1
Consejo Editorial
Febrero 2017
Año 3 Número 25
Ariel Rodríguez Salvador Ordóñez Carlos Rivera
Equipo Editorial Salvador Ordóñez
Director Editorial
salvador@developnetwork.com
Ariel Rodriguez Director Comercial
ariel@developnetwork.com
Edgar Loeffelmann Editor
edgar@developnetwork.com
Xochicuahuitl G. Coeditora
xgleason@developnetwork.com
Ignacio Gallegos
Editor Business
Ignacio Gallegos Serge Malenkovich Alejandro Rebollo Reclu IT Israel Andrade Erin O´Malley Víctor Hernández TARLOGIC Jesús Jiménez Alexey Malanov INCIBE Galvy Ilvey Karla Salinas Colaboradores
hola@developnetwork.com
En Portada
DLP
Tecnologías para la Prevención de la Fuga de Información Agradecimientos especiales Edgar Loeffelmann, Carlos Rico, Arturo Campos Fentanes, Ana Paula Konrad, Pedro Flores, Juan Saldivar, Alejandro Villanueva, Cristina Cervantes y a todas las personas y empresa que han hecho posible este número tan especial de developNetwork
Andreida Denegri Freddvncalm Salvador Ordóñez PR Newswire Prensa GIGAMON Sharely Cabrera Luana Dinis Génesis Gatica
Salvador Ordóñez Director de Arte
Ricardo Alvarado ralvarado@develop.com.mx
Editor Web
Shutterstock Fotografías
UTech Day www.issuu.com Distribución
Publicación Diseñada por
“developNetwork” o “dN” es una publicación literaria que puede ser distribuida, previa autorización de sus representantes, de manera física y electrónica. El nombre “developNetwork” o “dN”, diseño y contenido se encuentran en proceso de registro y son protegidos por la Ley Federal de Derechos de Autor, encontrándose vinculados a una marca en proceso de registro ante el Banco Nacional de Marcas perteneciente al Instituto Mexicano de la Propiedad Industrial. Todos los artículos aquí descritos están sujetos a sufrir cambios y/o variaciones, sin previo aviso. La información, datos estadísticos, reportajes y fotografías contenida en los publirreportajes es resultado de un trabajo de recolección de información en la que terceros, colaboradores o personalidades públicas otorgan sus opiniones y/o datos de un tema en específico, por lo que bajo ninguna circunstancia reflejan la opinión de “developNetwork” o “dN”, de sus editores, representantes o accionistas, así mismo, “developNetwork” o “dN” no asume responsabilidad respecto del contenido y veracidad de dicha información. Revista impresa por “Compañía Impresora El Universal” Ignacio Allende 174, Guerrero, 06300 Ciudad de México, D.F. Para conocer más sobre los derechos de autor de algunas de las imágenes, fotografías y trabajado literarios publicados a través de “developNetwork” o “dN” consulta nuestra página web en www.developnetwork.com
“developNetwork”, es una revista mensual, publicación impresa y electrónica. 5557-5012 / 5395-2791 Contacto Web: hola@developnetwork.com
www.developnetwork.com
2
CARTA EDITORIAL
L
a era de los Hackers pareciera ser una novedad sacada de las mejores películas de la pantalla grande. Grandes corporaciones siendo atacadas por grupos extremistas de jóvenes que pretenden cambiar al mundo y robarles cuantiosas cantidades de dinero a los ricos para dárselos a los más pobres. Esta historia no está tan lejos de la realidad, sin embargo, no podemos asumir que los grupos de Hackers actualmente este jugando el papel de súper héroe para mejor la situación económica y política de una nación pero tampoco podemos asumir que son bélicos y despiadados, sin unir todas las piezas que significan estas 7 letras. Asumir que todos los Hacker son malos es como decir que sólo existen dos colores, el negro y el blanco, situación que se vuelve falsa al analizar que en realidad dentro de las mismas empresas existen grupos de personas encargadas de proteger a las organizaciones de ataques que puedan hacer vulnerable la información que manejan; recordemos que hoy en día los datos son la nueva fiebre del oro de nuestra era, y quien maneje la información tendrá casi todo el control de una empresa, una ciudad o incluso el de un país. Los datos por lo tanto son lo más vital que tenemos dentro de cualquier organización, por lo que contar con gente preparada para afrontar los retos de intrusión que se dan todos los días, es sumamente importante y más estar preparados para los enormes retos que representa estar en la primera línea de defensa contra los Black Hackers. Otro de los grandes retos que se tiene por proteger la información, es el hecho de que cada día hay más aparatos conectados entre si y al mismo tiempo enlazados a los servidores de la nube. Esta situación hace más difícil el poder administrar a la gran cantidad de usuarios y ofrecerles servicios de calidad libres de malwares, troyanos o virus. Recordemos que todos debemos de ser cuidadosos a la hora de entrar a Internet y siempre debemos de leer las políticas, términos y condiciones de los servicios que contratamos en línea. La seguridad es responsabilidad de todos, pues estas medidas nos ayudarán a prevenir malas experiencias con el uso de nuestros datos personales. Salvador Ordóñez Director Editorial
3
MASTER TI
con garantía 32 Ciberseguridad de Futuro
36 ¿El enemigo está en casa?
Editorial 3 Carta Bienvenidos a la Inteligencia Artificial
6 Breves Videojuegos, música y películas
BREVES
Febrero
Apps 7 Breves Apps OnLine
que deben seguir los 38 Certificaciones Programadores este 2017 SSL 46 Encriptación Ya no es un arma de dos filos
48 La seguridad en una aplicación WEB
Febrero
52 ¿Qué son los Watering Hole Attacks?
No Sōma 8 Shokugeki Food Wars!
TECH NEWS
10 Gadgets Lo mejor de la tecnología para este mes Febrero
Brexit
14 Eleva preocupación sobre regulaciones en ciberseguridad
54 Delitos informáticos en México
56
Digital: 16 México Un gobierno tecnológico
18 ¿Drones a la línea? 20 México polo de la tecnología móvil 22
¿Cómo está relacionada la ciberseguridad con el derecho a la libertad de expresión?
BUSINESS
24
EL INTERNET DE LAS COSAS EN
28 MÉXICO
Una industria sin ciernes
4
en el Mercado de la 62 Tendencias Ciberseguridad (Tercera Parte) alguien ha secuestrado 68 ¡SOS mis Likes!
74 ¿Perder la confianza en Internet?
CAMPUS TI
de Programadores que hay 74 Tipos en las empresas
78
42 5
ARTÍCULO
BREVES Andreida Denegri
A dog’s Porpose A Dog’s Porpose es una película que te llevará de la risa al llanto en un sólo segundo, trata sobre la vida de Bailey, un Golden Retriever que mediante varias vidas y reencarnaciones va aprendiendo sobre cómo funcionan los humanos y la forma de hacerlos felices.
http://bit.ly/2k02nkx
Mass Effect Andromeda, es uno de los videojuegos más esperados del 2017, incluso ya hay Funko Pops con sus personajes y se permitirá jugar una versión de prueba 5 días antes de su estreno, para aquellos que no estén convencidos totalmente de comprarlo o no. Lo único que deberán hacer es crear una cuenta en EA. http://bit.ly/2kxAWPA
Nach y Amigos Esta sección la amarán nuestros amigos raperos, ya que Nach estará nuevamente en México dando concierto, y no solo el, sino también otros raperos lo acompañarán en el escenario. El concierto se llama “Nach y amigos” y se presentará este sábado 25 de Febrero en el Pepsi Center WTC. Al punto de las 21:00 hrs.
http://bit.ly/1B8xE8g
Monster Unleashed es el nuevo lanzamiento de Marvel para el 2017, tendrá únicamente 5 números pero la compañía dice que estos son suficientes para relatar la historia de monstruos y mutantes invadiendo el mundo nuevamente. El escritor del cómic Cullen Bunn reunió a los mejores artistas para crear esta tan esperada historieta que contará con la participación de tus héroes favoritos de Marvel. http://bit.ly/2li6TQa
6
ARTÍCULO
APPS
On Line
Andreida Denegri
Si quieres conocer increíbles apps cada mes para descargar en tu Smartphone, no te pierdas nuestra sección de “breves” donde encontrarás las que no pueden faltar en tu celular. Estas son las que seleccionamos para este mes.
MARBLE LEGENDS
Videojuego ampliamente recomendado por su poco tiempo de vida y su excelente puntuación. Consiste en armar rompecabezas de forma inteligente y divertida.
http://bit.ly/2kFmUN0
GOLF CLASH
Juego de Golf con multijugador, si tú y tus amigos se mantienen conectados a una red Wi-Fi y Facebook, podrás competir contra ellos y demostrar quién es el mejor. http://bit.ly/2kL3WHw
CANDY CAMERA
La aplicación para selfies que está arrasando con todas las demás. Al parecer la última actualización le fascinó a todos los que la están usando. Filtros, retoques y stickers hacen de esta app una sensación entre las mujeres.
http://bit.ly/2liBAoL
GO ART
Go Art es la aplicación favorita de hombres y mujeres para editar sus fotografías y convertirlas en verdaderas obras de arte gracias a su efecto HDR. http://bit.ly/2kknYFf
CONTADOR DE CALORÍAS
La app es sencilla, consiste en poner cuántas calorías consumes, los alimentos, los kilos que deseas bajar o subir y el ejercicio que haces. Esta app servirá para todo aquel que desee tener un mejor control sobre sus comidas. http://bit.ly/2kkrjEh
7
ARTÍCULO
SHOKUGEKI NO SŌMA Food wars!
E
Freddyncalm
sta serie producida por el estudio J.C. Staff procede del manga de éxito del mismo nombre publicado en la revista japonesa Weekly Shōnen Jump. Consta actualmente de dos temporadas anime. Aunque el manga tiene ya cerca de 200 capítulos y más de 20 tomos editados. Para quienes ven poco (o demasiado) anime, “Shokugeki no Sōma” les puede parecer una historia más, del montón, sobre el mundo culinario presentada en plan combates juveniles y adornada con toques de “bishojo” para que resulte atractiva a la audiencia objetivo de la revista. Si lo reducimos a esos puntos, sin duda no merecería la pena ver el anime. Porque esos ingredientes ya existen en muchas y variadas series que los exprimen a más no poder. Sin embargo esta serie no se centra en ser original o diferente, sino en unos personajes elaborados, con gancho, y retos continuos de superación así como situaciones de humor, y contraste entre unos y otros personajes. Además, si te gusta la cocina en general y la japonesa en particular, no hace falta decir que esta serie se disfruta despertando esos sentidos. Aunque en algunas ocasiones se vuelva algo exagerada o excéntrica (sin llegar a los niveles que llegó Amasando Japan -yakitate japan-). Es cierto que, en Shokugeki, los personajes femeninos están de muy buen ver. Si se me permite la anticuada expresión. Y que hay, casi en cada capítulo, unas buenas dosis de casi fan-service que provoca a muchos críticos meter esta serie en el baúl del tópico género “ecchi”. Pero no es así. Los desnudos que aparecen en la serie son la expresión de lo más próximo a la “divinidad”, que sólo se alcanza al degustar un plato gastronómico tan exquisito que te lleva al cielo. Es algo que un japonés entiende sin que se lo expliquen. Y esa es la forma en que el autor ha querido representar esos momentos. Y no hay nada que deba dar vergüenza a quien quiera que sea el afectado de haber probado una obra maestra culinaria. Si a Sōma, el protagonista, le da por experimentar con extraños ingredientes con pulpo, y aparecen alegorías próximas al género “tentacle”, eso son sólo anecdóticos pasajes humorísticos.
8
ARTÍCULO
Artículo Publicado en el siguiente enlace
http://bit.ly/2kLUFOZ
El argumento nos lleva a una elitista escuela de futuros chef donde va a parar Sōma Yukihira enviado por su padre, que regenta junto a él un restaurante modesto de barrio pero muy popular. En la escuela se las verá con una alumna aventajada, Erina Nakiri. Una de las mayores antagonistas de Sōma, que le pondrá difícil seguir estudiando ahí. Pero también conocerá a Megumi Tadokoro, que aunque aprueba por las justas para acceder, tiene sus propias habilidades. Y será una de las mejores aliadas de Sōma si logra no ser expulsada en las mil y una pruebas en las que su permanencia, como la del resto de alumnos, estará en juego. Y, junto a Tadokoro, acompañan a Yukihira una suerte de personajes muy dispares que conviven en la misma residencia dormitorio, Estrella Polar. Alguno de sus compañeros tiene tendencia a pasearse desnudo, aunque esto sea sin alegorías divinas. Pero a casi nadie le importa. La motivación de Sōma es lograr ser el mejor de la escuela y superar a su padre. Dos tareas nada fáciles dado que su padre tiene también un bagaje muy extenso habiendo trabajado a lo largo y ancho de todo el mundo. La escuela pondrá a prueba a todos sus alumnos de muy diversas maneras pero lo que Sōma usará para lograr su meta serán enfrentamientos “Shokugeki” (lanza culinaria); un modo de retar a cualquier otro miembro de la escuela con un jurado (tipo Masterchef) que determinará quien cocina mejor. Y dará con contendientes altamente especializados, en un tipo u otro de cocina o especialidad culinaria, que no se lo pondrán nada fácil. El opening de la primera temporada es muy bueno, con su canción “Kibō no uta”. Se echa en falta cuando cambia después de los primeros 14 capítulos. Sin embargo esa ausencia hace la música más emotiva cuando se recupera en momentos álgidos de la historia como parte de la banda sonora. Tras la primera temporada de 24 capítulos, se estrenaron dos episodios OVA. Y se ha anunciado recientemente otra OVA especial “visita a onsen”, pre-estrenada en la fiesta privada de autores de la Jump, que se incluirá en el tomo 24 del manga; puesto a la venta en Japón en mayo de 2017. En verano de 2016 se emitió la segunda temporada con 13 episodios llamada Shokugeki no Soma -ni no sara-『食撃のソーマ 弐の皿』. Es decir, “Sōma, el de las batallas culinarias; segundo plato”.
9
GADGETS FEBRERO Lo mejor de la tecnología para esta temporada
Salvador Ordóñez
Sony Xperia XZ
Cuenta con una cámara principal de 23 MP con triple sensor de imagen, su cámara frontal es de 13 MP con un ISO 6400 y lente angular de 22MM/90 grados. Presenta un diseño curvo, pantalla FHD de 5.2 pulgadas y sensor de huellas digitales. Su precio es de $14,999 pesos http://bit.ly/2kS1XR9
Vespa USB Flash Drive
Este gadget es para los amantes de las Scooter, es una USB 3.0. Tiene una cubierta de goma duradera. Tiene conexión Plug & Play. Soporta Windows 8, 7, Vista, XP, 2000 y Mac OS. Su tamaño es de: 89 x 25 x 57 mm y tiene un peso de 46g. Tiene una capacidad de 2 GB hasta 64 GB. Su precio es de $288.5 pesos http://bit.ly/2kSiiFJ
ASRock Mini PC DeskMini RX GTXI
Cuenta con un procesador Core i7-7700K de Intel, placa de vídeo RX470 MXM de AMD. En su interior encontrarás una motherboard Micro-STX de ASRock un puerto Thunderbolt 3 Type-C, tres puertos SSD M.2, WiFi M.2, un conector LED RGB, soporte Intel Optane y un gabinete compacto de 2.7 litros de tamaño. Sin precio aún. http://bit.ly/2kNAy39
ASUS Tinker Board
Esta diminuta PC cuenta con un procesador Rockchip y es capaz de reproducir vídeos 4K y sonido de 24-bit. Cuenta además con 2 GB de RAM (el doble de la Pi), Gigabit Ethernet y la última generación de pines SDIO. Su precio es de $1389 pesos http://bit.ly/2kNx5Sk
10
ARTÍCULO
SanDisk Extreme Pro USB 3.1
Este pendrive ofrece un rendimiento igual al de un SSD. Su capacidad es de 256 GB. Admite velocidades de lectura de hasta 420 MB/s y de escritura de hasta 380 MB/s1. Cuenta además con garantía de por vida. Su precio es de $ 2.472 pesos http://bit.ly/2ljYyeW
Cargadores Griffin Technology
Este es un cargador que particularmente sirve para quienes olvidan de manera constante recargar sus dispositivos móviles. Conocidos como PowerBlock Beacon y PowerJolt Beacon tiene la capacidad de conectarse por bluetooth a cualquier dispositivo y envía notificaciones cuando ya hay poca carga. Su precio es de $824 pesos http://bit.ly/2kr4CR8
Samsung NoteBook 9
Esta portátil de 15 pulgadas tiene un peso de sólo 980 gramos. Cuenta con un procesador Core i7 de séptima generación, 8 GB de RAM DDR4 y un panel 1080p. Tiene además 2 puertos USB 3.0, 1 USB 2.0 y HDMI y un puerto adicional USB-C para cargar el dispositivo. Su precio es de $20.586 pesos http://bit.ly/2hZrPWj
Action Camera Yi
Cuenta con una resolución de 4K con 60 fps. Incluye además una pantalla de 2.2 pulgadas, batería que dura hasta dos horas en esta calidad, WiFi y puede ser montada en cualquier parte. Toma fotografías con una resolución de 12 MP y puede conectarse por Wi-Fi de 5Ghz. Su precio es de $ 3.915 pesos http://bit.ly/2k2iO4x
Sony Cyber-shot HX350
Esta cámara cuenta con un objetivo ZEISS Vario-Sonnar T y un rango de su zoom óptico 50x, equivalente en formato de 35mm a un gran angular de 24mm hasta un súper teleobjetivo de 1200mm. Cuenta además con una pantalla LCD de Xtra Fine LCD Magic™ de 7.5 cm de resolución. Su precio es de $9.921 pesos http://bit.ly/2lnrdvM
Proyector láser portátil LG ProBeam
Cuenta con una resolución a 1080p (Full HD) y con un brillo de 2.000 lúmenes para lugares con mucha luz. Su tecnología de sonido Sound Sync Adjustmen permite conectarse a cualquier dispositivo por Bluetooth. Su peso es apenas de 2.1 kg. Sin precio aún http://bit.ly/2kSlRvu
11
NOTICIAS
HOGARES INTELIGENTES ¿ ESTAMOS PREPARADOS?
