INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY
EGAP GOBIERNO Y POLÍTICA PÚBLICA
Ciberseguridad para la Administración Pública Federal en México: Propuesta de Política Pública para la Protección de los Sistemas de la Información como Activos Estratégicos de las Instituciones.
Alejandro Paniagua Ramírez
[email protected] Proyecto de Investigación Aplicada Maestría en Administración Pública y Política Pública Asesor: Mtro. Flavio Cienfuegos Valencia Junio de 2014
Dedicatoria
A Isabela. Por todo tu amor, apoyo y motivación durante este recorido.
Agradecimientos
A Flavio Cienfuegos Valencia, por su tiempo, dedicación y guía para la elaboración de este proyecto.
A la especialidad de Comunicaciones y Electrónica. Servicios Periciales de la P.G.R.
ii
México, D. F. a __24___de_____junio____ de 20_14_. INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY PRESENTE.Donación de tesina Por medio de la presente hago constar que soy autor y titular de la obra denominada “_Ciberseguridad para la Administración Pública Federal en México: Propuesta de Política Pública para la Protección de los Sistemas de la Información como Activos Estratégicos de las Instituciones.”, en lo sucesivo LA OBRA, en virtud de lo cual autorizo a el Instituto Tecnológico y de Estudios Superiores de Monterrey (EL INSTITUTO) para que efectúe la divulgación, publicación, comunicación pública, distribución, distribución pública y reproducción, así como la digitalización de la misma, con fines académicos o propios al objeto de EL INSTITUTO, dentro del círculo de la comunidad del Tecnológico de Monterrey. El Instituto se compromete a respetar en todo momento mi autoría y a otorgarme el crédito correspondiente en todas las actividades mencionadas anteriormente de la obra. De la misma manera, manifiesto que el contenido académico, literario, la edición y en general cualquier parte de LA OBRA son de mi entera responsabilidad, por lo que deslindo a EL INSTITUTO por cualquier violación a los derechos de autor y/o propiedad intelectual y/o cualquier responsabilidad relacionada con la OBRA que cometa el suscrito frente a terceros.
_________________________________________ Alejandro Paniagua Ramírez
iii
Resumen ejecutivo. La adopción y uso de las nuevas tecnologías de información, comunicaciones y almacenamiento de datos, pueden contribuir a la eficientización de los objetivos institucionales, sin embargo, inherente a la implementación y uso de estas herramientas de trabajo, existen riesgos que la Administración Pública Federal debe considerar para cumplir en todo momento con los criterios de integridad, confidencialidad y disponibilidad de la información que recibe, procesa, transmite y almacena. Los constantes avances en estas tecnologías son acompañados casi de forma paralela por la sofisticación de las amenazas dirigidas hacia los activos estratégicos de las instituciones, por tal motivo, el Estado Mexicano debe contar con una estrategia para hacer frente a dichas amenazas, minimizar las probabilidades de ataques y, si fuera el caso, minimizar el impacto de estos. Es importante mencionar que a nivel internacional y como parte de un efecto globalizador en el uso de estas tecnologías, particularmente observable en la Internet donde las fronteras difícilmente son visibles, nuestro país se debe colaborar con las tendencias internacionales en el tema de Ciberseguridad con conocimiento, interés y responsabilidad. La Ciberseguridad puede ser vista como un simple elemento, sin embargo, al desagregarse en sus distintos dominios, se puede observar cómo es que cada uno de ellos puede ser atacado y afectado, por ello menciono cómo es que pueden ser reforzados cada uno de estos niveles con el objetivo para prevenir, detener y minimizar los efectos causados por un ataque. Una vez entendida la problemática existente, la intención del presente Proyecto de Investigación Aplicada es brindar un conjunto de recomendaciones en donde las personas, procesos y tecnología colaboren como un todo, para enfrentar los riesgos que implica el uso de estas tecnologías en las actividades de las organizaciones que conforman la Administración Pública Federal.
iv
Contenido Dedicatoria .......................................................................................................................... ii Donación de tesina ............................................................................................................. iii Resumen ejecutivo. ............................................................................................................ iv Introducción. ....................................................................................................................... 1 Capítulo 1. Diagnóstico situacional. ................................................................................... 5 1.1.
¿Qué dice la industria? ......................................................................................... 7
1.2.
¿Qué ha sucedido a nivel Internacional? .............................................................. 9
1.2.1.
En Estados Unidos. ..................................................................................... 10
1.2.2.
En España. .................................................................................................. 12
1.2.3.
En Colombia. .............................................................................................. 14
1.3.
¿Qué tenemos en México? ................................................................................. 15
1.4.
A manera de conclusión. .................................................................................... 20
Capítulo 2. Marcos de referencia. ..................................................................................... 21 2.1.
La Administración Pública y las Políticas Públicas. .......................................... 22
2.2.
Los Activos Estratégicos. ................................................................................... 29
2.3.
Los Sistemas de Información (SI). ..................................................................... 33
2.4.
Marco Conceptual de la Ciberseguridad. ........................................................... 39
2.4.1.
Fuentes, motivaciones y tipos de ciberataques. .......................................... 40
2.4.2.
Retos en la Ciberseguridad. ........................................................................ 46
2.4.3.
Modelo balanceado en Ciberseguridad. ...................................................... 48
2.4.4.
Dominios de la Ciberseguridad................................................................... 51
2.4.5.
Panorama actual. ......................................................................................... 53
2.5.
A manera de conclusión. .................................................................................... 58
Capítulo 3. Análisis de alternativas de solución. .............................................................. 59 3.1.
Seguridad personal y física. ............................................................................... 59
3.2.
Seguridad de equipos de cómputo y aplicaciones. ............................................. 65
3.3.
Seguridad web. ................................................................................................... 73
3.4.
Seguridad de las redes. ....................................................................................... 75
3.5.
Seguridad móvil e inalámbrica. .......................................................................... 85
3.6.
Estándares y leyes acerca de la ciberseguridad. ................................................. 86
3.7.
A manera de conclusión. .................................................................................... 91
Capítulo 4. Propuesta de política pública y conclusiones. ............................................... 91 Conclusiones ..................................................................................................................... 99 Cronograma .................................................................................................................... 100 Glosario de conceptos, términos y acrónimos. ............................................................... 101 Referencias ...................................................................................................................... 111 Listado de figuras Figura 1. Procesos que conforman el MAAGTICSI. ........................................................... 17 Figura 2. Imagen captada en Internet del ataque a la página de la Sedena. ......................... 19 Figura 3. Tipos de políticas públicas .................................................................................... 26 Figura 4. El ciclo de las políticas públicas ........................................................................... 27 Figura 5. Mapa estratégico. Modelo básico de creación de valor en las organizaciones (BSC)............................................................................................................................. 31 Figura 6. Perspectiva de aprendizaje y conocimiento. ......................................................... 31 Figura 7. Relación entre los términos datos, sistema e información. ................................... 34 Figura 8. Diseño conceptual de los sistemas de información. .............................................. 34 Figura 9. Actividades de un sistema de información............................................................ 35 Figura 10. Fuentes de los ciberataques ................................................................................. 42 Figura 11. Modelo balanceado en Ciberseguridad. .............................................................. 48 Figura 12. Dominios de la Ciberseguridad. .......................................................................... 51 Figura 13. México como destino de un ataque DDoS con fuente desconocida. .................. 54 Figura 14. México como destino de un ataque DDoS con fuente del ataque China. ........... 54 Figura 15. México como fuente de un ataque DDoS con destino del ataque Brasil. ........... 55 Figura 16. Información general sobre los ciberataques actuales. ......................................... 55 Figura 17. Listado de los principales 15 de países como fuente de los ciberataques. .......... 56 Figura 18. Distribución de tipos de ataques. ........................................................................ 56 Figura 19. Mapa de ciberamenazas en tiempo real. ............................................................. 57 Figura 20. Reporte generado para México correspondiente al día 22 de abril de 2014. ...... 57 Figura 21. Países más infectados según KasperskyLab. ...................................................... 58 Figura 22. Ubicación geográfica de las víctimas de APT1 Mandiant (2013). ..................... 68 Figura 23. ¿Cómo operó Stuxnet? ........................................................................................ 71 Figura 24. Diagrama en capas ilustrando las defensas en profundidad. ............................... 72 Figura 25. Ventana de administración del Bo2K ................................................................. 79
Figura 26. Ataque DDoS. ..................................................................................................... 79 Figura 27. Ejemplo típico de una LAN inalámbrica. ........................................................... 86 Figura 28. Transición de la norma 27001. ............................................................................ 89 Figura 29. Estructura para la administración de riesgos de NIST. ....................................... 89 Figura 30. Categorías de ataques según la UIT. ................................................................... 90 Figura 31. Las 8 dimensiones de la seguridad según la UIT. ............................................... 90
Relación de cuadros Cuadro 1. Elementos y roles del modelo balanceado de ciberseguridad.............................. 49 Cuadro 2. Tipos de detección de amenazas. ......................................................................... 58 Cuadro 3. Tiempos necesarios para romper una contraseña. ............................................... 60 Cuadro 4. Elección de contraseñas por medio de frases conocidas por el usuario............... 61 Cuadro 5. Elección de contraseñas por medio de frases conocidas, incluyendo minúsculas, mayúsculas y números .................................................................................................. 61 Cuadro 6. Elección de contraseñas por medio de frases conocidas, incluyendo caracteres especiales. ...................................................................................................................... 61 Cuadro 7. Elección de contraseñas por medio de frases conocidas, incluyendo caracteres especiales y mayor longitud. ......................................................................................... 62
Introducción. Este documento se presenta como el resultado obtenido para la asignatura Proyecto de Investigación Aplicada, la cual forma parte del programa de estudios de la Maestría en Administración Pública y Política Pública (MAP) que imparte la Escuela de Graduados en Administración Pública (EGAP) del Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM). En nuestro país día a día se incrementa el uso y la interacción de los servidores públicos con las Tecnologías de la Información y Comunicación (TIC) y los servicios que trae consigo como la Internet, el compartir y transferir archivos e impresoras, conexiones locales y remotas a servidores de correo electrónico y a oficinas descentralizadas con las que se requiere el constante flujo e intercambio de información digital 1. Esta situación trae riesgos que van desde robo de la información, la afectación al cumplimiento de los objetivos institucionales, hasta poner en peligro la Seguridad Nacional. Por ello, es primordial reconocer estos riesgos y actuar en consecuencia con responsabilidad para proteger a los activos estratégicos, que requiere la Administración Pública Federal (APF) para su correcto funcionamiento, del acceso no autorizado de personas, dispositivos o software que los manipulen, modifiquen o destruyan. En el ciberespacio existen conductas delictivas motivadas por distintos intereses y actores, en las cuales la obtención o daño de la información puede ser una de las consecuencias más recurrentes; este fenómeno puede darse porque las herramientas que se pueden usar para estos fines suelen ser baratas y de fácil uso en muchos casos. Si sumamos a lo anterior, que con el constante avance de la tecnología es relativamente sencillo ocultar el origen e identidad de los atacantes, los ciberataques pueden llevarse literalmente a cabo desde cualquier parte del mundo; esto implica que los usuarios de las TIC que no estén consientes y preparados para enfrentar las amenazas, están más expuestos a ser víctimas de
1
Para este proyecto de investigación uso el término información digital de forma indistinta al término información como una forma de delimitación semántica, ya que me referiré casi en todo momento a la primera, considero necesario contextualizar al lector y evitar confusiones o ambigüedades.
1
estas conductas. Entre estos usuarios podemos incluir por supuesto a los servidores públicos que forman parte de la APF de México. Con base en lo anterior, sería conveniente que nuestro país se adapte a las tendencias mundiales considerando que la tecnología se encuentra en constante cambio y evolución y, para lograr que la Ciberseguridad se lleve a cabo, es necesario que exista una buena colaboración y coordinación entre los actores involucrados, entre ellos podemos encontrar a los sectores público y privado, la ciudadanía o bien, cuando los delitos traspasen las fronteras entre los países, se requerirá la cooperación de organizaciones extranjeras. La Ciberseguridad, según la recomendación 181 de la Unión Internacional de Telecomunicaciones (ITU 2), es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno (ITU, 2010). Pero, ¿porqué es importante la Ciberseguridad 3? Para motivar una respuesta mencionaré lo siguiente: dada la tendencia de la digitalización y la integración de la tecnología informática, particularmente en productos y servicios que antes funcionaban sin ella, por ejemplo, la recaudación de impuestos, el sistema de transporte, el suministro de energía eléctrica, los servicios de logística militar y muchas otras actividades en la vida de las Instituciones de Gobierno son dependientes de la utilización de las redes, sistemas de información y tecnologías relacionadas e integradas con el ciberespacio, otras aplicaciones de estas tecnologías se pueden observar en el comercio, la educación, la salud y el medio ambiente, como habilitantes para el desarrollo porque proporcionan un canal eficaz para distribuir una amplia gama de servicios básicos en diversas zonas remotas y rurales (ITU, 2009); por ello, la disponibilidad de estas tecnologías y los nuevos servicios basados en las redes incluyendo la Internet, ofrecen ciertas ventajas que pueden permear e impactar de forma directa a la sociedad Mexicana, con esto se puede facilitar el logro de los objetivos 2 3
ITU International Telecommunication Union por sus siglas en inglés. Al hablar de ciberseguridad en el presente trabajo van implícitos los términos o conceptos de seguridad informática, seguridad de los sistemas de información y seguridad de las tecnologías de la información, todos como vertientes de la seguridad.
2
institucionales y se pueden mejorar la productividad y la calidad de los productos y servicios que ofrece la APF. Los ciberataques pueden tener infinidad de formas y las más serias consecuencias. Gobiernos y Estados pueden ser virtualmente paralizados. Compañías y negocios, en suma los niveles de empleo y la prosperidad económica de un país, pueden verse afectados por el robo de información confidencial. Los Individuos pueden sufrir estafas, el robo de información personal, médica u otra, o convertirse en víctimas de infinidad de delitos contra su persona o contra su propiedad (Blackwell, 2011). Para el caso de la APF en México, los ataques cibernéticos pueden implicar interrupción en los procesos y servicios que brindan las instituciones comprometiendo también el cumplimiento de los objetivos institucionales. La tecnología puede ser usada para buscar el bienestar y la eficiencia en todas las áreas de nuestra vida, sin embargo, de manera antagónica estas TIC pueden ser utilizadas para cometer los denominados ciberdelitos, 4. Por lo tanto, resulta de suma importancia cumplir con el objetivo de diseñar y formular 5 un marco de ciberseguridad estructurado de forma multidimensional, formalizado y actualizado que ayude a garantizar los criterios de confidencialidad, integridad y disponibilidad de los activos estratégicos de la APF en México. Las proposiciones planteadas para la elaboración de este proyecto son las siguientes; ante la adopción y uso de las nuevas tecnologías de información, comunicaciones y almacenamiento de la información, en México no ha ido acompañada de un marco de ciberseguridad multidimensional en el cual, por un lado se definan cuáles son los activos estratégicos de las instituciones de la APF, y por el otro se garantice la protección de estos activos estratégicos de los amenazas y riesgos circundantes en el ciberespacio; considerando como premisa la ausencia de concientización por parte de los servidores públicos que hacen uso de estas tecnologías, el desconocimiento de los actores y las formas 4
En este trabajo se presentan algunos ejemplos de estos delitos con la intención de describirlos, sin embargo, su estudio particular no forma parte del alcance en este trabajo de investigación. 5 De acuerdo al ciclo de las políticas públicas.
3
en que pueden afectar nuestra información e infraestructura. Ante esta situación, considero importante analizar cómo se pueden proteger en todo momento los activos estratégicos del Estado Mexicano. En este proyecto se sistematiza y analiza información relacionada con diversas tendencias y acciones que existen en el tema de ciberseguridad, a nivel internacional y nacional, basado en las siguientes interrogantes ¿qué se está haciendo en el tema de ciberseguridad a nivel internacional?, ¿qué se está haciendo en México? ¿existe en nuestro país un marco multidimensional que determine cómo se pueden proteger de los activos estratégicos de las instituciones que conforman la APF?, ¿se ha considerado en la APF que el rápido crecimiento de las TIC implica riesgos y amenazas para salvaguardar la información?, ¿por qué se debe proteger de la información que recibe, genera y que tiene en su poder la APF?, ¿de quién se debe proteger la información que recibe, genera y que tiene en su poder la APF?, ¿cómo se debe proteger la información que genera, procesa, transmite y almacena la APF? Se requiere de un marco multidimensional 6 con el cual se pueda proporcionar ciberseguridad a los activos estratégicos de las organizaciones que conforman el Estado Mexicano. Este proyecto, por tanto, luego de revisar lo que se está haciendo México y en otros países en materia de Ciberseguridad, incluye una serie de propuestas sobre cómo se pueden proteger los activos estratégicos de la APF de las amenazas existentes en el ciberespacio. Partiendo de la idea de que las reglas a implementar deban ser similares y armónicas con las de otros países, con el propósito de facilitar la cooperación internacional en el combate a los ciberdelitos y que nuestro país no se convierta en un futuro en un free rider en el tema de ciberseguridad (Hansel, 2013). Este proyecto de investigación se estructura en cuatro capítulos en el cual se utilizó un enfoque cualitativo, encaminado a explorar, entender, interpretar y describir el comportamiento de la realidad en estudio (Muñoz, 2011), en un primer momento realicé 6
Me referiré al término marco multidimensional al conjunto de escenarios en los cuales las personas, los procesos y la tecnología interactúan entre sí para ayudar a consolidar la ciberseguridad en todos sus dominios.
4
una investigación exploratoria para ver la situación actual del tema de la Ciberseguridad en los países seleccionados y comparar que se está haciendo en México, en esta pude identificar que este tema es relativamente nuevo y de suma importancia los algunos gobiernos y para las empresas dedicadas a la protección de los equipos de cómputo y de comunicaciones. Hablando del caso de nuestro país, se presentan una serie de problemas acontecidos y reportados principalmente por la prensa nacional durante ataques a diversas instituciones de la APF (Capítulo 1). Por medio de una recopilación y concentración de datos, provenientes de libros de texto, documentos electrónicos y páginas web principalmente, se crea el marco referencial para conceptualizar que entenderemos para efectos de este proyecto como activos estratégicos y sistemas de información de las organizaciones, esto servirá también para describir, presentar el marco de la Ciberseguridad de una manera generalizada y el actuar de la APF en este tema (Capítulo 2). También en este Capítulo 2, mediante el método deductivo realicé una desagregación y análisis de cada uno de los componentes del tema central, los cuales llamé dominios de la Ciberseguridad, para realizar un estudio a detalle de cada uno de ellos, enfatizando la importancia de estos niveles y sus relaciones causa efecto con los elementos personas, tecnología y procesos de las organizaciones (Marco Conceptual de la Ciberseguridad). Posteriormente se presenta una serie de alternativas de solución con las cuales se pueden atender las necesidades de protección de estos dominios (Capítulo 3), las cuales he sintetizado al final de este documento como una serie de propuestas de política pública para la protección de los sistemas de información como activos estratégicos de las organizaciones que conforman la APF (Capítulo 4). Capítulo 1. Diagnóstico situacional. En este capítulo presento parte de la historia reciente, partiendo con el inicio del nuevo siglo, con eventos que han acontecido con algunas amenazas en el ciberespacio, sus efectos y resultados, también se incluirán los reportes de seguridad más recientes de dos de las
5
empresas más grandes y reconocidas en materia de seguridad e infraestructura, Symantec y Cisco respectivamente, para poder visualizar desde la perspectiva de la industria que es lo que tenemos en el presente año y cuáles son sus predicciones; también se presentan experiencias internacionales, recogidas como parte de una revisión de la literatura más actualizada en el presente tema y publicada en la Internet, exponiendo inicialmente a los Estados Unidos porque cuenta con una historia continua en investigar de manera específica estos temas; también se expone el caso de España como ejemplo de lo que se hizo en el año 2013 y como ejemplo de lo que sucede en Europa, finalmente se expone el caso Colombia como parte del trabajo realizado a nivel Latinoamérica en materia de ciberseguridad desde el año 2009; lo hecho en México ilustrando con algunos acontecimientos ocurridos en los años recientes con organizaciones del Estado Mexicano. En el año 2000 el código informático llamado I love you provocó pérdidas económicas con valor de millones de dólares a nivel mundial, cuando fue posible identificar al creador, un estudiante Filipino, no se le pudo detener y procesar porque la legislación Filipina no prohibía la creación y uso de programas malignos o dañinos de computadoras en ese momento (Ecured). Esto es sólo una muestra que los países en vías de desarrollo no cuentan con incentivos para invertir en la ciberseguridad si se comparan con los países desarrollados. Por lo regular, los países en vías de desarrollo están más preocupados por reducir la brecha digital tratando de implementar aún el acceso universal a las TIC, que por visualizar de manera paralela el tema de la ciberseguridad. En el año 2001, el programa malicioso de nombre Code Red atacó servidores web a nivel mundial infectando a más de 350,000 equipos (Cisco, 2012). Este gusano no sólo interrumpió al acceso a los servidores infectados, sino que también afectó las redes locales que comunicaban a estos servidores, volviéndolas lentas o casi inservibles. Este gusano causó una Denegación de Servicio (Dos) a millones de usuarios a nivel mundial. Si momentos antes de este ataque se hubieran desarrollado e implementado políticas de seguridad, el gusano hubiera sido detenido y no hubiera alcanzado las dimensiones que ocupó.
6
En tiempo más recientes, en el año 2012, el diario The Washington Post informó que fuentes oficiales de E.U. e Israel crearon el código informático Flame para espiar y atacar instalaciones de Irán, como parte de una ciberguerra amparada por la supuesta lucha contra el programa nuclear iraní. Flame se diseño para rastrear de forma secreta redes informáticas de Irán y controlar los equipos de diversos funcionarios iraníes, filtrando información confidencial que luego sería utilizada por los gobiernos estadounidense e israelí en su guerra contra el programa de uranio (Washington Post, 2012). Este diario también informó que E.U. estuvo detrás del código informático Stuxnet (Washington Post, 2012), el cual fue creado para sabotear instalaciones industriales en Irán. Se cree que el virus saboteó la planta de enriquecimiento de uranio en Natanz, Irán. De acuerdo al artículo, investigadores del Idaho National Laboratory, que es supervisado por el Departamento de Energía de Estados Unidos, podría haber entregado información crítica a Israel acerca de vulnerabilidades en el sistema que controla la planta en Natanz. Esa información habría sido usada luego para crear y probar el gusano Stuxnet, que fue liberado junto con un ataque cibernético a la planta. Según el reporte, basado en fuentes anónimas, el laboratorio estadounidense trabajó en 2008 con la compañía alemana Siemens para descubrir vulnerabilidades en su sistema de control industrial. Stuxnet atacó directamente esas vulnerabilidades, y fue probado en una instalación nuclear israelí en Dimona. La instalación de Dimona ha sido parte de una operación conjunta entre Israel y Estados Unidos durante los últimos 2 años, con el objetivo de detener la producción de uranio enriquecido en Irán y demorar el desarrollo de armas nucleares en ese país. 1.1. ¿Qué dice la industria? La empresa Symantec 7 presentó en su reporte Norton 2013, basado en una consulta entre 13,022 adultos de entre 18 y 64 años conectados a Internet y con la participación de diversos países incluido México, las personas con más probabilidades de convertirse en víctimas del cibercrimen son: Hombres con un 64%, dueños de dispositivos móviles 63%, 7
Symantec Corporation Symantec es una empresa que brinda soluciones de seguridad, almacenamiento y administración de sistemas que ayudan a los consumidores, pequeñas empresas hasta grandes corporaciones internacionales a proteger y administrar su información contra riesgos. Disponible en: http://www.symantec.com/es/mx/about/.
7
usuarios de redes sociales 63%, usuarios de redes Wi-Fi no seguras o públicas 68%, padres de niños de entre 8-17 años 65%; este reporte muestra resultados de los países con mayor número de víctimas, en lo que respecta a nuestro país señala que un 71% de las personas encuestadas han experimentado el cibercrimen al menos una vez en su vida, como parte de los hallazgos encontrados indica que, los usuarios de la tecnología usan con mayor frecuencia equipos de comunicación móvil pero con menor protección, los usuarios de estos equipos tiene menos conocimientos sobre la seguridad comparados con los usuarios de computadoras personales, el 38% han sufrido de algún delito en los últimos 12 meses y 27% de los adultos han perdido su dispositivo móvil o se lo han robado. También señala este reporte que existe una escalada del cibercrimen con un promedio de 12 víctimas por segundo, donde el 50% de los adultos ha sido víctima de un delito informático y/o un incidente en línea en el último año, el 41% de los adultos conectados a la red ha sufrido ataques como malware, virus, piratería, estafas, fraudes y robo. Entre los datos más relevantes indica que existe una línea muy delgada entre trabajar y jugar, 49% usa su equipo móvil para trabajar y jugar, 49% revisa o envía emails personales desde su equipo de trabajo, 34% entra a redes sociales en su equipo de trabajo, 27% almacena información personal en su equipo de trabajo, 30% de los padres permite a sus hijos descargar y realizar compras desde su equipo de trabajo y el 36% dice que la empresa donde trabaja no tiene políticas que regules el uso de quipos personales en el trabajo. Respecto al almacenamiento online o en la nube señala que, 24% de los usuarios guarda documentos laborales y personales en la misma cuenta de almacenamiento en línea, usuarios que comparten información relacionada con el trabajo a través de sitios de almacenamiento en línea, el 18% comparte con amigos y el 21% comparte con su familia (Symantec, 2013), como conclusión de este reporte se hace un especial énfasis en mencionar que la información laboral y personal está en riesgo. Por otra parte, el líder mundial en telecomunicaciones Cisco 8 en su reporte de seguridad 2014 menciona que el nivel de amenazas alcanzó su nivel más alto desde mayo del 2000, 8
Cisco Systems es una empresa global con sede en San José California (Estados Unidos), principalmente dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones.
8
año en que se comenzó el seguimiento. La falta de profesionales de seguridad es una de las claves de este panorama tan complejo; según cálculos de Cisco hace falta 1,000,000 de expertos alrededor del mundo. Además de la complejidad de las amenazas y soluciones, el problema se debe al rápido crecimiento de los dispositivos móviles y la computación en la nube, innovaciones que ofrecen una mayor superficie de ataque. También señala que los criminales cibernéticos aprovechan el poder de la infraestructura de internet para ganar acceso a servidores estratégicamente posicionados y multiplicar a gran escala sus operaciones. Cisco señaló además que la mayoría de las empresas no están preparadas para la sofisticación de los criminales, es decir, no tienen el personal y los sistemas que permitan monitorear las redes extendidas y poder detectar infiltraciones, y por lo tanto, no es posible aplicar protecciones de una manera sincronizada y efectiva. Indica como dato relevante que el 100% de una muestra de las redes de grandes compañías multinacionales alrededor del mundo generó tráfico a sitios Web que albergaban malware. Señala también que sectores específicos se han visto afectados en los años recientes, en 2012 y 2013 hubo un crecimiento importante de malware en la industria agrícola y minera, anteriormente se consideraban de bajo riesgo. El malware se incrementó en sectores de la energía, el petróleo y el gas. El 27% del total de malware en 2013 fue utilizado para robo de datos (Cisco, 2014). 1.2. ¿Qué ha sucedido a nivel Internacional? Se revisan algunas de las acciones implementadas por países como Estados Unidos, España, Colombia y en México en la actualidad. Todo esto con la finalidad de ampliar el panorama general de lo que está sucediendo en años recientes en diversas naciones del mundo, las cuales me sirvieron de referencia para plantear una propuesta de política pública para mi tema de investigación.
