bSecure

EMPOWERING BUSINESS CONTINUITYseptiembre 2009 · 57 · www.bsecure.com.mx

La crisis económica, la falta de estrategias y soluciones mucho más integrales le pegaron a los departamentos de seguridad informática,

de acuerdo con la encuesta de Netmedia Research, 63 por ciento de los entrevistados afirmaron que su presupuesto en este rubro será

menor o igual al de 2009.

CRECIMIENTOS MÍNIMOS O NULOS PASAN A LA SEGURIDAD EN IT A UN SEGUNDO PLANO

PRESUPUESTO 2010:

9ACCESO

06 PUBLICIDAD DAÑINANuevos vectores de infección han comenzado a surgir en la web, el último de ellos, colocar publicidad con códigos maliciosos, un fenómeno bautizado como Malvertisign.

13 INFECTADOS HASTA POR MEDIO AÑOTrend Micro detectó que la mayoría de las computadoras permanecen infectadas un semestre sin que los usuarios lo noten.

14 CELULAR COMO MEDIO DE PAGO NO DESPEGA: VISAA pesar de superar casi tres a uno a las tarjetas bancarias, el desarrollo de proyectos para generar pagos electrónicos a través del teléfono celular aún es mínima.

B:SECURE FOR BUSINESS PEOPLE

16 ESTRATEGIA DE SEGURIDAD, UN ENFOQUE PRACTICO Y PRAGMÁTICO PARTE UNOConozco la forma y fondo para realizar una estrategia de seguridad informática, que sea eficaz y que responda las necesidades y requerimientos de su negocio.

ÁREA RESTRINGIDA

18 LAS REGLAS DEL NUEVO HASH SHA-3El algoritmo hash SHA-3 ya definió sus reglas y sus principales propuestas de desarrollo.

OPINIÓN

19 ¿CLOUD COMPUTING?Cloud Computing es un término que últimamente ha estado de moda, pero que pocos conocen lo que realmente es. De qué trata y qué riesgos conlleva su uso.

08PRESUPUESTOS EN

SEGURIDAD 2010La crisis económica, los

crecimientos mínimos o nulos pasarán a la seguridad en IT a un segundo plano durante el

próximo año.

OCT O

03 EN LÍNEA 04 LOGIN 20 SINNÚMERO

Octubre, 2009 B:SECURE 3

ENLÍNEACINCO MILLONES DE NUEVAS AMENAZAS EN TRES MESESEntre julio y septiembre los cibercriminales batieron una nueva marca digna de ser registrada en el libro de Récord Guiness, al desarrollar más de cinco millones de nuevas amenazas entre virus, troyanos, gusanos y otros códigos maliciosos, según reveló el Informe Trimestral 2009 de PandaLabs.

De acuerdo con los datos publicados por la firma de seguridad informática la amenaza con mayor crecimiento en el trimestre fueron los troyanos bancarios, ma-lware que se incrementó 71%, seguidos de la publicidad engañosa o adware con 13%, el spyware 9% y al final los virus y gusanos que únicamente incrementaron su presencia en 2%.

“En estos momentos estamos recibiendo casi 50,000 nuevos ejemplares dia-rios, cuando hace unos meses estábamos en 37,000. No tenemos expectativas de que esta situación mejore en los próximos meses”, dijo Luis Corrons, director Téc-nico de PandaLabs.

De los tipos de malware, cita el informe de la compañía, casi uno de cada cua-tro son troyanos, seguidos de los adware con 18% impulsados por el crecimiento de fenómenos como el rogueware o software falso y, los gusanos y virus que repre-sentan 14 y 10 por ciento de la infecciones en una PC, respectivamente.

AFECTADOS POR FRAUDE MILES DE USUARIOS DE GMAIL, HOTMAIL Y YAHOO!Lo que parecía un problema de robo de información exclusivo para usuarios de Hotmail, resultó ser una de las campañas de phishing más grandes de los últimos tiempos, luego de que Google, AOL y Yahoo! confirmaran que algunos de los da-tos confidenciales publicados en sitios web también pertenecen a miembros de sus plataformas.

“Microsoft descubrió que miles de credenciales de Windows Live Hotmail fue-ron divulgadas a través de un sitio web a consecuencia de un fraude de phishing. La empresa ya ha solicitado que los datos en la página sean eliminados y comen-zaremos una investigación para determinar el impacto a los usuarios”, afirmó un vocero de la compañía.

Sin embargo, los datos de los usuarios de Hotmail fueron la punta del iceberg en el caso de robo y fuga de información, pues un día después un reporte de la BBC detectó más de 30 mil nombres y claves de acceso, de miembros de servicios como Yahoo! Mail, Gmail y AOL también colocados en sitios de Internet.

La fuga de información también puso al descubierto la falta de educación y conciencia de los usuarios para proteger sus datos personales en Internet, pues la contraseña más común dentro del listado publicado era 123456, algunas de estas cuentas tenían más de una década con la misma clave.

Mónica Mistretta DIRECTORA GENERAL

Elba de MoránDIRECTORA COMERCIAL

Gabriela Pérez SabatéDIRECTORA DE

PROYECTOS ESPECIALES

Alejandro CárdenasDIRECTOR DE ARTE

Iaacov ContrerasCIRCULACIÓN Y SISTEMAS

Gabriela BernalDIRECTORA

ADMINISTRATIVA

José Luis CaballeroASESORÍA LEGAL

EDITORCarlos Fernández de Lara

CONSEJO EDITORIALRafael García, Joel Gómez,

Roberto Gómez, Luis Guadarrama, Ricardo Lira,

Ivonne Muñoz, Jorge Navarro, Adrián Palma, Luis Javier Pérez, Alejandro Pisanty, Salomón Rico, Ernesto

Rosales, Rubén Sáinz, Héctor Méndez, Jorge Varela, Andrés

Velázquez, Gilberto Vicente, Carlos

Zamora

COLUMNISTASRoberto Gómez, Ricardo

Morales, Joel Gómez, Andrés Velázquez, Irving García

EDITOR ON LINEEfraín Ocampo

WEB MASTERAlejandra Palancares

VIDEOFernando Garci-Crespo

DISEÑOPablo Rozenberg

ASISTENTES DEREDACCIÓN

Gabriela Rivera, César Nieto, Oscar Nieto

VENTAS Y PUBLICIDADMorayma Alvarado, Carmen Fernández, Cristina Escobar

SUSCRIPCIONESSonco-Sua Castellanos, Diana

Zdeinertb:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

TEMA LIBREEfraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

TECH&TRENDYElisa Nájera, editora de WISH, comenta sobre las últimas tendencias de la Web 2.0. ¿Qué pasa en la blogósfera? ¿Qué redes sociales han muerto? ¿Qué está de moda?

BLOGUEROS INVITADOSMónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Estos y otros artículos en www.bsecure.com.mx

BSECURE.COM.MX

LOGIN

La empresa de seguridad Panda realizó un aná-lisis para definir el nivel de máquinas infectadas en el planeta y las naciones con los mayores ran-gos de contaminación por malware. México está en el top 20.

Con un nivel de infección de 52.32%, México se colocó en la posición 15 de los 30 países con el mayor número de computadoras infectadas en el mundo, de acuerdo con el ranking mundial de ordenadores infectados de la firma de seguridad informática Panda.

La firma analizó más de 25,390 com-putadoras en México, de las cuales más de 13,300 fueron halladas infectadas con uno o más códigos maliciosos, contra los 16,000 equipos identificados como ‘lim-pios’ en la evaluación. El análisis determi-nó que el promedio de infección del país es de 52.32 puntos porcentuales.

El primer lugar en nivel de infección fue Taiwán, nación donde se examina-

ron más de 20,500 computadoras, de las cuales 14,000 estaban contaminadas con algún tipo de malware, alcanzando un nivel de infección del 69.10%. En contraste Noruega fue el país con el menor nivel de infección de acuerdo con el ran-king global de Panda, al alcanzar un porcentaje de PC contaminadas del 39%.

