Embed Size (px)
Citation preview
Secretaría de Gobernación Comisión Nacional de Seguridad
Servicio de Protección Federal
Documento versión 1.8
Secretaría de Gobernación
Comisión Nacional de Seguridad Servicio de Protección Federal
Guía de Ciberseguridad para Instalaciones públicas
Conceptos, líneas de acción y controles básicos recomendados
para fortalecer la seguridad física de instalaciones públicas
2 de 52
El presente documento está dirigido a los titulares de las
instalaciones públicas, que con el apoyo de sus áreas de tecnología y seguridad física, conforman los esquemas de
seguridad integral
3 de 52
CONTENIDO
Introducción 6
Visión 7
Objetivo 7
Ciberseguridad en la seguridad física de instalaciones 8
Amenazas 9
Actividad de abuso 9
Escucha clandestina o intercepción de información 11
Cortes del suministro de energía 13
Daño o pérdida de los activos de IT 13
Falla y/o funcionamiento anómalo 14
Desastres 14
Ataques físicos 15
Líneas de acción 15
Línea de acción 1.-Análisis de riesgos 15
Dispositivos del IoT 16
Otros dispositivos del ecosistema del IoT 17
Comunicaciones 17
Infraestructura 17
Plataformas y backend 18
Plataformas de toma de decisiones 19
Aplicaciones y servicios 19
Información 19
Línea de acción 2.- Procesos, personas y tecnología 20
Línea de acción 3.-Controles básicos 21
Diseño de sistemas integrales de seguridad 21
Diseño de soluciones 24
Equipo de video seguridad 26
Control de acceso 32
Drones 35
4 de 52
Equipo de cómputo 36
Comunicaciones/Red de datos 37
Bluetooth 38
Línea de acción 4.-Resiliencia 39
DLP 39
Qué hacer y a quién avisar en caso de una ciber amenaza 40
Preservación de evidencias 41
Glosario 44
Referencias 49
Agradecimientos 51
Participantes 51
5 de 52
Introducción El efecto del desarrollo en los países, desde la revolución industrial considerada como la primera etapa de la innovación, hasta la quinta etapa, dominada por la red de redes, la Internet, han marcado una tendencia en la búsqueda de prosperidad y mejora de la vida de la humanidad, sin embargo el resultado de este desarrollo se ha visto marcado desde sus inicios por una división, donde la política, las instituciones y la economía se ven impactados por grupos antagonistas con diferentes intereses que se oponen a dicho cambio o se valen del mismo para favorecer causas ajenas al bienestar social. Lo anterior se ha visto trasladado al sector de las tecnologías de información y comunicaciones, ocasionando un desarrollo imparable y desmedido en la automatización de procesos y servicios, que como consecuencia se han dejado descubiertas diferentes áreas de las infraestructuras, esta es la razón principal de ser de este documento, el cual presenta un modelo básico de ciberseguridad para instalaciones públicas, a partir del establecimiento de líneas de acción y controles en diversos rubros, que abonen al diseño, construcción y operación de sistemas integrales de seguridad. Los elementos y las diferentes áreas de la ciberseguridad pueden parecer interminables, pero todas ellas son vulnerables a una práctica delictiva común que es consumada a través del ciberespacio, potenciando así el daño que un delincuente del ciberespacio o ciberdelincuente puede provocar, de tal forma que una persona puede cometer varios ilícitos sin necesidad de moverse de su sitio y a su vez tener efectos multiplicadores adversos en las personas, instalaciones y el país. Por lo anterior, la cultura de la prevención se convierte en uno de los recursos más importantes para evitar afectaciones por la ciberdelincuencia, hoy día se han acuñado conceptos como civismo digital, donde se espera que todos los usuarios de la Internet sean más cuidadosos en su actuar dentro del ciberespacio, recordando que la experiencia en tecnología no es equivalente a la experiencia en seguridad de tecnología, por lo que la presente guía plantea un punto de referencia para apoyar la seguridad institucional.
6 de 52
Visión Fortalecer a las instituciones públicas en la implementación de sistemas integrales de seguridad, aprovechando de manera responsable la tecnología, mediante la aplicación de esquemas probados de reforzamiento de controles en materia de ciberseguridad, a fin de crear entornos confiables y seguros. Objetivo El propósito de esta guía es apoyar en habilitar controles y buenas prácticas para el fortalecimiento de la seguridad física de los inmuebles gubernamentales o instalaciones vitales del Estado Mexicano, así como también ayudar a prevenir e identificar vulnerabilidades de los sistemas electrónicos de seguridad que se encuentren operando, o que están por iniciarse en una instalación, a fin de asegurar la protección de las personas, información, procesos e infraestructura, con la finalidad de asegurar la continuidad del negocio. El presente documento se construyó basándose en los 3 principios rectores de la Estrategia Nacional de Ciberseguridad, sus ejes transversales que buscan coadyuvar con el desarrollo de los cinco objetivos de dicha estrategia. En concreto, la presente guía proporciona:
● Entendimiento general sobre las vulnerabilidades del ciberespacio ● Elementos del Internet de las Cosas (IoT), sus principales amenazas y
el impacto en un sistema de seguridad integral ● Consejos para la realización del análisis de riesgos en la parte
tecnológica ● Mejores prácticas para el diseño de sistemas de seguridad integral ● Información sobre qué hacer y a quién avisar ante una situación de
riesgo o emergencia de ciberseguridad
7 de 52
Ciberseguridad en la seguridad física de instalaciones
¿Qué se entiende por ciberseguridad? Es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. La ciberseguridad se ve amenazada en 3 grupos, en primera instancia el cibercrimen, que incluye actores individuales o grupos que dirigen ataques a sistemas para obtener ganancias financieras; el ciberterrorismo, cuyo propósito es comprometer los sistemas electrónicos y causa pánico o temor en la población y la ciberguerra, que a menudo involucra el robo y recopilación de información con fines políticos. 2 Ahora entenderemos el concepto de Internet de las Cosas o IoT (Internet of Things) por sus siglas en el idioma inglés, que está íntimamente ligado con los temas que se abordarán. Primero que nada, puede identificarse al IoT con objetos físicos o virtuales que pueden identificarse e integrarse en las redes de comunicación, por tanto tienen la capacidad de intercambiar datos a través de una red, estos objetos pueden tener funcionalidades tales como detectar movimiento y capturar imágenes, activar, almacenar y procesar datos, ejecutar aplicaciones localmente o en la nube de Internet, etc. así, estos sistemas pueden producir, recuperar o procesar datos, conectándose a la red a fin de auxiliar en actividades de monitoreo y control. En resumen, la ciberseguridad en la seguridad física es la protección del ecosistema ciber-físico, (por llamar así al entorno donde las Cosas del Internet impactan en dispositivos físicos) en donde convergen sensores, actuadores y dispositivos electrónicos, que forman parte de un ciclo continuo de detección, toma de decisiones inteligentes y protocolos de actuación. 3 4
8 de 52
De forma que la seguridad es una de las principales preocupaciones en los sistemas de seguridad electrónicos y el Internet de las Cosas, considerando su diversa naturaleza y que la mayoría de estos dispositivos se encuentran interconectados entre ellos y a la Internet, de ahí la importancia de tener una cultura de prevención del delito cibernético, pues cualquier evento malicioso en el mundo del IoT, tiene un impacto y repercusión en el mundo físico. 5
Amenazas
Conocer los tipos de amenazas ayuda a determinar el impacto que estas pueden tener en nuestro ecosistema tecnológico de seguridad, dar cuenta de ellas es crucial para estar en posibilidad de evitarlas o mitigarlas según sea la situación, para lo cual se ha tomado la clasificación que la ENISA (European Union Agency for Network and Information Security) ha emitido en su línea base de recomendaciones para la IoT, de noviembre de 2017 sobre amenazas y su impacto.
