Herraminetas enseguridad

Criptografía

No.1 7 / marzo-abri l 201 3 ISSN: 1 251 478, 1 251 477

Politicas deseguridad II

Consejos deSeguridad

Volcado dememoria

Trollscibernéticos

WAF II

17Herramientas en

seguridad

Optimización corporativa y personal

Contenido

Los trolls cibernéticos

< 04 >

Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Subdirección deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI M.R., revista especial izada en temas de seguridaddel UNAM-CERT. Se autoriza la reproducción total o parcial de este artículo con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.

< 08 >

< 1 2 >

< 1 7 >

< 21 >

< 26 >

10 consejos para mantener nuestra seguridaden el celular

Criptografía y criptoanálisis: la dialéctica de laseguridad

La importancia del análisis de volcado de memoria eninvestigaciones forenses computacionales

Normatividad en las organizaciones: Políticas deseguridad de la información Parte II

Firewall de Aplicación Web - Parte II

Herraminetas en seguridadOptimización corporativa y personal

Tanto a nivel corporativo, como en el aspectopersonal, optimizar nuestra seguridad digitalrequiere tomar en cuenta aspectos muydiversos, además, la gran cantidad deactividades alternas con las que contamos todoslos días, muchas veces, nos llevan dejar laseguridad en un terrible tercer plano.

La gestión de la seguridad se llena de tantospuntosqueatenderycon directrices tan distintas,que muchas veces quisiéramos tener miles deojos y manos por todos lados, y así, sentir querealmente estamos protegidos.

Aunque parece que estamos solos, realmenteno es así. Contamos con un gran abanico deherramientas que trabajan para el cuidado denuestra seguridad informática, apoyo que nospermite dar soporte a la pesada carga de llevara flote nuestra propia seguridad.

En esta edición, queremos ofrecerte unaselección de temas que te servirán comoinstrumentos para manejar tu seguridad,conocerlos y aplicarlos, significará un granrefuerzo a tu presencia digital en la vida laboraly cotidiana.

L.C.S Jazmín López SánchezEditoraSubdirección de Seguridad de la Información

.Seguridad Cultura de prevención TI M.R. / Número 1 7 /marzo - abri l 201 3 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral, Registro de Marca 1 29829

DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN

DIRECTOR GENERALDr. Felipe Bracho Carpizo

DIRECTOR DE SISTEMAS Y SERVICIOS

INSTITUCIONALES

Act. José Fabián Romo Zamudio

SUBDIRECTOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna

DIRECCIÓN EDITORIALL.A. Célica Martínez Aponte

EDITORAL.C.S. Jazmín López Sánchez

ARTE Y DISEÑOL.D.C.V. Abraham Ávila González

DESARROLLO WEBIng. Jesús Mauricio Andrade GuzmánA.V. Iván Santa María

REVISIÓN DE CONTENIDODemián Roberto García VelázquezJesús Tonatihu Sánchez NeriJosé Carlos Colio MartínezMiguel Raúl Bautista SoriaJosé Luis Sevil la RodríguezMauricio Andrade GuzmánAndrea Méndez RoldánNora Dafne Cozaya Reyes

Célica Martínez Aponte

COLABORADORES EN ESTE NÚMEROJesús Alberto Itzcoatl Salazar MonroyDavid Eduardo Bernal MichelenaSayonara Sarahí Díaz MendezMiguel Ángel Mendoza LópezPablo Antonio Lorenzana GutiérrezMiguel ZúñigaCesar Iván Lozano Aguilar

Editorial

UNAMCERT

I Introducción

La criptografía estudia las técnicas para hacerque la información en un mensaje sea más fácilde entender para el destinatario que tiene unaclave secreta para el uso y acceso de ella. Porsu parte, el criptoanálisis busca recuperar dichainformación sin necesidad de un código o clave.El resultado es, que siempre que avanza una,su contraparte necesita ser revisada. Una vezque se logró romper una técnica criptográfica,ésta necesitará aumentar su complej idad.

A principios del siglo IX, Al-kindi (un sabio árabede Bagdad) escribió un libro titulado "Sobre eldesciframiento de mensajes criptográficos" enel que se aplicaba una técnica de criptoanálisisal sistema de cifrado dominante en esa época,que se basaba en la sustitución de caracteres.Para romper el sistema, simplemente uti l izó un

análisis de frecuencias: se sustituyen, con lasletras más recurrentes de una lengua, lossímbolos que más se repiten en el mensajecifrado, logrando, desde el primer intento un textobastante semejante al texto original [2].

La criptografía europea, que se desarrollódurante el Renacimiento (inicios del siglo XII I ) ,partía de la vulnerabil idad del algoritmo desustitución simple (quiere decir que había mayorfacil idad para acceder a la información), así quelas técnicas criptográficas debían serreformuladas. El resultado fue la aplicación delos homófonos y las nulas. Es decir, destinar dossímbolos diferentes para las letras másfrecuentes e introducir más símbolos que elnúmero de letras del alfabeto en el que se escribe.Un siglo después, se comenzó a uti l izar lacriptografía de dos alfabetos.

Criptografía y criptoanálisis: la dialécticade la seguridadJesús Alberto Itzcoatl Salazar Monroy

04

UNAMCERT

El trabajo de Leon Battista Alberti fue lacriptografía poli-alfabética, que dio las bases dela criptografía de los siglos que siguieron (sobretodo el concepto de “palabra clave” que hoyconocemos como “llave”) [3].

En el siglo XX se registraron ataques acriptosistemasquedejaron su huellaen lahistoriadel mundo. Tal es el caso de la Primera GuerraMundial, en la cual el Telegrama Zimmermannfue conocido por haber influenciado la decisiónde Estados Unidos para participar en el confl icto

bélico. En la Segunda Guerra Mundial se uti l izópor primera vez la automatización de ataquescripto-analíticos por medio de modelosmatemáticos, los cifrados de la Alemania Nazicon la máquina enigma y el código Lorenz [4].

Durante la década de los setenta se alcanzanservicios de confidencial idad por medio delestándar de cifrado conocido como DES, hastaque finalmente fue roto en los noventas [1 ]. Por

esaépoca, algunas funcioneshash fueron blancode ataques cripto-analíticos: el sistemade cifradoMD4 fue roto seis años después de su publicacióny recientemente se demostró que MD5 puedecolisionar1 [5].

Por otra parte, a finales de 201 2, el algoritmoKECCAK fue seleccionado para la nueva funciónconocida como SHA3, en una competenciaorganizada por la NIST, a pesar de que SHA2permanece seguro, por lo menos hasta el día dehoy [6].

El avance tecnológico: La era cuántica

¿Qué hay del día de mañana? Sabemos que losavances tecnológicos ponen a nuestradisposición herramientasmáscapaces. Al contarcon éstas, el cripto-análisis se torna aún máspoderoso y, como consecuencia, la criptografíatambién tiene que evolucionar.

Hoy en día, podríamos estar acercándonos a

05

UNAMCERT

una era que marcaría una gran línea en la historiade la humanidad: La era del cómputo cuántico.En términos generales, ¿a qué se refiere elcómputo cuántico? Para empezar, el principio deincertidumbre nos dice que hay un límite en laprecisión con la cual podemos determinar lainformación de una partícula, también llamadoestado cuántico o simplemente qubit. [7]

Los qubits son estados cuánticos querepresentan simultáneamente ceros y unos (delcódigo binario). Antes de que se considere queel número de resultados computados es siempreigual a lascombinacionesposiblesquesepuedenhacer con los qubits (256 para 8 bits), se sabeque esto no es así. La máquina cuántica poseeun elevado paralel ismo capaz de romper loscripto-sistemas más usados hoy en día; es decir,la capacidad de una computadora cuántica esmayor que aquella que se basa en las leyesclásicas de la física.

