Llegamos a ustedes gracias a:



Reportajes y análisis

Colaris: La reunión de la ciberseguridad

[12/10/2010] Cada año -desde hace seis- se reúnen los profesionales directamente involucrados con el tema de la seguridad informática de América Latina. El evento al que nos referimos es el Congreso Latinoamericano de Respuesta a Incidentes de Seguridad (Colaris); y el Perú como país y Telefónica como empresa miembro, tuvieron la oportunidad de ser los anfitriones por segunda vez.

Este año se reunieron durante dos días (11 y 12 de octubre) y conversaron sobre algunos temas centrales que se encuentran en la agenda prioritaria de este grupo. El fraude bancario, la legislación pertinente y los novedosos ataques a la infraestructura de los países, fueron los temas que se trataron -entre otros- durante estos dos días de reuniones. CIO Perú estuvo presente en la reunión y de ahí sacamos algunas ideas fuerza a partir de las presentaciones de los ponentes. Un adelanto: en el campo legislativo aún queda mucho por hacer.
El inicio
Luego del discurso inaugural de rigor, la primera presentación estuvo a cargo de Patrick Cain, investigador residente y miembro del Anti-Phishing Working Group (APWG). Cain trató un tema de bastante actualidad: la evolución del Phishing.
Desde la perspectiva de Cain, todos deseamos reducir el crimen electrónico, pero lamentablemente éste cambia constantemente. Históricamente hablando -en el 2003, que es hace mucho tiempo en términos de Internet- los crímenes electrónicos que se identificaban eran el spam, los inicios del phishing, y la ruptura de la seguridad de los servidores. En aquella misma época el robo de bancos, las amenazas de muerte y el robo de identidad eran crímenes offline que eran tratados como tales y que eran denunciados ante la policía local.
¿Por qué funcionó entonces el crimen electrónico? Se podría mencionar varias razones, pero Cain señaló entre las principales el hecho de que en aquellos días Internet era algo muy nuevo, los usuarios confiaban en todos, había muchos agujeros en el sistema y los crímenes se realizaban utilizando la infraestructura de los servidores web gratuitos. Así, desde ellos se podía copiar las páginas web de los bancos, enviar spam y phishing, y capturar credenciales y dinero. Además, en esa época las máquinas que se encontraban comprometidas se comunicaban por el IRC.
Para combatir estos primeros eventos de ciber crimen se utilizaron las primeras herramientas de combate, que a decir de Cain se encontraban bastante crudas y eran lentas. La educación del usuario, que hubiera sido la mejor de las alternativas, era en aquella época un verdadero desafío. Lo que más se utilizaba eran las llamadas listas negras con las cuales se buscaba identificar a los chicos malos y bloquear sus ataques reconociendo los lugares desde los cuales se enviaban.
Ya un lustro después (2008) los mismos ciber crímenes se seguían produciendo, pero ahora más focalizados en bancos, VPN, y servidores corporativos. Los criminales ya no actuaban solos sino que empezaron a formar grupos y su trabajo se vio facilitado por el hecho de que no había habido grandes avances tecnológicos en el campo de la defensa contra el ciber crimen. Es más, los ataques se multiplicaron tanto que en ocasiones abrumaban a los encargados de la seguridad y el incremento en la velocidad de la redes ayudó a que los ciber criminales pudieran estar en más partes del mundo.
Aparecieron entonces nuevas herramientas criminales como los keyloggers y los rootkits, además el número de compañías con presencia en Internet se multiplicó, aunque no así su entendimiento de las necesarias medidas de seguridad. Por último, las redes sociales se han convertido en el nuevo campo de ataque de los cibercriminales.
Todo se ha ido a Internet, incluyendo los cibercriminales. Ahora se puede observar actividades como extorsión, y el lavado de dinero también en el campo virtual. Ahora todo se trata de ingeniería social en sus diversas formas, los cibercriminales convencen a otras personas a participar en sus actos (las llamadas mulas) y consiguen así desarrollar el cibercrimen como si se tratara de una empresa. Cada mula se encarga de una función y mantienen una estructura que hace difícil que las autoridades identifiquen al cabecilla.
Una de las formas de protegerse contra esta creciente tendencia es la colaboración. Es decir, participar en redes como el APWG que se encargan del pesado trabajo de analizar las amenazas y ayudar en caso de incidentes. Como señalo Cain, la APWG tiene 2.500 instituciones miembros y 45 afiliados dedicados a la investigación.
