Mayo 2010 路 62 路 www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
PROYECTO
CIBERCRIMEN 2010-2020
$80.00 M.N.
En el arranque de la segunda d茅cada del siglo XXI dos realidades son claras para la humanidad. Uno, el internet ya comenz贸 a consolidarse como el pilar central de las sociedades modernas. Dos, la viabilidad de esa infraestructura pende de un hilo a consecuencia de su mayor enemigo, el cibercrimen
MAY 2010
ACCESO
EMPRESAS EN MÉXICO DEBERÁN INFORMAR SOBRE BRECHAS DE SEGURIDAD
El Congreso de la Unión aprobó la Ley de Protección de Datos Personales en Posesión de los Particulares en México, que obligará a las personas físicas o morales privadas que recaben almacenen y utilizan datos personales a informar a su titular cuando la seguridad que los protege sea vulnerada.
B:SECURE FOR BUSINESS PEOPLE
LA FUNCIÓN DE SEGURIDAD, EL PRIMER PASO A SEGUIR Segunda de cuatro partes Para crear una adecuada función de seguridad de la información es fundamental conocer las expectativas de la organización en materia de seguridad para tener perfectamente claro cuál es el propósito de dicha función.
OPINIÓN
QUIERO DESAPARECER…O POR LO MENOS NO DAR INFORMACIÓN
Muchas personas desconocen cuánta información existe en internet sobre sí mismos. Algunos, después de reflexionar simplemente buscan la manera de desaparecer. ¿Pero qué sucede con los datos personales dentro de las empresas?
EXPEDIENTE CERO
¿Qué se necesita para ser un investigador en forensia digita ? Una reflexión para todos los profesionales involucrados en el análisis forense digital.
LA LEY Y EL DESORDEN
ACTA 2ª PARTE
16 PROYECTO CIBERCRIMEN 2010-2020
Al final de la primera década del siglo XXI dos realidades son claras para la humanidad. Uno, el internet ya comenzó a consolidarse como la base de la comunicación, economía y la operación de empresas, gobiernos y ciudadanos. Dos, la viabilidad de esa infraestructura pende de un hilo a consecuencia de su mayor enemigo; el cibercrimen
06 LOGIN
31 SINNÚMERO
La tremenda secrecía, falta de transparencia y ánimo excluyente o discriminatorio con el que se llevaban las negociaciones de ACTA han llegado a su fin, pues en un hecho histórico los países negociadores del tratado decidieron hacer público su contenido.
AUDITORIA EXTREMA
¡OTRA PRÓRROGA A LA LEY, POR FAVOR!
Dentro de unos meses la facturación electrónica será obligatoria; pero la mayoría de las empresas y las personas físicas no están preparadas para adoptarla.
SEGURO QUE LO QUIERES… Abrimos una nueva sección en b:Secure , en esta ocasión analizamos los cinco puntos que te hacen desear o desestimar la iPad de Apple.
Mayo, 2010 B:SECURE 1
9 de Junio 2010
Camino Real Monterrey
Agenda The Cloud Reloaded: Seguridad en la nube The Net, socialmente peligrosas Yo empleado: mas movil y mas inseguro Infiltrados: en mi empresa El abogado del hacker: La ley y marco juridico armas reales contra el cibercrimen?
?
Collateral Data Loss Prevention
Ademas 5 Conferencias Magistrales Show de clausura con Hector San Marino Expo comercial
www.bsecureconference.com.mx/mty INFORMES:
Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4. "Ê > > ` Ê> ÊÓÈÓ Ê ÊÇÓnäÊUÊÓÈÓ Ê ÊÇÓn£UÊÓÈÓ Ê ÊÇÓnx >ÝÊÓÈÓ Ê ÊÇÓn ÊUÊiÛi Ì ÃJ iÌ i` >° v
Un evento de
Producido por
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL Elba de Morán DIRECTORA COMERCIAL
HACKER LOGRA CORRER ANDROID EN EL IPHONE
El hacker David Wang publicó un video en el que muestra cómo logró correr el sistema operativo para móviles de Google en un iPhone de segunda generación. Según relata Wang, miembro del conocido grupo de hackers de productos de Apple Dev Team, trabajó todo un año en esta tarea. Ayudado de herramientas de Linux, Wang logró que la estrella de Apple corriera en forma dual su sistema operativo, iPhone OS y Android a través del programa OpeniBoot. “Aún instalando Android, tu iPhone puede ser utilizado normalmente”, aclaró en su entrada de blog. Sin embargo, advirtió que no está libre de fallas la implementación de Android en el iPhone, lo cual podría ser corregido en una versión de producción masiva. En un video inserto en su blog Linuxoniphone.blogspot.com, muestra paso a paso el proceso completo por el que logra que Android se despliegue en la pantalla del iPhone. Ni Apple ni Google hicieron comentarios respecto a la instalación de dicho operativo en el iPhone. Sin embargo, la firma con el símbolo de la manzana ha estipulado, en diversas ocasiones, que cualquier violación al software del teléfono incurriría en una anulación de la garantía del equipo.
ROBO DE INFORMACIÓN A ONU, INDIA Y DALAI LAMA APUNTA A CHINA Suena a dèja vú, pero nuevamente China está implicada en un robo masivo de información y el Gobierno chino de nuevo ha negado las acusasiones. Las evidencias apuntan hacia el territorio chino como la ubicación desde donde se perpetró un ataque coordinado para sustraer información ilegalmente del Ministerio de Defensa en India, la Organización de las Naciones Unidas (ONU) y de las oficinas del Dalai Lama. Apenas en enero Google y otras compañías estadunidenses sufrieron robos de información y propiedad industrial, que provocaron el rompimiento de sus relaciones con China, y obligaron a la firma a eliminar la censura que había aplicado a sus resultados de búsqueda a solicitud del Gobierno para finalmente redirigir el tráfico de su buscador chino al de su sitio en Hong Kong. De acuerdo con los investigadores del Monitor de Información Bélica de Citizen Lab, que hicieron público el hallazgo del ataque, les llevó ocho meses monitorear a los atacantes. Encontraron que los hackers tenían en su poder información clasificada de gobiernos, instituciones académicas y de empresas.
Estos y otros artículos en www.bsecure.com.mx [LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
AUNQUE ME CORRAN
Carlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.
FABUOLUS BLOG
TEMA LIBRE
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México). b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
4 B:SECURE Mayo, 2010
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma, Luis Javier Pérez, Salomón Rico, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Lizeztte Pérez, Raúl Gómez. COLUMNISTAS Adrián Palma Joel Gómez, Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña, Andrés Velázquez, Elihú Hernández, Mario Velazquez EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
LOGIN LOGIN
ACTA NO IMPONDRÁ SUSPENSIÓN DE INTERNET La octava ronda de negociaciones del Acuerdo Comercial Antifasilifcación (ACTA, por sus sigls en inglés) celebrada en Wellington, Nueva Zelanda, analiza no desconectar a consumidores de piratería en internet.
De acuerdo con filtraciones de la última reunión, donde se discutió cómo quedará el Acuerdo por el que se pretende proteger los contenidos con derechos de propiedad intelectual dentro y fuera de internet, Estados Unidos, Corea del Sur, la Unión Europea y Japón se pronunciaron
por dejar el corte de internet para quienes descarguen contenidos protegidos a cada país. Lo anterior, implicaría que cada nación participante en el acuerdo, entre los que se cuenta a México, podría emitir su propia legislación en donde se contemplaría de manera opcional la medida de la suspensión de internet y que ACTA no los obligaría a legislar a favor de la suspensión del servicio a quienes compartieran con ánimo de lucro contenidos protegidos. El grupo difundió un comunicado posterior a la reunión en Nueva Zelanda en el que informaron que durante 2010 llegarán a un borrador definitivo, pero que aún se concentrarán en Suiza para continuar con las negociaciones del tratado antifalsificación. “Aunque los participantes reconocen la importancia de responder eficazmente al reto de la piratería en internet, nadie está proponiendo obligar a los gobiernos a establecer un sistema de ‘respuesta gradual’ o ‘tres avisos’ para las infracciones de los derechos de propiedad intelectual en la red”, indica el comunicado. Además, negaron los rumores de que ACTA podría impulsar el establecimiento de normas que obliguen a las autoridades aduanales a revisar equipaje o información en sus laptop con el fin de sancionar a quienes se les encuentre mercancías o contenidos que violen el derecho a la propiedad intelectual.
MÁS DE 11,000 DOMINIOS DISTRIBUYEN ROGUEWARE: GOOGLE Investigadores de seguridad de Google analizaron más de 240 millones de páginas web y detectaron que cerca de 11,000 dominios de todo el mundo son distribuidores de soluciones falsas de seguridad, mejor conocidas como rogueware o scareware. La infección de internautas, mediante programas de Antivirus falsos, mejor conocidos como rogueware o scareware representan 15% de todo el malware en la red, de acuerdo con expertos de seguridad de Google. En el blog de seguridad de la compañía, Niels Provos, del equipo de seguridad de Google escribió, que tras una análisis a 240 millones de páginas web el buscador en línea detectó que más de 11,000 dominios en todo el mundo son distribuidores de rogueware o scareware. Según los expertos de Google, que publicaron su descubrimiento en el reporte Usenix Workshop on Large-Scale Exploits and Emergent Threats, afirmaron que este tipo de códigos maliciosos ya representan 15% de todo el malware en el web. Cabe recordar que el scareware o rogueware, contrario a ser un códi6 B:SECURE Mayo, 2010
go malicioso sofisticado, se vale del temor humano para infectar a sus víctimas. Así, a través de pantallas emergentes, que dan aviso de que la computadora está infectada con un virus, obligan al usuario a descargar e instalar un programa en su equipo, que en realidad contiene un código malicioso. “Este tipo de software maliciosos toma ventaja del miedo que tienen los usuarios porque sus computadoras se infecten lo que los incita a tomar acción correctiva, que es lo que termina por infectarlos”, apuntó Provos. De acuerdo con los datos de Google, los ataques de Antivirus falsos representan 50% de todo el malware entregado a través de publicidad en línea comprometida o apócrifa, esto es cinco veces más que lo registrado durante 2008. Provos también resaltó que 60% de los dominios en internet que distribuyen este tipo de códigos maliciosos incluyen el uso de palabras populares, para ser localizados con mayor facilidad por los motores de búsqueda.
PIDEN AUTORIDADES DE 10 PAÍSES A GOOGLE PROTEGER DATOS Diez organismos encargados de proteger los datos de los ciudadanos del mismo número de países pidieron al CEO de Google, Eric Schmidt, cuidar la privacidad de sus ciudadanos en sus productos. Las autoridades de protección de datos de Alemania, Canadá, España, Francia, Irlanda, Israel, Italia, Nueva Zelanda, Países Bajos y Reino Unido acusaron que Google Buzz no da las “garantías adecuadas” para proteger la privacidad de sus usuarios. Además de las quejas contra la nueva red social de Google, Buzz, los 10 gobiernos cuestio-
naron cómo su servicio Street View protege la privacidad de los ciudadanos. En la carta abierta llamaron a Google a adherirse a los “principios fundamentales sobre privacidad” al momento de desarrollar nuevos servicios. “Lanzar un producto en versión de prueba (Beta) no sustituye la obligación de asegurar que los nuevos servicios están en conformidad con principios de información favorables antes de que sean liberados”, de
acuerdo con la carta. El grupo llamó a Google a recopilar la mínima cantidad de datos personales que sea necesaria para echar a andar un servicio. Según lo expuesto en la carta, el grupo demanda una respuesta del CEO de Google. Hasta el momento los reportes consignan que la compañía ha reiterado que se esfuerza por establecer controles significativos en sus productos para proteger la información que recopilan y usan. En el documento le recuerdan a Google que cuando arrancó la integración de Gmail con Buzz era posible de manera predeterminada que un contacto de un usuario, y los seguidores del primero, pudieran ver todas sus direcciones de correo solo por haber sido integrados automáticamente en Buzz. Entonces Google pidió a sus usuarios ajustar sus controles de privacidad. Paradójicamente, Google y otras 16 organizaciones, además de tres decenas de individuos, forman parte de una coalición que empuja en Estados Unidos una reforma integral a la Ley de Privacidad de Comunicaciones Electrónicas. La coalición demanda que la legislación sea actualizada para corregir supuestas contradicciones en cuanto al acceso del gobierno estadunidense al correo electrónico, la ambigüedad atribuida a la ley por algunas cortes locales y la incertidumbre constitucional que la ley le proporciona al correo electrónico, entre otras.
DESCA EXPANDE SU PRESENCIA EN MÉXICO Con el fin de responder a las necesidades del mercado mexicano Desca, uno de los principales socios de negocios de Cisco y proveedor de infraestructura de redes y servicios, invirtió en el desarrollo de nuevas instalaciones y oficinas en México. El objetivo detrás de la inversión dijo Jorge Alvarado, presidente global de Desca, es generar un lazo más estrecho con los clientes del país, extender su alcance en todo la República Mexicana y cimentar la de expansión de la firma a otras regiones en América Latina. “En Desca no buscamos ser ni un integrador ni un proveedor, queremos que el cliente nos pida lo que necesita, y para poder cumplir con ese requisito es que decidimos invertir en estas nuevas oficinas, luego de cuatro años en el mercado mexicano”, explicó Alvarado. Las nuevas oficinas de Desca no conllevan únicamente la inversión en instalaciones, pues de acuerdo con Alvarado, la compañía también ha invertido en la implementación de procesos, personas y tecnología dentro de su infraestructura.
De hecho, agregó Alvarado, al ser el único partner Gold certificado de Cisco en el área de Comunicaciones Unificadas, Desca ha invertido alrededor de un millón de dólares tan solo en la instalación de una sala de telepresencia en sus oficinas. El objetivo, dijo el ejecutivo, es reducir los costos de operación y comunicación dentro de Desca México y sus 14 filiales en el resto de América Latina. Y al mismo tiempo, demostrar a sus clientes en el país las ventajas en el uso de esta tecnología. “Con la crisis económica muchas compañías tienen la incertidumbre de invertir en tecnología, por el miedo que existe de que su integrador o proveedor desaparezca por falta de estabilidad económica. Esta inversión que Desca hace en México demuestra la posición de la compañía y su compromiso con los clientes en la región”, subrayó Alvarado.
BREVES SonicWall anunció la salida del NSA 2400MX, un nuevo Firewall de Administración Unificada contra Amenazas (UTM, por sus siglas en inglés), para las Pequeñas y medianas empresas. El nuevo 2400MX incluye soporte para 10 puertos de 1Gbe y 16 puertos de Fast Ethernet. Además ofrece capacidades de seguridad, como VLAN 802.1q, MultiWAN e ISP failover, gestión basada en objetos y zonas, balanceo de cargas y modos NAT avanzados. Kaspersky liberó Securelist un sitio web, que sustituye a Viruslist, con información relevante de las últimas amenazas en internet. La página incluye datos sobre los últimos ataques o códigos maliciosos, temas sobre cómo evitar el spam y pshishing, artículos analíticos, consejos para los practicantes de IT, sobre cómo reconocer las amenazas internas y acceso a blogs con información desarrollada por expertos. Checkpoint lanzó una nueva tecnología denominada Streaming, que aumenta dramáticamente el desempeño de detección de antivirus y filtrado de URL de software blades, para todos los gateways de seguridad de la firma. Esta tecnología está disponible a través de una actualización de software sin costo adicional.