La estructura de las amenazas se presenta de la siguiente forma:
CATEGORÍA
✓✓ AMENAZA o DESCRIPCIÓN
▪▪ ACTIVOS AFECTADOS
Actividad de abuso ✓ Malware
o Programas de software diseñados para llevar a cabo acciones no deseadas y no autorizadas en un sistema sin el consentimiento del usuario, lo que resulta en daños, corrupción o robo de información, su impacto puede ser alto
▪ Dispositivos del ecosistema del IoT ▪ Plataforma ▪ Backend
9 de 52
✓ Exploit Kits o Código diseñado para aprovechar una
vulnerabilidad con el fin de obtener acceso a un sistema. Esta amenaza es difícil de detectar y en los entornos de IoT, el impacto varía dependiendo de los activos afectados
▪ Dispositivos del ecosistema del IoT ▪ Infraestructura
✓ Ataques dirigidos
o Diseñados para un objetivo específico, lanzados durante un largo período de tiempo y llevados a cabo en múltiples etapas. El objetivo principal es permanecer oculto y obtener la mayor cantidad de datos o información confidencial sea posible, si bien el impacto de esta amenaza es medio, suele llevar mucho tiempo o ser muy difícil detectarlos
▪ Infraestructura ▪ Plataforma y Backend ▪ Información
✓ DDoS
o Varios sistemas que atacan un solo objetivo para saturarlo y hacer que se bloquee. Esto se puede llevar a cabo haciendo muchas conexiones, inundando un canal de comunicación o reproduciendo las mismas comunicaciones una y otra vez
▪ Dispositivos del ecosistema del IoT ▪ Plataforma & Backend ▪ Infraestructura
✓ Falsificación de dispositivos
o Esta amenaza es difícil de descubrir, ya que un dispositivo falsificado no se puede distinguir fácilmente del original. Estos dispositivos generalmente tienen puertas traseras y se pueden
10 de 52
utilizar para realizar ataques en otros sistemas del entorno
▪ Dispositivos del ecosistema del IoT ▪ Infraestructura
✓ Ataques a la privacidad o Esta amenaza afecta tanto a la privacidad del
usuario como a la exposición de los elementos de la red a personal no autorizado
▪ Dispositivos IoT ▪ Plataforma y Backend ▪ Información
✓ Modificación de la información o En este caso, el objetivo no es dañar los dispositivos,
sino manipular la información para provocar el caos o adquirir ganancias monetarias
▪ Dispositivos de IoT ▪ Plataforma y Backend ▪ Información
Escucha clandestina o intercepción de información ✓ Hombre en el medio
o Escucha activo, en el que el atacante transmite mensajes de una víctima a otra, para hacerles creer que están hablando directamente entre sí
▪ Información ▪ Comunicaciones ▪ Dispositivos IoT
✓ Toma de control de comunicaciones en la IoT
o Tomando el control de una sesión de comunicación existente entre dos elementos de la red, el intruso es capaz de detectar información sensible, incluidas las contraseñas. El robo de información puede llevarse a cabo usando técnicas agresivas, como forzar la desconexión o la denegación de servicio
▪ Información
11 de 52
▪ Comunicaciones dispositivos IoT ▪ Toma de decisiones
✓ Intercepción de la información o Intercepción no autorizada y a veces, modificación
de una comunicación privada, como llamadas telefónicas, mensajes instantáneos, comunicaciones por correo electrónico, etc.
▪ Información ▪ Comunicaciones ▪ Dispositivos IoT
✓ Reconocimiento de redes
o Obtención de información de manera pasiva sobre la red: dispositivos conectados, protocolo utilizado, puertos abiertos, servicios en uso, etc
▪ Información ▪ Comunicaciones ▪ Dispositivos IoT ▪ Infraestructura
✓ Secuestro de sesión
o Robo de la conexión de datos actuando como un equipo legítimo para robar, modificar o eliminar los datos transmitidos
▪ Información ▪ Comunicaciones ▪ Dispositivos IoT
✓ Recopilación de información
o Recuperación de información interna de forma pasiva desde dispositivos conectados, protocolo utilizado, etc.
▪ Información ▪ Comunicaciones ▪ Dispositivos IoT
✓ Reproducción de mensajes
12 de 52
o Este ataque utiliza una transmisión de datos válida de forma malintencionada, enviándola o retrasándola repetidamente para manipular o bloquear el dispositivo de destino
▪ Información ▪ Dispositivos IoT ▪ Toma de decisiones
Cortes del suministro de energía
✓ Caída de la red o Interrupción o falla en el suministro de la red de datos,
ya sea intencional o accidental. Dependiendo del segmento de red afectado y del tiempo requerido para recuperarse
▪ Infraestructura ▪ Comunicaciones
✓ Falla en las comunicaciones de los dispositivos
o Amenaza de falla o funcionamiento anómalo de dispositivos
▪ Dispositivos de IoT
✓ Falla del sistema o Amenaza de falla de los servicios o aplicaciones de
software ▪ Dispositivos IoT ▪ Plataforma y Backend
✓ Pérdida de servicios de soporte
o No se dispone de los servicios de soporte necesarios para mantener el correcto funcionamiento del sistema de información
▪ Todos los activos
Daño o pérdida de los activos de IT ✓ Fuga de información sensible
o Sea de forma intencional o no, la información sensible es revelada a terceras partes no autorizadas para el uso de ella; la importancia de esta amenaza puede
13 de 52
variar según el tipo de información fue filtrada o compartida
▪ Dispositivos del IoT ▪ Plataforma y Backend ▪ Información
Falla y/o funcionamiento anómalo ✓ Vulnerabilidad del software
o La mayoría de los dispositivos del IoT son vulnerados debido al empleo débil de contraseñas o al uso de claves de acceso que vienen configuradas por default en los dispositivos, errores en la programación y / o su configuración, dejando en riesgo parte de la red y/o del dispositivo en cuestión, esta amenaza usualmente está relacionada con otras
▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura ▪ Aplicaciones y servicios
✓ Fallas de terceros
o Errores en un elemento activo de la red causados por la configuración incorrecta de otro elemento que tiene relación directa con él
▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura ▪ Aplicaciones y servicios
Desastres
✓ Desastre natural o Estos incluyen eventos tales como inundaciones,
vientos fuertes, fuertes nieves, deslizamientos de tierra, entre otros desastres naturales, que podrían dañar físicamente los dispositivos.
▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura
14 de 52
✓ Desastre ambiental
o Desastres en los entornos donde se habilitan los equipos del IoT, provocando como consecuencia su inoperatividad
▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura
Ataques físicos ✓ Modificación del dispositivo
o Manipulación de un dispositivo aprovechando su mala configuración para abrir otros accesos
▪ Comunicaciones ▪ Dispositivos IoT
✓ Sabotaje o destrucción del dispositivo
o Incidentes de robo, ataque con bombas, vandalismo o sabotaje
▪ Dispositivos del ecosistema de IoT ▪ Plataforma y Backend ▪ Infraestructura
Líneas de acción
El presente documento desarrolla un modelo básico que abona a la ciberseguridad del ecosistema tecnológico del sistema integral de seguridad, mediante el planteamiento de líneas de acción específicas que a continuación se muestran, a fin de que estas sirvan de guía y puedan ser implementadas en las instituciones públicas, independientemente del tipo de infraestructura que éstas habiliten, pues su aplicabilidad es general.
Línea de acción 1.-Análisis de riesgos
Un análisis de riesgos es esencial para determinar y poder enumerar las principales amenazas, vulnerabilidades, factores de riesgo y los
15 de 52
posibles escenarios de ataque que puedan afectar nuestros sistemas, dispositivos y redes, tomando en cuenta los diferentes niveles de importancia y criticidad que tengan cada uno de ellos, en función del tipo de afectación e impacto a nuestra infraestructura y continuidad del negocio. Lo anterior permitirá determinar y proponer medidas de seguridad específicas para contrarrestar el impacto y favorecer la resiliencia de dichos sistemas. Como ya se ha identificado las posibles amenazas en el punto anterior, comenzaremos por identificar y seleccionar los activos que componen nuestro ecosistema, a fin de concretar grupos de activos críticos. Dado que haremos un acercamiento a estos componentes, es importante mencionar que el tipo de protección que se le otorgue a cada dispositivo o grupo, puede variar según el uso y la aplicabilidad que posea dentro del esquema operativo, pues eso determinará la criticidad de la continuidad de los mismos. 6
Se considera que la clasificación de dispositivos del IoT hecha por la ENISA en su línea base de recomendaciones para dispositivos del IoT, es de gran ayuda, pues permite entender en que grupo se puede clasificar cada dispositivo del ecosistema tecnológico de seguridad, a fin de ponderar adecuadamente los impactos y planes de mitigación para cada uno de los dispositivos que conforman el ecosistema. Dispositivos del IoT ✓ Hardware
Son los diferentes componentes físicos (excepto sensores y accionadores) a partir de los cuales se pueden construir los dispositivos de IoT. Estos incluyen microcontroladores, microprocesadores, los puertos físicos del dispositivo, la placa base, etc.
✓ Software Abarca desde el sistema operativo del dispositivo, su firmware y los programas y aplicaciones instalados en ejecución
✓ Sensores
16 de 52
Estos son los subsistemas cuyo propósito es detectar y medir eventos en su entorno y enviar información a otros dispositivos electrónicos para ser procesados, habiendo sensores para muchos propósitos como medir la temperatura, detectar movimiento o apertura/cierre de un componente.
✓ Actuadores Se pueden describir como las unidades de salida de los dispositivos del IoT, pues ejecutan decisiones basadas en la información procesada previamente
Otros dispositivos del ecosistema del IoT
✓ Interfaces de IoT Dispositivos cuyo propósito es servir como una interfaz o como un agregador entre otros dispositivos del IoT, así como también para interactuar con los dispositivos de dicho ecosistema
✓ Dispositivos para la administración del IoT Estos dispositivos son especialmente designados para la administración de otros dispositivos del mundo del IoT, redes, etc.