Las primeras cinco posiciones fueron ocupa-das por Taiwán, Rusia, China, España y Argenti-na, quienes registraron niveles de contaminación de máquinas entre los 69 y 61 puntos porcen-

tuales, casi 3% por encima de la media global, que es de 59%, el más alto en 2009.

Por su parte, otras naciones latinoamericanas como Brasil y Perú se colocaron en los lugares seis y diez, al alcanzar rangos de infección de 60 y 57%, respectivamente.

De acuerdo con Luis Corrons, director técnico de PandaLabs, los resultados del ranking global son preocupantes pues, contrario a disminuir, el nivel de maquinas infectadas en todo el orbe au-mentó 15 puntos porcentuales con respecto al

mes anterior.“Existe una sensación de falsa con-

fianza, porque los usuarios no creen que haya peligro y cuando se infectan, pocas veces notan los síntomas. Los ataques se están volviendo más y más sofisticados y aprovechan cualquier tipo de novedad informativa para lanzar sus ataques, a través de redes sociales, vídeos o correos electrónicos”, dijo Corrons.

Semanas antes del lanzamiento global del nuevo sistema operativo de Mi-crosoft, Windows 7 la firma anunció la salida en 19 países de su software de seguridad, Security Essentials, un programa que promete proteger las computadoras de los usuarios contra virus, spyware y otros tipos de códi-gos maliciosos, informó la compañía a través de un comunicado publica-do en su sitio web.

Como publicara anteriormente b:Secure, tras concluir la etapa de eva-luación con más de 75 mil internautas de todos el mundo, Microsoft li-beró el programa de seguridad gratuito para todos los consumidores que utilicen el sistema operativo Windows original en alguno de los 19 países iniciales en el proyecto.

Desde Australia, Austria, Bélgica, Brasil, Canadá, Francia, Alemania, Ir-landa, Israel, hasta Italia, Japón, México, los Países Bajos, Nueva Zelandia, Singapur, España, Suiza, el Reino Unido y Estados Unidos, son algunas de las primeras naciones donde se podrá descargar la herramienta sin costo alguno, y que entró como sustituto de la versión anterior, que sí tenia cos-to, Windows Live OneCare.

“Los clientes han comentado que requieren protección en tiempo real, pero sabemos que hay diferentes opciones en el mercado y, en ocasiones se confunden por las constantes actualizaciones o, al no poder pagar por una solución de seguridad muchos no se protegen correctamente”, dijo Amy Barzdukas, gerente general de Seguridad para consumidores de Microsoft en la información publicada en su sitio web.

La suite gratuita de Microsoft ha sido criticada por firmas de seguridad informática como McAfee y Symantec, al tacharla de menos robusta y efec-tiva que sus plataformas de seguridad con costo.

Sin embargo, evaluaciones de usuarios en la red han definido Secu-

rity Essentials como un pro-grama ligero, fácil de usar y con buen desempeño, principalmente por ser gratuito.

La firma con sede en Redmond Washington explicó que Security Essentials busca fo-mentar la cultura de la protección en in-ternet y evitar la propagación de fenómenos como el cibercrimen y los fraudes por Internet.

De acuerdo con Microsoft, Security Essentials es el primer programa de la firma en utilizar la tecnología Dynamic Signature Service, la cual pro-mete proteger a los usuarios de la mayoría de las definiciones de virus que existen actualmente, sin tener que esperar a la descarga programada.

El problema, es que de acuerdo a firmas de seguridad informática como Trend Micro, las soluciones de seguridad basadas en definiciones son obso-letas, pues las cifras muestran que una nueva amenaza es creada cada dos segundos de modo que no existe suficiente tiempo para actualizar el pro-grama ante los nuevos riesgos.

Microsoft Security Essentials está disponible para Windows XP SP2 o SP3, Windows Vista y Windows 7, incluido el Windows XP mode en los equipos de 32 y 64 bits y puede ser descargado desde http://www.micro-soft.com/security_essentials.

—Staff Netmedia

MICROSOFT SECURITY ESSENTIALS YA DISPONIBLE

LOGIN

4 B:SECURE Octubre, 2009

MÉXICO EN EL TOP 20 DE LOS PAÍSES MÁS INFECTADOS DEL MUNDO


Un reporte reveló que 72% de los profesionales IT y adminis-tradores de red encuestados de empresas de todos los tamaños creen que la de auditoría externa de seguridad fue una inver-sión que valió la pena.

Otros no fueron tan optimistas, sino más bien neutrales. Otro 23% no estuvo a favor ni en contra de que fuera una gran inversión, mientras que 5% dijo que no fue una que haya valido la pena.

La encuesta encargada por VanDyke Software a Amplitude Research, arrojó que 76% de las empre-sas empleó a expertos externos para auditar los proce-dimientos de seguridad para las redes, aunque solo 35% lleva a cabo auditorías anualmente.

Es de apenas 24% la proporción de las organizaciones que nunca ha contratado los servicios de una auditoría ex-terna de seguridad de manera formal. Cuando se les pre-

guntó la razón, 47% respondió que no necesitan una y 24% dijo que la razón es el costo.

La principal razón por la que las empresas contratan auditorías ex-ternas de seguridad, de acuerdo con 65% de los encuestados, es para demostrar a terceros que la compañía ha sido auditada.

Pero las auditorías externas no son la única opción para demos-trar que se implementaron y que son observados procedimientos de seguridad, pues 67% dijo practicar auditorías internas por lo menos una vez al año.

Que 46% de los encuestados haya afirmado que las auditorías ex-ternas de seguridad hayan resultado en hallazgos significativos de

problemas de seguridad, podría ser una evidencia de que las au-ditorías internas.

La encuesta fue respondida por 351 profesionales IT y ad-ministradores de redes durante septiembre de 2009.

—Efraín Ocampo

Los robos y fraudes bancarios no son nuevos en el mundo del crimen organizado en Internet, sin embargo, los delincuentes han encontrado un nuevo mecanismo para hurtar el dinero de las cuentas bancarias de los usuarios en tiempo real, de acuerdo a un reporte de la firma de seguridad informática Finjan.

El estudio, publicado en el sitio web de la fir-ma con sede en San José, California afirma que, aprovechando una vulnerabilidad en los navega-dores web; Internet Explorer (IE) versión 6,7 y 8 y FireFox 3.0, y con el uso de un troyano bauti-zado como URLZone, los criminales son capa-ces de sustraer dinero de las cuentas bancarias en el momento en que los usuarios realizan transac-ciones o movimientos en línea.

Ben-Itzhak, director de Tecnología de Finjan y uno de los responsables del reporte aseguró que el blanco de ataque fueron exclusivamente ban-cos alemanes. Aun así, en sólo 22 días los crimi-nales fueron capaces de robar más de 300 mil euros (unos cinco millones 900 mil pesos).

“La pandilla cibernética logró atraer a cerca de 90,000 víctimas potenciales, de estas, cerca de 6,400 fueron infectadas con el troyano, lo que representa un rango de éxito para el cibercrimi-nal de 7.5%. Es decir, uno de cada 14 usuarios se vieron impactados”, dijo Ben-Itzhak de Finjan.

De acuerdo al informe de la compañía los de-lincuentes aprovechan un hoyo en la seguridad de los exploradores web IE y FireFox conocida como LuckySploit, a través de la cual logran in-troducir el troyano URLZone a la computadora del usuario y que, únicamente corre en las má-quinas con sistema operativo Windows.

A diferencia de otros troyanos, el experto de Finjan, mencionó que este nuevo tipo de código malicioso tiene la capacidad de detectar cuando el internauta accede a un sitio web de banca por Internet, momento en el que empieza a funcio-nar y efectuar el fraude.

Así, el troyano URLZone comienza a enviar mensajes al servidor del banco en segundo pla-no, sin que el usuario detecte advertencia alguna

o señal de su institución financiera, posterior-mente el malware calcula la cantidad de efectivo en la cuenta y realiza una transferencia bancaria a otra cuenta.