Encuesta de CONTEXT muestra que los consumidores latinoamericanos están listos para los hogares inteligentes
M
PR Newswire
ás de tres cuartos de los consumidores encuestados en las economías líderes de América Latina manifiestan que desean conocer más acerca de los productos para hogares inteligentes (Smart Home), de acuerdo a una encuesta divulgada por CONTEXT, la empresa de investigación de mercados de TI, en la Conferencia GTDC LatAm que se celebra en Miami, EE.UU. Esta demanda potencial por la nueva ola mundial de productos tecnológicos presenta importantes oportunidades para el canal de TI en América Latina, afirma CONTEXT. Realizada en enero de 2017, la encuesta abarcó a 2.000 consumidores de Brasil, México, Argentina y Chile. "Aunque en estos países existe un alentador nivel de conocimiento de los hogares inteligentes" -comentó Adam Simon, Director Global de CONTEXT- "el mismo no está enraizado a un entendimiento profundo del concepto, debido a una exposición limitada a los productos o las ideas de hogar inteligente. Esto no debe sorprender, puesto que ni un solo canal está haciendo un buen trabajo en la explicación o demostración del concepto. Los
12
lugares en que la gente se ha enterado del concepto de hogar inteligente suelen ser los sitios online, en lugar de un contacto personal a través de cosas como la exhibición en las vitrinas de las tiendas". La encuesta concluyó que 9 de cada 10 personas tenían al menos una preocupación acerca de la idea del hogar inteligente, incluyendo fallas de los productos, dudas sobre la privacidad y robo de identidad. Los tres principales escenarios de usuario que alientan a los consumidores a adquirir productos para un hogar inteligente fueron "llegada al hogar", "despertador" y "seguridad avanzada". En términos de centros de mando de Smart Home que merecen más confianza por parte de los consumidores, se encuentran Apple, Amazon y Google. Amazon lidera en Brasil, Apple en México y Chile y Google en Argentina. "A pesar de la falta de un profundo conocimiento y de las barreras que esto crea, la buena noticia es que en todos los países existe un enorme apetito por aprender más", manifestó Simon. "Esto se da especialmente en términos de cómo se puede ahorrar dinero y el modo en que se puede hacer que la vida en el hogar resulte más disfrutable, más sencilla y mejor".
13
Estudio de ForeScout y LogRhythm revela preocupación del Reino Unido para detectar, prevenir y responder a ciberataques Más de la mitad desconocen la nueva regulación general de protección de datos de la Unión Europea (GDPR) Se multará a empresas que incumplan regulación con multas que equivaldrán hasta el 4% del volumen de negocios mundial
L
Gigamon Prensa
ogRhythm, empresa de inteligencia para la seguridad y analíticos, Gigamon, líder en soluciones de visibilidad de tráfico de red y Forescout Technologies, Inc., empresa de seguridad para el Internet of Things (IoT), anunciaron los resultados de una investigación (research) realizada en conjunto con expertos en seguridad informática y ejecutivos de alto nivel sobre las principales preocupaciones y amenazas a la seguridad de sus negocios. La encuesta a 2,000 profesionales de TI conducida por Atomik Research, reveló que menos del 47% de los negocios en Reino Unido están al tanto de la regulación general de protección de datos (GDPR), aún cuando estas regulaciones pendientes han sido ampliamente publicitadas. Adicionalmente, sólo 40% de los encuestados están conscientes de la directiva NIS, la cual como la EU GDPR, tendrá efecto en 2018. Sólo un tercio de los negocios sienten que están preparados para cumplir con ambas regulaciones. Otros datos clave que la encuesta arrojó son: • 54 por ciento de los encuestados están preocupados por el impacto que tendrá el Brexit en regulaciones sobre ciberseguridad
14
• 44 por ciento están conscientes que han sufrido irrupciones a sus datos, con 69% de estos negocios perdiendo sensibilidad a sus datos como resultado • 80 por ciento creen que sus datos confidenciales pueden estar expuestos a un ataque informático • Mientras el 96 por ciento cree que la visibilidad dentro de sus redes es importante o útil, 74% piensa que necesitan mejorar sus técnicas de detección, prevención y capacidad de respuesta “Claramente hay un largo camino por andar cuando hablamos de educar a las empresas en cómo cumplir con las regulaciones mientras la fecha límite para la regulación EU GDPR se acerca”, dijo Ross Brewer, Vicepresidente y MD EMEA de LogRhythm – “Mientras estos resultados indican que los negocios están preocupados sobre cómo pueden proteger sus datos, no parece haber relación entre la palabra y los hechos. Los hackers son persistentes y creativos, y desafortunadamente sus ataques causan daños cada vez más graves; recordemos los ataques a Yahoo y TalkTalk. Combinemos esto con reglas más estrictas y castigos más severos para quien tenga una seguridad endeble y el impacto de un ataque informático, sea mucho más serio. Tener la habilidad de detectar un ataque en el
NOTICIAS
Los resultados de la investigación se encuentran aquí
momento en que ocurre, será la clave para mantenerse al día en cumplimiento con las nuevas regulaciones en seguridad informática y esto sólo podrá ser posible si se tiene un conocimiento total de lo que pasa en las redes informáticas. Con multas de hasta el cuatro por ciento de su volumen de negocios mundial en juego, las empresas simplemente no pueden permitirse el lujo de "esperar a ver qué pasa”. De acuerdo con Myles Bray, Vicepresidente de ventas para la región EMEA de ForeScout “Los negocios británicos deben actuar hoy para reducir su exposición a riesgos informáticos, teniendo visibilidad sobre los dispositivos que se conectan a sus redes. Con el incremento de dispositivos tradicionales, teléfonos inteligentes y wearables conectados a las redes, la necesidad de visibilidad es mucho mayor en la medida en que los actores maliciosos usan estos dispositivos como el camino que opone menos resistencia”. La investigación también reveló que el robo de identidad es otra de las preocupaciones de los negocios. Mientas el malware es la preocupación número uno, con 42% de los negocios viéndolo como la amenaza principal, más de un tercio (34%) de los encuestados creen que el robo de identidad se ha vuelto la mayor de las amenazas informáticas.
Finalmente, se reveló que hay un crecimiento en la demanda de negocios de que los fabricantes tecnológicos trabajen juntos. Un poco más de la mitad (52%) de los negocios usan más de 5 proveedores de seguridad, con 82% deseando que los fabricantes les ofrezcan algo complementario y que contrario a la feroz competencia que tienen entre ellos, piensen más en los clientes y desarrollen productos de manera colaborativa para pelear contra los atacantes informáticos de manera más precisa. “Muchos negocios están luchando contra ataques informáticos de hackers, lo que significa que los fabricantes deben estar seguros que están luchando de manera más inteligente y en conjunto”, dijo Trevor Dearing, Director de marketing de Gigamon para la región EMEA – “El problema para muchas organizaciones es que no saben por dónde empezar, subsecuentemente eligiendo soluciones ad-hoc que fallan al momento de integrarse. Pero esa integración es crítica para detectar, aislar y eliminar amenazas antes de que infrinjan un daño. Es nuestra responsabilidad como líderes en nuestro campo el unir fuerzas para maximizar la inversión al máximo. Después de todo, los cibercriminales están incrementando sus recursos a cada momento y trabajando sincronizados - ¿porqué nosotros no?
15
MÉXICO DIGITAL:
UN GOBIERNO TECNOLÓGICO
A
Sharely Cabrera
Directora de Sector Público
ctualmente la tecnología está presente en prácticamente todos los aspectos de nuestra vida, desde los ámbitos empresariales hasta los sociales, nos apoyamos cada vez más en las herramientas digitales para hacer nuestro día a día más productivo. Es difícil imaginar un día completo sin visitar una red social, realizar una transacción electrónica, o mirar los encabezados de los periódicos más importantes, sin embargo la tecnología aún no tiene el impacto necesario en una de las áreas más importantes de la sociedad: Gobierno. Según cifras del INEGI, sólo el 1% de los mexicanos ha utilizado un medio electrónico para acceder a un servicio público, eso nos deja con el 99% de la población acudiendo a las oficinas de las dependencias gubernamentales cada que necesitan realizar un trámite. Este bajo porcentaje de interacciones a través de medios digitales se explica en parte gracias a que en el país aún hay 70 millones de personas sin acceso a internet. No es extraño entonces que cada que acudimos a una oficina de gobierno, esta se encuentre al máximo de su capacidad, con filas interminables, personas con montones de papeles bajo el brazo y salas de espera llenas de gente ávida por escuchar su nombre. Es evidente que la capacidad de las dependencias de gobierno se ve superada ante la enorme demanda de servicios por parte de los ciudadanos, es por eso que en México el tiempo promedio que toma realizar un trámite es de 3 días. El gobierno federal consiente de estas áreas de oportunidad puso en marcha la “Estrategia Digital Nacional” que tiene por objetivo incorporar las tecnologías de la información a la vida cotidiana de las personas, de las empresas y del propio gobierno, buscando así aprovechar al máximo las tecnologías de información que apoyen el desarrollo del país y mejoren en la calidad de vida de los ciudadanos. Dicha estrategia tiene cinco objetivos: 1) Transformación Gubernamental 2) Economía Digital, 3) Educación de Calidad 4) Salud Universal y Efectiva
16
NOTICIAS
Artículo Publicado en el siguiente enlace
http://bit.ly/2kR211L scabrera@intellego.com.mx
5) Seguridad Ciudadana. Esta transformación gubernamental está pensada para construir una nueva relación entre la sociedad y el gobierno, a partir del acceso a la información tanto para los ciudadanos como para los administradores públicos. Es importante recalcar lo difícil que sería cumplir con cualquiera de los cinco objetivos que tiene la Estrategia Digital Nacional si no se cuenta con información confiable y accesible, por lo cual se vuelve de vital importancia el también poder aprovechar el uso de las tecnologías de información para poder habilitar dicha estrategia tomando en cuenta factores desde el punto de vista jurídico hasta el uso correcto de las comunicación y la interoperabilidad de las mismas. Con la Estrategia Digital Nacional se busca evolucionar hacia un gobierno digital, que se basa en transacciones instantáneas y de bajo costo, pocos puntos de mantenimiento, habilitando procesos analíticos y con información accesible en el instante que se requiera. Como consecuencia dejaríamos atrás los servicios estandarizados para todos los ciudadanos, y daríamos paso a la personalización de los servicios de acuerdo a las necesidades, no más decisiones públicas tomadas por unos cuantos, ahora se habilita la participación ciudadana a través de celulares, tabletas y aplicaciones desarrolladas por el gobierno, aumentaría el nivel de satisfacción de los ciudadanos, y de pronto esa imagen, de la oficina de gobierno, las filas, las ventanillas, los formatos y las copias, se comienza a desvanecer frente a la posibilidad de un México Digital. ¿Qué le parecería tener los más de 4mil trámites que existen en México en la palma de su mano? A un clic de distancia, suena bien ¿no es así?, y lo ideal es que se puede realizar con la ayuda de la correcta gestión de la información que permitirá realizar procesos más transparentes para la ciudadanía, permitiendo integrar y hacer disponible la información necesaria del sector público así como reducir la fragmentación de datos y proveer información para la toma de decisiones a quien la requiera. ¿Interesado en la evolución digital? ¡Hablemos!
17
¿DRONES A LA LÍNEA?
Presentando la solución Spider: Un paquete total de drones para el tendido de líneas de transmisión de energía eléctrica
E
PR Newswire
l fabricante chino de drones MMC está presentando su solución en un solo paso para el tendido de líneas de transmisión de energía eléctrica en terrenos escabrosos: el Spider. El paquete MMC Spider es una innovación en la industria de los drones, que proporciona no solamente un drone industrial de alta potencia sino también capacitación preventa, proyecto y planificación de vuelos, operación por parte de un equipo profesional de pilotos, y un servicio completo posventa. "La necesidad claramente existe", dice el CTO de MMC, señor Lu. "Al ofrecer una solución total, permitimos que equipos que tienen menos experiencia con la tecnología de drones aprovechen los beneficios que ofrecen los drones para el tendido de líneas de transmisión de energía eléctrica - el costo es menor, es mejor para el ambiente y mejor para la gente". El drone Spider está fabricado específicamente para el tendido de líneas de transmisión eléctrica, y ofrece un conjunto integral de características para proyectos en todo tipo de terrenos: • Dispositivo con descarga inteligente, con capacidad de evitar obstáculos; • Capacidad de vuelos más prolongados y mayor carga útil, que admite línea de enfilación estándar de 3 mm; • Funciones de vuelo autónomo;
18
• Resistencia al viento de grado 5 y una opción de fibra de carbono resistente a la lluvia; • Sistema plug-and-play de cargas útiles intercambiables. El bajo costo y el bajo impacto ambiental de la solución Spider se ha utilizado en muchas regiones que tienen urgencia en proporcionar electricidad a áreas remotas. Con un gran equipo de pilotos con base en toda Asia, MMC ha ayudado a compañías de energía a completar proyectos en todo el continente. Muchos de los proyectos se han visto demorados por años antes de la asociación con MMC, debido a problemas aparentemente insuperables. "Habitualmente, un trabajador debe trepar a un andamio de bambú construido por el hombre para pasar la cuerda guía a través de la línea de transmisión eléctrica activa", explica el Experto en Tendido de Redes de Líneas de Transmisión Eléctrica, señor Bambang. "Es difícil para nuestro trabajador mantener el equilibrio sobre el andamio mientras a la vez mantiene la cuerda guía con la tensión correcta -- existe un riesgo elevado de que la cuerda guía podría caer sobre el cable activo y provocar un cortocircuito". Con la solución Spider de MMC, el equipo pudo completar el proyecto en semanas. MMC es un fabricante líder de soluciones comerciales e industriales con drones, que ofrece diseños comerciales innovadores y económicos, que incluyen el uso de energía ecológica de células de hidrógeno.
NOTICIAS
ArtĂculo Publicado en el siguiente enlace
http://bit.ly/2ltptoX
19
La acreditaciĂłn para el evento puede hacerse a travĂŠs de este enlace
http://bit.ly/2lyftGG
20
NOTICIAS
MÉXICO
POLO DE LA TECNOLOGÍA MÓVIL
GMIC Ciudad de México evalúa las cuatro razones que hacen que México sea considerado como un polo importante de la tecnología móvil
E
Luana Dinis
n abril, Ciudad de México será sede por primera vez de la Conferencia sobre Internet Móvil Global (GMIC, por sus siglas en inglés), uno de eventos más grandes e influyentes de tecnología móvil del mundo. Con más de nueve ediciones anuales, el evento reúne a los principales influenciadores y expertos del mercado de la Internet móvil. El evento constituye una oportunidad para que los líderes del sector móvil compartan ideas, fomenten negocios y, en el futuro, desarrollen acciones en el ámbito internacional. A continuación se exponen cuatro argumentos de peso que colocan a México como un país extremadamente activo y prometedor dentro del ecosistema móvil. • La invasión de los teléfonos inteligentes. Según datos de la GSMA, entre 2012 y 2016 el número de teléfonos celulares en México creció en 9 millones de usuarios. Los celulares constituyen el 59,8% de las líneas telefónicas en el país, un crecimiento anual de 41,4%, en comparación con el segundo trimestre de 2014. La GSMA prevé que para el año 2020 habrán 114 millones de usuarios de teléfonos inteligentes en el país, una tasa de penetración de 84% que supera el 69% de 2015. • El auge de las empresas emergentes. Ciudad de México se ha convertido en una importante
incubadora de empresas emergentes. El gobierno ha realizado considerables inversiones en el sector. En el año 2014 distribuyó $658 millones entre aproximadamente 620.000 emprendedores. El ecosistema de incubadoras y financiamiento de empresas emergentes en México es uno de los más maduros de América Latina. Ciudad de México es una de las 20 principales metrópolis del mundo para millonarios. En la actualidad algunos están invirtiendo en el sector de la tecnología mediante incubadoras, aceleradoras y empresas del Valle del Silicio. • Destaque del marketing digital. El aumento del poder de consumo, sumado al considerable número de teléfonos inteligentes en el país, ha hecho que el marketing digital haya ganado fuerza. Los diversos tipos de publicidad en línea son algo cotidiano para cualquier usuario de Internet en el país. Con ese cambio digital, existen grandes marcas globales de marketing digital que están emergiendo en el núcleo de muchas estrategias de marketing en el país. • Aumento del poder de consumo. El consumidor mexicano ganó poder de compra en la última década, y todo apunta a que ese escenario continuará creciendo en los próximos años. La mayoría de los consumidores residen en centros urbanos donde los Estados Unidos tienden a tener una profunda influencia sobre los hábitos de consumo.
21
¿CÓMO ESTÁ RELACIONADA LA
CIBERSEGURIDAD CON EL DERECHO A LA
LIBERTAD DE EXPRESIÓN?
L
Génesis Gatica Porcayo CONACYT
a ciberseguridad no está definida en el ámbito jurídico, es un aspecto muy trabajado desde la parte técnica”, comentó la doctora Olivia Mendoza Enríquez, adscrita al Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (Infotec). En entrevista para la Agencia Informativa Conacyt, la especialista explicó que la ciberseguridad es un conjunto de herramientas que pueden utilizarse para proteger información del ciberespacio, tanto aquella que tengan los países o representantes del Estado como son los servidores públicos, así como información de las empresas. En México ha incrementado el número de incidentes relacionados con la ciberseguridad, lo que refiere a una falta de conciencia de algunas organizaciones o de los usuarios personales, ocasionando mayor vulnerabilidad a un ciberataque. Como tal, no existe una definición exacta de ciberseguridad pero la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés) entiende este término como la protección de activos de información a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados. En este sentido, el entendimiento del concepto permitirá conocer y aplicar nuevas técnicas de protección que permitan que los cibernautas y diferentes organizaciones del sector público o privado tengan menores posibilidades de sufrir algún tipo de ciberataque.
Ciberseguridad en México y derechos humanos
La censura, espionaje y robo de identidad son algunos de los delitos cibernéticos en los que se ven involucrados con mayor frecuencia los usuarios de redes, y las medidas que adoptan los estados y las empresas para proteger la información que está a su cargo podrían afectar los derechos de libertad de expresión y privacidad. “Tenemos en discusión el convenio sobre la ciberdelincuencia llamado Convenio de Budapest, esta referencia insta a que los países adopten medidas para prevenir conductas ilícitas en el ciberespacio”, comentó Olivia Mendoza. De acuerdo con la especialista, lo que preocupa a la sociedad civil y a expertos en el tema es que estas medidas tomadas en el Convenio de Budapest pudieran derivar en mecanismos de censura y, por ende,
22
NOTICIAS
Convenio de Budapest Es el primer tratado internacional que busca hacer frente a los delitos informáticos y los delitos en Internet mediante la armonización de leyes nacionales, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones.
afectar la libertad de expresión y privacidad. Para prevenir que existan contenidos ilegales en Internet, las empresas que prestan este servicio tendrían que impulsar medidas para bajar dichos contenidos, según el Tratado Transpacífico. En caso de que México ratifique este tratado, que habla de temas de propiedad intelectual y comercio, hay una puerta abierta para que se viole la libertad de expresión y privacidad pues, en mayor o menor medida, los prestadores de servicio de Internet tendrían que hacer la labor de supervisión de contenidos para que todos aquellos que son de procedencia ilegal eviten sean descargados. “Con esta acción se tendría un monitoreo de todos los contenidos de Internet y todos los contenidos que están sometidos a una presunta infracción en materia de propiedad intelectual”, subrayó Olivia Mendoza. Lo anterior significaría la sujeción de los ciberusuarios a la supervisión de las comunicaciones sin que exista un mandato judicial.
