Para más facilidad, por favor oprima el botón derecho de su ratón en cada liga y seleccione “Guardar destino como…”

• Magazcitum año 3, número 1.

Héctor Acevedo Juárez

hacevedoj@scitum.com.mx

.

En lo que respecta al mercado de TI en Latinoamérica, la firma de investigación IDC cree que continuará creciendo y el resumen de algunas de sus predicciones para 2012 es el siguiente:

•  Las tablets y los teléfonos celulares continuarán con su explosivo crecimiento (78% y 63% respectivamente), presionando al mercado para crear nuevas soluciones que atiendan ese mercado.
• Las redes de datos celulares deberán incrementar su cobertura y ancho de banda para satisfacer las necesidades de los dispositivos móviles.
• El cómputo en la nube seguirá ganando “momentum” y empezará a convertirse en una realidad en muchas organizaciones.
• Las necesidades de almacenamiento seguirán creciendo exponencialmente.

Así pues, resulta obvio que la seguridad de la información será un reto cada vez mayor conforme las redes se vuelven ubicuas y sus usuarios multiplican la variedad de medios para acceder a los datos que necesitan. Nuevamente el creciente número de amenazas a la seguridad, el cumplimiento regulatorio y la exigencia para aumentar la eficiencia de TI continuarán presentes, por lo que el panorama en nuestro segmento de la industria sigue siendo menos pesimista que en otros sectores. Esperamos que los artículos de Magazcitum sirvan en alguna medida para ayudar a afrontar este gran reto.

Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas resultan de interés para nuestros lectores.

Como siempre, muchas gracias por su atenta lectura.

.

Héctor Acevedo Juárez

hacevedoj@scitum.com.mx

1. Uno de los temas que continuará su tendencia a la alza será la presencia –en este 2012 prácticamente ubicua- de dispositivos y plataformas móviles. Equipos como teléfonos inteligentes y tablets seguirán haciéndose más poderosos en procesamiento e inundando los mercados en el mundo, lo cual representa una nada despreciable oportunidad de expandir el “negocio” por parte de los cibercriminales. Muy probablemente veremos al correr este 2012 un mayor volumen de malware dirigido a plataformas móviles, malware que podría ir desde botnets hasta código más sofisticado para la obtención de información almacenada en este tipo de dispositivos.
2. Una de las consecuencias lógicas de la tendencia que aludimos en el punto anterior, es la amenaza que la probable proliferación de malware en dispositivos móviles supone para las organizaciones públicas y privadas. Los dispositivos móviles cuentan ya con una presencia importante en redes dentro de centros laborales, la cual seguramente aumentará dada la enorme practicidad de estos aparatos. Esto significa que cada vez más personas almacenarán o procesarán información organizacional en teléfonos inteligentes o tabletas, y si combinamos esta tendencia con el aumento en el malware específico para estos equipos, la probabilidad de que información empresarial o laboral pueda ser comprometida aumenta de forma directamente proporcional. Es probable que veamos en la segunda parte de este 2012 las primeras suites de seguridad para dispositivos móviles en respuesta al creciente riesgo. Por otra parte, el impacto sobre el robo de estos dispositivos podrá generar una mayor dependencia hacia los controles de seguridad física y quizá será necesario repensar las estrategias de controles de acceso.
3. El año pasado se observó en todo el mundo una notable presencia de hacktivismo (término que se acuñó para denominar al activismo, sobre todo político, mediante tecnologías de la información y hacking) gracias a la organización “virtual” llamada Anonymous. Diversas coyunturas políticas como las próximas elecciones en los Estados Unidos de América, y también en México (recordemos que este fenómeno es global por definición), creemos que detonarán una presencia mucho más marcada de este tipo de actividad en 2012. Es difícil determinar si los ataques se centrarán en organizaciones políticas y gubernamentales o se incluirá más frecuentemente a organizaciones privadas, la selección de objetivos ha sido un tanto caprichosa, pero seguramente veremos ataques a compañías privadas notables o que se identifiquen públicamente con alguna de las entidades que estos grupos seleccionen para sus protestas ¿Están las organizaciones preparadas para evitar ataques sobre su infraestructura?, al momento existe tecnología para contrarrestar una de las armas que más ha usado Anonymous (la denegación distribuida de servicios o DDoS), pero al parecer aún no ha desplegado, como se podría pensar; en este año sin duda apreciaremos un incremento en la demanda de servicios de protección contra DDoS.
4. Otro tema que ocupará los sitios de análisis en este año que comienza será el –largamente anunciado y al parecer aún sobredimensionado- agotamiento de las direcciones IPv4. Si bien se han hecho grandes esfuerzos para la llegada de IPv6, aún no se confirma el predominio que quizá se había previsto; el reto sigue siendo para las organizaciones las cuales tendrán que redoblar esfuerzos para una exitosa implementación. El tema del agotamiento de direcciones IPv4 resulta controversial cuando se observan los números de crecimiento en productos como tablets, teléfonos inteligentes, PC, ultrabooks, etcétera. Uno no puede sino pensar que la demanda de direccionamiento ha estado creciendo a pasos agigantados y, de acuerdo con un estudio realizado por el foro de tendencias para IPv6 en Latinoamérica, el agotamiento de las direcciones IPv4 en la zona RIPE NCC¹ (donde se concentran los países de Europa, África y Asia occidental) podría ocurrir en 2012; sin embargo, de acuerdo con LACNIC^2, para la zona de América Latina esto podría ocurrir hasta 2013. En cualquier caso, convendría a todas las organizaciones comenzar en este mismo 2012 la adopción de IPv6, aunque solo sea por las mejoras en seguridad que ofrece respecto de IPv4.

En el mundo digital no existen fronteras si hablamos de algún evento, por lejano que sea donde suceda, con certeza tendrá repercusiones en el preciso lugar donde ahora nos encontramos.

Este año presentará grandes retos para las compañías de cualquier tamaño, el crecimiento en el segmento de la seguridad informática dependerá de la habilidad de los proveedores para adaptarse a las cada vez más granulares estrategias para el control de los dispositivos móviles. El panorama es complejo, posiblemente este sea un año decisivo para las estrategias de seguridad enfocadas hacia los usuarios, para tener mayor control y mejorar la conciencia de seguridad.

Quizá se aproxima el fin de una era, pero aún no hemos escrito el capítulo final, ¿estaremos listos para enfrentar esos retos? Preferimos permanecer en el lado optimista, ya Bertolt Brecht³ describía muy bien las coyunturas: “La crisis se produce cuando lo viejo no acaba de morir y cuando lo nuevo no acaba de nacer.”

jbarroso@scitum.com.mx

dagutierrez@scitum.com.mx

¹ http://www.ripe.net/internet-coordination/ipv4-exhaustion

²  http://www.lacnic.net/en/registro/espacio-disponible-ipv4.html

³http://en.wikipedia.org/wiki/Bertolt_Brecht

]]> http://www.magazcitum.com.mx/?feed=rss2&p=1757 0 http://www.magazcitum.com.mx/?p=1749 http://www.magazcitum.com.mx/?p=1749#comments Wed, 29 Feb 2012 19:50:23 +0000 Omar Alcalá. CISSP, ISO-27001 y CCNA http://www.magazcitum.com.mx/?p=1749 Cada día es más común escuchar acerca de las leyes de protección de datos personales, así como de estándares y lineamientos a nivel nacional e internacional que buscan cuidar la seguridad de los datos. Año con año van mejorando los controles y tecnología para detectar accesos no autorizados o abusos en el uso de la información sensible.

