Llegamos a ustedes gracias a:



Reportajes y análisis

Las tendencias de la seguridad

[13/09/2010] Hace poco estuvo por Lima el creador del PGP (Pretty Good Privacy). Este programa de encriptamiento hizo mundialmente famoso a Phil Zimmermann, no solo por la aceptación que ha tenido entre los usuarios del mundo entero sino porque le valió un enfrentamiento contra el poderoso gobierno de Estados Unidos.

Su filosofía indicaba que los ciudadanos comunes y corrientes del mundo tienen el derecho a proteger su privacidad, incluso si esto implicaba protegerla contra el análisis del gobierno. Esto, obviamente, desagradó a las autoridades norteamericanas que iniciaron acciones judiciales contra Zimmermann y su obra.
El tiempo le ha dado la razón a Zimmermann. Ahora no solo es aceptado que los programas de encriptamiento de la información sean utilizados, sino que en ciertas esferas de nuestras vidas se ha convertido ya en la norma. ¿No desearía que sus registros médicos se encuentren encriptados? ¿Qué harían las empresas si no pudieran encriptar su información confidencial?
El encriptamiento se ha convertido ya en parte integral de las normas de seguridad que mantenemos en la actualidad y es por eso que Zimmermann fue el primer expositor durante el Information Security Trends Meeting Perú 2010, primer evento académico-empresarial organizado por Digiware en el país que congregó además de Zimmermann a otros expositores relacionados al tema de la seguridad informática.
El creador del PGP
PGP fue un programa que Phil Zimmermann desarrolló hace 19 años. Desde entonces el PGP se ha hecho mundialmente famoso y aceptado, y Zimmermann ha dejado que su hijo informático crezca hasta su mayoría de edad y que camine por sí solo. Zimmermann se encuentra ahora abocado a un tema que fue, en realidad, el primero que le hizo ingresar al mundo del encriptamiento: la voz sobre IP.
¿Y porqué sobre este tema? Debido al crecimiento del uso de la voz sobre IP. En la actualidad, muchas empresas ya se encuentran utilizando esta tecnología para abaratar los costos de sus comunicaciones y es necesario que éstas sean seguras.
En el pasado, aunque parezca contradictorio, no era tan sencillo interceptar las conversaciones de una persona. Para hacerlo lo más probable era que se tuviera que realizar la interceptación en las instalaciones de la compañía de teléfonos, algo que no todos podían hacer. Quizás era más sencillo para el gobierno hacer esto que para otras organizaciones.
Pero en el presente solo basta con saber a qué PC apuntar para interceptar las comunicaciones de una persona. De hecho, en una oficina con varias PC en red solo basta que una de ellas se encuentre infectada con un spyware diseñado para interceptar las llamadas telefónicas sobre la red, para que alguien pueda grabar las conversaciones. Es más, la persona que realice la acción ni siquiera tendría que encontrarse en el país, basta que esté conectada a Internet.
Es más fácil ahora chuponear a una persona.
Esto significa entonces que tenemos que encriptar las llamadas telefónicas si éstas salen hacia un entorno que no es seguro, como Internet. Eso es lo que hago ahora, encripto la VoIP. Aunque, de hecho, yo me encontraba interesado en encriptar las llamadas telefónicas antes que los correos electrónicos, pero la tecnología no estaba lista para esto a inicios de los años 90, señaló Zimmermann.
En realidad, Zimmermann había desarrollado ya una forma de hacerlo en 1995, pero como él mismo señala era demasiado temprano para este tipo de tecnología, así que tuvo que esperar el momento adecuado.
Y el momento llegó. Y para demostrar su nueva obra Zimmermann realizó durante su presentación una pequeña demostración de la herramienta que había creado para realizar la encriptación de las llamadas sobre IP. Desde su laptop llamó a un amigo que se encontraba también en la sala y mantuvo una videollamada con él. El software que usó es transparente para el usuario, lo que quiere decir que éste no va a percibir nada extraño en la comunicación por el uso del encriptamiento.
El único cambio que el usuario va a notar es que en la parte superior de la ventana de la llamada verá un par de palabras que aleatoriamente han aparecido ahí. Esas dos palabras son muy importantes ya que representan la seguridad de la comunicación entre ambas personas. Tanto Zimmermann como su interlocutor podían ver las mismas dos palabras en sus pantallas, lo que significaba que la comunicación estaba siendo encriptada y que, además, no había nadie más en ella. Si hubiese alguien interceptando la llamada de alguna forma las dos palabras que uno vería serían diferentes a las dos palabras que el interlocutor vería en su pantalla.
Esta simple herramienta hace que las llamadas sean completamente seguras entre dos usuarios, incluso frente a ataques del tipo man in the middle, que Zimmermann explicó detalladamente.