La delgada línea entre supervisión y censura
Artículo Publicado en el siguiente enlace
http://bit.ly/2iSrzNS
La intención de estas medidas, según la doctora Olivia Mendoza, es buena, ya que se busca prevenir la inclusión de contenidos ilegales en Internet. Sin embargo, la instrumentación de medidas que lo prevengan es el rubro que no queda de forma idónea a la luz de los derechos humanos. “Si van a estar supervisando sin mandato judicial todos los contenidos o uno presuntamente vinculado a un contenido ilegal, en ese momento hay un claro mecanismo de censura, pues habrá temor de la gente de seguir transfiriendo información en Internet”. Para los países ha sido un problema hablar del tema de la regulación de Internet, pues el ecosistema digital pierde su equilibrio y no resuelve las complejidades que suceden en Internet desde el punto de vista de la extraterritorialidad de las normas. Es por eso que la especialista considera que hay que tomar en cuenta que el ciberespacio es un lugar que permite el ejercicio de algunos derechos humanos, como la libertad de expresión a través de las redes sociales, por mencionar un ejemplo. El ámbito regulatorio es uno de los principales recursos utilizados por las empresas en México y el mundo para impulsar la seguridad. Pese a eso hay una expectativa de que este rubro siga fortaleciéndose en todas las industrias, lo cual es parte de una estrategia de parte del gobierno federal sobre este proceso de transformación digital.
23
ProSoftware HACIA LA CERTIFICACIÓN PLATA
EN ASOCIACIÓN EUROPEA DE
CLÚSTERS
R
Ignacio Gallegos
Jighinfo
ecientemente, Prosoftware inauguró su Living Lab, el primer Laboratorio de Internet de las Cosas (IoT) en México con el fin de desarrollar dispositivos y herramientas con esta tecnología para el sector empresarial de TI nacional. Estas acciones forman parte de las gestiones que el clúster realiza para obtener la certificación nivel Plata otorgado por The European Secretariat for Cluster Analysis (ESCA). ESCA es una asociación europea que se ha dedicado al tema de la certificación de clústers, y México es de los pocos países fuera de Europa que están tomando esta metodología para la administración de clúster de managment. Actualmente, el reconocimiento tiene tres niveles: el Bronce, Plata y Oro. En entrevista, Óscar Rivera, Presidente de Prosoftware, explica cuál es la finalidad de alcanzar tal distinción y su impacto para las empresas de TI en el país. “En México sólo hay un clúster automotriz que tiene nivel Oro, y en América Latina solo hay dos, el otro se encuentra en Brasil. Hoy, la estrategia es que sólo pocos clústers estén en nivel Plata y Oro con lo que podrían trabajar en proyectos importantes que requieren muy altos estándares de calidad y operación.” Ignacio Gallegos. ¿Cuál es el beneficio para las empresas de Prosoftware de conseguir el nivel Plata de ESCA? Oscar Rivera. “Más que un beneficio es nuestro siguiente
24
E N T R E V I S TA
escalón. Realmente los beneficios llegarán cuando tengamos el nivel Oro porque entonces entraremos en ese mapa de clústers que están en la Unión Europea donde ya hay fondos, proyectos y estrategias de comunicación intraclústers y obtienes la oportunidad de que te busquen para realizar proyectos específicos por el nivel de madurez y organización que tienes.”
La estrategia de Prosoftware para la colaboración de las empresas afiliadas incluye la conformación de Capítulos alineados a las verticales Industriales: Episodio Medios Digitales, Episodio Automotriz, Episodio Emprendimiento Social, Episodio Internet de las cosas, Episodio Impacto Ambiental, Episodio Vinculación Académica y Episodio Ciberseguridad.
Ignacio Gallegos. Al interior de Prosoftware, ¿cuáles han sido los cambios o ajustes que ha hecho para poder calificar en estos estándares? Oscar Rivera. “Los cambios han sido en dos vertientes: ”Uno es el managment, en el que hemos crecido en el tema de administración incorporando procesos que antes no teníamos y estrategias de comunicación. Nos ha hecho madurar. Aún no hay una empresa adherida a Prosoftware que tenga un beneficio directo con estos cambios, pero sí son las base para que sea un clúster maduro y con procesos, reconocido en la escena nacional y mundial. ”La otra vertiente ha sido en la creación de Capítulos que nos da un tema de colaboración empresarial y hoy por hoy tenemos tres proyectos que nacieron de la colaboración de las empresas del clúster. Gracias a esta colaboración podemos salir como Prosoftware a hablar de estos capítulos en colaboración.”
Ignacio Gallegos. Para lograr la certificación de ESCA, ¿Prosoftware ha tenido algún apoyo gubernamental? Oscar Rivera. “Sí, tenemos el apoyo gubernamental a través de Prosoftware, pero queremos tener empresas que vivan de proyectos de negocio, no de fondos, que éstos sean algo adicional. ”Nuestra meta es que en 2017, las empresas que participan en Prosoftware vendan su proyectos a otras empresas para que el clúster sea sustentable, y así para el 2018 la participación sea de 50-50 [negocios de las empresas-fondos gubernamentales].” Ignacio Gallegos. ¿Esperan crear una marca Prosoftware? Oscar Rivera. “Estamos trabajando en eso, aunque tenemos una disyuntiva: si usar nuestro nombre o el de mxTI, el consejo nacional de clústers donde la creación de la marca mxTI estaría a la altura.”
25
E N T R E V I S TA
Artículo Publicado en el siguiente enlace
http://bit.ly/2kFBO7R
mxTI es el consejo nacional de clústeres reconocido como organismo oficial de interlocución e integración de información relacionada con los clústeres de TI por la Secretaría de Economía. Tiene representatividad y credibilidad ante diferentes instancias del gobierno federal y varios gobiernos estatales. Participa con proyectos integrales a través de fondos nacionales e internacionales y forma parte de la Plataforma Tecnológica Mexicana, la cual es un medio de vinculación para la innovación en cooperación con Europa y otros países a través de un ecosistema de redes. A través de mxTI, se da voz clara a las empresas de TI medianas y pequeñas ante las autoridades para cabildear objetivos y necesidades. Un factor importante para alcanzar los objetivos de operación y certificación de Prosoftware es la capacitación y formación de capital humano en nuevas tecnologías. Para ello ha establecido importantes alianzas con instituciones de educación superior en el país con el objetivo de actualizar, capacitar y formar a nuevas generaciones de profesionales. Sobre esta labor, comenta Rivera.
26
Ignacio Gallegos. Cuál es la propuesta para la formación de nuevas generaciones de profesionales, ¿cómo se acercan a las universidades? Oscar Rivera. “Uno de los proyectos estratégicos es la capacitación en el modelo dual. El año pasado, el Sistema Nacional de Tecnológicos, perteneciente a la SEP, lanzó el modelo de capacitación dual y gracias a ello hoy tenemos seis tecnológicos que se integran como modelo clúster para llevar el modelo dual. Esto significa que al menos los dos últimos años de las carreras relacionadas con TI estarán metidos en la industria. También estamos modificando tres planes de estudio en tres tecnológicos. Este modelo nos está permitiendo entrar a las universidades por medio de la capacitación a maestros, quienes a su vez llevan esa capacitación a sus alumnos en el año de especialización.” Finalmente, el directivo destacó la meta por alcanzar antes de qué finalizara el 2016: lograr la certificación de ESCA (en el nivel Plata, actualmente es Bronce) y su nombramiento como clúster aprobado por parte de INADEM (Instituto Nacional del Emprendedor).
27
EL
INTERNET
DE LAS COSAS
en México, una industria en ciernes “Es una responsabilidad histórica de las empresas de TI desarrollar soluciones 4.0 que impacten la realidad nacional”, dice. El objetivo de Living Lab es entregar soluciones que impacten a las pymes mexicanas, principalmente. El Internet de las cosas ha provocado una fusión inédita de las líneas profesionales TI, un nuevo reto educativo.
E
Ignacio Gallegos
Jighinfo
n días recientes Prosoftware, clúster de Tecnologías de la información en México, puso en operación Living Lab, el primer laboratorio creado para investigar y desarrollar dispositivos y herramientas para el Internet de las Cosas (IoT). Con el esquema T Bimodal el laboratorio, dirigido por Ricardo Medina Alarcón, está disponible tanto para los profesionales de la industria y las empresas que conforman el clúster como para estudiantes de las carreras afines con las que Prosoftware tenga firmada una alianza. Entre los servicios que ofrece están el desarrollo de capital humano, desarrollo de prototipos, estrategias de innovación y modelos de negocios. En entrevista, Ricardo Medina, describe cuál es el contexto nacional en el que se inserta esta iniciativa y cuál el impacto que lograrán con el desarrollo y afianzamiento no sólo entre las empresas que integran Prosoftware sino también en el mercado nacional de pymes. Ignacio Gallegos. ¿De dónde surge la idea de tener un
28
laboratorio de Internet de las cosas? Ricardo Medina. La idea surge de la necesidad detectada de ayudar a preparar a las empresas a desarrollar sus soluciones y que éstas a su vez las ofrezcan al mercado mexicano. Muchas empresas empezaron a demostrar interés en el desarrollo de capital humano y adquisición de equipo para el aprovechamiento de nuevas tecnologías. Un ejemplo: las impresora 3D pueden tener un precio relativo pero no tiene sentido que 30 empresas compren una en este momento, necesitan antes crear un ecosistema en el que cualquier empresa pueda hacer uso de este equipo. Por eso la urgencia de crear este proyecto. Se puso a consideración de la Secretaría de Economía aproximadamente hace un año y comenzamos a trabajar en la iniciativa. Afortunadamente, se hizo realidad llegado a este punto con la inauguración del laboratorio. Ignacio Gallegos ¿En qué momento se encuentra México en el desarrollo de la industria de Internet de las cosas? Ricardo Medina. Yo pienso que estamos en un momento inicial, lo cual es natural porque se trata de
E N T R E V I S TA
29
una tecnología relativamente nueva, hace dos años nadie hablaba del Internet de las Cosas. Hoy está en la agenda de las empresas de tecnología más importantes del mundo. Si vemos el portal de empresas como SAP, Cisco, Microsoft, en cualquiera de ellas la prioridad es el Internet de las Cosas y hace dos años no existía esta tendencia. En México, me parece que es un proceso evolutivo. Vamos rezagados, como siempre ocurre con el tema tecnológico. El ecosistema de Prosoftware empezó a empujar con el concepto de clústers hace año y medio, lamentablemente el contexto siempre nos va dejando atrás y sí me parece que vamos tarde, sin embargo, todavía podemos hacer cosas muy notables. Esta es la preocupación: si México no se pone las pilas en desarrollo de soluciones que impacten su industria 4.0, enfocadas en su mercado interno (sobre todo por lo que está pasando en EUA), nos rezagaremos más, y lo que va a pasar es que vamos a traer soluciones de otro lado: una solución brasileña para el campo mexicano, una solución española para la industria 4.0, etc. No se trata de un tema nacionalista pero me
30
parece que las empresas TI mexicanas deben asumir su responsabilidad porque siempre hemos sido catalizadores de innovación, siempre hemos llevado innovación a las empresas que no son de TI, entonces, si lo vemos así, el primer paso es convencer a los directivos de las empresas de que deben evolucionar los servicios que ofrecen, desarrollar su capital humano, darles capacitación en este nuevo modelo de negocio y tener soluciones que puedan llevar a sus clientes. Es una responsabilidad histórica de las empresas de TI. Tengo la fortuna de estar impulsando el proyecto a nivel nacional desde la AMITI. Soy Líder del grupo de innovación y nuevas tecnologías, desde el consejo de clústers, y se propusieron iniciativas de este tipo a nivel nacional. La primera que se ha formalizado es el Living Lab. No cabe duda de que Prosoftware como clúster toma el liderazgo a nivel nacional en este sentido porque es de los primeros que tienen un proyecto sistémico. Sabemos muy bien lo que queremos hacer: desarrollar capital humano, desarrollar soluciones e impactar en los verticales. Son los tres elementos que tiene el laboratorio.
E N T R E V I S TA
Con nuestro Living Lab queremos generar una gran cantidad de soluciones que tengan un impacto en la economía nacional. Soluciones en todas las áreas para llegar a las pymes mexicanas.
Ignacio Gallegos ¿Cuál es la situación en el desarrollo y capacitación de profesionistas en carreras TI para afrontar este nuevo panorama? Ricardo Medina. Ese es un reto interesante. El Internet de las cosas está provocando una fusión de las líneas profesionales de quienes nos dedicamos a las TI. Está haciendo posible el acercamiento entre robóticos, mecatrónicos, electrónicos que típicamente se desempeñaban por su lado, y los de software, quienes no necesariamente saben cómo desarrollar un robot industrial y meterlo al mundo del software, y viceversa. Y no hay profesionales que tengan esta visión. Un proyecto de Internet de las Cosas integral debe tener nueve etapas distintas que incluye algoritmos, sensores, comunicaciones, Nube, Bigdata, Analytics, procesador, arquitectura, seguridad, etc. No hay muchas iniciativas que le den esta visión integral a las soluciones que se generan. El gran riesgo es que salgan soluciones frágiles o inseguras. “Queremos hacer sistemas complejos, poner mil sensores en una fábrica o 10 mil en una avenida. Esa será la diferencia entre este laboratorio y lo que ya existen en
otras regiones de México.” Queremos hacer proyectos de largo alcance y que tengan una alta complejidad. Ignacio Gallegos ¿A qué mercado se quieren dedicar para vender estas iniciativas? Ricardo Medina. Siempre pymes. Nuestro objetivo es crear un ecosistema y habilitar a las empresas de Prosoftware o las que se concentren es este espacio. El cliente directo son las empresas de Prosoftware pero el foco principal son los clientes del cliente. Vamos a pymes, queremos entregar soluciones a este sector. “Con nuestro Living Lab queremos generar una gran cantidad de soluciones que tengan un impacto en la economía nacional. Soluciones en todas las áreas para llegar a las pymes mexicanas.” A decir del especialista, hoy más que nunca México necesita ver hacia el mercado interno y hace un llamado a las empresas de TI para innovar, preparar su capital humano y desarrollar soluciones. “Necesitamos de todo su entusiasmo y compromiso para crear soluciones que impacten el negocio de sus clientes”, concluye.
31
CIBERSEGURIDAD
CON GARANTÍA DE FUTURO
L
Serge Malenkovich
Kaspersky Lab
a industria de la ciberseguridad tiene una inseguridad fundamental: la provisión de talento. Frost & Sullivan estima que para el año 2020 el campo de la ciberseguridad sufrirá una falta de talentos de 1.5 millones de empleados cualificados a pesar del esfuerzo por parte de los sistemas de educación del mundo por incrementar la cifra. Los departamentos informáticos de las grandes empresas se llevarán la peor parte de esta carencia. Aun así, la verdadera pelea sucederá entre los vendedores especializados en seguridad que buscarán y competirán por llevarse los expertos con grandes conocimientos. La gente así no se encuentra en cualquier universidad. El reto del déficit de talentos se discutió en una conferencia que Kaspersky Lab dio en Dublín, Irlanda. Conocida como el Silicon Valley de Europa, Irlanda (y Dublín en particular) es una ciudad muy activa en la que forman y contratan profesionales informáticos, lo que convierte a la ciudad en la elección para llevar a cabo un debate que afecta a un gran grupo de partes interesadas: vendedores de seguridad, instituciones educativas, agencias de empleo y representantes de gobierno. Todos los participantes compartían la visión de que aunque los sistemas educativos ya se están adaptando activamente para abordar el problema, no se hace lo suficiente por superar el déficit. Shane Nolan, director de IDA Ireland explicó que “la capacidad para formar a nuevas personas a nivel académico ha experimentado dificultades en los últimos cinco años. Casi todas las universidades tienen un grado o un posgrado en ciberseguridad… Creo que promocionar esta habilidad entre los niños es de vital importancia, como lo es la parte de formación del sistema educativo. Muchos estudiantes escogen una educación informática genérica. Si pudiéramos dirigir ese tráfico hacia las aplicaciones de ciberseguridad, las cosas mejorarían”.
