bSecure — Marzo 2010

EMPOWERING BUSINESS CONTINUITYEMPOWERING BUSINESS CONTINUITYMarzo-abril 2010 · 61 · www.bsecure.com.mx

$80.

00 M

.N.

El cloud computing se ha convertido en una de las tendencias más atractivas dentro del mundo de la tecnología. Pero las

promesas de ahorro, flexibilidad e innovación detrás de éste podrían verse frenadas por un tema de privacidad y seguridad

de los datos de las empresas que rentan estos servicios

A LASALTEy no olvide su paracaídasNUBE

eMediaRedes SocialesWebcastPodcastBlogsRevistas DigitaleseNewsletter

eMedia Redes Sociales Webcast Podcast Blogs Revistas Digitales eNewsletterRevistas Digitales

Líder enCustom New eMedia

SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTÁCTENOSwww.netmedia.info

t. 2629 7260 ext. 1125

MAR-ABR2010ACCESO

MÉXICO ES EL SEGUNDO HOGAR DE LA BOTNET ZEUS El troyano Zeus ya logró infectar más de 75,000 computadoras en todo el mundo, 15% de éstas únicamente en México

EL CIBERCRIMEN, UNA INDUSTRIA DE 1,000 BILLONES DE DÓLARESEl robo de información confidencial de empresas e individuos, el secuestro de computadoras y venta de malware hizo del cibercrimen una industria con un valor de más de 1,000 billones.

B:SECURE FOR BUSINESS PEOPLE

LA FUNCIÓN DE SEGURIDAD EL PRIMER PASO A SEGUIREl enfoque tradicional del área de Seguridad de la Información es su dependencia del área de operación de la infraestructura y procesamiento de la información. En este contexto representa un reto y FACTOR CRÍTICO la implementación de la función de seguridad, bajo una estructura independiente, sólida y flexible soportada por la Alta Dirección de la organización.

OPINIÓN

TESTIGO FORTUITOEn este mundo de tecnologías convergentes, en donde la tendencia hacia el desarrollo de aplicaciones se ha visto marcada por la construcción de programas web (cliente-servidor). Es inminente la necesidad de hacer conciencia sobre la cantidad de información que un navegador web (explorador de internet) puede almacenar.

CLOUDY WITH A CHANCE OF RISKS…El cómputo en la nube se ha convertido en los últimos meses en un hot topic para las áreas de IT de las organizaciones, quienes ya se encuentran evaluando la posibilidad de llevar servicios de IT hacia la nube y en algunos casos ya están utilizando servicios en ella.

AUDITORIA EXTREMA

¿Y A LOS USUARIOS QUIÉN LOS CERTIFICA?Los administradores de seguridad ya se están certificando, lo mismo que los equipos que integran la infraestructura de las organizaciones, pero falta un punto muy importante en esto de asegurar la capacidad de resguardo de las piezas involucradas en una estrategia de seguridad: los usuarios.

10SALTE A LA NUBE…Y NO OLVIDE SU PARACAÍDASEl cloud computing se ha convertido en una de las tendencias más atractivas dentro del mundo de la tecnología. Pero las promesas de ahorro, flexibilidad e innovación detrás de este fenómeno podrían verse frenadas por la privacidad y seguridad de los datos de quienes rentan estos servicios.

04 LOGIN 24 SINNÚMERO

Más que enfocarse en vulnerar sistemas electrónicos endebles de las Peque-ñas y Medianas Empresas (PyME) o los usuarios finales, los cibercriminales han encontrado en las infraestructuras críticas y de alto nivel de compañías petroleras, farmacéuticas, financieras y organismos de gobierno a su prin-cipal blanco de ataque y fuente de robo de información, de acuerdo a un reporte de seguridad.

Según datos publicados en el reporte Annual Global Threat Report 2009 de ScanSafe, una firma que Cisco adquirió a finales de 2009, infra-estructuras de alto nivel como las compañías de energía y petroleras, farmacéuticas y el sector financiero sufrieron el doble de ataques Web durante 2009, en comparación con el resto de los sectores industriales.

“Durante más de dos años el re-porte anual de ScanSafe ha mostra-do una tendencia clara; donde las compañías provenientes de vertica-les o sectores altamente sensibles al robo de información experimentan un prome-dio mucho más elevado de ataques de códigos maliciosos web”, cita el reporte de la compañía.

Así, por ejemplo, empresas del sector energético y petrolero enfrentaron 3.5 veces más ataques o intentos de robo de información en 2009 contra los que tuvieron que lidiar durante 2008.

Del mismo modo, empresas de los sectores farmacéuticos y químicos fueron víctimas de 3.2 más ataques de códigos maliciosos a lo largo de los últimos 12 meses.

En porcentajes el reporte de ScanSafe explica que los ataques derivados de los denominados troyanos de robo de datos creció 356% en el sector energé-tico y de petróleo, 322% para las empresas Químicas y Farmacéuticas, 252% para las instituciones de gobierno y 204% para el sector financiero.

El reporte, que recopiló los datos del análisis de más un billón de pe-ticiones web procedas por ScanSafe durante 2009, también advierte sobre un crecimiento exponencial en el número de sitios compro-metidos y en el desarrollo de los troyanos de robo de datos.

“Los ataques basados en malware web mantiene un creci-miento importante. En mayo de 2007 el promedio de sitios

comprometidos a los que se enfrentaba un usuario era de 77, para mayo de 2009 la cifra ascendió

a 1024. En el caso de ataques directos por clien-te de troyanos de robo de información se incremen-

tó de cero en 2007 a más de 307 para 2009”, cita el texto de ScanSafe.

El crecimiento en este tipo de troyanos mencionaron los expertos de la firma son reflejo del número de capacidades que les ofrece a los atacantes este tipo de malware para manejar o administrar la información sustraída del usuario infectado.

El incremento de ataques a los sitios e infraestructuras de gobierno mar-cados en el análisis de ScanSafe son reflejo del reciente ataque, generado supuestamente desde el gobierno chino que sufrieron casi 30 compañías estadunidenses entre las destacaban Google y Adobe para vulnerar sus sis-temas, instalar malware y robar o espiar su información, ataque denomina-do a nivel global como Operación Aurora.

INFRAESTRUCTURAS PETROLERAS, FARMACÉUTICAS Y DE GOBIERNO BLANCOS PRINCIPALES DE LOS CIBERCRIMINALES

LOGINLOGIN

4 B:SECURE Marzo-Abril, 2010

Una de las principales amenazas en el mundo del cómputo, los rootkits, colocan su mirada en los campos de la telefonía móvil, uno donde su im-pacto y riesgo podría ir mucho más allá del simple robo de datos, asegu-raron expertos.

El crecimiento de las plataformas móviles, como los teléfonos inteligen-tes, en todo el orbe ha puesto sobre la mesa la necesidad por desarrollar mejores técnicas de detección para limitar el impacto de programas espías como los rootkits, explicaron Liviu Iftode y Vinod Ganapathy, profe-sores de ciencias en computación de la Universidad Rutgers en New Brunswick, Nueva Jersey

A través de un estudio divulgado por la Universidad titulado Rootkits on Smart Phones: Attacks and Implications los inves-tigadores comentaron que los celulares se han convertido en presas fáciles para este tipo de códigos maliciosos, de la misma forma que su contraparte las computadoras.

Los rootkits se consideran una peligrosa clase de malware, que tienen la habilidad de permanecer en el sistema operativo durante largos periodos y completamente inadvertidos a la ma-yoría de las soluciones de seguridad, mencionó Ganapathy

Una vez dentro del núcleo del sistema afectan el funcionamien-

to de la máquina y actúan como puerta de entrada para otro tipo de códi-gos maliciosos.

El riesgo, dijo Iftode, es que el impacto de los rootkits en los teléfo-nos celulares va mas allá del simple robo de información, pues el atacan-te eventualmente podría interceptar y redirigir llamadas, reducir la vida de la batería del dispositivo e identificar la localización del usuario por me-dio del GPS.

“Estos son sólo algunos ejemplos de los posibles ataques,” dijo Ga-napathy. “Está en la creatividad del atacante crear nuevas formas

para aprovecharse de la interfaz de los teléfonos inteligentes.”Los expertos también mencionaron que la localización de

los rootkits dentro de los dispositivos móviles es mucho más compleja que en las computadoras, dado que los mé-todos de detección no aplican para la misma plataforma.

Actualmente los profesores se encuentran investigan-do soluciones potenciales para contrarrestar estas ame-nazas y evitar su posible propagación.

Sin embargo, confesaron que el desarrollo y presen-tación de un resultado eficaz contra este tipo de ma-lware todavía podría tardar varios años.

LOS ROOTKITS EN EQUIPOS MÓVILES, UNA AMENAZA LATENTE

Ante el avance y mejora de las soluciones de seguridad el número de vulnerabilidades han comenzado a dis-minuir. Sin embargo, ahora el blanco débil está en la cantidad de ataques registrados a diario y el crecimien-to exponencial de los sitios con malware.

El reporte X-Force Trend and Risk Report reali-zado por la división de seguridad de IBM, explica que el número de vulnerabilidades en aplicaciones, sistemas y servicios Web se redujo de manera nota-ble en 2009, sin embargo, el número de sitios ma-liciosos creció 345%, al compararse con las cifras de 2008.

Según los datos del reporte, el año pasado se re-gistraron un total de 6.601 nuevas amenazas detecta-das, lo cual significa 11% menos que en 2008, también se registró una disminución de las vulnerabilidades en exploradores Web, tipo Firefox, Internet Explorer y Safari sin parches de seguridad.

El reporte arrojó que la cantidad de peligros ciber-néticos críticos se ha visto reducido comparado con años anteriores. Reflejo, según el estudio, de que los distribuidores de software de seguridad se han vuelto más responsables con el tema de amenazas en la red.

“La industria de la computa-ción está mejorando cada vez más, al desarrollar software de seguridad y responder a las constantes vulnerabilidades,” dijo Tom Cross gerente de In-

vestigación IBM X-Force en el reporte. “Sin embargo, las actividades en los ataques se están expandiendo a un ritmo acelerado.”