En México muchas empresas e instituciones gubernamentales están trabajando para implementar los controles necesarios para cumplir con la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares), la Ley Federal de Transparencia y Acceso a la Información Pública, o los Lineamientos de Protección de Datos Personales. Por su parte, las instituciones con operaciones de tarjetas de crédito deben cumplir con controles que pasen auditorías de PCI (Payment Card Industry) y no hay que olvidar cumplimientos como la CUB (Circular Única de Bancos) de la CNBV (Comisión Nacional Bancaria y de Valores) o quienes tienen que ser objeto de auditorías tipo Sarbanes-Oxley, por mencionar algunos.

Una herramienta que ayuda a salvaguardar la información es una solución de prevención de fuga de información (Data Loss Prevention, DLP, aunque algunos expertos prefieren decir Leakage). Hay numerosos fabricantes en el mercado que ofrecen soluciones enfocadas a protección de información, por lo que es recomendable conocer qué es exactamente lo que debemos considerar para evaluarlas y cuál es más conveniente para un ambiente particular. Algunos fabricantes con soluciones DLP son Proofpoint, RSA, Symantec, Trend Micro, McAfee, Websense, Check Point, Imperva, IronPort y CA.

Las soluciones de DLP cobran importancia cuando vemos cómo se han disparado los ataques contra la seguridad de la información. En el sitio Web www.datalossdb.org/statistics se presentan diferentes estadísticas en materia de incidentes de seguridad relacionados con pérdida, robo o exposición no autorizada de información personal.

.

¿Cómo protege DLP los datos?

Hoy las soluciones DLP ya tienen mucha presencia en el mercado. Las empresas públicas y privadas se dieron cuenta de que la información no se protege solo por los firewalls o los sistemas de prevensión de intrusos que se pongan en la red, sino que además se requieren herramientas que se dediquen a revisar efectivamente qué está interactuando con la información misma.

Ya que los datos tienen  diferentes matices, se ha convenido una clasificación de datos para protegerlos, dependiendo su ubicación o manipulación. Es necesario considerar cómo se presentan los datos, ya que estas sutilezas determinan cómo serán protegidos:

• Datos en descanso (Data at rest): se refiere a datos almacenados en cualquier medio y con los cuales no existe interacción alguna con el usuario en un momento específico. La protección se brinda a los dispositivos en los que residen para que no sean copiados, movidos o eliminados, salvo en aquellos casos en que se cumplan las reglas que expresamente lo permitan.
• Datos en tránsito (Data in transit): flujo de datos a través de cualquier medio. La manera más común de encontrar datos en tránsito es en la red de cualquier corporación.
• Datos en uso (Data in use): son los datos que están siendo accedidos o manipulados por un usuario o programa. Esto implica colocar la información en memoria volátil, tipo RAM, o que alguna aplicación o proceso esté interactuando con los datos. Como ejemplo para identificar la sutil diferencia digamos que un dato en un dispositivo USB está “en reposo” a menos que sea accedido para su lectura; una vez invocado el dato para lectura cambia de “en reposo” a “en uso”.

Esta naturaleza del movimiento de los datos hace que las soluciones DLP no existan como una manera estática de protección de datos; constan de herramientas colocadas en puntos diferentes de la infraestructura corporativa y por lo general no se pueden ubicar exclusivamente en el perímetro de la red o en servidores específicos. Podemos decir que hay dos clasificaciones básicas de soluciones:

• DLP de red: es colocada en segmentos de red donde se quiere monitorear el tráfico que fluye en un punto en particular. Se aplican comúnmente para control de flujos de información en correos Web, mensajería instantánea o como puerta de entrada a un correo institucional o servidor especializado (Intranet, base de datos, servidores Web, etcétera).
• DLP de host: están enfocados al control de la información residente en un equipo de cómputo o servidor, evitando que salga por cualquier medio (red, puertos USB, copiados en memoria, etcétera).

.

¿Estoy listo para contar con una solución de DLP?

Constantemente he escuchado que una solución DLP no funciona, no brinda la solución que el cliente está esperando realmente, la implementación tarda demasiado, o, lo que es peor, afecta la operación crítica del cliente ¿Qué pasa? La tecnología no tiene la madurez de un firewall o un Proxy de navegación Web, sin embargo muchas funcionalidades de los fabricantes son, por lo menos, suficientes para satisfacer las necesidades elementales de protección y prevención de fugas de información.

Los fabricantes tienden a comentar que una solución de DLP está lista y configurada en una semana. Esto no es mentira, una implementación de “fierros” de este tipo suele ser poco complicada. En dado caso, lo más complejo es considerar almacenamiento de evidencias y su manipulación, sin embargo, no nos podemos limitar solamente a la tecnología. Los fabricantes también lo saben, solo que no siempre lo dicen.

Antes de realizar una implementación de DLP, es imprescindible realizar primero trabajos consultivos, que pueden ser considerados como parte del proceso de implementación o como trabajos separados. Una buena implementación de DLP debe estar precedida, por lo menos, de dos actividades previas que son complementarias entre sí:

• Clasificación de información: ninguna solución de DLP podrá aplicar una política de prevención o fuga de información si antes no se alimenta con una categorización acorde con las necesidades de la organización.

Hay soluciones que permiten hacer descubrimiento de información en activos críticos como bases de datos. Sin embargo, los patrones a buscar pueden o no ser estándares y por ello las reglas del negocio tienen que definir lo que la solución DLP deberá encontrar para filtrar. Una configuración incorrecta en este sentido tendrá dos  posibles fallos: la tecnología bloquea acciones legítimas (afectando la operación de la empresa), o bien, la tecnología posibilita una fuga de información, haciendo inútil el esfuerzo de las implementaciones DLP.

La clasificación de información no es realizada necesariamente por personal técnico. Es posible que incluso la gente de cualquier departamento de sistemas no se involucre del todo. Este trabajo debe ser conducido por personal con conocimiento del negocio y que pueda traducir los términos de negocio a términos de bits y bytes para implementar las soluciones adecuadas. Será común que cualquier esfuerzo aislado consiga resultados limitados.

• Roles y responsabilidades delimitados y documentados: la clasificación de la información no servirá de mucho en tanto no estén bien delimitados los roles y responsabilidades, al menos para determinar al personal que puede manipular la información. Las reglas del juego deben ser acatadas por todos los jugadores y la solución DLP deberá actuar en concordancia con las necesidades que cada rol tiene definido en la organización. En otras palabras, la solución DLP será la habilitadora de las reglas definidas para cada rol en la organización, actuando en consecuencia y conforme a las necesidades de operación.

La gente que define los roles en una organización no es técnica en sistemas, pero cada gerente o director en una organización debe saber qué responsabilidades, e incluso derechos, tiene el personal a su cargo, y cómo deben interactuar sus subordinados con la información que manejan.

.

Los trabajos consultivos son solo una parte

Como podemos apreciar, el esfuerzo resulta complejo en organizaciones medianas. En grandes corporaciones, la tarea parece ser titánica entre toneladas de información de diferente índole, además de las traducciones que hay que hacer del mundo binario al mundo humano.

El rol de un CISO (Chief Information Security Officer) desarrolla una función clave en las organizaciones. Es aquí donde se percibe por qué el CISO no debe ser visto como una posición de poder y gasto, sino como un habilitador y gestor de una tarea crítica como la protección de la información, entre otras. Es él quien entenderá la visión del negocio y medirá el riesgo en diferentes aspectos de la organización, conformará un equipo de trabajo y traducirá este conocimiento de negocio en necesidades y proyectos técnicos.