9
1.2.1. En Estados Unidos. El gobierno de los Estados Unidos a través del Departamento de la Defensa, motivado por diversas intrusiones realizadas por países como Rusia 9 en los noventas y China 10, decidió poner en marcha las operaciones Joint Task Force Global Network Operations (JTF-GNO) en el año 1999 y la Joint Forces Component Command Network Warfare (JFCC-NW) en el año 2002 para llevar a cabo la Network Operations (NetOps), las cuales son operaciones de defensa y ataque para prevenir y defenderse de intrusiones en las redes militares. En el mes de Febrero de 2003 el entonces presidente Bush publicó la Estrategia Nacional para Asegurar el Ciberespacio 11, el propósito de este documento es asegurar el ciberespacio con la intención de que el sector privado defienda y prevenga ciberataques sobre la parte de las redes que son propietarias y que operan, ya que todas las redes incluyendo las del gobierno, dependen de las redes troncales civiles, por ello, la Estrategia Nacional alienta a todos los estadounidenses a colaborar entre sí y con el gobierno para desarrollar organizaciones para defender la parte del ciberespacio que poseen. Previamente, el 25 de Noviembre de 2002, Bush firmó la legislación por la cual se crea el Departamento de Seguridad Nacional (DHS) 12, con la misión de proteger las redes del gobierno y redes privadas por medio de los siguientes puntos: desarrollo de un Plan Nacional Integral para asegurar los recursos clave e infraestructura crítica, proporcionar la gestión de crisis en respuesta a los ataques sobre sistemas de información crítica, la prestación de asistencia técnica al sector privado y a otras entidades del gobierno con respecto a los planes de recuperación de emergencia para fallos de los sistemas de información crítica, coordinación con otros organismos del gobierno federal para proporcionar alertas de información específica y asesoramiento acerca de toma de medidas y contramedidas de protección oportuna, realizar y financiar la investigación y el desarrollo junto con otras agencias, que llevarán a un nuevo entendimiento científico y tecnologías en apoyo a la seguridad nacional. La implementación de esta política incluirá una asociación 9
Titan Rain. Mystic Farm. 11 National Strategy to Secure Cyberspace. 12 Department of Homeland Security. 10
10
público-privada
voluntaria,
incluyendo
a
las
empresas
y
organizaciones
no
gubernamentales. (Bush, 2003). La Directiva Presidencial de Seguridad Nacional (HSPD-7) 13 se establece como una política Nacional para los departamentos y agencias federales, para identificar y priorizar la infraestructura crítica y recursos claves, para protegerlos de ataques terroristas (Bush, 2003). Estas directivas definen los términos pertinentes y también los roles de las agencias federales, estatales y locales que lo llevarán a cabo. Posteriormente el Departamento de Seguridad Nacional implementa en el 2006 el Plan para la Protección de la Infraestructura Nacional (NIPP) 14, con el objetivo de prevenir, desalentar y mitigar los efectos de esfuerzos deliberados de sus adversarios para explotar o destruir los elementos de la infraestructura crítica. En el año 2013 se emitió una actualización para este Plan como una evolución a los conceptos introducidos en la versión inicial y su revisión en el año 2009, proporcionando una visión de integración y colaboración en la cual, la infraestructura crítica física y cibernética permanezcan seguras y resistente, reduciendo las vulnerabilidades, minimizando consecuencias, identificando las amenazas y apresurando la respuesta y la recuperación. El NIPP 2013 cumple con la directiva de la Política Presidencial-21 15; el Plan se desarrolla a través de un proceso de colaboración entre las partes interesadas de los 16 sectores de infraestructura crítica de los 50 estados, y de todos los niveles de gobierno e industria. Proporciona un llamado a la acción para aprovechar alianzas, innovación en la administración de riesgos y centrarse en resultados. A nivel internacional tanto la Cyberspace Policy Review de 2009, como la International Strategy for Cyberspace de 2011, abogan por el establecimiento de una nueva norma internacional que haría que los Estados fueran responsables por ciberataques provenientes de infraestructuras bajo su jurisdicción. La idea es evitar el problema de la atribución. Las normas de responsabilidad soberana comprometerían a cada estado para prevenir que sus 13
Homeland Security Presidential Directive 7. National Infrastructure Protection Plan. Disponible en: http://www.dhs.gov/national-infrastructureprotection-plan 15 Presidential Policy Directive-21: Critical Infrastructure Security and Resilience. 14
11
redes nacionales se conviertan en refugios seguros para delincuentes cibernéticos y otros atacantes (Hansel, 2013). Los Estados Unidos por su condición de potencia mundial ha contado desde hace tiempo con una gama de amenazas hacia sus instituciones militares, civiles y de seguridad nacional, por ello, al paso del tiempo han implementado una serie de iniciativas para proteger y defender sus redes e infraestructura crítica de los posibles ataques, buscando el involucramiento y la participación de actores del gobierno en sus distintos niveles y del sector privado. 1.2.2. En España. En el año 2004 se crearon los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades, los cuales tienen por objetivos: 1. Facilitar la adopción de medidas organizativas y técnicas que aseguren la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información en las aplicaciones que ésta utiliza. 2. Proporcionar las medidas, organizativas y técnicas, de seguridad, normalización y conservación que garanticen la validez y eficacia de los procedimientos que empleen medios electrónicos, informáticos o telemáticos. 3. Promover el máximo aprovechamiento de las tecnologías de la información en la actividad administrativa. 4. Asegurar la protección de la información respetando las garantías y derechos de los ciudadanos en sus relaciones con la Administración. Este documento está estructurado en tres apartados: 1. Criterios de seguridad: Expone pautas y directrices para tomar las medidas de seguridad pertinentes cuando se diseña, desarrolla, implanta y explota una aplicación. 2. Criterios de normalización: Expone pautas que permitan asegurar la compatibilidad técnica de las aplicaciones, la disponibilidad e interoperabilidad de todas ellas. 3. Criterios de conservación: Expone directrices y pautas para garantizar la conservación en soporte electrónico de la información que dichas aplicaciones gestionan.
12
Para el 2012 el Instituto Español de Ciberseguridad (Spanish Cyber Security Institute SCSI), adscrito a la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, presentó el documento denominado “La ciberseguridad nacional un compromiso de todos”, con el cual pretende compartir su visión sobre este tema de suma importancia para el desarrollo económico, industrial y social. Con este se propone la necesidad de desarrollar un sistema de ciberseguridad que motive la participación de los distintos actores e instrumentos de la vida pública y privada, esto con la finalidad de crear una cultura de prevención y no de reacción a los problemas del ciberespacio y la ciberseguridad. En el año 2013 el gobierno Español emite la Estrategia de Ciberseguridad Nacional la cual es el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada y con la participación de la ciudadanía. Asimismo, dado el carácter transnacional de la ciberseguridad, la cooperación con la Unión Europea y con otros organismos de ámbito internacional o regional con competencias en la materia, forma parte esencial de este modelo. Basándose en los principios rectores de: liderazgo nacional y coordinación de esfuerzos, responsabilidad compartida, proporcionalidad, racionalidad y eficacia y cooperación internacional. Respetando y fortaleciendo la protección y el pleno disfrute de los derechos fundamentales consagrados en su constitución y en instrumentos internacionales de la importancia de la Declaración Universal de los Derechos Humanos, el Pacto Internacional de Derechos Civiles y políticos o el Convenio Europeo para la protección de los Derechos Humanos y las Libertades Fundamentales. El Gobierno de España se compromete a desarrollar políticas que, mejorando la seguridad de los Sistemas de Información y Telecomunicaciones que emplean los ciudadanos, profesionales y empresas, preserven los derechos fundamentales de todos ellos, especialmente en los sectores más desprotegidos (Gobierno de España, 2013). El gobierno español consciente de la existencia de una dependencia del ciberespacio con la Unión Europea, considera que es necesario dedicar los
13
medios necesarios y capacidades a la hora de implementar la ciberseguridad, asumiendo también que existen muchas incertidumbres y retos que afrontar. 1.2.3. En Colombia. En este país el 14 de julio de 2011 se publicaron los Lineamientos de Política para Ciberseguridad y Ciberdefensa como parte de la Estrategia Integral contra Delitos Informáticos (Policía Nacional de Colombia, 2012); este documento busca generar lineamientos orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes nacionales e internacionales, así como la normatividad del país en torno al tema. La problemática central se fundamenta en que la capacidad actual del Estado para enfrentar las amenazas cibernéticas presenta debilidades y no existe una estrategia nacional al respecto. A partir de ello se establecen las causas y efectos que permitirán desarrollar políticas de prevención y control, ante el incremento de amenazas informáticas. Para la aplicabilidad de la estrategia se definen recomendaciones específicas a desarrollar por entidades involucradas directa e indirectamente en esta materia. Así lo ha entendido el Gobierno Nacional al incluir este tema en el Plan Nacional de Desarrollo 2010-2014 “Prosperidad para Todos”, como parte del Plan Vive Digital. Para ello se establecen los siguientes objetivos generales, Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra su seguridad y defensa en el ámbito cibernético (ciberseguridad y ciberdefensa 16), creando el ambiente y las condiciones necesarias para brindar protección en el ciberespacio. En conjunto con los siguientes objetivos específicos: Implementar instancias apropiadas para prevenir, coordinar, atender, controlar, generar recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar las amenazas y los riesgos que atentan contra la ciberseguridad y ciberdefensa nacional. 16
En este documento se define como la capacidad del Estado para prevenir y contrarrestar toda amenaza o incidente de naturaleza cibernética que afecte la soberanía nacional.
14
Brindar capacitación especializada en seguridad de la información y ampliar las líneas de investigación en ciberdefensa y ciberseguridad. Fortalecer la legislación en materia de ciberseguridad y ciberdefensa, la cooperación internacional y adelantar la adhesión de Colombia a los diferentes instrumentos internacionales en esta temática (Ministerio de Interior y de Justicia, 2011). Colombia ante el reconocimiento de no contar con las capacidades de atención de las amenazas provenientes del ciberespacio, desarrolló una serie de recomendaciones para los actores involucrados de manera directa o indirecta y con lo cual se espera poder afrontar las amenazas y riesgos que atentan contra la ciberseguridad y la ciberdefensa nacional. 1.3. ¿Qué tenemos en México? Nuestro país no está exento de los riesgos que implica el uso de las TIC y los peligros que se tienen que afrontar en la protección de los activos estratégicos en el sector público, es decir, México no está a salvo de ataques hechos desde el interior del país o de las instituciones, de los perpetrados por hackers o hacktivistas, la ciberdelincuencia, el espionaje u otra Nación, ataques que una vez consumados pueden poner en riesgo la operación de las organizaciones del Estado Mexicano y en un momento dado la Seguridad Nacional, los cuales han motivado a estos países determinar sus respectivos planes de acción. Como parte de la revisión de la literatura especializada en este tema en nuestro país, he encontrado que por decreto presidencial en el año 2010 se expidió el MAAGTIC 17, que actualmente tiene el nombre de MAAGTICSI 18, esta es una norma para la eficiencia operativa del gobierno para las actividades del área de TIC emitido por la Secretaría de la 17
18
Manual Administrativo de Aplicación General en las materias de Tecnologías de la Información y Comunicaciones. Disponible en: www.colmich.edu.mx/computo/files/MAAGTIC/MAAGTIC_FINAL.pdf Manual Administrativo de Aplicación General en las materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información. Disponible en: http://www.normateca.gob.mx/Archivos/67_D_2934_05-12-2011.pdf. Última modificación 22 agosto de 2012 Disponible en: www.normateca.gob.mx/Archivos/66_D_3309_20-11-2012.pdf y en: http://cidge.gob.mx/menu/normatividad-2/maagticsi/
15
Función Pública, cuyo ámbito de aplicación y alcance está definido para implementarse en las instituciones a través de sus correspondientes unidades administrativas responsables de proveer infraestructura y servicios de TIC; regulado bajo el marco jurídico aplicable a reglamentos, lineamientos, leyes, decretos y seguridad de la información. MAAGTIC es un conjunto de 29 procesos en el que establece un marco rector para la gestión de las TIC, agrupados en 4 grupos principales para la gestión del gobierno, para la organización estratégica, para la ejecución entrega y soporte de los servicios de TIC. Los procesos se basan en las mejores prácticas internacionales como Six Sigma, COBIT, BSC, normas ISO (como la ISO/IEC 9001, ISO/IEC 27,000, entre otras), Risk IT, CMMI, PMI, ITIL, MoProSoft, Rational Unified Process, entre otras. En el apartado 5.2.2 denominado Administración de la Seguridad de la Información (ASI), se indica que el propósito general de este proceso es el de establecer y vigilar los mecanismos que permitan la administración de la seguridad de la información de la institución, así como disminuir el impacto de eventos adversos, que potencialmente podrían afectar el logro de los objetivos de la Institución o constituir una amenaza para la Seguridad Nacional, por medio de los objetivos específicos: 1. Establecer, operar y mantener un modelo de gobierno de Seguridad de la información. 2. Efectuar la identificación de Infraestructuras críticas y Activos clave de la Institución y elaborar el Catálogo respectivo. 3. Establecer los mecanismos de administración de riesgos que permitan identificar, analizar, evaluar, atender y monitorear los riesgos. 4. Establecer un SGSI que proteja los Activos de información de la Institución, con la finalidad de preservar su confidencialidad, integridad y disponibilidad. 5. Establecer mecanismos para la respuesta inmediata a Incidentes a la seguridad de la Información. 6. Vigilar los mecanismos establecidos y el desempeño del SGSI, a fin de prever desviaciones y mantener una mejora continua. 7. Fomentar una cultura de Seguridad de la información en la Institución. Para conformar el eje rector de los procesos, este manual se organiza de la siguiente manera:
16
Figura 1. Procesos que conforman el MAAGTICSI. Fuente: Diario Oficial de la Federación 22 de agosto de 2012. Desde el punto de vista jurídico, en el Código Penal Federal en su Capítulo II19, denominado Acceso ilícito a sistemas y equipos de informática, se señalan las penas que tendrán quien modifique, destruya o provoque pérdida de información en distintos entornos, sin que de manera integral se establezcan tipos penales para cada conducta delictiva existente, ni se cuente con una legislación especial sobre la ciberdelincuencia (Gutiérrez, Ordoñez, & Saucedo, 2012). El proceso de formar un marco jurídico actualizado, coherente con la problemática e integral ha permitido que la brecha entre utilización de las nuevas TIC en todos los ámbitos de la vida cotidiana y las posibles penas o castigos a quienes hagan mal uso en perjuicio de otros se amplíe, incluyendo a la APF, dando un amplio margen de ventaja a este tipo de delincuencia. Por otra parte, es importante reconocer el avance que nuestro país ha tenido en contar con unidades policiacas como la Policía Cibernética perteneciente a la División Científica de la Policía Federal, así mismo la homóloga pero correspondiente a la SSPDF, sin embargo, dadas las grandes demandas de atención a todos los delitos de que ha sido la población y el crecimiento de las amenazas realmente son pocos recursos para cumplir con tan grandes expectativas. Para ilustrar esto, a continuación expongo una serie de ejemplos
19
Artículos 211 bis 1 al 7.
17
ataques realizados contra organizaciones del Estado Mexicano (Figura 2), en los cuales notas periodísticas publicadas en Internet por medios de comunicación, nombraron sus encabezados como: “Anonymous 'hackea' páginas de Sedena, Semar, SSP y Cisen” 20, “Hackea Anonymous hasta en tres ocasiones la página de la Sedena” 21, “Atacan páginas web de Sedena y Marina” 22, “Anonymous hackea página de Sedena” 23 y “Anonymous hackea las páginas de Sedena y Marina” 24, entre otros; señalan que las respectivas páginas de Internet de la Secretaría de la Defensa Nacional (Sedena), de la Secretaría de Marina (Semar) y del Centro de Investigación y Seguridad Nacional (Cisen) fueron hackeadas en diversas ocasiones por el grupo hacktivista Anonymous el día 16 de enero de 2013, reportes del grupo atacante y particularmente en el caso de la página de Sedena, señalaron que además de que esta página estuvo fuera de servicio por horas y haber modificado el contenido de tal página, se robó por completo toda su información. Días después de estos ataques se informó que se revelan bases de datos obtenidas durante el hackeo a Sedena 25, entre ellas se mencionó que la primera base de datos revelada cuenta con información de 77 mil 849 militares retirados y pensionados, una segunda base de datos obtenida contiene información relativa a nombre, especialidad, número de identidad, email, teléfono y matrícula de 25 mil 758 soldados y para concluir informó este grupo tener los datos de 27 mil 313 registros del programa de becas para los hijos de militares en activo. En respuesta a estos ataques la Sedena comunicó oficialmente que los sistemas informáticos y la red de comunicación interna se encontraban funcionando con total normalidad, además indicaron que la información sensible o delicada de la institución no sufrió ataque; es importante hacer notar que esta institución militar ya había sido destino de ataques similares junto con la SSP el 15 de septiembre de 2011 durante lo que se nombró
20
Nota completa disponible en: http://www.excelsior.com.mx/2013/01/16/879715 Nota completa disponible en: http://www.jornada.unam.mx/2013/01/17/politica/003n1pol 22 Nota completa disponible en: http://noticierostelevisa.esmas.com/nacional/549205/atacan-paginas-websedena-y-marina/ 23 Nota completa disponible en: http://eleconomista.com.mx/sociedad/2013/01/16/anonymous-hackea-paginasedena 24 Nota completa disponible en: http://www.cronica.com.mx/notas/2013/723430.html 25 Fuente disponible en: http://estadomayor.mx/18694 21
18
Operación Independencia 26 . Por su parte la Semar señaló que su página presentó el ataque de DoS, por lo que su página estuvo fuera de servicio temporalmente, subrayando que no hubo daño alguno a las operaciones navales o a la seguridad nacional aclarando que los sistemas informáticos y la red de comunicación interna se encontraba funcionando en completa normalidad.
Figura 2. Imagen captada en Internet del ataque a la página de la Sedena. Fuente: La Jornada Por otra parte, considerando la información publicada en medios de comunicación 27, un informe de la Secretaría de la Defensa de los Estados Unidos; el Gobierno Federal Mexicano carece de un sistema integral que permita enfrentar ataques de alto impacto; el asunto aún no es considerado como de seguridad nacional por la Sedena, Semar, SCT y Segob. Este reporte dice, “México no está preparado para una guerra cibernética que puede inhabilitar los sistemas de operación del gobierno, servicios a la población como agua potable, electricidad, cámaras de vigilancia, información personal de ciudadanos, vuelos, transporte en general, entre otros”. También señala la nota, “Hasta el momento, el gobierno de México tiene áreas relacionadas con sistemas computacionales dentro de sus agencias, utiliza programas comerciales, y en áreas estratégicas ha adquirido muy contados programas especializados, 26
Fuente disponible en: http://www.eluniversal.com.mx/notas/896222.html y en http://www.eluniversal.com.mx/notas/794009.html 27 Disponible en: http://aristeguinoticias.com/1801/mexico/gobierno-de-mexico-es-vulnerable-a-ataquesciberneticos-eu/
19
además de que el número de personal involucrado es bajo”; menciona además que: “las dependencias y agencias relacionadas con seguridad nacional tienen, además, equipos tecnológicos que no están actualizados o que carecen de las nuevas medidas de seguridad comercial vigentes.” A manera de comparación señala, en los Estados Unidos existe el Comando Militar Cibernético, del Departamento de Defensa, el cual cuenta con 21 mil soldados y personal civil que protegen las redes del ejército. Este comando opera las 24 horas del día y su diseño brinda seguridad a niveles horizontal y vertical hacia los diferentes grados militares y oficinas de integran el Departamento de Estado. Una vez establecido que es lo que debemos proteger de los riesgos y amenazas del ciberespacio, y una vez identificadas las posibles fuentes de los ataques y sus motivaciones, es necesario reconocer que las organizaciones del gobierno Mexicano al estar utilizando las nuevas tendencias tecnológicas, están expuestas a los riesgos que cualquier otro usuario de estas tecnologías llámese iniciativa privada, o cualquier otro tipo de organización; como se ha dicho anteriormente, nuestro país puede ser una fuente o un destino de estos ataques; por último y considerando el análisis hecho por del Departamento de Defensa de los E.U.; México no está preparado para atender las necesidades de protección de los activos estratégicos. 1.4. A manera de conclusión. Estos son tan sólo algunos de los muchos ejemplos existentes, de cómo la implementación o ausencia de la ciberseguridad está relacionada directamente con la continuidad de las funciones de las organizaciones de los servicios públicos y privados a nivel nacional e internacional. Es importante hacer notar que una falla o ausencia de la ciberseguridad puede causar la pérdida de datos, amenazar la privacidad de las personas con repercusiones legales y comprometer la integridad de la información. Como señala la Organización de Estados Americanos, los ciberataques pueden tener infinidad de formas y las más serias consecuencias, gobiernos y Estados pueden quedar virtualmente paralizados, compañías, negocios, niveles de empleo y prosperidad económica de un país pueden verse afectados
20
por el robo de información (Blackwell, 2011). De aquí se deriva la importancia de adoptar, desarrollar e implementar técnicas para mitigar riesgos, conscientes también que con la evolución tecnológica las amenazas no dejarán de existir; por lo tanto la información, las redes de telecomunicaciones, los equipos informáticos y el software utilizado por las instituciones están en riesgo constante. Hablando del caso México, si bien es cierto que el MAAGTICSI tiene muchos objetivos para preservar la seguridad de la información, no indica en lo particular y en lo práctico cómo se aplicarán. Por lo tanto, sigue estando pendiente en nuestro país ver el problema desde la concientización de la existencia de los ciberdelitos, su diversidad, cómo se cometen, los alcances y sus consecuencias, es decir, aún existen muchas áreas de oportunidad para trabajar la prevención de este tipo de riesgos. Considero que el Estado Mexicano no debe centrarse exclusivamente en la etapa de una vez ocurridos los ataques, es decir, cuando ya se ha vulnerado la seguridad de los equipos de comunicación, los sistemas de información y se ha comprometido la información. Debe existir una visión completa del problema, es decir, considerar las etapas previas a los ataques, así como las respectivas medidas y procedimientos mientras estén ocurriendo y por supuesto conjuntar con la etapa de una vez ocurridos los ataques, con las capacidades de poder determinar qué paso y poder identificar al o a los atacantes, lo cual conformará una estrategia completa de ciberseguridad. Para lograrlo es necesario situarse en los marcos de referencia con el objeto de delimitar acciones, responsabilidades y entender de manera completa que estamos hablando, estos marcos se presentan a continuación. Capítulo 2. Marcos de referencia. El propósito de este capítulo, considerando las atribuciones de la administración pública para generar políticas públicas, es identificar y conceptualizar cuáles son los activos estratégicos de las instituciones de la APF, es decir, que tipo de activos son los que debemos proteger asemejando la estructura de una organización del Estado con una organización del sector privado. Además de presentar el marco conceptual de la ciberseguridad aplicado a estos activos estratégicos en un modelo multidimensional.
21
2.1. La Administración Pública y las Políticas Públicas. Para integrar una definición de Administración Pública, puede hacerse uso de las definiciones contextualizando su contenido y alcance (Sánchez, 2001). Por ejemplo. Definición etimológica.- Administración (del latín administratio), significa la acción de administrar. Definición constitucional.- Se indica que será centralizada y paraestatal conforme a la Ley Orgánica que expida el Congreso. Distribuirá los negocios del orden administrativo de la Federación, que estará a cargo de las Secretarías de Estado y Departamentos Administrativos y definirá las bases generales de creación de las Entidades Paraestatales y la Intervención del Ejecutivo Federal en su operación (Artículo 90 CPEUM). Definición operativa.- Es la acción encauzada a lograr los propósitos de la comunidad, que determina como se distribuye y ejerce la autoridad política y la económica. Esta acción compromete a las instituciones, autoridades, servidores y particulares a asumir y ejecutar las funciones, atribuciones o competencias propias del Estado, para satisfacer el interés general o comunitario (Muñoz, 1997). José J. Sánchez (2001) menciona que la Administración Pública puede ser vista desde las siguientes perspectivas, como actividad (objeto de estudio), como disciplina (estudio del objeto) y vista de manera integral (objeto y estudio). Como disciplina, José Manuel Canales sostiene que la Administración Pública es una ciencia menciona que “se quisiera dejar constancia inequívoca de que la visión que se mantiene de la Ciencia de la Administración no es sólo algo teórico y abstracto desconectado de nuestra realidad social y de nuestras Administraciones Públicas, sino todo lo contrario, ya que se entiende que esta disciplina abarca un conjunto de conocimientos interdisciplinarios e integrados por su objeto, además de un conjunto de investigaciones empíricas a partir del marco conceptual y referencial científico señalado”. De manera integral, Dwight Waldo menciona que no existe una buena definición de Administración Pública, menciona que quizá haya buenas definiciones breves, pero no una
22
explicación concisa. A partir de ello el autor propone la siguiente definición: “1) Administración Pública es la organización y dirección de hombres y materiales para lograr los propósitos del gobierno; 2) Administración Pública es el arte y la ciencia de la dirección aplicada a los asuntos del Estado”. Este autor, como uno de los mayores expositores en Estados Unidos, menciona “la idea central de la Administración Pública es la acción racional, definida como acción correctamente calculada para la consecución de determinados fines perseguidos. La Administración Pública como estudio y como actividad, conjuntamente tiende a potenciar al máximo la realización de fines; y, a menudo, se entremezclan ambos, ya que, en último análisis, el estudio es también una forma de acción”. En este sentido Waldo comenta que la expresión Administración Pública puede significar, 1) las instituciones y la actividad de las agencias públicas; 2) una actividad consciente de estudio e investigación, centrada en esas agencias; y 3) la síntesis de 1) y 2), entendida como un área total de instituciones, actividades, investigación y enseñanza. José Castelazo la define en los siguientes términos: “1. La administración pública es la organización gubernamental y básicamente su rama ejecutiva. Es la estructura del gobierno y el conjunto de recursos humanos, materiales y financieros que la integran, es decir, el conjunto de instituciones, personas y recursos que conforman la administración gubernamental. 2. Cumple la función de ejercer, ejecutar el programa político a través de los procesos de planeación, programación, coordinación, ejecución, evaluación y control administrativo. 3. Es una técnica o un arte que primordialmente consiste en saber distinguir, entre la información disponible, la que es útil para la toma de decisiones político-administrativas, y al mismo tiempo en saber tomar estas oportunidades para implementarlas sin causar conflictos sociales o de intereses. 4. Puede ser la teoría o el conjunto de conocimientos, métodos y procedimientos científicos que se organizan de alguna manera para estudiar, analizar y predecir los hechos o fenómenos que suceden en el gobierno de un país”. Considerando estas definiciones puedo decir que la Administración Pública a través de las instituciones, ejecutan funciones por medio de las autoridades y servidores públicos, que
23
de acuerdo a sus atribuciones y conocimientos interdisciplinarios e integrados, persigan y satisfagan un interés generalizado; esto se conseguirá por medio de la emisión y ejecución de programas políticos formados de las etapas de planeación, programación, ejecución, evaluación y control administrativo. Es en esta parte donde toman importancia las políticas públicas; para delimitar mi estudio es preciso hacer aclaraciones acerca de la palabra política 28 debido a su contexto, en el primero de ellos politics se refiere al juego político diario, es decir se basa en alianzas y conflictos. Las negociaciones y apoyos de los integrantes de las Cámaras para aprobar un proyecto de Ley en el Congreso, son un buen ejemplo del uso de esta palabra. La segunda traducción es el contexto de polity, es decir, haciendo referencia a la arquitectura institucional. Se refiere a las instituciones políticas en un amplio sentido, (ley, organizaciones de Estado, estructura). Por tercer y último contexto se aplica al Public policy, se suele traducir como Políticas Públicas o Acción de Gobierno. Se pueden definir las políticas públicas
como programas desarrollados
por autoridades públicas
(Harguindéguy, 2013). La autoridad pública se puede definir por tener dos dimensiones. La primera es su capacidad de representación colectiva, sin ser necesario que éstas sean elegidas democráticamente para ser consideradas como entes públicos. Sólo hace falta que se encarguen para bien, o para mal, administrar la comunidad. La segunda dimensión fundamental es el ejercicio de un poder propio, una autoridad no puede ser un intermediario; tiene que tener una cierta potestad. Tamayo menciona que la Política Pública se define como el conjunto de objetivos, decisiones y acciones que lleva a cabo un gobierno para solucionar los problemas que en un momento determinado los ciudadanos y el propio gobierno consideran como prioritarios. Un programa público suele basarse al menos en cinco dimensiones, estas son las siguientes: Contenido.- Refiriéndose a esta como las medidas concretas utilizadas y particularmente a los instrumentos movilizados (prestaciones, recortes, represión, etc.). 28
Dadas las diversas traducciones de esta palabra en el idioma inglés.