Mayo, 2010 B:SECURE 7
ACCESO AUMENTAN PÉRDIDAS Y DENUNCIAS POR DELITOS INFORMÁTICOS: IC3 Y FBI
El monto por pérdidas relacionadas a los delitos informáticos en Estados Unidos se duplicó durante 2009, al rebasar los $550 millones de dólares, de acuerdo al Internet Crime Report 2009, publicado por el Internet Crime and Complaint Center (IC3). Por Carlos Fernández de Lara
E
n los últimos 12 meses los estadunidenses levantaron más de 336,655 denuncias contra delitos informáticos, 22.3% más que las 275,280 quejas registradas durante 2008, de acuerdo con el noveno Internet Crime Report 2009 del Internet Crime Complaint Center (IC3). El estudio del IC3 fue publicado a finales de marzo en el sitio web del FBI, y subraya que además de un crecimiento en el número de denuncias por parte de los estadunidenses, también se elevó el monto defraudado por los cibercriminales, al rebasar los $550 millones de dólares. La cifra es casi del doble de los $265 millones de dólares defraudados durante 2008, y casi siete veces más alta que los $125 millones de dólares que los cibercriminales robaron en 2003. Cabe recordar que el IC3 es un organismo creado a raíz de una alianza entre el FBI y el Centro Nacional contra los Delitos de Cuello Blanco, con el objetivo de proveer a los internautas un espacio para la denuncia, ayuda y combate al cibercrimen. “Los riesgos que enfrentan los usuarios en internet no dejarán de existir. Es necesario que mantengan y eleven la seguridad en todos sus dispositivos y evalúen a detalle cada correo electrónico, oferta en línea o solicitud sospechosa que reciban, para evitar caer en una trampa. Recuerden: si algo parece ser demasiado bueno para ser verdad, probablemente lo sea”, apuntó Peter Trahon, jefe de la división de ciberseguridad del FBI. Del total de denuncias levantadas por el FBI y el IC3, 19.9% pertenecían a fraudes por falta de entrega o pago de servicios y productos comprados a través del web, seguido del robo de identidades con 14.1%, y el hurto de número de tarjetas créditos o cuentas bancarias con 10.4%. 8
B:SECURE Mayo, 2010
El reporte explica que en 86.7% de las denuncias, las víctimas reportaron una pérdida monetaria de entre $100 y $5,000 dólares. En el 30% de estos casos, el impacto económico no fue menor a los $1,000 dólares. Los expertos del IC3 reconocen que, dado la falta de fronteras y la máscara de anonimato que ofrece el cibercrimen, las víctimas únicamente lograron señalar uno o más sospechosos en el 35.1% de los casos. Con las denuncias recibidas, el IC3 detectó que en el 65.4% de los casos el criminal se encontraba en Estados Unidos, seguido del Reino Unido (9.9%), Nigeria (8.0%), Canadá (2.6%) y Malasia (0.7%).
MEXICANOS SOLICITAN AYUDA AL IC3 Los datos del Internet Crime Report 2009 subrayan que no sólo los estadunidenses levantan denuncias por delitos informáticos ante el IC3, pues víctimas en naciones como Canadá, Reino Unido, México, Australia y la India recurren a la información y ayuda entregada por el organismo. Así, el 92.02% de las denuncias provinieron de Estados Unidos, 1.7% de Canadá, 0.96% del Reino Unido, 0.59% de Australia, 0.42% de la India. Mientras que México acaparó 0.16% de la denuncias, arriba de países como Sudáfrica y Filipinas, lo que permitió al país de habla hispana estar entre las 10 naciones que más denuncias ingresan ante el IC3. “Estas cifras demuestran que los criminales toman total ventaja del anonimato y clandestinidad que les ofrece internet. Además, han comenzado a desarrollar sistemas y herramientas sofisticadas para defraudar a los consumidores. Sin duda el cibercrimen ha evolucionado de una manera que hace cinco años era imposible de imaginar”, dijo But Brackman, director del Centro Nacional contra los Delitos de Cuello Blanco. ●
ACCESO
PERSEGUIRÁN DE OFICIO A VENDEDORES DE SOFTWARE PIRATA
Por Efraín Ocampo
E
l diputado Camilo Ramírez Puente argumentó ante el pleno de la Cámara, cuando propuso el dictamen para las reformas, que se pretendía perseguir de oficio la reproducción, distribución y la venta indiscriminada en vía pública de artículos y mercancías piratas. “Por este delito resultan perjudicados además de los creadores de obras y productos intelectuales, los artistas, los músicos, los editores de música, los distribuidores y vendedores legalmente establecidos; así como las industrias culturales, como los productores de fonogramas, videogramas y software“, expuso Ramírez Puente. Los artículos aprobados por 359 votos a favor, 12 abstenciones y 26 en contra, son el 429 del Código Penal Federal y el 223 Bis, de la Ley de Propiedad Industrial. El primero estipulaba que los delitos en materia de derechos de autor se perseguirán por querella de la parte ofendida y, con la reforma, se perseguirán de oficio, excepto cuando un editor, productor o grabador produzca más números de ejemplares de una obra protegida por la Ley Federal del Derecho de Autor, que los autorizados por el titular de los derechos y haya tenido conocimiento de ello. Con la modificación podrá ser perseguido de oficio quien produzca, reproduzca, introduzca al país, almacene, transporte, distribuya venda o arriende copias de obras, fonogramas, videogramas o libros protegidos por derecho de autor, en forma dolosa, con el fin de especulación comercial y sin la autorización del titular de los derechos, según el artículo 424 de dicha ley. El software es protegido por la Ley Federal de Derecho de Autor, no por la de Propiedad Industrial, de acuerdo con Gilda González, directora adjunta de Servicios de Apoyo del Instituto Mexicano de la Propiedad Industrial. Por esa razón, el delito de venta de piratería de software también podría ser perseguido de oficio. 10
B:SECURE Mayo, 2010
La Cámara de Diputados aprobó reformas al Código Penal Federal y a la Ley de Propiedad Industrial, que permiten a las autoridades del país perseguir de oficio a quienes vendan o comercialicen, en vías o lugares públicos, mercancía pirata En materia de propiedad industrial, el artículo reformado permite perseguir de oficio al que venda a cualquier consumidor final en vías o en lugares públicos, en forma dolosa y con fin de especulación comercial, objetos que ostenten falsificaciones de marcas protegidas por la Ley de Propiedad Industrial. El dictamen no contempla lo mismo para quienes utilizan copias ilegales de software ni para quienes las venden o comparten por internet. El diputado Humberto Benítez Treviño, en su intervención a favor del dictamen, dijo que la industria de la recreación pierde $750 millones de dólares al año, de éstos se pierde un millón de dólares al día por concepto de impuestos, con los que se podrían crear centros recreativos, hospitales, escuelas y programas de desarrollo social. Por su parte, el diputado Arturo Zamora Jiménez citó cifras de la Cámara Americana de Comercio, según la cual la economía tuvo el año pasado una afectación de más de $964,000 millones de pesos. Asimismo, dijo que 8 de cada 10 personas compraron productos piratas el año pasado, y que 54% de los bienes que están en el comercio provienen de falsificaciones. Las penas con las que un vendedor pirata podrá ser castigado van de los dos a seis años de prisión y con multas de los $5,746 pesos a los $574,600 pesos. La iniciativa con proyecto de decreto fue presentada, aprobada y enviada a la Cámara de Senadores por los diputados desde abril de 2008. Fue un año más tarde cuando fue discutida y aprobada por los senadores, para enviar nuevamente a los diputados el expediente para su revisión. Casi un año después, a mediados de marzo de 2010, la Comisión de Justicia del Congreso sesionó sobre el dictamen para su presentación ante el pleno. ●
ACCESO EMPRESAS EN MÉXICO DEBERÁN INFORMAR SOBRE BRECHAS DE SEGURIDAD Por Efraín Ocampo
L
El Congreso de la Unión aprobó la Ley de Protección de Datos Personales en Posesión de los Particulares, que obligará a las personas físicas o morales privadas, que recaban, almacenan y utilizan datos personales, a informar a su titular cuando la seguridad que los protege sea vulnerada
a legislación pretende no solo proteger la información que obtienen de los individuos y usan las empresas, sino que revisa que éstas protejan los datos personales con medidas de seguridad administrativas, técnicas y físicas contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. La seguridad no será la misma para todo tipo de datos personales, sino que las empresas deberán tomar en cuenta la sensibilidad de los datos, el desarrollo tecnológico y el riesgo existente de que sean mal utilizados o no sean tratados, de acuerdo con el aviso de privacidad. De acuerdo con la Ley de Protección de Datos Personales las empresas deberán informar al titular en caso de sufrir una brecha de seguridad ya sea en la obtención, acceso, manejo, transferencia, disposición, divulgación o almacenamiento de los datos personales. Por su parte, los terceros que establezcan contratos con empresas responsables, solo deberán guardar la confidencialidad de los datos personales aún después de terminar la relación entre la empresa y el individuo. La normativa estipula que será la Secretaría de Economía la responsable de diseñar e instrumentar políticas, así como de coordinar la elaboración de estudios para el comercio electrónico. Otra atribución de la Secretaría será promover el desarrollo y uso de IT en materia de protección de datos personales. Dicha condición podría incluir recomendaciones con el fin de orientar sobre la adopción de estándares y mejores prácticas internacionales, de acuerdo con las observaciones de la Comisión de Gobernación de la Cámara. Los principales objetivos de la Ley son regular el tratamiento de la información personal y el derecho de su autodeterminación informativa, lo cual significa que cada individuo debería conocer y decidir qué puede darse a conocer sobre él.
“Toda persona tendrá el poder de decidir y controlar si un tercero puede transmitir o utilizar sus datos, que van desde el teléfono o domicilio, hasta su religión”, concluyó la Comisión de Gobernación de acuerdo con las modificaciones efectuadas a la iniciativa. Según la ley, los sujetos que ésta regulará son las personas físicas o morales que manipulen todo tipo de datos personales. Quedaron exceptuadas de su cumplimiento las personas que recaban y almacenan datos personales para su uso exclusivo, sin fines de divulgación o utilización comercial. La Ley prohíbe recabar o conservar datos mediante engaños o fraude, lo cual impediría al individuo conocer los términos y condiciones del tratamiento de su información personal. Además de las penas que la Ley impone, como cinco años de cárcel para quien recabe datos con engaños, el Instituto Federal de Acceso a al Información y Protección de Datos (IFAI), podrá sancionar económicamente a sus transgresores. Por ejemplo, deberá pagar de 200,000 a 320,000 días de multa, o $18 millones de pesos, a quien no guarde la confidencialidad de los datos personales. También establece que el tratamiento de los datos personales está sujeto al consentimiento de su titular y que una vez que acepte los términos de privacidad y no manifieste oposición, estará de acuerdo tácitamente en cómo vaya a ser utilizada su información. La excepción a lo anterior la tienen los datos financieros o patrimoniales, los cuales requerirán el consentimiento expreso del titular, salvo cuando aparezcan en fuentes de acceso público o que exista una situación de emergencia que dañe a un individuo en su persona o bienes, entre otras excepciones. Además, se reconoce el derecho de los titulares de los datos de tener acceso a su información, pedir la corrección, rectificación y cancelación. ● Mayo, 2010 B:SECURE
11
NETMEDIA EVENTS ROMPE RÉCORD EN TAQUILLAS
Por séptima ocasión el b:Secure Conference Ciudad de México logró reunir a los profesionales, expertos y empresas más importantes de la industria de seguridad IT. En un evento de dos días que abordó los temas más apremiantes para la continuidad de los negocios.
