)>)a7969'68>dc6a jiucdb69:&rm>8d >g:88>uc :c:g6a9: ubejidn-:8cdadc;dgb68>ucn8dbjc>868>uc...

of 31 /31

Author: others

Post on 23-Aug-2020

0 views

Category:

Documents


0 download

Embed Size (px)

TRANSCRIPT

  • Criptografíaen hardware

    No.21 / junio-jul io 201 4 ISSN: 1 251 478, 1 251 477

    Cómo superarWindows XP

    Concienciarpara prevenir

    Dispositivosmóviles

    (In)seguridaden Java

    21

    RReennoovvaacciióónn ppaarraa vviieejjooss ccoonnoocciiddooss

    JJaavvaa yy oottrraasstteeccnnooll oogg ííaass

    Autorregulacióny privacidad

  • Contenido

    Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de información y comunicación. Coordinación deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI M.R., revista especial izada en temas de seguridaddel UNAM-CERT. Se autoriza la reproducción total o parcial de este contenido con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.

    04

    08

    1 3

    Cómo superar Windows XP sin fal lar en el intento1 8

    23

    27

    Concienciar para prevenir

    Modelo de autorregulación como como parte delsistema de protección de datos personales - I

    Dispositivos móviles: un riesgo de seguridad en lasredes corporativas

    (In)Seguridad en Java, la biografía no autorizada

    Criptografía basada en hardware

  • Java y otras tecnologías

    Renovación para viejos conocidos

    México es una comunidad consolidada en el usode tecnologías de la información y aún así notenemos una cultura de seguridad establecida,aprendemos a usar un dispositivo antes deaprender sobre seguridad y privacidad. Cuandoniños, antes de cruzar la calle por uno mismo,nos enseñaron a mirar los semáforos, voltearaambos lados de la carretera ydespués cruzar.En el casodel uso de tecnologíasde información,hemos llegado a la madurez sin pasar por laetapa de la prevención. No aprendimos a mirara ambos lados pero vamos y venimos de todaslas carreteras.

    En esta edición hacemos una reflexión sobretecnologías que son ya bien conocidas en elámbito de TI pero que siguen provocandodolores de cabeza a usuarios y profesionalescadavezquesehabladeseguridad informática.La información corporativa en dispositivosmóviles ha cobrado gran auge este año,conocemos Java desde mediados de los 90, araíz de las declaraciones de Edward Snowdenla criptografía se volvió tendencia, Windows XPestuvo en el mercado durante 1 2 años y comoCERT de la UNAM, hemos predicado la culturade seguridad desde nuestros inicios.

    Te invitamos a conocer estas propuestas derenovar a los viejos conocidos, de transformarla tecnología de nuestro quehacer diario y sobretodo, de evolucionar nuestra conciencia deseguridad informática.

    L.C.S Jazmín López SánchezEditoraCoordinación de Seguridad de la Información

    .Seguridad Cultura de prevención TI M.R. / Número 21 /junio - jul io 201 4 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral, Registro de Marca 1 29829

    DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN

    DIRECTOR GENERALDr. Felipe Bracho Carpizo

    DIRECTOR DE SISTEMAS Y SERVICIOS

    INSTITUCIONALES

    Act. José Fabián Romo Zamudio

    COORDINADOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna

    DIRECTORA EDITORIALL.A. Célica Martínez Aponte

    EDITORAL.C.S. Jazmín López Sánchez

    ARTE Y DISEÑOL.D.C.V. Abri l García Carbajal

    REVISIÓN DE CONTENIDO

    José Carlos Colio Martínez

    Diego Valverde Rodríguez

    Angie Aguilar Domínguez

    Ignacio Manuel Quintero Martínez

    Félix Alejandro Hernández Fuentes

    Paulo Santiago de Jesús Contreras Flores

    Edgar Israel Rubí Chávez

    Jazmín López Sánchez

    Said Ramírez Hernández

    Demian Roberto García Velázquez

    Alejandra Morán Espinosa

    COLABORADORES EN ESTE NÚMERO

    Eduardo Palma Ávila

    Humberto David Rosales Herrera

    Romeo A. Sánchez López

    Sergio Andrés Becerri l López

    Edgar Ríos Clemente

    María del Rocío Sánchez Saavedra

    Editorial

  • UNAMCERT

    Hoy en día la criptografía juega un papelfundamental en la protección de datos. Estaciencia que data de hace miles de años esuti l izada para proporcionar confidencial idad,integridad, autenticación y no repudio a lainformación que se encuentra almacenada encualquier medio electrónico, que viaja a travésde una red de datos o que está siendo uti l izadaen tiempo real.

    Su evolución ha sido marcada por la necesidadde ocultar la información y hacerla visible sólo apersonas autorizadas, asimismo, por atacantesno autorizados que analizan métodos yalgoritmosmatemáticos en buscade la clave queles permita tener acceso a los datos para obteneralgún beneficio. Es por ello que se busca uti l izaralgoritmosmás robustos, parahacer la tareamásdifíci l (más no imposible) a los criptoanalistasque trabajan día a día en vulnerar estos métodosmatemáticos.El poder computacional que tenemos en la

    actualidad nos permite realizarimplementaciones de ciertos métodosmatemáticos en cualquier PC. Lenguajes deprogramación como Java, C# y .NET poseenrutinas ya desarrolladas de algoritmos comoDES, TripleDES, AES y RSA, lo cual facil i taenormemente el uso de la criptografía. A la vez,este mismo poder computacional está siendouti l izado para romper los algoritmos.

    Se recomienda uti l izar l laves de longitud cadavez mayor para dificultar esta tarea a loscriptoanalistas. Para elegir el tipo de criptografía(cifrado simétrico, cifrado asimétrico o de llavepública y firma digital) es indispensableconsiderar lo siguiente:

    • Importancia de los datos que se deseanproteger• Cantidad de información• Medio de almacenamiento y/o transmisión• Infraestructura y recursos computacionales

    Criptografía basada enhardwareEduardo Palma Ávila

  • UNAMCERT

    05

    Los módulos de seguridad por hardware,denominados Hardware Security Modules(HSM), son dispositivos físicos cuya principalfunción es el almacenamiento ymanejo de llavescriptográficas, además realizan operaciones decifrado, descifrado y firma digital por medio dealgoritmos como AES, TripleDES, RSA, DSA,Curvas Elípticas, SHA 1 y 2. Por la criticidad desu operación, estos equipos cuentan concertificaciones de seguridad como FIPS 1 40-2(Federal Information Processing Standards),Common Criteria EAL 4+ o PCI DSS (PaymentCard Industry Data Security Standards), estohace imposible que las llaves criptográficaspuedan ser exportadas fuera de los dispositivosy que el almacenamiento y transmisión de datosestén protegidos. En caso de que el equipo fueseabierto, toda la información que almacena seborraría automáticamente.

    Estos equipos pueden realizar miles deoperaciones criptográficas por segundo ypermiten que el manejo de las llaves se lleve acabo por control dual, bajo autenticación portarjetas intel igentes, dispositivos USB ocontraseñas, además es posible establecer unasegregación de responsabil idades (custodios,administradores y operadores).

    En el proceso de cifrado por software la l lavereside en algún archivo del sistema operativo yestá compuesta por un solo componente.A diferencia de éste, si se usa HSM, todas lasllaves residen dentro del dispositivo y esimposible extraerlas. La llave puede dividirse entantos componentes como se requiera,resguardados por personas denominadoscustodios, por lo que para tener acceso noautorizado a la llave se requiere de la complicidadde todo el personal involucrado.

    con los que se cuenta• Políticas de seguridad

    Uti l izar algoritmos robustos como 3DES, AES yRSA con llaves de longitud "grande" representaun consumo de recursos considerable. Por talmotivo, en una implementación criptográfica,debe ponerse en la balanza el costo contra elbeneficio.

    El área de seguridad de la información decualquier organización debe presentar estaevaluación a su junta directiva para tomar ladecisión correcta. Si el riesgo de pérdida de lainformación es alto y si los posibles dañoseconómicos, reputacionales ypenales, así comolas sanciones por parte de las institucionesreguladorasson considerables, entoncesesmuyrecomendable invertir en una buena solucióncriptográfica.

    Cuando la opción es uti l izar algún lenguaje deprogramación, es importante tener enconsideración que la l lave está compuesta porun sólocomponente (cadenahexadecimal o textocodificado en base64) y que en algún momentodebe especificarse, es decir, que estainformación puede ser visible por cualquierusuario que tengaacceso al sistemade archivos.Con acceso a la llave simétrica, un atacantepodría descifrar los datos y hacer mal uso de losmismos. El desarrollador debe trabajar junto conel área de seguridad para implementar loscontroles necesarios en el resguardo de la o lasllaves criptográficas, protegiendo los archivos anivel SistemaOperativo, almacenando las llavesen base de datos, uti l izando una llave adicionalpara proteger las llaves, etc.

    Otro punto importante es el poder computacionalya que el cifrado por software es relativamentelento al consumir bastantes recursos delprocesador. Si la cantidad de datos a cifrar y/odescifrar no es muy grande y el tiempo derespuesta no es un factor determinante, puedeuti l izarse sin problemas.

    Por el contrario, si la información es crítica, lacantidad de datos a procesar es considerable yel tiempo de respuesta es importante en elproceso, unabuenaopción es uti l izarcriptografíabasada en hardware.

    http://redyseguridad.fi-p.unam.mx/proyectos/criptografia/criptografia/index.php/4-criptografia-simetrica-o-de-clave-secreta/41-introduccion-a-la-criptografia-simetrica/413-principales-algoritmos-simetricos?showall=&start=5http://es.wikipedia.org/wiki/AEShttp://es.kioskea.net/contents/134-cifrado-por-medio-de-rsahttp://www.seagate.com/la/es/tech-insights/fips-140-2-standard-and-self-encrypting-drive-technology-master-ti/http://www.commoncriteriaportal.orghttp://es.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php

  • UNAMCERT

    06

    Para hacer uso de las rutinas de cifrado,descifrado y firma basta uti l izar las APIproporcionadas por el fabricante del HSM. Estasrutinas pueden embeberse en código Java, C,C# o .NET.