El cómputo cuántico y los criptosistemasactuales

Supongamos que hoy existieran lascomputadoras cuánticas. En primer lugar,sucedería que algunos de los cripto-sistemasactuales se volverían inseguros. La capacidadde la máquina cuántica es tal, que romperíacualquier sistema criptográfico cuya seguridadprovenga de álgebra modular (pues ya existe unalgoritmo cuántico que rompería lamisma), como

el esquema de RSA, uno de los más usados hoyendía. Esto representa, anivelmundial, unpeligropotencial y habría consecuencias tantoeconómicas como científicas.

Podría ser que un algoritmo matemático resistaun ataque cuántico durante su tiempo de vidapromedio (5a25años). Incluso sepodrían asumirmedidas simples, como duplicar el tamaño de lallave, entonces los algoritmos clásicos podríanseguir resistiendo un ataque cuántico comosucede hoy entre los cripto-sistemasmatemáticos y los ataques no cuánticos.

Aunque hablamos de que la computacióncuántica ya tiene su algoritmo para descifrar lossistemas basados en álgebra modular, tambiénes importante mencionar que los esquemas queno se basan en este tipo de álgebra quedanexentos del algoritmo que termina con laseguridad en el álgebra modular, aunque no dela capacidad de procesamiento de lacomputadora cuántica.

De hecho, no se sabe si otros esquemas,diferentes a los del álgebra modular (como losde redes y los basados en código), se rompanante un ataque cuántico. Estos alcanzan lacomplej idad necesaria para resistir el cómputocuántico al duplicar el tamaño de sus llaves.

Esunarealidad queel cómputocuánticoaumentael poder de procesamiento. Sin embargo(empleado en criptoanálisis), no garantiza lavulnerabil idad de los otros criptosistemas (los nomodulares), la razón: aún no hay algoritmocuántico (más simple que la fuerza bruta) contraestos modelos, pero tengamos presente que lafalta de este algoritmo ha sido siempre laproblemática, en la esfera del cómputo cuánticoo fuera de ella.

Referencias

[1] ELI BIHAM y Adi Shamir, “Differential cryptanalysis of

the full 16-round des”, en Advances in Cryptology -

CRYPTO ’92, 12th Annual International Cryptology

Conference, editorial Proceedings, Santa Barbara,

California,EUA,volumen740ofLectureNotesinComputer

Science, August 16- 20, 1992, pp. 487–496.

06

UNAMCERT

[2] FERNÁNDEZ, SANTIAGO. “La criptografía clásica”, en

SIGMA, Euskadi, abril, 2004, pp. 119-142.

[3] RUSSO, BETINA, Criptografía en el aula de

matemáticas, artículo disponible en la página:

http://www.soarem.org.ar/Documentos/26%20Russo.pdf.

[4 ]VITINI,FAUSTOMONTOYA,“Testimoniodemediosiglo:

de la perlustracion al cifrado cuántico”, en RECSI, 2012,

artículo disponible en la siguiente liga:

http://recsi2012.mondragon.edu/es/programa/Fausto_pa

per.pdf:

[5] SOTIROV, ALEXANDER y Jacob Appelbaum, et al,

“Md5 considered harmful today, creating a rogue ca

certificate”, 25th Annual Chaos Communication Congress

el artículo se recupera en la liga:

http://www.win.tue.nl/hashclash/rogue-ca/

[6] NIST Computer Security Division, Sha-3 selection

announcement. Technical report, NIST, 2012.

[7] HIDAYATH ANSARI y Luv Kumar, “Quantum

cryptography and quantum computation” en Network

Security Course Project Report. Disponible en la liga:

http://www-cs-

students.stanford.edu/~adityagp/acads/netsec-

writeup.pdf.

AARONSON, SCOTT, “Shor, i’ll do it” en Criptograph blog,

2007, disponible en la siguiente liga:

http://www.scottaaronson.com/blog/?p=208.

CHAO-YANG LU, y Daniel E. Browne, et al, “Demonstration

of shor’s quantum factoring algorithm using photonic

qubits”, en Technical report, Hefei National Laboratory for

PhysicalSciencesatMicroscaleandDepartmentofModern

Physics, University of Science and Technology of China,

2007.

07

UNAMCERT

control de los sistemas comprometidos. SegúnHoglund y Butler1 , los rootkits consisten en unoomásprogramasycódigoquepermitenmanteneracceso permanente e indetectable en unacomputadora. Jesse D. Kornblum2, uno de lospioneros del análisis forense computacional,

indica que son programas maliciosos quesubvierten silenciosamente un sistema operativopara ocultar procesos, archivos y actividad.

Hay dos tipos de rootkits: los de nivel de usuarioy los de nivel de kernel. Algunos investigadores3

consideran otros tipos adicionales: los queafectan el BIOS (bootkit) y los basados envirtualización. Sin embargo, nos enfocaremos atratar los dos primeros.

Los atacantes informáticosmejoran sus técnicasdía con día para lograr penetrar, incluso en lossistemas informáticos mejor protegidos, loscuales son custodiados fuertemente porunagrancantidad de controles administrativos, técnicos ypor un equipo de administradores especial istas

en respuesta y análisis de incidentesinformáticos. En esta carrera, solo triunfaránaquellos con la capacidad para dominar losmétodos, técnicas y herramientas másavanzadas para superar a los adversarios.

Algunas de las armas más poderosas de losatacantes son los rootkits, que son malware quepermite ocultar los procesos maliciosos, puertastraseras y archivos que se uti l izan para tomar

La importancia del análisis de volcado dememoria en investigaciones forensescomputacionalesDavid Bernal Michelena

08

UNAMCERT

rootkitrevealer (paraWindows XP y Server de 32bits). Algunos de estos programas, además deser capaces de detectar rootkits conocidos,incorporan alguna funcionalidad genérica paradetectar nuevas amenazas. Sin embargo, noexiste la seguridad de que un nuevo rootkit uti l iceesas funcionalidades genéricas, por lo tanto, nohay garantía de que estas herramientas logrendetectarlos.

Para explicar la segunda opción, es necesariomencionar la forma en la que se ligan losprogramas, los cuales pueden estar compiladosde forma dinámica o estática.

De forma dinámica, los programas usanbibl iotecas del sistema, que son porciones decódigoexternasubicadasenel sistemaoperativo.Si por el contrario, están compiladosestáticamente, los programas contienen en símismos todo el código necesario para sufuncionamiento.

La forma de compilación más común es ladinámica, pues diferentes programascompartenalguna bibl ioteca del sistema, y esto permiteoptimizar el espacio en disco. Sin embargo, sialguna de las bibl iotecas compartidas es alteradapor malware (incluyendo rootkits), el resultadode ejecutar un programa que haga uso de dicha

Los rootkits a nivel de usuario tienen comoobjetivo reemplazar programas del sistema porversiones modificadas que ocultan informaciónrelacionada con la actividad maliciosa del intrusoinformático. Por ejemplo, un rootkit de nivel deusuariopuedeserun programa llamado “netstat”,especialmente diseñado para ocultar unaconexión de red que es uti l izada como puertatrasera por el atacante. Este tipo de rootkits sonfácilmente detectados por programas comoTripWire, que revelan modificaciones en losprogramas del sistema.

Los rootkits a nivel de kernel alteran estructurasclave ubicadas en el espacio de kernel (como latabla de llamadas al sistema), así no requierenmodificar los programas del sistema para alterarel resultado que éstos muestran al usuario final.Esta característica dificulta que sean detectadospor herramientas de seguridad, administradoresde sistemas y especial istas en seguridadinformática.