El perfil de CISO demanda gente con capacidades combinadas, por lo que es muy complicado encontrar al personal que asuma esas responsabilidades, debido a los llamados “soft-skills” o habilidades de la persona para relacionarse, comprender el negocio, entablar relaciones de confianza, evaluar riesgos y, además, entender el complicado mundo de TI (redes, servidores, cómputo en la nube, bases de datos, seguridad informática, etcétera).

Por si fuera poco, con cada cambio en las organizaciones se requiere de revisiones en los trabajos realizados para mantener corriendo una solución DLP. El CISO, con el apoyo de su equipo de trabajo, podrá brindar a la compañía una revisión periódica que permita que los sistemas de prevención de fuga de información estén en sintonía con las necesidades de negocio.

Finalmente, el CISO siempre debe tener el apoyo de la alta dirección. Traducir de vuelta los bits y bytes en ahorros, inversiones, presupuestos y seguridad es un reto que el CISO deberá cumplir. Cualquier proyecto de seguridad no es palpable y es visto como gasto hasta que causa multas, daños a imagen corporativa o demandas.

Una vez más se puede apreciar que la tecnología, como he escrito en otras ocasiones, no es lo único. La tecnología, con los documentos en su lugar y con la gente capacitada para este fin, podrán ayudar en su conjunto a las organizaciones a proteger el segundo activo más valioso con que cuenta la compañía: la información.

oalcala@scitum.com.mx

Para el desarrollo de estas ideas utilizaré dos apoyos principales: una referencia etimológica[i] y un estudio realizado en Venezuela respecto al comportamiento humano. Además, y como una libertad literaria, emplearé una esfera de esas en las que se puede ver el futuro, y claro es, que dicha esfera está teñida con el color de mi propia perspectiva.

Iniciemos pues por los orígenes mismos de la palabra seguridad, esta proviene del latín securitas (se-curu-tas) o bien sin-cuidado-andar, claro que, para sin cuidado poder andar, se requiere toda una planeación y establecer mecanismos de control y protección adecuados, en cualquier caso, el ser humano desarrolla muchas actividades y algunas se consideran más sensibles que otras, por ejemplo: puede ser irrelevante para nosotros dar a conocer la marca de refresco que tomamos, pero somos más cuidadosos cuando se trata de divulgar el nombre del banco donde tenemos chequeras o inversiones, ya no se diga el número de la cuenta o la clave de acceso a nuestra cuenta en Internet. Estos datos jamás deberían publicarse en un medio electrónico.

Entrando en materia de lo que hoy en día se considera importante resguardar, tenemos por ejemplo que el acceso a los datos personales en México ya se encuentra regulado por una ley que protege el derecho de las personas para decidir sobre el uso, almacenamiento, transferencia y divulgación de sus datos personales, ya sea que esta información sea entregada a una entidad gubernamental o a una persona o empresa privada, estos no deben compartirlos -nombre, dirección, datos relativos a nuestra salud, familiares y hábitos de consumo- con un tercero sin su aprobación; este es un gran avance en cuanto a normalizar el uso de nuestra información y alrededor de ello existen esfuerzos individuales y corporativos que implican grandes inversiones económicas para su cumplimiento.

En apoyo a lo anterior, encontramos algunos estudios de empresas de consultoría que muestran las tendencias en gastos de las organizaciones:

• “5% de la utilidad de las empresas se destina a seguridad de la información” – E&Y, publicado en Infochannel el 30 de mayo de 2011.
• “El mercado del software de seguridad en el 2010 se calculó en $16.5 mil millones de dólares” – Gartner, publicado el 1 de agosto de 2011 por Infochannel
• “En México la inversión estimada en telecomunicaciones durante el 2010 se calcula en $2.9 mil millones de dólares – COFETEL, Dirección de Información de Estadística de Mercados, actualizado al 9 de agosto de 2010.
• “En México durante el 2010 el 33.8% de la población es usuario de Internet” – INEGI, encuesta nacional sobre disponibilidad y uso de las tecnologías de información en los hogares 2010, actualizado el 14 de marzo de 2011.

Sin embargo, la pregunta no es si el gasto e inversión para la seguridad va a crecer o a disminuir, tampoco está en duda si tendremos herramientas más rápidas con algoritmos que otorguen mejores capacidades de análisis, la pregunta que definirá hacia dónde enfocar los esfuerzos de seguridad es: ¿Seguirá considerándose prioritario resguardar la misma información que se protege ahora?  Para contestarla, hay que revisar el enfoque del valor percibido de la información, y una forma de hacerlo es desde la perspectiva de los valores personales, que se encuentran directamente relacionados con el tipo de interacciones existentes entre los individuos en la actualidad, y en este caso particular a través de los medios de comunicación informáticos.

El cambio en los valores generacionales se ha estudiado principalmente como una herramienta para lograr una buena interacción en los equipos de trabajo en las empresas, ya que se presenta un fenómeno social donde los “veteranos” siguen ocupando posiciones laborales, en lugar de retirarse, aparte de que el vertiginoso avance en la tecnología ha hecho que las generaciones sean cada vez más cortas; no se comporta igual frente a una computadora alguien que escribía sus tareas en máquina de escribir (aunque haya sido eléctrica) que alguien que hacía sus tareas en Word, simplemente por el cuidado que se debe tener en uno y otro caso o, dicho de otra forma, el costo del error ha tendido a disminuir.

Los estudiosos proponen el término generación como “un grupo de edad que comparten a lo largo de su historia un conjunto de experiencias formativas que los distingue de sus predecesores”. De acuerdo a Nidia Chirinos, investigadora de la Universidad de los Andes, los grupos generacionales mayormente aceptados y que se consideran laboralmente activos son:

• Veteranos: nacidos antes de 1946, con una edad de más de 66 años.
• Baby Boomers: nacidos entre 1946 y 1964, entre 48 y 66 años.
• Generación X: nacidos entre 1961 y 1980, entre 32 y 51 años.
• Generación Y: nacidos después de 1980, menores de 32 años.

El siguiente cuadro muestra algunos rasgos de personalidad destacados en cada generación a partir de la generación de los Baby Boomers, por considerar que la participación de la generación anterior, los veteranos, es limitada  en cuanto a las tecnologías de información:

Extracto del cuadro “Guía para identificar arquetipos de generaciones y estructuras de valores”[ii]

.

En términos de seguridad informática estamos viviendo en un marco de políticas, herramientas y modelos definidos y diseñados por aquellos que pertenecemos a la generación X; sin embargo, estos marcos ahora son desafiados por la nueva visión de la generación Y y ciertamente deberán ser adecuados para ellos.

Como un ejemplo muy simple vemos el efecto del manejo de la información en las redes sociales, donde las fronteras entre lo que se puede considerar confidencial y público son muy delgadas y, por tanto, complicado establecer un esquema robusto de seguridad de acceso, simplemente porque el diseño fue pensado para romper las barreras de comunicación, donde se aprecian rasgos como el trabajo en equipo, el pensamiento social y especialmente el idealismo.

La seguridad de la información se basa en tres pilares: la CIA (confidencialidad, integridad y disponibilidad, por sus siglas en inglés); si analizamos cada uno de estos pilares desde la perspectiva de cada generación, podemos intentar inferir, con mi esfera para visualizar el futuro, algunos de los cambios que ocurrirán en los próximos años.

Confidencialidad.

El paradigma de la generación “X” marca que la información es un activo que debe ser protegido por quienes la poseen y se gana el derecho a contar con ella después de demostrar una gran lealtad y manejo consciente de la misma, enfocado a un objetivo determinado, de ahí los modelos de arquitectura de seguridad como Bell-LaPadula, muy utilizado en el ámbito militar, establece tres reglas básicas de seguridad: 1.- Seguridad simple, un sujeto no puede leer información de niveles superiores de autoridad; 2.- Propiedad de estrella, un sujeto no puede escribir o modificar información de niveles inferiores de autoridad; y 3.- Propiedad de estrella reforzada, para poder leer y escribir información esta debe ser del mismo nivel del sujeto que realiza estas actividades.