Panel de tendencias
N
o era el entrega de los Óscares, ni los Arieles, ni el Oso de Plata, pero Netmedia y b:Secure lograron reunir a los actores, actrices , directores y productores más importantes en la industria de la seguridad IT en México, en la 7º edición del b:Secure Conference Hollywood Meets Technology, en la Ciudad de México. A lo largo de dos días de actividades y con más de 20 sesiones informativas entre conferencias magistrales y paneles de debate, los más de 260 asistentes al evento lograron conocer, discutir y analizar los temas más apremiantes en ciberseguridad y continuidad de negocios que los CIO y CISO enfrentan dentro de los ambientes empresariales de México. Los temas de este año abordaron desde los retos de privacidad y seguridad ante fenómenos como el Cómputo en la Nube, los dispositivos móviles inteligentes y las redes sociales, hasta el saber cómo lidiar con los temas de fuga y robo de información, la seguridad física y las certificaciones. El tema central a lo largo del evento fue la urgencia de las empresas y CISO por transformar sus estrategias de seguridad y protección de información, ante los nuevos escenarios de comunicación, el crecimiento de internet y, sobre todo, ante el cambiante escenario del cibercrimen en el mundo. NO A LAS ESTRATEGIAS DE SEGURIDAD ESTÁTICAS
Ante los avances en la industria del cibercrimen, pero también con el creci-
miento de un planeta sin fronteras digitales entre usuarios, negocios y gobiernos, los responsables de seguridad deben evolucionar y dejar de pensar y operar como simples policías o guardianes de los datos, aseguró Gilberto Vicente, business development manager, Security and Mobility de Cisco. “Las empresas han evolucionado. Ya no sólo se trata de tecnología, gente y procesos. Hoy los CISO y las áreas de seguridad enfrentan retos primordiales, como la evolución en sus sistemas de detección y prevención ante escenarios más adversos. Además, necesitan aprender a cómo proteger una mayor cantidad de información a un menor precio; y definri cómo sus empresas pueden ver a la seguridad como una habilitador de negocios”, apuntó Vicente. Para ello, dijo, existen factores o elementos que pueden transformarse en habilitadores para dar valor al tema de ciberseguridad o, por el contrario, se pueden convertir en barreras para su crecimiento. Tales como la industrialización de IT, la expansión de los dispositivos móviles y el crecimiento de los servicios en la nube. “Los riesgos seguirán evolucionando y no dejarán de ser un problema, constante y alarmante, para las empresas. Hay que entender que muchas veces somos nosotros los que fallamos en proteger la información del negocio, porque no nos damos tiempo para entender cómo funcionan todos los procesos y ambientes de la empresa”, subrayó. Alejandro Loza de Symantec
Gilberto Vicente de Cisco 12
B:SECURE Mayo, 2010
Pavel Orozco de Websense
Carlos Chalico de Ernst&Young
Francisco Arguelles de CA
En ese sentido, Ricardo Lira, gerente senior de Ernst & Young afirmó en su intervención durante el b:Secure Conference 2010, que las empresas están lejos del estado ideal de la seguridad, sin recursos suficientes, sin gente bien capacitada y sin el patrocinio de la dirección general. Por ello, recomendó que revisen su gestión tanto táctica como estratégica y comiencen por aplicar los estándares básicos mínimos de seguridad. “No necesitamos comprar nada para llevar a cabo estos estándares mínimos, sería como pagarle al dentista para que nos diga que tenemos que lavarnos los dientes tres veces al día. Pero nos hemos dado cuenta, a través de pruebas de penetración, que muchas empresas no los aplican”, informó Lira de Ernst & Young. Por su parte, Martín Hoz, gerente de ingeniería para Latinoamérica de Fortinet mencionó que, además de estándares mínimos, los CISO pueden apalancar una estrategia de seguridad efectiva, mediante la alianza con socios estratégicos que entreguen flexibilidad y eficiencia a la compañía. “No se trata de tener un monopolio dentro de la seguridad en la red de la empresa. El objetivo es disminuir el número de proveedores que intervienen en sus procesos de operación. Sin embargo, es vital que ese socio estratégico cuente con una oferta de soluciones completa, flexible y eficiente, y que se adecue completamente a las necesidades específicas de la empresa en cuestión”, aclara Hoz de Fortinet. A pesar de ello, Héctor Acevedo Juárez, Gerente de Soluciones de Servicios en Scitum enfatizó que las compañías no deben olvidar que “la seguridad no es un producto, es una estrategia, así que el socio de negocio que apoye en seguridad debe ser un estratega, no un simple fabricante de soluciones”. LA TORMENTA PERFECTA: CRIMINALES ORGANIZADOS Y USUARIOS INCONSCIENTES
Pero los retos para los CISO en materia de seguridad IT, no girarán en torno únicamente a procesos, estándares y adquisición de tecnología. Hoy, más que nunca lo expertos concordaron que el cibercrimen es una realidad ineludible para todo tipo de empresa, y que la falta de concientización en los usuarios sólo complica la magnitud del problema en el robo de información o fuga de datos. “Actualmente estamos en ciberguerra, los buenos sitios web ahora son malos, los criminales están organizados y los usuarios son el eslabón más débil en todos los ataques”, dijo Daniel Molina, gerente de Field Marketing para Kaspersky. Según Molina de Kaspersky, los ataques cibernéticos y los códigos maliciosos crecen de forma exponencial cada año, las amenazas son cada vez más persistentes, avanzadas. Para México, este escenario es aún más complicado, pues la falta de cultura en las empresas y usuarios, y los fuertes porcentajes en el uso de programas apócrifos (piratas) hacen del país “un trampolín” para que los hackers, en busca de datos, ataquen Pequeñas y Medianas empresas, escuelas o usuarios para ganar dinero. El cibercrimen es una industria que genera ganancias por arriba de los miles de millones de dólares, y la masificación en la creación y propagación de los códigos maliciosos y ciberataques, únicamente acrecentará este dina-
Héctor Acevedo de Scitum
mismo de negocio clandestino, compartió Mike Dausin, investigador en seguridad de Tipping Point. “Hay mucho dinero en el mercado del cibercrimen, existe un enorme crecimiento del malware y cada vez es más fácil comprar o armar robos y fraudes electrónicos. Y, a medida que más personas entren al mundo digital y al Web, el número de mafias en Internet también crecerá”, apuntó Duasin de Tipping Point. EN EL BOLSILLO O EN LA NUBE, LOS RETOS SON LOS MISMOS
El auge de fenómenos como el Cloud Computing y los teléfonos móviles no estuvo ausente durante el evento. Los temas de privacidad de datos o la manera de proteger información, que ha dejado de existir dentro perímetros o infraestructuras establecidas, se colocaron como una de las principales preocupación de los asistente al b:Secure Conference. Sin embargo, los expertos concordaron que, sin importar el sistema, servicio o dispositivo que contenga los datos, las compañías deben enfocarse en entender dónde y quién tiene acceso a su información más sensible, dijo Alejandro Loza, especialista en protección de información y cumplimiento normativo de Symantec. “Los problemas de la fugas de datos pueden provenir de muchas secciones o áreas del negocio, sea por el Web, el correo electrónico, los dispositivos portátiles o los errores humanos. Lo importante, no es el espacio de riesgo, sino la manera en que comenzamos a cerrar esas ventanas de fuga, mediante la integración de procesos y tecnología”, dijo Loza de Symantec. Y si bien, el fenómeno del cómputo en la nube, suena muy atractivo para las organizaciones en materia de costos de operación, Zamantha Anguiano, gerente de canales de RSA México subrayó que las compañías no están considerando la implementación y cuidado de la seguridad en sus datos alrededor de este fenómeno. “Es necesario enfatizar que cualquiera puede entrar a la nube, es información móvil, y no sabemos bien a bien dónde está. Todo integra una infraestructura de riesgo en el Cloud Computing; hay que monitorear por dónde pasa toda esa información, para entonces colocar los controles adecuados”, dijo Anguiano de RSA. Aún así, Pável Orozco, ingeniero senior de Websense para México, Centro América y el Caribe reconoció que es imposible y riesgoso negarle a las empresas el uso de las herramientas de Web 2.0, entre ellas el Cómputo en la nube y las redes sociales, pues podría impactar en la productividad y eficiencia de la compañía para alcanzar nuevos públicos, aunados a los ya existentes. Sin embargo, un uso indiscriminado o sin control de estas plataformas o servicios, también representa un riesgo para la información de las organizaciones, primordialmente, porque los cibercriminales roban datos, que ahora residen tanto afuera como adentro de una infraestructura. “Los empleados necesitan tener acceso a redes sociales. Pero para evitar que nuestra red sea vulnerada o existan fugas de datos necesitamos protección en tiempo real, porque el contenido de estas plataformas cambia en cuestión de minutos, a veces segundos. Y la realidad es, que ya no podemos negar que una campaña a través de Twitter o Facebook es más efectiva que cualquier otro medio”, dijo Orozco. ● Mayo, 2010 B:SECURE
13
REPORTE
DEL MES
HASTA LOS MÁS NEÓFITOS EN TECNOLOGÍA YA SON CIBERCRIMINALES Symantec publicó la XV edición de su Internet Security Threat Report (ISTR), la tendencia para los próximos años es clara: a medida que la tecnología se expande desarrollar ciberataques avanzados únicamente requerirá de dinero, no de conocimientos informáticos. El mundo del cibercrimen está cambiando. En los últimos 12 meses los cibercriminales más avanzados han aprendido a discernir entre sus blancos de ataque y el valor de la información que roban. Hoy, no se trata de cantidad sino de calidad de datos, de acuerdo con lo publicado en la XV edición del Security Threat Report (ISTR) de Symantec.
“Los ataques informáticos a empresas ocurren desde hace varios años ya. Sin embargo, en 2009 analizamos una gran cantidad de ciberataques de gran escala y mucho más dirigidos”, subraya el texto de Symantec.
Sin embargo, para otra gran mayoría de “novatos”, la facilidad para comprar malware en los espacios clandestinos de internet ha permitido que hasta el delincuente más “neófito” en tecnología pueda convertirse en un cibercriminal, capaz de comprometer millones de identidades o hurtas cientos de miles de datos.
En ese sentido, Kevin Haley, director de Symantec Security Response en plática con b:Secure afirmó, que en los próximos años veremos una tendencia clara de los criminales para desarrollar Amenazas Avanzadas y Precisas (APT, por sus siglas en inglés), las cuales tienen por objetivo robar datos de blancos específicos, como lo fue el caso Google contra China, mejor conocido como Operación Aurora.
No por nada, durante 2009, 60% del total de las fugas de información o brechas en la seguridad de las organizaciones fueron reflejo de ciberataques o intentos de hackeo. Un crecimiento de casi 300%, al compararse con los datos del 2008, citan los autores del texto.
“Los APT son ataques muy particulares porque no son ruidosos, sino que tratan de estar en el sistema durante mucho tiempo, y esperan a que les llegue la información más precisa y las que más valor tiene para ellos. Periodos en los que la mayoría de las empresas ni siquiera saben que están infectadas”, dice Haley.
En mediosde la crisis económica, el sector financiero fue uno de los más afectados por el cibercrimen, al acaparar 60% de todos los casos de identidades comprometidas durante 2009, dos veces más que los reportada en 2008, cuando este sector presentó 29% de los casos de identidades o información comprometida.
LA CIBERSAMBA BRASILEÑA
Mientras que el sector Educativo acaparó el mayor porcentaje de fugas de información, que potencialmente derivaran en casos de robo de identidades con 20%, una ligera disminución si se compara con los 27 puntos porcentuales que registró este sector en 2008.
El país Latinoamericano generó 6% de toda la actividad maliciosa en el mundo. Además, Brasil se colocó como el principal país en generación de spam, el quinto lugar con el mayor número de códigos maliciosos, el tercero en presencia de redes bot y el sexto en generación u origen de los ciberataques.
Los más malosos y afectados del mundo Ranking de los cinco países con mayor porcentaje de actividad maliciosa en Internet PAÍS
Porcentaje de actividad maliciosa en el Web
El reporte ISTR XV subraya que, por primera vez en seis años, un país, fuera de Estados Unidos, Rusia, China o Alemania terminó dentro de las primeras tres posiciones de las naciones más afectadas por el cibercrimen; Brasil.
Por su parte, Estados Unidos se mantiene como el país con el mayor porcentaje de actividad maliciosa en internet del mundo, al generar 19% de ella. Los estadunidenses también terminaron en primer lugar en presencia de códigos maliciosos, ataques de phishing, redes bot y generación u origen de los ciberataques.
2008
2009
Estados Unidos
23%
19%
China
9%
8%
Brasil
4%
6%
Alemania
6%
4%
CIBERCRIMEN PARA NEÓFITOS
India
3%
4%
Los expertos del reporte concordaron que el crecimiento del cibercrimen, alrededor de todo el mundo, no es reflejo de que haya más expertos informáticos desarrollando software
14 B:SECURE Mayo, 2010
“No sólo Brasil se movió al número tres y desbancó a Alemania de su posición, sino que fue el único país que presentó crecimientos en todas las categorías que analizamos. Esto demuestra que el cibercrimen en mercados emergentes realmente es un negocio”, afirmó Haley.
La subasta de tu ser virtual El valor de la venta de información ilegal en internet Bien o producto
Rango de precios
Información de tarjetas de crédito
Entre $0.85 centavos de dólares a $30 dólares
Credenciales de cuentas bancarias
Entre $15 y $850 dólares
Cuentas de correos electrónicos
Entre $1 y $20 dólares
Direcciones de correos electrónicos
Entre $1.70 dólares por MB hasta $15 dólares por MB
Identidades completas
Entre $70 centavos de dólares hasta $20 dólares
malicioso, sino que responde a la facilidad que tienen los criminales para vender “kits” de malware, en algunos casos en menos $9,000 pesos. El caso más concreto del 2009 fue el troyano-botnet Zeus, del cual los expertos de Symantec detectaron más 90,000 variantes únicas distribuidas en toda la red a un precio inicial de los $700 dólares. De hecho, la compañía estima que 57% de todos los ciberataques a usuarios el año pasado fueron generados por cibercriminales simples, no profesionales ni organizados. Y si bien, el número de ataques de phishing y botnets detectados por día cayó en 2009 contra 2008. La compañía registró más de 46,540 nuevas bot todos los días, 28% menos que en 2008. El reporte estima, que a la fecha hay más de 6.7 millones de PC zombis o bot en todo el mundo.
“Lo kits de malware facilitan que cualquiera pueda ejecutar un ciberataque sin tener conocimiento alguno de informática. Un reflejo claro de este fenómeno es que en 2007 desarrollamos cerca de 700,000 firmas, para 2008 fueron más de 1.6 millones y en 2009 creamos casi tres millones de firmas”, dijo Ramzan. Según datos del ISTR XV, 50% de todo el malware creado, desde hace que Symantec comenzó a realizar el reprorte, se creó en 2009. “En algunos casos si estamos peor que los años pasados. El reporte no es una definición pura de lo que es el cibercrimen, pero 2009 sí fue un año muy complicado por la crisis económica. Sin embargo, ya por fin comenzamos a ver arrestos y colaboración entre autoridades, las razones las pueden criticar, pero lo importante es que existen”, dijo Haley.
Esta realidad, compartió Zulfikar Ramzan, director técnico de Symantec Security Response, complica la posibilidad de proteger a los usuarios y empresas basados en sistemas de firmas.
El texto de 92 páginas está disponible en el sitio web de la compañía. Para su desarrollo Symantec recopiló información de más de 240,000 sensores en 200 países, 133 millones de clientes y alrededor de 8,000 millones de mensajes electrónicos de cada rincón del orbe. ●
A Hackear se ha dicho
Falla el cuidado de los datos
Motivos detrás de las identidades comprometidas en 2009
Motivos detrás de las fugas de información
Internos 1% Fraude 1% Robo o pérdida de datos 4%
Otros 1%
Otros 12% Robo o pérdida de datos 37%
Hackeo o ciberataques 60%
Internos 9%
Hackeo o ciberataques Fallas en las políticas de seguridad 35%
15%
Fallas en las políticas de seguridad 26%
Mayo, 2010 B:SECURE 15
CIBER
16 B:SECURE
Mayo, 2010
PROYECTO
RCRIMEN 2010-2020 En el arranque de la segunda d茅cada del siglo XXI dos realidades son claras para la humanidad. Uno, el internet ya comenz贸 a consolidarse como el pilar central de las sociedades modernas. Dos, la viabilidad de esa infraestructura pende de un hilo a consecuencia de su mayor enemigo, el cibercrimen
Por Carlos Fern谩ndez de Lara carlos@netmedia.info Ilustraci贸n Pablo Rozenberg
Mayo, 2010 B:SECURE 17
C
omenzó como un simple juego de niños. Una forma que los amantes de la informática y los sistemas de cómputo tenían para demostrar sus conocimientos en la materia. Mientras más complicada era la tarea, mayor era orgullo por la victoria. Sin embargo, nunca nadie imaginó, que aquellos primeros hackers, serían el inicio del principal problema, que gobiernos, empresas y usuarios enfrentan actualmente dentro de un mundo, cada día más interconectado a través del web: el cibercrimen. Así, 30 años después de Creeper, el primer virus digital de la historia, los virus informáticos pasaron de ser simples programas que molestaban o impactaban las computadoras de los usuarios, a software malicioso indetectable, inteligente, de bajo perfil y en ocasiones capaces de mutar o cambiar en cuestión de horas. Cifras de Symantec demuestran que el desarrollo de programas maliciosos ha dejado de ser un simple juego de habilidades y orgullos, pues tan sólo en los últimos ocho años la compañía ha detectado más de 5, 690,411 códigos maliciosos en la red, 50% de estos registrados en 2009. Así, el malware se ha convertido en un producto más de la globalización. Se crea, vende y distribuye por todo el planeta, con el único objetivo de generar y amasar grandes cantidades de capital, a través del robo o venta de información. Su éxito, le ha permitido crear una industria clandestina, que de acuerdo a diversos expertos, tiene un valor potencial por arriba de
los $8,000 millones de dólares y repercute en pérdidas anuales, tan sólo en Estados Unidos, por arriba del billón de dólares. “Lo que no estamos entendiendo es que el crimen en internet no se trata de un problema de pandillas. Estamos hablando de una industria, que sabe dónde está el dinero y que tiene ganancias multimillonarias. Sin duda, en los próximos años veremos una evolución importante en el mundo del cibercrimen en busca de expandir su presencia y sus ganancias”, explica Ricardo Lira, gerente senior de la práctica de Asesoría en Seguridad de IT de Ernst & Young. Como resultado, esta industria se ha transformado de simples células cibercriminales a “sindicatos multinacionales del crimen en el web”. Con procesos escalables, trabajo en conjunto y, en algunos casos, incluso con patrocinios de los gobiernos, explica Daniel Molina, gerente de Field Marketing para las Américas de Kaspersky. “El mundo cambió en la última década, y en la era de las economías digitales a ningún criminal le importa o pesa robar dinero en papel moneda. Para qué arriesgarse a asaltar una sucursal de un banco, cuando pueden desestabilizar su sistema o infraestructura tecnológica para hurtar dinero virtual”, afirma Molina de Kaspersky. De modo que, cuando el dinero dejó de estar respaldado en metales, como el oro, y la economía de la humanidad obtuvo su valor de los unos y ceros de un código binario, fue el instante en el que delinquir y robar información en internet alcanzó una razón verdaderamente atractiva, comparte Molina de Kaspersky. “Actualmente existe robo de información y ciberataques en todo
CIBERCRIMEN S.A. DE C.V. Una serie de expertos informáticos (hackers o crackers) se dedican al desarrollo de códigos maliciosos, la búsqueda de vulnerabilidades o la creación de ataques de ingeniería social para el robo de información.