Por ejemplo, el número de sitios maliciosos creció 345% en 2009, comparado contra 2008 según el re-porte. Así, como los volúmenes de spam y phishing que registraron su mayor aumento en la segunda mi-tad del año.

De acuerdo con el reporte, los ataques con phishing disminuyeron dramáticamente a principios del 2009, pero retomaron sus niveles para el tercer cuarto del año. En septiembre pasado estos niveles incluso sobre-pasaron los registrados durante los 12 meses de 2008.

Y aunque los desarrolladores de las aplicaciones y servicios web han realizado un buen trabajo en cubrir la mayoría de las vulnerabilidades con parches de se-guridad, el principal problema se encuentran en los plug-ins, que corren dentro de estas, pues sus creado-res no liberan actualizaciones de seguridad tan perió-

dicamente.Los principales tipos de vulnerabilidades

que afectaron las aplicaciones web duran-te 2009 fueron aquellas utilizando cross-site scripting (XSS), que también contenían in-

yecciones SQL, cita el análisis de IBM. “Si aún no ha buscado eliminar vulnerabili-

dades de inyecciones SQL de su red defini-tivamente están siendo un blanco para

cualquier ataque,” mencionó Cross. “No hay duda alguna de eso.”

Luego de ser demandado por Xerox y Apple el puntocom californiano Google volvió a los pro-blemas legales al ser demandado en Rhode Is-land, Estados Unidos, por la supuesta violación a las leyes de privacidad y protección de la infor-mación con su nuevo servicio Buzz, una platafor-ma que combina su servicio de correo electrónico Gmail dentro de un ambiente de redes sociales.

“Google intencionalmente ha excedido su auto-rización para acceder y controlar in-formación privada y confidencial” indicó el demandante Andranik Souvalianre. Su abogado, Peter N. Wasyly prefirió no hacer declaración alguna acerca del daño hecho a su cliente.

La demanda indica que “Go-ogle, a través de su herramienta de redes sociales Buzz, ha revelado ilegalmente las comunicaciones privadas de sus clientes y regis-tros. Esto, como resultado de la importancia auto-mática y sin permiso que hace Buzz de la lista de contactos de Gmail.”

Ésta no es la primera vez que Google presen-

ta problemas con este servicio, anteriormente la compañía se vio obligada a modificar, mejorar y ajustar los controles de privacidad de su red so-cial después de innumerables quejas por parte de los usuarios.

Unos días después del lanzamiento de Buzz el Centro de Privacidad de la Información Electróni-ca (EPIC, por sus siglas en inglés) en Canadá do-cumentó una queja contra Google Buzz, con los mismos señalamientos que los de la Comisión Fe-deral de Comercio de Estados Unidos. Sin embar-

go, el aviso de EPIC carece de efecto alguno contra la empresa al ser de ca-

rácter foráneo. Aun así, un día

antes de que la de-manda fuera im-

puesta por Souvalianre, EPIC hizo una enmienda en su queja contra Google ante la Comisión en donde argumenta que Goo-gle violó sus políticas de privacidad de Gmail, al usar la lista de contactos de sus usuarios e infor-mación relacionada de Gmail en un servicio dis-tinto, Buzz.

DEMANDAN A GOOGLE POR PRESUNTAS VIOLACIONES A LA PRIVACIDAD

Marzo-Abril, 2010 B:SECURE 5

MENOS VULNERABILIDADES EN 2009, PERO 345% MÁS SITIOS MALICIOSOS Kaspersky lanza Mobile

Security 9 una solución de

seguridad para dispositivos

móviles, la cual incluye

herramientas para

salvaguardar la información

privada y contactos

personales en el teléfono,

entre las que destacan

protección en llamadas

y textos SMS enviados

y recibidos, encripción

avanzada de documentos

y correos electrónicos

en el equipo, y bloqueo

y borrado remoto de los

datos del equipo en caso

de pérdida o extravío. La

solución actualmente corre

únicamente bajo ambientes

Windows Mobile y Symbian.

SonicWall anunció la

salida de Virtual Appliance

Global Management System

y el ViewPoint Virtual

Appliance para finales del

primer trimestre de 2010.

Estos dispositivos virtuales

están enfocados para

trabajar en los ambientes

del cómputo en la nube y

ofrecen a las empresas una

mayor flexibilidad, al mismo

tiempo que mejoran la

protección y productividad

de sus redes corporativas.

Symantec liberó la nueva

versión de Brightmail

Gateway 9.0 para pequeñas

y medianas empresas, una

solución de seguridad para

correo electrónico. La nueva

versión de Brightmail incluye

protección en tiempo real a

través de actualizaciones,

control integrado de los

mensajes electrónicos

y encripción de datos.

El programa saldrá en la

temporada de primavera de

2010.

BREVES


ENLÍNEAGUSANO SE DISTRIBUYE CON CORREOS FALSOS DE TWITTER, GOOGLE Y HI5Un reporte de la firma de seguridad española Panda advirtió sobre un nuevo gusano denominado Spybot.AKB, el cual se propa-ga a través de redes de transmisión de datos Peer to Peer (P2P) y mediante mensajes falsos de algunos de los servicios web y re-des sociales más populares.

El malware, que ha sido denominado como gusano 2.0, se esconde dentro de correos electrónicos que aparentan provenir de sitios web como Google, Twitter, Amazon, Hallmark y Hi5, pero que en realidad contienen al código malicioso.

Estrategia que demuestra el impacto que tienen las plataformas de la llamada web 2.0 y, en particular, el fenómeno de las re-des sociales entre los internautas del siglo XXI.

Cabe recordar, que hace un par de semanas, al cumplir seis años de vida, Facebook rebasó la cifra de los 400 millones de usuarios registrados en todo el mundo. Mientras que Twitter, si bien nunca ha revelado datos concretos del número de usuarios en la plataforma, firmas como ComScore estiman que en agosto 2009 recibió más de 55 millones de visitas únicas al mes.

Así, a través de peticiones falsas de amistad o seguidores en Hi5 y Twitter, supuestos cambios en la orden de compra del in-ternauta de Amazon, tarjetas electrónicas o avisos de Google, el gusano Spybot.AKB, engaña al usuario a abrir el contenido del correo electrónico.

“Una vez instalado en la computadora, al momento de que el usuario intenta realizar búsquedas con las palabras claves, es re-dirigido a contenido totalmente diferente del esperado”, cita el reporte de Panda Labs.

DETECTAN QUE SPAMMERS USARON GOOGLE BUZZTal y como habían anticipado investigadores de seguridad, Google Buzz fue utilizado por spammers, fue confirmada a solo unos días de su lanzamiento.

Mientras algunos investigadores observaron las posibilidades de que la nueva red social de Google pudiera ser explotada para el envío de mensajes no deseados, los spammers materializaban ya estos temores.

La firma de seguridad Websense dio a conocer que, a la fecha del reporte, el spammer que había difundido mensajes sobre el hábito de fumar, ya se encontraba siguiendo a más de 200 usuarios.

El mensaje envíaba a los curiosos a un sitio Web hospedado en un servicio gratuito de Internet que proporciona información sobre cómo dejar el hábito del cigarro.

“Con todo el ruido de esta semana sobre Google Buzz, nosotros esperábamos que se registrara actividad maliciosa en el servi-cio recién lanzado. No esperábamos que fuera tan rápido”, de acuerdo con la alerta de la compañía.

Mónica Mistretta DIRECTORA GENERAL

Elba de MoránDIRECTORA COMERCIAL

Gabriela Pérez SabatéDIRECTORA DE

PROYECTOS ESPECIALES

Alejandro CárdenasDIRECTOR DE ARTE

Iaacov ContrerasCIRCULACIÓN Y SISTEMAS

Gabriela BernalDIRECTORA

ADMINISTRATIVA

José Luis CaballeroASESORÍA LEGAL

EDITORCarlos Fernández de Lara

CONSEJO EDITORIALRafael García, Joel Gómez,

Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma,

Luis Javier Pérez, Salomón Rico, Héctor Méndez, Jorge Varela, Andrés Velázquez,

Gilberto Vicente, Lizeztte Pérez, Raúl Gómez.

COLUMNISTASAdrián PalmaJoel Gómez,

Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña,

Andrés Velázquez, Elihú Hernández

EDITOR ON LINEEfraín Ocampo

WEB MASTERAlejandra Palancares

DISEÑOPablo Rozenberg

ASISTENTES DEREDACCIÓN

Gabriela Rivera, César Nieto, Oscar Nieto

VENTAS Y PUBLICIDADMorayma Alvarado, Carmen Fernández, Cristina Escobar

SUSCRIPCIONESSonco-Sua Castellanos, Diana

Zdeinert

b:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

TEMA LIBREEfraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

AUNQUE ME CORRANCarlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Estos y otros artículos en www.bsecure.com.mx

BSECURE.COM.MX


De acuerdo con el Grupo de Delitos Telemáticos de la Guardia Española, Mariposa podría ser una de las redes de computado-ras zombí más grande que se haya detectado y desmantelado

hasta el momento.El ensamble de la botnet fue gracias a un troyano comprado en el

mercado de malware, cuya distribución permitió el control de las com-putadoras ‘secuestradas’. Según las investigaciones, Mariposa apareció en Diciembre de 2008 alcanzando en tan sólo un año altas tasas de in-fección. La proliferación del virus utilizó una vulnerabilidad en el na-vegador de Internet Explorer de Microsoft y otras puertas de entrada como MSN Messenger y unidades de almacenamiento (USB).

Los ciberdelincuentes se hicieron de un cúmulo de información personal, así como contraseñas y datos financieros a través de PC zombis, para luego vender los datos confidenciales a terceros.

Después de su descubrimiento en mayo del año pasado, se formó un grupo de trabajo integrado por Panda Security, el Grupo de Delitos Telemáticos de la Guardia Civil y técnicos de Defence Intelligence, de manera paralela a las investigaciones que el FBI de Es-tados Unidos comenzó a realizar.

Dichos investigadores localizaron a un grupo conocido como “DDP Team” (Días de Pesadillas Team), el cual fue responsable de comprar el troyano para después controlarlo y distribuirlo.

El pasado 23 de diciembre se logró bloquear a nivel internacional la botnet e identificar al responsable del grupo. Gracias a un error come-tido por parte de uno de los integrantes, se logró la detección de tres de ellos, comunicaron las autoridades españolas.

