Marzo-abril 2010 · 61 · www.bsecure.com.mx
SALTE A LA
NUBE
y no olvide su paracaídas
$80.00 M.N.
El cloud computing se ha convertido en una de las tendencias más atractivas dentro del mundo de la tecnología. Pero las promesas de ahorro, flexibilidad e innovación detrás de éste podrían verse frenadas por un tema de privacidad y seguridad de los datos de las empresas que rentan estos servicios
EMPOWERING BUSINESS CONTINUITY
eMedia eMedia Redes Redes Sociales Sociales Webcast Webcast Podcast Podcast Blogs Blogs Revistas Revistas Digitales Digitales eNewsletter eNewsletter
Lテュder en
Custom New eMedia
SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTテ,TENOS www.netmedia.info t. 2629 7260 ext. 1125
MAR-ABR 2010
ACCESO
MÉXICO ES EL SEGUNDO HOGAR DE LA BOTNET ZEUS
El troyano Zeus ya logró infectar más de 75,000 computadoras en todo el mundo, 15% de éstas únicamente en México
EL CIBERCRIMEN, UNA INDUSTRIA DE 1,000 BILLONES DE DÓLARES
El robo de información confidencial de empresas e individuos, el secuestro de computadoras y venta de malware hizo del cibercrimen una industria con un valor de más de 1,000 billones.
B:SECURE FOR BUSINESS PEOPLE
LA FUNCIÓN DE SEGURIDAD EL PRIMER PASO A SEGUIR
El enfoque tradicional del área de Seguridad de la Información es su dependencia del área de operación de la infraestructura y procesamiento de la información. En este contexto representa un reto y FACTOR CRÍTICO la implementación de la función de seguridad, bajo una estructura independiente, sólida y flexible soportada por la Alta Dirección de la organización.
OPINIÓN
TESTIGO FORTUITO
En este mundo de tecnologías convergentes, en donde la tendencia hacia el desarrollo de aplicaciones se ha visto marcada por la construcción de programas web (cliente-servidor). Es inminente la necesidad de hacer conciencia sobre la cantidad de información que un navegador web (explorador de internet) puede almacenar.
CLOUDY WITH A CHANCE OF RISKS…
El cómputo en la nube se ha convertido en los últimos meses en un hot topic para las áreas de IT de las organizaciones, quienes ya se encuentran evaluando la posibilidad de llevar servicios de IT hacia la nube y en algunos casos ya están utilizando servicios en ella.
10
SALTE A LA NUBE… Y NO OLVIDE SU PARACAÍDAS El cloud computing se ha convertido en una de las tendencias más atractivas dentro del mundo de la tecnología. Pero las promesas de ahorro, flexibilidad e innovación detrás de este fenómeno podrían verse frenadas por la privacidad y seguridad de los datos de quienes rentan estos servicios.
04 LOGIN
24 SINNÚMERO
AUDITORIA EXTREMA
¿Y A LOS USUARIOS QUIÉN LOS CERTIFICA?
Los administradores de seguridad ya se están certificando, lo mismo que los equipos que integran la infraestructura de las organizaciones, pero falta un punto muy importante en esto de asegurar la capacidad de resguardo de las piezas involucradas en una estrategia de seguridad: los usuarios.
RESERVE SU AGENDA 9 de Junio 2010 Camino Real Monterrey Con 3 años de éxito comprobado, la cuarta edición del b:Secure Conference Monterrey no será la excepción. De nueva cuenta, lo invitamos a formar parte de una creciente comunidad de tomadores de decisiones que confían en la calidad de nuestros contenidos editoriales y acuden puntualmente a la cita del foro de seguridad más importante de México. Cada año tenemos más oportunidades para que usted conozca a quienes ejercen la mayor influencia en el presupuesto de seguridad de las empresas e instituciones del país.
www.bsecureconference.com.mx/mty INFORMES:
Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4. "Ê > > ` Ê> ÊÓÈÓ Ê ÊÇÓnäÊUÊÓÈÓ Ê ÊÇÓn£UÊÓÈÓ Ê ÊÇÓnx >ÝÊÓÈÓ Ê ÊÇÓn ÊUÊiÛi Ì ÃJ iÌ i` >° v
Un evento de
Producido por
LOGIN LOGIN
INFRAESTRUCTURAS PETROLERAS, FARMACÉUTICAS Y DE GOBIERNO BLANCOS PRINCIPALES DE LOS CIBERCRIMINALES Más que enfocarse en vulnerar sistemas electrónicos endebles de las Pequeñas y Medianas Empresas (PyME) o los usuarios finales, los cibercriminales han encontrado en las infraestructuras críticas y de alto nivel de compañías petroleras, farmacéuticas, financieras y organismos de gobierno a su principal blanco de ataque y fuente de robo de información, de acuerdo a un reporte de seguridad. Según datos publicados en el reporte Annual Global Threat Report 2009 de ScanSafe, una firma que Cisco adquirió a finales de 2009, infraestructuras de alto nivel como las compañías de energía y petroleras, farmacéuticas y el sector financiero sufrieron el doble de ataques Web durante 2009, en comparación con el resto de los sectores industriales. “Durante más de dos años el reporte anual de ScanSafe ha mostrado una tendencia clara; donde las compañías provenientes de verticales o sectores altamente sensibles al robo de información experimentan un promedio mucho más elevado de ataques de códigos maliciosos web”, cita el reporte de la compañía. Así, por ejemplo, empresas del sector energético y petrolero enfrentaron 3.5 veces más ataques o intentos de robo de información en 2009 contra los que tuvieron que lidiar durante 2008. Del mismo modo, empresas de los sectores farmacéuticos y químicos fueron víctimas de 3.2 más ataques de códigos maliciosos a lo largo de los últimos 12 meses.
En porcentajes el reporte de ScanSafe explica que los ataques derivados de los denominados troyanos de robo de datos creció 356% en el sector energético y de petróleo, 322% para las empresas Químicas y Farmacéuticas, 252% para las instituciones de gobierno y 204% para el sector financiero. El reporte, que recopiló los datos del análisis de más un billón de peticiones web procedas por ScanSafe durante 2009, también advierte sobre un crecimiento exponencial en el número de sitios comprometidos y en el desarrollo de los troyanos de robo de datos. “Los ataques basados en malware web mantiene un crecimiento importante. En mayo de 2007 el promedio de sitios comprometidos a los que se enfrentaba un usuario era de 77, para mayo de 2009 la cifra ascendió a 1024. En el caso de ataques directos por cliente de troyanos de robo de información se incrementó de cero en 2007 a más de 307 para 2009”, cita el texto de ScanSafe. El crecimiento en este tipo de troyanos mencionaron los expertos de la firma son reflejo del número de capacidades que les ofrece a los atacantes este tipo de malware para manejar o administrar la información sustraída del usuario infectado. El incremento de ataques a los sitios e infraestructuras de gobierno marcados en el análisis de ScanSafe son reflejo del reciente ataque, generado supuestamente desde el gobierno chino que sufrieron casi 30 compañías estadunidenses entre las destacaban Google y Adobe para vulnerar sus sistemas, instalar malware y robar o espiar su información, ataque denominado a nivel global como Operación Aurora.
LOS ROOTKITS EN EQUIPOS MÓVILES, UNA AMENAZA LATENTE Una de las principales amenazas en el mundo del cómputo, los rootkits, colocan su mirada en los campos de la telefonía móvil, uno donde su impacto y riesgo podría ir mucho más allá del simple robo de datos, aseguraron expertos. El crecimiento de las plataformas móviles, como los teléfonos inteligentes, en todo el orbe ha puesto sobre la mesa la necesidad por desarrollar mejores técnicas de detección para limitar el impacto de programas espías como los rootkits, explicaron Liviu Iftode y Vinod Ganapathy, profesores de ciencias en computación de la Universidad Rutgers en New Brunswick, Nueva Jersey A través de un estudio divulgado por la Universidad titulado Rootkits on Smart Phones: Attacks and Implications los investigadores comentaron que los celulares se han convertido en presas fáciles para este tipo de códigos maliciosos, de la misma forma que su contraparte las computadoras. Los rootkits se consideran una peligrosa clase de malware, que tienen la habilidad de permanecer en el sistema operativo durante largos periodos y completamente inadvertidos a la mayoría de las soluciones de seguridad, mencionó Ganapathy Una vez dentro del núcleo del sistema afectan el funcionamien-
4 B:SECURE Marzo-Abril, 2010
to de la máquina y actúan como puerta de entrada para otro tipo de códigos maliciosos. El riesgo, dijo Iftode, es que el impacto de los rootkits en los teléfonos celulares va mas allá del simple robo de información, pues el atacante eventualmente podría interceptar y redirigir llamadas, reducir la vida de la batería del dispositivo e identificar la localización del usuario por medio del GPS. “Estos son sólo algunos ejemplos de los posibles ataques,” dijo Ganapathy. “Está en la creatividad del atacante crear nuevas formas para aprovecharse de la interfaz de los teléfonos inteligentes.” Los expertos también mencionaron que la localización de los rootkits dentro de los dispositivos móviles es mucho más compleja que en las computadoras, dado que los métodos de detección no aplican para la misma plataforma. Actualmente los profesores se encuentran investigando soluciones potenciales para contrarrestar estas amenazas y evitar su posible propagación. Sin embargo, confesaron que el desarrollo y presentación de un resultado eficaz contra este tipo de malware todavía podría tardar varios años.
MENOS VULNERABILIDADES EN 2009, PERO 345% MÁS SITIOS MALICIOSOS Ante el avance y mejora de las soluciones de seguridad el número de vulnerabilidades han comenzado a disminuir. Sin embargo, ahora el blanco débil está en la cantidad de ataques registrados a diario y el crecimiento exponencial de los sitios con malware. El reporte X-Force Trend and Risk Report realizado por la división de seguridad de IBM, explica que el número de vulnerabilidades en aplicaciones, sistemas y servicios Web se redujo de manera notable en 2009, sin embargo, el número de sitios maliciosos creció 345%, al compararse con las cifras de 2008. Según los datos del reporte, el año pasado se registraron un total de 6.601 nuevas amenazas detectadas, lo cual significa 11% menos que en 2008, también se registró una disminución de las vulnerabilidades en exploradores Web, tipo Firefox, Internet Explorer y Safari sin parches de seguridad. El reporte arrojó que la cantidad de peligros cibernéticos críticos se ha visto reducido comparado con años anteriores. Reflejo, según el estudio, de que los distribuidores de software de seguridad se han vuelto más responsables con el tema de amenazas en la red. “La industria de la computación está mejorando cada vez más, al desarrollar software de seguridad y responder a las constantes vulnerabilidades,” dijo Tom Cross gerente de In-
vestigación IBM X-Force en el reporte. “Sin embargo, las actividades en los ataques se están expandiendo a un ritmo acelerado.” Por ejemplo, el número de sitios maliciosos creció 345% en 2009, comparado contra 2008 según el reporte. Así, como los volúmenes de spam y phishing que registraron su mayor aumento en la segunda mitad del año. De acuerdo con el reporte, los ataques con phishing disminuyeron dramáticamente a principios del 2009, pero retomaron sus niveles para el tercer cuarto del año. En septiembre pasado estos niveles incluso sobrepasaron los registrados durante los 12 meses de 2008. Y aunque los desarrolladores de las aplicaciones y servicios web han realizado un buen trabajo en cubrir la mayoría de las vulnerabilidades con parches de seguridad, el principal problema se encuentran en los plug-ins, que corren dentro de estas, pues sus creadores no liberan actualizaciones de seguridad tan periódicamente. Los principales tipos de vulnerabilidades que afectaron las aplicaciones web durante 2009 fueron aquellas utilizando cross-site scripting (XSS), que también contenían inyecciones SQL, cita el análisis de IBM. “Si aún no ha buscado eliminar vulnerabilidades de inyecciones SQL de su red definitivamente están siendo un blanco para cualquier ataque,” mencionó Cross. “No hay duda alguna de eso.”