¿Cómo detectar estas perversas ypoderosas herramientas?

Existen tres opciones: la primera -ymás sencil la-es ejecutar programas especial izados en ladetección de rootkits, como Rootkit Hunter,Chkrootkit (para sistemas basados en UNIX) o

09

UNAMCERT

bibl ioteca, también se vería afectado por estaalteración.

Realizar un diagnóstico, uti l izando programas deauditoría compilados de forma estática, evitaráque el resultado que producen sea alterado porrootkits a nivel de usuario que hayan alteradobibl iotecas del sistema. Pero esta técnica no esefectiva contra rootkits a nivel de kernel.

La tercera y última opción, además de ser la queofrece una mayor posibi l idad de detectar rootkitsa nivel de kernel, es el análisis del volcado dememoria4. Para explicar cómo funciona,recordaremos algunos conceptos de arquitecturade computadoras.

Una computadora tiene dos tipos de memorias,principal y secundaria. La primera es la de mayor

velocidad de lectura, intercambia datosconstantemente con el procesadoryes demenortamaño que la memoria secundaria. Almacenala información de forma temporal mientras lacomputadora se encuentra encendida y, encuanto se apaga, la información se pierde.

Volcar lamemoriaconsiste en copiarel contenidode la memoria principal en un archivo, el cualpuede ser analizado posteriormente paraobtener información del estado de lacomputadora en el momento del volcado.

¿Por qué es tan importante incluir el análisis devolcado de memoria en una investigaciónforense computacional hacia atacantesinformáticos de alto perfi l? Porque este tipo deintrusos uti l izan el cifrado y ofuscación paraprotegerse. Losmás sofisticados, incluso uti l izanherramientas que nunca escriben informaciónen memoria secundaria. Sin importar qué tanperfeccionadas sean las técnicas empleadas porlos atacantes informáticos, todo programa quese ejecuta en una computadora, en algúnmomento se almacenaenmemoria principal. Poresa razón, es muy probable que el volcado dememoria contenga los programas uti l izados porlos atacantes informáticos o, al menos, rastrosde ellos.

Desde hace años, los analistas forensescomputacionales han capturado el contenido delamemoria. Su análisis consistía en la extracciónde cadenas de texto para luego buscardirecciones IP o URLs que podían dar un grancontexto al investigador forense, pero no selograbaobtenerotrasestructurasde lamemoria.

En 2007 se creó Volati l i ty, una herramienta parainterpretar el contenido de la memoria, que vamucho más allá de las técnicas tradicionales debúsqueda de cadenas de texto. Este poderosoprograma tiene la capacidad de interpretar lasestructuras internas de memoria que almacena,entre otras cosas, la información de los procesosen ejecución y conexiones de red que estabanactivas en el momento en que se capturó lamemoria. Incluso proporciona información deconexiones de red yprocesos ya finalizados parael momento en que se realizó la captura. Loscuales pueden ser indicios claves para resolverun caso.

1 0

UNAMCERT

En sistemas operativos Windows,particularmente, esta herramienta tiene lacapacidad de mostrar las sentencias exactasejecutadas en la terminal de comandos cmd.exeque, en lamayoría de las ocasiones, no es posibleobtener con el análisis de memoria secundaria,ya que no se encuentra habil i tado de formapredeterminada ninguna bitácora que almaceneesta información.

Entre otras herramientas se encuentra Red Line,la cual tiene interfaz gráfica desarrollada por lacompañía Mandiant. Ésta se enfocaexclusivamente al análisis de volcados dememoria de sistemas operativos Windows.También está Volati l i ty, que es una herramientade código abierto con interfaz por línea decomandos desarrollada en el lenguaje Pythonque permite analizar volcados de memoria desistemas operativosWindows, GNU/LINUX, MacOS y Android. Gracias a que esta herramientaes de código abierto, tiene una gran comunidadde desarrolladores que extienden continuamentesu capacidad por medio de módulos o plugins .5

No cabe duda de que, tanto los atacantesinformáticos como los investigadores forensesdigitales, tendrán que mejorar sus técnicas,métodos y herramientas constantemente, con elfin demantener laventajaen laguerracibernética,la guerra de la era digital.

El análisis de volcado de memoria será cada vezmás importante para resolver con éxito los casosde intrusiones informáticas avanzadas.

1 Hoglund y James Butler, “Rootkits, Subverting the

Windows Kernel”, Addison-Wesley, 2009.

2 Kornblum, Exploiting the Rootkit Paradox with Windows

Memory Analysis

http://www.utica.edu/academic/institutes/ecii/publication

s/articles/EFE2FC4D-0B11-BC08-

AD2958256F5E68F1.pdf

3 Pär Österberg Medina, Detecting Rootkits in Memory

Dumps, http://www.terena.org/activities/tf-

csirt/meeting27/oesterberg-rootkits.pdf4

4 Kornblum, Jesse, Ibidem.

5 http://code.google.com/p/volatility/wiki/Plugins Volatility

Project

Referencias

GREG HOGLUND y James Butler, “Rootkits, Subverting

the Windows Kernel”, Addison-Wesley, 2009, ISBN 0-321-

294319-9.

KORNBLUM, JESSE, Exploiting the Rootkit Paradox with

Windows Memory Analysis , en:

http://www.utica.edu/academic/institutes/ecii/publicatio

ns/articles/EFE2FC4D-0B11-BC08-

AD2958256F5E68F1.pdf

PÄR ÖSTERBERG MEDINA, Detecting Rootkits in Memory

Dumps, en: http://www.terena.org/activities/tf-

csirt/meeting27/oesterberg-rootkits.pdf

http://code.google.com/p/volatility/

http://code.google.com/p/volatility/wiki/Plugins

http://code.google.com/p/volatility/wiki/VolatilityIntroduct

ion

1 1

UNAMCERT

Firewall de Aplicación Web - Parte II

Este artículo es la segunda parte de nuestraentrega sobre los Firewalls de Aplicación Web(WAF por sus siglas en inglés), publicada en laediciónanteriordeestarevista. Paraestaediciónprometimos prepararte una sección con losmanuales de implementación de un WAF opensource paso a paso, pero antes de que losrevises, es muy importante dejar claro cómofunciona un Firewall de Aplicaciones Web.

A continuación, te explicamos cómo es que unWAF lleva a cabo su tarea y, después de sabercómo funciona, podrás proseguir con laimplementación de tu propio WAF.

Funcionamiento de un WAF

Un WAF trabaja como intermediario entreusuarios externos (ej. usuarios de Internet) y lasaplicaciones web. Esto quiere decir que laspeticiones y respuestas HTTP son analizadas

por el WAF antes de que éstas lleguen a lasaplicaciones web o a los usuarios de lasaplicaciones.

Para la revisión del tráfico HTTP, el WAF aplicaun conjunto de reglas (definidas conanterioridad) para llevar a cabo la detección depeticiones HTTP malformadas, ataques webcomo Cross Site Scripting, SQL Injection,ataques de DoS y DDoS, e incluso la detecciónde fuga de información proveniente de laaplicación web. Cuando el WAF detecta unataque, intento de intrusión o fuga deinformación, entonces bloquea el tráfico webdescartando la petición o respuesta HTTPevitando que los ataques afecten a la aplicaciónweb o que información sensible sea enviadacomo respuesta a potenciales usuariosmaliciosos.