Su trabajo se desarrolla en cuatro campos. El primero de ellas es una educación del usuario que se realice justo después de que algo malo haya sucedido. Hacerlo luego no consigue los mismos efectos. Para ello el APWG tiene una serie de sitios web donde el usuario puede aprender sobre como tratar el phishing. Los sitios se encuentran en más de 20 idiomas.
El segundo campo es hacer que la educación del usuario sea simple. El APWG tiene un mantra que hace repetir como un único mensaje al usuario: PARE. PIENSE. CONÉCTESE. El mensaje fue lanzado la semana pasada y la intención es que los usuarios de todo tipo de organizaciones lo usen. PARE: antes de usar Internet tómese un tiempo para entender los riesgos. PIENSE: tómese un tiempo para asegurarse que el camino por el que va a ir sea seguro. CONÉCTESE: luego disfrute Internet con mayor confianza.
El tercer campo tiene que ver con compartir datos. Lo que ha funcionado para otros puede funcionar para usted. Finalmente, el cuarto campo son las mejores prácticas y herramientas. La APWG tiene publicaciones con las cuales los responsables de seguridad pueden ayudarse a convencer al jefe o a los compañeros de trabajo a tomar ciertas medidas.
Y así, con la presentación de Cain, concluyó la primera parte del evento.
La ley
Otro de los puntos tratados durante el Colaris fue el tema de la legislación y los aspectos regulatorios de la seguridad en América Latina. La exposición de este tema estuvo a cargo de Erick Iriarte, socio principal y jefe del Área de Derecho y Nuevas Tecnologías de Iriarte & Asociados.
¿Regulación o Autoregulación?, preguntó Iriarte a los presentes al inicio de su exposición. Algunos levantaron su mano apoyando la regulación -que se entiende es potestad del Estado- y otros pocos levantaron la mano apoyando la autorregulación; la mayoría no levantó la mano. Bueno, la autorregulación es también regulación, respondió Iriarte, como resolviendo la interrogante, pero a la vez señalando que las normas -tal y como las entendemos- son fenómenos que se han producido sin una autoridad que los dirija, simplemente han surgido porque son necesarias para el funcionamiento de Internet.
Iriarte señaló que aquello que conocemos como Internet es una construcción que está conformada por diferentes capas: la técnica, la de telecomunicaciones, la económica y la socio-cultural. De todas ellas. la que se ha regulado -y bastante- por parte del Estado es la capa de telecomunicaciones; las otras capas no han pasado por eso proceso, pero ello no implica que no haya normas que las rijan.
Por ejemplo, sería imposible que funcionara la Red si las organizaciones no se hubieran puesto de acuerdo para utilizar protocolos de comunicaciones que puedan ser entendidos por todos (capa técnica); y también es cierto que a nivel económico y socio-cultural, Internet tiene normas no dictaminadas por los gobiernos que son seguidas por todos los usuarios de la Red, para su funcionamiento.
La Red entonces ha funcionado sin que haya reglamentaciones acerca de ella, pero ello no quiere decir que no se necesiten. De hecho, Iriarte es parte del Grupo de Trabajo sobre el Marco Regulatorio de la Sociedad de la Información del eLAC (programa de la CEPAL), y como tal se encuentra trabajando en un grupo de metas para el presente año (eLAC 2010).
Iriarte llamó la atención del público sobre un par de metas que se han venido coordinando desde el plan anterior (eLAC 2007). La meta 25 establece dos temas críticos primarios y dos temas críticos secundarios. Los primarios son: la regulación de la privacidad y de la protección de los datos, y el estado situacional de la regulación de los delitos informáticos. Los temas secundarios son: uso y aplicación de la firma digital para actividades cotidianas del ciudadano en ambientes gubernamentales (eGovernment); y soluciones jurídicas y técnicas a la problemática del spam.
En estos campos Iriarte señaló que se ha avanzado, pero que el principal problema no es solo la conformación de normas sino de coordinación regional de desarrollos armónicos. El problema, dijo, no es normativo, es de desarrollo de capacidades en los actores jurídicos para poder utilizar la legislación vigente.
¿Qué legislación existe? La que siempre ha existido para normar a la sociedad. Siempre que puede aplicarse, una norma puede resolver un delito informático de la misma manera en que resuelve un delito offline. Ejemplo: Brasil, que sin tener una legislación específica para el mundo online, tiene más de 30 mil sentencias aplicando la legislación convencional. Después de todo, un fraude es un fraude.
