bSecure

EMPOWERING BUSINESS CONTINUITY

$50.

00 M

.N. La falta de recursos legales modernos y ágiles contra el phishing, llevó a

Alfredo Reyes Krafft a crear iCrime, con muy buenos resultados. Por ello y por su labor en la industria, él es nuestro b:Secure Award 2009.

FUE SOLO EL PRINCIPIO...

REDUCIREL PHISHING

marzo 2009 · 52 · www.bsecure.com.mx

www.bsecureconference.com.mx/mty

Tel: (55)-2629 7285,2629 7260 opción 4

01800 670 [email protected]

Nuevas herramientas de protección

"Ya estamos en problemas¿Ahora qué?",Jesús Torrecillas, consultor CEMEX

Forensia desdeuna galaxia muy muy lejanaAndrés Velázquez,Digital Investigations Director, Mattica

Delitos informáticos10 años despuésJoel Gómez, Gerente general jurídico, NCR de México e Ivonne Muñoz, Experta Digital and E-Security Rights Managements

11 de junio 2009Hotel Camino Real

Monterrey

Un evento de Producido por Con apoyo de

Asista y obtenga el

universo completo de

las actuales batallas:

ACCESO 07 LO MÁS MALICIOSO PARA EL 2009Dejará de ser una preocupación crítica la infección de sitios legítimos, mientras que aplicaciones Web maliciosas están en el ojo del huracán

08 CANCIONES SIN DRM PERO CON DATOS DEL USUARIOApple anunció que quitaría el candado anticopia a las canciones vendidas por su tienda de música, pero podría incluir datos del comprador aún.

09 CUIDADO CON REDUCIR COSTOS SIN ESTRATEGIAAdvierte firma de asesoría que las empresas mexicanas no realizan análisis de riesgos, o lo hacen sin metodologías.

10 MÁS DE 2.600 DIRECCIONES IP INFECTADAS EN MÉXICOEl país se encuentra entre las 25 naciones con más direcciones IP infectadas en el mundo, y como la sexta en América Latina.

11 CONFLICTO EN MEDIO ORIENTE AUMENTA HACKTIVISMOActivistas afectan a sitios en Internet, controlan computadoras remotamente e intervienen redes sociales eliminando grupos; hay evidencias del comienzo de una ciberguerra.

BUSINESS PEOPLE16 ¿POR QUÉ LAS ORGANIZACIONES DEBEN TENER UNA ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN?

OPINIÓN18 LETDOWN – JUST LET ME DOWN

19 LA CRISIS Y LA SEGURIDAD DE LA INFORMACIÓN

ÁREA RESTRINGIDA20 INGENIERÍA INVERSA: CONTRAMEDIDAS

CISO TO CISO22 CONTINUIDAD DE NEGOCIOS Arquitectura de Procesos de Seguridad de Información / Framework de Seguridad.

12B:SECURE AWARD

MAR O9

03 EN LÍNEA 04 LOGIN 24 SINNÚMERO

Alfredo Reyes Krafft es nuestro b:Secure Award de este año.

Marzo 09 B:SECURE 3

ENLÍNEADELITOS INFORMÁTICOS: SÍ SON CASTIGADOS EN MÉXICO En México se sigue teniendo la idea errónea de que la legislación mexicana se ciñe únicamente a: 211 bis 1 al 211 bis 7 del Código Penal Federal, los grandes mitos en el tema es que los delitos informáticos sólo existen si hay acceso no autorizado a un sistema de información y que en las entidades federativas no hay legislación, coincidieron expertos en derecho informático.

En el marco del 6º b:Secure Conference Ivonne Muñoz, especialista en derecho informático, reveló que de la legislación mexicana existente en el tema, 83% ha sido generada y aplicada en los Estados de la República y 13% es federal.

Muñoz aseguró que en México sí hay marco legal para castigar una amplia gama de delitos informáticos, pero aceptó que aún falta eliminar la figura de ‘mecanismo de seguridad’ dentro de la norma federal y en algunas normas estatales. El tema del mecanismo de seguridad ha sido más un estorbo conceptual y práctico para realizar las investigaciones pertinentes por parte de la autoridad.

La experta digital, y E-security Rights Management llamó a los legisladores a porporcionar definiciones propias o estandarizadas de qué es lo que se protege, qué es la información, qué es un sistema de información, este último concepto que es definido únicamente en la legislación del Estado de Colima.

APRUEBAN LEY PARA MONITOREAR CORREOS ELECTRÓNICOS El Parlamento Finlandés aprobó la Ley de Protección a las Comunicaciones Electrónicas mediante la cual empresas y órganos de Gobierno podrán monitorear los contenidos de correos electrónicos de empleados.

La reforma es también conocida como la Ley ‘Nokia’, debido a que el fabricante finlandés de teléfonos celulares presionó durante casi dos años al Parlamento para su aprobación con el fin de evitarlas filtraciones de información y el espionaje industrial.

Dicha Ley ha levantado ámpula particularmente entre expertos en derecho y organizaciones que luchan a favor de la privacidad de la información por considerar que representa una violación a los derechos de las personas.

Anteriormente la ley garantizaba el derecho a la privacidad de las comunicaciones electrónicas y era una prerrogativa de las autoridades policiacas realizar investigaciones que implicaran revisar correos electrónicos, por ejemplo.

Mónica Mistretta DIRECTORA GENERAL

Elba de MoránDIRECTORA COMERCIAL

Jonathan Hernández SosaDIRECTOR EDITORIAL

Gabriela Pérez SabatéDIRECTORA DE

PROYECTOS ESPECIALES

Alejandro CárdenasDIRECTOR DE ARTE

Iaacov ContrerasCIRCULACIÓN Y SISTEMAS

María Eugenia SolaresDIRECTORA

ADMINISTRATIVA

José Luis CaballeroASESORÍA LEGAL

CONSEJO EDITORIALRafael García, Joel Gómez,

Roberto Gómez, Luis Guadarrama, Ricardo Lira,

Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto

Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés

Velázquez, Gilberto Vicente, Carlos

Zamora

COLUMNISTASRoberto Gómez, Ricardo

Morales, Joel Gómez, Andrés Velázquez, Irving García

EDITOR ON LINEEfraín Ocampo

ASISTENTES DEREDACCIÓN

Gabriela Rivera, César Nieto, Oscar Nieto

DISEÑOPablo Rozenberg

VENTAS Y PUBLICIDADMorayma Alvarado, Sonia Gómez, Cristina Escobar

SUSCRIPCIONESSonco-Sua Castellanos,

Stefanye García

b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

TEMA LIBREEfraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

EL GALLETEROJonathan Hernández, director editorial y editor de b:Secure, despotrica sobre lo último de los gadgets y la tecnología de consumo.

BLOGUEROS INVITADOSMónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Estos y otros artículos en www.bsecure.com.mx

BSECURE.COM.MX

LOGIN

TWITTER RECOMIENDA CAMBIAR CONTRASEÑAS POR BRECHADebido a un problema de seguridad que experimentó, Twitter ha invitado a sus usuarios a que verifiquen sus correos y contraseñas. El sitio de microblogging informó que durante la mañana del lunes 5 de enero detectó que 33 cuentas habían sido hackeadas, entre las cuales se encuentra la del presidente electo Barack Obama, entre otros personajes prominentes.

Aunque el mencionado conjunto de cuentas han sido aseguradas, y sus usuarios han recuperado ya el control de ellas, Twitter comunicó en su blog (http://blog.twitter.com/) a través de Biz , cofunda-dor del sitio, que el hecho no está relacionado con el engaño de phishing en el cual fueron víctimas algunos de sus usuarios este fin de semana. El hacker, que consiguió tener acceso a las 33 cuentas de-tectadas, lo logró gracias a que penetró en herramientas utilizadas por el equipo de soporte, las cua-les, entre otras cosas, ayuda a los usuarios a cambiar la contraseña de sus cuentas o a editar los correos electrónicos asociados a sus cuentas en Twitter.

En el informe, Biz aseguró que las herramientas de soporte dejaron de estar disponibles para evi-tar que más cuentas fueran comprometidas; sin embargo, no se ha dado aviso aún de que se encuen-

tren nuevamente disponibles. El sitio informó que esto sería posi-ble hasta que hubiera la seguridad de que el soporte es seguro.

Por tal razón, Twitter reco-mienda a sus usuarios a cambiar sus contraseñas y revisar que los correos electrónicos que asocia-ron a sus cuentas sean las que ellos dieron de alta. “Conside-ramos esto como una brecha de seguridad muy importante”, ex-presó Biz en el aviso oficial sobre el hecho criminal.

Un investigador ha puesto a disposición de los usuarios de Internet una herramienta para hackear sitios Web de manera gratuita.

La herramienta, llamada ‘LetDown’, permite encontrar las vulnerabi-lidades de cualquier página en Internet y literalmente tirarlo mediante un ataque de negación de servicio (DoS, por sus siglas en inglés).

El autor es el investigador italiano Acri Emanuele, y ‘LetDown’ for-ma parte de una colección de herramientas desarrolladas por él mismo para resolver problemas denominada ‘Complemento’.

En el post de la descripción de dichas herramientas, el autor –con el nickname ‘crossbower’– dice que su propósito es realizar pruebas de es-caneo de dominios que utiliza un escaneo de fuerza bruta para encon-trar los subdominios que serán el objetivo del ataque.

Uno de los posible usos que cualquier entendido de la informática pudiera darle a ‘LetDown’ es dañar un servidor sin necesidad de con-tar con una botnet. El servidor tendría que contar con deficiencias en la configuración por utilizar conexiones muy lentas.

No obstante, originalmente fue desarrollado para probar el rebote de los ataques DoS en las redes de quienes hacen las pruebas, con el fin

de hacer los ajustes necesarios tanto en infraestructura como en con-figuración.

