El reto de Códigos la seguridad del horror: y su la lacra de la permanente pornografía evolución infantil en línea
MAGAZINE
Legislación y protección digital para el Perú
1
3 10 12
Transformación digital
EL GRAN RETO 0LA
TITÁNICA TAREA DE AFRONTAR EL CIBER CRIMEN EN ESTE PROCESO
2 OPINIÓN
0EDITORIAL
Comunidad en expansión
L
a colaboración es fundamental para hacer frente a las amenazas contra la información sensible de las empresas e individuos. A inicios del año 2017, cuando los ciberataques y la falta de conciencia en ciberseguridad se intensificaban a nivel mundial, cinco personas a cargo de la seguridad de la información y ciberseguridad en sus empresas empezaron a compartir información sobre ciberataques y medidas de remediación en un grupo de WhatsApp. Hoy, ese grupo es una comunidad con más de mil miembros registrados en el Perú y el mundo. Migramos a un grupo de Telegram, donde 740 miembros intercambian información, realizan consultas, recomiendan mejores prácticas, absuelven las dudas de otros en tiempo real.
E
sta comunidad, CISO Beat, es ahora una organización sin fines de lucro, liderada por oficiales de seguridad de la información en empresas de diversos sectores del país. Con mucha emoción y esfuerzo, hemos logrado concretar esta nueva iniciativa, con el anhelo de llegar a más peruanos y de esta forma apoyar en la madurez de estas materias en nuestra sociedad.1
MAGAZINE
Opuestos, pero complementarios
Cisos y Hackers
Desde la perspectiva de la guerra, somos defensores y atacantes. La evolución de la tecnología lleva a los estos actores a escenarios digitales como nuevos campos de batalla.
T
odas las organizaciones avanzan a su propio ritmo hacia una “transformación digital” cada vez más sólida en una economía global con un vertiginoso crecimiento tecnológico. En este marco la información se convierte en el activo más valioso que se debe proteger de las ciberamenazas. Para esta misión existen profesionales de gran demanda, cada vez más cotizados con perfiles altamente especializados. Conozcamos sus roles y cómo colaboran en beneficio de la ciberseguridad de las empresas. LOS CISOs Como defensor, el CISO (Chief Information Security Officer) es un profesional de nivel ejecutivo, que tiene como rol alinear las estrategias de ciberseguridad con los objetivos de la organización, para garantizar que la información esté protegida adecuadamente. Los CISOs son los responsables de establecer las políticas de seguridad, con los controles y medidas necesarias para mantener la continuidad de las actividades del negocio. El CISO reúne un perfil técnico, con conocimientos de negocios, normativas y bases legales. LOS HACKERS Existen dos tipos de hackers principales: los “White Hat” (sombrero blanco) y los “Black Hat” (sombrero negro). Éstos últimos, llamados también ciber delincuentes, son aquellos que realizan actividades ilícitas para vulnerar y extraer información con-
Es una publicación de CISO Beat, organización que integra a 700 profesionales de la seguridad de la información, de los sectores público y privado.
fidencial, principalmente con un fin monetario. Como atacantes, los “White hat” cuentan con un elevado y diverso conocimiento de las técnicas avanzadas, utilizadas por la ciberdelincuencia para burlar la seguridad de las empresas. Su rol principal es poner a prueba la seguridad de los sistemas informáticos, mediante ataques controlados, legales y autorizados que determinan el grado de exposición ante amenazas reales. Estas actividades son contratadas por diversas organizaciones en condición de servicios de consultoría denominado “Hacking Ético”. El incremento acelerado de las ciber amenazas, genera una genuina preocupación de las organizaciones por proteger y preservar su información como un “activo digital”, pieza clave y fundamental como núcleo de su operación. La ciberdelincuencia evoluciona a un ritmo alarmante, la hiper convergencia de dispositivos, personas y tecnología, generan oportunidades de desarrollo impresionantes, pero también mayores riesgos que deben ser gestionados. Siempre estará en continuo debate la postura de estos profesionales que contribuyen en diversos ámbitos al fortalecimiento de la ciberseguridad. 1
Director: Ernesto Landa Editor General: Fidel Quevedo L. Editor de Diseño: Paul Gibson V. Fotografía: Kimberly Bujayco Colaboradores: Jeimy J. Cano, Giovanni Pichling Zolezzi, Alfredo Alva Lizárraga, Gianncarlo Gómez Morales, Juan Dávila, Erick Iriarte, Marushka Chocobar, Juan Pablo Quiñe, Rafael Bocanegra,Heber Maza, Bárbara Machiori
SEGURIDAD 3
El reto de la seguridad y su permanente evolución
Nuevas experiencias digitales Vivimos en una sociedad de la inmediatez, hemos adoptado y adaptado diversos hábitos de consumo, diversión, comunicación y relacionamiento para hacer ejercicio de nuestra “vida digital”.
E
n 2002, con la aparición de las redes sociales, la revolución socio-tecnológica aceleró notablemente la marcha, en la actualidad millones de personas formamos parte de un mundo virtual. El encuentro de generaciones “análogas” y “digitales” trascendió de forma muy particular, y con los matices y fenómenos propios de una sociedad que ingresa a una nueva era. Según estimaciones de la “International Telecommunications Union”, de los más de 7.7000 millones de habitantes de nuestro planeta, más de 4,300 millones son usuarios de Internet. Siendo el uso de redes sociales el sector que ha tenido mayor crecimiento en estos últimos años, con una cifra que supera el 80%, siendo 9 de cada 10, de los más de 3,190 millones usuarios los que acceden a estos servicios, mediante de un dispositivo móvil. Internet se ha convertido en el principal medio para comunicarse y socializar, las personas publican y comparten información cada vez más abundante y la privacidad pasó a un segundo plano, dando lugar a que instituciones internacionales intervengan para regular mediante normas y leyes la protección de los datos personales de los usuarios. Pero, ¿Cuán vulnerables son las sociedades? El pasado mes de agosto, el Ecuador sufrió una de las fugas de información más grandes de la historia, los datos de más de 20 millones de personas entre niños, adultos, fallecidos y visitantes extranjeros, fue ex-
puesta en Internet. Según opiniones de expertos publicadas en varios foros, con esos grandes volúmenes de información, la potencia del Big Data y la aplicación de IA, podría reconstruirse con facilidad parte de la historia y árbol genealógico a la escala de todo un país. Sin duda, el impacto de Internet en la sociedad ha generado un cambio trascendente entre personas y organizaciones, la ciberseguridad y ciber riesgo son el resultado de una convergencia tecnológica, lo que habilita un intenso flujo de información, ya no solamente entre máquinas y personas, nos desenvolvemos con objetos “inteligentes” enriquecidos con
mayor densidad digital y por lo tanto con mayor conectividad, que originan a su vez mayores riesgos. El nivel de conciencia entre ambos aspectos es un proceso que siempre tomará tiempo, ahora se está desarrollando un cambio generacional de época, y recién se está tomando conciencia que se está un mundo tecnológico y digitalmente modificado, en ese sentido se tiene que entender que el mundo cambió y las relaciones humanas y los negocios también. En ese ejercicio toma tiempo entender que se está en un contexto mucho más conectado y por lo tanto con mayores exigencias desde el punto de vista del negocio como seguridad.