Para lograr este tipo de comunicación, Zimmermann desarrolló el programa Zfone, una herramienta que utiliza un nuevo protocolo llamado ZRTP. La herramienta, que ya está siendo comercializada y cuyo primer usuario será una empresa en Canadá, es una muestra de la necesidad que se tiene ahora de herramientas de seguridad informática para prevenir que los archivos puedan ser manipulados por terceros.
Además, como señala una nota del evento, Zimmermann aseguró que la mejor forma de mantener seguros los equipos de posibles ataques es aislarlos; esto significa que mantener los servidores constantemente conectados a la red es un error, si lo que se desea es prevenir el ingreso de algún virus.
Otra de las recomendaciones que lanzó durante el evento fue bastante sorprendente: No usen Windows. El motivo de tal sugerencia es que Windows es un sistema operativo sobre el cual permanentemente se realizan ataques y contra el cual constantemente se buscan debilidades y bugs. Zimmerman actúa de acuerdo a lo que predica, pues se pudo ver durante su presentación que el sistema que él utiliza es el de la plataforma Mac.
¿Qué más se puede hacer? Zimmerman no tiene cuenta en Facebook ni en otras redes sociales -uno se puede imaginar los motivos— y su presentación fue sin duda la que más interés suscitó entre los asistentes.
Tendencias en América Latina
La segunda expositora del evento fue Jennyfer Vélez, consultora senior de Frost & Sullivan, quien tuvo a su cargo la conferencia Tendencias del mercado de seguridad gerenciada y seguridad de la información en Perú y América Latina.
¿Qué esta pasando en América Latina en cuanto a la seguridad de las tecnologías de la información? Esa fue la pregunta que dio inicio a la presentación de la analista colombiana, y luego de dar un repaso a la situación macroeconómica de la región y del Perú en particular -señalando que la situación macro es atractiva para las inversiones- Vélez pasó a hablar de la situación de las TI.
Es evidente que el buen ambiente económico atrae a muchas empresas del exterior, y es justamente la entrada de estas empresas la que presiona sobre la calidad de la infraestructura que tenemos en el país, incluyendo nuestra infraestructura de telecomunicaciones y por ende de su seguridad. Entonces, un mayor crecimiento económico, como el que estamos experimentando, genera mayores requerimientos de seguridad como aquellos que también estamos experimentando.
Por otro lado, también es cierto que los ataques se han multiplicado desde sus primeras apariciones. Si en los años 90 éstos comenzaron de manera simple, poco a poco éstos han ido evolucionando hasta convertirse en expresiones más sofisticadas de sus antecesores y tomar formas como los troyanos o los ataques a los servicios de mensajería instantánea; además, ya se han generado verdaderas redes de ataque, las botnets, que tienen prisioneras, literalmente, a cientos de miles de computadoras en todo el mundo. Y sus víctimas pueden ir desde el simple usuario casero hasta las grandes corporaciones internacionales como la famosa AOL, redes sociales y bancos que reportaron numerosas pérdidas.
Una prueba de la proliferación y sofisticación que están alcanzando este tipo de ataques fue un correo electrónico que Vélez mostró y que, de acuerdo a algunos parámetros, puede ser identificado como un mensaje de phishing que busca llevar al incauto usuario hacia un sitio web donde podrían robarle su información y hasta su dinero.
La amenaza no parece de cuidado para las organizaciones empresariales pero ¿cuántos de sus empleados toman cuidados con este tipo de correos? Puede que ellos inadvertidamente proporcionen sus datos bancarios personales, pero puede también que este tipo de ataques pueda ser utilizado para captar información de la empresa.
Debido a estas circunstancias es que Vélez señaló que el mercado de la seguridad en la Red en América Latina creció mucho: 19,5%, de un año a otro; la cifra es muy considerable si se toma en cuenta que se ha generado en plena crisis económica.
Sin embargo, de ahora en adelante se esperan tasas más modestas de crecimiento. Brasil, Colombia y Perú fueron los que presentaron las mayores tasas de aumento y son estos mismos países de los que se espera que sigan teniendo las mayores tasas de crecimiento, aún por encima de mercados de seguridad avanzados como el argentino o el mexicano.
Al desagregar la oferta, Vélez señaló que se puede apreciar que son los firewall y las VPN las que se llevan la mayor parte del mercado con un 57,9% de participación, esto equivale a 147,1 millones de dólares solo para un año, lo cual implica que hay un enorme potencial de crecimiento en el mercado, pues aún hay mucho que proteger.
La adopción de los firewalls es impulsada por la presencia de las redes sociales y por la proliferación de los ataques informáticos, aunque por otro lado también es cierto que los firewalls constituyen la primera infraestructura de protección que las empresas adquieren al crecer, es decir, cuando abren una sucursal, por ejemplo.