✓ Sistemas embebidos Se basan en una unidad de procesamiento que les permite procesar datos por su cuenta. Se incluyen los sensores y accionadores, con capacidades de conectarse a la red o alguna solución en la nube y con capacidad de ejecutar software
Comunicaciones
✓ Redes
Permiten la comunicación entre los diferentes nodos del ecosistema del IoT para intercambiar datos e información entre ellos, a través de un enlace de datos, existiendo diferentes tipos de redes que incluyen las redes LAN, PAN y WAN
17 de 52
✓ Protocolos Definen el conjunto de reglas sobre el cómo se debe realizar la comunicación entre dos o más dispositivos del IoT a través de un canal determinado, existiendo diversos protocolos de comunicación alámbricos e inalámbricos
Infraestructura
✓ Ruteadores Componentes de la red de datos que envían paquetes entre las diferentes redes del ecosistema IoT
✓ Gateways Nodos de red utilizados para interactuar con otra red del entorno de IoT que utiliza diferentes protocolos, las pasarelas o gateways pueden proporcionar traductores de protocolo, aisladores de fallas, para que al final proporcionen interoperabilidad entre los sistemas
✓ Fuentes de poder Dispositivo de suministro de energía eléctrica a un dispositivo IoT y a sus componentes internos; la fuente de alimentación puede ser externa y cableada o puede venir integrada en el mismo dispositivo
✓ Activos de seguridad Este grupo comprende los activos enfocados específicamente en la seguridad de los dispositivos, las redes y la información de IoT, de manera más específica a los firewalls, firewalls de aplicación web (WAF), CASB para proteger la nube, IDS, IPS y sistemas de autenticación / autorización
Plataformas y backend
✓ Web-based services
18 de 52
Estos son servicios en la World Wide Web, proporcionan una interfaz basada en web para usuarios web o aplicaciones conectadas a la Internet, que habilitan el uso del IoT para comunicaciones de persona a máquina (H2M) y para comunicaciones máquina a máquina M2M
✓ Infraestructura de nube
El dorsal final (backend) de la nube se puede usar para agregar y procesar datos de los dispositivos y también proporcionar otras capacidades de cómputo tales como almacenamiento, servicios y aplicaciones
Plataformas de toma de decisiones
✓ Minería de datos Se refiere al conjunto de soluciones que permiten procesar
datos recopilados y transformarlos en una estructura definida para su uso posterior
✓ Procesamiento de datos
Servicios que facilitan el procesamiento de los datos recopilados para obtener información útil, que se puede utilizar para aplicar reglas y lógica para la toma de decisiones y automatizar procesos
Aplicaciones y servicios
✓ Análisis de datos Una vez que los datos se han recopilado y procesado, la
información resultante se puede analizar y visualizar para identificar nuevos patrones y mejorar la eficiencia operativa
✓ Administración de dispositivos y redes
19 de 52
Incluye las actualizaciones de software del sistema operativo, el firmware y las aplicaciones. Engloba el seguimiento y la supervisión del comportamiento de los dispositivos y de los equipos de conectividad, así como también de recopilar y almacenar los registros de las transacciones que pueden apoyar a diagnósticos
✓ Uso de dispositivos
Permite contextualizar el uso de los dispositivos en la red, así como comprender el estado en que se encuentran en el momento y cuales han sido los patrones de uso
Información ✓ En reposo
Información almacenada en una base de datos en el backend de la nube o en los propios dispositivos o servidores en sitio
✓ En tránsito Información enviada o intercambiada a través de la red entre
dos o más elementos del IoT
✓ En Uso Información utilizada por una aplicación, servicio o elemento
de IoT en general Lo anterior permitirá seguir el curso de la realización de un análisis de riesgos y así definir cómo tratar los riesgos identificados en el mismo, los pasos sugeridos para la conformación de dicho análisis son los siguientes: ✓ Definir el alcance que tendrá el estudio ✓ Efectuar la identificación de activos y agruparlos ✓ Listar las posibles amenazas ✓ Identificar las vulnerabilidades ✓ Realizar la evaluación del riesgo
o Entendiendo que el riesgo es igual a la probabilidad de ocurrencia más el impacto que esto pueda provocar
20 de 52
✓ Tratamiento del riesgo o Para el tratamiento del riesgo, se debe considerar al
menos que este se puede transferir, eliminar, asumir o se deberán implantar medidas de mitigación
2.- Fuente Kasperky https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security 3.- Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures 4.- https://www.itu.int/rec/T-REC-Y.2060-201206-I 5.- https://www.windriver.com/whitepapers/security-in-the-internet-of-things/wr_security-in-the-internet-of-things.pdf 6.-https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/etl2015/enisa-threat-taxonomy-a-tool-for-structuring-threat-information
Línea de acción 2.- Procesos, personas y tecnología
Lo primero es entender y tratar los procesos para cubrir necesidades de seguridad de la organización, posteriormente las personas, involucrarlas en las soluciones de la seguridad física, esto permitirá una rápida aceptación de nuevos procesos, apoyará la mejora continua y el sostenimiento de ellos, además de generar confianza entre el personal, de esta forma la parte tecnológica habilitada para los fines que se requiera, tendrá una rápida y buena adopción, además de que podrá gozar de la protección del mismo personal previamente involucrado, pues al final se entenderá que los sistemas implementados son para su beneficio y protección, máxime si de seguridad institucional se trata. Dentro de los procesos, hemos acuñado el término de dinámica corporativa, dicho término nos permite hacer referencia a los diferentes comportamientos del personal y procesos en ciertas horas, lo cual resulta en un mecanismo eficaz para detectar patrones dentro de la seguridad física para efectuar los ajustes necesarios. El involucramiento de la alta dirección en la implementación de procesos de seguridad, es de suma importancia para que estos se implementen y se ejecuten de forma correcta, así la aplicación de las políticas y procedimientos establecidos apoyarán a la prevención dentro del marco de la ciberseguridad de los sistemas electrónicos de seguridad.
Línea de acción 3.-Controles básicos
A continuación se proporciona una lista de recomendaciones, medidas de seguridad y controles básicos, cuyo objetivo es minimizar
21 de 52
las amenazas, vulnerabilidades y mitigar los riesgos que pueden afectar al entorno del IoT y los sistemas electrónicos de seguridad. El presente documento abarca un universo heterogéneo de dispositivos y tecnologías, por lo que los siguientes apartados cubren de manera general una gama amplia de consideraciones tanto de diseño de aplicaciones como de seguridad y ciberseguridad. Diseño de sistemas integrales de seguridad
Políticas de seguridad
Estas deberán apuntar de manera general a la seguridad de la información y encargarse puntualmente al menos del cuidado y manejo de la misma, se sugiere que dicten las pautas para el buen uso de los sistemas, desarrollando una cultura de seguridad en torno a su uso y manejo
Considerar los siguientes objetivos de los atacantes como los indispensables para iniciar el diseño de un sistema integral de seguridad: ✓ Detección de vulnerabilidades ✓ Penetración de defensas ✓ Evitar la detección ✓ Colusión, Robo y sabotaje ✓ Escape
Es importante crear un comité de seguridad de la información, que será el responsable de aprobar dichas políticas, así como difundirlas y velar por que todos los usuarios las conozcan y las apliquen
Se recomienda que todos los sistemas sujetos a las políticas desarrolladas deban realizar un análisis de riesgos, evaluando las amenazas y riesgos a los cuales están expuestos, repitiendo el mismo:
✓ Al menos una vez al año ✓ Cuando cambien los servicios prestados ✓ Cuando ocurra un incidente grave ✓ Cuando se reporten vulnerabilidades graves
22 de 52
Se hace la invitación a que se realice un comité que pueda armonizar los diferentes análisis de riesgos, a fin de que se establezcan valores de referencia para los diferentes tipos de información y servicios manejados
Dentro de las políticas de seguridad y uso responsable de los sistemas, se recomienda que los administradores de estos sistemas reciban formación para el manejo seguro de los mismos con carácter de obligatorio antes de asumir alguna responsabilidad
También se debe asegurar la existencia de canales de comunicación que permitan el correcto reporte de incidentes que los mismos usuarios comuniquen, a fin de otorgar un puntual seguimiento para su resolución categorizando cada uno de ellos
Cuando la institución utilice servicios de terceros o ceda información a terceros, se les debe hacer partícipe de la política de seguridad que involucre esos servicios o información 7
Un sistema integrado relaciona procesos, personas y al final como un componente de fortalecimiento la tecnología como un medio, permitiendo que:
✓ Se tenga una rápida respuesta ante incidentes ✓ Alerta a las policías y autoridades ✓ Favorece la prevención del acceso no autorizado y las
entradas encubiertas ✓ Detecta faltas a los procedimientos y normas ✓ Provee retardo ✓ Permite evaluar alertas de manera correcta
7.-https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/508-ccn-stic-805-politica-de-seguridad-de-la-informacion/file.html
Las políticas de seguridad están escritas en un nivel muy amplio, estas deben ser complementadas con documentos más precisos que ayuden a llevar a cabo lo propuesto, para apalancar lo anterior se tienen otros mecanismos que reciben diferentes nombres: 8
23 de 52
✓ Normas de seguridad Las normas son de carácter obligatorio e indican el uso correcto y las responsabilidades de los usuarios, indican el uso de aspectos concretos del sistema
✓ Guías de seguridad Estas deben de tener un carácter formativo, buscar ayudar a los usuarios a aplicar correctamente las medidas de seguridad, mostrando razonamientos generales donde no haya un procedimiento paso a paso y a detalle
✓ Procedimientos de seguridad Los procedimientos de seguridad dirigidos a la operatividad, deberán abordar tareas específicas indicando lo que hay que hacer
8.-NIST SP 800-100, An Introduction to Computer Security: The NIST Handbook, October 1995
Diseño de soluciones Se deberá considerar que dentro de todo el diseño de un sistema integral de seguridad, este se tiene que hacer con un enfoque objetivo y holístico, que permee a todos los niveles del diseño y desarrollo, integrando la seguridad en la implementación del modelo.