    Existen varios tipos de Hardware SecurityModules, dependiendo de su funcionalidad:

    • Propósito general . Estos equipos sonuti l izados para cifrar cualquier tipo deinformación, por ejemplo cadenas de texto oarchivos; también se uti l izan para generar firmasdigitaleso facturaselectrónicas. Existenmodelossimilares a servidores (cajas), otros son tarjetasque se insertan en la ranura PCI o PCIe delservidor y otros que se conectan por un puertoUSB.

    • Sistemasdepagos. Uti l izadosgeneralmentepor instituciones financieras. Un ejemplodeestosequipos es cuando se ingresa una tarjeta decrédito en un cajero automático, al ingresar elPIN se genera un bloque de información que secifra automáticamente con el teclado del cajero.

    Este bloque de información viaja hacia el HSMde la institución financiera. El dispositivo recibela petición, descifra el bloque y envía de regreso

    al cajero si el PIN del tarjetahabiente es válido oinválido. De esta manera, la información nuncaviaja en claro y en caso de que sea interceptadapor algún atacante ésta no le será úti l pues lal lave reside en el HSM y sin ella no es posibleobtener el PIN del usuario.

    • Dedicados aservicios deFirmaElectrónicaAvanzada de documentos y facturaciónelectrónica.

    • HSM para firma digital y cifrado de correoelectrónico.

    • Dedicados al manejo de Infraestructura deLlave Pública (PKI). Firma digital, sellado detiempo, cifrado de datos y transaccioneselectrónicas.

    • Módulos que inyectan llaves criptográficasa los cajeros automáticos de manera remotay automática.

    Existen diversas opciones a elegir de acuerdo alas necesidades de cada organización. Entre losfabricantes más reconocidos a nivel mundial seencuentran Thales, SafeNet, Hewlett Packard,Realsec y Futurex.

    Una desventaja al uti l izar estos equipos podríaser el costo, ya que representa una inversión dealgunos miles de dólares, sin embargo, como seprecisó anteriormente, si el costo e impactos porla pérdida de información lo ameritan, es muyrecomendable adquirir estos dispositivos.

    Existen órganos reguladores que obligan a lasinstituciones que norman amanejar los procesoscriptográficos usando HSM. En México, porejemplo, el Servicio de Administración Tributaria(SAT) establece que los ProveedoresAutorizados deCertificación (PAC) deben uti l izarmódulos criptográficos para cifrar la informacióny resguardar las llaves de los clientes defacturación electrónica. Los PAC proporcionanel servicio de validación, asignación de folio eincorporación del sello digital correspondiente alas facturas electrónicas también conocidascomo Comprobantes Fiscales Digitales porInternet (CFDI) generados por loscontribuyentes.

  • UNAMCERT

    07

    Common Criteria Recognition Arrangement. Recuperadode: https://www.niap-ccevs.org/ccra/index.cfm?&CFID=23446544&CFTOKEN=8d9ab5badbcb1b30-B97A9C09-F9DA-7D32-1B6A8553ECB9F763

    Sistema de Administración Tributaria - FacturaElectrónica. Recuperado de: http://www.sat.gob.mx/informacion_fiscal/factura_electronica/Paginas/default.aspx

    Visa PIN security. Recuperado de: https://usa.visa.com/download/merchants/pin-security-080507-final.pdf

    Visa PIN Security Requirements. Recuperado de:http://www.visaeurope.com/en/businesses__retailers/payment_security/idoc.ashx?docid=849b2be1-10b9-4bb5-8b8e-74f546777440&version=-1

    Securing Electronic Health Records and Meeting HIPAARequirements. Recuperado de: http://www.safenet-inc.com/uploadedFiles/About_SafeNet/Resource_Library/Resource_Items/Solution_Briefs_EDP/SafeNet_Solution_Brief_HIPAA.pdf?n=1398

    Thales e-Security: https://www.thales-esecurity.com/products-and-services/products-and-services/hardware-security-modules

    SafeNet: http://www.safenet-inc.com/data-encryption/hardware-security-modules-hsms/

    Hewlett Packard: http://www8.hp.com/us/en/software-solutions/atalla-payments-and-data-security/

    Realsec: http://www.realsec.com/en/

    Futurex: http://www.futurex.com/

    Eduardo Palma Ávila

    Egresado de la carrera de Ingeniería enComputación de la Facultad de Ingeniería de laUNAM. Formó parte de la segunda generacióndel Plan de Becarios de Seguridad en Cómputoimpartido por la Coordinación de Seguridad dela Información/UNAM-CERT a través de laDGTIC de la UNAM.

    Actualmente labora en HSBC México S. A. en elárea de Seguridad en la Infraestructura,responsable del equipo de AuthenticationServices and Encryption Key Management.

    A nivel mundial, Visa establece que sus socioscomerciales deben uti l izar dispositivos HSM quecumplan con ciertos estándares de seguridadpara el manejo de las transacciones queinvolucran pagos con tarjetas bancarias.

    En Estados Unidos, la ley HIPAA (The HealthInsurance Portabil i ty and Accountabil i ty Act of1 996) obliga a las instituciones del sector saluda proteger todos los registros que incluyenidentificadores individuales como nombre,dirección, detalles de contacto, número deseguridad social y datos sobre la salud física ymental de los usuarios. Los HSM juegan un papelfundamental para la protección de este tipo deinformación.

    Finalmente, paraque una infraestructuradeHSMsea eficiente, es indispensable establecer laspolíticas de seguridad que requiera laorganización, por ejemplo, definir quienes seránlos custodios de las llaves, quienes losadministradores, en cuántas partes se dividiránlas llaves, cómo se resguardarán loscomponentes, bajo qué condiciones se realizaráalgún cambio en los HSM o en las claves, entreotros. Deben definirse procedimientosfuncionales y confiables para el manejo de llavescriptográficas.

    De nada sirve tener dispositivos que cumplencon todos los estándares de seguridad globalessi un solo custodio resguarda todos loscomponentes de la l lave en el cajón de suescritorio.

    Si quieres saber más consulta:• Criptografía y criptoanálisis: la dialéctica de

    la seguridad• Criptografía cuántica• Violaciones de datos impulsan interés en

    cifrado, dice estudio

    Referencias

    Security Requirements for Cryptographic Modules.Recuperado de http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdfPCI SSC Data Security Standards Overview. Recuperadode: https://www.pcisecuritystandards.org/security_standards/

    http://revista.seguridad.unam.mx/numero-17/criptograf%C3%AD-y-criptoan�lisis-la-dial�ctica-de-la-seguridadhttp://revista.seguridad.unam.mx/numero-18/criptograf%C3%AD-cu�nticahttp://www.seguridad.unam.mx/noticia/?noti=1549

  • UNAMCERT

    08

    Humberto David Rosales Herrera

    En junio de 2006 se publica en el Diario Oficialde la Federación la LeyFederal de TransparenciayAccesoa la Información PúblicaGubernamental(LFTAIPG), incorporando la protección de datospersonales en el campo de estudio del derechoinformático mexicano y considerando comosujetos obligados a los poderes de la unión, losórganos constitucionales autónomos o conautonomía legal ya cualquier otra entidad federal.En jul io de 201 0 se publica la Ley Federal deProtección de Datos Personales en Posesión deParticulares (LFPDPPP) considerando comosujetos obligados a los particulares de carácterprivado, sean personas físicas o morales, quelleven a cabo el tratamiento de datos personales.

    El tratamiento de datos personales se refiere ala obtención, uso, divulgación o almacenamientode datos personales por cualquier medio. Su uso

    abarca cualquier acción de acceso, manejo,aprovechamiento, transferencia o disposición dedatos personales.

    Ambas leyes tienen como objeto garantizarprivacidad de nuestros datos personales y nosotorga el derecho y control sobre nuestra propiainformación personal frente a la posesión porterceros, para que su tratamiento sea legítimo sinimportar si es automatizado, manual o por partede las entidades del sector público o privado. Esdecir, no sólo aplica sobre aquella informaciónalbergada en sistemas computacionales, sino encualquier medio (soporte) que permita suuti l ización a través de la generación, acceso,almacenamiento, procesamiento, transferencia ydisposición final.

    En este artículo nos referiremos en particular al

    Modelo de autorregulación comoparte del sistema de protecciónde datos personales – Parte I

    http://www.diputados.gob.mx/LeyesBiblio/ref/lftaipg.htm

  • UNAMCERT

    09

    marco jurídico vigente para la protección de datospersonales en posesión de los particulares, elcual está integrado por:

    • Ley Federal de Protección de DatosPersonales en Posesión de Particulares(LFPDPPP)• Reglamento de la LFPDPPP• Criterios Generales para la Instrumentaciónde las Medidas Compensatorias sin laAutorización Expresa del IFAI• Lineamientos sobre el Contenido y Alcancede los Avisos de Privacidad• Parámetros para el Correcto Desarrollo de losEsquemas de Autorregulación Vinculante• Recomendaciones en Materia de Seguridadde Datos Personales:

    Imagen 1 Marco jurídico para la protección de datospersonales en posesión de los particulares

    Como punto de partida tomaremos el artículo 44de laLFPDPPPqueestableceque losparticularesresponsables de datos personales podránconvenir entre ellos o con organizaciones civi leso gubernamentales, nacionales o extranjeras,esquemas de autorregulación vinculante, unaactividad a través de la cual los responsables secomprometen a laprotección de datos personalesmediante el cumplimiento con lo dispuesto por laLey, el Reglamento y demás disposicionesaplicables.

    Dichos esquemas de autorregulación vinculantedeberán contener mecanismos para medir sueficaciaen laprotección de los datos y las posiblesconsecuencias, así como lasmedidas correctivaseficaces en caso de incumplimiento. Se debecontar con reglas o estándares específicos quepermitan armonizar los tratamientos de datospersonales efectuados por los adheridos, facil i tarel ejercicio de los derechos de los titulares de los

    datos personales, además de preverconsecuencias ymedidas correctivas eficaces encaso de incumplimiento.

    Los esquemas deben estar constituidos por doselementos básicos: por un lado, el tipo deesquema de autorregulación vinculante en el quese recogen los principios, normas yprocedimientos que los miembros adheridos secomprometen a observar y cumplir y, por otrolado, los mecanismos de control necesarios parala aplicación de tales normas.

