septiembre 2009 · 57 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
PRESUPUESTO 2010: CRECIMIENTOS MÍNIMOS O NULOS PASAN A LA SEGURIDAD EN IT A UN SEGUNDO PLANO
La crisis económica, la falta de estrategias y soluciones mucho más integrales le pegaron a los departamentos de seguridad informática, de acuerdo con la encuesta de Netmedia Research, 63 por ciento de los entrevistados afirmaron que su presupuesto en este rubro será menor o igual al de 2009.
9 OCT O ACCESO
06 PUBLICIDAD DAÑINA
Nuevos vectores de infección han comenzado a surgir en la web, el último de ellos, colocar publicidad con códigos maliciosos, un fenómeno bautizado como Malvertisign.
13 INFECTADOS HASTA POR MEDIO AÑO
Trend Micro detectó que la mayoría de las computadoras permanecen infectadas un semestre sin que los usuarios lo noten.
14 CELULAR COMO MEDIO DE PAGO NO DESPEGA: VISA A pesar de superar casi tres a uno a las tarjetas bancarias, el desarrollo de proyectos para generar pagos electrónicos a través del teléfono celular aún es mínima.
B:SECURE FOR BUSINESS PEOPLE
16 ESTRATEGIA DE
SEGURIDAD, UN ENFOQUE PRACTICO Y PRAGMÁTICO PARTE UNO
Conozco la forma y fondo para realizar una estrategia de seguridad informática, que sea eficaz y que responda las necesidades y requerimientos de su negocio.
ÁREA RESTRINGIDA
18 LAS REGLAS DEL NUEVO HASH SHA-3
08 PRESUPUESTOS EN SEGURIDAD 2010 La crisis económica, los crecimientos mínimos o nulos pasarán a la seguridad en IT a un segundo plano durante el próximo año.
03 EN LÍNEA
04 LOGIN
20 SINNÚMERO
El algoritmo hash SHA-3 ya definió sus reglas y sus principales propuestas de desarrollo.
OPINIÓN
19 ¿CLOUD COMPUTING?
Cloud Computing es un término que últimamente ha estado de moda, pero que pocos conocen lo que realmente es. De qué trata y qué riesgos conlleva su uso.
ENLÍNEA BSECURE.COM.MX
Mónica Mistretta DIRECTORA GENERAL
CINCO MILLONES DE NUEVAS AMENAZAS EN TRES MESES
Entre julio y septiembre los cibercriminales batieron una nueva marca digna de ser registrada en el libro de Récord Guiness, al desarrollar más de cinco millones de nuevas amenazas entre virus, troyanos, gusanos y otros códigos maliciosos, según reveló el Informe Trimestral 2009 de PandaLabs. De acuerdo con los datos publicados por la firma de seguridad informática la amenaza con mayor crecimiento en el trimestre fueron los troyanos bancarios, malware que se incrementó 71%, seguidos de la publicidad engañosa o adware con 13%, el spyware 9% y al final los virus y gusanos que únicamente incrementaron su presencia en 2%. “En estos momentos estamos recibiendo casi 50,000 nuevos ejemplares diarios, cuando hace unos meses estábamos en 37,000. No tenemos expectativas de que esta situación mejore en los próximos meses”, dijo Luis Corrons, director Técnico de PandaLabs. De los tipos de malware, cita el informe de la compañía, casi uno de cada cuatro son troyanos, seguidos de los adware con 18% impulsados por el crecimiento de fenómenos como el rogueware o software falso y, los gusanos y virus que representan 14 y 10 por ciento de la infecciones en una PC, respectivamente.
AFECTADOS POR FRAUDE MILES DE USUARIOS DE GMAIL, HOTMAIL Y YAHOO! Lo que parecía un problema de robo de información exclusivo para usuarios de Hotmail, resultó ser una de las campañas de phishing más grandes de los últimos tiempos, luego de que Google, AOL y Yahoo! confirmaran que algunos de los datos confidenciales publicados en sitios web también pertenecen a miembros de sus plataformas. “Microsoft descubrió que miles de credenciales de Windows Live Hotmail fueron divulgadas a través de un sitio web a consecuencia de un fraude de phishing. La empresa ya ha solicitado que los datos en la página sean eliminados y comenzaremos una investigación para determinar el impacto a los usuarios”, afirmó un vocero de la compañía. Sin embargo, los datos de los usuarios de Hotmail fueron la punta del iceberg en el caso de robo y fuga de información, pues un día después un reporte de la BBC detectó más de 30 mil nombres y claves de acceso, de miembros de servicios como Yahoo! Mail, Gmail y AOL también colocados en sitios de Internet. La fuga de información también puso al descubierto la falta de educación y conciencia de los usuarios para proteger sus datos personales en Internet, pues la contraseña más común dentro del listado publicado era 123456, algunas de estas cuentas tenían más de una década con la misma clave.
Estos y otros artículos en
www.bsecure.com.mx b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
TEMA LIBRE
Elba de Morán DIRECTORA COMERCIAL Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE Iaacov Contreras CIRCULACIÓN Y SISTEMAS Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara
Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora
TECH&TRENDY
COLUMNISTAS Roberto Gómez, Ricardo Morales, Joel Gómez, Andrés Velázquez, Irving García
Elisa Nájera, editora de WISH, comenta sobre las últimas tendencias de la Web 2.0. ¿Qué pasa en la blogósfera? ¿Qué redes sociales han muerto? ¿Qué está de moda?
EDITOR ON LINE Efraín Ocampo WEB MASTER Alejandra Palancares VIDEO Fernando Garci-Crespo DISEÑO Pablo Rozenberg
BLOGUEROS INVITADOS Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info
ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
Octubre, 2009 B:SECURE 3
LOGIN LOGIN
MICROSOFT SECURITY ESSENTIALS YA DISPONIBLE Semanas antes del lanzamiento global del nuevo sistema operativo de Microsoft, Windows 7 la firma anunció la salida en 19 países de su software de seguridad, Security Essentials, un programa que promete proteger las computadoras de los usuarios contra virus, spyware y otros tipos de códigos maliciosos, informó la compañía a través de un comunicado publicado en su sitio web. Como publicara anteriormente b:Secure, tras concluir la etapa de evaluación con más de 75 mil internautas de todos el mundo, Microsoft liberó el programa de seguridad gratuito para todos los consumidores que utilicen el sistema operativo Windows original en alguno de los 19 países iniciales en el proyecto. Desde Australia, Austria, Bélgica, Brasil, Canadá, Francia, Alemania, Irlanda, Israel, hasta Italia, Japón, México, los Países Bajos, Nueva Zelandia, Singapur, España, Suiza, el Reino Unido y Estados Unidos, son algunas de las primeras naciones donde se podrá descargar la herramienta sin costo alguno, y que entró como sustituto de la versión anterior, que sí tenia costo, Windows Live OneCare. “Los clientes han comentado que requieren protección en tiempo real, pero sabemos que hay diferentes opciones en el mercado y, en ocasiones se confunden por las constantes actualizaciones o, al no poder pagar por una solución de seguridad muchos no se protegen correctamente”, dijo Amy Barzdukas, gerente general de Seguridad para consumidores de Microsoft en la información publicada en su sitio web. La suite gratuita de Microsoft ha sido criticada por firmas de seguridad informática como McAfee y Symantec, al tacharla de menos robusta y efectiva que sus plataformas de seguridad con costo. Sin embargo, evaluaciones de usuarios en la red han definido Secu-
rity Essentials como un programa ligero, fácil de usar y con buen desempeño, principalmente por ser gratuito. La firma con sede en Redmond Washington explicó que Security Essentials busca fomentar la cultura de la protección en internet y evitar la propagación de fenómenos como el cibercrimen y los fraudes por Internet. De acuerdo con Microsoft, Security Essentials es el primer programa de la firma en utilizar la tecnología Dynamic Signature Service, la cual promete proteger a los usuarios de la mayoría de las definiciones de virus que existen actualmente, sin tener que esperar a la descarga programada. El problema, es que de acuerdo a firmas de seguridad informática como Trend Micro, las soluciones de seguridad basadas en definiciones son obsoletas, pues las cifras muestran que una nueva amenaza es creada cada dos segundos de modo que no existe suficiente tiempo para actualizar el programa ante los nuevos riesgos. Microsoft Security Essentials está disponible para Windows XP SP2 o SP3, Windows Vista y Windows 7, incluido el Windows XP mode en los equipos de 32 y 64 bits y puede ser descargado desde http://www.microsoft.com/security_essentials. —Staff Netmedia