24
Calendario.- Programando la acción de gobierno en el tiempo a fin de maximizar su efecto, es decir, se tiene que definir un periodo de actuación, de cierta forma siguiendo la lógica de los modelos de análisis cíclicos. Teoría del cambio.- Detrás de cada pregunta se esconde un razonamiento causal. Entonces se genera una política pública porque se cree que tendrá un efecto Y sobre un grupo X. Cierto campo de acción.- Se compone de un grupo de personas y/o de un espacio geográfico que se serán los receptores del programa. Coerción.- Esta dimensión se refiere a que tiene que haber una forma de obligar a la gente, para que haga lo que se le pide. Max Weber señala “El estado es una forma de comunidad política que está limitada territorialmente, que regula mediante leyes las interrelaciones de los individuos que viven en él, y que clama para sí el monopolio del uso legítimo de la violencia para hacer cumplir y mantener el orden legal ” (Harguindéguy, 2013). Por lo tanto, el Estado tiene la obligación de hacer que se protejan los servicios que se prestan en el ciberespacio, los cuales son necesarios y determinantes para el desarrollo económico y el bienestar de sus gobernados. Por ende se requiere de una Intervención Estatal preventiva como parte de una estrategia de protegerse a sí mismo e implícitamente a la ciudadanía, a través de mecanismos de salvaguardia de los activos estratégicos de las instituciones que conforman la APF. Clasificación de las políticas públicas Existen diferentes tipologías de políticas públicas en función del lugar, del nivel de gobierno o incluso de la época, sin embargo para el presente proyecto de investigación aplicada me basé en la taxonomía de Teodoro J. Lowi, el cual clasifica a las políticas públicas en función de su grado de coerción pública (Harguindéguy, 2013). Lowi dice que los asuntos pueden clasificarse en función de su carácter, el cual puede ser distributivo, redistributivo, normativo o constitutivo, estas cuentan con las siguientes características (Figura 3):
25
•
Política distributiva: distribución de los nuevos recursos. Estas son indirectas en el sentido de que no obligan a nadie a hacer lo que no haría de otra manera. Pero sí se aplican directamente a los individuos que las requieren, concediendo (o no) una autorización a los individuos afectados, es decir, esta categoría agrupa a las políticas que consisten en otorgar permisos (pueden ser de construcción, de conducir o de ejercer una profesión).
•
Política redistributiva: modificación de la distribución de los recursos existentes. Estas son las más visibles en el marco del Estado del Bienestar, ya que permiten repartir los ingresos fiscales del Estado entre los ciudadanos. Redistribuyen los recursos públicos en función de criterios previos. Por esto se encuentran en la posición de ser políticas con un efecto directo sobre el entorno de la ciudadanía. Las políticas sociales y todas las medidas que afectan el sistema de Seguridad Social son ejemplos de estas.
•
Política normativa o reglamentaria: regulación y control de las actividades. Se aplican directamente sobre la población objetivo también, pero en este tipo se hace recaer el peso de la coerción pública sobre los individuos que no respetan las reglas. En este sentido limitan su libertad individual.
•
Política constitutiva: la creación o reorganización de instituciones. Estos son los programas públicos pensados para establecer reglas que delimiten las normas de comportamiento de los individuos. En ellas se modifican o refuerzan las reglas el juego. En este sentido son indirectas y se aplican al entorno de los ciudadanos como puede ser, la creación de una Constitución o cualquier otra regla que permita convivir en comunidad. (Parsons, 2007 y Harguindéguy, 2013).
Figura 3. Tipos de políticas públicas Fuente: Elaboración propia con información de Harguindéguy.
26
Estas categorías como tal son ideales y es difícil encontrarlas en la realidad, sin embargo las consideraré para crear un marco de referencia para abordar mi tema de investigación. Este modelo es pertinente porque abarca dos de las perspectivas o temas que considero me pueden ayudar a abordar la solución a mi problema de investigación: estas son el normativo o reglamentario y constitutivo. El Ciclo de las políticas públicas Respecto al ciclo de las políticas públicas para el presente trabajo de investigación se tomará como referencia el siguiente modelo (Figura 4). 1.La identificación y definición de los problemas. En esta etapa el gobierno advierte la existencia de problemas u oportunidades en la sociedad planteándose si debe o no actuar. Dentro de esta etapa se incluyen las actividades de detección y selección de cuestiones y la definición de problemas públicos. Dentro de la detección y selección de cuestiones públicas (la agenda política); en la sociedad existen diversas cuestiones que buscan la atención de los gobiernos, sin embargo no todas estas cuestiones que preocupan a la sociedad terminan con la formación de una política pública para resolverlos. La agenda política, institucional o de gobierno, está compuesta por el conjunto de asuntos explícitamente aceptados para ser considerados de manera activa por los tomadores de decisión públicos, estas son las cuestiones del gobierno.
Figura 4. El ciclo de las políticas públicas Fuente: Elaboración propia con información de Harguindéguy.
27
2. La formulación de las políticas. En esta etapa y una vez que el gobierno conoce la existencia de un problema, lo define y rechaza la opción de no actuar sobre él, entonces comienza la etapa de formulación de políticas, que tiene que ver con el desarrollo de cursos de acción (alternativas, propuestas, opciones) aceptables y pertinentes para enfrentarse a los problemas públicos. Las políticas se conciben como soluciones a los problemas públicos. Dentro de esta etapa se consideran las siguientes actividades. 1) El establecimiento de las metas y objetivos a alcanzar. Los objetivos constituyen un elemento central en la acción pública; dan sentido de propósito y de dirección a una organización y a sus políticas y programas. En la práctica surgen dificultades a la hora de identificar los objetivos de las organizaciones y programas existentes y a la hora de especificar los objetivos para el desarrollo futuro de las organizaciones y programas. 2) La detección y generación de alternativas que permitan alcanzar los objetivos. El producto de esta actividad sería una lista de opciones de política pública, entre las que se pueden encontrar opciones ya conocidas o que cuentan con apoyos internos, identificación, y opciones desconocidas o que carecen de apoyos dentro de la organización, generación. Cada opción o alternativa debe ser caracterizada de forma precisa como sea posible. 3) La valoración y comparación de las alternativas. Una vez que se han producido y definido las opciones, considerando ya definidas las ventajas y sus inconvenientes, viene el momento de hacer uso de un tipo de técnica que permita realizar el proceso de elección. Una de las herramientas más conocidas para llevarlo a cabo, es el análisis de costo-beneficio, el cual consiste en identificar los costes y beneficios asociados con cada alternativa y en la cuantificación económica de estos, esto se hace con el propósito de facilitar la comparación entre estas opciones. 4) La selección de una de las opciones o una combinación de ellas. 3. La adopción de la decisión. Esta etapa se encuentra exclusivamente en manos del tomador de decisiones; para que una política sea considerada pública ésta debe ser generada por medios gubernamentales, es decir debe emanar de una autoridad pública. 4. La implementación de las políticas públicas. Una vez que ha sido adoptada la decisión, se incluyen todas las actividades y procesos desarrollados hasta que aparecen los primeros efectos asociados con la intervención pública. En ella las unidades administrativas
28
movilizan recursos económicos y humanos, principalmente, para poner en práctica la política adoptada. Se trata de la puesta en marcha o ejecución de la política. 5. La evaluación de las políticas. En esta etapa las unidades de evaluación de la administración pública determinan en qué medida se han cumplido los objetivos de la respectiva política pública. La evaluación cierra el ciclo de las políticas, y puede retroalimentar el proceso en cualquiera de sus etapas. En la realidad, la evaluación no está tan extendida como sería deseable. La unidad de acción pública objeto de evaluación suelen ser los programas (Delgado, 2009). Un programa se define como el conjunto de actuaciones orientadas a la consecución de uno o varios objetivos y que consumen recursos de distinta naturaleza (humanos, financieros, legales, materiales, tecnológicos, etc.). Evaluar programas es más factible que paquetes de recursos con los cuales se pretende mitigar el estado de un problema. Una vez dada la descripción del ciclo de las políticas públicas y a manera de puntualizar el alcance de este trabajo de investigación, hago mención que se quedará en la etapa de formulación de una política, y que en un futuro llegue a convertirse en política pública. 2.2. Los Activos Estratégicos. En este apartado tomaré de referencia el Balanced Scorecard (BSC), denominado también como Cuadro de Mando Integral, con el cual las organizaciones 29 pueden equilibrar los indicadores financieros con otros no financieros en tres perspectivas adicionales, clientes, procesos internos y aprendizaje y crecimiento. La estrategia de una organización describe de qué manera intenta crear valor para sus accionistas y clientes (Kaplan & Norton, 2004). El BSC cuenta con varios elementos importantes entre los cuales se encuentran: •
El desempeño financiero, un indicador de resultado, proporciona la máxima definición del éxito de la organización. La estrategia describe la forma en que una organización se propone crear un crecimiento sustentable en el valor par los accionistas.
29
A partir de este momento me referiré a las instituciones como organizaciones de acuerdo a este marco de referencia.
29
•
El éxito de los clientes objetivo proporciona la máxima definición del desempeño financiero. Además de medir los indicadores de resultados del éxito obtenido con los clientes, por ejemplo, satisfacción retención y crecimiento, la perspectiva del cliente define la propuesta de valor para segmentos determinados de clientes. Elegir la propuesta de valor para el cliente es el elemento central de la estrategia.
•
Los procesos internos crean y entregan la propuesta de valor para los clientes. El desempeño de los procesos internos es un indicador de tendencia de las mejores subsiguientes en los resultados financieros y del cliente.
•
Los activos intangibles son la fuente definitiva de la creación de valor sustentable. Los objetivos de aprendizaje y conocimiento describen la manera en que personas, tecnología y entorno organizacional se combinan para apoyar la estrategia. Las mejoras en las mediciones del aprendizaje y crecimiento son indicadores de tendencia del desempeño relacionado con el proceso interno, los clientes y los aspectos financieros.
•
Los objetivos de las cuatro perspectivas se vinculan entre ellos en una cadena de relaciones causa-efecto. La mejora y la alineación de los activos intangibles conduce a un mejor desempeño del proceso, lo que a su vez, induce al éxito con clientes y accionistas. En la Figura 5 presento un mapa estratégico que identifica de manera esquemática los
elementos antes descritos, esto es, para contextualizar el enfoque de mi estudio y particularmente la perspectiva que tomaré como referencia para aterrizar mi tema objeto del presente trabajo de investigación. Como se puede observar en este mapa, el lado derecho se encuentra el modelo para la creación de valor en organizaciones del sector público, para el caso particular de este proyecto, la APF; como se puede observar cuenta con similitudes con las organizaciones del sector privado, sin embargo, entre las diferencias se encuentran las siguientes: a) la máxima definición de éxito para las organizaciones del sector público, es su desempeño en el logro de la misión, es decir, la razón de ser de la organización; b) cubren con una variedad de visiones y por lo tanto, tienen que definir su impacto social.
30
Figura 5. Mapa estratégico. Modelo básico de creación de valor en las organizaciones (BSC). Fuente: Elaboración propia con información de (Kaplan & Norton, 2004). La misión se cumple satisfaciendo las necesidades de sus clientes objetivo. Para consumar las metas programadas, las organizaciones deben cumplir con el desempeño de los procesos internos que cuentan con el apoyo de los activos intangibles (aprendizaje y crecimiento). La perspectiva fiduciaria refleja los objetivos de un grupo constituyente, como son los contribuyentes que son quienes aportan el financiamiento del sector público en buena medida. Todo lo anterior crea una arquitectura estratégica de temas de eficiencia y efectividad que refleja los temas de productividad de las organizaciones. Para efectos del presente trabajo nos concentraremos en la perspectiva de aprendizaje y crecimiento, la cual describe a los activos intangibles de la organización y la función que tienen en la estrategia (Figura 6):
Figura 6. Perspectiva de aprendizaje y conocimiento. Fuente: Elaboración propia con información de (Kaplan & Norton, 2004).
31
Capital humano.- habilidades, competencias, conocimientos de los servidores públicos (empleados). Capital de información.- bases de datos, sistemas de información, redes e infraestructura tecnológica. Capital organizacional.- cultura, liderazgo, alineación de los empleados, trabajo en equipo y gestión del conocimiento. Ninguno de estos activos intangibles pueden medirse por sí mismo; el valor de estos reside en la capacidad para ayudar a la organización en poner en práctica su estrategia. Por ello, cuando los tres componentes de esta perspectiva están alineados con la estrategia, la organización tiene la capacidad de movilizar y sostener el proceso de cambio requerido para ejecutar su estrategia. Se dirá que una organización tiene una alta preparación cuando: •
Las capacidades del capital humano en los puestos estratégicos están fuertemente alineadas con los temas estratégicos.
•
El capital de la información proporciona la infraestructura vital y las aplicaciones tecnológicas estratégicas que complementan el capital humano para promover un desempeño extraordinario en los temas estratégicos. La información estratégica se refiere a la disponibilidad de sistemas de información, aplicaciones e infraestructura de gestión del conocimiento que se necesitan para respaldar la estrategia.
•
Cultura, liderazgo, alineación y trabajo en equipo son elementos que refuerzan los cambios del clima organizacional necesarios para ejecutar la estrategia. De lo anterior podemos definir a los activos estratégicos de la organización como los
dispositivos informáticos conectados a través de las redes, los servicios y aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedia, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. Para todos ellos es importante cumplir con las metas de garantizar los criterios de confidencialidad, integridad y disponibilidad. Por lo tanto, se insiste en que el capital de la información cumplen con el propósito de proporcionar al capital humano las herramientas necesarias para cumplir con la misión, es decir la razón de ser y objetivos de las organizaciones.
32
2.3. Los Sistemas de Información (SI). Un sistema de información es un conjunto de elementos que interactúan entre sí con el propósito de apoyar las actividades de una empresa o negocio 30. Estos elementos son de naturaleza diversa y normalmente incluyen: •
El equipo computacional, es decir el hardware necesario para que el sistema de información pueda operar. Está compuesto de computadoras y equipo periférico que se puede conectar a ellas.
•
El recurso humano que interactúa con el sistema de información, el cual está formado por las personas que utilizan el sistema, alimentándolo con datos o utilizando el resultado que genera.
•
Los datos o información fuente que son introducidos en el sistema, son todas las entradas que éste necesita para generar como resultado la información que se desea.
•
Los programas que son ejecutados por la computadora, y producen diferentes tipos de resultados. Los programas son la parte del software del sistema de información que hará que los datos de entrada introducidos sean procesados correctamente y generen los resultados esperados.
•
Las telecomunicaciones que están compuestas de hardware y software, facilitan la transmisión de texto, datos, imágenes y voz en forma electrónica.
•
Procedimientos que incluyen las políticas y reglas de operación, tanto en la parte funcional del proceso de negocio, como los mecanismos para hacer trabajar una aplicación en la computadora. Regularmente los términos datos e información se utilizan como sinónimos, sin
embargo esto no es correcto. El dato puede ser un número, una palabra, una imagen. Dentro del ámbito cotidiano se utiliza en plural la palabra “datos”, los cuales son la materia prima para la producción de información. La información son datos que dentro de un contexto dado tienen un significado para alguien. Un sistema es el mecanismo por el cual se genera la información, tal y como se ilustra con la Figura 7. 30
En un amplio sentido, un sistema de información no sólo incluye equipo electrónico (hardware). Sin embargo, en la práctica se utiliza como sinónimo de sistema de información computarizado.
33
Figura 7. Relación entre los términos datos, sistema e información. Fuente: Elaboración propia con información de (Cohén & Asín, 2000).
Figura 8. Diseño conceptual de los sistemas de información. Fuente: Elaboración propia con información de (Cohén & Asín, 2000). Un sistema de información realiza cuatro actividades básicas: entrada, almacenamiento, procesamiento y salida de información, en la Figura 8 se presenta el diseño conceptual de un sistema de información, sus actividades se ilustran en la Figura 9. Entrada de información. La entrada es el proceso mediante el cual el sistema de información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales son aquellas que son proporcionadas en forma directa por los usuarios, mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos, estas son denominadas interfaces automáticas. Las unidades típicas de entrada de datos a las computadoras son otras estaciones de trabajo, las unidades de discos, códigos de barras, escáneres, la voz, los monitores sensibles al tacto, lectores biométricos, el teclado y el mouse entre otras. Almacenamiento de información. Estas es una de las actividades o capacidades más importantes que tiene un sistema de cómputo, ya que a través de esta propiedad el sistema es capaz de recordar la información guardada en la sesión o proceso anterior. Esta
34
información suele ser almacenada en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los discos magnéticos o discos duros, los discos compactos, discos de alta capacidad entre otros. Procesamiento de la información. Se refiere a la capacidad que tiene un sistema de información para efectuar cálculos de acuerdo con una secuencia de operaciones prestablecidas. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos previamente almacenados. Esta característica permita la transformación de datos fuente en información que puede ser utilizada para la toma de decisiones, lo que hace posible entre otras cosas, que un tomador de decisiones genere la proyección financiera a partir de los datos que contiene un estado de resultados o un balance general de un año base por ejemplo. Salida de la información. Es la capacidad de un sistema de información para sacar la información procesada o bien datos de entrada al exterior. Dentro de las unidades típicas de salida son las impresoras, estaciones de trabajo, la voz y plotters entre otros. Aquí es importante hacer notar que la salida de la información puede ser la entrada a otro sistema de información o módulo. En estos casos, también existe una interface automática a la salida.
Figura 9. Actividades de un sistema de información. Fuente: Elaboración propia con información de (Cohén & Asín, 2000).
35
Los sistemas de información cumplen con tres objetivos básicos dentro de las organizaciones: Automatizan los procesos operativos. También llamados sistemas transaccionales ya que su función consiste en procesar transacciones tales como pagos, cobros, pólizas, entradas y salidas en general; estos sistemas se caracterizan por que: • A través de estos se suelen conseguir ahorros de mano de obra, esto es, debido a que automatizan tareas operativas de la información. • Regularmente son el primer tipo de sistemas de información que implementan las organizaciones. Se empieza apoyando las tareas a nivel operativo para después continuar con los mandos intermedios y la alta administración conforme evolucionan. • Estos sistemas requieren de mucho manejo de datos para realizar sus operaciones y como resultado generan también grandes volúmenes de información. • Tienen la propiedad de ser recolectores de información, a través de ellos se cargan las grandes bases de información para su posterior utilización. Estos son los encargados de integrar las grandes cantidades de información que se maneja en la organización, la cual será empleada posteriormente para apoyar a los mandos intermedios y altos. • Son fáciles de justificar ante la dirección general, ya que sus beneficios son visibles y palpables. Esto es, en el corto plazo se pueden evaluar los resultados y las ventajas que origina el uso de este tipo de sistemas; entre estas y que son medibles se encuentra que el ahorro del trabajo manual. • Son fácilmente adaptables a paquetes de aplicación que se encuentran en el mercado, ya que automatizan los procesos básicos que por lo general son similares o incluso iguales a los de otras organizaciones. Proporcionan información que sirve de apoyo al proceso de toma de decisiones, se pueden clasificar en sistemas de apoyo a la toma de decisiones (DSS 31); sistemas de apoyo a la toma de decisiones de grupo (GDSS 32), sistemas de información para ejecutivos (EIS 33) y sistemas expertos de apoyo a la toma de decisiones (EDSS 34). Estos sistemas se caracterizan porque: 31
Decision Support Sytems, por sus siglas en el idioma inglés. Group Decisión Support Systems, por sus siglas en el idioma inglés. 33 Executive Information Systems, por sus siglas en el idioma inglés. 34 Expert Decision Support Systems, por sus siglas en el idioma inglés. 32
36
•
Suelen introducirse después de haber implementado los sistemas transaccionales más relevantes de la empresa, ya que estos constituyen su plataforma de información.
•
La información que generan sirve de apoyo a los mandos intermedios y a la alta administración en el proceso de toma de decisiones.
•
Suelen ser intensivos en cálculos y escasos en entradas y salidas de información. Así que para dar un ejemplo, un modelo de planeación financiera requiere poca de información de entrada, también genera poca información como resultado y generalmente realiza muchos cálculos durante su proceso.
•
Como suelen no ahorrar recursos en la mano de obra, la justificación económica para el desarrollo de este tipo de sistemas suele ser difícil ya que no se conocen los ingresos del proyecto de inversión.
•
Suelen ser sistemas de información interactivos y amigables, con altos estándares de diseño gráfico y visual, ya que están dirigidos al usuario final.
•
Apoyan a la toma de decisiones que por su propia naturaleza son repetitivas y estructuradas, de igual forma son no repetitivas y no estructuradas.
•
Estos sistemas pueden ser desarrollados directamente por el usuario final sin la participación operativo de los analistas y programadores de las respectivas áreas de informática. Logran ventajas competitivas a través de su implementación y uso, es decir, de acuerdo a su uso y los objetivos que cumplen se denominan sistemas estratégicos por lograr dichas ventajas por medio de la utilización de las tecnologías de la información. Sus principales características son:
•
Aunque dentro de sus funciones primordiales no está la de apoyar a la automatización de los procesos operativos ni proporcionar información para apoyar la toma de decisiones, este tipo de sistemas pueden llevar a cabo dichas funciones.
•
Este tipo de sistemas suelen desarrollarse in house, es decir, dentro de las organizaciones, por lo tanto no pueden adaptarse fácilmente a paquetes existentes en el mercado.
37
•
Su forma de desarrollo se basa en incrementos y a través de su evolución dentro de la organización. Se inicia con un proceso o función en particular y a partir de ahí se van agregando nuevas funciones o procesos.
•
Dentro de sus principales funciones está la de lograr ventajas que los competidores no poseen, este tipo de ventajas pueden en costos y servicios diferenciados con clientes y proveedores. En este contexto, los sistemas estratégicos son creadores de barreras de entrada al negocio. El uso de comercio electrónico en algunas empresas que ofrecen servicios de venta es, por ejemplo, un sistema estratégico ya que brinda una ventaja sobre otras compañías que ofrezcan productos similares y no cuentes con este tipo de servicios. Si una nueva compañía decide entrar al mercado, tendrá que ofrecer este tipo de servicio para tener un nivel similar al de sus competidores.
•
Otra más de las ventajas que se pueden lograr con este tipo de sistemas es que no son eternas, es decir, existe un periodo de vigencia similar al tiempo en que tardan los competidores en alcanzar las diferencias o ventajas obtenidas por estos sistemas de información estratégicos (SIE). Cuando esto sucede, se dice que los beneficios generados por el SIE se convierten en estándares a la industria, como es el caso del comercio electrónico previamente señalado, serán requisitos de infraestructura tecnológica que una compañía deba poseer.
•
Dan apoyo al proceso de innovación de productos y procesos dentro de la empresa, debido a que se buscan ventajas respecto a los competidores y por ello es una forma de hacerlo es innovando o creando productos o procesos.
Las TIC hacen referencia a todas aquellas tecnologías que permiten y dar apoyo a la construcción y operación de los sistemas de información, entre estas se encuentran las redes de datos, teléfono, fibra óptica, discos compactos, faxes, gateways, ruteadores, switches, servidores, software, sistemas de diseño computarizado, unidades de almacenamiento de datos, servicios de transferencia electrónica, tarjetas inteligentes y muchos otros más. Por lo tanto, una vez identificados los sistemas de información como activos estratégicos de la APF, podemos identificar de forma individual los componentes particulares a proteger, estos son; los equipos terminales, el recurso humano que interactúa
38
con los equipos, los datos o información que son introducidos, los programas o aplicaciones que al ser procesados producen diferentes tipos de resultados, los equipos de telecomunicaciones necesarios para la transmisión de texto, datos, imágenes y voz, que ayudan al desempeño de los procesos internos y el logro de la misión y visión de las organizaciones de la APF. Estos componentes requieren de un marco de ciberseguridad necesario para garantizar su confidencialidad, integridad y disponibilidad en todo momento. 2.4. Marco Conceptual de la Ciberseguridad. Como señalé anteriormente para el desarrollo de este proyecto de investigación aplicada se tomará como referencia la definición de ciberseguridad de la ITU (2010), la cual se define como el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. Las propiedades de seguridad incluyen una o más de las siguientes: •
disponibilidad;
•
integridad, que puede incluir la autenticidad y el no repudio;
•
confidencialidad.
En donde, la confidencialidad se cumple sólo cuando las personas, o sistemas, autorizadas pueden conocer cierta información. Sin esta podemos tener los escenarios siguientes, ¿qué sucedería si por medio de un dispositivo de almacenamiento o incluso por la red, los datos de toda la plantilla de trabajadores de una organización fuera cedida a terceros?, ¿cuál serían su uso y destino finales?, ¿se crearía un mercado para la venta descontrolada de esa información?, estos son sólo algunos de los problemas e interrogantes que pudieran generarse por no asegurar la confidencialidad. La integridad se refiere a que ciertas personas autorizadas puedan modificar o borrar la información, para ello es necesario que existan controles para su posterior auditoría y seguimiento de cambios.
39
La disponibilidad se cumplirá sí y sólo sí, las personas autorizadas pueden acceder a tiempo a la información, el disponer de la información en otro momento posterior al que se le requiere puede considerarse como una no disponibilidad. Otra situación que deberá considerarse en este contexto es que la información con la que se dispone sea la correcta para evitar errores en la toma de decisiones. Por supuesto existe también la situación de la no disponibilidad absoluta, causada por haberse producido algún tipo de desastre, en este caso y mientras mayor sea el tiempo que pasa, mayor será el impacto que provoque hasta llegar a poner en riesgo la continuidad de las organizaciones. 2.4.1. Fuentes, motivaciones y tipos de ciberataques. Para garantizar que la confidencialidad, integridad y disponibilidad de nuestros sistemas de información se consolide, es primordial conocer las fuentes (Figura 10) y el tipo de ciberataques, es decir, debemos conocer acerca de quién y de qué debemos proteger los activos estratégicos de las organizaciones de la APF. Los insiders (desde el interior): se refiere a ataques con información privilegiada que causan violaciones a la seguridad, causada o facilitada por empleados o personal dentro de la propia organización (institución). Los hackers/cibercriminales: son los responsables individuales de ciberataques. Script kiddies: además de los hackers, estos lanzan ataques de malware. Estos atacantes utilizan programas y scripts conocidos para buscar puntos débiles en computadoras conectadas a Internet. Para los hackers, esta categoría la consideran de bajo nivel en el arte del hacking, porque dicen ellos hacen quedar mal a la comunidad hacker más desarrollada. Hacktivistas (hacktivismo): persona o personas que obtienen acceso no autorizado a los archivos informáticos o redes para llevar a cabo sus fines políticos o sociales. Agencias de gobierno: las organizaciones de gobierno se han convertido en una amenaza cibernética debido a que en algunos países se han formado equipos de expertos con el propósito de robar secretos de los sistemas de información de otros gobiernos.
