bsecure - septiembre 2010

EMPOWERING BUSINESS CONTINUITYSeptiembre 2010 · 65 · www.bsecure.com.mx

$80.

00 M

.N.

Ya no hay marchas atrás. Las computadoras, los teléfonos inteligentes y el Internet han

dado nacimiento a un fenómeno que ningún CIO o CISO, por más

que desee, podrá detener: el uso y masificación de las redes

sociales en los negocios

eMediaRedes SocialesWebcastPodcastBlogsRevistas DigitaleseNewsletter

eMedia Redes Sociales Webcast Podcast Blogs Revistas Digitales eNewsletterRevistas Digitales

Líder enCustom New eMedia

SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTÁCTENOSwww.netmedia.info

t. 2629 7260 ext. 1125

Septiembre, 2010 B:SECURE 1

SEP2010ACCESO

AMENAZA A SECTOR FINANCIERO MEXICANO CRECIMIENTO DE CIBERATAQUESDurante el primer semestre de 2010, la SSP registró un incremento de 217% en el número de ataques cibernéticos semanales con respecto al año pasado

ACCESO

PAGAN EMPRESAS HASTA $3.8 MILLONES DE DÓLARES POR BRECHAS DE SEGURIDADLos ataques web, los que utilizan códigos maliciosos y los ejecutados por los mismos empleados acapararon 90% de los costos por brechas de seguridade.

B:SECURE FOR BUSINESS PEOPLE

LA SEGURIDAD DE LA INFORMACIÓN COMO UNA FUNCIÓN EMPRESARIALPara que sea relevante y exitosa, la función de seguridad de la información debe ser vista y tratada como una función de negocios.

LA LEY Y EL DESORDEN

MÉXICO ESTRENA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARESLuego de una década de espera México por fin cuenta con esta legislación. Qué paso en el camino y dónde estamos parados. Nuestro experto legal hace el recuento.

ÁREA RESTRINGIDA

LAS VULNERABILIDADES DE LOS ARCHIVOS LNK Y DEL PROTOCOLO WPA2El sistema de atajos de Windows LNK y los prótocolos de seguridad inalámbricos WPA2 ocupan el escenario de las vulnerabilidades de este mes para nuestro experto.

SEGURO QUE LO QUIERES

SI NO TE GUSTA LO PUEDES REGRESAS: APPLEEl iPhone 4 ya está en México. Con o sin problemas nos preguntamos ¿Dejarás que la manzana de la discordia te tiente?

04 LOGIN 20 SINNÚMERO

10THE DARK SIDE OF SOCIAL MEDIA

Ya no hay marchas atrás. Las computadoras, los teléfonos

inteligentes y el Internet han dado nacimiento a un fenómeno que ningún

CIO o CISO, por más que desee, podrá detener: el uso y masificación de las

redes sociales en los negocios.

2 B:SECURE Septiembre, 2010

ENLÍNEAOFRECE DELL NAVEGADOR WEB CON SEGURIDAD GRATISDell liberó un navegador seguro denominado como Dell KACE para proteger a las compañías contra malware, redirecciona-mientos y cross-site scripting que pongan en riesgo su información y seguridad.

KACE ya está disponible para su descarga y pretende impedir que los usuarios sean llevados a sitios web maliciosos o in-apropiados al ‘envolver’ a un navegador Firefox 3.6 en una aplicación construida con tecnología de virtualización llamada ‘Vir-tual Kontainer’. No sorprende que junto con la descarga Dell haya incluido los plug-in de Adobe Reader y Flash.

El navegador seguro de Dell promete contener las amenazas antes de que se conviertan en un problema difícil de solucio-nar. Para los entornos empresariales, la aplicación de administración KACE K1000 ayudará a las organizaciones a gestionar los Navegadores Seguros mediante el uso de listas blancas y negras a través del monitoreo de estadísticas. Dicha aplicación tiene costo y es para las empresas de 100 a 10,000 empleados.

La versión de lanzamiento es para versiones de 32 bits de Windows XP, Vista y 7, que soporten al navegador Firefox. De acuerdo con el presidente de KACE de Dell, Rob Meinhardt, la compañía procura dar soporte también para Internet Explorer (IE) de Microsoft, aunque será más difícil por ser una tecnología propietaria y no de código abierto como Firefox.

POLÉMICA ENTORNO A ADOPCIÓN DE ‘BOTÓN DE PÁNICO’ POR FACEBOOKFacebook se une a Bebo y Myspace al incorporar el polémico ‘botón de pánico‘, una iniciativa que impulsara el Centro de Pro-tección Online de Menores (CEOP, por sus siglas en inglés) del Reino Unido.

El botón permite a los menores de edad ponerse en contacto con las autoridades correspondientes al ser víctimas de algún tipo de abuso en la red social de la que sea usuario.

Aunque hoy parece haber una buena relación entre la popular red social y el CEOP, durante las negociaciones la situación fue completamente distinta pues fueron ríspidas y se llevaron a cabo en medio de acusaciones contra Facebook y sus endebles prácticas para proteger la seguridad de los menores. Según la red social, al final las cosas son como ellos decidieron y no como el Centro quería, que demandaba que el botón fuera instalado en la página de inicio.

El CEOP acusó públicamente a MySpace y Facebook de resistirse a adoptar el botón de pánico como una medida de protec-ción, tras la cual Myspace cedió enseguida. Sin embargo, Facebook respondió que hace un mejor trabajo en la protección de los menores y habló de los acuerdos que tiene con la policía de Reino Unido y de otros países para crear un entorno seguro para los menores de edad. No obstante, Facebook finalmente ha decidido apoyar al botón de pánico pero ha condicionado su uso.

Facebook por el momento seguirá trabajando en su página de seguridad, la cual ademas de tener un alcance global ofrece educación para evitar situaciones riesgosas a niños, padres y maestros.

Mónica Mistretta DIRECTORA GENERAL

Carlos Fernández de LaraDIRECTOR EDITORIAL

Elba de MoránDIRECTORA COMERCIAL

Gabriela Pérez SabatéDIRECTORA DE

PROYECTOS ESPECIALES

Alejandro CárdenasDIRECTOR DE ARTE

Iaacov ContrerasCIRCULACIÓN Y SISTEMAS

Gabriela BernalDIRECTORA

ADMINISTRATIVA

José Luis CaballeroASESORÍA LEGAL

CONSEJO EDITORIALRafael García, Joel Gómez,

Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma,

Luis Javier Pérez, Salomón Rico, Gilberto Vicente, Lizeztte

Pérez, Raúl Gómez, Mario Velázquez.

COLUMNISTASAdrián PalmaJoel Gómez,

Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña,

Andrés Velázquez, Elihú Hernández,Mario Velazquez,Alberto Ramírez

EDITOR ON LINEEfraín Ocampo

WEB MASTERAlejandra Palancares

DISEÑOPablo Rozenberg

ASISTENTES DEREDACCIÓN

Gabriela Rivera, César Nieto, Oscar Nieto

VENTAS Y PUBLICIDADMorayma Alvarado, Carmen Fernández, Cristina Escobar

SUSCRIPCIONESSonco-Sua Castellanos, Diana

Zdeinertb:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

TEMA LIBREEfraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

AUNQUE ME CORRANCarlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Estos y otros artículos en www.bsecure.com.mx

BSECURE.COM.MX


Que los ataques tradicionales sean menos efectivos no es precisamente una buena noticia, pues expertos en seguridad preveén que esa sea la razón para que el cibercrimen opte por ataques combinados que burlen sistemas de detección por más so-fisticados que sean.

De acuerdo con el último reporte bianual del Laboratorio de Seguridad de M86, en el futuro proliferarán ataques combinados que utilicen el lenguaje JavaScript y el ActionScript de Ado-be para burlar y anular los más novedosos mecanismos de de-tección proactiva.

“Los métodos tradicionales como los robots que envían spam y código dinámico de ofuscación aún son muy utilizados. Sin embargo, la prime-ra mitad de 2010 ha visto emerger nuevos métodos avanzados, como los ataques combinados”, dijo Bra-dley Anstis, vicepresidente de estra-tegia tecnológica de M86 Security.

Anstis subrayó que los cibecriminales buscan con mayor ahínco vulnerar los mecanismos más avanzados de detección de amenazas en internet para lograr sus objetivos. Situación que complica el panorama para los proveedores y para los usuarios.

Un ejemplo claro es el software Flash de Adobe, que está escrito en Ac-tionScript y que actualmente es explotado en ataques combinados con Ja-vaScript, el lenguaje en el que están escritos diversos componentes de una página web. Para ventaja de los atacantes, Flash tiene una interfase

incluida desde su desarrollo para JavaScript, facilitan-do así la comunicación entre ambos lenguajes.

Otra de las tendencias, que M86 observó durante la primera mitad del año, es que la estructura de ataque de algunas de las bot-nets más poderosas del web, como la As-

prox, operan como robot spammers y atacan de manera automática sitios web que utilizan Mi-crosoft Active Server Pages (ASP). Asprox in-

fectó alrededor de 10,000 sitios en sólo tres días, durante junio pasado.

El análisis de la compañia con-firmó que el volumen de spam continúa creciendo. Según el re-porte, pues se estima que entre uno y tres por ciento de todo el spam contenga códigos

maliciosos. El resto, es usado por tiendas en línea de dudosa credibilidad

que buscan llevar tráfico a sus sitios web. Los programas que esos negocios utilizan para enviar spam están a la venta en el mercado

negro en Internet, son fáciles de conseguir y relativamente baratos.

REPORTE PREVÉ OLA DE ATAQUES CON MAYOR COMPLEJIDAD

LOGINLOGIN

ACTA sí, pero en internet no, reclaman las asociaciones que aglutinan las empresas que operan en internet, de cableros y de las tecnologías de la in-formación basadas en México.

En un documento, la Asociación Mexicana de Internet (AMIPCI), la Asociación Mexicana de la Industria de Tecnologías de la Información (AMITI) y la Cámara Nacional de la Industria de Electrónica, Telecomu-nicaciones y Tecnologías de la Información (Ca-nieti) consideran que el Acuerdo Comercial Anti-falsificación (ACTA, por sus siglas en in-glés) es anticonstitucional.

En un documento dirigido a la Secretaría de Economía las organizaciones empresaria-les acusaron al tratado internacional de inten-tar convertir en “policías” a los proveedores de servicios de internet (ISP), para perseguir a los usuarios que intercambien sin autorización con-tenidos y propiedad intelectual protegida.

Los borradores que han circulado por internet pro-ponen en la sección 4 que el ISP tendría que deshabilitar o impedir el acceso a los contenidos protegidos que sean transmi-

tidos o almacenados sin autorización de la entidad que tenga los derechos, posterior a su notificación legal.

Asimismo, ACTA busca que se castigue con las leyes lo-cales la falsificación de marcas y la piratería en in-

ternet de contenidos protegidos. Una de las propuestas es castigar a los usuarios a través

de la limitación del servicio que ofrecen los proveedores de servicios de inter-

net (ISP) o proveedores de servicios en línea.

Las asociaciones consideran que la aprobación del tratado impactará negativamente al comercio electró-nico legal y a los servicios de comu-nicaciones.

Además, señalaron que la aproba-ción del ACTA violaría el artículo 14

constitucional, al hacer alusión al moni-toreo que pretende el Acuerdo que ejerzan

los ISP a los usuarios sobre sus actividades en internet.

ASOCIACIONES DE INTERNET, IT Y CABLEROS EN MÉXICO RECHAZAN ACTA EN INTERNET

ACTA


Una nueva configuración del potente troyano, Zeus, ha suplantado la identidad de Visa y MasterCard en distintas páginas de internet, engañando a cientos de cuentahabientes al ofrecerles, mediante phishing, una mejor protección en sus pagos, informó la firma de se-guridad Trusteer.

De acuerdo con la información publicada en el sitio web de la firma, al momento de que los internautas se conecta a alguno de los 15 sitios bancarios comprome-tidos, el troyano despliega una pantalla “copia” de dos de los servicios bancarios más utilizados “Verificado por Visa” (Verified By Visa) y “MasterCard SecureCode”.

Ambos son parte del los programas usados por los bancos para la protección de las cuentas bancarias, al realizar movimientos o transacciones en línea.

Las pantallas falsas, según informó Amit Klein, CTO de Trusteer, incitan a los usuarios a colocar su número de seguridad social, el de su tarjeta de crédito o débito y su clave de acceso o PIN bancario. Datos que son re-colectados por los cibercriminales para la generación de fraudes bancarios.

“Aunque para muchos usuarios de la banca en línea, el hecho de que las pantallas falsas les pidan sus datos de ingreso, puede parecer extraño. El hecho de que el troyano aproveche servicios financieros de uso masivo y legítimos como Visa y MasterCard coloca este ataque de phishing como uno de los más peligrosos de los úl-timos meses”, explicó Klein de Trusteer.

Cabe recordar que el troyano Zeus es uno de los ma-lware más peligrosos para el sector financiero, pues el código malicioso extrae sumas menores de las cuentas comprometidas para no activar las alertas de los siste-mas bancarios, e incluso puede eliminar de los estados de cuentas los retiros de efectivo realizados por los ci-bercriminales.

Dado que el malware actúa como botnet tiene la capacidad de propagar-se y comprometer la mayor can-tidad de equipos en poco tiempo. Del mismo modo, al momento de robar las contraseñas el malware las envía de forma inmediata a su Centro de Comando.

El experto de Trusteer mencionó que de los más de tres millones de equipos infectados por Zeus desde 2009, más del 55% eran computadoras que contaban con sistemas de seguridad originales y actualizados. Se-gún los datos de la firma, se estima que uno de cada 100 sistemas de cómputo, ya están infectados con este malware.

Empresas del sector de ingeniería, automotriz y de tu-rismo son los principales blancos de ataque por spam, reveló un estudio hecho por Symantec.

La lista la encabeza la industria de la ingeniería, pues del total de correos electrónicos diarios que recibe este sector 94.1% son spam. Le siguen las empresas auto-motrices con un 92.9% de correo basura del total, y en tercer lugar con 90.5% las empresas de la industria hotelera, según un reporte especial del laboratorio de mensajes de la firma.

El reporte, publicado en el si-tio web de la compañía, dio a conocer que las em-presas medianas reciben más spam que las gran-des compañías, lo mismo pasa con las áreas que es-tán cerca de medianas o de grandes empresas, las prime-ras son más afectadas que las segundas.