Ben-Itzhak de Finjan explicó que la cuen-ta que recibe el dinero corresponden a “mulas”, usuarios con cuentas legitimas, normalmente en otros países, que buscan efectivo de forma fácil y rápida, y se prestan para lavar el dinero de los ci-bercriminales a cambio de una comisión y con el objetivo de hacerlo imposible de rastrear.

“El troyano cuenta con parámetros predefini-dos de máximos y mínimos basados en el total de efectivo disponible en la cuenta. De esta for-ma, únicamente retira montos determinados que no disparan la señales de antifraude de los ban-cos”, escribió Ben-Itzhak en el reporte.

Pero el engaño no concluye ahí, pues el análisis de Finjan refiere que URLZone incluso tiene la ca-pacidad de borrarse de los registro de las transac-ciones para que éstas no aparezcan en el recibo o en los resultados de las operaciones del usuario.

Así, el internauta no es capaz de detectar que sido víctima de un robo cibernético hasta que realice una ope-ración de banca en línea desde una computadora no infectada, en un caje-ro automático o que el banco niegue la operación por falta de fondos.

Y, por si no bastara, el troyano tam-bién registra y roba las claves de acce-so a la cuenta bancaria, hace capturas de pantalla y sustrae la información de otros servicios de comercio electrónico y plataformas de internet como PayPal, Gmail y Facebook.

VACÍAN CUENTAS BANCARIAS CON NUEVO TROYANO

CREEN QUE AUDITORÍA EXTERNA FUE BUENA INVERSIÓN


Sin dejar de lado mecanismos de ataque como el phishing, pharming, la redes bot o los códigos maliciosos, los cibercriminales han pues-to sobre la mesa al malvertising, una forma de infección, que si bien

no es nueva, ha comenzado ganar terreno y aceptación dentro del mercado clandestino de la web, aseguró Paulo Vendramini, director de Ingeniería de Symantec América Latina.

Así, luego de tratar de vulnerar los sistemas de los internautas me-diante el uso de correos electrónicos con engaños sobre requerimien-tos falsos de sus instituciones financieras o comerciales, con programas gratuitos e ilegales o en páginas web clandestinas, Vendramini informó, que los ciberdelincuentes han descubierto un camino mucho más sim-ple para infectar la PC de los usuarios; comprometiendo sitios, plata-formas o anuncios legítimos.

“Antes los focos o vectores de infección para los cibercriminales eran las páginas de internet de contenido dudoso o ilegal o, a través del uso de pro-gramas Peer to Peer (P2P). Sin embargo, hoy han decido vulnerar sitios de alta utilización como redes sociales y páginas informativas, en las que infil-tran sus códigos maliciosos”, explicó el experto de Symantec en entrevis-ta con b:Secure.

De esta forma, mencionó Vendramini, los delincuentes no colocan códi-gos dentro de esos sitios, sino que comprometen vínculos o enlaces de pá-ginas o plataformas web con un alto número de visitantes, para que al dar clic en alguna liga vulnerada, redirigirán al usuario a un sitio donde su má-quina será infectada.

En el caso del malvertising, los atacantes deciden ocultar códigos mali-ciosos en los banners de publicidad de los sitios web, de modo, que al dar clic en el anuncio el usuario, sin notarlo, es infectado con algún tipo de mal-

ware, con el objetivo de robar su información personal o convertir su com-putadora en el zombi de una botnet.

En la mayoría de los casos, el fenómeno del malvertising, dijo Vendra-mini, está muy vinculado a la distribución de malware mediante la oferta de software de seguridad apócrifo, mejor conocido como fakeware o ro-gueware, el cual engaña a los internautas con notificaciones falsas de que su PC está infectada y recomienda la instalación de un antivirus, que en reali-dad es un código malicioso.

NO SE CRUZAN DE BRAZOSLa situación sobre este fenómeno incluso ha atraído los reflectores de todo el mundo, luego de que a principios de octubre, Microsoft decidiera tomar acción legal contra cinco páginas web responsables o que promovían mal-vertising.

Con los números de referencia No. 09-2-34024-2 SEA, 09-2-34021-8 SEA, 09-2-34020-0 SEA, 09-2-34022-6 SEA y 09-2-34023-4 SEA, la firma con sede en Redmond Washington presentó las cinco de-mandas ante la Corte Superior King County de Seattle, en contra de los sitios web “Soft Solutions,” “Direct Ad,” “qiweroqw.com,” “ITmeter INC” y “ote2008.info”.

Los procesos legales son anónimos y no van dirigidos contra ningún in-dividuo en particular, sin embargo, la compañía espera que este tipo de ini-ciativa actúe como señal de advertencia para que los administradores de los sitios web sean más responsables sobre el tipo de publicidad que colo-can en sus páginas, explicó un vocero de la compañía en entrevista exclu-siva con la revista.

“Así como con otras amenazas en la red, Microsoft tomó la decisión de

ACCESO

PUBLICIDAD DAÑINA

CON EL FIN DE BUSCAR NUEVOS VECTORES DE INFECCIÓN LOS CIBERCRIMINALES HAN COMENZADO A COLOCAR PUBLICIDAD CON CÓDIGOS MALICIOSOS, UN FENÓMENO BAUTIZADO COMO MALVERTISIGN Y QUE YA LEVANTÓ SEÑALES DE ALARMA E INCLUSO ACCIÓN LEGALES.

Por Carlos Fernández de Lara

levantar estas demandas legales para promover educación, legalidad y solu-ciones al tema de la seguridad en Internet”; explicó el vocero de la empresa de software más grande del mundo.

La compañía reconoció, que si bien este tipo de procesos legales son los primeros en su clase, seguramente no serán los últimos, toda vez que el mal-vertising se convierte en una preocupación para todas las empresas que vi-ven o se benefician de la publicad en línea.

Acciones legales que son vitales, de acuerdo con Microsoft, debido a que la publicidad en línea es lo que mantiene corriendo a internet, se mira como el motor de todas las tecnologías de búsquedas y permite que servi-cios como Windows Live, Facebook, Yahoo! y MSN sean gratuitos.

Pero para Microsoft el peso de llevar este fenómeno hasta las cortes estadu-nidenses va mucho más allá de la protección de los usuarios y la publicidad en internet, pues la compañía busca impedir que los cibercriminales pro-muevan una imagen de que Windows es inseguro como sistema operativo.

“Los análisis muestran que los criminales engañan a los usuarios con soft-ware apócrifo, que falsamente señala fallas en el sistema operativo de la com-putadora. Este engaño demerita la reputación de Microsoft, al hacerle creer a la víctima que Windows tiene fallas cuando realmente esas vulnerabilidades no existen”, explicó el portavoz de la firma.

Microsoft también informó que está trabajando de la mano con “otros proveedores líderes” de plataformas en línea para mitigar el impacto y daño causado por el fenómeno del malvertising.

A pesar de ello, la compañía no determinó si la publicidad infectada en estos sitios utilizaba de alguna forma el nombre de Microsoft o de alguno de sus productos. Mientras tanto el vocero, recomendó a los cibernautas a contar con una solución de seguridad en sus equipos y desconfiar de cual-quier página o programa desconocido, que ofrezca escanear la computado-

ra en busca de virus.Sobre el tema Vendramini de Symantec informó, que la iniciativa de Mi-

crosoft no hará que el cibercrimen desparezca, pero sí podría fomentar la responsabilidad entre los administradores de los portales y sitios web.

“Las empresas ven la seguridad de una manera muy especial, creen que si el problema no es suyo no lo tienen que resolver. En Symantec hemos des-cubierto que más de 60% de las aplicaciones web están vulneradas, creo que este tipo de acciones (las demandas de Microsoft) invitan a que las compa-ñías tengan una responsabilidad por proteger la información y los datos en sus sitios de Internet”, mencionó Vendramini.

El riesgo, enfatizó el experto de Symantec, es que, si no se comienzan a tomar medidas correctivas o fomentar una cultura de la seguridad, la situa-ción podría empeorar conforme crezca el número de internautas, en parti-cular en países emergentes como los latinoamericanos.