32
ARTÍCULO
33
Los adolescentes están interesados en la programación, pero terminan haciendo ingeniería mecánica o ingeniería civil porque es lo que les aconsejan
Jacky Fox, directora de consulta de riesgos de Deloitte Ireland y jefa del servicio de ciberseguridad en Deloitte en el país, añadió que, idealmente, al menos se debería dar una lección de ciberseguridad a todos los estudiantes, sin importar su campo de estudio. “Podría hacerles cambiar de opinión. Podría ser una buena opción para ellos”, concluyó. El Dr. Michael Schukat, docente del Departamento de Tecnología de la Información en la Universidad Nacional de Irlanda, Galway, enfatizó que el problema debería abordarse a temprana edad, durante los años escolares: “los adolescentes están interesados en la programación, pero terminan haciendo ingeniería mecánica o ingeniería civil porque es lo que les aconsejan. ¿Dónde podemos intervenir? Supongo que tenemos a una persona adecuada con nosotros [señala a Eugene Kaspersky]: necesitamos ejemplos a seguir, necesitamos que estrellas de la ciberseguridad sean más visibles y que enseñen a esos adolescentes (y a sus padres) que pueden tener una carrera, ganar dinero y que la ciberseguridad es muy emocionante. Y, también, debemos mejorar nuestros esfuerzos para que los estudiantes se sigan interesando
34
por la ciberseguridad. Podemos hacerlo de modo que se interesen por la ciberseguridad, podríamos organizar maratones de hackeos, días de puertas abiertas, llámalo como quieras. Al final haremos que los estudiantes se decanten por la ciberseguridad.” Eugene Kaspersky piensa que no es tan difícil hacer que los estudiantes se interesen: “Primero, la seguridad informática ya está en todas partes, desde en un teléfono a una turbina”, dijo. “Segundo, en muchos casos tenemos que investigar, cazar a los hombres. Tercero, hay más demanda por expertos de ciberseguridad, por lo que se les paga mejor”. Aun así, incluso los graduados más comprometidos raramente están cualificados para desarrollar tareas de ciberseguridad avanzadas. Por ello, es más probable que los graduados que llevan a cabo una formación adicional o que realizan prácticas con equipos reales de ciberseguridad encuentren el éxito en este sector. Por supuesto, esta tarea es mucho más fácil de conseguir en un oasis como lo es Dublín que cuenta con muchas compañías y equipos de este tipo. “En Deloitte, aceptamos a becarios, tenemos programas de graduados
ARTÍCULO Artículo Publicado en el siguiente enlace
http://bit.ly/2lyCBZP
(tres años de formación para convertirlos en auténticos profesionales de las ciberseguridad)”, dijo Jacky Fox. Para mejorar, las compañías de ciberseguridad necesitan ese tipo de oasis: a menudo deben buscar un experto raro o único. Como señala Shane Nolan: “tener a la mayoría de la industria aquí es de vital importancia porque se necesitan empleados cualificados, no solo graduados, no solo estudiantes de doctorado, sino gente con experiencia… Es nuestro trabajo ayudar a Irlanda a crear una plataforma para que estas compañías continúen formando a expertos informáticos”. Kaspersky Lab también tiene esta necesidad. Por eso abrimos nuestro primer centro de investigación y desarrollo en Europa, concretamente en Berlín, el mismo día que tuvo lugar la conferencia. Unos 50 desarrolladores trabajarán allí durante esta primera etapa. Keith Waters, jefa de ingeniería de Kaspersky Lab en Irlanda, dijo que su tarea le inspira: “es un gran e interesante reto crear el tipo de productos que creamos para proteger a las empresas. Para crear los productos y las soluciones avanzados que queremos en Berlín, se
requiere una combinación de experiencia en seguridad, conocimientos de Big Data, aprendizaje automático. Es difícil encontrar una combinación de habilidades más interesante para la comunidad de ingenieros”. Eugene Kaspersky sugirió que, además del nuevo centro R&D, Kaspersky Lab quizá cree un centro especial de formación dedicado a la educación en campos de la ciberseguridad que están surgiendo, como la protección de infraestructura crítica o la seguridad de transportes. “Estoy seguro de que nuestra oficina en Dublín nos ayudará a crear mejores sistemas de ciberseguridad mejores, servicios, formación y educación, trabajando junto con el gobierno irlandés y las universidades”, afirmó. El primer ministro de Irlanda, (Taoiseach) Enda Kenny acudió a la ceremonia de apertura y prometió que el gobierno ayudaría a la industria: “el gobierno reconoce la amplitud y el ámbito de las competencias requeridas en este campo y la nueva estrategia para la educación y el talento buscará que nos aseguremos de las habilidades informáticas y digitales son una parte fundamental en todos los niveles del sistema de educación”.
35
¿EL ENEMIGO ESTÁ EN CASA?
L
Alejandro Rebollo
as empresas que manejan cúmulos importantes de información, tanto en México como en cualquier país, anualmente invierten mucho dinero en temas de seguridad y resguardo de la información. Muchas veces se habla que pueden existir afectaciones del exterior a una empresa, en este artículo en particular hablare un poco a manera de anecdotario de mis experiencias de los últimos diez años respecto a estos temas de seguridad y resguardo de la información. Debo aclarar que mi vida profesional la inicie en instituciones financieras, para las cuales, sobra decir, es sumamente importante el manejo que se le da a su información. A los poco años de haber estado trabajando me entere de un par de historias un poco sórdidas en cuanto a estafas de dinero que se habían realizado en una institución financiera, que la gente de sistemas me confirmo totalmente convencidas que así ocurrió y que no se trataba de una leyenda urbana. La historia, que quizá ya sea conocida, es que hace tres o cuatro décadas en el pasado, una pareja del departamento de sistemas, se le ocurrió que los famosos redondeos de centavos se fueron abonando a una cuenta personal que se manejaba en la misma institución, y que, posteriormente, la gente que hacía los análisis de cuentas, observaron que esa cuenta en donde la pareja manejaba el deposito de redondeos, estaba creciendo exponencialmente. A raíz de ese análisis, descubrieron lo que se estaba llevando a cabo tras bambalinas, lo que detono en el despido automático de la pareja, las repercusiones legales y la devolución del dinero. Esto da pie a decir una verdad que hasta ahora sigue sucediendo en instituciones financieras en nuestro país: se gasta mucho dinero en poner una barrera de seguridad del exterior hacia el interior de las instituciones, sin
36
embargo, se gasta muy poco en la seguridad interna. Hoy en día sigo, de nueva cuenta, estoy trabajando en una institución financiera, que aunque quizá no es tan grande, maneja una cartera importante de clientes cautivos de micro-créditos. Lo que veo es que mucha gente tiene acceso a los sistemas productivos, pero incluso, gente externa. No existen los mecanismos necesarios para saber qué tanto detalle de la información se puede ver, y mucho menos, que tanta información yo puedo extraer. La revisión en torniquetes y accesos de entrada, para personal interno, pero sobre todo para el personal externo es muy pobre. En cualquier momento, cualquier persona, puede tener acceso a su base de datos en donde se encuentra la información de clientes, lo que llevaría a que se pueda realizar un proceso de extracción, almacenamiento y extracción. Este tipo de información, que es un activo intangible, altamente costoso para la institución, también tiene un alto precio para cualquiera de sus competidores, y estarían dispuestos a pagar por esa información, ya que se tienen nombres completos de clientes, fechas de nacimiento, dirección y teléfono de contacto; incluso, se tiene hasta la tasa de interés otorgada y la antigüedad actual con la institución. Lo anterior nos lleva a reflexionar, en realidad, ¿se está invirtiendo lo suficiente en seguridad informática en las instituciones hacia el interior, es decir, en lo que manejan sus empleados y personal externo que tiene acceso a sus diversos sistemas, bases de datos y repositorios de información? ¿deberían, las instituciones, gastar más en seguridad de este tipo, antes que invertir en sistemas de innovación, ya que si sufren un robo de información, esto puede repercutir en la perdida de sus clientes? ¿deben exagerarse los protocolos de información cuando se accede a las instalaciones de una institución financiera, como si se tratara de un reclusorio?
ARTÍCULO
¿deben exagerarse los protocolos de información cuando se accede a las instalaciones de una institución financiera, como si se tratara de un reclusorio?
37
CERTIFICACIONES
QUE DEBEN SEGUIR LOS
U
ESTE 2017
Reclu IT
na de las partes más extensas y conocidas de la industria de las tecnologías de la información son los lenguajes de programación, ya que son los conocimientos “de entrada” para muchos profesionales, aunque después se especializan y no vuelven a ver líneas de código. Así que para llegar a ese punto deberán capacitarse en ciertas tecnologías, algo en lo que les puede ayudar una certificación, que son tanto sobre plataformas de desarrollo y entornos acerca de lenguajes de programación específicos. Por eso en este post veremos una mezcla interesante de certificaciones específicas de algunos lenguajes como C / C ++, así como varias orientadas a ciertas plataformas como el de MCSD de Microsoft. Para la realización de este post se toman en cuenta de LinkedIn, TechCareers, SimplyHired, entre otros, que muestran un panorama de lo que más se requiere en este primer trimestre y destacan los salarios varían que dependiendo del rol del trabajo, pero, en promedio, los desarrolladores de software y aplicaciones pueden esperar ganar algo entre los 80 mil dólares. SimplyHired informó ganancias promedio para desarrolladores de aplicaciones en poco más de 83 mil y casi 90 mil dólares para desarrolladores de software. Así que para iniciar con este listado tenemos a la Microsoft Certified Solutions Developer la principal certificación de Microsoft para programadores y desarrolladores de aplicaciones. Los profesionales de Microsoft probablemente estén más familiarizados con sus cinco credenciales MCSD: Aplicaciones Web, Aplicaciones de SharePoint, Azure Solutions Architect, Administración del ciclo de vida de las aplicaciones y Plataforma Universal de Windows. Microsoft renovó su programa de certificación MCSD en septiembre de 2016 para alinearse más con los requisitos técnicos comúnmente utilizados por Microsoft Partner Network. Como resultado, la mayoría de las credenciales de MCSD se retirarán el 31 de marzo de 2017. Ésta se centra en los desarrolladores de aplicaciones y valida los conocimientos de un candidato y las habilidades técnicas necesarias para crear servicios web, aplicaciones web y aplicaciones móviles
38
Artículo Publicado en el siguiente enlace
http://bit.ly/2lBTuPi
ARTÍCULO
Al igual que todas las certificaciones (ISC) 2, el Certified Secure Software Lifecycle Professional (CSSLP) es relevante para muchos proyectos de programación y desarrollo diferentes, aunque especialmente está dirigida a desarrolladores de software, probadores de QA y similares, el CSSLP reconoce la competencia en la seguridad de aplicaciones a lo largo del ciclo de vida del desarrollo de software. El examen cubre todas las fases del ciclo de vida, incluyendo conceptos de software seguro, requisitos, diseño, implementación y codificación y pruebas. Los candidatos también deben estar a la vanguardia en la aceptación de software, despliegue, operaciones, mantenimiento y eliminación, junto con la cadena de suministro y adquisición de software. Los lenguajes de programación C y C ++ han existido por años, haciendo su debut en los años 60 a los años 70 (C) y los años 80 a los años 90 (C ++). Aunque un gran número de universidades ofrecen un curso de programación C / C ++, el C ++ Institute y Pearson VUE decidieron crear un nicho en el campo de la certificación ofreciendo las primeras certificaciones internacionales C / C ++. Las certificaciones de C ++ Institute son buenas para la vida porque los idiomas no han cambiado mucho durante los años. Pero eso no significa que no haya mucha demanda por estas habilidades. Y una certificación de C / C ++ es un paso perfecto para muchos certificados específicos de plataforma y proveedor, como el MCSD. La Puppet Certified Professional, que fue fundada en 2005 por Luke Kanies, es conocida por su herramienta de software de gestión de configuración (ofrecida en formatos de código abierto y comercial) y su software de automatización. Desde su creación, Puppet ha crecido considerablemente. Su alcance ahora se extiende a
oficinas no sólo en los Estados Unidos (Portland, Oregón), sino también en Londres, Irlanda, Australia y la República Checa. Según Puppet, más de 30 mil empresas utilizan la herramienta y software Puppet. También está la SaltStack Certified Engineer (SSCE). Desarrollado por Thomas S. Hatch, SaltStack es un software galardonado que se centra en la gestión de centros de datos (virtualización, nube, nube híbrida, código, aplicaciones, software, gestión de configuración, infraestructura y gestión de configuración de aplicaciones). SaltStack es único en que proporciona la automatización de tareas relacionadas con DevOps, ITOps y CloudOps. La SSCE valida el conocimiento de un candidato y la experiencia del mundo real implementando soluciones de Sal. El examen cubre temas como la ejecución común de Sal y módulos de estado, configuración, estados y pilares, autenticación de claves, seguridad y plantillas. Por un lado, tiene sentido investigar la plétora de programas de certificación neutrales a proveedores disponibles para aquellos que trabajan con lenguajes de programación específicos o plataformas de desarrollo, en particular los que son de código abierto, como Zend Framework y Zend PHP o Ruby on Rails y La certificación Ruby Programmer de la Ruby Association. También puede encontrar ofertas de proveedores como Brainbench o ExpertRating. Estas y otras organizaciones similares ofrecen capacitación y pruebas de programadores en una amplia gama de temas (docenas a cientos, de hecho), incluyendo temas candentes tales como desarrollo de aplicaciones móviles, Android e iOS y programación web. Siempre se debe tener presente que hay muchos otros programas de certificación que pueden ayudar a seguir las carreras y el desarrollo profesional de los profesionales de TI que trabajan como programadores.
39
40
41
42
CENTRAL
DLP
TECNOLOGÍAS PARA LA PREVENCIÓN
DE LA FUGA DE INFORMACIÓN
Israel Andrade Canales
N
Seguridad Cultura de Prevención para TI
o cabe duda que la facilidad para procesar, almacenar y transmitir la información que las TIC nos brinda a su vez dificulta el control sobre la misma, para muestra de lo anterior: la fuga de información en medios digitales. Dicho problema se ha colocado dentro de las primeras cuatro tendencias sobre delitos informáticos en este año y además, es una noticia común en los medios de comunicación, desde la fuga de los primeros cuatro capítulos de la nueva temporada de “Game of Thrones” hasta el robo de datos personales en una de las tiendas departamentales más populares de México. Parece que si las condiciones son propicias, alguien extrae o pierde información que incluye documentos laborales, bases de datos con información sensible, fotografías o vídeos que en cuestión de horas el público puede descargar desde la comodidad de su dispositivo personal.
La fuga de información
El problema principal de la fuga de información es que las amenazas, las vulnerabilidades y las malas prácticas de seguridad que la propician se presentan en una gran variedad de escenarios durante el ciclo de vida de la información: creación, procesamiento, almacenamiento, transmisión y deposición. Durante la creación o la adquisición de la información olvidamos definir cuáles van a ser las reglas del uso de la misma, comenzando así los problemas de control. ¿Quiénes tendrán acceso? ¿En cuáles dispositivos se podrá almacenar? ¿A quiénes se podrá transferir? ¿Se puede publicar? ¿Durante cuánto tiempo será útil? Son preguntas que podríamos plantearnos justo en el momento de adquirir o crear dichos medios, no sólo para información laboral, también para la personal.
43
Cuando transferimos, compartimos o publicamos la información perdemos por completo su control, es aquí donde comienza la pesadilla, porque otras personas pueden hacer mal uso de los contenidos
El descontrol de la información empeora en el siguiente estado de la información: el almacenamiento. Hoy contamos con una extensa variedad de dispositivos en donde podemos almacenar archivos y la mala práctica es no tener un control de dónde se resguardan. Es por esto que en el ámbito laboral están en boga los inventarios de información, prácticas que eran exclusivas para los bienes materiales. Cuando transferimos, compartimos o publicamos la información perdemos por completo su control, es aquí donde comienza la pesadilla, porque otras personas pueden hacer mal uso de los contenidos: copias y accesos no autorizados a personas, correos personales, almacenamiento en dispositivos móviles, en la nube, redes sociales, etcétera. En último lugar se encuentra el estado final de la información (la cual olvidamos frecuentemente): la eliminación. Por una parte está la práctica poco realizada del borrado seguro: ¿qué información podría obtenerse de nuestras viejas memorias USB, de los teléfonos celulares o de los servidores que se dan de baja en las empresas?; y por el otro, la dificultad de eliminar la información una vez que ha salido de nuestro ambiente de control, por ejemplo, cuando se almacena en Internet.
44
El problema es demasiado grande para una solución definitiva, involucra gente, tecnología, aspectos legales, de gestión, y a su vez, que las medidas precautorias no desfavorezcan el uso ágil de la información.
¿Qué es un DLP?
Una de las estrategias que las empresas están adoptando con más fuerza es el uso de sistemas de Prevención de Pérdida de Información (traducción propia de Data Loss Prevention, DLP). Se trata de un sistema porque son un conjunto de tecnologías que previenen la fuga de información. El principio fundamental de esta serie de técnicas se basa en una herramienta más que conocida en el mundo de la seguridad informática: el antivirus; sólo que en lugar de buscar todas las formas reconocibles de una pieza de malware, éste sistema busca patrones y firmas de la información que nosotros consideremos sensible. Adicionalmente, otras herramientas del DLP se distribuyen en toda la infraestructura informática (principalmente en los equipos de escritorio y en los dispositivos de red) para cubrir todos los estados de la información y los puntos de fuga. El dueño de la información puede definir si algún archivo, base de datos o algún tipo de dato en particular (como el número de una tarjeta de crédito) debe ser analizado y, en su caso, bloqueado si es transmitido por algún medio. Estas herramientas pueden ser configuradas desde la forma más sencilla y ágil de clasificación (pública o privada) hasta el esquema más complejo. Mientras la información se encuentra almacenada en uno o más equipos, el dueño puede realizar una búsqueda exhaustiva (justo como lo haría un antivirus en la búsqueda de malware en el equipo) y descubrir
CENTRAL Artículo Publicado en el siguiente enlace
http://bit.ly/1Ui5yzk
cuántas copias de la información o del mismo dato se encuentran distribuidas sobre la infraestructura tecnológica y así proceder a su organización, control o eliminación. ¿Te imaginas en cuántos documentos, dispositivos de almacenamiento y correos viejos has abandonado algún archivo con datos sensibles? Quizá la funcionalidad más interesante es la del monitoreo y bloqueo de cualquier intento de transferencia no autorizada de los datos en resguardo. Esto funciona con la misma tecnología que un firewall, que detiene un patrón de ataque, pero en este caso se evita que la información sensible salga si no lo está permitido. Por ejemplo, un usuario apunto de mandarse una copia del reporte de finanzas a su correo personal (para revisarlo en casa) será detenido desde el cliente de correo o navegador, también será detenido al momento de subirlo a la nube y su sistema operativo no le permitirá almacenarlo en su memoria USB, si así fue establecido. Pues bien, para el usuario no especializado en informática, un DLP podrá parecerle un medio de control más. Por eso es necesario que este tipo de mecanismos sean acompañados de un aspecto importante: una sensibilización informada del porqué cierto tipo de datos serán resguardados de esta manera, sea por implicaciones legales (como en el caso de la Ley Federal de Protección de Datos Personales) o por su criticidad para el negocio (como en el caso de los capítulos filtrados de “Game of Thrones”). También es importante recalcar que este tipo de sistemas requieren mantenimiento por parte de personal especializado y no son infalibles, pues pueden presentar “falsas alarmas” debido a la configuración imprecisa de políticas o la definición de patrones de búsqueda incorrectos que generarán más de un dolor de cabeza.
Sin embargo, como mencioné al principio de este artículo, la fuga de información es una de las tendencias más importantes en materia de seguridad. Con el perfeccionamiento de estas tecnologías y su integración con otras como los DRM, deberá disminuir considerablemente el problema. ¿Crees que algún día esta tecnología será utilizada comúnmente por los usuarios caseros en sus computadoras y dispositivos móviles como lo hizo el antivirus o el firewall personal?
Notas al pie
[1] La gestión digital de derechos o DRM (por sus siglas en inglés) son un conjunto de tecnologías de hardware y software que controlan el acceso a contenidos digitales, principalmente películas y música, que permiten controlar la ejecución, vista o la impresión de información. La diferencia principal con un DLP es que los candados de seguridad están embebidos en el contenido y el software o dispositivo debe validar el derecho sobre el mismo; sin embargo, esta característica no permite tener un control sobre bases de datos o datos crudos como números de tarjetas de crédito, números de seguridad social, etcétera.