“El spam no es simplemen-te una molestia a las empre-sas, sino una amenaza real que puede consumir los

recursos y poner en riesgo información valiosa inde-pendientemente de su ubicación”, dijo Paul Wood, analista senior de MessageLabs

Junto a los problemas de consumo de ancho de banda de las compañías, el spam puede funcionar como puerta de entrada o enlace para el robo de información, infección por códigos maliciosos y los ataques de phishing.

El mismo análisis de Symantec afirma que 90% del total del spam, que invade las bandejas de entrada de los negocios de todo el mundo, es generado por alre-dedor de cinco o seis millones de computadoras com-

prometidas por códigos maliciosos y redes bot.“Estos millones de PC, comprometidas por ciber-

criminales, son administradas a través de redes bot bien organizadas, las cuales mandan alrededor de 120,000 millones de correos basura al día”, cita el re-porte de la compañía.

Según un estudio hecho por Sophos, Estados Uni-dos es el país con más spam en

el mundo, con 15.2% de estos mensajes. Se-guido por la India, en tercer lugar Brasil

y reino Unido y Corea del Sur al final de la lista.

INGENIERÍA, AUTOMOTRIZ Y TURISMO LOS MÁS AFECTADOS POR SPAM BREVES

VISA Y MASTERCARD NUEVOS BLANCOS DEL TROYANO ZEUS

Blue Coat Systems libe-ró Reporter 9.2, la última ver-sión de su herramienta de reporteo de vulnerabilidades que permiten a los adminis-tradores de seguridad eva-luar los riesgos existentes e identificar rápidamente a los usuarios infectados por ma-lware o virus. Esta nueva ver-sión analiza la información de navegación desde las ca-pas de entrada a Internet, las defensas de cloud, incluyen-do las aplicaciones de Blue Coat ProxySG y ProxyAV así como los dispositivos Web-Filter y ProxyClient.

Websense y Microsoft anunciaron la extensión de la integración de Websense Data Loss Prevention, solu-ción que cuenta con la tec-nología Windows Server 2008 R2 File Classification Infras-tructure de Microsoft. Esta solución permite la identifi-cación, clasificación y reme-diación automática de datos sensibles con políticas de se-guridad administradas cen-tralmente, para ayudar a las organizaciones a cumplir los crecientes requerimientos re-gulatorios y de seguridad.

Kaspersky desarrolló Threatpost para iPhone. La aplicación descargable para los dispositivos móviles de Apple (iPhone, iPod Touch y iPad) promete contener toda la información de noticias y comentarios de ciberseguri-dad del sitio web que incluye artículos de seguridad, edito-riales, podcasts y vodcasts. El programa puede ser des-cargado desde iTunes en la computadora o, directamen-te desde el dispositivo a tra-vés de la AppStore.


A Google gobiernos Europeos y el mismo Estados Unidos le aplican la frase: “no hagas cosas buenas que parezcan malas, ni malas que pa-rezcan buenas”. Esto luego de que países como Alemania, España y

Reino Unido criticaran a la compañía web por recolectar datos de redes ina-lámbricas públicas, a través de su servicio Street View.

Para colmar el vaso de problemas, 38 estados de la Unión Americana se adhirieron a la investigación contra Google para determinar si cometió al-guna infracción al recabar datos, mientras tomaba imágenes para su progra-ma de mapas Street View.

El fiscal general del estado de Connecticut, Richard Blumenthal, dijo que la postura de estos estados coincide con las investigaciones que hay contra Street View en otras partes del mundo, dieron a conocer diversos sitios web y medios internacionales como la BBC.

“Google debe estar completamente limpio y explicar porqué sucedió esta invasión a la intimidad personal”, citó la BBC al fiscal general.

El fiscal le exige a Google que proporcione el nombre o nombres de los responsables del software espía, y si no se habían realizado pruebas del software en los “carritos Street View” antes de enviarlos a las calles de todo el orbe.

Aunque Google reconoció en mayo que la flota de vehículos que usa para dar soporte a Street View había recogido información de redes Wi-Fi no protegidas, el gigante de Internet justificó el robo de información personal como un error de software y no como una acción ilegal.

El creador de Street View ya fue llamado a declarar ante la coalición de los 38 estados para explicar qué el uso y los procedimientos que ha toma-do con respecto a la información recabada y de qué lugares en específico fue recogida.

En Reino Unido el legislador Rob Halfon ha llamado a las autoridades a investigar Street View, siendo éste el cuarto país del viejo continente en unir-se contra el sistema de mapeo, aunque las autoridades han declarado que no pueden iniciar ningún procedimiento hasta que se demuestre que Goo-gle ha violado alguna ley.

EL OTRO LADO DE LA MONEDAMientras Google se enfrenta ante los tribunales y críticas de expertos en pri-

vacidad de datos de todo el mundo, miembros del equipo de seguridad de Google publicaron en el blog de la compañía una propuesta para mejorar los niveles de seguridad en el software y aplicaciones.

De esta forma, Google propone dar un tiempo límite de dos meses, para que los desarrolladores de software reparen las vulnerabilidades y fallas que sean encontradas en sus programas por investigadores e ingenieros.

“Por la efectividad y rapidez que han alcanzado los ataques maliciosos en los últimos años, es necesario subir el estándar de atención para evitar que estos prosperen”, justificaron los expertos en el blog de Google.

En el comunicado, Google dio a conocer su posición sobre la responsa-bilidad que tienen los vendedores e investigadores ante un posible ataque a los usuarios, por la falta de efectividad para acatar y resolver los errores o vulnerabilidades en los programas.

De acuerdo a la propuesta, en caso de que el plazo de 60 días se cumpla y no haya una solución real ante el problema, los investigadores deberán dar a conocer a los consumidores o usuarios del software un reporte, en el que se especifique en qué falló el programa.

Actualmente estos reportes llegan a los desarrolladores del software afec-tado únicamente y no a los usuarios finales.

Google también anunció que los incentivos económicos, que suele otor-gar a quién descubre alguna vulnerabilidad en Chromium, sistema en el que está basado su explorador web y el sistema operativo Chrome, aumen-tarán de $1,337 dólares a $3,133 dólares, por “vulnerabilidad severa”.

Estos aumentos están relacionados al hecho de que Mozilla, creadores del famoso explorador FireFox, aumentarán el pago a los investigadores que detecten vulnerabilidades en la aplicación de $500 dólares a $3,000 dólares.

No todos han seguido la medida de Mozilla y Google, ya que Microsoft avisó que continuará con su política de simplemente otorgar un reconoci-miento verbal y no económico.

Sin embargo esta media contradice al mismo Google, ya que a pesar de que los problemas legales que ha tenido con Street View no son directamen-te vulnerabilidades en su software, expertos de seguridad afirman que el gi-gante de internet no está en una posición en la que pueda exigir cuentas sobre como son tratados los usuarios y su seguridad. ●

ACCESO GOOGLE DEFIENDE LA SEGURIDAD

POR LA QUE ES DEMANDADO

Mientras el puntocom californiano propone un tiempo máximo de dos meses para que los desarrolladores de software corrijan las vulnerabilidades en su software, 38 Estados de la Unión Americana investigan a la firma por violar leyes de privacidad de datos

Por Sergio López y Efraín Ocampo


Después de 14 años de existencia en México, Metronet dio un salto en la es-cala empresarial con miras a la interna-

cionalización y presentó su nueva cara: RedIT, nombre que traerá consigo toda una nueva y mejor oferta de servicios para sus clientes.

“En realidad no sólo es un cambio de nom-bre, es la unificación de los servicios que ya ofre-cíamos las cuatro marcas que forman parte del grupo, con la finalidad de ofrecer más y mejores servicios a nuestros clientes”, afirmó Hugo Gar-cía, director general adjunto de la empresa.

Y es que en el 2000, a cuatro años después de su nacimiento, Metronet concluyó las negocia-ciones para adquirir Xertix, compañía dedicada a ofrecer servicios administrados de tecnologías de información.

Las dos siguientes marcas se unieron en el 2009, cuando Metronet adquirió Diveo y Cast-le Access, ambas especializadas en data centers. Con estas adquisiciones se completó el plan maestro de la compañía, que era responder con soluciones eficientes y efectivas a las necesidades de un mercado creciente de tecnologías de la información y comunicación.

Lo anterior demuestra las ganas de crecimiento del corporativo, pues de-

cidió “salir a buscar la competencia y adelantar-se a las necesidades de los clientes, antes que la competencia dominara el mercado”, según pala-bras de Lauro Cantú, socio director de RedIT

Así la oferta de servicios de RedIT va mucho más allá de la cartera con la que iniciaron en 1996, que era proveer a las compañías de larga distancia con una red de acceso metropolitano. Ahora está fortalecida con soluciones y servicios de centros de datos con accesos remotos, cóm-puto en la nube y virtualización, entre otros.

Por si fuera poco, trabajan en un esquema de seguridad empresarial llamado ROC (Risk Operation Center). “Se trata principalmente de consultoría. El negocio de la seguridad así debe empezar y ofrecer soluciones customizadas que se adapten a las necesidades de los clientes”, ex-plicó Hugo García.

Con un crecimiento acumulado del 100% en los últimos tres años y más de $200 millones de dólares de inversión desde el inicio de Metronet, la meta de la firma es clara: aprovechar la inte-gración de las marcas, los productos y servicios

para posicionar a RedIT tanto en México como en Estados Unidos, apro-vechando la adquisición de los data centers de Castle Access y explotar al

máximo su experiencia e infraestructura tecnológica.Con esta nueva era, RedIT tiene la posibilidad de ofrecer

servicios a diferentes sectores empresariales, como el finan-ciero, retail, servicios, gobierno, salud y servicios. Además, en esta etapa Microsoft es su socio comercial, de tal manera que el cloud computing se lleva al siguiente nivel, con característi-cas integradas con seguridad, hosting y virtualización.

EMPRESA MEXICANAOtra de las cosas que resalta Hugo García, es que RedIT es una empresa mexicana con un porcentaje mínimo de parti-cipación extranjera y mientras compañías internacionales lle-gan a México a comprar marcas, se dieron el lujo de salir al extranjero para conseguir nuevas oportunidades de negocio, como fue el caso de la adquisición de Castle Access, que aun cuando sólo tienen participación del 40% pueden concretar el 100% en los próximos dos años. ●

SECCIÓN ESPECIAL

REDIT: MÁS QUE UN CAMBIO DE NOMBRE PARA METRONETTRAS CASI TRES LUSTROS DE VIDA LA EMPRESA MEXICANA METRONET DECIDE CAMBIAR SU NOMBRE A REDIT, COMO REFLEJO DE SU CRECIMIENTO, NUEVAS SOLUCIONES Y SERVICIOS PARA CONQUISTAR MERCADOS INTERNACIONALES

Sin importar el giro o sector, el portafolio de soluciones y servicios de RedIT promete estar listo para cubrir las necesidades y retos de las compañías del siglo XXI.

Desde servicios de seguridad, soluciones para maximizar la productividad, hasta herramientas para incrementar la eficiencia y colaboración de su equipo de trabajo sin importar la distancias, de forma flexible y sin perder el control y velocidad de respuesta necesarios. Aquí un vistazo a la apuesta de RedIT por sector.

Financiero: SeguridadServicios: DesempeñoGobierno: ColaboraciónRetail: FlexibilidadManufactura: ControlSalud: Agilidad

“No sólo es un cambio de nombre,

es la unificación de todas nuestras

marcas para ofrecer más y mejores

servicios”Hugo García

Director General AdjuntoRedIT

TODOS LOS NICHOS, TODOS LOS CLIENTES


Si el mundo fuera perfecto, nadie tendría que pensar en los riesgos que implica vivir. Lamentablemente, el planeta Tierra está lejos de la per-fección. En cualquier espacio cotidiano –la calle, el hogar, la oficina–,

el peligro acecha y, con un poco de mala suerte, cualquier persona puede sentir su mordida.

El ámbito empresarial, fiel a su condición terrícola, es imperfecto y generoso en riesgos. Todos los días, una organización, más allá de su giro productivo, tiene que enfrentar múltiples y constantes contingen-cias: emergencias sanitarias, conflictos laborales o legales, fallas en los procesos de manufactura, caídas de los sistemas de tecnologías de infor-mación (TI), crisis financieras o bursátiles, ataques a la reputación y un largo etcétera.

Estos riesgos causan insomnio a los líderes empresariales. Y en realidad, nadie tendría que perder horas de sueño. Por principio de cuentas, estas

amenazas nunca desaparecerán, forman parte de la naturaleza de la activi-dad económica. En segundo término, “ninguna compañía puede aspirar a eliminar los riesgos; lo que sí puede hacer es identificarlos perfectamente y tomar decisiones informadas respecto a ellos”, dice Robert Whitcher, geren-te de Producto de BSI América, quien charló con InformationWeek México en una reciente visita al país.

ENTENDER EL PELIGROWhitcher es un reconocido experto en los estándares ISO/IEC 27001 (aso-ciado a operaciones y políticas para garantizar la seguridad de la informa-ción), ISO/IEC 20000 (tecnología de información) y BS 25999 (continuidad del negocio). Hoy, el ejecutivo de BSI América plantea una visión integral de las normas: aprovecharlas conjuntamente para crear un marco de trabajo (framework) de Gobierno, Riesgo y Cumplimiento (GRC). Un framework

DOMINAR EL RIESGOREPORTE ESPECIAL

Por Andrés Piedragil Gálvez

En el contexto empresarial, la vida sin peligro no existe. El recurso que sí está disponible, dice BSI América, es la capacidad de convivir con las contingencias

ISO/IEC 27001

ISO/IEC 20000

BS 25999

Fuente: BSI.

TRES PILARES DEL FRAMEWORK


GRC permite identificar, gobernar y administrar los distintos factores de riesgo que enfrenta una organización.

La propuesta de Whitcher implica una perspectiva panorámica. A la fe-cha, cada estándar, que incluye protocolos y reportes de gestión de riesgo y gobierno, contribuye a generar información útil para la toma de decisiones. Sin embargo, los datos producidos no son homogéneos: son diferentes en lenguaje, en métricas de evaluación, en presentación de resultados. Por tal motivo, para lograr una visión completa de los riesgos que encara la com-pañía, asegura el entrevistado, la dirección de la empresa tiene que dedicar mucho tiempo a entender cada una de las contingencias reportadas (sani-tarias, financieras, operativas, tecnológicas). Y aun así, es muy probable que su perspectiva de los riesgos resulte fragmentada e inconsistente.