“La parte buena de la penetración de internet y la tecnología es que más gente tiene la oportunidad de, por primera vez, adquirir una computadora. Lo malo es que sin una educación o concientización muchos usuarios van a ser muy susceptibles a todo tipo de ataques”, dijo el director de Ingeniería de Symantec América Latina.

De hecho Vendramini confesó que los montos generados por el cibercri-men alrededor del orbe hoy, ya superan a los del tráfico ilegal de drogas. Si-tuación que se reflejada incluso en el número de amenazas que rondan la red, las cuales se incrementaron 70 veces entre 2008 y 20009.

“Es imposible predecir que va a pasar en 2010, pero sin lugar a dudas, va a existir un crecimiento de las amenazas dirigidas al robo y venta de in-formación en el mercado negro, combinado con un panorama de crisis económica, personas sin empleo y un ritmo en la expansión del malware completamente desbordado”, apuntó. ●

Por Carlos Fernández de Lara [email protected]


CRECIMIENTOS MÍNIMOS O NULOS PASAN A LA SEGURIDAD EN IT A UN SEGUNDO PLANO

La crisis económica, la falta de estrategias y soluciones mucho más integrales le pegaron a los departamentos de seguridad informática, de acuerdo con la encuesta de Netmedia Research, 63 por ciento de los entrevistados afirmaron que su presupuesto en este rubro será menor o igual al de 2009.

PRESUPUESTO 2010:


PRESUPUESTO 2010:


La tormenta y los nubarrones de la crisis económica se ale-jan y el panorama macroeconómico muestra cielos más des-pejados. Sin embargo, para los responsables de la seguridad informática dentro de las empresas mexicanas el campo de

juego será uno con recursos reducidos, lleno de alta demandas y ex-pectativas, a medida que temas como la protección de datos, el robo de información y los marcos regulatorios ganan notoriedad.

Así, el secreto para los CISO o responsables de la seguridad de información en las empresas será saber jugar lo mejor posible sus cartas, y vincular el panorama económico actual al de los riesgos, de-mandas y exigencias, gubernamentales y comerciales.

“En un ambiente económico con mucha incertidumbre como el actual, donde los presupuestos de IT en general se contraen y el gas-to se reduce, los tomadores decisiones en seguridad tienen la posi-bilidad de incrementar sus presupuestos, basados en necesidades y riesgos específicos del negocio”, explicó Adam Hils, analista de In-vestigación en IT Security de Gartner en entrevista con b:Secure des-de Nueva York, Estados Unidos.

En otras palabras, los CIO y CISO en México tienen la posibilidad de ver el vaso medio lleno o medio vacío para 2010. Muestra de ello, son los resultados de la encuesta anual de Netmedia Research a 120 profesionales de IT para conocer sus presupuestos e inversión en se-guridad para el próximo año.

De esta forma, en los próximos doce meses la inversión en siste-mas y plataformas de seguridad será mayor únicamente para 26% de

los encuestados, contra 25% que aseguró que tendrá que reducirla y 36% que recibirá el mismo presupuesto del año anterior.

Pero una vez analizado dentro del presupuesto total de IT, los siete puntos porcentuales de inversión en seguridad se colocan por deba-jo de gastos como software (15%), hardware (22%), servicios (12%) y telecomunicaciones (9%).

Es decir, del 27% de los entrevistados que recibirán un presupues-to menor o de hasta 50 mil dólares para 2010, únicamente 3.5 dó-lares serán dedicados al desarrollo e implementación de sistemas o plataformas de seguridad de la información.

Situación que se agrava, si se toma en cuenta que 8% de los en-cuestados confesó no contemplar ningún tipo de gasto o presupues-to en seguridad para el próximo año.

“Los negocios tienen una urgente necesidad por reconocer que la constante evolución en las amenazas y vulnerabilidades de los siste-mas de tecnología, requieren de una mayor inversión en seguridad, cualquier presupuesto menor al 15% del total del gasto en IT será in-suficiente para combatir o solucionar estos riesgos potenciales”, dijo Hils de Gartner.

NO COMO OTRO GASTOLos resultados de la encuesta reflejan, que al menos en México, el gasto en seguridad está muy vinculado a la existencia o ausencia del Chief Information Security Officer (CISO) o, de una figura responsa-ble de este departamento.

El presupuesto dedicado a seguridad para 2010 será:

Mayor 26.32%

Menor 26.32%

Igual 36.84%

No contemplo presupuesto de seguridad 7.89%

No respondió 2.63%

EL VASO, ¿MEDIO LLENO O MEDIO VACÍO? ¿Cómo será distribuido su presupuesto en 2010?

Hardware 22.93%

Software 15.49%

Servicios IT 11.82%

Investigación 4.16%Seguridad 7.25%

Telecomunicaciones 9.57%

Hosting 3.55%Soporte 4.55%

Servidores 4.18%

Sueldos 12.82%

Viáticos 1.45%Prestaciones 1.26%

Otros 0.97%

SÍ SE INVIERTE, PERO POCO

Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México. Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.


El análisis de Netmedia Research, reveló que si bien, 44% de los entrevistados aseguró que su departamento de seguridad contempla la figura y cargo del CISO en su organización, el otro 42% reconoció que dicho cargo no existe dentro de la compañía.

“Aunque en muchos casos el CIO decide sobre todo los temas y gastos en IT, sobre todo en las grandes empresas, es difícil que tenga un conocimiento puntual de cada área y proceso. La existencia del CISO entrega un panorama mucho más específico sobre los ries-gos y necesidades que la compañía enfrenta en esta materia”, afir-mó Hils de Gartner.

Fenómeno que muchas veces refleja el actuar de los departamen-tos de IT en el país, pues ante la falta de visibilidad sobre los riesgos o vulnerabilidades en el negocio, se ve obligado a operar bajo un es-quema mucho más reactivo que proactivo.

De hecho, la encuesta muestra que los principales factores que im-pulsan la inversión en seguridad dentro de las compañías, se deben al desarrollo de nuevas políticas internas (40%), como parte de un progra-ma de cumplimiento a regulaciones nacionales o internacionales (16%) o en respuesta a un incidente en la infraestructura de IT (18 %).

“A diferencia de otras soluciones o plataformas de IT, la inversión en seguridad, pocas veces puede estar sustentada en Retornos sobre la In-versión (ROI, en inglés), por lo que su gasto se basa en el desarrollo de análisis de riesgos y mediciones sobre qué pasaría si se perdiera tal in-formación o si dejara de funcionar cierta aplicación. En ese sentido, es mucho más complejo justificar el gasto”, dijo Marisela de la Cruz, ana-lista de Investigación para el programa de software de IDC México.

La analista informó que datos generales de IDC para el mercado de seguridad en México muestran que 2009, con todo y el panora-

ma económico, podría cerrar con un crecimiento de 3.4% con res-pecto a 2008, para alcanzar un valor de mercado de 109 millones de dólares.

Esto, principalmente como consecuencia del aumento de casi 30% en el tipo de cambio del dólar frente al peso mexicano, duran-te la primera mitad de 2009, el cual complicó la compra o desarrollo de proyectos en la industria de IT en general.

¿Cuál será su presupuesto IT para 2010?

HABRÁ POCA PLATASu inversión en sistemas, programas o consultoría en

seguridad ¿fueron reflejo de?

PREVENTIVOS Y CUMPLIDORES

Menos de $50,000 27.03%

$50,000 - $100,000 13.51%

$100,000 - $200,000 10.81% $200,000 - $400,000 10.81%

$400,000 -$600,000 5.41%

$800,000 - $1 millón 2.70%

$2 millones - $4 millones 13.51%



$25 millones - $50 millones 2.70%No respondió 2.70%

Cambios en las políticas internas 39.47%

Regulaciones nacionales o internacionales 15.79%

En respuesta a un incidente 18.42%

Como acción preventiva 57.89%

Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México. Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.

¿En qué sistema de seguridad invertirá su presupuesto IT en 2010?

LA SEGURIDAD SE SIGUE BASANDO EN SOFTWARE

Fuente: Encuesta realizada por Netmedia Research en agosto de 2009 a 120 directivos IT en México.