MÉXICO EN EL TOP 20 DE LOS PAÍSES MÁS INFECTADOS DEL MUNDO La empresa de seguridad Panda realizó un análisis para definir el nivel de máquinas infectadas en el planeta y las naciones con los mayores rangos de contaminación por malware. México está en el top 20. Con un nivel de infección de 52.32%, México se colocó en la posición 15 de los 30 países con el mayor número de computadoras infectadas en el mundo, de acuerdo con el ranking mundial de ordenadores infectados de la firma de seguridad informática Panda. La firma analizó más de 25,390 computadoras en México, de las cuales más de 13,300 fueron halladas infectadas con uno o más códigos maliciosos, contra los 16,000 equipos identificados como ‘limpios’ en la evaluación. El análisis determinó que el promedio de infección del país es de 52.32 puntos porcentuales. El primer lugar en nivel de infección fue Taiwán, nación donde se examina-
4 B:SECURE Octubre, 2009
ron más de 20,500 computadoras, de las cuales 14,000 estaban contaminadas con algún tipo de malware, alcanzando un nivel de infección del 69.10%. En contraste Noruega fue el país con el menor nivel de infección de acuerdo con el ranking global de Panda, al alcanzar un porcentaje de PC contaminadas del 39%. Las primeras cinco posiciones fueron ocupadas por Taiwán, Rusia, China, España y Argentina, quienes registraron niveles de contaminación de máquinas entre los 69 y 61 puntos porcen-
tuales, casi 3% por encima de la media global, que es de 59%, el más alto en 2009. Por su parte, otras naciones latinoamericanas como Brasil y Perú se colocaron en los lugares seis y diez, al alcanzar rangos de infección de 60 y 57%, respectivamente. De acuerdo con Luis Corrons, director técnico de PandaLabs, los resultados del ranking global son preocupantes pues, contrario a disminuir, el nivel de maquinas infectadas en todo el orbe aumentó 15 puntos porcentuales con respecto al mes anterior. “Existe una sensación de falsa confianza, porque los usuarios no creen que haya peligro y cuando se infectan, pocas veces notan los síntomas. Los ataques se están volviendo más y más sofisticados y aprovechan cualquier tipo de novedad informativa para lanzar sus ataques, a través de redes sociales, vídeos o correos electrónicos”, dijo Corrons.
VACÍAN CUENTAS BANCARIAS CON NUEVO TROYANO Los robos y fraudes bancarios no son nuevos en el mundo del crimen organizado en Internet, sin embargo, los delincuentes han encontrado un nuevo mecanismo para hurtar el dinero de las cuentas bancarias de los usuarios en tiempo real, de acuerdo a un reporte de la firma de seguridad informática Finjan. El estudio, publicado en el sitio web de la firma con sede en San José, California afirma que, aprovechando una vulnerabilidad en los navegadores web; Internet Explorer (IE) versión 6,7 y 8 y FireFox 3.0, y con el uso de un troyano bautizado como URLZone, los criminales son capaces de sustraer dinero de las cuentas bancarias en el momento en que los usuarios realizan transacciones o movimientos en línea. Ben-Itzhak, director de Tecnología de Finjan y uno de los responsables del reporte aseguró que el blanco de ataque fueron exclusivamente bancos alemanes. Aun así, en sólo 22 días los criminales fueron capaces de robar más de 300 mil euros (unos cinco millones 900 mil pesos).
“La pandilla cibernética logró atraer a cerca de 90,000 víctimas potenciales, de estas, cerca de 6,400 fueron infectadas con el troyano, lo que representa un rango de éxito para el cibercriminal de 7.5%. Es decir, uno de cada 14 usuarios se vieron impactados”, dijo Ben-Itzhak de Finjan. De acuerdo al informe de la compañía los delincuentes aprovechan un hoyo en la seguridad de los exploradores web IE y FireFox conocida como LuckySploit, a través de la cual logran introducir el troyano URLZone a la computadora del usuario y que, únicamente corre en las máquinas con sistema operativo Windows. A diferencia de otros troyanos, el experto de Finjan, mencionó que este nuevo tipo de código malicioso tiene la capacidad de detectar cuando el internauta accede a un sitio web de banca por Internet, momento en el que empieza a funcionar y efectuar el fraude. Así, el troyano URLZone comienza a enviar mensajes al servidor del banco en segundo plano, sin que el usuario detecte advertencia alguna
o señal de su institución financiera, posteriormente el malware calcula la cantidad de efectivo en la cuenta y realiza una transferencia bancaria a otra cuenta. Ben-Itzhak de Finjan explicó que la cuenta que recibe el dinero corresponden a “mulas”, usuarios con cuentas legitimas, normalmente en otros países, que buscan efectivo de forma fácil y rápida, y se prestan para lavar el dinero de los cibercriminales a cambio de una comisión y con el objetivo de hacerlo imposible de rastrear. “El troyano cuenta con parámetros predefinidos de máximos y mínimos basados en el total de efectivo disponible en la cuenta. De esta forma, únicamente retira montos determinados que no disparan la señales de antifraude de los bancos”, escribió Ben-Itzhak en el reporte. Pero el engaño no concluye ahí, pues el análisis de Finjan refiere que URLZone incluso tiene la capacidad de borrarse de los registro de las transacciones para que éstas no aparezcan en el recibo o en los resultados de las operaciones del usuario. Así, el internauta no es capaz de detectar que sido víctima de un robo cibernético hasta que realice una operación de banca en línea desde una computadora no infectada, en un cajero automático o que el banco niegue la operación por falta de fondos. Y, por si no bastara, el troyano también registra y roba las claves de acceso a la cuenta bancaria, hace capturas de pantalla y sustrae la información de otros servicios de comercio electrónico y plataformas de internet como PayPal, Gmail y Facebook.
CREEN QUE AUDITORÍA EXTERNA FUE BUENA INVERSIÓN Un reporte reveló que 72% de los profesionales IT y administradores de red encuestados de empresas de todos los tamaños creen que la de auditoría externa de seguridad fue una inversión que valió la pena. Otros no fueron tan optimistas, sino más bien neutrales. Otro 23% no estuvo a favor ni en contra de que fuera una gran inversión, mientras que 5% dijo que no fue una que haya valido la pena. La encuesta encargada por VanDyke Software a Amplitude Research, arrojó que 76% de las empresas empleó a expertos externos para auditar los procedimientos de seguridad para las redes, aunque solo 35% lleva a cabo auditorías anualmente. Es de apenas 24% la proporción de las organizaciones que nunca ha contratado los servicios de una auditoría externa de seguridad de manera formal. Cuando se les pre-
guntó la razón, 47% respondió que no necesitan una y 24% dijo que la razón es el costo. La principal razón por la que las empresas contratan auditorías externas de seguridad, de acuerdo con 65% de los encuestados, es para demostrar a terceros que la compañía ha sido auditada. Pero las auditorías externas no son la única opción para demostrar que se implementaron y que son observados procedimientos de seguridad, pues 67% dijo practicar auditorías internas por lo menos una vez al año. Que 46% de los encuestados haya afirmado que las auditorías externas de seguridad hayan resultado en hallazgos significativos de problemas de seguridad, podría ser una evidencia de que las auditorías internas. La encuesta fue respondida por 351 profesionales IT y administradores de redes durante septiembre de 2009. —Efraín Ocampo Octubre, 2009 B:SECURE 5
ACCESO PUBLICIDAD DAÑINA
CON EL FIN DE BUSCAR NUEVOS VECTORES DE INFECCIÓN LOS CIBERCRIMINALES HAN COMENZADO A COLOCAR PUBLICIDAD CON CÓDIGOS MALICIOSOS, UN FENÓMENO BAUTIZADO COMO MALVERTISIGN Y QUE YA LEVANTÓ SEÑALES DE ALARMA E INCLUSO ACCIÓN LEGALES.