La meta de un framework GRC, en ese sentido, “es que los directivos comparen manzanas con manzanas –dice Whitcher– No importa qué mé-todos u operaciones impliquen los estándares, lo relevante es que la infor-mación que arrojen sobre riesgos sea coherente en presentación, lenguaje y métricas”.

Al ser la instancia más beneficiada por el enfoque, la dirección general debe encabezar los esfuerzos de la construcción de un marco de trabajo GRC. La iniciativa exigirá un gran empeño, ya que generalmente se asume que los tres estándares tienen una base tecnológica, y por lo tanto, su área de influencia se restringe a la infraestructura TI de la organización. Y la realidad es que las normas, en coordinación con otros estándares de control de pro-cesos, pueden sentar las bases del framework GRC. “Si el proyecto arranca en el área de TI, se le verá como un tema técnico y nunca saldrá de ese de-partamento” –asegura el especialista de BSI América– Si el senior manage-ment no se compromete con la iniciativa, ésta no irá a ningún lado, ya que carecerá de fondos, respaldo corporativo y personal adecuado”. De ahí que una sugerencia sea iniciar una implantación con BS 25999, que tendrá una repercusión de rango más amplio en la empresa, y no con ISO/IEC 20000, cuyos beneficios están más acotados a un área específica y su influencia ha-cia el resto de la organización tomará más tiempo.

VISIÓN DE NEGOCIOSAl ser un tema de negocios, y no necesariamente tecnológico, el diseño de un framework GRC implica mirar hacia el interior de la compañía; con el fin de documentar procesos y operaciones, establecer controles para prevenir o resolver contingencias, crear políticas para garantizar la calidad del produc-to terminado, entre otras actividades.

Por tal motivo, la propuesta de BSI es óptima para medianas y gran-des empresas, las cuales, por la magnitud de su actividad productiva y por el tamaño de su estructura corporativa, poseen una diversidad de tareas y operaciones –y por ende, de riesgos– que deben analizarse, acreditarse y es-tablecerse como políticas.

A la hora de llevar a cabo este proceso, más que el tiempo, el reto es en-tender la lógica de la iniciativa: los estándares no determinan la forma de trabajar de la organización, por el contrario, se adaptan a los métodos que ya usa la firma; documentándolos con el objetivo de fijar controles y así ase-gurar que todas las labores conduzcan a la eficiencia operativa deseada y a la calidad esperada por el cliente.

“No le tienes que decir a la empresa cómo hacer las cosas. Si lo haces, em-piezas a encontrar resistencias políticas en las distintas divisiones y pones en riesgo el éxito de la implantación”, dice Whitcher. Por otro lado, de acuer-do con la experiencia del entrevistado, cuando una empresa pequeña crece y alcanza el estatus de mediana, no es raro que empiece a sufrir porque ig-nora los beneficios que aportan estándares como ISO/IEC 27001, ISO/IEC 20000 o BS 25999 (continuidad del negocio). “Cuando una compañía cre-ce necesitan estándares y estandarización para cumplir su promesa de valor

en forma eficiente”, añade el entrevistado. Y claro, para entender y encarar los riesgos que enfrenta la empresa.

La propuesta de BSI América, de un marco GRC construido a partir de tres normas específicas, está en su fase inicial de desarrollo. Sin mencionar los nombres, Robert Whitcher asegura que la iniciativa ya se prueba en dos organizaciones de Estados Unidos. No obstante, el entrevistado confía en que la idea cuenta con todos los atributos para ser bien reciba en el merca-do. “Actualmente, hay mucho foco en los riesgos de IT y en los financie-ros. Se olvida que las distintas fases de la actividad empresarial, cuentan con contingencias potenciales que podrían afectar los ingresos, la reputación, las ventas”, comenta Whitcher.

La iniciativa de BSI América no promete un mundo sin sustos. Lo que sí vaticina es una mejor capacidad para enfrentarlos. La solvencia para decir: sí, podemos tomar ese riesgo”. ●

Robert Whitcher, gerente de Producto de BSI América


El robo de identidades y la fuga de información son algunas de las amenazas que potencialmente crecerán y afectarán con mayor in-tensidad al sector financiero en el 2011.

Tradicionalmente, una serie de amenazas han perjudicado la infor-mación sensitiva del sector financiero, ya sea a través de ataques de vi-rus, malware o phishing, conocidos también como “sitios espejo”.

El impacto de estas actividades fraudulentas son cada vez más graves. Este mes en el estado de Sonora la Comisión Nacional para la Defensa de los Usuarios de las Instituciones Financieras (Con-dusef) registró un aumento de fraudes en banca en línea con pér-didas que se sitúan entre los $70 y $250,000 pesos en los 25 casos denunciados. Según cifras citadas oficiales, en México aproximada-mente 330,000 personas sufrieron de robo de identidad cibernéti-co en 2009.

Durante el primer semestre de este año la Secretaría de Seguridad Pública registró un incremento de 217% en el número de ataques ci-bernéticos semanales con respecto al año pasado.

La Comisión Nacional Bancaria y de Valores (CNBV) les exige a las empresas financieras que utilicen tecnología especializada para la pro-

tección de los datos, así como que implementen el uso de dispositivos y mecanismos para la autenticación de sus usuarios.

De acuerdo con Roberto González, gerente de ventas de SafeNet México, el uso de tecnología basada en criptografía como los tokens de autenticación y HSM, son una opción que ayudaría a las entidades fi-nancieras a cumplir con esta regulación de la CNBV.

“Con mejores prácticas, mayor protección y cumpliendo con las re-gulaciones, la reducción de los fraudes cibernéticos se verá reflejada y las instituciones financieras podrán estar tranquilas de la seguridad de sus datos y evitarán costosas multas”, comentó González.

Los tokens son llaves de identidad del usuario de banca electrónica que mejoran la seguridad de los procesos en línea. Los HSM son módu-los de seguridad encargados de administrar los tokens.

La protección de los datos, sin embargo, ha dejado de ser una pre-ocupación exclusiva del sector bancario y financiero con el decreto de la Ley de protección de datos personales en posesión de los particula-res, por la cual las empresas que operen en México que recaban, alma-cenan y utilizan datos personales estarán obligadas a a informar a su titular cuando la seguridad que los protege sea vulnerada. ●

ACCESO AMENAZA A SECTOR

FINANCIERO MEXICANO

CRECIMIENTO DE CIBERATAQUES

Durante el primer semestre de 2010, la SSP registró un incremento

de 217% en el número de ataques cibernéticos semanales con

respecto al año pasado

Por Efraín Ocampo

server: 174.37.13.66:8016server: 174.37.13.66:8016server: 174.37.13.66:8016

Turn On the Bit!

TechTalk podcastMónica Mistretta y miembros del staff de Netmedia comentan y discuten los temas más actuales y las novedades en gadgets y aplicaciones de consumo.

Miércoles 16 hrsViernes 12 hrs (repetición)

Disponible por iTunes

Byte podcastTecnología aplicada… a la vida. Podcast semanal sobre nuevas tecnologías, cultura digital e información relacio-nada. Con David Ochoa y La Canija Lagartija.

Viernes 14 hrsMartes 16 hrs (repetición)

Crimen DigitalPrograma conducido por Andrés Velázquez y Mario Juvera, con temas de cómpu-to forense, prevención y análisis de los delitos cibernéticos de México y el mundo, entre otros.

Lunes 16 hrs

:Enter:: podcastTecnología, gadgets, música, videojuegos, para geeks y aquellos que creen que no son geeks.

Jueves 16 hrs

Sabemos que no siempre tiene el tiempo para leer las últimas noticias sobre IT, seguridad, gadgets y demás temas tecnológicos que tanto le interesan. Por eso Netmedia le ofrece un canal de radio en línea para que escuche los contenidos más actuales de nuestros sitios en cápsulas de audio, podcats y la mejor música 24x7


Las empresas atacadas con el fin de sustraer información pierden anual-mente de uno a 53 millones de dólares, reveló el Instituto Ponemon en un estudio donde comparó la pérdida de información de 45 com-

pañías en Estados Unidos.Estos ataques afectan de manera exitosa a las empresas una vez por semana

y su costo podría ascender a $3.8 millones de dólares anualmente sumando gastos para la detección, investigación, contención y procedimientos de res-puesta a la brecha de información, según el estudio del Instituto Ponemon.

“El robo de información sigue siendo la más alta consecuencia de un ata-que y el tipo de información robada va desde la información de la gente hasta la propiedad intelectual y código fuente”, cita el documento a Larry Ponemon, CEO del Instituto.

El reporte indica que la mayoría de los ataques son virus, gusanos y troya-nos. Pero son los ataques web, los que utilizan códigos maliciosos y los ejecu-tados por los mismos empleados los más costos, pues acapararon 90% de los costos por brechas de información por organización anualmente. Un ataque basado en web costó $143,209 dólares y de código malicioso $124,083.

Las computadoras tipo botnet solo representan 8% de los ataques al año y las pérdidas económicas por este tipo de agresión ascienden a $1,627 dó-lares. No obstante, el Instituto estima que esta cifra es conservadora, pues podría ser más grande.

La fase económicamente más crítica es la detección y recuperación de la información pues en promedio tarda 14 días y tiene un costo de $17,696 dólares al día. En el caso de los ataques internos este proceso toma por lo menos 42 días en ser resuelto.

En Estados Unidos 69% de los robos de información son de Números de Seguridad Social, seguido por las tarjetas de crédito con 14%. Pero aun-que constituyeron tan bajo porcentaje del total de los robos de información, el número de registros de tarjetas de crédito robados constituyó 45% de los 328.1 millones registros comprometidos consignados en el estudio.

Las 45 empresas atacadas fueron elegidas de manera aleatoria y la mayo-ría no contaba con herramientas de seguridad de la información y de aten-ción de eventos (SIEM por sus siglas en inglés) por lo que las compañías no sabían de las amenazas, ni cuando fueron atacadas indica el estudio de Po-nemon. Sin embargo, aquellas que contaban con soluciones SIEM amorti-guaron hasta 24% el costo generado por la brecha, en comparación con las que no las tenían.

MÁS GADGETS Y MÁS VULNERABLESAl dolor de cabeza de los responsables de seguridad IT, que representan los cibercriminales, los códigos maliciosos y la torpeza o mal intención de sus empleados, se suman también la llegado de nuevos dispositivos móviles o gadgets, que cada vez son más comunes en los ambientes empresariales.

De acuerdo con un reciente estudio de la RSA cerca de 80% de los ejecutivos de seguridad de las empresas ven la influencia de los usua-rios en las decisiones del área IT, lo cual ha provocado que introduzcan sus propias netbook, laptop, teléfonos inteligentes y computadoras piza-rra como iPad.

Por otro lado, son ya 23% de los responsables de seguridad quienes ase-guran que la organización sufrió un “incidente serio” provocado por el uso de un dispositivo móvil de un empleado y la rampante popularidad de smartphones como Blackberry, iPhone y otras tecnologías del mercado de consumo todavía no impacta a las compañías como se espera que ocurra.

La encuesta indica que 76% de los oficiales de seguridad y de IT ven que los usuarios ejercen influencia en decisiones de compra de aplicaciones y de dispositivos móviles, sobre todo en cuanto a lo último en tecnologías de consumo se refiere.

Más de 60% de los encuestados dijeron recibir sugerencias de los usua-rios sobre el tipo de smartphones que deberían comprar para ellos y 20% dijo permitir que ellos mismos escojan.

En el caso de las netbook la cifra desciende a 52% en el caso de los que reciben retroalimentación de los usuarios y 50% en quienes dijeron consul-tarlos para la adquisición de computadoras tablet. Los usuarios ejercen me-nos influencia cuando se trata de compra de PC de escritorio y portátiles, pues apenas 35% de ellos opinan mientras que 47% de las empresas toman la decisión sin consulta.

Según el reporte de la RSA, aún no es muy común que las empresas per-mitan que sus empleados lleven sus propios equipos de cómputo y dis-positivos móviles, pero este grupo ya constituye una cuarta parte de los encuestados. Curiosamente, coincide con la cifra citada sobre incidentes de seguridad provocada por el uso de dichos dispositivos.

La mala noticia es que apenas 11% de los encuestados dijo estar muy confiado para hacerle frente a esta amenaza con el nivel de seguridad que actualmente tiene, al mismo tiempo que continúa dando acceso a más dis-positivos móviles y aplicaciones. ●

ACCESO

PAGAN EMPRESAS HASTA $3.8 MILLONES DE DÓLARES POR BRECHAS DE SEGURIDADPor Efrain Ocampo y Sergio López

Son los ataques web, los que utilizan códigos maliciosos y

los ejecutados por los mismos empleados los más costos,

pues acapararon 90% de los costos por brechas

C R M | B A S E S D E D A T O S | M E D I U M B U S I N E S S | B U S I N E S S P R O C E S S

C R M | B A S E S D E D A T O S | M E D I U M B U S I N E S S | B U S I N E S S P R O C E S S

Quitamos la paja por ti

Información a la medida para tu negocio

powered by:

CRMLas aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son más accesibles y fáciles de usar. Conózcalas.

Bases de DatosEl crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la información. Aquí le decimos cómo.

Business ProcessLas mejores prácticas se incorporan a las tecnologías de negocio a través de aplicaciones que automatizan los procesos empresariales y están a su alcance.

Medium BusinessSoluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.


Una guerra en la que nadie cree y de la cual pocos están enterados está por intensificarse. Pero no se trata de delincuentes armados hasta los dientes listos para robar un banco, ni terroristas en busca de atención mediática o venganza, ni tampoco de guerrilleros que han tomado la justicia por sus manos, hablamos del principal enemigo de las sociedades modernas y digitalizadas, los cibercriminales.

De acuerdo al estudio 2010 Data Breach Investigations Report, publicado por la firma de telecomunicaciones Verizon y con el apoyo del Servicio Secreto de Estados Unidos (SSUS) afirma que aunque las principales ciberamenazas provienen de factores externos, los cibercriminales han comenzado a aliarse con empleados o enemigos internos para incrementar las posibilidades de éxito en el robo de información.

