MDB301 Foro 2

¿Qué es lo más importante para una empresa hoy en día relacionando con la seguridad de la información?

Es mí consideración personal y lo encuentro alineado con lo dicho en una de las exposiciones, uno de los temas más importantes relacionados con la seguridad de la información es el nivel de agresividad ambiental al que la información se registra.

Les voy a aportar un número de referencia, en el último encuentro, el Chief Information Security Officer de la compañía para la cual trabajo, nos informó que en el último año los sistemas de monitoreo han registrado un promedio de 150 intentos de ataque diarios. En palabras simples, el “Jackpot” es simplemente demasiado tentador, de tal forma que atrae a un sinnúmero de atacantes, desde el adolescente que se inicia en el mundo de la ciberseguridad, hasta a los más recrudecidos expertos.

De esta forma, el efecto multiplicador es enorme, los recursos destinados a monitorear, prevenir, mitigar, contrarrestar esta situación son enormes, y representan un costo financiero permanente y constituyen un nivel de exposición extraordinario.

¿Qué es ingeniería social?

De acuerdo con el sitio CCM, la ingeniería social es “el arte de manipular personas para eludir los sistemas de seguridad.” (CCM, 2016).

Una definición, que asume que se está hablando de forma de ataque, señala que “… es un vector de ataque que se basa principalmente en la interacción humana y frecuentemente requiere engañar a las personas in romper procedimientos de seguridad normales”. (TechTarget, 2016)

• Ejemplo 1:

En marzo del año 2002, en el sitio del CERT, aparece un reporte que indica que “se han recibido reportes … que indican que intrusos están utilizando herramientas automáticas para postear mensajes a usuario desprevenidos en los servicios de IRC o IM. Estos mensajes típicamente ofrecen la oportunidad de descargar programas informáticos con algún valor para los usuarios, incluyendo mejorar la descarga de música, protección anti-viral y la pornografía. Una vez que el usuario descarga y ejecuta el software, los sistemas de los usuarios son integrados por el atacante para ser utilizados en un ataque distribuido de denegación de servicio. Otros reportes indican que caballos de troja y programas de acceso por la puerta trasera están siendo propagados por la misma técnica.” (Software Engineering Institute, 2002)

• Ejemplo 2:

El fraude nigeriano de cuotas adelantadas (Nigerian Advance Fee Scam), “está dirigido contra pequeños o medianos negocios, así como organizaciones de caridad.” Al ser uno bien conocido, porque, quién no ha recibido una carta de esta en su correo electrónico, “involucra recibir primero una carta no solicitada que afirma provenir de algunos funcionario del Banco Central de Nigeria o del gobierno de Nigeria”. (Lanford, 2006)Este fraude, endulce a la víctima diciéndole que un oficial corrupto desea hacer uso de las cuentas legítimas de la empresa con el propósito de transferir sumas en el orden de los 10 a 60 millones de dólares, productos de sobrepagos del gobierno nigeriano a proveedores, monto que está dispuesto a compartir con la empresa que lo ayude a sacar dichos fondos desde Nigeria a los Estados Unidos”.

Conceptos

Disponibilidad

“…el sistema se mantiene funcionando eficientemente y es capaz de recuperarse rápidamente en caso de fallo” (Alonso, 2016)

• Ejemplo:

Los ataques de denegación de servicio, son un buen ejemplo de los riesgos y efectos que ataques contra el elemento disponibilidad pueden producir. Este tipo de ataques, tienen como objetivo fundamental, desestabilizar las operaciones de una compañía, al no permitir a sus sistemas, proveer el servicio para el cual está diseñado. Un ejemplo bien simple: un banco tiene un sistema en línea para ofrecer sus servicios financieros. Un atacante, cuyos objetivos pueden ser simplemente de orgullo o un interés genuino en desestabilizar el sistema, por ejemplo, ha comprado en bolsa una serie de opciones que apuestan a que el precio de la acción de ese banco va a bajar por debajo de cierto monto, decide abrir un sinnúmero de sesiones intentos de login contra la página del banco, con el propósito de impedir a los usuarios legítimos acceder a sus cuentas, y bajar la imagen de la compañía. Cómo en términos generales, es muy fácil detectar cuando desde un solo origen, se están tratando de acceder al mismo sistema (QoS ), el atacante primero debe reclutar unos cuentos cientos de equipos de usuarios, para convertir a sus equipos en “zombies” de dicho ataque. Una vez que ha logrado reclutar un grupo apropiado de equipos, entonces procede a iniciar el ataque coordinado.