Para poder acortar o entender la brecha, se debe comprender, por lo menos, las motivaciones que hay detrás. Ahora no se requiere surtir necesidades sino desarrollar experiencias en el contexto digital; son las experiencias las que hacen diferencias y ahí es donde hay que trabajar para poder entender que tales, son mucho más confiables. Por ejemplo, hoy por hoy los bancos invitan a sus clientes y no clientes a tener experiencias distintas, los invitan a no ir a las oficinas, a través de una app se puede abrir una cuenta, hacer pagos, transferencias, etc. Es decir, se incorpora a la vida diaria en el contexto digital. A través de la app se puede conectar al banco, es una experiencia diferente, ya no se pierde tiempo, haciendo las cosas mucho más eficientes. Pero hay que recordar que el riesgo siempre está presente, los peligros inherentes a la aplicación, conectividad, a las personas, tecnologías, etc. van a fallar y el momento en el que fallen, tanto el banco como el usuario final, deben tomar acciones frente al evento. Hay que estar preparados, crear el concepto de confianza digital. Esta no será perfecta porque finalmente el banco, la empresa o el cliente se van a equivocar. La ciberseguridad no solo debe comprometer al público en general, debe desarrollar una competencia en gestión segura de la información, entender los riesgos, tomar acciones con riegos informados, es decir, retarnos a nosotros mismos todo el tiempo respecto al entorno que tenemos. Con frecuencia en el contexto digital aparecerán y se generarán tensiones sobre el mundo análogo, el mundo digital tiene unas características y el mundo análogo otras. La seguridad es un elemento fundamental para construir una sociedad digital distinta y mejor. 1
4 CIBERSEGURIDAD Una mirada al marco de seguridad cibernética norteamericano (Cybersecuriry Framework del NIST)
Estándares y tecnología Por: Gianncarlo Gómez Morales (*)
escenario de implementación particular. Los perfiles pueden ser utilizados para identificar las oportunidades para mejorar la postura de ciberseguridad mediante la comparación de un perfil “actual” (el estado “tal cual”) con un perfil “destino” (el estado “ser”). Para desarrollar un Perfil, una organización puede revisar todas las Categorías y Subcategorías y, sobre la base de los impulsores del negocio y una evaluación del riesgo, determinar cuáles son los más importantes; pueden añadir categorías y subcategorías, según sea
L
as amenazas de ciberseguridad explotan la creciente complejidad de los sistemas y aplicaciones de los países, colocando la economía, la seguridad pública y la salud en riesgo. Al igual que el financiero y de reputación, el riesgo de ciberseguridad afecta a los objetivos estratégicos de una empresa. Puede aumentar los costos y afectar los ingresos. Puede dañar la capacidad de una organización para Innovar, brindar servicios, ganar y mantener a los clientes. Para abordar mejor estos riesgos, el Presidente Obama emitió la Orden Ejecutiva (EO) 13636, “Mejora de laCiberseguridad de las Infraestructuras Críticas”, el 12 de febrero de 2013, que establecía que “Es la política de los Estados Unidos mejorar la seguridad y la resiliencia de las Infraestructuras Criticas y mantener un entorno cibernético que fomente la eficiencia, la innovación y la prosperidad económica al mismo tiempo que promueva la seguridad, la confidencialidad comercial, la privacidad y las libertades civiles”. Promulgada esta política, la Orden Ejecutiva solicitaba el desarrollo de un sistema voluntario de Ciberseguridad (Framework), un conjunto de estándares y mejores prácticas de la industria para ayudar a las organizaciones a gestionar los riesgos de Ciberseguridad. El Marco resultante, creado mediante la colaboración entre el Gobierno y el sector privado, utiliza un lenguaje común para abordar el Riesgo cibernético de una manera rentable, basada en las necesidades de las empresas sin colocar requisitos regulatorios adicionales sobre las mismas. El CSF no provee nuevas funciones o categorías de Ciberseguridad, este “framework” recopila las buenas practicas (ISO, ITU, CIS, NIST, entre otros) y las agrupa según afinidad. DESCRIPCIÓNGENERAL DEL MARCO El Marco se centra en el uso de impulsores de negocio para guiar las actividades de ciberseguridad y considerar los riesgos de
ciberseguridad como parte de los procesos de gestión de riesgos de la organización. El Marco consta de tres partes: el Marco básico, el perfil del marco y los Niveles de implementación del marco. El Framework Core es un conjunto de actividades de ciberseguridad, resultados y referencias informativas que son comunes a través de los sectores de infraestructura crítica (Funciones, Categorías y Sub categorías), proporcionando la orientación detallada para el desarrollo de perfiles individuales de la organización. NÚCLEO DEL MARCO El núcleo del Marco proporciona un conjunto de actividades para lograr resultados específicos de ciberseguridad y hace referencia a ejemplos de orientación para lograr esos resultados. El núcleo no es una lista de comprobación de las acciones a realizar. Presenta los resultados clave de ciberseguridad identificados por la industria como útiles para gestionar el riesgo de ciberseguridad. El núcleo comprende cuatro elementos: funciones, categorías, subcategorías y referencias informativas, NIVELES DE IMPLEMENTACIÓN Los niveles de implementación del marco (“Tiers”) proporcionan un contexto sobre cómo una organización ve el riesgo de la ciberseguridad y los procesos implementados para manejar ese riesgo. Las escalas describen el grado en que las prácticas de gestión de riesgo de ciberseguridad de una organización exhiben las características definidas en el Marco
Figura: Categoría de función y de identificadores únicos (Versión 1.1) Fuente: Elaboración Propia
(por ejemplo, riesgo y amenaza, repetible y adaptable). Los Tiers caracterizan las prácticas de una organización en un rango, desde Parcial (Tier 1) hasta Adaptativo (Tier 4). Estos niveles reflejan una progresión desde respuestas informales y reactivas a enfoques que son ágiles y están informados sobre el riesgo. PERFIL DEL MARCO Perfil del Marco representa los resultados basados en las necesidades empresariales que una organización ha seleccionado de las Categorías y Subcategorías. El Perfil puede caracterizarse como la alineación de estándares, directrices y prácticas con el Framework Core en un
necesario para hacer frente a los riesgos de la organización. MÉTODO PARA SU IMPLEMENTACIÓN El Instituto Nacional de Estandares y Tecnologias de los EEEUU (NIST) sugiere unas ecuencia de pasos para l impelemntacion de este marco de trabajo, donde podemos conjugar buenas practicas en eel procesodeimplementacioncomoelISO 27001:2013, el ISO 31000:208, entre otros. 1 (*) Gerente Adjunto de Arquitectura de Seguridad - Banco de Crédito del Perú Docente de Postgrado - ESAN InformationSecurity ManagementSystemsAuditor ISO 27001:2013 - Licencia IT2408397 ISO 22301, ISO 31000, ISO 29100, UNE 166002
CIBERSEGURIDAD 5
Visión proactiva en defensa de infraestructura
La industria 4.0 no puede avanzar sin la integración de los sistemas de tecnología de información (IT) y lo sistemas de tecnología operacional (OT), la convergencia en ciberseguridad se convierte en la piedra angular para su desarrollo y crecimiento sostenido.