    El Reglamento en su Capítulo VI: Incentivosestablece que la incorporación de esquemas deautorregulación como parte de las medidas deprotección de datos personales será tomada enconsideración para determinar la atenuación desanciones. El IFAI podrá determinarmecanismosque facil i ten procesos administrativos ante elmismo, así como otros incentivos.

    En el Capítulo VI indica que los objetivos de laautorregulación están orientados a coadyuvar alcumplimiento del principio de responsabil idad,establecerprocesosyprácticaspara laprotecciónde datos, además de establecer políticas,procesosybuenasprácticas. De formavoluntaria,el responsable puede obtener certificaciones oconstancias de cumplimiento de la Ley paraidentificar si cuenta con políticas de privacidadalineadas al cumplimiento de la LFPDPPP.

    También indica que la adopción de estosesquemasfacil i ta lacoordinaciónentreesquemasde autorregulación reconocidosinternacionalmente, promueve el compromiso delos responsables, encauza mecanismos desolución alternativa de controversias y permitelas transferencias de datos personales entreresponsables con esquemas de autorregulacióncomo puerto seguro.

    Puerto Seguro consta de siete principios básicos:i) notificación (información a los afectados), i i )opción (posibi l idad deoposición de losafectados),i i i ) transferencia a terceros, iv) seguridad, v)integridad de los datos, vi) aplicación(procedimientos para la satisfacción de losderechos de los afectados) y vii) derecho deacceso.

    http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdfhttp://www.anca.com.mx/Archivos/ArchivosUsuario/reglamentos/reglamento%20lfpdppp.pdfhttp://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013http://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013http://inicio.ifai.org.mx/ProteccionDatosPersonales/Par�metros%20de%20autorregulaci�n%20(DOF).pdfhttp://www.dof.gob.mx/nota_detalle.php?codigo=5320179&fecha=30/10/2013

  • UNAMCERT

    1 0

    Estos parámetros incluyen:• Contenido mínimo. Complementariedad,armonización, normatividad aplicable, requisitos,forma de administración, sistema de supervisióny vigi lancia, consecuencias, medidas correctivasy compromisos adicionales.• Contenidos complementarios. Mecanismosalternativos de solución de controversias,medidas de seguridad adicionales a lasestablecidas en la Ley y el Reglamento, cláusulastipo para la obtención del consentimiento, ya seapara el tratamiento o la transferencia de los datospersonales, cláusulas tipo para informar a lostitulares del tratamiento de sus datos personalescuando éstos no sean obtenidos de manerapersonal odirecta; oavisosdeprivacidadestándarque resulten aplicables a un sector o industria ycuya única diferencia sea el tipo de tratamientosexclusivos a los que los responsables sometenlos datos personales de los titulares.• Relacionado al sistema de certificación enmateria de protección de datos personales.

    Un esquema de autorregulación en materia deprotección de datos personales se puedeconsiderar como máxima expresión delcumplimiento de la LFPDPPP, ya que es unsistema de aseguramiento integrado por

    mecanismos para medir la eficacia en laprotección de los datos, determina lasconsecuencias del incumplimiento de lasmedidas de protección y establece medidascorrectivas eficaces.

    El esquema de autorregulación puede traducirseen códigos deontológicos o de buena prácticaprofesional, sellos de confianza u otrosmecanismos, asimismo puede contener reglas oestándares específicos que permitan armonizarlos tratamientos de datos y facil i tar el ejercicio delos derechos de los titulares.

    El enfoque que debemos dar a la creación de unesquema de autorregulación vinculante enmateria de protección de datos personales esprincipalmente el de establecer las medidas quenos van a permitir direccionar, sensibi l izar,establecer, supervisar, mantener e incrementarlaefectividad de lasmedidasdeprotección físicas,técnicas y administrativas para la protección delos datos personales y a su vez, asegurar elcumplimiento de las obligaciones establecidaspor la LFPDPPP.

    Los principios torales (principios que sostienenel modelo de autorregulación) que deben ser

    Imagen 2 Aspectos que debe cubrir el esquema de autorregulación vinculante para dar cumplimiento conla ley en materia de protección de datos personales

    http://nmap.org/http://www.cyberciti.biz/networking/nmap-command-examples-tutorials/.

  • UNAMCERT

    1 1

    observados en el esquema de son:

    I . Voluntariedad en la adhesión o adopción delesquema de autorregulación vinculante.

    II . Obligatoriedad , ya que el esquema deautorregulación vinculante constriñe a quien seadhiere o lo adopta.

    III . Transparencia relativa a las prácticas quesiguen en materia de protección de datospersonales, salvo aquellos aspectos que losresponsables señalen como confidenciales oreservados.

    IV. Responsabilidad , material iza la obligación develar por el cumplimiento de los principios deprotección de datos personales previstos por laLFPDPPP (licitud, consentimiento, información,calidad, finalidad, lealtad, proporcionalidad yresponsabil idad) en relación con los datospersonales que posee o que haya comunicado.

    V. Imparcialidad , los esquemas deautorregulación vinculante deben organizarse yoperar de forma que salvaguarden la objetividade imparcial idad de sus actividades.

    Imagen 3 Principios torales del esquema de autorregulaciónvinculante

    Los objetivos mínimos que debe buscar elesquema de autorregulación son:

    • Consolidar una cultura de autoevaluación yautorregulación en materia de protección de datospersonales.• Desarrollar un sistema de evaluaciónpermanente con referencia a la protección dedatos de carácter personal.• Fortalecer permanentemente los mecanismosfísicos, tecnológicos y administrativosestablecidos para la protección de datos decarácter personal y obtener el reconocimiento porparte de los grupos de interés1 como una empresaque protege los datos personales que le sonconfiados.• Dar a conocer a la comunidad de la empresalas acciones encaminadas al cumplimiento de laLFPDPPP y la protección de datos de carácterpersonal.• Conocer las áreas de oportunidad o mejorapara posteriormente priorizarlas y desplegarplanes de acción.• Articular los resultados de la evaluación conanálisis de brecha (gap analisys) sobre elcumplimiento y el plan director para instrumentarde forma ordenada las acciones de mejoraencaminadas a la protección de los datos de laspersonas.• Mejorar la protección de los datos personalesen forma continua y creciente mediante accionestendientes a reforzarlas.Informar al grupo responsable de la gestión dela protección de los datos personales y al grupodirectivo sobre cómo se está gestionando laprotección de datos personales.• Conocer en qué situación está la organizacióncon relación al cumplimiento de la LFPDPPP y sureglamento a través de diagnósticos decumplimiento y auditorías.

    Para lograr estos objetivos mínimos, esnecesario implementar un plan de acción entres fases, éstas se detallarán en la próximaentrega de este artículo, junto con una serie derecomendaciones finales y conclusiones.

    http://www.tenable.com/plugins/index.php?view=allhttp://technet.microsoft.com/en-us/security/bulletin/ms08-067

  • UNAMCERT

    1 2

    Si quieres saber más consulta:

    • LeyFederal deProtección deDatosPersonalesen Posesión de Particulares• Leyes de protección de datos personales enel mundo y la protección de datos biométricos –Parte I• Infografía: Protección de datos personales

    1 El término grupo de interés (stakeholders) se ha idoimponiendo progresivamente para designar a todas laspersonas, grupos u organizaciones que mantienen unarelación directa o indirecta con la empresa; están dentroy fuera de la empresa y pueden afectar o ser afectadaspor las actividades de la empresa, positiva onegativamente. Las empresas con su actividad generanimpacto directo o indirecto que afecta a sus grupos deinterés, a los cuales es necesario identificar y analizar.(http://rse.xunta.es/index.php?option=com_content&view=article&id=19&Item...)

    Humberto David Rosales Herrera

    Su experiencia profesional se ha enfocado en

    la administración áreas de tecnología de misión

    crítica y seguridad integral con más de

    veinticinco años de experiencia internacional

    como consultor, auditor, gerente y subdirector.

    Desarrol le un método para generar métricas

    sobre la evolución de efectividad en la

    administración de TI .

    Cuenta con el PhD Computer Science (1 990)

    de la Pacific Western University de Los

    Angeles, California y con las certificaciones

    CISSP, CCNA DE CISCO NETWORKS

    (instructor), MICROSOFT CERTIFIED

    PROFESSIONAL (instructor), PMP.

    http://revista.seguridad.unam.mx/numero-10/ley-federal-de-protecci�n-de-datos-personales-en-posesi�n-de-particulareshttp://revista.seguridad.unam.mx/numero-13/leyes-de-protecci�n-de-datos-personales-en-el-mundo-y-la-protecci�n-de-datos-biom�tricos-?http://www.seguridad.unam.mx/noticia/?noti=772

  • UNAMCERT

    1 3

    refuerza la idea de que Java fue diseñado con laseguridad en mente. Fui un instructor certificadopor Sun Microsystems casi desde los inicios deJavaypuedodarfedequeexistíaun curso llamadoImplementing Java Security, dondeenseñábamos cómo aprovechar lascaracterísticas de seguridad del lenguaje. Todoindicaba que tendríamos una plataforma segurapara rato[1 ], hasta que un día Oracle compró SunMicrosystems y algo cambió.

    Mientras leo mi nombre escrito en el vaso, queya muestra evidencias de la condensación por elcalor intenso, l lego a la conclusión de que se tratadel precio de la fama.

    (In)Seguridad en Java:La biografía no autorizadaRomeo A. Sánchez López

    Un poco de historia

    La plataforma Java fue creada por SunMicrosystems a mediados de los 90, no sólopensando en que tuviera la capacidad deejecutarse en cualquier plataforma sino tambiénen que fuera segura. Se incorporaroncaracterísticas de seguridad que no tenía ningúnotro lenguaje o plataforma de su época, como elverificador de clases (Class Verifier), que seasegura de usar versiones de los programas sinalterar, o el administrador de seguridad (SecurityManager) que ayuda a controlar quiénes tienenacceso a ciertos métodos o recursos de laaplicación. Incluso la interfaz para programaciónde aplicaciones (API) de Criptografía de Javaincluyó las implementaciones de los algoritmoscriptográficos más importantes en su momento.Es más, el famoso criptógrafo Whitfield Diffie fueCSO de Sun Microsystems en ese tiempo, lo que

    El otro día fui a una cafetería, de esas dondeescriben tu nombre en el vaso y pedí mitradicional café frappuccino Java Chip. Medijeron que ya no se llama Java Chip, sinosolamente Chip, así que me resigné a tomarloasí, sin Java, y me fui de ahí pensando en unanueva metáfora: muchos se están deshaciendode Java, la popular plataforma de desarrollo, nosaben por qué, pero lo están desinstalando.