Integridad

“…permite asegurar que no se ha falseado la información, es decir, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificación.” (Alonso, 2016)

• Ejemplo:

En general, los métodos de integridad se utilizan ante la duda razonable que la información registrada y transmitida a través de un sistema, es la misma en el arribo que en punto de registro. Dos ejemplos saltan a la mente de forma inmediata:

1. Los protocolos de comunicación encriptada, como el TSL/SSL buscan establecer una conversación segura entre dos puntos, a través de llaves públicas y privadas, con dos objetivos principales:
   1. Codificar la comunicación entre las partes, de forma que un tercero que este escuchando la conversación, no pueda conocer del contenido de la misma, durante el espacio de tiempo que dicho conversación tenga validez operativa. Por ejemplo, la información respecto al monto de una transacción, tiene valor por un corto tiempo y probablemente solo para una audiencia más limita, no así, la clave de un usuario de una cuenta, puede ser válida durante meses o años, y por lo tanto, un activo muy caliente.
   2. Garantizar el contenido del mensaje entre las partes, no ha sido adulterado en el trayecto, por un tercero.
2. Los códigos de verificación de errores (CRC), esté tipo de códigos se utilizan con el propósito de verificar que el monto de una transacción, digamos un depósito, coincide en el sistema de registro, con el de la transacción solicitada, para garantizar que no se ha registrado de forma incorrecta. Dichos códigos de verificación utilizan algoritmos que garantizan que un valor determinado, produzca necesariamente un código de verificación, que luego puede ser contrastado. Los CRC, no solamente permiten determinar si en valor es correcto, sino en algunos casos, recuperar el valor original, siempre que el error no sea mayor a una longitud determinada.

Confidencialidad

“Capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él.” (Alonso, 2016)

• Ejemplo:

En términos generales, este aspecto trata en gran medida de identificar y a autenticar debidamente a los usuarios de los sistemas de información, de tal manera que sea tenga confianza de que se esta permitiendo, a las personas correctas, acceder a su información y / o a realizar las operaciones que se consideran legítimas para ella, la siguiente es una lista de mecanismos contemporáneo de acceso:

1. Usuario y contraseñas: estos sistemas establecen contraseñas. En sí mismas, las contraseñas son tan seguras como su longitud, la cantidad y tipo de caracteres requeridos, y la capacidad de ser recordadas.
2. Autenticación de dos factores o multifactor: se refiere al uso de dispositivos adicionales de seguridad, sobre la identificación de usuarios y claves, por ejemplo, el uso de tarjetas con una docena de códigos referidos mediante ejes cartesianos (código BAC por ejemplo), utilizan de tokens que generan secuencias númericas válidas durante un periodo limitado de tiempo, o dispositivos de seguridad, como yubikeys o smartcards que utilizan llaves de encriptación, que requieren ser conectadas a los equipos para gestionar los procesos de autenticación y / o comunicación.

Detalle al menos 5 aspectos que podrían afectar la seguridad de la información

Ciertamente, muchísimos de los aportes ya realizados en el foro son de vital importancia, por acá les voy a dar algunos aspectos que capturaron mi interés sobre el tema de la seguridad de la información:

1. El diseño de los aspectos físicos influye de forma importante sobre la seguridad de los sistemas informáticos, algunos ejemplos interesantes:
   1. Si usted va a poner un centro de datos, por ejemplo para alojar un componente fundamental de sus operaciones bancarias, una buena práctica es no identificar al edificio como tal. Prácticas como utilizar los colores de las compañía, sus logos, identificaciones en las columnas de los nombres de los inquilinos, que son muy comunes cuando se instala una agencia, una oficina o un punto de venta, son totalmente contraproducentes en este caso.
   2. Si debe instalarse un centro de datos en un edificio de varios pisos, digamos, unos 20, ¿en que piso debería instalarse? ¿Pisos superiores, plantas bajas o en medio del edificio? Es considerada una buena práctica que dichas instalaciones se realicen en las partes media del edificio por varias razones, algunos poco conocidas o discutidas: Los edificios muy altos, normalmente deben instalar en sus últimos niveles, grandes depósitos de agua, para poder llevar este líquido a las partes altas por gravedad, eso hace que sea muy riesgoso instalar centros de datos en los últimos pisos, ya que fallas en estos depósitos, ¡pueden producir inundaciones! De la misma manera, las platas bajas suelen ser zonas peligrosas, ya que están más cercanas a las áreas que pueden proveer acceso inmediato al edificio, como las puertas o los parqueos, lugares dónde manifestaciones salidas de control (saqueos), ataques con piedras, coches bomba, son más peligrosos. De esta manera, los pisos intermedios ofrecen un balance entre estos riesgos, incluyendo la ventaja de dividir la distancia media entre los dispositivos de comunicación de redes, así como ampliar los puntos de conexión, para limitar potenciales caídas en cascada de las comunicaciones.
2. La selección de las personas apropiadas, especialmente la identificación de aquellos entramados sociales, que facilitan que las personas tengan un mayor o menor propensión a verse involucradas a cometer contra los activos de la empresa, sea por acción directa, omisión de los procedimientos de seguridad o la presión de elementos externos. De la misma manera, siendo las personas el vector de ataque, son por lo tanto ellas mismas la primera barrera de defensa. Un proceso de educación, que involucre, entre otras cosas, la ejecución de pruebas de penetración que utilicen técnicas de ingeniería social, permiten identificar a aquellas personas que pueden requerir mayor entrenamiento. (TechTarget, 2016).
3. La industria a la que se pertenece, ya que existen industrias que por la naturaleza de sus operaciones ofrecen oportunidades más atractivas para ser explotadas, o dónde las consecuencias de un ataque de denegación de servicio pueden resultar fatales. Por ejemplo, las instituciones financieras, especialmente por la transferibilidad de valor de forma electrónica, son un terreno caliente para los ataques que buscan engañar al público, para, de forma inadvertida, por ejemplo, revelar sus contraseñas. El uso de medidas de seguridad como las series de códigos o los tokens han venido a reducir mucho este problema, sin embargo, no pueden ser considerados balas de plata. Ahora bien, esta realidad tampoco debe crear una falsa sensación de confianza, ya que no puede decirse, mi negocio no es tentación para nadie, no debe preocuparme por la seguridad de mi información. Un ejemplo sencillo, suponga un pequeño negocio de venta al detalle de ropa a domicilio, nuestros famosos polacos. Suponga que nuestro amigo el polaco, lleva un control de sus clientes, los montos adeudados y sus saldos en un pequeño cuaderno. Suponga entonces, que durante un almuerzo en la soda de su predilección, le rompen la ventana del automóvil, y le roban un par de gafaz oscuras, el menudo con el que paga los peajes y el cuadernito con su lista de clientes, incluyendo lista de direcciones, teléfonos, montos adeudados, etc. ¿Cuál es el plan de contingencia y respaldo de nuestro estimable polaco?
4. El diseño de políticas que premian la cantidad sobre la calidad, la vieja máxima, “garbage in, garbage out” aplica muy fuerte cuando se trata de mitigar los problemas de la integridad de la información, en particular, evaluar que la información suministrada por los clientes, por ejemplo, en una ventanilla o durante un proceso de entrevista, sea la misma que la introducida a los sistemas de información. La situación puede llegar a ser tan impactante como los millones de cuentas corrientes fraudulentas, abiertas por funcionarios del banco Chase Morgan, así como detalles tan simples, como que un operador de caja, transpongo algunos número de teléfonos, o algunos detalles de una dirección, que luego resulten indispensables para localizar a un cliente. Procesos de medición, que priman sobre las cantidades producidas y no sobre la calidad de la información, suelen crear ambientes muy contraproducentes para la seguridad de la información.
5. Falta de información, explicación y entrenamiento sobre las políticas y procedimientos de confidencialidad de la información, ya que un gran número de personas deben trabajar de forma frecuente con información sensitiva de la organización, de sus clientes y de todo un entramado de operaciones. De la misma manera, los procesos están diseñados para proveer niveles de protección, auditabilidad y control a la organización. Empleados incorrectamente capacitados, pueden llegar a percibir el tiempo invertido en seguir dichos pasos en elementos de riesgo, y por tanto, buscar atajos, utilizar a un amigo para obtener rápidamente una información en vez de seguir del proceso de requisición de la información, entre otras circunstancias similares. Un adecuado entrenamiento y formación puede ayudar a mitigar estas problemáticas.

Autor

• Alejandro Marin Badilla

Bibliografía

1. Alonso, I. P. (9 de 10 de 2016). Delitos contra la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos. Obtenido de fsc.ccoo.es: http://www.fsc.ccoo.es/comunes/recursos/99922/doc28596_Seguridad_informatica.pdf
2. CCM. (10 de 2016). CCM - Ingeniería social. Recuperado el 9 de 10 de 2016, de CCM - Comunidad informática: http://es.ccm.net/contents/25-ingenieria-social
3. Lanford, A. a. (9 de 10 de 2006). SCAM: The Nigerian Advance Fee Scheme. Obtenido de www.social-engineer.org: http://www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html
4. Software Engineering Institute. (19 de 3 de 2002). CERT - Software Engineering Institute. (S. E. Messaging, Editor) Recuperado el 9 de 10 de 2016, de Software Engineering Institute - Incident Notes: http://www.cert.org/historical/incident_notes/IN-2002-03.cfm
5. TechTarget. (9 de 10 de 2016). Social Engineering. Obtenido de searchsecurity.techtarget.com: http://searchsecurity.techtarget.com/definition/social-engineering