LIBERA INVESTIGADOR HERRAMIENTA GRATUITA PARA DOS

LOGIN

4 B:SECURE Marzo, 2009

LA FRASE:

“Para evitar el robo de identidad en una empresa es indispensable establecer una estrategia que

profundice en las capas que conforman

la organización, a fin de identificar y mitigar riesgos”.

Gerardo Alcarraz,

Certified Information Systems Auditor (CISA)

del Banco de la República Oriental del Uruguay.

Symantec advirtió que hubo un aumento en la cantidad de mensajes maliciosos de spam en los Estados Unidos, en los días previos a la toma de poder del nuevo presidente de ese país, Barack Obama. Los correos detectados llevaron títulos llamativos como “Debes ver esto”, “Noticia de última hora”, “Qué pasará con el país”, y dentro del correo se leían mensajes como “Obama ha renunciado a ser presidente” y “Obama no está”, entre otros. El correo también incluía una liga a lo que parecía ser el sitio oficial de Obama-Biden, pero que en realidad era una página llena de enlaces con código malicioso y descargas de archivos con nombres como usa.exe, obamanew.exe, pdf.exe, statement.exe, barackblog.exe, barackspeech.exe. Lo que en realidad se descargaba en el sitio era un malware llamado W32.waledac, que aunque no era una amenaza de alto riesgo, sí puede: recolectar información sensible del equipo atacado, transformar una computadora en un “zombie” para envíos de spam, y crear un “back-door” o puerta trasera en la computadora para que sea controlada remotamente.

BREVE

Marzo, 2009 B:SECURE 5

CIBERCRIMINALES SON MÁS LENTOS Y EFECTIVOSLos tiempos en los que los hackers ejecutaban sus ataques por reconocimiento han quedado muy atrás; hoy, la táctica es tener un bajo perfil para obtener beneficios económicos.

Un reporte de la compañía de seguridad iQnetworks reveló que los cribercriminales buscan no ser de-tectados y trabajar silenciosamente para lograr sus objetivos, y que esta tendencia predominará, moti-vando que los atacantes sean más metódicos y estudiosos en los pasos que darán, así como que utilicen mejores tecnologías.

Igualmente, el informe prevé que la mayoría de los cibercriminales ejecuten sus fechorías en esta moda-lidad, ya que buscan cubrir sus rastros y son capaces de suspender su ataque cuando se percatan de que han sido despertadas sospechas de una intrusión, por ejemplo.

Este sería precisamente el perfil del hacker que busca penetrar a un sistema, y que seguirá este modelo de acción, asegura la compañía, ya que es prácticamente un hecho que los criminales van por información sensible con la cual podrán hacer un daño serio o que les dejará grandes ganancias al hacer uso de ella.

El proceder de este tipo de delincuentes, de acuerdo con iQnetworks, es tan limpio que no es preciso buscar en el desorden o detectar cambios notables en los sistemas, ya que suelen poner en su lugar lo que movieron.

La firma alertó a los administradores de IT de las organizaciones en cuan-to a que la puerta de entrada favorita a los sistemas de la organización ma-yormente son vulnerabilidades en aplicaciones Web, o mediante ataques de phishing exitosos en los que haya caído por lo menos un empleado de la compañía.

Una vulnerabilidad en la red social de contac-tos profesionales LinkedIn fue aprovechada por atacantes para reenviar a usuarios a sitios donde descargarían malware sin su conocimiento para in-fectar su PC.

Según un reporte, la vulnerabilidad en LinkedIn fue aprovechada para crear perfiles falsos de per-sonalidades conocidas, mayormente actrices y can-tantes, cuyas ligas contienen código malicioso, de modo que si se les da clic dirigirá a los usuarios di-recto a la trampa.

La red social con más de treinta millones de usua-rios, de acuerdo con cifras oficiales, continúa alber-gando el código malicioso que explota el hueco hallado por los hackers, según el reporte de Trend Mi-

cro, por lo que permanece siendo una amenaza. El ataque se esparce a través de la lista de contactos, y no se ha concentrado en una geografía en particular, sin no que se ha esparcido en el mundo, indicó la fir-ma de seguridad.

Salma Hayek, Beyonce Knowles, Victoria Bec-kham, Christina Ricci, Kirsten Dunst y Kate Hud-son, entre otras, son algunas de las personalidades que cuentan con perfiles apócrifos en los cuales se encuentran vínculos a sitios Web maliciosos don-de serán descargados programas que infectarán la PC de la víctima.

Los cibercriminales utilizan funciones del sitio como LinkedIn Answers y el acceso desde disposi-tivos móviles para establecer sus trampas.

PERFILES FALSOS EN LINKEDIN INFECTAN CON MALWARE

EL CIBERCRIMEN SÍ PAGALa proliferación de paquetes de herramientas para llevar a cabo ataques de phishing o simplemente para auto-matizarlos es un buen negocio.

Tanto así, que en este modelo criminal todos los participantes ganan. Los hackers desarrollan herramientas fá-ciles de usar, para que cualquiera pueda llevar a cabo ataques como phishing, spam o de negación de servicio, las venden y a su vez quien las compra puede hacer dinero fácil sacándoles provecho.

Los hackers que producen paquetes de estas herramientas simplemente automatizan los ataques, y los ponen en venta en Internet, con lo cual contribuyen a la proliferación de ataques electrónicos y a su masiva diversifica-ción, tal como se ha previsto en los pronósticos de las amenazas para 2009.

Por ejemplo, de acuerdo con un reporte de la BBC, existen en el mercado negro de estas herramientas algu-nos paquetes que ofrecen incluso hasta 12 meses de soporte técnico en caso de que algo fallara. Sin embargo, los precios de algunos de los mejores tool kits alcanzan la asombrosa cifra de hasta $10,000 pesos.

Un ejemplo es la herramienta MPack, de la cual pueden descargarse de Internet actualizaciones del soft-ware para asegurar que podrá ser utilizado en las más recientes vulnerabilidades descubiertas. De esta forma, sus creadores garantizan que sea sencillo atacar páginas Web u obtener acceso a las PC para convertirlas en zombies sin que el usuario se dé por enterado. MPack también se especializa en tener actualizadas las vulne-

rabilidades más recientes de los navegadores Web, para enviar ataques que comprometan la compu-tadora de quienes ingresen en páginas de Internet comprometidas o infectadas con malware.

De acuerdo con un reporte de Symantec, la eco-nomía clandestina de software malicioso ha ma-durado a tal punto que se ha convertido en un mercado global que funciona eficazmente.

El Informa de la Economía Clandestina de la fir-ma, difundido a finales del año pasado, asegura que entre el 1 de julio de 2007 y el 30 de junio de 2008 el valor estimado del total de los bienes anun-ciados fue superior a los $276,000,000 de dólares.

—Efraín Ocampo

La Oficina del Interior de Gran Bretaña (GB) firmó un acuerdo que promueve la Unión Europea para permitir a las fuerzas de seguridad hackear sistemas de cómputo de sospechosos de haber cometido deli-tos sin que medie una orden judicial.

De esta manera, el Gobierno británico incrementa el poder de las policías, lo cual ha despertado temores en el sentido de que esta tendencia se vea incrementada, de acuerdo con un reporte del sitio Web de la BBC.

La iniciativa fue originada desde el Concilio de la Unión Europea, donde conceder estos poderes a las policías locales tiene como pro-pósito mejorar las estrategias para combatir el cibercrimen, según la instancia europea.

No obstante, para el Gobier-no británico esto sólo refuerza su estrategia de prevención del crimen. Actualmente las poli-cías de GB tienen la facultad le-gal para accesar remotamente a las computadoras, con el fin de incrementar la vigilancia y pre-

venir o detectar así crímenes serios mediante la Ley de regulación de poderes de investigación promul-gada en 2000.

La Unión Europea pretende extender este programa entre los países miembros, y voceros han asegurado querer asegurarse de que muestren estar comprometi-dos en la luchas en contra del cibercrimen.

Los antivirus actuales podrían detectar la presencia de hackers policiacos en sus PC, ya que muchos están diseñados para detectar cuando existe acceso remo-to no autorizado, como el realizado por los atacantes

mediante troyanos y spyware.Probablemente el aspecto más

difícil de probar, tanto para la policía como para los afectados, es en qué medida la evidencia pudo haber sido sembrada du-rante la revisión remota.

Cualquier país miembro de la Comunidad Europea podría so-licitar a GB se investigue a uno de sus ciudadanos en esta mo-dalidad.

PERMITIRÁ GRAN BRETAÑA HACKEO A SISTEMAS DE SOSPECHOSOS


DESCUBREN FORMA PARA BLOQUEAR ENVÍOS DE SMSInvestigadores de una firma de seguri-dad encontraron que un mensaje de texto corto malformado podría deshabilitar el envío y recepción de SMS en ciertos mo-delos de teléfonos celulares de Nokia.

La denominada ‘maldición del silen-cio’ por expertos de F-Secure afecta a al-gunos dispositivos que corren el sistema operativo de Symbian S60. Este ataque es del tipo de negación de servicio y afecta al sistema de envío de SMS únicamente, conservando sus otras funciones.

Hasta el momento, Nokia ha liberado una actualización de seguridad que ha hecho llegar a los usuarios de teléfonos equipados con S60, pero por el momen-to únicamente a quienes son clientes de servicios de F-Secure.

La forma de operar el ataque de he-cho es tan sencilla que lo puede llevar a cabo cualquier persona. Los atacantes pueden enviar un correo electrónico a un teléfono celular como SMS, configu-rándolo como ‘Internet Electronic Mail’. El mensaje deberá contener como di-rección más de 32 caracteres y terminar con un espacio sin carácter para que una gran variedad de teléfonos S60 estén im-posibilitados para enviar mensajes SMS ni multimedia (MMS), de acuerdo con F-Secure.

Según la compañía Caos Compu-ter Club, de origen alemán, el mensa-je debe enviarse al objetivo once veces a los teléfonos S60 v3.1 y sólo una vez a las demás versiones del S60. Final-mente, algunos teléfonos afectados que reciban SMS o MMS mostrarán un men-saje advirtiendo al usuario que no pue-den recibir mensajes porque la memoria está llena, aunque el buzón se encuen-tre vacío.