40
Amenazas internacionales: es importante aceptar el hecho de que un ataque cibernético puede venir de cualquier parte del mundo. De lo anterior se debe entender y aceptar el hecho que la ausencia de ciberseguridad es un problema que afecta a todos los países de manera global. Este se acentúa porque además los países cuentan con distintos marcos jurídicos y penas, por lo tanto, es difícil que los ciberdelincuentes sean llevados ante la justicia como debiera suceder. Las motivaciones para llevar a cabo este tipo de ataques pueden ser: •
Dinero,
•
Ideología,
•
Coerción y
•
Ego.
Los internos (insiders), por ejemplo, pueden ser personas con las que se trabaja, amistades con acceso a nuestras computadoras, dispositivos o equipos y la red, es decir, son personas que están autorizadas para tener acceso a los datos. En el ámbito laboral, pueden ser personas descontentas o en busca de obtener un beneficio, aplicándose las motivaciones ya mencionadas. Los hacktivistas son hackers que atacan algún objetivo, como páginas web, bajo una motivación ideológica. A menudo con el propósito de hacer una declaración política o influir en el ámbito social. Un ejemplo de esta categoría puede ser el grupo denominado Anonymous; esta es una red global de hackers de ideas afines, que utilizan las computadoras para unirse a diversas campañas de hacking contra grandes corporaciones y gobierno principalmente, con el fin de protestar por las acciones en las cuales estén en desacuerdo. Los hackers por su parte pueden tener cualquiera de las motivaciones anteriores para atacar a sus objetivos. Podrían estar buscando dinero, hacer una declaración política, lo hacen para demostrar que pueden (ego), o incluso pueden ser obligados a ello. Los hackers pueden variar unos con otros de acuerdo a su nivel de habilidades, por ejemplo los scriptkiddie son conocidos por tener un bajo nivel de conocimiento, estos se limitan a comprar y
41
utilizar programas escritos por otros que regularmente son altamente calificados. Los hackers pueden ser clasificados como sombrero negro, blanco o gris. El espionaje corporativo, se refiere a el robo de la propiedad intelectual e industrial de una corporación. Este requiere de un alto grado de organización y financiación. Los cibercriminales generalmente están motivados por el lucro, buscando información personal, números confidenciales de tarjetas de crédito, credenciales y otra información que puedan vender. Suelen estar muy bien organizados y pueden ser muy difíciles de atrapar, ya que el internet permite a las organizaciones criminales atacar fácilmente objetivos alrededor del mundo. Las Naciones suelen tener a su disposición agencias con una gran cantidad de recursos y personal calificado, trabajando para robar información o interrumpir en otras naciones por razones políticas.
Figura 10. Fuentes de los ciberataques Fuente: Elaboración propia con información de Jackson (2014). En la actualidad existen muchos tipos de ciberataques acerca de los cuales debemos estar prevenidos, ejemplos de estos ataques son los denominados Caballos de Troya (Trojan horses) que son programas que vienen en el interior de otros programas o software; los Virus que tienen la capacidad de replicarse a sí mismos adhiriéndose a otros archivos ejecutables; los gusanos (worms) que son programas auto reproductores o las bombas lógicas las cuales permanecen inactivas hasta que son disparadas o activadas por un evento
42
determinado. La mayoría de las ocasiones, cuando un individuo o un grupo irrumpen en un sistema de información, el principal objetivo será la modificación, destrucción, acceso, intercepción, interrupción o fabricación de datos dentro de la organización. Los ataques cibernéticos pueden ser lanzados por medio de una serie de técnicas como malware, phishing o ingeniería social entre otras, estas se describen a continuación: Malware: es un término generalmente usado para programas informáticos que son utilizados para comprometer los sistemas de cómputo y ganar acceso a los sistemas de información o causar daño a los sistemas de cómputo. Malware es una abreviatura de las palabras malicious software. Es un término general que incluye muchas formas de causar daño por software, incluyendo pero sin ser limitante a virus, gusanos, caballos de troya, rootkits y spyware. El malware puede ser utilizado para apuntar a personas, procesos y/o la misma tecnología, sin embargo el objetivo final es obtener acceso administrativo (privilegiado) no autorizado a un sistema u obtener cierto tipo de datos protegidos 35. Virus: en el contexto de la informática, es un código que se replica a sí mismo modificando otros archivos o programas. Una característica distintiva de un virus es que para funcione, es necesaria la intervención del usuario, esta puede ser a través de un correo electrónico o un dispositivo USB. Los virus son las formas más comunes y conocidas de malware. Uno de los ejemplos más conocidos de estos es el virus de nombre I LOVE YOU, el cual se ocultaba como un archivo de texto dentro de un correo electrónico, cuando este se abría se reenviaba automáticamente a todos los contactos de la libreta de direcciones del usuario infectado 36. Gusanos: también conocido como worm, es un tipo de malware que se destina para auto replicarse muchas veces consumiendo así espacios de memoria y de disco duro. Un gusano se propaga generalmente inyectándose así mismo en otros programas sin intervención humana. Las propagaciones se hacen mediante la explotación de vulnerabilidades de 35
Para mayor información acerca de este tema se pueden consultar los siguientes vínculos de internet: http://www.sans.org/security-resources/malwarefaq/ y http://www.sans.org/readingroom/whitepapers/incident/malware-101-viruses-32848?show=malware-101-viruses-32848&cat=incident 36 Más información puede ser encontrada en el siguiente vínculo de internet: http://www.microsoft.com/security/pc-security/virus-whatis.aspx
43
computadoras conectadas a Internet. Según (Gibson, 2005) 37 la diferencia entre un gusano y un virus es que un gusano se auto propaga, mientras que un virus tradicionalmente requiere de la participación del usuario para que ellos mismos sean infectados. Ejemplos de gusanos conocidos son Printlove 38, Conficker 39 y Flame 40. Caballos de Troya: conocidos también como Trojan horses o Troyanos; son programas maliciosos que los usuarios instalan en su equipo sin saberlo, ya que regularmente son engañados pensando que realmente son otra cosa. Para clarificar un poco más se presenta un ejemplo, digamos que un usuario decide descargar a su equipo un programa gratuito, posteriormente este equipo comienza a tener un comportamiento irregular o errático, esto suele suceder porque en realidad lo que han descargado es un troyano. Programas y archivos gratuitos suelen pueden ir acompañados de este tipo de malware. Los Troyanos permiten a un atacante monitorear y controlar remotamente a las computadoras infectadas. Una vez que las computadoras han sido infectadas se pueden convertir en zombies. Son llamadas zombie porque los equipos comprometidos pueden ejecutar instrucciones del atacante sin conocimiento del usuario del equipo infectado. Los zombies a menudo se unen a las filas de un botnet 41, el cual puede ser usado por el atacante para lanzar y/o pivotear ataques en contra de otros objetivos. Algunos ejemplos de estos pueden ser los Troyanos Subseven, NetBus, Net-devil y BO2K. Rootkit: es un tipo de malware que utiliza técnicas de ocultamiento para dar al atacante el control administrativo de un sistema comprometido o una red de computadoras, cuanta con las siguiente características; oculta su presencia al usuario final y evita su detección cuando se utilizan herramientas ordinarias antimalware. Archivos del sistema operativo, entradas del Registro de Windows, procesos enteros y controladores (drivers) pueden ser cargados y ejecutados dentro del sistema afectado. ordinarias Este tipo de malware puede 37
Más información se puede encontrar en el siguiente sitio de internet: https://www.grc.com/sn/sn-001.txt Información adicional puede ser consultada en: http://www.symantec.com/es/mx/security_response/writeup.jsp?docid=2012-062514-0544-99&tabid=2 39 Información sobre este gusano puede ser consultada en http://support.microsoft.com/kb/962007/es 40 Información detallada se puede consultar en los siguientes vínculo de internet: http://www.seguridad.unam.mx/noticia/?noti=368 y http://www.dtic.com.mx/opinion/3882-la-verdadsobre-el-gusano-flame 41 Un grupo de equipos zombies infectados. 38
44
permanecer completamente indetectable debido a que tiene la capacidad de ordenar al sistema operativo que es lo que se mostrará al usuario final. Ejemplos de este tipo de amenazas son Adore y Hacker-Defender. Spyware: este tiene la función de buscar y recoger información sobre una persona u organización sin su consentimiento o conocimiento previo. En ocasiones el spyware se incluye con software legítimo, pero sin que el distribuidor del producto haga del conocimiento del usuario final que esta actividad se esta llevando a cabo. El spyware puede capturar pulsaciones del teclado, capturas de pantalla, credenciales de autenticación, direcciones de correo electrónico personal, datos de formularios web, hábitos de uso de internet, tráfico en las redes y otra información personal. Los datos a menudo se entregan a atacantes en línea que venden a otras personas o bien, son usados para su comercialización o spam, o bien, para ejecutar crímenes financieros y robo de identidad 42. Ingeniería Social 43: se le puede nombrar al arte y ciencia de la explotación de los seres humanos, es decir, dentro de este tipo de ataque se tiene como objetivo engañar a un usuario a revelar información personal, financiera y de la organización, que de otra manera no sería posible que revelara. Este ataque y para propósitos del presente tema puede ser ejecutado mediante el uso de tecnología como es por medio del correo electrónico, un sitio web falso, mensajes de texto (SMS), VoIP (Voz sobre IP) o cualquier otra tecnología disponible, por medio de las cuales se puedan engañar a los destinatarios para que revelen información. Phising: es una forma de ingeniería social, en esta variante de estafa, el atacante utiliza un correo electrónico falso, con apariencia de ser legítimo, para atraer la atención de un usuario y con la intención de que siga un vínculo de internet o bien de que abra algún
42
En el siguiente vínculo de internet se puede consultar un documento del US-CERT acerca del spyware http://www.us-cert.gov/sites/default/files/publications/spywarehome_0905.pdf 43 Social Engineering (SE) también se le suele nombrar a cualquier acto que influye en una persona para tomar una acción que puede o no estar en su mejor interés. Una página de internet interesante acerca de este tema (en el cual se consideran los aspectos de influencia psicológicos, fisiológicos e históricos) se presenta en el siguiente vínculo: http://www.social-engineer.org/framework/general-discussion/
45
archivo, lo cual puede conducir a la violación de la confidencialidad, integridad o disponibilidad de los datos 44. 2.4.2. Retos en la Ciberseguridad. Uno de los mayores desafíos que aparecen en materia de la seguridad informática está en saber si con el software y/o hardware utilizados, se cumplirá con el objetivo de conseguir la seguridad pretendida. La tecnología es un mundo que cambia rápidamente y en el cual los ciberdelincuentes tratan de llegar a las nuevas tendencias tecnológicas para hackear
45
los
sistemas de información. De aquí que resulta difícil saber si con la implementación de hardware o software utilizadas en la actualidad se proporcionarán los resultados de seguridad necesarios y deseados en vulnerabilidades de seguridad no previstos. Por este motivo es crítico y fundamental que los desarrolladores y programadores de software se mantengan informados de los cambios tecnológicos y el nuevo malware. El malware que se oculta puede permanecer latente durante cualquier cantidad de tiempo en espera de atacar o captar información de las organizaciones, entre los retos de la ciberseguridad se encuentran: La constante evolución y naturaleza dinámica de las amenazas en ciberseguridad: Requiere que los profesionales de la tecnología de la información se mantengan delante de los cibercriminales y con ello detener su misión. Hoy en día las organizaciones son dependientes de la tecnología y es complicado mantenerse al día con los cambios tecnológicos y aún más difícil es saber que tantas variantes de ataques aparecen con sus respectivos avances; por ello la única forma de contener los ciberataques es estar a un paso por delante de los delincuentes del ciberespacio, para ello requerimos de capital humano con las habilidades adecuadas para soportar esta tarea. Explosión de la Información: El número de equipos conectados a Internet ha aumentado enormemente y la cantidad de información almacenada electrónicamente es inmensa. Además, el número de transacciones bancarias y monetarias que se producen a través de
44
Existe un internet un vínculo en donde se ofrece información amplia y consejos para protegerse de esta amenaza: http://www.antiphishing.org/ 45 Entendiendo el término como una acción por medio de la cual se irrumpe o entra de manera forzada a un sistema de cómputo o una red.
46
este medio en equipos tan diversos como las computadoras portátiles, tabletas, teléfonos móviles y demás dispositivos han aumentado considerablemente, esto hace que Internet se convierta en un campo de juego para los cibercriminales. Mayor disponibilidad de herramientas de hackeo: A diferencia de tiempo atrás, cuando los hackers necesitaban amplios conocimientos en temas de sistemas computacionales y programación; en la actualidad el entorno tecnológico permite poner a su disposición una amplia variedad de herramientas automatizadas y de fácil uso para realizar hacking. Debido a la alta disponibilidad y facilidad de uso de estas herramientas, incluso usuarios inexpertos pueden escanear fácilmente las redes para detectar sistemas vulnerables para planear y lanzar ciberataques. Factor personas: Las personas están consideradas como el eslabón más débil en la seguridad, y un gran número de ciberataques se atribuyen a la negligencia o bien a la falta de conciencia sobre la seguridad cibernética. La capacitación de los usuarios para aplicar principios de ciberseguridad puede ser uno de los principales retos y para ello se requiere que la gente esté motivada para aplicar las mejores prácticas en sus entornos de trabajo. La falta de fuerza de trabajo en ciberseguridad: Cuando no se cuenta con el suficiente capital humano con los conocimientos adecuados puede obstaculizar las funciones de las organizaciones. En la actualidad existe una escasez en la fuerza de trabajo en materia de ciberseguridad. Con el enorme crecimiento de los ciberataques, el no contar con el personal en el lugar que pueda recuperar y prevenir dichos ataques puede costar a las organizaciones muy caro. Tendencias internacionales: Otro de los retos significativos en materia de la ciberseguridad es llevar a los ciberdelincuentes ante la justicia. Esta otra tarea es muy compleja porque cada país cuenta con diferentes marcos jurídicos y leyes. Incluso a la fecha hay países que los ciberdelitos no son considerados como crímenes reales. Llevar a un cibercriminal ante la justicia consume demasiado tiempo y en algunos casos resulta ser imposible identificar a la entidad o persona que dirige un ciberataque.
47
2.4.3. Modelo balanceado en Ciberseguridad. Existe un modelo de seguridad balanceado por medio del cual se relacionan los elementos más importantes en el tema de la ciberseguridad a saber, la tecnología, los procesos y las personas. Esto es, si la parte tecnológica es implementada sin contar con buenos procesos y sin tener en cuenta a la gente, la iniciativa de ciberseguridad no tendrá éxito. Este punto de vista es aplicable a la mayoría de las implementaciones de procedimientos de seguridad de las organizaciones, para ello es importante que los distintos actores comprendan la interdependencia y relación de estos elementos para garantizar o en el menor de los casos aspirar a estar en el ideal de este modelo (Figura 11).
Figura 11. Modelo balanceado en Ciberseguridad. Fuente: Elaboración propia con información de IT Hacks 46. Considere el siguiente ejemplo para demostrar la importancia de la tecnología, los procesos y las personas en la ciberseguridad. Considerando el escenario hipotético en el cual se solicita a los empleados cambiar sus contraseñas cada tres meses. En la siguiente tabla se muestran la interdependencia y las funciones de estos tres elementos dentro de una organización con el fin de cumplir con éxito esta política de seguridad 47. Elemento Tecnología
46 47
Rol Tecnología adecuada, configuración, mantenimiento e integración del entorno existente.
Disponible en http://www.ithacks.com/wp-content/uploads/2009/11/balancing-it-security-venn.gif Podemos definir Política de Seguridad, como el conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Disponible en: http://www.protegetuinformacion.com/perfil_tema.php?id_perfil=6&id_tema=56
48
Elemento Procesos
Rol Las políticas que definen el alcance, uso, aplicabilidad y las excepciones. Conocimiento y aceptación por parte del usuario final.
Personas
También se requiere del personal técnico necesario para mantener los sistemas.
Cuadro 1. Elementos y roles del modelo balanceado de ciberseguridad. Las mejores prácticas mencionan que se requiere del equilibrio de estos tres elementos, es decir, si nos inclinamos hacia alguno de ellos es muy probable que tendremos como resultado un fracaso en nuestra política de seguridad, por ejemplo, no importa que tengamos una protección en la infraestructura tecnológica si los usuarios tienen por costumbre escribir sus contraseñas en notas pegados al monitor y visibles a cualquier persona, con esta acción al estar fallando el elemento personas, la organización ya no estaría cumpliendo con esta política de seguridad. Por ello, es importante entender que existen diversos factores que juegan un papel fundamental y determinante en la protección de la información de las organizaciones; uno de estos factores es la capacitación del personal. Las organizaciones luchan para que el personal siga las buenas prácticas de seguridad de la información, esto se debe principalmente a que los empleados no están bien capacitados y conscientes de las amenazas que implica el uso de las nuevas tecnologías, esto es, considerando los reportes de seguridad de Symantec y Cisco previamente expuestos. Capacitar adecuadamente al personal para cumplir con las políticas y protocolos, ayuda a que los empleados protejan la información de la organización. La capacitación ayuda también a mantener a los empleados informados y les ayuda a reconocer las posibles amenazas recordándoles que la información es vital para la organización. Como señaló Blackwell, es necesario incrementar la concientización sobre la importancia de la Ciberseguridad, la prevención y el combate al ciberdelito en todos los niveles, particularmente en el nivel de la toma de decisiones políticas, con el fin de promover la adopción de prácticas óptimas y seguras para el uso de las TIC (Blackwell, 2011).
49
La lucha contra los ciberdelitos es una batalla en curso que las organizaciones están tratando de ganar. Es tarea de cada una de ellas entender el panorama actual de amenazas en el ciberespacio y con ello tener construir una visión para la implementación y mantenimiento de una defensa basada en capas contra el rápido crecimiento de los ciberataques. Hoy en día, con países intentando obtener secretos de otros para mantenerse delante de otros, es primordial que el Poder Ejecutivo y sus organizaciones trabajen arduamente para proteger sus activos estratégicos de agentes externos que intentan acceder o dañarlos. Además de las amenazas externas también existen las amenazas internas, las cuales, sea por falta de conocimiento, errores y malas intenciones son las principales causas riesgos a la seguridad de la información y de violaciones a la privacidad. Lo anterior si consideramos que la empresa Cisco menciona en su reporte de seguridad, que las organizaciones no tienen el personal y los sistemas que permitan monitorear las redes y poder detectar infiltraciones, por lo tanto no es posible aplicar protecciones de una manera sincronizada y efectiva (Cisco, 2014). Cuando estamos bien informados y preparados, estamos en una mejor condición para combatir a los ciberdelincuentes que intentan atacar nuestros sistemas y software. La mejor forma de defenderse de cualquier ataque es la prevención en primer lugar. Construir el plan adecuado y contar con el equipo necesario para apoyar este plan ayudará a la preservación de los sistemas e información de las organizaciones. Como se ha mencionado en el apartado fuentes, motivaciones y tipos de ciberataques, las amenazas cibernéticas que las organizaciones tienen que afrentar están cambiando rápidamente y evolucionando en complejidad. Los ciberdelincuentes, los script kiddies, espías, internos, ciberterroristas, hacktivistas y otras amenazas internacionales son algunos de los grupos que pueden amenazar a cualquier institución del gobierno federal. Esto es, entre los propósitos robar información o bien a provocar daños en los sistemas de información y almacenamiento de la misma. La elaboración de un plan de seguridad en el
50
cual se integre a la tecnología, los procesos y las personas es fundamental para la protección de los sistemas y la información de las organizaciones. Mejorar la ciberseguridad para proteger los activos estratégicos de la APF, es esencial para logar la seguridad y la operación de las organizaciones de nuestro país, para el presente tema, es necesario dar la importancia e inclusión de esta situación en la agenda política considerando las recomendaciones de organismos internacionales como la ITU 48 y la OEA (Blackwell, 2011). 2.4.4. Dominios de la Ciberseguridad. Las medidas de protección de los activos estratégicos abarcan una serie de dominios (Jackson, 2014) a exponerse párrafos adelante, por ello es importante aprender de las amenazas como de los mecanismos para la protección de estas, esto es, con el propósito de gestionar una estrategia eficaz de ciberseguridad. También es importante para tener un conocimiento y comprensión básica de estos dominios, con el propósito de entender con mayor amplitud el concepto de ciberseguridad. Algunos de los roles o funciones para implementar la ciberseguridad requieren de un conocimiento avanzado, mientras que otros sólo requieren de conocimientos básicos. A continuación se describen estos dominios (Figura 12):
Figura 12. Dominios de la Ciberseguridad. Fuente: Elaboración propia con información de Jackson (2014). 48
Disponible en: https://itunews.itu.int/Es/5082-La-UIT-consolida-una-alianza-mundial-contra-lasciberamenazas.note.aspx
51
Seguridad personal. La seguridad personal cubre las principales amenazas a la información personal y los métodos para garantizarla. Además del uso de la Internet en el trabajo, las personas la usan para diversas actividades personales, incluyendo transacciones bancarias, redes sociales y compras. Por ello es importante asegurar la protección de información personal durante la navegación y uso de la Internet. Seguridad física. La seguridad física se centra en las amenazas materiales y medidas de seguridad, a fin de garantizar la protección física de los recursos de datos. Mucha información es almacenada físicamente en los servidores, por ello es importante asegurarse que estos equipos y otros sistemas de información estén protegidos contra sabotajes e intrusiones físicas. Seguridad de equipos de cómputo y aplicaciones. Se refiere a las amenazas a la seguridad y para que estos equipos y sus aplicaciones cuenten con medidas de precaución para los ataques de seguridad y violaciones. Los equipos de cómputo engloban diferentes componentes, por ello es importante proteger cada uno de ellos. Además las aplicaciones de software que son cargados o instaladas en los equipos pueden tener vulnerabilidades que pueden ser explotadas por los hackers para comprometer los sistemas. Por lo tanto, es sumamente importante garantizar la seguridad de los equipos utilizados y de las aplicaciones en todo momento. Seguridad web. Se refiere a las amenazas y medidas de protección utilizadas para salvaguardar la comunicación web en la Internet. En esta se incluyen los mecanismos de protección que aseguran una transmisión de información segura, incluyendo los procedimientos para asegurar que la información en tránsito no está manipulada. Seguridad de las redes. Se refiere a las amenazas y medidas de protección utilizadas para salvaguarda la información que se transmite a través de la red. Las redes de computadoras proporcionan el medio para mover la información de una fuente a un destino de comunicación. Dependiendo de la proximidad del emisor y el receptor, la información tendrá que viajar a través de diferentes áreas de la red. Es importante tener una
52
comprensión al respecto y con ellos poder implementar la protección de la información en todos los puntos posibles durante su transmisión. Seguridad móvil e inalámbrica: Esta se refiere a las amenazas y medidas de protección para salvaguardar la información que se trasmite a de dispositivos de telefonía móvil y otros a través de redes inalámbricas. Con el creciente uso de equipos móviles (inalámbricos), se aumentan los retos para garantizar que la información sea conservada y protegida frente a los ataques. Además de que transmitir información de forma inalámbrica es más susceptible a intrusiones. Estándares y leyes acerca de la ciberseguridad: Se refiere a los distintos estándares y leyes que ayudan a proteger los distintos ámbitos de la ciberseguridad. Adicionalmente, algunos gobiernos han hecho leyes para proteger la privacidad y seguridad de las personas, los activos corporativos y nacionales. Es importante tener entendimiento de los estándares y leyes con el fin de aplicarlos efectivamente las medidas de seguridad. 2.4.5. Panorama actual. En el sitio de Internet http://www.digitalattackmap.com, se presenta un mapa interactivo que ilustra de que parte del mundo provienen y hacia dónde se dirigen los ataques de denegación de servicio (DDoS 49) casi en tiempo real; el propósito de este proyecto fue creado con el propósito de proteger la infraestructura de sitios web que no cuentan con los recursos para implementar sistemas de seguridad fuertes. Este mapa se actualiza constantemente con datos anónimos de proveedores de Internet y muestra de manera dinámica la dirección, duración y el ancho de banda ocupado en los ataques. Se presenta a manera de ejemplo, del día 9 de octubre del año 2013 (Figura 13), que nuestro país no está exento de este tipo de ataques y por ello es necesario contar con propuestas que ayuden a proteger los sistemas de información de las dependencias del gobierno federal y demás organizaciones que conforman el Estado Mexicano. Es importante mencionar, que si bien es cierto para este tipo de ataque, nuestro país no está en 49
DDoS: Denial of Service por sus siglas en inglés.
53
el foco de dicha problemática, como lo están los Estados Unidos y China casi en todo momento, sí es importante hacer notar que por la cercanía que tenemos hacia el norte con los Estados Unidos, nuestro país puede presentar en un momento dado mayor actividad de ataques como parte de un ataque triangulado o simulado hacia esta potencia mundial, recordando que nuestro país no sólo puede ser destino de los ataques, sino que desde el interior se pueden generar los ataques hacia otras naciones (Figura 14 y Figura 15), además es preciso recordar que este es un ambiente que se encuentra en constante cambio y es necesario estar atentos y preparados para cualquier amenaza.
Figura 13. México como destino de un ataque DDoS con fuente desconocida. Fuente: http://www.digitalattackmap.com
Figura 14. México como destino de un ataque DDoS con fuente del ataque China. Fuente: http://www.digitalattackmap.com
54
Figura 15. México como fuente de un ataque DDoS con destino del ataque Brasil. Fuente: http://www.digitalattackmap.com Otro proyecto similar se ha hecho en Europa por la compañía de telecomunicaciones alemana Deutsche Telekom AG bajo el nombre de Sicherheitstacho (medidor de seguridad), con éste es posible saber que países son los que más ataques realizan en tiempo real; los datos son recopilados por 180 sensores (honeypots 50) distribuidos en todo el mundo (Figura 16). Gracias a la información arrojada por estos honeypots, es posible conocer desde dónde y hacia dónde se dirigen los ciberataques.
Figura 16. Información general sobre los ciberataques actuales. Fuente: http://sicherheitstacho.eu/ 50
Un Honeypot es un sistema diseñado para analizar cómo los hackers emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del servidor). Por medio del aprendizaje de sus herramientas y métodos se puede entonces, proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo vigilados. Disponible en: www.cybsec.com/upload/ESPE_Honeypots.pdf
55
En esta página de Internet también es mostrada una tabla con el listado de los 15 principales países como fuente (origen) con el número de ataques para marzo de este año (Figura 17).
Figura 17. Listado de los principales 15 de países como fuente de los ciberataques. Fuente: http://sicherheitstacho.eu/ De los resultados estadísticos observados en este sitio se puede notar que la distribución en los tipos de ataques se dan principalmente en los servicios de red (Figura 18).