La generación “Y” percibe la información como un derecho público e inherente al ser humano y en la generalidad considera que el enriquecimiento de la información se logra del trabajo abierto de grupos (de ahí el éxito de la Wikipedia), donde todos los sujetos cuentan con el mismo nivel de autoridad para crear, leer o modificar contenidos, esto pareciera una anarquía del control de la información por ello, y debido al problema que presenta la desinformación para estos modelos colaborativos, ha sido necesario crear auditores o, dicho de otra forma, es necesario censurar la información que contienen estas poderosas herramientas; de aquí se percibe que los modelos de arquitectura de seguridad deberán ser adecuados a esta nueva realidad.

Integridad

La generación X, al ser individuos que suelen poner por encima de sus creencias personales las creencias de las instituciones en las que trabajan, dan la mayor importancia a identificar e implementar controles sobre la “trazabilidad” de la información, por lo cual surge el problema que representa el actual control de bitácoras de información, que en búsqueda de comportamientos anómalos en el acceso a la información — mediante la correlación de los eventos y acciones ejecutadas por los grupos que intentan acceder a ella–, identifican posibles ataques o intentos de modificar o acceder a información de manera ilegítima.

Mientras tanto la generación Y se preocupa más por el valor agregado en sí de la información, no es relevante quién filtra o da a conocer información, sino la información por sí misma, así vemos que wikileaks se percibe más como un servicio público de valor que como una intromisión a la propiedad de la información; esto supone un cambio radical de paradigmas, ya que lo importante se deriva de la veracidad de la información publicada, sin importar que los medios utilizados para obtenerla puedan rayar en la ilegalidad o inclusive generar consecuencias personales, ya que no siempre se logran identificar todos los contextos en los que la información ha sido generada originalmente.

Disponibilidad

En términos de disponibilidad identificamos que la generación X, al haber crecido con mayores limitantes técnicas que se han erradicado conforme el poderío de cómputo avanza,  es más sensible al posible costo asociado a las altas disponibilidades, por lo que puede llegar a considerar inclusive válido la indisponibilidad de la información relacionada a la complejidad técnica de mantener una disponibilidad de “siete por siempre”, y hasta, si es posible, no se comprometerán nunca a una disponibilidad mayor al 99.98%.

Para la generación Y, la disponibilidad esperada es mayor, de ser posible de 100%, y la decisión de otorgamiento de valor se asocia a un menor costo del servicio y a una mayor capacidad para compartir, por lo que la idea de servicios de almacenamiento y aplicaciones en la nube son la solución más lógica a sus necesidades, pese a que se pueda percibir un riesgo asociado a no tener el control total de su información.

Hay que reconocer, por tanto, en lo que se refiere al número de usuarios de servicios de información por rango de edad, que la generación millenium o generación Y, serán los nuevos encargados de determinar el camino que seguirá la seguridad informática, por lo que hay que estar preparado para moverse rápido, proporcionando mejores disponibilidades con nuevos modelos arquitectónicos, inclusive si mucha de la información que hoy es resguardada con mucho celo poco a poco se convierte en dominio público.

Nuestro trabajo como especialistas de seguridad se seguirá centrando en encontrar un buen balance entre el costo y el beneficio de la seguridad, iniciando por entender lo que es realmente importante para las nuevas generaciones a fin de trabajar en hacer más robusta la seguridad en nuevos canales de comunicación. Tener en mente las diferentes formas de pensar de cada una de las generaciones nos acerca a diseñar soluciones adecuadas a las necesidades reales de la nueva generación que va marcando la pauta.

cpolanco@scitum.com.mx

Por otro lado, derivado de la necesidad de las organizaciones de contar con mayor velocidad y agilidad, cada vez es más frecuente que los usuarios que ejecutan los procesos críticos de negocio estén geográficamente dispersos y no necesariamente en instalaciones de la empresa, por lo que el correo electrónico y las aplicaciones Web se han convertido en mecanismos primordiales de comunicación, tanto al interior de la misma como en el exterior.

Desafortunadamente, estos mecanismos son foco de atención de los atacantes y presentan un sinnúmero de problemas de seguridad, prueba de ello es que 90% de los correos son spam[4] y que 85% del spam contiene URL que dirigen a sitios Web maliciosos[5].

Hoy en día los ataques a usuarios finales normalmente siguen iniciando con un correo electrónico que a través de “engaños” provoca que aquellos den click en una liga que los lleva a un sitio Web malicioso o a uno legítimo que ha sido comprometido previamente debido a vulnerabilidades existentes en las aplicaciones que aloja. Ya no es necesario que el correo contenga el ejecutable con el exploit como archivo anexo al correo.  Es decir, el punto inicial de comunicación del ataque es el correo electrónico y el mecanismo a través del cual fluye el ataque en sí es el tráfico Web que se genera al acceder al sitio donde los atacantes han infiltrado su código malicioso, captando así un gran número de víctimas, mientras que permanecen ocultos y dificultan la capacidad de detectarlos y detenerlos.

El objetivo final es tomar control del equipo para reclutarlo como parte de un botnet o para extraer información a la que le puedan sacar provecho.

.

Protección Web y de correo en la nube

Los servicios en la nube están ofreciendo a las organizaciones una alternativa para lograr esa velocidad y agilidad que están buscando, lo cual incluye al sector de la seguridad de la información, donde ha surgido el concepto de “seguridad como servicio (Security as a Service,  SecaaS), el cual se define como la implementación de controles de seguridad que son entregados y gestionados a través de infraestructura tecnológica, operativa y física perteneciente al proveedor.

Un servicio que ya se está ofreciendo de manera estable bajo este concepto es el de protección de Web y de correo electrónico, donde muchos de los grandes fabricantes de software de seguridad y de TI en general ya tienen una oferta definida. Algunos ejemplos de ello, además de las grandes Telcos, son:

• Mcafee, a través de su adquisición MX-Logic.
• Symantec, que adquirió a Message Labs.
• Google, vía su compra de Postini.
• Zscaler.
• Proofpoint.
• Bluecoat.
• Cisco, a través de su adquisición de Scansafe.
• Websense.
• Spamina.

Gartner estima que 11% del presupuesto de seguridad de las organizaciones se dedicará a la adquisición de servicios tipo SecaaS/MSS, además de que para 2015 más de 25% de las adquisiciones de soluciones de protección Web y de correo serán bajo esta modalidad.

El objetivo general de estos servicios es prevenir que el malware entre a la red de la organización, ya sea a través de tráfico Web o de correo electrónico. De manera específica ayuda a detectar  redes bot, bloquear sitios de phishing, detectar y bloquear virus, detectar y bloquear spyware, proteger contra amenazas avanzadas, controlar los accesos Web, filtrar URL en función de diferentes criterios (categorías, horarios, usuarios, etcétera), controlar aplicaciones Web 2.0, complementar las soluciones de prevención de fugas de información a través del análisis de contenidos y del cifrado de correos.

El esquema general de funcionamiento consiste en hacer pasar el tráfico Web y de correo electrónico a través de una conexión entre la red de la organización y la de uno o más centros de datos del proveedor donde se aloja la solución de seguridad, normalmente compuesta tanto de tecnología comercial, (escaners de virus por ejemplo) como propio, para hacer el análisis del tráfico de la manera más eficiente.