El máximo responsable de la red Netkairo o Hamlet1917 de 31 años de edad, fue detenido el 3 de febrero, en Balmaseda, España. Johny Lo-leante de 30 años residía en Molina de Segura, en Murcia, España. Fi-nalmente, Ostiator de 25 años de Santiago de Compostela, también en la península ibérica. Ya han sido puestos a disposición judicial y se en-frentan a penas de hasta seis años de prisión. ●

ACCESOCAE “MARIPOSA”

UNA BOTNET QUE CONTROLABA 13 MILLONES DE PC

Mariposa, una botnet que había conseguido controlar a 13 millones de computadoras

en más de 190 países y tenía en su poder la información de 80,000 personas en todo el

mundo, incluyendo 40 de los mayores bancos internacionales, fue desmantelada por la

Guardia Civil Española.

LA INFORMACIÓN OBTENIDA POR MARIPOSA INCLUÍA DATOS DE NÚMEROS DE TARJETAS DE

CRÉDITO, NOMBRES DE USUARIOS Y CONTRASEÑAS DE ACCESO A SERVICIOS FINANCIEROS.


La firma de seguridad NetWitness descubrió que Egipto y México son los dos países en el mundo que aglutinan más computadoras in-fectadas con el troyano/botnet Zeus, al acaparar 6,903 y 5,385 bots

respectivamente, de los más de 75,000 equipos de cómputo que ya logró infectar este código malicioso en todo el orbe.

Las decenas de miles de equipos infectados están dentro de más de 2,800 organizaciones de todo el mundo, lo cual ubica a Zeus como una de las principales amenazas que rondan actualmente la red, según el aná-lisis de NetWitness.

El reporte de la compañía The Kneber Botnet menciona que durante un análisis rutinario de seguridad en la red de un cliente de NetWitness, a finales de enero de 2010, expertos de la compañía encontraron más de 75 GB de información robada.

Los datos, que habían sido sustraídos de todo el planeta, eran producto de un código malicioso llamado Zeus dedicado al contrabando y distribución de información mediante el uso de una botnet bautizada como Kneber, la cual ya tenía comprometidos más de 75,000 equipos en 196 países en total.

De acuerdo al reporte de la firma de seguridad IT Egipto y México son los países con el mayor número de usuarios infectados por Zeus, con ran-gos de infección de 19 y 15%, respectivamente.

Les siguen países como Arabia Saudita con 4,684 PC infectadas; Tur-quía con 4,338 y Estados Unidos con 4,071.

“En su núcleo Zeus es un sistema de botnet diseñado para robar in-formación del usuario infectado. Sin embargo, a diferencia del resto de los troyanos de este tipo, Zeus tiene capacidades únicas que le permiten al atacante obtener información específica de su víctima”, cita el repor-te de la compañía.

Así, este troyano tiene la posibilidad de recopilar, analizar y utilizar los datos de sitios web donde los internautas ingresan archivos sensibles y confidenciales, como bancos o comercios electrónicos, mismos que pue-de utilizar para generar ventanas falsas y cometer fraudes de phishing.

Además, Zeus también tiene la posibilidad de añadir o ejecutar venta-nas emergentes que aparentan ser del mismo sitio, pidiendo información adicional del usuario para el robo de identidades.

Los expertos de NetWitness mencionan que este malware tiene un alto nivel de infección, pues únicamente 1 de cada diez sistemas detección y soluciones de seguridad fueron capaces de descubrir y frenar al códi-go malicioso

Dentro de la información analizada por NetWitness se detectó que este troyano ya ha comprometido más de 68,000 registros de sitios web y redes sociales. Por ejemplo, ya posee las claves de acceso de más 3,500 registros de Yahoo! y Hi5, y más de 2,500 accesos ya fue-ron comprometidos, muy probablemente sin que sus dueños estén conscientes.

El estudio también revela que el malware tiene un enfoque de ataque hacia Agencias e instituciones de gobierno federales, estatales y locales, instituciones financieras, compañías energéticas, proveedores de internet (ISP, en inglés), organizaciones educativas y empresas de tecnología.

Cabe recordar que un reporte de ScanSafe demostró que el número de ataques enfocados hacia estos tipos de infraestructuras crecieron has-ta 300% durante 2009, principalmente por el valor de la información que albergan.

De las casi 3,000 compañías infectadas en 196 países, 374 son estadu-nidenses y 2,411 son de carácter global.

A pesar del nivel de infección en países como México y Egipto el robo de información bancaria de Zeus parece no afectar hasta este mo-mento a los usuarios de la banca en línea o comercio electrónico de es-tas naciones.

Toda vez que de los sitios web de servicios financieros, banca en línea y comercio electrónico analizados ninguno pertenece a una institución mexicana. Sin embargo, sí es posible encontrar nombres de empresas como PayPal, WellsFargo, eBay y Citibank.

“En un ambiente donde comprometer un solo sistema es la llave para acceder a una gran cantidad de información sensible, los profesionales de la seguridad no pueden desperdiciar un momento al categorizar las ame-nazas bajo un solo rango, como sí lo hacen los vendedores de soluciones de seguridad al valorar a Zeus como un simple Troyano de Banco o de robo de datos”, cita el texto de NetWitness. ●

ACCESO

MÉXICO ES EL SEGUNDO PAÍS CON MÁS PC COMPROMETIDAS POR BOTNET

El troyano Zeus ya logró infectar más de 75,000 computadoras en todo

el mundo, 15% de éstas únicamente en México. Sus características para sustraer información lo catalogan

como un código malicioso muy sofisticado


A través del envío de mensajes directos o DM a usuarios en Twit-ter, que parecen inofensivos y prometen llevar al receptor a ver un video o imagen chistosa, pero que en realidad contienen un

enlace o vínculo a un sitio de phishing los cibercriminales han logra-do comprometer las claves de acceso de miles de cuentas en la popu-lar red social.

El impacto ha sido tal que incluso obligó a la compañía, por segunda ocasión, a pedir a sus usuarios que cambien sus datos personales y con-traseñas de acceso en caso de hayan caído víctimas del engaño de phis-hing, y que estén enterados o no de que su cuenta fue comprometida.

En el blog oficial de la red social Isaac “Biz” Stone, uno de los cofun-dadores y directos creativo de Twitter, escribió el pasado 26 de febrero “Eviten engaños de phishing”.

“En los últimos días Twitter ha ayudado a sus usuarios que han caído víctimas del ataque de phishing. Un fraude en el que los atacantes in-tentan, mediante engaños, adquirir información de tu cuenta como tu nombre de usuario y contraseña”, cita el ejecutivo.

Stone agrega, en el texto del blog, que el ataque inicia mediante el envió de un DM (Direct Message) proveniente de alguno de los miem-bros de tu Time Line o usuarios que sigues dentro de Twitter.

El DM, explica el texto de Stone, puede contener frases como “LOL ¿acaso eres tú?”, seguido de un link que te lleva a un sitio similar a la página principal de Twitter y solicita introduzcas tu nombre de usua-rios y clave de acceso. Si lo haces los atacantes pueden entrar a tu cuen-ta y engañar a más gente, como lo hicieron contigo.

El ejecutivo de la empresa incluso reconoce que el proceso para com-prometer credenciales de acceso en Twitter afecta el nivel de confianza en los usuarios por los DM y sugiere que los “twitteros” tengan cuida-do a quien siguen en la red social.

“Diseñamos el sistema de Mensajes Directos para que sólo las cuen-tas que sigues te puedan mandar DM y evitar el nivel de comunica-ciones basura. Nuestro equipo de seguridad elimina cuentas de spam todos los días, aun así recomendamos a nuestros usuarios que analicen primero antes de seguir miles de aceptar seguidores indiscriminada-mente”, subraya Stone en el blog.

LOS POLÍTICAMENTE INCORRECTOSEl fraude de phishing en Twitter dejó entre ver que la cultura y educación en seguridad no respeta países, razas, color, sexo o incluso profesión.

Esto, luego de que diversas agencias de noticias londinenses detecta-ran que entre los afectados por el fraude hubo varios políticos británicos, cuya cuentas en Twitter tenía mensajes explícitos de índole sexual.

Según los datos publicados, uno de los afectados fue Ed Miliband, ministro de energía del Reino Unido, quien público en su cuenta tras descubrir los mensajes apócrifos.

“Oh cielos, parece ser que he caído víctima del más reciente fraude de phishing en Twitter”.

Trampa en la que no sólo cayó Miliband, pues la líder de la Cámara Baja del Reino Unido, Harriet Harman reconoció que su cuenta envío mensajes DM falsos a algunos de sus seguidores.

Aunque el contenido de estos mensajes no fue revelado, Harman pu-blicó en su cuenta en Twitter que ella “jamás mandaría algo así”.

Twitter se ha colocado como una de las plataformas sociales web con mayor crecimiento en los últimos años. De acuerdo a un reporte publi-cado por la firma de análisis Nielsen, tan solo en diciembre de 2009 el número de usuarios usando la plataforma ascendió a más de 18.1 mi-llones, un crecimiento de 579% en comparación con el mismo mes, pero de 2008. ●

ACCESOPHISHING SOCIAL EN TWITTER, MEJOR QUE CUALQUIER MALWARE

Un fraude de phishing en Twitter ha

comprometido cuentas de todo el mundo, y en algunos casos incluso

ministros o funcionarios de gobiernos, como el del Reino Unido, han caído

presas del robo de sus claves de acceso y usuarios de la red social

Por Carlos Fernández de Lara [email protected]


El cloud computing se ha convertido en una de las tendencias más atractivas dentro del mundo de la

tecnología. Pero las promesas de ahorro, flexibilidad e innovación detrás de este fenómeno podrían verse frenadas por temas de privacidad y seguridad de los

datos de las empresas que rentan estos servicios

A LA NUBESALTE

y no olvide su paracaídas


A LA NUBE


Hay una pregunta que, actualmente, ronda la mayoría de las mesas, charlas o foros de discusión en tecnolo-gía: ¿Será el cloud computing una moda más dentro del sector de IT o realmente representa un cambio de

paradigma en la operación de las empresas de todo el mundo? De acuerdo con Gartner entre 2009 y 2013 la facturación de

los servicios en la nube crecerá de $21.3 mil millones de dóla-res, a más de $150 mil millones de dólares. Según Forrester Re-search el mercado de cloud computing crecerá 80% en 2010. Y Microsoft, por su parte, afirma que más del 86% de los líderes empresariales en todo el mundo están entusiasmados por este fe-nómeno. La respuesta a la pregunta del cómputo en la nube no podría estar más clara: el cloud computing llegó para quedarse y transformar al mundo de los negocios.