Miembros de la organización criminal toman el malware o ataques desarrollados por los expertos y eligen sus blancos de ataques, masivos o selectivos, para el robo de información.
Con la información sustraída, generalmente datos financieros, números de tarjetas de crédito, identidades personales o de propiedad intelectual, la organización delictiva busca compradores en el mercado negro del web.
A través de redes bot, decenas de miles de computadoras comprometidas y controladas remotamente, la organización cibercriminal se dedica a la distribución de su código malicioso en todo el orbe.
Para limpiar sus huellas, los cibercriminales contratan cibermulas (usuarios, que se dedican a depositar el dinero de la venta de datos robados, en diversas cuentas bancarias para lavarlo). La mayor parte del tiempo, lo hacen sin saber que trabajan para un red criminal en internet.
AS O JET TAR RÉDIT C DE
ES
AD TID
DE ES BAS OS DAT
N
IDE
Además de usar el malware creado para beneficio de la organización, los cibercriminales también venden los programas en forma de kits o paquetes para usarse “out of the box”.
18 B:SECURE
Mayo, 2010
Estos kits de malware pueden encontrarse por menos de $700 dólares en el mercado clandestino de internet. Esta situación convierte prácticamente a cualquier neófito en tecnología en un cibercriminal potencial.
Una vez con el paquete de malware, el o los cibercriminales “neófitos” tienen la opción de “alquilar” los servicios de distribución de una botnet, a fin de propagar su código maliciosos a la mayor cantidad de internautas posible.
Este tipo de atacantes obtienen sus ingresos mayoritariamente del uso o robo de dinero de cuentas bancarias, tarjetas de crédito o servicios de compras en línea. Comúnmente no utilizan los servicios de las cibermulas, pero no están exentos de hacerlo.
Symantec estiman que el valor potencial, de todos los datos robados y puestos a la venta en los mercados negros de internet rebasa los $5.3 mil millones de dólares. Más aun, expertos en ciberseguridad, como Joseph Menn dicen que los ciudadanos y empresas estadunidenses pierden en promedio un billón de dólares al año ante los cibercriminales. Un negocio sin duda rentable en todo el mundo.
los niveles: empresas, gobiernos y ciudadanos. Reflejo de que la delincuencia organizada, por fin, vio valor en el tema informático y está capitalizando la falta de reacción de estos tres niveles”, dice Lira de Ernst & Young. Empresas como Imperva incluso han bautizado está nueva era de robo en el web, como la “Industrialización del Hackeo”: Así, similar a lo que sucedió durante el siglo XIX con la Revolución Industrial, que aceleró y desarrolló los métodos para pasar del ensamblado simple a la producción en masa, la industria actual del cibercrimen ha sufrido una transformación similar en busca de su automatización, escalabilidad y rentabilidad. El resultado es una nueva ola de cibercriminales, ignorantes de los temas de informática, pero capaces de comprar “kits” de malware prefabricados y listos para usarse, al momento de abrir o instalar el programa y, a precios por debajo de los 700 dólares. En el último Internet Security Threat Report (ISTR), Symantec subraya que en 2009, Zeus, el troyano-botnet, registró más de 90,000 variantes, distribuidas en internet, a un precio no mayor a los 9,000 pesos mexicanos. La misma compañía estima que 57% de todos los ciberataques a usuarios del año pasado fueron generados por cibercriminales simples, no profesionales ni delincuentes organizados. LA WEB 3.0, EL BLANCO PERFECTO
Esta facilidad para armar y ejecutar ciberataques coloca a países emergentes, como los de Latinoamérica, como blancos fáciles de robo de información, pero también como hogar potencial de nuevos cibercriminales a lo largo de los próximos años. “El tema que tiene que estar en la agenda de todos, porque no hay país que esté exento al impacto del cibercrimen. Creo que la acelerada transformación de la industria del crimen nos ha hecho reaccionar, no estamos en pañales, pero todavía nos falta mucho por hacer”, subraya Colin Lawrie, director de ventas de BitDefender. Y conforme la tecnología, particularmente el internet, evolucionan los cibercriminales también lo harán. Molina y Lira afirman que ante la posible llegada del Web 3.0, mejor conocida como la web semántica o la red inteligente, podrían aparecer una nueva ola de ciberataques, mucho más dirigidos, precisos e infalibles. “La Web 3.0 promete ser un internet que entiende quién eres, cuáles son tus gustos, preferencias y necesidades, en pocas palabras, se trata de una red con inteligencia propia. Ahora, imagina esos datos o capacidad en manos de organizaciones cibercriminales, capaces de armar demografías y listados específicos de sus blancos de ataques, clasificados por sector socioeconómico, tipo y valor de la información que manejas”, vislumbra Molina de Kaspersky. Así, el crecimiento de servicios como las redes sociales, con un alto contenido de datos personales de empresas, usuarios y gobiernos, la llegada de fenómenos como el Cómputo en la nube y la falta de mecanismo adecuados para mantener la privacidad y protección de la información representan minas de oros para las organizaciones criminales de la siguiente década.
“Hoy, con el crecimiento de las redes sociales o el cómputo en la nube, las empresa y usuarios entrega información sin conciencia ni responsabilidad de que esos datos pueden y son usados en nuestra contra para engañarnos o afectarnos económicamente”, subraya Lira de Ernst & Young. Y si bien, los expertos concuerdan en que es imposible definir con claridad cuáles serán los nuevos tipos de códigos maliciosos que rondarán la red en la próxima década, confirman en que sus herramientas de ataques sí serán mucha más sofisticadas e inteligentes. “La información resguarda en un perímetro, servidor o computadora se acabó. En los próximos años los criminales desarrollarán herramientas para vulnerar dispositivos móviles, nuevos equipos conectados a la red o servicios en la nube”, comparte Marco Hernández gerente de Security Practice de Getronics México. Hernández agrega, que antes de combatir y desarrollar tecnología para enfrentar a los nuevos códigos maliciosos, es vital entender los motivos y objetivos que incitan a los cibercriminales a rompe y vulnerar la integridad, disponibilidad y confidencialidad de los datos. TOKENS CEREBRALES
Aunque suene a trama de película de ciencia ficción, investigadores como Tadayoshi Kohno y Tamara Denning, del departamento de ciencias e ingeniería de la Universidad de Washington (UW) han planteado un posible futuro de vivir en una sociedad altamente tecnificada e interconectada: la posibilidad de que la siguiente plataforma o blanco de ataque de los cibercriminales no sean dispositivos móviles, redes sociales o nubes web, sino nuestra mente y cuerpo. Así, frente a la evolución de los dispositivos médicos, como marcapasos, prótesis robóticas, o aparatos neurálgicos avanzados (algunos de ellos ya con capacidades inalámbricas o de conectividad a redes), los cibercriminales podrían comenzar a buscar vulnerabilidades dentro de estos sistemas electrónicos para cuasar daño, manipular o obtener información del cuerpo y la mente de manera remota, explica Denning en entrevista con b:Secure desde Washington, Estados Unidos. En los próximos años, dice la experta de la UW, aparecerán dispositivos médicos con un alto grado de tecnología. Muchos de ellos con el potencial de mejorar nuestra calidad de vida dramáticamente. Sin embargo, hasta el momento nadie está contemplando procesos de seguridad o protección al momento de desarrollar estos equipos y alrededor de su uso. No hacerlo tiene implicaciones a futuro muy peligrosas. Un cambio que es aún mucho más peligroso frente a equipos neurálgicos de última generación capaces de interpretar señales o impulsos cerebrales en datos o información, utilizados comúnmente en prótesis robóticas o aparatos para problemas del cerebro. Sea ciencia ficción o realidad lejana, es posible que, ante una humanidad dependiente de la tecnología, la ciberseguridad tarde o temprano deje de resguardar únicamente aquellos datos que existen dentro de redes, computadoras o dispositivos móviles, y comience a contemplar la necesidad de proteger neuronas, nervios e impulsos cerebrales, que conforman los bits y bytes de nuestra memoria. ●
Mayo, 2010 B:SECURE 19
for
BUSINESS PEOPLE
LA FUNCIÓN DE Por Adrián Palma Segunda de cuatro partes
P
ara crear una adecuada función de seguridad de la información es fundamental conocer las expectativas de la organización en materia de seguridad, para tener perfectamente claro cual es el propósito de dicha función y que es lo que realmente puede esperar la alta dirección. Ya que hoy día en la mayoría de las organizaciones esta función prácticamente no cumple con las necesidades reales de seguridad debido a que el área de seguridad está a un nivel operativo, con una perspectiva de IT, mas no con una perspectiva organizacional, y ni hablar de las organizaciones que ni siquiera tienen dicha función. En este proceso es necesario entender de manera muy clara los drivers del negocio o de la organización, tanto internos como externos, para crear un programa de seguridad que sustente a la función de seguridad de la información de la organización, así el programa puede ser construido sobre una estructura sólida que cumple con factores esenciales que influyen sobre la organización. En la mayoría de las organizaciones, este proceso no es llevado a cabo de una manera formal y estructurada. La realidad es que, por diversas circunstancias, el área de seguridad es creada de una manera empírica e informal para cumplir en mayor medida con marcos regulatorios y normativos. Aunado a esto se da la responsabilidad de dicha función a personal sin los conocimientos, habilidades y experiencia en materia de seguridad, además de que dicho personal cuenta con un limitado apoyo en todos sentidos (de presupuesto, de posición organizacional, de capacitación etc.). A continuación algunos componentes para tener éxito en la implementación de un programa de seguridad: UÊ >L `>`iÃÊ À Ì V>Ã UÊ >L `>`iÃÊ`iÊÛi Ì> Mucha gente ve la seguridad como un centro de costos, como un mal necesario, como la piedrita en el zapato, no como una función que me de beneficios. Esta percepción casi automáticamente coloca a la función de seguridad en una posición nada envidiable de tener que constantemente vender las ventajas y beneficios del programa de seguridad. Vender y hacer marketing de las iniciativas e ideas asociadas con el programa de seguridad de la información es uno de los factores críticos de éxito para su implementación, ya que se requiere tener las habilidades para poder vender dicho programa a gente del negocio. Dicho en otras palabras: se tiene que tener una visión organizacional además del conocimiento técnico de la seguridad. Otra problemática, en este sentido, es que los controles de seguridad de la información son vistos muchas veces como algo que va a tener un impacto negativo o adverso en la operación y cultura de la organización, una percepción de que se tiene que pagar un alto precio operativo, administrativo, y muchas veces se ven como un obstáculo para cumplir con los objetivos de las distintas áreas de una empresa. Debido a que esos controles reflejan Segunda de 2no partes 20 B:SECURE
Mayo, 2010
¿EL PRIMER
tangiblemente un beneficio en cuestiones económicas, se hace doblemente difícil la venta del programa de seguridad de la información. Como resultado de esto se necesitará ser capaz de hacer una venta y para mostrar la habilitación de nuevas oportunidades de negocio o reducir el riesgo de la organización a un nivel aceptable.
HABILITANDO NUEVAS OPORTUNIDADES DEL NEGOCIO Esto, puede ser mejor explicado a través de un ejemplo rápido. Con la ventaja de Internet, muchas compañías están intentando manejar soluciones de negocio vía Web. Como resultado, ellos están implementando sistemas que están procesando datos sensitivos bajo internet y pronto sobre el Web 2.0, con tendencias como el Cloud Computing. Esto presenta un nuevo giro en un viejo tema, sobre cómo hacer que los clientes tengan la plena confianza en su proveedor si así fuera el caso. Puesto que existen muchas amenazas asociadas a hacer negocios en internet, un modo significativo para ayudar a vender el programa de seguridad de la información es mostrar cómo la implementación de controles, derivados de un análisis de riesgos, puede directamente incrementar la confianza de los clientes. Esto se debe redondear con cuestiones de marketing hacia el exterior como pudiera ser una certificación de algún estándar de la industria como el ISO 27001.