Así, como reflejo de nuevas medidas de seguridad adoptadas por las empresas y un mejor trabajo a manos de las autoridades y policías cibernéticas de todo el mundo, los cibercriminales cada vez dependen menos de las vulnerabilidades en aplicaciones y software para el robo de información.

De acuerdo con los autores, el reporte recolectó información de más de 900 brechas de seguridad y cerca de 900 millones de archivos robados o comprometidos para ser analizados por expertos del operador Verizon y el Servicio Secreto.

La información reveló que 70% de las brechas de seguridad fueron generadas por “agentes externos” a la compañía primordialmente cibercriminales, 48% fue responsabilidad de elementos internos como empleados y, 11% fueron consecuencia de actos malintencionados o equivocaciones de socios de negocios.

En términos de datos comprometidos cerca del 98% fue generado por agentes externos, mientras que únicamente 3% de los archivos o registros robados fueron responsabilidad de los empleados de la compañía.

Aunque la mayoría de las brechas fueron generadas por agentes externos a la compañía, este rubro se contrajo nueve puntos porcentuales, al compararse con los resultados del año pasado.

Mientras que los incidentes o brechas de seguridad a manos de internos aumentaron más de 26% durante los últimos doce meses.

REPORTEDEL MES

LA BATALLA POR LA SEGURIDAD DE NUESTROS DATOSEmpresas, internautas y responsables de seguridad IT deben aprender a frenar una ola de nuevos ciberataques, con códigos maliciosos personalizados, delincuentes organizados, enemigos disfrazados de empleados y usuarios descuidados. La batalla por la información ya comenzó.

LOS CULPABLES DE DELITO

70% son provocados por agentes externos

48% causados por empleados

11% implican a socios de negocios

27% involucran a más de un actor

¿Quién está detrás de las brechas de seguridad?EL MIEDO NO TE DEJA DORMIR

Mal uso 48%

Hacking 40%

Malware 38%

Social 28%

Robo físico 15%

Errores 2%

Principales amenazas en las organizaciones


Según los autores, este cambio es reflejo de que los cibercriminales, al reconocer que pueden terminar tras las rejas por sus actos, han desarrollado un mecanismo para “cubrirse” las espaldas al tratar de buscar contactos o elementos internos que les faciliten el robo de información.

El mismo reporte reconoce que la captura y sentencia de Albert González, responsable del robo de más de 130 millones de número de tarjetas de crédito, posiblemente utilizó cómplices internos para borrar las huellas de su delito.

De esta forma los expertos de Verizon y el SSUS afirman que los criminales web ahora buscan “aliarse” con empleados de la compañía para que estos les den acceso al sistema o les entreguen sus contraseñas de entrada.

“El problema con esta tendencia es que las investigaciones, comúnmente encontrarán al empleado involocrado como único culpable del delito, pues rastrear al delincuente externo será prácticamente imposible”, cita el reporte.

NO TE HAGAS...De acuerdo con el reporte 2010 Data Breach Investigations Report de los ataques externos 24% corresponde a células criminales organizadas en internet, 21% son individuos no identificados, 2% antiguos empleados y 45% son atacantes desconocidos.

De los atacantes, 21% proviene o fue ubicado en Europa del Este, 19% está en Estados Unidos y 18% se localiza en Asía. El reporte estipula que aunque si es posible determinar el origen de cierto grupos criminales o delincuentes web, en el 31% de los casos no es posible detectar su ubicación física.

El reporte también da un vistazo a los tipos de empleados más “peligrosos” para las organizaciones, pues del 48% de las brechas detectadas por agentes internos, 51% fueron a manos de empleados regulares, 12% personal finanzas, 12% fueron administradores de redes o IT y 7% eran trabajadores con niveles ejecutivos o de alta gerencia.

“Contrario al pensamiento común, de que el empleado provoca brechas de seguridad o son responsables de la fuga de datos por equivocación, el análisis demuestra que en 90% de los casos el trabajador actuó de forma deliberada, 6% fue por un uso inapropiado de las herramientas y únicamente 4% fue a consecuencia de un accidente”, cita el reporte.

MALWARE: EL EXCALIBUR DEL CIBERCRIMINAL

Si en la guerra el país ganador es el que tiene el mejor armamento y estrategia, en la batalla por los datos digitales, el dueño del mejor malware será el poseedor de la mayor cantidad de información.

El reporte de Verizon estima que las técnicas de hackeo son la principal amenaza de las compañías, pues son responsables del 40% de las brechas de seguridad y están detrás del 96% de los casos de información robada. Seguidos del malware con 38% y la ingeniería social con 28%.

En el caso de las técnicas de hackeo, el uso de contraseñas robadas (38%), comandos de control remoto (29%) y los ataques de inyección SQL (25%) fueron los principales vectores de ataque.

“A través de ataques de phishing simples y de Inyección de SQL los criminales tiene un rango de éxito superior al de cualquier otra técnica (de dos a uno), para acceder a un gran cantidad de información o infectar los equipos con nuevo malware”, cita el reporte.

Los expertos del estudio afirman, que a través de parches sencillos y estrategias en torno al cuidado y uso de las contraseñas de acceso muchas de las brechas en seguridad pueden ser controladas.

“Hay una lección importante en todo esto. Sí, nuestros adversarios tienen cada vez más habilidades y recursos, pero el estudio pone en claro que sí existen las herramientas y conocimientos necesarios para hacer un buen trabajo. El reto es encontrar buenas herramientas y métodos para proteger la información, que no se vuelvan obsoletos con el tiempo, porque la evidencia demuestra que es en esos momentos cuando nuestros enemigos toman mayor ventaja de nosotros”, subraya el reporte.

EL ROSTRO DEL DELITOCómo se conforman los atacantes externos

45% se desconoce completamente

24% pertenecen al crimen organizado 21% individuos

3% sitios externos2% Grupos de activistas

2% Exempleados1% Otra organización

1% Competidores1% Clientes

“De forma increíble 97% de los más de 140 millones de archivos robados en 2009, fueron comprometidos con el uso de códigos maliciosos personalizados

para la víctima”, 2010 Data Breach Investigations Report


Por siglos la humanidad ha enfrentado

la adopción y aceptación de cambios

tecnológicos inevitables. Algunos de

los más recientes: las computadoras

personales, los teléfonos móviles y el

Internet. Ahora, la mezcla de estos tres

han dado nacimiento a un fenómeno que

ningún CIO o CISO, por más que desee,

podrá detener: el uso y masificación de las

redes sociales en los negocios.

Por Carlos Fernández de Lara [email protected]

Ya no es cuestión de si vale la pena o no implementarlas. Ya no depende de si representan un beneficio para los empleados o son una amenaza a la productividad. Ya no se trata de bloquear, negar o filtrar su uso. Hoy, las redes sociales han dejado claro

que, le pese a quien le pese, operarán dentro de la mayoría de los am-bientes empresariales. Es decir, se trata de un cómo y cuándo, más que de un quizás o un tal vez.

Así, por primera vez en la historia de los departamentos de IT el uso de una tecnología, programa o aplicación no depende del sí o no del CIO o CISO de esa organización. Sino que se trata de una decisión del negocio. En la que muchas veces la opinión de los, alguna vez llamados “gurús de IT”, ni siquiera es tomada en cuenta. La pregunta para ellos entonces es: ¿al menos están enterados? y de estarlo ¿están listos para ju-gar un rol central en la masificación de las IT?

Y aunque eso de la masificación de las IT suene a otro tema totalmen-te distinto. La realidad es que dentro de ese fenómeno, mejor conocido como la “consumerización” de IT, son las redes sociales las que juegan como punta de lanza, pues a diferencia de muchas otras tecnologías, cu-yos orígenes se remontan a desarrollos militares o empresariales, estas surgen de una comunidad para el uso de la sociedad.

Es decir, son los negocios y no los usuarios los que deben adoptarlas, no porque quieran sino porque las necesitan. Algo que sin duda ya co-menzó a suceder, pues de acuerdo con un análisis de Gartner para 2012 50% de las empresas de todo el mundo utilizarán “activamente” canales de comunicación como microblogging (Twitter), social web interaction (Facebook) o video streaming (YouTube).

La misma consultora estipula, que para 2014 las redes sociales rem-plazarán al correo electrónico y a la mensajería instantánea como los principales canales de comunicación interpersonal en el web, incluso entre usuarios empresariales.

Una realidad que no escapa a México, pues de acuerdo a la encues-ta Business Tracker de Regus, 32% de las compañías en el país ya han “apartado” una parte de su presupuesto de mercadotecnia, exclusiva-mente para redes sociales, 50% ha tenido éxito al usar estos canales para atraer nuevos clientes y 52% afirmó que el principal uso de negocios de estos medios es la posibilidad de gestionar la comunicación y conexión con diversos grupos de clientes.

“Es un tema que está en la mesa de discusión y los consejos directi-vos de todos los negocios alrededor del mundo, y la realidad es que no se trata de un asunto que recaiga en IT, sino que es una decisión de es-trategia o proyecto para el negocio. Muchas veces tomada por otros de-partamentos”, apunta Rafael Pereda, senior manager de la práctica de Seguridad de Accenture.

Mas aún, pues como comparte Rafael García, gerente regional de Pro-ducto para América Latina de Symantec, ante la masificación de la tec-nología entre las sociedad de todo el mundo, los responsables de IT han perdido la capacidad para limitar o marcar la línea entre la vida perso-nal y la laboral.

“Es imposible tratar de eliminar la dualidad que hoy existe entre el trabajo y la vida personal. Como empresa ya no es posible separar al tra-bajador del individuo. Ante este escenario los responsables de seguridad sólo tienen dos opciones: o cierran todas las ventanas de comunicación y con ello también eliminan las nuevas oportunidades para el negocio, o aceptan estas plataformas web y tratan de entender su impacto, riesgos y beneficios”, cita García de Symantec.

SOCIAL MEDIA: ¿ENEMIGO O ALIADO DEL NEGOCIO?A principios de marzo de 2010 medios de comunicación de todo el mundo reportaron unos de los ejemplos más claros del impacto y alcan-ce de las redes sociales, cuando un solado del ejercito israelí escribió en su muro de Facebook “El miércoles limpiamos Qatanna, y el jueves, pri-mero Dios, nos vamos a casa”.

El mensaje, además de los buenos deseos del solado por regresar pronto a casa, contenía detalles sobre su unidad militar, la fecha y loca-ción exacta de la operación en Qatanna. Inofensivo podrían pensar mu-chos usuarios de esta red, que hasta comparten su desayuno matutino y cada minuto de su quehacer diario.

Sin embargo, para desfortuna del israelita en cuestión de segundos el comentario fue visualizado por decenas de sus “amigos”, muchos de ellos también soldados, quienes dieron aviso a sus superiores acerca de la información compartida en la red. Bueno o malo una actualización en Facebook culminó en la cancelación de un ataque militar, algo que muchas veces ni siquiera tratados u organismos internacionales han lo-grado detener.

Pero el soldado israelita no estuvo solo en su odisea social, pues ese mismo mes el instituto de seguridad SANS y otros medios de comunica-ción reportaron como una banda de phishers comprometieron la cuen-ta de Facebook de un empleado de una de las instituciones financieras más grandes de Estados Unidos.

Con la cuenta infectada, los atacantes divulgaban mensajes sobre el perfil del empleado que invitaban a sus “amigos” a observar las fotos de la última reunión empresarial. Imágenes que en realidad albergan un programa keylogger, que les permitió robar contrase-ñas de acceso y obtener control sobre dos servidores empresariales, con el único objetivo de robar el activo más valioso de la firma, su información.

Que no lo podamos controlar no significa que no podamos actuar. Nuestros expertos comparten cinco consejos para dar inicio a una estrategia de redes sociales seguras.

5. Antes de decir qué va a proteger analice, clasifique y valore su información. De nada sirve prometer seguridad cuando ni siquiera sabe qué es lo quiere o debe asegurar ni cómo o quiénes divulgan o acceden a esos datos o aplicaciones con un nivel de riesgo o con contenido sensible.

4. Con los datos clasificados genere políticas de uso, alrededor de cada plataforma social. Cómo, quiénes, desde dónde y cuándo acceden a los perfiles. NO deje todo en el papel aprenda a ejecutar las políticas.

3. Si no va a bloquear, tampoco sancione. Grandes compañías han demostrado que la mejor forma de educar sobre el uso seguro de redes sociales es enseñarles a los empleados los riesgos que enfrentan, más que como empleados, como usuarios de estas plataformas. Si lo entienden en su vida personal lo ejecutarán para el negocio.

2. Aunque parece imposible controlar algo que no te pertenece, diversas firmas de seguridad cuentan con sistemas de análisis de información en tiempo real, que tienen funciones predeterminadas por aplicación o tiempos. OjO Pregunte a su proveedor el alcance de sus sistemas de protección actuales antes de invertir en tecnología.

1. Sea transparente con los usuarios, no deje nada oculto o sin avisar. Si necesita saber qué están “posteando” los empleados en sus perfiles sociales, informales que los va a seguir o agregar. Para evitar fugas de información en redes sociales no es necesario borrar la línea entre la vida privada y la laboral.

TOP 5: SOCIAL NO ES IGUAL A INSEGURO


Ambos errores fueron retomados por el Ejército militar de Estados Unidos como ejemplos sobre los riesgos que implica el uso de las re-des sociales y herramientas del Web 2.0 para empresas, gobiernos y ciudadanos.

“Parece difícil de creer, pero actualmente los correos electrónicos representan un porcentaje bajo en el número de ataques cibernéticos. La mayoría de los códigos maliciosos proviene del web, siendo las re-des sociales la punta de lanza de este vector de ataque”, cita el docu-mento del National Security Institute (NSI), liberado por el ejército.

En ese sentido, Pavel Orozco ingeniero senior de Websense para México, Centro América y el Caribe comparte que hoy 35% de los ata-ques son generados desde el web, 25% provienen de correos electróni-cos, seguidos de vulnerabilidades y ataques por dispositivos USB.

Y lo cierto es, que no solo las empresas, sino también los cibercrimi-nales han entendido que las redes sociales son los nuevos espacios de convivencia para los consumidores e internautas alrededor el mundo.

Un estudio de la firma de seguridad Sophos afirma que el número de compañías que sufrieron ataques, infecciones o robo de información a través de las redes sociales creció 70% entre 2008 y 2009.