Si de todas formas se desea algún tipo de legislación específica en el mundo se ha firmado el Convenio de Budapest adoptado por el Comité de Ministros del Consejo de Europa, junto a Estados Unidos, Canadá, Japón, Sudáfrica, Costa Rica y México en noviembre del 2001, con entrada en vigor en julio del 2004. Un país puede adherirse a este convenio si lo desea.
El Perú cuenta actualmente con la Ley sobre Derechos de Autor, una ley que incorpora los delitos informáticos al Código Penal (Ley 27309), otra que considera al correo comercial no solicitado (spam) como un delito (Ley 28493), y una ley que prohíbe el acceso a menores de edad a páginas web de contenido pornográfico (Ley 28119).
El poder de las redes
Es importante enfrentar las amenazas con el respaldo de un grupo. El grupo, representado por las redes de respuesta a incidentes de seguridad, puede ayudar al afectado a solucionar sus problemas y a salir lo más prontamente de ellos. Es por este motivo que nacieron organizaciones que como la RedIris se encargan de coordinar esfuerzos de distintas organizaciones en el tema de la seguridad. Francisco Monserrat, analista de respuesta a incidentes de esta red, fue el encargado de la siguiente exposición.
¿Sabe qué es un CSIRT? Es un equipo que responde a incidentes de seguridad al interior de una organización, y es el equipo que todos deberían tener (en forma interna o a través de otra organización) para poder enfrentar las amenazas electrónicas que han surgido en la actualidad.
Sin embargo, la solución no es tan sencilla. Los equipos de respuesta generalmente no son equipos con personal dedicados a ellos a tiempo completo. Generalmente, de acuerdo a Monserrat, estos grupos están conformados por algunas personas que se dedican a tiempo completo a la tarea pero también por otras personas que cumplen otras funciones y que dedican solo una parte de su tiempo al grupo de seguridad.
A pesar de ello, son bastante importantes. Y no solo eso, el tener conformado un equipo de respuesta a incidentes asegura una continuidad de las personas en el puesto y, por tanto, una comunicación más fluida con sus pares en otras organizaciones. Y es ahí donde intervienen las redes.
Una red asegura que estos equipos se conozcan y que la información fluya más rápidamente, además ayudan a paliar un problema de la lucha contra el cibercrimen: la burocracia entre países.
El cibercrimen se ha organizado de tal manera que se ha convertido en una actividad de nivel internacional. Los ataques que pueda sufrir el servidor de una empresa podrían provenir de un país muy lejano con el cual las coordinaciones a nivel judicial o policial podrían ser extremadamente lentas. Los amigos de los equipos de reacción ante incidentes pueden ayudar entonces. Dentro de los límites de la ley ellos pueden prestar una invalorable ayuda para detener ataques o detectar a los infractores, mucho antes que los canales convencionales lo permitan.
Y quizás esa es una de las lecciones que se aprenden en este tipo de eventos: que hay que ir a la velocidad de Internet en todos los estamentos involucrados.
Cuando preguntamos a Monserrat sobre los sonados casos de pedofilia que son castigados gracias a la coordinación de las autoridades de varios países él nos da a entender que estos casos son la excepción más que la norma. El aborrecimiento que siente la sociedad ante este tipo de delitos anima a las autoridades a mantener un nivel de coordinación mayor al que convencionalmente se tiene.
Lamentablemente otros delitos no disfrutan de la misma celeridad de parte de las autoridades y son precisamente estos los delitos los que más padecen las empresas y los usuarios finales. Ese es otro punto entonces: las autoridades aún no le asignan la verdadera magnitud que están alcanzando estos delitos. Contra ello no resta sino realizar tareas de concientización y de coordinación entre las diferentes redes que existen. Monserrat señaló que RedIris nació y se mantiene como un espacio de coordinación entre redes académicas y que lo propio se puede hacer en el Perú. De hecho, ya existen algunas iniciativas para generar una red similar en el país, así que pronto tendremos novedades al respecto.
Las nuevas amenazas
El dinero no fue el primer motivador de los hackers, y parece que tampoco es el más reciente. Y eso nos lo dijo precisamente un hacker, pero uno de los chicos buenos que se encuentra de este lado de la línea de fuego para mantener a raya a los chicos malos.
¿Cuál es ese otro motivador? La política. Los ataques a las empresas ya no solo se producen con el ánimo de robarles algo valioso, también se efectúan con el ánimo de que ellas dejen de producir u ofrecer un servicio. Esto es bastante peligroso si se toma en consideración que las empresas a las que nos referimos son aquellas que tienen que ver con la provisión de servicios fundamentales como el agua o la energía eléctrica.