Los modelos afectados según la fir-ma alemana son los S60 de tercera edición (feature pack 1) E90 Commu-nicator, E71, E66, E51, N95 GB, N95, N82, N81 8GB, N81, N76, 6290, 6124, 6121, 6120, 6110 y 5700 Xpressmusic; así como los S60 tercera edición E70, E65, E62, E61i, E61, E60, E50, N93, N92, N91 8GB, N91, N80, N77, N73, N71, S500, 3250; además de los S60 se-gunda edición feature pack 3 y 2.

Este año, las firmas de seguridad no se pusieron de acuerdo con respec-to a cuáles serán las principales amenazas a las seguridad de la infor-mación durante este año.

La seguridad del Cómputo en la Nube, las aplicaciones falsas de segu-ridad o scareware, los sitios legítimos utilizados para infectar las PC con malware, las nuevas variantes de malware o la utilización de aplicaciones basadas en Web como Flash y Google Gears son algunas de las mayores pre-ocupaciones para 2009.

El común denominador de los pronósticos de las firmas de seguridad como Sonicwall, Symantec y Websense es que las amenazas Web continua-rán predominando en el mapa de la seguridad. Por esa razón, a pesar de que aún figuran entre las 10 mayores preocupaciones, el spam y el phishing han dejado de protagonizar el panorama.

En cambio, las fugas de datos han cobrado relevancia, las cuales están ín-timamente relacionadas con los efectos de los códigos maliciosos a los que están expuestos los usuarios de Internet desde un enlace de un correo spam, phishing o el secuestro de un sitio confiable para cambiar algunos vínculos y enviar tráfico a sitios que descargan malware. Esta última amenaza es par-ticularmente importante, ya que de acuerdo con Websense 75% de los sitios Web donde fue hallado código malicioso son legítimos.

Como novedad, Websense predice que los servicios proporcionados vía cloud computing como Amazon Web Services, Microsoft Azure y Go-Grid, por ejemplo, serán más atractivos para los cibercriminales ya que la nube, según la firma, puede utilizarse para enviar spam o lanzar ata-ques más sofisticados como hospedar código malicioso para descargar o realizar pruebas.

También se espera que las aplicaciones, particularmente las de oficina ba-sadas en Web, como Google Gears, Air, Flash y Silverlight, sean el objetivo de ataques a gran escala al aprovechar vulnerabilidades encontradas en ellas para ejecutar código remotamente.

Para Symantec la mayor preocupación recae en las nuevas variantes de las amenazas, pasando de la distribución masiva de pocas amenazas a la mi-cro distribución de grandes familias de amenazas, lo cual hace más difícil

su identificación y control. El scareware fue especialmente común durante 2008, y la firma prevé que los programas falsos de seguridad experimenten un crecimiento este año.

En cambio, Sonicwall enfoca la atención de sus pronósticos al cumpli-miento de regulaciones y las fugas de datos. Según la compañía, la crisis fi-nanciera genera nuevas y más estrictas regulaciones en la industria, y con ello requisitos más estrictos de supervisión, auditoría y elaboración de in-formes. Por ello, evitar el fraude y la invasión a la privacidad, ambas provo-cadas por las amenazas, será crítico para las organizaciones.

En ese sentido, los CIO y los expertos en seguridad deberán administrar el riesgo de la mejor manera, con estrategias más holísticas y proactivas que consigan evitar el gasto excesivo en infraestructura adicional.

Sonicwall y Symantec coinciden en que la fuga de datos será el aspec-to crítico mientras prevalezca la crisis financiera. Los despidos, así como las adquisiciones y fusiones que ocurren con mayor frecuencia en un ambiente económico violento o incierto, generan tensión entre los empleados, quie-nes sustraen información sensible para utilizarla en su beneficio en caso de tener que salir de la organización.

De acuerdo con la firma de seguridad Cyber-Ark, de 56% de encuesta-dos que dijeron estar preocupados por perder su empleo, más de la mitad de ellos dijo haber descargado información corporativa sensible y estar pla-neando utilizarla como una herramienta de negociación para conservar su empleo en caso de ser despedidos. ●

Dejará de ser una preocupación

crítica la infección de sitios legítimos,

mientras que aplicaciones

Web maliciosas están en el ojo del

huracán.LO MÁS MALICIOSO PARA 2009

Por Efraín Ocampo

ACCESO


LAS FUGAS DE DATOS HAN COBRADO RELEVANCIA, LAS CUALES ESTÁN ÍNTIMAMENTE RELACIONADAS

CON LOS EFECTOS DE LOS CÓDIGOS MALICIOSOS A LOS QUE ESTÁN EXPUESTOS LOS USUARIOS DE

INTERNET


En junio de 2007, Apple anunció que logró un acuerdo con EMI Music para vender la música del sello discográfico a través de su tienda en línea iTunes Store, pero sin el candado anticopia o DRM.

Sin embargo, dichos archivos contenían los datos del comprador.Este hecho constituyó un problema para los compradores de los ar-

chivos musicales, ya que aunque tenían la posibilidad de compartir de un dispositivo a otro la música comprada sin restricciones, también es-taban compartiendo su información personal embebida en los archi-vos AAC, sin ningún tipo de advertencia de la tienda de iTunes, según versiones.

Tal información fue difundida por la organización Electronic Fron-tier Foundation (EFF), dedicada a la protección de los derechos di-gitales, la cual aseguró que cuando el usuario de iTunes compra una canción, en ella se incrustan metadatos que identifican a su comprador

más allá de un correo electrónico o nombres.Apple anunció que iTunes Store venderá las canciones de su catálogo

de más de diez millones de canciones sin el candado anticopia o DRM que habían incluido desde 2003, cuando surgió la tienda en línea. Sin embargo, la duda que tuvieron los usuarios de iTunes Store hace año y medio continúa siendo válida en esta ocasión.

Por esa razón, las canciones compradas en iTunes Store sin el canda-do anticopia podrían compartirse con todo y los datos personales del comprador, aunque no se tiene información precisa sobre cuáles son

los datos que integran la información del comprador. Muchos usuarios se han quejado ya de este problema, y han deja-

do explicaciones en un sinfín de mensajes en el Weblog no oficial de Apple, Ars Technica. Allí, ya desde el año pasado, mencionan que se puede ver los datos del comprador en las canciones compartidas de iTunes haciendo clic con el botón secundario del ratón sobre la can-ción, y eligiendo la opción “Obtener información”.

Estos datos escondidos en las canciones sin protección pueden usar-se para rastrear quién las compartió. De hecho, hay quienes opinan que esto podría ayudar a autoridades y a proveedores del servicio de Inter-net (ISP) a rastrear a aquellos que comparten la música a través de redes P2P, aunque esto es objetable porque la información en los metadatos puede ser manipulada, y esto dificultaría demostrar en un tribunal que la persona cuyo nombre aparece en la canción es quien efectivamente compró la canción. En cambio, iTunes podría rastrear qué canciones en el disco duro de un usuario han sido compradas por otros.

“Lo que Apple y las discográficas quieren ver de cerca es si uno com-pra una canción para sus cinco mejores amigos. No sería una sorpresa que estos datos se analizasen para saber más sobre este tema, aunque la política de privacidad de Apple no parece que lo permita”, dice Ars Technica. Apple remite a un artículo del analista Michael Gartenberg, quien asegura que esto de los metadatos una práctica común en otras tiendas virtuales para un trato personalizado con el cliente. Para Gar-tenberg, “es difícil sentir simpatía por los que se preocupan por colocar música en P2P y que no se les pueda localizar. Si te preocupa, es que estás haciendo algo malo. Esto es música sin protección DRM, no mú-sica sin copyright”.

Actualmente en Francia se persigue y juzga a los usuarios que com-parten música por Internet. Países como Gran Bretaña, Estados Unidos y España, entre otros, buscan castigar a los usuarios que comparten música en Internet a través de legislación o de medidas conjuntas en-tre las disqueras, las autoridades y los ISP, con el fin de frenar la pira-tería en la Red. ●

Apple anunció que quitaría el candado anticopia a las canciones vendidas por su

tienda de música, pero podría incluir datos del comprador aún.

CANCIONES SIN DRM, PERO

CON DATOS DEL USUARIO

ACCESO

LAS CANCIONES COMPRADAS EN LA ITUNES STORE SIN EL CANDADO

ANTICOPIA (DRM) PODRÍAN COMPARTIRSE CON TODO Y LOS

DATOS PERSONALES DEL COMPRADOR, SEGÚN LA ELECTRONIC FRONTIER

FOUNDATION.

Las organizaciones mexicanas implementan acciones para evitar gastos sin un plan claro, y sin estar alineadas a los objetivos de las compa-ñías, advirtió el informe de una conocida firma de asesoría a negocios.

En efecto, según un reporte de Ernst & Young, tal situación podría llevar a la eliminación de controles clave para la seguridad corporativa, lo que pro-vocaría que existan más vulnerabilidades en negocios, gracias a una reduc-ción de costos ejecutada sin que exista una estrategia clara detrás.

El estudio, realizado por la consultora con ejecutivos de 50 organizacio-nes mexicanas, reveló que 60% de ellas no está realizando análisis de riesgos o lo llevan a cabo informalmente, sin aplicar ninguna metodología.

“Las acciones de optimización de costos que las empresas instrumentan para hacer frente a los efectos de la recesión mundial deben tener un fun-damento estratégico que no comprometa la seguridad de la información y además permita, en un contexto de presión económica, detectar riesgos y vulnerabilidades que podrían derivar en fraudes”, alertan especialistas de Ernst & Young.

De acuerdo con Carlos Chalico, socio de la firma, la misión de los empre-sarios en este contexto de recesión global es hacer más con menos, y detec-tar los proyectos que no agregan valor con el fin de aplazarlos o cancelarlos en caso de ser necesario. Sin embargo, en este afán por hacer negocios más eficientes y esbeltos podrían sacrificarse elementos de control clave.