El mismo reporte subraya que 57% de los usuarios, de este tipo de si-tios, recibieron mensajes basura, mientras que 36% de los miembros de estas redes fueron infectados con alguna de las más de 50,000 variantes de códigos maliciosos detectados por la compañía en 2009.

Gusanos como Koobface, con más de 147 Centros de Comando y que, en su momento, llegó a infectar más 20,000 IPs únicas ya fueron creados en exclusiva para propagarse dentro de plataformas como Face-book, Twitter, LinkedIn y MySpace.

EN PLENA TORMENTA Y SIN PARAGUASLo que se ve no se preguntan, dicen comúnmente ante la obviedad de un asunto. El tema, así, no es verificar si las redes sociales están bajo el visor de los cibercriminales o si podrían actuar como posibles espacios para la fuga o robo de información. La pregunta está en si los departa-mentos de seguridad saben cómo proteger algo que no les pertenece.

“El reto para los CISOs es que, por primera vez, el problema no está en casa, no se trata de una aplicación instalada en un servidor o una vulnerabilidad en su red. Se trata de errores o riesgos en plataformas en la nube de internet a cientos, quizá miles, de kilómetros de distan-cia de su control”, dice Leonardo Castro, director general de Trend Mi-cro México.

Pereda de Accenture, por su parte, agrega que además de la falta de control sobre estos espacios virtuales, la posibilidad que Facebook, Twitter y otras redes sociales han entregado para que desarrolladores de

todo el mundo creen aplicaciones o servicios en estas plataformas com-plica aún más la capacidad de protección. Esto, ante la imposibilidad de saber si la aplicación es segura y quién la valida.

“Hoy, existen más de 500 millones de usuarios en Facebook y cerca de un millón de desarrolladores creando aplicaciones sólo para esta red social, ese flujo en la información generan un descontrol y convierte a los datos en activos apetitosos para los criminales”, dice Pereda.

Ante este mar de riesgos se suma la incapacidad de las compañías para desarrollar o generar políticas de seguridad o uso alrededor de estas plataformas. Un encuesta reciente de Symantec titulada Social Networ-king at Work afirma, que si bien 53% de los empleados usan estos me-dios por motivos empresariales, 42% de las compañías carecen de una política o sistema de uso alrededor de los mismas.

Ante esta realidad, comparte García de Symantec, sólo existe una salida para los responsables de seguridad IT y los CIOs: aprender a convivir, educar y definir los alcances y riesgos en el uso de las redes sociales. O de lo contrario correr el riesgo de desaparecer del escena-rio de decisiones en esta materia, porque en el siglo XXI pocos serán los negocios que decidan operar si una estrategia de Social Media.

“En la actualidad IT, o se reinventa como parte del negocio o des-aparecen. Bloquear las redes sociales no es el camino indicado porque se está bloqueando un posible habilitador para el negocio. Si mi CIO o CISO me dice que tiene que bloquear las redes sociales para tener segu-ridad no lo utilizo como CIO”, dice Castro de Trend Micro.

De seguir el camino del bloqueo a todo, los CISOs podrían poner en riesgo la capacidad de la compañía para atraer capital humano, joven y de alto nivel, pues la encuesta de Symantec subraya que para 32% de los entrevistados el hecho de que una empresa permita o niegue el uso de redes sociales impactaría “mucho o poco” su decisión de traba-jar para ellos.

“Es irónico como muchas compañías tienen sitios web espectacula-res y en todo la página ves anuncios de ‘síguenos en Twitter, Facebook, YouTube’, y cuando haces un análisis interno descubres que sus emplea-dos tienen negado todo acceso a estas plataformas. La gran mayoría de las empresas no están preparadas para usar y vivir en el ambiente del web 2.0”, dice Orozco de Websense.

Así, algo es innegable. Con el crecimiento de las redes sociales en los negocios y la inminente explosión de los servicios en la nube, los teléfonos inteligentes y nuevos dispositivos móviles, el reloj para la transformación de IT, como habilitador del negocio, inicia su cuen-ta regresiva. Entonces ¿Está listo para adoptar su papel de conseje-ro en materia de innovación y seguridad para su compañía, o sigue creyendo que sólo usted y su equipo saben de tecnología? ●

Si en el mundo real seguimos reglas de convivencia para no afectar nuestra imagen o persona, entonces ¿por qué las hemos olvidado para nuestras vidas virtuales? Aquí siete puntos que no debe pasar por alto para la socialización en línea.

abusarNo mezcle

evite las riñasValore

Sea escéptico

políticas de privacidad

piense

EL MENOS COMÚN DE LOS SENTIDOS: EL SENTIDO COMÚN



El cómputo en la nube es una plataforma de entrega flexible, eco-nómica y comprobada para dar servicios informáticos a empre-sas y consumidores por Internet. Los recursos de la nube pueden

implementarse con cierta rapidez y con el aprovisionamiento de todos los procesos, aplicaciones y servicios “bajo demanda”, sin importar la ubicación o el dispositivo del usuario.

Actualmente se utilizan modelos de nube privada y pública. Las pri-meras pertenecen y son utilizadas por una sola organización. Ofrecen casi los mismos beneficios que las nubes públicas, pero dan mayor fle-xibilidad y control a la empresa.

Muchas organizaciones adoptan ambos modelos bajo el concepto de nubes híbridas. Estos híbridos están diseñados para satisfacer re-quisitos específicos de negocio y tecnología.

Pero para beneficiarse plenamente de la computación en nube, una organización debe asegurarse de que los datos, las aplicaciones y los sistemas estén correctamente asegurados de modo que la infraestruc-tura de la nube no exponga a la empresa a riesgos. A continuación un breve resumen con los cincos requisitos de seguridad más importan-tes a cubrir para el cómputo en la nube de clase empresarial.

GOBERNABILIDAD DE SEGURIDAD, ADMINISTRACIÓN DE RIESGOS Y CUMPLIMIENTO REGULATORIOLas organizaciones requieren visibilidad de la seguridad de su nube. Esto incluye la visibilidad de base amplia de los cambios, la gestión de incidentes e imágenes, así como el informe de incidentes para el regis-tro específico de tenants y datos de auditoría.

Las leyes europeas de privacidad y otras normativas exigen capaci-dades integrales de auditoría. Como las nubes privadas son una “caja negra” para el usuario, los dueños de estas redes tal vez no tengan la capacidad de responder al cumplimiento. Una red privada o híbrida, por otro lado, puede configurarse para satisfacer estos requisitos.

PERSONAS E IDENTIDADEs vital contar con la seguridad de que los usuarios autorizados y la ca-dena de suministro tengan acceso a los datos y herramientas que ne-cesitan, al tiempo que bloquean los accesos no autorizados.

Los ambientes de nube en general dan soporte a una gran comuni-dad de usuarios muy diversa, de modo que estos controles son aún más críticos. Además, el cómputo en la nube introducen un nuevo nivel de usuarios privilegiados: administradores que trabajan para el proveedor. El monitoreo de usuarios con privilegios, incluso las actividades de re-gistro, se convierten en un requisito importante. Este monitoreo debe incluir tanto monitoreo físico como verificación de antecedentes.

La federación de identidades y capacidades de incorporación de nuevos miembros (on-boarding) deben estar disponibles para coordi-nar la autenticación y autorización con los sistemas de back-end o de terceros. Es preciso tener una capacidad basada en estándares, de au-tenticación única para simplificar el ingreso de los usuarios finales.

DATOS E INFORMACIÓNLa mayoría de las organizaciones cita la protección de los datos como su problema de seguridad más importante. Las preocupaciones típi-cas van desde la forma en que se almacenan y accede a los datos, los requisitos de cumplimiento regulatorio y auditoría, hasta las cuestio-nes relativas al costo de las violaciones de seguridad, de notificación y daño al valor de la marca. En ese sentido la administración de claves de encriptado de datos en tránsito a la nube o que descansan en el centro de cómputo del provee-dor de servicios son críticos para proteger la privacidad de los mismos y mantener los niveles de cumplimiento regulatorio. La encripción de medios móviles y la capacidad de compartir en forma segura esas cla-ves de encripción entre el proveedor del servicio de nube y el consumi-dor constituyen una necesidad importante y a menudo desatendida.

APLICACIÓN Y PROCESOEn general, los clientes consideran los requisitos de seguridad de las aplicaciones de nube en términos de seguridad de imágenes. Todos los requisitos típicos de seguridad de aplicaciones siguen aplicándo-se en la nube, pero también se trasladan a las imágenes que hospedan esas aplicaciones.

El proveedor de la nube debe seguir y respaldar un proceso de desa-rrollo seguro. La suspensión y destrucción de imágenes debe realizar-se con cuidado, asegurando de que los datos sensibles contenidos en esas imágenes no estén expuestos.

RED, SERVIDOR Y PUNTOS EXTREMOSEn el ambiente de nube compartida, los clientes desean asegurarse de que todos los dominios ocupados se aíslen adecuadamente y que no exista posibilidad de que se filtren datos o transacciones de un domi-nio a otro. Para ello, es necesario la capacidad de configurar dominios virtuales confiables o zonas de seguridad basadas en políticas. En resumen, la computación en nube presenta una oportunidad para mejorar la seguridad de las empresas. Sus características, como la es-tandarización, automatización y mayor visibilidad de la infraestructu-ra, pueden elevar los niveles de seguridad. No hay que olvidar que el acceso a información en forma confiable, flexible y económica es una cuestión clave que hoy muchas organizaciones enfrentan. ●

SEGURIDAD INTEGRAL EN CLOUD COMPUTING

EL INVITADO

Por Gerardo Kató, gerente y estratega de Cloud Computing en IBM México


Por Adrián Palma

BUSINESS PEOPLEfor

Segunda de 2 partes

Para que sea relevante y exitosa, la función de seguridad de la información debe ser vista y tratada como una función de ne-gocios. En esencia la seguridad se debiera convertir en otra área de negocio de la organización o como una función sus-

tancial en organizaciones sin fines de lucro. Como con cualquier área de negocio hay componentes de planeación, ventas, marketing, pro-ducción, entrega, económicos y de control.

La misión principal de la función de seguridad es garantizar la Con-fidencialidad, Integridad y Disponibilidad de la información. Sin em-bargo, la misión debe ser completada dentro del contexto de seguridad como un facilitador para el desarrollo y entrega de los productos y servicios de la organización. La seguridad debe ser vista como el área donde uno busca respuestas acerca de cómo avanzar con la seguridad de un producto nuevo o servicio y asegurar que el compromiso de con-fianza en la organización está siendo logrado con sus clientes y socios de negocio. Esto, debe hacerse a través de una función de seguridad eficaz con un enfoque de manejo de riesgos para el desarrollo de solu-ciones alternativas.

ESTRUCTURA ORGANIZACIONALEs importante como primer paso que se distingan perfectamente las funciones de seguridad de la información de la gestión de actividades o tareas netamente operativas de seguridad que se necesitan para ga-rantizar que funcionen adecuadamente las aplicaciones, las bases de datos, la red, los sistemas operativos etc. Estas actividades o tareas son responsabilidades del área de IT (custodio), aunque en la mayoría de los casos estas son tareas de la función de seguridad. El papel de la se-guridad de la organización será la de establecer, supervisar y ayudar a aplicar una normatividad (Políticas, Estándares, Guías, Baselines y pro-cedimientos) dentro del marco de referencia de roles y responsabilida-des desde la óptica de seguridad de las diversas funciones y áreas de la organización. Si, como sucede la mayoría de las veces veces, la función de la seguridad también es responsable de la administración de la se-guridad, entonces la parte normativa debe ser separada de la función operativa. Aunque, como comento, no es la mejor alternativa pero en dichas circunstancias esto podría aligerar esta revoltura de roles y res-ponsabilidades.

CULTURALa primera tarea en la elaboración o revisión de una función de seguri-dad es evaluar y comprender la cultura de la organización. La identidad de una organización es rara vez definida, pero es crucial cuando la nor-matividad se desarrolla, implementa, prueba y práctica. La Seguridad

de la información es mucho más que un agente de cambio, actividades, procesos, cambios y tecnología. De esta manera, la cultura de la orga-nización necesita ser considerada y direccionada. Esto es muy difícil, la cultura dentro de una empresa consta de los supuestos, valores, com-portamientos normativos, y expectativas. ¿Tiene la organización una cultura, donde las personas trabajan en equipo para lograr objetivos comunes? ¿O es una fortaleza de la cultura, donde todo el mundo es “el enemigo”? Son funciones de negocio y/o técnicas descentralizadas y autónomas, o son funciones centralizadas para garantizar con mayor efectividad el éxito?

La actitud hacia el riesgo es sin duda una cuestión cultural. Una or-ganización con una aversión al riesgo tendrá una fuerte tendencia a pe-garse a la “carta de la ley” para aplicar su seguridad y afectará de manera significativa el propósito primordial de esta, que es vivir en la organiza-ción con un nivel de riesgo aceptable.

Aprender a lidiar con la cultura es un elemento esencial de una fun-ción de seguridad exitosa. Otra clave cultural tiene que ver con el cómo una compañía interpreta y enfoca los aspectos legales, marcos regula-torios y la función de auditoría. Una vez que los riesgos legales, regu-latorios y el core del negocio son entendidos es necesario plantear y contestar algunas preguntas:

organización?

seguridad?-

nes con respecto a la seguridad de información?

o una combinación de las dos?-

ma de la empresa?-

ciones de negocios de la organización?

al presupuesto?-

ciones de control, como la auditoría, el compliance, manejo de riesgos, y la seguridad física?

-cen al CISO, y cuál es la decisión de los problemas a resolver?

No hay una estructura única. Existen diferencias significativas en

cómo las organizaciones y la función se gestionan. Sin embargo, un

COMO UNA FUNCIÓN EMPRESARIALLA SEGURIDAD DE LA INFORMACIÓN

Adrián Palma es licenciado en Informática cuenta con más de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integrida-ta, tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, y de la maestría de segu-ridad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. [email protected]


factor común es que los procesos de negocio como los presupuestos, mercadeo / ventas, planeación, construcción, producción y explota-ción son parte del tratamiento de la seguridad como una función de negocios.