En el caso del tráfico Web, esta conexión se realiza a través de alternativas como las listadas a continuación:

• Proxy chaining. Cuando las organizaciones ya cuentan con un proxy y los navegadores de Internet ya están configurados para utilizarlo, esta es la opción más directa y consiste en que el proxy existente reenvíe todas las peticiones HTTP y HTTPS al servicio en la nube, de tal forma que no se requiere modificar ninguna configuración en los equipos finales.
• Túneles GRE (Generic Routing Encapsulation). Permite encapsular los paquetes IP para que estos sean enviados a través de Internet utilizando un túnel, de tal forma que las peticiones sean recibidas y analizadas por el proxy del servicio en la nube.
• VPN (Virtual Private Network). Contempla la creación de un túnel seguro sitio a sitio desde la red corporativa a la red del proveedor del servicio en la nube, para que todo el tráfico Web pase a través de él.
• Archivos PAC (Proxy Automatic Configuration). Normalmente se aplica para los usuarios remotos o itinerantes y se utiliza sobre todo para que los usuarios se conecten de forma directa al servicio en la nube cuando no se encuentran conectados a la red corporativa. A través de un archivo PAC, que se descarga del propio servicio en la nube, se establece cómo el navegador de Internet elegirá el proxy adecuado para ir por un URL específico, evitando así configuraciones manuales o instalaciones de clientes o agentes en los equipos finales.

En el caso del tráfico asociado con el correo solo se requiere una redirección de los registros MX (Mail Exchanger) para que estos apunten a la infraestructura del proveedor de servicios en la nube.

.

¿Qué hay que considerar para contratar el  servicio?

Las consideraciones más importantes a tomar en cuenta son las siguientes:

• Efectividad en la protección. Debe tener amplias capacidades para detectar los ataques conocidos así como los de día cero, además de poderse adaptar a las nuevas amenazas que vayan surgiendo.
• Latencia generada para los usuarios finales. El tiempo de latencia que se agregue debe ser mínimo, de tal forma que el usuario final no se vea afectado y la calidad de su experiencia en el uso de los servicios sea prácticamente la misma. Este aspecto es crítico para la parte de Web, no tanto para el correo.
• Confiabilidad. Deben contemplarse altos niveles de disponibilidad así como esquemas robustos de redundancia.
• Flexibilidad. La forma de contratación, manejo de reglas y los diferentes aspectos del servicio deben adaptarse a las necesidades de la organización.
• Footprint/cobertura geográfica. Hay que considerar la cantidad de centros de datos que el proveedor tenga implementados en la zona geográfica de interés para que los esquemas de conexión sean lo más eficientes posible.
• Capacidad de gestión. Lo cual incluye que consolas de configuración y monitoreo que tendrá el usuario-administrador de la empresa sean de fácil uso y que tengan las funcionalidades necesarias así como la capacidad de generar reportes e información para la toma de decisiones.
• Costo. Definitivamente un factor elemental, deben ser mucho más económicos que las soluciones “on-premise” (aquellas que se implementan en las instalaciones del cliente a través de software o de dispositivos dedicados).

Los beneficios de estas soluciones prestadas desde la nube son importantes y diversos, sin embargo podemos agruparlos en tres grandes temas:

• Aspectos económicos.
  • No se requiere adquisición de hardware ni de software, por lo que no hay una inversión inicial para contar con el servicio. Asimismo, no existen costos de mantenimiento pues todos los costos son asociados a Opex (Operating Expenditures) y no a Capex (Capital Expenditures).
  • Reducción del costo de operación ya que no se requiere tener personal experimentado en seguridad ni mucho menos en las tecnologías de protección de correo y Web. No se requiere personal de operaciones 7×24.
  • Flexibilidad en la forma de pago del servicio, es decir, se paga según se consuma o se use el servicio, ya sea por número de usuarios, buzones, etcétera.
  • Uso más eficiente del ancho de banda de los enlaces a Internet, pudiendo incluso generar ahorros importantes, pues el tráfico malicioso entrante no ocupa ancho de banda de la empresa ya que todo es filtrado por el proveedor de los servicios en la nube antes de ser enviado al cliente.
  • Mejores costos debido a que los proveedores de este tipo de soluciones logran  economías de escala.
•  Aspectos operativos
• Facilidad de implementación ya que existen diferentes alternativas de despliegue; todas ellas son relativamente sencillas.
• El tráfico malicioso nunca llega a la red de las empresas por lo que se reduce el número de casos de virus, spam, phishing, etcétera.
• Aumento de la productividad del personal al no dedicar tiempo a correos spam o a acceder a sitios no productivos.
• Mayor escalabilidad y confiabilidad, ya que el proveedor dispondrá de uno o más centros de datos que permitirán el crecimiento de la solución de acuerdo a las necesidades de la organización, además de contar con capacidad de balanceo de cargas y redundancia en caso de contingencia.
• Mejores prácticas de operación utilizadas por el proveedor, maduradas a través de los años de experiencia. Por otro lado, el volumen de clientes les permite contar con soluciones “best of breed” además de garantizar la constante evolución tecnológica y de prácticas operativas sin que esto implique un costo adicional para el cliente.
• Gestión a través de niveles de servicio establecidos al inicio del contrato y medidos recurrentemente.
• Protección de usuarios tanto locales como remotos y móviles sin necesidad de desplegar agentes y sin importar dónde esté el usuario y cómo se conecte a Internet.
•  Otros
• Ayudan a mantener la continuidad del negocio en la parte de correo ya que los proveedores puede retener los correos por periodos definidos en caso de la caída de los servidores corporativos de la empresa.
• Cuando funcionan como complemento a soluciones de prevención de fugas de información, se reduce el riesgo de pérdida o daño a la imagen de la empresa al enviar contenido inapropiado o ilegal.
• Ayuda al cumplimiento normativo y de regulaciones.

.

Conclusión

Para la mayoría de las organizaciones el correo electrónico y las aplicaciones Web son habilitadores de negocio indispensables, sin embargo, implican retos importantes para la seguridad de la información, por lo que resulta prioritario contar con mecanismos de protección para estos servicios.

Aunque cada organización tiene necesidades particulares, las soluciones de protección de Web y de correo electrónico en la nube, en modalidad SecaaS, ya son suficientemente maduras como para ofrecer beneficios concretos y rápidos a la mayoría de las empresas, por lo que pueden ser una alternativa a considerar en el corto plazo.

mpolanco@scitum.com.mx

En muchos sistemas es común que el estándar de facto para establecer contraseñas sea mayor a ocho caracteres y menor a catorce. Esta regla es por sí misma obsoleta debido a que herramientas orientadas a ataques basados en diccionario y en fuerza bruta prácticamente pueden descubrir una contraseña con estas características de longitud en un tiempo relativamente pequeño.

En un estudio publicado por (IN)Secure[1], algunas de las contraseñas más usadas como “123456”, “qwerty”, “root”, “abc123” o “admin” fueron quebrantadas por ataque de fuerza bruta entre 600 y 2,103 intentos en un lapso de tres a cinco minutos. En cambio, en contraseñas de hasta 10 caracteres de longitud, que incluyen caracteres especiales, el número de intentos aumenta a 41,349, en un lapso de entre 18 días y 5 meses. Por ejemplo la contraseña “password” es común que sea repetida en 3,691 variaciones distintas en un mismo conjunto de sistemas administrados por un usuario común: “p4ssw0rd” para el acceso al correo electrónico,  “Pa$$worD” para la cuenta de algún sitio y “p@ssw0rd” para el equipo personal. Nótese que la implicación de caracteres especiales o alfanuméricos no robustece lo suficiente este tipo de contraseñas, ya que los ataques basados en diccionario tienen aproximadamente 93% de efectividad, toda vez que consideran de antemano este tipo de variaciones.