E
n este contexto el especialista Hernán Vásquez funcionario de ARPEL, organismo de empresas e instituciones del sector petróleo, gas y biocombustibles en Latinoamérica y el Caribe, nos comparte sus apreciaciones y la misión de la institución. ARPEL tiene 53 años, su sede física está en Montevideo porque hubo una época en que Uruguay daba mucha facilidad a los organismos internacionales para ubicarse en el país. Tenemos un homónimo en Uruguay, un organismo internacional de empresas eléctricas que operan en Latinoamérica y el Caribe pero no están tan avanzados como nosotros en lo referente a ciberseguridad. Ahora ya hay preocupación en el tema de infraestructura crítica de la electricidad. Hay muchas cosas críticas, la electricidad, el petróleo, agua hospitales cosas del estado, etc. Hace unos años estos organismos muestran interés para encarar el tema de ciberseguridad ya que tienen infraestructuras críticas importantes como son las refinerías, los gasoductos, oleoductos, etc. teniendo que empezar a tener una visión adelantada, proactiva de cómo defender esas infraestructuras. Más aún cuando ya hubo infraestructuras que han sido atacadas, lo cual indica que debemos estar preparados para un ataque. Lo primero es empezar a trabajar en conjunto, las empresas públicas, privadas tienen que ayudar a la unión de las diferentes tecnologías, como son la tecnología de IT / OT (Tecnología de In-
Especialista Hernán Vásquez funcionario de ARPEL.
formación y Operación respectivamente) zación, tratando de atraer lo que sería la Los operadores de estas tecnologías no alta gerencia de las empresas a esos evensabían lo que hacia el otro, trabajaban muy tos, porque son ellos quienes van apoyar separados ahora van a tener que trabajar esos sistemas, plataformas, estrategias de en conjunto. La gente de OT se va a dar Ciberseguridad dentro de las empresas. cuenta que IT quiere ayudar a mantener el Trabajamos con la OEA quien es un aliado negocio funcionando y a proteger lo que bastante estratégico en cuanto a difusión son sus infraestructuras. Para entender un y concientización se refiere. poco sobre estas tecnologías es necesario Apuntamos a todo eso para no repetir saber que la OT se orientan a hacer funcio- los ataques desastrosos como el que se nar la empresa a como produjo en Irán, se dé lugar. El enfoque es Los operadores de supone que fueron la maquinaría, la produc- estas tecnologías no los servicios israelíes ción y todo lo relaciona- sabían lo que hacia con los americanos el otro, trabajaban do con la operación. La los que atacaron las IT por el contrario, pre- muy separados ahora centrifugadoras de tende que cada empre- van a tener que Uranio de la planta trabajar en conjunto sa, desde su planeación, nucleares de Irán, las incluso antes de operar, pasaron de revoluconstruya un plan de sistemas, como el ciones y se rompió todo lo que era ese arquitecto que antes de comenzar una sistema de control de uranio. En Ucrania construcción, hace planos de todo para también se dio de baja todo lo que era avanzar en forma sistematizada y ordena- la parte eléctrica y de comunicaciones, da y conseguir los resultados esperados. así la gente no podía reclamar o decir ARPEL realizó dos eventos uno en el que no tenía electricidad, luego Estonia 2016 y otro el año pasado, este último que, al independizarse de Rusia, fueron fue más grande hubo más de repercusión atacados bastante fuerte, aunque esto les fueron más de 220 personas de diferentes sirvió para madurar mucho en cuanto a países. Nosotros siempre estamos tratan- la ciberseguridad y ahora es uno de los do de generar lo que se llama concienti- países más adelantados en la temática,
es un referente. A partir de la década del 2000 ya empezaron a ver ataques, fueron ataques no tan profesionales, pero fueron avanzando mucho.Ahora ya estamos en el apogeo del ciberdelito así como el servicio del ciberdelito para ganar plata. En Internet hay herramientas que muestran cuales son los equipos de infraestructura crítica que están abiertos al mundo y que tienen vulnerabilidades, es una página doble filo ya que deja abierta la posibilidad para posibles ataques al ver las evulnerabilidades de algunas empresas. Prevenir todo esto es un trabajo en conjunto, el gobierno tiene que dar las normativas, leyes que impulsen y apoyen el trabajo en unión. EnSudamérica hay gobiernos comoChile que han avanzado bastante en cuanto a leyes, Colombia trabaja fuertemente en eso, Brasil tiene un buen comando deCiberseguridad y después bueno los otros países sinceramente están siendo apoyados por la OEA para ir madurando y avanzando. Los países mencionados son de los más avanzados en la parte de infraestructura crítica, en la parte de Ciberseguridad Uruguay es uno de los que están más arriba. En cuanto a los que están rezagados son los países de Centroamérica. 1
6 PERSPECTIVA CISO
El factor humano como clave en este proceso
Los grandes retos en la transformación digital Por: Giovanni Pichling Zolezzi (*)
N
os encontramos en un momento de la historia muy importante pues somos ahora testigos presenciales de un cambio en la forma de hacer las cosas en todo tipo de industria, lo cual se manifiesta cada día al ver cómo se aceleran más y más en un proceso imparable de transformación digital. ¿Qué pasó? ¿En qué momento se produjo el cambio?, ¿Cuándo entraron en nuestro mercado y en nues-
tras vidas esas empresas que ahora lideran el ranking como las más valoradas a nivel global y cómo pueden tener más información de nosotros que nuestro entorno más cercano? Las respuestas son simples y sencillas de responder, entraron hace mucho tiempo, pero lo hicieron de forma tan silenciosa e imperceptible, que no nos dimos cuenta de que llegaron y empezaron a acopiar nuestra información desde el primer momento y todo esto con nuestro consentimiento al instalar las “apps´s” en nuestros
celulares o creando cuentas usando nuestros equipos de cómputo. Igualmente nos encontramos con la masificación de nuevas tecnologías tanto de hardware como de software, nuevas plataformas de comunicación y el comportamiento de personas que forman comunidades virtuales mejor conocidas como redes sociales, las cuales conforman un ecosistema en el que muchas personas exponen información personal inclusive sin la necesidad de que alguien se las pida. Otro factor importante es el rela-
cionado con la cantidad de información generada diariamente por las redes sociales de las personas las cuales resultan inmanejables principalmente en términos de tiempo y volumen, por lo que se opta por leer de forma ligera y aceptar todo lo que ingresa a sus equipos debido a que, si se detiene para leer algo en detalle, no les alcanzaría el tiempo para leer todo el material que ingresa a sus equipos. Estas condiciones son aprovechadas por organizaciones criminales para generar esquemas fraudulentos
PERSPECTIVA CISO 7