Figura 18. Distribución de tipos de ataques. Fuente: http://sicherheitstacho.eu/statistics Entre los ataques más frecuentes están los realizados contra los protocolos SMB 51, es decir, este tipo de ataques se realizan contra las debilidades del sistema operativo Windows de Microsoft y con la intención final de tomar el control de los servidores que operen con este sistema operativo. 51
El protocolo del Bloque de mensajes del servidor (SMB) es un protocolo de uso compartido de archivos de red que permite que las aplicaciones de un equipo puedan leer y escribir archivos y solicitar servicios desde los programas de un servidor en una red de equipos. El protocolo SMB puede usarse sobre el protocolo TCP/IP u otros protocolos de red. Con el uso de un protocolo SMB, una aplicación (o el usuario de una aplicación) puede acceder a los archivos u otros recursos de un servidor remoto. Esto permite que las aplicaciones puedan leer, crear y actualizar archivos en un servidor remoto. Disponible en: http://technet.microsoft.com/es-mx/library/hh831795.aspx
56
Por su parte la firma KasperskyLab cuenta con una herramienta que mapea en tiempo real y de manera interactiva los amenazas del ciberespacio (Figura 19), en este se pueden observar los ataques hacia computadoras y servidores que suceden alrededor del mundo. Este mapa es particularmente llamativo porque en él se pueden visualizar la cantidad de ataques a cada país conforme avanza el tiempo.
Figura 19. Mapa de ciberamenazas en tiempo real. Fuente: http://cybermap.kaspersky.com/ En lo que respecta a México podemos observar que de acuerdo a los parámetros mapeados en este sitio (Figura 20 y Cuadro 2), nuestro país se encuentra en el lugar 28 de los países más infectados.
Figura 20. Reporte generado para México correspondiente al día 22 de abril de 2014. Fuente: http://cybermap.kaspersky.com/ OAS ODS WAV
On Access Scan (análisis en tiempo real).- Este se activa cuando algún programa antivirus inicia el escaneo de objetos a los que se tiene acceso durante las acciones de abrir, copiar, ejecutar o salvar. On Demand Scan.- Se activa cuando el usuario abre el menú contextual del archivo y selecciona la opción “analizar un busca e virus”. Web Anti Virus.- este subsistema se activa cuando aparece un nuevo objeto web, es decir cuando una página de Internet abre o descarga un archivo. Este checa los puertos especificados en la configuración de este Antivirus.
57
Mail Anti Virus.- este subsistema se activa cuando nuevos objetos aparecen en una aplicación de correo electrónico, tales como Outlook, Tunderbird, etc. El MAV analiza los mensajes entrantes y llama al OAS cuando guarda archivos adjuntos al disco o unidad extraíble. Intrusion Detection System.- Este subsistema escanea los paquetes IDS individuales y se dispara o activa cuando nuevos objetos aparecen en la pila de red. (paquetes TCP/IP/UDP) Vulnerability Scan.- Este subsistema de escaneo de vulnerabilidades se VUL activa cuando el módulo VLNS1 encuentra archivos ejecutables maliciosos durante su escaneo. Cuadro 2. Tipos de detección de amenazas. Fuente: Elaboración propia con información de: http://cybermap.kaspersky.com/
MAV
Como un último dato que presenta esta herramienta de monitoreo, incluye un listado con los países más infectados, estos son mostrados en la Figura 21.
Figura 21. Países más infectados según KasperskyLab. Fuente: http://cybermap.kaspersky.com/ 2.5. A manera de conclusión. La APF a través de sus organizaciones, autoridades y servidores públicos debe asumir y ejecutar las funciones, que de acuerdo a sus atribuciones y competencias, puedan satisfacer las necesidades de protección de los activos estratégicos. Para consolidarlo es necesario contar con el personal especializado, que en colaboración del personal que efectúe las labores cotidianas, conforme un grupo interdisciplinario que cuente con los conocimientos necesarios para crear, ejecutar los programas políticos a través de los procesos de planeación, programación, coordinación, ejecución, evaluación y control administrativo. En este punto considero que una política pública es necesaria y aplicable para proponer una serie de acciones que tienen por objetivo proteger los sistemas de información de las organizaciones, entendiendo estos como los activos estratégicos. El tipo de políticas públicas elegidas para este proyecto son las normativas y constitutivas, además
58
considerando el ciclo de vida antes expuesto están quedarán en la etapa de formulación de políticas. Por lo tanto para considerar hacer una propuesta de política pública es necesario entender la Ciberseguridad como un todo y de manera desagregada, esto es con el propósito de entender de manera individual como se pueden afrontar cada una de los tipos de los ciberataques y sus motivaciones en cada una de los dominios, dando especial énfasis a que las personas, los procesos y la tecnología deben trabajar de manera conjunta para intentar llegar a un ideal en este tema. Es importante hacer notar que nuestro país puede ser un objetivo o destino, pero también una fuente u origen de los ciberataques. Algunas alternativas se presentan en el siguiente capítulo. Capítulo 3. Análisis de alternativas de solución. En este capítulo se revisan una serie de alternativas para atacar la problemática observada, esto es, con prácticas que garanticen la ciberseguridad en las organizaciones que conforman la APF de manera multidimensional. Como he dicho al momento de abordar los retos de la ciberseguridad, la propuesta de ciberseguridad debe ser vista desde diferentes dominios y soportada siempre sobre los pilares de tecnología, los procesos y las personas (Figura 11 y Figura 12). 3.1. Seguridad personal y física. Existen algunas prácticas que pueden ayudar a reducir los perfiles de riesgo y frustrar los ataques que se han abordado anteriormente. Estas son algunas de las mejores prácticas para la protección de la información relacionada con las funciones de los servidores públicos que alguna o algunas personas quieran robar, modificar o dañar. Contraseñas o Passwords Suelen ser la parte más débil de la seguridad personal a la cual los atacantes apuntarán. Esto es debido principalmente a que las contraseñas pueden ser robadas de muchas maneras, por ejemplo, por tanteo (prueba y error), por captura de tráfico de red sin cifrado, el uso de software malicioso para robar credenciales o bien, por medio de registros de
59
pulsaciones de teclado. De tal forma que es importante que los servidores públicos hagan uso de las siguientes pautas contra el robo de contraseñas: • • • • • •
Use contraseñas complejas. Cambie su contraseña de manera regular o bien cuando lo considere necesario. No las comparta. Utilice distintas contraseñas para cada una de sus cuentas. Utilice autenticación multifactor 52 (MFA) apropiadamente. Conserve una lista segura con sus contraseñas.
Constantemente las contraseñas se ponen en riesgo de ser robadas porque son predecibles o basadas en diccionario. Una contraseña que es más larga y compleja es menos probable de que sea adivinada. Cuando se permite, se sugiere el uso de letras mayúsculas, espacios y caracteres especiales. Además es conveniente tener una contraseña de este tipo para cada uno de las cuentas y sitios web. El Cuadro 3 muestra el tiempo que toma a un hacker romper una contraseña. Longitud contraseña
Todos los caracteres Sólo minúsculas 0.86 segundos 0.02 segundos 3 caracteres 1.36 minutos .046 segundos 4 caracteres 2.15 horas 11.9 segundos 5 caracteres 8.51 días 5.15 minutos 6 caracteres 2.21 años 2.23 minutos 7 caracteres 2.1 siglos 2.42 días 8 caracteres 20 milenios 2.07 meses 9 caracteres 1899 milenios 4.48 años 10 caracteres 180,365 milenios 1.16 siglos 11 caracteres 17,184,705 milenios 3.03 milenios 12 caracteres 1,627,797,068 milenios 78.7 milenios 13 caracteres 154,640,721,434 milenios 2,046 milenios 14 caracteres Cuadro 3. Tiempos necesarios para romper una contraseña. Fuente: Elaboración propia con información de: http://www.forevergeek.com/2010/04/how_strong_are_your_passwords/500x_password_h acking_times-1/
52
Por ejemplo se pueden hacer combinaciones de los diversos factores, el Factor Conocimiento, representa algo que sólo usted conozca. El Factor Posesión, representa algo que sólo usted puede tener. Factor inherente, se refiere a algo que sólo el usuario es.
60
Algunas de las sugerencias para la elección de una contraseña, se basan en frases simples de recordar, a continuación se presentan algunos ejemplos. Frase Posible contraseña Este trabajo es acerca de ciberseguridad en el Eteacsd14 2014 Mi cumpleaños es el 2 de octubre mcsee2doc Estudié la Maestría en Administración Pública en elmadpubatec el ITESM Cuadro 4. Elección de contraseñas por medio de frases conocidas por el usuario Fuente: Elaboración propia. Aunque estas contraseñas dan un cierto grado de seguridad, éste se puede aumentar si combinamos, por ejemplo, letras mayúsculas, minúsculas y números. Para ejemplificar esto hagamos un cambio de algunas letras minúsculas por mayúsculas y escribir números en lugar de letras o viceversa, con ello la tabla 4 queda de la siguiente manera. Frase Posible contraseña Este trabajo es acerca de ciberseguridad en el 3TeacsdI4 2014 Mi cumpleaños es el 2 de octubre Mcse3d910 Estudié la Maestría en Administración Pública en 3lMAdPubat3c el ITESM Cuadro 5. Elección de contraseñas por medio de frases conocidas, incluyendo minúsculas, mayúsculas y números Fuente: Elaboración propia. El siguiente paso será cambiar algunas de las letras por símbolos (caracteres especiales) que sean fáciles de recordar, por ejemplo, podemos cambiar la letra “s” por “$” o la letra “a” por “@”, quedando la tabla como a continuación se muestra: Frase Posible contraseña Este trabajo es acerca de ciberseguridad en el 3Te@c$dI4 2014 Mi cumpleaños es el 2 de octubre Mc$e3d910 Estudié la Maestría en Administración Pública en 3lM@dPub@t3c el ITESM Cuadro 6. Elección de contraseñas por medio de frases conocidas, incluyendo caracteres especiales.
61
Fuente: Elaboración propia. Finalmente se procederá a agregar más caracteres especiales a nuestras contraseñas, como comas y puntos u otros caracteres especiales, considerando que con ello también serán más extensas y contribuiremos a que nuestras contraseñas sean más robustas. Frase Posible contraseña Este trabajo es acerca de ciberseguridad en el
[email protected]$dI4© 2014 Mi cumpleaños es el 2 de octubre Mc$e3d9*10 Estudié la Maestría en Administración Pública en 3lM@dPub,@t3c. el ITESM Cuadro 7. Elección de contraseñas por medio de frases conocidas, incluyendo caracteres especiales y mayor longitud. Fuente: Elaboración propia. Entre las mejores prácticas se encuentra la de cambiar las contraseñas varias veces durante el año, entre cada 30 a 90 días, si no es posible, se deberá cambiar por lo menos una vez al año. Por otra parte, como en muchas cosas relacionadas con la tecnología, pueden ser utilizadas para mal, por ejemplo el correo electrónico puede ser utilizado para la propagación de malware como virus o gusanos con los cuales se puede efectuar un daño, incluyendo acceso a información personal, eliminación de archivos y bloqueos de sistemas; de igual forma los correos electrónicos pueden ser un método común para la manipulación de los usuarios con el propósito de que sea revelada información confidencial al atacante. Cifrado o Encripción Es un medio por medio del cual la información se convierte en un formato ilegible que no se puede decodificar y leer sin un secreto, es decir, una llave privada de cifrado o un certificado. Existen dos métodos básicos de cifrado, el simétrico y el asimétrico. El cifrado asimétrico es conocido como cifrado de llave pública (public-key encryption) porque implica el uso de una llave pública criptográfica. Por su parte el cifrado simétrico implica el uso de una sola frase para la contraseña o clave secreta para encriptar o desencriptar su contenido.
62
El cifrado se puede aplicar a los datos en reposo, es decir, se puede aplicar a archivos particulares o bien, se puede aplicar a todo un disco duro. Una de las mejores prácticas para mantener seguros los datos sensibles es habilitar el cifrado del disco duro en las computadoras o dispositivos móviles tales como teléfonos o tabletas. De igual forma se recomienda que los archivos más sensitivos tales como archivos de contraseñas o documentos fiscales, se almacenen en un formato cifrado o bien con alguna aplicación que los encripte automáticamente. Existen organizaciones que utilizan la administración de dispositivos móviles (MDM mobile device management por sus siglas en inglés) por medio de esta se realiza la sincronización de archivos o datos directamente desde la organización y de forma separada de los datos personales El cifrado también se utiliza cuando nos conectamos a sitios web o al realizar transferencia de archivos a través de la red, por ello se recomienda también utilizar cifrado para el tráfico web, es decir, se recomienda utilizar HTTPS en lugar de HTTP para aumentar la seguridad. El tráfico HTTPS utiliza certificados SSL/TLS 53 que son utilizados para confirmar la identidad digital en las comunicaciones, es decir, se usan para autenticar tanto a los usuarios como a los sitios web, con ello se cuenta con la garantía de que ambos se están conectando correctamente y que el tráfico esta cifrado desde y hacia el destino. Esta es una medida para proteger tanto el tráfico como las credenciales de escuchas secretos (eavesdropping) o hackers, los cuales pueden capturar el tráfico de las redes alámbricas o inalámbricas. En la mayoría de los navegadores se mostrará un pequeño candado en la barra de direcciones cuando existen conexiones HTTPS. Respaldos de información (Backups) La seguridad no sólo se refiere a la protección de la información de miradas indiscretas de los hackers y de los ciberdelincuentes, también debemos mantener la disponibilidad de los datos. ¿En cuántas ocasiones le ha pasado al lector que está trabajando en un documento extenso e importante y de repente un bloqueo en la aplicación o programa utilizado o incluso del sistema operativo provoca la pérdida de la información generada? Por ello a fin 53
Secure Socket Layer (SSL) y su sucesor Transport Layer Security (TLS) son protocolos criptográficos que proporcionan comunicaciones seguras por medio de las redes, incluida Internet.
63
de mantener la última copia de sus archivos en caso de robo, incendio o daños en el disco, se recomienda contar con un plan para realizar copias de seguridad de sus datos. Protección de red inalámbrica Las tendencias actuales de la tecnología convergen al uso de tecnologías inalámbricas, de aquí que la masificación de redes inalámbricas implica riesgos en la seguridad de los datos y de la infraestructura. Un atacante cuenta con mayores oportunidades de tener éxito ya que sólo necesita estar a una distancia y tratar de romper la seguridad de la red. Existen formas para proteger a los equipos de acceso a redes, por ejemplo, se pueden configurar para evitar que estos difundan el nombre del punto de acceso a la red (SSID) y que hagan uso de contraseñas seguras con cifrado WPA2 en lugar de WEP. Amenazas a la seguridad física Existen muchas amenazas que los cambios de las condiciones climáticas, los desastres naturales, intrusos y otras emergencias que pueden poner en riesgo la información, para ello es necesaria la seguridad física la cual tiene como fin proteger el acceso a los recursos de la información. Algunas de las medidas de seguridad física incluyen puertas, cerraduras, acceso mediante tarjetas, cámaras de video vigilancia, etc. Las organizaciones cuentan con diversos equipos que son necesarios para el desempeño de las actividades diarias, en ciertos casos cuando hay cortes de electricidad, incendios, o errores de configuración las fallas pueden ser muy costosas. Por tal motivo debe existir un plan de contingencia, este es un proceso mediante el cual una organización se prepara para varios eventos que puedan afectar la disponibilidad de los recursos y servicios TI, en estos se describe las maneras de recuperar y restablecer las actividades normales de las organizaciones. El primer paso para el Plan de Contingencia 54 es llevar a cabo un análisis de impacto en la organización, en esta etapa se determinan los recursos y servicios de TI esenciales para 54
Adaptado para el presenta Proyecto de Investigación Aplicada de Contingency Planning Guide for IT Systems del NIST.
64
las funciones de la organización, también se establecen los tiempos de recuperación de los recursos de TI. El Plan de Recuperación de Desastres establece los procesos de recuperación de los sistemas, incluidas las tareas y las formas de cómo se llevarán a cabo, con detalle del personal para la reconstrucción y recuperación de los sistemas. El Plan de Continuidad de la Organización se produce junto con el Plan de Recuperación de Desastres y, como su nombre lo indica se refiere a establecer procesos para mantener la continuidad de los procesos críticos de las organizaciones durante algún incidente o crisis. Esto puede implicar el uso de un centro de datos secundario que permita una operación temporal de la organización mientras que la recuperación del evento ha sido completada. Por otra parte, el acceso físico a las instalaciones debe ser restringido y para ello se deberá contar con cámaras, lectores de tarjetas de identificación personal (RFID), cerraduras y torniquetes. Las organizaciones en la actualidad también hacen uso de autenticación biométrica para el acceso a zonas de mayor seguridad. 3.2. Seguridad de equipos de cómputo y aplicaciones. La seguridad computacional tiene por objetivo proteger la confidencialidad, integridad y disponibilidad de los datos almacenados o transmitidos a través de estos sistemas de información. Para garantizar la confidencialidad tenemos que comprobar que sólo los usuarios autorizados y autenticados tengan acceso sólo a los recursos a los que tienen permiso. Para mantener la integridad, tenemos que asegurar de que los datos estén en buen estado de funcionamiento y no manipulados o modificados. Para mantener la disponibilidad necesitamos asegurar de que los servicios estén disponibles para los usuarios donde y cuando los necesiten. Protección de equipos terminales Se refiere principalmente a la protección de los equipos de cómputo de escritorio, móviles, y de los equipos portátiles de las organizaciones por medio del uso de software, regularmente se habla de habilitar o instalar software antimalware y firewall. En la mayoría de los sistemas operativos se cuenta con opciones de seguridad con tecnologías
65
antimalware y firewall. Si no fuera el caso existen en Internet algunas opciones gratuitas y de pago según se requiera. Como una mejor práctica se recomienda analizar todos y cada uno de los archivos que se descarguen de la red incluyendo los correos electrónicos, de igual forma cada vez que se inicie un programa y se lean los datos. En ocasiones resulta ser que el malware está contenido en una aplicación o en archivo de datos como puede ser un archivo PDF o una imagen y por ello, no es posible ser detectado por el software de escaneo de malware. Esto es debido a que la mayoría del software antimalware se basa en firmas de malware conocido y puede tomar uno o más días para que la nueva pieza de malware sea incorporada a su escaneo. Existen también métodos de protección de dispositivos móviles contra malware. Usted puede suscribirse a software antimalware de los principales proveedores de seguridad, o bien puede descargar aplicaciones directamente desde las tiendas de aplicaciones de cada dispositivo y con ello evitar que su privacidad se vea comprometida, tal como su ubicación GPS, número telefónico, contactos, entre otros. Un firewall o un sistema de prevención de intrusiones en el host (HIIPS) son aplicaciones que también pueden ayudar a proteger los equipos terminales de ataques externos. Normalmente estas aplicaciones sólo permiten el tráfico que usted inicia, es decir el de salida, y no el tráfico de entrada especialmente en redes públicas. Un firewall le ayudará a bloquear ataques y prevendrá que los hackers puedan explotar las vulnerabilidades que pudieran existir en el equipo. Seguridad de Software Además de la ejecución de aplicaciones que bloqueen el malware y los ataques de red, se recomienda configurar la seguridad de los equipos de cómputo y dispositivos utilizados para impedir la instalación de software no deseado o malicioso. Esto se puede hacer mediante creación de cuentas de usuario del tipo normal o administrador, con estas últimas los administradores tienen la capacidad de instalar o remover software, con ello se
66
bloquearán los intentos de instalar cualquier software sea de manera intencional o no. Incluso con buenas herramientas y configuraciones de los equipos terminales, existen aplicaciones que cuentan con defectos los cuales a su vez pueden abrir agujeros de seguridad que pueden ser aprovechados por los atacantes, por tal razón es importante mantener actualizadas las aplicaciones y sistemas operativos que utilicemos, este proceso puede ser programado para que se realice de forma automática o bien, que se haga de forma manual. Los equipos de cómputo y sus aplicaciones con el paso del tiempo se han convertido en parte primordial para llevar a cabo las actividades de la APF; por otro lado el uso y avance de las tecnologías han reestructurado también el actuar del criminen. Dentro del ciberespacio se ha permitido que el mundo se convierta en una aldea en donde todos de alguna manera estamos interconectados, de aquí que la delincuencia tradicional, el terrorismo, el espionaje y la guerra ya plagan el ciberespacio y el mundo computacional. Los países son tan dependientes de las computadoras que si ocurriera un desastre tendrían serias dificultades para recuperarse, los desastres pueden ser ocasionados por fenómenos naturales o bien pueden ser producidos por humanos motivados por alguna situación específica, por ejemplo, los pulsos electromagnéticos tienen la capacidad de inutilizar a los equipos de cómputo. Los delincuentes, terroristas o gobiernos extranjeros con ideologías distintas pueden hacer uso de esta dependencia a los equipos de cómputo como un arma de ataque. En la actualidad se especula que gobiernos extranjeros ya están entrenando guerreros cibernéticos los cuales han obtenido acceso a sistemas críticos de varios países, un ejemplo de ello, se detalla en el informe 55 de la consultora Mandiant (Figura 22) el cual aportó pruebas de que un equipo patrocinado por el gobierno Chino llamado APT1 56, se infiltró en sistemas de cómputo críticos en diversos países, esto fue con el propósito de espiar y quizá robar datos. Con la siguiente imagen se ilustran las posibles infracciones cometidas por país (Mandiant, 2013).
55 56
Exposing One of China’s Cyber Espionage Units disponible en: http://intelreport.mandiant.com/ Advanced Persistent Threat 1
67
Figura 22. Ubicación geográfica de las víctimas de APT1 Mandiant (2013). Fuente: Mandiant Cuando se habla de ataques y defensas tenemos que reconocer que por lo regular existen tres elementos clave para la optimización de la seguridad en cualquier organización, por ello debemos garantizar la seguridad de la tecnología, las personas y de los procesos (véase el modelo de seguridad balanceado en el capítulo 7), esto es indistinto de si estamos hablando de seguridad de los entornos físicos, computacionales, redes o de aplicaciones, estos tres elementos son universales. En este sentido, cuando existen incentivos suficientes, un atacante no se detendrá por no ser capaz de encontrar debilidades en la seguridad física, el atacante buscará encontrar y explotar debilidades en los procesos o bien en el elemento personas. Proyecto OWASP 57 El Proyecto Abierto de Seguridad de Aplicaciones nación el 1 de diciembre de 2001, como una organización sin fines de lucro internacional dedicada a auxiliar a las organizaciones a diseñar, desarrollar, adquirir, operar y mantener aplicaciones web más seguras y confiables. Son gratuitas y abiertas para el uso de cualquier persona. El sitio de OWASP es un excelente recurso para obtener información sobre los últimas debilidades de las aplicaciones web, también se puede aprender sobre los tipos de ataques y ciclos de vida; también es posible la búsqueda de ejemplos para mejorar el conocimiento y aprendizaje de 57
Open Web Application Security Project
68
los problemas y la obtención de recomendaciones sobre medidas preventivas. Dentro de este proyecto se inició una compilación de los 10 fallos de seguridad más importantes de las aplicaciones web en un año determinado. Esta lista se crea con la colaboración de varios expertos de seguridad alrededor del mundo. Cada elemento de este listado se explica en detalle para proporcionar una mejor comprensión de lo que es la amenaza, su vector de ataque, su impacto y lo que uno debe hacer para hacerle frente. Vulnerabilidades web y ataques Botnets, se les conoce al conjunto de computadoras infectados por malware, conocidas como zombies, las cuales se unen a una red que por lo regular es controlada por lo que se conoce como un bot-herder. Estas botnets pueden realizar ataques tan simple como un canal IRC (Internet Relay Chat) o tan complejos como una botnet de miles de computadoras comprometidas y utilizadas para lanzar ataques contra equipos individuales, las redes de las víctimas, o bien hacia organizaciones enteras. Backdoors, conocidas como puertas traseras, son un método para eludir los sistemas normales de autenticación de equipo, asegurando el acceso ilegal o no autorizado a los equipos infectados. En casi todos los casos el propósito de instalar sistemas de puerta trasera es pasar por alto los medios normales y canales oficiales para acceder a los sistemas de cifrado de la información de una manera clandestina, algunas herramientas con capacidades de puertas traseras son Netcad y Meterpreter. Zero-day, se refiere a las amenazas de día cero, son una forma de código malicioso que pretenden explotar un agujero de seguridad o vulnerabilidades no conocidos con anterioridad. Para que los proveedores de software antimalware puedan lanzar una solución o herramienta de eliminación de códigos maliciosos, primero tiene que estar conscientes de su existencia. Esta falta de conocimiento es de donde proviene el nombre de día-cero, la vulnerabilidad o explotación son conocidas como días-cero. Desafortunadamente muchos de los usuarios y organizaciones no pueden actualizar o parchar sus sistemas de forma inmediato, por ello se crean brechas de seguridad. Existen diversas aplicaciones populares que son víctimas comunes de días-cero, algunas de estas son el Internet Explorer de
69
Microsoft, Safari de Apple, Java Run-time, Flash, los sistemas operativos Windows y OSx entre otros. Software Adware y advertiser-supported-software, es software que presenta publicidad de manera automática en sitios web, productos de consumo y/o servicios para los usuarios. Los anuncios no solicitados pueden mostrarse sin previo aviso durante la instalación de un software o una vez que un producto o página web se carga. El Adware puede ser clasificado como malware cuando los usuarios comienzan a ser bombardeados con anuncios no solicitados y no deseados. Estos anuncios también pueden estar infectados con partes de código potencialmente dañinas, de tal forma que cuando el usuario haga clic sobre el anuncio mostrado, puede dar rienda suelta a la infección de su equipo de cómputo. El adware podría ser lanzado junto con coolies de rastreo como un intento de llegar al usuario final para realizar diversas acciones como la compra de un producto o incluso instalar un Caballo de Troya que puede hacer que el equipo afectado se pueda unir a una botnet. Scareware, es una forma falsa de software de seguridad que pareciera ser legítimo y benéfico, por ejemplo usted como usuario al visitar un sitio web, puede observar en pantalla que se muestra una ventana con un aviso diciendo que su computadora ha sido infectada con malware, con lo cual se le incita a descargar e instalar un producto para la eliminación y limpieza de la supuesta amenaza. Después de haber instalado este software se les puede solicitar que introduzca datos personales como números de tarjeta de crédito para comprar el producto falso, el resultado de este proceso puede derivar en el conocido robo de identidad. Además después de haber instalado el software falso se puede facilitar de la instalación de malware. Algunos ejemplos de este tipo de software son AV Antispyware, Win 7 Security Cleaner, XP Security Cleaner, Disk Antivirus Professional, y el MACDefender. Keyloggers, son programas o dispositivos en hardware que graban o almacenan las entradas de teclado del usuario, es decir, todas y cada una de las pulsaciones sobre el teclado de este sin su consentimiento y conocimiento. Esta es una forma popular de robo de información. En ocasiones las organizaciones pueden utilizar legalmente programas o
70
dispositivos keylogger para la supervisión de sus empleados. Algunos de los ejemplos de estos son Tiny Keylogger, Stealth KeyLogger, Dark Keylogger, Elite Keylogger, y el Turbo Keylogger. Variaciones de algunos Troyanos también vienen con capacidades de keylogger. Crimeware, generalmente se refiere a un kit de software diseñado para automatizar el proceso de la comisión de crímenes computacionales, informáticos o ciberdelitos. Este tipo de kit de malware se centran en dar herramientas automatizadas al atacante para crear variaciones y combinaciones de programas maliciosos diseñados para atacar objetivos determinados. Usando un kit de crimeware el atacante podría seleccionar el método de infección así mismo las opciones de mantener el acceso al sistema comprometido y la gestión de las redes.
