Llegamos a ustedes gracias a:



Reportajes y análisis

La ciberseguridad en el gobierno

[23/04/2012] Existen temas que parecen inagotables. La recurrencia de los foros dedicados a ellos nos puede dar una idea de la continua presencia que estos tópicos tienen en nuestra atención y, por ende, en nuestros trabajos. La seguridad es uno de esos temas. Las interminables amenazas informáticas a las que se pueden enfrentar las organizaciones han configurado un escenario de constante preocupación en torno a su seguridad. Grandes corporaciones y pequeñas empresas tienen que enfrentar, por igual, la posibilidad de perder información y de hacerlo a manos de delincuentes informáticos.
Las organizaciones estatales no escapan a estas amenazas. Por el contrario, la oleada de ataques de la organización Anonymous a diversos sitios web gubernamentales ha hecho que los encargados de la seguridad TI de los gobiernos agudicen sus prácticas de defensa. Además, la indeseable posibilidad de que dos países entren en guerra y que ésta se inicie en el campo virtual, ha ocasionado que nos preguntemos si, como país, nos encontramos preparados para este nuevo tipo de batallas.
Hace ya unos días, el CiberSecurity Government Perú 2012, evento organizado por el capítulo peruano de la Information Systems Security Association (ISSA), trató este tema a través de 20 exposiciones que se realizaron en dos tracks. En ellos se cubrían temáticas como la ciberguerra, los CSIRT, el software malicioso o la gestión de los servicios de seguridad.
A continuación, algunos de los puntos que se tocaron en esa prolongada pero fructífera jornada de seguridad.
Los servicios gestionados
Luego de las clásicas palabras de inauguración del evento -en donde se presentó Roberto Puyó, presidente del capítulo local de ISSA­- se realizó la primera presentación de la mañana.
Ésta estuvo a cargo de Carlos Simpson, gerente comercial de NetSecure Perú, y tuvo por título Servicios Gestionados de Seguridad en los Gobiernos. En la exposición Simpson, en primer lugar, se encargó de definir qué son los servicios gestionados de seguridad.
De acuerdo al ejecutivo, estos servicios hacen referencia al traslado de las actividades de gestión de las plataformas de seguridad TI de las organizaciones, hacia un centro especializado llamado Proveedor de Servicios Gestionados de Seguridad o MSSP, por sus siglas en inglés.
Lo que se busca es hacer un outsourcing total de las plataformas de seguridad, es decir, de la auditoria, monitoreo, correlación de eventos, y detección de vulnerabilidades. Muchas veces nos enfrentamos a situaciones como tener poco personal en la organización […] y muchas veces el tema de seguridad lo vamos dejando de lado, sostuvo Simpson.
Un MSSP necesariamente tiene que contar con SOC (Security Operations Center) y éste debe ofrecer distintos servicios, como el de seguridad perimetral, optimización de enlaces, auditoría de bases de datos, análisis de vulnerabilidades, protección de aplicaciones, y control de las redes inalámbricas.
Simpson sostuvo que en el caso de la seguridad perimetral, un SOC puede ayudar a la empresa. Ésta generalmente ya cuenta con algún tipo de seguridad basada en un gateway o firewall u otros dispositivos de seguridad hacia el interior de la red. Pero ¿quién revisa todos los días la información que generan estos equipos? Es poco probable que esto suceda, simplemente se los deja funcionando.
En el caso de la optimización de enlaces, los ISP generalmente ofrecen alguna herramienta que informa a la empresa el consumo de ancho de banda; pero no brinda información sobre qué aplicaciones están corriendo sobre el enlace en tiempo real, qué usuarios internos están generando ese tráfico, o qué tan normal es que se tenga ese tráfico. Una empresa externa puede ofrecer esa información, es decir, ver en tiempo real qué aplicaciones están corriendo y cuáles son las IP de origen internas o si hay mucho tráfico proveniente de Internet.
¿Qué pasa si me llegan miles de paquetillos de 2k o 3k que están buscando a mi servidor? ¿No será un ataque? Es probable, señaló el expositor.