DEMANDAN A GOOGLE POR PRESUNTAS VIOLACIONES A LA PRIVACIDAD Luego de ser demandado por Xerox y Apple el puntocom californiano Google volvió a los problemas legales al ser demandado en Rhode Island, Estados Unidos, por la supuesta violación a las leyes de privacidad y protección de la información con su nuevo servicio Buzz, una plataforma que combina su servicio de correo electrónico Gmail dentro de un ambiente de redes sociales. “Google intencionalmente ha excedido su autorización para acceder y controlar información privada y confidencial” indicó el demandante Andranik Souvalianre. Su abogado, Peter N. Wasyly prefirió no hacer declaración alguna acerca del daño hecho a su cliente. La demanda indica que “Google, a través de su herramienta de redes sociales Buzz, ha revelado ilegalmente las comunicaciones privadas de sus clientes y registros. Esto, como resultado de la importancia automática y sin permiso que hace Buzz de la lista de contactos de Gmail.” Ésta no es la primera vez que Google presen-
ta problemas con este servicio, anteriormente la compañía se vio obligada a modificar, mejorar y ajustar los controles de privacidad de su red social después de innumerables quejas por parte de los usuarios. Unos días después del lanzamiento de Buzz el Centro de Privacidad de la Información Electrónica (EPIC, por sus siglas en inglés) en Canadá documentó una queja contra Google Buzz, con los mismos señalamientos que los de la Comisión Federal de Comercio de Estados Unidos. Sin embargo, el aviso de EPIC carece de efecto alguno contra la empresa al ser de carácter foráneo. Aun así, un día antes de que la demanda fuera impuesta por Souvalianre, EPIC hizo una enmienda en su queja contra Google ante la Comisión en donde argumenta que Google violó sus políticas de privacidad de Gmail, al usar la lista de contactos de sus usuarios e información relacionada de Gmail en un servicio distinto, Buzz.
BREVES Kaspersky lanza Mobile Security 9 una solución de seguridad para dispositivos móviles, la cual incluye herramientas para salvaguardar la información privada y contactos personales en el teléfono, entre las que destacan protección en llamadas y textos SMS enviados y recibidos, encripción avanzada de documentos y correos electrónicos en el equipo, y bloqueo y borrado remoto de los datos del equipo en caso de pérdida o extravío. La solución actualmente corre únicamente bajo ambientes Windows Mobile y Symbian. SonicWall anunció la salida de Virtual Appliance Global Management System y el ViewPoint Virtual Appliance para finales del primer trimestre de 2010. Estos dispositivos virtuales están enfocados para trabajar en los ambientes del cómputo en la nube y ofrecen a las empresas una mayor flexibilidad, al mismo tiempo que mejoran la protección y productividad de sus redes corporativas. Symantec liberó la nueva versión de Brightmail Gateway 9.0 para pequeñas y medianas empresas, una solución de seguridad para correo electrónico. La nueva versión de Brightmail incluye protección en tiempo real a través de actualizaciones, control integrado de los mensajes electrónicos y encripción de datos. El programa saldrá en la temporada de primavera de 2010. Marzo-Abril, 2010 B:SECURE 5
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL Elba de Morán DIRECTORA COMERCIAL
GUSANO SE DISTRIBUYE CON CORREOS FALSOS DE TWITTER, GOOGLE Y HI5 Un reporte de la firma de seguridad española Panda advirtió sobre un nuevo gusano denominado Spybot.AKB, el cual se propaga a través de redes de transmisión de datos Peer to Peer (P2P) y mediante mensajes falsos de algunos de los servicios web y redes sociales más populares. El malware, que ha sido denominado como gusano 2.0, se esconde dentro de correos electrónicos que aparentan provenir de sitios web como Google, Twitter, Amazon, Hallmark y Hi5, pero que en realidad contienen al código malicioso. Estrategia que demuestra el impacto que tienen las plataformas de la llamada web 2.0 y, en particular, el fenómeno de las redes sociales entre los internautas del siglo XXI. Cabe recordar, que hace un par de semanas, al cumplir seis años de vida, Facebook rebasó la cifra de los 400 millones de usuarios registrados en todo el mundo. Mientras que Twitter, si bien nunca ha revelado datos concretos del número de usuarios en la plataforma, firmas como ComScore estiman que en agosto 2009 recibió más de 55 millones de visitas únicas al mes. Así, a través de peticiones falsas de amistad o seguidores en Hi5 y Twitter, supuestos cambios en la orden de compra del internauta de Amazon, tarjetas electrónicas o avisos de Google, el gusano Spybot.AKB, engaña al usuario a abrir el contenido del correo electrónico. “Una vez instalado en la computadora, al momento de que el usuario intenta realizar búsquedas con las palabras claves, es redirigido a contenido totalmente diferente del esperado”, cita el reporte de Panda Labs.
DETECTAN QUE SPAMMERS USARON GOOGLE BUZZ Tal y como habían anticipado investigadores de seguridad, Google Buzz fue utilizado por spammers, fue confirmada a solo unos días de su lanzamiento. Mientras algunos investigadores observaron las posibilidades de que la nueva red social de Google pudiera ser explotada para el envío de mensajes no deseados, los spammers materializaban ya estos temores. La firma de seguridad Websense dio a conocer que, a la fecha del reporte, el spammer que había difundido mensajes sobre el hábito de fumar, ya se encontraba siguiendo a más de 200 usuarios. El mensaje envíaba a los curiosos a un sitio Web hospedado en un servicio gratuito de Internet que proporciona información sobre cómo dejar el hábito del cigarro. “Con todo el ruido de esta semana sobre Google Buzz, nosotros esperábamos que se registrara actividad maliciosa en el servicio recién lanzado. No esperábamos que fuera tan rápido”, de acuerdo con la alerta de la compañía.
Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
AUNQUE ME CORRAN
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
FABUOLUS BLOG
TEMA LIBRE
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
6 B:SECURE Marzo-Abril, 2010
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez. COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, Elihú Hernández EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
ACCESO
CAE “MARIPOSA” UNA BOTNET QUE CONTROLABA 13 MILLONES DE PC
Mariposa, una botnet que había conseguido controlar a 13 millones de computadoras en más de 190 países y tenía en su poder la información de 80,000 personas en todo el mundo, incluyendo 40 de los mayores bancos internacionales, fue desmantelada por la Guardia Civil Española.
D
Dichos investigadores localizaron a un grupo conocido como “DDP e acuerdo con el Grupo de Delitos Telemáticos de la Guardia Española, Mariposa podría ser una de las redes de computado- Team” (Días de Pesadillas Team), el cual fue responsable de comprar el ras zombí más grande que se haya detectado y desmantelado troyano para después controlarlo y distribuirlo. El pasado 23 de diciembre se logró bloquear a nivel internacional la hasta el momento. El ensamble de la botnet fue gracias a un troyano comprado en el botnet e identificar al responsable del grupo. Gracias a un error comemercado de malware, cuya distribución permitió el control de las com- tido por parte de uno de los integrantes, se logró la detección de tres de putadoras ‘secuestradas’. Según las investigaciones, Mariposa apareció ellos, comunicaron las autoridades españolas. El máximo responsable de la red Netkairo o Hamlet1917 de 31 años en Diciembre de 2008 alcanzando en tan sólo un año altas tasas de infección. La proliferación del virus utilizó una vulnerabilidad en el na- de edad, fue detenido el 3 de febrero, en Balmaseda, España. Johny Lovegador de Internet Explorer de Microsoft y otras puertas de entrada leante de 30 años residía en Molina de Segura, en Murcia, España. Finalmente, Ostiator de 25 años de Santiago de Compostela, también en como MSN Messenger y unidades de almacenamiento (USB). Los ciberdelincuentes se hicieron de un cúmulo de información la península ibérica. Ya han sido puestos a disposición judicial y se enpersonal, así como contraseñas y datos financieros a través de PC frentan a penas de hasta seis años de prisión. ● zombis, para luego vender los datos confidenciales a terceros. Después de su descubrimiento en mayo del año LA INFORMACIÓN OBTENIDA POR MARIPOSA pasado, se formó un grupo de trabajo integrado por INCLUÍA DATOS DE NÚMEROS DE TARJETAS DE Panda Security, el Grupo de Delitos Telemáticos de la CRÉDITO, NOMBRES DE USUARIOS Y CONTRASEÑAS Guardia Civil y técnicos de Defence Intelligence, de DE ACCESO A SERVICIOS FINANCIEROS. manera paralela a las investigaciones que el FBI de Estados Unidos comenzó a realizar. Marzo-Abril, 2010 B:SECURE
7
ACCESO
El troyano Zeus ya logró infectar más de 75,000 computadoras en todo el mundo, 15% de éstas únicamente en México. Sus características para sustraer información lo catalogan como un código malicioso muy sofisticado
MÉXICO ES EL SEGUNDO PAÍS CON MÁS PC COMPROMETIDAS POR BOTNET
L
a firma de seguridad NetWitness descubrió que Egipto y México son los dos países en el mundo que aglutinan más computadoras infectadas con el troyano/botnet Zeus, al acaparar 6,903 y 5,385 bots respectivamente, de los más de 75,000 equipos de cómputo que ya logró infectar este código malicioso en todo el orbe. Las decenas de miles de equipos infectados están dentro de más de 2,800 organizaciones de todo el mundo, lo cual ubica a Zeus como una de las principales amenazas que rondan actualmente la red, según el análisis de NetWitness. El reporte de la compañía The Kneber Botnet menciona que durante un análisis rutinario de seguridad en la red de un cliente de NetWitness, a finales de enero de 2010, expertos de la compañía encontraron más de 75 GB de información robada. Los datos, que habían sido sustraídos de todo el planeta, eran producto de un código malicioso llamado Zeus dedicado al contrabando y distribución de información mediante el uso de una botnet bautizada como Kneber, la cual ya tenía comprometidos más de 75,000 equipos en 196 países en total. De acuerdo al reporte de la firma de seguridad IT Egipto y México son los países con el mayor número de usuarios infectados por Zeus, con rangos de infección de 19 y 15%, respectivamente. Les siguen países como Arabia Saudita con 4,684 PC infectadas; Turquía con 4,338 y Estados Unidos con 4,071. “En su núcleo Zeus es un sistema de botnet diseñado para robar información del usuario infectado. Sin embargo, a diferencia del resto de los troyanos de este tipo, Zeus tiene capacidades únicas que le permiten al atacante obtener información específica de su víctima”, cita el reporte de la compañía. Así, este troyano tiene la posibilidad de recopilar, analizar y utilizar los datos de sitios web donde los internautas ingresan archivos sensibles y confidenciales, como bancos o comercios electrónicos, mismos que puede utilizar para generar ventanas falsas y cometer fraudes de phishing. Además, Zeus también tiene la posibilidad de añadir o ejecutar ventanas emergentes que aparentan ser del mismo sitio, pidiendo información adicional del usuario para el robo de identidades. 8
B:SECURE Marzo-Abril, 2010
Los expertos de NetWitness mencionan que este malware tiene un alto nivel de infección, pues únicamente 1 de cada diez sistemas detección y soluciones de seguridad fueron capaces de descubrir y frenar al código malicioso Dentro de la información analizada por NetWitness se detectó que este troyano ya ha comprometido más de 68,000 registros de sitios web y redes sociales. Por ejemplo, ya posee las claves de acceso de más 3,500 registros de Yahoo! y Hi5, y más de 2,500 accesos ya fueron comprometidos, muy probablemente sin que sus dueños estén conscientes. El estudio también revela que el malware tiene un enfoque de ataque hacia Agencias e instituciones de gobierno federales, estatales y locales, instituciones financieras, compañías energéticas, proveedores de internet (ISP, en inglés), organizaciones educativas y empresas de tecnología. Cabe recordar que un reporte de ScanSafe demostró que el número de ataques enfocados hacia estos tipos de infraestructuras crecieron hasta 300% durante 2009, principalmente por el valor de la información que albergan. De las casi 3,000 compañías infectadas en 196 países, 374 son estadunidenses y 2,411 son de carácter global. A pesar del nivel de infección en países como México y Egipto el robo de información bancaria de Zeus parece no afectar hasta este momento a los usuarios de la banca en línea o comercio electrónico de estas naciones. Toda vez que de los sitios web de servicios financieros, banca en línea y comercio electrónico analizados ninguno pertenece a una institución mexicana. Sin embargo, sí es posible encontrar nombres de empresas como PayPal, WellsFargo, eBay y Citibank. “En un ambiente donde comprometer un solo sistema es la llave para acceder a una gran cantidad de información sensible, los profesionales de la seguridad no pueden desperdiciar un momento al categorizar las amenazas bajo un solo rango, como sí lo hacen los vendedores de soluciones de seguridad al valorar a Zeus como un simple Troyano de Banco o de robo de datos”, cita el texto de NetWitness. ●
ACCESO PHISHING SOCIAL EN TWITTER, MEJOR QUE CUALQUIER MALWARE Un fraude de phishing en Twitter ha comprometido cuentas de todo el mundo, y en algunos casos incluso ministros o funcionarios de gobiernos, como el del Reino Unido, han caído presas del robo de sus claves de acceso y usuarios de la red social
A
través del envío de mensajes directos o DM a usuarios en Twitter, que parecen inofensivos y prometen llevar al receptor a ver un video o imagen chistosa, pero que en realidad contienen un enlace o vínculo a un sitio de phishing los cibercriminales han logrado comprometer las claves de acceso de miles de cuentas en la popular red social. El impacto ha sido tal que incluso obligó a la compañía, por segunda ocasión, a pedir a sus usuarios que cambien sus datos personales y contraseñas de acceso en caso de hayan caído víctimas del engaño de phishing, y que estén enterados o no de que su cuenta fue comprometida. En el blog oficial de la red social Isaac “Biz” Stone, uno de los cofundadores y directos creativo de Twitter, escribió el pasado 26 de febrero “Eviten engaños de phishing”. “En los últimos días Twitter ha ayudado a sus usuarios que han caído víctimas del ataque de phishing. Un fraude en el que los atacantes intentan, mediante engaños, adquirir información de tu cuenta como tu nombre de usuario y contraseña”, cita el ejecutivo. Stone agrega, en el texto del blog, que el ataque inicia mediante el envió de un DM (Direct Message) proveniente de alguno de los miembros de tu Time Line o usuarios que sigues dentro de Twitter. El DM, explica el texto de Stone, puede contener frases como “LOL ¿acaso eres tú?”, seguido de un link que te lleva a un sitio similar a la página principal de Twitter y solicita introduzcas tu nombre de usuarios y clave de acceso. Si lo haces los atacantes pueden entrar a tu cuenta y engañar a más gente, como lo hicieron contigo. El ejecutivo de la empresa incluso reconoce que el proceso para comprometer credenciales de acceso en Twitter afecta el nivel de confianza en los usuarios por los DM y sugiere que los “twitteros” tengan cuidado a quien siguen en la red social.