S
in dejar de lado mecanismos de ataque como el phishing, pharming, la redes bot o los códigos maliciosos, los cibercriminales han puesto sobre la mesa al malvertising, una forma de infección, que si bien no es nueva, ha comenzado ganar terreno y aceptación dentro del mercado clandestino de la web, aseguró Paulo Vendramini, director de Ingeniería de Symantec América Latina. Así, luego de tratar de vulnerar los sistemas de los internautas mediante el uso de correos electrónicos con engaños sobre requerimientos falsos de sus instituciones financieras o comerciales, con programas gratuitos e ilegales o en páginas web clandestinas, Vendramini informó, que los ciberdelincuentes han descubierto un camino mucho más simple para infectar la PC de los usuarios; comprometiendo sitios, plataformas o anuncios legítimos. “Antes los focos o vectores de infección para los cibercriminales eran las páginas de internet de contenido dudoso o ilegal o, a través del uso de programas Peer to Peer (P2P). Sin embargo, hoy han decido vulnerar sitios de alta utilización como redes sociales y páginas informativas, en las que infiltran sus códigos maliciosos”, explicó el experto de Symantec en entrevista con b:Secure. De esta forma, mencionó Vendramini, los delincuentes no colocan códigos dentro de esos sitios, sino que comprometen vínculos o enlaces de páginas o plataformas web con un alto número de visitantes, para que al dar clic en alguna liga vulnerada, redirigirán al usuario a un sitio donde su máquina será infectada. En el caso del malvertising, los atacantes deciden ocultar códigos maliciosos en los banners de publicidad de los sitios web, de modo, que al dar clic en el anuncio el usuario, sin notarlo, es infectado con algún tipo de mal6
B:SECURE Octubre, 2009
Por Carlos Fernández de Lara
ware, con el objetivo de robar su información personal o convertir su computadora en el zombi de una botnet. En la mayoría de los casos, el fenómeno del malvertising, dijo Vendramini, está muy vinculado a la distribución de malware mediante la oferta de software de seguridad apócrifo, mejor conocido como fakeware o rogueware, el cual engaña a los internautas con notificaciones falsas de que su PC está infectada y recomienda la instalación de un antivirus, que en realidad es un código malicioso.
NO SE CRUZAN DE BRAZOS La situación sobre este fenómeno incluso ha atraído los reflectores de todo el mundo, luego de que a principios de octubre, Microsoft decidiera tomar acción legal contra cinco páginas web responsables o que promovían malvertising. Con los números de referencia No. 09-2-34024-2 SEA, 09-234021-8 SEA, 09-2-34020-0 SEA, 09-2-34022-6 SEA y 09-2-34023-4 SEA, la firma con sede en Redmond Washington presentó las cinco demandas ante la Corte Superior King County de Seattle, en contra de los sitios web “Soft Solutions,” “Direct Ad,” “qiweroqw.com,” “ITmeter INC” y “ote2008.info”. Los procesos legales son anónimos y no van dirigidos contra ningún individuo en particular, sin embargo, la compañía espera que este tipo de iniciativa actúe como señal de advertencia para que los administradores de los sitios web sean más responsables sobre el tipo de publicidad que colocan en sus páginas, explicó un vocero de la compañía en entrevista exclusiva con la revista. “Así como con otras amenazas en la red, Microsoft tomó la decisión de
levantar estas demandas legales para promover educación, legalidad y soluciones al tema de la seguridad en Internet”; explicó el vocero de la empresa de software más grande del mundo. La compañía reconoció, que si bien este tipo de procesos legales son los primeros en su clase, seguramente no serán los últimos, toda vez que el malvertising se convierte en una preocupación para todas las empresas que viven o se benefician de la publicad en línea. Acciones legales que son vitales, de acuerdo con Microsoft, debido a que la publicidad en línea es lo que mantiene corriendo a internet, se mira como el motor de todas las tecnologías de búsquedas y permite que servicios como Windows Live, Facebook, Yahoo! y MSN sean gratuitos. Pero para Microsoft el peso de llevar este fenómeno hasta las cortes estadunidenses va mucho más allá de la protección de los usuarios y la publicidad en internet, pues la compañía busca impedir que los cibercriminales promuevan una imagen de que Windows es inseguro como sistema operativo. “Los análisis muestran que los criminales engañan a los usuarios con software apócrifo, que falsamente señala fallas en el sistema operativo de la computadora. Este engaño demerita la reputación de Microsoft, al hacerle creer a la víctima que Windows tiene fallas cuando realmente esas vulnerabilidades no existen”, explicó el portavoz de la firma. Microsoft también informó que está trabajando de la mano con “otros proveedores líderes” de plataformas en línea para mitigar el impacto y daño causado por el fenómeno del malvertising. A pesar de ello, la compañía no determinó si la publicidad infectada en estos sitios utilizaba de alguna forma el nombre de Microsoft o de alguno de sus productos. Mientras tanto el vocero, recomendó a los cibernautas a contar con una solución de seguridad en sus equipos y desconfiar de cualquier página o programa desconocido, que ofrezca escanear la computado-
ra en busca de virus. Sobre el tema Vendramini de Symantec informó, que la iniciativa de Microsoft no hará que el cibercrimen desparezca, pero sí podría fomentar la responsabilidad entre los administradores de los portales y sitios web. “Las empresas ven la seguridad de una manera muy especial, creen que si el problema no es suyo no lo tienen que resolver. En Symantec hemos descubierto que más de 60% de las aplicaciones web están vulneradas, creo que este tipo de acciones (las demandas de Microsoft) invitan a que las compañías tengan una responsabilidad por proteger la información y los datos en sus sitios de Internet”, mencionó Vendramini. El riesgo, enfatizó el experto de Symantec, es que, si no se comienzan a tomar medidas correctivas o fomentar una cultura de la seguridad, la situación podría empeorar conforme crezca el número de internautas, en particular en países emergentes como los latinoamericanos. “La parte buena de la penetración de internet y la tecnología es que más gente tiene la oportunidad de, por primera vez, adquirir una computadora. Lo malo es que sin una educación o concientización muchos usuarios van a ser muy susceptibles a todo tipo de ataques”, dijo el director de Ingeniería de Symantec América Latina. De hecho Vendramini confesó que los montos generados por el cibercrimen alrededor del orbe hoy, ya superan a los del tráfico ilegal de drogas. Situación que se reflejada incluso en el número de amenazas que rondan la red, las cuales se incrementaron 70 veces entre 2008 y 20009. “Es imposible predecir que va a pasar en 2010, pero sin lugar a dudas, va a existir un crecimiento de las amenazas dirigidas al robo y venta de información en el mercado negro, combinado con un panorama de crisis económica, personas sin empleo y un ritmo en la expansión del malware completamente desbordado”, apuntó. ●
PRESUPUESTO CRECIMIENTOS MÍNIMOS O NULOS PASAN A LA SEGURIDAD EN IT A UN SEGUNDO PLANO Por Carlos Fernández de Lara carlos@netmedia.info
La crisis económica, la falta de estrategias y soluciones mucho más integrales le pegaron a los departamentos de seguridad informática, de acuerdo con la encuesta de Netmedia Research, 63 por ciento de los entrevistados afirmaron que su presupuesto en este rubro será menor o igual al de 2009.