REDUCIENDO EL RIESGO DEL NEGOCIO U ORGANIZACIÓN Otra forma de mostrar el valor del programa de seguridad de la información es mostrar una reducción en el riesgo total del negocio. En un sentido, este método es similar a vender seguridad, pues estamos tratando de vender los beneficios de un programa para minimizar el impacto de un evento imprevisto en materia de seguridad para la organización. Algunos puntos importantes para reducir el riesgo de la organización son los siguientes: UÊ / >ÀÊi ÊÌ i « Ê«>À>Ê>«Ài `iÀÊ>ViÀV>Ê`iÊ >ÃÊ iVià `>`iÃÊÞÊÌi >ÃÊʵÕiÊ icesita la organización en materia de seguridad. UÊ ÃVÕV iÊ >VÌ Û> i ÌiÊ >Ê ÃÊ `Õi ÃÊ `iÊ ÃÊ `>Ì Ã]Ê VÕÃÌ ` ÃÊ ÞÊ ÕÃÕ>À Ã°Ê Mantenga una mente abierta y no tratemos de proyectar nuestras ideas en necesidades de dueños custodios y usuarios. UÊ `i Ì v V>ÀÊ >ÊV>ÕÃ>ÊÀ> âÊ`i Ê«À L i >ʵÕiÊ ÃÊ`Õi ÃÊVÕÃÌ ` ÃÊÞÊÕÃÕ>À ÃÊ están tratando de comunicar, no solo los síntomas. UÊ `iÃ>ÀÀ >ÀÊà ÕV iÃÊV Ê ÃÊ`Õi Ã]ÊVÕÃÌ ` ÃÊÞÊÕÃÕ>À ÃʵÕiÊ> bos puedan apoyar. UÊ «ÀiÃi ÌiÊà ÕV iÃÊ«>À>Ê>` ÃÌÀ>À >ÃÊÞÊ «iÀ>À >ÃÊ`iÊ >Ê > iÀ>Ê >ÃÊ simple y apropiada para el nivel de administración, cultura, educación y motivaciones políticas, de los dueños, custodios y usuarios. UÊ «> > V>ÀÊ ÃÊjÝ Ì ÃÊ`i ÌÀ Ê`iÊ >Ê À}> â>V Êi Ê >ÌiÀ >Ê`iÊÃi}ÕÀ `>`°Ê Hay que usarlos como referencia para otros proyectos relacionados con la seguridad. UÊ >ÞʵÕiÊÃiÀÊv iÝ L iÃ
SEGURIDAD
R PASO A SEGUIR? UÊ *À ÞiVÌ>ÀÊV v > â>°Ê·* `À > ÃÊ«iÀ Ì ÀÊ >Êi iVÕV Ê`iÊÕ >ÊV ÀÕ} >Êi Ê Ã ÌÀ ÃÊà Êi Ê«À Vi` i Ì Ê`iÊ >Ê «iÀ>V Ê«>ÀiV iÀ>Ê V iÀÌ ¶ UÊ Ê>` Û i ÃÊi Ê }Ö Ê i Ì °Ê >ÞʵÕiÊÀiV « >ÀÊÃÕv V i ÌiÊ v À >V Ê«>À>ÊÌ >ÀÊ`iV à iÃÊÞÊ ÊVi`iÀÊ>ÊV> L ÃÊ Ê> ÌiÀ>V ið Conocimiento crítico >ÃÊ?Ài>ÃÊ`iÊV V i Ì ÊVÀ Ì V ʵÕiÊ iVià Ì> ÃÊÃ Ê >ÃÊà }Õ i ÌiÃ\ UÊ Ìi ` i Ì Ê`i Ê i} V ÊÕÊ À}> â>V UÊ Ìi ` i Ì Ê`i ÊÀ iÃ} UÊ Ìi ` i Ì Ê`iÊ ÃÊ` viÀi V >` ÀiÃÊ À}> â>V > ià UÊ Ìi ` i Ì Ê`i Ê i` Ê> L i ÌiÊ i}> ÊÞÊÀi}Õ >Ì À UÊ Ìi ` i Ì Ê`iÊ >Ê` ? V>Ê À}> â>V > UÊ Ìi ` i Ì Ê`iÊ >ÊVÕ ÌÕÀ>Ê À}> â>V > UÊ Ìi ` i Ì Ê`iÊ >ÊÛ Ã ÊÌiV } V>Êi Ê >Ê À}> â>V ° Entendiendo del negocio u organización. · Ê }i iÀ>Ê >Ê À}> â>V Ê }ÀiÃ Ã¶Ê · Ý>VÌ> i ÌiÊ µÕjÊ «À `ÕVÌ ÃÊ Ê ÃiÀÛ V ÃÊ«À « ÀV >Ê >Ê À}> â>V ¶Ê·+Õ j iÃÊà ÊÃÕÃÊV i ÌiÃÊ ÊV ÃÕ ` ÀiÃÊ ?ÃÊ}À> `iöʷ >Ê À}> â>V ÊiÃÊÀi Ì>L i¶Ê- Ê ÊV Vi ÃÊ >ÃÊ ÀiëÕiÃÌ>ÃÊ>ÊiÃÌ?ÃÊ«Ài}Õ Ì>ÃÊi Ì ViÃÊiÃÌ> ÃÊi ÊÃiÀ ÃÊ«À L i >Ã]ÊÞ>ʵÕiÊ iÃÊ iViÃ>À ÊV ViÀÊiÃÌ>Ê v À >V Ê«>À>Ê`iÃ>ÀÀ >ÀÊÕ Ê«À }À> >Ê`iÊÃi}ÕÀ `>`]Ê LÛ > i ÌiÊL i Ê iV °Ê >ÊÀiV i `>V ÊiÃʵÕiÊ`iLi ÃÊV ViÀÊv Àâ Ã> i ÌiÊiÃÌ>Ê v À >V Ê`iÊ >Ê À}> â>V ° ÊV Ì Õ>V Ê> }Õ >ÃÊ«Ài}Õ Ì>ÃʵÕiÊ`iL jÀ> ÃÊ >ViÀÊ«>À>ÊV ViÀÊ v À >V ÊÊÞÊ«>À>Êi Ìi `iÀÊ> Ê i} V ÊÕÊ À}> â>V \ UÊ · Ê >ViÊ` iÀ Ê >Ê À}> â>V ¶ UÊ · >Ê À}> â>V ÊÌ i iÊ> }Ö ÊÃÕLà ` >À Ê Ê ÌiÀiÃiÃÊ À Ì>À ÃÊi Ê ÌÀ>ÃÊ V «> >Ã¶Ê Ê·iÃÊÃÕÊi «ÀiÃ>ÊÕ >ÊÃÕLà ` >À >Ê ÊÕ Ê ÌiÀjÃÊ À Ì>À Ê`iÊ ÌÀ>ÊV «> >¶ UÊ · Ê` `iÊ}>ÃÌ>Ê ?ÃÊ` iÀ Ê >Ê À}> â>V ÊÕÃÕ> i Ìi¶ UÊ · >Ê À}> â>V ÊÌ i iÊÕ Êv Õ Ê`iÊiviVÌ Û Ê« Ã Ì Û Ê`iÊÃÕÃÊ «iÀ>V iö UÊ · >Ê À}> â>V ÊÊiÃÊ«ÖL V>Ê Ê«À Û>`>¶ UÊ · Ê`iV `iÊ >Ê À}> â>V ʵÕjÊ«À `ÕVÌ ÃÊ ÊÃiÀÛ V ÃÊ`iLiÊ«À « ÀV >À¶ UÊ · Ý>VÌ> i ÌiʵÕjÊ«À `ÕVÌ ÃÊ ÊÃiÀÛ V ÃÊ«À « ÀV >Ê >Ê À}> â>V ¶ UÊ ·+Õ j iÃÊÃ Ê ÃÊV i ÌiÃÊ ÊV ÃÕ ` ÀiÃÊ ?ÃÊ « ÀÌ> ÌiÃÊ`iÊ >Ê À}> â>V ¶ Ê*>À>Êi Ìi `iÀÊV Ê « i i Ì>ÀÊ i ÀÊÕ Ê«À }À> >Ê`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V ]ʵÕiÊ> >`>Êi Ê >Þ ÀÊÛ> ÀÊ>Ê >Ê À}> â>V ]ÊÃiÊ iVià Ì>Êi Ìi `iÀÊi ÊÀ ʵÕiÊi Ê«À }À> >Ê`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V Ê Õ}>À?Êi Êi Ê
iõÕi >ÊÌ Ì> Ê`iÊ >Ê À}> â>V °Ê >Þ]ÊÕÃÕ> i Ìi]ÊÕ ÊV ÃÌ Êà } v V>Ì Û Ê> Ê « i i Ì>ÀÊÕ Ê«À }À> >Ê`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V ]ÊÞÊÃiÀÊV>«>âÊ`iÊ L> > Vi>ÀÊ >ÃÊ iVià `>`iÃÊ «iÀ>Ì Û>ÃÊ`iÊ >Ê À}> â>V ÊV Ê ÃÊÀ iÃ} ÃʵÕiÊ i vÀi Ì>Ê >Ê À}> â>V ÊiÃÊÕ Êv>VÌ ÀÊVÀ Ì V Ê`iÊjÝ Ì °Ê
ViÀÊ ÃÊ `À ÛiÀÃÊ`i ÊÊ«À }À> >Ê`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V ÊÞÊÃÕÊ Ài >V ÊV Ê >ÃÊ «iÀ>V iÃÊ`iÊ >Ê À}> â>V ÊÊiÃÊÕ Êv>VÌ ÀÊVÀ Ì V Ê`iÊjÝ Ì Êi Ê >Ê « i i Ì>V ÊiviVÌ Û>Ê`i Ê«À }À> >°Ê* ÀÊi i « ]Ê « i i Ì>ÀÊ ÕÞÊ« V ÃÊV ÌÀ iÃÊ`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V ]ÊVÕ> ` Ê >Ê À}> â>V ÊÊÀiµÕ iÀiÊ ÊV ÌÀ>À ]Ê«Õi`iÊ«À `ÕV ÀÊÕ Êà Êv Ê`iÊ«À L i >ÃÊ«>À>Ê >Ê V «> >°Ê ÃÌ ÃÊ«À L i >ÃÊ«Õi`i ÊÃiÀ\Êi Ê ÊVÕ « i Ì Ê`iÊ >ÀV ÃÊÀi}Õ >Ì À Ã]Ê Õ iÀ à ÃÊ > >â} ÃÊÞÊ LÃiÀÛ>V iÃÊ`iÊ>Õ` Ì À >]ÊÀ L ]Ê«jÀ` `>Ê ÞÊ` ÛÕ }>V ÊÊ`iÊ`>Ì Ã]Ê«jÀ` `>Ê`iÊ }Àià Ã]Ê`>Ì ÃÊ Ê Ìi}À Ã]ÊV ÃÌ ÃÊiÝViÃ Û Ã]Ê«jÀ` `>Ê`iÊÌ i « ]ÊÊ >L `>`Ê«>À>Ê >Ê«iÀÃiVÕV Ê`iÊ>Ì>V> ÌiÃ]ÊÞÊ iÝViÃ Û ÊÌ i « Ê`iÊV> `>Ê`iÊ >Ê vÀ>iÃÌÀÕVÌÕÀ>ÊÌiV } V>°Ê * ÀÊ ÌÀ Ê >` ]Ê « i i Ì>ÀÊ`i >à >` ÃÊV ÌÀ iÃʵÕiÊ ÊÀiµÕ iÀ>Ê >Ê À}> â>V Ê«Õi`iÊ>viVÌ>ÀÊ >Ê «iÀ>V Ê`iÊ >Êi «ÀiÃ>ÊÞÊÃÕÃÊÛi Ì> >ÃÊV «iÌ Ì Û>ÃʵÕiÊ ÃÊ`>Ê >ÊÌiV } >]ÊÞʵÕiÊÃiÊ`iÀ Û>À > Êi Ê >Ê«jÀ` `>Ê`iÊ }Àià Ã]Ê V ÃÌ ÃÊiÝViÃ Û Ã]Ê«jÀ` `>Ê`iÊÌ i « ]Ê«À Vià ÃÊÀi`Õ `> ÌiÃ]ÊÞÊ>viVÌ>ÀÊi ÊÀi ` i Ì Ê`iÊ ÃÊÕÃÕ>À Ã]Ê>`i ?ÃÊ`iÊ >ÊVÀi` L `>`Ê`iÊ >ÊÃi}ÕÀ `>`°Ê ÃÌ ÃÊ Ã Êà ÊÕ ÃÊVÕ> Ì ÃÊÀiÃÕ Ì>` ÃÊ i}>Ì Û ÃʵÕiÊ«Õi`i ÊÀiÃÕ Ì>ÀÊ`iÊÕ Ê«À }À> >Ê`iÊÃi}ÕÀ `>`Ê Ê> i>` Ê>Ê ÊµÕiÊÀiµÕ iÀiÊ >Ê À}> â>V ° `i ?ÃÊ`iÊi Ìi `iÀÊ >Ê v À >V Ê}i iÀ> Ê>ViÀV>Ê`iÊ >Ê «iÀ>V Ê`iÊ >Ê À}> â>V ]ÊÃiÊ`iLiÊÌi iÀÊÕ ÊV >À Êi Ìi ` i Ì Ê`i ÊÊ«À Vià Êv > V iÀ Ê ÌiÀ °Ê ÊV V i Ì Ê`i ÊV V Ê`i Ê«ÀiÃÕ«ÕiÃÌ Êv > V iÀ ÊÞÊi Ê«À ViÃ Ê `iÊ>«À L>V Ê`iÊ >Ê À}> â>V ÊiÃÊÕ Êv>VÌ ÀÊVÀ Ì V Ê`iÊjÝ Ì ]ʵÕiÊ «>VÌ>À?Ê ` ÀiVÌ> i ÌiÊi Ê >Ê >L `>`Ê«>À>Ê LÌi iÀÊ«ÀiÃÕ«ÕiÃÌ Ã]Ê«>À>Ê >ÃÊ V >Ì Û>ÃÊÊ ÞÊ«>À>ÊV ÃÌÀÕ ÀÊÞÊ« iÀÊi Ê >ÀV >Êi Ê«À }À> >Ê`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V Ê`iÊ >Ê À}> â>V ° ÊV Ì Õ>V ÊÃiÊ ÃÌ> Ê> }Õ >ÃÊ«Ài}Õ Ì>ÃʵÕiÊ`iLiÀ > ÃÊV ViÀÊ>ViÀV>Ê`iÊ >Ê À}> â>V ]ÊÊ«>À>ÊÊ « i i Ì>ÀÊi Ê«À }À> >Ê`iÊÃi}ÕÀ `>`Ê`iÊ >Ê v À >V \ UÊ · Ê`iV `iÊ >Ê À}> â>V Êi ʵÕjÊ«À ÞiVÌ ÃÊ ÌiÀ ÃÊ`iLiÀ >Ê ÛiÀÌ À¶ UÊ · Õ? ÊiÃÊi ÊV V Ê`iÊ«ÀiÃÕ«ÕiÃÌ Ê`iÊ >Ê À}> â>V ¶ UÊ ·+Õ j iÃÊiÃÌ? Ê Û ÕVÀ>` ÃÊi Êi Ê«À Vià Ê`i Ê«ÀiÃÕ«ÕiÃÌ ÊÞÊ`iʵÕjÊÃ Ê Àië Ã>L iÃÊiÝ>VÌ> i Ìi¶ UÊ ·+ÕjÊÌ « Ê`iÊ«À ÞiVÌ ÃÊ ÊµÕjÊ«>ÌÀ V >` ÀiÃÊÌ « V> i ÌiÊÌ i i Êi Ê >Þ ÀÊ jÝ Ì Ê«>À>Ê LÌi iÀÊv ` ö UÊ ·+ÕjÊ Ã « ÀÌiÊ `iÊ ÛiÃÌ }>V ]Ê > ? à Ã]Ê Ê ` VÕ i Ì>V Ê « `À > Ê ÃiÀÊ`iÊ ÕV >Ê>ÞÕ`>Ê«>À>ÊV Ûi ViÀÊ>Ê ÃÊÌ >` ÀiÃÊV >ÛiÃÊ`iÊ`iV à iÃÊv > V iÀ>öÊÊ● Continuara…
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, y de la maestría de seguridad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org Mayo, 2010
B:SECURE 21
´ OPINIÓN
* ÀÊMario Ureña Cuate
CONTINUIDAD DEL NEGOCIO UTILIZANDO BS25999 L os recientes sismos ocurridos en Haití, Chile y Baja California nos recuerdan la importancia de contar con una estrategia que permita a nuestras organizaciones resistir ante este tipo de eventos y mantener la continuidad en la provisión de nuestros productos y servicios. Los retos actuales relacionados con la continuidad del negocio incluyen adicionalmente a los desastres naturales, riesgos relacionados con la escasez de energéticos, cambios en el entorno ambiental, político y financiero, fallas técnicas, errores humanos, ciber-guerra-crimen-terrorismo, entre otros. Nuestro país reconoce que se encuentra mejor preparado para atender este tipo de riesgos de una forma más adecuada que hace algunos años, y sin embargo, al interior de las organizaciones es común encontrar dificultades relacionadas con la falta de una estrategia de continuidad del negocio, falta de apoyo por parte de la alta dirección, falta de análisis de riesgos e impacto al negocio, planes de contingencia / recuperación no integrados, procedimientos no actualizados, falta de pruebas de continuidad, responsabilidades de continuidad inexistente o poco claras, planes demasiado generales o demasiado específicos, entre otros. Con el fin de ayudar a las organizaciones a mejorar su estrategia de continuidad de negocio y con esto, incrementar su resiliencia ante eventos catastróficos, el British Standards Institution (BSI) desarrolló el estándar BS25999. Este estándar establece los requerimientos para la definición, implementación, operación y mejora continua de un Sistema de Gestión de Continuidad del Negocio (BCMS) y se encuentra organizado en dos documentos. La primera parte (BS25999-1:2006) define el código de práctica para el ciclo de vida de la continuidad del negocio y requiere:
Gestión del programa de continuidad del negocio Este es el corazón de la continuidad del negocio y requiere una participación activa de la gerencia en la definición, establecimiento y soporte de la continuidad. Requiere de una adecuada asignación de responsabilidades, implementación y gestión de la continuidad del negocio (BCM) e incluye como parte de la documentación: UÊ * Ì V>Ê`iÊV Ì Õ `>`Ê`i Ê i} V UÊ ? à ÃÊ`iÊ «>VÌ Ê> Ê i} V Ê ® UÊ ? à ÃÊ`iÊÀ iÃ} ÃÊÞÊ> i >â>à UÊ ÃÌÀ>Ìi} >Ê`iÊ}iÃÌ Ê`iÊV Ì Õ `>` UÊ *À }À> >Ê`iÊV V i Ì â>V UÊ *À }À> >Ê`iÊi ÌÀi > i Ì UÊ * > iÃÊ`iÊ}iÃÌ Ê`iÊ V `i Ìià UÊ * > iÃÊ`iÊV Ì Õ `>`Ê`i Ê i} V UÊ * > iÃÊ`iÊÀiVÕ«iÀ>V Ê`i Ê i} V UÊ > i `>À ÊÞÊÀi« ÀÌiÃÊ`iÊ«ÀÕiL>ÃÊÞÊi iÀV V à UÊ VÕiÀ` ÃÊ`iÊ Ûi Ê`iÊÃiÀÛ V ÊÞÊV ÌÀ>Ì Ã° Entendimiento de la organización Tiene como objetivo principal asistir el entendimiento de la organización a través de la identificación de sus productos y servicios clave, así como las actividades y recursos que los soportan. Esto permite asegurar que el programa de BCM se alinea con los objetivos de la organización y requiere: UÊ ? à ÃÊ`iÊ «>VÌ Ê> Ê i} V Ê ®]Ê V ÕÞi ` Ê/ i « ÃÊ`iÊ,iVÕ«iÀ>V Ê"L iÌ Û Ê,/"®Ê/ i « Ê`iÊ ÌiÀÀÕ«V Ê ?Ý Ê/ iÀ>L iÊ /* ®Ê ÞÊ*Õ Ì Ê`iÊ,iVÕ«iÀ>V Ê"L iÌ Û Ê,*"® UÊ `i Ì v V>V Ê`iÊ>VÌ Û `>`iÃÊVÀ Ì V>Ã
UÊ iÌiÀ >ÀÊÀiµÕiÀ i Ì ÃÊ`iÊV Ì Õ `>` UÊ Û> Õ>ÀÊ> i >â>ÃÊ>Ê >ÃÊ>VÌ Û `>`iÃÊVÀ Ì V>Ã UÊ iÌiÀ >ÀÊ «V iÃ
Determinación de la estrategia de gestión de continuidad del negocio Como resultado del entendimiento del negocio, la organización se encontrará en posición de seleccionar las estrategias de continuidad más apropiadas para el cumplimiento de sus objetivos. Se deben determinar estrategias para personas, instalaciones, tecnología, información, provisiones y partes interesadas. Desarrollo e implementación de la estrategia de gestión de continuidad del negocio Esta etapa se refiere al desarrollo e implementación de los planes y arreglos necesarios para la continuidad del negocio y desde el punto de vista del estándar se requieren dos planes de forma mandatoria: UÊ * > Ê`iÊ iÃÌ Ê`iÊ V `i ÌiÃÊ *® UÊ * > Ê`iÊ Ì Õ `>`Ê`i Ê i} V Ê *® Ejercicio, mantenimiento y revisión *>À>Ê }À>ÀÊ`i ÃÌÀ>ÀÊ >ÊiviVÌ Û `>`Ê`iÊÕ Ê *]Ê«ÀiÛ Ê>ÊÃÕÊ>« V>V ]Êi Ê una situación de contingencia real, es necesario ejecutar pruebas y ejercicios que pueden ir desde lo más simple, como en el caso de una prueba de escritorio, hasta pruebas más complejas como puede ser el ejercicio del *ÊV « iÌ ]Ê V ÕÞi ` Êi Ê *°Ê ÊiÃÌ? `>ÀÊ«iÀ ÌiʵÕiÊ >Ê À}> â>V Ê defina la frecuencia con que se realizan las pruebas, siempre y cuando tome en consideración las necesidades de la propia organización, el ambiente en el que opera y sus partes interesadas. Integración de la gestión de continuidad del negocio en la cultura de la organización Sin importar el tamaño de la organización ni el sector al que pertenece, se debe integrar los conceptos de continuidad del negocio, en la forma en que operan los procesos de la organización. El desarrollo de la cultura de continuidad se encuentra soportado por el liderazgo de personal directivo, asignación de responsabilidades, incremento en los niveles de concientización, entrenamiento y ejercicio de los planes. La segunda parte del estándar (BS2599-2:2007) establece los requerimientos para implementar el Sistema de Gestión de Continuidad del Negocio que se encuentra basado en el ciclo de mejora continua conocido como * > iV VÌÊÞÊ> Ê }Õ> ʵÕiÊ ÌÀ ÃÊiÃÌ? `>ÀiÃÊÀi >V >` ÃÊV Êi Ê ISO9001, ISO27001, ISO20000 hace énfasis en la definición e implementación de una política, control de documentos y registros, medidores de desempeño, ejecución de auditorías internas, revisión por parte de la gerencia, así como la implementación de acciones preventivas y correctivas. El estándar BS25999 resulta relevante para todas las organizaciones que necesitan de una estrategia de continuidad del negocio permanente y que se mantenga actualizada con el tiempo. Existe la posibilidad de obtener una evaluación independiente por parte de BSI para certificar el sistema de gestión, lo cual conlleva beneficios adicionales, incluyendo mejoras en la imagen de la organización, transparencia y la posibilidad de diferenciarse de sus competidores. ●