que les ayuda a obtener información personal o comprometer equipos o sistemas independientemente de la marca, modelo o tipo, pudiendo estos esquemas alojarse hasta por un periodo de tiempo mayor a dos años con la finalidad de alcanzar su objetivo. ¿Cómo pueden permanecer estos delincuentes durante tanto tiempo sin ser detectados por nuestros sistemas de seguridad? Esto es posible debido a la tecnología que emplean, no son los tradicionales hackers que buscaban reconocimiento por haber logrado vulnerar un mecanismo de protección, ahora nos enfrentamos a organizaciones criminales internacionales que buscan el lucro como objetivo y para esto contratan a profesionales con experiencia previa en determinadas industrias a quienes convocan a través de redes sociales profesionales con la finalidad de que desarrollen una u otra funcionalidad, sin que la persona contratada sepa el fin para el que se destinará el código generado. Por otro lado, la instalación de mesas ágiles para la aceleración de PMV (Producto Mínimo Viable), muchas veces hace necesario que se contrate a personas o empresas para cumplir con algunas funciones que permitan alcanzar las metas de producción definidas, normalmente dentro de los 90 días luego del “kick off” del proyecto. Este factor también es analizado y aprovechado por las organizaciones delictivas, introduciendo a personas de su entorno en las mesas ágiles de generación de proyectos, inclusive alcanzando otro tipo de micro servicios en el proceso de desarrollo, de esta forma se les facilita la introducción de códigos maliciosos como puertas falsas o algoritmos que permitan la generación de fraudes o desvío de operaciones o de transacciones. Más rápido, más fácil y más económico, esos son los retos que debemos enfrentar, pero sin sacrificar la seguri-
dad, porque si desplegamos un nuevo producto y la experiencia no resulta buena, habremos perdido la oportunidad de generar una primera buena impresión que usualmente definirá el destino de nuestros proyectos. ¿QUÉDEBEMOSHACERENTONCES? Sobre esto no existe una única solución debido a que todo depende del nivel de madurez alcanzado por cada empresa, y usualmente esto viene acompañado del alcance definido por la alta dirección de la organización, de los recursos que estemos dispuestos a invertir y a la tolerancia al fallo en los
tema de responsabilidad compartida”. Actualmente contamos con una oferta de productos que son el resultado del proceso de transformación digital en nuestro país y que viene impulsando el Sistema Financiero por cerca de cinco años ya, pero esta situación pronto cambiará, pues se verá incrementada con una cantidad de productos y servicios liderada por los principales bancos y por la llegada de nuevas entidades financieras internacionales a nuestro país. Pero en este proceso de transformación digital no debemos dejar
productos que genera la fábrica. Algunas características de los procesos de transformación digital incluyen factores como: La oferta de valor, Seguridad, Movilidad, Usabilidad, Rapidez, pero por sobre todo debe incluir el FACTOR HUMANO. Si no tenemos en cuenta como factor de éxito al propio usuario del producto, entonces nos podemos encontrar con un sistema seguro, económicamente viable, muy fácil de usar, rápido, pero sin transacciones. Por esta razón es importante la participación de usuarios en la etapa de co-creación de los productos en los que se incluye el factor humano. Recordemos que “la seguridad es un
de lado a los usuarios, debido a que, como sabemos, ellos son la parte más importante de la cadena de seguridad y es el blanco de la delincuencia organizada. Por tanto, los nuevos productos y servicios vendrán acompañados con campañas de difusión de las nuevas facilidades incorporadas y con su correspondiente capacitación. Otros factores que impactarán de forma importante son: el desarrollo de los medios de comunicación como la banda 5G que permitirá tiempos de latencia de un milisegundo, dispositivos conectados a la red llamados comúnmente Internet de las cosas, el uso de la inteligencia artificial para predecir las necesidades de las perso-
nas, el aprendizaje de las máquinas o “machine learning” que facilitará la automatización de actividades en el hogar y el trabajo y todo esto asociado al uso de grandes fuentes de información que permitirá que toda esa capacidad de procesamiento genere el beneficio a los ciudadanos. Pero, ¿Hay espacio para la inclusión financiera en todo este proceso?, la respuesta es sí, desde la billetera móvil conocida como BIM hasta las que desarrollan las entidades financieras, facilitarán el pago de servicios, las transferencias interbancarias, el pago entre personas, los micro pagos y todo esto desde localidades tan alejadas de las grandes ciudades y lugares donde no existen oficinas físicas, bastando solamente un equipo celular y una red de comunicaciones para hacerlo. Finalmente, cambiaremos de hábito y dejaremos de usar el dinero en efectivo para convertirlo en dinero electrónico, esto evitará entre otras cosas, los asaltos violentos que vemos todos los días a través de los medios de comunicación. Todo este gran poder sin embargo no está libre de riesgos asociados a organizaciones criminales que tratarán de acceder a nuestros fondos utilizando la misma tecnología, por lo que los CISO deberán aplicar nuevos conceptos asociados a estos procesos de digitalización. No debemos basar nuestros mecanismos de defensa únicamente en soluciones tradicionales como, el perímetro, el firewall, la biometría de huella dactilar, de rostro o facial, contraseñas o los antivirus tradicionales, debemos utilizar técnicas avanzadas de inteligencia artificial, machine learning, big data, biometría de comportamiento, el uso de token, devaluación de la data, encriptación con uso de algoritmos cuántico resistentes y conceptos como el Zero Trust para los enlaces y otros que brinden la confianza y seguridad a estos nuevos productos digitales que nos traerá el futuro cercano. 1 (*) Gerente de Operaciones de ASBANC
8
La ciberseguridad
como pilar fundamental para la transformación de las organizaciones Por Roberto Igei Product Manager de Servicios de Ciberseguridad en Telefónica
L
a revolución digital que vivimos hoy en día implica innumerables desafíos para las empresas. Si bien las compañías son cada día más digitales, la ciberseguridad debe adquirir un valor fundamental para salvaguardar los grandes volúmenes de información online que se generan. Mientras la seguridad tradicional se enfoca en proteger redes, dispositivos y servidores de múltiples amenazas, en el mundo digital la ciberseguridad va más allá de los límites de la tecnología y se convierte en un escudo permanente para los activos del negocio. De esta forma, la única manera de acompañar de forma efectiva a las organizaciones en su proceso de transformación, tanto a nivel interno como en los servicios que ofrecen a sus clientes, es situar a la ciberseguridad como pilar indispensable en los procesos de digitalización. Desde Telefónica, la propuesta de valor gira en torno a la integración de la conectividad, las soluciones cloud y la seguridad. Así, es posible contar con una plataforma robusta, respaldada por las capacidades locales y el ‘know how’ global que hoy nos permite ser la telco líder en el mercado peruano ofreciendo solu-