Se sugiere tener una visión que permita encapsular los componentes de una solución, es decir, que la arquitectura pueda llevarse a cabo por compartimientos para cubrirla en caso de posibles ataques.
En relación a las redes de comunicaciones, se sugiere separar físicamente la red de comunicaciones de la solución, de la red de comunicaciones de los usuarios, en caso de necesitar tener puentes de comunicaciones entre las redes independientes que sean muy necesarios para el esquema particular de cada institución, este se sugiere hacerse como una DMZ y dar permisos de entrada y salida específicos a cada aplicación y /o computadora, pudiendo revisar y registrar el tipo de tráfico
24 de 52
de las transacciones, así como restringir cualquier tipo de comunicación maliciosa.
Antes de hacer la implementación de alguna solución de seguridad, es importante realizar de manera conjunta con los fabricantes, pruebas de concepto y un análisis de comportamiento y/o tráfico, a fin de ratificar que lo que se requiere en la solución, es lo que se entrega de parte de la solución o servicio del proveedor.
Si se considera alguna clase de acceso remoto en la solución de seguridad integral a habilitar, se debe asegurar que este sea a través de un servicio al menos de vpn ipsec, para asegurar por medio de políticas de seguridad que solo el quipo conectado podrá ver solo los dispositivos necesarios.
Aconsejamos realizar pruebas de penetración controladas a la red de datos del ecosistema y a los elementos que se tienen conectados a la red de la solución. Antes de conectar a Internet alguno de los elementos de la solución integral de seguridad, se sugiere primero revisar la necesidad de hacerlo antes de efectuar dicha tarea y en caso de que se necesario conectar la solución a internet, deberá asegurarse que sea por los canales y medios adecuados.
Establezca y mantenga procedimientos de administración de activos y controles de configuración para redes clave y sistemas de información.
Realice evaluaciones de impacto a la privacidad antes de habilitar alguna solución.
Cuando en el diseño se piense en el ahorro de energía, este no debe comprometer la seguridad del modelo.
Las instituciones deben asegurarse de que proveedores sean responsables de sus soluciones y rindan reportes de las mismas, en caso de incidente en la seguridad de la organización, la misma debe estar preparada con la respuesta, esto es tener su rol de responsables que evalúan y responden ante situaciones de riesgo o emergencia.
25 de 52
Tener claridad sobre la duración o vida útil y soporte en parches de seguridad de los productos a implementar.
Es importante vincular a los usuarios en el diseño de una solución integral de seguridad, para que ellos también velen por el respeto a los procesos y el buen manejo de los activos implementados
Será deseable capacitar al personal sobre las buenas prácticas que promuevan la privacidad y la seguridad
El sistema integrado deberá ser fácil de operar para el responsable de la seguridad institucional, considerando los siguientes puntos: 11
✓ Debe contener información esencial y bien localizada ✓ Tener una interacción eficiente con el sistema ✓ El sistema debe apoyar al operador para llevar a cabo de
forma correcta las tareas
Equipo de video seguridad Compuesto principalmente por sensores de video y en algunos casos
con audio, existen muchas variables o áreas especializadas para la video vigilancia, partiendo de su tecnología que puede ser analógica o digital para redes de datos, para uso local o en múltiples sitios, considerando cámaras fijas, móviles, vestibles, encubiertas y para todo tipo de entorno, es importante saber para que las vamos a usar y como las vamos a proteger.
De igual forma al este apartado integraremos junto a las cámaras los VMSs, toda vez que este binomio es el más usado en la actualidad al momento de implementar video cámaras por IP.
Antes de revisar el tipo de infraestructura que en materia de video
seguridad se refiere, es importante saber el propósito de cada uno de los dispositivos de video seguridad a implementar, esto
26 de 52
hace referencia a que cada uno de estos tenga una misión específica y que mitigue alguna vulnerabilidad descrita en el análisis de riesgos realizado previamente.
Se recomienda que cada cámara tenga una contraseña diferente
para su administración y se modifique la que tiene por default utilizando contraseñas fuertes como se señaló en el punto anterior.
Asegurarse que el video de las cámaras se encuentre cifrado en su
tránsito del dispositivo de video seguridad hacia el almacenamiento o VMS.
Con respecto a la visualización del video en tiempo real desde
móviles, considere primero si es necesario realizar esta práctica antes de habilitar dicha funcionalidad, toda vez que esto representa un riesgo mayor.
Sugerimos que la red de comunicaciones sea de una categoría
suficiente para que el transporte de datos sea eficiente y de igual manera independiente a la red de comunicaciones de los usuarios a fin de evitar saturaciones en el uso del ancho de banda de la misma.
Cuidar que al momento de implementar un servicio de video
seguridad, este cuente con el soporte por el fabricante y no esté en su fin de vida o soporte.
Respecto al cableado que se instala para interconectar un
dispositivo de video seguridad ya sea con un equipo de conectividad para las cámaras IP y con un DVR, para el caso de equipo análogo, se sugiere que las canalizaciones se efectúen de tal forma que no haya fácil acceso hacia las tuberías y así proteger mejor la infraestructura de comunicaciones.
Es importante que cuando se instalen cámaras en la intemperie se
considere la canalización, cableado y conectores apropiados para resistir las inclemencias del tiempo y asegurar la operación del equipo de video seguridad.
Unas de las amenazas más comunes en los sistemas de video son: 12
27 de 52
✓ Sabotaje, manipulación y vandalismos de los dispositivos de
video seguridad ✓ Negación de servicio (DoS) ✓ Filtrado de video ✓ Robo y distribución del video robado utilizado para observar
patrones operacionales de las áreas de alto riesgo ✓ Ubicación de los VIPS
Las vulnerabilidades posibles de las cámaras son:
✓ Defectos y fallas en el código propietario o código abierto ✓ Que los equipos compartan el video con otros dispositivos
en la nube ✓ Falta de claridad en las instrucciones sobre su tipo de
conectividad y servicios que terceros pueden acceder ✓ Carcasas del producto débil o endebles ✓ Cuentas cuyos mínimos privilegios son insuficientes y es
necesario tener la cuenta de administrador o root para su manipulación común
✓ Falta de literatura como manuales del dispositivo, soporte técnico o apoyo en caso de fallas o dudas
12.-Cibersecurity Video System Overview from AXIS
Las cámaras tienen tres propósitos principales, obtener información visual de algo que está ocurriendo, obtener información visual de algo que ocurrió y disuadir actividades no deseadas, bajo este contexto cada dispositivo puede cumplir una función específica según sus características Se recomienda que las cámaras permitan confirmar una alerta de seguridad producida por otro sensor, lo anterior se refiere que solo se revise en tiempo real una cámara si es necesario Por lo anterior se debe entender que la información visual en tiempo real es el medio ideal para realizar una evaluación de una alerta de riesgo o emergencia donde se pueda determinar cómo verdadera o falsa, también se pueda tener la primera evaluación de la situación
28 de 52
Se recomienda que para el diseño del sistema, una vez concretado el análisis de riesgos previamente, se establezcan los siguientes conceptos a desarrollar: ✓ Establecer el propósito del sistema de video seguridad ✓ Definir el propósito de cada cámara ✓ Definir áreas de cobertura por cada cámara ✓ Seleccionar el tipo de cámara según su misión,
considerando o Sensibilidad o Resolución o Características físicas
✓ Seleccionar el tipo de lente o Formato de la cámara o Distancia del objeto(s) o Campo de visión
✓ Selección del método de transmisión de señales de video al VMS
✓ Planificar el área de control Lo antes mencionado deberá ser parte del esquema de seguridad integral del inmueble La definición del propósito de cada cámara deberá ir por escrito, por ejemplo: La cámara del patio deberá poder identificar el rostro de las personas que ingresen a esta área De igual forma se tiene que registrar el tipo de identificación que realizará la cámara, esta puede ser de un sujeto, acción o de la escena La identificación de un sujeto, la imagen deberá proporcionar detalle de la escena a fin de que no haya duda de quién es el que aparece dentro del cuadro de los fotogramas, lo anterior deberá ser definido por el ángulo de la cámara y el sujeto a identificar deberá al menos abarcar el 10% de la imagen Identificar una acción permite ver qué fue lo que pasó o aconteció en el área de cobertura de la imagen de la cámara, será importante tener en cuenta la iluminación, el
29 de 52
ángulo, la resolución de la imagen y los fps que componen la imagen La identificación de una escena puede ayudar a dar respuesta rápida a la reacción operativa, toda vez que en ella se puede entender el comportamiento del entorno y lo que sucede en él, también es esta se deben cuidar aspectos de iluminación, ángulo y fps que componen la escena La selección en el tipo de cámara como se ha mencionado anteriormente, se realiza de acuerdo al tipo de área de cobertura y su misión específica, La sensibilidad, resolución y características son los factores a tomar en cuenta para su implementación, ✓ Sensibilidad, recomendamos atender los valores de
cantidad mínima de iluminación que requiere para capturar una imagen, siendo la medida en Lux y de esto dependen:
o Tipo de iluminación ▪ Natural / artificial ▪ Visible / IR ▪ Fija o variable
o Óptica de la lente o Apertura del lente (iris) o Reflectancia de la luz o Para las cámaras térmicas, existen varios aspectos de
acuerdo a su sensibilidad ▪ Visión en niebla o total oscuridad ▪ Aplicaciones industriales y de control ▪ Detección y clasificación ▪ Detección de temperatura (Termográficas)
✓ Resolución, nos permite distinguir detalles finos en una imagen, es decir que es el número de pixeles que forman una imagen,
o CIF, es el formato de intercambio común, por sus siglas en inglés(Common Intermidiate format) y su resolución es de 352x240 pixeles
o Video analógico es de 4CIF = 704x480 pixeles o D1 720 X 480 o VGA 640 x 480 o HD 1280 x 720 o 0.9 Megapixeles o 1080 Full HD 1920 x 1080 es igual 2.1 Megapixeles MP
30 de 52
o 2 MP es igual 1600 x 1200 o 1.3 MP equivale a 1280 x 1024 o 4K es 3960 x 2160 (4 veces Full HD) o También se debe tomar en cuenta la relación de
aspecto o relación dimensional de la imagen ▪ 4:3 ▪ 16:9 ▪ 5:4
Por lo anterior, se debe tomar en cuenta que a mayor tamaño de imagen se va a requerir mayor almacenamiento y mayor ancho de banda en la red de datos.