Figura 23. ¿Cómo operó Stuxnet? Fuente: (Kushner, 2013) Disponible en: http://spectrum.ieee.org/telecom/security/the-realstory-of-stuxnet Malware polifórmico, anteriormente se podían diferenciar las amenazas como gusanos, virus, troyanos, backdoors, rootkit y malware; hoy en día una pieza de software malicioso puede transformarse rápidamente de una forma a otra, más importante aún es que una sólo pieza de malware puede ser armado con diferentes funciones con el propósito de aumentar sus posibilidades de infección hacia un objetivo determinado y sobrevivir a rigurosas prácticas de detección y eliminación de malware. Un ejemplo puede ser el Stuxnet (Figura 23), este malware comenzó a propagarse en forma de gusano auto replicante de sistema a
71
sistema hasta encontrar alguno con el sistema SCADA Step 7 de Siemens. Este gusano demostró la capacidad de conectar al atacante y descargar aún más instrucciones y malware como vulnerabilidades día cero. Una vez que el objetivo ha sido comprometido, el gusano utiliza las capacidades del Caballo de Troya para espiar a los sistemas comprometidos, permitir entonces al atacante controlar el sistema SCADA y causar el mal funcionamiento del hardware (Kushner, 2013). Amenazas Internas (Insiders) En adición a los ataques de origen externo, es importante mencionar a los ataques hechos desde dentro de las organizaciones. Un empleado descuidado por ejemplo puede tropezar con un cable de alimentación de un equipo de red crítico. Un empleado descontento puede desencadenar un script malicioso o dañar físicamente un equipo como venganza. Para este tipo de insiders es más difícil encontrar una protección adecuada ya que tienen conocimiento de información privilegiada de la organización y de los diferentes mecanismos de seguridad o ausencia de los mismos.
Figura 24. Diagrama de capas ilustrando las defensas en profundidad. Fuente: Elaboración propia con información de: http://www.hosting.com/managedservices/security-compliance/ Defensas Proactivas y Reactivas Como se ha mencionado con anterioridad, la seguridad tiene por lo menos tres elementos primordiales, las personas, los procesos y la tecnología. Por ello tenemos que
72
garantizar la seguridad de estos elementos en su conjunto. Para esto aplicaremos una seguridad en capas, o seguridad en profundidad, esto significa que cuantas más capas construyamos, mayor complejidad tendrán los atacantes para acceder a nuestros sistemas de información como activos estratégicos. En este caso se puede presentar la siguiente interrogante ¿cuántas capas son necesarias?, la respuesta inicial será, depende de un caso a otro y dependerá del tipo de activos estratégicos que estemos protegiendo. En la Figura 24 se ilustran algunas de las capas a considerar. Por lo tanto, para proteger a las personas, procesos y la tecnología necesitamos una combinación de medidas administrativas, técnicas y físicas. Estas medidas de protección pueden ser proactivas o reactivas. 3.3. Seguridad web. Cuando hablamos de la Internet, nos referiremos principalmente a un gran número de computadoras, servicios y dispositivos de red conectados entre sí, de hecho, abarca más de 600 millones de estos dispositivos. La Web indexada contiene al menos 1860 millones páginas de internet que se encuentran disponibles para la búsqueda a través de los motores de búsqueda como Google o Bing (al Martes, 27 de mayo 2014). Estos recursos son buscados a diario por alrededor de dos mil millones de usuarios alrededor del mundo. Debemos aceptar que el tamaño de la Internet y su alcance es impresionante 58. Una de las tecnologías desarrolladas en complemento con la Internet fue el lenguaje HTML 59 que permite a los usuarios moverse de un documento a otro a través de hipervínculos (direcciones web). Los navegadores web se desarrollaron para entender o interpretar la información HTML y desplegarla a los usuarios. En la actualidad existen diversos navegadores web como son Firefox de Mozilla, Chrome de Google, Safari de Apple, Internet Explorer de Microsoft y el Opera. Aunque en un principio la mayor parte de la información era presentada en forma de texto, en la actualidad los navegadores muestran la información a los usuarios en distinto formato pudiendo ser en texto, gráficos, audio y video. Es importante considerar que 58
Para conocer el tamaño de http://www.worldwidewebsize.com/ 59 Hypertext Markup Language.
la
Internet
73
se
recomienda
visitar
el
siguiente
sitio:
cuando las páginas web son presentadas por el navegador, también son transferidas y almacenadas en los equipos de cómputo. Esta es una de las formas en que la navegación web puede introducir riesgos de seguridad significativos. Usted se puede preguntar si existe un navegador web mejor o más seguro que otro, en la realidad todo el software puede ser atacado, sin embargo, los productos más populares son los tendrán el mayor foco de los ataques. Para una comparación de los navegadores de Internet más detallada, basados en capacidad de resistencia frente a diversos tipos de ataques a la privacidad y a la seguridad, se recomienda visitar la página web de Browser Security de NSS Labs 60. De lo anterior se puede mencionar que los atacantes intentarán implantar códigos maliciosos en un sitio web que a su vez introducirá un virus u otro tipo de código dentro de los equipos de las víctimas. Otro tipo de ataque consiste en una pequeña pieza de código conocida como cookie. Una cookie es instalada por un sitio web en su equipo para almacenar información específica. En ciertos casos esta cookie puede ser utilizada para cargar la cuenta de un usuario y sus preferencias cuando accede al mismo. Sin embargo, las cookies también pueden ser un tipo de riesgo a la seguridad y por lo tanto es un riesgo a la privacidad, en este caso, la cookie puede ser utilizada para realizar un seguimiento de las acciones que el usuario realice en la Internet, tal como los sitios a los que accede, los productos que pueda comprar, los términos de búsqueda que realice y lo más desconcertante es que realice un informe de todas estas acciones al propietario de esta cookie. Cuando este tipo de cookies se instalan sin su conocimiento y permiso se considera una violación a su privacidad. De lo anterior resulta por demás importante configurar el navegador web de su preferencia para limitar la capacidad de cookies que pueden ser descargadas sin su conocimiento. Otro de los riesgos existentes para los usuarios de navegadores web es que al navegar por Internet consiste en la redirección del tráfico, en este caso durante la navegación que realiza un usuario en algún sitio, se instala una pieza de código malicioso dentro del equipo del usuario, este código puede causar estragos ya que redirige todas las solicitudes de búsqueda hacia sitios web del atacante. Otro tipo de ataque es el que se conoce como 60
Disponible en: https://www.nsslabs.com/reports/categories/test-reports/browser-security
74
manejado por descarga, muchos usuarios tienen la creencia que siempre y cuando no hagan clic sobre cualquier vínculo durante su navegación en la internet se encuentran seguros. Sin embargo los ataques se han vuelto lo suficientemente creativos como para que la misma visita a un determinado sitio pueda potencialmente introducir software malicioso a sus equipos. Existe otro tipo de código malicioso (software) que se encuentra incrustado en los sitios web que visitamos. El spyware es un tipo de código malicioso que viola la privacidad, realizando un seguimiento de las actividades del usuario sin su aprobación y conocimiento. También tiene la capacidad de recoger información del equipo del usuario, por mencionar alguna, los programas que tiene instalados. Esta información puede ser utilizada por un atacante para lanzar ataques centrados específicamente en sus vulnerabilidades de este equipo. Como se ha mencionado con anterioridad los keyloggers se pueden presentar como software malicioso, el cual da un seguimiento a las pulsaciones el teclado, por lo regular, con el propósito de capturar nombres de usuario y contraseñas a través de las cuales el atacante puede acceder a sitios web y suplantar al usuario propietario de estas credenciales. 3.4. Seguridad de las redes. El término de redes de computadoras se entiende generalmente como dos o más computadoras o dispositivos conectados entre sí a través de un enlace físico como un cable o bien de forma inalámbrica. En la actualidad muchas redes de computadoras se encuentran conectadas alrededor de la tierra para formar la Internet. La Red Informática Mundial (World Wide Web WWW) es el medio para facilitar la comunicación de los usuarios y es utilizada por lo general para el intercambio de información. En la actualidad existe el término denominado La Nube (The Cloud) que es esencialmente la web o servicios de la web. Por ejemplo consideremos el servicio de almacenamiento en la nube como Box.net, en este rentamos el servicio cuando necesitamos utilizarlo, sin preocuparnos del mantenimiento, soporte, etc. Sin embargo uno de los grandes desafíos en este tipo de servicios es la privacidad de los datos, asegurar su confidencialidad, integridad y disponibilidad de los mismos.
75
Los ataques de red pueden ser externos vía canales públicos accesibles como un servidor web o internos al tener acceso directo a un objeto conectado a la red perimetral, sea alámbrica o inalámbrica. Un ataque podría apuntar a un sólo sistema o a un grupo de estos, a una aplicación o persona particular. Los ataques a las redes ponen en riesgo la confidencialidad, integridad y disponibilidad de los sistemas y servicios de las organizaciones. La internet permite la interconexión de redes a equipos computacionales y personas alrededor del mundo en fracciones de segundos. Por tal razón los ataques vía red no están limitados por regiones geográficas. Todo aquel usuario que cuente con un equipo de cómputo y conectados a redes de datos es susceptible de ataques. Todo ataque cuenta con vector o vectores, como se mencionó con anterioridad, este puede ser una pieza de código que tiene por función exponer una vulnerabilidad o debilidad en un sistema dado. Los vectores más conocidos son las descargas, correos electrónicos con archivos adjuntos, popups, spam, malware, las configuraciones por defecto y credenciales. Por su parte la superficie de ataque es también un componente importante, nos ayuda a entender los tipos de ataques que pueden ser utilizados contra la red y los recursos que potencialmente podrían ser expuestos durante el ataque. La superficie de ataque define esencialmente nuestra exposición a las debilidades, algunos ejemplo pueden ser los puertos de comunicación abiertos, formularios web y los servicios en ejecución. Los exploits son elaborados específicamente para aprovechar las vulnerabilidades con el propósito de obtener acceso no autorizado a un sistema. Un ataque de red puede tener múltiples y diversas fases y objetivos, por ejemplo, un ataque podría estar compuesto de los siguientes elementos: Recopilación de información.- el atacante puede o no tener conocimiento previo de su objetivo, sin embargo él o ella puede emplear un poco de inteligencia para e identificar los vectores, la superficie y el objetivo del ataque. Para ello el atacante puede utilizar:
76
Métodos pasivos: como la recopilación de información disponible públicamente (recursos web, motores de búsqueda y directorios públicos) sin la necesidad de conectarse directamente al objetivo y levantar sospechas. Métodos activos: tales como el uso de herramientas manuales o automatizados diseñados para conectarse directamente al objetivo y buscar tipos específicos de datos. Este tipo de ataques puede revelar sistemas abiertos, puertos abiertos, servicios en ejecución, versiones de aplicaciones, sistemas operativos, mapeo de redes con direcciones IP de objetivos específicos entre otros. Evaluación de vulnerabilidades.- Una vez que el atacante ha encontrado el servicio más expuesto con probabilidades de obtener los resultados más exitosos y consumiendo la menor cantidad de tiempo y esfuerzo, él o la atacante comenzará a explorar la superficie de ataque y tratará de encontrar las vulnerabilidades y maneras de aprovecharlas. Explotación.- Usando el descubrimiento de las vulnerabilidades durante la fase anterior, un atacante puede aprovecharse de estos e infiltrarse a la red o quizá provocar una interrupción de los servicios. Esto podría hacerse a través de scripts de explotación manuales o automáticas. Post-explotación.- Una vez que el atacante tiene acceso a un sistema en la red, los atacantes pueden intentar preservar el acceso al sistema comprometido, o bien utilizarlo para desde allí iniciar otros ataques contra otros sistemas. Es decir, un atacante puede crear una puerta trasera (backdoor), una comunicación de red permanente, comando y control de canales con el objetivo sin perder acceso al sistema. Es importante reconocer que cualquier ataque o atentado contra cualquier entidad sin la debida autorización y permiso explícito del propietario puede considerarse como ilegal. Estos ataques pueden tener consecuencias legales según corresponda bajo los ordenamientos a niveles estatales, federales o incluso internacionales. Como se ha mencionado con anterioridad, para generar soluciones de protección debemos conocer los tipos de ataques de red más comunes.
77
Los ataques de red pueden ser entendidos como cualquier tipo de acceso o intento de acceso a los recursos de trabajo netos que podrían resultar en la violación de la confidencialidad, la integridad, y/o la disponibilidad de los recursos autorizados, por ejemplo, algunos ataques tienen como propósito principal recopilar información sobre un determinado servidor, acceder a él, espiar las comunicaciones, enmascarar la identidad del atacante y/o denegar un servicio. A continuación presentaré algunos ejemplos de ataques de red ya sea con el permiso explícito del propietario o bien contra objetivos diseñados explícitamente para la evaluación de la seguridad: Escaneo/mapeo: En este el atacante tratará de descubrir información sobre el objetivo, entre esta se puede obtener los puertos abiertos, servicios en ejecución, su versión del sistema operativo, o la dirección MAC. Comando y control (Command and Control): Los ataques de comando y control son utilizados como herramientas de administración remota (RAT 61). Las infecciones están asociadas con el tipo troyano de malware y backdoors. El Troyano puede infectar el sistema del usuario, haciéndose pasar por una aplicación legítima. También se puede acoplar a un juego o aplicación gratuita, a documentos en formatos doc o pdf, tarjetas de felicitación o algún otro archivo o aplicación. Una vez que se instala la aplicación o se abre algún archivo transporte del Troyano, el sistema quedará infectado y regularmente sin el conocimiento del usuario. Una vez que el atacante gana el control del sistema objetivo, este puede dejar una puerta trasera para garantizar el acceso en un futuro. El sistema comprometido puede ser utilizado sin el conocimiento del propietario para lanzar ataques contra otros sistemas, por esta razón los sistemas comprometidos también pueden ser nombrados como zombies. Uno de los ejemplos más populares es el Back Orifice (BO2K 62) RAT. Este tiene la capacidad de controlar de manera remota un sistema; más específicamente puede apagar, reiniciar, grabar las pulsaciones de teclas, ejecutar programas, chatear con el objetivo, pivotear ataques hacia otros sistemas y bajar o descargar archivos. Tiene el control total esencialmente sobre el sistema objetivo como se ilustra con la Figura 25. 61 62
Remote Administration Tools. Más información acerca de este Troyano en http://www.f-secure.com/v-descs/bo2k.shtml
78
Denegación de Servicio (DoS 63) y Denegación de Servicio Distribuido (DDoS): Los DoS usualmente se dirigen hacia la disponibilidad de un servicio o dispositivo, agotando sus recursos de cómputo, como pueden ser el espacio en disco duro, la memoria, el tiempo de CPU o el ancho de banda del equipo objetivo. En este tipo de ataque por lo general existe una sola fuente de ataque. Por su parte los DDoS 64, operan bajo el mismo principio del DoS, sin embargo, en lugar de que lo ataques sean originados de un solo equipo particular, los ataques provienen de múltiples equipos al mismo tiempo por lo que es más eficiente y difícil de combatir. Este tipo de ataque se suele aplicar a sitios web, con el resultado de que el sitio web atacado quede fuera de servicio o no disponible. El zombie maestro puede aprovechar los recursos computacionales de alguno, algunos o todos los zombies (esclavos) en contra de uno o más objetivos para una mayor eficiencia en el ataque tal y como se ilustra con la Figura 26.
Figura 25. Ventana de administración del Bo2K Fuente: http://www.f-secure.com/virus-info/v-pics/bo2k.jpg
Figura 26. Ataque DDoS. Fuente: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_74/dos_attacks.html 63 64
Nombrados como Denial of Service (DoS) y Distributed Denial of Service (DDoS) en el idioma inglés. Más información disponible en: http://www.blacklotus.net/learn/about-ddos-attacks/
79
Este tipo de ataque es más difícil de controlar debido a que múltiples fuentes de ataque que atacan a un mismo objetivo al mismo tiempo. La suplantación de identidad (Spoofing): Este tipo de ataque de red falsifica la identidad del dispositivo con el propósito de ocultar la verdadera identidad del atacante (en un ataque) o bien, del objetivo (como una medida defensiva). La suplantación de identidad se podría usar para hacerse pasar por un dispositivo de red autorizado a acceder a una red. Sniffing: Este tipo de ataque puede dar visibilidad de ataque en la red, por ejemplo, un atacante puede examinar el tráfico de la red paquete a paquete, descubrir las contraseñas sin cifrar las cuales podrían utilizarse para obtener acceso no autorizado a los sistemas. Los profesionales de TI pueden utilizar el sniffing para examinar problemas de comunicación en la red. El sniffing puede ser limitado a un determinado equipo o cubrir toda la red. Man in the Middle (MITM): Este tipo de ataque se dirige a la integridad y la confidencialidad de la comunicación entre dos equipos. El atacante actúa como un proxy interceptando todas las comunicaciones entre los equipos y tiene la capacidad para modificarla. De esta manera no sólo el atacante sabe de ella sino que puede dictarla. Uno de los ejemplos más recientes de MITM implica a la famosa compañía Nokia, que según reportes se sospecha que le fueron descifrados datos relacionados con las cuentas de redes sociales, banca en línea, correo electrónico y otros datos. Por todo los riesgos de red antes mencionados, es necesario contar con un plan de Defensa para los Ataques de Red, cuando se trata de la defensa de la red no existe una receta mágica que pueda hacer frente a todos los ataques. Como se ha demostrado con anterioridad la seguridad tiene múltiples dominios, por ello, debemos garantizar la confidencialidad, integridad y disponibilidad de los tres elementos, a saber, personas, procesos y tecnologías (Figura 11). Para este apartado y aunque es subtema es tecnológico, es importante reconocer que la tecnología es impulsada por procesos, los cuales son impulsados por las personas, es decir estos tres elementos trabajan siempre en conjunto. Un ataque de red puede comenzar con la exploración, evaluación de la vulnerabilidad y explotación de la tecnología. Por ello si se han seguido adecuadamente las
80
recomendaciones hechas por la industria, los atacantes pueden no ser capaces de encontrar su camino. También es importante saber que aún asegurada la tecnología, el factor humano puede ser explotado por descuido del personal. Se recomienda tener una defensa basada en capas, o bien, conocida como defensa en profundidad (Figura 24), en la cual mientras mayor sea el número de capas de seguridad tengamos, mayor será la dificultad para los atacantes para llegar a nuestros datos, es decir a los activos estratégicos de las organizaciones. En esta etapa siempre cabe la pregunta, ¿cuántas capas son suficientes?, no hay un número exacto, por el contrario debemos saber qué tipo de activos son los que estamos protegiendo y en función de ello construir tantas capas como sea necesario. Dentro de la Figura 24 podemos observar que la protección cuenta con una capa externa como la protección de seguridad física, seguida por la seguridad de la red hasta llegar a los activos estratégicos. Las capas de prevención, vigilancia, detección y mitigación se encuentran en la parte intermedia. La gestión de riesgos aborda diferentes estrategias que nos pueden servir de guía para administrar los riesgos, entre las más conocidas se encuentran: Risk avoidance (Evitación de riesgos): Se refiere a tomar medidas preventivas para evitar los riesgos, es decir, debemos instalar tecnología, establecer políticas, procedimientos, sensibilización, formación y la educación. Risk Transference (Transferencia del riesgo): Se refiere a transferir el riesgo a un tercero, como una agencia de seguros o consultora. Risk Mitigation (Mitigación del riesgo): Se refiere a establecer medidas de seguridad para minimizar el impacto asociado a la realización de los riesgos. Risk Acceptance (Aceptar el riesgo): Se refiere a asumir los riesgos. Si no lo transferimos, evitamos o mitigamos, automáticamente debemos aceptar el riesgo. Las estrategias más frecuentes son la evitación y mitigación de los riesgos. La evitación del riesgo se puede lograr mediante el uso de medidas como: Firewall (Cortafuegos): Literalmente se puede explicar como un muro entre la red de la organización y el mundo externo. Cualquier comunicación entrante y saliente es filtrada por este servidor de seguridad. El firewall puede ser un firewall basadas en los sistemas
81
operativos Windows o tablas IP para sistemas Linux/Unix (hosts), también existen soluciones dedicadas y basadas en hardware como Checkpoint, Cisco, Juniper. Intrusion Prevention Systems (Sistemas de Prevención de Intrusiones): estos pueden ser basados en firmas de ataques o comportamiento conocidos, estos tienen la capacidad de bloquear de forma automática ciertos equipos y ciertos puertos para prevenir para detener y prevenir futuros ataques de propagación. Estos pueden ser basados en hosts (equipos), protegiendo un host a la vez o bien basados en la red, protegiendo a todos los equipos de una red específica. Segmentación / Aislamiento de Red: Al separar lógicamente la red para cada departamento, una infección por malware en un departamento, por ejemplo, no podrá afectar a equipos ubicados en otros departamentos. Esto se logra a través de la implementación de redes locales virtuales, conocidas comúnmente como VLANs. Políticas y procedimientos: Contar con los procedimientos adecuados para preparación de emergencias y respuesta a incidentes en donde se establezcan responsabilidades para el momento adecuado actuar. Para ello se deben establecer escenarios hipotéticos y de forma periódica. Guías de implementación para la seguridad técnica y las mejores prácticas: Se refiere a hacer uso de las mejores prácticas del sector para ayudar a limitar el factor de exposición. Usando el Top 20 de SANS, en el cual se enumeran los 20 riesgos más recientes y la forma de abordarlos 65. Algunos de ellos se listan a continuación: Cambiar credenciales por defecto. Personalizar y probar la configuración antes de la implementación. Utilizar el ciclo de Deming consistente en planificar, hacer, verificar y actuar. Cerrando los puertos por defecto y deshabilitando los servicios innecesarios. Mantener al día las actualizaciones y los parches críticos.
65
Disponible en: http://www.sans.org/critical-security-controls/
82
El Cifrado: Las redes privadas virtuales (VPN) son túneles de comunicación privados establecidos por medio de aplicaciones de firewall de red, para asegurar la confidencialidad de la comunicación entre dos equipos en un canal de comunicación relativamente inseguro. Por ejemplo, este nos sirve cuando queremos trabajar documentos importantes de la organización conectándonos de una red pública a la red corporativa. Pruebas de penetración: Completar las evaluaciones internas y contratar profesionales en pruebas de penetración para hacer una evaluación de la seguridad de la red a nivel global. Prevención de pérdida de datos: Contar con una tecnología para vigilar y evitar que los datos contextuales, como información de identificación personal o de la organización salgan del perímetro seguro de la misma. Controles de acceso: Garantizar el acceso explícito sólo a usuarios autorizados y autenticados únicamente a los recursos permitidos para su nivel de acceso. Por ejemplo un administrador de red puede desplegar lista de control acceso (ACL) incluyendo direcciones MAC sólo de equipos que tienen permiso para acceder a la red, con ello si la dirección MAC de un equipo no se encuentra en la ACL, a este se le impedirá el acceso a la red. Pueden existir casos en que los riesgos se cuelen por la red debido a la explotación exitosa de los componentes tecnología, procesos y/o personas. Aquí es donde las estrategias de mitigación entran en el juego. Algunas de ellas se listan a continuación: Protección del punto terminal: En el caso de una infección por malware, un antimalware basado en host puede ayudarnos a identificar, contener y garantizar que el malware no sea extendido a través de nuestra red. Soluciones de las empresas TrendMicro, Symantec, AVG, Avira, Microsoft, Checkpoint, Kaspersky, Avast, y McAfee son ejemplos de estas. Sistema de detección de Intrusos (IDS): Los sistemas de detección de intrusos basados en la red nos pueden a ayudar a alertar y a notificarnos de eventos basados en la red contra un equipo o equipos de nuestra red. Nos puede ayudar a identificar al atacante utilizando la red y el control del IPS basado en host deteniendo el ataque. Un IDS puede proporcionarnos visibilidad de lo que está sucediendo en nuestra red en todo momento.
83
Administración de Registros (Logs): Mantener los logs de los servidores críticos de la organización, los componentes de la red como un firewall, puede ayudarnos a identificar y/o verificar ciertos tipos de actividad maliciosa. Con uso de logs y la información del IDS, podemos estudiar el ataque y diseñar medidas de seguridad proactivas. Respaldos de información (backups): En el caso de fallos en la tecnología o corrupción maliciosa de datos, contar con una estrategia de backups puede ser la salvación de nuestros activos estratégicos. Redundancia: Elementos como la virtualización y hardware redundante (firewalls, routers y switches), así como equipo de fuentes de alimentación ininterrumpibles (UPS) pueden ser la clave para mantener los servicios esenciales de la organización. Planes de contingencia: Tener un plan de cómo hacer frente a los incidentes, qué hacer cuando ocurre un desastre, cómo continuar y reanudar las operaciones de la organización es primordial para cumplir con los objetivos y metas institucionales. La concientización, capacitación y educación acerca de la seguridad: Haciendo partícipes a todas los actores involucrados en los procesos de la organización, para saber cuáles son los riesgos, entrenarlos para detectarlos y educarlos para que reaccionen adecuadamente ante un evento 66. Honeypots: Con el fin de defender con eficacia contra los atacantes, tenemos que estudiar el comportamiento, acciones, herramientas y técnicas, aquí es donde el honeypot entra en juego. Un honeypot es un software o sistema de computadoras que actúan como un sistema vulnerable o débil en seguridad pero en realidad en un señuelo, está diseñado para atraer y recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden ayudar para distraer a los atacantes de los sistemas de información más importantes o vitales de la organización y a su vez advirtiendo a l administradores de sistemas acerca del ataque. La información recabada se puede utilizar para un diseño de defensas de seguridad 66
Existe por ejemplo una publicación del Instituto Nacional de Estándares y tecnología (NIST) el cual es una guía para la concientización, capacitación y educación acerca de la seguridad. Disponible en: www.csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf
84
de redes más eficaces. Un honeypot es un recurso del sistema de información cuyo valor reside en el uso no autorizado o ilícito de ese recurso 67. Jammers de desconexión y de señal: En ocasiones para detener un ataque de red e impedir que se propague a otros segmentos de red, es posible que tengamos que desconectar y aislar el componente afectado de la red. 3.5. Seguridad móvil e inalámbrica. Una de las principales diferencias entre las redes alámbricas e inalámbricas es la facilidad en su instalación con la implementación de routers, y puntos de acceso se puede crear en cuestión de minutos. Esta facilidad es ideal para los usuarios, sin embargo plantea peligros a nuestros sistemas de información porque aún muchas personas desconocen los riesgos de seguridad al hacer uso de este tipo de tecnologías. Todas las redes de computadoras, en la actualidad incluyendo a los dispositivos móviles como laptops y equipos de telefonía inteligentes o smartphones, están diseñadas para permitir que todos los puntos de la red se comuniquen entre sí y compartan información. Los avances de la tecnología nos permiten ahora conectar todo tipo de equipos sin ninguna conexión física. Las redes inalámbricas se conectan entre sí mediante el uso de puntos de acceso inalámbricos mediante el uso de tarjetas de red contenidas en los equipos móviles. Por su parte, el punto de acceso inalámbrico actúa como puente entre las partes de conexión permitiendo el envío de datos. La Figura 27 muestra una red típica con dispositivos inalámbricos en donde el punto de acceso actúa como foco central para facilitar la comunicación entre los distintos equipos de red. En la actualidad y con la masificación de la banda ancha, la cantidad de datos enviados sobre las redes inalámbricas puede llegar a ser igual y en un futuro superior a las redes alámbricas tradicionales, y como nuestros equipos móviles dependen de estas redes para su
67
Más información acerca de este tema está disponible en el siguiente vínculo de Internet: http://www.tracking-hackers.com/papers/honeypots.html
85
correcto funcionamiento, es necesario que el tratamiento que se propone dar a las redes alámbricas sea aplicable y extensible a los sistemas y redes inalámbricas.