Software 18.92% 16.22%

Hardware 13.51% 27.03%

Análisis de riesgos 10.81% 18.92%

Concientización del personal 8.11% 16.22%

Normatividad/Políticas 5.41% 16.22%

Detección de vulnerabilidades 16.22% 21.62%

Plan de continuidad de negocios 13.51% 24.32%

Plan de recuperación ante 16.22% desastres 16.22%

Nuevo proyecto Mantenimiento

Y si bien, el nicho de seguridad perdió su crecimiento de doble dígito y el escenario para 2010 será conservador, de la Cruz afirmó que 38% de las empresas mexicanas están dispuestas a invertir en esta área.

Los expertos de IDC y Gartner refirieron que, aunque cerca del 70% de la inversión en seguridad todavía se concentra en rubros como soluciones de software de seguridad y sistemas firewall, tópi-cos como la administración de riesgos, recuperación ante desastres, control de accesos, la tercerización de servicios de temas de seguri-

dad en email, cumplimiento, consultoría, auditorías y revisiones ya forman parte de la discusiones en el uso del presupuesto.

Realidad soportada en los datos obtenidos de La encuesta de pre-supuesto 2010 de Netmedia Research, donde casi siete de cada diez CIO y CISO miran temas el resguardo de la información y el con-trol de eventos como uno de los aspectos más urgentes a cubrir en este campo.

Así, la protección contra incidentes y el robo de datos, es incluso dos veces más urgente para los CISO de México, que tópicos como: Seguridad en la infraestructura Web (Secure Web Gateway Applian-ce) con 32%, la protección y seguridad en correo electrónico (29%) o las plataformas de Web Access Management con 18%.

“El reto de los responsables de seguridad ya no es buscar tecno-logía basada exclusivamente en las necesidades de seguridad de la empresa, sino en encontrar soluciones integrales que entreguen pro-ductividad y desempeño a la organización, pero también que ayuden a cumplir con regulaciones, que incluyan, o por lo menos aborden, el tema de seguridad”, apuntó de la Cruz de IDC.

Difíciles, con crisis económica o en plena recesión, en los próxi-mos doce meses los CISO de México, todavía tienen un as bajo la manga para justificar la inversión en seguridad, pues en la llamada Era de la información ningún gasto, por más elevado que sea, podría alcanzar el valor real de los datos de la organización.

“Podrán reducir el presupuesto, recortar personal de IT o elimi-nar gastos, pero las empresas ya no pueden darse el lujo de no ha-cer pruebas de seguridad, análisis de riesgos o contar con sistemas de protección, al menos no si quieren competir en el siglo XXI”, afir-mó Hils de Gartner. ●


¿Qué aspectos busca cubrir con mayor urgencia en el área de seguridad?

LAS NUEVAS URGENCIAS PARA EL CISO

Seguridad de información y control de eventos 68.42%

Protección y seguridad en correo electrónico 28.95%

Secure Web Gateway Appliance 31.58%

Soluciones de Web Access Management (WAM) 18.42%

Plataformas de protección de punto a punto (EPP) 7.89%

Gasto en campañas o cursos de educación 18.42% y concientización


¿Su empresa cuenta con un encargado en seguridad en IT (CISO)?

Sí 44.74%No respondió 13.16%

No 42.11%

EL VALOR DEL LOS CISO ¿A MICHAS?


¿Cuáles son sus mayores preocupaciones en cuanto a seguridad se refiere para 2010?

LAS FOBIAS DE LOS CISO


Ataques externos 36.09%

Falta de regulación interna y educación a los usuarios 23.30%

Robo de información

21.01%

Ausencia de sistemas de respaldo o recuperación ante desastres

10.56%

No cumplir cabalmente con las regulaciones o estándares 9.04%

Sin tu consentimiento y conocimiento tu computadora podría llevar un semestre infectada, como zombi de una red bot, distribuyendo malware o simplemente con algún código malicioso recabando tu in-

formación personal o empresarial más sensible, para obtener un beneficio económico de ella, de acuerdo al estudio The Internet Infestation publica-do por Trend Micro.

El análisis de la firma de seguridad informática desechó los reportes pre-vios sobre el lapso mínimo de infección de las computadoras comprome-tidas, el cual rondaba las seis semanas, pues luego de revisar más de 100 millones de direcciones de internet (IP) detectaron que el promedio de per-manencia del malware en las máquinas rebasa hasta los dos años de vida.

“Durante el análisis de las 100 millones de IP vulneradas, Trend Micro detectó que la media de infección en las máquinas es de 300 días, hasta los dos años. Según nuestras estadísticas 80% de las computadoras llevan in-fectadas más de un mes sin que los usuarios estén enterados”, citan los re-sultados del reporte.

Una realidad que contrasta con el cibercrimen y los códigos maliciosos de hace una década, que se hacían notar en los sistemas de cómputo de los usuarios al impactar en su desempeño o, borrar los archivos de arranque o de registro del equipo, explicó Juan Pablo Castro, coordinador de Tecnolo-gía para Trend Micro América Latina.

“Con anterioridad, uno se daba cuenta de que su computadora estaba infectada y realizaba alguna acción para corregirlo, que podía ser actualizar su antivirus, aplicar parches o realizar una exploración manual de archivos. Hoy, los cibercriminales crean amenazas cuyo propósito es pasar desaper-cibidas la mayor cantidad de tiempo para robar información o utilizar las máquinas infectadas para realizar ataques o distribución de malware” dijo Castro en entrevista con b:Secure.

El peligro de que los sistemas de cómputo permanezcan expuestos o vul-nerados durante un tiempo prolongado, es que permite a las amenazas ac-tualizarse para eludir los mecanismos de seguridad, o para actuar como puerta de entrada de nuevos códigos maliciosos.

“Es imposible determinar la cantidad de componentes de un mismo o diferentes malware en un sistema, pues una nueva amenaza nace cada dos segundos lo que indica, que éstas tienen mecanismos de actualización. Al

mismo tiempo en los laboratorios de Trend Micro hemos detectado como una misma amenaza funciona como la puerta de entrada de múltiples có-digos maliciosos, que son descargadas de internet automáticamente”, in-formó Castro.

El ejecutivo refirió que los análisis de Trend Micro demuestran que el ma-yor foco de infección se encuentra entre los usuarios finales, quienes repre-sentaron 75% del total de computadoras infectadas, contra 25% de equipos vulnerados, que se encontraron en los ambientes empresariales y entida-des de gobierno.

Y es un problema que parece a penas estar comenzando, pues el exper-to aseguró que la Infestación de Maleware en la web no es un tema menor, pues actualmente más de 23 millones de IP activas están infectadas o com-prometidas.

Los análisis de Trend Micro, compartió Castro, muestran indicios de que cientos de cibercriminales controlan más de 100 millones de PC alrededor del mundo y, que hoy forman parte de gigantescas botnets, redes de computadores comúnmente utilizadas para generar distribu-ciones masivas de malware y spam, hacer fraudes, robo de identida-des o información y desplegar ataques de denegación de servicio (DoS, en inglés).

Y si bien, el desconocimiento del usuario a la hora de navegar por la red, combinado con el uso de software de seguridad apócrifo son algunos de los principales factores que promueven la infección y permanencia de los códi-gos maliciosos en las computadoras, Castro confesó, que la realidad es que la soluciones de seguridad “tradicionales” ya no son tan efectivas como an-tes en el combate al cibercrimen.

“Las soluciones tradicionales de antivirus ya no se dan abasto con el vo-lumen actual de las amenazas, nuestras estadísticas estiman que se crea una nueva amenaza cada dos segundos, y que 92% de estas, llegan a las com-putadoras a través de la navegación en internet”, apuntó el ejecutivo de Trend Micro.

