proteger se comuniwatermarking). Existen marcas de agua estáticas y dinámicas. En ca con la mochila a través de rutinas que proporciona el fabricante. las marcas estáticas, se incluye la marca como una cadena de ca- La protección depende de la habilidad del programador de impleracteres dentro del código, a manera de inicialización de variables. Un ejemplo consiste en asignar el valor “Propiedad compañía ACME” a una variable que CON EL OBJETIVO DE PODER DIFERENCIAR no es usada. El problema de este tipo de marcas de UN ORIGINAL DE UNA COPIA ES POSIBLE agua es que son fáciles de detectar y anular con un editor hexadecimal. En las marcas de agua dinámicas MARCAR EL SOFTWARE CON UNA MARCA el usuario ejecuta el programa con un conjunto especíDE AGUA, (SOFTWARE WATERMARKING). fico de entradas, después de los cuales el programa lleEXISTEN MARCAS DE AGUA ESTÁTICAS Y ga a un estado que representa la marca. Sin embargo DINÁMICAS este tipo de marcas solo permiten diferenciar el original de una copia, y no el copiado del original. En el caso de protección de contenidos multimedia en un CD (archivos de música o video) existen dos tipos de protec- mentar la protección. Entre los puntos importantes a tomar e cuenciones, pasiva y activa. El reto que se tiene es que el usuario pue- ta están el cifrar la llamada a la mochila, mandar llamar a la mochila da escuchar el contenido de disco, pero que no pueda copiarlo. La en varios lugares del programa y en diferentes intervalos de tiempo protección pasiva se basa en las diferencias que existen entre la durante la ejecución de la aplicación. Con el objetivo de ocultar el funcionamiento del sistema de proforma en que los tocadores de CD leen los discos y la forma en que las computadoras leen los discos. El principio básico consiste en tección del software, algunos autores software empaquetan sus insertar algo en el disco de tal forma que las computadoras se con- programas para reducir el tamaño de los archivos del programa y complicar el trabajo de ingeniería inversa, ya que no se puede obfundan sin afectar a los tocadores. La protección activa permite que la computadora lea todos los tener un desensamblado exacto del archivo El programa original archivos del CD pero instala software que afecta todos intentos se encuentra envuelto dentro del código del empaquetador, el cual de lectura del disco. Un ejemplo son el XCP (eXtended Copy Pro- esconde el código original Cuando se lanza el programa, se está tection) y MediaMax. Este tipo de programas deben ser invisibles ejecutando en primer lugar el código empaquetador., el cual despara el usuario, simulando el comportamiento de virus, spyware y empaqueta aplicación original en memoria y después se ejecuta. backdoors. Sin embargo es necesario que el programa instalado Es posible usar un cifrador en lugar de un empaquetador. Una variante de lo anterior es lo que se conoce como Esta técsea diseñado con todas las precauciones necesarias, ya que puede representar un punto de entrada para atacantes. Esto proble- nica se conoce como ofuscamiento. Ofuscar un código fuente o ma se hizo realidad en el 2005 en algunos CDs manejados por la intermedio consiste en aplicar de algoritmos de reescritura para transformar un código legible y entendible por una persona en otro compañía Sony. Existen diferentes tipos de mecanismos de defensa para dificul- de funcionalidad equivalente pero totalmente ilegible e incompretar el trabajo de las personas que desean conocer el funcionamiento sible para un lector humano. Algunas de las técnicas de ofuscade un programa para deshabilitar algunas de sus funcionalidades ción más comunes consiste en incluir ciclos irrelevantes, llevar a o copiar alguno de los módulos. Entre las más comunes podemos cabo operaciones aritméticas innecesarias, usar nombres de funmencionar a los sistemas de protección por tiempo, sistemas de ciones que no tienen nada que ver con lo que hacen, etc. También es posible utilizas CRCs (Código Redundancia Cíclica) protección mediante hardware externo (mochilas o dongles), sistemas de defensa basado en empaquetadores, ofuscadores y los ba- para la protección de software. Los CRCs son usados para la detección de errores en la transmisión de datos en comunicaciones. sados en la comprobación de la integridad de los datos (CRC). Existen dos formas de implementar un sistema de protección El dispositivo calcula el CRC en base a un polinomio y envía inforpor límite de tiempo. En el primero el software comprueba si han mación junto con su CRC. En el otro extremo de la recepción se transcurrido n días desde la instalación del mismo. En caso positi- usa el mismo polinomio para calcular el CRC de lo recibido y comvo procede a la salida inmediata del programa o a su des-instala- para resultado. Si son iguales se ha transmitido con éxito, en caso ción, aunque también puede mostrar algún mensaje informando al contrario algún dato fue cambiado. Es posible usar huellas digitausuario que el periodo de prueba ya terminó. En el segundo de los les en lugar de CRCs. La generación de números de serie es otra opción, pero es la casos se comprueba si se ha llegado a una fecha límite. En ambos casos el software no funcionará si se vuelve a instalar. Sin embargo peor de las protecciones. El número de serie se encuentra almaun atacante puede analizar la aplicación para comprobar donde se cenado dentro del ejecutable y con des-ensamblar este se pueden almacena la fecha de instalación, o donde se encuentra el contador buscar las cadenas que forman el número de serie. Como se puede constatar existen diferentes técnicas y métodos de los días que han pasado y modificar estos valores. Otra opción de protección utiliza un dispositivo hardware ex- para prevenir ataques de ingeniería inversa. Plataformas de desaterno, que se conecta a la computadora cada vez que se utiliza la rrollo como .NET incluyen opciones para proteger lo desarrollado, aplicación protegida. Este dispositivo se conoce como dongle o tan solo hay que conocerlas y usarlas. ● Marzo, 2009 B:SECURE 21