Pero en este cielo de servicios, con promesas de grandes aho-rros en mantenimiento y adquisición de tecnología, de flexibi-

lidad y oportunidades de nuevos y mejores negocios, existen nubes llenas de dudas y miedos que podrían frenar el crecimien-to de este fenómeno, como la seguridad y privacidad de los datos de las compañías que contratan tecnología en la nube y las res-ponsabilidades de quienes proveen este tipo de plataformas.

De acuerdo con una encuesta de Forrester Research titula-da The State Of Emerging Enterprise Hardware: 2009 To 2010, 49% de las grandes compañías y 56% de las Pequeñas y media-nas Empresas colocan a la seguridad y privacidad de los datos como la principal preocupación para migrar parte o toda su in-fraestructura a la nube de internet.

Más aun, una encuesta encargada por Microsoft, que contem-pló entrevistas a más de 200 CIO y 200 líderes de negocios, su-braya que 90% de los entrevistados están preocupados por la seguridad, disponibilidad y privacidad de los datos colocados en plataformas de cloud computing.

Para muchas empresas el fenómeno del cloud computing ape-nas comienza. Sin embargo, para Google la idea de operar servicios y plataformas, desde espacios remotos y como un

servicio virtual, se ha convertido en su pan de cada día.Así, contrario a mover su negocio y portafolio de soluciones hacia

el cloud computing, la compañía californiana ha vivido desde su na-cimiento en la nube. Hoy, la firma ha logrado llevar su buscador web, su correo electrónico, sus aplicaciones y su plataforma de Mapas, creadas en un inicio para los internautas en general, a los ambientes empresariales de todo el orbe, asegura Alex Rodríguez Torres, direc-tor de mercadotecnia para Google Enterprise Latinoamérica.

“Google Enterprise nació hace siete años, porque los clientes nos pedían tener las características de nuestro buscador en sus compa-ñías. Fue eso lo que llevó a nuestro departamento de investigación a desarrollar los mismos servicios que ofrecíamos a los usuarios, pero a las empresas”, explica Rodríguez.

Con el crecimiento del cloud computing, dice el ejecutivo, Google tiene la posibilidad de colocarse como punta de lanza sobre la for-ma en que la tecnología opera dentro de las organizaciones de todo el mundo.

“Es un cambio de paradigma en el mundo del cómputo, por-

que ya no estás hablando de un producto una caja o en tu escri-torio. Se trata de un servicio, no es algo que ves o tienes frente a ti. Es una transformación y un tema de educación para los nego-cios, porque tienen que entender los beneficios detrás del cloud computing”, afirma Rodríguez.

Una cambio, que desde el punto de vista del vocero de Google, ya está sucediendo, pues tan sólo en el último año la división de Goo-gle Enterprise creció 100% en América Latina, y se estima que para 2013 40% de las empresas operen toda, o parte de su infraestructu-ra en la nube.

Sin embargo, más que la privacidad de los datos y la seguridad de la información de las compañías y usuarios que utilizan plataformas en la nube, para Rodríguez la verdadera limitante o barrera para la adopción del cloud computing es la mala calidad en los servicios de internet de la región.

“El tema de la banda ancha es realmente preocupante porque en América Latina es cara y de mala calidad. Una mejora en este servi-cio no sólo es en beneficio del cómputo en la nube, sino en general de todas las plataformas de internet. Se trata de un cambio funda-mental”, agrega.

LA MALA CALIDAD EN LA BANDA ANCHA LIMITA EL CLOUD COMPUTING, NO LA SEGURIDAD: GOOGLE

Más que problemas de seguridad y privacidad de datos, el puntocom californiano Google afirma que el principal reto para que el fenómeno del Cloud Computing crezca en América Latina es la mala calidad en las conexiones de banda ancha y su precio elevado.


Algo queda claro: si el fenómeno del cloud computing real-mente representa el nuevo paradigma en el mundo de la tecno-logía las empresas, usuarios, gobiernos y proveedores de estos servicios deberán comenzar a discutir el tema con muchas más transparencia, claridad y sencillez.

“El cloud computing no es una tecnología nueva, lo que pasa es que su nombre nació hace menos de dos años. Sin embargo, es un fenómeno que aún no arranca, estamos en una etapa emer-gente de su adopción”, explica Gastón Pernalete director general de Novell en México.

En ese mismo sentido, Daryl Plummer especialista en cloud computing de la firma de consultoría Gartner apuntó que 2008 fue el año del descubrimiento, 2009 y 2010 serán años de “expe-rimentación”, y será entre 2011 y 2015 cuando el cómputo en la nube presentará sus primeros signos de adopción masiva.

“Claro que rompe un paradigma porque estamos hablando de

una nueva forma de relacionamiento entre consumidores y pro-veedores de servicio. Por primera vez las empresas podrán de-dicarse a lo que realmente tienen que hacer, negocios. Desde aplicaciones, servidores, procesos de operación, hasta cosas más avanzadas, con el cloud computing la compra y mantenimien-to de la tecnología ya no tiene que ser un peso para las áreas de IT”, afirma Plummer.

PARAÍSOS DE DATOSSin embargo, el mismo furor y novedad entorno al cloud compu-ting también son los puntos más endebles en su adopción, pues dentro de este nuevo relacionamiento, entre proveedores de ser-vicios de tecnología y empresas, no existen leyes, regulaciones, estándares o mejores prácticas.

Es decir, no hay marcos de referencias o guías prácticas que les digan a las empresas qué hacer o cómo operar ante un mal ma-

EL CLIENTE DECIDE SI VALEMOS LO QUE PROMETEMOSContrario a debatir sobre los temas de privacidad y la seguridad de los datos en el cloud computing, Rodríguez afirma, que el cliente, al final de cuentas, es quien decidirá si el proveedor es realmente lo que necesita y busca.

Aun así mencionó que la compañía ha certificado todos sus proce-sos en el manejo y cuidado de los datos, bajo estándares internacio-nales, para cumplir con los mayores niveles de seguridad posibles.

“Google es una de las empresas más importantes en la entregar servicios de la nube. Somos el cuarto operador y desarrollador de Centros de Datos en el mundo, llevamos años trabajando con infor-mación sensible de nuestros clientes, tenemos controles de los datos específicos, como nunca revelar su ubicación, y generamos múlti-ples respaldos de cada archivo en diferentes repositorios”, asegura Rodríguez.

Estos elementos, dice, le permiten a la compañía ofrecer una dis-ponibilidad de la información del cliente en el 99.9% de todos los ca-sos, el nivel de servicio más alto del mercado.

Pero el miedo de las empresas a migrar su operación a la nube no radica en si Google tiene la capacidad, estructura y estándares para manejar los datos, sino en aquellas compañías, generalmente más pequeñas, que operan como proveedores o integradores del gigan-te de internet.

“Trabajamos con partners, pero no cualquier puede ser un socio de negocio de Google, pues tienen que cumplir también con niveles de operación específicos. Ellos utilizan nuestras plataformas, pero al final de cuentas somos nosotros los que operamos el servicio.”

NO SE TRATA DE LEYES, SINO DE BUENOS SERVICIOS Contrario a la postura de Microsoft por exigir que los gobiernos de-sarrollen una ley específica para el regular el fenómeno del cloud computing, Rodríguez afirma que Google cumplirá con la legisla-ción de cada país en el que opere.

“Es complejo hablar de regulaciones porque el tema se puede ver desde varias aristas, lo fundamental aquí es entregar lo que quiere el usuario final. Mientras tanto, nosotros como Google estamos dis-puestos a cumplir las leyes y normas de cada país”, apuntó.

Cabe recordar, que a inicios de 2010 Google enfrentó un riña po-lítica contra el gobierno chino, luego de que la compañía acusara a la nación asiática de haber cometido ciberespionaje, acceso ilegal a su servidores y robo de propiedad intelectual.

Situación que finalmente orilló al puntocom californiano a retirar la censura que mantenía en sus sitios chinos de búsquedas de noti-cias, imágenes, videos y blog, y que el gobierno le había impuesto como condición para hacer negocios en la nación desde 2006.

Al final del día Rodríguez subraya que no serán las regulaciones las que determinarán si las empresas adoptan o migran a la nube. La de-cisión final la tomará el cliente que utilice los servicios.

“Los proveedores de cloud computing deben simplificar el tra-bajo al cliente, entregar soluciones y no meros servicios, garantizar la seguridad y disponibilidad de sus datos y permitirles cambiar-se de proveedor en el momento que ellos deseen. Para nosotros, lo importante es entregar la mejor plataforma, porque al final del día quien va decidir si un producto es bueno es el usuario o las compañías”, aclara.

LA MALA CALIDAD EN LA BANDA ANCHA LIMITA EL CLOUD COMPUTING, NO LA SEGURIDAD: GOOGLE

nejo de sus datos sensi-bles o frente a la pérdida o robo de su informa-ción. A consecuencia de

ciberataques, errores técnicos o desastres

naturales. Y, aunque so-

nará poco

creíble, dentro de la economía de

escalas, el cloud com-puting puede convertirse

en un “paraíso para los da-tos personales de usuarios y

empresas”, apunta Joel Gó-

mez, abogado especialista en derecho informático y propiedad intelectual.

“Muchas de las empresas que proveen servicios en la nube van a mover los datos personales de los internautas y las compañías al lugar donde a ellos más les convenga, en términos de costos y accesibilidad. Esto, puede desarrollar un fenómeno similar a los paraísos fiscales, pero de datos personales, donde está informa-ción se almacenará en regiones o países con regulaciones laxas”, explica el abogado.

