Noviembre 2009 · 58 · www.bsecure.com.mx
EMPOWERING BUSINESS CONTINUITY
b:Secure buscó a tres expertos, provenientes de instituciones académicas de reconocimiento internacional, el Cinvestav, la UAM y la UNAM, para que nos platiquen sus logros, avances y retos en educar a los profesionistas mexicanos del mañana. Ellos son los Maestros de la Seguridad, no por lo que saben, sino por lo que están enseñando.
La alfombra roja de los protagonistas del Business Continuity
RESERVE SU AGENDA 10 Y 11 DE MARZO CAMINO REAL POLANCO CIUDAD DE MÉXICO
www.bsecureconference.com.mx
9 NOV O
ACCESO
13 ERRORES QUE CUESTAN DATOS
La pérdida o robo de información no siempre tienen el rostro del cibercrimen detrás de ellos, y a veces el extravío de los datos son consecuencia de simples, pero graves errores técnicos.
EVENTOS
14 SIN REGLAS NI ESTÁNDARES EN SEGURIDAD
Ejecutivos de la firma de seguridad informática McAfee reconocieron que ya es momento de que las compañías, gobiernos e involucrados definan estándares y reglas claras para el combate al cibercrimen.
B:SECURE FOR BUSINESS PEOPLE
18 ESTRATEGIA DE SEGURIDAD, UN ENFOQUE PRÁCTICO Y PRAGMÁTICO PARTE DOS
Un acercamiento pragmático para la seguridad de la información empieza con la aplicación de tres filtros hacia las decisiones que se deben tomar con respecto a la seguridad de IT.
ÁREA RESTRINGIDA
20 KNOCK, KNOCK, KNOCKING ON HEAVENS DOOR…
Tan fácil como tocar la puerta del club secreto con la contraseña correcta, el Port Knocking se coloca como un concepto para controlar el acceso remoto de las aplicaciones.
OPINIÓN
21 LA SEGURIDAD DE LA
INFORMACIÓN Y EL FUTBOL
¿Qué relación tiene el fútbol y la seguridad IT? Ninguna a simple vista, pero en el trasfondo los campos de juego, de “ambos deportes”, comparten más similitudes de las que uno podría apreciar.
AUDITORIA EXTREMA
08
LOS SAFEMASTERS
SON MAESTROS Y SON SEGUROS, TRES ACADÉMICOS DE LA UNAM, UAM Y EL CINVESTAV COMPARTEN LOS LOGROS Y RETOS QUE HAN ENFRENTADO COMO EDUCADORES Y PROMOTORES DE LA SEGURIDAD IT EN MÉXICO.
03 EN LÍNEA
06 LOGIN
24 SINNÚMERO
23 MENOS RIESGOS CON UNA SEGREGACIÓN DE FUNCIONES
Tener aplicaciones con un adecuado esquema de seguridad no es suficiente para mitigar el riesgo de un fraude dentro de la organización, si no se segregan funciones de forma adecuada.
KEYNOTE SPEAKERS Guillermo Aguirre
Guillermo Aguirre
El doctor Guillermo Aguirre cuenta con una amplía experiencia en el diseño y desarrollo de metodologías que permiten anticipar las tendencias de evolución tecnológica. Durante el sexenio 2000 – 2006 fue Director Adjunto del departamento de Desarrollo Tecnológico y Negocios de Innovación del CONACYT, y tuvo bajo su responsabilidad el diseño, implantación, coordinación y operación de programas que incentivaran la inversión del Sector Productivo en Investigación y Desarrollo Tecnológico. Además de la creación de empresas de alto valor agregado basadas en la explotación de descubrimientos científicos y desarrollos tecnológicos. Actualmente, el Dr. Aguirre es Director del Grupo de Innovación Aguirre, así como Director-Fundador de LatlPnet, la Red Latina de Innovación y Negocios, encargada de implementar el proceso de innovación para generar valor sostenible y rentable en negocios, procesos y productos.
El Sr. Cassio Dreyfuss es Vicepresidente de Gartner Investigación.
Cassio Dreyfuss
Su trabajo está centrado en las áreas de interfase de negocios y TI, así como en aspectos de organización, gestión y planificación de TI. El interés principal de su investigación está dirigido al sourcing estratégico, con énfasis en prácticas de estrategia, organización, gobierno y gestión. El Sr. Dreyfuss también sigue las tendencias y direcciones de TI en América Latina. Actualmente, es el director del programa de trabajo de Gestión y Gobierno de los Servicios de Sourcing y analista principal de los Servicios de Sourcing en América Latina.
La verdad desnuda de nuestro mediocre crecimiento,
Carlos Elizondo Mayer-Serra
Carlos Elizondo Mayer-Serra, Investigador del CIDE En el pasado hemos podido crecer. Fuimos tan exitosos en presentar una imagen de una sociedad que estaba convergiendo hacia los niveles de bienestar de los países desarrollados que en 1968 México fue sede de los juegos olímpicos, 40 años antes de los juegos olímpicos de Beijing en 2008. ¿Por qué el llamado milagro mexicano no se ha repetido? ¿Quién atora nuestro crecimiento? ¿Cómo hacerle para crecer?
Taller: La Agenda del CIO 2010
Bajo la experta conducción de Ricardo Rendón, ex CIO de Hylsa y actual consultor de los mayores directivos de Sistemas de México, las “mentes más brillantes en IT” elaborarán la agenda del CIO 2010.
Ricardo Rendón
S
El encuentro de las mentes mรกs brillantes en IT 4 - 7 de marzo 2010 Grand Velas All Suites & Spa Resort Riviera Maya www.ciosummit.com.mx INFORMES: Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opciรณn 4. O llamando a /2629 - 7280, 2629 - 7281 / 2629 - 7285 &AX s EVENTOS NETMEDIA INFO Un evento de
Producido por
ENLÍNEA BSECURE.COM.MX
BILL GATES TE INVITA A SU RED EN LINKEDIN
Un experimento realizado por un investigador comprobó que los controles de seguridad de los servicios de correo electrónico para los teléfonos inteligentes Blackberry, iPhones y Pre de Palm no son tan efectivos aún utilizando poca tecnología e ingeniería social eficaz. Joshua Perrymon envío a los buzones de correo electrónico una muestra que utilizan los servicios de correo de los smartphones una solicitud falsa de LinkedIn supuestamente hecha por el mismísimo Bill Gates. Perrymon tuvo 100% de éxito en que los destinatarios recibieran la invitación falsa para unirse a la red de Gates a través de 10 diferentes combinaciones de aplicaciones de seguridad de correo tanto comerciales como de fuente abierta, así como de cuatro importantes proveedores de productos de correo electrónico. El resultado de su experimento fue que tanto Blackberry, como iPhone y Pre fallaron al entregar la invitación falsa de LinkedIn a los buzones de correo de sus usuarios. Perrymon ha entregado su investigación a las tres empresas con el fin de que tomen las medidas necesarias. Las marcas de las aplicaciones de correo electrónico que fallaron la prueba no han sido revelados, ni los de los cuatro proveedores de servicios de correo que pasaron por alto el mensaje, pero el investigador planea hacerlos públicos en breve. La investigación menciona que un hallazgo relevante es que ni en el teléfono inteligente de Palm ni en el Blackberry de RIM hay protección contra mensajes de phishing. Esto es porque, si el cliente de correo está construido en JavaScript, si está hecho para descargarlos desde un servidor de correo
Mónica Mistretta DIRECTORA GENERAL
como POP, IMAP o Exchange, si el servidor no detecta el correo, nada lo hará. Asimismo, en los tres casos los navegadores permitieron dar clic en la liga del engaño, por lo que Perrymon consideró que también es un problema de los navegadores Web.
USAN HALLOWEEN PARA INFECTAR USUARIOS La firma española de seguridad informática Panda advirtió a internautas y empresas sobre una nueva oleada de ataques y códigos maliciosos relacionados a la fiesta de Halloween o Día de Brujas. Los expertos de la compañía han detectado que una simple búsqueda en Internet de la palabra Halloween o de temas relacionados a la celebración, que se lleva a cabo el último día del mes de octubre, puede llevar a “decenas” de páginas apócrifas o comprometidas con códigos maliciosos o malware. “Dichos sitios son utilizados para distribuir falsos antivirus, mejor conocidos como scareware que el usuario descarga y instala en su computadora. Dicho malware muestra mensajes indicándole que su PC está infectada y que, para solucionar el problema, debe comprar una licencia. Al aceptar son direccionados a un sitio de venta aparentemente oficial, donde son víctimas de un fraude”, explicó la compañía. La firma recomienda contar con tecnología de análisis de reputación de sitios web y protección contra malware, así como introducir directamente el URL de la página y no descargar o acceder a ninguna descarga o ventana emergente, sobre todo si se el usuario desconoce el archivo.
b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada. ©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos. Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 042003-052614050400-102. Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la
4 B:SECURE Noviembre, 2009
Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.
Gabriela Bernal DIRECTORA ADMINISTRATIVA José Luis Caballero ASESORÍA LEGAL
EDITOR Carlos Fernández de Lara CONSEJO EDITORIAL Rafael García, Joel Gómez, Roberto Gómez, Luis Guadarrama, Ricardo Lira, Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés Velázquez, Gilberto Vicente, Carlos Zamora COLUMNISTAS Roberto Gómez, Ricardo Morales, Joel Gómez, Mario Ureña, Andrés Velázquez, Irving García
WEB MASTER Alejandra Palancares
[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]
FABUOLUS BLOG
Iaacov Contreras CIRCULACIÓN Y SISTEMAS
EDITOR ON LINE Efraín Ocampo
www.bsecure.com.mx Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).
Gabriela Pérez Sabaté DIRECTORA DE PROYECTOS ESPECIALES Alejandro Cárdenas DIRECTOR DE ARTE
Estos y otros artículos en
BLOGUEROS INVITADOS
Elba de Morán DIRECTORA COMERCIAL
TEMA LIBRE Efraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.
Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta (editor@netmedia.info). Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info
SUSCRIPCIONES Para solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: suscripciones@netmedia.info
CARTAS AL EDITOR Dirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: cartas@netmedia.info Para efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.