“Lo verdaderamente clave es que este esfuerzo por ser más eficiente no deje a la empresa con una estructura de control interno débil o vulnerable a fraudes o violaciones a normas corporativas”, dijo Chalico.

El especialista indicó que deben respetarse o habilitarse controles necesa-rios para reducir la posibilidad de continuar operando con altos riesgos. En un entorno como el actual se corre el riesgo, dijo, de atender emergencias

que pongan a los empleados en la tentación de violar las normas de la em-presa. En otro escenario, los empleados podrían tener la presión suficiente para ejecutar algún fraude en contra de la empresa.

La firma aconseja a las organizaciones formalizar esquemas robustos de privacidad y confidencialidad de la información, ya que considera que es un tema poco desarrollado en el sector privado mexicano.

“…existe el alto riesgo de lastimar seriamente la reputación de una com-pañía que no prevenga eventuales fugas de información”, advirtió Ernst & Young en su informe. ●

Advierte firma de asesoría que las empresas mexicanas no realizan análisis de riesgos, o lo hacen sin metodologías.

Por Efraín Ocampo

ACCESO


EL ESTUDIO, REALIZADO POR LA CONSULTORA CON EJECUTIVOS DE 50 ORGANIZACIONES MEXICANAS,

REVELÓ QUE 60% DE ELLAS NO ESTÁ REALIZANDO ANÁLISIS DE RIESGOS O LO LLEVAN A CABO INFORMALMENTE

¿REDUCIR COSTOS SIN ESTRATEGIA?¡CUIDADO!


Los atacantes han infectado en todo el mundo un aproximado de 2,400,000 millones de computadoras de todo el mundo a través de ser-vidores Web de compañías, informó un reporte.

Aunque la cifra es conservadora de acuerdo al informe, el hecho es que casi 250,000 direcciones IP ubicadas en todo el mundo han sido uti-lizadas para actividades maliciosas, y muchas de ellas pertenecen a gran-des empresas, cuyas computadoras han sido virtualmente infectadas.

De ellas 2,685 direcciones IP, hasta el miércoles 21 de enero pasa-do, fueron detectadas en México, lo cual ubicó al país como uno de

los 25 países con más direcciones IP infectadas en el mundo, y como el sexto lugar en América Latina después de Brasil (34,814), Argentina (11,675), Chile (5,882), Colombia (3,719) y Venezuela (2,828).

“Una gran parte de este tráfico proviene de redes corporativas, a través de firewalls, proxies y ruteadores NAT. Esto significa que una dirección IP única que hemos detectado bien podría englobar a 2,000 computado-ras en la vida real”, aseguró la firma F-Secure en su weblog.

Los atacantes necesitan un conjunto de sitios Web para tomar el con-trol de las máquinas infectadas, pero muchos de ellos son fáciles de de-tectar y tirar. No obstante, los cibercriminales se las han ingeniado para incorporar a su estrategia algoritmos complicados para generar posibles nombres de dominio diariamente, según el reporte, lo cual hace mucho más compleja la tarea de identificarlos y ponerlos fuera de servicio.

Los dominios generados con el algoritmo, con mayor potencial, son registrados por los atacantes, y hacen con ellos sitios Web para ganar acceso a máquinas que ya se encuentran infectadas. Es utilizando esta misma lógica como F-Secure ha realizado sus proyecciones.

China, Brasil, Rusia, India y Ucrania son los cinco países con más di-recciones IP infectadas, según el reporte. El listado total de las naciones donde fueron detectadas IP infectadas ha sido publicado por la compa-ñía de seguridad en su weblog. ●

El país se encuentra entre las 25 naciones con más direcciones IP infectadas en el mundo, y como la sexta en América Latina.

MÁS DE 2,600 DIRECCIONES IP INFECTADAS EN

MÉXICO

ACCESO

LOS CIBERCRIMINALES SE LAS HAN INGENIADO PARA INCORPORAR A SU ESTRATEGIA ALGORITMOS COMPLICADOS PARA GENERAR

POSIBLES NOMBRES DE DOMINIO DIARIAMENTE.

Las acciones de los activistas, tanto palestinos como israelíes, han afec-tado a Internet en lo que algunos consideran como la intensificación de expresiones del hacktivismo estimuladas por el conflicto de ambas

naciones del Medio Oriente.Sitios Web de entidades militares de Estados Unidos, así como ban-

carias y financieras basadas en Israel, e incluso Facebook, han sido ob-jetivos del activismo cibernético, principalmente de simpatizantes de la causa palestina.

Hacktivistas palestinos atacaron el sitio Web del Ejército de Estados Uni-dos el pasado 7 de enero, así como el de la Asamblea Parlamentaria de las naciones que pertenecen a la Alianza del Atlántico Norte, entre las cuales se cuentan algunas de las más poderosas del mundo.

La crisis en Gaza también ha provocado que los hacktivistas autodenomi-nados ‘Agd_Scorp/Peace Crew’ hayan sustituido páginas Web de diversos sitios por una famosa foto de un muchacho palestino que tira piedras a un tanque israelí apostado en la zona de conflicto, imagen que se ha repetido en numerosas incursiones del ejército israelí en Gaza. Asimismo, los hackti-vistas han colocado fotos de las banderas de Israel, Estados Unidos o Gran Bretaña que presentan un gran tache rojo.

Además, han colocado leyendas que dicen: “un día los musulmanes lim-piarán al mundo de ustedes”, haciendo referencia a Israel y a Estados Uni-dos, países a los que exigen un alto en sus ofensivas militares.

Por si fuera poco, los hackers que simpatizan con la causa palestina han secuestrado y tomado el control de sitios Web israelíes de noticias como el de ynetnews.com, redirigiendo el tráfico hacia páginas que con-tienen consignas palestinas.

Pero hacktivistas israelíes han hecho también su trabajo, atacando si-

tios de la causa palestina y colocando banderas israelíes con consignas. En particular, la Fuerza Judía de Defensa en Internet tomó el control de varios grupos pro palestinos en Facebook, en los cuales removió contenido y lo sustituyó con el logo de la Fuerza y con consignas.

El Centro Simon Wiesenthal, dedicado a monitorear el odio y el terroris-mo digital, dio a conocer que en el sitio del Comité británico de los Asun-tos Públicos de los Musulmanes se han posteado informaciones donde se

les dice a los musulmanes locales cómo elaborar una lista de judíos promi-nentes para presuntamente “intimidarlos o hacerles algo peor”, según dijo Abraham Cooper, asociado del Centro.

El sitio Web Defensetech.org dio a conocer que una página Web pro is-raelí recluta voluntarios para llevar un acabo un ataque distribuido de nega-ción de servicio (DDoS) a los sitios de la guerrilla palestina Hamas, para lo cual es necesario descargar una herramienta DDoS que el movimiento ‘Help Israel Win’ o ‘Ayuda a Israel a ganar’ ofrece gratuitamente. De consumarse este hecho, asegura el sitio, podría desencadenar una ciberguerra. ●

Activistas afectan a sitios en Internet, controlan computadoras remotamente e intervienen redes sociales eliminando grupos; hay evidencias del comienzo de una ciberguerra.

Por Efraín Ocampo

ACCESO


SITIOS WEB DE ENTIDADES MILITARES DE ESTADOS UNIDOS, ASÍ COMO

BANCARIAS Y FINANCIERAS BASADAS EN ISRAEL E INCLUSO FACEBOOK HAN SIDO

OBJETIVOS DEL ACTIVISMO CIBERNÉTICO PRINCIPALMENTE DE SIMPATIZANTES DE

LA CAUSA PALESTINA.

CONFLICTO EN MEDIO ORIENTE INTENSIFICA HACKTIVISMO


Una charla con Alfredo Reyes Krafft, el bSecure Award 2009

REDUCIREL PHISHING

La falta de recursos legales modernos y ágiles que les permitieran luchar contra una gran

amenaza de phishing que surgió hace unos años, llevó a la AMIPCI y a Alfredo Reyes Krafft a crear el iCrime, un grupo de seguridad dentro de este organismo que lucha por disminuir el phishing

en México combatiéndolo desde los propios proveedores de servicios de internet.


Por Jonathan Hernández Sosa

Una charla con Alfredo Reyes Krafft, el bSecure Award 2009

FUE SOLO EL PRINCIPIO...

REDUCIREL PHISHING


¿Cómo ingresa un doctor en derecho al mundo de la segu-ridad informática, sin haber tomado un solo curso de sistemas? Empieza a trabajar en la Asociación Mexicana de Internet, la AMIPCI. “Tengo años ahí, y uno de los puntos más importantes es precisamente el concepto de seguridad y la percepción de in-

seguridad que los usuarios tienen”, dice Alfredo Reyes Krafft, hoy vicepresi-dente ejecutivo de la asociación y director de Negocios Digitales e Industria Bancaria del Grupo Financiero BBVA Bancomer.

Con el fin de luchar contra el aumento de los crímenes informáticos, la asociación decidió crear un comité interno de seguridad, y formar el iCrime, un grupo especial dedicado a frenar el phishing en México y, de paso, a me-jorar las herramientas jurídicas relacionadas con este esfuerzo.

El grupo iCrime, donde Reyes Krafft es el coordinador y secretario, “surgió hace unos años cuando hubo una amenaza grande de phishing, pero el trá-mite legal para bajar el sitio tardaba días, semanas, al ir a las autoridades para

que ellos manden una instrucción a NIC México de que se baje. Eso suponía un riesgo grandísimo”, cuenta el ejecutivo.

“Con este grupo bajamos sitios en menos de media hora de respuesta, un tiempo menor aún que el de los estándares internacionales. Esto ha ayudado en cuestiones prácticas muy puntuales, y ha permitido enfrentar estos pro-blemas de una manera muy rápida”, refiere.