OPINIÓN CONTINUIDAD DE NEGOCIOS ARQUITECTURA DE PROCESOS DE SEGURIDAD DE INFORMACIÓN / FRAMEWORK DE SEGURIDAD Por Ricardo Morales

n artículos anteriores establecimos las bases de una Arquitectura de Procesos de Seguridad de Información o Framework de Seguridad de Información. Esta arquitectura consta de seis procesos básicos: Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios, Control de Accesos y Monitoreo de Seguridad. Ya que el artículo pasado trató sobre el proceso de Manejo de Incidentes, y ahora verenos la Continuidad de Negocios.

QUÉ ES UN DESASTRE Desastre viene del provenzal antiguo: “Dis” (separación) y “Astrum” (estrella). Significa desgracia grande, suceso infeliz y lamentable. Según el diccionario, quiere decir “Evento prolongado, no planeado y no tolerable, que tiene las siguientes características: alta incertidumbre, baja probabilidad de ocurrencia y alto impacto”. Desde el punto de vista de negocio, un desastre puede interrumpir procesos de negocios críticos. Si esta interrupción es lo suficientemente prolongada, podría establecer altos impactos en la organización que inclusive la lleve a la bancarrota. Otro aspecto fundamental es que las causas de un desastre puede ser de la naturaleza, fallas tecnológicas o debido al ser humano.

- Gartner Group estima que, de cinco empresas que sufren una contingencia, dos de ellas saldrán del negocio dentro de los cinco siguientes años. Gartner Group - El 40 % de las empresas dice que tomará más de un día regresar o “poner” en línea los sistemas en caso de que el desastre destruya una localidad principal. Information Week Research - El porcentaje de estar fuera de servicio por una hora es de $84,000 dólares en un Call Center. IDC - Las Funciones del Negocio no pueden continuar operando después de 4.8 días sin la recuperación de la infraestructura tecnológica. Info Security News - El 24% de los desastres es causado por fallas de hardware. DRII - El 14% de los desastres es causado por inundaciones. DRII - El 19% de los desastres es causado por fallas de energía. DRII - El 4% de los desastres es causado por terremotos. DRII

MODELO DE CONTINUIDAD DE NEGOCIOS Es fundamental que un modelo de Continuidad de Negocios integre ciertos componentes, desde la estrategia del negocio hasta las pruebas de los planes detallados de recuperación. En este modelo que les expongo se consideran tres niveles:

BRINDA CONFIANZA Contar con un Plan de Continuidad de Negocios debidamente implementado brinda confianza a todas las partes interesadas, es decir, clientes, proveedores, accionistas, entidades de gobierno y sociedad en general, ya que este asegura que los servicios que brinda la organización no se interrumpan y les cause algún efecto negativo. Imaginen, por ejemplo, a un prestador de servicios de telecomunicaciones que brinda servicios a una compañía de seguros. Si estos servicios se interrumpen, la compañía no podría procesar sus incidentes a tiempo, impactando directamente al consumidor final.