“Diseñamos el sistema de Mensajes Directos para que sólo las cuentas que sigues te puedan mandar DM y evitar el nivel de comunicaciones basura. Nuestro equipo de seguridad elimina cuentas de spam todos los días, aun así recomendamos a nuestros usuarios que analicen primero antes de seguir miles de aceptar seguidores indiscriminadamente”, subraya Stone en el blog.
LOS POLÍTICAMENTE INCORRECTOS El fraude de phishing en Twitter dejó entre ver que la cultura y educación en seguridad no respeta países, razas, color, sexo o incluso profesión. Esto, luego de que diversas agencias de noticias londinenses detectaran que entre los afectados por el fraude hubo varios políticos británicos, cuya cuentas en Twitter tenía mensajes explícitos de índole sexual. Según los datos publicados, uno de los afectados fue Ed Miliband, ministro de energía del Reino Unido, quien público en su cuenta tras descubrir los mensajes apócrifos. “Oh cielos, parece ser que he caído víctima del más reciente fraude de phishing en Twitter”. Trampa en la que no sólo cayó Miliband, pues la líder de la Cámara Baja del Reino Unido, Harriet Harman reconoció que su cuenta envío mensajes DM falsos a algunos de sus seguidores. Aunque el contenido de estos mensajes no fue revelado, Harman publicó en su cuenta en Twitter que ella “jamás mandaría algo así”. Twitter se ha colocado como una de las plataformas sociales web con mayor crecimiento en los últimos años. De acuerdo a un reporte publicado por la firma de análisis Nielsen, tan solo en diciembre de 2009 el número de usuarios usando la plataforma ascendió a más de 18.1 millones, un crecimiento de 579% en comparación con el mismo mes, pero de 2008. ● Marzo-Abril, 2010 B:SECURE
9
SALTE
A LA NUBE y no olvide su paracaídas
El cloud computing se ha convertido en una de las tendencias más atractivas dentro del mundo de la tecnología. Pero las promesas de ahorro, flexibilidad e innovación detrás de este fenómeno podrían verse frenadas por temas de privacidad y seguridad de los datos de las empresas que rentan estos servicios Por Carlos Fernández de Lara carlos@netmedia.info
10 B:SECURE
Marzo-Abril, 2010
E
Marzo-Abril, 2010 B:SECURE 11
H
ay una pregunta que, actualmente, ronda la mayoría de las mesas, charlas o foros de discusión en tecnología: ¿Será el cloud computing una moda más dentro del sector de IT o realmente representa un cambio de paradigma en la operación de las empresas de todo el mundo? De acuerdo con Gartner entre 2009 y 2013 la facturación de los servicios en la nube crecerá de $21.3 mil millones de dólares, a más de $150 mil millones de dólares. Según Forrester Research el mercado de cloud computing crecerá 80% en 2010. Y Microsoft, por su parte, afirma que más del 86% de los líderes empresariales en todo el mundo están entusiasmados por este fenómeno. La respuesta a la pregunta del cómputo en la nube no podría estar más clara: el cloud computing llegó para quedarse y transformar al mundo de los negocios. Pero en este cielo de servicios, con promesas de grandes ahorros en mantenimiento y adquisición de tecnología, de flexibi-
lidad y oportunidades de nuevos y mejores negocios, existen nubes llenas de dudas y miedos que podrían frenar el crecimiento de este fenómeno, como la seguridad y privacidad de los datos de las compañías que contratan tecnología en la nube y las responsabilidades de quienes proveen este tipo de plataformas. De acuerdo con una encuesta de Forrester Research titulada The State Of Emerging Enterprise Hardware: 2009 To 2010, 49% de las grandes compañías y 56% de las Pequeñas y medianas Empresas colocan a la seguridad y privacidad de los datos como la principal preocupación para migrar parte o toda su infraestructura a la nube de internet. Más aun, una encuesta encargada por Microsoft, que contempló entrevistas a más de 200 CIO y 200 líderes de negocios, subraya que 90% de los entrevistados están preocupados por la seguridad, disponibilidad y privacidad de los datos colocados en plataformas de cloud computing.
LA MALA CALIDAD EN LA BANDA ANCHA LIMITA EL Más que problemas de seguridad y privacidad de datos, el puntocom californiano Google afirma que el principal reto para que el fenómeno del Cloud Computing crezca en América Latina es la mala calidad en las conexiones de banda ancha y su precio elevado.
P
ara muchas empresas el fenómeno del cloud computing apenas comienza. Sin embargo, para Google la idea de operar servicios y plataformas, desde espacios remotos y como un servicio virtual, se ha convertido en su pan de cada día. Así, contrario a mover su negocio y portafolio de soluciones hacia el cloud computing, la compañía californiana ha vivido desde su nacimiento en la nube. Hoy, la firma ha logrado llevar su buscador web, su correo electrónico, sus aplicaciones y su plataforma de Mapas, creadas en un inicio para los internautas en general, a los ambientes empresariales de todo el orbe, asegura Alex Rodríguez Torres, director de mercadotecnia para Google Enterprise Latinoamérica. “Google Enterprise nació hace siete años, porque los clientes nos pedían tener las características de nuestro buscador en sus compañías. Fue eso lo que llevó a nuestro departamento de investigación a desarrollar los mismos servicios que ofrecíamos a los usuarios, pero a las empresas”, explica Rodríguez. Con el crecimiento del cloud computing, dice el ejecutivo, Google tiene la posibilidad de colocarse como punta de lanza sobre la forma en que la tecnología opera dentro de las organizaciones de todo el mundo. “Es un cambio de paradigma en el mundo del cómputo, por-
12 B:SECURE
Marzo-Abril, 2010
que ya no estás hablando de un producto una caja o en tu escritorio. Se trata de un servicio, no es algo que ves o tienes frente a ti. Es una transformación y un tema de educación para los negocios, porque tienen que entender los beneficios detrás del cloud computing”, afirma Rodríguez. Una cambio, que desde el punto de vista del vocero de Google, ya está sucediendo, pues tan sólo en el último año la división de Google Enterprise creció 100% en América Latina, y se estima que para 2013 40% de las empresas operen toda, o parte de su infraestructura en la nube. Sin embargo, más que la privacidad de los datos y la seguridad de la información de las compañías y usuarios que utilizan plataformas en la nube, para Rodríguez la verdadera limitante o barrera para la adopción del cloud computing es la mala calidad en los servicios de internet de la región. “El tema de la banda ancha es realmente preocupante porque en América Latina es cara y de mala calidad. Una mejora en este servicio no sólo es en beneficio del cómputo en la nube, sino en general de todas las plataformas de internet. Se trata de un cambio fundamental”, agrega.
Algo queda claro: si el fenómeno del cloud computing realmente representa el nuevo paradigma en el mundo de la tecnología las empresas, usuarios, gobiernos y proveedores de estos servicios deberán comenzar a discutir el tema con muchas más transparencia, claridad y sencillez. “El cloud computing no es una tecnología nueva, lo que pasa es que su nombre nació hace menos de dos años. Sin embargo, es un fenómeno que aún no arranca, estamos en una etapa emergente de su adopción”, explica Gastón Pernalete director general de Novell en México. En ese mismo sentido, Daryl Plummer especialista en cloud computing de la firma de consultoría Gartner apuntó que 2008 fue el año del descubrimiento, 2009 y 2010 serán años de “experimentación”, y será entre 2011 y 2015 cuando el cómputo en la nube presentará sus primeros signos de adopción masiva. “Claro que rompe un paradigma porque estamos hablando de
una nueva forma de relacionamiento entre consumidores y proveedores de servicio. Por primera vez las empresas podrán dedicarse a lo que realmente tienen que hacer, negocios. Desde aplicaciones, servidores, procesos de operación, hasta cosas más avanzadas, con el cloud computing la compra y mantenimiento de la tecnología ya no tiene que ser un peso para las áreas de IT”, afirma Plummer. PARAÍSOS DE DATOS
Sin embargo, el mismo furor y novedad entorno al cloud computing también son los puntos más endebles en su adopción, pues dentro de este nuevo relacionamiento, entre proveedores de servicios de tecnología y empresas, no existen leyes, regulaciones, estándares o mejores prácticas. Es decir, no hay marcos de referencias o guías prácticas que les digan a las empresas qué hacer o cómo operar ante un mal ma-
CLOUD COMPUTING, NO LA SEGURIDAD: GOOGLE EL CLIENTE DECIDE SI VALEMOS LO QUE PROMETEMOS
NO SE TRATA DE LEYES, SINO DE BUENOS SERVICIOS
Contrario a debatir sobre los temas de privacidad y la seguridad de los datos en el cloud computing, Rodríguez afirma, que el cliente, al final de cuentas, es quien decidirá si el proveedor es realmente lo que necesita y busca. Aun así mencionó que la compañía ha certificado todos sus procesos en el manejo y cuidado de los datos, bajo estándares internacionales, para cumplir con los mayores niveles de seguridad posibles. “Google es una de las empresas más importantes en la entregar servicios de la nube. Somos el cuarto operador y desarrollador de Centros de Datos en el mundo, llevamos años trabajando con información sensible de nuestros clientes, tenemos controles de los datos específicos, como nunca revelar su ubicación, y generamos múltiples respaldos de cada archivo en diferentes repositorios”, asegura Rodríguez. Estos elementos, dice, le permiten a la compañía ofrecer una disponibilidad de la información del cliente en el 99.9% de todos los casos, el nivel de servicio más alto del mercado. Pero el miedo de las empresas a migrar su operación a la nube no radica en si Google tiene la capacidad, estructura y estándares para manejar los datos, sino en aquellas compañías, generalmente más pequeñas, que operan como proveedores o integradores del gigante de internet. “Trabajamos con partners, pero no cualquier puede ser un socio de negocio de Google, pues tienen que cumplir también con niveles de operación específicos. Ellos utilizan nuestras plataformas, pero al final de cuentas somos nosotros los que operamos el servicio.”
Contrario a la postura de Microsoft por exigir que los gobiernos desarrollen una ley específica para el regular el fenómeno del cloud computing, Rodríguez afirma que Google cumplirá con la legislación de cada país en el que opere. “Es complejo hablar de regulaciones porque el tema se puede ver desde varias aristas, lo fundamental aquí es entregar lo que quiere el usuario final. Mientras tanto, nosotros como Google estamos dispuestos a cumplir las leyes y normas de cada país”, apuntó. Cabe recordar, que a inicios de 2010 Google enfrentó un riña política contra el gobierno chino, luego de que la compañía acusara a la nación asiática de haber cometido ciberespionaje, acceso ilegal a su servidores y robo de propiedad intelectual. Situación que finalmente orilló al puntocom californiano a retirar la censura que mantenía en sus sitios chinos de búsquedas de noticias, imágenes, videos y blog, y que el gobierno le había impuesto como condición para hacer negocios en la nación desde 2006. Al final del día Rodríguez subraya que no serán las regulaciones las que determinarán si las empresas adoptan o migran a la nube. La decisión final la tomará el cliente que utilice los servicios. “Los proveedores de cloud computing deben simplificar el trabajo al cliente, entregar soluciones y no meros servicios, garantizar la seguridad y disponibilidad de sus datos y permitirles cambiarse de proveedor en el momento que ellos deseen. Para nosotros, lo importante es entregar la mejor plataforma, porque al final del día quien va decidir si un producto es bueno es el usuario o las compañías”, aclara.