El común denominador en el método usado por la mayoría de los usuarios para crear una contraseña es el establecimiento de un patrón para las distintas contraseñas, por ejemplo, agregar ligeras variantes a los valores por omisión. Lo anterior da lugar a contraseñas débiles: empleando programas como MD5 bruteforcer, hydra o L0phtcrack, para auditar una contraseña de ocho caracteres de longitud que basada en el alfabeto de 26 caracteres  en minúscula, matemáticamente es posible acceder a ella en un lapso de 6 a 35 horas, considerando que el ataque se realice en una máquina con procesador Pentium 4 a 2.8 GHz, es decir, un equipo de desempeño relativamente bajo tomando en cuenta los estándares actuales de velocidad en procesadores[2]. Al agregar caracteres especiales (#, $, %, &, etcétera), números, y aumentando la longitud de la contraseña, se incrementará exponencialmente el tiempo para obtenerla. Sin embargo, surge un nuevo problema: al incluir todos estos caracteres e incrementar la longitud, el usuario tendrá complicaciones al generar y aprender diferentes contraseñas complejas, por ejemplo, una típica contraseña robusta sería “ajñ91kwclB455)%hDY@?+#”, pero una cosa es cierta, no habría quien logre memorizarla a primera vista y, lo que es peor, habría que renovarla cada 30 días en ambientes críticos. Surge entonces el dilema que invariablemente nos destina al conocido “triángulo de la seguridad”, en el que las puntas corresponden a la seguridad, la funcionalidad y la facilidad, y donde únicamente podríamos satisfacer dos de esas tres características.

Según un estudio realizado por Mark Burnett y Dave Kleiman[3], de tres millones de contraseñas de longitudes variadas 70% incluye solo letras minúsculas (siendo la letra a la más usada), 20% tiene un número o más (siendo el número 1 el más común), alrededor de 10% incluye al menos una letra mayúscula  (con la A como la más usada) y alrededor de 1% incluye al menos un carácter especial (siendo @ el más recurrente). En el mismo estudio, ambos especialistas proponen que una contraseña debe tener las siguientes tres características:

1. Fácil de recordar.
2. Difícil de adivinar para un usuario ajeno.
3. Longitud mayor a catorce caracteres.

En otras palabras, recomiendan que una contraseña sea como la ropa interior: solo tú sabes qué te pones, no la muestras a nadie y, por lo tanto, te acuerdas de ella fácilmente.

Las anteriores condiciones pudieran parecer al principio difíciles de asimilar, ya que se podría pensar que el punto uno y el dos son contradictorios, pero no es así.

Por ejemplo, si se desea asignar una contraseña al equipo personal se podría comenzar pensando en el equipo favorito de beisbol: Tomateros de Culiacán. Si se escribe el nombre del equipo todo junto quedaría “tomaterosdeculiacan”. Para agregar mayor complejidad se podrían considerar caracteres numéricos, caracteres especiales y letras mayúsculas, lo que podría llevar a contraseñas como “TomaterosDEculiacaN” o “&&tomaterosdeculiacan&&”. Más robusta podría ser una contraseña como “miequipofavoritosonlostomaterosdeculiacan” (de 41 caracteres de longitud). Incluso sin considerar caracteres numéricos, especiales y mayúsculas, una contraseña con las anteriores características rompe el molde convencional para establecerlas, ya que supera por mucho la longitud “normal” y usa una “palabra” alejada completamente del ataque de diccionario.

En conclusión, cada vez que es agregado un carácter más en la longitud de la contraseña, el tiempo para quebrantarla se dispara. Teniendo presente que el poder de cómputo se duplica aproximadamente cada 18 meses[4]  y considerando las recomendaciones anteriores, se obtendrían buenos resultados tanto en la creación como en la administración de contraseñas altamente robustas.

fmejia@scitum.com.mx

Mi experiencia con pruebas de seguridad se remonta a mi último año de universidad, pues como parte de mi primer intento de tesis me propuse realizar un modelo que pudiera mapear los resultados de un estudio basado en OSSTMM(Open Security Methodology Manual) a un tablero de control (Balanced Score Card). Desde aquella época me di cuenta de que muchas organizaciones dan un enfoque equivocado a los objetivos de las pruebas de seguridad, y por tal razón en ocasiones no quedan plenamente convencidas de los resultados.  A mediados de la década pasada comenzaron a tomar fuerza las certificaciones relacionadas con pruebas de penetración, hackeo ético e investigación forense, y muchos proveedores de seguridad se enfrascaron en campañas mercadológicas hablando de los hackers éticos, los hackers de sombrero blanco, etcétera. Incluso podríamos decir que se puso de moda hablar del tema.

Hoy en día un gran porcentaje de las empresas realizan pruebas de seguridad en sus organizaciones por dos razones principales:

1. Cumplimiento regulatorio: algunas regulaciones como CNVB, SOX o PCI requieren que se realicen pruebas de seguridad sobre la infraestructura tecnológica.
2. Justificación de presupuesto de seguridad: los resultados de las pruebas permiten mostrar el impacto de las vulnerabilidades sobre la organización para, de esta manera,  justificar los presupuestos de seguridad de la información.

Ambos enfoques tienes sus desventajas. Menciono un par:

1. Cumplimiento regulatorio: cumplir con los controles de seguridad que exige una regulación y exponerlos al menos una vez por año a una prueba de seguridad no permite asegurar que se esté a salvo. Hay casos documentados de organizaciones que, aún cumpliendo con las regulaciones e incluso con estándares como ISO-27001 siguen siendo comprometidas y tienen brechas de seguridad.
2. Justificación de presupuesto: pensar que un estudio de pruebas de seguridad nos mostrará todos los posibles huecos y vectores de ataque a los cuales estamos expuesto es muy osado, ya que las pruebas están limitadas por el tiempo que se les dedica, el alcance y la habilidad de los consultores que las realizan. Además se debe tener en mente que la seguridad de la información va más allá de un exploit o una prueba de seguridad.

Pero entonces surge la pregunta ¿Son requeridas las pruebas de seguridad?, yo creo que sí, pero con el enfoque adecuado. A continuación expongo algunas ideas que me gusta comentar con nuestros clientes cuando me consultan sobre pruebas de seguridad:

• Si se necesita identificar vulnerabilidades en los sistemas, el servicio adecuado es un análisis de vulnerabilidades, en el que se utilizan herramientas especializadas que han sido afinadas de acuerdo a las necesidades del cliente y que permiten validar el estado actual de la seguridad de los activos. Este análisis detecta:
• Vulnerabilidades conocidas.
• Configuraciones por omisión.
• Malas configuraciones de seguridad.
• Nivel de estado de seguridad respecto a alguna regulación.

Y no se trata solo de ejecutar una herramienta, se requiere trabajo de análisis especializado para descartar falsos positivos,  interpretar los resultados, ponderarlos y  priorizar las tareas de remediación.

•  Si se requiere probar un control de seguridad, lo que recomiendo es realizar una prueba de penetración enfocada a los activos que están protegidos por el control, con esto podemos validar su funcionamiento y el objetivo final es robustecerlo. En este rubro pueden abarcarse los análisis de riesgos técnicos, en los cuales probamos la efectividad de los controles tecnológicos como son firewall, IPS, filtrado de contenido e incluso proveedores de seguridad.
• Si se necesita saber si la organización está expuesta a una cierta vulnerabilidad, se prepara un escenario de ejecución de ataque; quizás a usted le gustaría, por ejemplo, saber si  su organización está lista para soportar un ataque de DDoS o APT.
• Si una organización quiere medir el nivel de madurez global de su política de seguridad entonces lo ideal es realizar un estudio de hackeoético, en el cual el objetivo es obtener información sensible mediante diversas técnicas como son:
• Pruebas de penetración.
• Ingeniería social.
• Pruebas de seguridad física.