El experto legal menciona que esta situación cuestiona la decisión de algunos proveedores de servicios en la nube,

por ocultar la ubicación geográfica de los datos de las compañías a las que ofrecen servicios, así como el no determinar quién y cuántas empresas tienen acceso sobre ellos.

“Hay dos aspectos negativos del cómputo en la nube, que van a obligar a los departamento legales de las com-pañías a analizar detenidamente la jurisdicción de va-

rios países. Uno, el gran temor a no conocer dónde está almacenada la información. Dos, saber si esa em-presa, que contrataste para darte servicio, a su vez no subcontrató a dos o tres compañías que tam-bién tendrán acceso parcial o total a tus datos”,

dice Gómez.

A LEER LA LETRA CHIQUITALa realidad es que, actualmente, el único instrumento que fun-ciona para determinar el nivel de responsabilidades, servicios y sanciones, en caso de problemas entre empresas y proveedores son los contratos de servicios, explica Pernalete de Novell,

Un arma que las compañías, que tengan interés en mover par-te de su infraestructura a la nube, tendrán que aprender a domi-

nar y exigir de su proveedor, según Plummer de Gartner.

“Antes de firmar y confiar ciega-mente en el cloud computing, las compañías deben negociar contratos claros, que aborden temas como la privacidad de sus datos, los procesos que usará el proveedor para proteger su información, quién tendrá acceso a ellos y qué nivel de disponibilidad ofrecen en caso de un imprevisto”, afirma el analista de Gartner.

Exigencia que no siempre podrá ser posible, pues Gómez explica, que así como habrá proveedores que per-mitirán negociar un contrato, habrá otros que no dejarán que el cliente

Los cinco consejos de la firma de consultoría Gartner para no caerse de la nube

de cuánto le costará a la compañía correr los servicios que deseas tener en la nube, y pregúntate si realmente obtienes un ahorro significativo. Muchas veces sale más barato hacerlo internamente.

que tu infraestructura esté lista para operar ciertas cargas de trabajo en la nube. Conoce si realmente tienes el poder de cómputo y el ancho de banda necesario.

Evalúa las cargas de trabajo con proveedores de servicios, recuerda que tendrás a muchos proveedores manejando tu información.

qué derechos tienes, tus garantías sobre la información, si tú eres el dueño de los datos o los podrán mover sin previo aviso, si el proveedor tiene sistemas redundantes y planes de Recuperación Ante Desastres (DRP, en inglés), y sobre todo si te garantiza la seguridad y disponibilidad de tu información.

No sólo pienses cómo puedes subirte al avión del Cloud Computing, sino también cómo puedes bajarte o saltarte de éste. Cuestiona cómo sacar toda tu información del proveedor, en caso de que te falle o desaparezca.


EL TOP 5 DE GARTNER PARA VOLAR A LA NUBE

modifique una sola línea del documento. En otras palabras, lo tomas o lo dejas.

“Sin duda es un tema complejo porque las empresas tendrán que aprender a leer la letra chi-quita del contrato, con lupa en mano y mucho dete-nimiento. La idea es obligar a los proveedores para que cambien o negocien los contratos cerrados, que no permitan modificaciones.”, dice Gómez.

El problema, concuerdan los expertos, es la fal-ta de conocimiento sobre el tema, pues la gente de IT no son especialistas en leyes y, viceversa, pocos son los abogados que conocen el tema del cloud computing.

Factor irónico, pues a quienes más afecta esta si-tuación de desconocimiento y búsqueda de con-tratos claros, es a las Pymes, que muchas veces carecen de ambos departamentos (Legal y de IT), pero que en el trasfondo prometen ser los mayores beneficiarios del fenómeno del cloud computing.

El tema, concuerda Pernalete de Novell, radica en que las em-presas sepan elegir a su proveedor de servicios conforme a sus necesidades, pero también valorando factores como la estabili-dad, disponibilidad y confianza de la empresa que entregará la tecnología.

“Las buenos proveedores de cloud computing deben asegurar-les a sus clientes la seguridad de sus datos, y el cliente, a su vez, debe exigir con indicadores y niveles de calidad muy claros lo que espera del servicio”, apuntó Pernalete de Novell.

PAPÁ GOBIERNO Para muchos, el tema no se puede resolver por sí solo. Por ello, analistas, expertos e incluso empresas de todo el mundo han puesto sobre la mesa de discusiones la idea de que los gobiernos actúen como árbitros o entes reguladores en el fenómeno del cloud computing, a través de nuevas leyes en la materia.

¿Pero cómo regular a un proveedor de cloud computing en la India que ofrece servicios en México y España? ¿Cómo sancio-nar a un proveedor estadunidense, que perdió la información de una o varias compañías de su centro de datos ubicado en su fi-lial en China?

“Cada vez que el mundo enfrenta cambios importantes siempre se habla de crear regulaciones de algún tipo. El problema, en esta ocasión, es que la regulación no está asociada a un tema de opera-ción por país porque los proveedores de servicios en la nube pue-den estar en cualquier parte del mundo”, apunta Plummer.

Pero la complejidad en la creación de nuevas leyes no es el único temor que existe al tener al gobierno como Gran Hermano del cloud computing. Pernalete de Novell afirma que un exce-so de regulación podría cohibir el crecimiento de este fenómno,

al hacer muy complejos e inflexibles la adopción de estos servi-cios.

“Las compañías deben buscar una combinación entre regula-ciones, contratos transparentes, políticas y procesos de operación claros. Este tema (las regulaciones) se debe tratar con cuidado, para que no cohíba el modelo de negocio como está planteado. Si hay regulaciones que puedan aportar se toman, sin embargo, en este momento no está claro qué es lo que realmente necesita-mos”, dice el director de Novell México.

Riesgoso o no, empresas como Microsoft han expresado pú-blicamente su apoyo al desarrollo de una Ley o Acta sobre clo-ud computing, que proteja los datos de los usuarios y negocios, y le dé al gobierno las herramientas necesarias para manejar te-mas o incidentes relacionados a la seguridad y privacidad de su información.

“La revolución de las computadoras democratizó la tecnolo-gía y cambió a las sociedades en muchos sentidos. A medida que adoptamos el cómputo en la nube debemos mantener el éxito del pasado y preservar la personalización de la tecnología, al ase-gurar el derecho a la privacidad, la seguridad y legitimidad de nuestros datos cuando crucen las fronteras nacionales”, dijo Brad Smith, consejero general y vicepresidente de Microsoft.

De esta forma, pudo ser la crisis económica y la necesidad de las empresas por reducir costos en sus operaciones, los que pu-sieron en boca de organizaciones, de todo el mundo, la idea de mover sus procesos a un esquema de cloud computing. Sin em-bargo, hoy más que simples costos las compañías tienen mucho que analizar antes de surcar en ese cielo de nubes digitales.

“Las empresas están viendo mucho el tema de ahorros en man-tenimiento y compra de tecnología, pero el fenómeno del cloud computing no se trata de eso. Antes de pensar en costos deben de valorar una plataforma que les dé seguridad en sus datos en caso de que algo pase, que les ofrezca confianza y que sea lo sufi-cientemente clara para el cliente”, afirma Pummel de Gartner. ●

A principios de enero de 2010 Brad Smith, consejero general y vicepresidente de Microsoft mencionó la necesidad de que el gobierno estadunidense trabaje en la creación de una Ley o Acta sobre cloud computing. Para que los legisladores no empezaran de cero, Microsoft ya propuso un par de ideas para esta nueva regulación.

actuales sobre Privacidad en las Comunicaciones Electrónicas, para mejorar la protección y privacidad de los datos de empresas y usuarios.

sobre fraude y abuso con computadoras, a fin de darle mejores herramientas a las autoridades en el combate a los cibercriminales.

y verdaderos del cloud computing, para que los consumidores y negocios sepan cómo se protege y accede a su información.

para que no existan diferencias irreconciliables entres regulaciones o leyes sobre cloud computing provenientes de otros países.


MICROSOFT PROPONE


En el siglo XXI el cibercrimen ya no se trata de programadores, ex-pertos en informática en busca de fama, sino de entes empresa-riales con estructuras y cadenas de suministro bien establecidas

que han encontrado en el robo de información un mercado con un va-lor anual por arriba de los 1,000 billones de dólares, asegura reporte de la firma de seguridad Imperva.

El estudio titulado The Industrialization of Hacking subraya que la delincuencia en Internet se ha convertido en una industria cuyo valor en propiedad confidencial e intelectual robada rebasó los 1,000 billo-nes de dólares durante 2009. Y una en la que los profesionales en el desarrollo de códigos maliciosos pueden captar ganancias multimillo-narias.

“Del mismo modo que, durante el siglo XIX, la Revolución Industrial aceleró y desarrolló los métodos para pasar del ensamblado simple a la producción en masa, la industria actual del cibercrimen ha sufrido una transformación similar, en busca de su automatización, escalabilidad y rentabilidad”, cita el texto de Imperva.

Contrario al interés que tenían anteriormente, por penetrar infra-estructuras empresariales con el uso de códigos maliciosos, los ciber-criminales ahora buscan la manera de robar los datos confidenciales controlando las aplicaciones que transmiten estos archivos. Muchas de las cuales operan sobre la nube de Internet, aseguran los expertos de Imperva.

“Hoy, la complejidad, trabajo en equipo y coordinación global de las organizaciones delictivas en la red, así como su nivel de educación ase-mejan mucho a la manera de operar que tienen los cárteles de la dro-ga”, explican los autores del estudio de Imperva.

Así, el principal mecanismo o motor de ataque, según Imperva, son las redes bot, programas maliciosos que infectan la computado-ra del usuario y permiten al criminal el control remoto de la máqui-na para realizar envíos masivos de malware y spam o manipular los motores de búsqueda, con el mismo nivel de eficiencia que el algo-ritmo de Google.

Análisis de firmas de seguridad como McAfee estiman que actual-mente existen más de 14 millones de computadores infectadas por bot-nets en todo el orbe, y en la gran mayoría de los casos los usuarios ignoran que su máquina forma parte de una red criminal.

Ante el crecimiento en el uso de servicios y plataformas en Internet, analistas en seguridad apuntan que durante 2009 60% de los ciberata-ques iban dirigidos a las aplicaciones web.