✓ Dentro de la resolución hay que tomar revisar los algoritmos
de compresión de video, siendo estos los más comunes, o MPEG o MPEG-4 o H.263 o H.264
Por lo anterior, se sugiere revisar cada escenario y configurar el mejor perfil para el caso específico de aplicación, de igual forma se recomienda que cada configuración final se documente. Es importante seleccionar VMS que mantengan también un monitoreo constante de los dispositivos conectados y que genere alertamientos cada vez que cada dispositivo se encuentre desconectado. Para los casos donde es importante la evidencia y esta debe ser compartida sin ningún tipo de compresión o modificación de la fuente original, se recomienda revisar con el implementador que el VMS tenga la capacidad de entrega de los videos grabados con las características antes mencionadas. Análisis de video
31 de 52
El análisis de video en tiempo real es una característica que permite la vigilancia proactiva, pudiendo esta ser una característica de la cámara o de un servidor donde se estén procesando las imágenes provenientes de las cámaras. Es importante señalar que cualquier analítico empleado en alguna instalación deba ser configurado para que pueda entregar algún tipo de alertamiento al responsable de la instalación previa una doble verificación del evento por medio de otro tipo de sensor, ya sea de movimiento, apertura o cercas inteligentes por ejemplo, pues al final esto dará mayor certeza de que no se están teniendo alertamiento falsos. La analítica de video es posible gracias al procesamiento intensivo de imágenes que facilita la detección de patrones de comportamiento en los pixeles de una imagen, es decir, podemos distinguir tamaños, direcciones y como ya lo mencionamos, patrones que nos permiten supervisar áreas, así con ciertos criterios nos puedan alertar de situaciones que se consideren de riesgo o emergencia. Algunas de estas funcionalidades son: ✓ Detección de un objeto abandonado ✓ Detección de la dirección de un objeto ✓ Objeto removido ✓ Cruce de una línea ✓ Conteo de personas ✓ Reconocimiento de placas ✓ Clasificación de objetos ✓ Detección de movimiento
Las funcionalidades antes mencionadas nos permite mejorar la seguridad, toda vez que no se necesita a una persona viendo un monitor esperando a que pase algo, sino que de manera proactiva el análisis de video permitirá notificar cuando se esté perpetrando un evento de riesgo o emergencia, para ser atendido de manera más eficiente, volviendo los tradicionales sistemas de circuito cerrado de televisión CCTV en plataformas de detección y alertas inteligentes.
32 de 52
La analítica de video también apoya en la búsqueda eficiente de escenas específicas en el video almacenado, teniendo tiempos cortos en la recuperación del mismo. Recomendamos que para habilitar cualquier solución integral de seguridad se debe considerar, las distancias desde la cámara al concentrador de imágenes, así como anchos de banda y procesamiento de datos, toda vez que dependiendo de estos factores, es que vamos a decidir qué tipo de analítico que se va a emplear, ya sea que directamente las cámaras hagan el procesamiento del análisis de video o se implemente un servidor para el mismo fin.
Control de acceso
Permitir el ingreso y egreso de personal y material autorizado evita, detecta y retrasa la entrada de: ✓ Personas no autorizadas ✓ Armas ✓ Explosivos ✓ Diferentes tipos de contrabando
Y a la salida: ✓ Material no autorizado ✓ Bienes de la organización ✓ Información
Dentro del control de acceso existen diferentes límites o tipos de áreas restringidas, estas son: ✓ La protección de personas y bienes ✓ Protección de la información ✓ Evitar daños a equipos, procesos o áreas ✓ Aislar procesos y operaciones
33 de 52
Comprendiendo lo anterior, se podrá entender que la implementación de sistemas electrónicos para el control de acceso es la parte medular del buen funcionamiento y administración dichos sistemas, por lo que también se son susceptibles a fallas e intromisiones con carácter malicioso, por lo que se sugiere lo siguiente: 9
La institución debe planear antes de implementar un sistema de control de acceso considerando tres puntos: políticas, modelos y mecanismos de control de acceso. Las políticas de control de acceso son requisitos de alto nivel que indican cómo se debe gestionar los accesos y quién puede acceder a la información y en qué clase de circunstancias. Los modelos de seguridad generalmente se escriben para describir las propiedades de seguridad de un sistema de control de acceso y los mecanismos indican como la infraestructura asegura los requerimientos de control de acceso. 10
Se debe contar con procedimientos para las altas, bajas y cambios del control de acceso, así como bitácoras que puedan indicar al menos la hora, fecha, usuario y equipo donde se hicieron dichos cambios. Toda vez que son necesarios los accesos a la red, al sistema operativo, a las aplicaciones y a la información, se deberá tener registros y bitácoras de acceso.
La totalidad de accesos no autorizados deben ser evitados y se deben minimizar al máximo las probabilidades de que eso suceda, apoyándose en los resultados del análisis de riesgos.
Lo anterior se debe controlar mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas.
Se debe cambiar las credenciales que están por default en la aplicación, esto es, cambiar las contraseñas de los usuarios maestros como Admin, admin, root, administrador, Administrator, etc.
Se recomienda que las contraseñas de todos los usuarios del sistema sean al menos de 7 caracteres, se deben usar
34 de 52
combinaciones de letras mayúsculas y minúsculas, números y símbolos o caracteres especiales.
Posteriormente a la implementación de un sistema de control de acceso, se deberá realizar una inspección de posibles puertos abiertos o protocolos o servicios iniciados en la instalación, como por ejemplo un servicio TFTP escuchando conexiones entrantes propias solo de la configuración, se recomienda cerrar estos.
Los usuarios deben asegurar que el equipo desatendido por una persona tenga la protección adecuada, esto puede ser a través de la activación automática de un protector de pantalla después de cierto tiempo de inactividad.
Evitar dejar notas y papeles auto adheribles en los monitores con información relativa a los usuarios y a la administración del sistema.
Para la parte que se refiere a los sistemas, es recomendable que la arquitectura de red de la solución se maneje independiente de la red de datos de los usuarios.
Ante todo lo antes visto, es importante mencionar que los sistemas de seguridad física deben cumplir con las premisas de disuadir, detectar, demorar y denegar, siendo esta la base conceptual para realizar las funciones de controlar accesos, observar, detectar eventos y responder ante ellos
Cuando observamos, nos referimos a que los sistemas sean los encargados de alertarnos sobre situaciones de riesgo o emergencia y que a su vez la plataforma implementada sea la que notifique a los operadores y estos apoyen a la reacción, así se responderá ante estos eventos de manera inmediata y en el momento que sucedan los hechos, lo anterior permitirá reforzar la seguridad institucional
9.-SO /IEC 27002 10.- https://csrc.nist.gov/Projects/Access-Control-Policy-and-Implementation-Guides 11.- DAS primera generación
Drones
Algunos inmuebles emplean el uso de drones para realizar inspecciones aéreas de los inmuebles, por lo que esta práctica
35 de 52
requiere de ciertos cuidados para no lastimar a las personas e infraestructuras. Antes de volar una aeronave no tripulada o dron, será necesario conocer las regulaciones de cada estado o localidad respecto al tipo de aeronave, su tamaño, peso y altitud permitidas, así como las zonas donde pueda operar.
Una recomendación es que no se vuele la aeronave más allá de 122 metros de altura o 400 pies.
Se recomienda inspeccionar la aeronave antes de iniciar cada vuelo, así como que la sujeción de los elementos móviles se encuentren debidamente colocados y sujetados.
Procurar tener una línea de vista con la aeronave todo el tiempo que esta se encuentre en operación
No se recomienda volar ningún tipo de aeronaves no tripuladas cerca de aeropuertos, pistas de despegue o aterrizaje, así como rutas aéreas.
Por ningún motivo se recomienda operar drones cerca de estadios o lugares concurridos
No se recomienda volar aeronaves que su peso exceda los 24 kilogramos o 55 libras.
Operar cualquier aeronave de forma imprudente o con descuido, puede poner en riesgo la vida de personas u otras aeronaves, se recomienda que el operador de la nave se encuentre bien capacitado en la operación de la aeronave.