1. Business Continuity Management Considera la administración de la Continuidad del Negocio como parte de un proceso de gobierno de la organización. Por ello, se deben establecer las Políticas Corporativas de Continuidad de Negocio, integrar los requerimientos legales y crear un Comité de Continuidad con roles y responsabilidades claras. Se deberá construir un plan estratégico a corto, mediano y largo plazo para darle madurez al proceso. En general, en este nivel se considera organización, directrices, procesos, escenarios, estrategias, procedimientos, etc.

ESTADÍSTICAS Y MÁS ESTADÍSTICAS

2. Business Continuity Plan Considera planeación dirigida a los procesos del Negocio. En esta etapa se consideran cuáles son los procesos de negocio más críticos, así como sus requerimientos de recuperación en tiempo, información y recursos necesarios para operar en contingencia. En general en este nivel se considera restablecer los procesos de negocio y servicios críticos, en el menor tiempo y con el menor impacto posible. Un BCP robusto asegura proteger las vidas y brinda seguridad, reduce impactos al negocio, trabaja con terceros durante los procesos de recuperación, reduce la confusión durante crisis, brinda una recuperación rápida, etc.

Un tema a considerar en la región o zona donde se encuentran las operaciones de la empresa, es si hay actividades sísmicas, de inundaciones, de tormentas o si la sede se ubica cerca de un consulado, por ejemplo. Para ello es muy relevante el manejo de estadísticas. Si bien hay países que se distinguen por eso, en otros lamentablemente no hay cultura relacionada. Ejemplos: - “67% de las compañías que tienen un desastre por más de dos semanas, están fuera del negocio dentro de los dos años siguientes”. Sun Systems 22 B:SECURE Marzo, 2009

3. Disaster Recovery Plan Planeación específica a tecnología de la información. En esta etapa se considera establecer planes específicos de acuerdo a las tecnologías que soportan los procesos de negocio. Es fundamental contar con estos planes para garantizar un plan efectivo en un mundo actual, basado en tecnologías de la información. En general, en este nivel se considera garantizar la recuperación de la infraestructura de TI.

DISEÑO DE UN PROGRAMA DE CONTINUIDAD DE NEGOCIOS A continuación se describen las fases fundamentales en el diseño y ejecución de un Plan de Continuidad de Negocios. A) BIA, primero lo primero BIA = Business Impact Analysis. Al diseñar un Programa de Continuidad de Negocios, un paso fundamental es ejecutar un BIA. Con el BIA podemos obtener información sobre las funciones críticas del negocio, lo que permite tener prioridades de recuperación en el negocio. Lo más ideal que he encontrado en las organizaciones es que cuenten con un BIA al principio de sus operaciones; lamentablemente pueden pasar 10 o 15 años sin contar con uno. Las mayores actividades de un BIA son: - Selección del personal a entrevistar, - Diseñar cuestionarios especializados, - Identificar funciones críticas del negocio, - Identificar los recursos necesarios de las funciones críticas, - Calcular cuánto tiempo esas funciones pueden sobrevivir sin esos recursos, - Identificar vulnerabilidades y amenazas para esas funciones, - Calcular el riesgo para cada función de negocio, - Documentar los hallazgos y reportar a la Alta Administración. Lo que nos debe proveer un BIA en lo fundamental es lo siguiente: -Impactos (costo en dinero, pérdida de ingresos, de clientes, etc.) derivados de una interrupción de servicio en cada proceso y servicio del negocio. -Tiempo máximo de Interrupción Tolerable (RTO). -Tiempo máximo de pérdida de datos o transacciones (RPO). -Requerimientos Mínimos que necesita cada proceso de negocio durante la recuperación (humanos, materiales, informáticos). B) Identificar medidas preventivas En esta fase se revisan controles preventivos, por ejemplo la instalación de equipo de extinción de incendios en un sitio. Otros ejemplos son: Fortificar los materiales de construcción, servidores redundantes, líneas de poder en diferentes transformadores, pólizas de servicio, compras de seguros, UPS y generadores, tecnologías de respaldos de información, protección de medios de almacenamiento, aumentar inventarios de equipos críticos, etc. C) Desarrollar Estrategias de Recuperación En esta fase se debe discernir cuáles estrategias de recuperación son las relevantes al negocio. Esta fase es una de las más críticas de todo el programa: he visto a muchas organizaciones fallar en sus programas de recuperación debido a un mal diseño de esta fase. Para fines prácticos, aconsejo considerar aquellos escenarios más probables de acuer-