8 B:SECURE
Octubre, 2009
O 2010:
Octubre, 2009 B:SECURE 9
L
a tormenta y los nubarrones de la crisis económica se alejan y el panorama macroeconómico muestra cielos más despejados. Sin embargo, para los responsables de la seguridad informática dentro de las empresas mexicanas el campo de juego será uno con recursos reducidos, lleno de alta demandas y expectativas, a medida que temas como la protección de datos, el robo de información y los marcos regulatorios ganan notoriedad. Así, el secreto para los CISO o responsables de la seguridad de información en las empresas será saber jugar lo mejor posible sus cartas, y vincular el panorama económico actual al de los riesgos, demandas y exigencias, gubernamentales y comerciales. “En un ambiente económico con mucha incertidumbre como el actual, donde los presupuestos de IT en general se contraen y el gasto se reduce, los tomadores decisiones en seguridad tienen la posibilidad de incrementar sus presupuestos, basados en necesidades y riesgos específicos del negocio”, explicó Adam Hils, analista de Investigación en IT Security de Gartner en entrevista con b:Secure desde Nueva York, Estados Unidos. En otras palabras, los CIO y CISO en México tienen la posibilidad de ver el vaso medio lleno o medio vacío para 2010. Muestra de ello, son los resultados de la encuesta anual de Netmedia Research a 120 profesionales de IT para conocer sus presupuestos e inversión en seguridad para el próximo año. De esta forma, en los próximos doce meses la inversión en sistemas y plataformas de seguridad será mayor únicamente para 26% de
los encuestados, contra 25% que aseguró que tendrá que reducirla y 36% que recibirá el mismo presupuesto del año anterior. Pero una vez analizado dentro del presupuesto total de IT, los siete puntos porcentuales de inversión en seguridad se colocan por debajo de gastos como software (15%), hardware (22%), servicios (12%) y telecomunicaciones (9%). Es decir, del 27% de los entrevistados que recibirán un presupuesto menor o de hasta 50 mil dólares para 2010, únicamente 3.5 dólares serán dedicados al desarrollo e implementación de sistemas o plataformas de seguridad de la información. Situación que se agrava, si se toma en cuenta que 8% de los encuestados confesó no contemplar ningún tipo de gasto o presupuesto en seguridad para el próximo año. “Los negocios tienen una urgente necesidad por reconocer que la constante evolución en las amenazas y vulnerabilidades de los sistemas de tecnología, requieren de una mayor inversión en seguridad, cualquier presupuesto menor al 15% del total del gasto en IT será insuficiente para combatir o solucionar estos riesgos potenciales”, dijo Hils de Gartner. NO COMO OTRO GASTO
Los resultados de la encuesta reflejan, que al menos en México, el gasto en seguridad está muy vinculado a la existencia o ausencia del Chief Information Security Officer (CISO) o, de una figura responsable de este departamento.
EL VASO, ¿MEDIO LLENO O MEDIO VACÍO?
SÍ SE INVIERTE, PERO POCO
El presupuesto dedicado a seguridad para 2010 será:
¿Cómo será distribuido su presupuesto en 2010?
No respondió 2.63% No contemplo presupuesto de seguridad 7.89%
Mayor
Otros 0.97%
26.32%
Prestaciones 1.26%
Software 15.49%
Viáticos 1.45%
Hardware 22.93%
Sueldos 12.82% Servidores 4.18% Soporte 4.55% Hosting 3.55%
Telecomunicaciones 9.57% Igual 36.84%
Seguridad 7.25% Menor
26.32%
Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
10 B:SECURE
Octubre, 2009
Servicios IT 11.82%
Investigación 4.16% Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
HABRÁ POCA PLATA
PREVENTIVOS Y CUMPLIDORES
¿Cuál será su presupuesto IT para 2010?
Su inversión en sistemas, programas o consultoría en seguridad ¿fueron reflejo de?
$25 millones - $50 millones
2.70%
$10 millones - $25 millones
2.70%
$7 millones - $10 millones
8.12%
No respondió
2.70%
Cambios en las políticas internas
39.47%
Menos de $50,000
27.03%
$2 millones - $4 millones
Regulaciones nacionales o internacionales 15.79%
13.51%
$800,000 - $1 millón
$50,000 - $100,000
2.70%
18.42%
Como acción preventiva
57.89%
13.51%
$400,000 -$600,000
5.41%
$200,000 - $400,000
En respuesta a un incidente
10.81%
$100,000 - $200,000
10.81%
Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
El análisis de Netmedia Research, reveló que si bien, 44% de los entrevistados aseguró que su departamento de seguridad contempla la figura y cargo del CISO en su organización, el otro 42% reconoció que dicho cargo no existe dentro de la compañía. “Aunque en muchos casos el CIO decide sobre todo los temas y gastos en IT, sobre todo en las grandes empresas, es difícil que tenga un conocimiento puntual de cada área y proceso. La existencia del CISO entrega un panorama mucho más específico sobre los riesgos y necesidades que la compañía enfrenta en esta materia”, afirmó Hils de Gartner. Fenómeno que muchas veces refleja el actuar de los departamentos de IT en el país, pues ante la falta de visibilidad sobre los riesgos o vulnerabilidades en el negocio, se ve obligado a operar bajo un esquema mucho más reactivo que proactivo. De hecho, la encuesta muestra que los principales factores que impulsan la inversión en seguridad dentro de las compañías, se deben al desarrollo de nuevas políticas internas (40%), como parte de un programa de cumplimiento a regulaciones nacionales o internacionales (16%) o en respuesta a un incidente en la infraestructura de IT (18 %). “A diferencia de otras soluciones o plataformas de IT, la inversión en seguridad, pocas veces puede estar sustentada en Retornos sobre la Inversión (ROI, en inglés), por lo que su gasto se basa en el desarrollo de análisis de riesgos y mediciones sobre qué pasaría si se perdiera tal información o si dejara de funcionar cierta aplicación. En ese sentido, es mucho más complejo justificar el gasto”, dijo Marisela de la Cruz, analista de Investigación para el programa de software de IDC México. La analista informó que datos generales de IDC para el mercado de seguridad en México muestran que 2009, con todo y el panora-
ma económico, podría cerrar con un crecimiento de 3.4% con respecto a 2008, para alcanzar un valor de mercado de 109 millones de dólares. Esto, principalmente como consecuencia del aumento de casi 30% en el tipo de cambio del dólar frente al peso mexicano, durante la primera mitad de 2009, el cual complicó la compra o desarrollo de proyectos en la industria de IT en general.
LA SEGURIDAD SE SIGUE BASANDO EN SOFTWARE ¿En qué sistema de seguridad invertirá su presupuesto IT en 2010? Nuevo proyecto Software
18.92% 16.22%
Hardware
13.51% 27.03%
Análisis de riesgos
10.81% 18.92%
Concientización del personal
8.11% 16.22%
Normatividad/Políticas
5.41% 16.22%
Detección de vulnerabilidades
16.22% 21.62%
Mantenimiento
Plan de continuidad de negocios 13.51%
24.32% Plan de recuperación ante
desastres
16.22% 16.22%
Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
Octubre, 2009 B:SECURE 11
LAS NUEVAS URGENCIAS PARA EL CISO
EL VALOR DEL LOS CISO ¿A MICHAS?
¿Qué aspectos busca cubrir con mayor urgencia en el área de seguridad?
¿Su empresa cuenta con un encargado en seguridad en IT (CISO)?