UN ESFUERZO CONJUNTOAunque iCrime integra diversas entidades del sector público, privado, aca-démico y civiles, tales como PFP, Cofetel, Canacintra, ABVM, Visa y ALAP-SI, entre otras, para Reyes Krafft sigue siendo un grupo de amigos que busca “mejorar la experiencia del usuario en internet y evitar el delito cibernético”.

Sus miembros se reúnen una vez al mes, y entre los avances que ya han conseguido con NIC México están, por ejemplo, el manejo de notificaciones para bajar sitios web peligrosos directamente a los usuarios y proveedores de servicios de acceso a internet.

“Nos dimos cuenta de que era más práctico combatir el phishing mexica-no desde los ISP, así que reunimos a los principales y logramos niveles impre-sionantes de la gente de la UNAM”, comenta Reyes Krafft. “Ya no lo hacemos por la NIC, sino por el propio proveedor, quien asume con un medio de co-municación centrado en la AMIPCI, centrados en el contrato del cliente, que no se pueden poner sitios que vayan en contra de la ley o la ética. Es decir, son ‘Notice & Take Down’ dirigidos al propio proveedor de internet. Esto es un paso importante”, afirma.

Sin embargo, el iCrime no es el único esfuerzo de la AMIPCI por acabar con el delito informático. Otro grupo interno, el INFRA, está empezando a trabajar en un proyecto para lograr que los requerimientos del Ministerio Pú-

blico se concentren en una sola asociación, como la AMIPCI, y sean más específicos.

Esto quiere decir que sería la propia asocia-ción la que entregaría la orden judicial al ISP, para que guarde solo una cierta información rela-

cionada con un caso (para las pruebas de juicios y los procesos), en lugar de hacer que almacene todo. Así se evitarían costos adicionales para el ISP que podrían afectar el precio de sus servicios para el usuario final.

MÁS ALLÁ DEL PHISHINGPero, por supuesto, estos esfuerzos aún no son sufi-cientes. Para Alfredo Reyes, la lucha contra el phishing es solo el primer paso. “Hay mucho que ver. Cada día surgen nuevas amenazas, y estamos trabajando mu-cho para reconocerlas, ubicarlas y conocerlas, y den-tro del grupo interdisciplinario ver cómo alertarnos y defendernos”, comenta.

Y como una de las principales amenazas es la desin-formación y falta de conocimiento de los usuarios, así como la carencia actual de herramientas en la legisla-ción mexicana para enfrentar adecuadamente este tipo de delitos, el grupo iCrime decidió tratar de atacar am-bos puntos a la vez, y creó cursos de capacitación para jueces locales y federales.

Además de jueces con mejor preparación, el grupo ha conseguido también que se acepte el uso de la vi-deoconferencia para presentar pruebas en los juicios, así como que se empiece a usar más los medios elec-trónicos dentro del ámbito federal.

“Todavía peleamos muy fuerte para darle cabida al documento electrónico y a la firma electrónico en el ámbito penal, para darle equivalencia funcional a la tecnología y así no tener que cambiar toda la ley”, subraya Reyes Krafft. Felizmente, el grupo ha encontrado un aliado importante en el Consejo de la Judicatura, que los está apoyando en el tema de la capacitación.

“Tarde o temprano, el grupo iCrime va desaparecer, pero esto será cuando la legislación funcione. Hoy negociamos con ISP, con las autoridades, llega-mos a acuerdos, tratamos de manejar acuerdos contractuales y mantenemos diálogos con diversos organismos. Lo mejor sería que todos estos esfuerzos estuvieran formalizados en leyes; sin embargo, mientras no sea así no nos va-mos a detener, porque nos falta mucho por hacer. Pero vamos por buen ca-mino”, concluye Reyes Krafft. ●

El director de Negocios Digitales e Industria Bancaria del Grupo Financiero BBVA Bancomer es también vicepresidente ejecutivo de la Asociación Mexicana de Internet (AMIPCI) y presidente del Consorcio Mexicano de Software.

Es doctor en derecho, con mención Cum Laude, por la Universidad Panamericana, y tiene un posgrado en dirección de empresas (D1) por el Instituto Panamericano de Alta Dirección De Empresas (IPADE), con estudios de especialidad en contratos y daños en la Universidad de Salamanca.

También es investigador nacional nivel 1 del Sistema Nacional de Investigadores (CONACYT) y ha sido Director Contralor Jurídico de Banco del Atlántico y Presidente de la Asociación Mexicana de Internet (AMIPCI).

Asimismo, es profesor de la Universidad Panamericana (facultad y posgrado en derecho y comunicación), profesor de posgrado en Derecho en la Universidad Nacional Autónoma de México (UNAM) y en la Escuela de Graduados en Administración Pública (EGAP) del Tecnológico de Monterrey (ITESM) en el Campus del Estado de México, así como maestro de la cátedra de Comercio Electrónico en el doctorado en derecho privado de la Universidad de Salamanca.

Reyes Krafft igualmente forma parte del Comité Consultivo de NIC MÉXICO, es secretario del Consejo Directivo de AMECE (Asociación Mexicana de Estándares para el Comercio Electrónico), es integrante del grupo impulsor de la legislación en materia de comercio electrónico (GILCE) y coordinador del Grupo de Trabajo de Banca y Comercio Electrónico de la Asociación de Banqueros de México. Además, colabora con la comunidad alfa redi, integra el capítulo mexicano de Internet Society y es autor del libro “La firma electrónica y las entidades de certificación” (Editorial Porrúa, 2003) y coautor de los libros “Tecnologías de la información y las comunicaciones. Aspectos legales” (Porrúa-Itam, 2005) e “Internet. Columna vertebral de la sociedad de la información” (Porrúa-ITESM, 2005).

Adicionalmente, colabora regularmente en publicaciones nacionales e internacionales y en foros relacionados con internet, derecho y tecnología, como AMECE, SAT, IMPUESTUM, SWIFT, UNAM, IIJ, AMIS, APEC, AMIPCI, SCJN y WSIS, entre otros.

¿QUIÉN ES ALFREDO REYES?

C R M | B A S E S D E D A T O S | M E D I U M B U S I N E S S | B U S I N E S S P R O C E S S

C R M | B A S E S D E D A T O S | M E D I U M B U S I N E S S | B U S I N E S S P R O C E S S

Quitamos la paja por ti

Información a la medida para tu negocio

powered by:

CRMLas aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son más accesibles y fáciles de usar. Conózcalas.

Bases de DatosEl crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la información. Aquí le decimos cómo.

Business ProcessLas mejores prácticas se incorporan a las tecnologías de negocio a través de aplicaciones que automatizan los procesos empresariales y están a su alcance.

Medium BusinessSoluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.

16 B:SECURE

¿POR QUÉ LAS ORGANIZACIONES DEBEN TENER UNA ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN?Por Adrián Palma

BUSINESS PEOPLEfor

Las organizaciones requieren hoy en día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la informa-ción que manejan y procesan, así como tener una operación con un nivel de riesgo aceptable, derivada del uso de las tecno-logías de información y que asegure la tranquilidad de los ac-

cionistas, directivos, funcionarios, clientes y socios de negocio. Las grandes incógnitas son: ¿Cómo se puede lograr esto?, ¿por dónde

hay que empezar?, ¿qué se necesita realmente?, ¿cuánto presupuesto se ne-cesita? y ¿quién es el responsable de implementarlo? Las respuestas son difí-ciles y complejas, ya que hoy las organizaciones resuelven los problemas de seguridad de una manera puntual, reactiva, correctiva y no desde un pun-to de vista estructurado.

Una respuesta, por ejemplo, es una solución basada en una Arquitectura de Seguridad de la Información, la cual permitirá identificar los elementos y los componentes necesarios para definir, normar, implantar, monitorear y auditar los requerimientos de seguridad con una visión de negocios que se apoye en tres factores críticos de éxito: recursos humanos, procesos de ne-gocio y tecnología. Nótese la diferencia entre una arquitectura de seguridad de la información y una arquitectura de infraestructura de seguridad, don-de esta última es diseñada con elementos tecnológicos exclusivamente y no con elementos que involucren a toda la organización.

En las organizaciones todo cambia con el tiempo: las personas, la tec-nología, la forma de hacer negocio, los procesos, los volúmenes de infor-mación, los riesgos, etc. Por lo tanto, las necesidades y requerimientos de

seguridad también cambian. Esto hace extremadamente complejo determi-nar el nivel de seguridad requerido para tratar de mitigar estos nuevos ries-gos, y por eso es fundamental contar con una arquitectura de seguridad cuyo objetivo principal sea tener una base en la cual los nuevos riesgos ge-nerados por cualquier tipo de cambio estén incluidos y alineados bajo este marco. Así, el proceso podrá ser lo más transparente y sencillo para la or-ganización.

B:SECURE 17

Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en TI y Seguridad Informática, tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. [email protected]

Algunas de las etapas que se deben considerar en una arquitectura son:

baselines,

herramientas,

Ver figura 1. Ejemplo de Road Map

Al contar con una Arquitectura de Seguridad de la Información di-señada a su medida, y basada en sus propios riesgos tecnológicos que impactan directamente en sus procesos de negocio o funcionales, las ins-tituciones y organizaciones podrán conocer el difícil, complejo y miste-rioso punto de equilibrio –entre el riesgo, el costo y la seguridad– que necesita ser implantado, sin que estas medidas afecten la capacidad de operación y de servicio de la organización, y con las ventajas competiti-vas que brinda la tecnología.

Tener una arquitectura de seguridad también garantizará contar con to-dos los elementos necesarios para una adecuada administración de riesgos

-drá ser preciso en la identificación e implementación de los controles y me-canismos de seguridad que realmente requiere la organización, y así evitar inversiones cuantiosas e innecesarias.

Las organizaciones que tengan la convicción real y la visión adecua-da lograrán un liderazgo en su ramo como pioneros en la definición e implantación de una Arquitectura de Seguridad de la Información, y contarán con estándares y lineamientos de seguridad que les permitan responder de manera preventiva y proactiva ante cualquier intento de ataque, evento, incidente o fraude que ponga en peligro la operación, el servicio o la información sensitiva y crítica de la organización.