do a las circunstancias, tales como: no acceso a las instalaciones, falla o indisponibilidad de la infraestructura de tecnología de información, y destrucción total de las instalaciones. Cada escenario debe contar con su estrategia de recuperación. Por ejemplo, se puede establecer para un sistema ERP contar con sitios alternos tipo Cold Site, en los que solo hay una instalación eléctrica, servicio de control de temperatura y humedad, piso levantado de site y racks; o sitios tipo Warm Site, donde hay además equipo de conectividad limitado, equipo periférico, etc. También existen los Hot Site, que cuentan con computadoras, servidores, equipos de usuario, periféricos, equipos de conectividad y comunicaciones, y están listos para usarse en cuestión de horas. Finalmente, el Sitio Redundante es aquél que normalmente está equipado y configurado exactamente igual al site primario, y es extremadamente costoso. Las estrategias de recuperación deben contar con un plan a corto, mediano y largo plazo, de modo que cada plan de recuperación vaya madurando con el tiempo y se le pueda ir agregando nuevos escenarios. C) Desarrollar Planes de Recuperación Esta fase conlleva un trabajo muy fuerte, dado que se tienen que elaborar planes de forma muy específica para cada escenario de recuperación definido. Cada Plan de Recuperación pasa por las etapas de Inicio (metas, conceptos, roles, tarea, etc.), Activación (notificación, evaluación de daños, activación, etc.), Recuperación (moverse a sitio alterno, restaurar procesos, etc.) y Reconstrucción (restablecer facilidades, regresar a operación normal, etc.). Todos los planes deben contar con un equipo de trabajo específico, con personal especializado de operaciones del data center, personal de redes, personal de seguridad física, etc., y otro equipo de trabajo más general, como el área de compras, legal, relaciones públicas, etc. Cada Plan está formado por procedimientos detallados, que vayan madurando con el tiempo. Las primeras versiones de prueba de un Plan de Recuperación típicamente deberán probar solo el árbol de llamadas; la segunda debe hacer pruebas de escritorio y, dependiendo del avance ,las siguientes podrían ser ya en campo. Se debe considerar que normalmente los Planes de Recuperación en sus primeras versiones no alcanzan los objetivos trazados, como el RTO, RPO, etc. D) Probar y Probar, Probar y Probar Un Plan de Recuperación que no se prueba no es un plan confiable. Cada prueba debe encontrar hallazgos a los cuales se les debe dar seguimiento para resolverlos. Dependiendo de cada organización, los Planes de prueba mínimo se deben probar una o dos veces al año. Estándares recomendados: Recomiendo que lean el BS 25999 y las prácticas del DRI (The Institute for Continuity Management). Conclusión Para brindar la seguridad al negocio sobre su continuidad de operaciones, es fundamental contar con un modelo robusto de Continuidad de Negocio. No hacerlo establece un alto riesgo al negocio. ● Ricardo Morales está a cargo del área de Seguridad de Información de Alestra, es presidente de ALAPSI Noreste. Alestra es el primer prestador de Servicios en Telecomunicaciones en México y otros países en obtener el certificado ISO27001. rmoralesg@alestra.com.mx

Febrero-Marzo B:SECURE 23

SINNÚMERO LOS PEORES PROVEEDORES DE SPAM Son los meros meros “spammeros” de hoy en día, los proveedores de servicio que –ya Los Top 10 servicios de ISP con peor spam son:

1) sistemnet.com.tr; 2) hostfresh.com; 3) google.com; 4) vsnlinternational.com; 5) gilat.net; 6) cnuninet.com; 7) uatelecom.co.ua; 8) sprint.net; 9) verizon.com; 10) simplenet.com.

sea por falta de interés o por simple descuido– ayudan a que esta plaga invada a los usuarios de todo el mundo. Según InformationWeek US, la lista fue elaborada por Spamhaus, una organización sin fines de lucro que rastrea las operaciones de spam.

Según el servicio TrendWatch de la compañía Trend Micro, la cantidad mundial de spam ya asciende a 90 millones 891,023 correos. Los principales porcentajes corresponden a los siguientes países:

1. Estados Unidos 13.96% 2. Federación Rusa 9.65% 3. República de Korea 6.66% 4. Turquía 6.35% 5. Brasil 5.86% 6. China 4.3% 7. India 3.45% 8. Argentina 3.45% 9. Colombia 2.93% 10. Polonia 2.89% El porcentaje de México en relación al spam mundial es de 0.77%

24 B:SECURE Marzo, 2009

¿La sorpresa? Google es el número tres de la lista.