Otros de los dispositivos que son bastante utilizados son los appliances. Éstos se encuentran bastante ligados a las organizaciones de salud, pues se está haciendo norma el salvaguardar las historias clínicas para mantener la privacidad de este tipo de información.
Por su parte, las herramientas de seguridad en VPN se han visto impulsadas por el ingreso de tendencias como la cloud computing, la web 2.0, y todos los dispositivos móviles con los que se cuenta en la actualidad. Incluso situaciones tan anómalas como la expansión del virus de la gripe AH1N1 hicieron que las empresas utilizaran estas tecnologías como una forma de asegurar el acceso seguro de su personal a los datos de las empresas desde sus casas para mantener la continuidad del negocio.
Ciberguerras y cibercrimen
John Galindo, CEO de Digiware, presentó la exposición Enfrentando una cibercatástrofe: cibercrimen, ciberespionaje y ciberguerra, un tema que siempre ha concitado el interés del público por sus reminiscencias cinematográficas pero que ahora, lamentablemente, es una realidad cotidiana.
Quizás no lo parezca pero el uso de las ciberarmas es más real que ficticio, y es ya un tema que los gobiernos están examinando -o debieran hacerlo- actualmente.
Lo novedad en este tipo de escenarios es que ya no se apegan a los clásicos ambientes en los que antaño se desarrollaban las acciones (aire, mar y tierra), sino que ahora se circunscriben a un nuevo campo: el ciberespacio. Como señala Galindo, es desde hace muy poco que apareció en el mapa este cuarto frente de batalla y ya algunos países lo tienen incorporado en sus planes y por ello han creado comandos que se dedican a la protección de este espacio.
Como sostiene el ejecutivo, en Estados Unidos el US Air Defense es el responsable de la seguridad cibernética, y han aparecido figuras como el Ciber Security Coordinator que es una entidad de nivel ministerial responsable de consolidar las estrategias de protección. Estos modelos ya lo tienen muchos países en el mundo (cerca de 100) pero lamentablemente en América Latina aún no nos encontramos en ese proceso, aunque el más avanzado en el campo es Brasil que tiene una oficina con cerca de 500 funcionarios que reportan al sub secretario de seguridad del país y éste el presidente. Además, han desarrollado un cuerpo legal específico para este campo.
¿Es necesario este tipo de organismo? Galindo sostiene que sí; de hecho, ya existen varios antecedentes de ataques cibernéticos, incluso desde la década anterior. Uno de estos ataques fue el utilizado sobre Serbia. Este país, que mantuvo un conflicto con la OTAN, poseía un sistema de misiles antiaéreos rusos para su protección que fue hackeado por Estados Unidos para engañar a los controladores aéreos del país y poder actuar sobre ellos con mayor seguridad.
Las aplicaciones estrictamente militares, sin embargo, no representan su único uso. De hecho, en las modernas guerras del futuro cercano antes que objetivos militares, las conflagraciones podrían iniciarse mediante ataques cibernéticos a objetivos civiles a cargo de la infraestructura de un país.
Así se podría cortar el suministro de electricidad de una nación, su sistema de transporte e incluso el suministro de agua, deteniendo de esta manera la marcha económica de un país. La mayoría de sistemas que controlan la electricidad de una ciudad, su gas, teléfono o agua, están soportados por sistemas que permiten la automatización y operación de estas organizaciones, con el objetivo de mantener su funcionamiento permanente. Paradójicamente, son estos mismos sistemas -debido a su integración con los sistemas de negocios y éstos con Internet- los que permiten que la infraestructura pueda ser atacada masivamente usando herramientas informáticas.
Una prueba de ello es que el año pasado la prensa de Estados Unidos publicó un artículo sobre la detección de bombas lógicas en los sistemas de electricidad de este país; se sospecha que las bombas fueron quizás colocadas por los chinos. Y posiblemente la primera de las pruebas de eficiencia de este tipo de armas fue el apagón masivo que padeció Estados Unidos y parte de Canadá en el 2003.
La conferencia
Zimmermann, Vélez y Galindo no fueron los únicos expositores. Durante la tarde se realizaron otras cinco conferencias que tocaron temas como los servicios gestionados de seguridad de la información, la medición de la seguridad, la protección de la infraestructura crítica Scada, la seguridad en el sector financiero, y el futuro de la cloud computing.
Los temas fueron desarrollados por otros ejecutivos de Digiware e invitados de empresas como ITAC y Zscaler, todos los cuales fueron tan solo una muestra de lo que se puede hacer y se debe hacer en la actualidad. La seguridad es un tema que todos consideran importante pero que muchas veces dejamos de lado. No es un tema únicamente de TI pero son ellos los llamados a proteger a la organización en estos tiempos de Internet, hackers, bombas lógicas, phishing, y demás amenazas.
Tome sus precauciones.
Jose Antonio Trujillo, CIO Perú