Estas son un vector de ataque con un alto nivel de riesgo, pues el análisis de Imperva enfatiza que 92% de estas aplicaciones web tienen una o más vulnerabilidades que pueden ser explotadas por los cibercri-minales, particularmente las consideradas como de inyección de SQL.

Este tipo de vulnerabilidades, afirma Imperva, son muy utilizadas por los delincuentes informáticos pues facilita el robo de información, a través de fraudes al insertar código adicional en el lenguaje de pro-gramación de la aplicación.

La división de seguridad de IBM estima que en los últimos 12 meses el número de ataques de inyección SQL se disparó a más de 250,000 por día. Este tópico ya representa 30% de las conversaciones que los hackers sostienen en los sitios de chat clandestinos.

Si no es a través de inyección SQL, el uso de ataques de Denegación de Servicios (DoS, por sus siglas en inglés) también se colocan como una de las principales vertientes en la generación de ingresos para la in-dustria del cibercrimen.

Los DoS permiten a los atacantes ejecutar miles o millones de peti-ciones a los servidores de una empresa, con el fin de saturar su carga de trabajo y tumbar su operación. Así, de manera similar a un secuestro, los criminales pueden inhabilitar el servicio de una compañía hasta que ésta pague un rescate para cesar el ataque.

De igual forma, los Denail of Service se colocan como la principal arma de ataque en materia de ciberguerra o ciberactivismo político. Cabe recordar que durante 2008 y 2009 diversos cibercriminales rusos tumbaron sitios gubernamentales de Georgia con ataques DoS, durante su conflicto bélico por la provincia de Osetia del Sur. ●

ACCESO EL CIBERCRIMEN, UNA INDUSTRIA DE 1,000 BILLONES DE

DÓLARESEl robo de información

confidencial de empresas e individuos, el secuestro de

computadoras, de servicios en línea y el desarrollo y

venta de malware hizo de la industria del cibercrimen

una con un valor de más de 1,000 billones de dólares

durante 2009.

Marzo, 2010 B:SECURE 17

En esencia, la actividad cotidiana de una red radica en ser una solución de seguridad que garantice la llegada, única y exclusi-vamente, de los paquetes de datos legítimos. Esta tarea, que en

principio parece sencilla, está adquiriendo cada vez mayores niveles de complejidad, tanto para hacer frente a las nuevas amenazas como para adecuarse a los requerimientos de las redes empresariales existentes y a las políticas de seguridad actuales.

De este modo, vemos cómo las organizaciones se encuentran en el proceso de cambio de sus soluciones de seguridad y, poco a poco, han pasado de instalar un perímetro de seguri-dad a implantar un Tejido de Red Segura (Secure Network Fabric o SNF) que aborda la seguri-dad de un modo más generalizado en toda la red.

Un SNF se caracteriza, entre otras ven-tajas, por ofrecer un sistema de Repara-ción Automatizada en tiempo real. ¿Qué significa? La mayoría de los productos de seguridad alertan o registran proble-mas, ataques o brechas de seguridad, sin embargo, requieren de la intervención manual para solucionar el problema. El in-conveniente es que lleva un tiempo solven-tar el ataque y, mientras tanto, las amenazas siguen propagándose internamente. Si nos plan-teamos un enfoque superior en materia de seguridad, llegaríamos a la conclusión de que lo ideal sería poder frenar o resolver las amenazas en tiempo real dentro de la propia red. En defi-nitiva, eso es lo que hace el sistema de Reparación Automatizada en tiempo real: identificar los paquetes de red ilegítimos y eliminar el tráfi-co ilícito. De este modo, se reducen los retrasos y los costos de la inter-vención manual y se detiene de forma proactiva la actividad maliciosa.

Igualmente una SNF se caracteriza por tener una gestión centraliza-da de toda la plataforma, ya que se definen de una vez las políticas de gestión y se aplican a todo el tejido de la red. Es así como se reducen las los costos y otros gastos de gestión.

Los intereses o las prioridades que una organización puede te-ner para implantar una SNF son únicos y diferentes. Por ejemplo,

en el ámbito de la salud una de las prioridades es mantener la pri-vacidad del paciente al controlar y gestionar adecuadamente el ac-ceso a la información. La planificación de políticas de seguridad y de identificación, de normas basadas en roles, así como de otros requerimientos basados en contenidos, es mucho más fácil que plantearse cómo configurar los firewalls o modificar la topología de la red. De esta forma, el resultado de la implementación de dichas políticas es más flexible y sencillo que proceder a los cambios en la

red y mantener su actualización.Si pensamos en otro tipo de organizaciones, por ejem-

plo una universidad, las prioridades son diferentes y los requisitos cambian. En la red de un gran cam-

pus nos encontramos con el inconveniente de que un amplio número de usuarios, que cam-bian con frecuencia y que traen sus propios sistemas, (no siempre de confianza) tienen acceso a esta red. Si se asignan nuevos usuarios a grupos, como el personal y los administradores o se agrupan a los estu-diantes por categorías, se puede garantizar

un adecuado acceso a los distintos recursos de la red de una manera más manejable, más

fácil de actualizar y de hacer cumplir las políti-cas de acceso y de configuración.

En definitiva, la tendencia es que la infraestructu-ra de una red sea cada vez más inseparable de la seguri-

dad y de los puntos de aplicación de políticas, que ahora están incorporadas en toda la red. Es por ello que las empresas y organizacio-nes necesitan un proveedor de infraestructura de red que también pue-da ser su proveedor de soluciones estratégicas de seguridad. Es decir, necesitan a un socio con un amplio portafolio de soluciones que abar-quen desde el núcleo a las áreas más externas de la red, el centro de da-tos y las soluciones de oficina, pero que, al mismo tiempo, integre los sistemas de seguridad y los componentes de red dentro de un marco común de gestión para hacer cumplir las políticas actuales. Por lo tan-to, necesitan un nuevo enfoque: un multi-proveedor que dé respuesta a sus cambiantes y cada vez más complejas necesidades de gestión y seguridad de la red. ●

NUEVOS ENFOQUES ANTE LOS ACTUALES RETOS DE SEGURIDAD EN LA RED

EL INVITADO

Por Fernando Loureiro, 3Com México

Fernando Loureiro vive en España y es director técnico para el Sur de Europa en 3Com. Su experiencia se centra en el diseño de soluciones de redes seguras y convergentes con 802.1x, firewalls, Tippingpoint IPS y telefonía sobre IP.


Por Adrián PalmaPrimera de cuatro partes

BUSINESS PEOPLEfor

Segunda de 2 partes

El enfoque tradicional del área de Seguridad de la Informa-ción es su dependencia del área de operación de la infraes-tructura y procesamiento de la información ( TI, Sistemas, o Informática),en este contexto representa un reto considera-ble y UN FACTOR CRITICO DE ÉXITO la implementación

de la función de seguridad, que requiere una estructura independien-te, sólida y flexible soportada por la Alta Dirección de la organización, al menos esto es lo que nos dicen las mejores practicas de la industria, pero que tan cierto, viable y complejo es? Las respuestas las hallaremos en esta y en las siguientes entregas relacionadas con la función de segu-ridad de la información.

Hoy las organizaciones deben ser conscientes de los riesgos asociados al uso de la Tecnología de Información (TI), y de la necesidad de con-tar con mecanismos que le permitan utilizar dichos recursos con un ni-vel de riesgo aceptable.

Empezaremos con algunos ejemplos de la misión y visión que debie-ran tener algunas estructuras de seguridad de la información:

La misión de Seguridad de la información es asegurar la protección de sus activos y su información sensitiva y crítica, que la integran e inte-ractúan para ofrecer servicios que permiten la Gestión del Negocio y las Operaciones de una manera oportuna, con un nivel de riesgo aceptable y que redunda en Calidad para sus clientes, proveedores y empleados.

La seguridad de la información debe dirigir y apoyar a la organiza-ción en la protección de su información y sus activos de datos contra accesos o modificaciones no autorizadas, destrucción o negación in-tencional o accidental; con la puesta en práctica de las políticas, es-tándares, guías, baselines y procedimientos así como de las prácticas apropiadas de la seguridad de la información.

Proveer a la organización del más alto nivel de visibilidad para la comprensión de la seguridad IT, para proveer a los grupos, unidades, divisiones, secciones, al personal y departamentos, y para solucionar problemas relacionados con la seguridad de la información.

Es recomendable que la función de la Seguridad de la Información se establezca y reporte a la Alta Dirección.

Las responsabilidades primarias de dicha función serian:Mantener actualizadas las políticas, estándares, guías, baselines y

procedimientos de seguridad de la información.Contestar a todas las preguntas con relación al cumplimiento e inter-

pretación de políticas de seguridad de la información.Revisar todos los resultados de la auditoria de seguridad y las res-

puestas relacionadas, proveyendo una revisión independiente al re-sultado de auditoria y respuestas de las unidades de negocio o de la organización.

Revisar el programa de concientización, entrenamiento y educación de seguridad del usuario, para asegurarse de que sigue siendo una he-rramienta eficaz para el adecuado funcionamiento de la seguridad de la información.

Asistir a los departamentos en los planes de recuperación de desas-tres o de continuidad de negocio que se desarrollan y supervisar la prueba de estos planes.

Revisar los productos, dispositivos y herramientas nuevos de seguri-dad y hacer las recomendaciones de estos para asegurar que resuelven requerimientos de negocio y organizacionales.

Asistir en la investigación y la divulgación de incidentes de seguri-dad tales como robos, intrusiones, malware y brechas de seguridad de la información.

Asistir al desarrollo de los programas de supervisión eficaces para asegurarse de que la información de la organización está protegida como se requiere.

Mas Roles y responsabilidades de Seguridad de la InformaciónActúa como el punto central de contacto dentro de la organización

en todas las comunicaciones relacionadas a problemas de seguridad de la información.

Asiste en la definición de las responsabilidades de seguridad de la in-formación de acuerdo a las políticas preestablecidas y a los estándares.

Coordina los esfuerzos de la seguridad de la información de todos los grupos internos, que tengan unas o más responsabilidades relacio-nadas con la seguridad.

Dirige y coordina las actividades de análisis y administración de ries-gos.