Marzo-Abril, 2010 B:SECURE 13
nejo de sus datos sensibles o frente a la pĂŠrdida o robo de su informaciĂłn. A consecuencia de ciberataques, errores tĂŠcnicos o desastres naturales. Y, aunque sonarĂĄ poco
creĂble, dentro de la economĂa de escalas, el cloud computing puede convertirse en un “paraĂso para los datos personales de usuarios y empresasâ€?, apunta Joel GĂł-
mez, abogado especialista en derecho informĂĄtico y propiedad intelectual. “Muchas de las empresas que proveen servicios en la nube van a mover los datos personales de los internautas y las compaĂąĂas al lugar donde a ellos mĂĄs les convenga, en tĂŠrminos de costos y accesibilidad. Esto, puede desarrollar un fenĂłmeno similar a los paraĂsos fiscales, pero de datos personales, donde estĂĄ informaciĂłn se almacenarĂĄ en regiones o paĂses con regulaciones laxasâ€?, explica el abogado. El experto legal menciona que esta situaciĂłn cuestiona la decisiĂłn de algunos proveedores de servicios en la nube, por ocultar la ubicaciĂłn geogrĂĄfica de los datos de las compaĂąĂas a las que ofrecen servicios, asĂ como el no determinar quiĂŠn y cuĂĄntas empresas tienen acceso sobre ellos. “Hay dos aspectos negativos del cĂłmputo en la nube, que van a obligar a los departamento legales de las compaĂąĂas a analizar detenidamente la jurisdicciĂłn de varios paĂses. Uno, el gran temor a no conocer dĂłnde estĂĄ almacenada la informaciĂłn. Dos, saber si esa empresa, que contrataste para darte servicio, a su vez no subcontratĂł a dos o tres compaĂąĂas que tambiĂŠn tendrĂĄn acceso parcial o total a tus datosâ€?, dice GĂłmez. A LEER LA LETRA CHIQUITA
La realidad es que, actualmente, el Ăşnico instrumento que funciona para determinar el nivel de responsabilidades, servicios y sanciones, en caso de problemas entre empresas y proveedores son los contratos de servicios, explica Pernalete de Novell, Un arma que las compaĂąĂas, que tengan interĂŠs en mover parte de su infraestructura a la nube, tendrĂĄn que aprender a dominar y exigir de su proveedor, segĂşn Plummer de Gartner. “Antes de firmar y confiar ciegamente en el cloud computing, las Los cinco consejos de la firma de consultorĂa Gartner para no caerse de la nube compaĂąĂas deben negociar contratos (AZ UN ESTUDIO de cuĂĄnto le costarĂĄ a la compaĂąĂa correr los servicios que deseas tener en la nube, y claros, que aborden temas como la pregĂşntate si realmente obtienes un ahorro significativo. Muchas veces sale mĂĄs barato hacerlo internamente. privacidad de sus datos, los procesos !NALIZA que tu infraestructura estĂŠ lista para operar ciertas cargas de trabajo en la nube. Conoce si realmente que usarĂĄ el proveedor para proteger tienes el poder de cĂłmputo y el ancho de banda necesario. su informaciĂłn, quiĂŠn tendrĂĄ acceso %VITA MOVER PLATAFORMAS ENTERAS EvalĂşa las cargas de trabajo con proveedores de servicios, recuerda a ellos y quĂŠ nivel de disponibilidad que tendrĂĄs a muchos proveedores manejando tu informaciĂłn. ofrecen en caso de un imprevistoâ€?, #ONOCE TU CONTRATO DE SERVICIOS quĂŠ derechos tienes, tus garantĂas sobre la informaciĂłn, si tĂş eres el afirma el analista de Gartner. dueĂąo de los datos o los podrĂĄn mover sin previo aviso, si el proveedor tiene sistemas redundantes y planes de Exigencia que no siempre podrĂĄ RecuperaciĂłn Ante Desastres (DRP, en inglĂŠs), y sobre todo si te garantiza la seguridad y disponibilidad de tu ser posible, pues GĂłmez explica, que informaciĂłn. asĂ como habrĂĄ proveedores que per6ERIFICA CĂ˜MO TERMINAR UN CONTRATO DE SERVICIOS No sĂłlo pienses cĂłmo puedes subirte al aviĂłn mitirĂĄn negociar un contrato, habrĂĄ del Cloud Computing, sino tambiĂŠn cĂłmo puedes bajarte o saltarte de ĂŠste. Cuestiona cĂłmo sacar toda tu otros que no dejarĂĄn que el cliente informaciĂłn del proveedor, en caso de que te falle o desaparezca.
EL TOP 5 DE GARTNER PARA VOLAR A LA NUBE s s s s
s
14 B:SECURE
Marzo-Abril, 2010
modifique una sola línea del documento. En otras palabras, lo tomas o lo dejas. “Sin duda es un tema complejo porque las A principios de enero de 2010 Brad Smith, consejero general y vicepresidente de Microsoft mencionó empresas tendrán que aprender a leer la letra chila necesidad de que el gobierno estadunidense trabaje en la creación de una Ley o Acta sobre cloud computing. Para que los legisladores no empezaran de cero, Microsoft ya propuso un par de ideas quita del contrato, con lupa en mano y mucho detepara esta nueva regulación. nimiento. La idea es obligar a los proveedores para que cambien o negocien los contratos cerrados, que s &ORTALECER LAS LEYES actuales sobre Privacidad en las Comunicaciones Electrónicas, para mejorar la protección y privacidad de los datos de empresas y usuarios. no permitan modificaciones.”, dice Gómez. El problema, concuerdan los expertos, es la fals !CTUALIZAR LAS LEYES sobre fraude y abuso con computadoras, a fin de darle mejores herramientas a las autoridades en el combate a los cibercriminales. ta de conocimiento sobre el tema, pues la gente de IT no son especialistas en leyes y, viceversa, pocos s %STABLECER PRINCIPIOS CLAROS y verdaderos del cloud computing, para que los son los abogados que conocen el tema del cloud consumidores y negocios sepan cómo se protege y accede a su información. computing. s 4RABAJAR MARCOS LEGALES para que no existan diferencias irreconciliables entres Factor irónico, pues a quienes más afecta esta siregulaciones o leyes sobre cloud computing provenientes de otros países. tuación de desconocimiento y búsqueda de conal hacer muy complejos e inflexibles la adopción de estos servitratos claros, es a las Pymes, que muchas veces carecen de ambos departamentos (Legal y de IT), pero que en el cios. “Las compañías deben buscar una combinación entre regulatrasfondo prometen ser los mayores beneficiarios del fenómeno ciones, contratos transparentes, políticas y procesos de operación del cloud computing. El tema, concuerda Pernalete de Novell, radica en que las em- claros. Este tema (las regulaciones) se debe tratar con cuidado, presas sepan elegir a su proveedor de servicios conforme a sus para que no cohíba el modelo de negocio como está planteado. necesidades, pero también valorando factores como la estabili- Si hay regulaciones que puedan aportar se toman, sin embargo, dad, disponibilidad y confianza de la empresa que entregará la en este momento no está claro qué es lo que realmente necesitamos”, dice el director de Novell México. tecnología. Riesgoso o no, empresas como Microsoft han expresado pú“Las buenos proveedores de cloud computing deben asegurarles a sus clientes la seguridad de sus datos, y el cliente, a su vez, blicamente su apoyo al desarrollo de una Ley o Acta sobre clodebe exigir con indicadores y niveles de calidad muy claros lo ud computing, que proteja los datos de los usuarios y negocios, y le dé al gobierno las herramientas necesarias para manejar teque espera del servicio”, apuntó Pernalete de Novell. mas o incidentes relacionados a la seguridad y privacidad de su información. PAPÁ GOBIERNO “La revolución de las computadoras democratizó la tecnoloPara muchos, el tema no se puede resolver por sí solo. Por ello, analistas, expertos e incluso empresas de todo el mundo han gía y cambió a las sociedades en muchos sentidos. A medida que puesto sobre la mesa de discusiones la idea de que los gobiernos adoptamos el cómputo en la nube debemos mantener el éxito actúen como árbitros o entes reguladores en el fenómeno del del pasado y preservar la personalización de la tecnología, al asegurar el derecho a la privacidad, la seguridad y legitimidad de cloud computing, a través de nuevas leyes en la materia. ¿Pero cómo regular a un proveedor de cloud computing en la nuestros datos cuando crucen las fronteras nacionales”, dijo Brad India que ofrece servicios en México y España? ¿Cómo sancio- Smith, consejero general y vicepresidente de Microsoft. De esta forma, pudo ser la crisis económica y la necesidad de nar a un proveedor estadunidense, que perdió la información de una o varias compañías de su centro de datos ubicado en su fi- las empresas por reducir costos en sus operaciones, los que pusieron en boca de organizaciones, de todo el mundo, la idea de lial en China? “Cada vez que el mundo enfrenta cambios importantes siempre mover sus procesos a un esquema de cloud computing. Sin emse habla de crear regulaciones de algún tipo. El problema, en esta bargo, hoy más que simples costos las compañías tienen mucho ocasión, es que la regulación no está asociada a un tema de opera- que analizar antes de surcar en ese cielo de nubes digitales. “Las empresas están viendo mucho el tema de ahorros en manción por país porque los proveedores de servicios en la nube puetenimiento y compra de tecnología, pero el fenómeno del cloud den estar en cualquier parte del mundo”, apunta Plummer. Pero la complejidad en la creación de nuevas leyes no es el computing no se trata de eso. Antes de pensar en costos deben único temor que existe al tener al gobierno como Gran Hermano de valorar una plataforma que les dé seguridad en sus datos en del cloud computing. Pernalete de Novell afirma que un exce- caso de que algo pase, que les ofrezca confianza y que sea lo sufiso de regulación podría cohibir el crecimiento de este fenómno, cientemente clara para el cliente”, afirma Pummel de Gartner. ●
MICROSOFT PROPONE
Marzo-Abril, 2010 B:SECURE 15
ACCESO EL CIBERCRIMEN,
UNA INDUSTRIA DE 1,000 BILLONES DE DÓLARES El robo de información confidencial de empresas e individuos, el secuestro de computadoras, de servicios en línea y el desarrollo y venta de malware hizo de la industria del cibercrimen una con un valor de más de 1,000 billones de dólares durante 2009.