ciones integrales. es que incorpora la infraestructura Desde ElevenPaths, nuestra uni- AntiDDoS en la red de Telefónica, dad global de investigación y de- garantizando un mayor control y sarrollo en temas de Ciberseguri- protección de los recursos TI de la dad, liderada por el hacker Chema empresa. Alonso, se ha desarrollado un porAdicionalmente a esta solución tafolio end-to-end disponible a ni- de seguridad de redes, ElevenPaths vel global. Esta cuenta con más de ha desarrollado ‘Latch’, un pestillo 1,000 profesionales especializados digital que ofrece un segundo facy laboratorios de tor de autorización investigación en para proteger el acDesde ElevenPaths, Madrid, Málaga y ceso a las identidanuestra unidad global Buenos Aires. des digitales, tales de investigación y Entre los cibecomo acceso a porrataques más fretales web y servidesarrollo en temas cuentes están los dores, entre otros. de Ciberseguridad, ‘DDoS’ (ataques Asimismo, podeliderada por el de denegación mos mencionar hacker Chema Alonso, de servicio distri‘Metashield’, soluse ha desarrollado buidos), cuyo obción que protege un portafolio endjetivo es inhabilos metadatos (in to-end disponible a litar un servidor, formación privada) nivel global. Esta un servicio o una de en los archivos cuenta con más de infraestructura, ofimáticos; ‘Cyber1,000 profesionales donde las emthreats’, diseñada especializados y presas difunden para localizar fugas laboratorios de contenido para de información, investigación en Madrid, sus clientes. Para brechas de seguriello, ‘AntiDDoS’ dad y robo de creMálaga y Buenos Aires se ha convertido denciales hasta uso en una de las sono autorizado de luciones más ópmarca, contenido timas para proteger los sistemas de ofensivo y otros tipos de amenazas las empresas, pues detecta, analiza que supongan un daño irreparable y bloquea tráfico de información para la operación y/o reputación de ilegítimo que tenga la intención de una empresa; y ‘FAAST’ (pentesting afectar el servicio. En el caso de Te- persistente), que reduce el tiempo lefónica, la ventaja de este servicio de detección de brechas de segu-
9
En Perú, desde el 2006 Telefónica cuenta con un SOC en alta disponibilidad con certificación ‘ISO 27001’, que garantiza la calidad en la gestión de la seguridad de la información y cuyos especialistas reúnen más de 150 certificaciones en las principales tecnologías y estándares
ridad, entre otras soluciones cuya única filosofía es proteger vectores de ataque adicionales, que hoy no son posible cubrir al 100% con soluciones tradicionales. Gracias a esta filosofía de desarrollo tecnológico, las alianzas estratégicas con los principales fabricantes de la industria a nivel global también son de gran importancia. Estas no están basadas solo en un modelo tradicional de canales, sino que los fabricantes de dispositivos incorporan soluciones de ‘ElevenPaths’, ya sea dentro del conjunto de instrucciones que vienen en la memoria de los dispositivos, o usando los ‘feeds’ que alimentan las plataformas desplegadas. Por otro lado, Telefónica posee 11 ‘SOCs (Centro de Operaciones de Seguridad) a nivel global, donde se gestiona más de 15,000 equipos de seguridad y se monitorea más de 100 millones de eventos por año y que, además, cuenta con más de 1000 profesionales especializados en seguridad que comparten no solo tecnología, sino las mejores prácticas del mercado. En Perú, desde el 2006 Telefónica cuenta con un SOC en alta disponibilidad con certificación ‘ISO
27001’, que garantiza la calidad en la gestión de la seguridad de la información y cuyos especialistas reúnen más de 150 certificaciones en las principales tecnologías y estándares. Además, el SOC es miembro de ‘FIRST’, organización global de equipos de respuesta a incidentes de seguridad y de ‘Antiphishing Working Group’, organización dedicada a la lucha contra los ataques de phishing. Esta capacidad global se suma a nuestra red de NOCs (Network Operation Centers), permitiendo ofrecer servicios robustos e integrados para dar respuesta inmediata a cualquier ataque. De esta manera, los clientes se concentran en el foco de su negocio y delegan a nuestra compañía la gestión de la seguridad de sus activos de información, con una atención proactiva 24/7. Creemos que es posible un mundo digital más seguro, por eso apoyamos a nuestros clientes en la gestión integral de su seguridad, convirtiéndonos en guardianes para su negocio.
10 GROOMING
Códigos del horror: pornografía infantil El siguiente informe trata sobre los códigos que los ciberdepredadores o pedófilos utilizan para comunicarse entre sí en Internet y sobre los últimos logros de la PNP en la identificación de redes de pornografía infantil y captura de los criminales que las integran.
LOS CÓDIGOS QUE UTILIZAN: “Boys lovers” o amantes de los niños: Está representado por un triángulo pequeño dentro de uno más grande el cual quiere decir que el depredador sexual (pedófilo) es atraído por los niños. Pero aquí hay un detalle: si el triángulo está correctamente dibujado (izquierda) significa que tiene simpatía por niños de cualquier edad. Pero si el triángulo no tiene bien definido sus lados (derecha) es que siente predilección por niños pequeños o infantes.
Por: Fidel Quevedo Linares (*)
C
uando le informaron por celular que todo estaba listo para la intervención a los delincuentes --dentro y fuera del país--, el entonces Coronel Raúl Alfaro Alvarado, al frente del operativo “Destierro 2018”, asintió brevemente con el mentón adusto. Se aflojó la corbata y llevó su mano izquierda a la cintura. En milésimas de segundo, su mente hizo un veloz recorrido por aquellas imágenes de niños, muy pequeños, víctimas de las aberraciones sexuales de aquellos depredadores que la sociedad debería erradicar. Aquellas visiones, que se agolpaban una tras otra en su mente, a la velocidad de la luz, le producían una mezcla de tristeza e ira que, por fortuna, su entrenamiento le había enseñado a controlar.Al recuperarse de aquel vértigo fugaz e inadvertido por sus subalternos, y sin perder el aplomo y la seguridad en su voz, pronunció la orden esperada por más de trescientos policías y cuarenta fiscales: ¡Procedan!, exclamó. El golpe asestado contra los criminales consumidores de pornografía infantil, la mayoría pedófilos, logró arrestar a 33 miembros integrantes de una red que producía, compartía y comercializaba, desde el Perú, imágenes y videos sobre violaciones sistemáticas a menores a través de un grupo de WhatsApp denominado “Little princess” (pequeña princesa).
entre los miembros de su grupo. Dichos símbolos están compuestos por signos que contienen siempre a uno dentro del otro. El más grande representa al adulto y el pequeño al menor. La diferencia de tamaños y formas muestra la preferencia de estos pervertidos por menores según su edad y sexo. Incluso algunos de estos indeseables lo utilizan para dar a conocer que el niño o niña está disponible.
Dicho grupo de WhatsApp estaba integrado por 256 usuarios de treinta países de América, Europa, Asia y África. Desde Colombia, el administrador de la red era quien aprobaba el ingreso de nuevos contactos no sin antes hacerles saber que, para permanecer en el grupo, debían “producir” sus videos en un tiempo determinado y que los mismos, debían incluir a menores de cinco a trece años de edad. “Destierro 2018”, fue una operación exitosa promovida por la División de Delitos de AltaTecnología (DIVINDAT), de la Policía Nacional del Perú, en coordinación con la Interpol, y efectuada entre el 19 y 20 de julio último. El sistema que permitió ubicar a dicha red de indeseables, es conocido como “Cyberpratullaje”, que viene desplegando una importante estrategia de detección de estas bandas criminales en la web. Sin embargo, los esfuerzos de la DIVINDAT aún resultan insuficientes para erradicar a toda una industria del mal, como es la pornografía infantil, que opera con suma impunidad en el Internet.