PUBLICIDAD Para contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: ventas@netmedia.info En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374
VIDEO Fernando Garci-Crespo DISEÑO Pablo Rozenberg ASISTENTES DE REDACCIÓN Gabriela Rivera, César Nieto, Oscar Nieto VENTAS Y PUBLICIDAD Morayma Alvarado, Carmen Fernández, Cristina Escobar SUSCRIPCIONES Sonco-Sua Castellanos, Diana Zdeinert
CONOZCA EL NUEVO
www.netmedia.info
LA MEJOR INFORMACIÓN DE TECNOLOGÍA
LOGIN LOGIN
NAVEGAR O NO NAVEGAR EN LA WEB DURANTE EL TRABAJO Desde que Internet llegó a las redes empresariales los gerentes de IT se han visto en un eterno dilema: qué tanto abrir o cerrar a los empleados la ventana al mundo, Internet. No es tan fácil de lograr y menos a algo tan vasto e interesante como lo es el Web, con todo lo que ofrece, sino que se trata de los riesgos que esto implica para las redes empresariales y esto cualquier profesional IT lo sabe. Sin embargo, hay algunos aspectos que podría tomar en cuenta si se está enfrentando a la presión de los empleados para abrir más el acceso a Internet a ciertas páginas desde el trabajo. Admitámoslo, Internet llegó para quedarse, es tan necesario que ya nadie puede prescindir de él, aunque sea para consultar noticias. 1. Los empleados usan Internet y no para ver porno. Es una realidad, aún hace cinco años los administradores IT bloqueaban casi todo en Internet por temor a que los empleados entraran a sitios Web de pornografía, pero las cosas han cambiado. En la más reciente encuesta de Websense a las compañías más grandes de América Latina, 99% de los empleados admitieron consumir parte de su tiempo laboral en navegar en Internet por motivos personales. En 89% de las empresas de la región los empleados usan iGoogle y 76% servicios de correo electrónico gratuito como Hotmail, Yahoo o Gmail, por ejemplo. 2. Analice las necesidades del personal. Según la encuesta Web@Work 2009 de Websense mientras que los CIO latinoamericanos opinan que los empleados navegan en promedio 89 minutos diarios, éstos últimos admiten que son 50 minutos. Por lo menos en México, usan 84 minutos en promedio, según los resultados del estudio. Suponiendo que usan casi una hora de su tiempo laboral navegando el Web, habría que analizar si están aprovechando la banca en línea o algunos otros servicios en Internet para sus necesidades personal, lo cual beneficia a la organización pues evita que el empleado se ausente de su trabajo para ir al banco o a una ventanilla de servicios
públicos. Lo ideal sería que las políticas de acceso y navegación Web respondan a necesidades reales de los empleados. 3. Cuidado con la fuga de información. Uno de los mayores temores de los CIO latinoamericanos es que la información de la compañía salga hacia los correos personales de los empleados, no por nada 71% de los encuestados la considera como la actividad más riesgosa que pueden llevar a cabo. Ya sea para fines personales o para continuar el trabajo en casa, pero 46% de los empleados afirmó haberlo hecho. A lo anterior hay que agregar que durante el último año 56% de los empleados dijo enviar correos electrónicos a direcciones equivocadas, cuando en la encuesta 2008 solo 20% lo había reportado. 4. No todo es lo que parece. Desgraciadamente todas las firmas de seguridad coinciden en el incremento exponencial de ataques a sitios legítimos para desde ahí infectar las PC de quienes navegan hacia ellos confiando en su reputación. En junio de este año, fueron detectados 40,000 sitios Web legítimos en los cuales había sido inyectado código malicioso para, desde ahí, redirigir a los usuarios a un sitio fraudulento o para descargar malware a sus PC. El problema es que los empleados están muy confiados de que la red empresarial es impenetrable. Por lo menos así lo manifestaron 70% de los encuestados de origen mexicano. Para evitar esto, mayor comunicación sobre estos riesgos hacia los empleados no estaría de más. 5. ¿Información para llevar? Los dispositivos extraíbles de almacenamiento son un foco rojo en las organizaciones y la mayoría de los empleados los utiliza. Desde Internet se pueden descargar una gran variedad de troyanos que se instalan directamente en las memorias USB y los efectos que producen en las PC y en la información no es deseable. El estudio halló que 48% de los empleados los están utilizando, cuando solo 19% lo había reportado el año anterior. —Efraín Ocampo
MCAFEE LE ENTRA LA SEGURIDAD PARA MACS Ante el crecimiento y aceptación de las computadoras Macintosh en los ambientes empresariales de todo el orbe, la firma de seguridad informática McAfee anunció el desarrollo de una plataforma de Protección de punto a punto para las máquinas con sistema operativo Mac OS. En información publicada en su sitio web, McAfee informó que Endpoint Protection for Mac, es una plataforma que va más allá de un simple sistema de antivirus, pues integra tecnología de firewall, anti spyware y protección de aplicaciones. “Existe un notorio crecimiento de cómo la plataforma Mac es implementada dentro de los ambientes empresariales y en oficinas de gobierno. Esta situación, sin duda, eleva el nivel de vulnerabilidad y riesgo para las organizaciones, a medida que este tipo de computadoras se convierten en el blanco de códigos maliciosos, spyware, phishing y virus”, mencionó la compañía. De acuerdo con cifras de la firma de consultoría Gartner de los 16.3 millones de computadoras que se vendieron en Estados Unidos, entre abril y junio de este año, un millón 422 mil fueron máquinas desarrolladas por la empresa californiana Apple.
6 B:SECURE Noviembre, 2009
Esa realidad, comentaron ejecutivos de McAfee, ha obligado a los departamentos de IT a buscar mecanismos y herramientas para controlar y administrar la seguridad dentro de esos ambientes. Según la compañía, Endpoint Protection for Mac ofrece la posibilidad de controlar y monitorear todos los sistemas Mac OS y Windows, dentro de la organización desde una misma consola central. La solución, que ya se encuentra disponible, de acuerdo con los datos publicados por McAfee, es totalmente compatible con la plataforma de administración de seguridad de la empresa ePolicy Orchestrator’s y ofrece soporte para las versiones Tiger, Leopard y, la recién liberada Snow Leopard de Mac OS X. —Staff Netmedia
SIN CULTURA EL RESPALDO DE DATOS: F-SECURE La falta de cultura y educación hacia la generación continua de respaldos se coloca como una de las principales causas en la pérdida de la información personal, pues de acuerdo con la encuesta de Backup de F-Secure, uno de cada cuatro usuarios nunca ha respaldado los datos en su computadora. El estudio realizado por la firma finesa de seguridad informática y, publicado en su sitio web, tomó como base de análisis los comentarios de casi dos mil usuarios de Internet, entre los 20 y los 40 años de edad, y pertenecientes a países como Estados Unidos, Alemania, Reino Unido, Francia, Italia, Suecia, Finlandia y Polonia. La ausencia del conocimiento o cultura para crear respaldos de la información irremplazable en la computadora de los usuarios, como documentos, fotos, videos y música, se coloca como una de las principales causas en la pérdida de datos. “La encuesta internacional muestra que cerca del 40% de los internautas han perdido contenido que no han podido recuperar. Con el crecimiento exponencial de la información digital en el ámbito laboral y personal, generar respaldos constantemente se convierte en una tarea básica”, explicó Antti Reijonen, vicepresidente de Consumo y Mercadotecnia de F-Secure. Y si bien, la encuesta muestra que 100% de los usuarios temen perder archivos importantes en sus
computadoras, únicamente 56% de los entrevistados reconocieron contar con uno o más respaldos de su información. En países como Suecia, según el estudio de F-Secure, 31% de los cibernautas han perdido permanentemente archivos, como fotos familiares, documentos de trabajo, videos o música, cifra que se eleva a 34% en Estados Unidos, 41% en Italia, 45% en Finlandia y hasta 60% en naciones como Polonia. Los datos de la encuesta muestran que formatos físicos como los discos compactos (CD) y los DVD son las principales formas de respaldos en países como Polonia y Estados Unidos, con 41 y 28% de uso respectivamente. Mientras que los discos de almacenamiento externos se colocan como el principal medio de respaldo para la información en naciones como Suecia e Italia, donde 24 y 23% de los usuarios, respectivamente los utilizan para resguardar sus datos. Con el fin de modificar el modelo de respaldo, la compañía anunció la salida de F-Secure Online Backup, una herramienta en línea que permite copiar toda la información importante de una computadora de manera inmediata y automática. De acuerdo con la firma, la herramienta no tiene límite de almacenamiento, es compatible con los sistemas Windows y Mac.
CISCO ADQUIERE A SCANSAFE Cisco, una de las empresas más grandes de tecnología para redes, busca adquirir por $183 millones de dólares a ScanSafe, una compañía que provee sistemas de seguridad basados en Web y con la cual planea la expansión de su portafolio de servicios en la nube o cloud computing. La compañía con sede en San José, California dio a conocer en su sitio Web su intención por comprar a la empresa privada ScanSafe “debido a su liderazgo en el mercado de soluciones de seguridad en Internet distribuidas bajo el modelo de software como servicios (SaaS, en inglés)”, argumentó en un comunicado la empresa. “Con la adquisición de ScanSafe, Cisco da un paso más en su visión por construir redes seguras sin fronteras, que combinen servicios basados en la nube y soluciones avanzadas de protección”, explicó Tom Gillis, vicepresidente y gerente general de la Unidad de Seguridad de Cisco. Además de los $183 millones de dólares que Cisco desembolsará por ScanSafe, el acuerdo incluye la entrega de incentivos y está programado para cerrar en el segundo trimestre de 2010.
La compra de ScanSafe le permitirá a Cisco expandir sus capacidades en el portafolio de servicios y soluciones de seguridad en la red, que comenzó a desarrollar cuando adquirió IronPort en 2007. Esto, porque la firma planea integrar la tecnología de ScanSafe a sus soluciones de AnyConnect VPN Client, un servicio de red privada virtual. Junto con la expansión y mejora de su portafolio la compañía californiana busca convertirse en uno de los principales proveedores de software como servicio, así como de aplicaciones en la nube. La empresa pronosticó que el nicho de soluciones de Web Security alcanzará un valor superior a los 2.3 mil millones de dólares para 2012. Para Cisco, ScanSafe representa la tercera compra que la compañía hace en los últimos dos mes, pues a finales de octubre la firma anunció que invertiría $2.9 mil millones de dólares para comprar Starent Networks, un desarrollador de equipos inalámbricos y a principios de octubre informó que gastaría la friolera de $3,000 millones de dólares para adquirir Tandberg, una empresa noruega que vende sistemas para videoconferencia. —Staff Netmedia
BREVE Panda, concluyó en un estudio que el sector automovilístico, electrónico y gubernamental son los más afectados a escala global por el spam, al alcanzar porcentajes de correo basura de 99.8, 99.7 y 99.6%, respectivamente. Esto quiere decir, que de todo el tráfico que se recibe en las empresas, este porcentaje corresponde a e-mails no solicitados o maliciosos. Otra forma de verlo, es que sólo el 0.11% del correo de las empresas del ramo automovilístico es totalmente lícito; el 0.22%, del sector eléctrico, y el 0.40%, del gubernamental. Mozilla, liberó la versión 3.5.4 de su navegador web FireFox, con la cual corrigió más de 16 vulnerabilidades de las cuales 11, de haber sido explotadas por los atacantes, habrían permitido el control remoto de la máquina o la instalación de códigos maliciosos en la computadora del usuario. De la casi docena de boletines liberados por Mozilla, cuatro anunciaban fallas en el motor del buscador relacionadas a elementos de la memoria corruptos. Trend Micro, anunció que el estado de Ohio, Estados Unidos instalará Trend Micro Enterprise Security, herramienta con la cual piensan desarrollar una infraestructura multicapas para proteger de ataques de la web y códigos maliciosos a más de 10,000 alumnos y empleados pertenecientes al proyecto Electronic Classroom of Tomorrow.
Noviembre, 2009 B:SECURE 7
B:Secure buscó a tres expertos, provenientes de instituciones académicas de reconocimiento internacional, el Cinvestav, la UAM y la UNAM, para que nos platiquen sus logros, avances y retos en educar a los profesionistas mexicanos del mañana. Ellos son los Maestros de la Seguridad, no por lo que saben, sino por lo que están enseñando. Por Carlos Fernández de Lara carlos@netmedia.info 8 B:SECURE
Noviembre, 2009
HORACIO TAPIA RECILLAS,
Profesor Titular Universidad AutĂłnoma Metropolitana UAM
S
ES MAESTRO POR: t -JDFODJBEP FO .BUFN¸UJDBT EF MB 6OJWFSTJEBE /BDJPOBM "VU§OPNB EF .ÂąYJDP t .BFTUSP Z %PDUPS FO .BUFN¸UJDBT QPS #SBOEFJT 6OJWFSTJUZ FO 8BMUIBN .BTTBDIVTFUUT t 4V JOUSPEVDDJ§O B MPT DBNQPT EF MB DSJQUPHSBGÂB TPO SFGMFKP EF TV BNPS QPS MPT OÂĄNFSPT MBT NBUFN¸UJDBT Z MPT D§EJHPT t 3FTQPOTBCMF EF EFTBSSPMMBS FM QSJNFS $PMPRVJP /BDJPOBM EF $§EJHPT Z $SJQUPHSBGÂB FO .ÂąYJDP IBDF DBTJ BŠPT t 4V NBZPS SFUP iMVDIBS DPOUSB WJFOUP Z NBSFBw QBSB RVF HPCJFSOP Z TFDUPS QSJWBEP FOUJFOEBO FM WBMPS F JNQBDUP SFBM EF BQPZBS B MPT FTUVEJBOUFT Z B MB JOWFTUJHBDJ§O FO TFHVSJEBE *5 FO .ÂąYJDP
i alguien le pidiera a Horacio Tapia Recillas que definieran su carrera en dos palabras seguramente estĂĄs serĂan matemĂĄticas y cĂłdigos. Y, aunque de inicio no parecen estar vinculadas en absoluto con los virus y robo de informaciĂłn tan comunes en los temas de la seguridad IT, su formaciĂłn acadĂŠmica y su amor por los nĂşmeros lo han llevado a convertirse en uno de los principales impulsores y precursores de la investigaciĂłn y formaciĂłn de profesionales en criptografĂa en el paĂs. Sentado sobre su escritorio, en un cubĂculo pequeĂąo del Departamento de MatemĂĄticas en la Universidad AutĂłnoma Metropolitana (UAM) campus Iztapalapa, Recillas decide ceder la gran mayorĂa de las sillas a sus alumnos de doctorado, a quienes ha invitado a que formen parte de la entrevista con la revista. En un ambiente explica ĂŠl como de charla entre amigos. “Le aclaro que yo no soy criptĂłgrafo como talâ€?, dice al arranque de la conversaciĂłn, para despuĂŠs confesar que su acercamiento al campo de la seguridad IT fue reflejo de su gusto por las matemĂĄticas (su carrera), los nĂşmeros y el ĂĄlgebra. Conocimientos, que durante la dĂŠcada de los ochenta, dentro del Centro de InvestigaciĂłn y Estudios Avanzados del Instituto PolitĂŠcnico Nacional (Cinvestav) como profesor titular y posteriormente en la UAM le sirvieron para iniciar en el campo y estudio de la teorĂa de cĂłdigos. “En esa ĂŠpoca, yo tenĂa la curiosidad de estudiar un poco de cĂłdigos y mi formaciĂłn nunca fue en esa ĂĄrea, pero como ya contaba con las bases matemĂĄticas no me costĂł tanto trabajo entender la mayorĂa de los conceptosâ€?, recuerda.