45
Encriptación SSL E
Ya no es un arma de dos filos
Erin O’Malley Senior Solutions Marketing Manager GIGAMON
ncriptar ha sido un arma de doble filo. Mientras el protocolo SSL/TLS es perfecto para proteger la privacidad, también es perfecto para ocultar amenazas (ataque command-andcontrol, data exfiltration exploits, etc). Un gran enigma sin duda alguna, pero que está a punto de cambiar para bien. Por varias razones, el tema del descifrado SSL, se ha convertido en un tema caliente para muchas organizaciones, mientras sus equipos de seguridad luchan con un número importante de retos operacionales actualmente. Para sus equipos de seguridad; que luchan contra algo operativo muy difícil, cambiante, aquí algunos ejemplos: • ¿Cómo hace uno para detectar comunicaciones de tipo command-and-control (C&C) cuando se tiene un host interno infectado? • ¿Cómo entienden las organizaciones el riesgo del uso inapropiado dentro de la oferta de Softwareas-a-Service (SaaS) – (ejemplo, riesgo de que la información confidencial o de un propietario se cargue en un sitio web de intercambio de archivos)? • ¿Cómo tener mecanismos de inspección SSL, adaptando las cifras más nuevas que requieren soporte de descifrado SSL en linea? • ¿Cómo implementar un enfoque escalable, para gestionar el trafico encriptado en un mundo en el que un alto porcentaje del tráfico es encriptado? • ¿Cómo las herramientas operativas fuera de banda (que en gran medida superan significativamente a las herramientas en línea) descifran el tráfico o se alimentan del tráfico encriptado en el contexto de todo lo anterior?
Estas son las preguntas que GIGAMON trató de responder, cuándo introdujimos nuestra nueva solución
46
de descifrado SSL/TLS. Con nuevas capacidades en línea, la solución está diseñada para brindar mayor visibilidad a los datos encriptados en movimiento a través de las redes empresariales. ¿Cómo?, al alimentar el tráfico descifrado de interés a las herramientas de seguridad apropiadas para el análisis y remediación inmediata. Para los equipos SecOps, que han sido desafiados a tomar el reto de gestionar volúmenes cada vez mayores de tráfico encriptado, ¡estas son excelentes noticias! Ahora pueden evitar el descifrado repetitivo / re-encriptar sesiones SSL mediante herramientas no diseñadas específicamente para el descifrado y eludir la expansión innecesaria de dispositivos y los costos relacionados, la complejidad y su potencial para introducir latencia. La desencriptación SSL es una función inherentemente de computo intenso; por lo que centralizar esta función en la plataforma de visibilidad, la capacidad de procesamiento de las herramientas de seguridad puede liberarse para centrarse en sus funciones primarias. Específicamente, la solución ofrece una nueva aplicación, GigaSMART, de inteligencia de tráfico que soporta tanto decodificación en línea como fuera de banda, usando cifras como Diffie-Hellman (DH), Diffie-Hellman Ephemeral (DHE), Perfect Forward Secrecy (PFS), y Elliptic Curve (por nombrar algunos). Una vez más, para los equipos SecOps, esto podría resultar revelador en el apoyo de grandes volúmenes de tráfico encriptado con un diseño "descifrado una vez y alimentar múltiples herramientas" para mejorar la escala y la resiliencia. El descifrado SSL en línea representa una evolución tecnológica estratégica que expande los beneficios de la plataforma de visibilidad. Las organizaciones ahora pueden crear una "zona de descifrado" centralizada que facilite la gestión a los incrementos por volumen en el tráfico SSL/TLS, proporcionando a las herramientas de seguridad una nueva visibilidad en el tráfico encriptado y amenazas.
ARTÍCULO
Página de la tecnología de la solución de desencripción SSL
http://bit.ly/2l6AWHN
Videos sobre desencriptado Gigamon SSL
http://bit.ly/2kYn2JV
47
Victor Jesus Hernandez Salinas @hersalvj
WEB
n la época actual hablar de aspectos relacionados con la Seguridad es un tema de alta prioridad, sobre todo desde que el manejo de información personal ha sido tan intenso mediante diversos dispositivos electrónicos. Por lo que es primordial el tomar todas las medidas técnicas posibles para garantizar que los conceptos fundamentales de integridad, confidencialidad y disponibilidad de la información se encuentren presentes entre los primeros objetivos y características de cualquier sistema de información. Por ello en esta ocasión comentaremos sobre los esquemas de seguridad que han sido utilizados en diversos productos de software desarrollados en INFOTEC, los cuales atienden a diversas necesidades de clientes de distintos ámbitos y con necesidades operativas distintas, pero para los cuales el manejo seguro de la información es siempre igual de trascendente. Considerando que los productos en los que nos centraremos para este artículo, tienen un enfoque hacia soluciones WEB, es pertinente establecer como punto de inicio que para la arquitectura de los mismos se desarrolló un esquema de tres capas, para realizar la operación completa: La Aplicación de Administración, el Sitio y el Núcleo. LA APLICACIÓN DE ADMINISTRACIÓN: Es un sitio construido en la misma plataforma y cuyo propósito es proporcionar una interface que da acceso a los usuarios a la administración y configuración operativa de los productos, mediante la creación y configuración de distintas instancias tanto de sitios como de los recursos y funcionalidades que formaran parte de un nuevo portal. En esta capa se integra un sitio de propósito específico, vinculado a un repositorio de usuarios muy particular que permite realizar las actividades generales de creación, administración y funcionalidad de los sitios de uso específico que se construirán con la plataforma, así como la de sus recursos, contenidos y por supuesto la administración de usuarios y sus permisos, al mismo tiempo que permite el acceso a bitácoras de acción,
errores y monitoreo del estado de la memoria, accesos a bases de datos, etc. EL SITIO: Como resultado de la operación de los productos, se construye un sitio web que se muestra a los usuarios y en el cual se encuentra la información, contenidos, recursos, que son el propósito central del sitio de operación especifica que se construyó mediante la Aplicación de Administración. Por supuesto esta es la capa Front-End de toda la plataforma y las reglas de seguridad y presentación de componentes aplican igual en esta capa. Por supuesto estos sitios, instancias y recursos están ligados a repositorios de usuarios a fin de poder otorgarles permisos y atributos adecuados para hacer uso de todos ellos, pues aun cuando los usuarios sean “anónimos”, siempre existe un perfil asociado que le concede determinados permisos de operación y así controlar que se muestra o se oculta a cada usuario dependiendo de las reglas de presentación, calendarización o atributos de usuario. EL NÚCLEO: Esta es la capa de la arquitectura de la plataforma de los productos de INFOTEC que provee los servicios necesarios para manejar los recursos y funcionalidades diversas, además de “atrapar” y controlar los errores, y por supuesto controlar los accesos a las bases de datos. Además se utiliza la especificación JAAS para la autenticación de usuarios. El Núcleo realiza además las validaciones necesarias para mostrar solo aquellos recursos a los que el usuario tiene acceso y registra los accesos y errores a bitácoras. En esta capa se encuentran también los elementos para controlar y asegurar la Disponibilidad, Confidencialidad, Integridad, etc. Analicemos cada aspecto. DISPONIBILIDAD: La importancia de contar con un sistema de cache para cada recurso ayuda a reducir los tiempos de IO para los recursos de mayor operación y que cambian poco o que son estáticos. Con lo que el tiempo de respuesta de cada página se acelera y el desempeño es más rápido. Además de que es posible realizar configuraciones particulares para agregar equipos que soporten la demanda de tráfico, mediante esquemas
LA SEGURIDAD EN UNA APLICACIÓN
E
48
INVESTIGACIÓN
49
En los productos de INFOTEC hemos realizado algoritmos que permiten que todos los llamados a Base de Datos se realicen mediante esquemas de PreparedStatement, pues así la información de precompila y las sentencias no se forman de datos provenientes de Internet
de Cluster o balanceo de cargas, a fin de asegurar que el sitio se mantenga en operación. Una acción importante también es almacenar en memoria la mayor cantidad de información posible, pues esto no solo acelerara la respuesta del sitio sino que además limita la posibilidad de modificación de información de forma importante, pues no se realizan grandes escrituras a disco, sino actualizaciones en memoria que pudieran ser descartados. Además de considerar algoritmos que soporten la compresión en línea, a fin de reducir el consumo de ancho de banda. CONFIDENCIALIDAD: Un punto importante es tener un único punto de entrada y salida de información, o distribuidor. El punto es que este componente tenga la función de procesar todos los requerimientos que se realicen por parte de los usuarios a los distintos sitios, ya sean los públicos o el de Administración. Pues con esto se asegura que solo se entregaran los recursos correspondientes a los usuarios con los permisos adecuados. Lo importante es asegurar que todos los recursos, páginas, etc. forzosamente hagan uso de este distribuidor, de forma que no sea posible hacer uso directo de los URL de cada página o componente como una alternativa para evadir la seguridad. Ahora para el caso de los repositorios de usuario y sus contraseñas, se recomienda que estas sean almacenadas una vez han pasado por un SHA a fin de que no sea posible obtenerlas desde consultan en Base de Datos. INTEGRIDAD: Regresando al Distribuidor, podemos indicar que un aspecto crucial para garantizar la integridad de la información que entra y sale del sistema se basa en el uso adecuado del distribuidor, para que sea este quien de manera dinámica construya cada página cuando esta le es solicitada, pues así, se integraran solo los recursos con las características de seguridad correspondientes, lo que por supuesto reduce las posibilidades de suplantar la información, en caso de que algún servidor quedara comprometido por algún motivo. También es importante resaltar que deben tomarse medidas adicionales para evitar el riesgo por ataques
50
de Estilo de Inyección, Evasión de autenticación y URL mal formados, Perfilados de aplicación, por mencionar solo algunos. Para el primer caso, en los productos de INFOTEC hemos realizado algoritmos que permiten que todos los llamados a Base de Datos se realicen mediante esquemas de PreparedStatement, pues así la información de precompila y las sentencias no se forman de datos provenientes de Internet. Con lo que se evita que se realice una inyección SQL. Para el segundo tipo de ataque mencionado, la evasión de autenticación, tenemos que como toda la estructura de los sitios se forma de manera dinámica en memoria y no desde directorios físicos en el disco, los URL que se generan siempre envían la solicitud al distribuidor, quien se encarga como ya dijimos de evaluar las reglas de cada recurso y así se verifica que el usuario tenga permisos para acceder a los recursos solicitados. Y en el último ejemplo, el perfilado de aplicación, se realiza una captura de errores que se muestran solo en la Aplicación de Administración, y al usuario siempre se le envía una pantalla de error genérica a fin de no mostrarle la información interna del sistema y comprometer así, algún tipo de integridad de la misma. Por supuesto esto significa que la Aplicación de Administración debe tener también niveles de seguridad adicional en su operación, y para ello adicional a los mecanismos ya mencionados, se cuenta con un esquema de roles y perfiles para cada usuario, que permitan controlar que funcionalidades o información puede ver un usuario, pues no se puede permitir que todos vean todo. Los mayores ataques y fugas de información, y sucesos de sistemas comprometidos, vienen acompañados de elementos internos. Espero que esta revisión rápida de los esquemas de seguridad que han sido usados en diversos productos de uso público, permitan tener un panorama más amplio de algunas de las características técnicas que pueden ser consideradas en los esquemas y arquitecturas de aplicaciones para mejorar el nivel de seguridad del activo más importante de la época actual… NUESTRA INFORMACIÓN.
51
¿Qué son los
Watering Hole Attacks?
E
TARLOGIC
l término “watering hole attack” hace referencia a una táctica empleada durante la realización de campañas de ataques dirigidos donde la distribución del APT se realiza a través de una web de confianza que suele ser visitada por los empleados de la empresa o entidad objetivo. Supongamos el siguiente ejemplo: Una empresa hidroeléctrica posee oficinas en una provincia de España que cuenta con varios periódicos regionales. Los empleados de dicho edificio de oficinas suelen visitar todos los días la edición digital de esos periódicos. Durante la etapa de recopilación de información este comportamiento es detectado por un grupo que tiene como objetivo robar información estratégica de la empresa. Los atacantes analizan los periódicos en busca de vulnerabilidades y detectan que en uno de ellos es posible inyectar código malicioso en los anuncios de la web, mostrándose a todos los visitantes. Aprovechan esta vulnerabilidad para introducir un script que detecte la procedencia del visitante y si coincide con la IP del proxy de la empresa hidroeléctrica ejecute un exploit para su navegador. En muchas ocasiones las medidas de seguridad adoptadas por las empresas –tanto a nivel de infraestructura como de entrenamiento de los empleados- dificultan poder realizar una intrusión en la misma a través de los paradigmas clásicos tales como la explotación de vulnerabilidades en elementos expuestos al exterior o el uso de campañas de spear phising. En estos casos puede ser más sencillo y efectivo comprometer una web de un tercero que suela ser visitada por los empleados y utilizarla como vehículo para la distribución del APT.
52
Artículo Publicado en el siguiente enlace
http://bit.ly/2kB4vAd
INVESTIGACIÓN
En estos escenarios los agentes que pretenden introducir su APT en la empresa objetivo realizan un profundo estudio sobre las costumbres de los empleados, localizando websites claves por la afluencia y la confianza depositada. Una vez analizados las posibles web objetivo se procede a buscar vulnerabilidades cuya explotación permita introducir código malicioso que vaya ser ejecutado por los visitantes. A través del código introducido en la web los atacantes pueden explotar vulnerabilidades en el lado del cliente que fuercen la instalación del malware de forma invisible o aprovechar la relación de confianza existente entre el empleado y la web para conducir la descarga del APT a través de ingeniería social. Este enfoque de compromiso de un tercero de confianza que actúa de intermediario posee múltiples ventajas sobre un ataque directo contra las empresas. Los usuarios tienden a bajar sus defensas en las web que son visitadas frecuentemente, por lo que son más susceptibles de ser infectados. Un buen entrenamiento en los empleados en confluencia con un análisis automatizado del correo entrante puede hacer que una campaña de spear phising clásica no sea fructífera. Sin embargo, si se utilizan webs externas que son visitadas con frecuencia, es sólo cuestión de tiempo conseguir introducir el malware dentro de la red corporativa. Así mismo, por esta misma razón de la confianza, es mucho más difícil poder trazar el origen de la intrusión en caso de que se detecte la actividad anómala que pudiera generar el malware. Al ocultarse el ataque dentro del tráfico habitual es muy difícil discernir el origen real de la infección.
53
DELITOS INFORMÁTICOS EN MÉXICO
Jesús Ramón Jiménez Rojas
E
Seguridad Cultura de Prevención para TI
l Internet es una de las herramientas tecnológicas más utilizadas hoy en día, es la mayor fuente de consulta de información y una de las mayores plataformas comerciales, lo que ha causado que gran número de actividades anti- jurídicas se realicen a través de este medio. La legislación actual en materia federal y las de los estados de la República sobre delitos informáticos se ha visto superada por la rápida evolución de los medios electrónicos. Uno de los principales problemas es la incorporación de las nuevas figuras delictivas que han surgido a la largo de los últimos años y de la adecuación de los distintos tipos penales ya existentes, por lo que resulta de vital importancia reformar los distintos ordenamientos vigentes (federal y locales) para crear nuevos tipos penales que logren sancionar a estas figuras por la ley. En los últimos cinco años, el uso dispositivos electrónicos, como computadoras, tabletas, teléfonos inteligentes, etcétera, se ha incrementado por parte de la población debido, principalmente, a los costos más accesibles. La mayoría de estos dispositivos electrónicos están conectados a Internet y las personas pueden realizar distintas actividades a través de ellos: operaciones bancarias, publicación de información a través de redes sociales, envío de correos electrónicos, entre otras. Sin embargo, al estar conectadas a Internet, las personas están ex- puestas a un sinfín de actividades por parte de terceros que, sin tener autorización, realizan conductas que pueden dar como resultado la pérdida de
54
información, monetaria o inclusive de credibilidad en sus negocios. Algunas de estas actividades ya se encuentran tipificadas en los distintos ordenamientos penales, ya sea en el ámbito federal o local. Sin embargo, debido a que la tecnología avanza a pasos agigantados, comienzan a aparecer nuevas formas y figuras que no están contempladas y que no pueden ser clasificadas como delitos. La razón es que se estipulan, de manera específica, ciertos requisitos para que dichas figuras sean tipificadas como tales.
El delito informático
Para abordar el concepto de delito informático primero se debe abordar el concepto de delito, que de acuerdo con el Código Penal Federal es el siguiente: “Artículo 7. Delito es el acto u omisión que sancionan las leyes penales.” Enfocándonos al delito informático, el Dr. Julio Téllez Valdez, en su libro Derecho Informático, menciona el concepto típico de delitos informáticos: "son las conductas típicas, antijurídicas y culpables en que se tiene a las computadoras como instrumento o fin"; y en el concepto atípico menciona que "son actitudes ilícitas en que se tiene a las computadoras como instrumento o fin". Desde un punto particular, se podría definir al delito informático como “el acto u omisión que es realizado utilizando cualquier medio electrónico y que es sancionado por las leyes penales”. De las definiciones anteriores, se observa que el “acto”
E N T R E V I S TA Artículo Publicado en el siguiente enlace
http://bit.ly/20Mz20J
u “omisión” debe estar tipificado en una ley penal, si no lo está no podría considerarse como delito. Asimismo, de acuerdo con la teoría del delito, existen los llamados elementos del delito, que son cada una de las partes que lo integran y sin las cuales el delito no existiría. Estos elementos son: conducta, tipicidad, antijuricidad, culpabilidad, imputabilidad, punibilidad y condicionalidad objetiva. Ante todo esto, la pregunta que se debe hacer es ¿existen los delitos informáticos en México?