Seguridad de información y control de eventos
68.42%
Protección y seguridad en correo electrónico
28.95%
Secure Web Gateway Appliance
31.58%
Soluciones de Web Access Management (WAM)
18.42%
Plataformas de protección de punto a punto (EPP)
7.89%
Gasto en campañas o cursos de educación y concientización
18.42%
No respondió
No
13.16%
Sí
44.74%
42.11%
Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
Y si bien, el nicho de seguridad perdió su crecimiento de doble dígito y el escenario para 2010 será conservador, de la Cruz afirmó que 38% de las empresas mexicanas están dispuestas a invertir en esta área. Los expertos de IDC y Gartner refirieron que, aunque cerca del 70% de la inversión en seguridad todavía se concentra en rubros como soluciones de software de seguridad y sistemas firewall, tópicos como la administración de riesgos, recuperación ante desastres, control de accesos, la tercerización de servicios de temas de seguri-
dad en email, cumplimiento, consultoría, auditorías y revisiones ya forman parte de la discusiones en el uso del presupuesto. Realidad soportada en los datos obtenidos de La encuesta de presupuesto 2010 de Netmedia Research, donde casi siete de cada diez CIO y CISO miran temas el resguardo de la información y el control de eventos como uno de los aspectos más urgentes a cubrir en este campo. Así, la protección contra incidentes y el robo de datos, es incluso dos veces más urgente para los CISO de México, que tópicos como: Seguridad en la infraestructura Web (Secure Web Gateway Appliance) con 32%, la protección y seguridad en correo electrónico (29%) o las plataformas de Web Access Management con 18%. “El reto de los responsables de seguridad ya no es buscar tecnología basada exclusivamente en las necesidades de seguridad de la empresa, sino en encontrar soluciones integrales que entreguen productividad y desempeño a la organización, pero también que ayuden a cumplir con regulaciones, que incluyan, o por lo menos aborden, el tema de seguridad”, apuntó de la Cruz de IDC. Difíciles, con crisis económica o en plena recesión, en los próximos doce meses los CISO de México, todavía tienen un as bajo la manga para justificar la inversión en seguridad, pues en la llamada Era de la información ningún gasto, por más elevado que sea, podría alcanzar el valor real de los datos de la organización. “Podrán reducir el presupuesto, recortar personal de IT o eliminar gastos, pero las empresas ya no pueden darse el lujo de no hacer pruebas de seguridad, análisis de riesgos o contar con sistemas de protección, al menos no si quieren competir en el siglo XXI”, afirmó Hils de Gartner. ●
LAS FOBIAS DE LOS CISO ¿Cuáles son sus mayores preocupaciones en cuanto a seguridad se refiere para 2010? Ausencia de sistemas de respaldo o recuperación ante desastres
No cumplir cabalmente con las regulaciones o estándares 9.04%
10.56%
Ataques externos 36.09%
Robo de información
21.01% Falta de regulación interna y educación a los usuarios 23.30% Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.
12 B:SECURE
Octubre, 2009
ACCESO INFECTADOS HASTA POR MEDIO AÑO UN ESTUDIO DE TREND MICRO SOSTIENE QUE LA MAYORÍA DE LAS COMPUTADORAS PERMANECEN INFECTADAS HASTA SEIS MESES SIN QUE SUS DUEÑOS LO SEPAN
Por Carlos Fernández de Lara
S
in tu consentimiento y conocimiento tu computadora podría llevar un semestre infectada, como zombi de una red bot, distribuyendo malware o simplemente con algún código malicioso recabando tu información personal o empresarial más sensible, para obtener un beneficio económico de ella, de acuerdo al estudio The Internet Infestation publicado por Trend Micro. El análisis de la firma de seguridad informática desechó los reportes previos sobre el lapso mínimo de infección de las computadoras comprometidas, el cual rondaba las seis semanas, pues luego de revisar más de 100 millones de direcciones de internet (IP) detectaron que el promedio de permanencia del malware en las máquinas rebasa hasta los dos años de vida. “Durante el análisis de las 100 millones de IP vulneradas, Trend Micro detectó que la media de infección en las máquinas es de 300 días, hasta los dos años. Según nuestras estadísticas 80% de las computadoras llevan infectadas más de un mes sin que los usuarios estén enterados”, citan los resultados del reporte. Una realidad que contrasta con el cibercrimen y los códigos maliciosos de hace una década, que se hacían notar en los sistemas de cómputo de los usuarios al impactar en su desempeño o, borrar los archivos de arranque o de registro del equipo, explicó Juan Pablo Castro, coordinador de Tecnología para Trend Micro América Latina. “Con anterioridad, uno se daba cuenta de que su computadora estaba infectada y realizaba alguna acción para corregirlo, que podía ser actualizar su antivirus, aplicar parches o realizar una exploración manual de archivos. Hoy, los cibercriminales crean amenazas cuyo propósito es pasar desapercibidas la mayor cantidad de tiempo para robar información o utilizar las máquinas infectadas para realizar ataques o distribución de malware” dijo Castro en entrevista con b:Secure. El peligro de que los sistemas de cómputo permanezcan expuestos o vulnerados durante un tiempo prolongado, es que permite a las amenazas actualizarse para eludir los mecanismos de seguridad, o para actuar como puerta de entrada de nuevos códigos maliciosos. “Es imposible determinar la cantidad de componentes de un mismo o diferentes malware en un sistema, pues una nueva amenaza nace cada dos segundos lo que indica, que éstas tienen mecanismos de actualización. Al
mismo tiempo en los laboratorios de Trend Micro hemos detectado como una misma amenaza funciona como la puerta de entrada de múltiples códigos maliciosos, que son descargadas de internet automáticamente”, informó Castro. El ejecutivo refirió que los análisis de Trend Micro demuestran que el mayor foco de infección se encuentra entre los usuarios finales, quienes representaron 75% del total de computadoras infectadas, contra 25% de equipos vulnerados, que se encontraron en los ambientes empresariales y entidades de gobierno. Y es un problema que parece a penas estar comenzando, pues el experto aseguró que la Infestación de Maleware en la web no es un tema menor, pues actualmente más de 23 millones de IP activas están infectadas o comprometidas. Los análisis de Trend Micro, compartió Castro, muestran indicios de que cientos de cibercriminales controlan más de 100 millones de PC alrededor del mundo y, que hoy forman parte de gigantescas botnets, redes de computadores comúnmente utilizadas para generar distribuciones masivas de malware y spam, hacer fraudes, robo de identidades o información y desplegar ataques de denegación de servicio (DoS, en inglés). Y si bien, el desconocimiento del usuario a la hora de navegar por la red, combinado con el uso de software de seguridad apócrifo son algunos de los principales factores que promueven la infección y permanencia de los códigos maliciosos en las computadoras, Castro confesó, que la realidad es que la soluciones de seguridad “tradicionales” ya no son tan efectivas como antes en el combate al cibercrimen. “Las soluciones tradicionales de antivirus ya no se dan abasto con el volumen actual de las amenazas, nuestras estadísticas estiman que se crea una nueva amenaza cada dos segundos, y que 92% de estas, llegan a las computadoras a través de la navegación en internet”, apuntó el ejecutivo de Trend Micro. Fenómeno que demanda una transformación en el paradigma de las soluciones de seguridad, que cuentan con sistema de protección de amenazas en la web, así como en la capa de exposición y no solo en la capa de infección de los sistemas, dijo Castro. ● Octubre, 2009 B:SECURE 13
ACCESO
POCOS VEN AL CELULAR COMO MEDIO DE PAGO: VISA A PESAR DE SUPERAR CASI TRES A UNO A LAS TARJETAS BANCARIAS, EL DESARROLLO DE PROYECTOS PARA GENERAR PAGOS ELECTRÓNICOS A TRAVÉS DEL TELÉFONO CELULAR AÚN ES MÍNIMA EN TODO EL PLANETA.