Sayonara Díaz Sarahí Méndez, Dante Odín Ramírez López

UNAMCERT

De no detectarse peticiones web maliciosas oalguna anomalía, entonces las peticiones yrespuestas HTTP fluyen con normalidad. Todoel proceso de análisis y protección ocurre deforma transparente para los usuarios, evitandoasí, interferir con las operaciones normales delas aplicaciones web.

Modos de implementación

Puedes implementar un WAF de diferentesmodos. El modo de implementación dependede la topología de red con la que cuentes y de

las necesidades de seguridad que requieraspara tus aplicaciones web. A continuación selistan losmodos de implementaciónmásusadospara un WAF.

WAF en modo Puente Transparente(Bridge):

Funge como un equipo que interconecta dossegmentos de red de forma transparente (susinterfaces de red no tienen dirección IP), demodo que no se requiere alterar la configuraciónde direcciones IP de los servidores web, ya queson estos mismos los que responden laspeticiones web. No requiere de la

reconfiguración de los registros DNS y permiteprotegermúltiples servidoresdeaplicacionesweb,siempre y cuando estos se accedan mediante elcanal que protege el WAF.

WAF en modo Proxy Inverso:

Funge como un equipo que interconecta dos omás segmentos de red, pero éste si cuenta condirección IP propia. Concentra, gestiona y analizalas peticiones y respuestas HTTP que circulanentre los usuarios y aplicaciones web. En pocaspalabras, el WAF en modo de proxy inversoresponde las peticiones web como si éste fuerael servidor web mismo, por lo tanto es de uti l idadpara ocultar a los servidores de aplicaciones webde la red exterior. Permite proteger múltiplesservidores de aplicaciones web. Suimplementación requiere modificar los registrosDNS que ahora deben dirigirse a la dirección IPdel WAF en modo proxy inverso en vez de a losservidores web.

WAF en modo embebido o plugin:

El WAF se instala como un software decomplemento o plugin en el servidor web aproteger. Para su operación hace uso de losrecursos de hardware (procesador, RAM, discoduro) ysoftwaredel servidordondeseha instalado.Su instalación depende totalmente del tipo deservidor web y del sistema operativo subyacente.Afortunadamente existen WAFs para los entornosWindows, GNU/Linux y Unix, así como para losdistintos servidores web más populares. Estemodo de operación es el más sencil lo pues norequiere configuraciones adicionales en la red.

AlgunosWAF soportan características como:

• Normalización del tráfico web: Usualmente losusuarios maliciosos usan técnicas para ocultarsus ataques web mediante codificación o cifrado.El WAF debe ser capaz de decodificar o descifrarel tráfico web para poder aplicar sus reglas deseguridad.

• Aceleración SSL: Algunos WAF comercialescuentan con hardware especial izado para poderatender las peticiones web seguras (HTTPS) deforma rápida, pues el uso de cifrado en lastransacciones web implica el uso adicional de

1 3

UNAMCERT

procesador y memoria RAM de los servidoresweb. Emplear aceleradores SSL permite quitarcarga de procesamiento a los servidores.

Variedad de soluciones WAF

En el mercado existen varias opciones de WAFa elegir que nos pueden ayudar a aumentar laseguridad sobre nuestros servidores deaplicaciones web de forma considerable. Entrelas dos opciones open source más populares,encontramos las siguientes:

ModSecurity

Desarrollado por: Trustwave

ModSecurity funciona como un complementoque se instala en el servidor web. Actualmentesoporta los servidores web Apache HTTPD,Microsoft I IS y NGinx. Provee protección contralas principales amenazas del Top 1 0 deOWASPmediante su conjunto de reglas especial izadasen detección y bloqueo de ataques. Es unproyecto con madurez de desarrollo y cuentacon una creciente comunidad de usuarios quelo han implementado.

IronBee

Desarrollado por: Qualys

I ronBee es un WAF desarrollado y mantenido porel equipo que diseñó y desarrolló a ModSecurityen sus inicios. Este proyecto apunta a producirun WAF que sea aún más seguro, de altorendimiento, portable y libremente disponible,incluso para el uso comercial. El enfoque de esteWAF va dirigido a perfi lar el comportamiento dela aplicación web y sus usuarios, de esta formase pueden establecer controles de seguridadbasados en la forma de uso de las aplicacionesweb, así como los convencionales contra ataquesweb comunes.

¿WAFsenelcódigodelasaplicacionesweb?

Dentro de la amplia gama de herramientas deseguridad paraaplicacionesweb, existen otro tipode opciones que están muy ligadas con lasacciones que realiza unWAF. Estas herramientastambién pueden ser de uti l idad cuando se quiereproporcionar seguridad adicional a lasaplicaciones web a nivel de código.Este conjunto de herramientas se implementandirectamente en el código de la aplicación, parahacer uso de ellas, tendrás que tener accesodirecto al código fuente de tu aplicación web, lo

1 4

UNAMCERT

que implica conocer el lenguaje deprogramación en que se desarrolló y, con baseen ello, puedas comenzar con la modificacióndel código y acoplarlo según tus necesidades.

En muchos casos no se tiene acceso al códigofuente de la aplicación web debido a que laaplicación misma podría ser solo un archivoejecutable. Es ahí cuando el uso de este tipode herramientas se tiene que descartar. Si esteno es el caso, podrás hacer uso de herramientascomo las siguientes:

ESAPI WAF (Enterprise Security API Web

Application Firewall):

Son bibl iotecas que se incluyen directamenteen el código y, una vez que se implementan entu aplicación web, proporcionarán seguridad deuna forma más directa mediante la validaciónde los datos de entrada, permitiendo así fi ltrarataques web. El equipo de desarrollo debeimplementar las bibl iotecas de esta API sobreel código de las aplicacionesweb que se deseenasegurar.

PHPIDS Web Application Security 2.0 (PHP-

Intrusion Detection System)

Es un software uti l izado para reforzar laseguridad en la capa de aplicación a nivel web(directamente en tu aplicación). Al igual que losWAF convencionales, se basa en el análisis detransacciones HTTP mediante un conjunto dereglas que se encargan de fi ltrar anomalías yataques web. Su modo de operación se lleva acabo mediante puntajes, donde a un ataque oanomalía se le asigna un puntaje numéricomediante el cual se decide qué tipo de accióndefensiva debe seguirse.

Conclusión

Existen varias alternativas que ayudan acomplementar laseguridad de tu aplicaciónweb,haz uso de ellas. Indaga sobre las que más teinteresen, ya que solo de esta manera podrásdescartar algunas o bien, acoplarlas según tusnecesidades.

Recuerda que la seguridad de un sistema es tanfuerte como lo sea su eslabón más débil . Noolvides que hoy en día la seguridad web es unpunto crítico que no puede echarse en saco roto,pues las afectaciones por ataques exitosos,intrusiones y fugas de información sensitiva,pueden traer repercusiones sociales (pérdida dereputación), monetarias e incluso legales. Aveces, unasimple entradadedatosnoaseguradapuede acarrearnos grandes problemas.

Los WAF son herramientas que hanevolucionado y han demostrado su efectividada tal grado que dentro de poco tiempo seránconsiderados como una capa de seguridadobligatoria en cualquier entorno de aplicacionesweb seguro.

Implementación de tu propio WAF

Las guías de instalación contemplan laimplementación del WAF ModSecurity en unservidor web apache en modo embebido. Tenen cuenta que la instalación de un WAF puederesultar sencil la, pero el proceso de aprendizajepara su administración y afinación de políticasrequiere de entendimiento en su forma deoperación y en las configuraciones específicas.