E
n el siglo XXI el cibercrimen ya no se trata de programadores, expertos en informática en busca de fama, sino de entes empresariales con estructuras y cadenas de suministro bien establecidas que han encontrado en el robo de información un mercado con un valor anual por arriba de los 1,000 billones de dólares, asegura reporte de la firma de seguridad Imperva. El estudio titulado The Industrialization of Hacking subraya que la delincuencia en Internet se ha convertido en una industria cuyo valor en propiedad confidencial e intelectual robada rebasó los 1,000 billones de dólares durante 2009. Y una en la que los profesionales en el desarrollo de códigos maliciosos pueden captar ganancias multimillonarias. “Del mismo modo que, durante el siglo XIX, la Revolución Industrial aceleró y desarrolló los métodos para pasar del ensamblado simple a la producción en masa, la industria actual del cibercrimen ha sufrido una transformación similar, en busca de su automatización, escalabilidad y rentabilidad”, cita el texto de Imperva. Contrario al interés que tenían anteriormente, por penetrar infraestructuras empresariales con el uso de códigos maliciosos, los cibercriminales ahora buscan la manera de robar los datos confidenciales controlando las aplicaciones que transmiten estos archivos. Muchas de las cuales operan sobre la nube de Internet, aseguran los expertos de Imperva. “Hoy, la complejidad, trabajo en equipo y coordinación global de las organizaciones delictivas en la red, así como su nivel de educación asemejan mucho a la manera de operar que tienen los cárteles de la droga”, explican los autores del estudio de Imperva. Así, el principal mecanismo o motor de ataque, según Imperva, son las redes bot, programas maliciosos que infectan la computadora del usuario y permiten al criminal el control remoto de la máquina para realizar envíos masivos de malware y spam o manipular los motores de búsqueda, con el mismo nivel de eficiencia que el algoritmo de Google. 16
B:SECURE Marzo-Abril, 2010
Análisis de firmas de seguridad como McAfee estiman que actualmente existen más de 14 millones de computadores infectadas por botnets en todo el orbe, y en la gran mayoría de los casos los usuarios ignoran que su máquina forma parte de una red criminal. Ante el crecimiento en el uso de servicios y plataformas en Internet, analistas en seguridad apuntan que durante 2009 60% de los ciberataques iban dirigidos a las aplicaciones web. Estas son un vector de ataque con un alto nivel de riesgo, pues el análisis de Imperva enfatiza que 92% de estas aplicaciones web tienen una o más vulnerabilidades que pueden ser explotadas por los cibercriminales, particularmente las consideradas como de inyección de SQL. Este tipo de vulnerabilidades, afirma Imperva, son muy utilizadas por los delincuentes informáticos pues facilita el robo de información, a través de fraudes al insertar código adicional en el lenguaje de programación de la aplicación. La división de seguridad de IBM estima que en los últimos 12 meses el número de ataques de inyección SQL se disparó a más de 250,000 por día. Este tópico ya representa 30% de las conversaciones que los hackers sostienen en los sitios de chat clandestinos. Si no es a través de inyección SQL, el uso de ataques de Denegación de Servicios (DoS, por sus siglas en inglés) también se colocan como una de las principales vertientes en la generación de ingresos para la industria del cibercrimen. Los DoS permiten a los atacantes ejecutar miles o millones de peticiones a los servidores de una empresa, con el fin de saturar su carga de trabajo y tumbar su operación. Así, de manera similar a un secuestro, los criminales pueden inhabilitar el servicio de una compañía hasta que ésta pague un rescate para cesar el ataque. De igual forma, los Denail of Service se colocan como la principal arma de ataque en materia de ciberguerra o ciberactivismo político. Cabe recordar que durante 2008 y 2009 diversos cibercriminales rusos tumbaron sitios gubernamentales de Georgia con ataques DoS, durante su conflicto bélico por la provincia de Osetia del Sur. ●
EL INVITADO NUEVOS ENFOQUES ANTE LOS ACTUALES RETOS DE SEGURIDAD EN LA RED Por Fernando Loureiro, 3Com México
E
n esencia, la actividad cotidiana de una red radica en ser una solución de seguridad que garantice la llegada, única y exclusivamente, de los paquetes de datos legítimos. Esta tarea, que en principio parece sencilla, está adquiriendo cada vez mayores niveles de complejidad, tanto para hacer frente a las nuevas amenazas como para adecuarse a los requerimientos de las redes empresariales existentes y a las políticas de seguridad actuales. De este modo, vemos cómo las organizaciones se encuentran en el proceso de cambio de sus soluciones de seguridad y, poco a poco, han pasado de instalar un perímetro de seguridad a implantar un Tejido de Red Segura (Secure Network Fabric o SNF) que aborda la seguridad de un modo más generalizado en toda la red. Un SNF se caracteriza, entre otras ventajas, por ofrecer un sistema de Reparación Automatizada en tiempo real. ¿Qué significa? La mayoría de los productos de seguridad alertan o registran problemas, ataques o brechas de seguridad, sin embargo, requieren de la intervención manual para solucionar el problema. El inconveniente es que lleva un tiempo solventar el ataque y, mientras tanto, las amenazas siguen propagándose internamente. Si nos planteamos un enfoque superior en materia de seguridad, llegaríamos a la conclusión de que lo ideal sería poder frenar o resolver las amenazas en tiempo real dentro de la propia red. En definitiva, eso es lo que hace el sistema de Reparación Automatizada en tiempo real: identificar los paquetes de red ilegítimos y eliminar el tráfico ilícito. De este modo, se reducen los retrasos y los costos de la intervención manual y se detiene de forma proactiva la actividad maliciosa. Igualmente una SNF se caracteriza por tener una gestión centralizada de toda la plataforma, ya que se definen de una vez las políticas de gestión y se aplican a todo el tejido de la red. Es así como se reducen las los costos y otros gastos de gestión. Los intereses o las prioridades que una organización puede tener para implantar una SNF son únicos y diferentes. Por ejemplo,
en el ámbito de la salud una de las prioridades es mantener la privacidad del paciente al controlar y gestionar adecuadamente el acceso a la información. La planificación de políticas de seguridad y de identificación, de normas basadas en roles, así como de otros requerimientos basados en contenidos, es mucho más fácil que plantearse cómo configurar los firewalls o modificar la topología de la red. De esta forma, el resultado de la implementación de dichas políticas es más flexible y sencillo que proceder a los cambios en la red y mantener su actualización. Si pensamos en otro tipo de organizaciones, por ejemplo una universidad, las prioridades son diferentes y los requisitos cambian. En la red de un gran campus nos encontramos con el inconveniente de que un amplio número de usuarios, que cambian con frecuencia y que traen sus propios sistemas, (no siempre de confianza) tienen acceso a esta red. Si se asignan nuevos usuarios a grupos, como el personal y los administradores o se agrupan a los estudiantes por categorías, se puede garantizar un adecuado acceso a los distintos recursos de la red de una manera más manejable, más fácil de actualizar y de hacer cumplir las políticas de acceso y de configuración. En definitiva, la tendencia es que la infraestructura de una red sea cada vez más inseparable de la seguridad y de los puntos de aplicación de políticas, que ahora están incorporadas en toda la red. Es por ello que las empresas y organizaciones necesitan un proveedor de infraestructura de red que también pueda ser su proveedor de soluciones estratégicas de seguridad. Es decir, necesitan a un socio con un amplio portafolio de soluciones que abarquen desde el núcleo a las áreas más externas de la red, el centro de datos y las soluciones de oficina, pero que, al mismo tiempo, integre los sistemas de seguridad y los componentes de red dentro de un marco común de gestión para hacer cumplir las políticas actuales. Por lo tanto, necesitan un nuevo enfoque: un multi-proveedor que dé respuesta a sus cambiantes y cada vez más complejas necesidades de gestión y seguridad de la red. ●
Fernando Loureiro vive en España y es director técnico para el Sur de Europa en 3Com. Su experiencia se centra en el diseño de soluciones de redes seguras y convergentes con 802.1x, firewalls, Tippingpoint IPS y telefonía sobre IP.
Marzo, 2010 B:SECURE 17
for
BUSINESS PEOPLE
LA FUNCIÓN DE Por Adrián Palma Primera de cuatro partes
E
l enfoque tradicional del área de Seguridad de la Información es su dependencia del área de operación de la infraestructura y procesamiento de la información ( TI, Sistemas, o Informática),en este contexto representa un reto considerable y UN FACTOR CRITICO DE ÉXITO la implementación de la función de seguridad, que requiere una estructura independiente, sólida y flexible soportada por la Alta Dirección de la organización, al menos esto es lo que nos dicen las mejores practicas de la industria, pero que tan cierto, viable y complejo es? Las respuestas las hallaremos en esta y en las siguientes entregas relacionadas con la función de seguridad de la información. Hoy las organizaciones deben ser conscientes de los riesgos asociados al uso de la Tecnología de Información (TI), y de la necesidad de contar con mecanismos que le permitan utilizar dichos recursos con un nivel de riesgo aceptable. Empezaremos con algunos ejemplos de la misión y visión que debieran tener algunas estructuras de seguridad de la información: La misión de Seguridad de la información es asegurar la protección de sus activos y su información sensitiva y crítica, que la integran e interactúan para ofrecer servicios que permiten la Gestión del Negocio y las Operaciones de una manera oportuna, con un nivel de riesgo aceptable y que redunda en Calidad para sus clientes, proveedores y empleados. La seguridad de la información debe dirigir y apoyar a la organización en la protección de su información y sus activos de datos contra accesos o modificaciones no autorizadas, destrucción o negación intencional o accidental; con la puesta en práctica de las políticas, estándares, guías, baselines y procedimientos así como de las prácticas apropiadas de la seguridad de la información. Proveer a la organización del más alto nivel de visibilidad para la comprensión de la seguridad IT, para proveer a los grupos, unidades, divisiones, secciones, al personal y departamentos, y para solucionar problemas relacionados con la seguridad de la información. Es recomendable que la función de la Seguridad de la Información se establezca y reporte a la Alta Dirección. Las responsabilidades primarias de dicha función serian: Mantener actualizadas las políticas, estándares, guías, baselines y procedimientos de seguridad de la información. Contestar a todas las preguntas con relación al cumplimiento e interpretación de políticas de seguridad de la información. Revisar todos los resultados de la auditoria de seguridad y las respuestas relacionadas, proveyendo una revisión independiente al resultado de auditoria y respuestas de las unidades de negocio o de la organización. Segunda de 2 partes 18 B:SECURE
Marzo-Abril, 2010
¿EL PRIMER
Revisar el programa de concientización, entrenamiento y educación de seguridad del usuario, para asegurarse de que sigue siendo una herramienta eficaz para el adecuado funcionamiento de la seguridad de la información. Asistir a los departamentos en los planes de recuperación de desastres o de continuidad de negocio que se desarrollan y supervisar la prueba de estos planes. Revisar los productos, dispositivos y herramientas nuevos de seguridad y hacer las recomendaciones de estos para asegurar que resuelven requerimientos de negocio y organizacionales. Asistir en la investigación y la divulgación de incidentes de seguridad tales como robos, intrusiones, malware y brechas de seguridad de la información. Asistir al desarrollo de los programas de supervisión eficaces para asegurarse de que la información de la organización está protegida como se requiere. Mas Roles y responsabilidades de Seguridad de la Información Actúa como el punto central de contacto dentro de la organización en todas las comunicaciones relacionadas a problemas de seguridad de la información. Asiste en la definición de las responsabilidades de seguridad de la información de acuerdo a las políticas preestablecidas y a los estándares. Coordina los esfuerzos de la seguridad de la información de todos los grupos internos, que tengan unas o más responsabilidades relacionadas con la seguridad. Dirige y coordina las actividades de análisis y administración de riesgos. Desarrolla y define la estrategia de seguridad basada en el análisis y administración de riesgos de la organización Diseña y ejecuta los procesos de seguridad para la detección, investigación, corrección, acción disciplinaria, y el procesamiento relacionado con las brechas, las violaciones y los incidentes de la seguridad de la información Prepara análisis post mortem de las brechas, violaciones e incidentes de seguridad de la información Dirige la preparación de los planes de contingencia de los sistemas de información y maneja a grupos de trabajos (tales como equipos CERTs). Trabaja con relaciones públicas y la alta dirección para desarrollar respuestas convenientes a los incidentes, violaciones y problemas de la seguridad de la información, si así se requiere. Actúa como testigo experto en seguridad de la información relacio-
SEGURIDAD
R PASO A SEGUIR? nados a los procesos jurídicos que implicaban a la organización. Proporciona servicios de consultoría y apoyo técnico interno en todo lo relacionado con la seguridad de la información. Define y mantiene actualizadas las políticas de seguridad de la información. Define y mantiene los programas de concientización, entrenamiento y educación de seguridad de la información. La visión de la organización con respecto a la seguridad de la información se debe definir de acuerdo al pensamiento de la alta dirección un ejemplo podría ser el siguiente: “Lograr en el mediano plazo una Cultura Organizacional sobre la protección de la Información, a un nivel aceptable de conciencia, que permita identificar, en cualquier función ejecutada por cualquier empleado o tercero, el conocimiento de cómo proteger la información y a dónde acudir en caso de presentarse un incidente que la ponga en riesgo.” Una vez definida la misión, la visión y conociendo los roles y responsabilidades de una función de seguridad el siguiente rubro a considerar es quiénes y cuántas personas deben pertenecer a la función de seguridad. Puede considerarse como el punto de partida para conformar inicialmente un grupo de trabajo de 4 personas, especialistas en Seguridad de la Información. En este sentido, es importante destacar, que se requiere que el personal tenga experiencia en alguna función de Seguridad de la Información, o en su defecto, se integre un programa de capacitación alineado con las necesidades reales de la organización. Para la conformación del área de Seguridad de la Información se recomienda que esta sea el equivalente al 0.208% del total de empleados de la organización, supongamos que en nuestra organización tenemos 3000 empleados. Tomando como base esta consideración, se tiene el siguiente resultado: 0.208% del Total de Empleados 0.208% de 3000 Empleados Área de Seguridad de la Información
0.208% x 3000 Empleados 100%
7 personas
Como se ha referido anteriormente, en este esfuerzo inicial se considera la participación de 4 personas que efectuarán actividades de Seguridad de la Información, considerando que gradualmente se incorporen las personas faltantes, de acuerdo con el nivel de madurez que se adquiera y la definición específica de nuevos roles y responsabilidades.
ORGANIZACIÓN DE UNA PROPUESTA DEL ÁREA DE SEGURIDAD DE LA INFORMACIÓN Se recomienda generar un documento el cual este organizado como mínimo con las siguientes secciones: Sección
Descripción General
Misión y Visión del Área de Seguridad de la Información.
Se menciona la misión y visión propuestas para el área de Seguridad de la Información.
Organigrama, perfiles y funciones del Área de Seguridad de la Información.
Se incluye un organigrama del área de Seguridad de la Información y el staff que se recomienda, describiendo sus funciones principales.
Funciones y Responsabilidades del Área de Seguridad de la Información.
Se presentan las funciones generales del área de seguridad, el objetivo que debe cumplir cada una de ellas y la descripción de las responsabilidades asociadas a dichas funciones.