Además, en caso de que este tipo de intentos llegaran a materializarse, las empresas estarán seguras de que estos no impactarán de manera sig-nificativa. Recordemos que no hay ningún mecanismo 100% seguro, y que en algún momento las organizaciones siempre se enfrentarán con un incidente de seguridad, así que la diferencia versará en que ese incidente no afectará la capacidad de operación, servicio y, en algunos casos, la su-pervivencia de las organizaciones.

Igualmente, como resultado de lo anterior, cualquier organización que siga este modelo será capaz de operar de forma preventiva y no reactiva, asegurando la disminución de pérdidas ocasionadas por la materializa-ción de los riesgos tecnológicos, y estará preparada para recibir y aprobar cualquier tipo de auditoría o revisión en materia de seguridad de la in-formación, y obtener cualquier tipo de certificación internacional. Final-

institución estará operando de manera segura y confiable. ●

FIGURA 1.

El 08 de diciembre de 2008, el desarrollador Acri Emanuele pu-blicó en su sitio web (http://complemento.sourceforge.net/), la versión 0.4b de lo que él llama “Complemento”, una colec-

ción de herramientas que al principio, como él mismo menciona, usaba únicamente para su beneficio personal y que posteriormente decidió publicarlas para toda la comunidad.

En principio nada hay de malo en que una persona haga públi-cas las herramientas que utiliza y que cree que pueden ayudar a un grupo de personas con intereses afines a él mismo, pero sin lugar a dudas me atrevo a decir que tanto el enfoque que se le dio a sus he-rramientas, como la cobertura amarillista que se leyó en revistas, si-tios web y blogs se excedieron por mucho de lo que realmente nos estaba “regalando” y ese es precisamente el tema que deseo tratar.

La suite Complemento se compone de tres aplicaciones y nin-guna de ellas es una “herramienta para hackear sitios web” como se llegó a mencionar en algunos medios, la primera aplicación que mencionaré es LetDown

Antes recordemos el proceso 3-way-handshake para establecer comunicación entre dos equipos vía TCP

1. Equipo A envía paquete TCP SYN al Equipo B2. Equipo B recibe el paquete TCP SYN del Equipo A3. Equipo B responde un paquete TCP SYN/ACK (SYNchronize-

ACKnowledgement)4. Equipo A recibe el paquete SYN/ACK del Equipo B5. Equipo A envía un paquete TCP ACK al Equipo B6. Equipo B recibe el paquete ACK y se dice que la conexión TCP

ha sido establecida (Status Established)Cuando nosotros utilizamos una aplicación para hacer uso de un

servicio mediante una conexión TCP, por ejemplo, para revisar nues-tro correo electrónico, el cliente de correo realizará los pasos arriba mencionados con el servidor que proporciona el servicio para esta-blecer un canal de datos y enviar los correos o recibir los correos que tengamos en espera pero esto se logra debido a que el cliente de co-rreo desea este canal de datos y está programado para comunicarse con servidores de correo. ¿Qué pasa cuando una aplicación X envía un paquete SYN a un servicio Y? Bien, si la aplicación X está progra-mada para enviar paquetes SYN de manera arbitraria a puertos se-leccionados por el usuario pero no se le programa más allá de esto, entonces la negociación de conexión se cancelará y no pasará nada. Pero en el caso de LetDown esto es distinto ya que LetDown envía múltiples paquetes SYN al puerto que nosotros le especifiquemos y si el servicio efectivamente está funcionando, nos responderá con un paquete SYN/ACK y en ese momento, LetDown responde con un paquete ACK pero no hace nada más, simplemente realiza la co-nexión, así pues nos acabamos de dar cuenta que LetDown es una

simple aplicación que intenta provocar una excesiva carga de traba-jo en un servidor remoto ayudándose de generar cientos o miles de conexiones simultáneas y esto es lo triste ya que no hace nada nue-vo o diferente a las muchísimas aplicaciones que ya hay en foros, sitios de descargas de aplicaciones de seguridad, sitios profesiona-les e incluso hay empresas que tienen productos de alto desempeño para ello, CISCO utiliza varios para hacer pruebas a sus equipos.

La siguiente aplicación se llama ReverseRaider, este programa me parece bastante interesante y fue el único que no mencionaron por ningún lado, bueno, ReverseRaider busca resolver un rango de IPs ó una lista de dominios (microsoft.com google.com yahoo.com) y mos-trar algunos datos sobre ellos, si resolvió un IP muestra el nombre de host que pudiese tener asignado, si lo que hicimos fue solicitar re-solver uno o más dominios, entonces nos mostrará los IPs corres-pondientes a cada uno de ellos, pero lo que me llamó la atención es su función de lista de palabras y combinaciones sobre ellas, esto es, si nosotros deseamos buscar nombres de hosts dentro del dominio burbujita.com y tenemos una lista de palabras que contenga [mail,www,test,demo,users,root,admin], ReverseRaider buscará resolver los hosts mail.burbujita.com www.burbujita.com y así sucesivamente, pero mejor aún, podemos especificar que realice permutaciones nu-méricas, o sea, intentar resolver mail01.burbujita.com mail03.bur-bujita.com, esto es muy útil cuando realizamos pruebas externas de análisis de vulnerabilidades y queremos automatizar la búsqueda de servidores que utilicen nomenclaturas comunes.

Por último, encontramos a la aplicación llamada Httsquash, lo que hace esta aplicación, que fue interpretada como una herramienta que “hackea” sitios web con un solo click, es conectarse a un si-tio web, preguntarle legítimamente a dicho servidor sus datos ge-nerales y posteriormente se los despliega al usuario, esto lo hace cualquier navegador web, con la diferencia de que nosotros como usuarios nunca vemos dichos datos, en ningún momento se inten-ta verificar vulnerabilidad alguna en el servidor web al que se está conectando, pero es funcional si queremos verificar modificaciones hechas al servidor para reducir la cantidad de información o veraci-dad de la misma que está dando a conocer, por ejemplo, cuando un Administrador modifica el Microsoft Internet Information Services para que responda como un Apache Web Server. Httsquash puede ser automatizado y utilizado para obtener datos de uno o más ser-vidores web, soporta IPv6 y solicitudes de información personaliza-das por el usuario.

Para finalizar me gustaría hacer mención de una aplicación lla-mada Scapy, este programa permite la manipulación de paquetes, su captura, truncarlos, enviar paquetes en forma arbitraria, auditar equipos o incluso auditar protocolos. ●

LETDOWN – JUST LET ME DOWN

OPINIÓN´

Por Irving García Mendoza


Aun cuando se corte la energía eléctrica, los datos almacenados en la memoria DRAM de una laptop pueden recuperarse, y el frío ayuda en ello.


En las reuniones que he tenido en este inicio de año, algunos amigos - no importando dónde trabajen- comentan que en las empresas en las que laboran han recortado presupuestos

en viajes, en celulares e incluso uno de ellos comentó que ahora les dan dos días de vacaciones obligatorias sin sueldo al mes para aho-rrar un poco en los excesivos costos que de la noche a la mañana aparecieron.

Para poder escribir esta columna, me sentí carente de ideas para po-der terminarlo, solicité entonces una junta con el editor, llamé a amigos y compañeros de tra-bajo para que me inspirara en estas líneas.

Dentro de algunas empre-sas, los proyectos de integra-ción de nuevas tecnologías y la ampliación de la infraes-tructura actual en tecnologías de la información han dejado de ser una prioridad en la mesa de los altos directivos.

Pero la realidad en el medio, por lo menos desde mi pers-pectiva, es completamente diferente. La seguridad de la in-formación - vista desde las perspectivas de confidencialidad, integridad y disponibilidad - deben ser vistas como algo que no puede ser "recortado".

No me imagino una empresa donde haya que dejar de pagar un cer-tificado digital de un servidor de banca en línea; un mundo donde hay que prescindir de un firewall para el nuevo enlace que acabamos de

comprar a finales del año pasado ya que hay que hacer un recorte en los gastos de la organización.

Y es que tampoco me imagino a las empresas que van a modi-ficar los contratos de prestación de servicios a los guardias de se-guridad para sólo dejar uno sólo - en turnos de lunes a viernes por

las noches- esperando a que no sean robados durante las horas de trabajo normal.

Recuerdo aquellas épocas donde la seguridad de la información era considerada un mito, sólo las em-

presas muy grandes tenían acceso a dispositi-vos o a tecnología para poder implementarlo; pocas personas tenían el conocimiento de que existía una disciplina como ésta y más pocos quienes la ejercían.

Y no me refiero a que somos muchos dentro del medio, sino al contrario, segui-

mos siendo un medio pequeño; aunado a que ahora se comenta que existe una cre-

ciente escasez de ingenieros para las próximas generaciones.

¿Será entonces que realmente estamos en crisis o que siempre hemos vivido en crisis?

Creo que siempre hemos vivido una crisis en po-der explicar y hacer que la dirección valore la impor-tancia de la seguridad de la información. Una crisis en mantener la unidad como medio y como profesio-nales del mismo. Una crisis personal en cómo justi-ficar la compra de nueva tecnología o la creación de un sub-grupo de seguridad de la información. En al-gunos casos, incluso el poder tener un área de segu-ridad de la información dentro de la organización.

Desde hace varios años he escuchado que el tiempo de crisis es tiempo de oportunidad. Puede que sea nuestra oportunidad de hacer algo impor-tante al respecto.

Por lo pronto, creo que la crisis que sufrí este tiempo para escri-bir este texto está a punto de acabar, pero la oportunidad que me dio de apuntar muchos otros temas para las próximas entregas ha sido refrescante. ●

LA CRISIS Y LA SEGURIDAD DE LA INFORMACIÓN

OPINIÓN´

Por Andrés VelázquezCISSP, GCFA, IEM

Andrés Velázquez es un especialista en cómputo forense. Cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. Es profesor de la facultad de seguridad en redes de la University of Advancing Techno-logies (UAT) en Phoenix, Arizona. [email protected]

NO HE DEJADO DE LEER EN LOS MEDIOS QUE ESTE AÑO, 2009, SERÁ DE CRISIS.