UBICACIÓN DE LA FUNCIÓNHistóricamente, las áreas de seguridad o mejor dicho los encargados de seguridad, (muchas veces ni recursos tienen) han reportado un ni-vel abajo dentro del organigrama de IT. Una práctica más reciente es la de informar al jefe de la Dirección de Tecnología (CTO), que gestiona la infraestructura tecnológica. Otro atributo de un enfoque histórico es tener más de una área de seguridad sin necesidad de que ninguna se responsabilice de la función a nivel organizacional esto ocurre algunas veces en los grandes corporativos, y cierta forma hace sentido, ya que la tecnología en sí misma es fragmentada.

En algunas organizaciones hoy día, la función de seguridad de la in-formación a menudo informa a un vicepresidente responsable de IT o de las operaciones de una organización.

Otro enfoque es que la función de seguridad de la información del área de IT, opere ya sea reportando directamente a la alta dirección o a otra área especializada de la organización, como podría ser la de ad-ministración de riesgos, planeación y estrategia, seguridad física, a un comité de seguridad y en algunos casos extremos al área legal o de au-ditoría interna.

MODIFICACIÓN DE ACTIVIDADES EN LA FUNCIÓN DE SEGURIDADEn caso de que la organización no parezca estar funcionando de mane-ra efectiva, se pueden realizar algunas actividades para poder mejorar la situación actual de la función de seguridad:

Consolidar funciones diferentes. Si la función es fragmentada debe ser un objetivo al menos consolidar instancias múltiples basadas solamente en la necesidad de eficiencia y reducción de costos.Separar la parte normativa de los aspectos operativos. Como se señaló anteriormente, se necesitan diferentes habilidades para manejar la parte normativa y conceptual vs a una función operati-va. La separación también puede ayudar con algunas de las cues-tiones “políticas” que deben ser dirigidas.Benchmarking. Una pregunta común que se debe de hacer el en-

cargado de seguridad es la de cómo esta mi organización en mate-ria de seguridad con respecto a mis peers. Teniendo una respuesta precisa mejorará significativamente las oportunidades para los cambios en la organización así como el desarrollo e implementa-ción de la normatividad. Contratar a un consultor. Tener una opinión de una persona creíble y reconocida fuera de la organización muchas veces ayuda a desarrollar e implementar un plan de acción eficaz para la fun-ción de seguridad. Esto es especialmente verdadero si la opinión del consultor es el resultado de una evaluación de la viabilidad del programa de la función de seguridad de la información.

La estructura organizacional y las responsabilidades de la función de seguridad deben adaptarse a la cultura de la organización en gene-ral. El nivel de reporte necesita ser lo suficientemente alto para influir en el cambio y no ser indebidamente limitado por otras funciones de la organización.

Si la organización de la seguridad de la información es centralizada, descentralizada, o una combinación de las dos, es un factor de cultura organizacional. Y puede cambiar basándose en la evolución de la fun-ción, generalmente hablando tiende a estar a niveles más grandes de centralización en las etapas más tempranas del ciclo de vida donde se está desarrollando el programa.

En cualquier organización ya sea comercial, de gobierno o sin fines de lucro, para que las funciones de negocio sean exitosas deben ser li-deradas y guiadas por una persona que tenga la difícil y compleja ha-bilidad de comunicarse y colaborar con otros ejecutivos, directores, gerentes y personal de la organización.

El líder debe desarrollar un nivel de credibilidad en sus perspectivas, recomendaciones y sus decisiones. Uno de los objetivos del programa de seguridad es el desarrollo de una apreciación de la necesidad y la responsabilidad de la seguridad en todos los niveles de la organización, desde el más alto nivel hasta el más bajo. Todos los niveles dentro de la organización deben tener una seguridad adecuada o un nivel de riesgo aceptable, ya que es “propiedad” de todos y no sólo de la función de seguridad. El logro de este objetivo es el core de la venta y marketing de la seguridad de la información. Un programa exitoso debe de tener a la gente adecuada para que la función de la seguridad de la información sea eficaz, que cumpla con los requerimientos y necesidades en materia de protección para la organización. ●

COMO UNA FUNCIÓN EMPRESARIALLA SEGURIDAD DE LA INFORMACIÓN


Mientras se va acabando el verano, el profesorado y los estudian-tes dirigen la atención a la planificación académica. Antes, esto se era una tarea sumamente pesada, pues el profesorado tuvo

que desarrollar la mayor parte de sus materiales desde cero. Ahora, al contrario, en vez de solamente unos cuantos materiales a los que se les puede echar mano para planificar un curso sobre la seguridad y la priva-cidad, existen numerosos ejemplares de cronogramas de estudios, libros de texto, y otros materiales de apoyo. La pregunta es, entonces: ¿dón-de se encuentran? Para todos los profesionales académicos que están allí, ocupados con los preparativos de sus clases y los estudiantes que están a punto de reunirse con ellos, les dedicamos a ustedes este artículo con la ayuda de los Centros de Excelencia en la Educación en el Aseguramien-to Informático y con la esperanza de que alivie un poco el paso frenéti-co de los preparativos.

ROMPEHIELOS PARA LA SALA DE CLASESEn el mundo académico, igual que con el mercadeo, se quedan gra-badas las primeras impresiones. Un buen rompehielos para el pri-mer día abre el paso para establecer el marco para una experiencia positiva de aprendizaje. He aquí algunas sugerencias para facilitar la transición desde el verano a la sala de clases:

usando los principios de la seguridad o de la privacidad asocia-dos con la temática de la clase. Una clase que busque enfocarse en la privacidad puede considerar las compras durante un viaje de verano con base en el uso de las tarjetas de crédito —¿qué pueden indicar los archivos de la empresa de tarjeta de crédito sobre las preferencias personales?—.

sus propios sistemas, en busca de programas informáticos es-

con cautela porque un exceso de entusiasmo puede llevar a los estudiantes a analizar recursos que no tienen o a poner un re-

que ciertos piratas en las charlas por relevo en Internet (cono-cidas por sus siglas en inglés como “IRC”) han tomado “presta-da” la computadora de un compañero para llamarles la atención a los estudiantes.

puedan sobre sí mismos, sobre sus compañeros de clase, o de un voluntario desconocido en el Internet, provistos solamente

clase en la privacidad, si se conforma a las directrices universi--

co que escoja.

La clave para un rompehielos exitoso es redirigir la atención de los estudiantes del verano a la clase, a la vez que se individualiza el

tema, estableciendo de esta forma un modo de pensamiento positi--

do un precedente para la resolución interactiva de problemas. Estos escenarios pueden utilizarse a lo largo del semestre de muchas for-mas, por ejemplo, para distinguir entre lo que puede ser posible o deseable (la política), en comparación con la experiencia vivida de lo que es posible (mecanismos para hacer cumplir las políticas).

--

venga (algo que sería de beneficio para muchos estudiantes en la tecnología). Por fin, los estilos modernos de aprendizaje recalcan lo

de clases: muchos tienen que entender el significado de un concep-to antes de poder hacer buen uso de ese tema.

EFECTO DE POLÍTICAS UNIVERSITARIAS SOBRE LOS MECANISMOS EN LA SALA DE CLASES

prácticas para los encargados de impartir clases en la seguridad, --

otros lugares han hablado de detalles específicos de los ejercicios en los laboratorios de computadoras. Los acontecimientos recien-tes en los medios de comunicación, que varían desde las conversa-ciones sobre las prácticas individualizadas de la seguridad, hasta

deben ser prueba convincente de que la preparación es necesa-ria para la atención externa. De acuerdo a ese espíritu, nos permi-timos la libertad de hacer sugerencias sobre las mejores prácticas para los pedagogos en la seguridad:

-blar con esa persona, llamándola por su primer nombre, sobre todo si resulta que los experimentos autónomos en la sala de clases en realidad no son tan autónomos. Los administradores de tecnología informática en las sedes universitarias también

-versitarias para mantener un uso apropiado de las computado-

mundo real con valor pedagógico que sus estudiantes podrían realizar.

--

completa en nosotros con respecto a este punto.

-versidades, es obligatorio un rastro riguroso de comprobantes

DE VUELTA A LA ESCUELAOPINION´

Por Matt Bishop y Deborah A. Frincke


documentales que tienen que rellenarse con mucho tiempo de anticipación. Y a veces un comité tiene que repasar la solicitud y dar su visto bueno. Nuestra recomendación es la siguiente: no importa que se haya montado una red de miel (Honeypott) o que esté husmeando los datos de red por medio de un esca-nógrafo de red o las latas de papas fritas como parte de los ex-perimentos relacionados con la seguridad inalámbrica, asegure que sus actividades cumplen con los criterios universitarios es-tablecidos para sujetos humanos. Considere que los formula-rios que habrá que rellenar constituyen otro ejercicio más para la clase y aprovéchese de esa oportunidad para hablar de la se-guridad, la privacidad, y la ética, temas que quedan plasmados en los documentos de cumplimiento obligatorio para todos los estudiantes.

práctica, sobre todo cuando tienen que ver con las infraes-tructuras críticas, la ingeniería social, o la recolección de datos personales. Hace un tiempo, un equipo estudiantil salió para evaluar de forma visual su sistema local de represas y ferroca-rriles en busca de vulnerabilidades. Los estudiantes pasaron un rato bastante desagradable, cuando fueron interrogados por las autoridades judiciales de la localidad, como resultado de una

-mendamos que usted hable de tales excursiones por adelanta-do con las autoridades universitarias—a quienes conoce usted por primer nombre ahora, ¿verdad que sí?—para asegurar que sus ideas son completamente aceptables, que usted ha orien-tado a sus estudiantes bien, y que usted ha entregado una des-cripción de esa tarea a la cátedra del departamento o al decano en caso de que algo salga mal cuando usted no se encuentre.

-to e ético”. La elaboración de una de esas políticas puede llegar a ser ejercicio valioso por sí solo.

Es indudable que estos preparativos pueden ser engorrosos—us-ted nunca tenía necesidad de ellos antes, y está seguro de que no los necesitará en el futuro, así que todo lo que venimos diciendo es

-to” del que ha oído hablar antes?

CÓDIGOS DE CONDUCTALa introducción del curso normalmente incluye advertencias sobre las consecuencias de la conducta no profesional o ilícita. Tal con-ducta prohibida varía desde el plagio a la contravención de las polí-ticas sobre el uso debido de las computadoras, o hasta otros códigos universitarios de conducta.

Con respecto a la creatividad, se puede aprovechar de estos te-

plagio, una cuestión de creciente preocupación entre los pedago-gos. Hasta que sea posible que los estudiantes que tienen un enten-dimiento general de los principios básicos del tema no sepan cómo enfrentarse con los casos más peliagudos, tales como reproducir la citación de un autor en el trabajo de otro que no sea el autor mismo, con el resultado que ellos necesitarán mayor información. Existen técnicas fáciles para comunicar esa información sin restarle valor al contenido de la materia que se enseña en clase.

--

rrectas de ese trabajo. Obligue a los estudiantes a revisarlas, de tal forma que tienen que repasar el trabajo por lo menos some-ramente para encontrar los comentarios citados. Hacer que las citaciones tengan que ver con una definición que usted quiere recalcar agrega aún más valor.

sus propios ejemplos de citaciones fáciles y más difíciles con base en las citaciones previas.

Puede que usted desee retomar el tema desde otros ángulos:

a una localidad fuera del sitio de la clase. -

mas informáticos maliciosos, tal como se relaciona con la iden-tificación del plagio.

escritos finales, unos para otros, y a calificar a los estudiantes en sus actuaciones, tanto como de redactor, así como de autor.

-ginal (preparado como si el autor del mismo fuera a entregarlo a una revista o boletín profesional para la publicación), y prestar ayuda al autor con la corrección de los errores, si las hay, antes de que el trabajo sea entregado para el repaso final. Existen mu-chas otras formas para entablar conversaciones sobre el plagio; aquí enumeramos solamente algunas que los infrascritos auto-res y los líderes en otros centros de excelencia han usado con éxito en el pasado.

ORGANIZAR A LOS CONFERENCISTAS DE INVITADOLes es grato a los estudiantes ver un cambio de cara detrás del atril

beneficio los varios modelos de actuación profesional a todo nivel educativo. El aspecto negativo tiene que ver con los altos gastos in-curridos para el pasaje por avión y el alojamiento, y los presupuestos universitarios que siguen recortándose a menudo resultan en que

otras formas para tener invitados sin declarar bancarrota.

AGENCIAS FEDERALES Y ESTATALES

actuar de conferencistas de invitado; algunas incluso tienen un pre-supuesto limitado para los gastos de viaje y alojamiento. Se citan

--

entidades que de buena gana se prestan a hacer visitas a las sedes universitarias. Sería de ayuda si se extiende la invitación muy por

haga que coincide con el período dedicado al reclutamiento activo. Cuando está colaborando con las agencias federales, esté atento a las reglas que rigen los regalos que se les permiten a esas personas

-cieros por adelantado. ●


CONFERENCISTAS EMPRESARIALESMuchas empresas, por ejemplo, ofrecen a su personal para compro-misos de conferencista; otros aportarán a los gastos incurridos. Por ejemplo, Cisco subvenciona un programa de conferencistas de invi-tado al siguiente sitio de web

(www.cisco.com/security_services/ciag/initiatives/education/guestlecturers.html).

Otras empresas dan a sus conferencistas ciertas aclamaciones en las revisiones anuales cuando reciben este tipo de invitación, por lo cual enviar una nota de agradecimiento al conferencista (y a su su-pervisor) será una forma gentil de demostrar su agradecimiento por el tiempo que pasaron con su clase.

COMUNIDAD UNIVERSITARIA LOCALSu nuevo amigo, el administrador universitario de tecnología in-formática, tiene a su disposición una fuente rica de historias sobre todas las cosas, desde el uso indebido por parte de personas privi-legiadas hasta las realidades financieras de manejar un sistema de seguridad en la sede universitaria frente a recortes presupuestarios y demandas crecientes para la tecnología informática. En su consejo consultivo—de departamento, de facultad, o de universidad—está alguien con una perspectiva útil sobre la seguridad y la privacidad, y los integrantes del consejo a menudo agradecen la oportunidad de participar en el proceso educativo.