NACE UN Ă REA DE INVESTIGACIĂ“N AsĂ, motivado por el gusto de aprender y ante la falta de acadĂŠmicos, expertos y material de investigaciĂłn, en el campo de los cĂłdigos, Recillas, junto con un colega, toma la iniciativa y comienza a escribir y publicar los primeros trabajos en MĂŠxico en dicha ĂĄrea de estudio. Pero dado que la difusiĂłn era escasa y la materia no era del todo conocida en el paĂs, Recillas plantea la necesidad de organizar, a mediados de los noventa, el primer Coloquio Nacional de CĂłdigos, CriptografĂa y Ă reas relacionadas, el cual luego de quince aĂąos, se convirtiĂł en un foro de referencia a nivel nacional y, que en octubre pasado alcanzĂł su octava ediciĂłn. El ĂŠxito del evento, recuerda, motivĂł al Departamento de MatemĂĄticas de la UAM a organizar un congreso de carĂĄcter internacional en cĂłdigos y criptografĂa. Y lo hizo, pues un par de aĂąos despuĂŠs, con el contacto que ya habĂa sem-
brado con expertos de todo el mundo, Recillas comienza la organizaciĂłn del International Conference of Code Theory and Cryptography. “Al principio el congreso era puramente de cĂłdigos, pero al buscar fondos la gente se negaba a participar porque decĂa que eso no tenĂa valor en MĂŠxico. Fue entonces cuando decidimos meterle la palabra criptografĂa y eso nos abriĂł muchas puertas para obtener mĂĄsâ€?, comenta. Y, si bien muchos de estos eventos se dejaron de organizar por la falta de fondos, Recillas reconoce, que estos intentos fueron los cimientos para que universidades, instituciones y estudiantes en MĂŠxico se dieran cuenta del valor y beneficio de invertir o formarse en el ĂĄrea de criptografĂa. “Con los congresos que organizamos creo que el tema comenzĂł a ganar mucho interĂŠs y quĂŠ bueno que fue asĂ, porque ĂŠsta es un ĂĄrea en la que MĂŠxico no tiene un grupo de trabajo fuerte, con gente profesional que este 100% dedicadas a la criptografĂa y publicando a nivel internacionalâ€?, subraya.
A CONTRA CORRIENTE El hombre que ha publicado mĂĄs de 20 trabajos, entre investigaciones y libros y, que ha sido contactado para aportar sus conocimientos por organismos del sector pĂşblico y privado, como el Banco de MĂŠxico y la ProcuradurĂa General de la RepĂşblica (PGR) asegura, que el mayor reto en los temas de seguridad IT en el paĂs no es la falta de capacidades en su capital humano, sino el enorme desinterĂŠs que empresas y gobierno tienen hacia la investigaciĂłn de estos temas en el paĂs. “Los gobiernos de otros paĂses, ya cuenta con un grupo exclusivamente trabajando en cuestiones de seguridad de la informaciĂłn. En MĂŠxico no existe, y lo triste, es que mucha de la tecnologĂa que se usa en temas de criptografĂa no es desarrollada aquĂ, sino que la compramos y, en algunos casos lo que adquirimos es chatarraâ€?, dice Recillas. Y si bien, reconoce, que sĂ es necesario que las instituciones educativas fomenten una mayor vinculaciĂłn de conocimientos matemĂĄticos a los estudiantes de computaciĂłn y sistemas, agrega que la mayorĂa de ellos, sĂ tienen “hambreâ€? por conocer y aprender lo que otras naciones estĂĄn realizando en temas de criptografĂa. “Si el gobierno y las empresas siguen comprando tecnologĂa de otros paĂses o entregando apoyos magros para becar alumnos o equipar laboratorios, no trabajan a favor de MĂŠxico, sino en su contra. Necesitan tener mĂĄs fe en las instituciones y sus estudiantes, crĂŠanme, que si lo hacen, les aseguro que no se las va a fallarâ€?, apunta.
Noviembre, 2009 B:SECURE 9
Francisco JosĂŠ RodrĂguez HenrĂquez, Profesor e Investigador del Departamento de ComputaciĂłn Centro de InvestigaciĂłn y Estudios Avanzados del Instituto PolitĂŠcnico Nacional (Cinvestav)
ES MAESTRO POR t -JDFODJBEP FO *OHFOJFSÂB &MFDUS§OJDB 6OJWFSTJEBE "VU§OPNB EF 1VFCMB t .BFTUSP FO $JFODJBT DPO &TQFDJBMJEBE FO &MFDUS§OJDB *OTUJUVUP /BDJPOBM EF "TUSPGÂTJDB Ă„QUJDB Z &MFDUS§OJDB */"0& t %PDUPS FO *OHFOJFSÂB &MÂąDUSJDB Z $PNQVUBDJPOBM 6OJWFSTJEBE EF 0SFH§O t "NBOUF EF MB DSJQUPHSBGÂB Z MB TFHVSJEBE FO EJTQPTJUJWP N§WJMFT t 1SPNPUPS EF MB DSJQUPHSBGÂB CBTBEB FO DVSWBT FMÂQUJDBT
L
os eventos del nueve de septiembre de 2001, conocidos en cada rincĂłn del planeta como los ataques terroristas a las Torres Gemelas en Nueva York, Estados Unidos, afectaron la vida de miles de personas de manera directa, pero tambiĂŠn de forma indirecta. Como fue el caso de Francisco JosĂŠ RodrĂguez HenrĂquez, hoy, uno de los investigadores del Centro de InvestigaciĂłn y Estudios Avanzados del Instituto PolitĂŠcnico Nacional (Cinvestav) en criptografĂa de hardware y software reconfigurable y seguridad en dispositivos mĂłviles mĂĄs importantes de MĂŠxico. Sentado en la mesa del salĂłn de juntas del Departamento de ComputaciĂłn del Cinvestav, RodrĂguez evoca la imagen perfecta de un profesor universitario: de saco beige, camisa roja y pantalĂłn de vestir. Al verlo uno piensa que el Ăşnico aditamento que falta en su atuendo son los tĂpicos parches en los codos del saco, icĂłnicos en la imagen de todo profesor. Al comenzar hablar RodrĂguez recuerda que fue uno de los pocos afortunados en titularse como licenciado en ElectrĂłnica y no como ingeniero, factor que le permitiĂł estar mucho mĂĄs vinculado al ĂĄrea de las matemĂĄticas que a la de los sistemas de cĂłmputo y que posteriormente le permitiĂł introducirse al campo de la criprotografĂa. “EstudiĂŠ licenciatura en ElectrĂłnica, una de las pocas carreras del paĂs que titulaba licenciados y no ingenieros y, que era una mezcla entre ser Licenciado en FĂsica y MatemĂĄticas, con especialidad en criptografĂaâ€?, menciona. Tras estudiar la maestrĂa en el INAOE y el doctorado en la Universidad de OregĂłn, RodrĂguez comenzĂł su carrera en el mundo de la criptografĂa como arquitecto de Seguridad e ingeniero de programaciĂłn en Cryptovision GmBH, una compaĂąĂa alemana de seguridad IT. Sin embargo, motivado por uno de sus profesores del doctorado, el experto, decidiĂł regresar a Estados Unidos como investigador y arquitecto de diseĂąo criptogrĂĄfico de Trust Technologies, una firma que justo entraba al mercado. Fue entonces cuando los acontecimientos del 11 de septiembre de 2001, cambiaron el curso de la vida de RodrĂguez. “La empresa no iba tan bien como el fundador esperaba y estĂĄbamos esperando la cita, a finales de septiembre, para recibir la segunda inversiĂłn de capital. Poco despuĂŠs de los atentados nos cancelan la reuniĂłn y tras posponerla varias veces, esta nunca no se volviĂł a organizar. A finales de octubre nos dijeron que la compaĂąĂa iba muy a mal y, que no pasarĂa del aĂąoâ€?.
DE LA ELECTRĂ“NICA AL CĂ“MPUTO; NACE EL INVESTIGADOR Seis aĂąos despuĂŠs de salir de MĂŠxico, RodrĂguez decide regresar al “terruĂąoâ€?,
10 B:SECURE
Noviembre, 2009
primero como profesor investigador de la SecciĂłn de ComputaciĂłn del Departamento de IngenierĂa ElectrĂłnica y, posteriormente como Coordinador AcadĂŠmico del Departamento de ComputaciĂłn. Junto con otros colegas, RodrĂguez transforma la SecciĂłn de ComputaciĂłn en Departamento y comienzan a formar a los estudiantes con una inclinaciĂłn hacia computaciĂłn y criptografĂa, pero sin dejar de entregar las bases matemĂĄticas para la compresiĂłn de la materia. “Muchos muchachos buscaban inclinarse en el campo de la seguridad y la criptografĂa. Lo que hice fue combinar ambos mundos, sĂ desarrollar aplicaciones de seguridad, pero tratando de siempre entregar los conocimientos para que entendieran cĂłmo funciona la parte matemĂĄtica del ĂĄrea, es decir, los algoritmosâ€?, recuerda el experto. En su carrera como investigador y profesor RodrĂguez ha asesorado 15 tesis de licenciatura, maestrĂa y doctorado, un libro y mĂĄs de 50 artĂculos en revistas y congresos especializados y arbitrados, todos ellos relacionados a temas de criptografĂa, seguridad en dispositivos mĂłviles y protecciĂłn en hardware y software reconfigurable. Y, al igual que otros criptĂłgrafos, RodrĂguez es uno de los investigadores mexicanos dedicados a promover la criptografĂa de curvas elĂpticas, en sustituciĂłn del protocolo RSA, el algoritmo mĂĄs utilizado para el desarrollo de las firmas digitales. “La criptografĂa de curvas elĂpticas es mejor que RSA, porque permite crear llaves criptogrĂĄficas mĂĄs pequeĂąas, con el mismo nivel de seguridad.Llaves mĂĄs chicas representan algoritmos mĂĄs rĂĄpido y efectivosâ€?, comparte.
LA PARADOJA DE LA SEGURIDAD RodrĂguez reconoce que la seguridad IT en MĂŠxico vive una gran paradoja, pues si bien temas como la criptografĂa, los hackers y el robo de informaciĂłn tienen un aura “sexyâ€? entre los estudiantes, generan mucha curiosidad en la sociedad y han ganado terreno dentro de las empresas, en materia de legislaciĂłn, inversiĂłn y educaciĂłn aĂşn “estamos en paĂąales y en una situaciĂłn preocupanteâ€?. El investigador subraya que el problema mĂĄs grave en MĂŠxico es la falta de que “nos caiga el 20â€? de lo verdaderamente importante del tema. “Cada vez le estamos confiando mĂĄs cosas a la informaciĂłn digital, desde nuestra declaraciĂłn de impuestos, expedientes clĂnicos electrĂłnicos, cedulas de identificaciĂłn, todas ellas aplicaciones de alto impacto para la sociedad y, te da escalofrĂos ver que no se hacen grandes concesos nacionales para tratar de definir estĂĄndares o sistemas de seguridadâ€?, dice con preocupaciĂłn.