Los delitos informáticos en la legislación vigente
El 17 de mayo de 1999 se publicó en el Diario Oficial de la Federación una reforma integral en materia penal a nivel federal relacionada con delitos informáticos, la cual incluía dentro de su marco jurídico distintas figuras delictivas que protegen la información contenida en los sistemas y equipos de cómputo, sin embargo, este ordenamiento ha quedado superado debido al crecimiento del uso de las tecnologías de información por casi todo tipo de individuo, perteneciente a cualquier clase social. Es importante que se reforme nuevamente el ordenamiento penal federal existente para que se incluyan las nuevas figuras delictivas (o se adecuen las ya existentes), que afectan a las personas que hacen uso de las tecnologías de información y que sufren una afectación en sus bienes jurídicos. Algunos códigos penales locales, como el de Sinaloa, ya han incluido artículos haciendo referencia a delitos informáticos. El Art. 21 7 del Código Penal de ese estado menciona lo siguiente:
ARTICULO 21 7. COMETE DELITO INFORMÁTICO, LA PERSONA QUE DOLOSAMENTE Y SIN DERECHO: 1. USE O ENTRE A UNA BASE DE DATOS, SISTEMA DE COMPUTADORES O RED DE COMPUTADORAS O A CUALQUIER PARTE DE LA MISMA, CON EL PROPÓSITO DE DISEÑAR, EJECUTAR O ALTERAR UN ESQUEMA O ARTIFICIO, CON EL FIN DE DEFRAUDAR, OBTENER DINERO, BIENES O INFORMACIÓN; O 2. INTERCEPTE, INTERFIERA, RECIBA, USE, ALTERE, DAÑE O DESTRUYA UN SOPORTE LÓGICO O PROGRAMA DE COMPUTADORA O LOS DATOS CONTENIDOS EN LA MISMA, EN LA BASE, SISTEMA O RED. AL RESPONSABLE DE DELITO INFORMÁTICO SE LE IMPONDRÁ UNA PENA DE SEIS MESES A DOS AÑOS DE PRISIÓN Y DE NOVENTA A TRESCIENTOS DÍAS MULTA. Desde un punto de vista personal considero que hasta hoy en día no se han cubierto todas las figuras que podrían considerarse como delictivas, un ejemplo de esto es el correo spam, a raíz del cual una universidad, por ejemplo la UNAM, invierte parte de su prepuesto monetario en darle solución. En un artículo posterior abordaremos las diferentes figuras que podrían incorporarse al ordenamiento jurídico penal mexicano.
55
¿QUIÉN NO NECESITA
ANTIVIRUS? R
Alexey Malanov Kaspersky Lab
ecientemente, Robert O’Callahan, que antes era desarrollador de Firefox, ha publicado una opinión provocativa en la que afirma que los usuarios deberían borrar su protección antivirus porque la seguridad básica de los sistemas operativos es suficiente. Analicemos sus afirmaciones y acabemos con un par de mitos.
¿Ya no se necesitan antivirus?
Todos saben de la abundancia de malware hoy en día. No es problema único de alguien de un país lejano; está por todas partes. De acuerdo con Kaspersky Lab, en 2016, el 31,9% de las computadoras fueron atacadas al menos una vez. En 2016, las soluciones de Kaspersky Lab detuvieron 758,044,050 ataques lanzados desde recursos online de todo el mundo. Los componentes de antivirus web reconocieron 261,774,932 enlaces únicos como maliciosos y detectaron 69,277,289 objetos maliciosos únicos (scripts, exploits, ejecutables…). Los cifradores atacaron 1,445,434 de usuarios únicos. Las soluciones de Kaspersky Lab bloquearon intentos de ejecución de malware capaz de robar dinero a través de banca online en 2,871,965 dispositivos. Puedes leer un informe más detallado aquí. Por supuesto, los usuarios responsables siguen las recomendaciones generales de seguridad y minimizan su riesgo: actualizan su sistema operativo y software de inmediato, solo visitan páginas web de confianza, nunca abren archivos adjuntos sospechosos o hacen clic en enlaces sospechosos (ni en los que reciben de amigos y colegas), etc. Estos usuarios corren menos riesgos de infectar sus dispositivos. Por supuesto, los hackeos a recursos populares de Internet y a vulnerabilidades críticas de software populares son comunes, pero no lo bastante frecuentes como para aumentar las posibilidades para que un usuario sin experiencia se infecte. Pero, la mayoría de los usuarios de Internet, tanto usuarios finales como organizaciones, quieres relajarse un poco más y despreocuparse. Tan solo quieren vivir sus vidas digitales. Solo quieren hacer clic en un enlace que le envió su madre. Quiere que su software se actualice automática y sin dificultades. Quieren visitar una página web que algún amigo les recomendó. Tienen ganas de explorar el mundo digital. En el trabajo, quieren poder abrir un CV que les ha enviado un candidato (quien, casi siempre, es una persona desconocida en la empresa).
56
INVESTIGACIÓN
Artículo Publicado en el siguiente enlace
http://bit.ly/2l5rSoY
57
INVESTIGACIÓN
Si eres uno de esos usuarios tan responsables, bien por ti (en serio, aplaudimos el esfuerzo), pero muchas personas necesitan un extra de protección. Hacer que los usuarios corrientes sean más confiados en sus descuidos no hace que estén mejor protegidos. Estoy de acuerdo con que la higiene digital (el comportamiento responsable) es el medio más eficiente de protegerse. Por ello, pasamos tanto tiempo educando a los usuarios. Pero imagina que hablamos de tu hijo o compañero o abuelo. ¿Saben ellos cómo ser responsables en Internet? Los antivirus son cruciales, como los cinturones o las bolsas de aire. Si nunca los necesitas, genial. Pero cuando los necesitas, no recibirás un aviso y pueden ser lo que te salve.
¿Es tan malo el malware?
Algunos usuarios se preguntarán: “¿Y qué si mi computadora se infecta? Nadie se morirá. No uso la banca online, no uso tarjetas de crédito en Internet y no tengo secretos que a nadie le importen”. Bueno, existen una gran variedad de programas maliciosos. Algunos solo te espían para averiguar tus preferencias y utilizarlas en publicidad dirigida; algunos hacen clic en enlaces como si fueras tú para aumentar el número de visitas de una web; algunos atacan servidores
58
remotos, usan tu ordenador como base de un ataque, que, por cierto, podría hacerte recibir la visita de la policía. Algunos troyanos activan tu webcam sin que te des cuenta. ¿Sigue sin importante dejar tu computadora y dispositivos desprotegidos? Ahora imagínate esto: un clic en un archivo adjunto o enlace que te ha enviado un amigo y todos tus datos se cifran para pedirte un rescate. Pierdes el acceso a todo: tu álbum de boda, las fotos de tus hijos, algunas fotos muy personales; tus documentos, incluidos los acuerdos, tu testamento, la novela que llevas medio año de tu vida escribiendo; ¡todo! Ni el almacenamiento en la nube como Dropbox que se sincroniza de forma automática y guarda tus archivos solucionaría el problema. Lo más probable es que tus archivos cifrados sustituirán a los de las versiones en la nube. Por supuesto, puedes intentar pagar el rescate que te pide el ransomware. Podría funcionar. Igual por 200 dólares puedes recuperar tus archivos. O puede que no: nuestros estudios demuestran que en uno de cada cinco casos no sucederá.
¿Basta con el antivirus de Windows 10?
Pero sigamos con nuestro amigo. Por una parte, O’Callahan afirma que ya no se necesitan antivirus, pero,
INVESTIGACIÓN
por otra, sugiere que se debería activar el antivirus por defecto del sistema operativo. Es difícil decir si está admitiendo que aún se necesita protección o si solo considera que todas las soluciones de seguridad son iguales. Si se refiere a lo último, este experto informático debería aprender más sobre seguridad de la información. Las soluciones antivirus varían bastante en lo que respecta a calidad de la protección, impacto en el rendimiento del sistema y falsos positivos. La aprobación del usuario te podrá decir algo sobre la eficacia del producto, pero tampoco mucho y es por ello que laboratorios independientes prueban los productos antivirus y los premian por su rendimiento y resultados. Este es un ejemplo de interés para O’Callahan: nuestro Kaspersky Internet Security contra la solución de seguridad integrada en Windows 10.
Como puedes ver, en lo que respecta a falsos positivos (la columna “Usability”, usabilidad) o impacto en el rendimiento, Microsoft Windows Defender no es peor que Kaspersky Internet Security. Pero cuando se trata del parámetro principal (la protección), Windows Defender tiene lagunas: obtiene 3 de 6 puntos, lo que habla por sí solo. Además, elegir la solución con menos experiencia del mercado como un antivirus que “no necesita un antivirus” es desconcertante. Mira esta imagen que muestra quien ha llegado más veces al top tres basándose en 94 pruebas. ¿Ves el punto de Microsoft?
El análisis de Av-Test que compara Kaspersky Internet Security con la protección básica de Microsoft en Windows 10. Fuente.
La línea vertical representa un porcentaje de veces que una solución de seguridad ha estado en el top tres. La horizontal representa el número de veces que una solución se seguridad ha sido probada. El tamaño de los círculos representa el número de veces que un producto ha sido el ganador número 1.
59
¿Por qué se debería integrar el antivirus en el grupo de expertos que ejecutan proactivamente pruebas navegador? de compatibilidad y solucionan errores tan pronto como O’Callahan también se pregunta por qué las soluciones de seguridad vigilan la actividad del navegador, por qué interceptan y analizan el tráfico. Dice que si no fuera por los “antivirus inútiles”, los desarrolladores de los navegadores los habrían dotado de una protección eficiente hace tiempo. Aquí debo afirmar que los desarrolladores de navegadores sí que trabajan por minimizar los riesgos de las vulnerabilidades críticas y estoy seguro de que se sentirían mucho más libres si los antivirus no comprobaran sus procesos. Permite que le recuerde a O’Callahan que las vulnerabilidades representan un vector obvio de ataque para que el malware se infiltre en el sistema del usuario, pero no es el único. Una solución de seguridad competitiva debe proteger del phishing, scripts maliciosos, contenido inapropiado, publicidad y rastreo online, además de evitar que el usuario descargue y ejecute malware. Todas estas amenazas están ligadas a la actividad del navegador, pero un navegador no protege de ellas (al menos no muy bien). Por eso, el navegador y los antivirus deberían integrarse bien. Para Kaspersky Lab, la compatibilidad y la usabilidad son tan importantes como lo son para los desarrolladores del navegador. Por ello tenemos un
60
las versiones beta de los navegadores están disponibles. Cuando encontramos un problema, contactamos con los desarrolladores.
Acabando con otros mitos
Otros puntos de los que también vale la pena hablar. O’Callahan afirma que se deben instalar los parches del SO y del software para asegurar la protección. Eso es correcto; los parches mitigan el riesgo de infección mediante vectores conocidos. Estamos de acuerdo con que actualizar es muy importante y, por ello, hemos lanzado un nuevo componente en Kaspersky Internet Security 2017. Se llama Actualizador de software y automatiza el parcheo. También afirma que los antivirus pueden tener bugs y vulnerabilidades. Es cierto, pero Kaspersky Lab resuelve estos problemas de manera responsable y tenemos un programa de errores que ofrece pagos a los investigadores que encuentren vulnerabilidades en nuestros productos. Finalmente, O’Callahan dice que algunos programas antivirus impactan en el rendimiento del sistema. Eso es cierto. Pero las soluciones de seguridad de Kaspersky tienen un impacto mínimo en el rendimiento y varias pruebas independientes lo confirman.
INVESTIGACIÓN
Fuente 1; Fuente 2; Fuente 3
Una pequeña teoría de la conspiración
Hay otra rareza en lo que dice el ex empleado de Firefox. Afirma que el departamento de relaciones públicas de la empresa siempre acalló sus quejas sobre los software antivirus para impedir que las empresas de seguridad se vengaran. Pero yo nunca he oído hablar de sanciones o contraataques por parte de ninguno de sus enemigos. Sigue sin quedarme claro en qué se basan sus miedos. Robert O’Callahan ya ha criticado antes otros software.
En 2010, discutió con Microsoft por las afirmaciones de que Internet Explorer era el único navegador que era compatible con la aceleración de software. En 2013, atacó a Bink, el entonces nuevo motor de Chrome. En 2014, pidió la prohibición de Chrome para prevenir, según él, que Google monopolizara Internet. Y, en 2017, ha dicho que todos los desarrolladores de navegadores, a excepción de los de Mozilla, se preocupaban más por los beneficios que por los usuarios. Veamos el conjunto. La gente lleva décadas diciendo que los antivirus están acabados y son innecesarios. Los desarrolladores de navegadores resultan ser el último grupo en poner fin a la cuestión. Por ejemplo, Darren Bilby, ingeniero de seguridad en Google, ha afirmado recientemente que el software de seguridad es “inútil”. No puedo saberlo con certeza (puede que los programas antivirus dificulten los esfuerzos de los desarrolladores por ganar dinero). Después de todo, muchos navegadores son gratuitos; se monetizan mediante publicidad contextual y otros tipos de publicidad. Los antivirus protegen de la publicidad no deseada y del rastreo a usuarios. En otras palabras, la protección del usuario es un conflicto para los intereses de los desarrolladores navegadores. Pero no hagamos suposiciones al azar. Nuestra tarea es proteger de las amenazas, así que nos centraremos en ello. Eso es lo que llamamos ciberseguridad de verdad.
61
Artículo Publicado en el siguiente enlace
http://bit.ly/2e4WUcq
L
INCIBE
a creciente demanda de productos y soluciones que garanticen la protección de las infraestructuras TIC y las comunicaciones e información online, tanto de los particulares como de las empresas y administraciones públicas, han dado lugar a la configuración del sector de la ciberseguridad. Por ello, con el objetivo de profundizar en la actividad del sector, este capítulo se encuentra dedicado a la caracterización de éste, para lo cual se presentan tanto los datos más relevantes que avalan el potencial del sector de la ciberseguridad, como la repercusión que éste tiene en diversos agentes y áreas de actividad. 4.1. El mercado de la ciberseguridad en cifras Como primer punto de análisis de caracterización del mercado de la ciberseguridad y su potencial grado de desarrollo, conviene valorar cuantitativamente los datos del sector desde diversas perspectivas tanto nacionales como internacionales. En primer lugar, a nivel global, según Gartner, el sector de la ciberseguridad se presenta como una actividad económica en auge, con una facturación mundial de 62.540 millones de euros en 2015 y con una previsión de aumento de la demanda (partiendo de un gasto en ciberseguridad de 54,082 millones de euros en 2014) que alcanzará 79,292 millones de euros en 2018. De manera específica, para la caracterización del mercado a nivel nacional, se estudian los datos más relevantes del sector de la ciberseguridad en 2014 del ONTSI a través del análisis de las siguientes tres variables:
62
Por un lado, el sector de la ciberseguridad en España en 2014 estuvo compuesto por un total de 533 empresas, pure players y empresas TIC, las cuales proporcionaban empleo a 5,808 personas. Prácticamente la totalidad de este empleo, el 99,5%, se concentraba en empresas pertenecientes al sector TIC. Además, 2,143 personas, es decir, un 37% de los empleados del sector, se dedicaban exclusivamente al negocio de la ciberseguridad. Por otro lado, la facturación total del sector de la ciberseguridad en 2014 fue de 598,2 millones de euros. Las empresas dedicadas exclusivamente al sector de la ciberseguridad, un 14,8% del total de las 533 empresas, contribuyeron a más del 50% de la facturación total del sector. Por último, la inversión realizada por las empresas
INVESTIGACIÓN
del sector durante ese año supuso 79 millones de euros. La distribución de la inversión realizada situaba a las empresas pertenecientes al sector de Servicios TIC como las que mayor inversión habían llevado a cabo, con 77,8 millones de euros y un peso sobre el total del 98,5%. Concretamente, la inversión realizada en ciberseguridad por las empresas que se dedican exclusivamente a este negocio ascendía a 30,8 millones de euros en 2014. 4.2. La cadena de valor de la ciberseguridad La cadena de valor de la ciberseguridad es el modelo en el que se encuentran diseñadas las principales actividades y los vínculos de relación entre los distintos eslabones de la cadena para la creación de productos o prestación de servicios de ciberseguridad. A continuación, en el siguiente gráfico se muestra la cadena de valor de la ciberseguridad, compuesta principalmente por tres grandes actividades o eslabones: • Fabricación de los componentes de hardware y desarrollo software. • Distribución de ciberseguridad. • Prestación de servicios de seguridad
No obstante, algunos de estos agentes pueden intervenir en los tres eslabones, como es el caso de fabricantes de software especialistas y generalistas que, o bien venden a minoristas, o al cliente final. En el primer eslabón de la cadena de valor, fabricación, se enmarcan los siguientes elementos o agentes de fabricación y desarrollo de soluciones de ciberseguridad: • Desarrolladores de software. Suministran soluciones y aplicaciones (no físicas) para garantizar la seguridad en la red y contribuir a la gestión y control de acceso web e identidad de los usuarios. • Fabricantes de hardware. Desarrollan soluciones y herramientas físicas de cifrado, así como sistemas y aplicaciones para garantizar la seguridad en la movilidad y en las redes corporativas. • Fabricantes mixtos. Suministran productos hardware y soluciones software, diseñados para proteger las redes y proporcionar una conexión segura a las mismas. El modelo genérico de relación de los agentes
de la cadena en esta fase, funciona de manera que los agentes involucrados en la actividad de fabricación se comunican principalmente con los distribuidores y mayoristas que forman parte del siguiente eslabón de la cadena de valor para la comercialización de sus productos. Por su parte, el segundo eslabón de la cadena de valor, distribución, está compuesto por empresas que hacen de nexo de conexión entre las actividades de fabricación y prestación de servicios. En esta actividad operan los siguientes agentes: • Mayoristas. Compran y venden productos de ciberseguridad a consultoras, a los integradores y a los proveedores de servicios gestionados de seguridad. Los mayoristas pueden estar especializados en seguridad TIC o bien, dedicarse a una actividad más genérica (informática, electrónica, etc.). • Distribuidores. Venden directamente a empresas de ciberseguridad o a clientes finales los productos de ciberseguridad. En ocasiones, tanto mayoristas como distribuidores comercializan sus productos a los revendedores de valor añadido (VAR, Value Added Reseller). • Minoristas. De manera frecuente, son puntos de venta constituidos por tiendas físicas de informática, grandes superficies e incluso pequeñas consultoras enfocadas a Pymes y particulares. En el modelo de relación, los elementos que conforman este eslabón de distribución en la cadena de valor hacen de vínculo de comunicación entre los fabricantes y los prestadores de servicios de dichos productos en ciberseguridad. No obstante, estos agentes de distribución (minoristas, especialmente) pueden, en algunas ocasiones, mantener relación directa con los clientes. Por último, en el eslabón de servicios se enmarcan los siguientes agentes: »» Proveedores locales. Ofrecen servicios especializados mediante el desarrollo de productos propios y la oferta de soluciones de nicho. »» Revendedores de valor añadido (VAR). Agregan valor a productos de software y hardware fabricados por otros agentes, a través de la incorporación de complementos para el diseño y elaboración de una solución o servicio completo. »» Consultoras. Prestan servicios especializados en ciberseguridad en torno a dos campos de actividad: negocio y tecnología. Las consultoras de negocio se dedican a la consultoría y asesoría orientada a los asuntos legales y organizativos de la seguridad de la información.