L
a posibilidad de generar transacciones, transferencias o pagos electrónicos por medio de teléfonos móviles es todavía mínima, con proyectos pequeños y de mediano impacto, dado que ni los operadores ni las instituciones financieras lo ven como un canal real para bancarizar al resto de la sociedad, a pesar de su penetración masiva en todo el orbe, aseguró José María Ayuso, director Regional de productos para América Latina y el Caribe de Visa. En el marco del Visa Innovation Day, organizado por una de las empresas más grandes de pagos electrónicos en el mundo, Ayuso mencionó, que si bien, en el mundo existen más de 4,000 millones de teléfonos móviles contra las más de 1,700 millones de tarjetas de bancarias, el pago con celulares no está respaldado con proyectos de alto impacto, en las agendas de los involucrados. “Ni los operadores ni los bancos, salvo en países como Japón, tienen en su agenda el tema o urgencia por desarrollar proyectos de alto impacto y alcance, para utilizar los teléfonos móviles como medio de pago o transacciones electrónicas.”, comentó Ayuso. El ejecutivo de Visa aseguró, que en países como México se estima que la penetración de la telefonía móvil rebase los 80 millones de usuarios para 2010, mientras que cifras de firmas consultoría como Gartner e IDC afirman que en toda América Latina el número de celulares alcanza los 400 millones de equipos. Datos que son reflejo del respaldo y desarrollo de las tecnologías de dinero móvil, que Visa busca promocionar entre las instituciones bancarias y actores del sistema financiero de México y Latinoamérica. Entre las que se encuentran los pagos móviles, transferencias vía celular y servicios de valor agregado. “Existen casi tres veces más teléfonos móviles que tarjetas bancarias en el mundo y todos esos usuarios ya están conectados a una red de comunicación que puede ser aprovechada por los bancos. Los pagos electrónicos con el celular abren nuevas oportunidades de negocio y crecimiento para personas que, hasta ahora, han estado al margen de los servicio financieros”, explicó Tim Attinger, director global de productos de innovación y desarrollo de Visa. En ese sentido, Attinger explicó que en México la existencia de servicios de transferencias bancarias vía celular podrían ser de gran impacto en el envío inmediato de los más de 25,000 millones de dólares en remesas, que 14 B:SECURE
Octubre, 2009
cada año los mexicanos inmigrantes mandan a sus familiares, sin necesidad de trasladarse al banco o anotar códigos y claves de verificación para el cobro del efectivo. Pero más allá de los pagos electrónicos con teléfonos móviles, los ejecutivos de Visa comentaron que la empresa también busca promocionar nuevas tecnologías en los gobiernos, comercios y el internet de los países de América Latina. Así, además de las tarjetas con chip, la firma busca introducir al país el desarrollo de servicios como las tarjetas de crédito y débito con tecnología de radio frecuencia (RFID, en inglés), mejor conocida como Contactless, las cuales capturan los datos transmitidos por el plástico de manera inalámbrica y en forma similar a la tecnología actualmente empleada en diversos sistemas de transporte público en México y otros países de la región. Con el nombre de Visa Paywave está tecnología promete agilizar los pagos electrónicos hasta 40%, al eliminar la necesidad de firmar el recibo de cobro en transacciones menores a los 25 dólares. El comercio electrónico es otro de los campos en los que Visa planteó la posibilidad de recuperar su trono perdido ante plataformas en línea de pagos electrónicos como PayPal, un servicio propiedad de eBay que tan sólo el año pasado manejó un volumen de transacciones superior a los 2.3 mil millones de dólares, de acuerdo a su reporte financiero de 2008. Y si bien, los tres mil millones de dólares que PayPal manejó en 2008 no tienen comparación contra los 4.3 billones de dólares en volumen de transacciones que Visa operó el año pasado, Ayuso explicó que la empresa sí ha perdido terreno en el campo del comercio electrónico contra otras compañías. “Nos ha faltado mucha educación y acercamiento con los usuarios, que creyeron que servicios como PayPal eran mucho más seguros para las compras y transacciones en internet, cuando la realidad es que no es así”, dijo. Para quitarse el mal sabor de boca Visa ha desarrollado Verified by Visa, un sistema que resguarda la integridad de los datos del usuario y promete mejorar la experiencia de compra a través de una interfaz mucho más amigable y sencilla de utilizar, aseguró Ayuso. “El comercio electrónico todavía representa una mínima parte del Producto Interno Bruto en la gran mayoría de los países de América Latina y el mundo, sin embargo, de todos los segmentos de negocios es el que mayor crecimiento presenta año con año y su valor, sin duda seguirá aumentando”, afirmó el ejecutivo. ●
for
BUSINESS PEOPLE
ESTRATEGIA DE SEGURIDAD UN ENFOQUE PRÁCTICO Y PRAGMÁTICO Por Adrián Palma
U
no de los errores más comunes dentro de las organizaciones en materia de seguridad de la información, es el ser reactivos, correctivos y netamente operativos. Esto, invariablemente conduce a desperdicios de recursos, esfuerzos y pérdida de objetivos con trabajos subsecuentes. En el mundo de hoy, donde los ajustes presupuestales están a la orden del día y las limitantes de tiempo son toda una realidad, es de suma importancia que los programas de seguridad de la información sean cuidadosamente pensados y orquestados para asegurar que se sigue el camino más eficiente y efectivo y, en algunos casos el camino necesario para lograr los objetivos: PeroSegunda el problema dese2presenta partesal no 16 B:SECURE
Octubre, 2009
Primera de Tres Partes pensar y actuar desde un punto de vista estratégico. El pensar estratégicamente tendría los siguientes beneficios:
USTED NO PUEDE ASEGURAR TODO La primera tarea para realizar un enfoque pragmático para la seguridad de la información es que no podemos asegurar todo. Es mas, hoy, las empresas deben de hablar de cuál es el nivel de riesgo aceptable con el que pueden vivir dichas organizaciones, a mucha gente le son familiares los esquemas de controles de seguridad de la industria reconocidos como ISO 27002, el cual hace hincapié sobre un enfoque integral para la seguridad de la información. A pesar que estos estándares suenen
demasiado teóricos, hay una brecha entre las implementaciones del mundo real y los ideales establecidos por este estándar. La diferencia entre un novato y un experto de seguridad de la información, es que el último utiliza un filtro pragmático para extrapolar y enfocar sobre los componentes de este estándar, para alinearlos con las supuestas estrategias del negocio, las limitaciones de recursos y los diferentes contextos del Compliance. Se está prácticamente atacando la idea de construir un programa de seguridad de la información que intente hacer un poco de todo, pero que pierde el punto del manejo de riesgos de seguridad en el mundo real de lo que requiere el negocio o la institución. La siguiente lista describe las cinco primeras razones del porqué el asegurar todo, no es una opción en el mundo real. Razón 1. Todo se convierte en alta prioridad. Cuando todo es alta prioridad, nada es de alta prioridad. La inhabilidad para priorizar conducirá al mal manejo de los recursos, hasta detener el progreso sobre el manejo de áreas de alto riesgo. Mientras se está tratando de tapar cada hueco en la infraestructura, el siguiente virus brota o se lleva acabo un incidente de robo de información, que golpeará la parte medular de su operación porque se estuvo muy ocupado identificando y dedicando recursos para remediar las vulnerabilidades “más críticas”, sin en realidad serlas. Razón 2. Múltiples proyectos relacionados con seguridad. Para asegurar todo, usted necesitará empezar múltiples iniciativas de seguridad. Cada iniciativa tendrá la misma problemática de los recursos limitados. A menos que usted tenga acceso a un ilimitado grupo de talento, que pueda completar iniciativas en un corto tiempo, nos encontraremos ante proyectos de seguridad de la información sepultados bajo un montón de iniciativas sin terminar, que ayudan muy poco para ampliar el alcance de seguridad dentro y a través de la organización. Razón 3. Costará mucho. No podemos asegurar todo porque simple y sencillamente esto es imposible, en la teoría básica de riesgos, no existe control que mitigue las vulnerabilidades al 100% en cada área de seguridad. En una organización se podría gastar una fortuna en herramientas, dispositivos, proyectos y servicios profesionales y, estos tendrían que ser adheridos a costos de contratación de personal para el manejo y monitoreo de herramientas y dispositivos de seguridad establecidos en las áreas involucradas. Esto, sin tener un valor real, ya que tendríamos una organización totalmente inoperante y sin contar con las ventajas competitivas que nos brinda el uso de tecnología. También se dificultaría encontrar personal de experiencia y calidad para contratar. La seguridad es un centro de costo en la mayoría de las organizaciones y muy constantemente se tiene que probar su valor real para justificar cualquier tipo de gasto o inversión. Razón 4. La organización es un blanco en movimiento. Usted no puede asegurar todo, porque todo se encuentra en constante cambio. Los riesgos de seguridad, según el negocio, toman diferentes rumbos para ajustarse a la dinámica de la industria a la cual pertenece la organización. Se establecerán soluciones que se vuelvan anticuadas cuando el ambiente, que se está pro-
tegiendo cambia debido a que se implementa seguridad por el simple hecho de hacerlo; en muchas compañías esto parece ocurrir diariamente. Se tiene un problema muy fuerte en no entender que la seguridad es un proceso y, como tal debe de actualizarse, mantenerse y por supuesto mejorarse debido a los cambios constantes y nuevas amenazas que afectan a la seguridad. Razón 5. Se promueve la mediocridad. Debido a los limitados presupuestos los recursos no son suficientes y los famosos deadlines hacen que las implementaciones de seguridad sólo se vean desde la óptica técnica, más no de lo que realmente requiere la compañía, en cuestión de procesos y gente. El enfoque para cubrir cada área, por lo tanto, está dirigido a una cultura de mediocridad, en la cual los productos de seguridad no se sabe a ciencia cierta, si realmente son lo que necesita la organización y si lo fueran, no son lo suficientemente customizados y configurados a lo que se requiere por parte de la empresa, ya que se implementan al científico método de la ensayo y error. Esto, hace que las implementaciones tecnológicas no cumplan con los requerimientos y necesidades de la firma.
¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN? La mayoría de los libros de seguridad y los “best practices” le dirán que la seguridad de la información trata con la confidencialidad, integridad y disponibilidad de los datos. No discutiremos con esta verdadera y probada doctrina, nuestro objetivo, es lograr un acercamiento al problema de seguridad desde un ángulo más pragmático. ¿Por qué esta su organización invirtiendo tiempo y recursos en seguridad de la información? Esencialmente, la dirección reconoce que este es el costo de hacer negocios en un mundo altamente conectado y automatizado. Lo ideal sería, que no con grandes inversiones fuese posible asegurar que los controles apropiados están en el lugar adecuado, para prevenir los incidentes mayores de seguridad y, de paso para cumplir con los marcos regulatorios aplicables a la empresa. A continuación, algunos de los objetivos que se deberían de tener en materia de seguridad: UÊ ÞÕ`>Ê> Ê i} V ]ÊV ViÀÊ ÃÊ L iÌ Û ÃÊ`iÊÃi}ÕÀ `>`]ÊÃÕÃÊV ÃÌ Ã]Ê efectividad y su eficacia. UÊ Ãi}ÕÀ>ÀÊ ÃÊ«iÀ ` ÃÊ`iÊ >VÌ Û `>`Ê«>À>ÊvÕ V iÃÊVÀ Ì V>ÃÊ`iÊ negocio debido a incidentes de seguridad. UÊ Ãi}ÕÀ>ÀÊ >Ê >ÊiÝ« à V Ê`iÊ ÃÊ`>Ì ÃÊ`iL ` Ê>Ê V `i ÌiÃÊ`iÊ seguridad. UÊ 6 } >ÀÊi ÊVÕ « i Ì Ê`iÊ >ÃÊÀi}Õ >V iÃÊÞÊ>Õ` Ì À >ÃÊiÝÌiÀ >ÃÊi Ê >ÃÊ diversas áreas de seguridad de la información. UÊ *À ÛiiÀÊiÝ>VÌ ÌÕ`]ÊÀi iÛ> V >Êi Ê ÃÊÀi« ÀÌiÃÊ`iÊÃi}ÕÀ `>`ÊÞÊÃÕÊ respectiva concientización. UÊ Ãi}ÕÀ>ÀÊÕ Ê > i ÊiviVÌ Û Ê`iÊ ÃÊÀiVÕÀà ÃÊ`iÊ >ÊvÕ V Ê`iÊÃi}ÕÀ `>`Ê (incluyendo personal y presupuesto). En la siguiente entrega hablaremos de los filtros pragmáticos para una estrategia pragmática y práctica de la seguridad. ● Continuará…
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de
Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM así como de la maestría de seguridad de la información del CESNAV y la UPIICSA, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org. Octubre, 2009
B:SECURE 17
ÁREARESTRINGIDA HASH SHA-3 DEFINE SUS REGLAS DE PRESENTACIÓN Por Roberto Gómez Cárdenas
L
os algoritmos hash se utilizan para cuidar la integridad de un mensaje y/o archivo. Los algoritmos más utilizados eran MD5 y SHA-1. Sin embargo a partir del 2004 se empezaron a encontrar vulnerabilidades en los dos algoritmos, así como colisiones. Lo anterior pone en peligro las aplicaciones que se basan en estos algoritmos, como firma digital, verificación de integridad de archivos, certificados digitales y otros. En reacción a lo anterior se decidió definir un nuevo algoritmo de hash. El NIST publicó un draft sobre los requerimientos de evaluación y criterios de SHA-3, los cuales fueron actualizados posteriormente basados en la retroalimentación de todo el público. La fecha límite para entregar propuestas fue el 31 de octubre del 2008. Se recibieron 64 propuestas, que representan una gran diferencia con respecto a las 21 que recibieron para la elección del algoritmo, que es la base del nuevo estándar de cifrado AES. De acuerdo al draft publicado en enero del 2007 y actualizado en noviembre del mismo año, la propuesta debe incluir una explicación del algoritmo así como una referencia a una implementación en lenguaje C y a una implementación optimizada. El algoritmo se dará a conocer a todo el mundo, sin restricción alguna y debe ser de distribución libre. Este debe poder implementarse en un amplio rango de plataformas hardware y software. Por otro lado, debe soportar huellas digitales de 224, 256, 384 y 512 bits, y debe soportar una longitud máxima de mensaje de al menos 264 - 1 bits. Los criterios de evaluación incluyen seguridad, costos y características de implantación. Entre los criterios de seguridad se considera seguridad dentro de aplicaciones, específicamente cuando son usados para soportar HMAC, funciones pseudo aleatorias y hashing aleatorio. El algoritmo en sí debe mostrar resistencia a colisiones, no ser vulnerable a ataques de preimagenes de aproximadamente n bits, resistente a ataques de preimagenes secundarias de aproximadamente n-k bits para cualquier mensaje menor a 2k bits, y mostrar fortaleza frente a ataques de extensión larga. Con respecto al costo, se pone atención a la eficiencia computacional y requerimientos de memoria. La flexibilidad y simplicidad son las características de implementación a considerar en la evaluación de la propuesta. HMAC (Hash MAC) se refiere al cálculo de un MAC (Message Authentication Code) usando una función hash. Por otro lado, el hashing aleatorio consiste en un modo de operación aleatoria para funciones hash. Puede ser usado con cualquier función hash llevando a cabo una suma modulo 2 de datos aleatorios con la entrada. El ataque de colisión consiste en encontrar dos mensajes diferentes m1 y m2, cuyo hash sea el mismo: hash(m1) = hash(m2). En un ataque de preimagen, dado un hash h, el adversario debe encontrar un mensaje m tal que h = hash(m). Por otro lado, en un ataque de preimagen 18 B:SECURE Octubre, 2009
secundaria, dado un mensaje m1 el adversario debe encontrar un mensaje m2 (diferente a m1) tal que su hash sea el mismo: h(m1) = h(m2). En un ataque de extensión de la longitud, dados h(m) y len(m) pero no m, eligiendo un m’ adecuado, el atacante puede calcular h(m||m’), donde || significa una concatenación. Esto último se puede usar para romper algunos sistemas de autenticación basados en funciones hash. Antes de la primera ronda se eliminaron 15 propuestas ya que se consideraron rotas o fueron retiradas por sus diseñadores. En la primera ronda fueron eliminadas otras 27 propuestas y en la segunda ronda 22 más. Los algoritmos que pasaron a la siguiente etapa son BLAKE, Blue Midnight Wish, CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, y Skein. Una de las sorpresas fue el hecho de que el algoritmo MD6 no pasara a la siguiente etapa. El autor, Ron Rivest, envió un correo al comité del NIST indicando que el algoritmo no estaba listo para la siguiente ronda. Aparentemente el problema es, que para que el algoritmo cumpla con los requerimientos de desempeño es necesario reducir el número de iteraciones en unas 40 o 30, lo que provocaría una reducción de ataques de diferencia. A excepción de Ron Rivest y MD6, entre los semifinalistas se encuentran propuestas realizadas por las mismas personas cuyos algoritmos fueron finalistas en AES. Uno de los autores de Grøstl es Lars R. Kundsen, quien fue parte del equipo que diseño Serpent. Fugue fue propuesto por IBM, que concibió Mars. Skein fue presentado por el grupo de Bruce Schneider, que es el mismo que creó Twofish. Por último, dentro de la gente que diseñó Keccak se encuentra Joan Daemen coautor del algoritmo Rijndael que fue seleccionado como el nuevo estándar de cifrado AES. Como parte del proceso