Equipo de cómputo Para todo el equipo de cómputo empleado en la administración y control de los sistemas de seguridad se recomienda que al menos lo siguiente: ✓ Los equipos de cómputo empleados para administrar los
sistemas de seguridad deberán al menos tener todos los
36 de 52
parches de seguridad y actualizados al momento de su entrega
✓ Utilizar el equipo de cómputo adecuado y con especificaciones particulares según sea su propósito del mismo, a fin de que los recursos de dicho equipo sean suficientes para su operación
✓ No introducir o usar computadoras personales en los procesos y redes de comunicaciones de los sistemas de seguridad, a fin de evitar fuga de información, propagación de alguna clase de malware y poner en riesgo la operación
✓ Se aplique el hardening de cómputo a los equipos que se encuentran administrando o monitoreando los sistemas electrónicos de seguridad, a fin de que solo tengan los recursos de software y permisos suficientes para la operación a la cual han sido destinados, de esta forma los equipos de cómputo permanecerán menos vulnerables
✓ La instalación de hardware y software bajo licenciamiento sea autorizado por el responsable de cómputo de los sistemas de seguridad de manera conjunta con el responsable de seguridad física, a fin de tener previo una junta de control de cambios y revisar la viabilidad y el impacto que dicho cambio pueda tener en los sistemas de seguridad
✓ Se cuente con políticas del registro de las configuraciones del perfil de comunicaciones de los equipos de cómputo así como el registro de los puertos que se encuentran abiertos y expuestos en la red de comunicaciones
✓ Se cuente con un equipo de soporte técnico y mantenimiento especializado, toda vez que los equipos que administran la seguridad física contiene programas e información importante y de vital importancia para la continuidad del negocio, mismos que se deben encargar de los programas de mantenimiento periódico del ecosistema de los sistemas de seguridad
✓ Evitar instalar programas descargados de Internet debe ser una de las premisas en las políticas de seguridad de los sistemas de seguridad, así como un bloqueo de cualquier descarga de la Internet
✓ Evitar realizar conexiones remotas de administración o mantenimiento a los equipos y sistemas de seguridad de la institución, a fin de evitar dejar conexiones abiertas
37 de 52
✓ Elaborar un proceso de baja de usuarios, respaldo de información y eliminación efectiva de los derechos de acceso y privilegios, en los sistemas de seguridad
✓ De lo anterior se sugiere que el borrado no afecte los registros o logs que se produjeron en el sistema por el usuario en cuestión
Comunicaciones/Red de datos
✓ Reconocer y tipificar los diferentes servicios a los que la red
de comunicaciones se encuentre dando servicio ✓ Listar y llevar el control mediante un registro en bitácora de
todo el equipo conectado a la red ✓ Asegurar que la red se encuentre segmentada Segmentar
la red por subredes y evitar que los servicios de seguridad electrónica convivan con la red de usuarios comunes
✓ Habilitar servicios de seguridad en la red de tal forma que todas las conexiones a los segmentos de red de las soluciones de seguridad electrónicas se encuentren aislados y controlados
✓ Habilitar un firewall para controlar las conexiones hacia Internet y de Internet hacia adentro
✓ Restringir las conexiones por medio de la MAC address ✓ Realizar análisis de comportamiento de la red de los
sistemas de seguridad a fin de detectar posibles vulnerabilidades
✓ Asumir que en todo momento existe una vulnerabilidad en la red de datos es importante, lo anterior nos ayudará a mantener una actitud diferente frente a los procesos de la organización, es decir, seremos capaces de identificar si algún comportamiento es inusual y buscaremos el mayor estado de seguridad posible para el esquema operativo
✓ Para las redes inalámbricas se recomienda al menos modificar los parámetros de fábrica y configurar contraseñas más seguras y protocolos de cifrado más fuertes
Bluetooth
La configuración de seguridad para Bluetooth deberá considerar al menos los siguientes aspectos:
38 de 52
✓ Deshabilitar la capacidad Bluetooth del dispositivo cuando no se estén utilizando comunicaciones basadas en Bluetooth, sólo deberá ser habilitada expresamente por el usuario para establecer una conexión
✓ Para dispositivos que no permitan esta opción, por ejemplo, unos auriculares, se deberá apagar o desconectar el dispositivo cuando no se utilice
✓ Los dispositivos Bluetooth deberán estar por defecto en modo no visible o undiscoverable y sólo cambiar su configuración a modo visible o discoverable cuando sea necesario para conectarse con otros dispositivos
✓ Aunque es posible descubrir dispositivos no visibles mediante el uso de un sniffer Bluetooth o técnicas de fuerza bruta sobre la dirección del dispositivo BD_ADDR, los dispositivos no visibles mitigan la utilización de un gran número de herramientas y técnicas de ataque a través de Bluetooth
✓ Cuando sea posible en el dispositivo debe ser configurado de tal forma que cualquier solicitud de conexión Bluetooth entrante, deba ser mostrada al usuario para que éste autorice antes de conectarse
✓ El nombre del dispositivo no debe ser descriptivo o alusivo a su función, este no debe revelar ninguna característica relacionada con el dispositivo, el usuario, la organización o su función del mismo, a fin de mitigar cualquier ataque dirigido o ser foco de revisión de vulnerabilidades por terceras personas
✓ El nivel de potencia de los dispositivos deberá estar ajustado al mínimo necesario, de tal forma que las transmisiones Bluetooth permanezcan dentro del círculo de seguridad de la organización, por tanto evitar equipos que tengan una antena adicional de alta ganancia
✓ Se recomienda configurar contraseñas de acceso fuertes en los dispositivos Bluetooth portátiles, lo anterior ayuda a prevenir accesos no autorizados en caso de que el dispositivo se pierda o sea robado
✓ Instalar software de antivirus en los dispositivos Bluetooth
donde esto sea posible por ejemplo equipo de cómputo de escritorio, esto ayuda a prevenir que malware se introduzca en las redes y otros dispositivos Bluetooth.
https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html ver marzo 2018
39 de 52
Línea de acción 4.-Resiliencia Es la capacidad de recuperarse ante una situación adversa; tecnológicamente se refiere a reponerse frente a un ataque.
Uno de los factores más importantes de la seguridad es la prevención, tener una cultura de seguridad previene, pero prepararse ante un evento que afecte la infraestructura crítica de una instalación asegura la continuidad del negocio
Lo anterior puede ser posible mediante la preparación de sistemas alternos, respaldos o sistemas especializados para la recuperación de la operación y sus datos
Primero se debe tener una visión donde se considere que todo dispositivo conectado a la red de datos del inmueble, es un dispositivo que se tiene que monitorear y respaldar, para los dispositivos del Internet de las Cosas debemos estar seguros de contar con un respaldo del firmware del mismo, así como los parches de seguridad requeridos por el dispositivo resguardados, así como bitácora que permita dar cuenta de la sucesión en las instalaciones de dichas actualizaciones y / o parches de seguridad
DLP
En la actualidad existen una variedad de sistemas de prevención de pérdida de datos o DLP (Data Loss Prevention) por sus siglas en inglés, recomendamos que primero se tenga una debida planeación para acordar que tipo de información se tiene que respaldar de todo el sistema electrónico de seguridad y posteriormente elegir la herramienta que se apegue a la necesidad específica para la prevención de pérdida de datos Se recomienda tener rigurosamente un software antimalware que es de vital importancia para prevenir infecciones en computadoras y dispositivos móviles, también es aconsejable el respaldo de datos en medios físicos y respaldos en línea, que ofrecen facilidad de acceso y recuperación de datos Como todo sistema en una organización, recomendamos trabajar primero en las definiciones del cuidado y preservación de la información de los diferentes sistemas, integrar a las
40 de 52
personas que estén involucradas con los diferentes procesos de los sistemas electrónicos de seguridad y posteriormente decidir que se necesita para solventar las necesidades que de ahí surjan
Qué hacer y a quién avisar en caso de una ciber amenaza La Policía Federal de México cuenta con la Unidad de Ciberseguridad, adscrita a la División Científica. A través de esta área especializada, la Institución realiza acciones de prevención e investigación de conductas ilícitas a través de medios informáticos, monitorea la red pública de Internet para identificar conductas constitutivas de delito, efectuando actividades de ciber-investigaciones, así como de ciberseguridad en la reducción, mitigación de riesgos de amenazas y ataques cibernéticos. De igual forma, implementa programas de desarrollo científico y tecnológico en materia cibernética. El CERT-MX opera áreas especializadas en temas de prevención e investigación de este tipo de ilícitos y es la única autoridad acreditada a nivel federal para realizar intercambio de información con policías cibernéticas nacionales y organismos policiales internacionales, con el objetivo de identificar y atender posibles ataques en agravio de infraestructuras informáticas gubernamentales en contra de la ciudadanía. La Policía Federal forma parte de la comunidad del Forum for Incident Response and Security Teams (FIRST), un foro global donde convergen y colaboran equipos de respuesta a incidentes cibernéticos. Ello permite generar y fortalecer líneas de investigación que en colaboración con las policías cibernéticas de otras naciones, logre la identificación y ubicación de probables responsables de ataques cibernéticos, en colaboración con la Procuraduría General de la República. La Oficina del Comisionado Nacional de Seguridad exhorta a los usuarios a reportar cualquier sospecha de fraude o ataque cibernético al número telefónico 088, que opera las 24 horas del día, los 365 días del año, así como a realizar denuncias a través de la cuenta de Twitter @CEAC_CNS, el correo