Mario Ureña Cuate es Director General de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder
BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Fo>armadores de Opinión del British Standards Institution (BSI). www.mariourenacuate.com
22 B:SECURE Mayo, 2010
eMedia eMedia Redes Redes Sociales Sociales Webcast Webcast Podcast Podcast Blogs Blogs Revistas Revistas Digitales Digitales eNewsletter eNewsletter
Lテュder en
Custom New eMedia
SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTテ,TENOS www.netmedia.info t. 2629 7260 ext. 1125
´ OPINION QUIERO DESAPARECER…O POR LO MENOS NO DAR INFORMACIÓN Por Andrés Velázquez
M
uchas personas desconocen cuánta información existe en internet sobre sí mismos; algunos, después de reflexionar, simplemente buscan la manera de desaparecer.¿Pero qué pasa con los datos personales dentro de las empresas? El internet, además de haberse transformado en una importante herramienta para buscar, colaborar, intercambiar, compartir e investigar; se transformó en una gran base de datos con información personal, que poco a poco, cada uno de nosotros hemos compartido y alimentado. Ahora se encuentra muy de moda el tema de la información personal, la forma en que vamos a legislarla en México y cómo deberán las empresas privadas manejar estos datos. Como ejemplo vivo de esto, hemos sufrido la reciente experiencia del RENAUT (Registro Nacional de Usuarios de Telefonía Móvil) que dejó mucho que desear desde su implementación, validación y ahora su uso. A la mente me llegan tantos pensamientos al respecto de este registro, como el hecho de que queremos la posibilidad de que si alguien nos llama al celular amenazándonos, tengamos la capacidad de iniciar una denuncia y que la autoridad nos entregue algo más que: “no joven, ese celular era de prepago y ya no está en uso”. Pero también es inevitable pensar qué uso van a darle a la información que entregamos. Ahí es cuando algunos pensaron “¿y si mejor damos datos falsos?”, sin considerar que podría ser un delito hacerlo. Como verán, es un debate sin fin, pero en el que cada lado tiene su parte de verdad. A la semana de que terminó el plazo del RENAUT una publicación del Universal comentaba que es posible llegar a comprar las bases de datos del IFE, de ciertas tarjetas de crédito e incluso los datos de cierta empresa de venta de boletos para eventos en línea. Todo debido a la iniciativa de Datos Personales que está en proceso de aprobarse. “¿Pero cómo se hicieron de estos datos?” me preguntaba angustiado un alumno de una universidad donde impartí una conferencia días después. “¡Ya con lo anterior, creo que tienen todos mis datos! Quiero desaparecer…” gritaba desesperado. Pero no es tan fácil. Hay muchas cosas que nos ligan a la red. Desde un correo que enviamos hace cinco años a un foro de consulta, sobre cómo poder configurar un equipo correctamente y que contiene nuestro correo electrónico (aunque sea de un ex – empleo), pero que permite conocer un poco de nosotros. O quizá incluso ingresamos nuestro nú-
mero celular o nuestro nombre completo. Pero también tenemos un perfil en redes sociales, como LinkedIn, tratando de mantenernos en contacto con colegas de seguridad de la información, nuevas oportunidades de trabajo o simplemente para que nos recuerden. Facebook o Hi5 no pueden faltar, perfiles en dichas redes sociales muestran a veces información personal o fotografías familiares. Más aun, a veces ni siquiera tenemos que abrir un perfil en dichas redes, pues quizá alguien de la familia, del trabajo o amigos que acabamos de reencontrar subieron una fotografía a su perfil y “etiquetaron” nuestro nombre en el pié de foto. También están los congresos, a los que asistimos como invitados o conferencistas, donde se encuentran fotografías del tan renombrado foro, y que nos permite compartir en el Web quiénes somos. El problema realmente sucede cuando queremos eliminar la información y desaparecer, porque es casi imposible de hacerlo dado la enorme cantidad de datos ligados a nosotros. Pero regresemos al tema de la información personal. Por un lado, tenemos que entender qué es información personal dentro de nuestra organización y cómo va a ser protegida. Quizá dentro de la organización seamos nosotros, junto con la gente de TI, quienes tengamos la responsabilidad más grande sobre proteger la información personal de los empleados, clientes, proveedores, outsourcing, etc. Pero este concepto es difícil de entender, porque no estamos acostumbrados a determinar qué es información personal. Alguna vez escuché a alguien que decía que una dirección IP es un dato personal… no comments. Finalmente, nosotros dimos la información a las empresas para poder acceder a un servicio. Y dicha información es la que se encuentra también en estas bases de datos, que venden al mejor postor en diferentes puntos de México e incluso por internet. ¿Por qué tiene alguien copia de dicha información? Simple, porque alguien no hizo el trabajo de planear la estrategia de protección de los datos – ya sea impresos o digitales -, no había una política, no había un procedimiento, no había una validación, no había una supervisión, no había… Nada. Pregúntese, ¿qué tengo en mi computadora y en mi red que sean datos personales? y ¿cómo cuido los datos personales de los demás?; y espero que los que guardan sus datos personales en otras empresas se hagan la misma pregunta. ●
Andrés Velázquez es un mexicano especialista en delitos informáticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. avelazquez@uat.edu Síguelo en Twitter: http://twitter.com/cibercrimen
24 B:SECURE Mayo, 2010
´ OPINION EXPEDIENTE CERO Por Elihú B. Hernández Hernández
E
n números pasados hemos tratado diversos temas relacionados con el análisis forense y los distintos escenarios a los que un investigador se puede enfrentar al momento de intentar reconstruir los hechos ocurridos entorno de una investigación. Y aunque mi intención en este número era abordar algunos temas técnicos, como el uso de herramientas dedicadas al análisis forense, me vino a la mente una reflexión, que seguro pasa por el pensamiento de muchos de los involucrados en investigaciones forenses digitales. ¿Qué se necesita para ser un investigador en esta disciplina? Una de las características más importantes, con las que debe de contar un investigador forense dentro de su expediente de habilidades, es la capacidad de análisis de sus acciones antes de realizarlas. En otras palabras, sin previo análisis de las consecuencias, cero acciones deberán ser tomadas durante una investigación. Ya que realizar actividades sin un previo análisis y razonamiento, puede llegar a modificar el sistema derivando en la pérdida de datos (evidencia) cruciales para el desarrollo y buen término de la investigación. Partiendo de esta situación y a fin de evitar caer en este tipo de escenarios, que con frecuencia vive en analista forense novato o el personal de sistemas que se ve involucrado de una investigación de este tipo. Es necesario esclarecer que no hay una receta de cocina que pueda ser aplicable a todos los casos a los que un investigador se puedan enfrentar. Es más, me atrevería a decir que ningún caso es igual a otro, y todas aquellas acciones realizadas en una investigación no serán aplicables en otra. Por lo tanto, no existen acciones correctas o incorrectas durante una investigación. Ya que inevitablemente, cualquier acción que se realice sobre el sistema a investigar alterará, de una u otra manera, el estado original del mismo (A toda acción corresponde una reacción [Tercera ley de Newton]). Esta situación nuevamente nos lleva a reflexionar: sin importar qué haga el sistema va a cambiar de su estado original, entonces, ¿por qué debo ser tan cuidadoso en las acciones a realizar? La respuesta a esta interrogante es muy sencilla. Si bien es cierto que cualquier acción va a modificar el estado original del sistema, la diferencia radical consiste en que dependiendo de la que se eliga se modificará, en mayor o menor medida, el sistema o los medios originales. Esto nos lleva a una de las premisas más importantes dentro de la metodología establecida para el análisis forense digital.
MINIMIZAR LA PÉRDIDA DE DATOS Este principio es vital que siempre esté presente en la mente del investigador, ya que una mala decisión en la fases de recolección, preservación y análisis pueden derivar en graves consecuencias que van, desde la pérdida de evidencia crucial para la reconstrucción de los hechos, hasta la invalidación de la misma. El mismo principio no aplica exclusivamente a nivel técnico (accio-
nes informáticas), sino también a nivel de procedimientos. Ya que un mal manejo de la evidencia u omisión de alguna acción, durante el proceso de la cadena de custodia, puede ocasionar que todo el trabajo del investigador se vaya a la basura. Otro punto que hay que tener muy presente, es que en algún momento, el investigador tendrá que rendir su declaración ante una instancia legal. Es ahí, donde éste debe de tener muy presente aquella frase que dice, Calladito te vez más Bonito Lo más sano para un investigador forense, que muchas veces desconoce total o parcialmente el tratamiento legal que se le da a una investigación (proceso penal), es limitarse únicamente a contestar específicamente las preguntas que el Ministerio Público o la autoridad en curso le realice. Evitando responder directamente a los cuestionamientos de la contraparte (defensora o acusadora según el caso). Ya que una mala interpretación de los hechos o inclusive la forma en la que se relatan, utilizando palabras que den lugar a duda tales como: creo, supongo, me parece, por citar algunas; puede ocasionar un retraso considerable en la investigación o en el peor de los casos provocar que el proceso se anule. Nunca asumir nada En algunos casos me he topado con personas, que en lugar de apegarse exclusivamente a correlacionar los eventos del sistema tratando de hilvanar acciones, logs’s o accesos, confían en demasía en la entrevista verbal que suele realizarse. Esto, muchas veces entorpece la investigación sobre todo si el investigador otorga más veracidad a los datos recopilados en una entrevista, que al equipo o los medios que se vieron involucrados en el incidente de seguridad o delito informático. Por su naturaleza, el ser humano es capaz de mentir en muchas situaciones de su vida. Pero no debemos olvidar que, a diferencia del ser humano, los dispositivos electrónicos actuales no están sujetos a estos factores. Por lo tanto, la única fuente confiable que tiene el investigador es la información contenida en dichos dispositivos .Tan sencillo como: si se encuentra evidencia de alguna acción o evento es porque sucedió. Con las excepciones que alguna vez comenté sobre las técnicas anti-forenses. Finalmente quisiera agregar -y en esto concuerdo con mi compañero de profesión Andrés Velazquez- que no se puede ser todologo. Sin embargo, sí se requiere que el investigador en materia de análisis forense digital, cuente en su expediente con la capacidad de “aprender” y tener una mente abierta. Que lo lleven a reflexionar sobre las muchas maneras que existen para llegar a un mismo camino y lo inciten a intentar hacer las cosas de una manera distinta, por muy imposible o loco que parezca. Esta característica será un diferenciador clave entre el éxito que puede alcanzar un investigador promedio, versus uno que siempre tenga en mente aquella frase que dice, “Todo se puede sólo hay que saber cómo hacerlo”.