Enrique Daltabuit Godas,
Investigador de la DirecciĂłn General de Servicios de CĂłmputo AcadĂŠmico de la Universidad Nacional AutĂłnoma de MĂŠxico (UNAM). ES MAESTRO POR t &HSFTBEP EF MB 'BDVMUBE EF $JFODJBT EF MB 6/". DPO MJDFODJBUVSB FO 'ÂTJDB t .BFTUSÂB Z %PDUPSBEP FO 'ÂTJDB QPS MB 6OJWFSTJEBE EF 8JTDPOTJO .BEJTPO &TUBEPT 6OJEPT t 3FTQPOTBCMF EF MB JOTUBMBDJ§O Z OJWFMFT EF TFHVSJEBE EF MB QSJNFSB TVQFSDPNQVUBEPSB EF UPEB -BUJOPBNÂąSJDB MB $3": :.1 FO t 6OP EF MPT DSFBEPSFT F JOTUSVDUPS EFM %JQMPNBEP EF 4FHVSJEBE *OGPSN¸UJDB EF MB 6/". t $PBVUPS EFM MJCSP i4FHVSJEBE EF MB *OGPSNBDJ§Ow MB QSJNFSB PCSB FO .ÂąYJDP RVF BCPSEB FTUB NBUFSJB
C
uando uno escucha hablar a Enrique Daltabuit Goda reconoce que los temas de la Seguridad InformĂĄtica no sĂłlo representan su ĂĄrea de trabajo y estudio de los Ăşltimos 12 aĂąos de su vida, sino son reflejo de su interĂŠs y pasiĂłn hacia la divulgaciĂłn, fomento y enseĂąanza de los mismos. Daltabuit, el Ăşltimo de nuestros maestros o SafeMasters pero con el mismo peso y valor que el resto del equipo, confiesa que su acercamiento al mundo de la seguridad surgiĂł de su fuerte inclinaciĂłn o uso de los sistemas de cĂłmputo de la ĂŠpoca. “En 1972 llegue al Instituto de AstronomĂa y ahĂ comencĂŠ a colaborar con Guillermo MallĂŠn Fullerton, no en seguridad, sino en programaciĂłn donde empecĂŠ a trabajar en programas para la reducciĂłn de los datos astronĂłmicosâ€?, recuerda Daltabuit. Con sus conocimientos en programaciĂłn y cĂłmputo, y tras descubrir que la AstronomĂa no era negocio, Daltabuit menciona, que tomĂł la iniciativa, junto con par de colegas, a principios de los ochenta de formar una compaĂąĂa dedicada a ensamblar computadoras pequeĂąas para aplicaciones especĂficas. La empresa no iba mal, segĂşn recuerda el investigador. Sin embargo, la crisis econĂłmica de los ochenta la falta de inversiĂłn y dinero para el desarrollo de sistemas de cĂłmputo terminaron por asesinar a la compaĂąĂa. Fue entonces cuando Daltabuit dio el primer paso hacia el campo de la seguridad. Cuando a finales de los ochenta, ĂŠl en ese entonces rector de la UNAM Aturo SarukhĂĄn lo invitĂł a ser el encargado de la compra de la primera supercomputadora en MĂŠxico y AmĂŠrica Latina, la CRAY-YMP. “Para que dieran el permiso de exportaciĂłn la UNAM tenĂa que cumplir con ciertas condiciones de operaciĂłn y seguridad. Ese fue mi primer contacto con la Seguridad IT y me obligo a capacitarme con profesionales estadunidense para su diseĂąo, operaciĂłn y protecciĂłnâ€?, comenta Daltabuit.
SĂšPER CĂ“MPUTO SEGURO En 1991 con la noticia de la instalaciĂłn de la CRAY-YMP en todos los medios de comunicaciĂłn, Daltabuit fue invitado por la RectorĂa de la UNAM como director de CĂłmputo para la InvestigaciĂłn en la DirecciĂłn General de Servicios de CĂłmputo AcadĂŠmico. Como director, Daltabuit explica, que comenzĂł a reunirse semanalmente con especialistas de universidades pĂşblicas y privadas en MĂŠxico para abordar temas de la Seguridad IT. . La experiencia dice el experto lo llevĂł a buscar el camino para aprender
el cĂłmo enseĂąar o educar sobre temas de seguridad a los estudiantes mexicanos. Fue asĂ como, con un “poco de presiĂłn y trabajoâ€?, Daltabuit logrĂł introducir una materia optativa de seguridad en redes, dentro de la MaestrĂa y Doctorado de la carrera de IngenierĂa y Ciencias de ComputaciĂłn. Tras impartir durante cinco aĂąos esta materia en el Laboratorio de Seguridad del Centro TecnolĂłgico AragĂłn de la UNAM. Daltabuit se instalĂł en el Centro Educativo Multidisciplinario Polanco (CEM Polanco), espacio donde organizĂł, desarrollĂł y definiĂł los contenidos de lo que serĂa el Diplomado en Seguridad de la InformaciĂłn. “Propuse crear el diplomado aquĂ en el CEM, armĂŠ los contenidos y busquĂŠ a los instructores. En cierto sentido, lo que realmente hice fue aplicar lo que yo habĂa aprendido a lo largo de los Ăşltimos aĂąosâ€?, comenta. A la fecha, el diplomado ya alcanzĂł su versiĂłn nĂşmero 18 y han capacitado y educado a mĂĄs de 350 alumnos provenientes de carreras tĂŠcnicas, pero tambiĂŠn de gobierno y trabajadores del sector privado.
CAMBIAMOS POR OBLIGACIĂ“N NO POR INTERÉS El experto que ha dirigido mĂĄs de 12 tesis de doctorado, todas ellas relacionadas a la Seguridad IT, comenta que los temas de protecciĂłn o resguardo de los datos digitales, han ganado espacios en la agenda pĂşblica y de gobierno, no por un asunto de interĂŠs, sino por mera adaptaciĂłn obligatoria. “Hace diez aĂąos los temas de seguridad no tenĂan interĂŠs en gobierno y las empresas, pero cuando se dieron cuenta que la legislaciĂłn estadunidense y europea abordaban estos temas para generar acuerdo comerciales o de negocio fue cuando entrĂł una urgencia por regular sobre la materiaâ€?, comenta. Y aunque no es un tema en las sombras, el mismo investigador reconoce que, desde su punto de vista, los temas de Seguridad IT no estĂĄn tan claros, en particular dentro del gobierno. “Mientras Estados Unidos define grupos de trabajo especializados y dedicados exclusivamente a la seguridad. En MĂŠxico arrancamos con la PolicĂa CibernĂŠtica y con programas para educar a la poblaciĂłn. Vivimos una etapa que los estadunidenses vivieron hace ocho o diez aĂąosâ€?; explica Daltabuit. Y si bien, la inversiĂłn en investigaciĂłn, educaciĂłn o formaciĂłn de capital humano altamente especializado en Seguridad IT es magra o casi inexistente, el experto asegura que no todo se tiene que mirar con desĂĄnimo. “Hace treinta aĂąos la computaciĂłn no era considerada como una ciencia, pero la evoluciĂłn tecnolĂłgica cambio eso. En seguridad estĂĄ pasando lo mismo, estĂĄ evolucionando y cada dĂa es mĂĄs importante. Veo mucho interĂŠs en estudiantes y empresas por capacitar y aprender de estos temasâ€?, dice.
Noviembre, 2009 B:SECURE 11
ACCESO EL MIEDO: LA CLAVE DEL ROGUEWARE Por Staff Netmedia Online
C
on la notoriedad que han ganados las campañas de prevención y detección de fraudes por phishing entre los internautas y dentro de las organizaciones, los cibercriminales han encontrado en el rogueware o scareware un nuevo mecanismo de infección y robo de información y. cuyo principal elemento de ataque es el miedo que infunde entre los usuarios, de acuerdo a un reporte de la firma de seguridad informática Symantec. El reporte Rogue Security Software, publicado en el sitio web de la compañía explica que el scareware, programas falsos, que generalmente fingen ser software de seguridad para que el usuario los descargue e instale en su computadora, pero que en realidad contienen virus, gusanos o códigos maliciosos se ha convertido en una de las principales amenazas en Internet en los últimos meses. A la fecha Symantec ha detectado más de 250 tipos de rogueware de seguridad rondando la web, de estos, únicamente 15% fueron programas con más de un año de existencia en Internet, reflejo del fuerte interés de los cibercriminales por defraudar a los usuarios con este tipo de ataques. “El aumento y prevalencia de estos programa enfatiza la amenaza potencial que representa el scareware o rogueware a pesar de los múltiples esfuerzos por eliminarlos o la constante difusión que se le da al fenómeno, para incrementar la conciencia entre los internautas”, citan los expertos en el reporte. Durante el periodo de análisis Symantec reportó más de 43 millones de descargas e instalaciones de más de 250 muestras de rogueware, programas que utilizan el miedo como la herramienta principal de infección. “Para incentivar a los usuarios a descargar estas soluciones apócrifas de seguridad, los delincuentes cibernéticos utilizan ventanas emergentes o anuncios dentro de sitios web en los que aseguran que la PC del usuario ha sido infectada, requiere de un escaneo y limpieza del sistema para eliminar cualquier riesgo”, menciona el estudio de Symantec. Artimaña que parece dar resultado, pues el análisis de la empresa refiere que, de los más de 43 millones de programas rogueware instalados, 93% fueron descargados intencionalmente por los internautas. Y si bien, el impacto inicial para los usuarios engañados es la pérdida de los 30 o 100 dólares que desembolsaron por la licencia falsa de anti12
B:SECURE Noviembre, 2009
virus, el verdadero riesgo son todos los delitos posteriores que el criminal puede ejecutar con los datos personales del internauta. “Los programas de seguridad falsos no sólo roban el dinero al momento de la compra, sino que, con los datos que proporciona el usuario, el delincuente puede realizar otros compas sin el consentimiento de la víctima o hacer robos de identidad”, dicen los expertos de Symantec. Junto con el robo inmediato de información la empresa también detecto que diversos tipos de rogueware tienen la capacidad de deshabilitar los niveles y barreras de seguridad del sistema operativo una vez instalados en la computadora, dejando la puerta abierta otro tipo de malware.