Fenómeno que demanda una transformación en el paradigma de las so-luciones de seguridad, que cuentan con sistema de protección de amenazas en la web, así como en la capa de exposición y no solo en la capa de infec-ción de los sistemas, dijo Castro. ●

ACCESOINFECTADOS HASTA

POR MEDIO AÑOUN ESTUDIO DE TREND MICRO SOSTIENE

QUE LA MAYORÍA DE LAS COMPUTADORAS PERMANECEN INFECTADAS HASTA SEIS

MESES SIN QUE SUS DUEÑOS LO SEPAN

Por Carlos Fernández de Lara


La posibilidad de generar transacciones, transferencias o pagos electró-nicos por medio de teléfonos móviles es todavía mínima, con proyec-tos pequeños y de mediano impacto, dado que ni los operadores ni las

instituciones financieras lo ven como un canal real para bancarizar al res-to de la sociedad, a pesar de su penetración masiva en todo el orbe, asegu-ró José María Ayuso, director Regional de productos para América Latina y el Caribe de Visa.

En el marco del Visa Innovation Day, organizado por una de las empre-sas más grandes de pagos electrónicos en el mundo, Ayuso mencionó, que si bien, en el mundo existen más de 4,000 millones de teléfonos móviles contra las más de 1,700 millones de tarjetas de bancarias, el pago con celu-lares no está respaldado con proyectos de alto impacto, en las agendas de los involucrados.

“Ni los operadores ni los bancos, salvo en países como Japón, tienen en su agenda el tema o urgencia por desarrollar proyectos de alto impacto y al-cance, para utilizar los teléfonos móviles como medio de pago o transaccio-nes electrónicas.”, comentó Ayuso.

El ejecutivo de Visa aseguró, que en países como México se estima que la penetración de la telefonía móvil rebase los 80 millones de usuarios para 2010, mientras que cifras de firmas consultoría como Gartner e IDC afir-man que en toda América Latina el número de celulares alcanza los 400 mi-llones de equipos.

Datos que son reflejo del respaldo y desarrollo de las tecnologías de di-nero móvil, que Visa busca promocionar entre las instituciones bancarias y actores del sistema financiero de México y Latinoamérica. Entre las que se encuentran los pagos móviles, transferencias vía celular y servicios de va-lor agregado.

“Existen casi tres veces más teléfonos móviles que tarjetas bancarias en el mundo y todos esos usuarios ya están conectados a una red de comuni-cación que puede ser aprovechada por los bancos. Los pagos electrónicos con el celular abren nuevas oportunidades de negocio y crecimiento para personas que, hasta ahora, han estado al margen de los servicio financie-ros”, explicó Tim Attinger, director global de productos de innovación y desarrollo de Visa.

En ese sentido, Attinger explicó que en México la existencia de servicios de transferencias bancarias vía celular podrían ser de gran impacto en el en-vío inmediato de los más de 25,000 millones de dólares en remesas, que

cada año los mexicanos inmigrantes mandan a sus familiares, sin necesidad de trasladarse al banco o anotar códigos y claves de verificación para el co-bro del efectivo.

Pero más allá de los pagos electrónicos con teléfonos móviles, los ejecu-tivos de Visa comentaron que la empresa también busca promocionar nue-vas tecnologías en los gobiernos, comercios y el internet de los países de América Latina.

Así, además de las tarjetas con chip, la firma busca introducir al país el desarrollo de servicios como las tarjetas de crédito y débito con tecnología de radio frecuencia (RFID, en inglés), mejor conocida como Contactless, las cuales capturan los datos transmitidos por el plástico de manera inalámbri-ca y en forma similar a la tecnología actualmente empleada en diversos sis-temas de transporte público en México y otros países de la región.

Con el nombre de Visa Paywave está tecnología promete agilizar los pa-gos electrónicos hasta 40%, al eliminar la necesidad de firmar el recibo de cobro en transacciones menores a los 25 dólares.

El comercio electrónico es otro de los campos en los que Visa planteó la posibilidad de recuperar su trono perdido ante plataformas en línea de pa-gos electrónicos como PayPal, un servicio propiedad de eBay que tan sólo el año pasado manejó un volumen de transacciones superior a los 2.3 mil mi-llones de dólares, de acuerdo a su reporte financiero de 2008.

Y si bien, los tres mil millones de dólares que PayPal manejó en 2008 no tienen comparación contra los 4.3 billones de dólares en volumen de transac-ciones que Visa operó el año pasado, Ayuso explicó que la empresa sí ha per-dido terreno en el campo del comercio electrónico contra otras compañías.

“Nos ha faltado mucha educación y acercamiento con los usuarios, que creyeron que servicios como PayPal eran mucho más seguros para las com-pras y transacciones en internet, cuando la realidad es que no es así”, dijo.

Para quitarse el mal sabor de boca Visa ha desarrollado Verified by Visa, un sistema que resguarda la integridad de los datos del usuario y promete mejorar la experiencia de compra a través de una interfaz mucho más ami-gable y sencilla de utilizar, aseguró Ayuso.

“El comercio electrónico todavía representa una mínima parte del Pro-ducto Interno Bruto en la gran mayoría de los países de América Latina y el mundo, sin embargo, de todos los segmentos de negocios es el que mayor crecimiento presenta año con año y su valor, sin duda seguirá aumentan-do”, afirmó el ejecutivo. ●

ACCESO POCOS VEN AL CELULAR COMO

MEDIO DE PAGO: VISA

A PESAR DE SUPERAR CASI TRES A UNO A LAS TARJETAS BANCARIAS, EL DESARROLLO DE

PROYECTOS PARA GENERAR PAGOS ELECTRÓNICOS A TRAVÉS DEL TELÉFONO CELULAR AÚN ES MÍNIMA EN

TODO EL PLANETA.



ESTRATEGIA DE SEGURIDAD UN ENFOQUE PRÁCTICO Y PRAGMÁTICOPor Adrián Palma

BUSINESS PEOPLEfor

Segunda de 2 partes

Uno de los errores más comunes dentro de las organiza-ciones en materia de seguridad de la información, es el ser reactivos, correctivos y netamente operativos. Esto, invariablemente conduce a desperdicios de recursos, es-fuerzos y pérdida de objetivos con trabajos subsecuen-

tes. En el mundo de hoy, donde los ajustes presupuestales están a la orden del día y las limitantes de tiempo son toda una realidad, es de suma importancia que los programas de seguridad de la información sean cuidadosamente pensados y orquestados para asegurar que se si-gue el camino más eficiente y efectivo y, en algunos casos el camino necesario para lograr los objetivos: Pero el problema se presenta al no

pensar y actuar desde un punto de vista estratégico. El pensar estratégi-camente tendría los siguientes beneficios:

USTED NO PUEDE ASEGURAR TODOLa primera tarea para realizar un enfoque pragmático para la seguri-dad de la información es que no podemos asegurar todo. Es mas, hoy, las empresas deben de hablar de cuál es el nivel de riesgo aceptable con el que pueden vivir dichas organizaciones, a mucha gente le son fami-liares los esquemas de controles de seguridad de la industria reconoci-dos como ISO 27002, el cual hace hincapié sobre un enfoque integral para la seguridad de la información. A pesar que estos estándares suenen

Primera de Tres Partes

demasiado teóricos, hay una brecha entre las implementaciones del mun-do real y los ideales establecidos por este estándar. La diferencia entre un novato y un experto de seguridad de la información, es que el último utili-za un filtro pragmático para extrapolar y enfocar sobre los componentes de este estándar, para alinearlos con las supuestas estrategias del negocio, las limitaciones de recursos y los diferentes contextos del Compliance. Se está prácticamente atacando la idea de construir un programa de seguridad de la información que intente hacer un poco de todo, pero que pierde el pun-to del manejo de riesgos de seguridad en el mundo real de lo que requiere el negocio o la institución.

La siguiente lista describe las cinco primeras razones del porqué el asegu-rar todo, no es una opción en el mundo real.

Razón 1. Todo se convierte en alta prioridad. Cuando todo es alta priori-dad, nada es de alta prioridad. La inhabilidad para priorizar conducirá al mal manejo de los recursos, hasta detener el progreso sobre el manejo de áreas de alto riesgo. Mientras se está tratando de tapar cada hueco en la in-fraestructura, el siguiente virus brota o se lleva acabo un incidente de robo de información, que golpeará la parte medular de su operación porque se estuvo muy ocupado identificando y dedicando recursos para remediar las vulnerabilidades “más críticas”, sin en realidad serlas.