Elihú B. Hernández, GCFA (ehernandezh@produban.com.mx) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)
Mayo, 2010 B:SECURE 25
LALEYYELDESORDEN 2.0 UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN
ACTA 2ª PARTE UN POLÉMICO TRATADO INTERNACIONAL QUE SE NEGOCIÓ EN SECRETO; AHORA SU TEXTO PRELIMINAR FUE LIBERADO AL ESCRUTINIO PÚBLICO Por Joel A. Gómez Treviño
C
ontinuemos con algunos hechos, mitos y realidades sobre este tratado conocido popularmente como “ACTA”.. ¿Por qué ha generado tanta polémica, confrontación y polarización este tratado llamado “Anti-Counterfeiting Trade Agreement”? En el artículo anterior estuvimos platicando sobre las razones de forma y de fondo que han generado confrontación y polarización en torno a ACTA. Sin embargo, en la tercera semana de abril se dieron sucesos que me obligan a retomar brevemente las razones de forma. Tal vez la mayor de las molestias derivadas de ACTA consistía, en que desde 2006 a marzo de 2010, ningún gobierno involucrado en su negociación había compartido públicamente la versión oficial del texto. A pesar de que muchas organizaciones civiles, no gubernamentales, ciudadanos y la misma industria lo habían solicitado vigorosa y reiteradamente. La tremenda secrecía, falta de transparencia y ánimo excluyente o discriminatorio, con el que se llevaban las negociaciones del tratado por fin han llegado a su fin, pues en un hecho histórico, y probablemente gracias a la tremenda presión internacional, los países negociadores del ACTA decidieron hacer público su contenido. El 21 de abril, el IMPI (Instituto Mexicano de la Propiedad Industrial) publicó en su sitio web la siguiente nota:
Sin prejuicio de lo dispuesto por los artículos 13 y 14 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, en la 8ª ronda de negociación del Acuerdo Comercial Anti-Falsificación (ACTA, por sus siglas en inglés) llevada a cabo los días 12 al 16 de Abril de 2010, en Wellington, Nueva Zelanda, los participantes en la negociación acordaron hacer público el texto consolidado del capítulo de protección de propiedad intelectual. Es importante señalar que el texto publicado, no refleja las diferentes posturas de los gobiernos debido a que éstas pueden afectar otros foros internacionales. Asimismo, el entorno de la negociación se encuentra aún reservado para uso de los posibles gobiernos signatarios. Las negociaciones se han llevado a cabo en el idioma inglés y por el grado de avance que se lleva aún no se cuenta con una versión oficial en español.
El texto adjunto a esta nota, en algunas secciones es casi ilegible, particularmente en el apartado que pudiere resultar de mayor interés para la comunidad informática: Sección 4: Medidas Especiales Relacionadas a la Ejecución Tecnológica de Dere-
chos de Propiedad Intelectual en el Entorno Digital, que forma parte del Capítulo 2, “Marco Legal para la Ejecución de Derechos de Propiedad Intelectual”. Y cuando menciono “ilegible”, no me refiero a que no pueda leerse, sino a que se batalla mucho para entenderse, puesto que está lleno de “corchetes” y “opciones”. De acuerdo con el IMPI en este tipo de negociaciones se estila que los países involucrados en la lectura y estudio de documentos a ser negociados agreguen corchetes en los párrafos en los que no están de acuerdo, o en los que sugieren una nueva redacción. Como lo mencionamos en el artículo anterior, son al menos 37 países los involucrados en la negociación del ACTA. ¿Tiene usted una idea de cuántos corchetes, opciones y notas dalpié de página puede haber en un tratado negociado por 37 países? ¡MUCHOS! Como el espacio previsto para esta columna, en este número, no nos permite entrar de fondo en el estudio de los temas de la famosa “Sección 4”, trataré brevemente algunos de los puntos introductorios que aparecen en los primeros artículos del ACTA. El Artículo 2.X contiene las “obligaciones generales con respecto a la ejecución”. Establece que en relación a los recursos civiles y sanciones criminales para la ejecución de derechos de propiedad intelectual, cada país deberá tomar en cuenta la necesidad de proporcionalidad entre la seriedad de la ofensa o violación y los recursos civiles y sanciones penales a contemplar por las leyes locales. Dichas medidas, procedimientos y recursos deberán también ser efectivos, proporcionales, justos, equitativos y disuasivos. Sin duda esto refleja la gran presión que ejerció la comunidad internacional sobre los negociadores en el sentido de no criminalizar actividades “cotidianas” u ordinarias en internet. Esas actividades “cotidianas” u “ordinarias” pudieren referirse a las acciones de millones de usuarios en el mundo, que a diario descargan música, videos y juegos por internet. Toda persona, con un poco de educación y sentido común, entiende que si en esa actividad no existe el pago de regalías a los respectivos autores, pudiéramos estar frente a una violación flagrante a leyes de derechos de autor. Si bien es esto cierto, tampoco significa que debemos convertir en criminales y meter a la cárcel a todo aquél que participe en esta actividad. En la próxima y última parte (¡ahora sí!) abordaremos y discutiremos los contenidos de la Sección 4, relacionados con la ejecución de derechos de propiedad intelectual en el entorno digital. ●
“Ejecución” viene del término legal anglosajón “enforcement”; entiéndase como “acción de hacer cumplir la ley”. En la primera parte de este artículo también se usó como equivalente el término “observancia”.
Joel Gómez es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. abogado@joelgomez.com 26 B:SECURE Mayo, 2010
ÁREARESTRINGIDA
LOS PODCASTS SOBRE SEGURIDAD INFORMÁTICA Por Roberto Gómez Cárdenas
E
l área de seguridad informática requiere una constante actualización. Es importante conocer los nuevos ataques y tendencias que se presentan a diario. De un día a otro se pueden dar a conocer nuevas vulnerabilidades y es vital implementar las contramedidas necesarias lo más pronto posible. En tiempos anteriores, la actualización se obtenía de revistas, congresos y listas de interés. Sin embargo, en estos días en los que el tiempo se diluye como agua entre las manos, ¿dónde podemos encontrar espacios para leer, asistir a un congreso o darle seguimiento a una lista de interés? La respuesta la encontramos en los nuevos medios de comunicación que internet facilita, en particular los podcasts. El podcast permite aprovechar tiempos muertos. Uno puede escuchar un podcast mientras se encuentra en el tráfico, en el transporte público o haciendo ejercicio. Es importante recordar que no necesitamos un iPod o iPhone para poder escuchar un podcast, con cualquier reproductor MP3 basta. Entre los podcast que me permito recomendar están Security Now, Risky Business, Pauldotcom Security Weekly y The Silver Bullet Security Podcast. Es posible obtener el audio de cada uno de ellos directamente en la página del podcast o via iTunes. Vale la pena aclarar que todos los podcast son inglés, y algunos con un acento muy especial. Security Now (http://twit.tv/sn) es un podcast conducido por Steve Gibs, quien es acompañado de Leo Laporte. De acuerdo con la publicidad del sitio, Gibs inventó el término de spyware y creó el primer programa antispyware. De todos los podcasts mencionados, es el que habla un inglés más claro. En la página de Security Now se encuentra la transcripción de la transmisión en diferentes formatos por si uno no entendió algo que se dijo durante ésta. El primer episodio data de agosto del 2005, por lo que estamos hablando de un programa que cuenta con cerca de cinco años. No es necesario contar con conocimientos profundos para entender lo que dice. Este podcast es recomendable para gente que no cuenta con mucha experiencia en el área de seguridad informática. Cada episodio dura entre 80 y 90 minutos. Gibs ha desarrollado diferentes herramientas, entre ellas una de recuperación de información de discos dañados, y durante la emisión se leen casos de éxito. Fuera de esta sección, que representa 5% de todo el episodio, no hay otro tipo de publicidad. La segunda recomendación, Risky Business (http://risky.biz/netcasts/risky-business) no tiene nada que ver con la película que protagonizara Tom Cruise en los 80s. Este podcast lo conduce un australiano de nombre Patrick Gray, con un marcado acento inglés. El programa se divide en tres partes. En la primera, Patrick discute las noticias de la semana con Adam “Beardy McUNIXguy” Boileau. En la segunda parte, se entrevista a una persona de renombre en el área de seguridad informática. La tercera parte, es otra entrevista, pero con la gente que patrocina el episodio (cada episodio cuenta con un patrocinador diferente), y estas las entrevistas no son comerciales, sino técnicas. El pri-
mer podcast se transmitió el 20 de febrero del 2007, por lo que estamos hablando de tres años de duración. Cada episodio tiene una duración de 45 a 50 minutos. La página de este podcast cuenta con una sección de noticias, pero a diferencia de Security Now, no hay transcripción de los episodios por lo que hay que estar muy atentos a lo que se dice. Si bien es cierto que el nivel no es tan básico como el de Security Now, considero que no se requieren conocimientos profundos para entender de lo que se habla. El tercer podcast, PaulDot Com (http://www.pauldotcom.com/), cuenta con un estilo underground y completamente informal. Imaginemos una sala, o mesa de cantina, donde se reúnen diferentes expertos a hablar de seguridad informática, de las novedades de la semana y de los últimos ataques. Al oírlo da la impresión de que el podcast no se produjo en estudio alguno. Algunos de los participantes se comunican vía telefónica con otros para discutir los temas de moda y beber cerveza, que de acuerdo a ellos se ha convertido en un elemento esencial para crear un ambiente relajado. La persona detrás de todo es Paul Asadoorian y también participan Larry Pesce, John Strand, Mick Douglas, Calos ‘DarkOperator’ Perez, entre otros. El contenido es variado, principalmente se centran en discutir las noticias y en algunas ocasiones cuentan con entrevistas. Cuentan con un wiki donde se publican notas, ligas, documentación y screenshots de cada uno de los episodios, sin embargo no hay transcripción de lo que se comentan. El primer episodio de PaulDot Com se produjo en la coferencia SANS el 27 de octubre del 2007. Para este sí es necesario contar con un buen nivel de inglés para poder entender lo que se dice. The Silver Bullet Security Podcast (http://www.cigital.com/silverbullet/) es conducido por Gary McGraw y consiste en entrevistas a personalidades del área de seguridad informática. No se discuten noticias de seguridad informática, ni nuevas vulnerabilidades y/o amenazas actuales. Todo el podcast se dedica a la entrevista donde se tocan temas de moda, dependiendo del perfil del entrevistado. Durante la transmisión no hay publicidad, ya que está patrocinado por la revista IEEE Security & Privacy. Los episodios se publican cada mes y tienen una duración de unos 20 minutos. El primer episodio se publicó el 25 de marzo del 2006. Estos podcast no son las únicos opcione.Otros, pueden ser Security Bites, Security Wire Weekl, CyberSpeak. En México, está arrancando la generación de podcast de seguridad. Uno de los primeros, es el de Andrés Velazquez, Crimen Digital. Sin embargo, el contenido no es muy técnico y no siempre está relacionado con el área de seguridad informática. Los podcasts son un complemento para mantenerse actualizado y no deben considerarse como la única fuente de información. Es importante encontrar el tiempo para la lectura de revistas y la asistencia a congresos especializados. El twitter es otro complemento a considerar, pero hay que tener cuidado de seleccionar a quién se va a seguir. ● Mayo, 2010 B:SECURE 27
EL INVITADO LAS BASES PARA COMBATIR A LOS PIRATAS DE LA INFORMACIÓN EN LOS MARES ABIERTOS DE INTERNET Por Daniel J. Molina Urcelay, CISSP
INTRODUCCIÓN: EL CAMBIO DEL PARADIGMA En los últimos meses, la legislación sobre los delitos cibernéticos ha estado en boga. La Ley de Seguridad Cibernética, introducida por los senadores Rockefeller y Snowe (S. 773), la Ley de Cooperación Internacional de Información Delitos Informáticos, presentada por los senadores Gillibrand y Hatch, junto con otros temas de la misma seriedad, presentados en la Unión Europea (que tienen por objeto desarrollar un tratado para combatir la actividad criminal en internet) me han puesto a pensar en las razones o motivos que convertirían a este leyes y tratados en un éxito, pero también cuáles las harían ser ineficientes, o peor aún, perjudiciales. Creo que todos coincidimos (basados en estudios y evidencias sólidas) que el cibercrimen existe y dado que no hay fronteras legales o nacionales en internet, su mera existencia nos afecta a todos, sin importar si nos encontramos en América, Asía Pacífico, o algún lugar de Europa, Oriente Medio o África. Si bien somos capaces de coincidir en la existencia y prevalencia del cibercrimen en todo el mundo. Seguimos fallando en la manera y métodos precisos sobre cómo combatir, solucionar, investigar y perseguir legalmente estos delitos. Ahora mas que nunca, la humanidad necesita trabajar en el desarrollo de un marco 28 B:SECURE Mayo, 2010
legal de trabajo, verdaderamente internacional, invitando a todas las naciones a participar y asegurando los recursos necesarios para impartir justicia sin prejuicios. La legislación redactada sobre un vacío —independientemente de las intenciones de las partes responsables de su elaboración o creación— sólo servirá para ocultar las aguas turbias de la acción penal y, en última instancia, generar un impacto negativo sobre la capacidad de una o varias naciones para procesar a este tipo de delincuentes. Una nueva Era de pensamiento y acción es necesaria para marcar el comienzo de un enfoque formulista y repetible, para procesar aquellas personas involucradas o vinculadas a actividades “criminales”, al tiempo que previene a otros de involucrarse.
ADIÓS A LAS ARMAS: UNA NUEVA ERA EN LA PERSECUCIÓN DE LOS CIBERCRIMINALES La primera premisa de este tratado, se lo debo a una conversación que tuve con Will Gragido de Casandra Security. Se trata de basar las leyes de cibercrimen internacionales, de las que hago referencia arriba, bajo los estatutos de RICO de los Estados Unidos. Definida como Acta contra el Chantaje Influido y Corrupción en Organizaciones (RICO, por su siglas en inglés) es una ley fede-
ral estadounidense que prevé ampliar las sanciones penales y las causas de acción civil, de los actos realizados como parte de un organización criminal. Esta ley, se promulgó por primera vez en la sección 901 (a) de la Ley de Control de la Delincuencia Organizada de 1970 (Pub. L. 91-452, 84 Stat. 922, promulgada 15 de octubre 1970) y está codificada bajo el Capítulo 96 del Título 18 del Código de Estados Unidos, 18 USC § 1961-1968. Originalmente, y de acuerdo con Gragido, sus autores habían previsto que la ley sólo se utilizara en los esfuerzos de la fiscalía contra los miembros de la mafia italiana, conocida como La Cosa Nostra en Estados Unidos. Sin embargo, su uso ha rebasado su propósito inicial y se sigue utilizando de manera creativa por la policía estadunidense, en la persecución de otras personas que participaron activamente en actividades delictivas organizadas. Como resultado su aplicación es mucho más generalizada, amplia y eficaz, que las otras legislaciones comparables tradicionales, que incluso podrían ya estar desfasadas en sus tácticas de procesamiento fiscal. Si existiera un equivalente o una portabilidad de la Ley RICO a la esfera del mundo cibernético, las legislaciones en materia de cibercrimen avanzarían a la velocidad de la luz, lo que les permitiría cumplir verdaderamente con las necesidades de la economía mundial, cada vez más dependiente de internet. Un estado tipo RICO significaría que podríamos procesar a las personas que extorsionan y conspiran para realizar actos ilícitos en internet (como se deduce por los principios básicos de la ley), además de que también contemplaría las sanciones a aquellos, que a sabiendas, buscan asociarse con entidades criminales. Gente como Albert González, quien fue condenado recientemente por su papel instrumental en el robo de datos de TJX —que afectó más de 44 millones de tarjetas de crédito—, podría haber sido detenido durante la etapa de planificación de su ataque. Una normativa como está bien podría haber impedido algunos otros delitos informáticos, como los casos Hannaford, Heartland, 7-11, y muchos más.