Por ultimo se tendría que definir un objetivo del área de seguridad de la información un ejemplo seria el siguiente: Establecer prácticas para la implantación y mantenimiento de seguridad de la Información, que permitan la protección de los activos de información, lo cual considera a las aplicaciones, redes, comunicaciones, bases de datos, y en general sistemas de cómputo; para prevenir, detectar y/o corregir cualquier problema de acceso no autorizado, autenticación, confidencialidad, negación del servicio, integridad de la información, y de no-repudio. Logrando un cumplimiento transparente con los diferentes requerimientos internos y externos de seguridad de la información, y estableciendo un fundamento para el posicionamiento de la función de seguridad de la información como un componente estratégico que favorezca el cumplimiento de la visión y misión de la organización. ● Continuará……………….
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM,y de la maestría de seguridad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Marzo-Abril, 2010
B:SECURE 19
REPORTE
DEL MES
LOS CIBERATAQUES,
EL MAYOR MIEDO DE LAS EMPRESAS: SYMANTEC
LOS COSTOS DE TENER UN DOBLE INDESEADO
Más que a los ladrones con pistola en mano y capucha, el robo o asalto de oficinas o los desastres naturales, la principal preocupación de las compañías, los CIO y CISO alrededor del orbe son los cibercriminales y sus ataques informáticos, de acuerdo a un reporte liberado por la firma de seguridad Symantec. El análisis State of the Enterprise security 2010 entrevistó a más de 2,100 CIO y CISO de 27 países, quienes colocaron a los ciberataques como su principal preocupación con 42 puntos porcentuales, por encima de la actividad criminal común, los eventos relacionadas a la mala reputación de la marca con 17% y los desastres naturales con 14%.
“Si hay algo que mantiene en vela toda la noche a los responsables de IT son los temas relacionados a la ciberseguridad y el robo electrónico”,alcita el reporte y subraya, “que en promedio las empresas En el mundo del cinedelosinformación dobles suplantan actor o actriz tienen cerca de 120 personas dedicadas al tema de seguridad de la información, cifra que aumenta a de cinta, a fin quemás estegrandes se lastime durante el 232laempleados parade lasevitar empresas del planeta”.
EL “COCO” DE LAS EMPRESAS ¿Cuál es el riesgo más importante para su organización? Terrorismo 10%
Ciberataques 42%
Desastres naturales 14%
Eventos de reputación de marca 17% Actividad criminal tradicional 17%
rodaje de escenas Pero endelaSymantec vida realpara tener En ese sentido, Wilsonpeligrosas. Grava, vicepresidente América Latina aseguró que el tema de robo de información es unasignificar preocupación todo tipo empresa, sin importar su tamaño, sector o país. un doble podría serpara víctima deldefraude o robo de
“Hemos creadouna un retrato bastante realista mercado de las pymes de toda América Latina, y es evidente identidades, actividad ilícita, quedeltan sólo en Estados que la preocupación, en términos de seguridad, que existe en la región no es distinta al resto del mundo. En
Unidos generó unMéxico, montoeldeporcentaje $54,000demillones delos dólares alguno casos, como angustia por temas de ciberseguridad rebasa los 56 puntos porcentuales”,durante dijo Grava en entrevista con b:Secure. defraudados 2009.
El crecimiento en el riesgo por los temaseldeanálisis ciberseguridad, menciona En este Sin Número presentamos Identity Fraudel reporte, podría ser reflejo en el
crecimiento de los ciberataques que han sufrido las empresas en los últimos 12 meses.
Pegan donde nos duele
¿Cuáles son los costos o impactos para el negocio por ataques cibernéticos? Pérdida de productividad 35%
Pérdida en la confianza del cliente 32%
Report realizado por la firma de investigación Javelin
Según State of the Enterprise security 2010 seis de cada diez empresas han enfrentado ataques cibernéticos
Strategy & Research, que tomó como las de red, contra sólo 25% que no fue víctima de desde “pocos” hasta “constantemente” en sureferencia infraestructura ningún delito informático en el último año.
respuestas de más de 5,000 ciudadanos estadunidenses,
El robo de propiedad intelectual (32%), el impacto en la infraestructura de la empresa (32%) y el robo
todos ellos víctimas de fraude bancarios y robo de de información de los empleados (32%), se colocaron como las tres principales pérdidas que identifican los responsables de IT tras sufrir un ataque informático. identidad.
Pérdida en la facturación 33%
Más aún en promedio las empresas reconocieron que el costo económico del robo de información o la solución de los delitos cibernéticos rebasó los dos millones de dólares anualmente, mientras que para algunas empresas la cifra se incrementó a más $2.8 millones de dólares. “Hay una diferencia significativa para América Latina en los costos de los ciberataques, pues el promedio global se situó en $2.8 millones de dólares, mientras que para la región es de $524,000 dólares. Creemos que este contraste tiene mucho que ver con la regulación que existen en muchas naciones latinoamericanas sobre no divulgar cifras ante fugas de datos o ataques cibernéticos. La realidad, es creemos que el costo asociado es mucho más alto”, apuntó. Como publicara b:Secure anteriormente, The Ponemon Institute reveló que en Estados Unidos el costo de las fugas o brechas de información durante 2009 ascendió a más de $6.75 millones de dólares en promedio. Los encuestados por Symantec mencionaron que en una fuga o brecha en su seguridad en donde se hayan comprometido los registros o datos de más de 1,500 empleados tiene un costo promedio de $11,000 dólares por cada persona. El reporte subraya que la administración en los niveles de seguridad para las empresas también se está volviendo más compleja, toda vez que, aunque los CIO o CISO se ven abrumados con personal, “constantemente tienen requerimientos adicionales para nuevas iniciativas o deben alcanzar certificaciones o estándares y pasar más regulaciones”.
20 B:SECURE Marzo-Abril, 2010
El enemigo toca a la puerta
¿Qué tan frecuentes han sido los ciberataques en los últimos 12 meses? Ataques regularmente en grandes cantidades 2% Una gran cantidad 9%
Ataques regularmente
18%
Sólo un par de ataques 46%
No han existido ataques 25%
´ OPINIÓN
Por Mario Ureña Cuate
CLOUDY WITH A CHANCE OF RISKS… El cómputo en la nube o Cloud Computing se ha convertido en los últimos meses en un hot topic para las áreas de IT de las organizaciones, quienes ya se encuentran evaluando la posibilidad de llevar servicios de IT hacia la nube, y en algunos casos ya están utilizando servicios en ella. Dependiendo del foro en donde se discuta el tema, encontramos a quienes se encuentran a favor del uso del cómputo en la nube, pero también a quienes consideran que esta tendencia representa riesgos que la mayoría de las organizaciones no deberían tomar. Por todo esto, me permito presentarles una pequeña opinión sobre lo bueno, lo malo y lo feo relacionado con el cómputo en la nube.
LO BUENO De manera consistente, los proveedores de servicios de cómputo en la nube promueven los beneficios de los mismos alrededor de los siguientes puntos: UÊ ,i`ÕVV Ê`iÊV ÃÌ ÃÊ> Ê` Ã Õ ÀÊÀiµÕiÀ i Ì ÃÊ`iÊ}iÃÌ Ê`iÊ / UÊ >Þ ÀÊ} LiÀ >L `>`Ê`i Ê?Ài>Ê`iÊ /Ê> ÊV Vi ÌÀ>ÀÃiÊi ÊÌi >ÃÊ`iÊ >Þ ÀÊÀi ivancia UÊ iÝ L `>` UÊ >Þ ÀÊV>«>V `>`Ê`iÊ> >Vi > i Ì ]ÊÞ>ʵÕiÊÃiÊV «>ÀÌiÊ vÀ>iÃÌÀÕVÌÕÀ>ÊV Ê otras organizaciones UÊ >Þ ÀiÃÊ Ûi iÃÊ`iÊ>ÕÌ >Ì â>V UÊ >Þ ÀÊ Û `>`ÊÉÊ« ÀÌ>L `>`
LO MALO El salto de las organizaciones hacia la nube representa un nuevo reto para el profesional de Seguridad de la Información, quien enfrenta riesgos específicos que deben ser administrados. Las preocupaciones alrededor de ésta tendencia incluye la integridad de los datos, confidencialidad, privacidad, recuperación, problemas legales y de cumplimiento, así como limitantes de auditoría. Los principales riesgos relacionados con la implementación del cómputo en la nube y que han comenzado a llamar la atención incluyen: Ubicación de los datos. Estos riesgos son inherentes a la naturaleza de los servicios de cómputo en la nube, ya que la información pudiera almacenarse en cualquier país del mundo, teniendo que apegarse a jurisdicciones diferentes a las aplicables en el país de origen de la organización que utiliza el servicio. Acceso a usuarios privilegiados. Tal vez la mayor preocupación para las organizaciones se encuentra asociada con los riesgos inherentes al procesamienÌ Ê`iÊ v À >V ÊÃi à L i]ʵÕiÊ«Õ` iÀ>ÊÃiÀÊV v `i V > ÊÞÉ Ê«À Û>`>Ê i` > ÌiÊ el uso de redes públicas de datos. Debemos recordar que el cómputo en la nube relaja y en algunos casos no permite el funcionamiento de los controles físicos , lógicos y de personal. Adicionalmente al riesgo de que personas que utilizan la Ài`Ê«ÖL V>Ê«Õ` iÀ> Ê>VVi`iÀÊ>Ê ÕiÃÌÀ ÃÊ`>Ì Ã]ÊiÝ ÃÌiÊÌ> L j Êi ÊÀ iÃ} Ê`iʵÕiÊi Ê personal del proveedor pudiera tener acceso no autorizado a los mismos.
Segregación de datos. Considerando que los datos de la organización pudieran compartir el ambiente de procesamiento con otros clientes del proveedor `i ÊÃiÀÛ V °Ê,iëiVÌ Ê>ÊiÃÌiÊ«Õ Ì ]Ê ÃÊ«À Ûii` ÀiÃÊ>À}Õ i Ì> Ê >Ê` à ÕV Ê del riesgo utilizando mecanismos de encripción, sin embargo, estos mecanismos pudieran provocar deterioro en el desempeño de la aplicación y en caso de «ÀiÃi Ì>ÀÃiÊÕ Ê«À L i >ÊV Ê >Ê Ìi}À `>`Ê`iÊ ÃÊ`>Ì ÃÊÞÉ Ê >ÃÊ >ÛiÃÊ`iÊi VÀ «ción, la organización pudiera enfrentarse a un desastre mayor. Recuperación. Es una realidad la importancia que tiene la continuidad del negocio para las organizaciones hoy en día, por lo que aún cuando una vez Ì>` ÃÊi Ê >Ê ÕLiÊ ÊÌi }> ÃÊViÀÌiâ>Ê`iÊ >Ê V> â>V ÊiÝ>VÌ>Ê`iÊ ÕiÃÌÀ ÃÊ datos, el proveedor del servicio debería ser capaz de decirnos las consecuencias y opciones de recuperación en caso de presentarse un desastre. Soporte a investigaciones. Las actividades de soporte a las investigaciones de actividad sospechosa se vuelven prácticamente imposibles cuando estamos haciendo uso del cómputo en la nube, a menos que logremos que nuestro proveedor del servicio se comprometa a registrar la información relacionada con incidentes de seguridad y cuente con procedimientos de atención a los mismos. Considerando que el proveedor hace uso de diversos centros de datos y servidores para proporcionar el servicio, resulta relevante asegurarnos que la identificación y recuperación de estos registros y pistas de auditoría es posible. Cumplimiento regulatorio. La responsabilidad final sobre el incumplimiento legal y regulatorio no cambia una vez que la organización decide utilizar cómputo en la nube. El hecho de que el procesamiento de información se realice a través de un proveedor puede poner en riesgo el nivel de control que la organización tiene sobre su información y el uso que se le de a la misma, abriendo la posibilidad de caer en incumplimientos de ésta naturaleza. Soporte a largo plazo. Esto se refiere a la permanencia del proveedor del servicio a largo plazo. El riesgo de que el proveedor sea adquirido, se fusione o incluso, deje de operar.