SIMBOLOGÍA CRIMINAL Gracias a una investigación de largo aliento del FBI norteamericano, se logró reconocer los símbolos y el léxico encriptado que usan los ciber depredadores o pedófilos en la red. El reconocimiento oportuno de éstos íconos y terminología, puede ayudar a prevenir un eventual ataque contra niños y adolescentes, evitando así lesiones físicas y psicológicas que, en muchos casos, devienen en problemas mentales irreversibles. Los términos y símbolos que utilizan estos criminales les permite reconocerse entre sí en su monstruoso círculo, de forma en que puedan transmitir sus preferencias, gustos y debilidades con respecto a un menor. Muchos han podido ver e incluso usar algunos de estos íconos grabados en un juguete, pendiente, collar, sortija, etc., sin saber el significado real del símbolo. Las figuras son usadas en las nefastas reuniones dentro de su comunidad para identificar las preferencias
Estos símbolos también han sido encontrados en monedas, aros, dijes tal como se muestra:
“Girl lovers” o amantes de las niñas: Un símbolo en forma de corazón que envuelve otro corazón significa que indica que el pedófilo tiene predilección por las niñas
Amantes de todos los niños: Está representado por una mariposa la misma que indica que el depredador sexual no tiene preferencia especial por el sexo del menor, siempre y cuando sea menor, es decir le gustan ambos géneros. Por último, se ubica el símbolo de los pedófilos que se declaran luchadores ac-
GROOMING 11
tivistas en blogs, foros, etc., de esta detestable causa: Luchan por la libertad de poder “amar” a los niños y niñas sin restricciones, así como por la legalización de la pornografía infantil. LA ÉLITE PEDÓFILA Según una investigación ciudadana realizada por la comunidad Reddit y 4chan, luego del escándalo de los #Pizzagate, publicaron una serie de códigos utilizados en la élite de pedofilia en Estados Unidos, usaban los mismos para hacer referencia al gusto sexual por los menores, lo hacían así para no levantar sospechas. Estos serían los términos más usados por ese círculo “VIP” de pedófilos: Hot dog = Boy (salchicha = niño) Pizza = Girl (pizza = niña) Cheese = Little girl (queso = niña pequeña) Pasta = Little boy (pasta = niño pequeño) Walnut = Colored person (nuez = persona de color) Map = semen (mapa = semen) Sauce = Orgy (salsa = orgía)
“LA ADVERTENCIA DEBE SER DIRECTA AL MENOR” El general Raúl Alfaro Alvarado -oficial de la policía, investigador criminal y abogado- ex jefe de la Divindat alertó sobre el aumento silencioso de la pedofilia a través del grooming y lo que esta unidad de la Policía Nacional viene desarrollando para contenerla. “Para poder evitar el Grooming se pueden hacer varias cosas: un conjunto de acciones que al final van a dar como resultado la seguridad de los menores contra este tipo de amenazas, por ejemplo, la comunicación que debe haber entre padres e hijos. La sociedad actual no deja muchos espacios para que los padres estén
realmente con los hijos; están fuera casi todo el día y ese tiempo solos, hace que muchos menores --a través de su teléfono de alta gama-- accedan a conectarse en la red desde una edad temprana”, indica el jefe de la Divindat. Alfaro señala que otro aspecto es la “Concientización del menor” respecto a los peligros que hay en la red. Las familias disfuncionales constituyen otro factor de riesgo, los padres están ausentes por alguna razón, o tienen algún tipo de problema legal o conductual. “El tema de los padres drogadictos o alcohólicos, que no asumen como deberían el rol que les corresponde, hacen al menor doblemente vulnerable”, afirma el general Alfaro quien señala que otro elemento de vulnerabilidad que es muy bien explotado por los atacantes a través de las redes, son las necesidades económicas. “Es en los sectores más vulnerables y zonas desfavorecidas económicamente, donde hay mayor incidencia de hogares disfuncionales, allí habría que llegar con programas o a través de los colegios”, indica el general. “Lo que yo creo, como ex jefe de la Divindat, es que el mensaje de advertencia sobre estos riesgos debe ser dirigido al menor, antes que a los padres”, mencionó el especialista. “El mensaje directo y principal debería ser para los menores porque son las víctimas de este delito, y si se llega a concretar el abuso sexual, las consecuencias son irreversibles, pues tales episodios marcarán siempre al menor e incluso, en algunos casos, el trauma puede inducir a una desviación. Los padres vendrían a ser un tipo de agraviados colaterales. Hemos descubierto, también, que la mayoría de las personas que consumen o fabrican pornografía, son homosexuales”, indicó Alfaro. Sobre el Grooming, el general opinó que éste aparece porque los depredadores se presentan como benefactores, gente bondadosa, o amigos que tratan de crear un vínculo afectivo de fidelidad con el menor para convencerlo rápidamente ofreciéndole regalos. “Enmascaran su identidad para hacerse pasar por un niño, una mujer o simplemente la omiten”, enfatizó. 1 (*) Periodista. Tomado de “peruciberseguro.org”
VOCABULARIO CRIMINAL Pero esta comunidad criminal ha inventado nuevas formas de comunicarse entre sí, usando acrónimos (siglas) para intentar pasar inadvertidos en sus conversaciones por las redes sociales y así intercambiar información en su círculo sobre sus preferencias en cuanto a gustos por niños se refiere. Incluso cuando desean abastecerse de pornografía infantil, estos indeseables criminales usan palabras clave para no crear alarma entre los demás cibernautas. Acrónimos como CP (Child Porn) -que hace referencia a pornografía infantil por sus siglas en inglés- es lo más usado, al igual que palabras cuyas iniciales contenga esas siglas como Código Postal, Cultura Peruana, Caldito de Pollo, etc. Mezcladas en una oración pasaban totalmente inadvertidas, logrando de esta manera obtener, compartir y hasta negociar pornografía infantil entre otros depredadores sexuales. Aquí, una recopilación de las palabras clave que son usadas en la red: AF - Amigo adulto amigo (de un niño) AL - Amante adulto AOA - Edad de atracción AOC - Edad de consentimiento (edad a la que uno puede legalmente tener relaciones sexuales, difiere según los países) Novio BF - (utilizado principalmente acerca de las relaciones homosexuales) BC - BoyChat - chat de niños BoyChatter - niño que chatea BI (bi) - Bisexuales (atraídos por ambos sexos) BL - Boylover (una persona amante de los niños) BLL - Amante boylover (un boylover en una relación romántica con otro boylover) BLN - BoyLover.net (foro de la comunidad boylover desarticulado en una operación internacional contra la pornografía infantil en la que también participó el Grupo de Delitos Telemáticos de la Guardia Civil de España) BLR - Boylover BM - Momento especial CG - Web o punto de reunión y de comunicación entre boylovers y girllovers CL - Childlover (una persona que ama a los niños de ambos sexos o miembro de un movimiento de unidad entre boylovers y girllovers) CM - (despectivo) abusador de menores CP - Pornografía Infantil (también KP) CSA - Abuso sexual infantil GL - Girllover (amante de las niñas) GTG - Reunión real entre varios boylovers PK - Porno infantil, también CP LB - Niño querido LBL - Amante de los niños pre-púberes (menores de 8 años) comparar con TBL PRF - Informar de un problema (en BoyChat) Sadvocate - (despectivo) Persona que piensa que él sabe mejor que nadie acerca de los niños SGL - Amor del mismo sexo Siggy o sigpic - (Imagen opcional asociada con un apodo o Nick en un foro o chat) SO - Delincuentes sexuales SYF - Niño amigo especial, con este acrónimo los pedófilos definen a sus niños preferidos TA (BRE) culo apretado, (AME), culo apretado (un término de Pokémon para sus detractores) TBL - Teenboy amante (que ama a los adolescentes); comparar LBL TV - Travesti YF - Joven amigo: YIF - Joven amigo imaginario
12 OPINIÓN
Lacolumna delCoyote Coyote Por: Erick Iriarte Ahon
Legislación para protección digital del Perú La presencia de entornos e instrumentos digitales ha transformado radicalmente la forma cómo creamos, compartimos y accedemos a la información. A este cambio se le ha denominado sociedad de la información.