Nota: Una regla importante para todos los WAFen general, es que siempre se deben deimplementar en modo de solo monitoreo por unperiodo de tiempo. Esto con la finalidad de queobserves las alertas que muestran al analizar eltráfico web dirigido a tu aplicación web y asípuedas determinar si hay reglas del WAF quepuedan interferir con el funcionamiento de lamisma. Recuerda que como otras tecnologíasde monitoreo es susceptible a falsos positivos.

Referencias

http://www.modsecurity.org/documentation/ModSecurity

2_Rule_Language.pdf

http://revista.seguridad.unam.mx/numero-

10/evoluci%C3%B3n-de-los-sistemas-de-

detecci%C3%B3n-prevenci%C3%B3n-y-

an%C3%A1lisis-de-incidente

1 5

UNAMCERT

https://www.owasp.org/index.php/Virtual_Patching_Best

_Practices

http://www.blogtecnico.net/web-application-firewall-waf/

https://phpids.org/

http://www.cert.org.mx/index.html

http://www.modsecurity.org/

https://www.owasp.org/

http://www.fromdev.com/2011/07/opensource-web-

application-firewall-waf.html

https://www.owasp.org/index.php/Virtual_Patching_Best

_Practices

1 6

UNAMCERT

En el artículo anterior se revisaron lascaracterísticas que pueden poseer las políticasy sus objetivos dentro de una organización. Sedefinió que aquellos que conocen y operan losprocesos críticos de la empresa, deben tenerlos roles encargados de escribir, revisar,aprobar, difundir y actualizar los documentos,por medio de un comité estratégico que permitael cumplimiento de las políticas en todos losniveles de la estructura jerárquica de laorganización.

Así mismo, se hizo énfasis en el enfoque de laredacción de los enunciados permisivos (todolo que no está expresamente prohibido estápermitido) y prohibitivos (todo lo que no está

explícitamente permitido está prohibido). Sinembargo, se recomendó evitar la escritura ensentido negativo. También se mencionó que laredacción debe estar orientada al tipo de lectores(audiencias), donde se determinará el sentido delos enunciados.

Por último se mencionaron técnicas para ladifusión entre las audiencias. En caso de que laspolíticas no sean documentadas, publicadas,difundidas y aceptadas por los miembros de laorganización, la normatividad no será efectiva.

Esteúltimoartículoaborda laestructuraquepuedetener una política, así como los elementos deimportancia considerados para el éxito en

Normatividad en las organizaciones:Políticas de seguridad de la información-Parte IIMiguel Ángel Mendoza López, Pablo Antonio Lorenzana Gutiérrez

Coautores: Sandra Atonal Jiménez, Rubén Aquino Luna

1 7

UNAMCERT

• Sanciones. Detalla el incumplimiento de lapolítica, considerado como una violación. Definela manera en la que debe ser reportada y lasacciones a considerar cuando se presente unevento de esta naturaleza. También se debeincluir información detallada acerca de lasacciones correctivas que se aplicarán comoresultado de una falta.• Glosario. Define cualquier término que seadesconocido para el lector. Aunque serecomienda no emplear términos técnicos en laredacción de los enunciados, en ocasiones sepuede hacer uso de acrónimos, siglas,anglicismos y otro tipo de argot que pueden serdefinidos en esta sección.• Histórico de revisiones, actualizaciones yaprobaciones. Este apartado define alresponsable de realizar las actualizaciones,revisiones y aprobaciones de la política, así comola frecuencia para ejecutar estas tareas. Es úti lpara determinar la obsolescencia o vigencia dela política.• Fecha depublicación yentrada en vigor. Estapartepermiteerradicarambigüedadesen relacióna la vigencia y aplicación de las políticas.• Versión del documento. Permite conocer elestado de las actualizaciones y revisiones delescrito, así como los cambios que se hanpresentado en la política.• Referencias. En esta sección se coloca la l istade documentos asociados a la política (políticas,guías, procedimientos o formatos).

Por otro lado, las guías y procedimientos quesoportan las políticas, también contienensecciones que proporcionan informaciónrelevante para el lector. Este tipo de documentosestán dirigidos a una audiencia generalmenteoperativa, por lo que el lenguaje suele sertotalmente técnico. Las secciones que puedenincluir son:

• Introducción. Debe proporcionar un panoramageneral del documento, nombre y ubicacióndentro de la jerarquía de documentos de laorganización.• Propósito. Indica los propósitos principales delescrito y su justificación. También permite a loslectores entender la manera de uti l izarlo.• Alcance. Indica el ámbito de aplicación deldocumento, que puede ser infraestructura,aplicaciones, información y/o personas.

implantar y aplicar políticas de seguridad de lainformación en una organización.

Como todo documento, una política se conformade varias secciones que proporcionaninformación relevante para la audiencia ypermiten tener un contexto amplio de la misma.Las secciones que pueden ser consideradas enel desarrollo se describen a continuación:

• Introducción . Esta sección debe proporcionaruna breve descripción de la política, nombre yubicación dentro de la jerarquía de políticas dela organización.• Propósito. Indica los objetivos principales dela política y su razón de ser. Permite a lasaudiencias entender la manera de uti l izarla.Puede incluir declaraciones sobre unrequerimiento o legislación a la cual se debeadherir.• Alcance. Indica el ámbito de aplicación de lapolítica, que puede relacionarse con lainfraestructura, aplicaciones, información,personas u otro activo de la organización que sedesee proteger.• Enunciados de la política. Son lasdeclaraciones que deben cumplirse en laorganización, es decir, todos los enunciados quedeben ser acatados por los miembros de laorganización.

1 8

UNAMCERT

• Desarrollo. Establece las actividades quedeben realizarse, así como los roles yresponsabil idades encargados de ejecutar taleslabores. Laguíaproponeactividadesquepuedenser consideradas (son de carácter opcional),mientras que el procedimiento debe tener unapego total.• Diagrama de flujo. Esquema que permite verde manera gráfica las actividades descritas enel desarrollo. Puede incluir al personalresponsable de ejecutarlas, herramientas einformación necesarios para llevar a cabo lastareas.

• Glosario. Define los términos que el lectorpudiera desconocer.• Histórico de revisiones y actualizaciones.Define al responsable de realizar lasactualizaciones y revisiones del documento, asícomo la frecuencia para ejecutar estas tareas.Este apartado permite determinar suobsolescencia o vigencia.• Fecha de aprobación, publicación y entradaen vigor. Esta sección posibi l i ta erradicarambigüedades en relación a la vigencia yaplicación del documento.• Versión del documento. Da a conocer elestado de las actualizaciones y revisiones deldocumento, así como de los cambios que se hanpresentado en el mismo.• Referencias. En esta sección se coloca la l istade documentos asociados (políticas, guías,procedimientos o formatos).

Las políticas de seguridad de la informacióntienen diferentes ámbitos de aplicación, loscuales deben ser seleccionados por cada áreade acuerdo a sus necesidades y característicaspropias. Una referencia para la elección puedenser los objetivos de control y controles deestándaresomarcosdereferencia(frameworks).

ISO 27001 :2005 es un estándar internacionalauditable para la seguridad de la informaciónampliamente uti l izado. Define los requisitos paraun sistema de gestión de seguridad de lainformación (SGSI) y los controles enfocados aproteger la información necesaria para la

operación y permanencia de las organizaciones.Algunos ámbitos que incluye son:

• Responsabil idades relacionadas con laseguridad de la información.• Ética y conducta.• Recursos humanos/administración.• Seguridad física.• Clasificación, manejo, respaldo y eliminaciónde información.• Uso adecuado de activos, inmobil iario einfraestructura.• Protección de hardware/software.•Uso de correo electrónico, Internet ymensajeríainstantánea.• Accesos remotos y conexiones de red.• Administración de cuentas de usuarios ycontraseñas.• Autenticación y control de acceso.