Figura 27. Ejemplo típico de una LAN inalámbrica. Fuente: http://www.cisco.com/web/about/ac123/ac147/images/ipj/ipj_93/93_wlan_fig1_lg.jpg 3.6. Estándares y leyes acerca de la ciberseguridad. El marco de estándares seguridad surgen de la necesidad de poner orden en un entorno potencialmente caótico de los sistemas de información. Los estándares se esfuerzan por que la seguridad esté bien entendida y sea manejada adecuadamente. Además de estándares existen organizaciones que comparan sus programas de seguridad con otras organizaciones, también comparten las mejores prácticas con sus pares formales e informales y grupos de intercambio de información. Entre algunos de estos organismos podemos mencionas a los siguientes: El TCSEC 68 es un modelo arquitectónico de seguridad del Departamento de Defensa (DoD) de los Estados Unidos, en este se definen los criterios de evaluación de los controles de acceso a un sistema informático, este es conocido como el Orange Book, el cual se ocupa principalmente por velar por la confidencialidad con vistas hacia la integridad y disponibilidad. Se añadieron la interpretación de redes confiables y los sistemas de interpretación de administración de bases de datos confiables, para cubrir los temas específicos de red y aspectos de seguridad de bases de datos. El TCSEC define la trusted computing base como la combinación de hardware, firmware y software responsables de 68
Trusted Computer System Evaluation Criteria.
86
fortalecer las políticas de seguridad. Sugiere cuatro clases básicas ordenadas jerárquicamente. La Clase D es la evaluación de la seguridad, esta se encuentra en el nivel más bajo. En la Clase C especifica la seguridad discrecional. La Clase B especifica la seguridad obligatoria. Y en el nivel más alto se encuentra la Clase A, la cual especifica protección verificada. Los criterios de evaluación de Seguridad en Tecnologías de la Información (ITSEC 69) es el equivalente Europeo del TCSEC. Su propósito es demostrar la conformidad de un producto o sistema (objetivo de la evaluación) en contra de las amenazas. Considera dentro de los factores de evaluación la funcionalidad y los aspectos de garantía y eficacia. ITSEC ha sido reemplazado por el Criterio Común (CC 70), este es un esfuerzo de armonización internacional de las normas de seguridad de los sistemas de información. Proporciona una taxonomía para evaluar la funcionalidad. CC ha cobrado importancia significativa en la industria, especialmente como un medio de definición de las necesidades de los usuarios, sin embargo hay unas deficiencias como por ejemplo, la definición de un producto o el objetivo de la evaluación. No proporciona claramente los detalles en cuanto a cómo se deben especificar los requisitos de seguridad. El modelo COBIT 71 ofrece consejos sobre la aplicación de controles y objetivos de control sobre la seguridad de la información. Es un marco de negocio para el gobierno y la gestión de las Tecnologías de la Información. Se compone de 34 objetivos de alto nivel, abarca 215 objetivos de control. ITIL 72 por su parte es similar a COBIT. ITIL se centra en la gestión de los niveles de servicio de los sistema de TI, mientras que COBIT alinea los objetivos del negocio y la gestión de riesgos con los objetivos y procesos de TI. Para las organizaciones que requieran desarrollar controles de seguridad más específicos recurren a las normas ISO/IEC serie 27000. ISO/IEC 27002 (antes ISO 17799) desarrollado inicialmente del BS7799 parte 1 es un estándar internacional publicado por la Organización Internacional de la Estandarización 69
Information Technology Security Evaluation Criteria. Common Criteria. 71 Control Objectives for Information and Related Technology. 72 Information Technology Infrastructure Library. 70
87
(ISO) y por la Comisión electrotécnica Internacional (IEC) que establece los requisitos de buenas prácticas para la seguridad de la información siendo uno de los principales estándares en seguridad de la información. Proporciona recomendaciones de las mejores prácticas en la gestión de seguridad de la información para uso de los responsables de iniciar, implementar, o mantener sistemas de gestión de la seguridad de la información (ISMS 73). La norma contiene once dominios, 39 objetivos de control y 133 controles 74. Es un estándar de asesoramiento que debe ser interpretado y aplicado a todos los tipos y tamaños de organizaciones de acuerdo a los riesgos de seguridad de la información que afronten. Esta flexibilidad ofrece a los usuarios libertad a los usuarios de adoptar los controles de seguridad que tengan sentido para estos. ISO 27001 fue desarrollado inicialmente del BS7799 parte 2, este estándar define las especificaciones para los sistemas de gestión de seguridad de información (SGSI). Es un estándar certificable que especifica una serie de requisitos en firme para establecer, implementar, mantener y mejorar los sistemas de administración de seguridad de la información, enumera 133 controles de seguridad de la información. Los controles se alinean a la norma 27002. Estos modelos en estándares de seguridad son algunos de los más referenciados por los profesionales de la seguridad. La norma contiene doce secciones principales, dentro de cada una de ellas se especifican y detallan los controles de seguridad y sus objetivos, estos son mostrados en la Figura 28. Una fuente adicional de dominio público para modelos de administración es el Instituto Nacional de estándares y Tecnología (NIST 75) del Centro de recursos de Seguridad Informática (Figura 29). La publicación NIST SP 800-12, manual de seguridad informática, es una excelente referencia pero ofrece poca ayuda con el diseño y la implementación de nuevos sistemas de seguridad. La publicación NIST SP 800-14, principios y prácticas generalmente aceptadas para la seguridad de sistemas informáticos, cubre las prácticas recomendadas y los principios de seguridad de la información común. Por su parte, la NIST SP 800-18, guía para la elaboración de planes de seguridad para los sistemas de 73
Information Security Management Systems Más información disponible en: http://www.iso27000.es/download/ControlesISO27002-2005.pdf 75 National Institute of Standards and Technology (NIST) en: http://csrc.nist.gov/ 74
88
información federal, es una publicación ampliamente utilizada con detalles sobre la evaluación, diseño e implementación de controles de seguridad. La NIST SP 800-53A, guía para la evaluación de controles de seguridad en los sistemas de información federales: construyendo planes de evaluación de seguridad efectiva, proporciona un enfoque de ciclo de vida de desarrollo de sistema para las evaluaciones de seguridad. Por último la NIST SP 800-30, guía de gestión de riesgos para las tecnologías de la Información, ofrece una visión general de desarrollo de un programa eficaz de gestión de riesgos.
Figura 28. Transición de la norma 27001. Fuente: http://www.iso27000.es/assets/images/transicioniso27001.png
Figura 29. Estructura para la administración de riesgos de NIST. Fuente: http://itlaw.wikia.com/wiki/National_Institute_of_Standards_and_Technology
89
La Unión Internacional de Telecomunicaciones (UIT 76) ha desarrollado por su parte el estándar de arquitectura de seguridad de la interconexión de sistemas abiertos para aplicaciones del CCIT 77. La norma ITU-T x.800 establece el marco para la aplicación de conceptos de seguridad para ataques sobre sistemas de información y redes. Un ataque a la seguridad lo define como cualquier acción que comprometa la seguridad de los sistemas. Los mecanismos de seguridad se definen como cualquier otro control que está diseñado para detectar, prevenir o bien recuperarse de un ataque. Un servicio de seguridad se define como cualquier servicio que mejore la seguridad de los sistemas de procesamiento de datos y la transferencia de la información de una organización. Los servicios de seguridad hacen uso de uno o más mecanismos de seguridad y están destinados para contrarrestar las cinco categorías de ataques son destrucción, corrupción, eliminación, divulgación e interrupción (Figura 30).
Figura 30. Categorías de ataques según la UIT. Fuente: Unión Internacional de Telecomunicaciones.
Figura 31. Las 8 dimensiones de la seguridad según la UIT. Fuente: Unión internacional de Telecomunicaciones. 76 77
International Telecommunication Union (ITU) Disponible en: https://www.itu.int/rec/T-REC-X.800-199103-I/es
90
Los servicios de seguridad se dividen en ocho categorías, control de acceso, autenticación, no repudio, confidencialidad de los datos, seguridad de las comunicaciones, integridad de los datos, disponibilidad y privacidad (Figura 31). 3.7. A manera de conclusión. Para formular una propuesta de política pública y de acuerdo a lo expuesto en el capítulo que antecede, los dominios de la ciberseguridad deben ser estudiados y analizados a detalle; en estos las personas, la tecnología y los procesos participan de manera directa o indirecta. Dentro del análisis de alternativas de solución se abarcó la seguridad física y personal, la seguridad de los equipos y aplicaciones, De lo anterior se desprende que es muy importante contar con seguridad a profundidad en la cual se considera de manera sustancial la implementación de medidas proactivas y reactivas para la protección de los activos estratégicos de las organizaciones de la APF. Insistiendo que cuantas más capas existan en este tipo de defensas mayor será el quehacer para un atacante hacia los sistemas de información y menores serán los riesgos. Finalmente en el siguiente capítulo presento mis propuestas. Capítulo 4. Propuesta de política pública y conclusiones. La Administración Pública a través de las organizaciones, ejecutan acciones por medio de las autoridades y servidores públicos, que de acuerdo a conocimientos interdisciplinarios, integrados y atribuciones, persiguen y satisfacen un interés generalizado; esto se consigue por medio de la emisión y ejecución de programas políticos formados de las etapas de planeación, programación, ejecución, evaluación y control administrativo, entre otros, las políticas públicas. En este punto considero que una política pública es necesaria y aplicable para proponer una serie de acciones que tienen por objetivo proteger los sistemas de información de las organizaciones, entendidos estos como los activos estratégicos. El tipo de políticas públicas elegidas para este proyecto son las normativas y constitutivas. Para este proyecto de investigación aplicada me basé en la taxonomía de Teodoro J. Lowi, quien clasifica a las
91
políticas públicas en función de su grado de coerción pública. Este modelo lo considero pertinente porque abarca dos de los tipos de políticas públicas que me ayudaron a concebir una propuesta de solución al problema de investigación planteado. Para la primera de ellas y al momento de aplicarse deberán ser de carácter obligatorio para todas y cada una de las organizaciones que conforman la APF que hagan uso de las TIC, por lo tanto, propongo que no deberán ser discrecionales 78 y en caso de incumplimiento se deben aplicar las sanciones correspondientes. Para el segundo tipo, se considera porque la creación y aplicación de estas propuestas ayudarán a establecer reglas para el uso de las TIC y con ello delimitar el comportamiento de los servidores públicos en todos los niveles, que interactúan con los sistemas de información en el tema de Ciberseguridad. Por ello se recomienda establecer una defensa basada en capas, conocida como defensa en profundidad, como se explicó anteriormente, mientras más sea el número de capas de seguridad, los atacantes tendrán mayor dificultad para llegar a los activos estratégicos. A manera de delimitar el alcance de este trabajo de investigación, hago mención que mi propuesta queda en la etapa de formulación de una política, con el propósito en un futuro de llegar a convertirse en política pública. Por lo tanto, una vez descritas en el capítulo anterior las posibles soluciones, termino mi proyecto con una serie de propuestas de política pública para la protección los sistemas de información como activos estratégicos de las organizaciones de la APF, con el formato dominio-elemento de la Ciberseguridad. Propuesta No.1 (Seguridad Personal - Personas) Capacitar adecuadamente al personal para cumplir con las políticas y protocolos, ayuda a que los empleados protejan la información de la organización de manera adecuada. La mejor forma de defenderse de cualquier ataque es la prevención. Por lo tanto se debe
78
Una política discrecional es aquella en que la autoridad es libre para actuar de acuerdo a su propio juicio. Cuando se impone alguna clase de restricción a las acciones de la política discrecional se habla del establecimiento de una regla. Al restringir el uso de su criterio o limitar el objetivo que se busca, la regla somete a la autoridad, aún cuando puedan presentarse situaciones de ambigüedad respecto del estado del mundo. Por “estado del mundo” se pueden entender cosas muy diferentes, dependiendo de la política de que se trate (Contreras, 1996).
92
fomentar la cultura de concientización, capacitación y educación acerca de la seguridad de los activos estratégicos de las organizaciones, separando la información personal de la laboral, asumiendo que esta es una tarea multidisciplinaria y multinivel con delimitación de responsabilidades, que colabore de manera horizontal y vertical con todos los niveles de gobierno, cuando sea necesario se deberá reportar cualquier incidente de seguridad. Propuesta No.2 (Seguridad física – Procesos, Personas) Definir los activos de la información críticos para cada una de las organizaciones de la APF como dueñas de la información, definiendo la clasificación de la información, determinando los niveles de acceso a la información e infraestructura, autorizando permisos de acceso. Es necesario que tanto servidores públicos, contratistas, proveedores y terceros que accedan a las instalaciones de las organizaciones y en los que por sus funciones involucren manejo de la información e infraestructura de TIC, conozcan, entiendan, acepten y firmen el respectivo acuerdo de confidencialidad de la información. Propuesta No.3 (Estándares y leyes - Personas) Al existir una creciente demanda de los profesionales en ciberseguridad y la creciente expansión y sofisticación de las amenazas, las organizaciones requieren de profesionales que en base a sus habilidades y conocimiento de las normas y estándares internacionales, así como de la legislación vigente, contribuyan a garantizar la confidencialidad, integridad y disponibilidad de los activos estratégicos. Recordando que los reportes de seguridad de Symantec y Cisco, señalan que la mayoría de las organizaciones no están preparadas para hacer frente a la cantidad y diversificación de los ciberataques. Propuesta No.4 (Estándares y leyes – Procesos y Personas) Las funciones de estos profesionales serán las siguientes. Crear, aprobar modificaciones y actualizar las políticas y procedimientos. Realizar análisis de riesgos a las aplicaciones. Asesorar en la aplicación de metodología para el mantenimiento de los planes de contingencia y continuidad de las organizaciones. Avaluar, seleccionar e implementar herramientas que faciliten la seguridad de la información. Emitir los lineamientos para el control de acceso a los sistemas de información. Promover la formación, educación y entrenamiento en ciberseguridad. Mantener una actualización constante de las amenazas y
93
vulnerabilidades de los sistemas de información. Realizar pruebas de penetración y de seguridad en los ambientes de desarrollo, pruebas, producción y contingencia. Propuesta No.5 (Seguridad de equipos y aplicaciones – Tecnología, Procesos y Personas) Utilizar herramientas para realizar monitoreo o escaneo para evaluación de vulnerabilidades, con estas se puede obtener información acerca de las vulnerabilidades conocidas. Con esta los encargados de la seguridad pueden mitigar las debilidades. Recordando que las herramientas no son buenas ni malas; sino la forma en la que son utilizadas y el propósito final. Propuesta No.6 (Seguridad de equipos y aplicaciones – Procesos y Personas) Es necesario que todos los actores involucrados protejan el acceso a los archivos almacenados en los equipos de cómputo y de comunicaciones a través de contraseñas. Las contraseñas se recomienda que deben estar compuestas de un mínimo de 8 caracteres de longitud, incluyendo mayúsculas, minúsculas y caracteres especiales. Las contraseñas deben ser diferentes entre sí para todas aplicaciones que usen. Propuesta No.7 (Seguridad de equipos y de redes – Procesos y Personas) No se debe compartir la información de identificación personal dentro y fuera de las instalaciones de las organizaciones y menos en un entorno de red, es obligación y responsabilidad de cada persona mantener segura toda la información que almacene en su equipo. Propuesta No.8 (Seguridad física – Tecnología, Procesos y Personas) En lo que concierne a la seguridad física las organizaciones del sector público, se debe prevenir el acceso físico no autorizado a personas que puedan causar daños o interferencias en las instalaciones y sistemas de información, esto se conseguirá por medio de tecnologías de control de acceso como tarjetas inteligentes, sistemas biométricos implementando 2 o 3 factores de autenticación, constante vigilancia y alarmas. Además deberán contar con planes de contingencias, planes de recuperación de desastres y planes de continuidad que garanticen la correcta operación y cumplimiento de misión, visión y objetivos de las organizaciones. Propuesta No.9 (Seguridad de equipos, móvil e inalámbrica – Procesos y Personas)
94
Para el respaldo de la información, por ejemplo en equipos de cómputo de escritorio o portátiles, se puede utilizar unidades de almacenamiento externas y configurarlas para realizar copias de seguridad periódicas. Si son equipos móviles como teléfonos o tabletas, se recomienda sincronizar estos equipos con los equipos personales de cómputo o bien en la nube. En cualquiera de los casos, se deben hacer respaldos con cierta frecuencia y elegir el cifrado a utilizar si se cuenta con la opción. Esto permitirá recuperar la mayoría de los datos en caso de pérdida del equipo de cómputo o de información sustantiva, además se deben mantener los respaldos de información resguardados y evitar ser un objetivo para su robo. Propuesta No.10 (Seguridad de equipos y aplicaciones – Tecnología, Procesos y Personas) Para la protección de equipos terminales, se recomienda escanear su equipo de cómputo de manera regular para la detección de nuevas amenazas que puedan haber pasado detecciones hechas con anterioridad. También existen herramientas complementarias de protección de los equipos terminales, por ejemplo, complementos en algunos navegadores de internet, con ello se puede ayudar a prevenir ataques comunes. Es necesario contar con instalación de software de protección firewall individual, antispyware, antivirus y antimalware. Propuesta No.11 (Seguridad de equipos y aplicaciones – Tecnología, Procesos y Personas) Respecto a la seguridad del software se recomienda programar las actualizaciones del sistema operativo y de las aplicaciones, o bien ejecutarlas de forma manual, esto es para corregir las posibles vulnerabilidades de seguridad, como una forma permanente de protección de los ataques de malware y de red. Propuesta No.12 (Seguridad web – Tecnología, Procesos y Personas) Configurar el navegador web de su preferencia para limitar la capacidad de cookies que pueden ser descargadas sin su conocimiento. Podemos limitar o eliminar la posibilidad de que los sitios web instalen cookies. Otra funcionalidad en seguridad con que cuentan los navegadores es la que se refiere a operar en un aislamiento de procesos (sandbox). El enfoque sandbox impide que cualquier código malicioso de una página web entre a los equipos limitando el acceso a este espacio temporal.
95
Propuesta No.13 (Seguridad web – Tecnología, Procesos y Personas) Se deberán utilizar las opciones de seguridad incorporadas en los navegadores web. Además se debe activar las opciones de bloqueo de ventanas emergentes (pop-ups), es importante mencionar que muchos sitios utilizan este tipo de ventanas para ejecutar software malicioso, así como de inundar de anuncios no deseados. Cuando el navegador lo permita instale plugins y add-ons, estos son aplicaciones diseñadas para ejecutarse con el navegador para proporcionar una funcionalidad específica, algunos ejemplos de estos son el Adobe Flash, Java o bien la barra de herramientas de Google, se recomienda que estas aplicaciones se descarguen desde los sitios oficiales de los desarrolladores para asegurar que uno está recibiendo lo que solicitamos, respecto a las barras de herramientas se recomienda abstenerse de instalarlas y usarlas cuando sea estrictamente necesario de acuerdo a sus funciones. Propuesta No.14 (Seguridad redes – Tecnología, Procesos y Personas) Contar con estrategias prevención de riesgos con la implementación de firewalls, sistemas de prevención y detección de intrusos (IPS, IDS), implementar las opciones de seguridad de los equipos de interconexión como routers y switches y listas de acceso (ACL), aplicar segmentación de redes, elaboración de guías de implementación para la seguridad técnica y mejores prácticas, uso de cifrado en las comunicaciones como la utilización de redes privadas virtuales (VPNs), realizar periódicamente pruebas de penetración, con ello contaremos con la prevención de pérdida de datos. Propuesta No.15 (Seguridad de equipos y redes – Tecnología, Procesos y Personas) Contar con estrategias de mitigación de los riesgos como protección de los puntos terminales o equipos, implementar sistemas de detección de intrusos, contar con la administración de registros o logs, realizar periódicamente los respaldos de información crítica de la organización, implementar la redundancia para mantener los servicios esenciales. Propuesta No.16 (Seguridad de equipos, redes, móvil e inalámbrica – Procesos y Personas) En la actualidad y con la masificación de la banda ancha, la cantidad de datos enviados sobre las redes inalámbricas puede llegar a ser igual y en un futuro no muy lejano superará
96
a las redes alámbricas tradicionales. Por ello, las redes inalámbricas deben protegerse con la misma importancia y compromiso que las redes alámbricas. Estas tres últimas propuestas forman parte de la implementación de medidas proactivas, es decir debemos descubrir, endurecer, hacer cumplir las políticas de protección de los activos estratégicos. Propuesta No.17 (Seguridad de equipos y de redes – Tecnología, Procesos y Personas) Implementar honeypots con la intención inicial de distraer a los atacantes de nuestros sistemas más importantes y, paralelamente obtener información para realizar exámenes en profundidad durante y después del ataque e identificar desde donde se están originando dichos ataques. Asumiendo que la mayoría de los ataques se efectúan contra las debilidades de los equipos, entre ellos servidores, basados en los sistemas operativos Windows de Microsoft. Cuando sea necesario contar con medidas de desconexión que eviten la propagación de las amenazas a través de las redes. Propuesta No. 18 (Seguridad de equipos aplics. y redes – Tecnología, Procesos y Personas) Recibido un ataque a los activos estratégicos, las organizaciones deben contar con soluciones alternas, basadas en medios propios o contratados, copias actualizadas de la información crítica y aplicaciones en un lugar alterno, apegadas a un plan de continuidad que permita restablecer las operaciones en un lapso de tiempo menor o igual al establecido. Para lograrlo es necesario que las organizaciones determinen la importancia de la criticidad de los activos con los que cuentan y determinen el impacto a sus áreas, y a otras, una vez dada la afectación. Estas dos propuestas se consideran para el momento que están ocurriendo los ataques, donde requerimos detectar, bloquear y defender. Propuesta No.19 (Seguridad de equipos aplics. y redes – Tecnología, Procesos y Personas) Durante un ataque, se debe contener para después revisar el estado general de los activos estratégicos. Se deberá realizar un estudio para determinar el alcance y efectos dañinos provocados por estos ataques y realizar el análisis forense para determinar las fuentes u orígenes de los ataques, para que en conjunto de las autoridades se puedan efectuar una identificación de los atacantes y deslinde de responsabilidades, y si fuera el caso las penas que correspondan. Posteriormente se deberán crear o actualizar las políticas existentes para remediar daños por este tipo de ataques.
97
Propuesta No. 20 (Seg. Personal, Estándares y Leyes – Tecnología, Procesos y Personas) Se propone generar un marco jurídico actualizado, integral y coherente con la problemática de la utilización de las TIC con conductas presumiblemente delictivas y, cuando sea el caso, especifique las posibles penas o castigos a quienes hagan mal uso de estas TIC en perjuicio de otros. Este marco jurídico debe ser homologado y alineado a los marcos internacionales existentes, por ejemplo se puede considerar el documento “El Ciberdelito: Guía para los países en Desarrollo” de la ITU, esto es con la finalidad de que nuestro país contribuya y colabore con el exterior en el combate a los ciberdelitos. Propuesta No. 21 (Seg. Personal, Estándares y Leyes – Tecnología, Procesos y Personas) Por último y no menos importante es incrementar la concientización sobre la importancia de la Ciberseguridad, la prevención y el combate a los ciberdelitos en todos los niveles, particularizando en el nivel de la toma de decisiones políticas, a fin de promover la adopción de estas prácticas y considerando en todo momento la adopción de normas, buenas prácticas y estándares aceptados internacionalmente para el uso de las tecnologías de la información y la comunicación. Los cuales deberán ser revisados por organismos o consultores externos cuando menos una vez al año.
98
Conclusiones El robo de datos, el robo de identidad, los secretos comerciales, el espionaje nacional e internacional, la delincuencia, el terrorismo y la ciberguerra son algunas de las razones para determinar la importancia de contar con una adecuada Ciberseguridad en nuestros entornos. De tal forma que los equipos y programas utilizados para procesar, almacenar y transmitir la información generada por las organizaciones del Gobierno Federal se convierten en un blanco perfecto para los delincuentes, terroristas y otros gobiernos en cualquier parte del mundo y en todo momento. Algo que debe aceptarse es que la pregunta ¿la APF puede convertirse en un objetivo de ciberataques?, debe replantear y por lo tanto debemos preguntarnos ¿cuándo las organizaciones de la APF serán atacadas? Una de las intenciones de este proyecto es enfatizar que las organizaciones de la APF están en riesgo de sufrir ciberataques. Ya no podemos especular y menos creer que los sistemas de información con que se cuenta en la actualidad son seguros, a menos que estos se encuentren encerrados en un lugar “seguro”, lo cual implicaría que estén lejos de cualquier persona ajena y desconectados de cualquier red de comunicación; sin embargo, esta visión es inoperante e irreal para las necesidades de las organizaciones. De lo anterior, la Ciberseguridad es una gran oportunidad con la que se cuenta la APF para reducir las probabilidades de convertirse en una víctima más de los ciberdelitos, en una combinación de medidas administrativas, técnicas y físicas; donde los elementos, personas, procesos y tecnología intervengan en sus dominios; por ello considero que esta debe ser una inversión obligada y necesaria para el cumplimiento de los objetivos y metas de las organizaciones que conforman la APF en México, con lo cual además de proteger los activos se contribuirá a reforzar su credibilidad. Finalmente, si bien es cierto que estas son propuestas de política pública, las recomendaría obligatorias para todo servidor público, contratista, proveedor y tercero que tenga acceso o bien haga uso los sistemas de información como activos estratégicos de las organizaciones de la APF, que por su naturaleza requieran de un manejo cuidadoso y responsable.
99
Cronograma
Actividad\Mes
Enero
1.Elaboración de anteproyecto.
√
2.Aprobación de anteproyecto.
Febrero
Marzo
√
√
3.Ampliación de marcos de referencia.
Abril
Mayo
Junio
√
4. Análisis y sistematización de información.
√
√
5.Presentación de resultados (V1.0).
√
6.Presentación borrador (V2.0).
√
7.Correcciones y presentación final (V3.0).