P
ero como todo proceso de cambios, no solo aparecen oportunidades para utilizarlo para aprovecharlo beneficiosamente para la población y para el crecimiento, sino que aparecen también quienes utilizan dichos instrumentos para afectar la información que se crea, comparte y transporta; afectar los derechos y bienes de las personas; afectar los servicios que prestan entidades públicas y privadas; y afectar los activos criticos nacionales y la soberanía de los países. Para enfrentar lo anterior se requiere el desarrollo de capacidades en los actores del cumplimiento de la ley que puedan enfrentar dicha problemática. Junto con el desarrollo de capacidades se requiere establecer procedimientos y protocolos para la persecusión de dichas acciones contrarias a la ley, una serie de instrumentos de informática forense; y finalmente se requiere establecer un marco jurídico que reconozca la realidad nueva, participe del dialogo internacional, dado que muchos de estos ilícitos son transfronterizos, y que además genere una seguridad jurídica. En dicha medida, a inicios de
este año, el Congreso de la República aprobó la adhesión del Perú al Convenio de Budapest, o tambien denominado Convenio de Cibercrimen, que ha sido ya depositada la adhesión a finales de agosto y entrará en plena vigencia el 1 de diciembre del 2019. Este instrumento establecido en 2001, nos brindará acceso a cooperación internacional en materia de persecusión del cibercrimen, acompañado de la necesidad de revisar la normativa penal informática existente alineandola con la legislación internacional. Complementariamente se desarrollaron dos leyes hermanas, en realidad una sola ley pero que a pedido del ejecutivo se dividieron en dos para facilitar su promulgación (de modo tal que el ejecutivo tuviera mayor cantidad de argumentos para su promulgación). Digamos que en los ultimos 8 meses, se ha avanzado mucho para actualizar nuestra legislación, se ha abierto las puertas al desarrollo de capacidades, por esfuer-
zo de la Comisión de Defensa del Congreso de la República, en espacios multiestamentarios (Sociedad Civil, Academia, Sector Gubernamental y Sector Privado), es quizas esta experiencia de desarrollo normativa la primera que se da de esta manera, y aún más logrando consensos en un tema delicado. El resultado fue la Ley de Ciberdefensa da el marco operativo para que las Fuerzas Armadas puedan actuar frente amenazas que puedan afectar la soberanía nacional, así como actuar de última linea ante afectaciones a los activos críticos digitales ante ataques en y mediante instrumentos digitales (por ejemplo atacar un gaseoducto o un puerto o una central hidroelectica o la banca mediante instrumentos digitales y así dejar al país afectado). Esta ley ya ha sido promulgada el 16 de septiembre del 2019 con el numero 30999. La Ley de Ciberseguridad es un marco general para la protección de información pública y privada, a través de mecanismos de coor-
dinación e intercambio de información, basado en la creación de capacidades y el trabajo colaborativo, así como la creación de una cultura de ciberseguridad. Ademas establece a nivel de una ley una definición como marco operativo añadiendo tambien obligaciones de protección irrestricta de derechos humanos y de cooperación ante la existencia de brechas de seguridad. Es lamentable que el Ejecutivo, que participó activamente de la construcción de la norma, haya esperado al último día para presentar sus observaciones. Lo cierto es que la Presidencia del Consejo de Ministros ha perdido una oportunidad de lograr una norma para el futuro, quizás mal oyendo a funcionarios que no terminan de entender que el fenómeno digital quita cuotas de poder y funciona solo en base a cooperación y confianza. Entendemos que el poder legislativo ira por la insistencia de esta norma. Es cierto que son avances, que se ha logrado mucho en el marco de ciberseguridad, ciberdefensa y lucha contra el cibercrimen, pero siguen siendo elementos aislados faltos de una decisión política del gobierno, porque el problema no es contar con una política pública, que ya existe (la Política 35 #PeruDigital del Acuerdo Nacional), sino la falta de una visión clara en materia digital. Pero es claro que aún falta la decisión política del ejecutivo de establecer la Agencia de Sociedad de la Información como parte de la institucionalidad necesaria para tener un Peru Digital. 1
CLOUD 13
Gobierno, Riesgos y Seguridad Corporativa Por: Juan Dávila (*)
Adoptando modelos de negocio al contexto de la nube
Entornos CLOUD Por: Alfredo Alva Lizárraga (*)
E
l tren de la transformación digital está recorriendo todos los negocios, estén preparados o no, y es aquí donde la adopción de la computación en la nube o “CLOUD” se lleva un papel protagonista, tomando en cuenta las ventajas que ofrece y siendo esta un camino en donde los negocios absorben nuevas tecnologías. Ahora el siguiente paso es preguntarse si ¿Estamos preparados para asumir los retos y riesgos de adoptar un servicio así? En el Perú, en enero del 2018, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros - SeGDi, publicó el “Lineamiento para el Uso de Servicios en la Nube para Entidades de la Administración Pública del Estado Peruano”, documento en el que guía a las entidades de la administración pública a impulsar la transformación digital, a entender y aceptar a la “CLOUD” (nube) como un camino para lograrlo. Por otro lado, en el caso de la indu-
stria privada, no existe aún un marco regulatorio. Sin embargo, se sabe que para las entidades privadas que están bajo la supervisión de la Superintendencia de Banca y Seguros, tendrán una regulación en temas de Ciberseguridad y Cloud para el próximo año.
¿QUÉ ES CLOUD COMPUTING? Para poder seguir hablando de CLOUD, primero necesitamos saber de qué estamos hablando. El Instituto de Estándares y Tecnología (NIST) define CLOUD como un modelo para habilitar acceso ubicuo, conveniente y bajo demanda por medio de la red, a un pool compartido de recursos computacionales configurables que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción del proveedor (NIST, 2011). En pocas palabras, para ser considerada una tecnología Cloud, debe tener cinco características esenciales, tres modelos mínimos de servicio y contar con modelos de despliegue tanto públi-
cos, privados o una mezcla de ambos. La adopción segura de CLOUD es algo real, no obstante, existen riesgos latentes de seguridad llevados con la pérdida del control directo de los sistemas de los cuales debemos conocer nuestra responsabilidad como consumidores del servicio. Evaluar los riesgos de adoptar un servicio externo nos lleva aún más a tomar en consideración la integridad, la recuperación, la privacidad y no olvidar temas normativos y legales. En siguientes artículos describiremos los modelos de las responsabilidades entre el que contrata el servicio de CLOUD y quien ofrece el servicio, así como los riesgos comunes identificados durante su adopción. Debemos recordar siempre que adoptar los modelos en entornos CLOUD son seguros en la medida en que cada empresa realice una correcta evaluación de los riesgos asociados. 1 (*) Chief Information Security Officer / Jefe de Seguridad de la Información del Banco de Comercio Perú