LO FEO , V >À`Ê-Ì> > ]ÊvÕ `>` ÀÊ`iÊ >Ê ÀiiÊ- vÌÜ>ÀiÊ Õ `>Ì ÊÞÊVÀi>` ÀÊ`i Êà ÃÌima operativo GNU considera que el cómputo en la nube es una trampa orienta`>Ê>Êv Àâ>ÀÊ>ÊV>`>ÊÛiâÊ ?ÃÊ«iÀà >ÃÊ>ÊÕÌ â>ÀÊà vÌÜ>ÀiÊÀiÃÌÀ } ` ]ʵÕiÊ}i iÀ> Ê sistemas propietarios que costarán cada vez más en el futuro. Stallman considera que los usuarios deberían mantener su información en sus propias manos. Independientemente de nuestros ideales sociales y políticos, debemos reconocer que él cómputo en la nube llegó para quedarse y como responsables de la Seguridad de la Información debemos entender las implicaciones que vienen asociadas con el uso de estos servicios, los riesgos específicos que representa, incluyendo sus consecuencias e impactos y los controles disponibles para proteger la información de nuestras organizaciones. ●
Mario Ureña Cuate es Director General de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Fo>armadores de Opinión del British Standards Institution (BSI). www.mariourenacuate.com
Marzo-Abril, 2010
B:SECURE 21
´ EXTREMA AUDITORÍA
¿Y A LOS USUARIOS QUIÉN LOS CERTIFICA? Por Mario Velázquez
Los administradores de seguridad ya se están certificando, lo mismo que los equipos que integran la infraestructura de las organizaciones, pero falta un punto muy importante en esto de asegurar la capacidad de resguardo de las piezas involucradas en una estrategia de seguridad: los usuarios.
T
odo parece indicar que en el tema de las certificaciones para administradores de seguridad, los involucrados están haciendo lo necesario. Algo similar sucede en cuanto a la certificación de seguridad de los equipos que integran la infraestructura de las organizaciones y en la adopción de mejores prácticas para brindar mayor seguridad a datos, transacciones y, en general, a los recursos de IT de las compañías. ¿Qué falta entonces? Los usuarios, sí. Poniendo lo anterior como cierto, resulta que ahora les tocaría a ellos certificarse con respecto a sus hábitos y costumbres en el uso de la tecnología de información. Con esta certificación los usuarios demostrarían que sus actividades del día a día no comprometen los datos y recursos de la compañía, además, garantizarían que están conscientes de la parte de seguridad de IT que les corresponde. Más aún, esto avalaría que emplean los recursos de cómputo a su cargo previendo los riesgos inherentes asociados y con el suficiente sentido de alerta ante cualquier amenaza de seguridad que se pudiera presentar. En teoría esto suena muy bien, desafortunadamente, tal certificación aún no existe como tal. Lo más cercano a examinar la actividad de los usuarios es cuando se revisan los controles de End-user computing, que son inclusive requisito para SOX, pero la idea es ir más allá, a las actividades diarias y costumbres de los usuarios en general. Para quienes de una u otra manera estamos cerca de la seguridad informática, nos parece sorprendente que los usuarios comunes no comprendan los riesgos a los que están expuestos con algunos hábitos que serían fáciles de corregir. Pero lo cierto es que en la mayoría de los casos esta incomprensión se debe a simple desconocimiento. Cuando se le notifica a un usuario que ha violando la política corporativa de la integridad y seguridad informática (así de rimbombante) la respuesta más común es ¿cuál política?, y en la mayoría de los casos la respuesta es auténtica. Más aún, muchos de los usuarios no saben identificar cuándo se encuentran frente a un incidente de seguridad. Por ejemplo, si su cuenta de usuario está bloqueada sin una explicación clara, la mayoría se conforma con que sea desbloqueada, sin pensar que el origen de esto puede ser que alguien intentó adivinar su password. 22 B:SECURE Marzo-Abril, 2010
La buena noticia es que, aun sin esa certificación, existen alternativas para capacitar a los usuarios, Una es implementar una campaña de concientización de seguridad de IT al interior de las organizaciones, para lo cual no se requiere una cuantiosa inversión, ni en recursos, ni en personal, ni en tiempo, dado que se pueden utilizar herramientas de intranet o E-Learning para la difusión de los conceptos de seguridad y las políticas que todo empleado debe saber. En este esfuerzo pueden estar involucradas áreas como seguridad informática, control interno, capacitación, auditoría de IT, etcétera. Aunque cada empresa tiene sus propias necesidades, algunos temas que deben incluirse son: seguridad en equipos personales, seguridad en web y correo electrónico, conceptos de malware en general, difusión de las políticas de seguridad de la compañía, cómo identificar un incidente de seguridad y cómo reaccionar, etcétera. Para darle mayor peso a esta acción, al final de dicho entrenamiento se debe aplicar un examen a cada empleado para garantizar que las nociones de seguridad que se pretenden enseñar fueron entendidas. Si el usuario aprueba dicho examen se le otorga un certificado, que puede incluso formar parte de su expediente en capital humano. Hecho esto, ningún usuario podrá argumentar desconocimiento de las políticas. Adicionalmente todos los empleados tendrán mayor conciencia de los impactos que existen detrás de cada riesgo informático. Y más allá de todo, habrá, sin duda, más ojos alertas ante cualquier incidente de seguridad que se presente. No obstante que los presupuestos para temas de seguridad en informática continúan reprimidos por la crisis, no podemos cruzarnos de brazos. Tenemos que ser creativos y continuar cerrando brechas de seguridad. Y el bajo costo de esta estrategia de certificación para usuarios, la coloca como un tema que no debe faltar en nuestro plan anual de seguridad en informática. Bueno eso creo yo, pero ¿usted qué piensa?. ●
Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.
SINNÚMERO LOS COSTOS DE TENER UN DOBLE INDESEADO En el mundo del cine los dobles suplantan al actor o actriz de la cinta, a fin de evitar que este se lastime durante el rodaje de escenas peligrosas. Pero en la vida real tener un doble podría significar ser víctima del fraude o robo de identidades, una actividad ilícita, que tan sólo en Estados Unidos defraudó $54,000 millones de dólares durante 2009. En este Sin Número presentamos el análisis de Identity
Fraud Report realizado por la firma de investigación Javelin Strategy & Research, que tomó como referencia las respuestas de más de 5,000 ciudadanos estadunidenses, todos ellos víctimas de fraude bancarios y robo de identidad.
En los últimos 12 meses más de 11.1 millones de adultos estadunidenses fueron víctimas del robo de identidad. El robo de identidades creció 12% entre 2008 y 2009 y casi 38 puntos porcentuales en los últimos tres años. El costo por este ilícito ascendió a $54,000 millones de dólares en 2009, la cifra más alta en los últimos diez años. Según los datos de Javelin 49% de las víctimas no tomaron ningún tipo de acción legal ni levantaron denuncia alguna. En 12% de los casos las autoridades lograron arrestar uno o más sospechosos, en 11% de estos lograron procesar al delincuente y en el 8% se alcanzó una condena para los criminales. Marzo-Abril, 2010 B:SECURE 23
EL INVITADO TESTIGO FORTUITO Por Elihú B. Hernández Hernández
E