Razón 2. Múltiples proyectos relacionados con seguridad. Para asegurar todo, usted necesitará empezar múltiples iniciativas de seguridad. Cada ini-ciativa tendrá la misma problemática de los recursos limitados. A menos que usted tenga acceso a un ilimitado grupo de talento, que pueda com-pletar iniciativas en un corto tiempo, nos encontraremos ante proyectos de seguridad de la información sepultados bajo un montón de iniciativas sin terminar, que ayudan muy poco para ampliar el alcance de seguridad den-tro y a través de la organización.

Razón 3. Costará mucho. No podemos asegurar todo porque simple y sencillamente esto es imposible, en la teoría básica de riesgos, no existe con-trol que mitigue las vulnerabilidades al 100% en cada área de seguridad. En una organización se podría gastar una fortuna en herramientas, dispositi-vos, proyectos y servicios profesionales y, estos tendrían que ser adheridos a costos de contratación de personal para el manejo y monitoreo de herra-mientas y dispositivos de seguridad establecidos en las áreas involucradas. Esto, sin tener un valor real, ya que tendríamos una organización totalmen-te inoperante y sin contar con las ventajas competitivas que nos brinda el uso de tecnología. También se dificultaría encontrar personal de experien-cia y calidad para contratar. La seguridad es un centro de costo en la mayo-ría de las organizaciones y muy constantemente se tiene que probar su valor real para justificar cualquier tipo de gasto o inversión.

Razón 4. La organización es un blanco en movimiento. Usted no puede asegurar todo, porque todo se encuentra en constante cambio. Los riesgos de seguridad, según el negocio, toman diferentes rumbos para ajustarse a la dinámica de la industria a la cual pertenece la organización. Se establecerán soluciones que se vuelvan anticuadas cuando el ambiente, que se está pro-


Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM así como de la maestría de seguridad de la información del CESNAV y la UPIICSA, Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. [email protected].

tegiendo cambia debido a que se implementa seguridad por el simple hecho de hacerlo; en muchas compañías esto parece ocurrir diariamente. Se tiene un problema muy fuerte en no entender que la seguridad es un proceso y, como tal debe de actualizarse, mantenerse y por supuesto mejorarse debido a los cambios constantes y nuevas amenazas que afectan a la seguridad.

Razón 5. Se promueve la mediocridad. Debido a los limitados presupues-tos los recursos no son suficientes y los famosos deadlines hacen que las im-plementaciones de seguridad sólo se vean desde la óptica técnica, más no de lo que realmente requiere la compañía, en cuestión de procesos y gente. El enfoque para cubrir cada área, por lo tanto, está dirigido a una cultura de mediocridad, en la cual los productos de seguridad no se sabe a ciencia cier-ta, si realmente son lo que necesita la organización y si lo fueran, no son lo suficientemente customizados y configurados a lo que se requiere por par-te de la empresa, ya que se implementan al científico método de la ensayo y error. Esto, hace que las implementaciones tecnológicas no cumplan con los requerimientos y necesidades de la firma.

¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?La mayoría de los libros de seguridad y los “best practices” le dirán que la seguridad de la información trata con la confidencialidad, integridad y dis-ponibilidad de los datos. No discutiremos con esta verdadera y probada doctrina, nuestro objetivo, es lograr un acercamiento al problema de seguri-dad desde un ángulo más pragmático. ¿Por qué esta su organización invir-tiendo tiempo y recursos en seguridad de la información? Esencialmente, la dirección reconoce que este es el costo de hacer negocios en un mundo al-tamente conectado y automatizado.

Lo ideal sería, que no con grandes inversiones fuese posible asegurar que los controles apropiados están en el lugar adecuado, para prevenir los inci-dentes mayores de seguridad y, de paso para cumplir con los marcos regula-torios aplicables a la empresa. A continuación, algunos de los objetivos que se deberían de tener en materia de seguridad:

efectividad y su eficacia.

negocio debido a incidentes de seguridad.

seguridad.

diversas áreas de seguridad de la información.

respectiva concientización.

(incluyendo personal y presupuesto).

En la siguiente entrega hablaremos de los filtros pragmáticos para una es-trategia pragmática y práctica de la seguridad. ●

Continuará…

Los algoritmos hash se utilizan para cuidar la integridad de un mensaje y/o archivo. Los algoritmos más utilizados eran MD5 y SHA-1. Sin embargo a partir del 2004 se empezaron a encontrar

vulnerabilidades en los dos algoritmos, así como colisiones. Lo ante-rior pone en peligro las aplicaciones que se basan en estos algoritmos, como firma digital, verificación de integridad de archivos, certificados digitales y otros. En reacción a lo anterior se decidió definir un nuevo algoritmo de hash.

El NIST publicó un draft sobre los requerimientos de evaluación y criterios de SHA-3, los cuales fueron actualizados posteriormente ba-sados en la retroalimentación de todo el público. La fecha límite para entregar propuestas fue el 31 de octubre del 2008. Se recibieron 64 pro-puestas, que representan una gran diferencia con respecto a las 21 que recibieron para la elección del algoritmo, que es la base del nuevo es-tándar de cifrado AES.

De acuerdo al draft publicado en enero del 2007 y actualizado en no-viembre del mismo año, la propuesta debe incluir una explicación del algoritmo así como una referencia a una implementación en lengua-je C y a una implementación optimizada. El algoritmo se dará a cono-cer a todo el mundo, sin restricción alguna y debe ser de distribución libre. Este debe poder implementarse en un amplio rango de platafor-mas hardware y software. Por otro lado, debe soportar huellas digita-les de 224, 256, 384 y 512 bits, y debe soportar una longitud máxima de mensaje de al menos 264 - 1 bits.

Los criterios de evaluación incluyen seguridad, costos y característi-cas de implantación. Entre los criterios de seguridad se considera segu-ridad dentro de aplicaciones, específicamente cuando son usados para soportar HMAC, funciones pseudo aleatorias y hashing aleatorio. El al-goritmo en sí debe mostrar resistencia a colisiones, no ser vulnerable a ataques de preimagenes de aproximadamente n bits, resistente a ata-ques de preimagenes secundarias de aproximadamente n-k bits para cualquier mensaje menor a 2k bits, y mostrar fortaleza frente a ataques de extensión larga. Con respecto al costo, se pone atención a la eficien-cia computacional y requerimientos de memoria. La flexibilidad y sim-plicidad son las características de implementación a considerar en la evaluación de la propuesta.

HMAC (Hash MAC) se refiere al cálculo de un MAC (Message Au-thentication Code) usando una función hash. Por otro lado, el hashing aleatorio consiste en un modo de operación aleatoria para funciones hash. Puede ser usado con cualquier función hash llevando a cabo una suma modulo 2 de datos aleatorios con la entrada.

El ataque de colisión consiste en encontrar dos mensajes diferentes m

1 y m

2, cuyo hash sea el mismo: hash(m

1) = hash(m

2). En un ataque

de preimagen, dado un hash h, el adversario debe encontrar un men-saje m tal que h = hash(m). Por otro lado, en un ataque de preimagen

secundaria, dado un mensaje m1 el adversario debe encontrar un men-

saje m2 (diferente a m

1) tal que su hash sea el mismo: h(m

1) = h(m

2). En

un ataque de extensión de la longitud, dados h(m) y len(m) pero no m, eligiendo un m’ adecuado, el atacante puede calcular h(m||m’), donde || significa una concatenación. Esto último se puede usar para romper al-gunos sistemas de autenticación basados en funciones hash.

Antes de la primera ronda se eliminaron 15 propuestas ya que se consideraron rotas o fueron retiradas por sus diseñadores. En la primera ronda fueron eliminadas otras 27 propuestas y en la segunda ronda 22 más. Los algoritmos que pasaron a la siguiente etapa son BLAKE, Blue Midnight Wish, CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD, y Skein.