√
√
100
Glosario de conceptos, términos y acrónimos. Agente Amenazante.- Puede ser una persona, un método, objeto o entidad que podrías ser utilizado directa o indirectamente para provocar, realizar, apoyar o transmitir una amenaza. Un agente amenazante responde generalmente a la pregunta, de quién o qué puede actuar intencionalmente o no con la amenaza e interferir con la confidencialidad, integridad, y disponibilidad de las aplicaciones o servicios. Amenaza.- Las posibles acciones que pueden causar daño, como resultado de la explotación de una vulnerabilidad. Amenaza Persistente Avanzada (APT advanced persistent threat).- Es un término que se ha popularizado en los últimos años. El término se refiere a una amenaza que es evasiva y persistente en su naturaleza, tiene un enfoque centralizado y además es muy sofisticada. Una APT también se puede asociar con las vulnerabilidades de día cero (zero-day vulnerabilities), como rootkits los distintos tipos de malware. Un ejemplo de APT es el Stuxnet. Aplicaciones.- Se refiere a la capa o nivel más alto del modelo de interconexión de sistemas abiertos (OSI), la cual actúa como ventana para los usuarios y los procesos de aplicaciones o programas, para tener acceso a servicios de red. Esta capa tiene las diversas funciones entre las siguientes: •
Uso compartido de recursos y redirección de dispositivos
•
Acceso a archivos remotos
•
Acceso a la impresora remota
•
Comunicación entre procesos
•
Administración de la red
•
Servicios de directorio
•
Mensajería electrónica (como correo)
•
Terminales virtuales de red
101
Aseguramiento de la información: Las medidas que protegen y defienden la información y los sistemas de información, garantizando la disponibilidad, integridad, autenticación, confidencialidad y no repudio. Estas medidas incluyen medidas para restaurar los sistemas de información, incorporando capacidades de protección, detección y de reacción. Atacante.- Los atacantes se pueden clasificar atendiendo a su motivación: como puede ser la búsqueda de un cambio social o político, un beneficio económico, político o militar, o satisfacer el propio ego; su objetivo: ya sean individuos, empresas, gobiernos, infraestructuras, sistemas y datos de tecnologías de la información, ya sean públicos o privados; el método empleado: código dañino, virus, gusanos, troyanos, etc. Autenticación.- es la tarea con la cual se garantiza que los mensajes no son falsos y realmente provienen del remitente indicado. La autenticación es similar a ingresar un número de información personal (PIN) seguro para realizar operaciones en un cajero automático. El PIN sólo debe ser conocido por el usuario y la institución financiera. El PIN es un secreto compartido que ayuda a prevenir fraudes. Ciber.- En los últimos años el término «ciber» se ha usado para describir casi todo lo que tiene que ver con computadoras y redes, especialmente en el campo de la seguridad. Un campo de estudio emergente está mirando a los conflictos en el ciberespacio, incluyendo las ciberguerras entre estados, el ciberterrorismo, los ciberejércitos, etc. Ciberataque.- Se refiere a cualquier tipo de maniobra ofensiva empleada por individuos u organizaciones, dirigida a los sistemas de información, infraestructura, redes de computadoras y/o computadoras personales por diversos medios o actos maliciosos. Generalmente estos son originados por una fuente anónima con la cual pueden robar, alterar o destruir información específica hackeando un sistema vulnerable. Un ataque vía el ciberespacio a una organización, es con el fin de desactivar, interrumpir, destruir o controlar malintencionadamente un entorno informático o de infraestructura, o bien, la destrucción de la integridad de los datos o bien el robo de información controlada (CNSS4009).
102
Ciberespacio.- Es el conjunto de medios y procedimientos basados en las TIC y configurados para la prestación de servicios. También se define como el dominio global dentro del entorno de la información consistente en una red interdependiente de infraestructuras de los sistemas de información, incluida la Internet, las redes de telecomunicaciones, sistemas computacionales y los controladores y procesadores embebidos (CNSSI-4009). Ciberdelito.- Una definición bastante común de este término es cualquier actividad delictiva en la que se utilizan como herramienta los computadores o redes, o éstos son las víctimas de la misma, o bien el medio desde donde se efectúa dicha actividad delictiva. El término ciberdelito abarca muy diversos tipos de delitos. Ciberseguridad.- Es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios
son
los
dispositivos
informáticos
conectados,
los
usuarios,
los
servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. Las propiedades de seguridad incluyen una o más de las siguientes: a) disponibilidad; b) integridad, que puede incluir la autenticidad y el no repudio; c) confidencialidad. Cifrado.- El cifrado es el proceso de codificar los datos para que no puedan ser leídos por partes no autorizadas. Es un método que permite aumentar la seguridad de un mensaje o de un archivo mediante la codificación de su contenido, de manera que sólo es capaz de ser leído por la persona que cuente con la clave o llave de cifrado adecuada para decodificarlo.
103
Comunicación.- Se define como la impartición, envío o intercambio de información entre diferentes entidades. Confidencialidad.- Se refiere a la protección de los datos sensibles almacenados localmente para que no sean vistos ni copiados. La confidencialidad de los datos se asegura mediante algoritmos de cifrado simétrico, incluyendo DES, 3DES y AES o algoritmos asimétricos, incluyendo RSA y la infraestructura de clave pública (PKI). Code Red.- Fue un gusano informático descubierto alrededor del 13 de Julio del 2001. Esté atacaba computadoras que tuvieran como sistema operativo el Microsoft's IIS web server. El Gusano Code Red fue descubierto y reportado por eEye Digital Security. Aunque el gusano fue reportado el 13 de Julio, su mayor extensión se realizó el 19 de Julio, para este día el número de servidores infectados, ascendió a cerca de 359.000. Criptografía.- Es el estudio y práctica de ocultar la información. Ayuda a mantener la confidencialidad de los datos. Denegación de Servicio (Dos).- Se refiere a una forma de atacar los sistemas informáticos a través de una red. Este es normalmente un intento malicioso para que un sistema no se pueda utilizar, aunque normalmente no causa un daño. Se basa en métodos que explotan las debilidades de las tecnologías en las redes, una forma común de denegación de servicio es el conocido “Ping de la Muerte”. Con este tipo de ataques se puede “colgar” o “tirar” los sistemas o computadoras. Otro tipo de estos ataques pueden “inundar” una red con tráfico de datos inútiles, los sistemas. Este tipo de ataques son los más comunes para páginas o sitios web. Disponibilidad.- Este término se aplica a los sistemas y a los datos. Si las redes o sus datos no están disponibles para los usuarios autorizados, tal ves a causa de una denegación de servicio (DoS) o tal ves a causa de un fallo general de la red, el impacto puede ser significativo para las organizaciones y los usuarios que dependan de esa red como herramienta de negocio u operación. Las fallas en la red generalmente equivalen a pérdida de ingresos.
104
Free Rider.- Se le conoce a la persona que recibe un beneficio por utilizar un bien o servicio pero evitando pagar por él. En una estructura de interacción colectiva los free riders son aquellos jugadores o actores que bajo diversas circunstancias, se ven beneficiados por las acciones de los demás, sin ellos mismos cargar con el coste de esas acciones. Honeypot.- Es un sistema diseñado para analizar cómo los hackers emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del servidor). Por medio del aprendizaje de sus herramientas y métodos se puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo vigilados. Infraestructura crítica y recursos clave.- Son los sistemas de redes eléctricas y sistemas de energía, los sistemas bancarios y de financiamiento, fábricas de productos químicos, servicios de emergencia, procesos de agricultura y alimentación, las telecomunicaciones, los servicios postales y el transporte marítimo, los servicios de salud pública y el suministro de agua. Información.- Es un conjunto de datos que representan ideas mediante las cuales se incrementa nuestra conciencia, inteligencia y conocimiento. Es todo aquello que es captado por los sentidos y llega al cerebro, produciendo un incremento de nuestros conocimientos o una reacción. Información digital.- Se refiere al procesamiento y almacenamiento de datos codificados, representados por una serie de unos (1s) y ceros (0s). Los datos físicos como el sonido, se convierten de señales analógicas a un formato digital mediante convertidores analógico digitales. Estos datos digitales al ser procesados producen la información digital. Esta definición es aplicable no sólo a textos electrónicos, también se incluyen las bases de datos, imágenes, videos, animaciones, sonidos que son convertidos a formato digital en forma de archivos, los cuales se distinguen unos de otros mediante el empleo etiquetas o extensiones que van pegadas al nombre.
105
Integridad.- Asegura que los mensajes no son alterados durante su transmisión. Gracias a la integridad de los datos, el receptor puede verificar que el mensaje recibido es idéntico al mensaje enviado y que no hubo ninguna manipulación intermedia. Intrusión.- Una intrusión es una violación de la política de seguridad establecida. Interrupción: Es el evento causado por un programa computacional, una red de telecomunicaciones o sistema computacional que interfiere o destruye un programa computacional, una red de telecomunicaciones, datos e información que esta contenga. Gusano (worm).- Un gusano (informático) es un tipo de malware que se auto replica muchas veces, consumiendo así la memoria del sistema y valioso espacio en disco. Un gusano informático se propaga generalmente por la inyección en sí en otros programas sin intervención humana. Según Gibson (2005), la "diferencia entre un gusano y un virus es un gusano que se auto-propaga, mientras que un virus se ha definido tradicionalmente como: el usuario tiene que hacer algo para que ellos mismos infectados." Ejemplos de gusanos conocidos son el Flame y Conficker. A diferencia de los virus, los gusanos no infectan archivos. Host.- Es un término utilizado en informática para referirse a las computadoras conectadas a una red, que proveen y utilizan servicios de ella. De forma general un host es todo equipo informático que posee una dirección IP y que se encuentra interconectado con uno o más equipos. Los hosts son computadoras monousuario o multiusuario que ofrecen servicios de transferencia de archivos, conexión remota, servidores de bases de datos, servidores web, etc. Ingeniería social (Social Engineering (SE)).- Es el arte y la ciencia de la explotación de los seres humanos. Este tipo de ataque tiene como objetivo engañar a un usuario autorizado a revelar información de negocios, y/o información financiera personal, la cual de otro modo no quisiera revelar. Internet.- Es una red de comunicación de datos. Está constituida por la interconexión de múltiples redes de datos. En Internet todos los sistemas utilizan un mismo “idioma”, un conjunto de protocolos de comunicación.
106
ITU.- La UIT (Unión Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación TIC. Atribuye el espectro radioeléctrico y las órbitas de satélite a escala mundial, elabora normas técnicas que garantizan la interconexión continua de las redes y las tecnologías, y se esfuerza por mejorar el acceso a las TIC de las comunidades insuficientemente atendidas de todo el mundo. Malware.- Un término general para los programas informáticos maliciosos que se utilizan para comprometer los sistemas informáticos y obtener acceso a información del sistema o provocar daños en los sistemas informáticos. Malware es la abreviatura de "malicious software". Es un término general que incluye muchas formas de software para causar daño, incluyendo, pero sin limitarse a, virus, gusanos, troyanos, rootkits y spyware. El malware puede ser usado para dirigirse a las personas, los procesos y/o tecnología, pero el objetivo final, por lo general, es obtener acceso administrativo no autorizado a un sistema u obtener ciertos tipos de datos protegidos. No repudio de datos (Data Nonrepudiation).- Servicio que tiene como objetivo garantizar la disponibilidad de pruebas que pueden presentarse a terceros y utilizarse para demostrar que un determinado evento o acción ha tenido lugar, con el propósito de evitar que una persona o una entidad niegue haber realizado una acción de tratamiento de datos, proporcionando prueba de dichas acciones en la red. El no repudio de datos es un servicio que permite al autor de un mensaje ser identificado de forma unívoca. Al utilizar servicios de no repudio, el autor no puede negar ser el origen del mensaje. Puede parecer que los servicios de autenticación y de no repudio cumplen la misma función. Sin embargo, aunque ambos se refieren a la cuestión de probar la identidad del remitente, existe una diferencia entre los dos. Pharming: Es la acción de modificar el servidor (DNS) Domain Name System, cambiando la dirección IP correcta por otra, de tal manera que haga entrar al usuario a una IP diferente con la creencia de que accede a un sitio personal, comercial o de confianza.
107
Phising.- Es una forma de ingeniería social (SE). En una estafa de phishing, el atacante utiliza un correo electrónico falso, que parece ser legítimo, para atraer al usuario para que haga clic en un enlace o abrir un archivo, que puede conducir a la violación de la confidencialidad, integridad o disponibilidad de los datos. Ping de la muerte (Ping of death).- Es un ataque funciona mediante la generación y el envío de ciertos tipos de mensajes de red que no son técnicamente soportados pero se sabe que causan problemas para los sistemas que los reciben. Política de Seguridad.- Conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Políticas públicas: Una concatenación de actividades, decisiones o medidas coherentes por lo menos en su intención, y tomadas principalmente por los actores del sistema políticoadministrativo de un país con la finalidad de resolver un problema colectivo. Protocolo.- Es un conjunto de normas que regulan la comunicación. Basado en un modelo de pregunta respuesta. En una red un protocolo define, el formato y orden de los mensajes a intercambiar y las acciones a tomar en cada caso. Red de telecomunicaciones.- Las redes o infraestructuras de (tele)comunicaciones proporcionan la capacidad y los elementos necesarios para mantener a distancia un intercambio de información y/o una comunicación, ya sea ésta en forma de voz, datos, vídeo o una mezcla de los anteriores. Riesgo.- Los daños potenciales resultantes de un ataque. Una de las fórmulas más comunes para el cálculo de riesgos es Riesgo = (Amenaza x Vulnerabilidad x Impacto), el impacto podría ser de carácter técnico (por ejemplo pérdida de datos o servicios), las instituciones por ejemplo pueden tener pérdida de reputación o de confianza, el impacto también puede darse en las personas a través de daños causados a estas o incluso la muerte.
108
Rootkit.- Es un tipo de malware que utiliza técnicas de ocultación para dar el control administrativo del sistema comprometido al atacante, oculta su presencia del usuario final, y evita ser detectado cuando se usan herramientas ordinarias antimalware. RSS (Really Simple Syndication).- Es una familia de formatos basados en XML utilizados para publicar información frecuentemente actualizada, como entradas de blogs, noticias, audio y video. RSS utiliza unformato estandarizado. Una canal RSS incluye texto completo o resumido y metadatos, como fechas de publicación y auditorías. Seguridad de la Información (Information Security) : Se refiere a la protección de los sistemas de información y la información misma del acceso no autorizado, uso, divulgación, alteración, modificación o destrucción a fin de proporcionar confidencialidad, integridad y disponibilidad. Servidor.- Sistema informático que presta ciertos servicios y recursos (de comunicación, aplicaciones, ficheros, etc.) a otras computadoras (denominados clientes), los cuales están conectados en red a él. Servidor web.- También conocido como servidor HTTP es un programa informático que procesa una aplicación del lado del servidor, realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente y generando o cediendo una respuesta en cualquier lenguaje o Aplicación del lado del cliente. El código recibido por el cliente suele ser compilado y ejecutado por un navegador web. Para la transmisión de todos estos datos suele utilizarse algún protocolo, generalmente se usa el protocolo HTTP para estas comunicaciones, perteneciente a la capa de aplicación del modelo OSI. El término también se emplea para referirse al ordenador que ejecuta el programa. Telecomunicaciones.- Significa la transmisión a distancia de información mediante procedimientos electromagnéticos. Troyanos (Trojan horse).- Es un tipo de malware cuyo principal objetivo es introducir e instalar otras aplicaciones en el equipo infectado, para permitir su control remoto desde otros equipos. Los troyanos no se propagan por sí mismos, y su nombre deriva del parecido
109
en su forma de actuar con los astutos griegos de la mitología, ya que los troyanos llegan al equipo del usuario como un programa aparentemente inofensivo, pero, en determinados casos, al ejecutarlo instalará en el equipo infectado un segundo programa; el troyano en sí. Este es un claro ejemplo de la familia de troyanos de tipo downloader. Vector de ataque.- Se refiere a una pieza de código o a un método que podría exponer una vulnerabilidad. Por lo general responde a la pregunta, ¿cómo podría ser ejecutado un ataque contra un objetivo? Por ejemplo, el malware podría ser un archivo adjunto a un correo electrónico que definiría el vector de ataque. Virus.- Un virus informático es un código que se replica a sí mismo modificando otros archivos o programas. Una característica distintiva de un virus es que para que funcione, necesita la asistencia del usuario, por lo general cuando un usuario comparte un correo electrónico o por medio de una unidad USB. Los virus son una de las formas comunes y más conocidos de malware. Vulnerabilidad: Cualquier debilidad que pudiera explotarse con el fin de violar un sistema o de la información que contiene TIC.- Tecnologías de la Información y Comunicaciones. UIT.- Unión Internacional de Telecomunicaciones. (ITU International Telecommunications Union).
110
Referencias Acha, S., Casto, M. A., Julio, P. A., & Rioseras, M. (2002). Electrónica Digital. Introducción a la Lógica Digital. teoría , problemas y simulación. Madrid: Alfaomega Ra-Ma. Blackwell, A. (noviembre de 2011). Taller regional sobre ciberseguridad y ciberdelito. Recuperado el 20 de mayo de 2014, de http://www.oas.org/dsp/documents/AdamBlackwell_CyberSecurity_Nov2011.pdf Bush, G. W. (Febrero de 2003). Recuperado el 11 de Febrero de 2014, de https://www.uscert.gov/sites/default/files/publications/cyberspace_strategy.pdf Bush, G. W. (17 de Diciembre de 2003). Recuperado el 11 de Febrero de 2014, de http://www.tsa.gov/sites/default/files/assets/pdf/Intermodal/hwmc_hspd-_7.pdf Cano, J. J. (2009). Computación Forense. Descubriendo los rastros informáticos. México: Alfaomega. Cisco. (2012). Recuperado el 7 de febrero de 2014, de http://www.utez.edu.mx/index.php/curriculas-cisco Cisco. (Enero de 2014). Recuperado el 16 de Febrero de 2014, de http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html Cisco. (s.f.). Informe anual de seguridad Cisco de 2013. Recuperado el 15 de Febrero de 2014, de 2013: http://www.cisco.com/web/LA/ofertas/seguridad/index.html Cisco. (s.f.). Informe de Frost and Sullivan: El creciente desafío de mantener su empresa segura. Recuperado el 15 de febrero de 2014, de http://www.cisco.com/web/LA/ofertas/seguridad/index.html Cisco. (s.f.). Seguridad Cibernética Inteligente. Recuperado el 15 de 02 de 2014, de Detección, bloqueo y corrección de ataques.: http://www.cisco.com/web/LA/ofertas/seguridad/index.html Cohén, D., & Asín, E. (2000). Sistemas de información para los negocios. McGrawHill. Colino, C. (s.f.). Método comparativo. Recuperado el 01 de Marzo de 2014, de http://pendientedemigracion.ucm.es/info/eurotheo/diccionario/M/metodocomparativ o_a.htm
111
Contreras, H. J. (1996). Reglas versus discrecionalidad en las políticas públicas. Recuperado el 24 de abril de 2014, de http://www.redalyc.org/articulo.oa?id=26700709 Das, S., Kant, K., & Zhang, N. (2012). Hanbook on Securing Cyber-Physical Critical Infraestructure. Morgan Kaufmann. Delgado, L. (2009). Las políticas públicas. Recuperado el 15 de febrero de 2014, de http://empleopublico.jccm.es/empleopublico/c/document_library/get_file?uuid=49a 4638b-b064-44a6-b640-97e52ea0da7c&groupId=10129 Department of Homeland Security. (17 de Diciembre de 2003). Homeland Security Presidential Directive 7:. Recuperado el 10 de Febrero de 2014, de Critical Infrastructure Identification, Prioritization, and Protection.: https://www.dhs.gov/homeland-security-presidential-directive-7 Ecured. (s.f.). Virus informático I Love you. Recuperado el 20 de enero de 2014, de http://www.ecured.cu/index.php/Virus_inform%C3%A1tico_I_Love_you Fojón, E., & Sanz, A. (18 de Junio de 2010). Ciberseguridad en España:una propuesta para su gestión. Recuperado el 10 de Febrero de 2014, de http://kms1.isn.ethz.ch/serviceengine/Files/ISN/118153/ipublicationdocument_singl edocument/5351a97e-1c95-418b-9851-ab28119d8c10/es/ARI1022010_Fojon_Sanz_ciberseguridad_Espana.pdf García, H. (2003). Método y procedimiento. Recuperado el 01 de Marzo de 2014, de http://catarina.udlap.mx/u_dl_a/tales/documentos/lco/garcia_l_h/capitulo4.pdf Gibson, S. (2005). As the worm turns: The first Internet worms of 2005. Recuperado el 02 de febrero de 2014, de https://www.grc.com/sn/sn-001.txt Gobierno de España. (2013). Estrategia de Ciberseguridad Nacional. Recuperado el 10 de Febrero de 2014, de Presidencia del Gobierno: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-securitystrategies-ncsss/ES_NCSS.pdf Gutiérrez, E., Ordoñez, L., & Saucedo, V. (2012). Regulación Jurídica de la Ciberseguridad y el Ciberdelito: Un estudio Comparado. Recuperado el 16 de Febrero de 2014, de http://www.uaemex.mx/Evento/2012/UAPCI/docs/mesa_de_trabajo/Ing_Enoc_Guti errez_Pallares3.pdf
112
Hansel, M. (27 de Junio de 2013). Cyber Security Governance and the Theory of Public Goods. Recuperado el 25 de Febrero de 2014, de http://www.eir.info/2013/06/27/cyber-security-governance-and-the-theory-of-public-goods/ Harguindéguy, J.-B. (2013). Análisis de Políticas Públicas. Madrid: Tecnos. Herrera, E. (2003). Introducción a las telecomunicaciones modernas. México: Limusa Noriega Editores. ISMS. (2013). Reflexiones sobre el futuro de la privacidad en Europa. Recuperado el 07 de Febrero de 2014, de https://www.ismsforum.es/ficheros/descargas/reflexionessobre-el-futuro-de-la-privacidad-en.pdf ITU. (Abril de 2009). Recuperado el 09 de Febrero de 2014, de El Ciberdelito: Guía para los países en Desarrollo: http://www.itu.int/dms_pub/itud/oth/01/0B/D010B0000073301PDFS.pdf ITU. (Abril de 2009). El Ciberdelito: Guía para los países en Desarrollo. Recuperado el 09 de Febrero de 2014, de http://www.itu.int/dms_pub/itud/oth/01/0B/D010B0000073301PDFS.pdf ITU. (Noviembre de 2010). Recuperado el 05 de Febrero de 2014, de Ciberseguridad: http://www.itu.int/net/itunews/issues/2010/09/20-es.aspx Jackson, G. M. (2014). Excelsior College. Recuperado el 26 de enero de 2014, de Introduction to Cybersecurity: https://www.canvas.net/courses/introduction-tocybersecurity Kaplan, & Norton. (2004). Mapas estratégicos Mapas Estratégicos Convirtiendo los activos intangibles en resultados tangibles. Barcelona: Harvard Bussiness School Press. Kushner, D. (26 de febrero de 2013). The Real Story of Stuxnet. Recuperado el 05 de marzoo de 2014, de http://spectrum.ieee.org/telecom/security/the-real-story-ofstuxnet Lynn III, W. J. (2010). US Department Of Defense. Recuperado el 10 de Febrero de 2041, de Defending a New Domain The Pentagon´s Cyberstrategy: http://www.defense.gov/home/features/2010/0410_cybersec/lynn-article1.aspx Mandiant. (2013). Exposing One of China’s Cyber Espionage Units. Recuperado el 05 de mayo de 2014, de http://intelreport.mandiant.com/
113
Ministerio de Administraciones. (24 de junio de 2004). Criterios de seguridad, normalización y conservación. Recuperado el 8 de febrero de 2014, de Consejo Superior de Informática para el Impulso de la Administración Pública: http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Bib lioteca/pae_BIBLIOTECA_PUBLICACIONES_PROPIAS/pae_BIBLIOTECA_Pu blicaciones_MONOGRAFICAS_DGMAPIAE/pae_BIBLIOTECA_PU_Monografi cas_anteriores-a-2010/2004_Criterios_de_seguridad_normal Ministerio de Interior y de Justicia. (14 de Julio de 2011). Lineamientos de Política para Ciberseguridad y Ciberdefensa. Recuperado el 01 de Marzo de 2014, de https://www.dnp.gov.co/LinkClick.aspx?fileticket=lf5n8mSOuM%3D&tabid=1260 Montes de Oca Malváez, J. (2011). Nueva Gestión Pública en el proceso de modernización de la Administración en México. México D.F.: UNAM Acatlán. Moreno, R. (1980). La administración pública federal en México. Recuperado el 11 de Febrero de 2014, de http://biblio.juridicas.unam.mx/libros/libro.htm?l=714 Morgan, D. R. (21 de Marzo de 2011). Defending the new domain: Cyberspace. Recuperado el 10 de Febrero de 2014, de U.S. Army War College: http://www.hsdl.org/?view&did=714827 Muñoz, C. (2011). Como elaborar y asesorar una investigación de Tesis. México: Pearson. Muñoz, P. (1997). Introducción a la administración pública. México: Fondo de Cultura Económica. Nohlen, d. (s.f.). Método Comparativo. Recuperado el 01 de Marzo de 2014, de http://www.rzuser.uni-heidelberg.de/~k95/es/doc/diccionario_metodocomparativo.pdf Parra, I., Espinoza, A., Arroyo, G., & Gonzalez, S. (2012). Innovative Architecture for Information Systems for a Mexican Electricity Utility. Recuperado el 05 de Febrero de 2014, de Instituto de Investigaciones Electricas Mexico: http://www.cigre.org/content/download/16774/679577/version/1/file/D2_114_2012. pdf Parsons, W. (2007). Políticas públicas. Una introducción a la teoría y la práctica del análisis de políticaspúblicas. México: Flacso-México.
114
Policía Nacional de Colombia. (2012). 16 estartegias de Convivencia y Seguridad Ciudadana. Recuperado el 02 de Marzo de 2014, de http://www.policia.gov.co/portal/page/portal/HOME/16ESTRATEGIAS Sánchez, J. J. (2001). La administación pública como ciencia. Su objeto y su estudio. México D.F.: Plaza y Valdés. SCSI Spanish Cyber Security Institute. (2012). Instituto Español de Ciberseguridad. Recuperado el 09 de febrero de 2014, de La Ciberseguridad Nacional,un compromiso de todos.: https://www.ismsforum.es/ficheros/descargas/informescsi1348666221.pdf Secretaría de la Función Pública. (Noviembre de 2011). MAAGTICSI. Recuperado el 07 de Febrero de 2014, de Manual Administrativo de Aplicación General en las Materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información: http://www.normateca.gob.mx/Archivos/67_D_2934_05-12-2011.pdf Secretaría de la Función Pública. (22 de Agosto de 2012). Acuerdo por el que se reforma y adiciona el diverso por el que se establecen las disposiciones administrativas en materia de tecnologías de la información y comunicaciones y de seguridad de la información. Recuperado el 08 de Febrero de 2014, de http://www.normateca.gob.mx/Archivos/66_D_3309_20-11-2012.pdf Sisteseg. (2007). Risk Managment for your bussiness. Recuperado el 07 de abril de 2014, de http://www.sisteseg.com/ Symantec. (Octubre de 2013). Reporte Norton 2013. Recuperado el 27 de Febrero de 2014, de http://www.symantec.com/content/es/mx/about/presskits/b-norton-report-2013final-report-lam-es-mx.pdf Tamayo, M. (1997). El análisis de las políticas públicas. Recuperado el 8 de Febrero de 2014, de La nueva administración pública: http://uca.edu.sv/mcp/media/archivo/f98099_tamayosaezelanalisisdelaspoliticaspubl icas.pdf US-CERT. (2005). Spyware. Recuperado el 15 de marzo de 2014, de http://www.uscert.gov/sites/default/files/publications/spywarehome_0905.pdf Washington Post. (19 de Junio de 2012). Recuperado el 15 de Febrero de 2014, de http://www.washingtonpost.com/world/national-security/us-israel-developedcomputer-virus-to-slow-iranian-nuclear-efforts-officialssay/2012/06/19/gJQA6xBPoV_story_1.html
115
Washington Post. (2 de Junio de 2012). Recuperado el 15 de Febrero de 2014, de http://www.washingtonpost.com/world/national-security/stuxnet-was-work-of-usand-israeli-experts-officials-say/2012/06/01/gJQAlnEy6U_story.html Watkins, M. (2008). CCNA Security. Indianapolis: Ciscopress.
116