n este mundo de tecnologías convergentes, en donde la tendencia hacia el desarrollo de aplicaciones se ha visto marcada por una clara aceptación del modelo orientado a la construcción de programas web (cliente-servidor). Es inminente la necesidad de hacer conciencia sobre la cantidad de información que un navegador web (explorador de internet) puede almacenar en relación a quién lo utiliza (Preferencias de navegación, historial de sitios visitados, archivos descargados, etc.). Y es que, cada vez es más común que las aplicaciones que manejamos día a día tanto en el ámbito laboral (aplicaciones corporativas, sistemas de control de acceso, nominas, etc.), como en el personal (banca electrónica, tiendas en línea, incluso sitios de entretenimiento) demanden la utilización de un navegador web para poder explotar su uso. Imaginemos entonces un escenario típico dentro de una organización, en donde un empleado deja sobre su escritorio una hoja impresa de la portada del mes de la revista del “conejito”. Seguramente y dependiendo de las políticas internas de la organización este podría ser motivo suficiente para una llamada de atención o
24 B:SECURE Marzo-Abril, 2010
una recesión de contrato, según sea el caso. Sin embargo, probablemente el presunto implicado negará todos los cuestionamientos en relación a la impresión valiéndose de nuestro “principio de inocente, hasta que se demuestre lo contrario”. Y claro, a menos que demostremos que la impresión está rela cionada con nuestro presunto responsable no podremos ejercer ninguna acción en su contra (a menos que deseemos arriesgarnos a terminar en la oficina de Conciliación y Arbitraje). Es aquí donde el titulo de esta columna cobra sentido porque podemos recurrir al análisis forense digital para esclarecer este tipo de situaciones, que de otra manera resultarían muy complicadas de afrontar. Antes de entrar en materia forense recordemos que una investigación, imprescindiblemente, cuenta con una secuencia lógica o ilógica, según el caso de hechos relacionados que derivan en un acontecimiento o acción propia de una investigación. Tomando en consideración el párrafo anterior analicemos brevemente los elementos con los que contamos de primera mano para la investigación:
UÊ
ÊV Ì> ÃÊV ÊÌiÃÌ } ÃÊ«ÀiÃi V > iÃʵÕiÊ>v À i Ê Ê`iV i Ê µÕiÊ >Ê «Àià ʫ ÀÌ>`>Ê`i ÊV i Ì ®]Êi V ÌÀ>`>Êà LÀiÊi ÊiÃVÀ Ì À ]Ê«iÀÌi iViÊ> Ê«iÀà > Ê>à } >` Ê>ÊiÃiÊ Õ}>ÀÊ`iÊÌÀ>L> Ê «ÀiÃÕ Ì ÊÀië Ã>L i®° UÊ ÊV Ì> ÃÊV ÊiµÕ « Ê`iÊÛ `i Û } > V >ʵÕiÊà ÀÛ>Ê`iÊ>« Þ Ê`iÊ >Ê ÛiÃÌ }>V Êi Ê ÃÊ À>À ÃÊi Ê ÃʵÕiÊÃiÊ V> â Ê >Ê «Àià ° UÊ Ê«iÀà > Ê>à } >` Ê>ÊiÃ>Ê?Ài>Ê`iÊÌÀ>L> Ê i}>ÊÀ ÌÕ `> i ÌiÊ >LiÀÊ «Àià Ê` V >Ê« ÀÌ>`>° >ÃÌ>Ê>µÕ ÊÌi i ÃÊÕ Ê ÃVÕÀ Ê«> À> >Ê«>À>Ê >Ê ÛiÃÌ }>V °Ê - Êi L>À} Êà ÊÀii v V> ÃÊ ÃÊi i i Ì Ã]Ê >V i ` ÊÕà Ê`i Ê>`ÛiÀL Ê ÌiÀÀ }>Ì Û Ê· ¶ÊÞÊ`i Ê«À LÀiÊ·+Õj¶]ÊÃi}ÕÀ> i ÌiÊi V ÌÀ>Ài ÃÊ« ÃÌ>ÃÊ ÌiÀiÃ> ÌiÃʵÕiÊ ÃÊ iÛ>À? Ê>Ê`iÃVÕLÀ ÀÊ ÕiÛ>ÃÊ i>ÃÊ`iÊ ÛiÃÌ }>V ÊÖÌ iÃÊ«>À>Ê Ìi Ì>ÀÊÀià ÛiÀÊ ÕiÃÌÀ ÊV>à ° ¿Cómo se imprime una imagen? ,ÊrÊ* ÀÊ i` Ê`iÊÕ Ê` ë Ã Ì Û Êi ÊiÃÌiÊV>à ÊÕ >ÊV «ÕÌ>` À>®]ʵÕiÊVÕi ÌiÊV ÊÕ Ê«À }À> >Ê`iÊ «Àià ʵÕiÊiÃÌjÊV iVÌ>` Ê ÞÊÛ VÕ >` ÊV v }ÕÀ>` ®Ê>ÊÕ >Ê «Àià À>° ¿Qué elementos contiene la hoja impresa sujeta a investigación? ,ÊrÊ1 >Ê >}i Ê`iÊ« ÀÌ>`>Ê`i Ê iÃÊÛ }i ÌiÊ`iÊ >ÊÀiÛ ÃÌ>Ê`i ÊV i Ì ÊV ÊÕ >ÊV> `>`Ê`iÊ «Àià ÊLÕi > >ÃÌ>Ê>µÕ Ê Ê i ÃÊi « i>` Ê }Õ >ÊÌjV V>Ê`iÊ> ? à ÃÊv Ài ÃiÊ` } Ì> ]ÊÖ V> i ÌiÊ i ÃÊ`iÃÌ>V>` Ê iV ÃÊV ÊL>ÃiÊ>ÊÕ Ê > ? à ÃÊ ÕÞÊà « i]Êi « i> ` Ê` ÃÊ«> >LÀ>ÃÊ· ¶ÊÞÊ·+Õj¶®]Ê «>À>ÊÌÀ>Ì>ÀÊ`iÊ LÌi iÀÊ v À >V ÊiëiV v V>Êi Ì À Ê> Ê L iÌ Ê`iÊ ÛiÃÌ }>V Ê «Àià Ê`iÊÕ >Ê« ÀÌ>`>®Ê`iÊ >ÃÊVÕ> iÃÊÃiÊ`iëÀi `i Ê >ÃÊà }Õ i ÌiÃÊ>ÃiÛiÀ>V iÃ\ £° Ê >Ê >}i Ê «ÀiÃ>Ê`iÊ >Ê« ÀÌ>`>ÊÃÕ iÌ>Ê>Ê ÛiÃÌ }>V ÊiÃÊ >Ê Ã >ʵÕiÊÃiÊi VÕi ÌÀ>Êi Êi ÊÃ Ì ÊÜiLÊ`i ʺV i Ì »]ÊÞ>ʵÕiÊ >Ê « ÀÌ>`>Êv à V>Êi Ê jÝ V ®Ê`iÊ >ÊÀiÛ ÃÌ>ÊÌ i iÊi Êi ÊV ÃÌ>` ÊÃÕ«iÀ ÀÊ `iÀiV Ê «Àià Êi ÊV ÃÌ Êi Ê` >ÀiÃÊÞÊ Êi Ê«ià ð ÃÌiÊ iV Ê ÃÊ iÛ>Ê i` >Ì> i ÌiÊ >Ê `i`ÕV ÀÊ µÕiÊ i Ê > }Ö Ê i Ì Ê ÕiÃÌÀ Ê«ÀiÃÕ Ì Ê « V>` Ê`iL Ê >LiÀÊ>VVi` ` Ê> ÊÃ Ì Ê ÜiLÊ`i ÊV i Ì Ê>Êi iVÕÌ>ÀÊ` ÃÊ« à L iÃÊà ÌÕ>V iÃ\ UÊ «À ÀÊ` ÀiVÌ> i ÌiÊ >Ê« ÀÌ>`>Ê`iÃ`iÊi Ê >Ûi}>` ÀÊ`iÊ ÌiÀ iÌ UÊ Õ>À`>ÀÊ >Ê >}i Ê`iÊ >Ê« ÀÌ>`>ÊÞÊ« ÃÌiÀ À i ÌiÊ > `>À >Ê>Ê «À À
ÊiÃÌ>Ê v À >V ]ÊiÃÊ i Ì Ê`iÊi « i>ÀÊ>Êv ` Ê >ÃÊÌjV V>ÃÊ`iÊ> ? à ÃÊv Ài ÃiÊ` } Ì> ]Ê>Êv Ê`iÊ Ìi Ì>ÀÊÀiV ÃÌÀÕ ÀÊ ÃÊ iV ÃÊ VÕÀÀ ` ÃÊi Êi Ê«>Ã>` ÊÞÊ`iÌiÀ >ÀÊ> Ê«ÀiÃÕ Ì ÊÀië Ã>L i\
SITUACIÓN 1: ELEMENTOS DE INVESTIGACIÓN UÊ >Ê >}i Êi Êi Ê i Ì Ê`iÊi Û >À >Ê>Ê «À ÀÊ`iL Ê`iÊ}i iÀ>ÀÊÕ >ÊV « >Ê`i Ê>ÀV Û Ê >}i ®Êi Êi Ê` ÃV Ê`ÕÀ Ê`i ÊiµÕ « Ê`iÊ` `iÊÃiÊi Û Ê >Ê>VV Ê`iÊ «Àià ° UÊ >Ê «Àià Ê`iÊ >Ê« ÀÌ>`>Ê`iLiÊ`iÊV Ìi iÀÊi Êi Ê« iÊ`iÊ«?} >Ê >ÊÀÕÌ>Ê` ÀiVV Ê`iÊ ÌiÀ iÌ®Ê` `iÊÃiÊ LÌÕÛ Ê >Ê >}i Ê>Ê «À À°
UÊ Ê >Ûi}>` ÀÊ`iÊ ÌiÀ iÌÊ«Õi`iÊ Ê ÊÌi iÀÊÀi} ÃÌÀ>` Ê >ÊviV >ÊÞÊ >Ê À>Êi Ê >ʵÕiÊi ÊÃ Ì ÊÜiLÊ`i ÊV i Ì ÊvÕiÊ>VVi` ` Ê«>À>Ê LÌi iÀÊ >Ê >}i °
SITUACIÓN 2: ELEMENTOS DE INVESTIGACIÓN UÊ Ê >Ûi}>` ÀÊ`iÊ ÌiÀ iÌÊ«Õi` Ê Ê ÊÌi iÀÊ> >Vi >` Ê >ÊÀÕÌ>Ê i Ê` `iÊÃiÊ}Õ>À` Ê >Ê >}i Ê« ÀÌ>`>®]Ê«>À>Ê« ÃÌiÀ À i ÌiÊ > `>À >Ê>Ê «À À° UÊ Ê i Ì Ê`iÊÀi> â>ÀÊ >Ê «ÀiÃ Ê >Ê >}i Ê`iL ÊiÃÌ>ÀÊ> >Vi >`>Êi Êi Ê` ÃV Ê`ÕÀ Ê«>À>ÊÃiÀÊ«À ViÃ>`>Ê« ÀÊi Êà ÃÌi >Ê`iÊ «Àià ° UÊ Ê >Ûi}>` ÀÊ`iÊ ÌiÀ iÌÊ«Õi`iÊ Ê ÊÌi iÀÊÀi} ÃÌÀ>` Ê >ÊviV >ÊÞÊ >Ê À>Êi Ê >ʵÕiÊi ÊÃ Ì ÊÜiLÊ`i ÊV i Ì ÊvÕiÊ>VVi` ` Ê«>À>Ê LÌi iÀÊ >Ê >}i °
Ê« `i ÃÊ LÃiÀÛ>ÀÊi Ê> L ÃÊiÃVi >À ÃÊV Ì> ÃÊV ÊÕ Ê i i i Ì ÊV Ö \Ê >ÊiÝ ÃÌi V >Êi Ê> }Ö Ê i Ì Ê`iÊ >Ê >}i Ê «ÀiÃ>Êi Êi Ê` ÃV Ê`ÕÀ Ê«>À>Ê« `iÀÊÃiÀÊ«À ViÃ>`>Ê« ÀÊi Êà ÃÌi >Ê `iÊ «Àià °Ê * ÀÊ ÊÌ> Ì ]Ê >Ê« iâ>ÊV >ÛiÊ`iÊ ÕiÃÌÀ>Ê ÛiÃÌ }>V ÊÃiÊVi ÌÀ>Êi Ê >Ê >}i ʵÕiÊ« `i ÃÊ`iÃV>À}>ÀÊ ÕiÛ> i ÌiÊ>Êv Ê`iÊ« `iÀÊ LÌi iÀÊ`iÊi >ÊÕ Ê >Ã Ê `i Ì v V>` ÀÊÖ V Ê`iÊ>ÀV Û ®ÊÞÊÀi> â>ÀÊÕ >Ê LÖõÕi`>Ê`iÊiÃiÊÛ> ÀÊi ÊÌ ` Êi Ê` ÃV Ê`ÕÀ ]Ê«À V «> i ÌiÊi ÌÀiÊ ÃÊ>ÀV Û ÃÊÌi « À> iÃÊÕÌ â>` ÃÊ« ÀÊi Ê >Ûi}>` ÀÊÜiL° "ÌÀ>Ê>VV ʵÕiÊ« `i ÃÊÌ >À]ÊV Ê >Ê>ÞÕ`>Ê`iÊ iÀÀ> i Ì>ÃÊv Ài ÃiÃÊiëiV > â>`>Ã]ÊiÃÊ Ìi Ì>ÀÊÀiVÕ«iÀ>ÀÊÌ `>ÃÊ >Ê ?}i iÃÊi >`>ÃÊ`i Ê` ÃV Ê`ÕÀ ʵÕiÊVÕ « > ÊV Ê ÃÊVÀ ÌiÀ ÃÊ`iÊv À >Ì Ê`iÊ >}i Ê I° «}]ÊI°} v]ÊiÌV°®ÊÞÊÌ> > Ê`iÊ >Ê Ã >Êië>V Êi Ê LÞÌiÃÊÕÌ â>` ÃÊ i Ê` ÃV Ê« ÀÊ >Ê >}i ®]Ê«>À>Ê« ÃÌiÀ À i ÌiÊV «>À>ÀÊÃÕÊÛ> ÀÊ >Ã Ê `i Ì v V>` ÀÊÖ V ®]ÊV Êi ÊÛ> ÀÊ LÌi ` Ê«ÀiÛ > i Ìi]ÊÞÊ`iÌiÀ >ÀÊ V Ê«ÀiV à ÊÃ Ê >Ê >}i Ê «ÀiÃ>Ê`iÊ >Ê« ÀÌ>`>Ê`i ÊV i Ì Ê> }Õ >ÊÛiâÊ iÃÌÕÛ Ê> >Vi >`>Êi Êi Ê` ÃV Ê`ÕÀ Ê`iÊ ÕiÃÌÀ Ê«ÀiÃÕ Ì Ê « V>` °
Ê « `i ÃÊ `>À ÃÊ VÕi Ì>]Ê i Ê >Ûi}>` ÀÊ `iÊ ÌiÀ iÌÊ «Õi`iÊ> >Vi >ÀÊ v À >V ÊVÀÕV > Ê«>À>ÊÀià ÛiÀÊÕ ÊV>à °ÊÊ Ê i V >` Êi ÊiÃÌiÊ>ÀÌ VÕ Êà ÊÃi > >Ê> }Õ >ÃÊ`iÊ >ÃÊÌ> Ì>ÃÊÛ >ÃÊ`iÊ ÛiÃÌ }>V ʵÕiÊÃiÊ«Õi`i Ê>` «Ì>ÀÊi ÊÌ À Ê> Ê> ? à ÃÊv Ài ÃiÊ ` } Ì> Ê`iÊ ÃÊ`>Ì ÃÊ> >Vi >` ÃÊi Ê ÃÊ` ë Ã Ì Û ÃÊ`iÊ> >Vi > i Ì Êi ÊiÃÌiÊV>à ÊÕ Ê` ÃV Ê`ÕÀ ®]ÊVÕ> ` ÊÃiÊ >ViÊÕà Ê`iÊÕ >Ê >« V>V ÊÜiLÊÞ>ÊÃi>Êi ÊÕ Ê? L Ì Ê` `iÊ >Ê>« V>V ÊÜiLÊiÃÌ?Ê iÝ«ÕiÃÌ>Ê>ÊÌ ` Êi Ê Õ ` Ê ÌiÀ iÌ®]ÊV Ê>« V>V iÃÊ`iÊÕÃ Ê ÌiÀ Ê Ê« >Ì>v À >ÃÊV À« À>Ì Û>ÃÊ ÌÀ> iÌ®°Ê >LiÊ i V >À]ʵÕiÊ `>`>Ê >Ê` ÛiÀà `>`Ê`iÊ >Ûi}>` ÀiÃÊÜiLÊ` ë L iÃÊi Ê >Ê>VÌÕ> `>`Êi Ê> ? à ÃÊv Ài ÃiÊ`iÊV>`>ÊÕ ÊiÃÊÌ Ì> i ÌiÊ` viÀi Ìi]ÊÌjV V> i ÌiÊ >L > ` ]Ê>Õ µÕiÊ >Ê iÌ ` } >ÊÞÊ >ÊiÃÌÀÕVÌÕÀ>Ê`iÊ ÃÊ V « i ÌiÃʵÕiÊ ÊV v À > ÊÃi> Ê ÕÞÊà >Àið > i ÌiÊiÃÊ ÕÞÊ « ÀÌ> ÌiÊÌi iÀÊi ÊVÕi Ì>Êi Ê> ? à ÃÊv Ài ÃiÊ`i Ê >Ûi}>` ÀÊÜiLÊÊ`ÕÀ> ÌiÊÕ >Ê ÛiÃÌ }>V ]ÊÞ>ʵÕiÊi ÊiÃÌiÊ VÀiV i ÌiÊ Õ ` Ê`iÊ >ÃÊÌiV } >Ã]Êi Ê` `iÊV>`>ÊÛiâÊiÃÊ ?ÃÊvÀiVÕi ÌiÊÃÕÊÕà Êi ÊÕ >Ê}À> ÊÛ>À i`>`Ê`iÊ` ë Ã Ì Û ÃÊV à >ÃÊ`iÊ Û `i Ê Õi} Ã]ÊÌi jv ÃÊVi Õ >ÀiÃ]ÊiÌV°®]ÊÊ Ê > ÊV ÛiÀÌ ` Ê`iÊ > iÀ>Ê iÀi ÌiÊi ÊÕ ÊÌiÃÌ } Êv ÀÌÕ Ì Ê` Ì>` Ê`iÊi i i Ì ÃÊÃÕv V i ÌiÃÊÊ ÞÊV>«>ViÃÊ`iÊ>v À >ÀÊ Ê i}>ÀÊÕ Ê iV °
Elihú B. Hernández, GCFA (ehernandezh@produban.com.mx) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)
Marzo-Abril, 2010 B:SECURE 25