Desarrolla y define la estrategia de seguridad basada en el análisis y administración de riesgos de la organización

Diseña y ejecuta los procesos de seguridad para la detección, inves-tigación, corrección, acción disciplinaria, y el procesamiento relaciona-do con las brechas, las violaciones y los incidentes de la seguridad de la información

Prepara análisis post mortem de las brechas, violaciones e incidentes de seguridad de la información

Dirige la preparación de los planes de contingencia de los siste-mas de información y maneja a grupos de trabajos (tales como equi-pos CERTs).

Trabaja con relaciones públicas y la alta dirección para desarrollar respuestas convenientes a los incidentes, violaciones y problemas de la seguridad de la información, si así se requiere.

Actúa como testigo experto en seguridad de la información relacio-

LA FUNCIÓN DE SEGURIDAD¿EL PRIMER PASO A SEGUIR?

Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM,y de la maestría de seguri-dad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. [email protected]


LA FUNCIÓN DE SEGURIDADnados a los procesos jurídicos que implicaban a la organización.

Proporciona servicios de consultoría y apoyo técnico interno en todo lo relacionado con la seguridad de la información.

Define y mantiene actualizadas las políticas de seguridad de la in-formación.

Define y mantiene los programas de concientización, entrenamiento y educación de seguridad de la información.

La visión de la organización con respecto a la seguridad de la infor-mación se debe definir de acuerdo al pensamiento de la alta dirección un ejemplo podría ser el siguiente:

“Lograr en el mediano plazo una Cultura Organizacional sobre la protección de la Información, a un nivel aceptable de conciencia, que permita identificar, en cualquier función ejecutada por cualquier em-pleado o tercero, el conocimiento de cómo proteger la información y a dónde acudir en caso de presentarse un incidente que la ponga en riesgo.”

Una vez definida la misión, la visión y conociendo los roles y respon-sabilidades de una función de seguridad el siguiente rubro a considerar es quiénes y cuántas personas deben pertenecer a la función de segu-ridad. Puede considerarse como el punto de partida para conformar inicialmente un grupo de trabajo de 4 personas, especialistas en Segu-ridad de la Información. En este sentido, es importante destacar, que se requiere que el personal tenga experiencia en alguna función de Segu-ridad de la Información, o en su defecto, se integre un programa de ca-pacitación alineado con las necesidades reales de la organización.

Para la conformación del área de Seguridad de la Información se re-comienda que esta sea el equivalente al 0.208% del total de empleados de la organización, supongamos que en nuestra organización tenemos 3000 empleados.

Tomando como base esta consideración, se tiene el siguiente re-sultado:

Área de Seguridad de la

Información

0.208% del Total de Empleados

0.208% de 3000 Empleados

0.208% x 3000 Empleados

100%

7 personas

Como se ha referido anteriormente, en este esfuerzo inicial se con-sidera la participación de 4 personas que efectuarán actividades de Seguridad de la Información, considerando que gradualmente se incor-poren las personas faltantes, de acuerdo con el nivel de madurez que se adquiera y la definición específica de nuevos roles y responsabilidades.

ORGANIZACIÓN DE UNA PROPUESTA DEL ÁREA DE SEGURIDAD DE LA INFORMACIÓN Se recomienda generar un documento el cual este organizado como mí-nimo con las siguientes secciones:

Sección Descripción General

Misión y Visión del Área de Seguridad de la Información.

Se menciona la misión y visión propuestas para el área de Seguridad de la Información.

Organigrama, perfiles y funciones del Área de Seguridad de la Información.

Se incluye un organigrama del área de Seguridad de la Información y el staff que se recomienda, describiendo sus funciones principales.

Funciones y Responsabilidadesdel Área de Seguridad de la Información.

Se presentan las funciones generales delárea de seguridad, el objetivo que debe cumplir cada una de ellas y la descripciónde las responsabilidades asociadas a dichas funciones.

Por ultimo se tendría que definir un objetivo del área de seguridad de la información un ejemplo seria el siguiente:

Establecer prácticas para la implantación y mantenimiento de segu-ridad de la Información, que permitan la protección de los activos de información, lo cual considera a las aplicaciones, redes, comunicacio-nes, bases de datos, y en general sistemas de cómputo; para prevenir, detectar y/o corregir cualquier problema de acceso no autorizado, au-tenticación, confidencialidad, negación del servicio, integridad de la in-formación, y de no-repudio. Logrando un cumplimiento transparente con los diferentes requerimientos internos y externos de seguridad de la información, y estableciendo un fundamento para el posicionamien-to de la función de seguridad de la información como un componen-te estratégico que favorezca el cumplimiento de la visión y misión de la organización. ●

Continuará……………….

¿EL PRIMER PASO A SEGUIR?


REPORTE

En el mundo del cine los dobles suplantan al actor o actriz

de la cinta, a fin de evitar que este se lastime durante el

rodaje de escenas peligrosas. Pero en la vida real tener

un doble podría significar ser víctima del fraude o robo de

identidades, una actividad ilícita, que tan sólo en Estados

Unidos generó un monto de $54,000 millones de dólares

defraudados durante 2009.

En este Sin Número presentamos el análisis Identity Fraud

Report realizado por la firma de investigación Javelin

Strategy & Research, que tomó como referencia las

respuestas de más de 5,000 ciudadanos estadunidenses,

todos ellos víctimas de fraude bancarios y robo de

identidad.

LOS COSTOS DE TENER UN DOBLE INDESEADO

Más que a los ladrones con pistola en mano y capucha, el robo o asalto de oficinas o los desastres naturales, la principal preocupación de las compañías, los CIO y CISO alrededor del orbe son los cibercriminales y sus ataques informáticos, de acuerdo a un reporte liberado por la firma de seguridad Symantec.

El análisis State of the Enterprise security 2010 entrevistó a más de 2,100 CIO y CISO de 27 países, quienes colocaron a los ciberataques como su principal preocupación con 42 puntos porcentuales, por encima de la actividad criminal común, los eventos relacionadas a la mala reputación de la marca con 17% y los desastres naturales con 14%.

“Si hay algo que mantiene en vela toda la noche a los responsables de IT son los temas relacionados a la ciberseguridad y el robo de información electrónico”, cita el reporte y subraya, “que en promedio las empresas tienen cerca de 120 personas dedicadas al tema de seguridad de la información, cifra que aumenta a 232 empleados para las empresas más grandes del planeta”.

En ese sentido, Wilson Grava, vicepresidente de Symantec para América Latina aseguró que el tema de robo de información es una preocupación para todo tipo de empresa, sin importar su tamaño, sector o país.

“Hemos creado un retrato bastante realista del mercado de las pymes de toda América Latina, y es evidente que la preocupación, en términos de seguridad, que existe en la región no es distinta al resto del mundo. En alguno casos, como México, el porcentaje de angustia por los temas de ciberseguridad rebasa los 56 puntos porcentuales”, dijo Grava en entrevista con b:Secure.

El crecimiento en el riesgo por los temas de ciberseguridad, menciona el reporte, podría ser reflejo en el crecimiento de los ciberataques que han sufrido las empresas en los últimos 12 meses.

Según State of the Enterprise security 2010 seis de cada diez empresas han enfrentado ataques cibernéticos desde “pocos” hasta “constantemente” en su infraestructura de red, contra sólo 25% que no fue víctima de ningún delito informático en el último año.

El robo de propiedad intelectual (32%), el impacto en la infraestructura de la empresa (32%) y el robo de información de los empleados (32%), se colocaron como las tres principales pérdidas que identifican los responsables de IT tras sufrir un ataque informático.

Más aún en promedio las empresas reconocieron que el costo económico del robo de información o la solución de los delitos cibernéticos rebasó los dos millones de dólares anualmente, mientras que para algunas empresas la cifra se incrementó a más $2.8 millones de dólares.

“Hay una diferencia significativa para América Latina en los costos de los ciberataques, pues el promedio global se situó en $2.8 millones de dólares, mientras que para la región es de $524,000 dólares. Creemos que este contraste tiene mucho que ver con la regulación que existen en muchas naciones latinoamericanas sobre no divulgar cifras ante fugas de datos o ataques cibernéticos. La realidad, es creemos que el costo asociado es mucho más alto”, apuntó.

Como publicara b:Secure anteriormente, The Ponemon Institute reveló que en Estados Unidos el costo de las fugas o brechas de información durante 2009 ascendió a más de $6.75 millones de dólares en promedio.

Los encuestados por Symantec mencionaron que en una fuga o brecha en su seguridad en donde se hayan comprometido los registros o datos de más de 1,500 empleados tiene un costo promedio de $11,000 dólares por cada persona.

El reporte subraya que la administración en los niveles de seguridad para las empresas también se está volviendo más compleja, toda vez que, aunque los CIO o CISO se ven abrumados con personal, “constantemente tienen requerimientos adicionales para nuevas iniciativas o deben alcanzar certificaciones o estándares y pasar más regulaciones”.

DEL MES

LOS CIBERATAQUES, EL MAYOR MIEDO DE LAS EMPRESAS: SYMANTEC

EL “COCO” DE LAS EMPRESAS¿Cuál es el riesgo más importante para su organización?

Pegan donde nos duele¿Cuáles son los costos o impactos para el negocio por

ataques cibernéticos?

El enemigo toca a la puerta¿Qué tan frecuentes han sido los ciberataques en los últimos

12 meses?

Ciberataques 42%

Pérdida de productividad 35%

No han existido ataques 25%

Actividad criminal tradicional 17%

Pérdida en la facturación 33%

Sólo un par de ataques 46%

Eventos de reputación de marca 17%

Pérdida en la confianza del cliente 32%

Ataques regularmente 18%

Desastres naturales 14%

Una gran cantidad 9%

Terrorismo 10%

Ataques regularmente en grandes cantidades 2%


El cómputo en la nube o Cloud Computing se ha convertido en los últimos me-ses en un hot topic para las áreas de IT de las organizaciones, quienes ya se en-cuentran evaluando la posibilidad de llevar servicios de IT hacia la nube, y en algunos casos ya están utilizando servicios en ella. Dependiendo del foro en donde se discuta el tema, encontramos a quienes se encuentran a favor del uso del cómputo en la nube, pero también a quienes consideran que esta tenden-cia representa riesgos que la mayoría de las organizaciones no deberían tomar. Por todo esto, me permito presentarles una pequeña opinión sobre lo bueno, lo malo y lo feo relacionado con el cómputo en la nube.