    Algo ha estado pasando últimamente con Java(la plataforma de cómputo diseñada pensandoen la seguridad) que ha sido el blanco perfectopara explotar una serie de vulnerabil idadesencontradas hace apenas unos meses. Siendoprecisos, Java no sólo es un lenguaje deprogramación sino una de las tecnologías conmayor presencia en el mundo, lo que le havalido ser uno de los objetivos más codiciadospor los creadores de malware en los últimosaños.

    http://www.metasploit.com/http://lema.rae.es/drae/?val=encriptarhttp://lema.rae.es/drae/?val=encriptarhttp://www.oracle.com/lad/technologies/java/overview/index.html

  • UNAMCERT

    1 4

    sigue siendo ¿Qué es vulnerable en Java?Imagen 1. La gráfica representa la cantidad devulnerabilidades que se han encontrado en la plataforma

    Imagen 1 Java desde los primeros años hasta ahora. Esevidente el aumento tan pronunciado en los últimos años

    El regreso de los applets

    ¿Alguna vez escuchó hablar de los applets deJava? Los applets fueron una buena idea alprincipio, la manera ideal de distribuir programasJava a prácticamente cualquier usuario con unaconexión a Internet, pero pronto fueronreemplazados por otras tecnologías más ligerasy con mejor desempeño, por lo que fueronrelegados poco a poco, condenados al destierroy al olvido, hasta que alguien les encontró unnuevo uso. Un applet no es otra cosa más queun programa hecho en Java que se coloca en unservidor web y se asocia con una etiqueta en una página HTML.

    Cuando un usuario entra a un sitio web que tieneuna página con un applet asociado, el applet sedescarga junto con la página HTML y, una vezdescargado en el navegador de la computadoradel usuario, se ejecuta siempre y cuando elnavegador tenga la configuración suficiente parapermitirlo. Es aquí donde el applet, si fueprogramado de manera que explote unavulnerabil idad, se ejecuta y arruina la diversiónde navegar en Internet.

    Es importante aclarar que en condicionesnormales un applet sigue un estricto control deseguridad, pues no permite la ejecución de códigonativo en la computadora del usuario, ni puedeconectarse a un servidor diferente a aquél dedonde fue descargado. El problema está cuandoel programador del applet ha descubierto cómo

    criptográficos más importantes en su momento.Es más, el famoso criptógrafo Whitfield Diffie fueCSO de Sun Microsystems en ese tiempo, lo querefuerza la idea de que Java fue diseñado con laseguridad en mente. Fui un instructor certificadopor Sun Microsystems casi desde los inicios deJava y puedo dar fe de que existía un cursollamado Implementing Java Security, dondeenseñábamos cómo aprovechar lascaracterísticas de seguridad del lenguaje. Todoindicaba que tendríamos una plataforma segurapara rato[1 ], hasta que un día Oracle compró SunMicrosystems y algo cambió.

    Mientras leo mi nombre escrito en el vaso, queya muestra evidencias de la condensación por elcalor intenso, l lego a la conclusión de que se tratadel precio de la fama.

    El precio de la fama

    En realidad las vulnerabil idades en Java no sontema nuevo. Han estado presentes desde elprincipio, pero con dos diferencias importantescon respecto a las actuales: la plataforma reciéncomenzaba a popularizarse y Sun Microsystemstenía una capacidad de respuesta muy buenapara corregir las vulnerabil idades reportadas. Sinembargo, es de esperarse que cuando algo (oalguien) adquiere fama, se vuelva blancoinherente de ataques, entonces lamotivación porencontrar nuevas vulnerabil idades en laplataforma aumenta.

    Cada año se descubren nuevas vulnerabil idadespero, coincidentemente desde el año de lacompra, el número de vulnerabil idades en Javaha incrementado su búsqueda, no sólo por partede los investigadores, también por aquellos quebuscan una oportunidad para lucrar aprove-chando una combinación paradójicamentepeligrosa: Internet y la capacidad de Java deejecutarse en un navegador.

    Por tal motivo, hay quienes se han dado a la tareade informarnos cuando ocurre algunavulnerabil idad de día cero (zero-day)1 o de losdetalles de tales vulnerabil idades encontradas2.Sin embargo, la pregunta hasta este momento

    http://docs.kali.org/http://www.tomshardware.com/news/ibm-quantum-qubit-super-Computers,14832.htmlhttp://www.forbes.com/sites/alexknapp/2012/02/28/ibm-paves-the-way-towards-scalable-quantum-computing/http://www-03.ibm.com/press/us/en/pressrelease/36901.wsshttp://aprenderinternet.about.com/od/Glosario/g/Applet-En-Java.htmhttp://www.w3schools.com/tags/tag_applet.asp

  • UNAMCERT

    1 5

    ¿Qué pensaría si alguien le ofrece la posibi l idadde clonar un sitio, el que usted quiera, hospedadoen un servidor de ellos (ni siquiera tiene queexponer el suyo), con un applet a la medida y,mejor aún, personalizable, polimórfico y que lebrinde estadísticas de descargas paracuantificarel éxito de una "campaña de infección" pormalware?3 Suena ridículamente atractivo, ¿noes así? Sin embargo, así es como se estáhaciendo, a la manera de “hágalo usted mismo”.Lo único que hay que hacer después de cerrarel trato es lograr convencer, directa oindirectamente, a todos los incautos posiblespara que entren al sitio malicioso y esperar a quese descargue el applet maligno en susnavegadores. Eso es todo, ni siquiera esnecesario pedirles sus credenciales (a menosque se desee una ganancia adicional) pues elapplet que ejecuta el código Java vulneradopodría leer la información por sí mismo, sinrestricciones, incluso transmitirla sigi losamentea donde se quiera, mientras el ingenuo esperaa que algo aparezca en la pantalla.

    El problema específico

    Hablando de las últimas vulnerabil idadesdescubiertas, éstas se presentan en JavaStandard Edition 7 (Java SE 7), específicamenteen una interfaz de programación (API) l lamadaReflection, que es el mecanismo a través del cualun programa puede examinar o hasta modificarel comportamiento de una aplicación en tiemporeal. El problema radica en que ciertasvulnerabil idades permiten que se explore ymodifique la aplicación durante la ejecución, sinpasar por las restricciones del administrador deseguridad (Security Manager).

    Ya sin restricciones, se pueden transferir, cargary ejecutar clases modificadas sin validar y, porlo tanto, hacer prácticamente lo que se quiera.No obstante, aunque el problema parece estarl imitado únicamente a los applets, la realidad esque, al estar presente la vulnerabil idad en la APIde Java, todos los productos que usen dicha APIson vulnerables también. Porejemplo, pensemosen que más de 1 ,000 mil lones de computadoras

    el programador del applet ha descubierto cómoburlar esos controles.

    De esta manera, los applets han constituido unexcelente vector de ataque, porque pueden serdescargados desde Internet y ejecutados en unnavegador. Haciendo un poco de memoria, enlos 90 algunos applets se hicieron famosos, porejemplo “Jumping the Firewall”, que lograbaevadir firewalls, o “Big attacks come in smallpackages”que, irónicamente, podíahacermuchodaño a través de pequeños paquetes de datos.Ya no he encontrado referencias válidas a estasvulnerabil idades antiguas; más bien estoyhaciendo un esfuerzo por recordar aquellosprimeros casos.

    Por lo pronto veo con cierta ansiedad que mifrappé comienza a derretirse y me apresuro aterminarlo antes de que pierda su consistencia.Creoqueasímismopasacon lasvulnerabil idadesde Java, son aprovechadas tan pronto lasdescubren, antes de que alguien logrecorregirlas.

    El lado obscuro de los applets deJava

    La explotación de vulnerabil idades de Java nose hizo esperar. Evidentemente resulta atractivopoder distribuir un applet malicioso (malware)que se descarga automáticamente (siempre hayemprendedores que encuentran nichos demercado). Unadeesasoportunidadesdenegociose encuentra en el mercado negro de applets.

  • UNAMCERT

    1 6

    En un escenario seguro, cualquier intento dehacer eso haría que el validador de applets lodescargara de la memoria, para que no seejecutara.

    Mientras pienso en esto, un poco de café sederrama en mi camisa. ¡Qué ironía! Acabo deser víctima de mi propio café.

    Imagen 3 Código HTML para enviar el applet malicioso alnavegador del usuario

    Imagen 4 La calculadora de Windows se ejecuta al entraral sitio que aloja al applet malicioso

    Recomendaciones

    Casi termino mi café (antes de tiempo, graciasa lo que derramé), pero no puedo hacerlo sindejar algunas recomendaciones:

    1 . Si eres un programador, debes esforzarte poraprender y aplicar técnicas de programaciónseguraen tusdesarrollos. Escierto; es importanteque el programa haga lo que tiene que hacer,pero también es importante que lo haga conseguridad, no dando oportunidad de encontrar yaprovechar un error dejado por descuido o porignorar las consecuencias.

    usan Java, junto con más de 3,000 mil lones dedispositivos móviles y todos los reproductoresBlu-ray del mundo, entre muchas otras cosas,como receptores de televisión satelital, sistemasde navegación de automóviles, máquinas delotería o dispositivos médicos, por mencionarsólo algunos. [4]

    Ejemplo de código vulnerable

    He sido programador desde los 80 en el siglopasado y sé de seguridad, así que, para salir dedudas, decidí comprobar por mí mismo qué tanfácil era explotar las vulnerabil idades de Java 7.Ahora hay una gran cantidad de documentaciónsobre cómo hacerlo. Incluso sin tener muchaexperiencia, programar los applets no fue tareadifíci l . Una de las vulnerabil idades en la que meenfoqué consistía en deshabil i tar el SecurityManager de la Máquina Virtual de Java2 (JVM),y una vez deshabil i tado, ejecutar una aplicaciónnativa en el sistema operativo, es decir, fuera deJava (algo que losapplets tienen prohibido hacer,a menos que cuenten con un certificado válido yfirmado). Para hacer la historia corta, terminéejecutando una aplicación nativa de Windows: lacalculadora (es curioso ver cómo en muchaspruebas de concepto de análisis devulnerabil idades, muchos investigadorescoinciden en ejecutar siempre la calculadora,tanto que hasta parece formar parte de lasherramientas de hackeo).