Uno puede establecer, a través de un servicio externo, cuotas de uso de ancho de banda y qué tipo de protocolo puede pasar por los enlaces, y así poder optimizar el uso del ancho de banda.
En cuanto a la auditoria de las bases de datos es vital cuidar quién puede tener acceso a ella. Con las herramientas adecuadas un SOC puede determinar quiénes acceden a ella, desde qué segmentos de red lo están haciendo, qué permisos tienen para acceder a ella; y, si no lo tienen, guardar un registro y generar una serie de alertas indicando que una persona no autorizada ha generado un cambio. Los sistemas de un SOC permiten guardar un registro de un antes y un después de la base de datos al momento que un usuario realizó el cambio, y así luego poder realizar una auditoría.
El análisis de vulnerabilidades es otro de los servicios que brinda un SOC, y también un tema recurrente. Generalmente, las empresas buscan realizar actividades de hacking ético una o dos veces al año, pero esto puede no ser suficiente. Un SOC puede realizar este tipo de actividades de manera regular.
La protección de las aplicaciones también es otro de los servicios. Y recientemente se ha podido comprobar, debido a los ataques recientes, que hay un cierto nivel de vulnerabilidad debido a las aplicaciones. En el servicio de un SOC se busca que el usuario pueda instalar a través de un servicio manejado por profesionales firewalls de aplicaciones, delante de la aplicación. Lo que se busca es generar un enmascaramiento de la aplicación para evitar, por ejemplo, ataques defacement. El servicio puede detectar este tipo de ataques y reponer el sitio web original en muy poco tiempo.
Finalmente, dentro de los servicios se puede manejar el tema de las redes Wi-Fi. La movilidad -que incluye la consumerización de los dispositivos que se conectan a la red- viene con mucha fuerza y por ello es necesario armar una red Wi-Fi segura, es decir, que pueda identificar a cada usuario y a cada uno de sus dispositivos IP para establecer un perfil de acceso a la red.
Para cerrar su exposición, Simpson sostuvo que, de acuerdo a estadísticas de Gartner, para el 2017 un 60% de las empresas con más de 500 usuarios usarán servicios gestionados de seguridad.
Los CSIRT
La segunda exposición de la mañana estuvo a cargo de Alfredo Torres, coronel en situación de retiro de la Fuerza Aérea del Perú y representante de la Oficina General de Telecomunicaciones, Informática y Estadística del Ministerio de Defensa, quien desarrolló el tema CSIRT en las Fuerzas Armadas del Perú.
Los CSIRT son los Computer Security Incident Response Team y su presencia en el Estado peruano se puede encontrar en la Resolución Ministerial 360 - 2009 - PCM de agosto del 2009, que crea el grupo de trabajo denominado Coordinadora de Respuestas a Emergencias Teleinformáticas de la Administración Pública del Perú (Pe-CERT).
Torres indicó, sin embargo, que se pueden encontrar antecedentes más antiguos de la preocupación del Estado en este tema. Por ejemplo, citó el llamado Libro Blanco para la Defensa del Ministerio de Defensa que en el capítulo dedicado a la Política de Seguridad y Defensa Nacional establece como su objetivo 1 el mantenimiento de la independencia, soberanía, integridad territorial y defensa de los intereses nacionales; y para cumplir con este objetivo señala un grupo de políticas, una de las cuales –la F– es garantizar la seguridad telemática del Estado,
Desde esta perspectiva, Torres señala que la misión del CERT es hacer frente a ataques informáticos, prevenir infracciones a la seguridad de la información, recomendando buenas prácticas, políticas y procedimientos, a fin de neutralizar y minimizar daños a la infraestructura de información y telecomunicaciones, generando una cultura de seguridad en el ciberespacio.
Para ello ha establecido un grupo de objetivos entre los que se encuentran: realizar análisis e informar a la comunidad sobre amenazas y vulnerabilidades de seguridad; neutralizar las amenazas y vulnerabilidades a la infraestructura de información y telecomunicaciones; divulgar y poner a disposición de la comunidad información que permita la prevención y resolución de incidentes de seguridad de información; coordinar con otros equipos la resolución de incidentes de seguridad; y educar a la comunidad sobre temas de seguridad de la información.