LA REAL ACADEMIA DE LA LENGUA DEFINE LA CRISIS COMO ESCASES O CARESTÍA; SITUACIÓN DE

UN ASUNTO O PROCESO CUANDO ESTÁ EN DUDA LA CONTINUACIÓN, MODIFICACIÓN O CESE; O EL

MOMENTO DECISIVO DE UN NEGOCIO GRAVE Y DE CONSECUENCIAS IMPORTANTES.

En el último artículo se dieron a conocer las diferentes herra-mientas y técnicas utilizadas en el área de ingeniera inver-sa. No hay que olvidar que este tipo de técnicas pueden ser

usadas tanto para actividades ilegales como legales. Existen dife-rentes formas de protegerse que varían de acuerdo al tipo de pro-

tección que proporcionan y a lo que se desea proteger. Existen enfoques que nos ayudan a marcar un software, o un archivo mul-timedia, para poder establecer el origen de este. Sin embargo el enfoque es diferente si es necesario impedir la copia de datos mul-timedia, o si se requiere impedir que se conozca el funcionamiento


INGENIERÍA INVERSA: CONTRAMEDIDAS

Por Roberto Gómez Cárdenas

ÁREARESTRINGIDA

de un software para impedir utilizar componentes de este o desha-bilitar su funcionamiento.

Con el objetivo de poder diferenciar un original de una copia es posible marcar el software con una marca de agua, (software watermarking). Existen marcas de agua estáticas y dinámicas. En las marcas estáticas, se incluye la marca como una cadena de ca-racteres dentro del código, a manera de inicialización de variables. Un ejemplo consiste en asignar el va-lor “Propiedad compañía ACME” a una variable que no es usada. El problema de este tipo de marcas de agua es que son fáciles de detectar y anular con un editor hexadecimal. En las marcas de agua dinámicas el usuario ejecuta el programa con un conjunto especí-fico de entradas, después de los cuales el programa lle-ga a un estado que representa la marca. Sin embargo este tipo de marcas solo permiten diferenciar el origi-nal de una copia, y no el copiado del original.

En el caso de protección de contenidos multimedia en un CD (archivos de música o video) existen dos tipos de protec-ciones, pasiva y activa. El reto que se tiene es que el usuario pue-da escuchar el contenido de disco, pero que no pueda copiarlo. La protección pasiva se basa en las diferencias que existen entre la forma en que los tocadores de CD leen los discos y la forma en que las computadoras leen los discos. El principio básico consiste en insertar algo en el disco de tal forma que las computadoras se con-fundan sin afectar a los tocadores.

La protección activa permite que la computadora lea todos los archivos del CD pero instala software que afecta todos intentos de lectura del disco. Un ejemplo son el XCP (eXtended Copy Pro-tection) y MediaMax. Este tipo de programas deben ser invisibles para el usuario, simulando el comportamiento de virus, spyware y backdoors. Sin embargo es necesario que el programa instalado sea diseñado con todas las precauciones necesarias, ya que pue-de representar un punto de entrada para atacantes. Esto proble-ma se hizo realidad en el 2005 en algunos CDs manejados por la compañía Sony.

Existen diferentes tipos de mecanismos de defensa para dificul-tar el trabajo de las personas que desean conocer el funcionamiento de un programa para deshabilitar algunas de sus funcionalidades o copiar alguno de los módulos. Entre las más comunes podemos mencionar a los sistemas de protección por tiempo, sistemas de protección mediante hardware externo (mochilas o dongles), siste-mas de defensa basado en empaquetadores, ofuscadores y los ba-sados en la comprobación de la integridad de los datos (CRC).

Existen dos formas de implementar un sistema de protección por límite de tiempo. En el primero el software comprueba si han transcurrido n días desde la instalación del mismo. En caso positi-vo procede a la salida inmediata del programa o a su des-instala-ción, aunque también puede mostrar algún mensaje informando al usuario que el periodo de prueba ya terminó. En el segundo de los casos se comprueba si se ha llegado a una fecha límite. En ambos casos el software no funcionará si se vuelve a instalar. Sin embargo un atacante puede analizar la aplicación para comprobar donde se almacena la fecha de instalación, o donde se encuentra el contador de los días que han pasado y modificar estos valores.

Otra opción de protección utiliza un dispositivo hardware ex-terno, que se conecta a la computadora cada vez que se utiliza la aplicación protegida. Este dispositivo se conoce como dongle o

mochila. Una mochila no es más que una caja que contiene un cir-cuito que puede variar en complejidad según el tipo de mochila. Algunas mochilas cuentan con memoria donde se almacenan da-tos usados por la propia mochila. El software a proteger se comuni-ca con la mochila a través de rutinas que proporciona el fabricante. La protección depende de la habilidad del programador de imple-

mentar la protección. Entre los puntos importantes a tomar e cuen-ta están el cifrar la llamada a la mochila, mandar llamar a la mochila en varios lugares del programa y en diferentes intervalos de tiempo durante la ejecución de la aplicación.

Con el objetivo de ocultar el funcionamiento del sistema de pro-tección del software, algunos autores software empaquetan sus programas para reducir el tamaño de los archivos del programa y complicar el trabajo de ingeniería inversa, ya que no se puede ob-tener un desensamblado exacto del archivo El programa original se encuentra envuelto dentro del código del empaquetador, el cual esconde el código original Cuando se lanza el programa, se está ejecutando en primer lugar el código empaquetador., el cual des-empaqueta aplicación original en memoria y después se ejecuta. Es posible usar un cifrador en lugar de un empaquetador.

Una variante de lo anterior es lo que se conoce como Esta téc-nica se conoce como ofuscamiento. Ofuscar un código fuente o intermedio consiste en aplicar de algoritmos de reescritura para transformar un código legible y entendible por una persona en otro de funcionalidad equivalente pero totalmente ilegible e incompre-sible para un lector humano. Algunas de las técnicas de ofusca-ción más comunes consiste en incluir ciclos irrelevantes, llevar a cabo operaciones aritméticas innecesarias, usar nombres de fun-ciones que no tienen nada que ver con lo que hacen, etc.

También es posible utilizas CRCs (Código Redundancia Cíclica) para la protección de software. Los CRCs son usados para la de-tección de errores en la transmisión de datos en comunicaciones. El dispositivo calcula el CRC en base a un polinomio y envía infor-mación junto con su CRC. En el otro extremo de la recepción se usa el mismo polinomio para calcular el CRC de lo recibido y com-para resultado. Si son iguales se ha transmitido con éxito, en caso contrario algún dato fue cambiado. Es posible usar huellas digita-les en lugar de CRCs.

La generación de números de serie es otra opción, pero es la peor de las protecciones. El número de serie se encuentra alma-cenado dentro del ejecutable y con des-ensamblar este se pueden buscar las cadenas que forman el número de serie.

Como se puede constatar existen diferentes técnicas y métodos para prevenir ataques de ingeniería inversa. Plataformas de desa-rrollo como .NET incluyen opciones para proteger lo desarrollado, tan solo hay que conocerlas y usarlas. ●

CON EL OBJETIVO DE PODER DIFERENCIAR UN ORIGINAL DE UNA COPIA ES POSIBLE

MARCAR EL SOFTWARE CON UNA MARCA DE AGUA, (SOFTWARE WATERMARKING). EXISTEN MARCAS DE AGUA ESTÁTICAS Y

DINÁMICAS


En artículos anteriores establecimos las bases de una Arquitec-tura de Procesos de Seguridad de Información o Framework de Seguridad de Información. Esta arquitectura consta de seis pro-

cesos básicos: Concientización, Administración de Riesgos, Manejo de Incidentes, Continuidad de Negocios, Control de Accesos y Monitoreo de Seguridad. Ya que el artículo pasado trató sobre el proceso de Mane-jo de Incidentes, y ahora verenos la Continuidad de Negocios.

QUÉ ES UN DESASTREDesastre viene del provenzal antiguo: “Dis” (separación) y “Astrum” (es-trella). Significa desgracia grande, suceso infeliz y lamentable. Según el diccionario, quiere decir “Evento prolongado, no planeado y no tolera-ble, que tiene las siguientes características: alta incertidumbre, baja probabilidad de ocurrencia y alto impacto”.

Desde el punto de vista de negocio, un desastre puede interrumpir procesos de negocios críticos. Si esta interrupción es lo suficientemen-te prolongada, podría establecer altos impactos en la organización que inclusive la lleve a la bancarrota. Otro aspecto fundamental es que las causas de un desastre puede ser de la naturaleza, fallas tecnológicas o debido al ser humano.

BRINDA CONFIANZA Contar con un Plan de Continuidad de Negocios debidamente im-plementado brinda confianza a todas las partes interesadas, es decir, clientes, proveedores, accionistas, entidades de gobierno y sociedad en general, ya que este asegura que los servicios que brinda la organi-zación no se interrumpan y les cause algún efecto negativo. Imaginen, por ejemplo, a un prestador de servicios de telecomunica-ciones que brinda servicios a una compañía de seguros. Si estos ser-vicios se interrumpen, la compañía no podría procesar sus incidentes a tiempo, impactando directamente al consumidor final.

ESTADÍSTICAS Y MÁS ESTADÍSTICASUn tema a considerar en la región o zona donde se encuentran las operaciones de la empresa, es si hay actividades sísmicas, de inun-daciones, de tormentas o si la sede se ubica cerca de un consulado, por ejemplo. Para ello es muy relevante el manejo de estadísticas. Si bien hay países que se distinguen por eso, en otros lamentablemente no hay cultura relacionada.