    En un escenario seguro, cualquier intento dehacer eso haría que el validador de applets lodescargara de la memoria, para que no seejecutara.

    Mientras pienso en esto, un poco de café sederrama en mi camisa. ¡Qué ironía! Acabo de servíctima de mi propio café.

    El problema específico

    Imagen 2 Código de ejemplo que ejecuta la calculadorade Windows después de deshabilitar el Security Managergracias a una vulnerabilidad de Java 7

  • UNAMCERT

    1 7

    2. Si eres administrador de sistemas y tususuarios necesitan usar el plugin de Java en susnavegadores para sus tareas cotidianas en laempresa, es crucial que distribuyas las actualiza-ciones más recientes del plugin de Java.3. En todos los casos, usa siempre la versiónmás actualizada de tu navegador de Internet yde los plugins que uses (hay otros plugins conhistorial de vulnerabil idades, no sólo Java). Si nousas algún plugin, deshabilítalo o desinstálalo.El único inconveniente ocurre cuando un appletde Java requiere ejecutarse en una versiónespecífica de Java, pues en ese caso se requieretener instalada dicha versión. Si eso ocurriera,conviene activar el plugin únicamente cuando seuse la aplicación y desactivarlo nuevamente alsalir.

    Aunque Oracle ha estado trabajando ensolucionar las vulnerabil idades, y ha logradomantener la situación bajo control en los últimosmeses, hayque tomarmedidas inmediatas, comodesinstalar o deshabil i tar Java ¡Pero sólo en losnavegadores! No quiero imaginarme a unadministrador de sistemas desinstalando unservidor de aplicaciones Java sólo pordesconocer dónde está la vulnerabil idad. Esmejor informarse.

    Finalmente miro el vaso de café, ahora vacío. Noestuvo mal, pero siento que le faltó algo. Tal vezdebería llamarse nuevamente Java Chip o de locontrario, la próxima vez pediré solo café, caféamargo.

    Referencias

    [1]Days since last known Java 0-day exploit. Recuperadode: http://java-0day.com/ 2013.

    [2]Oracle Java Exploits and 0days Timeline. Recuperadode: http://eromang.zataz.com/uploads/oracle-java-exploits-0days-timeline.html 2013.

    [3]Danchev, Dancho. “Inside AnonJDB – a Java basedmalware distribution platforms for drive-by downloads”.Recuperado de: http://www.webroot.com/blog/2012/01/17/inside-anonjdb-a-java-based-malware-distribution-platforms-for-drive-by-downloads/ 2012.

    [4]Oracle. “Learn About Java Technology”. Web site:http://www.java.com/en/about/ . 2014..

    1 Las versiones de la edición estándar de Java van desdela 1.0 liberada en 1996, hasta la versión 8 (Java 8) en2014, han incluido numerosas actualizaciones y mejorasal lenguaje. Los programadores usan una distribución deJava conocida como JDK (Java Development Kit) queincluye las herramientas de compilación y depuración decódigo, mientras que los usuarios de las aplicacionesutilizan una versión que se instala en los navegadores deInternet conocida como JRE (Java Runtime Environment).2 La Máquina Virtual de Java (Java Virtual Machine) es unproceso que ejecuta el sistema operativo, a su vez permiteejecutar una aplicación en ella de manera que dichaaplicación no necesite conocer los detalles subyacentesde la plataforma o sistema operativo en el que se ejecutala máquina virtual, permitiendo además, que el código norequieraadaptarseparacadaplataforma.Deotramanera,sin una máquina virtual, el código debería modificarse ycompilarse cada vez para cada plataforma diferente.

    Romeo A. Sánchez López

    Ingeniero en Seguridad Computacional conMaestría en Educación especial izado enRazonamiento Matemático y en proceso deobtener el grado de Maestro en Ciencias enSistemas Intel igentes por el Instituto Tecnológicoy de Estudios Superiores de Monterrey (ITESM)especial izándose en aprendizaje automático yagentes intel igentes. Su experiencia en ITcomenzó a mediados de los 80 comoprogramador BASIC, y posteriormentedesempeñandoactividades de administración deredes y sistemas, ingeniero de software ydesarrollador de aplicaciones empresariales endiferentes plataformas y lenguajes, peroprincipalmente en JAVA.

    En laactualidad sedesempeñaacargodel equipoEnterprise Technical Architecture en CEMEX, enEstrategiade IT, dondees responsable del diseñode arquitectura de los sistemas de información.

  • UNAMCERT

    que son difíci les de abandonar para saltar a unnuevo (y desconocido) sistema operativo.

    Esta transición hacia la finalización de soporteimplica importantes desventajas. Principalmentela falta de actualizaciones de seguridad, que dejaa los usuarios en un punto muy frágil puescualquier vulnerabil idad que sea posteriormentedescubierta no recibirá un parche de corrección.

    El primer caso de este tipo se dio el 26 de abri l ,cuando la firma de seguridad FireEye descubrióun ataque que ha sido uti l izado de forma exitosacontra diferentes versiones de Internet Explorer.Aunque el ataque se realizó contra las versiones9, 1 0 y 1 1 , la vulnerabil idad afecta a versionesprevias que van desde la 6. Microsofteventualmente liberó un parche específicamentepara esta debil idad, argumentado que fuedescubierta a escasos días del fin oficial desoporte, pero el "martes de actualizaciones" delmes de mayo efectivamente dejó de tratar

    "Mejorar es cambiar; la perfecciónrequiere cambios constantes."

    - Winston Churchil l

    Doce años es una cantidad considerable detiempo, más cuando hablamos de informática.Sin embargo, a Windows XP se le contaron 1 2años, 5 meses y 1 4 días antes de formalizar sufin de vida: el momento en que Microsoft decidiófinalizarel soporte yporende, las actualizacionespara el sistema operativo, esto incluye aquellasde seguridad.

    Ocurrió el 8 de abri l de 201 4, unos días antes depublicarse esta edición. Sin embargo, aún haymuchas organizaciones e individuos que siguenuti l izando alguna variante deWindowsXP en susequipos de cómputo: 26.29% de los equipos anivel mundial (de acuerdo a la firma de análisisNet Applications). Y es que a lo largo de su vida,XP se distinguió por brindar a sus usuariosestabil idad, eficiencia y famil iaridad, ventajas

    Cómo superar a Windows XP(sin fallar en el intento)Sergio Andrés Becerri l

    http://www.microsoft.com/es-xl/windows/business/retiring-xp.aspxhttp://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0

  • UNAMCERT

    1 9

    actualizaciones para XP, excluyendo otra falla descubierta enlos días intermedios.

    Todo lo anterior puede resumirse en lo siguiente: es tiempo decambiar. A continuación ofrezco varias recomendaciones para

    migrar tus equipos de Windows XP dependiendo de tusrequerimientos personales o los de tu organización.

    La ruta preferida: actual ización

    En la mayoría de los casos, es posible realizar una transiciónordenada a nuevas tecnologías sin perturbar tus procesospersonales o de negocio.

    La primera posibi l idad es una actualización de software. Delos tres sistemas operativos que Microsoft l iberó posteriores aWindows XP, Windows 7 es la alternativa más realista para elproceso de actualización en equipos existentes. WindowsVistaes ya considerado como obsoleto (como muestra de ello yaha finalizado su periodo de soporte generalizado) y Windows8 suele requerir de características avanzadas que sólo seencuentran en los procesadores más modernos. Puedeschecar los requerimientos de Windows 7 con la herramientaoficial de Microsoft y de igual manera para Windows 8.

    En algunos casos las herramientas podrían indicar que losequipos actuales son inviables y requieren actualización dehardware. En este caso debemos evaluar si esta opción es lamejor. Por ejemplo, muchos equipos anteriores al año 201 0uti l izan memoria RAM del tipo DDR2, la cual es cada vez másdifíci l deobtenerdebidoa lasaturación delmercadocon equiposque uti l izan DDR3. Esto conlleva un aumento en el precio de

    Saneamiento de informaciónSi decides cambiar de equipo decómputo, recuerda que es importanterealizar un borrado seguro de tuinformación antes de desechar cualquiermedio de almacenamiento.

    La razón de esto es que cuando borras unarchivo en tu computadora, en realidad lainformación no desaparece; tucomputadora simplemente marca comodisponible el espacio que tus archivosocupaban y sigue trabajando. Si en algúnmomento otros archivos requirieran eseespacio, pueden uti l izarlo, sólo entoncesse borra realmente la información queexistía ahí.

    Si quieres enfocarte en archivosespecíficos hay muchas opciones. EnWindows por ejemplo, existe Eraser(entre muchas otras), que también cuentacon versión portáti l . Mac OS cuenta conuna opción en Finder, Secure emptytrash, que te permite borrardefinitivamente tus archivos. Finalmente,para Linux puedes uti l izar Secure-delete.

    Por otro lado, tal vez sea más eficienteformatear completamente el disco. Perorecuerda que el formateo tradicional no essuficiente, debes realizar un formateo debajo nivel. Diferentes sistemas operativosle l laman a este proceso de maneradiferente (formateo completo, formateoseguro) pero la mejor clave para saberque está realizando el procedimientocorrecto es el tiempo: un formateo de estetipo suele durar varias horas. Por ejemplo,un análisis determinó un tiempo de 0.31minutos por gigabyte (aproximadamente 1hora 30 minutos para un disco de 500GB).

    Si prefieres ahorrarte el tiempo y tu disco

    es magnético, siempre existe la opción de

    desmagnetizarlo. Este proceso puede ser

    uti l izado para borrar masivamente y de

    manera segura cientos de discos que

    serán descartados, haciéndolo un

    proceso óptimo para grandes

    organizaciones.

    http://www.microsoft.com/es-ES/download/details.aspx?id=20http://windows.microsoft.com/es-es/windows-8/upgrade-to-windows-8http://computadoras.about.com/od/conocer-mi-computadora/f/Cual-Es-La-Diferencia-Entre-Las-Memorias-Ddr2-Y-Ddr3.htmhttp://eraser.heidi.iehttp://portableapps.com/apps/security/eraser-portable

  • UNAMCERT

    20

    los módulos de RAM de tipo DDR2, obligando arealizar una evaluación detallada de costo-beneficio.