Y la comunidad a la que se refiere el CERT está conformada, a su vez, por otras instituciones dedicadas a la defensa nacional. Así dentro de este grupo se encuentra el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea del Perú, el Comando Conjunto de las Fuerzas Armadas, la Comisión Nacional de Investigación y Desarrollo Aeroespacial, la Dirección Previsional del Ministerio de Defensa, el Instituto Geográfico Nacional, la Escuela Nacional de Marina Mercante y el propio Ministerio de Defensa.
Los servicios que presta el CERT son de tres tipos: preventivos, reactivos y de gestión de la calidad. Entre los primeros se encuentra el análisis de riesgo, el observatorio tecnológico, la detección de intrusos, las auditorias de seguridad, el desarrollo de herramientas de seguridad, entre otros.
Entre los segundos se encuentran el análisis forense, el análisis de incidentes, la coordinación de respuesta a incidentes y la coordinación con otros equipos, entre otros servicios. Finalmente, los servicios de gestión de la calidad están compuestos por la evaluación de productos, la educación, la sensibilización y el análisis de riesgos.
Torres al final de su presentación señaló que las iniciativas y operaciones de ciberseguridad y ciberdefensa no se encuentran coordinadas adecuadamente. Esto se debe a la debilidad en la oferta y la cobertura de la capacitación especializada en estos temas a nivel nacional y a la debilidad en la regulación y la legislación de la protección de datos.
El expositor finalizó su presentación señalando que es necesario diseñar una política y estrategia nacional de ciberseguridad y ciberdefensa.
La ciberguerra
Era casi natural que alguien hablara de la ciberguerra en este contexto. La seguridad ya no solo es cuestión de las empresas privadas, sino también de los países. Y si ya se ha conformado un CERT, alguien debía hablarnos del peor escenario que tendría que enfrentar este tipo de organización. Un general fue el designado para hacerlo.
Otto Guibovich, general en situación de retiro del Ejército del Perú, fue el encargado de desarrollar el tema La evolución de la guerra a la ciberguerra. En su exposición, Guibovich ofreció una visión general de lo que ha venido sucediendo en los últimos años en cuanto a guerras virtuales.
En primer lugar, el general llamó nuestra atención sobre la forma en que ha cambiado el mundo en el que vivimos. Ahora, la sociedad está más informada que nunca y los sistemas de gestión de la vida diaria se encuentran dominados por el software, las computadoras y las redes informáticas.
Algo similar ocurre con la guerra y quizás para bien. Guibovich explicó que, tradicionalmente, las guerras se asocian con violencia, destrucción y muerte, y con un alto nivel de lo que se denomina daño colateral; es decir, la destrucción de elementos (bienes o vidas) que no eran el objetivo de un ataque.
La tecnología y el mayor nivel de precisión que ésta otorga reducen el daño colateral, sostuvo el expositor.
Si la guerra se desarrollaba antes en base a la destrucción de la infraestructura crítica de un país mediante medios cinéticos (mediante la fuerza generada a partir del movimiento, como una bala) ahora se puede realizar mediante medios cibernéticos, que no apelan a fuerzas físicas sino a fuerzas electrónicas.
Hace 25 años no sabíamos cómo conectar una computadora, hoy no sabemos cómo separarlas, sostuvo el general.
La guerra cibernética, por tanto, no es convencional, puede ser simétrica o asimétrica y los campos de batalla pueden ser ahora las redes sociales o las redes gubernamentales. Los centros de operación pueden tener la forma de un dispositivo móvil o una cabina de Internet, aunque siguen buscando objetivos bélicos: infiltrar, bombardear, manipular, robar, saquear.