Ejemplos:- “67% de las compañías que tienen un desastre por más de dos se-

manas, están fuera del negocio dentro de los dos años siguientes”. Sun Systems

- Gartner Group estima que, de cinco empresas que sufren una con-tingencia, dos de ellas saldrán del negocio dentro de los cinco siguien-tes años. Gartner Group

- El 40 % de las empresas dice que tomará más de un día regresar o “poner” en línea los sistemas en caso de que el desastre destruya una localidad principal. Information Week Research

- El porcentaje de estar fuera de servicio por una hora es de $84,000 dólares en un Call Center. IDC

- Las Funciones del Negocio no pueden continuar operando después de 4.8 días sin la recuperación de la infraestructura tecnológica. Info Se-curity News

- El 24% de los desastres es causado por fallas de hardware. DRII- El 14% de los desastres es causado por inundaciones. DRII- El 19% de los desastres es causado por fallas de energía. DRII- El 4% de los desastres es causado por terremotos. DRII

MODELO DE CONTINUIDAD DE NEGOCIOSEs fundamental que un modelo de Continuidad de Negocios integre ciertos componentes, desde la estrategia del negocio hasta las pruebas de los planes detallados de recuperación.En este modelo que les expongo se consideran tres niveles:

1. Business Continuity ManagementConsidera la administración de la Continuidad del Negocio como par-te de un proceso de gobierno de la organización. Por ello, se deben establecer las Políticas Corporativas de Continuidad de Negocio, inte-grar los requerimientos legales y crear un Comité de Continuidad con roles y responsabilidades claras. Se deberá construir un plan estraté-gico a corto, mediano y largo plazo para darle madurez al proceso.En general, en este nivel se considera organización, directrices, pro-cesos, escenarios, estrategias, procedimientos, etc.

2. Business Continuity PlanConsidera planeación dirigida a los procesos del Negocio. En esta eta-pa se consideran cuáles son los procesos de negocio más críticos, así como sus requerimientos de recuperación en tiempo, información y re-cursos necesarios para operar en contingencia.En general en este nivel se considera restablecer los procesos de nego-cio y servicios críticos, en el menor tiempo y con el menor impacto po-sible. Un BCP robusto asegura proteger las vidas y brinda seguridad, reduce impactos al negocio, trabaja con terceros durante los procesos de recuperación, reduce la confusión durante crisis, brinda una recupe-ración rápida, etc.


Por Ricardo Morales

OPINIÓNCONTINUIDAD DE NEGOCIOS ARQUITECTURA DE PROCESOS DE SEGURIDAD DE INFORMACIÓN / FRAMEWORK DE SEGURIDAD

Febrero-Marzo B:SECURE 23

3. Disaster Recovery PlanPlaneación específica a tecnología de la información. En esta etapa se considera establecer planes específicos de acuerdo a las tecnologías que soportan los procesos de negocio. Es fundamental contar con estos planes para garantizar un plan efectivo en un mundo actual, basado en tecnologías de la información.En general, en este nivel se considera garantizar la recuperación de la infraestructura de TI.

DISEÑO DE UN PROGRAMA DE CONTINUIDAD DE NE-GOCIOSA continuación se describen las fases fundamentales en el diseño y eje-cución de un Plan de Continuidad de Negocios.

A) BIA, primero lo primeroBIA = Business Impact Analysis. Al diseñar un Programa de Continuidad de Negocios, un paso funda-mental es ejecutar un BIA. Con el BIA podemos obtener información so-bre las funciones críticas del negocio, lo que permite tener prioridades de recuperación en el negocio. Lo más ideal que he encontrado en las organizaciones es que cuenten con un BIA al principio de sus operacio-nes; lamentablemente pueden pasar 10 o 15 años sin contar con uno.Las mayores actividades de un BIA son:- Selección del personal a entrevistar,- Diseñar cuestionarios especializados,- Identificar funciones críticas del negocio,- Identificar los recursos necesarios de las funciones críticas,- Calcular cuánto tiempo esas funciones pueden sobrevivir sin esos re-cursos,- Identificar vulnerabilidades y amenazas para esas funciones,- Calcular el riesgo para cada función de negocio, - Documentar los hallazgos y reportar a la Alta Administración.

Lo que nos debe proveer un BIA en lo fundamental es lo siguiente:-Impactos (costo en dinero, pérdida de ingresos, de clientes, etc.) de-rivados de una interrupción de servicio en cada proceso y servicio del negocio.-Tiempo máximo de Interrupción Tolerable (RTO). -Tiempo máximo de pérdida de datos o transacciones (RPO).-Requerimientos Mínimos que necesita cada proceso de negocio du-rante la recuperación (humanos, materiales, informáticos).

B) Identificar medidas preventivasEn esta fase se revisan controles preventivos, por ejemplo la instalación de equipo de extinción de incendios en un sitio. Otros ejemplos son: Fortificar los materiales de construcción, servidores redundantes, líneas de poder en diferentes transformadores, pólizas de servicio, compras de seguros, UPS y generadores, tecnologías de respaldos de informa-ción, protección de medios de almacenamiento, aumentar inventarios de equipos críticos, etc.

C) Desarrollar Estrategias de RecuperaciónEn esta fase se debe discernir cuáles estrategias de recuperación son las relevantes al negocio. Esta fase es una de las más críticas de todo el programa: he visto a muchas organizaciones fallar en sus programas de recuperación debido a un mal diseño de esta fase. Para fines prácti-cos, aconsejo considerar aquellos escenarios más probables de acuer-

do a las circunstancias, tales como: no acceso a las instalaciones, falla o indisponibilidad de la infraestructura de tecnología de información, y destrucción total de las instalaciones.

Cada escenario debe contar con su estrategia de recuperación. Por ejemplo, se puede establecer para un sistema ERP contar con sitios al-ternos tipo Cold Site, en los que solo hay una instalación eléctrica, ser-vicio de control de temperatura y humedad, piso levantado de site y racks; o sitios tipo Warm Site, donde hay además equipo de conectivi-dad limitado, equipo periférico, etc. También existen los Hot Site, que cuentan con computadoras, servidores, equipos de usuario, periféricos, equipos de conectividad y comunicaciones, y están listos para usarse en cuestión de horas. Finalmente, el Sitio Redundante es aquél que nor-malmente está equipado y configurado exactamente igual al site pri-mario, y es extremadamente costoso.

Las estrategias de recuperación deben contar con un plan a cor-to, mediano y largo plazo, de modo que cada plan de recuperación vaya madurando con el tiempo y se le pueda ir agregando nuevos escenarios.

C) Desarrollar Planes de RecuperaciónEsta fase conlleva un trabajo muy fuerte, dado que se tienen que ela-borar planes de forma muy específica para cada escenario de recupera-ción definido. Cada Plan de Recuperación pasa por las etapas de Inicio (metas, conceptos, roles, tarea, etc.), Activación (notificación, evalua-ción de daños, activación, etc.), Recuperación (moverse a sitio alterno, restaurar procesos, etc.) y Reconstrucción (restablecer facilidades, re-gresar a operación normal, etc.).

Todos los planes deben contar con un equipo de trabajo específico, con personal especializado de operaciones del data center, personal de redes, personal de seguridad física, etc., y otro equipo de trabajo más general, como el área de compras, legal, relaciones públicas, etc.

Cada Plan está formado por procedimientos detallados, que vayan madurando con el tiempo. Las primeras versiones de prueba de un Plan de Recuperación típicamente deberán probar solo el árbol de llamadas; la segunda debe hacer pruebas de escritorio y, dependiendo del avan-ce ,las siguientes podrían ser ya en campo. Se debe considerar que nor-malmente los Planes de Recuperación en sus primeras versiones no alcanzan los objetivos trazados, como el RTO, RPO, etc.

D) Probar y Probar, Probar y ProbarUn Plan de Recuperación que no se prueba no es un plan confiable. Cada prueba debe encontrar hallazgos a los cuales se les debe dar se-guimiento para resolverlos. Dependiendo de cada organización, los Pla-nes de prueba mínimo se deben probar una o dos veces al año.

Estándares recomendados:Recomiendo que lean el BS 25999 y las prácticas del DRI (The Institute for Continuity Management).

ConclusiónPara brindar la seguridad al negocio sobre su continuidad de operacio-nes, es fundamental contar con un modelo robusto de Continuidad de Negocio. No hacerlo establece un alto riesgo al negocio. ●

CONTINUIDAD DE NEGOCIOS

Ricardo Morales está a cargo del área de Seguridad de Información de Alestra, es presidente de ALAPSI Noreste. Alestra es el primer prestador de Servicios en Telecomunicaciones en México y otros países en obtener el cer-tificado ISO27001. [email protected]

SINNÚMERO

Son los meros meros “spammeros” de hoy en día, los proveedores de servicio que –ya

sea por falta de interés o por simple descuido– ayudan a que esta plaga invada a

los usuarios de todo el mundo. Según InformationWeek US, la lista fue elaborada por

Spamhaus, una organización sin fines de lucro que rastrea las operaciones de spam.

¿La sorpresa? Google es el número tres de la lista.


LOS PEORES PROVEEDORES DE SPAMLos Top 10 servicios de ISP con peor spam son:

1) sistemnet.com.tr;

2) hostfresh.com;

3) google.com;

4) vsnlinternational.com;

5) gilat.net;

6) cnuninet.com;

7) uatelecom.co.ua;

8) sprint.net;

9) verizon.com;

10) simplenet.com.

Según el servicio TrendWatch de la compañía Trend Micro, la cantidad mundial de spam ya asciende a 90 millones 891,023 correos. Los principales porcentajes corresponden a los siguientes países:

1. Estados Unidos 13.96%

2. Federación Rusa 9.65%

3. República de Korea 6.66%

4. Turquía 6.35%

5. Brasil 5.86%

6. China 4.3%

7. India 3.45%

8. Argentina 3.45%

9. Colombia 2.93%

10. Polonia 2.89%

El porcentaje de México en relación al spam mundial es de 0.77%

bSecure

Documents

Transcript of bSecure