41 de 52
[email protected] y la aplicación PF Móvil, disponible para todas las plataformas de telefonía celular. 12
12.- https://www.gob.mx/policiafederal/articulos/centro-nacional-de-respuesta-a-incidentes-ciberneticos-de-la-policia-federal?idiom=es
Preservación de evidencias
Un incidente de seguridad como se define 13 en la RFC282, es un evento relevante en los sistemas, el cual contraviene las políticas de seguridad, la recolección correcta de la evidencia de un evento de esta naturaleza, es mucho más útil para aprehender al o los atacantes, además de otorgar muchas probabilidades de ser admisible en un caso legal Existen varias metodologías y buenas prácticas, se mencionarán algunas basadas en la RFC3227 14 donde en ella se pueden apreciar detalladamente cada una de ellas, mencionamos algunas de ellas No cambiar el estado del dispositivo, donde básicamente si el dispositivo se encuentra encendido, este no debe ser apagado, ya que se podrían perder todos los datos volátiles, por ejemplo algunos procesos activos y todo lo que está cargado en la memoria RAM, si el equipo comprometido está conectado a la red, se recomienda desconectarlo físicamente de su conexión o bloquearlo desde su conmutador físico o inalámbrico En caso de que el equipo se encuentre apagado, este debe permanecer de esta forma, toda vez que al iniciarse el sistema podría sobrescribir la información útil o también podría contener un código malicioso que se pudiera ejecutar de forma automática al inicio Recopilar evidencias siguiendo un orden que va de mayor a menor volatilidad, toda vez que los datos volátiles ofrecen mucha información por ejemplo malware que está únicamente en la memoria y otros metadatos alojados en
42 de 52
cache y que estos pueden ser de mucha ayuda para entender el vector de ataque No confiar en la información proporcionada por los programas del sistema, porque estos pudieron ser comprometidos por código malicioso con la finalidad de entorpecer la investigación de los analistas forenses, lo anterior es uno de los principales motivos por el cual se aconseja capturar la información mediante programas desde un medio protegido No ejecutar aplicaciones que modifiquen la fecha y hora de acceso de los archivos del sistema, es importante saber que unas de las técnicas de análisis forenses más potentes para entender el paso a paso de los incidentes es la revisión por tiempos, pues se realiza una línea temporal sobre la modificación, el acceso y el cambio de cada archivo, esto a su vez se correlaciona con diferentes logs del sistema y puede ayudar a identificar el cómo de muchos hechos, recordando que también una acción de cambio de hora o fecha puede afectar a los metadatos de los archivos Si no está seguro de lo que está haciendo, mejor no realice ninguna acción, ¿qué hacer después de que sabes que ha ocurrido una intrusión, restablecer el sistema y los procesos o comenzar un análisis forense?18 Es importante saber que si se reestablecen los procesos es muy probable que se destruyan todas las evidencias, permitiendo así una nueva oportunidad para que los atacantes puedan invadir el sistema de nuevo, otro punto de vista es que si este evento generó un impacto en el negocio, es muy probable que esté usted obligado a restablecer los sistemas cuanto antes, lo cual es una encrucijada en sí, por eso sugerimos que se tenga un plan de contingencias para ayudar a resolver este tipo de eventos Al final lo que se busca es Identificar, fijar y preservar la evidencia para que esta sea posible entregarla mediante una cadena de custodia y pueda ser una prueba ante un procedimiento judicial Entendiendo que la cadena de custodia busca evitar suplantaciones, modificaciones, alteraciones, adulteraciones o
43 de 52
simplemente la destrucción de los medios digitales, pues es común que mediante el borrado o la denegación de un servicio no se pueda tener acceso a ellos 15 16 17
13.-https://www.ietf.org/rfc/rfc2828.txt 14.- https://tools.ietf.org/html/rfc3227 15 .- http://ojs.tdea.edu.co%2Findex.php%2Fcuadernoactiva%2Farticle%2Fdownload%2F45%2F42%2F0&usg=AOvVaw1wE0i2uT330Zpb7BBsB_4i 16.- https://www.oas.org/juridico/english/cyb_pan_manual.pdf 17.- http://www.inacipe.gob.mx/stories/publicaciones/descargas_gratuitas/ProtocolosdeCadenadeCustodia.pdf 18.- https://www.welivesecurity.com/la-es/2016/02/15/consejos-evidencia-digital-analisis-forense/
Conclusión Todo ecosistema tiende a evolucionar, el tecnológico para la seguridad no será la excepción, conforme se presenten avances en materia de inteligencia artificial y mayores posibilidades de interconexión entre dispositivos, más grandes serán los retos de ciberseguridad, por tal motivo la invitación a generar una cultura de seguridad siempre será el mejor instrumento para asegurar los sistemas encargados de velar por nuestra seguridad.
Un buen equipo no garantiza el éxito, pero un mal equipo si garantiza el fracaso
44 de 52
Glosario
▪ Antivirus: programa diseñado para detectar, detener y remover códigos maliciosos.
▪ Ataque de “agujero de agua” o “watering”: creación de un sitio web falso o comprometer uno real, con el objetivo de explotar a los usuarios visitantes. Se trata de un tipo de ataque informático.
▪ Autenticación de dos factores o 2FA: es el uso de dos componentes para verificar la identidad de un usuario al intentar acceder a un servicio de Internet (banca en línea, correo electrónico, redes sociales, etcétera. También se le conoce como autenticación multifactor o verificación de dos pasos
▪ Backend: Retaguardia informática, son los equipos, servicios o procesadores que no hacen labores de interfaz de usuario o no tienen acceso con el exterior, además de tener funciones especializadas como información dar tratamiento a la información en base de datos, sistemas de control de comunicaciones o cálculos
▪ BOTNET: Red de dispositivos infectados que tienen conexión a internet, utilizados para cometer ciberataques coordinados y sin el conocimiento de sus dueños
▪ CASB(Cloud Access Security Broker) o Agentes de Seguridad para el Acceso a la Nube: es una categoría de herramientas de seguridad que atiende a los riesgos considerados en menor grado en los modelos de software como servicio en la nube
▪ Centro Especializado en Respuesta Tecnológica (CERT): nombre que reciben aquellos equipos de respuesta a emergencias cibernéticas, cuyos integrantes realizan un permanente monitoreo de la red para identificar y mitigar tanto amenazas como ataques cibernéticos contra infraestructuras tecnológicas
▪ Ciberdelincuente: Personas que comenten algún delito a través de un ordenador o dentro del ciberespacio irrumpiendo ilegalmente en algún sistema de seguridad, motivados por múltiples razones
▪ Ciberataque: intentos maliciosos de daño, interrupción y acceso no autorizado a sistemas computacionales, redes o dispositivos por medios cibernéticos.
▪ Ciberseguridad: protección de dispositivos, servicios o redes, así como la protección de datos en contra de robo o daño.
▪ Códigos maliciosos: programas diseñados para infiltrarse en los sistemas y ocasionar afectaciones en los dispositivos electrónicos (computadoras, tabletas, teléfonos móviles inteligentes, etcétera), alterando su funcionamiento y poniendo en riesgo la información almacenada en ellos.
45 de 52
▪ Contraseña segura: clave de identificación virtual para el acceso a información privada, almacenada en dispositivos electrónicos o servicios en línea (correo electrónico, redes sociales, banca en línea, etcétera). Es segura cuando utiliza más de ocho caracteres; combina letras, mayúsculas, minúsculas, números y signos.
▪ Cortafuegos o Firewall: hardware o software que utiliza un conjunto de reglas definidas para restringir el tráfico de la red e impedir accesos no autorizados.
▪ Denegación del servicio o DoS: denegación a un usuario legítimo de acceder a servicios de cómputo o recursos, resultado de la saturación de número de solicitudes de servicio.
▪ Día Cero: vulnerabilidades recientemente descubiertas, aún no conocidas por los vendedores o compañías antivirus, que los delincuentes pueden explotar.
▪ Dispositivo de Usuario Final: término utilizado para describir a los teléfonos celulares inteligentes o Smartphone, computadoras portátiles y tabletas electrónicas que se conectan a la red de una organización
▪ DMZ o Demilitarized Zone: Es una zona detrás de un firewall con un nivel de protección diferente al resto de la red que separa y protege la red interna de la red pública. Surge de la necesidad de publicar servicios en la Internet y que los servidores que hacen dicha tarea deben estar en una red diferente y más resguardada, porque estos están expuestos
▪ DoS (Denial of Service): Ataque de denegación de servicio basado en el envío de peticiones basura al servidor con el objeto de disminuir o imposibilitar su capacidad de respuesta a peticiones de usuarios legítimos, provocando la eventual saturación y caída del servicio
▪ Encriptación: función matemática que protege la información al hacerla ilegible para cualquiera, excepto para quienes tengan la llave para decodificarla
▪ Firewall: Sistema que está diseñado para conectarse a la red y gestionar permisos de acceso a otras redes o equipos
▪ Firmware: Elemento integrado por una unidad de hardware y un programa software que no puede ser alterado dinámicamente mientras se encuentra en funcionamiento, toda vez que se encuentra almacenado en la unidad de hardware de un circuito integrado con una lógica fija que tiene instrucciones específicas para un funcionamiento definido
▪ FPS (Frames per Second): Representa el número de cuadros, fotogramas por segundo de un video o una película, se trata de una medida de cuanta información se usa para almacenar video
46 de 52
▪ Fraude contra Directores Ejecutivos o CEO Fraud: ataques de phishing distribuidos a través de correos electrónicos, orientados a altos ejecutivos de una organización
▪ Hardening: Endurecimiento que en seguridad informática es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades y este se logra eliminando puertos de acceso innecesarios en los equipos y su entorno de red
▪ Herramientas de protección en línea: programas que al instalarlos y mantenerlos actualizados, protegen los dispositivos electrónicos con los que se navega en Internet.