Los actos de guerra ahora se desarrollan de manera encubierta y poco llamativa. En 1999 se produjo un ataque (Moonlight Maze) de Rusia hacia Estados Unidos en busca de información. En el 2003 sucedió algo similar, solo que en esta ocasión el atacante fue China y el nombre de la operación fue Titan Rain. En el 2007 se produjo el ya famoso ataque de Rusia hacia Estonia, que desarmó la infraestructura vital del país; y, por supuesto, en el 2010 se produjo el ataque más emblemático de lo que pueden ser ahora las guerras modernas, Stuxnet, que deshabilitó una buena parte de las maquinarias de las plantas nucleares de Irán.
Por supuesto, el país árabe ha podido responder con un ataque también impresionante contra Estados Unidos: la captura, por medios informáticos, de un avión espía no tripulado de ese país.
Se requiere profesionales en seguridad, y los líderes de gobierno y empresarios deben conocer de amenazas y defensa cibernética y establecer políticas. La ciberguerra es total y la empresa privada no puede ignorar conceptos de guerra y defensa cibernética, finalizó Guibovich.
El software malicioso
Al final del día se dejó por un momento el tema militar y se volvió a las amenazas que actualmente enfrentan las instituciones en general.
Mario Chilo, IT security manager de Laboratorio Virus, expuso una presentación llamada Los software maliciosos y la fuga de información en las entidades públicas. Una realidad actual.
El prolongado título sirvió de marco para que Chilo ofreciera un amplio panorama de las amenazas informáticas más significativas que tienen que enfrentar las organizaciones en la actualidad. Y, haciendo honor al título de la presentación, comenzó por el malware.
Chilo sostuvo que en la actualidad las mafias organizadas realizan ciberataques que se basan en la creación de botnets que convierten a las PC en máquinas zombi.
Los ciberdelincuentes utilizan sus conocimientos tecnológicos para la creación de software malicioso con el fin de robar información personal o empresarial, modificarla o encriptarla para posteriormente venderla o utilizarla para algún chantaje.
Chilo señala que para poder detectar y eliminar adecuadamente estas amenazas es necesario observar cualquier comportamiento anómalo, y para esto es necesario utilizar las herramientas adecuadas que nos permitan ver los procesos de memoria y registros del sistema operativo.
Obviamente, es necesario proceder de forma rápida a la eliminación del malware, no dejando ningún rastro del código malicioso. Además, aconseja enviar las muestras de los virus capturados a las empresas de antivirus, documentar cada incidente de malware encontrado y actualizar el software antivirus.
Sin embargo, Chilo demostró que no es siempre rápida la creación de una vacuna contra los nuevos virus y malwares encontrados. Como forma de experimento, Chilo envió muestras de un virus al sitio web de Virus Total, una página que, a su vez, se encarga de enviar esas muestras a 46 empresas fabricantes de antivirus.
El resultado es que luego de unos días solo una o unas cuantas empresas señalaban detectar el virus enviado. Solo luego de unas semanas un número significativo de ellas -aunque no todas- señalaban ya reconocer y anular ese virus.
Chilo también habló sobre los firewalls. De ellos dijo que un firewall correctamente configurado añade una protección necesaria para la red.
Sin embargo, las limitaciones de esta herramienta se desprenden de su propia definición: es un filtro. Por tanto, cualquier tipo de ataque informático que use tráfico aceptado por el firewall -por usar puertos TCP abiertos expresamente, por ejemplo- o que sencillamente no use la red, seguirá constituyendo una amenaza.
Un firewall no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. Tampoco puede proteger a la organización contra ataques internos o usuarios negligentes, además tampoco puede hacer mucho contra los ataques de ingeniería social.
La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse del malware que llegue por cualquier medio de almacenamiento, sostuvo el expositor.
Siempre es necesario estar al tanto de las novedades en torno a la seguridad. Estos eventos, ciertamente, sirven de vitrina para las nuevas soluciones y propuestas de los proveedores de la industria, pero su valor como espacio para el intercambio de ideas es igualmente valioso.
Después de todo, la seguridad sigue siendo uno de esos temas que nunca pasan de moda.
Jose Antonio Trujillo, CIO Perú