LO BUENODe manera consistente, los proveedores de servicios de cómputo en la nube pro-mueven los beneficios de los mismos alrededor de los siguientes puntos:

-vancia

otras organizaciones

LO MALOEl salto de las organizaciones hacia la nube representa un nuevo reto para el pro-fesional de Seguridad de la Información, quien enfrenta riesgos específicos que deben ser administrados.

Las preocupaciones alrededor de ésta tendencia incluye la integridad de los datos, confidencialidad, privacidad, recuperación, problemas legales y de cum-plimiento, así como limitantes de auditoría. Los principales riesgos relacionados con la implementación del cómputo en la nube y que han comenzado a llamar la atención incluyen:

Ubicación de los datos. Estos riesgos son inherentes a la naturaleza de los servicios de cómputo en la nube, ya que la información pudiera almacenarse en cualquier país del mundo, teniendo que apegarse a jurisdicciones diferentes a las aplicables en el país de origen de la organización que utiliza el servicio.

Acceso a usuarios privilegiados. Tal vez la mayor preocupación para las organizaciones se encuentra asociada con los riesgos inherentes al procesamien-

el uso de redes públicas de datos. Debemos recordar que el cómputo en la nube relaja y en algunos casos no permite el funcionamiento de los controles físicos , lógicos y de personal. Adicionalmente al riesgo de que personas que utilizan la

personal del proveedor pudiera tener acceso no autorizado a los mismos.

Segregación de datos. Considerando que los datos de la organización pu-dieran compartir el ambiente de procesamiento con otros clientes del proveedor

del riesgo utilizando mecanismos de encripción, sin embargo, estos mecanis-mos pudieran provocar deterioro en el desempeño de la aplicación y en caso de

-ción, la organización pudiera enfrentarse a un desastre mayor.

Recuperación. Es una realidad la importancia que tiene la continuidad del negocio para las organizaciones hoy en día, por lo que aún cuando una vez

datos, el proveedor del servicio debería ser capaz de decirnos las consecuencias y opciones de recuperación en caso de presentarse un desastre.

Soporte a investigaciones. Las actividades de soporte a las investigaciones de actividad sospechosa se vuelven prácticamente imposibles cuando estamos haciendo uso del cómputo en la nube, a menos que logremos que nuestro pro-veedor del servicio se comprometa a registrar la información relacionada con in-cidentes de seguridad y cuente con procedimientos de atención a los mismos. Considerando que el proveedor hace uso de diversos centros de datos y servido-res para proporcionar el servicio, resulta relevante asegurarnos que la identifica-ción y recuperación de estos registros y pistas de auditoría es posible.

Cumplimiento regulatorio. La responsabilidad final sobre el incumpli-miento legal y regulatorio no cambia una vez que la organización decide utilizar cómputo en la nube. El hecho de que el procesamiento de información se reali-ce a través de un proveedor puede poner en riesgo el nivel de control que la or-ganización tiene sobre su información y el uso que se le de a la misma, abriendo la posibilidad de caer en incumplimientos de ésta naturaleza.

Soporte a largo plazo. Esto se refiere a la permanencia del proveedor del servicio a largo plazo. El riesgo de que el proveedor sea adquirido, se fusione o incluso, deje de operar.

LO FEO-

ma operativo GNU considera que el cómputo en la nube es una trampa orienta-

sistemas propietarios que costarán cada vez más en el futuro.Stallman considera que los usuarios deberían mantener su información en

sus propias manos.Independientemente de nuestros ideales sociales y políticos, debemos reco-

nocer que él cómputo en la nube llegó para quedarse y como responsables de la Seguridad de la Información debemos entender las implicaciones que vienen asociadas con el uso de estos servicios, los riesgos específicos que representa, in-cluyendo sus consecuencias e impactos y los controles disponibles para prote-ger la información de nuestras organizaciones. ●

CLOUDY WITH A CHANCE OF RISKS…

OPINIÓN´ Por Mario Ureña Cuate

Mario Ureña Cuate es Director General de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Fo>armadores de Opinión del British Standards Institution (BSI). www.mariourenacuate.com


Todo parece indicar que en el tema de las certificaciones para ad-ministradores de seguridad, los involucrados están haciendo lo necesario. Algo similar sucede en cuanto a la certificación de

seguridad de los equipos que integran la infraestructura de las orga-nizaciones y en la adopción de mejores prácticas para brindar mayor seguridad a datos, transacciones y, en general, a los recursos de IT de las compañías.

¿Qué falta entonces? Los usuarios, sí. Poniendo lo anterior como cier-to, resulta que ahora les tocaría a ellos certificarse con respecto a sus hábitos y costumbres en el uso de la tecnología de información.

Con esta certificación los usuarios demostrarían que sus actividades del día a día no comprometen los datos y recursos de la compañía, ade-más, garantizarían que están conscientes de la parte de seguridad de IT que les corresponde. Más aún, esto avalaría que emplean los recur-sos de cómputo a su cargo previendo los riesgos inherentes asociados y con el suficiente sentido de alerta ante cualquier amenaza de seguri-dad que se pudiera presentar.

En teoría esto suena muy bien, desafortunadamente, tal certificación aún no existe como tal. Lo más cercano a examinar la actividad de los usuarios es cuando se revisan los controles de End-user computing, que son inclusive requisito para SOX, pero la idea es ir más allá, a las ac-tividades diarias y costumbres de los usuarios en general.

Para quienes de una u otra manera estamos cerca de la seguridad in-formática, nos parece sorprendente que los usuarios comunes no com-prendan los riesgos a los que están expuestos con algunos hábitos que serían fáciles de corregir. Pero lo cierto es que en la mayoría de los ca-sos esta incomprensión se debe a simple desconocimiento. Cuando se le notifica a un usuario que ha violando la política corporativa de la inte-gridad y seguridad informática (así de rimbombante) la respuesta más común es ¿cuál política?, y en la mayoría de los casos la respuesta es auténtica.

Más aún, muchos de los usuarios no saben identificar cuándo se en-cuentran frente a un incidente de seguridad. Por ejemplo, si su cuenta de usuario está bloqueada sin una explicación clara, la mayoría se con-forma con que sea desbloqueada, sin pensar que el origen de esto pue-de ser que alguien intentó adivinar su password.

La buena noticia es que, aun sin esa certificación, existen alternati-vas para capacitar a los usuarios, Una es implementar una campaña de concientización de seguridad de IT al interior de las organizaciones, para lo cual no se requiere una cuantiosa inversión, ni en recursos, ni en personal, ni en tiempo, dado que se pueden utilizar herramientas de intranet o E-Learning para la difusión de los conceptos de seguridad y las políticas que todo empleado debe saber.

En este esfuerzo pueden estar involucradas áreas como seguridad informática, control interno, capacitación, auditoría de IT, etcétera. Aunque cada empresa tiene sus propias necesidades, algunos temas que deben incluirse son: seguridad en equipos personales, seguridad en web y correo electrónico, conceptos de malware en general, difu-sión de las políticas de seguridad de la compañía, cómo identificar un incidente de seguridad y cómo reaccionar, etcétera.

Para darle mayor peso a esta acción, al final de dicho entrena-miento se debe aplicar un examen a cada empleado para garan-tizar que las nociones de seguridad que se pretenden enseñar fueron entendidas. Si el usuario aprueba dicho examen se le otor-ga un certificado, que puede incluso formar parte de su expedien-te en capital humano.

Hecho esto, ningún usuario podrá argumentar desconocimiento de las políticas. Adicionalmente todos los empleados tendrán mayor con-ciencia de los impactos que existen detrás de cada riesgo informático. Y más allá de todo, habrá, sin duda, más ojos alertas ante cualquier in-cidente de seguridad que se presente.

No obstante que los presupuestos para temas de seguridad en in-formática continúan reprimidos por la crisis, no podemos cruzarnos de brazos. Tenemos que ser creativos y continuar cerrando brechas de seguridad. Y el bajo costo de esta estrategia de certificación para usuarios, la coloca como un tema que no debe faltar en nuestro plan anual de seguridad en informática. Bueno eso creo yo, pero ¿usted qué piensa?. ●

AUDITORÍA EXTREMA´

Por Mario Velázquez

Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.

¿Y A LOS USUARIOS QUIÉN LOS CERTIFICA?

Los administradores de seguridad ya se están certificando, lo mismo que los equipos que integran la infraestructura de las organizaciones, pero falta un punto muy importante en esto de asegurar la capacidad de resguardo de las piezas involucradas en una estrategia de seguridad: los usuarios.


SINNÚMERO

En el mundo del cine los dobles suplantan al actor o

actriz de la cinta, a fin de evitar que este se lastime

durante el rodaje de escenas peligrosas. Pero en la vida

real tener un doble podría significar ser víctima del

fraude o robo de identidades, una actividad ilícita, que

tan sólo en Estados Unidos defraudó $54,000 millones

de dólares durante 2009.

En este Sin Número presentamos el análisis de Identity

Fraud Report realizado por la firma de investigación

Javelin Strategy & Research, que tomó como referencia

las respuestas de más de 5,000 ciudadanos

estadunidenses, todos ellos víctimas de fraude

bancarios y robo de identidad.

LOS COSTOS DE TENER UN DOBLE INDESEADO

En los últimos 12 meses más de 11.1 millones de adultos estadunidenses fueron víctimas del robo de identidad.

El robo de identidades creció 12% entre 2008 y 2009 y casi 38 puntos porcentuales en los últimos tres años.

El costo por este ilícito ascendió a $54,000 millones de dólares en 2009, la cifra más alta en los últimos diez años.

Según los datos de Javelin 49% de las víctimas no tomaron ningún tipo de acción legal ni levantaron denuncia alguna.

En 12% de los casos las autoridades lograron arrestar uno o más sospechosos, en 11% de estos lograron procesar al delincuente y

en el 8% se alcanzó una condena para los criminales.

Documents

bSecure — Marzo 2010