▪ Huella digital: rastro de información digital que el usuario deja durante sus actividades en línea.
▪ Identidad digital: datos que en conjunto, permiten identificar a una persona en Internet y que incluso determinan su reputación digital. Se integra por el nombre del usuario, fotos o videos de perfil, correo electrónico, datos de contacto, preferencias políticas, religiosas o sexuales, así como aficiones
▪ IDS (Intrusion Detection System): es una aplicación que analiza el contenido, el comportamiento y el tipo de tráfico que hay en una red, a fin de detectar accesos no autorizados y actividades no sospechosas como escaneo de la red
▪ Ingeniería social: técnicas utilizadas para manipular a la gente a fin de que realice acciones específicas o se sume a la difusión de información que es útil para un atacante
▪ Internet de las Cosas o loT: es la capacidad que tienen otros objetos, distintos a las computadoras y dispositivos móviles, de conectarse a Internet
▪ IPS (Intrusion Prevention System): Es el sistema de prevención de intrusos, que ejerce el control de acceso a una red de datos para proteger los sistemas de ataques y abusos, a diferencia del IDS, este emplea políticas de prevención y protección cuando se es detectada una intrusión
▪ IR (Infra Red): Siglas que hacen referencia a la radiación electromagnética de la luz infrarroja, la cual provee de iluminación no visible al ojo humano, a los dispositivos de video seguridad
▪ Lista Blanca: listado de programas aprobados y autorizados para ser utilizados al interior de una organización con el fin de proteger los sistemas de aplicaciones potencialmente dañinas
▪ Log: No es más que el registro cronológico de las acciones que realiza un sistema o un usuario, este es un registro que se puede utilizar para fines estadísticos o de control de seguridad
▪ MacAddress: Dirección de hardware o dirección física de acceso al medio, es una dirección asociada con un dispositivo de red en
47 de 52
particular y único, con este se puede identificar a un dispositivo en la red
▪ Macro: programa que puede automatizar tareas en aplicaciones, que a su vez es útil para que los atacantes puedan acceder o dañar un sistema
▪ Malware: Software hostil que es instalado o ejecutado sin el consentimiento del usuario vía correo electrónico, web o algún software gratuito, la formación de la palabra es un neologismo que tiene su origen en la lengua inglesa de los términos Malicious y software
▪ Man in the middle(MITM): hombre en el medio, hace referencia al tipo de ataque en el que él agresor intercepta una comunicación asumiendo el rol de intermediario entre las dos partes que son las víctimas, manteniendo vínculos independientes con cada una de ellas y simulando que la conexión es íntegra y fidedigna, aprovechando este canal para hacer lectura, inserción y modificación a los mensajes transmitidos
▪ Metadatos: Literalmente, “datos sobre datos, Pueden ser texto, voz o imagen, y describen o clarifican los datos principales, facilitando su análisis, clasificación, control y gestión. Entre algunos ejemplos se incluyen fecha de creación, historial de modificaciones y usuarios relacionados, o localización geográfica de captura de imágenes mediante GPS
▪ Nube: lugar en el que la información es almacenada y compartida, en lugar de su resguardo de manera física, como a través de discos compactos, memorias usb, discos duros, etcétera.
▪ Parche: actualizaciones de seguridad lanzadas para mejorar la seguridad y funcionalidad del software.
▪ Privacidad en redes sociales: mecanismos de protección de datos íntimos o confidenciales en un perfil de red social de una persona, con la finalidad de no exponerlos abiertamente y evitar que alguien los utilice de forma negativa.
▪ Política BYOD (Brign Your Own Devices): estrategia o política de una organización que permite a sus empleados llevar al centro de trabajo sus propios dispositivos con fines laborales.
▪ Ransomware: códigos maliciosos diseñados por ciberdelincuentes para bloquear el acceso a los dispositivos electrónicos o codificar los archivos en ellos, para después solicitar a sus víctimas un pago para el “rescate” de su información.
▪ Seguridad de la Información: medidas de protección encaminadas a la preservación de la confidencialidad, integridad y disponibilidad de la información
48 de 52
▪ Sniffer: Este es un programa de cómputo que se encarga de interceptar
▪ Software como Servicio o SaaS: se describe como un modelo de negocio en el que consumidores acceden a aplicaciones de software alojadas a través de Internet.
▪ Spear-Phishing: ataque dirigido de phishing, que se concreta luego de que el ciberdelincuente ha estudiado bien a su posible víctima, a través de mensajes de correo electrónico muy específicos.
▪ Suplantación de Identidad o Phishing: es el envío masivo de mensajes de correo con el objetivo de obtener información confidencial de los usuarios o incitarlos a visitar sitios web falsos.
▪ Troyano: código malicioso diseñado para ocultarse en el sistema del equipo infectado bajo la fachada de software legítimo
▪ VMS ( Video Management System o Video Management Software): es un componente de seguridad de una cámara que en general colecta el video de las cámaras, graba y almacena el video y provee una interface para la consulta del video grabado o de revisión en tiempo real de video producido por la(s) cámaras
▪ VPN o Virtual Private Network: Es una tecnología de que se utiliza para conectar dos computadoras en una red privada a través de Internet, se busca proteger el tráfico mediante diferentes tipos de cifrado simulando un túnel seguro
▪ VPN IPSec (Internet Protocol Security): Tipo de VPN con un conjunto de protocolos criptográficos cuya función es asegurar las comunicaciones y garantizar que el flujo de datos se transmite de forma cifrada
▪ WAF o Firewall de aplicación: Por sus siglas en inglés, Web Application Firewall, al igual que un firewall convencional, este se encarga de proteger los recursos de la red, un firewall de aplicación tiene características que ayudarán a proteger las aplicaciones web, donde prácticamente está de intermediario entre la aplicación y el servidor web
49 de 52
Referencias 1=https://www.gob.mx/policiafederal/articulos/glosario-de-terminos-en-ciberseguridad?idiom=es 2= Fuente Kasperky https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security 3= Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures 4= https://www.itu.int/rec/T-REC-Y.2060-201206-I 5= https://www.windriver.com/whitepapers/security-in-the-internet-of-things/wr_security-in-the-internet-of-things.pdf 6=https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-landscape/etl2015/enisa-threat-taxonomy-a-tool-for-structuring-threat-information 7=https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/508-ccn-stic-805-politica-de-seguridad-de-la-informacion/file.html 8=NIST SP 800-100, An Introduction to Computer Security: The NIST Handbook, October 1995 9=ISO /IEC 27002 10= https://csrc.nist.gov/Projects/Access-Control-Policy-and-Implementation-Guides 11= DAS primera generación 12=Cibersecurity Video System Overview from AXIS https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html ver marzo 2018
12=https://www.gob.mx/policiafederal/articulos/centro-nacional-de-respuesta-a-incidentes-ciberneticos-de-la-policia-federal?idiom=es 13=https://www.ietf.org/rfc/rfc2828.txt 14= https://tools.ietf.org/html/rfc3227 15=http://ojs.tdea.edu.co%2Findex.php%2Fcuadernoactiva%2Farticle%2Fdownload%2F45%2F42%2F0&usg=AOvVaw1wE0i2uT330Zpb7BBsB_4i 16= https://www.oas.org/juridico/english/cyb_pan_manual.pdf
50 de 52
17=http://www.inacipe.gob.mx/stories/publicaciones/descargas_gratuitas/ProtocolosdeCadenadeCustodia.pdf 18= https://www.welivesecurity.com/la-es/2016/02/15/consejos-evidencia-digital-analisis-forense/ 19= Norma mexicana NMX-I-27032-NYCE-2018. Tecnologías de la información – Técnicas de seguridad – Lineamientos para la ciberseguridad
Organismos referentes European Union Agency for Network and information security ENISA International Telecommunication Union Centro Criptológico Nacional de España CNN – CERT National Institute of Standars and Technology NIST LATAM Kaspersky Labs The Internet Engineering Task Force IETF Palo Tinto Networks EsEt WeLiveSecurity The Organization of American States Axis Comunications ISO/IEC 27002 Policía Federal Instituto Nacional de Ciencias Penales SPF / ASIS Diplomado de Administración de Seguridad DAS
51 de 52
Agradecimientos Kaspersky Labs cyberthreat research – Equipo México Palo Tinto Networks – smartcities Axis Communications México Policía Federal División Científica / CERT MX Participantes El presente documento fue elaborado en el marco de la Estrategia Nacional de Cirberseguridad y de la Coordinación de la Estrategia Digital Nacional Comisionado del Servicio de Protección Federal Alfonso Ramón Bagur Comisario Jefe Oscar Alberto Margain Pitman Inspector Julio Alberto González Cárdenas Subinspector Rafael Bernardo Arreola Fuentes Subinspector Ángel Rogelio López Gutierrez Subinspector Ignacio Arias Cruz
Noviembre 2018
52 de 52