Una de las sorpresas fue el hecho de que el algoritmo MD6 no pasara a la siguiente etapa. El autor, Ron Rivest, envió un correo al comité del NIST indicando que el algoritmo no estaba listo para la siguiente ron-da. Aparentemente el problema es, que para que el algoritmo cumpla con los requerimientos de desempeño es necesario reducir el número de iteraciones en unas 40 o 30, lo que provocaría una reducción de ata-ques de diferencia.

A excepción de Ron Rivest y MD6, entre los semifinalistas se en-cuentran propuestas realizadas por las mismas personas cuyos algo-ritmos fueron finalistas en AES. Uno de los autores de Grøstl es Lars R. Kundsen, quien fue parte del equipo que diseño Serpent. Fugue fue propuesto por IBM, que concibió Mars. Skein fue presentado por el grupo de Bruce Schneider, que es el mismo que creó Twofish. Por últi-mo, dentro de la gente que diseñó Keccak se encuentra Joan Daemen coautor del algoritmo Rijndael que fue seleccionado como el nuevo es-tándar de cifrado AES.

Como parte del proceso de selección y evaluación, se les permite a los autores de las propuestas el realizar ajustes a sus algoritmos que pa-saron a la segunda ronda. Todas las propuestas e implementaciones se encuentran disponibles para todo el mundo. El NIST llevará a cabo sus propias pruebas, pero nada impide al resto de la comunidad el hacer las suyas propias e informar lo encontrado.

El NIST ( National Instute of Standards and Technology) no es una or-ganización internacional como la OSI. Es el encargado de definir están-dares para su uso federal, en este caso el departamento de Comercio, en Estados Unidos. Sin embargo, sus estándares son adoptados rápida-mente por otros países y organizaciones.

De acuerdo al calendario del NIST el grupo finalista será elegido para el 2010 y el algoritmo ganador será anunciado en el 2012. Aún fal-ta tiempo para la decisión final pero debemos estar preparados para el anuncio y las repercusiones que éste tendrá. Por el momento, es impor-tante recordar que tanto MD5 como SHA-1 son vulnerables y no deben ser usados. En su lugar se recomienda usar SHA-2. ●


HASH SHA-3 DEFINE SUS REGLAS DE PRESENTACIÓNPor Roberto Gómez Cárdenas

ÁREARESTRINGIDA


Cloud Computing es un término que últimamente está de moda, pero que pocos conocen lo que realmente es.

Mi mejor amigo trabaja como editor de deportes de un portal muy conocido en México. A pesar de que no es una persona que haya estudiado sistemas, siempre busca estar a la vanguardia o por lo menos, me pregunta mucho acerca de tecnología. Todos los martes (cuando me encuentro en México) tratamos de salir a probar nuevas taquerías y platicar.

Hace unos días, platicábamos acerca de GoogleDocs y Micro-soft Office Live, herramientas que he estado probando y usando. Pocas personas conocen lo que realmente son y cómo funcionan, pero son cada vez más quienes las ocupan.

Mientras cenábamos unos tacos de bistec, tocino y queso; me tomé la libertad de preguntarle lo que él entendía por Cloud Com-puting. Después de levantar la mirada y quedarse mudo por un par de segundos, me respondió: “Es lo que te permite traba-jar con varias herra-mientas de Internet; poder acceder a dife-rentes portales y ocu-par lo que cada uno ofrece”.

La respuesta me persiguió varios días, por lo que acudí a varias per-sonas, quienes normalmente con una sonrisa me dijeron: “¿Cloud Compu-ting?, ¿tiene que ver con algo como pro-gramación?, ¿lluvia de ideas?, ¡es un antivirus!”.

En un diagrama de red representamos el Internet como una nube, que esconde configuraciones esotéricas o la transferencia de información por diferentes medios de comunicación. En pocas palabras, esa gran nube (normalmente dibujada con trazos aleato-rios) está ahí, pero no queremos entrar a ver cómo está hecha.

En esos momentos estaba sorprendido por lo que los usuarios de esta tecnología tenían en mente: Mientras mi PC funcione y mi in-formación esté ahí, no me importa qué o cómo funciona la tecnolo-gía; algo que posiblemente usted haya escuchado muchas veces.

Reflexioné sobre lo que sucedía y me di cuenta de lo difícil que significa para una persona entender las dificultades o retos que exis-ten en este medio, en cuestión de las custodias de la información, los derechos y obligaciones que adquieren al poner datos en algún lado.

En una entrega anterior, pudimos constatar que a las personas se les olvida lo que es información privada, personal y confidencial

y dan por hecho que el Internet es un sitio lleno de amigos.Un usuario, simplemente entiende que su información quizá

está en un servidor en Internet, no le importa en qué país o quién tenga acceso; sólo que está en Internet y disponible cuando lo necesite.

Pero imagine que usted necesita realizar un respaldo de la in-formación contenida en GoogleDocs. Si tuviera su propio servidor, podría hacerlo sin problemas; pero al ser equipos propiedad de un tercero en Estados Unidos, ¿cómo le haría?

Esto se empieza a complicar cuando hay una fuga de informa-ción o cuando es necesario hacer una investigación de la informa-ción que se encuentra “en la nube”.

Aunque Google tiene servidores en todo el mundo, sincronizan-do su información para que siempre se encuentre disponible; la

empresa se rige por las leyes estaduni-denses.

Una de esas leyes, el ECPA (Electronic Communications Privacy Act), pro-tege a los usuarios de que se divulgue el contenido den-tro de un sistema, a

menos de que se tenga una orden judicial o que el mismo usuario dé su consentimiento por escrito; lo

cual hace sumamente difícil el poder realizar una investigación.

Sin entrar en más detalles creo, que como en muchas otras ocasiones, seguimos sin entender la tec-nología. Esta claro que no todos podemos estar a la vanguardia y aprender a fondo cada una de ellas, pero tampoco ponemos aten-ción a los temas legales que pueden estar vinculados a las deci-siones de poner nuestra información y la de la organización en “la nube”.

No voy a definir qué es Cloud Computing, para que usted se dé el tiempo de crear su propio concepto o, para buscarlo en Wikipedia. Pero sin buscarlo en “San Google”; usted qué me respondería: ¿Qué es Cloud Computing? ¿Cómo ayuda a su organización? ¿Existe un riesgo de permitirlo o usarlo dentro de su organización? ●

¿CLOUD COMPUTING?OPINIÓN´

Por Andrés Velázquez

Andrés Velázquez es un mexicano especialista en delitos informá-ticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las cer-tificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. [email protected] Síguelo en Twitter: http://twitter.com/cibercrimen

La respuesta me persiguió varios días, por lo que acudí a varias per-sonas, quienes normalmente con una sonrisa me dijeron: “¿Cloud Compu-

menos de que se tenga una orden judicial o que el mismo usuario dé su consentimiento por escrito; lo

cual hace sumamente difícil el poder realizar una investigación.

SINNÚMERO

Para quienes dudan que el cibercrimen y los códigos maliciosos son una

simple artimaña para que los empleados de las firmas de seguridad

sigan cobrando sus cheques quincenales, basta con revisar las últimas

cifras de la proliferación de los riesgos y vulnerabilidades en Internet.

De acuerdo al último reporte de Websense sobre el estado de la red,

durante 2009 el número de sitios web con contenido malicioso se

incrementaron 671%, al compararse con 2008.


BIENVENIDOS; A LA ¿WORLD WIDE MALWARE?

En la primera mitad de 2009 los sitios maliciosos se incrementaron 233%

de las páginas en Internet con códigos maliciosos son sitios legítimos, que han sido vulnerados.

Websense detectó que 95% de los comentarios en blog, servicios de mensajería instantánea o plataformas de la Web 2.0, son spam o ligas con códigos maliciosos.

de las páginas web con contenidos para adultos, apuestas, drogas o alcohol contienen una o más ligas con malware oculto.

De todos los ataques en la red, utilizan códigos maliciosos que buscan robar información o datos personales de los usuarios.

ataques, enfocados al robo de datos son perpetrados en la Web.

De todos los correos electrónicos que circulan por Internet 85.5% contiene ligas o enlaces a sitios vulnerados con spam o malware.

bSecure

Documents

Transcript of bSecure