UN GANAR, GANAR Para hacer más efectivo el impacto en los fraudes por rogueware, los cibercriminales anuncian sus programas de seguridad, tanto en sitios ilegales como en páginas web legítimas, como blogs, foros, redes sociales o espacios con contenido para adultos. “Aunque muchos sitios legítimos en Internet no forman parte del engaño, estos espacios pueden ser vulnerados por los delincuentes para promocionar aplicaciones de seguridad falsas”, cita el reporte. Por si no fuera poco, el análisis de Symantec menciona que los cibercriminales han aprendido de los minoristas en Internet, pues con el rogueware también trabajan bajo un esquema de “pago por desempeño”. En este, la organización delictiva en la red paga entre diez y 50 centavos de dólar a cualquier sitio en Internet que distribuyan y promocionen de manera efectiva su rogueware de seguridad en la web. La actividad puede llegar a ser altamente rentable, pues durante el periodo de análisis de 12 meses TrafficConverter.biz, uno de los principales distribuidores de este tipo de aplicaciones maliciosas, obtuvo ingresos semanales por 23,000 dólares. Es decir, casi tres veces más de lo que cobra el presidente de Estados Unidos por semana. El estudio apunta que de los tipos de rogueware analizados, seis de cada diez eran fraudes dirigidos a internautas estadunidenses, 31% europeos de Oriente Medio y África, 6% de Asia y únicamente 2% tenían a los latinoamericanos como blanco de ataque. Las cinco aplicaciones de seguridad falsas más propagas en la red, según Symantec son: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure y XP AntiVirus. ●
ACCESO ERRORES QUE CUESTAN DATOS Por Staff Netmedia
E
n noviembre fue el mes perfecto para demostrar que la pérdida de información no siempre es consecuencia de ataques cibernéticos o redes criminales. Así, el primero en dar el aviso a principios de mes fue Microsoft firma que confirmó un error en el núcleo del sistema operativo de los teléfonos inteligentes Sidekick provocó que cerca de 800,000 estadunidenses perdieran información personal del dispositivo como su libreta de contactos y direcciones, correos electrónicos o la posibilidad de acceder al navegador de Internet desde el equipo. La falla fue provocada por un error en el núcleo del sistema de Danger, compañía que desarrolló el Sidekick y que Microsoft adquirió en 2008, la cual afectó los servidores de respaldos generando la pérdida de los datos. La situación se agravó, cuando voceros de la compañía con sede en Redmond Washington confirmaron que los datos podrían haberse perdido de forma permanente. Situación que no sólo provocó la frustración por parte de los usuarios, sino que generó una serie de demandas legales, dos de ellas levantadas por las cortes federales del estado de Carolina del Norte, que alegaron actos de negligencia y falsa información por parte de Microsoft y T-Mobile, operador que vende los Sidekicks en aquel país. Sin embargo, el quince de octubre Roz Ho vicepresidente corporativo de Experiencias móviles de Microsoft publicó una carta de disculpa por la pérdida de la información en los teléfonos y agregaba que la organización logró recuperar “casi todos los datos”. “Me complace informarles que hemos logrado recuperar casi toda, si no es que toda, la información que se perdió de los clientes y usuarios de Sidekick. Planeamos comenzar con nuestro plan de recuperación tan pronto nos sea posible, comenzado con los contactos personales”, escribió Ho. Por su parte T-Mobile decidió suspender la venta de todos los modelos de Sidekick temporalmente.
¿Y MI PERFIL DE FACEBOOK? Pero, además de la pérdida de datos en los Sidekicks Facebook, la red social más grande del mundo, confesó que una serie de problemas técnicos afectó los datos, fotos y contactos de más de 150,000 cuentas de su plataforma.
LA PÉRDIDA DE INFORMACIÓN NO SIEMPRE TIENE EL ROSTRO DEL CRIMEN A SU ESPALDA. A VECES UN ERROR TÉCNICO PUEDE COSTARLE A LAS EMPRESAS EL EXTRAVÍO DE MILES DE DATOS PERSONALES. Como publicara Netmedia.info en octubre un número, aún desconocido, de usuarios perdieron la posibilidad de acceder a sus perfiles de Facebook como parte de un mantenimiento al sitio web. Voceros de la red social, que cuenta con más de 300 millones de usuarios en todo el orbe, mencionaron que únicamente 0.5 de las cuentas se vieron afectadas y descartaron que la falla fuera consecuencia de un ciberataque. Y, aunque no fueron mucho los internautas afectados por el error, para muchos significó la pérdida de acceso a su principal plataforma de comunicación social. Facebook aseguró que la falla ya se ha corregido, pero advirtió que algunos de los datos perdidos “pueden no haberse recuperado” y, que los usuarios tendrían que subirlos nuevamente al perfil.
LEOPARDO LASTIMADO Un error técnico más en el nuevo sistema operativo de Apple Snow Leopard, es lo que reclamaron cientos de usuarios de la plataforma, luego de detectar una falla en la plataforma, que borra todos los datos de la cuenta al momento que el usuario introduce su nombre de acceso y contraseña. De acuerdo con foros y sitios web dedicados a la plataforma de Apple la falla ocurre al momento que el usuario trata de acceder primero a una cuenta de invitado en la computadora y, posteriormente ingresar al perfil del administrador, momento en el que detectan que todos los datos han sido eliminados. Para evitar la pérdida de la información de los usuarios, que hayan padecido el error, se les recomienda que corran el último respaldo del sistema generado por la aplicación Time Machine y deshabiliten cualquier cuenta de invitado en el sistema. A la fecha, Apple no ha liberado comunicado alguno con referencia al error en el operativo. Sin embargo, diversos usuarios aseguran que Snow Leopard ha estado plagado de errores y fallas desde su lanzamiento, entre los que destacan el impacto del Finder, la incompatibilidad de ciertas aplicaciones y la pérdida de conexión de Airport. ● Noviembre, 2009 B:SECURE 13
EVENTOS
SIN REGLAS NI ESTÁNDARES EN SEGURIDAD: MCAFEE LUEGO DE 23 AÑOS DE LA APARICIÓN DEL PRIMER VIRUS INFORMÁTICO, LAS EMPRESAS Y PROVEEDORES DE TECNOLOGÍAS DE SEGURIDAD SE DAN CUENTA QUE EL ÚNICO CAMBIO DRÁSTICO EN LA INDUSTRIA HA SIDO LA EVOLUCIÓN Y MEJORA DE LOS ATAQUES CIBERNÉTICOS
L
de gobernabilidad en la web y millones de sitios nuevos, buenos o malos, son creados cada minuto. En otras palabras, no existe un control real, no hay estándares y ha llegado el momento de trabajar como una comunidad para hacer frente a esta realidad”, apuntó DeWalt. El hombre, que lidera la segunda empresa de seguridad informática más grande del planeta explicó, que los criminales han encontrado, en la falta de reglas y controles sobre Internet un paraíso para el robo, venta y contrabando de datos personales o los fraudes financieros. “En el último año el número de códigos maliciosos creció 500%, de estos, ocho de cada diez fueron creados con el único objetivo de robar datos personales. Nuestros laboratorios detectan más de 25 mil muestras nuevas de malware al día y casi medio millón de nuevos zombis integrados a redes bot. En todo el mundo se pierden más de tres billones de dólares a consecuencia del cibercrimen”, dijo “EN 1986 APARECIÓ EL PRIMER VIRUS PARA COMPUTADORA Y, DeWalt. LUEGO DE 23 AÑOS DE SU NACIMIENTO LA REALIDAD ES QUE Ante este escenario, el presidente de McAfee informó, TODAVÍA NO CONTAMOS CON UNA ARQUITECTURA GLOBAL que la compañía comenzará a promover una estrategia PARA DEFENDER NUESTRA INFRAESTRUCTURA. EN OTRAS de seguridad basada en múltiples capas, coordinada y PALABRAS, NO EXISTE UN CONTROL REAL, NO HAY ESTÁNDARES e impulsada en el desarrollo de alianzas con socios de Y HA LLEGADO EL MOMENTO DE TRABAJAR COMO UNA negocio, como Intel, Adobe, BMC Software, por menCOMUNIDAD PARA HACER FRENTE A ESTA REALIDAD”, cionar algunos. DAVE DEWALT CEO MCAFEE. De hecho, durante Focus 2009, la firma anunció la integración de 14 nuevos socios a su programa Security Innovation Alliance (SIA), un proyecto, que ya cuenta conjunto y desarrollar alianzas con un impacto real frente al fenómeno del con más de 80 compañías de seguridad de Estados Unidos, Europa, Oriente Medio y Australia. cibercrimen. En esta ocasión McAfee integró al programa SIA a empresas como: Air“En 1986 apareció el primer virus para computadora y, luego de 23 años de su nacimiento, la realidad es que todavía no contamos con una arquitec- Tight Networks, Allen Corp of America, Buysec, Correlog, Damballa, Hitatura global para defender nuestra infraestructura. Carecemos de un modelo chi y Quest Software. as Vegas, Nevada.- Dentro de la industria de las Tecnologías de la Información (IT) cada nicho de mercado, sector o área de desarrollo cuenta con estándares y protocolos mundialmente aceptados y utilizados; todos excepto uno, el de la seguridad de la información. Un área en donde la falta de mecanismos, reglas o políticas internacionales, han permitido que la fuga y robo de datos y, prácticamente cualquier delito informático, sean uno de los principales problemas para los negocios y usuarios en el siglo XXI, afirmó Dave DeWalt, presidente mundial de McAfee. En la inauguración del Focus 2009, el evento de seguridad más importante para McAfee, en la ciudad de Las Vegas, Nevada, DeWalt confesó ante casi 1,400 asistentes entre empleados, socios de negocios, analistas y medios de comunicación, que es momento de generar acuerdos, trabajar en
14
B:SECURE Noviembre, 2009
AsĂ, mĂĄs que proteger la infraestructura de red de los negocios con licencias de antivirus, firewalls o equipos de prevenciĂłn de pĂŠrdida de datos (DLP, por sus siglas en inglĂŠs), la compaĂąĂa busca integrar su tecnologĂa y soluciones de seguridad en microprocesadores, aplicaciones, dispositivos mĂłviles y hasta satĂŠlites de comunicaciĂłn. “Debemos resguardar desde del sistema operativo, las bases de datos, la infraestructura de red, hasta los microchips, los dispositivos mĂłviles, las aplicaciones y los satĂŠlites de comunicaciĂłn. Tenemos que hacer que cada capa cuente con seguridad y que la tenga desde su gestaciĂłnâ€?, afirmĂł DeWalt. Una idea que McAfee busca promover con su plataforma empresarial ePolicy Orchestrator (ePo), una consola central de administraciĂłn, que segĂşn DeWalt, permite controlar la seguridad de todos los sistemas, redes, datos y soluciones de cumplimiento desde un mismo punto, de manera transparente y sencilla y, la cual tambiĂŠn serĂĄ la primera en soportar la reciĂŠn lanzada arquitectura de 32 nanĂłmetros (nm) de Intel.
EDUCACIĂ“N Y ESTĂ NDARES AdemĂĄs de su alianza con socios de negocios, DeWalt confesĂł que ha llegado el momento en que, las poco mĂĄs 21 empresas de seguridad informĂĄtica en el mercado colaboren y dialoguen no para unificarse, sino para colocar sobre la mesa, uno de los grandes ausentes en el ĂĄrea de seguridad en IT, los estĂĄndares y protocolos internacionales. “Si uno ve otros segmentos en tecnologĂa todos cuentan con normas o estĂĄndares de operaciĂłn, incluso la tecnologĂa de Voz sobre IP (VoIP) posee un protocolo de uso global. En seguridad necesitamos desarrollar ese tipo de mecanismos de control y, en McAfee, sin lugar a dudas, vamos a impulsar la discusiĂłn por su creaciĂłn y aperturaâ€?, informĂł DeWalt. Junto con el desarrollo de estĂĄndares, el hombre al frente de McAfee mencionĂł, que la educaciĂłn a los usuarios jugarĂĄ un papel central para el combate al cibercrimen, toda vez que no sĂłlo los cĂłdigos maliciosos han
evolucionado, sino que tambiĂŠn se ha transformado la manera en que los criminales convencen o engaĂąan a los internautas. En ese sentido, y en respuesta a una pregunta explĂcita de b:Secure sobre el papel que juega el nuevo software de seguridad gratuito de Microsoft, Security Essentials en el campo de la educaciĂłn y el combate al crimen en Internet, DeWalt subrayĂł que es una buena iniciativa, pero de ninguna manera serĂĄ suficiente. “McAfee ha invertido millones de dĂłlares y aĂąos en el desarrollo de herramientas gratuitas para proteger a los usuarios en Internet, tecnologĂas como Security Site Advisor o nuestro sistema de escaneo en Internet tienen tiempo haciendo de la navegaciĂłn web una experiencia mĂĄs segura. El programa de Microsoft es un buen primer paso, pero contar Ăşnicamente con una protecciĂłn contra los virus no basta. Existen temas como el phishing, spyware u otro tipo de malware que requieren de sistemas de protecciĂłn mucho mĂĄs robustos y avanzadosâ€?, apuntĂł. â—?
SU GRANITO DE ARENA CONTRA EL CIBERCRIMEN Greg Day, analista principal de seguridad en McAfee, mencionĂł que la firma mira al cibercrimen como algo mĂĄs que su pretexto perfecto para vender tecnologĂa, motivo por el cual desarrollaron el programa Initiative to Fight Cybercrime, la cual cuenta con cuatro pilares.
Apoyos
s -C!FEE OTORGA APOYOS ECONĂ˜MICOS O DE TECNOLOGĂ“A A AQUELLAS INICIATIVAS O GRUPOS QUE DEMUESTREN UN IMPACTO REAL EN EL COMBATE O EDUCACIĂ˜N FRENTE EL FENĂ˜MENO del cibercrimen. De acuerdo con Day, iniciativas o grupos en paĂses emergentes cuentan con una consideraciĂłn especial para ser acreedores al apoyo.