de selección y evaluación, se les permite a los autores de las propuestas el realizar ajustes a sus algoritmos que pasaron a la segunda ronda. Todas las propuestas e implementaciones se encuentran disponibles para todo el mundo. El NIST llevará a cabo sus propias pruebas, pero nada impide al resto de la comunidad el hacer las suyas propias e informar lo encontrado. El NIST ( National Instute of Standards and Technology) no es una organización internacional como la OSI. Es el encargado de definir estándares para su uso federal, en este caso el departamento de Comercio, en Estados Unidos. Sin embargo, sus estándares son adoptados rápidamente por otros países y organizaciones. De acuerdo al calendario del NIST el grupo finalista será elegido para el 2010 y el algoritmo ganador será anunciado en el 2012. Aún falta tiempo para la decisión final pero debemos estar preparados para el anuncio y las repercusiones que éste tendrá. Por el momento, es importante recordar que tanto MD5 como SHA-1 son vulnerables y no deben ser usados. En su lugar se recomienda usar SHA-2. ●
´ OPINIÓN ¿CLOUD COMPUTING? Por Andrés Velázquez
C
loud Computing es un término que últimamente está de moda, pero que pocos conocen lo que realmente es. Mi mejor amigo trabaja como editor de deportes de un portal muy conocido en México. A pesar de que no es una persona que haya estudiado sistemas, siempre busca estar a la vanguardia o por lo menos, me pregunta mucho acerca de tecnología. Todos los martes (cuando me encuentro en México) tratamos de salir a probar nuevas taquerías y platicar. Hace unos días, platicábamos acerca de GoogleDocs y Microsoft Office Live, herramientas que he estado probando y usando. Pocas personas conocen lo que realmente son y cómo funcionan, pero son cada vez más quienes las ocupan. Mientras cenábamos unos tacos de bistec, tocino y queso; me tomé la libertad de preguntarle lo que él entendía por Cloud Computing. Después de levantar la mirada y quedarse mudo por un par de segundos, me respondió: “Es lo que te permite trabajar con varias herramientas de Internet; poder acceder a diferentes portales y ocupar lo que cada uno ofrece”. La respuesta me persiguió varios días, por lo que acudí a varias personas, quienes normalmente con una sonrisa me dijeron: “¿Cloud Computing?, ¿tiene que ver con algo como programación?, ¿lluvia de ideas?, ¡es un antivirus!”. En un diagrama de red representamos el Internet como una nube, que esconde configuraciones esotéricas o la transferencia de información por diferentes medios de comunicación. En pocas palabras, esa gran nube (normalmente dibujada con trazos aleatorios) está ahí, pero no queremos entrar a ver cómo está hecha. En esos momentos estaba sorprendido por lo que los usuarios de esta tecnología tenían en mente: Mientras mi PC funcione y mi información esté ahí, no me importa qué o cómo funciona la tecnología; algo que posiblemente usted haya escuchado muchas veces. Reflexioné sobre lo que sucedía y me di cuenta de lo difícil que significa para una persona entender las dificultades o retos que existen en este medio, en cuestión de las custodias de la información, los derechos y obligaciones que adquieren al poner datos en algún lado. En una entrega anterior, pudimos constatar que a las personas se les olvida lo que es información privada, personal y confidencial
y dan por hecho que el Internet es un sitio lleno de amigos. Un usuario, simplemente entiende que su información quizá está en un servidor en Internet, no le importa en qué país o quién tenga acceso; sólo que está en Internet y disponible cuando lo necesite. Pero imagine que usted necesita realizar un respaldo de la información contenida en GoogleDocs. Si tuviera su propio servidor, podría hacerlo sin problemas; pero al ser equipos propiedad de un tercero en Estados Unidos, ¿cómo le haría? Esto se empieza a complicar cuando hay una fuga de información o cuando es necesario hacer una investigación de la información que se encuentra “en la nube”. Aunque Google tiene servidores en todo el mundo, sincronizando su información para que siempre se encuentre disponible; la empresa se rige por las leyes estadunidenses. Una de esas leyes, el ECPA (Electronic Communications Privacy Act), protege a los usuarios de que se divulgue el contenido dentro de un sistema, a menos de que se tenga una orden judicial o que el mismo usuario dé su consentimiento por escrito; lo cual hace sumamente difícil el poder realizar una investigación. Sin entrar en más detalles creo, que como en muchas otras ocasiones, seguimos sin entender la tecnología. Esta claro que no todos podemos estar a la vanguardia y aprender a fondo cada una de ellas, pero tampoco ponemos atención a los temas legales que pueden estar vinculados a las decisiones de poner nuestra información y la de la organización en “la nube”. No voy a definir qué es Cloud Computing, para que usted se dé el tiempo de crear su propio concepto o, para buscarlo en Wikipedia. Pero sin buscarlo en “San Google”; usted qué me respondería: ¿Qué es Cloud Computing? ¿Cómo ayuda a su organización? ¿Existe un riesgo de permitirlo o usarlo dentro de su organización? ● Andrés Velázquez es un mexicano especialista en delitos informá-
ticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. avelazquez@uat. edu Síguelo en Twitter: http://twitter.com/cibercrimen
Octubre, 2009
B:SECURE 19
SINNÚMERO
BIENVENIDOS; A LA ¿WORLD WIDE MALWARE? Para quienes dudan que el cibercrimen y los códigos maliciosos son una simple artimaña para que los empleados de las firmas de seguridad sigan cobrando sus cheques quincenales, basta con revisar las últimas cifras de la proliferación de los riesgos y vulnerabilidades en Internet. De acuerdo al último reporte de Websense sobre el estado de la red, durante 2009 el número de sitios web con contenido malicioso se incrementaron 671%, al compararse con 2008.
UÊ En la primera mitad de 2009 los sitios maliciosos se incrementaron 233% UÊ Çǯ de las páginas en Internet con códigos maliciosos son sitios legítimos, que han sido vulnerados. UÊ Websense detectó que 95% de los comentarios en blog, servicios de mensajería instantánea o plataformas de la Web 2.0, son spam o ligas con códigos maliciosos.
UÊ È ¯ de las páginas web con contenidos para adultos, apuestas, drogas o alcohol contienen una o más ligas con malware oculto.
UÊ De todos los ataques en la red, Îǯ utilizan códigos maliciosos que buscan robar información o datos personales de los usuarios.
UÊ >Ã ÊÃi ÃÊ`iÊV>`>Ê` iâ ataques, enfocados al robo de datos son perpetrados en la Web. UÊ De todos los correos electrónicos que circulan por Internet 85.5% contiene ligas o enlaces a sitios vulnerados con spam o malware.
20 B:SECURE Octubre, 2009