1 9

UNAMCERT

• Aplicaciones y desarrollo de aplicaciones.• Dispositivos periféricos, de seguridad omóviles.• Criptografía (cifrado y manejo de llaves).• Monitoreo.• Auditoría.• Detección y respuesta a incidentes.• Recuperación de desastres y continuidad delnegocio.• Administración de cambios.• Administración de proveedores deservicios/terceras partes.• Cumplimiento contractual y legal.

En este sentido, el estándar puede ser la basepara el desarrollo de las políticasorganizacionales de seguridad de lainformación. Sin embargo, ésto no limita lainclusión de temas de interés para laorganización ysusmiembros, así como asuntosde relativa actualidad, como el uso dedispositivos móviles o cómputo en la nube(temas que, por su importancia, se hanconsiderado integrar en la actualización delmarco de referencia ISO 27001 en su versión201 31 , el cual se espera sea publicado elsegundo semestre del presente año).

Una vez que se hayan desarrollado las políticasde seguridad alineadas a algún estándar oframework, es necesario considerar elementosde importancia para el éxito y funcionalidaddurante la implantación de políticas deseguridad de la información. Por ejemplo, laresistencia al cambio por parte de los miembrosde la organización, quienes con la entrada envigor de las políticas, deberán realizar susactividades bajo la normatividad establecida enlos documentos y modificar algunos hábitos.

En el caso de las personas que se integran ala empresa, es importante informarles y darlesa conocer en el momento que inicia la relaciónlaboral con la organización. La capacitación esun elemento necesario durante el proceso deimplantación.

La aceptación y cumplimiento de las políticasse pueden facil i tar a través de la concientizaciónde los miembros de la organización. Secomprende la importancia de la seguridad de

la información al explicar las medidas deprotección de los activos por parte de los dueños,custodios y usuarios al sensibi l izar sobreamenazas y riesgos.

Por otro lado, resulta necesario definirobjetivamente sanciones de las que seránacreedoras aquéllas personas que de formadeliberada, intencional o por desconocimiento,infrinjan alguna política de seguridad de lainformación. Estas sanciones serán aplicadaspara que se cuente con un marco sólido de estrictoapego.

Finalmente, las políticas junto con losprocedimientos y guías (controlesadministrativos) deben estar integrados con unconjunto de controles físicos y técnicos quepermitan la interacción entre lo descrito en losenunciados y la implementación tecnológica.

1 Revisión ISO/IEC 27001 por parte de "The British

Standards Institution"http://www.bsigroup.com/en-GB/iso-

27001-information-security/ISOIEC-27001-Revision/

Referencias

•International Organization for Standardization. ISO/IEC

27001:2005.

•SANS Institute. Information Security Policy - A

Development Guide for Large and Small Companies.

•SANS Institute. Security Policy Roadmap - Process for

Creating Security Policies.

•SANS Istitute. A Short Primer for Developing Security

Policies.

20

UNAMCERT

10 consejos para mantener nuestraseguridad en el celular

Ahora que el Banco Mundial reporta másteléfonos celulares que personas en el mundo,la gente se ha acostumbrado a confiar muchainformación personal en los dispositivosmóviles. En un celular se encuentran contactosde famil iares y amigos, entradas directas aredes sociales y multitud de aplicaciones coninformación personal, bancaria, agendas ydocumentos laborales. Al descuidar éste tipode información es relativamente sencil locomprometer la seguridad del equipo y de suspropietarios. En este artículo se listan 1 0consejos para proteger nuestra información yflanquear los peligros más comunes.

1. Activa el acceso a tu dispositivomediante el PIN (número deidentificación personal) y un códigode seguridad de uso.

El número de identificación personal (PIN, porsus siglas en inglés Personal IdentificationNumber) está registrado en el «chip» o tarjetaSIM (Suscriber Identity Module, módulo deidentidad del suscriptor) como medida paraproteger los datos si se reinicia el equipo ocuando se cambia el chip del dispositivo.Cuando esto sucede, se activa un menú paraingresar el PIN. Si se opta por este método, esimportante guardar en un lugar seguro la tarjetaplástica que acompañaba a la SIM en elmomento de su compra, pues allí también está

el código PUK (PIN Unlocked Key, clave paradesbloquear el PIN) en caso de que el equipo sebloqueé.

Además del PIN, puede activarse un mecanismode seguridad para usar el equipo. De acuerdo concada fabricante, puede ser un número, unasecuencia de movimientos, un tono de voz o unapalabra clave. Esto será una barrera adicional ysencil la para proteger los datos ante cualquieraque tome el teléfono.

2. Realiza una copia de seguridad de losdatos del dispositivo.

Respaldar es extremadamente importante,porque permite guardar la información del móvilen caso de falla, pérdida de datos o borradosaccidentales. Hay varias formas para hacerrespaldos. Una opción rápida es la copia a latarjeta de expansión o mediante el software desincronización del fabricante, que también puederespaldar datos como favoritos o las contraseñasWi-Fi. Dicho software de sincronización hacecopias de seguridad periódicas con los datos yajustes en aplicaciones, mensajes, diccionariosdel teclado, entre otras configuraciones. Alconectar el equipo para recargarlo a la PC sepuede realizar el respaldo.

Otra alternativa son los servicios en la nube pararespaldar en Internet fotos o archivos conforme

Miguel Zúniga

21

UNAMCERT

se generan, éstos pueden ser aplicaciones enlínea que guardan datos, agendas y contactos.Lo importante es tener un esquema de respaldodisponible por cualquier imprevisto.

3. Activa las conexiones por Bluetooth,infrarrojos y WiFi solo cuando vayas autilizarlas.

Las ventajas de comunicación mediante lospuertos Bluetooth, infrarrojo o Wi-Fi sonevidentes: facil i tan usar un manos libres en elauto, conectarse con impresoras, otros móvilesy enviar texto o imágenes a otras personas, entreotras. Pero tenerlas encendidas todo el tiempotiene dosconsecuencias: en poco tiempoacabancon la batería del teléfono y propician la fuga dedatos.

Al estar abierta alguna señal del teléfono,usuarios malintencionados puedenaprovecharse para transmitir virus o conectarseal dispositivo y obtener contraseñas o contactos,dependiendo el modelo y sistema del equipo. Alconectarse a redes WiFi públicas o inseguras,se puede interceptar con relativa facil idad lainformación que viaja desde nuestro teléfono.Otra práctica común es el bluejacking (larecepción de mensajes o archivos indeseados):cualquier persona que vea nuestro dispositivocon los puertos Bluetooth o infrarrojo habil i tadospuede, desde gastar una broma o iniciarconversaciones aparentemente inocentes,

hasta emplear ingeniería social para cometerposteriormente un robo. Como buena práctica,es mejor evitar que sepan que se posee un buenequipo móvil .

4. Asegúrate de que la informacióntransmitida o recibida esté libre demalware.

Según el sistema operativo de cada teléfono,existe una variedad de malware que puedeafectar su funcionalidad. Para combatirlo, instalaun paquete antivirus y uti l iza los antivirus de tusaplicacionesen líneaparacomprobar losarchivosque se transmiten. Asimismo, cuida los archivosque se instalan o se usen en el teléfono. Unanálisis del antivirus nunca está de más cuandose reciben archivos de otras personas.

5. Descarga aplicaciones solo de sitiosde confianza.

La seguridad de datos en tu teléfono es el blancopreferido de programas que sustraen tuspreferencias y configuraciones. Existe unacantidad enorme de aplicaciones con funcionesocultas para crear desperfectos en un teléfono opara enviar hábitos de consumo y preferenciasa agentes publicitarios. La recomendación essolo instalar una aplicación cuando se corroborela confiabil idad de su procedencia y se estéseguro de que se uti l izará.