Reconocimientos
s ,OS /SCARES DE LOS PROFESIONALES DE LA SEGURIDAD EXPLICĂ˜ $AY MEJOR CONOCIDOS LOS -C!FEE #YBERCRIME &IGHTER !WARD SON RECONOCIMIENTOS ENTREGADOS POR LA compaĂąĂa a individuos que, desde su trinchera, combate al cibercrimen. El premio contempla desde especialistas legales, autoridades hasta profesionales de la seguridad IT dentro de las compaĂąias.
911 de McAfee
s 0ARA USUARIOS Y EMPRESAS QUE HAN SIDO VĂ“CTIMAS DE LOS DELINCUENTES EN LA WEB LA COMPAĂ—Ă“A HA FORMADO LA 5NIDAD DE 2ESPUESTA AL #IBERCRIMEN UNA PLATAFORMA O LĂ“NEA DE AYUDA QUE OTORGA CONSEJOS SOBRE LOS PROCESOS A SEGUIR O LAS AUTORIDADES CORRESPONDIENTES CON QUIENES SE DEBE LEVANTAR EL ACTO DE DENUNCIA
Consejo de expertos
s ! TRAVĂ?S DEL #ONSEJO DE !SESORAMIENTO EN #IBERCRIMEN LA FIRMA EXPLICĂ˜ $AY BUSCA REUNIR EXPERTOS DE TODO EL ORBE PARA DESARROLLAR NUEVAS IDEAS Y FORMAS PARA COMBATIR EL DELITO EN LA RED PARA ELLO EL #ONSEJO TIENE COMO ĂˆREAS DE TRABAJO CLAVE EL USO DE INNOVACIĂ˜N EDUCACIĂ˜N Y CREACIĂ˜N DE MARCOS REGULATORIOS
Noviembre, 2009 B:SECURE
15
C R M
|
B A S E S
D E
D A T O S
|
M E D I U M
B U S I N E S S
|
B U S I N E S S
P R O C E S S
Quitamos la paja por ti /P UF QJFSEBT FO MB C|TRVFEB Informaciรณn a la medida para tu negocio IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP powered by:
$MJFOUFT DPO WBMPS CRM
Las aplicaciones para satisfacer mejor a los clientes y obtener su lealtad son mรกs accesibles y fรกciles de usar. Conรณzcalas.
"SDIJWPT EJHJUBMFT Bases de Datos
El crecimiento de los datos al interior de las organizaciones obliga a encontrar mejores formas de mantener el acceso y la integridad de la informaciรณn. Aquรญ le decimos cรณmo.
/FHPDJPT FO DSFDJNJFOUP Medium Business Soluciones a la medida de las organizaciones que tienen ambiciosos planes de crecimiento.
&NQSFTBT FGJDJFOUFT Business Process
Las mejores prรกcticas se incorporan a las tecnologรญas de negocio a travรฉs de aplicaciones que automatizan los procesos empresariales y estรกn a su alcance.
IUUQ CSJFGJOHDFOUFST OFUNFEJB JOGP C R M
|
B A S E S
D E
D A T O S
|
M E D I U M
B U S I N E S S
|
B U S I N E S S
P R O C E S S
LA ENTREVISTA INTERNET: UN MUNDO SIN REGLAS NI ROSTROS Por Carlos Fernández de Lara carlos@netmedia.info
L
a falta de fronteras, la ausencia de marcos legales nacionales e internacionales y el bajo riesgo para los criminales han hecho de Internet un lugar ideal para delinquir, robar o vender información personal; en muchas ocasiones sin consecuencias o repercusiones para los criminales, aseguró en entrevista con b:Secure Eugene Kaspersky, presidente y fundador de Kaspersky Lab. En lo que fue su tercera visita a territorio mexicano, Kaspersky explicó que en los últimos años el cibercrimen ha evolucionado de simples delincuentes con afán de molestar a los usuarios con programas maliciosos, a criminales reales y organizados dedicados al robo de información sensible y personal, motivados exclusivamente por el dinero. “Internet se ha transformado en un espacio ideal para la delincuencia, por la falta de regulaciones internacionales, el anonimato y clandestinidad con los que se pueden ejecutar los ataques y sobre todo porque no hablamos de robos o asaltos de miles de dólares, sino delitos de millones de dólares, lo que hace del cibercrimen un negocio muy rentable”, mencionó Kaspersky. Pero junto a la clandestinidad y anonimato, que entrega la Web, a los criminales, el hombre al frente de la empresa de seguridad comentó, que a diferencia del resto de las redes de comunicación que utilizamos alrededor del orbe Internet es la única que no puede ser controlada por las leyes de un país dado su carencia de fronteras. “Es bueno que las naciones de todo el mundo cuenten con marcos legales sobre el delito en Internet, pero se necesitan acuerdos de cooperación internacional porque los cibercriminales pueden cometer el ilícito en cualquier región del planeta”, dijo Kaspersky. En ese sentido, el fundador de la compañía agregó, que en el desarrollo y creación de marcos legales y combate al cibercrimen las firmas de seguridad informática, como Kaspersky, juegan un papel importante al aportar sus conocimientos, experiencia y colaborar con las autoridades de todo el mundo en la lucha contra este fenómeno. “Las iniciativas que se han tomado en países europeos o en Estados Unidos en respuesta al cibercrimen son buenas, pero son los primeros
EUGENE KASPERSKY EL HOMBRE AL FRENTE Y FUNDADOR DE KASPERSKY RECONOCIÓ QUE, PARA COMBATIR AL CIBERCRIMEN HAY CAMINAR SOBRE UN SENDERO COMPLEJO, DESGASTANTE E INTERMINABLE. pasos de cientos más que tenemos que dar. Necesitamos con urgencia desarrollar mejores sistemas de autenticación, estándares en el software, transparencia en el dinero electrónico y autoridades especializadas, porque la realidad es que los criminales y delitos en la Web no van a desaparecer”, informó Kaspersky.
LAS EMPRESAS NOS HACEN OJITOS La empresa, de origen ruso fundada en 1997, desde hace varios años ha comenzado con su proceso de expansión en todo el mundo de manera exitosa y rentable para la firma, según su presidente Eugene Kaspersky. “Hoy, tenemos más de 25 mil empleados en todo el mundo, nuestras soluciones protegen a más de 250 millones de usuarios en todo el planeta, tenemos presencia desde Chile hasta Nueva Zelanda y en el último año alcanzamos 80% de crecimiento en nuestras ventas”, explicó Kaspersky. México se comporta como uno de los principales mercados de la región, pues en el país Kaspersky ya cuenta con más de 600 distribuidores de los 1,950 socios de negocios que tiene en toda Latinoamérica. Este, es quizá uno de los principales motivos del porqué la empresa estrenó oficinas en el territorio. Y si bien, el mercado de consumo es su fuerte en la mayoría de los países de América Latina, ejecutivos de la firma mencionaron que comenzarán a promover las tecnologías de la compañía en el sector empresarial. Esto, con el lanzamiento de la segunda versión de Kaspersky Open Space Security (KOSS), una consola de gestión de los sistemas de seguridad dentro de la compañía, la cual ofrece seguridad para estaciones de trabajo, protección contra servidores, control de dispositivos periféricos, y manejo y seguimiento de reportes. Junto con KOSS 2, la compañía rusa también anunció la salida de las versiones 2010 de su software de seguridad Kaspersky Antivirus, la cual promete escaneos del sistema 40 por ciento más rápidos, listas de aplicaciones seguras, modos de ejecución segura y de videojuegos, y un teclado virtual para proteger al usuario contra programas de captura de pantalla o de registro de teclas, mejor conocidos como Keyloggers. ● Noviembre, 2009 B:SECURE 17
for
BUSINESS PEOPLE
ESTRATEGIA DE SEGURIDAD UN ENFOQUE PRÁCTICO Y PRAGMÁTICO Por Adrián Palma
Segunda de Tres Partes LOS TRES FILTROS PRAGMÁTICOS
FILTRO UNO: ENFOCARSE EN ÁREAS DE ALTO RIESGO
El acercamiento pragmático para la seguridad de la información empieza mediante la aplicación de tres filtros hacia las decisiones que se debieran tomar con respecto a la seguridad de la información, de acuerdo a mí experiencia en las organizaciones.
El objetivo aquí es identificar las amenazas en su ambiente, que puedan truncar las funciones centrales o core de la organización y esencialmente desacreditar el programa de seguridad de la información. Esto, puede tomar la forma del surgimiento de un virus devastador, la divulgación de información altamente sensitiva, la divulgación de datos personales o el no pasar la auditoria de Sarbanes-Oxley (SOX). Esta prioridad obliga a pensar acerca de la seguridad en el contexto de negocio en vez de tomar la labor de seguridad sólo como la seguridad vista únicamente desde la arista de IT. ¿Esta usted prevenido de los distintos tipos de amenazas que pudieran presentarse en su organización? Y, que en caso de mate-
UÊ ÌÀ ÊÕ \ Enfoque sobre el riesgo que puede tener un impacto significativo en su organización. UÊ ÌÀ Ê` Ã\ Enfocarse en la creación y publicidad del valor de la seguridad de la información. UÊ ÌÀ ÊÌÀiÃ\ Enfocarse sobre la eficiencia operacional. Segunda de 2 partes 18 B:SECURE
Noviembre, 2009
rializarse, pudieran impactar en la operación, capacidad de servicio, costos de perdida de negocio, costos de perdida de imagen, penalizaciones legales o de marcos regulatorios. Se necesita determinar efectivamente los tipos de amenazas mediante el uso de una metodología de análisis y evaluación de riesgos (Explicado en artículos anteriores). La valoración de riesgos debe ser la piedra angular para la implementación de cualquier arquitectura, blueprint, framework o modelo de seguridad. La siguiente fase de la valoración es priorizar el riesgo basado sobre los impactos causados en términos del daño, impacto en el negocio, tanto tangible como intangiblemente. El proceso de priorización debe incluir a la función de IT y a las áreas del negocio. Es muy importante presentar y comunicar los riesgos a la alta dirección o gente del negocio, en términos de la misma organización, con un lenguaje entendible pero a su vez contundente y siempre reflejando la realidad de la situación.
FILTRO DOS: VISIÓN SOBRE LA CREACIÓN Y LA MUESTRA DEL VALOR En el mundo real, algunas personas brillan y otras permanecen en las sombras. Las personas que brillan obtienen lo que necesitan para lograr sus objetivos y son reconocidos por sus logros. Las personas en las sombras hacen su trabajo, pero pasan desapercibidos porque no saben si lo que hacen es adecuado o si su trabajo ha agregado valor. A través de este filtro se busca realizar proyectos de alto nivel que incrementan el valor real de la seguridad de la información. Un buen enfoque de seguridad no sólo busca manejar los riesgos a los que está expuesta la organización, sino también ahorrar costos significativos por la exitosa implementación de proyectos de seguridad de la información en la empresa. Los proyectos de seguridad nos ayudan a que los procesos core, sensitivos o críticos de la organización tengan un valor agregado y obviamente cumplan con los objetivos para los cuales fueron desarrollados. En resumen, necesitamos demostrar y comprobar que los proyectos de seguridad realmente brindan un valor agregado a la firma. Para demostrar y crear valores asociados a la seguridad se necesitan desarrollar mecanismos y esquemas adecuados y customizados de comunicación para la alta dirección. Los ejecutivos de una organización tienen muchas dificultades para entender el valor de la seguridad. Ellos, comúnmente la perciben como un gasto en lugar de una inversión. Es de suma importancia que la alta dirección comprenda cabalmente cuales son los beneficios reales y tangibles de un adecuado programa de seguridad de la información, para que apoyen estas iniciativas con plena convicción y no por una cuestión obligatoria. Otro componente clave de la creación y muestreo de valor de la seguridad es implementando a través de un programa de awareness efectivo. El awareness extiende la visión del valor de la seguridad de la información en toda la compañía. La publicidad positiva incrementa el nivel de conformidad y cooperación los cuales incrementan el conocimiento y postura con respecto a la seguridad. El mantra de cualquier campaña de awareness es que la seguridad es responsabilidad de todos. Como siempre muchos usua-
rios no entenderán esto si no se les explica cual es su rol y responsabilidad en la firma con respecto a la seguridad. Una vez que los usuarios entiendan porque la seguridad es importante y cómo sus acciones pueden tener un impacto en sus computadoras así como en sus datos ellos estarán más susceptibles a adoptar la normatividad de seguridad en la organización. Si usted tiene el acuerdo y la cooperación de los usuarios finales, ya ha dado un gran paso hacia la verdadera seguridad de la compañía. Finalmente lo que debemos buscar son adeptos y amigos, no enemigos y detractores de la seguridad.