    Yo suelo seguir los siguientes lineamientos paradeterminar si un equipo es actualizable:1 . Tipo de actualización . Hace 1 5 años no erararo actualizar tu procesador a un modelo másmoderno. Los procesadores eran en mayor omenor medida intercambiables y su costo eramucho menor en proporción al de un equiponuevo. Actualmente cambiar de procesadorimplica cambiar , lamotherboard, lo que a su vezsuele implicar cambiar laRAM. En conjunto, estastres piezas pueden representar entre el 30% y el80% del costo de un equipo nuevo.Por ello, suelo actualizar únicamente trescomponentes: RAM, disco duro y cualquierdispositivo externo, como mouse, teclado omonitor. En particular, una actualización de discoduro a uno de estado sólido y un incremento deRAM pueden respirar nueva vida a equiposligeramente obsoletos.

    2. Antigüedad . Debido a lo anterior, un equipomayor a 5 años usualmente no es candidato aactualizaciones, generalmente sólo uno menor a3 años de antigüedad brindará un retorno deinversión justificable.

    3. Tipo de computadora. En general, lasportáti les son menos susceptibles a actualizaciónque los equipos de escritorio.En cualquier caso, las l icencias de Windows 7 y8 tienen costos diferentes para actualización ypara versión completa. La única diferencia es quepara poder instalar la versión de actualización esnecesario que el equipo tenga instalada unaversión de Windows XP o Vista, por ejemplo, unaactualización dediscoduronosobligaríaaadquirirl icencias completas. El ahorro de una versión deactualización es de alrededor del 25%.

    Si es imprescindible adquirirequipo nuevo

    Queda la opción de actualizar tus equipos decómputo adquiriendo nuevos. Aunque el costo

    definitivamente es superior al de actualizacionespor partes, el tiempo de vida probablemente serámucho mayor al contar con características másmodernas a lo largo de todo el hardware ysoftware. Además, muchos equipos nuevoscuentan con beneficios adicionales, comolicencias de prueba para software, hardwareadicional sin costo (como impresoras), cuponesde descuento, etc.

    Si vas a comprar aparatos nuevos, la mejorrelación costo-beneficio te la dan aquellos queestán ligeramente por debajo del líder en cadacategoría. Por ejemplo, procesadores depenúltima generación. Recuerda también que lamemoria RAM suele ser más cara si ya vieneinstalada. Casi siempre es más barato comprarmás RAM después de adquirido el equipo einstalarla por tu cuenta. La mayoría de lasgarantías actuales permiten este tipo deactualizaciones sin perder su validez, aunquecomo siempre, te recomiendo verificar estainformación previamente con el fabricante.

    El cambio de hardware da pie a grandesposibi l idades de replantear objetivos y optimizarlos recursos. Si vas a reemplazar tu equipopersonal, puedes aprovechar este momento paraadquirir un equipo de cómputo mejor orientado atus necesidades. Desde la salida deWindows XPhan salido al mercado varias nuevas tecnologíasy otras han evolucionado al punto de ameritaruna revisión. ¿Sabías que desde 2001 han salidoal mercado 4 nuevos estándares de conectividadWi-Fi? El último soporta velocidades de hasta866.7 Mbps (más de 1 0 veces el máximo develocidad del estándar802.1 1 g l iberadoen 2003).Adquirir un equipo nuevo te permite obtener estatecnología lista para usar.

    Enel ambientecorporativoessimilar. Porejemplo,Windows 8.1 no permite acceder a dominios deWindows ni la aplicación de políticas, mientrasqueWindows 8.1 Pro sí. Otras tecnologías, comoBitLocker (para el cifrado de discos) podrían seresenciales en tu organización o críticas para elalcance de metas a mediano y largo plazo, comola certificación ante algún estándar. Además tepermite homologar los equipos, lo que aumentatremendamente la eficiencia del equipo técnicopara la resolución de incidentes.

  • UNAMCERT

    21

    Respaldo y restauración de datos

    Si estás pensando en cambiar tu equipo personal poruno nuevo,la solución más sencil la es evitar realizar un respaldo. En vezde ello te sugiero que (una vez adquirido el nuevo) saques eldisco duro de tu computadora actual y lo conectes medianteUSB al nuevo por medio de un gabinete para discos duros.Puedes adquirir uno de estos artefactos en cualquier tiendaque venda accesorios de cómputo, el los mismos puedenayudarte a realizar la extracción de tu disco. Una vez que estélisto, funcionará como una memoria USB (sólo que ya tendrátodos tusdatos). Deestamanera, podrásrealizar la transferenciade tu información a tu nueva computadora y al mismo tiempo,contar con un respaldo portáti l y eficiente. Si tu disco yapresentafallas, puedes realizar este procedimiento para copiar tuinformación y una vez terminado, desechar el disco.

    Si en cambio, estás pensando en una actualización de equiposa nivel de organización, puedes ayudarte de variasherramientas. De manera similar al caso anterior, puedesconectar a algún servidor los diferentes discos duros de losequipos que se están reemplazando, incluso puedes uti l izaruno de esos equipos como servidor de migración.Alternativamente, si trabajas en un entorno con dominio deWindows, puedes uti l izar la opción de perfi les móviles pararealizar el respaldo y restauración de datos de maneraautomática.

    Reusar los discos duros de esta manera permite mitigar otraconsideración de seguridad al reemplazar equipo de cómputo:el saneamiento de los medios de almacenamiento. Si retieneslos discos para tu uso continuo, puedes ahorrarte horas (o hastasemanas en ambientes corporativos grandes) de formateos de

    Reciclaje tecnológico: instalaLinuxSi tu equipo no es compatible con

    Windows 7 u 8, pero quieres exprimirle

    otro año (o 5, o 1 0) más de

    funcionamiento, tal vez te interese

    considerar Linux.

    Debido a sus (usualmente menores)

    requerimientos de hardware, Linux es una

    solución ideal para equipos con varios

    años de antigüedad que no requieran

    grandes cantidades de procesamiento.

    Afortunadamente, muchas de nuestras

    tareas cotidianas son posibles sin

    estresar demasiado a la computadora:

    navegar por Internet, enviar y recibir

    correo electrónico, escuchar música,

    editar documentos, etc.

    Linux es gratuito y puedes descargar

    gratuitamente gran cantidad de software

    para una enorme variedad de usos. Sin

    embargo, debes estar consciente de que

    Linux requiere que tomes decisiones

    importantes sobre qué y cómo uti l izarás tu

    equipo de cómputo. Puedes descargar

    gratuitamente la suite de oficina de Linux,

    LibreOffice (o cualquiera de sus

    competidores también gratuitos). En

    general funcionan de manera muy similar

    al Office de Microsoft, pero no son

    iguales. Y aunque mucho del software de

    Windows puede ser uti l izado en Linux,

    para esto requieres herramientas de

    terceros que pueden o no ser gratuitas,

    por ejemplo Wine o Crossover.

    Si te interesa más información, publicaré

    en breve un artículo con información más

    a detalle sobre Linux.

    http://revista.seguridad.unam.mx/numero-16/firewall-de-aplicaci%C3%B3n-web-parte-ihttp://www.linux.orghttp://www.winehq.orghttp://www.codeweavers.com/products

  • UNAMCERT

    22

    los discos antes de desecharlos (ver secciónbarra lateral) .

    Finalmente, recuerda que los archivos queestarás restaurando pueden estar contaminadoscon malware. No olvides escanear los archivosque restaures con un antivirus actualizado.

    Si tienes aplicaciones críticasdependientes de XP.

    En algunos casos, te encontrarás con que existenaplicaciones en tu organización que dependende Windows XP para seguir funcionando y queson críticas para las operaciones de tuorganización. Usualmente es por una de estasdos razones:

    1 . Tus aplicaciones uti l izan bibl iotecas deWindows o de lenguajes como Visual Basic deversiones anteriores a XP. Aunque Windows XPaún las puede ejecutar, las nuevas versiones deWindows ya no son capaces de ello.2. Tus aplicaciones web requieren InternetExplorer y de sólo ciertas versiones (usualmente6 o 7).

    En este caso, una solución transitoria es lavirtualización de equipos con Windows XP parapermitir la interacción con estos sistemas. Estopermite añadir varias capas de seguridad:

    • En caso de una infección o vulneración delos equipos virtualizados, es posible contener laamenaza dentro del entorno virtual sin afectar aotros servicios.• Los equipos virtuales pueden ser respaldadosfácilmente, permitiendo su inmediatarestauración ante cualquier incidente.

    Sin embargo, debe enfatizarse que ésta es unamedida transitoria y que debe trabajarse en lamigración de servicios obsoletos de los sistemasa mediano plazo.

    Sergio Andrés Becerril

    Es un profesionista informático con 1 5 años de

    experiencia en proyectos de la iniciativa

    privada, académicos y docentes. Actualmente

    labora en el Departamento de Cómputo del

    Centro de Enseñanza de Lenguas Extranjeras

    de la UNAM, y como Director de Tecnología de

    una consultora privada especial izada en

    seguridad informática. Puedes encontrarlo en

    twitter: @dolphone.

  • UNAMCERT

    ¿Cuántos de nosotros hacemos actividadesdeprevención en nuestro día a día? ¿Cuántasde éstas son relacionadas a nuestra salud?¿Y a nuestra ciberseguridad?

    De acuerdo al diccionario de la Real AcademiaEspañola, prevenir es la “preparación ydisposición que se hace anticipadamente paraevitarun riesgo o ejecutaralgo”, también significa“anticiparse a un inconveniente, dificultad uobjeción”.