Los ataques dirigidos a derrumbar la infraestructura de servicios de un país ya no son solo cosa de novelas de espías sino que es una realidad palpable en los más recientes ataques de virus que se han producido en el mundo. Chema Alonso, consultor de Seguridad en la empresa Informática 64, es un habitual expositor en las reuniones de seguridad mundiales y un hacker de sombrero blanco que compartió con nosotros algunos de sus pensamientos durante el evento.
Desde la perspectiva de Alonso, 2010 está siendo el peor año en cuanto a fallas de seguridad que se ha encontrado en el software, y no porque la tecnología sea cada vez más imperfecta sino que ésta se encuentra cada vez más presente en cada aspecto de nuestra vida cotidiana. Y debido a ello es que muchos de los esfuerzos que se realizan en cuanto al tema de la seguridad son reactivos, es decir, reaccionan luego de que el incidente se ha producido.
Esto se debe también a que las fallas se producen debido a las limitaciones con las que se han producido los productos de software. Las empresas simplemente no tienen el presupuesto ni el tiempo para pretender producir un software perfecto, sin fallas. Se tiene que vivir con tecnología imperfecta y con fallas.
¿Qué es lo mejor que se puede hacer? Asumir la situación, asumir que el riesgo nunca va a ser cero y acudir a los expertos que le pueden indicar a uno qué hacer para reducir el riesgo a un nivel aceptable.
Otra de las nuevas amenazas la constituyen las soluciones móviles que se están implementando en las empresas. Los modernos teléfonos inteligentes ahora tienen una gran parte de los datos, no solo personales sino empresariales, dentro del smartphone. Y dentro de ese mundo de teléfonos inteligentes la aparición del iPhone dentro del espectro corporativo comienza a tomar forma. Desde la perspectiva de Alonso se debe tener cuidado con confiar mucho en la seguridad que ofrecen estas plataformas. El que los sistemas operativos más comunes sean los más atacados no implica que otros menos usados (el Mac) no tengan amenazas.
Particularmente, el iPhone es un dispositivo que viene sellado para que no se pueda modificar, pero un buen número de usuarios usan herramientas como el jailbreak para poder abrirlos y modificar su configuración, algunas veces en cosas tan simples como poder usarlo con un operador distinto. Sin embargo, Alonso se pregunta ¿si se puede abrir con el jailbreak, no piensan que un hacker también lo puede abrir remotamente?
Desde una web se puede liberar el dispositivo, pero también se puede tener acceso al teléfono. De hecho, ya hubo un ataque a redes iPhone que se produjo en el norte de Europa y con el cual muchos usuarios de este moderno aparato vieron como el fondo de su pantalla usual se cambiaba por una foto del cantante Rick Astley (¿lo recuerdan?). Ese es tan solo un recordatorio de que las amenazas también pueden llegar por estas nuevas vías.
La lucha financiera
Al final del evento se produjo un panel que trató sobre el fraude financiero. Como era de esperar el sentimiento común era que había mucho por hacer. Particularmente en el caso de la lucha contra las mafias internacionales de ciber criminales, el coronel Óscar Gonzáles, jefe de la División de Delitos de Alta Tecnología de la Policía Nacional del Perú, estimó que gran parte del trabajo se beneficiaría de mecanismos que agilizaran la interacción entre los diferentes países.
Un ejemplo de las limitaciones que se padecen en la lucha contra estos delitos es que la policía no puede acceder a una información tan básica como la dirección IP de una computadora. Para hacerlo debe solicitar una autorización judicial que debe presentar ante la operadora de telecomunicaciones, y hacerlo toma un tiempo tal que en caso de tener una respuesta positiva, ésta podría llegar demasiado tarde.
Iriarte señaló en el panel que esto se debe a lo que se entiende por secreto de las telecomunicaciones y la forma en que se entiende la dirección IP: ¿es un dato personal? ¿Se le puede asignar a una persona o a una institución? Son estas áreas en donde no queda claro que tipo de legislación utilizar, las que entrampan las acciones que conjuntamente puedan realizar grupos como el APWG de Cain -que también participó del panel- o la RedIris de Monserrat -que también estuvo presente-.
Los participantes finalizaron manifestando sus deseos para mejorar su trabajo, y se pudo apreciar que lo que todos desean es la colaboración, y también la mejor coordinación de las leyes correspondientes.
Fue un evento que tuvo como fin precisamente ello, que se formaran redes entre los participantes, que ellos conozcan a sus pares en otras organizaciones y se unan para combatir las amenazas. Para ello son los Colaris.
Jose Antonio Trujillo, CIO Perú