FILTRO TRES: ENFOQUE SOBRE LA EFICIENCIA DE LAS OPERACIONES En el mundo real, de recursos limitados y de hacer más con menos se necesita poner mucha atención constantemente en lo que mas nos consume tiempo y dinero en la empresa. Necesitamos hacernos esta pregunta constantemente: de si esas operaciones o funciones de seguridad verdaderamente están contribuyendo a sus objetivos de reducción de riesgos y mostrando el valor de la seguridad. Es imperativo que se desarrolle un mecanismo interno para incrementar la eficiencia operacional a través de cuatro factores, la eliminación, consolidación, automatización e innovación. La eliminación es el proceso de quitar y remover políticas, procedimientos, tecnologías o recursos, que no han agregado valor dentro del enfoque de seguridad en la organización. Se necesita evaluar toda la administración y tareas operacionales periódicamente para ver si se reducen los riesgos significativamente. Conducir un análisis costo beneficio para ver si los esfuerzos ayudan significativamente en las actividades relacionadas con seguridad y, sistemáticamente eliminar las no productivas. La consolidación es el ejercicio de combinar funciones similares para alcanzar la economía de escala, incrementar la eficiencia y promover la consistencia. Hay que echar un visazo a las operaciones para ver si hay funciones que pueden ser agregadas efectivamente. Un ejemplo seria apoyar o combinar esfuerzos con las funciones de la auditoria de seguridad para analizar los niveles de seguridad IT. La automatización puede ser usada para reemplazar la labor manual y ser eficientes en tareas mundanas y predecibles. Cuidadosamente se pueden seleccionar y desarrollar tareas repetibles que pueden ser automatizadas. Se tiene la opción de reducir los costos del staff y redireccionar recursos a tareas mas criticas La innovación es la idea de implementar soluciones bien pensadas, que reducen costos logrando los mismos objetivos. Un ejemplo de esto seria el outsourcing de la función de monitoreo de detección de intrusos para alcanzar una vigilancia 24/7.Esta podría ser una ruta de costo-efecto en el logro de una calidad de monitoreo mayor contrario a ser usted fuera designado para desarrollar la misma función, especialmente si su organización es pequeña y no puede sostener un staff que desarrolle esta función internamente. Tomando en cuenta estos filtros estamos en posibilidad de poder empezar a tejer una estrategia real de seguridad. ● Continuara…
Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de
Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM así como de la maestría de seguridad de la información del CESNAV y la UPIICSA, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. educacion@alapsi.org. Noviembre, 2009
B:SECURE 19
´ EXTREMA AUDITORÍA
REDUZCA RIESGOS CON UNA SEGREGACIÓN DE FUNCIONES INTEGRAL Por Mario Velázquez
T
ener aplicaciones con un adecuado esquema de seguridad no es suficiente para mitigar el riesgo de un fraude dentro de la organización, si no se segregan funciones de forma adecuada.
En los últimos años se ha exigido a los desarrolladores de aplicaciones integrar robustos esquemas de seguridad, que manejen usuarios, perfiles, responsabilidades, etcétera. Y, sin embargo los fraudes se siguen consumando aprovechando las vulnerabilidades de los sistemas. Esto se debe en parte a una inadecuada segregación de funciones (SoD por sus siglas en inglés). La segregación de funciones está orientada a evitar que una misma persona tenga accesos a dos o más responsabilidades dentro del sistema, de tal forma que pueda realizar acciones o transacciones que lleven a la consumación de un fraude. Aunque el principal motivo que lleva a implementar un adecuado esquema de segregación de funciones es el cumplimiento con regulaciones, las compañías deben aprovechar este tema para mejorar su control interno y minimizar así los riesgos de fraude. Pero para implantar una estrategia efectiva de SoD, es necesario considerar que esto no es un tema exclusivo del área de IT, sino de la dirección y la gerencia usuaria. De la misma manera como los sistemas son una herramienta para las operaciones de la empresa, los esquemas de seguridad definidos en los sistemas sólo son el medio para la implementación de una adecuada segregación de funciones. Cada quien debe jugar su rol: La dirección debe exigir y apoyar la iniciativa de la implantación de SoD, la gerencia usuaria debe definirla, el área de IT debe proporcionar los medios, el oficial de seguridad debe implementarla y auditoría interna deberá monitorear periódicamente su cumplimiento. Algunos conflictos entre dos acciones de una misma persona son muy evidentes, como la persona del área de atención a clientes que captura los pedidos y también tiene privilegios en el módulo para cambiar precios de los productos. Sin embargo, hay otros que dependen del tipo de industria, ambiente organizacional, complejidad y tamaño de la organización, por lo que se requiere mayor conocimiento de la empresa para identificarlos y solucionarlos. Un aspecto importante para evitar fallas en un SoD es implantarlo de manera integral en todas las aplicaciones de la organización. Es un 20 B:SECURE Noviembre, 2009
error mapear una aplicación o módulos de manera individual, puesto que el perfil de un usuario podría estar bien en uno, pero tener conflictos en otros módulos. Las cinco etapas que se deben considerar para una estrategia efectiva de SoD son: UÊ `i Ì v V>V Ê`iÊÀ iÃ} ðÊEn esta etapa se deben identificar, en los procesos de negocio, aquellas transacciones que son sensibles y susceptibles de un posible fraude. En cada caso, es importante indicar los riesgos existentes si una misma persona tiene acceso a estas transacciones. UÊ iv V ÊÌjV V>° En esta etapa se establecen las aplicaciones o módulos con los que se realizan cada una de las transacciones sensibles. UÊ `i Ì v V>V Ê`iÊV v VÌ Ã°ÊEl objetivo de esta etapa es utilizar la información de las dos anteriores para identificar usuarios con conflictos de segregación de funciones, de acuerdo a sus actividades y accesos en los sistemas. UÊ ,i i` >V ÊÞÊ Ì }>V ° En esta etapa se proponen y realizan los cambios necesarios para reducir lo más que se pueda el riesgo de las transacciones sensibles. Es importante tener en cuenta que no todos los riesgos podrán eliminarse, siempre queda un riesgo residual, del cual debe estar consiente la gerencia de la unidad de negocio. UÊ Ì Ài ° Una vez implementada la segregación de funciones, deben realizarse auditorías periódicas, para asegurarse que esto prevalece a lo largo del tiempo, pero también con el fin de identificar nuevos conflictos y riesgos. Uno de los impactos negativos que se presenta con la segregación de funciones es que al intervenir, dos o más personas en lugar de una, un proceso pudiera tomar más tiempo. Es importante tener esto en cuenta y evitar una burocracia excesiva e innecesaria, ya que esto podría ser un motivo para boicotear el SoD. Como siempre la seguridad va en contra de la comodidad. Bueno eso pienso yo, pero usted ¿qué cree? ●
Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.
´ OPINIÓN LA SEGURIDAD DE LA INFORMACIÓN Y EL FUTBOL Por Andrés Velázquez
U
n especialista de seguridad de la información es como un portero de futbol. Y es que me encuentro viendo un buen partido de futbol (Pumas vs. América) y no podía dejar de pensar en ello. Terminó el primer tiempo donde Pumas, a pesar de no ganar en el torneo regular, este clásico lo va ganando. Encendí mi computadora para poder dejar fluir mi pasión futbolera. Como especialistas de seguridad de la información somos como los porteros de futbol; quienes durante muchos años hemos estado entrenando para serlo, al pasar de los años sabemos jugar con las manos y detener los tiros del equipo contrario. Cuando nos piden jugar con los pies, al salir de nuestra área, le pegaremos con mucha fuerza para alejar el balón lo más lejos de nuestra meta. Hoy, nos toca jugar contra nuestro archienemigo. Estemos muy bien o muy mal dentro de la tabla no importa, lo único que vale es este partido. El equipo contrario viene con nuevas ideas, conoce nuestras vulnerabilidades y piensa exponerlas en el terreno de juego. Su finalidad es poder meter un gol, depende de qué tan bien cuidemos nuestro arco para evitar dicho riesgo. Estamos a las órdenes de un director técnico que, probablemente, nunca jugó en la posición en que nosotros jugamos. Y si bien apoya la existencia de un portero, en su mente piensa que lo que realmente necesita son buenos defensas que no dejen pasar los problemas. Así, el portero sólo será el último defensa dentro de la cancha. Hemos recibido miles de regaños, gritos y muy pocas felicitaciones. Sólo en casos extremos se nos hace notar como alguien mejor que un delantero, quien siempre se lleva los gritos de júbilo (alta dirección). Pero la realidad es que muchas veces el portero es quien puede llegar a tener una de las mejores vistas estratégicas de la cancha porque alcanza a ver a todos los jugadores que se encuentran frente a él. Conoce a cada uno de los jugadores y sus mañas, los driblings que acostumbran hacer y sus cábalas. Pero también puede aportar y pedir algunos cambios, demostrando con fuerza y ganas para que éste se dé. Una de las grandes diferencias es que nuestros tiempos de juego dentro de la seguridad de la información son casi infinitos, aunque a veces se pueden contabilizar por décadas, a veces lo hacen en minutos. Un cambio dentro de la organización, al ver que viene un balonazo que arremete contra nuestro marco, hace que lo veamos tan lejano que aunque tratemos de lanzarnos no es seguro que lleguemos a detenerlo. Todo esto depende de cómo atajemos el problema o por lo menos, darle un puñetazo para que salga de la cancha y nos dé un respiro para poder acomodar las piezas. Nunca falta uno de nuestro propio equipo, quien a pesar de entender las reglas del juego, se expone a romperlas y hacerse acreedor de una
tarjeta amarilla, vivir en la rayita o hacer algo que merezca que salga expulsado. Éstos son los más peligrosos, los que no juegan directamente con el portero, pero que a final de cuentas, al sacar provecho de una situación, afectan a todo el equipo. Creo firmemente que ahora si me volé la barda del estadio con esta columna, pero como siempre lo he dicho, la seguridad de la información no necesariamente siempre debe verse como una persona con un traje negro hablando seriamente de los peligros que nos enfrentamos al navegar en Internet. El poder hablar en un lenguaje entendible y haciendo analogías de lo que los demás entienden, harán que más personas se acerquen y entiendan este tema. El partido ha terminado y me da gusto que hayan ganado mis Pumas, aunque estuvo cardiaco antes del penal. Ojalá dentro de una organización trabajemos todos en conjunto para meter goles como un equipo y no autogoles. Los invito a que también comparen esta interesante profesión con algún otro deporte, ¿por qué no? ●
Andrés Velázquez es un mexicano especialista en delitos infor-
máticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. avelazquez@uat.edu Síguelo en Twitter: http://twitter.com/cibercrimen
Noviembre, 2009
B:SECURE 21
ÁREARESTRINGIDA
KNOCK, KNOCK KNOCKING ON HEAVENS DOOR… Por Roberto Gómez Cárdenas
E