63
Sin embargo, las consultoras tecnológicas se encuentran especializadas en servicios de asesoramiento, respuesta y soporte relativos a las tecnologías de seguridad. • Integradores. Crean soluciones complejas de seguridad TIC, adaptándose a las necesidades de los usuarios. Utilizan, con frecuencia, productos de diversos fabricantes y los complementan con soluciones propias. • Proveedores de servicios gestionados de seguridad (MSSP, Managed Security Service Providers). Proporcionan servicios externalizados de seguridad al cliente con un enfoque integral y multidisciplinar de la seguridad corporativa que abarca tanto las áreas que afectan a la organización como a los aspectos tecnológicos. El modelo genérico de relación de los agentes de la cadena, en esta fase, funciona de forma que, exceptuando los proveedores locales, los agentes del eslabón comercializan sus bienes y servicios al cliente final, entre los que destacan la Administración Pública, las empresas y los particulares. 4.3. Destinatarios del sector Por último, se describen los principales destinatarios de los productos y servicios de ciberseguridad del sector, es decir, se desglosa el último eslabón de la cadena de valor de la ciberseguridad. Para ello, se clasifica cada uno de los grandes demandantes de ciberseguridad desde dos perspectivas: desde el punto de vista de las grandes amenazas sufridas y de los principales servicios o soluciones demandados, en función de su actividad. Los clientes finales o demandantes de ciberseguridad se clasifican en cuatro grandes grupos:
En función del grado de complejidad de los sistemas empleados por los clientes, éstos demandarán distintos tipos de servicios y soluciones, quedando estructurados de la siguiente manera. Administraciones Públicas Las Administraciones Públicas son demandantes de seguridad para la protección de la información gestionada por la propia administración o bien, demandantes de soluciones de protección y seguridad en el ámbito de la defensa y de la inteligencia nacional. Las principales amenazas que pueden sufrir el gobierno y las administraciones públicas son el ciberespionaje y la sustracción de información, que como resultado pueden
64
provocar la publicación y venta de información sensible a través de Internet. En base a ello, el sector público requiere soluciones de seguridad integral, basadas en ciberinteligencia y ciberdefensa, que contribuyan a la protección de los organismos públicos locales, regionales y nacionales. Concretamente, las administraciones públicas o gobiernos demandan servicios de gestión de ciberseguridad, ofrecidos con el fin de dotar de seguridad a los procesos de trabajo; servicios de ciberseguridad reactivos, destinados a controlar y responder a una amenaza o incidente que pueda haber sufrido un sistema de información, minimizando su impacto; o servicios de seguridad proactivos, destinados a reducir los riesgos de seguridad a través de información e implantación de sistemas de protección y detección. Grandes empresas y operadores críticos La demanda de soluciones de ciberseguridad del sector privado atiende al sector en el que opera la empresa, diferenciándose específicamente aquellos denominados como infraestructuras críticas, que son las infraestructuras estratégicas que proporcionan servicios esenciales y cuyo funcionamiento es indispensable, por lo que su interrupción o destrucción acarrea un grave impacto sobre los servicios. Los principales servicios de seguridad demandados por las infraestructuras críticas son soluciones industriales, con una alta especialización en el sector, en la región o en la tecnología; y soluciones de seguridad integral. El resto de las grandes empresas, por su parte, son también susceptibles de ataques de ciberespionaje industrial, de control e interrupción de sistemas y de sustracción y venta de información confidencial. Por lo tanto, las soluciones y servicios que demandan son de todo tipo, desde auditorías técnicas, gestión de incidentes, soluciones de seguridad integral hasta seguridad en la nube. Pymes y autónomos Para el grupo de destinatarios conformado tanto por pymes como por trabajadores autónomos, las principales amenazas se basan en el uso/abuso o reventa de información privada que proporcionan los clientes a organizaciones privadas y, los ataques apoyados en ciberdelincuencia. Con base en dichas amenazas, los principales productos orientados a estos clientes son soluciones o herramientas estándar, desarrolladas de manera genérica por proveedores de ciberseguridad y enfocadas a empresas o usuarios a pequeña escala, cuya utilización deriva del uso de entornos de trabajo online. Por otro lado, la distribución se realiza mediante la concesión de licencias, o bien la entrega de un producto
ARTÍCULO
físico. Es también frecuente la existencia de un modelo freemium y otro gratuito de este tipo de soluciones. Particulares Los usuarios particulares o consumidores de ciberseguridad fuera del ámbito profesional son usuarios cuya seguridad versa en la necesidad de protegerse y prevenir los ataques, principalmente, hacia dispositivos móviles u ordenadores con acceso a Internet. Al igual que para el caso de pymes y trabajadores autónomos, las principales amenazas se basan en el uso/abuso o reventa de información privada, derivado de la digitalización de la ciudadanía dado el inminente crecimiento del comercio electrónico para consumidores y, la puesta en marcha de las iniciativas de dinero electrónico para la inclusión económica. Los principales productos orientados a estos clientes son soluciones o herramientas genéricas y esenciales de ciberseguridad enfocadas a cualquier destinatario y cuya utilización deriva, fundamentalmente, de un uso asiduo de Internet. Además, en este caso, resulta fundamental promover el desarrollo de conocimientos básicos de seguridad informática en el usuario con el objetivo de generar conciencia del riesgo representado por utilizar software de dudosa procedencia, así como antivirus u otro software desactualizado.
5. TENDENCIAS DE MERCADO EN CIBERSEGURIDAD
El sector de la ciberseguridad se presenta como un motor de desarrollo de la Economía Digital. La seguridad y la protección de la información adquieren una gran relevancia en la era actual de la digitalización y la hiperconectividad. El aumento en el número de vulnerabilidades y riesgos que las empresas, administraciones públicas o los ciudadanos pueden sufrir, requieren de un mayor grado de especialización y capacitación del sector y, más concretamente, de su respuesta ante ellos. Es por ello que, en este capítulo se definen las tendencias globales en ciberseguridad, sectorizadas en torno a los principales ámbitos de actividad. 5.1. El Horizonte 2020 y su influencia en la evolución del sector de la ciberseguridad Al igual que en la selección de tendencias TIC, el análisis llevado a cabo para la extracción de tendencias en el sector de la ciberseguridad se basa en los objetivos marcados por el Programa Europeo Horizonte 2020, que establece varios aspectos transversales a tener en cuenta, como son la inclusión de la perspectiva de la Ciberseguridad o el Internet de las Cosas, así como el desarrollo de Sociedades Seguras, protegiendo la libertad
y la seguridad de Europa y su ciudadanía. De manera particular, dentro del Programa de Sociedades Seguras para el periodo 2016-2017 (Secure Societies: Protecting freedom and security of Europe and its citizens) se presentan una serie de convocatorias concretas para el desarrollo de proyectos de ciberseguridad enmarcados en los siguientes ámbitos: • Protección de las Infraestructuras Críticas. • Seguros y certificaciones para unos sistemas, servicios y componentes TIC más confiables y fiables. • Servicios y soluciones de ciberseguridad aplicables a pymes, administraciones públicas locales y particulares. • Seguridad digital de datos médicos. • Cooperación e intercambio de información entre los miembros de la Unión Europea y otros países sobre investigación, desarrollo e innovación en ciberseguridad. • Criptografía. • Ciberinteligencia (Advanced Cybersecurity Threat) y actores implicados. • Privacidad, protección de los datos e identidades digitales. Las convocatorias relacionadas con proyectos de ciberseguridad tienen como fin incrementar la seguridad de las aplicaciones actuales, los servicios y las infraestructuras, y apoyar la creación de mercados líderes en Europa, siempre persiguiendo un enfoque de destinatario final, e incluyendo a organismos competentes en el cumplimiento de la ley, operadores de infraestructuras críticas, proveedores de servicios TIC, distribuidores TIC, operadores de mercado y ciudadanos. En este sentido, este Programa trata de implicar a todas las partes interesadas: industria, incluyendo a las pymes; entidades de investigación; Universidades; así como organismos públicos, organizaciones no gubernamentales y organizaciones público privadas en el ámbito de la seguridad. El Programa específico de Tecnologías de la Información y las Comunicaciones para el periodo 20162017, se centra en convocatorias concretas relacionadas con los siguientes ámbitos: • Una nueva generación de componentes y sistemas. En este ámbito, cobra especial importancia la seguridad de sistemas ciber-físicos y sistemas smart. • Computación avanzada y Cloud Computing. Donde se hace hincapié en la protección de sistemas en la nube. • Internet del Futuro. Incluyéndose especificaciones para la seguridad en dispositivos móviles y el desarrollo de tecnologías de software seguras
65
(seguridad desde el diseño). • Contenido. En el que se llama a la creación de tecnologías Big Data que intrínsecamente contemplen la privacidad de los datos. • Robótica y sistemas autónomos. • Tecnologías clave habilitadoras. Finalmente, en el documento de Visión Estratégica elaborado a partir de los grupos de trabajo para desarrollar los Programas de Trabajo del Horizonte 2020 para el próximo periodo 2018- 2020, se han identificado 12 ejes impulsores de cambio, entre ellos, el relativo a la Revolución digital. En él, se plantea que la creciente dependencia de los sistemas TIC puede provocar el inicio de ciberguerras, y consecuentemente, la necesidad de poner en marcha mecanismos de vigilancia integral. Con el auge del Big Data y el IoT, la prevención del cibercrimen se convertirá en una de las principales preocupaciones de los gobiernos. La posesión de gran cantidad de información por parte de los gobiernos y grandes empresas provocará que estas organizaciones se perciban como potenciales objetivos de ciberataques. A este respecto, la Unión Europea ha implementado normativa y respalda la cooperación operativa, como parte de la Estrategia de Ciberseguridad de la Unión: • Por un lado, se ha desarrollado normativa para la protección frente al cibercrimen como la Directiva 2013 relativa a Ataques contra Sistemas de Información, o la Directiva sobre Privacidad y Comunicaciones Electrónicas del año 2002. • Por otro, la Comisión Europea ha jugado un papel clave en el desarrollo del Centro Europeo del Cibercrimen (EC3), en el que se ponen en común los conocimientos de ciberdelincuencia para apoyar las investigaciones de delitos de los Estados miembros. 5.2. Mapa de tendencias y selección final De manera integral, se presenta una selección de tendencias de mercado en ciberseguridad, adaptadas a oportunidades concretas de negocio empresarial. Esta selección final de tendencias es fruto de un proceso de recopilación y clasificación llevado a cabo con base en diferentes inputs. • El punto de partida en el análisis y selección de tendencias ha estado basado en un proceso de documentación procedente de las principales entidades de referencia, tanto nacionales como mundiales. Para ello, se han tomado diferentes fuentes documentales procedentes de: »» Catálogo de productos de grandes players del sector. »» Estudios e informes de diversas entidades de
66
ARTÍCULO
referencia, públicas y privadas. »» Informes de incidentes y principales amenazas de ciberseguridad. »» En el proceso posterior de categorización y clasificación de las tendencias finalmente seleccionadas han intervenido diferentes agentes de la industria pertenecientes al grupo de trabajo de este Estudio de Tendencias en el mercado de la Ciberseguridad. Con todo ello, a continuación, en el siguiente gráfico, se encuentra diseñado el Mapa de Tendencias en Ciberseguridad, que incluye el conjunto final de tendencias catalogadas en torno a siete sectores de actividad. La clasificación de tendencias se asienta en torno a los siguientes siete sectores o ámbitos de actividad: • Sector Industrial y Medio Ambiente, cuyas necesidades de ciberseguridad se orientan hacia la protección y seguridad de los diferentes dispositivos y redes que conforman las Smart Grids, Infraestructuras Críticas, Industria 4.0 y demás servicios que tengan cabida en el sector industrial y, fundamentalmente, energético. • Sector Movilidad, principalmente enfocado en el transporte y las comunicaciones, y cuyos objetivos de ciberseguridad se fundamentan en la protección de medios de transporte aéreo o terrestre, tales como los vehículos autónomos o conectados, o dispositivos móviles que requieran de comunicación satelital. • Sector Servicios, en el cual quedaría incluida la división financiera y de seguros, cuya finalidad en ciberseguridad se asienta principalmente en la defensa y protección contra incidentes derivados de la digitalización de sus servicios, tales como la banca online o los servicios y aplicaciones Fintech. • Sector Ciudadanía, que incluye los servicios públicos básicos de sanidad y educación, cuenta con necesidades en ciberseguridad, por un lado, orientadas hacia la protección de dispositivos médicos interconectados, patentes o información sensible de pacientes utilizadas en el ámbito sanitario y farmacéutico y por otro lado, en la necesidad de formación y capacitación profesional especializada en ciberseguridad. • Sector Gobernanza, basado en los organismos públicos y Administraciones Públicas y sus correspondientes vulnerabilidades en ciberseguridad derivadas del control y gestión de información y servicios públicos ciudadanos electrónicos, fundamentalmente. • Sector TIC, o basado en la digitalización, es un sector transversal a los anteriores que recopila las necesidades y prácticas más habituales en materia de ciberseguridad, ofrecidas desde un entorno como la nube, y las cuales pueden ser aplicadas al resto de sectores definidos.
67
ยกSOS
alguien ha secuestrado mis likes!
68
ARTÍCULO
Galvy Ilvey Cruz Valencia
E
Seguridad Cultura de Prevención para TI
n la actualidad, y de acuerdo con la página tuexperto.com, Facebook cuenta con 1,390 millones de usuarios, lo que la convierte en la red social con mayor cantidad de adeptos; y por lo tanto resulta lucrativo a nivel personal y de negocio estar presente en ella. Muchas empresas han visto en esta plataforma una clave esencial para su estrategia de comunicación y marketing al hacer del botón “Me gusta”, también popularizado como “Like”, su arma predilecta. Prueba de ello es lo que podemos observar en las agencias de marketing en línea, donde ofrecen a sus clientes la garantía de conseguirles miles de “Likes naturales” de compradores potenciales de sus productos. Esta mecánica consumista del mencionado botón ha hecho que los cibercriminales se interesen en generar aplicaciones que logren “secuestrarlo”, permitiéndoles tomar el control de su uso en nombre del usuario. A esta actividad maliciosa, los expertos en seguridad la han denominado “Likejacking”.
¿Qué es el Likejacking?
De acuerdo con Sophos, uno de los proveedores de servicios antimalware más reconocidos, el Likejacking es una versión particular del ataque cibernético llamado Clickjacking, el cual tiene como objetivo “tomar el control de los clics del usuario en una página web, sin que éste lo sepa”. Si en una página web esto tiene ciertas implicaciones, aplicado en el ambiente de Facebook, la actividad maliciosa persigue varios fines, entre los que podemos mencionar: 1. Mercadológicos 2. Informativos 3. De pruebas de seguridad 4. Daño a la reputación en línea
¿Cómo funciona y cómo se propaga?
Para entender cómo funciona, comparemos al Likejacking con una trampa en el suelo de una selva. La capa superficial luce como la maleza verde del lugar, pero abajo hay un abismo en el cual cae la incauta presa. Es
decir, esta actividad maliciosa opera como un botón de dos capas, la primera es idéntica a la del botón Like que todos conocemos, pero detrás hay un aplicación lista para tomar el control de tus clics. Ahora que tenemos idea de cómo trabaja el Likejacking, es momento de saber cómo se propaga. De acuerdo con el Reporte de Amenazas publicado por McAfee en febrero de 2015, esta trampa se puede difundir mediante los siguientes mecanismos: • Campañas de phishing. • El secuestro de buscadores, ya sea la página o los resultados que arrojan. • Servidores web con vulnerabilidades. • Bots para enviar por correo electrónico solicitudes de Like a “amigos” del usuario comprometido, quienes al oprimir el botón se vuelven automáticamente motor de la propagación. También resulta ventajoso aprovecharse de los inocentes usuarios que se confían de cosas que parecen demasiado buenas para ser verdad, como acceso a: • Información trending-topic. • Aplicaciones de novedad. • Videos, música y games de moda. Como podrás darte cuenta, los criminales cibernéticos que realizan el Likejacking resultan una especie de vampiros modernos, los cuales sólo podrán ingresar a tu cuenta si primero tú los dejas pasar. Así que no es de sorprenderse que no exista sólo una variante de este tipo de ataques web. La empresa de soluciones antivirus Symantec tiene detectadas, de acuerdo a su Catálogo de Ataques, 38 diferentes firmas, entre las que se pueden mencionar: • Likejacking - botón general, el cual se usa para secuestrar y dar Like en cualquier contenido publicado en Facebook. • Likejacking dedicado para estafas en particular. Para ejemplificar este último, comparto el caso de uno de mis contactos en Facebook, quien fue víctima de
69
ARTÍCULO
Este tipo de ataques puede representar una seria amenaza de seguridad, ya que la acción maliciosa no sólo opera dentro de Facebook sino en otras páginas maliciosas, que en su mayoría permiten explotar el botón Like
un Likejacking dedicado a propagar una supuesta actualización de WhatsApp que lo haría gratuito si lograba un determinado número de Likes. Cuando se daba clic sobre la publicación, redirigía a una página que pedía el número telefónico del dispositivo móvil del usuario, quien finalmente terminaba suscrito a un servicio Premium vía SMS, es decir, una modalidad de fraude en la que se realizan cargos en la factura o se consume el saldo de los usuarios. Por ello, para Symantec “este tipo de ataques puede representar una seria amenaza de seguridad, ya que la acción maliciosa no sólo opera dentro de Facebook sino en otras páginas maliciosas, que en su mayoría permiten explotar el botón Like”, lo que puede extender los peligros que podrían afectar al usuario. Algunos de los problemas más evidentes a los que te podrías enfrentar son: • • • •
Ser el portavoz de información inapropiada. Daños a tu reputación en línea. Suscribirte a sitios de los que realmente no te interesa saber nada. Compartir tu información con personas que no quisieras.