Las tiendas de aplicaciones del fabricante de tuequipo o del sistema operativo de éste, sonideales para instalar aplicaciones. Para llegar aellas solo debes registrarte, la mayoría de lasdescargas son gratuitas. También hay sitios(como foros y blogs) que hablan sobreaplicaciones móviles que desarrollan gente y

22

UNAMCERT

empresas entusiastas que tienen buenasopciones para tu equipo. Es cuestión de buscarreferencias adicionales en Internet y obtenerlasde su sitio oficial.

Descargar aplicaciones crackeadas (l iberadasdel mecanismo que comprueba si fueronadquiridas legalmente) puede tenerconsecuencias, como descargar softwaredefectuoso oprogramasespía. Además, hayquevigi lar los permisos de las aplicaciones que seinstalan: aunque vengan de una fuente de fiar,puedensolicitarmáspermisosde losnecesarios.

De igual manera, nunca hay que abrir enlacesfacil i tados a través de mensajes SMS/MMS nosolicitados que impliquen la descarga decontenidos en el equipo. Ésta es una formapopular para propagar aplicaciones que dañandispositivos móviles como parte de una cadenapor Internet. Por mucho que digan que vienende parte de tu operador de telefonía, es mejordesconfiar.

6. Cierra todas las sesiones iniciadasal terminar de usarlas.

Nunca se sabe cuándo se puede perder elteléfono o cuándo pueda caer en manosequivocadas, aunque sea solo por unosminutos.Una persona que uti l iza tu teléfono después deti , tiene la facil idad de acceder a las páginas quehayas visitado y a la información personal que

dejes abierta. Emplea contraseñas seguras ynunca las facil i tes a terceros.

7. Mantén el software del dispositivosiempre actualizado.

Al mantener actualizado el software del equipose evitan fallos de seguridad y se agregan yoptimizan características ante problemaspotenciales que los fabricantes encuentran. Lasactualizaciones menores van enfocadas aresolver fal los ymejorar la seguridad, por lo tantosiempre es buena idea instalarlas. En cambio,las actualizaciones mayores suponenmodificaciones relevantes en el software, lascuales pueden requerir mejores prestacionesdehardware, por lo que es importante verificar enlas notas de actualización yen foros que el equipomantendrásu rendimiento después de incorporarnuevas funciones y uti l idades.

Evita modificaciones de software extraoficialespara garantizar que, cuando se actualice elequipo, siga funcionando correctamente a buenavelocidad y con el esquema de seguridad queproporciona el fabricante. Una actualizaciónhomebrew puede ser divertida o provechosa demomento, pero puede representar un hueco deseguridad a futuro o vacío al agregar nuevasaplicaciones.

8. Instala una aplicación de borrado dedatos remoto.

Instalar una aplicación para borrar los datosremotamente es una buena idea en el caso deextraviar el celular. Con alguna de estasaplicaciones se puede activar el celularmedianteun mensaje de texto antes o después del robo oextravío y, de esamanera, se borra la información

23

UNAMCERT

de tu compañía y rinde informe del hecho. Solicitael bloqueo total de la línea, del chip y del IMEI,para que no se pueda reactivar ni desbloquear elproveedor de telefonía (así se evita que el celularacepte chips de otras compañías) , o reuti l izar enposibles actos delictivos. Al bloquear el equipotelefónico mediante el IMEI, el aparato quedainservible.

10. Cuida a quién le prestas tu celular.

Por último, cuida a quién le prestes tu teléfonocelular, aunque sea por unos instantes. En laescuela, en la calle, un lugar público o una reuniónprivada, una inocente llamada puede significar elrobo de tu información, un secuestro virtual o lapérdida de tu teléfono, en el caso de que lasupuesta persona solicitante de ayuda corrarepentinamente con el celular en mano.

Conclusión:

Estos consejos pueden aplicarse a teléfonostradicionales e intel igentes. Las amenazas deseguridad siempre estarán latentes, perohaciendo conciencia con nosotros mismos y conla gente que nos rodea, se puede reducirenormemente la cantidad de información quepueda comprometerse. Nada es infalible, perocon acciones sencil las se pueden evitarposteriores dolores de cabeza. La protección denuestros datos debe ser una acción constante,que con el tiempo se vuelve algo natural ycotidiano.

Referencias:

• Apple Support, Qué es el PIN de la SIM,

https://support.apple.com/kb/HT1316?viewlocale=es_ES

&locale=es_ES (30 de marzo de 2013).

• Cibergeek, Código PUK, http://cibergeek.com/codigo-

puk/ (3 de abril de 2013).

• HERNÁNDEZ, J, Ventajas y desventajas de Bluetooth,

https://junihh.wordpress.com/2007/06/02/ventajas-y-

desventajas-de-bluetooth/ (26 de marzo de 2013).

• KILLER STARTUPS, Keep yor Mobile Data Secure. (29

de marzo de 2013),

http://www.killerstartups.com/mobile/mobical-net-keep-

your-mobile-data-secure/ (30 de marzo de 2013).

privada. Entre las características adicionales,según el paquete que se instale, se puede:localizar el móvil incluso si el GPS estádesactivado, producir fuertes alarmas (aunqueel equipo esté en modo silencioso), obtener unacopia de seguridad y bloquear el dispositivo alconectarse desde cualquier navegador webdespués del incidente.

9. Guarda el número IMEI.

Una forma para ayudar a detener el robo deequipos celulares es mediante el código IMEI.La Identidad Internacional deEquipoMóvil (IMEIporsussiglasen inglés) esun códigopregrabadoen los teléfonos móviles que identificaunívocamente a nivel mundial a cada equipo.Éste se transmite por el aparato a la red cuandose conecta con su operador de telefonía.

Busca el IMEI en la parte posterior del teléfono,debajo de la pila o tecleando *#06# si estáencendido. Es un número de 1 5 a 1 8 dígitos yse asocia por las siglas IMEI. Anótalo y guárdalocon la factura y su caja: te será de gran uti l idada futuro. Desde el 1 de septiembre de 201 2,entró en vigor un convenio por América Móvil(Telcel) , Iusacell , Nextel y Telefónica Movistarpara compartir los IMEI que hayan sido robadoso extraviados, para evitar que se uti l icen en otrascompañías. Si confirmas que tu número ha sidorobado o extraviado, ve a un centro de atención

24

UNAMCERT

• Más celulares, Virus para teléfonos móviles,

http://mascelulares.blogspot.mx/2007/06/virus-para-

telfonos-mviles.html (1 de abril de 2013).

• Mi próximo móvil, Se unen para crear lista negra de

teléfonos robados en América Latina,

http://www.miproximomovil.com/2012/07/se-unen-para-

crear-lista-negra-de-telefonos-robados-en-america-

latina/ (3 de abril de 2013).

• ROSEN, R (2012), A World With More Phones Than

People, The Atlantic,

http://www.theatlantic.com/technology/archive/2012/07/a

-world-with-more-phones-than-people/260069/ (2 de abril

de 2013).

25

UNAMCERT

Los trolls (o en su forma hispanizada, trol) enInternet se han convertido en una verdaderamolestia, sus actos y actitudes pueden llegar aconvertirse en una confrontación personal ogrupal. En ocasiones puede hacerse unamezclaentre trol leo y bullying y, ¿qué diferencia existeentre uno y otro? En breves palabras hacerbullying esmolestaryhacer trol leo, también, perocon el toque de desprestigio a los demás, a costade difamaciones, creando controversia consupuestas pruebas prefabricadas para intentarfundamentar lo que dicen. A lo largo de esteartículo trataremos de explicar el fenómeno deltrol l en Internet, con el fin de crear concienciaentre los usuarios.