n varios grupos de personas, p.e. pandillas o familias existe una forma de poder identificarse como miembro de este grupo sin la necesidad de utilizar palabras. Puede ser en forma de un particular tono o tonos de chiflido. Para poder acceder a ciertos lugares uno debe tocar la puerta golpeándola con una secuencia predeterminada por la gente que vigila el acceso al lugar. Pero este concepto también se puede aplicar para controlar el acceso remoto a ciertas aplicaciones dentro de un servidor. De hecho la idea ya tiene bastante tiempo y fue presentada por primera vez en una revista, SysAdmin en un artículo de Martin Krzywinski, denominado Port Knocking: Network Authentication Across Closed Ports. La idea es la siguiente: se cierran todos los puertos, ya sea en el servidor mismo o en el firewall de frontera. Una vez cerrado se lanza un proceso tipo daemon que estará verificando los eventos generados por un firewall y almacenados en una bitácora. El cliente que desee acceder a un determinado puerto debe intentar conectarse a un conjunto predeterminado de puertos. Cuando el proceso daemon analice la bitácora podrá percatarse que hubo una serie de intentos de conexión de una misma dirección IP a un conjunto de puertos. Si la secuencia de los intentos de conexión corresponde a un acuerdo preestablecido, el puerto deseado se abrirá, en caso contrario permanecerá cerrado. A nivel de ejemplo consideremos que un usuario desea conectarse, desde la computadora 17.56.38.2, al puerto 49 de un servidor. El que se encuentre detrás del servidor no es importante. El usuario llevara a cabo intentos de conexión a los puertos 78, 118, 67 y 5621. Esto, se vera reflejado en la bitácora del firewall de la siguiente forma: Nov 10 15:36:26 ... input DENY ... 17.56.38.2:64137 FIREWALL:78 ... Nov 10 15:36:27 ... input DENY ... 17.56.38.2:64138 FIREWALL:118 ... Nov 10 15:36:27 ... input DENY ... 17.56.38.2:64139 FIREWALL:67 ... Nov 10 15:36:28 ... input DENY ... 17.56.38.2:64139 FIREWALL:5621 ... Cunando el proceso se de cuenta del intento de conexión a la secuencia de puertos, 78, 118, 67 y 5621 de la dirección 17.56.38.2 generará una regla para permitir la conexión a esta dirección. Resumiendo, se abrió el puerto 49 a un usuario remoto que hizo conexiones a los puertos 78, 118, 67 y 5621. El usuario puede cerrar el puerto llevando a cabo intentos de conexión a otra secuencia de puertos, por ejemplo 5621, 67, 118 y 78. El orden de la secuencia es importante, y no recibe ningún mensaje de error de los intentos de conexión a los primeros puertos. El esquema anterior funciona. Sin embargo, es posible que un atacante con un sniffer pueda ver la secuencia y reproducirla para tener acceso al puerto deseado. Con el objetivo de prevenir lo anterior se recomienda cifrar la secuencia e incluir dentro de ésta la dirección IP del cliente, el número de puerto, el tiempo que durará abierto el puerto y un checksum. Por ejemplo, si se desea acceder al puerto 57 desde la máquina 83.67.12.32 durante diez minutos, los puertos a “tocar” serían los siguientes: 83, 67, 12, 32, 57, 10 y 6. 22 B:SECURE Noviembre, 2009
El checksum es una validación de la secuencia y está definido como la suma de los números, modulo 255. En el ejemplo, esto sería: (83 + 67 + 12 + 32+ 57 + 10) mod 255 = 261 mod 255 = 6 La secuencia estará compuesta por siete dígitos con un valor entre 0 y 255, que pueden ser representados como bytes o caracteres. Estos, se pueden cifrar con el algoritmo que se desee (AES, Blowfish, 3DES, etc). El resultado del cifrado se codifica a números en un rango de puertos (por ejemplo en el rango de 745 a 1000). Si la secuencia sólo se compone de valores entre 0-255 y la codificación se hace con enteros sin signo (0255) la longitud de la secuencia siempre será la misma. Del lado del servidor, el demonio que monitorea el archivo de bitácora debe decodificar la secuencia, descifrarla y verificar el checksum. Si la secuencia esta mal formada el paso de descifrado fallará. Por otro lado, si la secuencia fue descifrada exitosamente, el checksum tendrá que corresponder para que la secuencia sea tomada en cuenta. El número de puertos que componen la secuencia depende de la cantidad de información codificada en el “toquido”, si la secuencia es cifrada y la forma en que se cifró, así como el número de puertos usados para codificar la secuencia. En la página que Martin Krzywinski mantiene sobre este esquema se cuenta con una sección sobre las diferentes implementaciones que se han hecho sobre el mismo. Existen implementaciones para todas las plataformas, siendo Unix donde más se ha implementado. También existen implementaciones para Windows, Linux, Ubuntu, Suse, Java VM, Palm OS y para el iPhone/iPod. Las implementaciones se han hecho en Perl, lenguaje C, Java, Bash, Python, PHP, VB.NET y C++. Port Knocking es una técnica de autenticación en la que se usa al proceso que monitorea la bitácora como un agente de autenticación. Hay que notar que los datos de autenticación viajan en forma de puertos y, que en los payloads de los paquetes no contienen información alguna. Ya que no hay respuesta por parte del servidor a los “toquidos” del cliente, el uso de un sniffer del lado del cliente no servirá de nada. Una de las ventajas que proporciona este esquema es el hecho de que un atacante no puede utilizar métodos de escaneo de puertos para determinar los que se encuentran abiertos en el servidor. Se podría pensar que el esquema es susceptible a ataques de repetición. Alguien que este escuchando el canal puede capturar la secuencia y repetirla, después correr un escaneo de puertos y ver que puerto se abrió con dicha secuencia. Sin embargo, el atacante no tendría forma de conocer la dirección IP a la que se abrió dicho puerto, por lo que no podría utilizar la secuencia para vulnerar el sistema. Port knocking no debe considerarse como la única defensa de un servidor contra ataques externos. Es tan solo una capa más dentro de lo que es la cebolla de la seguridad IT. Es necesario que la aplicación detrás del puerto lleve a cabo su propia autenticación de la persona que está accediendo al servicio para que este seguro. También se pueden reforzar la seguridad usando listas blancas o negras. ●
´ OPINIÓN
EVOLUCIÓN DE LAS ESTRATEGIAS DE CONTINUIDAD DEL NEGOCIO EN MÉXICO Por Mario Ureña Cuate
E
n la historia reciente de nuestro país hemos sido testigos de diversos eventos relacionados con la interrupción de las operaciones de los procesos críticos del negocio, los cuales han marcado la forma en que las organizaciones perciben la Gestión de Incidentes y la Continuidad del Negocio. El 19 de Septiembre de 1985, la Ciudad de México sufrió las consecuencias de uno de los desastres naturales más impactantes de los cuales tengamos memoria. Como resultado del mismo se afectaron las operaciones de múltiples organizaciones, interrumpiendo la provisión de productos y servicios. La mayoría de las organizaciones no se encontraban preparadas para gestionar este tipo de desastre y las áreas de tecnología no contaban con planes efectivos para atender este escenario. Como resultado las organizaciones tomaron conciencia de la necesidad de implementar controles físicos y se incrementó la implementación de estrategias de protección civil. Desde el punto de vista de Tecnología, los términos Plan de Contingencias y Plan de Recuperación de Desastres (DRP) comenzaron a ser empleados y se inicio la implementación de estrategias tales como el uso de contratos recíprocos, “cold site”,” warm site” y “hot site”. Tiempo después, los eventos ocurridos el 11 de Septiembre del 2001, marcaron permanentemente la visión de las organizaciones respecto a la continuidad de negocio y nos hicieron preguntarnos si realmente nos encontrábamos preparados en caso de una interrupción de los procesos críticos del negocio. Las organizaciones tomaron más en serio el tema de la continuidad del negocio, iniciando la implementación de Planes de Continuidad del Negocio (BCP) en forma integral y dando lugar a la Gestión de la Continuidad del Negocio (BCM) con el fin de asegurar el poseer una estrategia permanente. Para los mexicanos el siguiente reto importante vendría algunos años después con la aparición del virus de la influenza humana AH1N1 que se oficializó en México el 23 de abril del 2009. Recuerdo a muchas organizaciones buscando entre sus planes de continuidad los procedimientos para atender el problema, encontrándose en la mayoría de los casos con una hoja en blanco, ya que el riesgo había sido aceptado desde el análisis de riesgos, o bien, los procedimientos relacionados no habían sido desarrollados. Las decisiones se tomaron al momento y no siempre resultaron las más correctas. La influenza humana es un escenario distinto, las instalaciones se encuentran accesibles, los sistemas y las telecomunicaciones funcionan, la información y procedimientos se encuentran disponibles, pero
son las personas quienes no están disponibles, en forma incremental o total y no solo por un día, sino por periodos prolongados. El estándar BS25999 en su parte 2 requiere que la organización identifique estrategias apropiadas para mantener las habilidades y conocimiento principal. El análisis podría ser extensivo a contratistas, clientes y otras partes interesadas quienes poseen estas habilidades y conocimientos. Dentro de las estrategias que se pueden utilizar se encuentran: UÊ VÕ i Ì>V Ê`iÊ >Êv À >Êi ʵÕiÊ >ÃÊ>VÌ Û `>`iÃÊVÀ Ì V>ÃÊÃ Ê ejecutadas. UÊ *iÀà > ÊÞÊV ÌÀ>Ì ÃÌ>ÃÊi ÌÀi >` ÃÊV Ê Ö Ì « iÃÊ >L `>`ið UÊ -i«>À>V ÊÉÊ iÃVi ÌÀ> â>V Ê`iÊ >L `>`iÃÊ«À V «> iÃÊ«>À>Ê reducir el riesgo de concentración del riesgo. (Puede implicar separación física del personal o bien que más de una persona tenga las habilidades y conocimiento principales). UÊ 1à Ê`iÊÌiÀViÀ>ÃÊ«>ÀÌið UÊ * > iÃÊ`iÊÃÕVià ° UÊ ,iÌi V ÊÞÊ}iÃÌ Ê`i ÊV V i Ì ° En la actualidad, el enfoque de continuidad del negocio que permite mantener actualizada y vigente nuestra estrategia de continuidad y al mismo tiempo asegura su efectividad y control, es la implementación y operación del Sistema de Gestión de Continuidad del Negocio (BCMS) que se encuentra definido en BS25999 y el cual es certificable. Este estándar requiere la implementación de un Plan de Gestión de Incidentes (IMP) y un Plan de Continuidad del negocio, los cuales te permiten atender aquellos esos escenarios donde te llueve sobre mojado, como por ejemplo, que durante la alerta por Influenza AH1N1 se presente un sismo de 5.7 grados, como ocurrió el pasado 27 de abril. No necesitamos ser Nostradamus para predecir la ocurrencia de eventos como Terremotos, Inundaciones, Impactos de Aeronaves, Influenza. Pero sí necesitamos desarrollar una estrategia de continuidad del negocio que permita hacer frente a estos escenarios, limitando el impacto que pudieran producir y asegurando la recuperación más rápida y efectiva de nuestras operaciones. ● Aprovechando el viaje… Si eres miembro activo del capítulo ISACA Ciudad de México te recuerdo que durante estos días se realizan las elecciones de la Mesa Directiva y en esta oportunidad soy candidato a la Presidencia del capítulo. Así es que no olvides emitir tu voto.
http://www.surveymonkey.com/s.aspx?sm=vBTvhQy9H1lD_2fPRy0X9pHg_3d_3d
Mario Ureña Cuate es director general de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Formadores de Opinión del British Standards Institution (BSI). mario.urena@secureit.com.mx
Noviembre, 2009
B:SECURE 23
SINNÚMERO RÉCORD GUINNESS PARA EL MALWARE Los cibercriminales se preparan para tirar la casa, pues una vez más han logrado batir y superar los niveles de infección y vulnerabilidad dentro de Internet. De acuerdo a un estudio de Dasient, el número de páginas vulneradas entre julio y septiembre de 2009 rebasó los 5.8 millones. Si el Récord Guinness premiara este tipo de logros estaríamos frente a una realidad aceleradamente preocupante porque se tratan de datos referentes al tercer trimestre del año.
Más de 52,000 infecciones de malware basadas en web se detectaron. En el periodo se registraron más de 72,000 muestras únicas de malware. Más de 640,000 sitios fueron vulnerados con algún tipo de código malicioso. Más de 400,000 sitios web son incluidos cada semana en las listas negras de Google.
19% es el nivel promedio de infección de cada sitio vulnerado. De todo el malware en el mundo se estima que 30% son troyanos, 22% son gusanos y 20% está representado por programas de descarga ilegales.
24 B:SECURE Noviembre, 2009