    Por lo que se refiere a prevención en la salud,uno debe preguntarse ¿Cuántos de nosotrosvamosal doctoroal dentistade formapreventiva?Estoy seguro de que no somos unos cuantos losque nos esperamos hasta que ya no podemossoportar más algún dolor para hacer la visitaobligada. Lo mismo sucede con los usuariosdentro de las organizaciones cuando hablamosde la prevención de riesgos de seguridad,¿cuántos se acercan a sus áreas de seguridadde forma preventiva?, ¿a cuántos conoces quelleguen al área de soporte porque no tienenactualizada su firma de antivirus o en busca de

    las últimas actualizaciones de su sistemaoperativo? Todo esto no es más que el reflejo dela falta de cultura de prevención en nuestrasociedad.

    Todavíahaymuchasorganizacionesqueapenasestán reaccionando ante los temas de seguridad,es decir, formando equipos de respuestarobustos o identificando servicios requeridos. Sinembargo, todas lidian con uno de los temas másdifíci les de implementar en toda empresa, laadministración de cambios organizacionales.Uno de estos es crear la costumbre de laprevención. Pero, ¿quépodemoshacercadaunode nosotros para crear conciencia de los riesgosde seguridad de la información? Puedo decir quequienessaben de la importanciade laprevención,saben también lasdificultadesde implementarla.

    Es importante resaltar que a la fecha se siguenpresentando las mismas amenazas básicas deseguridad que desde hace más de una década.De acuerdo al reporte de la empresa Verizon,publicado en las noticias de seguridad de laCSI/UNAM-CERT el 23 de abri l de 201 4, es un

    Edgar Ríos Clemente

    Concienciar para prevenir

    http://www.seguridad.unam.mx/noticia/?noti=1675

  • UNAMCERT

    24

    hecho que los esfuerzos realizados no han sidosuficientes y que deben crearse mejoresprogramas de prevención.

    Parece que las nuevas generaciones nacen conuna habil idad asombrosa para operar cualquierdispositivo que se les ponga enfrente, por estomismo, el temade concienciación de laseguridadtoma más relevancia, para que la prevención deriesgos en la seguridad sea un hábito.

    Generar y promover iniciativas de prevenciónreducirá riesgos como fuga de información poringeniería social, por citar un ejemplo. Está encada uno de nosotros hacer los cambiosnecesarios para que los incidentes de seguridadno sean los mismos año tras año.

    La concienciación para la prevención constituyeun pilar importante para el cambio de la culturaorganizacional en cuanto a temas de seguridad.Para que cumpla su objetivo, cada una de lasactividades que propongamos en el marco deesta concienciación deberá estar dirigida a unsector específico, deberá contar con una seriede recomendaciones para su aplicación y de serposible, estar relacionadas a la cotidianeidad delos usuarios. Trabajando la concienciación deeste modo, será más fácil que unos padrespuedan orientar a sus hijos dentro de sushogares, por dar un ejemplo.

    Crear conciencia de la importancia de laprevención y convertirla en un hábito nosbeneficiará a todos. Pero si los esfuerzos no sonbien dirigidos y la comunicación no es clara, sele restaráatención a todo el proceso yel resultadopodría ser adverso.

    Concienciar para prevenir los riesgos deseguridad en ambientes digitales nos evitarámuchos dolores de cabeza, incidentes enalgunos casos, y explicaciones a la altadirección.

    Para crear una cultura proactiva en toda lapoblación y en las organizaciones, se debeacelerar la disponibi l idad de información, derecursos educativos y de concienciación,proporcionando las herramientas adecuadaspara los usuarios

    Como un inicio básico, si eres un usuario caserodebes proteger tu información y tus dispositivoselectrónicos. Para hacerlo puedes encontrarinformación en el sitio de Usuario casero de laCSI/UNAM-CERT, en los sitios web de losmismos dispositivos o en las páginas de tus redessociales, en éstas se indica qué hacer paraconfigurarlos adecuadamente. En cuanto arecomendaciones de seguridad en serviciosfinancieros, cada entidad tiene la obligación deproporcionarlas en sus páginas.

    Si eres responsable de proporcionar servicios deseguridad, no olvides aprovechar lasherramientas tecnológicas con las que tuorganización cuenta en favor de la concien-ciación, como cursos de entrenamiento (internosy externos), bases de conocimiento, redessociales (Twitter, Facebook, Instagram,Pinterest, entre otras), correo electrónico,herramientas de colaboración, posters, tablerosde avisos, etc. Posteriormente deberás verificarque realmente se apliquen los cambiospropuestos, es decir, revisar la eficacia de lacampaña de concienciación mediante losincidentes de seguridad identificados. Puedesencontrar más información de cómo crear unacampaña de entrenamiento en la publicación delNational Institute of Standards and TechnologyNIST800-50 “Building an InformationTechnologySecurity Awareness and Training Program”(Cómo construir una campaña de conciencia yentrenamiento para la cultura de seguridad).

    La siguiente es una lista de recomendacionesbásicasdeprevenciónporlaquedebemosiniciar:

  • UNAMCERT

    25

    Utilizar contraseñas segurasUtil iza diferentes combinaciones para usuariosycontraseñasyevitaescribirlas. Recurre a frasesfáciles de recordar o nombres de canciones,puedes uti l izar la primera letra de cada palabracombinándolas con caracteres especiales.

    En la computadora y dispositivos móvilesMantén actualizado el sistema operativo y lasaplicaciones, de preferencia activa la opción deactualizaciones automáticas. Uti l iza unantivirus/antimalware y configúralo para querealice las actualizaciones automáticas.

    Protege tu identidad digitalSe precavido al proporcionar informaciónpersonal en medios digitales. Verifica que lossitios que visitas sean seguros y habil i taconfiguraciones de privacidad.

    En los medios socialesAsegúrate de que la configuración de tu perfi lsea en su mayoría privada y ten cuidado con lainformación que publicas.

    Protege tus dispositivos móvilesRecuerda que también pueden ser blancos demalware y de usuarios malintencionados. Paraprotegerte habil i ta la contraseña de acceso ydescarga aplicaciones sólo de sitios deconfianza.

    Asegura tu red inalámbricaLas redes inalámbricas, si no son configuradasadecuadamente, pueden ser vulnerables, sobretodo las redes públicas, debes evitar realizartransacciones financieras en estas redes.

    Evita navegar en sitios y archivosdesconocidosSi no has solicitado esa información, evita abrirlos mensajes desconocidos que te llegan.

    Solicita la ayuda correctaCuando eres víctimao sospechas de un incidentede seguridad, contacta al equipo de atención aincidentes de seguridad de tu organización osolicita servicios profesionales, la UNAM cuentacon el UNAM-CERT.

  • UNAMCERT

    26

    Si requieres apoyo en la instalación deaplicaciones, consulta a tus proveedores ocontacta a un técnico profesional.

    Si quieres saber más consulta:

    • Usuario casero• Comic Liga Super-Seg• Noticias UNAM-CERT• 201 4 Data Breach Investigations Report• NIST Special Publication 800-50 - Building

    an Information technology Security Awarenessand training Program• NIST Bulletin - Information Technology

    Security Awareness, Training, Education, andCertification

    Edgar Ríos Clemente

    Ingeniero en Computación de la UNAM, becariode la segunda generación del Programa deTecnología en Cómputo (PROTECO) de laDivisión de Ingeniería Eléctrica de la Facultad deIngeniería y de la segunda generación deseguridad Informática (CSI/UNAM-CERT).

    Cuenta con más de 9 años de experiencia enSeguridad de la Información en los sectores detelecomunicaciones y financiero. Ha realizadocursos y diplomados en administración deproyectos, derecho en TICs y administración denegocios en la UNAM, ITESM e ITAM.Actualmente labora en un banco líderinternacional como consultor regional deseguridad.

    http://www.seguridad.unam.mx/usuario-casero/index.htmlhttp://www.seguridad.unam.mx/usuario-casero/liga-super-seg/http://www.seguridad.unam.mx/noticia/http://www.verizonenterprise.com/DBIR/2014/http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdfhttp://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf

  • UNAMCERT

    27

    Dispositivos móviles: un riesgode seguridad en las redes

    A través del presente artículo, se abordarán tresaspectos importantes referentes a la seguridaden el uso de dispositivos móviles dentro de lasredes corporativas, los cuales tienen que ver conel establecimiento de políticas empresariales,mecanismos de seguridad a instrumentar yrecomendacionesparasu uso. ComomencionanMurgante, Gervasi, Iglesias, Taniar y Apduhan(201 1 ), muchas empresas están adoptando eluso de smartphones para la implementación deun ambiente de trabajo intel igente u oficinaintel igente. A través de su artículo, muestran quela implementación de VPN entre la empresa y elcl iente móvil representa una tecnología deseguridad eficaz para laprotección de la red entrelos sistemas de información corporativos y lossmartphones.

    Por otra parte, informes presentados porcompañías como CISCO, Juniper y Symantecsobre el uso y seguridad de dispositivos móviles,también coinciden en el crecimiento en este

    ámbito desde el año 201 1 , la tendencia respondea la necesidad de acceder a la información de lacompañía estando fuera de ella.

    ComoseñalaCareyNachenberg, Vicepresidentede Symantec Corporation, en muchas ocasioneslos usuarios sincronizan sus dispositivos aservicios públicos de nube, quedando fuera delcontrol de los administradores de la red; por loque es importante que las compañías definanpolíticas de seguridad y estrategias de controlpara el uso de dichos dispositivos en la redcorporativa.

    Estrategias y políticasempresariales

    Hoy en día, el uso de teléfonos intel igentes ytabletas tanto a nivel personal como empresarialse haconvertido en unaprácticacreciente debido

    María del Rocío Sánchez Saavedra

    http://www.europapress.es/portaltic/internet/noticia-hotfile-pagara-80-millones-dolares-hollywood-violacion-copyright-20131204110242.html

  • UNAMCERT

    28

    Establecer políticas y estrategias de seguridadadecuadasnoesuna tarea fácil , pero sí necesariae indispensable para las compañías que adoptanel uso de estas tecnologías pues se debeconsiderarque cadadispositivomóvil es un activomás que representa un riesgo de seguridad enlas redes corporativas.

    Mecanismos de seguridad parael uso de dispositivos móviles

    Empresas tecnológicas como Symantec, Cisco,Juniper, Enterasys y Citrix, por mencionaralgunas, son conscientes de la inminentepreocupación por parte de las compañías y delpersonal de los departamentos de TI por protegerla integridad de los datos corporativos. Alconsiderar los riesgos que representa el uso dedispositivos móviles, ofrecen actualmentesoluciones para implementar diversosmecanismos de seguridad.