Un caso particular, que bien vale la penamencionar, es el caso de “Bebexito Emoxito”, enel que, a pesar de tratarse de un caso deciberbullying, contiene señales de trolleo. Comobullying, reconocemos el hecho de molestar a lavíctima de una manera denigrante y, por el lado

del trol leo, se reconoce crear discusión entre lagente que opina a favor o en contra del victimariopor desprestigiar a la víctima con fuertesdeclaraciones, como tacharlo de violador.

El victimario mismo declara en un video, sin elmás mínimo remordimiento, el por qué de susacciones: él dice hacerlo por gusto y porque asíl lama la atención de la gente.

¿Qué es un troll cibernético?

El término trol l proviene del nórdico trol l , un serque se comporta de una manera violenta. EnInternet, un trol l es un usuario que se sienta frentea una computadora y busca llamar la atención,la cual consigue al publicar (de manera textual ográfica, es decir con imágenes) temas polémicos,ideas o contenido sensible para otros usuarios.

Los trolls cibernéticosCésar Iván Lozano Aguilar

26

UNAMCERT

¿Cuál es el lugar perfecto para que un trollocasione problemas?

Los trolls se inmiscuyen en foros, comunidadesde usuarios y en algunos otros servicios decomunicaciones públicas de Internet y redessociales, los cuales son los lugares perfectospara provocar e incitar peleas entre los usuariosde esos servicios. Los trol ls pueden confrontarsedirectamente con los usuarios o crearconfrontación entre los mismos.

¿Por qué lo hacen?

Según varias investigaciones(1 ) los trol ls tienensed de atención, ya sea positiva o negativa. Ellosno tienen cargo de conciencia ni remordimientos,no sienten vergüenza al exponer una situacióno compasión contra una víctima. Es inúti l razonar

e interactuar con ellos, pues crean una atmósferade tensión con ideas negativas, al grado degenerar un ambiente totalmente paranoico en elque nuevos usuarios suscritos a estos serviciosde comunicaciones pueden obtener respuestasdemasiado agresivas al tratar de hacer entrar enrazón al trol l .

Los trol ls más hábiles l legan a suplantar amoderadores de blogs y foros, e inclusive apersonas, de los cuales los usuarios trol l imitansu manera de escribir o expresarse en laspublicaciones y en los mensajes de los foros.Esta táctica es un camuflaje úti l que primerodetona como una incitación y, después, terminaen una discusión entre los usuarios.

¿Tienenunnombrelosmensajesqueenvíanlos trolls?

Sí, esos mensajes se denominan mensajesFlame. sSon mensajes deliberadamente hosti leso insultantes que se envían en respuesta a unmensaje provocativo.

Por ejemplo, veamos el siguiente intercambio demensajes:

Mensaje o post inicial por un usuario:

"Me parece que el mejor equipo de la temporadade la liga mexicana de fútbol fueron los Pumas,bien hecho Pumas!! Sigan así!!"

Mensaje flame posteado por un trol l :

"Parece ser que no sabes lo que dices y creoque eres poco competente para tratar sobretemas de futbol, a leguas se nota que no sabesnada y además la liga mexicana de futbol es unabasura"

El mensaje flame anterior, es un ejemplo de un"mensaje anzuelo". Éste sirve para ver si elusuario cae en el juego del trol l , en el que seespera que el usuario que inició el post respondacon un mensaje como el que se muestra:

"De seguro haz de ser argentino, todos ustedesson una bola de ..."

27

UNAMCERT

El usuario convierte en argentino al trol l , aunquesea mexicano, pero el trol l solo lo hizo paragenerar esta controversia. A partir de ahí el trol lcontinúa su juego, en el que usuarios argentinospuedan sentirse ofendidos y desencadenenmensajes ofensivos y agresivos. En este caso,el Troll ganó y cumplió su objetivo al desatar unaguerra de mensajes en la publicación. A este tipode guerra también se le denomina flamewar.

Cadaquienes libredepublicar loquequieraen el momento que quiera

Un punto importante acerca de este tipo demensajes es la l ibre expresión. Un troll , al versecensurado por sus comentarios por losadministradores del servicio o moderadores deforos, puede incitar a otros usuarios para que seunan a la causa y aboguen por la l ibre expresión.

En este caso, el trol l puede argumentar quealgunos de sus mensajes están siendocensurados. Al verestaactitud del trol l , los demásusuarios de la comunidad pueden exigir que nose censure a nadie, argumentando la l ibertad depensamiento y expresión. Lo que no saben losusuarios, esque losmensajes flameestán siendodetectados por los administradores ymoderadores de los foros, quienes saben queno deben liberarlos, porque conocen lasconsecuencias. De esta manera, el trol l gana alponer a los usuarios en contra de losadministradores, aunque algunos de susmensajes o publicaciones hayan sidocensurados.

¿Qué hago si me encuentro con un troll?

Los trolls son inevitables, invaden cualquier foro,blog, comunidad o red social. La única manera

28

UNAMCERT

de tratar con trol ls es limitar nuestra reacción yrecordar a otros que no se debe responder a susprovocaciones. Cuando tratas de razonar conun troll , él gana. Cuando le gritas a un troll , élgana. Cuando insultas a un troll , él gana. Loúnico que un troll no soporta es que lo ignoren.

Puedes tomaren cuentaestas recomendacionescuando te encuentres frente a un troll :

Notifica a los administradores o moderadores delos servicios que uti l ices, si has notado odetectado a un troll .

Evita a toda costa publicar demanera deliberadainformación personal tuya o de gente queconoces, fotos o imágenes en foros ocomunidades públicas, en los que tú no poseasel control total sobre lo que estás publicando. Untroll con ingenio puedeuti l izaresos recursosparaocasionar daño sobre ti o la gente que estimas.

Cuando un troll se siente ignorado, busca conmás esmero endurecer sus ataques, tratando dellamar la atención, es lo que le interesa. Ignorarloconstituye el mejor remedio para que se cansey se vaya.

Evita caer en el mismo juego del trol l , es decir,no te unas a él defendiéndolo para que sigaincomodando o agrediendo a los demásusuarios.

Consuta las normas de comportamiento paraunamejorconvivenciayun fructífero intercambiode información entre la gente que participa enforos públicos.

http://www.comunidadelectronicos.com/listas/netiquette.htm

Referencias:

“Definición de troll”,[en línea],URL:

http://definicion.de/troll/, [consulta: 18 de abril de 2013]

SLATTERY, BRENNON, “Internet Trolls: The Psychology

Behind the Rants”, PCWorld,[en línea], octubre de 2011,

URL:

http://www.pcworld.com/article/242526/internet_trolls_th

e_psychology_behind_the_rants.html, [consulta: 18 de

abril de 2013]

“Don't flame me, bro”, [en línea], noviembre de 2007, New

Scientist,

URL:

http://www.newscientist.com/blog/technology/2007/11/d

ont-flame-me-bro.html, [consulta: 18 de abril de 2013]

(1) GARDNER, AMANDA, “Troll Psychology: Why People

Are So Mean on the Internet”, Healt, [en línea], agosto de

2012,

URL: http://news.health.com/2012/08/02/troll-

psychology-mean-internet/, [consulta:18deabrilde2013]

29

UNAMCERT

Revista .Seguridad Cultura de prevención para TI

No.1 7 / marzo-abri l 201 3 ISSN: 1 251 478, 1 251 477