TEMPUS FUGIT: EL TIEMPO VUELA Y NO ESPERA POR NADIE Vivimos en tiempos progresivos y maravillosos: la aprobación de la ley-Rockerfeller Snowe en el Congreso de los Estados Unidos de América muestra un pequeño vistazo, pero importante, de cuán progresista son. Esta iniciativa de ley permitiría a Estados Unidos aplicar sanciones contra un país que, a sabiendas, actúa como puerta de embarque para los cibercriminales. Aunque el proyecto de ley es bien intencionado, y verdaderamente adelantado a sus tiempos en muchos aspectos, es fatalmente defectuoso en muchas áreas, y eso sin mencionar su fracaso en el planteamiento de la importancia de la presencia geográfica y de ubicación dentro de la legislación. Los delincuentes informáticos, como todos sabemos, pueden ocultarse, falsificar y rebotar entre varios países mientras cometen sus crímenes, con un esfuerzo mínimo. Están bien organizados y poseen un conocimiento rudimentario de las redes TCP / IP y las técnicas de suplantación de identidad. Como resultado, en mu-
chos casos, nos encontramos aplicando sanciones contra las llamadas cibermulas, o un tenientes botnet. Culpables de nada más que tener un sistema sin parches conectado, a través de una empresa o red local, a internet. Empecé a pensar en cómo exploramos o navegamos actualmente por Internet. Eso me dio una idea que supongo podría ser un gran inicio. Necesitamos una Ley estilo-RICO basada en el Derecho Marítimo y propongo la llamemos Ciber-RICO.
CIBER-RICO: CAMBIANDO LAS REGLAS PARA ACOMODAR EL JUEGO Uno podría preguntarse, ¿por qué Derecho Marítimo? Bueno, por una variedad de razones. En primer lugar, el derecho del Almirantazgo (a veces se denomina ley marítima) se ocupa de cuestiones y delitos que suceden en aguas internacionales, y creo que podemos establecer un paralelismo sólido entre la mera naturaleza de internet, la Nube y los mares. Porque toca a muchos países, y todos tenemos intereses similares en protegerlo. Más importante aún, ninguna nación tiene la capacidad de reclamarla como suyo, ni siquiera la policía de aguas internacionales, que por definición, son internacionales y por lo tanto la responsabilidad, de los que la utilizan o se aprovechan de ellos, es de todos. Píenselo por un momento. ¿Quién no utiliza o se aprovecha de las aguas internacionales, de forma directa o indirecta? El comercio internacional utiliza estas vías acuáticas como un mecanismo de transporte marítimo de bienes y servicios, de manera similar a lo que hacen personas de todo el mundo en la nube de internet. Y al igual que en alta mar, donde por milenios los corsarios y los piratas han tratado de aprovecharse del carácter abierto y permeable de estos cursos de acuáticos, en la era de internet también tenemos nuestros propios piratas (cibercriminales) y corsarios (hackers económicamente motivados), que han tratado de sacar provecho de la naturaleza nebulosa del Web. En ese entonces, cuando se desarrollaron las primeras leyes marítimas. El principal motivo para impulsar la ratificación de los tratados multilaterales eran los beneficios personales. Incluso algunas naciones, que proporcionaron refugio a los piratas, se mantenían reacias a aprobarlas en un principio. Sin embargo, cuando los piratas se volvieron contra ellos, los países con intereses personales, rápidamente animaron al resto a ratificar y adoptar dichos tratados. La base del derecho marítimo es que cualquier país que haya firmado el tratado multilateral puede participar en la aplicación o fortalecimiento de las leyes. De la misma manera, la ley de internet Ciber-RICO daría a los países la capacidad de procesar a los criminales cibernéticos, que cometan delitos en los mares abiertos del Web. Incluso, cuando se hayan cruzado fronteras de uno o más países, las fuerzas internacionales pueden trabajar con un marco legal común de aplicación. De la misma forma, que los grupos de respuesta contra la piratería trabajan frente a las costas de Somalia. Ellos, responderán a cualquier grito de ayuda, sin importar el color o emblema de la bandera del buque afectado. Ese es el espíritu correcto de la ley y funcionaría tan bien como se relacione con el cibercrimen. ●
Daniel J. Molina es CISSP y líder de pensamiento en la arena de seguridad informática. Actualmente se desempeña como Gerente de Field Marketing para las Américas de Kaspersky Lab. Puede ser contactado a través de Daniel.Molina@kaspersky.com
Mayo, 2010 B:SECURE 29
´ EXTREMA AUDITORÍA
¡OTRA PRÓRROGA A LA LEY, POR FAVOR! Por Mario Velázquez
Dentro de unos meses la facturación electrónica será obligatoria; pero la mayoría de las empresas y las personas físicas no están preparadas para adoptar esta medida.
C
omo sabemos, a partir del primero de enero de 2011 será obligatoria la facturación electrónica en México, al menos para todas aquellas facturas mayores a $ 2,000 pesos. Este no es un tema nuevo, pues desde 2005 se aceptó como válido lo que se conoce oficialmente como comprobante fiscal digital (CFD), el punto es que ahora será ya una obligación. De acuerdo a datos del SAT, al primero de marzo de 2010 se han generado más de 400 millones de CFD, y hay más de 28 mil contribuyentes registrados que han optado por este esquema. Las empresas que ya utilizan la factura electrónica cuentan con infraestructura y mejores esquemas de seguridad para responder a este requerimiento; sin embargo, a partir del próximo año, las Pymes y micro empresas también tendrán que adoptar el manejo de los comprobantes fiscales digitales y por lo tanto deberán prepararse para esto. Este cambio no implica solamente poder generar y emitir la factura electrónica, también se debe tomar en cuenta la conservación de ésta y todas las medidas de seguridad que deberán implementarse alrededor. Los sistemas y los procesos en las empresas deben estar listos para asegurar la integridad de los CFD. No es que actualmente no sea posible alterar las facturas que manejamos en medios impresos. Sin embargo, con este cambio se abren nuevas posibilidades de generar documentos apócrifos, si no se toman las medidas correctas. Por otro lado, debido a que cada contribuyente debe enviar mensualmente al SAT toda la información de su facturación por medios electrónicos, también se deben reforzar los controles sobre estos datos. Este no es un tema menor, sobre todo en estos tiempos, con la venta de bases de datos robadas a empresas y entidades de gobierno. Hay además otros aspectos a considerar. Por ejemplo, me imagino el caso de comprar una nueva computadora y que ésta se descomponga después de algún tiempo, al presentarme a reclamar la garantía, me pedirán la factura, esa que probablemente se quedó almacenada en la computadora. Sin duda, estos casos se resolverán de algún modo; pero hay que ir pensando en cómo. 30 B:SECURE Mayo, 2010
Los receptores de facturas electrónicas también deberemos adaptarnos a esta modalidad, ya que cada vez recibiremos más, y hay que estar listos para manejarlas de forma óptima y segura. Pese a los retos por venir, es indudable que los CFD tienen ventajas para todos: para la autoridad es un medio para apretar la fiscalización; para las empresas representa una disminución en sus costos de facturación y para los consumidores implica ahorros en tiempo y en facilidades de almacenar las facturas. Sin embargo, también trae consigo nuevos riesgos que deben analizarse y manejarse de una manera adecuada Para estar listos para manejar los comprobantes fiscales digitales, se deben realizar cambios en la seguridad de los equipos que intervengan en el proceso de facturación electrónica. No sólo se debe evitar que los documentos electrónicos puedan ser alterados; también se deben incrementar las medidas para que la disponibilidad de los equipos no pueda ser comprometida. Hay que considerar que las Pymes, las micro empresas y los consumidores no cuentan con los recursos, infraestructura, ni la cultura en materia de seguridad informática como las grandes corporaciones. Por lo tanto, seguramente se les va a complicar más la adopción de prácticas adecuadas para el manejo de las facturas electrónicas. Desde 1999, año en el que las empresas se prepararon para el cambio de siglo, no recuerdo un cambio tan importante como el que se espera para el primer día del 2011. La diferencia es que en aquel entonces la preocupación era la funcionalidad y continuidad de los sistemas. Ahora el tema debe ser la seguridad, integridad y disponibilidad de los CFD. Tanto las autoridades, como las empresas y los consumidores debemos de prepararnos para entrar de lleno a la era de los certificados fiscales digitales. Sin embargo, me parece que no se le está dando la importancia debida o tal vez estamos esperando una prorroga a la obligatoriedad de la medida. Bueno, eso creo yo, pero ¿usted qué opina? ●
Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.
SINNÚMERO EL MALWARE LATINOAMERICANO Por años América Latina se ha mantenido como una región donde la palabra malware o cibercrimen se escucha lejana, ausente o quizá, hasta poco creíble. Sin embargo, de acuerdo a la 15º edición del Internet Security Threat Report de Symantec los países de la región han experimentado un crecimiento notable en sus porcentajes de actividad maliciosa en Internet. La principal prueba de ello es que, por primera vez en seis años, un país de América Latina, Brasil, terminó en los primeros tres lugares de todo el planeta, al generar 6% de toda la actividad maliciosa en el web. Si bien ninguna otra nación de la región terminó en las primeras diez posiciones del ranking global, no por ello estuvieron exentes de ser blancos de ataques o, peor aún, hogar de nuevos cibercriminales. Aquí un breve vistazo al lado oscuro de América Latina:
México y Argentina terminaron en segundo y tercer lugar, respectivamente, de la región al generar 13% de toda la actividad maliciosa en América Latina. Seguidos de Chile, que fue responsable de 7% de la actividad delictiva en la red. El origen de los ataques cibernéticos hacia América Latina provino de Estados Unidos en el 40%, de los casos, Brasil en el 13% y México en el 5%. Este último país terminó en la posición 16 a nivel global, y fue responsable del 1% de los ciberataques en todo el orbe. América Latina, acaparó 14% de todas los computadores zombis del mundo. Tan sólo Brasil alberga 7% de estas. De acuerdo al ISTR de Symantec América Latina generó 20% de todo el spam en 2009. Brasil generó 54% de todo el correo electrónico de la región, seguido de Colombia y Argentina, ambas naciones con porcentajes de 12%.
Mayo, 2010 B:SECURE 31
SEGURO‌ QUE LO QUIERES NUEVO PARADIGMA O UN SIMPLE OBJETO DEL DESEO Lo quieras, lo necesites, te guste o te desagrade, el nuevo producto de Apple ha causado comentarios, positivos o negativos, alrededor del mundo. Ahora la pregunta concreta serĂa ÂżTe lo vas a comprar?
SEGURO QUE LO QUIERES POR‌ Eres seguidor de la marca con el sĂmbolo de la manzana. Ya tienes MacBook, iMac, iPhone, iPod Touch y te falta tu iPad. Si no tienes ningĂşn producto de Apple, la iPad ponen a tu disposiciĂłn un catĂĄlogo de mĂĄs de 12 millones de canciones, 55,000 videos y 8,500 programas de televisiĂłn (no todos ellos disponibles para el mercado mexicano). La iPad permite la instalaciĂłn o compra de mĂĄs de 150,000 mil aplicaciones de la App Store de Apple, y cerca de 3,000 programas exclusivos para la tableta multimedia Su pantalla de 9.7 pulgadas promete ser perfecta para la lectura y consumo de medios digitales como libros electrĂłnicos, periĂłdicos, revistas o sitios web. En su primer dĂa de ventas los dueĂąos de una iPad descargaron mĂĄs de 250,000 libros. Cuenta con tecnologĂa Bluetooth para conectar perifĂŠricos adicionales como teclado, cĂĄmara web, entre otros.
SEGURO QUE NO LA QUIERES POR‌ Ya tienes un Smartphone y una computadora portĂĄtil. No necesitas gastar otros $500 dĂłlares en un reproductor multimedia de pantalla grande. La iPad no cuenta con entradas USB, para conectar perifĂŠricos o memorias, lo que te obliga a comprar productos con tecnologĂa inalĂĄmbrica. Su pantalla promete ser ideal para la lectura y consumo de medios digitales, pero al no ser tinta electrĂłnica, como la del Kindle, un uso prolongado del dispositivo cansa la vista. No es un equipo de trabajo. La iPad servirĂĄ para revisar contenidos, mĂĄs no para crearlos. No es una computadora ni en desempeĂąo ni en aplicaciones. EstĂĄs esperando las tabletas multimedia o Slate PC de marcas como HP, Dell o Lenovo. 32 B:SECURE Mayo, 2010
LA TABLETA ESPECIFICA DEL DESEO‌ CIONES
s 0ANTALLA SENSIBLE AL TACTO DE PULGADAS CO ,%$ N TECNOLOGĂ“A s !RQUITECTU RA 3YSTEM O N A #HIP CON PRO s -EMORIA CESADOR ! INTERNA DE '" '" s 4ECNOLOG Y ' " Ă“A 7I &I N s %NTRADA P ARA AUDĂ“FON OS DE MM !PPLE PIN Y CONECTOR G ENĂ?RICO DE s "ATERĂ“A C ON HORAS DE DURACIĂ˜N s -ODELOS C ON SOPORTE P A RA CONECTIVI s 0RECIOS D DAD VĂ“A ' E Y DĂ˜LARE s 0ARA LOS M S ODELOS CON S OPORTE DE ' L OS PRECIOS SON Y DĂ˜LA DE RES
Próximos eventos Reserve su agenda 24 de junio, Hotel Four Seasons
Las 50 empresas más innovadoras de InformationWeek México es una premiación creada por Netmedia y avalada por la metodología desarrollada ex profeso por la prestigiada firma de consultoría Ernst & Young. Ambas organizaciones participan año con año a lo largo del proceso, que incluye revisión y actualización de cuestionarios, convocatoria, calificación de proyectos, selección y verificación de los casos presentados. Registre su proyecto antes del 14 de mayo de 2010.
o
ev Nu 28 y 29 de septiembre, Centro Banamex
Es el único foro que reúne al mayor número de proveedores de tecnologías de negocios mostrando en vivo sus productos o servicios. El propósito es que el comprador corporativo/influencer tenga una experiencia hands-on de las nuevas tecnologías y tendencias en servicios. A través de sesiones interactivas, los asistentes conocerán de primera mano y de voz de sus desarrolladores, las últimas versiones de las soluciones para negocios y las nuevas aplicaciones disponibles en el mercado.
13 de octubre, Hotel Hilton Cuidad de México Reforma
Por tercer año consecutivo, el Government Innovation Forum reunirá a la élite de innovadores del sector público en todo el país, quienes conforman la selecta lista de “Los más innovadores” de la revista InformationWeek México. A la convocatoria asisten también tomadores de decisiones de los distintos niveles de la administración pública (federal, estatal y municipal), que desean compartir las experiencias de quienes son reconocidos en el prestigiado ranking, a través de paneles de discusión, mesas redondas y conferencias magistrales. El foro concluye con la emotiva ceremonia de entrega de la estatuilla a los más innovadores del ranking de InformationWeek México.
20 y 21 de octubre
evo
Nu
SoMeBIZ es un foro interactivo que conjunta las mentes más brillantes en comunicaciones, marketing, desarrollo de marcas y ejecutivos de negocios para explorar cómo el social media ha revolucionado la forma en que los individuos y las empresas posicionan sus marcas en línea. Presentado por Netmedia, la compañía de soluciones mercadológicas y de medios de mayor prestigio en el segmento de la tecnología y los negocios, la conferencia está diseñada para mercadólogos, tomadores de decisiones, líderes IT, consultores, publicistas, publirrelacionistas y desarrolladores de aplicaciones.