Los ataques de Likejacking comenzaron a escalar en 2011 , según evidenció el estudio realizado por Symantec durante el mes de agosto: “al analizar 3.5 millones de publicaciones de vídeos, se encontró que alrededor del 15 por ciento de este total fue identificado como ataques de Likejacking”. Algunos investigadores, como Chester Wisniewski, han coincidido que “una de las razones que han permitido que estos ataques operen es que Facebook no solicita ninguna confirmación cuando das clic en el botón Like, lo que prevendría potencialmente el ataque y su explotación activa”. La detección oportuna de un Likejacking en tu cuenta de Facebook puede evitar que tu computadora se infecte con otros códigos maliciosos; por ejemplo, haciéndolo formar parte de una red zombi de
70
computadoras desde la cual fácilmente pueden robar tu información personal y financiera. Prevé el Likejacking Afortunadamente, desde 2011 existen varias acciones que podemos tomar para prevenir caer en la trampa que representa esta técnica maliciosa; y mientras no llegue la mencionada “autenticación del botón Like”, te invito a seguir estos cinco pasos para mantenerte alejado del Likejacking: 1. Es bueno ser samaritano y apoyar las causas, pero antes de dar Like a una página piensa: ¿realmente esa información te interesa y le darás seguimiento? Seguir miles de páginas es un factor de exposición de información y te vuelves un polo de atracción de los cibercriminales. 2. Configura la privacidad y seguridad de tus cuentas, tal vez no exista la autenticación del botón Like, pero al menos puedes colocar filtros decisivos para que otras personas, incluso tus amigos, no puedan publicar en tu Biografía sin que des tu autorización. Esto será determinante para evitar propagar campañas de Likejacking y otras estafas. 3. Al navegar en tu cuenta de Facebook, procura utilizar el modo Incógnito en Google Chrome, Inprivate en Internet Explorer o Ventana Privada en Mozilla Firefox, esto disminuirá la posibilidad de tener un exceso de rastreo mediante cookies. 4. Evita, y si es posible prohíbetelo, navegar en tu cuenta de Facebook en computadoras de cibercafés, en estos equipos suelen existir distintos tipos de malware o usuarios maliciosos que buscan adueñarse de tu información. 5. Utiliza alternadamente dos navegadores; uno para tu sesión en Facebook y otro para las demás actividades que realizarás. Si requieres abrir alguno de los enlaces que te comparten tus amigos o de las páginas que sigues, procura usar un tercer navegador. 6. Recuerda, no reconocer el problema no hará que éste desaparezca. Mantente alerta, es por el bien de tu cuenta y las cuentas de quienes te rodean.
ARTÍCULO
71
72
73
¿PERDER LA CONFIANZA EN
INTERNET? Erin O’Malley Senior Solutions Marketing Manager GIGAMON
A
ctualmente, esperamos la máxima comodidad en todo. Pero: ¿a qué costo? Cada día me pregunto si esa comodidad que buscamos a través de la tecnología, de verdad vale la pena al estar potencialmente expuestos a riesgos informáticos constantemente. Hackeo tras hackeo, la confianza en las instituciones, gobiernos, bancos, instituciones de salud y de servicios se erosiona. Queda en duda la habilidad real que tienen para protegernos a protegerse a sí mismos. La conveniencia, beneficios y eficiencia de la interconectividad son destruidas por cibercriminales que no conocen límites y que difícilmente desisten en su afán por hurtar o manipular maliciosamente la información una vez que han elegido un blanco. Estoy sinceramente cansada de escuchar: “hackeo esto y hackeo aquello…”, a veces pienso que deberíamos dejar de poner todo en línea y regresar a usar lápices. Por otro lado, y porque no soy una persona que trabaje mucho con lápices, no negaré la eficiencia continua y las maravillas que el Internet trae a nuestra sociedad y economía. No importa cómo nos roben, es una situación terrible. Y aunque el comercio electrónico es una de las vías más seguras para comprar, sigue siendo un tema de seguridad cuando se utilizan datos robados de tarjetas clonadas para hacer compras por Internet o realizar cargos a tarjetas desde cualquier parte del mundo.
74
Los ataques informáticos roban mucho más que nuestros datos. Se roban nuestra confianza y el que esta confianza se vaya, es un aspecto preocupante de los hackeos; un sentimiento generalizado de incertidumbre hacia las nuevas tecnologías. Esto se agrava con el gran déficit de profesionales de seguridad informática que existe actualmente. De acuerdo con un reporte de Cisco, 1 millón de puestos de trabajo en ciberseguridad a nivel mundial están vacantes. Se dice popularmente que una vez que somos mordidos, nos volvemos doblemente reservados. Justamente ese es el efecto que tienen los hackeos en todos nosotros. La pérdida de confianza conduce a la renuencia y, peor aún, a la indecisión potencial. Por supuesto que queremos que toda la gente empiece a ser más cuidadosa en su forma de utilizar la tecnología y cómo protege su información. Recordemos que los correos electrónicos son para siempre. Pero, ¿dónde debe colocarse nuestra confianza (tiempo, energía, recursos, dinero) si, al final, continuamente terminamos haciéndonos más vulnerables?, ¿qué es lo que debe pasar para sentirnos más protegidos? Tal vez los sistemas en línea y dispositivos IoT deban ser diseñados para ser más seguros desde fábrica. O tal vez, un proceso de automatización de seguridad que ayude a proteger la multitud de dispositivos que vienen a conectarse masivamente a la red. La intervención manual, al parecer, ya no es una opción.
ARTÍCULO
75
TIPOS DE PROGRAMADORES
QUE HAY EN LAS EMPRESAS
N
Reclu IT
o cabe duda que en la actualidad los profesionales TI se han posicionado como algunos de los trabajadores más peculiares, esto por la manera en que laboran y la variedad de perfiles que existen en la industria para los desarrolladores y programadores. De hecho, incluso dentro de la comunidad de desarrollo existen una gran variedad de arquetipos que van más allá de los puestos laborales que va más allá de las posiciones como senior o junior. Aunque aquí se trata de abordar con un poco de humor todo esto y no tomarlo tan a pecho. Empezamos con el programador teórico que está mas interesado en las opiniones que en lo que se debería hacer. Pasará el 80% del tiempo mirando en blanco su computadora pensando maneras de lograr una tarea, 15% de su tiempo quejándose de fechas límite irrazonables, 4% de su tiempo refinando las opciones, y 1% de su tiempo escribiendo código. Cuando recibas el trabajo final siempre será acompañado por la frase “Si tuviera más tiempo podría haber hecho esto de la manera correcta”. El multitarea se siente feliz participando simultáneamente en cuántos más proyectos mejor. De hecho el mayor problema al que se enfrente su jefe o sus compañeros de equipo es a que termine alguna de las tareas que ha comenzado. Normalmente este tipo de programador confía en que puede reutilizar algún trozo de código que tiene guardado en alguna parte de su máquina e incluso que puede escribir el mismo código para varios proyectos a la vez. Suelen tener como mínimo 4 pestañas del navegador abiertas referentes al mismo tema pero con distintos patrones de búsqueda. También está el mártir es simplemente un “adicto al trabajo”. Pero en el campo del desarrollo, el mártir va más allá y en otra dimensión. Los adictos al trabajo, al menos, van a casa para ducharse y dormir. El mártir se
76
enorgullece de dormir en el mostrador en medio de cajas de pizza vacías. El problema es que nadie le pide al mártir a trabajar de esta manera. Otro que podemos encontrar es el programador viejuno que por su barba puede ser conocido como Gandalf, ya que tiene una barba que casi le llega a las piernas y puede llevar una capa o una capa en el invierno. Por suerte para el equipo, esta personas son tan adeptos a la magia de trabajar como Gandalf. Por desgracia para el equipo es que tendrán que soportar horas de historias acerca de cómo tenía que caminar por la nieve para dejar las tarjetas perforadas en la sala de ordenadores. El tipo Gandalf es el bateador más pesado, pero se trata de dejarlos en la parte trasera y acceder a ellos sólo en tiempos de desesperación. El programador anti-programación quien tiene una simple verdad; escribir código es malo. Si tienes que escribir algo entonces lo estás haciendo mal. Alguien más ya ha hecho el trabajo así que simplemente utiliza su código. Te dirá cuánto mas rápida es su práctica de desarrollo, aunque le lleva tanto tiempo o más que a los demás programadores. Pero cuando obtengas el proyecto serán solo 20 líneas de código actual y será muy fácil de leer. Puede no ser muy rápido, eficiente, o compatible hacia adelante, pero estará hecho con el menor esfuerzo requerido. El arregla todo, cuando algo sale mal lo arreglará rápidamente y de manera que no se rompa de nuevo. Por supuesto que él no se preocupa de la parte estética del programa, de la facilidad de uso, o de cualquiera de esas otras nimiedades que a los simples mortales (=usuarios) tanto les importan. Esto es sólo una pequeña probada, ya que sabemos que aún hay más formas de “etiquetar” a los desarrolladores, así que es una buena oportunidad para cuestionarse ustedes de qué tipo son o cuáles han conocido a lo largo de su carrera profesional.
ARTร CULO
El tipo Gandalf es el bateador mรกs pesado, pero se trata de dejarlos en la parte trasera y acceder a ellos sรณlo en tiempos de desesperaciรณn
77
E
Psic. Karla Salinas Contreras
s un hecho que nuestro país está sufriendo una crisis (otra vez) en todos los ámbitos: económicos, de recursos, de trabajo, de problemas con el vecino del norte entre otros. Es lamentable que teniendo tanto talento en nuestro país exista la fuga de talentos, aquellas personas que se determinan que en su casa ya no hay más que cosas negativas y por ende, prefieren ir viendo qué ofrecen otras tierras. Por otro lado tenemos un aspecto muy positivo para aquellos que nos dedicamos a las tecnologías de la información: ¡la tecnología misma! El trabajo remoto, o el poder manejar el mismo software que usan para una aplicación en casa en una pequeña tienda de Dinamarca (por decir un ejemplo), nos permiten darnos cuenta de que irnos a otro país a la aventura y tal vez hasta a echar raíz no es una locura. Pero ¿realmente eres la persona que buscan en otros países? Para que las ideas se conviertan en realidades es vital hacer un análisis de la realidad y ser muy sinceros con nosotros mismos. Que no te agarren desprevenido, aquí te comparto algunos puntos a tomar en cuenta. Más vale ir reuniendo los requisitos que te faltan a tener que enfrentar la cruel realidad de la frustración cuando tus esfuerzos no lleguen al éxito, mejor ponte en vías del camino correcto.
Revisa qué es lo que sabes hacer y a qué nivel.
Algo con lo que me he encontrado mucho como especialista de talento en TI, es que muchas personas no tienen una imagen real del valor técnico y de habilidades soft que tienen. El mercado en México está roto: a las empresas les urge tanto cubrir sus vacantes y existe poco talento verdaderamente preparado, por lo que “agarran a billetazos” al que se deje con tal de cubrir la vacante, llenar el proyecto (total, ya arreglaremos lo que salga mal en producción). Es entonces que alguien con 3 años de experiencia en Java se asume un programador senior (para una vacante en USA o Canadá, un senior tiene mínimo 10 años programando sin contar experiencia previa en otras tecnologías). De ahí que cuando terminas un proyecto, ganas como senior pero te cuesta trabajo encontrar empleo porque no pasas las entrevistas técnicas (porque aún no tienes ese nivel que te hicieron creer que tenías). También nos han bombardeado mucho con las palabras de San Jobs “Si tú no trabajas por tus sueños, alguien te contratará para que trabajes por los suyos”, y como somos rebeldes, exigimos mucho dinero y las mejores condiciones cuando tal vez deberías de enfocarte en buscar algo que te haga aprender más y retarte. Hasta
78
Jobs trabajó para una empresa antes de ser Mister Jobs, y cuando se creyó el mejor CEO no tenía la experiencia necesaria para convencer a todos de que lo era por lo que terminaron corriéndolo de su propia empresa. Revisa tu CV, y sincérate con qué es lo que realmente sabes hacer súper bien y qué te hace falta. Entra a los portales de empleo de otros países y comprara tus habilidades con lo que busca el mercado, revisa otros perfiles parecidos al tuyo en LinkedIn. Ya que tengas una foto más real de lo que sabes, y lo que puedes ofrecer realmente al mercado internacional, podemos pasar a la siguiente fase.
Duele pero: Papelito habla, aunque éste no demuestre tus verdaderas habilidades.
Los países de Latinoamérica tienden a tener un número grande de profesionistas que no cuentan con título de la carrera universitaria. Esto se debe a que hay una serie de factores que intervienen en obtenerlo: tener hijos antes de terminar la carrera, mudarte a otro estado, meterte a trabajar de inmediato y no tener tiempo de regresar a terminar lo pendiente, entre muchas otras cosas. Hay empresas como por ejemplo Google en Estados Unidos que ya no pide el título universitario para darte el empleo de tus sueños. Sin embargo necesitas revisar bien los requerimientos de permisos de trabajo del país al que te interesa mudarte si quieres que tu boleto de entrada sea encontrar empleo ahí. Por ejemplo, para adquirir la Visa TN con países del norte de América es vital que tu carrera esté en su catálogo de profesiones, y no importa que tengas mucha experiencia, si no tienes el título que lo avale te van a poner muchas trabas para darte el permiso. Hay otras formas de adquirir visa de trabajo sin que haya un título universitario de por medio pero tiene un costo mayor para la empresa contratante y se tarda más, por lo que tienes que ser buenísimo para que decidan aventarse el trompo por ti. Por otro lado, los países generalmente tienen la obligación de darles empleo primero a sus pobladores, por lo que aunque seas el mejor developer del mundo si no tienes el título de la carrera, le darán prioridad a otros 30 developers que son originarios del país y luego a otros extranjeros que si cubren con el requisito. Es bien sabido que también hay profesionistas en nuestro país que hasta doctorado tienen y no tienen experiencia laboral fuerte, son pura teoría. Sin embargo si quieres eliminar obstáculos y éste punto es uno de ellos, regresa a tu universidad y revisa qué te falta, cursa una carrera en línea si no la terminaste o cursaste, haz el examen del CENEVAL, pero consigue tu título para facilitarle el proceso a tu empleador.
ARTÍCULO
Migrando a nuevas tierras ¿Qué necesitas para trabajar en otro país?
79
ARTÍCULO
Revisa tus habilidades de comunicación, habla el nuestro México; por lo que se sintió tan fuera de lugar que idioma de adonde quieres migrar. no le quedó de otra más que regresarse. Analiza muy bien Es increíble la cantidad de personas que envían su CV a empresas extranjeras con un manejo del idioma inglés básico. Cuando una empresa decide traer a alguien de otro país a trabajar a sus oficinas, está haciendo una inversión importante: salario, seguridad social, pago de viáticos, visas, curva de aprendizaje y adaptación a la cultura, entre otros. Así que no importa cuán bien uses el traductor de google para hacer el currículum perfecto en otro idioma, si no lo dominas difícilmente vas a ser elegido. Así que te toca ser realista: ¿realmente puedes mantener una conversación de negocios en otro idioma? Si la respuesta es creo que si, haz un examen que certifique que lo hablas. Si no lo pasas con buena puntuación sabrás qué es lo que te falta aprender. Si estás pagando clases de inglés, no te confíes del todo en lo que dice tu profesor de tu nivel, o los exámenes, ya que al final estas escuelas son negocios y obviamente les conviene decir que ya tienes el nivel para irte a otro país. Tampoco cuenta que puedas tener conversaciones casuales como preguntar dónde está el baño o tener un amigo extranjero con el que medio te das a entender. Mucho menos el clásico “leído, 90%, hablado 30%”. Hablar a nivel avanzado un segundo idioma es no traducir en tu cabeza y luego decir, si no que fluya como si estuvieras hablando en tu idioma. Toma en cuenta que si vas a trabajar en una empresa que contrata extranjeros, habrá otros foráneos que hablen un segundo idioma y si no les entiendes por su acento y tu falta de habilidad con el idioma, el caos vendrá en situaciones muy clave para tu trabajo: juntas, conferencias telefónicas, reuniones de trabajo donde entendiste una cosa pero te están pidiendo que hagas otra. Si te falta nivel no te achicopales, mejor toma cartas en el asunto y ponte a estudiar, si ya hablas español toma en cuenta que ya hablas uno de los idiomas más difíciles de aprender, por lo que aprender inglés / portugués / alemán, etcétera no te debe de dar miedo.
Revisa la compatibilidad que puedes tener con la cultura a la que quieres ir, y los lazos que te atan a tu país.
Irte a otro país no necesariamente puede ser la mejor opción para ti. Recuerdo el caso de un amigo que detesta que le hablen golpeado, lo toma muy a personal, le enfada y siente que le están mandando todo el tiempo. Así que su migración a Colombia que era tan prometedora, se volvió el peor trabajo que ha tenido en su vida ya que esa cultura habla golpeado, con un tono de voz elevado, tanto para echar fiesta como para discutir en una junta de revisión de requerimientos. Otro conocido que ama a su familia, las reuniones con los colegas saliendo del trabajo, las comidas de fin de semana con los colegas realmente padeció trabajar en Canadá porque aunque todos son muy amables, no se compara la calidez de ellos con la de
80
a dónde te quieres ir, lee sobre su cultura, y no me refiero a sus museos y restaurantes padres: revisa su cultura de negocio, como trabajan, qué esperan, sus costumbres ejecutivas, sus personalidades como estado y país. Si crees que es compatible con tu forma de ver el mundo o que aunque sea diferente totalmente puedes adaptarte, entonces lánzate. Por otro lado si ya tienes familia directa (pareja e hijos) o estás muy apegado a tu familia nuclear (mamá, papá hermanos, tíos...) toma en cuenta que no los vas a ver tan seguido, que a lo mejor los vas a ver sólo en diciembre, que si quieres pagarte un vuelo de regreso a verlos tendrás que hacer viajes exprés para regresar a tu trabajo a tiempo. De nueva cuenta, si realmente vas a poder manejarlo, lánzate. Si no, mejor busca un buen empleo en tu país, también los hay.
Analiza el territorio extranjero al que quieres ir: sueldos promedio, ubicación, clima, y a buscar se ha dicho. Si odias el calor y estás buscando irte al Ecuador piénsalo dos veces. Igual si odias el frío y te quieres ir a Montreal. Pareciera algo sin importancia pero toma en cuenta que cuando ya vivas ahí, vas a enfrentarte a ello DIARIO. Revisa los portales de empleo de otros países, algunos cuentan con calculadoras y estadísticas de cuánto se paga tu puesto anualmente. Revisa la región a dónde quieres postularte y ve qué costo tienen las rentas, qué condiciones tienen (hay lugares donde los contratos de renta son por al menos 1 año y si decides que no quieres estar ahí antes, tendrás que pagar una penalización). Revisa si hay medios de transporte, o si vas a comprar un auto los costos que tienen la gasolina, el auto, el mantenimiento del mismo. Lo que yo recomiendo siempre es que ya que hayas aceptado una oferta y vueles para allá, renta una habitación, puede ser por ejemplo de Airbnb. Ya que estés allá podrás revisar en vivo las condiciones de departamentos, lugares, costo de vida y entonces elegir sin prisas y mejor. Aguas con hacer depósitos de renta a lugares cuando no has viajado aún o visto el lugar en persona, en muchos países el fraude está al por mayor para extranjeros que llegan. Ten bien los números de lo que quieres ganar (tomando en cuenta el punto 1 de este artículo) para que no te quemes en las entrevistas pidiendo más de lo que gana un local o echándote la soga al cuello pidiendo menos de lo que vas a necesitar realmente para vivir. Hay muchas otras cosas a tomar en cuenta para un cambio, pero ya son de trámites. Considero que estos puntos son mucho antes de ello y son decisivos para que la búsqueda de tu nuevo empleo en otro país sea exitosa y vivas una experiencia maravillosa. Mucha suerte!