ORGANIZACIONES PROFESIONALESVarias organizaciones profesionales tienen programas de conferen-cistas. La Asociación de Maquinaria de Computación (conocida en inglés por sus siglas “ACM”) ofrece a los conferencistas por medio de su serie de conferencistas distinguidos (www.acm.org/top/lect.html) a base de la subvención compartida de gastos. El Comité so-bre las Mujeres en la Investigación en Computación de la Asocia-ción de Investigación en Computación (conocido en inglés por sus siglas como “CRA-W”) también subvenciona una serie de conferen-cistas distinguidos; tiene el objetivo específico de aumentar el nú-mero de estudiantes femeninos de estudios postgraduados (www.cra.org/Activities/craw/dist_lect.html). El Programa de Invitados Distinguidos de la Sociedad en Computación del Instituto de Inge-nieros Eléctricos y Electrónicos (www.computer.org/chapter/dvp/) ofrece programas parecidos.

ANTIGUOS ALUMNOS Y ESTUDIANTESLos antiguos alumnos a menudo vuelven a ver la ceremonia de titu-lación de sus amigos, y escuchar a un panel de antiguos estudiantes que tienen empleo en el sector de la seguridad y que han vuelto para hablar de sus experiencias puede ser muy agradable, tanto para los invitados como para los espectadores.

DESARROLLO DE PROGRAMAS DE ESTUDIOSHa habido muchos avances positivos con respecto al desarrollo de

programas de estudios durante los últimos 10 años, y en las colum-nas venideras, ampliaremos en más detalle sobre este tema. Por ahora, en aras de la brevedad, recomendamos que usted comien-ce aquí:

-gación en el Aseguramiento y la Seguridad Informática (www.cerias.purdue.edu/).

(www.cis.utulsa.edu).-

miento Informático (www.niatec.info).-

terconexión de Redes (www.vascan.org).

Y, para aquellos que deseen una experiencia más interactiva, re-comendamos que asista a estas funciones:

-máticos (cada junio).

(septiembre de 2004).

(cada julio).-

formática (conocido en inglés por sus siglas como “WISE”) de la Federación Internacional del Procesamiento Informático (cono-cida en inglés por sus siglas como “IFIP”) (cada dos años, mayo de 2005).

Estos sitios de web y foros solamente son unos cuantos ejem-plos de los recursos que están disponibles ahora—un grato cam-bio del estado que existía solamente hace doce años con respecto a los recursos tecnológicos de punta. Estas mejoras provinieron en su mayor parte de la determinación a nivel de la gente común que creía que la educación en la seguridad debe ser una res-ponsabilidad compartida por la comunidad—y los resultados son impresionantes. Es de nuestra esperanza que usted sepa apro-vecharse bien de estos recursos y que también haga su propia aportación.

RECONOCIMIENTOSCon gratitud reconocemos la ayuda que nos han prestado los miem-bros de los Centros de Excelencia de la Educación en el Asegura-miento Informático, quienes nos enviaron por correo electrónico muchas de las sugerencias que se incluían aquí y otras sugerencias

agradecer a las personas tan atareadas (a menudo son voluntarios) que respondieron a las preguntas que hicimos sobre los programas

estamos muy agradecidos por todo lo que hacen. ●

Matt Bishop es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y profesor de ciencia informática en la Universidad de California, Da-vis. Para comunicarse con él, diríjase al [email protected] A. Frincke es miembro del Instituto de Ingenieros Eléctricos y Electrónicos [IEEE] y científica principal del grupo de Seguridad Cibernética del Laboratorio Nacional del Pacífico del Noroeste. Para comunicarse con ella, diríjase al [email protected]


El tiempo pasa y nuevas vulnerabilidades se presentan. En los últi-mos meses se anunciaron dos vulnerabilidades importantes, una se presenta en el sistema operativo Windows y la otra afecta al

protocolo de protección de redes inalámbricas WPA2. A mediados de julio se dio a conocer una vulnerabilidad en los ar-

chivos LNK. Estos archivos se crean cuando se define un “acceso di-recto”, dado que Windows tiene problemas para obtener iconos para este tipo de archivos y con el objetivo de proporcionar una funcionali-dad más dinámica, el sistema ejecuta un código cuando se muestra un ícono. A través de LNK es posible especificar una dll maliciosa que se procese cuando se despliega el ícono, lo que provocará la ejecución ar-bitraria de código.

En un principio la explotación de esta vulnerabilidad estaba dirigida a sistemas de control SCADA (Supervisory Control and Data Acquisi-tion), equipos que permiten controlar a distancia una instalación indus-trial. Un ejemplo de este tipo de sistemas son aquellos que supervisan los ductos de compañías petroleras.

En las primeras investigaciones se encontró que esta vulnerabilidad operaba en conjunto con Stuxnet, un gusano que infecta dispositivos USBs que se conectan al sistema. Al principio se inyecta un backdoor en el sistema y después se copian dos archivos de tipo drive (de nom-bre ‘mrxcls.sys’ y ‘mrxnet.sys). Uno de ellos oculta la presencia de los archivos lnk y el otro inyecta datos en la memoria de la víctima. Los dri-vers se encuentran firmados con un certificado digital de una compañía desarrolladora de hardware de nombre Realtek Semiconductor Corp, lo que implica que los desarrolladores del malware tuvieron acceso a la lla-ve privada de la organización.

El malware se propaga a través de dispositivos de almacenamiento USB, sin embargo su propagación no es a través de archivos autorun.inf, sino por medio de archivos .lnk. Así, lo único que se tiene que hacer para infectarse es abrir la unidad de almacenamiento con Microsoft Ex-plorer o cualquier administrador de archivos que despliegue iconos.

Para poder utilizar la vulnerabilidad se debe actualizar la herramien-ta y después ejecutar un script que levanta un servidor en el puerto 80. Cuando el servidor es visitado por la víctima, proporciona un Shell de meterpreter a través del puerto 443.

Es importante tomar en cuenta que el exploit se activa cada vez que un folder que contiene un archivo LNK contaminado se abre. No es necesario que el archivo se encuentre en un dispositivo de almacena-miento USB para que sea ejecutado. Esto implica que es posible abrirlo desde cualquier lado, incluyendo carpetas compartidas. La víctima solo tiene que acceder a la información compartida para activarlo.

Los sistemas Windows XP, Vista y 7 presentan esta vulnerabilidad. Hay que tomar en cuenta que ya no existe soporte para Windows XP

SP2 a partir del 13 de julio del presente año. Al momento de escribir este artículo no existe una solución única al

problema. La gente del CERT de EU propone algunas alternativas como deshabilitar el despliegue de iconos de archivos LNK. Otra opción es restringir el alcance de ejecución del malware a través de herramientas como Ariad o el Software Restiction Poilicies (SRP) de Windows.

Esta vulnerabilidad abre todo una nueva opción para esparcir ma-lware a partir de dispositivos USBs, a pesar de que la opción de autorun esté deshabilitada. Se rumora que el ataque estaba dirigido a espionaje industrial y, de acuerdo al podcast Risky Business, podría tratarse de un trabajo llevado a cabo por algún gobierno.

Del lado de las redes inalámbricas se presentó una vulnerabilidad denominada “Hole 196”. La persona que la descubrió es Md Sohail Ahmad de AirTight Networks. La vulnerabilidad se presenta en el pro-tocolo WPA2 o IEEE 802.11i, considerado como el protocolo más segu-ro para redes inalámbricas.

El primer protocolo que se utilizó para asegurar las redes inalámbricas fue WEP (Wired Equivalent Privacy), pero presenta varias vulnerabilida-des. Con el objetivo de cubrir las vulnerabilidades de WEP se desarrolló el protocolo WPA (Wifi Protect Access), que utiliza el mismo algoritmo de ci-frado, pero proporciona la opción de autenticarse a través de EAP (Exten-sible Authentication Protocol), el manejo de llaves es diferente y se utiliza un mecanismo distinto para cuidar la integridad de los paquetes. Actual-mente se utiliza el protocolo WPA2, que utiliza el estándar de cifrado AES para cifrar y verificar la integridad de los paquetes transmitidos.

La vulnerabilidad se encuentra en la especificación del estándar, que permite que todos los clientes reciban tráfico de tipo broadcast de un punto de acceso con una llave compartida. El atacante se aprovechó de lo anterior para enviar paquetes falsos cifrados con la llave compartida.

El protocolo WPA2 utiliza dos tipos de llaves, PTK (Pairwise Transient Key) utilizada para proteger tráfico unicast entre dos usuarios y llaves GTK (Group Temporal Key) utilizada para proteger tráfico de tipo broad-cast a varios clientes en la red. Las llaves PTK pueden detectar usurpa-ción de direcciones y falsificación de datos, sin embargo GTK no.

A partir de lo anterior un cliente que recibe tráfico a través del pro-tocolo GTK puede crear un paquete de tipo broadcast e inyectarlo a la red. Al recibir el paquete el resto de los usuarios responderían con pa-quetes que contienen su dirección MAC e información sobre su llave.

Para que este tipo de ataque sea posible el atacante debe estar au-tenticado dentro de la red. Algo que no debe ser tomado a la ligera pues muchos de los ataques son ejecutados por usuarios internos.

Por el momento no hay nada que hacer para mitigar este tipo de ata-que, se trata de otra vulnerabilidad que espera a ser aprovechada para implementar nuevos tipos de ataques. ●

LAS VULNERABILIDADES DE LOS ARCHIVOS LNK Y DEL PROTOCOLO WPA2Por Roberto Gómez Cárdenas

ÁREARESTRINGIDA


Y tú ¿Sabes dónde está tu información?...Éstos son sólo algunos mensajes que he visto en la red (son verídicos,

aunque he modificado los datos reales):MSN Messenger: “Mi nuevo número celular cambió. El nuevo es: 132456987” Twitter: “Próxima reunión mañana en el café de Av. Insurgentes es-quina Viaducto a las 8PM” Skype: “Hey, me cambio de ciudad, ahora viviré en el D.F. junto a la embajada de Alemania” Foursquare: “Llegando a la oficina (e incluyen nombre del lugar, ubi-cación sobre un sistema de mapas digital)” Facebook: “Si quieres deposítame en la cuenta 987654321 del Ban-co ABCD”

Hoy, con los robos de identidad y secuestros debemos ser cuidado-sos cuando damos nuestra información sea por teléfono, correo electró-nico, de forma verbal, en una solicitud o en las redes sociales. Debemos estar seguros del objetivo de compartir esos datos.

En términos generales, la gente cree que no pueden ser blanco de or-ganizaciones que orquestan de manera casi perfecta los robos de identi-dad. Tenemos poca conciencia, aunado al hecho de que a mucha gente le cuesta trabajo decir no o cuestionar un poco más. Pueden robar la co-rrespondencia, entre la que podrían encontrarse resúmenes de cuentas bancarias y de tarjetas de crédito, cheques nuevos e información rela-cionada con los impuestos. También pueden obtener información de la basura mediante una práctica conocida como dumpster diving. Otro medio es robar los números de las tarjetas de crédito o débito capturan-do la información mediante una práctica conocida skimming. También no hay que olvidar al phishing, fraude con el que pueden robar informa-ción personal a través de medios electrónicos, haciéndose pasar por re-presentantes de compañías con el supuesto pretexto de que necesitan “revalidar ciertos datos o corregir un problema.

Sin embargo, actualmente es relativamente sencillo obtener informa-ción de las personas, En sitios como Facebook, Orkut o Hi5 podemos tener acceso a datos personales, fotografías y estilos de vida. En Linke-dIn podemos saber dónde trabajó o labora actualmente una persona. En Foursquare dónde está o estuvo, incluso con datos precisos como la localización física (en mapa), en dónde vive o trabaja, cuáles lugares acostumbra. Y en Twitter he visto como personas han llegado a publi-car información personal como números telefónicos o, si están con al-gún cliente, el nombre de éste y la ubicación. Es impresionante lo que se puede saber de una persona en las redes sociales sin siquiera cono-cerlo físicamente. A veces basta sólo un dato que esté entrelazado o referenciado en las redes sociales para crear una cadena de investiga-ción. Por ejemplo: la dirección de correo electrónico sería el primer pun-to de partida para comenzar a recabar datos de una persona.

Otro escenario común son los correos electrónicos que urgen al usua-

riuo a acceder al portal de los servicios o plataformas web a los que está inscrito para corroborar información. Estos correos contienen vínculos o ligas a sitios apócrifos que replican la legitimidad del servicio para en-gañar al usuario. Sin embargo, tras bambalinas la información ingresa-da por el dueño de los datos es recolectada cibercriminales.

Aunado a los problemas de falta de conciencia de los usuarios por el cuidado de sus datos, en nuestra idiosincrasia mexicana (¿o latina?) ob-servo con preocupación que nos cuesta trabajo decir que no.

Si llaman y pregunta por alguien de la casa u oficina y éste no se en-cuentra seguro nos dirán: “Oye, tienes su celular u otro teléfono donde lo pueda localizar”; y nosotros: “Claro que sí, por aquí tengo sus datos”. La pregunta ¿se los damos así porque sí?

Tanto a nivel corporativo como en el hogar debemos hacer hinca-pié de los riesgos y amenazas a los que hoy en día estamos expuestos. En las empresas se deben de hacer entrenamientos o pláticas sobre el tema. En el plano personal debemos de recordarles a la gente cercana de lo peligrosos atados al descuido de los datos. Por lo menos, en char-las informales para sembrar la semilla de la duda.

Pero ¿cómo detectar la información que más valor tiene para las per-sonas o empresas? Los datos, que puede ser considerados como perso-nal y confidenciales tienes algunos de los siguientes elementos:Elementos de contacto:Nombre, dirección física, e-mail, teléfono,Elementos financieros:Número de seguro social, números de cuenta, historial de transaccio-nes, números de tarjetas de crédito o débito, contraseñas, reportes de buró de crédito, recibos de nómina u honorariosElementos personales:Género, estado civil, edad, fecha de nacimiento, religión, nacionalidad, información médica, número de pasaporte, número de empleado, nú-mero de matrícula estudiantil, preferencia sexual.Elementos confidenciales:Información de clientes y proveedores, estrategias de negocio, adqui-siciones, ventas, compras, reportes de auditoría, código fuente de soft-ware, bases de datos, presentaciones para clientes.