• Si el fin es cumplir alguna regulación, es importante no solo limitarse a los activos. Siempre es recomendable evaluar el flujo completo de los servicios; esto permite tener una visión más amplia de los resultados.

En conclusión, si una organización tiene muy claro el valor de sus activos, su sensibilidad, el flujo de sus servicios y las medidas de protección con las que cuenta, será más fácil definir los objetivos de una prueba de seguridad  para que realmente “sirva de algo”.

epsanchez@scitum.com.mx

Desde un celular que funciona con tarjetas de prepago hasta un kit inalámbrico utilizado para sofisticadas pruebas de penetración de red, en  la comodidad de nuestro hogar o en los sitios más inusuales, para fines de placer o de trabajo, existen laptops, teléfonos, cámaras, consolas de juegos y muchos otros dispositivos que funcionan en un espectro de frecuencias cada vez más saturado.

Desde 1999,  la asociación WECA, hoy Wi-Fi Alliance (www.wi-fi.org) se ha encargado de realizar  la titánica labor de convergencia entre los diferentes fabricantes y tecnologías a fin de tener un frente común y definir los futuros estándares de interoperabilidad. A la fecha, su programa de certificación ha completado el proceso para más de once mil diferentes productos, lo que ha ayudado a lograr los altos niveles de penetración que esta tecnología hoy tiene en nuestras vidas.

En el ámbito de la seguridad inalámbrica existen diversas opciones que en los últimos diez años han evolucionado los niveles de protección para el usuario. Este desarrollo se ha manifestado a través de tecnologías de autenticación para acceso a red y metodologías de cifrado, aunadas a la generación de políticas específicas de conectividad inalámbrica y soluciones para monitoreo de la actividad.

En esta colaboración he querido hacer un recuento de los beneficios y las limitaciones que presentan varias de estas tecnologías a fin de compartir con ustedes, apreciables lectores, información que está distribuida en muchos lados pero que en ocasiones no se muestra en términos que permitan comparar sus características desde una misma perspectiva.

.

El primer paso en seguridad inalámbrica: WEP (Wired Equivalent Privacy)

Con la definición del estándar 802.11 en 1999, el diseño de WEP buscaba incorporar tecnologías de cifrado con llaves de 40, 128 y hasta 256 bits. Desafortunadamente esta opción quedó rápidamente rebasada con la diversidad de herramientas para romper el cifrado que están disponibles en Internet; con una cantidad suficiente de paquetes capturados y un ataque de fuerza bruta, una persona con conocimientos básicos puede fácilmente extraer la llave de acceso.

Uno de los problemas más serios que enfrentó WEP tiene que ver con el manejo de llaves, en primera instancia por la distribución de las mismas y, además, en una red que utiliza este método tanto los usuarios como los puntos de acceso usan la misma llave, de manera que al obtenerla se tiene acceso a toda la información que se genere dentro de esa red. El tiempo en el que se puede extraer la llave actualmente está en el rango de minutos.

A manera de compensación existe la posibilidad de incorporar tecnologías como SSL (Secure Sockets Layer) y TLS (Transport Layer Security) que trabajan en conjunto con las aplicaciones a fin de blindar los contenidos en el flujo de las transacciones y los datos.

.

La solución intermedia: WPA v1 (Wi-Fi Protected Access)

Como una evolución necesaria de WEP, e introducido en 2003, WPA se basaba en el uso de contraseñas suficientemente largas (al menos 15 caracteres) o passphrases de hasta 63 caracteres, lo que hacía difícil averiguar la llave de cifrado.  Este método representó una solución intermedia en tanto la IEEE liberaba el apartado 802.11i, y se hizo popular debido a que la mejora se podía realizar a través de software o firmware, por lo que aquellos que ya contaban con soluciones basadas en WEP no tenían que realizar una nueva inversión en infraestructura.

Dentro de las mejoras que se implementaron está la inclusión del algoritmo de cifrado TKIP (Temporal Key Integrity Protocol), soporte para el algoritmo de cifrado AES-CCMP (Advanced Encryption Standard – Chaining Message Authentication Code Protocol) y EAP (Extensible Authentication Protocol) con el fin de mejorar los procesos de autenticación y autorización para el acceso a red. Dentro de EAP existen diferentes modalidades como EAP-MD5, PEAPv0, PEAPv1, EAP-MSCHAPv2, LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, MSCHAv2, EAP-SIM, etcétera. En un futuro artículo hablaré de este método y sus modalidades.

Además de estas mejoras,  la solución puede robustecerse al interactuar con otros mecanismos de seguridad como RADIUS y 802.1x que aumentan las barreras que tendría que franquear un atacante para hacer uso de los recursos de red.

.

La propuesta actual: WPA2 (Wi-Fi Protected Access de segunda generación)

Como un requerimiento obligatorio desde 2006 para los fabricantes, la modificación está basada en la liberación completa de la enmienda 802.11i para seguridad en redes inalámbricas y, a diferencia de su antecesora, sí requiere el reemplazo de hardware. Las opciones de algoritmos de cifrado pueden ser AES-WRAP o AES-CCMP que no son mutuamente compatibles.

WPA2 se basa en:

• El estándar de cifrado avanzado (AES, por sus siglas en inglés), que es el protocolo de cifrado utilizado por los Estados Unidos y otros gobiernos para proteger información confidencial, y por el sector privado para proteger redes locales inalámbricas o WLAN.
• El estándar 802.1x, diseñado para proveer una autenticación robusta y funcionalidades sofisticadas de acceso a red.

.

Con el fin de generalizar el uso de esta tecnología en la casa y en oficina remota, en 2007 se introdujo el programa protegido de configuración Wi-Fi (WPS), sin embargo apenas en diciembre de 2011 se descubrió una vulnerabilidad en los ruteadores inalámbricos que tienen esta funcionalidad y que permitiría a un atacante tener acceso a la red en cuestión de horas.

Cabe recordar que la mayor parte de los ataques no rastreables ocurren por puntos de acceso desprotegidos, en el hogar, en un sitio público o hot spot por donde el atacante puede acceder desde un automóvil o un local contiguo y evitar su detección.

Otra vulnerabilidad reciente es la conocida como el agujero 196 (Hole196) que recibe su nombre por su ubicación en la documentación de la revisión 2007 del estándar 802.11: la última línea de la página 196. Esta vulnerabilidad ataca a la llave temporal de grupo (GTK) que comparten los usuarios autorizados en una red con WPA2, donde de acuerdo a su operación, el punto de acceso es el encargado de cifrar los mensajes y las estaciones de trabajo de descifrarlos; en el ataque un hacker puede inyectar paquetes cifrados con GTK y un usuario interno puede tener acceso a los contenidos de otros usuarios pues comparten la misma llave. No se “crackean” llaves, ni tampoco hay ataques de fuerza bruta. Por su naturaleza pasiva este ataque puede pasar desapercibido para dispositivos de seguridad como IDS e IPS.

La siguiente tabla concentra las diferencias entre estas modalidades de protección de soluciones de tecnología inalámbrica, comparando sus capacidades de cifrado de información, la integridad de los datos que transportan, el manejo de llaves para los procesos de encripción y la detección de reutilización de llaves:

¿Qué más viene para las redes inalámbricas?

Las redes inalámbricas se han vuelto una opción recurrente para organizaciones dinámicas, con empleados que pasan más tiempo fuera de su oficina, que trabajan desde la calle  y que requieren de un mayor grado de versatilidad en sus posibilidades de comunicación.