La relevancia que ha cobrado el uso de la tecnología en todos nuestros ámbitos de acción personal y profesional, suele priorizar el aspecto funcional antes que la seguridad de información. Lo natural es que las personas esperemos que los teléfonos móviles, laptops,Smart TVs y cualquier otro dispositivo tecnológico nos presten las funcionalidades por las cuales los adquirimos. Lo que no es usual es que nos fijemos en las prestaciones de seguridad, por lo menos no es nuestra prioridad. En este contexto, las organizaciones tienen la responsabilidad de diseñar estrategias de seguridad de información con el objetivo de proteger razonablemente la información organizacional relevante, enmarcada en un esquema de gobierno que demuestre un claro alineamiento con sus objetivos estratégicos. Estas estrategias de protección de datos deben estar basadas en el proceso de Gestión de Riesgos asociados al uso de la tecnología, que nos permite obtener visibilidad de los factores de amenazas y vulnerabilidades que pueden generar impactos negativos en la infraestructura tecnológica que brinda soporte a las operaciones de las organizaciones. El contexto vigente de amenazas de orden tecnológico, absolutamente cambiante, volátil y dinámico, requiere de profesionales de seguridad, el dominio de conocimientos, habilidades y capacidades personales y profesionales para saber aplicar normas, técnicas, herramientas y componentes de riesgos y de seguridad de orden cultural, que contribuyan a fortalecer el tratamiento de los riesgos asociados a la seguridad de sus datos.1 (*) Ing. Juan Dávila, MBA,CISA,CISM,CRISC, ISO 27001 LI&LA, ISO 27032 LCM, ISO 22301 LA, ISO 37001 LA, COBIT 5 F&I&A
14 CIBERCRIMEN
“Hackerville”, la ciudad de los cibercriminales
D
esde el 2015, los rankings criminales a nivel mundial ubicaron al cibercrimen como un negocio ilícito que ya movía más dinero que el narcotráfico. En la actualidad, se estima que la cifra sobrepasa los 600 mil millones de dólares. Europa y Estados Unidos, son las principales víctimas de ésta práctica criminal. En España, las islas Baleares (y su capital, la turística Palma de Mallorca), registra más de tres mil denuncias anuales sobre delitos cibernéticos que las autoridades locales aún no pueden contener. Se estima, asimismo, que los países emergentes de América Latina –como el Perú— ya están en la mira de estas grandes organizaciones delincuenciales, cada vez mucho más difícil de rastrear, fundamentalmente por el vertiginoso crecimiento de las operaciones en línea y aumento incontenible de usuarios del internet. Pero, ¿Se concentran en algún lugar éstas comunidades del cibercrimen? Conozcamos algo de Râmnicu Vâlcea, una pequeña ciudad de Rumanía conocida también como “Hackerville”. Rusia, Ucrania, EE.UU. o China son países que encabezan el ranking de los ciberataques. Pero junto a estos «grandes», todos los expertos en seguridad informática conocen también otro lugar mundialmente conocido como «Hackerville», o lo que es lo mismo, Râmnicu Vâlcea, una ciudad de Rumanía capital del cibercrimen. El nivel de vida que llevan muchos de sus ciudadanos es sospechoso. Coches de alta gama, joyas, viajes... Aago poco usual. Pero la revista «Wired», en un reportaje, desvela las claves. TRANSFERENCIAS DE DINERO Jóvenes de 20 y 30 años dominan esta ciudad bajo la inactividad de las autoridades del país. Se mueven como pez en el agua a la hora de lle-
var a cabo estafas de comercio electrónico y ataques de «malware» a empresas, objetivos a los que poder sacar más dinero. Y es que los «hackers» ya no solo se dedican a los ataques domésticos. Alta profesionalización, estructuras organizativas muy sofisticadas y jerarquizadas junto con grandes recursos económicos y humanos son algunas de las claves del nuevo cibercrimen internacional. Características, en un principio, impensables en una ciudad como Râmnicu Vâlcea, donde hasta el año 1989 solo los coches Dacia circulaban por sus calles y el acceso a las telecomunicaciones era escaso. La caída del gobierno de Nicolae Ceausescu, que fue ejecutado junto a su esposa, marcó un antes y un después en Rumanía. La única forma de combatir la pobreza fue el delito. Así, los niños de entonces comenzaron a estafar. Nadie se preocupaba de nada hasta que en el año 2002, el FBI se fijó en Râmnicu Vâlcea.
Los ingresos que conseguían a través de falsas ventas de coches por internet se convirtió en un auténtico negocio. Con los años, fueron depurando su técnica y en 2005, tras su mala fama, los «hackers» decidieron adaptar su actividad y centralizarla en empresas de transferencia de dinero, como Western Union o MoneyGram, en las que los «muleros» o intermediarios, también conocidos como «flechas», contratados recogían el dinero de los pagos realizados en las estafas. ROMEO CHITA Así, las múltiples tiendas de lujo comparten espacios en las calles con las numerosas oficinas de Western Union. Cada vez son más los «flechas» que forman parte de una red que ha multiplicado su tamaño hasta alcanzar cotas insospechadas. Sin embargo, en 2008 se localizó a un intermediario: Romeo Chita. Comenzó a trabajar como «mulero» en Reino Unido y pronto entendió cómo funcionaba el
negocio así que creó su propia red. Tal nivel de vida alcanzó que levantó las sospechas de las autoridades de Rumanía. Fue detenido en 2008 después de que la policía detuviera a dos de sus intermediarios. Pasó solo catorce meses en prisión. «No sabe hablar inglés, por lo que es imposible que haya publicado anuncios o intercambiado correos electrónicos con los compradores. Ni siquiera tiene una dirección de correo electrónico. ¿Cómo puede, entonces, llevar a cabo fraudes en Internet?», declaraba su hermana a «Wired». Sin pruebas, las autoridades de todo el mundo intentan poner freno a un negocio que no cesa de multiplicarse. Detener a dos o tres «muleros» no significa nada para una organización criminal que cada día incorpora a su red cientos de personas. Un crecimiento totalmente desproporcional al número de fuerzas policiales internacionales que cada vez ven más difícil cómo intervenir. 1
EMPRESAS/SOCIALES 15
CISO Summit 2019:Enfrentando la ciberdelincuencia
Poeta y Hacker Alex Chang es el autor del poemario “Crónica de un hacker con placa” quien, entre sus desvaríos etéreos con las musas, cuenta que “el mundo de las computadoras fue mi cielo e infierno. Pronto la justicia se vistió de Hacker, llamado el anticuerpo… de la informática”. Lo notable del joven poeta autista, es la fusión de su inquietud literaria con su pasión por la cibernética: “… y sueño con ser el amo del mundo con apenas un teclado”.
Telefónica Security Talks Vol.5.
Lima fue la sede del primer CISO Summit, certamen organizado por CISObeat (asociación que integra a la comunidad de profesionales de la seguridad de la información) al que concurrieron dedicados y preocupados por la seguridad digital (o ciberseguridad) de diversas organizaciones.
Junio Acosta y André Lourerio de “Base4”, junto a Mónica Tasat (MITics Producciones), organizadora de la nueva versión de Cibersecurity Bank & Government, en Lima.
9° Congreso Cybersecurity Bank & Government ™ Lima, Perú 2020
En esta versión del Security Talks de Telefónica, se priorizó el estudio de casos reales sobre ciberseguridad y adaptación digital.
Se trató de una jornada en la que se presentaron importantes ponencias sobre temas como la ciudadanía digital, la actividad del Estado en la seguridad digital, la ciberseguridad empresarial, entre otras. De Izq. a Der: Ernesto Landa, Alfredo Alva, Carmen Zegarra, Ivette Morales, Rafael Bocanegra Y Heber Maza, protagonistas del Ciso Summint. Aviso_Corporativo 24x4 traz.pdf
1
19-11-19
17:57
De izquierda a derecha mirando la pantalla: Ernesto Landa – Fundador CISObeat; Javier Romero – Presidente (ISC)2 Perú Chapter; Guillermo Zegarra – Presidente ISACA Lima Chapter; Mónica Tasat – MTics Producciones; Gianncarlo Gómez – CISObeat; Freddy Alvarado – ESAN; Aníbal Gutiérrez – PwC; María Angélica Castillo Ríos – Ministerio de Relaciones Exteriores.
De izq. a der: Cesar Farro, experto Consultor de Ciberseguridad; Juliana Gutiérrez, Responsable de Office 365 B2B; Karen Llerena, Responsable de Servicios Digitales B2B; Yenny Castro, Consultora de Seguridad de DACAS; Jean Franco Product Manager de Ciberseguridad B2B; Renzo Barrenechea, Marketing Servicios Digitales B2B; Jesús Berto, Product Manager de Ciberseguridad B2B; Raúl Ríos, Responsable de SOC Telefónica; Tomás Asmat, Ingeniero de Fortinet.