Siempre piensa dos veces (o más) cuando estés dando información. No sabes los fines o usos que le puedan dar. Tal vez sólo se trata de al-gún viejo conocido o un “ex” enterándose de nuestras vidas. O qui-zá, es alguien mal intencionado que tiene en mente y conoce palabras como robo de identidad, fraudes bancarios, malversación de fondos o secuestros. Debemos crear conciencia sobre los datos que comparti-mos, con quién, la manera y medios por donde entregamos está in-formación. No hay necesidad de alcanzar un estado paranoico, la idea simplemente es mantener el cuidado de nuestras personas virtuales, para no terminar preguntándonos “¿Dónde está mi información?”.

Always, mind the information security gap! ●

¡HEY DUDE! ¿DÓNDE ESTÁ MI INFORMACIÓN?

EL INVITADO

Por Alberto Ramírez Ayón, CISM, CISA, CRISC


Después de un mes de ausencia por la euforia mundialista y don-de dicho sea de paso el spam estuvo a la orden del día aprove-chando el escaparate de la copa del mundo, quisiera retomar

un poco lo comentando en mi última columna. En ella, platicábamos acerca de las características, conocimientos técnicos y habilidades con las que debe de contar un investigador forense.

En este numero quisiera agregar que un investigador en materia de análisis forense digital no puede prescindir de técnicas de Ingeniería inversa. Y es que actualmente, cada vez son más las organizaciones delictivas que se dedican a diseñar productos malware cuya finali-dad es capturar los datos del equipo, robar información o obtener los números de tarjetas de crédito o debito y enviar los datos mediante redes P2P o por medio de una conexión remota a un servidor.

Otra variante de malware que he visto recientemente, es una espe-cie de troyano bancario diseñado específicamente para operar en ATM (Cajeros Automáticos), cuya finalidad es recabar la información conte-nida en la banda magnética (conocida como track 2) y capturar el PIN de seguridad de usuario. Pero en todo esto ¿dónde está la ingeniería in-versa y para qué la necesita el investigador forense digital?

Quisiera compartir con ustedes como la ingeniería inversa me ayu-dó a detectar, precisamente el troyano bancario descrito en los párra-fos anteriores.

Resulta ser que durante el análisis del caso (evidencia electrónica) la situación empezaba a complicarse, ya que el antivirus con el que se examinó el disco duro, no detectaba ninguna presencia de malware o código dañino. Lo que en un principio, eliminaba la posibilidad de que el disco estuviera contaminado. Sin embargo, dadas las altas sospechas que se tenían alrededor de este medio magnético, decidí realizar un análisis comparativo a nivel de hashes de todos los archivos contenidos en el disco duro, es decir comparar uno a uno los archivos contenidos en el medio de almacenamiento con una base de datos de hashes (fir-mas MD5) que a lo largo del tiempo he ido alimentando con programas malicioso que no son reconocidos por algunos fabricantes de antivirus.

El análisis reveló algo muy importante, había un archivo en el disco duro con el nombre de notepad.exe pero su firma digital (hash MD5) no correspondía a ninguna versión del notepad.exe (bloc de notas) utiliza-do en las versiones del sistema operativo de Microsoft Windows. Al re-visar las propiedades del ejecutable, me encontré con que los crimianles se habían tomado la molestia de especificar que el fabricante era Micro-soft. Incluso tenían las propiedades correctas tal y como un notepad.exe legítimo. Sin embargo la firma MD5 (Hash) no coincidía y eso era sufi-ciente motivo para realizar un análisis de ingeniería inversa.

Una vez realizada una copia de seguridad del archivo en cuestión lo primero que se me ocurrió fue extraer del binario todas las cadenas de texto para identificar posibles mensajes de error o parámetros de ejecu-table, que tuviera el programa sospechoso. En efecto, tenía muchas ca-

denas de texto que no tenían nada que ver con el ejecutable legitimo. Sin embargo de todas las cadenas de caracteres que se lograron extraer del binario, había una que sin lugar a dudas confirmaba que estábamos ante la presencia de un malware. Ésta, contenía la cadena “VB6” lo que apuntaba que el ejecutable había sido diseñado en Visual Basic versión 6, que dicho sea de paso, es el lenguaje de programación más popular para elaborar este tipo de malware.

Una vez realizado este análisis preliminar y confirmar que por ningún motivo esta diferencia en el hash MD5 fue propiciada por alguna actua-lizaciones de software de Microsoft decidí realizar un análisis mucho más profundo haciendo uso de un debugger (programa para examinar un ejecutable del cual no se tiene el código fuente).

Dentro de esa pieza de software, de más o menos 150 KB, estaban contenidas diversas instrucciones en las que se le indicaban al equipo infectado que debía de crear nuevos servicios en el sistema y además ocultarlos mediante un nombre que no pudiera ser apreciado a simple vista. El nombre de este servicio en cuestión estaba conformado por cuatro caracteres de espacio, lo que dificultaba su identificación vía las herramientas tradicionales de administración utilizadas por Windows.

Adicionalmente, poseía una rutina de validación en la que verificaba que ciertas condiciones se cumplieran en la maquina objetivo para po-der instalarse en el sistema y, en donde una de ellas, era que la cuenta de usuario con la que se ejecutara el programa malicioso (notepad.exe) tuviera derechos de administrador.

El malware también utilizaba una rutina “genérica” de cifrado de da-tos; con el propósito de encriptar la información recabada. Esta infor-mación la corroboré al extraer la memoria de rutina y escanearla con un AV, que detectó la presencia de un código malicioso identificado como cryp-gen, un software presente en una gran gama de malware y cuya única función radica en cifrar los datos robados.

Así, después de revisar e interpretar pacientemente cada una de las rutinas almacenadas en el malware (notepad.exe) descubrí dónde y cómo se almacenaban y cifraban los datos, y identifiqué los probables puntos de contagio. Cabe destacar que identificar toda esta informa-ción no hubiera sido posible sin un análisis de ingeniería inversa y so-bre todo mucha pero mucha paciencia y capacidad de análisis.

Esta anécdota debe obligarnos a reflexionar y a pensar que aunque la disciplina del análisis forense digital es “relativamente nueva” no por ello evoluciona lentamente. Desde mi óptica es muy importante que un investigador forense digital cuente con estas capacidades, pues el análisis forense ya no se limitan al estudio de los log’s del sistema o de los archivos, sino que se requieren habilidades que nos permitan hacer una disección de las piezas de software sospechosas encontradas en un equipo, a fin de reconstruir un caso y ubicar eficazmente las contra-medidas necesarias para evitar volver a pasar por ese escenario y, sobre todo entender realmente qué fue lo que sucedió. ●

INGENIERÍA INVERSAOPINION

Por Elihú B. Hernández Hernández

Elihú B. Hernández, GCFA ([email protected]) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)

´


.

El pasado 5 de julio de 2010 se publicó en el Diario Oficial de la Federación el Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particula-

res. Esta es probablemente una de las leyes más polémicas y al mismo tiempo más esperadas de México, considerando que el primer proyec-to para regular esta materia se presentó al Congreso en el año 2001.

Algunos de los proyectos que antecedieron al que finalmente culmi-nó en ley fueron los siguientes:

Proyecto de Ley Federal de Protección de Datos Personales, presen-tado por el Senador Antonio García Torres el 14/02/2001. Fue dictami-nado y aprobado en la Cámara de Senadores el 30/04/2002 y se remitió a la Cámara de Diputados. Su contenido sufrió varias modificaciones fue seriamente cuestionado. Nunca se tomaron en cuenta las propues-tas de alternativas de solución a los cuestionamientos.

Proyecto de Ley Federal de Protección de Datos Personales, presen-tado por el Senador Antonio García Torres el 2/02/2006.

Para llegar a esta ley, el Congreso Mexicano también tuvo que hacer varias reformas previas:

El 20 de julio de 2007 se reformó el artículo sexto de la Constitución Política. La modificación está vinculada con la protección de datos per-sonales: (a) El derecho a la información será garantizado por el Estado. (b) Para el ejercicio del derecho de acceso a la información, la Federa-ción, los Estados y el Distrito Federal, en el ámbito de sus respectivas competencias, se regirán por los ciertos principios y bases. (c) La infor-mación que se refiere a la vida privada y los datos personales será pro-tegida en los términos y con las excepciones que fijen las leyes.

Dos años después, el 30 de abril de 2009, se publicó una reforma constitucional al artículo 73, fracción XXIX-O, que otorgó facultades al Congreso de la Unión a legislar en materia de protección de datos per-sonales en posesión de particulares.

En este mismo año, el 1° de junio de 2010, se agrega un párrafo se-gundo al artículo 16 de la Constitución Política:

“Artículo 16. […] Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley[…]”

Como este artículo no bastará para tratar toda la ley, comenzaremos primero con una breve sinopsis de la misma:

La Ley tiene por objeto la protección de los datos personales en po-sesión de los particulares, con la finalidad de regular su tratamiento le-gítimo, controlado e informado, a efecto de garantizar la privacidad y el

derecho a la autodeterminación informativa de las personas. Establece que los responsables en el tratamiento de datos persona-

les, deben observar los principios de licitud, consentimiento, informa-ción, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

Algunas definiciones más relevantes en el (art. 3) de esta ley son: I. Aviso de Privacidad: Documento físico, electrónico o en cualquier

otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformi-dad con el artículo 15 de la presente Ley.

II. Bases de datos: El conjunto ordenado de datos personales referen-tes a una persona identificada o identificable.

V. Datos personales: Cualquier información concerniente a una per-sona física identificada o identificable.

VI. Datos personales sensibles: Aquellos datos personales que afec-ten a la esfera más íntima de su titular, o cuya utilización indebida pue-da dar origen a discriminación o conlleve un riesgo grave para éste.

Sin embargo, nuestros legisladores son expertos en hacer las cosas diferentes en cada ley, a pesar de que haya antecedentes previos con la misma temática. Como muestra, las tan variadas y distintas defini-ciones de “datos personales” en otras leyes y regulaciones:

Por ejemplo, el artículo 2 de la Ley de Protección de Datos Perso-nales para el Distrito Federal contempla la definición de Datos Perso-nales como “Información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen étnico o racial, características físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular, correo electró-nico no oficial, patrimonio, ideología, creencias, convicciones religio-sas y filosóficas, preferencia sexual, la huella digital, el ADN […]”.

Esto se repite con la Ley Federal de Transparencia y Acceso a la In-formación Pública Gubernamental y el Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnolo-gías de la Información y Comunicaciones, cada una con su propia de-finición de “datos personales”

Si bien las definiciones entre cada legislación son similares, no son iguales. ¿Por qué el ciudadano tiene que andar leyendo diferentes de-finiciones en varias leyes para saber si sus datos son o no considera-dos “personales” o “sensibles” a los ojos de determinada normatividad? Continuaremos en el próximo número con más datos interesantes so-bre esta ley! ●

LALEYYELDESORDEN 2.0MÉXICO ESTRENA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES

Por Joel A. Gómez Treviño

Joel Gómez es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. [email protected]

UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN

DESPUÉS DE CASI 10 AÑOS DE INICIATIVAS, POR FIN CONTAMOS CON UNA LEY IDÓNEA

1ª PARTE


SINNÚMERONO ME ROBES MIS DATOS, MEJOR TE DOY MI CARTERAUna encuesta de Unisys demuestra que casi ocho de cada diez mexicanos están más preocupados por delitos como el robo de identidad o

los fraudes en internet que por los asaltos o robos físicos.

En México hay un tema que ningún ciudadano pierde de vista o elude y no es precisamente el fútbol ni la liguilla bicentenario, sino los

asuntos relacionados a los temas de seguridad: Nacional, en Internet, en los sistemas financieros y en contra de los desastres naturales.

De acuerdo a datos publicados en el Global Security Index de Unisys Brasil, México y Alemania son los países con los mayores índices de

preocupación ante temas de seguridad. El estudio recabó datos de más de 11,000 persones en 11 países.

Así, en una escala de cero a 300, siendo cero “ninguna preocupación” y 300 “máxima preocupación”, México terminó con un índice de 173,

por debajo de los 177 de Brasil y arriba de los 151 de Alemania. Aquí, más datos del porqué la palabra seguridad causa miedo entre los

mexicanos.

Para 77% de los mexicanos la seguridad nacional es el mayor ámbito de preocupación en el país.

La seguridad de los datos personales y el robo de identidad representan una preocupación para 75% de los mexicanos, incluso por encima del robo físico que es

preocupante para 72% de los encuestados en el país.

Cerca del 48% de los entrevistados en México temen hacer transacciones bancarias por internet, mientras

que 50% están preocupados por los códigos maliciosos en el web.

Los desastres naturales y las epidemias representan una preocupacion para 74% de los mexicanos.

Mientras que 56% temen que la inestabilidad laboral del país les permita cumplir con sus compromisos

financieros.

SEGURO… QUE LO QUIERES

A pesar de los cantados problemas de la antena del nuevo iPhone 4, se estima que su dueño, Apple, ya logró vender más de seis millones de unidades. El dispositivo ya está a la venta en México. ¿Dejarás que la manzana de la discordia te tiente?

SI NO TE GUSTA LO PUEDES REGRESAR: APPLE

MÁS ALLÁ DE LA ANTENA

SEGURO QUE LO QUIERES PORfanático

procesador A4

LED Flash

aplicaciones

Killerapp de la BlackBerry

SEGURO QUE NO LO QUIERES POR

iPad Wi-Fi-3G de 64GB

bloquearle la antena

Andriod BlackBerry

Movistar

funda


Early bird (20% de descuento)Inscríbase antes del 24 de septiembre y pague: $3,600.00*

Costo:Inscripción ambos dias: $4,500.00*(Incluye acceso a keynotes, comida los dos días y evento de clausura.)Inscripción sólo para el segundo dia: $2,900.00*(Incluye acceso a keynotes, comida y evento de clausura.)

20-21 de Octubre, Hotel W Ciudad de Méxicowww.somebiz.com.mx

¡REG

ÍSTRE

SE YA

!

Informes:Tel: (55)- 2629 7260 opción 4,2629 7280, 81, 84, 85.01800 670 [email protected]* IVA Incluido.

¿POR QUÉ ASISTIR?SoMebiz es el único foro de Social Media en México con un enfoque completo sobre las tendencias, retos y alcances que más interesan a los negocios en el uso de estos nuevos canales de comunicación.

DIRIGIDO A: Directores de marketing Directores de sistemas Directores de recursos humanos Ventas Agencias de Publicidad

CIERRE LA BRECHADEL SOCIAL MEDIA EN SU NEGOCIO

Producido por

bsecure - septiembre 2010

Documents