Para los próximos años la Wi-Fi Alliance está impulsando que los desarrollos apunten a incrementar la velocidad de transmisión y a abarcar otro espectro de frecuencias dentro de la capa física, en tanto que a nivel de la capa de enlace de datos se presentarán diferentes mejoras en las funcionalidades de red.

En la siguiente tabla enumero algunas de las presentes y futuras innovaciones que se estarán viendo dentro de las definiciones del estándar 802.11:

.

A manera de ejemplo de esta vertiginosa evolución, y de acuerdo a la definición de la enmienda 802.11 ad, el espectro de radiación de redes inalámbricas está comenzando a utilizar la frecuencia de los 60 GHz que empieza a popularizarse en Estados Unidos, Europa y Japón con tasas de transmisión que llegan hasta 6756.75 Mbps, lo que permite hacer realidad la transmisión eficiente de video en tiempo real a través de este medio.

En conclusión, aún estamos por ver una gran cantidad de innovaciones en tecnología inalámbrica y debemos estar a la vanguardia de lo que la industria vaya liberando para enfrentar con un mejor nivel de conocimientos –y mayores herramientas– los retos de un mundo cada vez más diverso en sus posibilidades de comunicación.

esanroman@scitum.com.mx

El Colegio de Contadores Públicos de México me invitó a dar una plática sobre controles de seguridad informática. Entusiasmada acepté, pero en el siguiente instante me pregunté cómo debía dirigirme a este público; era sin duda un auditorio muy receptivo, entre ellos se encontrarían contadores, auditores, financieros, economistas y actuarios, todos ellos con más canas que su servidora; todos ellos pertenecientes a una generación anterior.

Después de darle muchas vueltas a la temática, en principio decidí atrapar su atención con una escena de la película Superman (1978) donde un empleado realiza un fraude hormiga; gracias a sus facultades como programador y su conocimiento de la aplicación logra modificar un programa para que mensualmente le deposite unos centavos de dólar en su cuenta personal.

Antes de proyectar la escena caminé entre el público preguntándoles si recordaban qué estaban haciendo en 1978. Resultó que había gente que estaba terminando la secundaria o la universidad, y otros ya eran papás.  Estamos hablando de más de 30 años atrás.  Después de ver la escena, emocionados comentaban sobre la ciencia ficción y que el escritor había echado a volar su espíritu futurista,  ¿quién diría que años más tarde este tipo de fraudes se podrían hacer? Pero siendo francos este delito ya era factible en aquel 1978 pues los sistemas ya procesaban transacciones teniendo siempre detrás programadores de código que conocen las “tripas” de las aplicaciones.

Si nos acercamos en la escala del tiempo, en 2007 vimos Duro de Matar 4, donde Estados Unidos es víctima de un caos a nivel nacional por un ataque informático descomunal a los sistemas automáticos de control de los principales servicios en las ciudades. La posibilidad de paralizar una región o un país se aprecia totalmente como una fantasía; lo rápido que suceden las fallas  hace que se perciba como un efecto desmedido.

.

 ¿Realidad o fantasía?

De hecho, parece que en 2003 ya ocurrió un ataque similar en Taiwán[i] que dejó afectados servicios básicos como semáforos, sistemas financieros, flujo vial, etcétera ¿Cómo puede suceder esto? A veces pensamos que nuestras ciudades siguen siendo más analógicas que digitales, pero les tengo noticias: un alto porcentaje de servicios dependen de sistemas tipo SCADA (por Supervisory Control and Data Acquisition), que pueden controlar energía, agua, petróleo, gas, telecomunicaciones, transportes y muchos otros servicios. Al respecto, les recomiendo el artículo de mi colega Esteban San Román, en la edición pasada (Año 2, número 4) “Los sistemas SCADA y su exposición ante ataques informáticos”, donde aborda el tema de su vulnerabilidad y la importancia de protegerlos.

Así podríamos repasar muchas películas hollywoodenses que refieren el tema de los delitos informáticos, por mencionar algunas: Hackers (1995) que aborda la extorsión corporativa; Swordfish (2001) que se enfoca en el plano terrorista;  Juegos de Guerra (1993) que versa sobre un curioso hacker a  finales de la Guerra Fría. El objetivo de este artículo no es calificarlas ni hacer una reseña de cada una, sino destacar que si bien en la cinematografía los hechos pueden parecer inverosímiles, en la realidad no estamos tan lejanos de impactos de gran magnitud por las vulnerabilidades de los sistemas de control de nuestras instituciones, sistemas, aeropuertos, etcétera.

.

¿Quiénes han sido víctimas fuera de Hollywood?

Sinfín de entidades y personajes han sufrido ataques de diversas magnitudes: La Casa Blanca, el Pentágono, Visa, Mastercard, Bank of America, CardSystems,  gobiernos como el de Irán y Canadá, Sony, Facebook, Yahoo, el Ministerio francés, el FMI y hasta el mismísimo Dalai Lama.

Hace mucho tiempo se decía que la cuarta guerra mundial sería a pedradas, aunque ahora la tendencia va hacia los ataques cibernéticos, derivado de lo que en la actualidad es una realidad: la ciberguerra. Los blancos incluyen sistemas de inteligencia, bancarios, gubernamentales, militares, aéreos, satelitales,  grupos religiosos, empresariales, redes sociales, comercios, entre otros.

.

¿Y por qué decimos que este tipo de ataques ya dejaron de ser ciencia ficción?

Bien, pues resulta que las armas informáticas son tan potentes que pueden llegar a causar un daño inimaginable, ya que los ataques se han ido sofisticando cada vez más, con resultados inesperados. Este negocio da a los agresores hasta donde su imaginación alcance, ya que la tecnología está a sus pies.

Algunas de las características particulares de estas armas informáticas son:

• Silenciosas, los atacantes no son perceptibles.
• Volátiles, las evidencias son en general destruibles rápidamente.
• Baratas, la inversión que requieren los atacantes en proporción al daño que causan o comparado con la inversión de una guerra con armas físicas, es ínfima.
• Portátiles, hoy día existen potentes equipos móviles que pueden procesar estructuras pesadas del tipo que requieren los hackers para lograr penetrar y atacar sistemas.
• Globales, gracias a la red mundial, un grupo reducido de hackers puede en un momento dado confabular estando en diferentes partes del mundo, con blancos hacia otros países.
• No penadas, las legislaciones actuales difícilmente pueden normar y castigar delitos informáticos globales de complejidades tan modernas.
• Reproducibles, los algoritmos de ataque, gusanos, virus, etcétera, se copian fácilmente, como cualquier pieza informática, y casi sin costo.
• Veloces, la distancia física no es un problema, las conexiones globales son inmediatas, un ataque puede ocurrir en cuestión de segundos o cuando mucho minutos.

.

¿Y qué podemos hacer para protegernos?

En realidad a nivel personal poco podemos hacer, sin embargo, los gobiernos, instituciones y sistemas de inteligencia pueden comenzar con programas sólidos de seguridad con los cuales se protejan los servicios, pero sobre todo a la ciudadanía, a través de la educación en materia de seguridad, privacidad, protección, clasificación de información, cautela en el uso de datos, entre otros.

Los invito a ver algunas de las películas mencionadas y otras relacionadas, que nos pondrán en el filo de la butaca y nos harán reflexionar sobre lo vulnerables que podemos ser.  Por cierto, aún no he leído ni visto “La chica del dragón tatuado”, puede ser una buena idea escaparnos hoy al cine.

pbalcazarh@scitum.com.mx