    Profundizando en estas estrategias, lasempresas pueden adoptar varias de ellas a finde proteger sus recursos. Entre los principalesmecanismos se encuentran:

    a lasmúltiples funcionalidades que proporcionanestos equipos así como a las aplicaciones quepueden ser instaladas en los mismos. Me refieroa su uti l ización en el entorno de las compañías,las cuales han adoptado como una prácticalaboral su incorporación a fin de que el personalpueda acceder a los sistemas de información,bases de datos, correo electrónico, telefonía yotros recursos corporativos tanto desdeel interiorcomo desde el exterior de la empresa. Lo quese busca es obtener una mayor productividad.

    Es importante que antes de implementar yproporcionar una mayor movil idad a través dedichos dispositivos, se diseñen e instrumentenpolíticas y estrategias de uso que salvaguardenla integridad de la información de la compañíaasí como la seguridad de todos los recursostecnológicos con los que cuenta.

    De acuerdo a Saro y Fernández (201 3), laestrategia y las políticas de seguridad para eluso de dispositivos móviles deben ser definidaspor una comisión integrada por personal de lasáreas de TIC, recursos humanos, jurídica ydirectivos, con el objetivo de planear, diseñar,implementar y dar a conocer las mismas alpersonal de la compañía. Se deben tomar encuenta todos los aspectos que puedanrepresentar un riesgo de seguridad para lainformación corporativa y por otra parte, debenestar dentro del marco del SGSI1 de laorganización.

    Al definir una estrategia y políticas de seguridadpara los equipos móviles alineadas al sistemade gestión de la seguridad de la información, laempresa contará con procedimientos acordes alos objetivos institucionales, además definirá eimplementará controles de seguridad basadosen un análisis de riesgos. En el blog NegociosBajo Control, específicamente en el artículotituladoGestión de laSeguridad de la InformaciónCorporativa en Dispositivos Móviles2 (201 3), elautor presenta una tabla en donde se sugierenposibles factores de riesgos y estrategias decontrol a instrumentar para cada uno de ellos afin de que la seguridad de la informacióncorporativa no se vea amenazada por el uso dedispositivos móviles.

  • UNAMCERT

    29

    • MDM (Mobile Device Management).Mecanismo orientado a la gestión y al controlcentralizado de los dispositivos móvilescorporativos o personales. Permite contar contoda la información referente al aparato,monitorizarlo, configurar políticas, aplicacionesy tener un historial de cada equipo, entre otrasfuncionalidades.

    • MDP(MobileDeviceProtection). Mecanismouti l izado para la protección del propio dispositivomóvil a través de la instalación de un clienteVPN/SSL3, un antivirus, del uso de cifrado y demétodos de autenticación robustos.

    • NAC (NetworkAccessControl). Mecanismopara controlar el acceso a la red corporativa decada dispositivo móvil . Permite, entre otrascosas, determinar si el equipo es personal o dela compañía, aplicar políticas de seguridad paraoperaciones sensibles realizadas a través deldispositivo y reparar dispositivos por medio de lainstalación y actualización de aplicaciones pormedio de VLAN4 y considerando el perfi l deautenticación del mismo.

    • MAM (Mobile Application Management).Gestiona las aplicaciones a partir de listas negrasy blancas, provee entornos virtuales, aplicapolíticas P2P5, entre otras funcionalidades.

    • MDS (Mobile Data Security). Mecanismoencargado de la seguridad de los datos, laprotección de los puertos Wi-Fi, Bluetooth y miniUSB del dispositivo, así como la instalación deun cliente DLP6 (para controlar y evitar la pérdidade datos) y el uso de IRM7 (para administrar losderechos sobre la información).

    Un punto importante para la instrumentación deestos mecanismos de seguridad es que sepueden implementar uti l izando los servicios denube pública que ofrecen los distintos fabricantesde soluciones, o bien, uti l izar una nube privada.Dicha decisión dependerá de las necesidadesespecíficas y recursos de cada compañía.

    Recomendaciones

    La concienciación del personal es un aspectoimportante de seguridad para que la redcorporativa no sea vulnerable por el uso dedispositivos móviles, personales o corporativos,contribuye a la adopción de las políticas yestrategias de seguridad establecidas para elacceso a los datos y recursos de la compañía.

    En el caso de que el personal vaya a uti l izar susdispositivos propios, se le debe concienciar enaspectos tales como el uso de contraseñascomplejas de bloqueo/desbloqueo de susequipos, uti l izar firewalls, realizar respaldos, usode antivirus para el análisis de datos yaplicaciones, configurar opciones de bloqueo y/oborrado de datos del dispositivo en caso depérdida o robo, entre muchas otras buenasprácticas que en la actualidad existen para unuso seguro de los dispositivos en las redesempresariales.

    Como recomendación final, Symantec a travésde su portal planteacinco pilares clave que debenconsiderarse en el establecimiento de unaestrategia móvil al interior de las compañías, lashe representado en la siguiente imagen:

    Imagen 1 Pilares clave para establecer una estrategiamóvil.

    http://www.wipo.int/sme/es/documents/ip_photography.htmhttp://extroversia.universia.net.co/dia-a-dia/2011/noticias/actualidad/el_iphone_4_no_podria_tomar_fotos_en_conciertos/actualidad/12601/103/104.htmlhttp://www.air-watch.com/solutions/mobile-device-managementhttp://www.secutatis.com/?page_id=72&lang=eshttp://www.cisco.com/web/LA/productos/destacado/nac.htmlhttp://www.air-watch.com/solutions/mobile-application-managementhttp://www.bluecoat.com/products/mobile-device-security-servicehttp://www.air-watch.com/solutions/mobile-application-management

  • UNAMCERT

    30

    Imágen 1. Pilares clave para establecer una estrategiamóvil. Elaboración de la autoracon información deSymantec.

    1 SGSI (Sistema de Gestión de la Seguridad de laInformación), concepto central sobre el que seconstruye ISO 27001. La seguridad de la información,según ISO 27001, consiste en la preservación de suconfidencialidad, integridad y disponibilidad, así comode los sistemas implicados en su tratamiento, dentro deuna organización.

    2 http://technologyincontrol2.wordpress.com/2013/07/15/gestion-de-la-segur...

    3 VPN (Virtual Private Network): red privada construidadentro una red pública, utilizada para conectar deforma segura oficinas y usuarios remotos por medio deun acceso a Internet. A través de esta red se protegenlos datos usando tecnologías de autenticación IPsec(Seguridad IP cifrada) o SSL (Secure Sockets Layer).

    4 VLAN: red de área local virtual, que agrupa unconjunto de equipos de forma lógica y no física, a partirde ciertos criterios.

    5 P2P (peer to peer): tecnología que hace referencia aun tipo de arquitectura de comunicación entreaplicaciones que permite a los usuarios comunicar ycompartir información con otros usuarios.

    6 DLP (Data Loos Prevention): aplicación basada encontenido que detecta, supervisa y protege los datosconfidenciales en donde se almacenan o se utilizan.

    7 IRM (Information Right Manager): tecnología quepermite tener un control y auditoría sobre archivos,correo, a fin de otorgar permisos de lectura,modificación, acceso, eliminación, apertura e impresiónde los mismos.

    María del Rocío Sánchez Saavedra

    Es Doctorante en Ciencias de la

    Administración y se desempeña como

    Profesor/Investigador en la Universidad del

    Valle de Atemajac, Plantel Zamora y

    Coordinadora de Redes y Telecomunicaciones

    de El Colegio de Michoacán, A.C.

    Como podemos ver, gestionar la seguridad delos dispositivos móviles para su uso en lasredes corporativas implica una serie deconsideraciones por parte de las compañías yun reto más para los departamentos de TIC, loimportante es tener conciencia de ello ycomenzar a instrumentar medidas paradisminuir los riesgos asociados.

    Si quires saber más consulta:

    • Normatividad en las organizaciones: Políticasde seguridad de la información - Parte I• Dispositivos móviles• Riesgo tecnológico y su impacto para

    las organizaciones parte I

    Referencias

    Murgante, Beniamino. Gervasi, Osvaldo. Iglesias,Andrés. Taniar, David. Apduhan, BernadyO. (2011).Security Enhancement of Smart Phones for Enterprisesby Applying Mobile VPN Technologies. ComputationalScience and Its Applications – ICCSA. ISBN 10.1007/978-3-642-21931-3_39Traynor, P., Amrutkar, C., Rao, V., Jaeger, T., McDaniel,P. and La Porta, T. (2011), From mobile phones toresponsible devices. Security Comm. Networks, 4:719–726. doi: 10.1002/sec.218Carey Nachenberg. (2011). Una mirada a la Seguridadde los Dispositivos Móviles. Symantec Corporation.CISCO (2014). CISCO 2014 Annual Security Report.Recuperado de:http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html?keycode=000350063Javier Saro Luna / Javier Fernández Martín (2013). Lagestión segura de la información en movilidad ante elfenómeno BYOD: ¿Bring Your Own Device = Bring YourOwn Disaster? SiC, 104, 65-73 pp.http://www.viewsonic.com/documents/white_papers/BYOD_whitepaper_hires_spc.pdfhttp://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRTcv%5DBuenas_practicas_dispositivos_moviles_0.pdfhttp://www.ibm.com/developerworks/ssa/cloud/library/cl-mobilesecuritypolicy/http://www.iso27000.es/sgsi.htmlhttp://www.symantec.com/es/mx/products-solutions/solutions/detail.jsp?parent=mobile&child=5_pill

    http://revista.seguridad.unam.mx/numero-16/normatividad-en-las-organizaciones-pol%C3%ADticas-de-seguridad-de-la-informaci�n-parte-ihttp://revista.seguridad.unam.mx/numero-07/dispositivos-m�vileshttp://revista.seguridad.unam.mx/numero-14/riesgo-tecnol�gico-y-su-impacto-para-las-organizaciones-parte-i

  • UNAMCERT

    Revista .Seguridad Cultura de prevención para TI

    No.21 / junio-jul io 201 4 ISSN: 1 251 478, 1 251 477