contenido 16 AÑO 5, NÚMERO 3, 2014 Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Sara Bursztein Mª José de la Calle Milthon J. Chavez Fabián Descalzo Ana Ledesma Cristina Ledesma Maricarmen Pascale Marcos Polanco Velasco Franco Rigante Germán Vargas Pedroza Marketing y Producción Karla Trejo Cerrillo Sofía Méndez Aguilar Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 5, número 3, 2014 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827. Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F x. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx 4 6 10» editorial» opinión» conexiones 4 Editorial Héctor Acevedo Juárez 6 Factor humano: el talón de Aquiles de la seguridad I - La percepción del valor de la información Sara Bursztein 16 Ingeniería social: El hackeo al ser humano Un enfoque holístico Cristina Ledesma, Ana Ledesma y Maricarmen Pascale 28 La gestión de la seguridad en gobierno electrónico Milthon J. Chavez 10 Tips Consejos básicos sobre clasificación de información Introducción Fabián Descalzo 12 Conexiones Gestión de Riesgos de TI - En busca de la optimización Franco Rigante 20 Desde la trinchera Estableciendo un lenguaje común en ciberseguridad Título Marcos Polanco Velasco 24 Conexiones Recuperación de desastres tecnológicos como servicio (DRaaS) Germán Vargas Pedroza 26 Conexiones Internet de las cosas o la peligrosa transformación del mundo real en virtual Mª José de la Calle Julio - Septiembre 2014 3
editorial Más participación hispanoamericana, nuevos temas Héctor Acevedo CISSP, CISA, CGEIT, ITIL y MCSE hacevedoj@scitum.com.mx En línea con la evolución de los temas relacionados con la seguridad de la información, presentamos en este número una mezcla de temas que van desde la ingeniería social hasta la ciberseguridad, tan de moda últimamente, pasando por la evolución de la evolución de mejores prácticas y el gobierno electrónico. Espero sean de interés para todos ustedes. En lo que respecta a nuestros colaboradores, con mucho gusto informo a nuestros amables lectores que seguimos avanzando en la construcción de una visión hispanoamericana de la seguridad de la información. Al día de hoy podemos presumir que tenemos colaboradores de Argentina, Colombia, Ecuador, España, Venezuela y Uruguay Muchas gracias a nuestros invaluables colaboradores que nos honran con su participación! Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Atentamente Héctor Acevedo Juárez Editor en jefe 4
opinión Factor humano: el talón de Aquiles de la seguridad I - La percepción del valor de la información Sara Bursztein Sara.bursztein@gsinfo.com.ar En la actualidad podemos vislumbrar un paralelismo entre el mito de Aquiles - a quien su madre Tetis sumergió en las aguas de la laguna Estigia para hacerlo inmortal, dejando fuera el talón que se mantuvo vulnerable -, con la vulnerabilidad que genera el ser humano en el manejo de la información que gestiona. Reflexionaremos en este artículo acerca del papel de las personas en la seguridad de la información y sobre la causa por la que se han transformado en el talón de Aquiles de la seguridad. Las estadísticas nos muestran el incremento de incidentes originados por el factor humano. Los ciberdelincuentes han encontrado en las personas un elemento muy vulnerable y no cesan de generar nuevas estrategias de ataque, en gran medida con éxito. La seguridad de la información corre detrás de las brechas que se abren día a día, ya que los cambios en las telecomunicaciones, Internet, redes sociales, cómputo en la nube, etcétera, han modificado el contexto del manejo de información con una velocidad y dinámica que requiere que los usuarios tomen conciencia de la importancia de su rol. Para ello, deben salir del lugar de víctimas y adueñarse de la problemática de la seguridad de la información como propia. Ya no es una cuestión que atañe solo al área de sistemas o de seguridad informática, es un tema que atraviesa transversalmente a toda organización y por ende a todas las personas que la conforman. Para dimensionar el problema, veamos la tendencia y algunos números de estudios realizados desde 2012 que nos permitirán observar la evolución de la problemática: De acuerdo al estudio realizado por Ponemon Institute - The Human Factor in Data Protection (2012), 78% de las organizaciones han sufrido incidentes de seguridad a causa de empleados negligentes o maliciosos. El informe fue realizado sobre 709 encuestados en EE.UU. en el área de TI que tiene responsabilidad sobre la protección de la información. Empleados negligentes o maliciosos Has your organization ever experienced a data breach as a result of negligent or malicious employees or other insiders? Yes No Unsure 6
El Verizon Data Breach Investigations Report (DBIR) de 2013 muestra que los ciberdelincuentes han tomado nota de la vulnerabilidad del factor humano y hoy los ataques no tienen como objetivo la tecnología, sino los empleados de las empresas. Los ataques de ingeniería social y de phishing diseñados para robar credenciales, son las técnicas más usadas para acceder a los sistemas que contienen información sensitiva. El estudio analiza 621 brechas de seguridad sobre la información y cientos de incidentes, concluyendo que se usaron credenciales robadas en 4 de cada 5 incidentes. La estrategia de los atacantes no es crear nuevas cuentas, sino utilizar las existentes, quebrando las claves y escondiéndose dentro del tráfico regular de la red, donde es cada vez más difícil detectarlos. El porqué el ser humano se ha transformado en el principal factor de vulnerabilidad no depende de una sola causa. Veamos algunos de los múltiples orígenes que se conjugan para que esto ocurra: 1. La percepción del valor de la información. 2. Los mitos de seguridad. 3. El contexto. 4. La conciencia. 5. La sensibilización y motivación. 6. Las actitudes y comportamientos. En esta entrega analizaremos el primero de los ítems que implica la distorsión que percibe el ser humano sobre el valor de la información que gestiona. La percepción del valor de la Información Es evidente que las organizaciones de todo tipo tienen claro que no pueden operar sin información disponible, exacta, íntegra, actualizada, confidencial y confiable. Pero las organizaciones están conformadas por personas, que, a pesar de necesitar la información para su operación cotidiana, y de acuerdo a las estadísticas, no se comportan utilizando las mejores prácticas de seguridad. El ser humano no toma conciencia de las brechas de seguridad que habilita. Comenzando por la dirección y abarcando todos los niveles jerárquicos, evaluaremos cuáles son las causas que alteran el valor de la información. Visión comercial Revisaremos primero la percepción del negocio. Para la gran mayoría de las organizaciones, la concepción histórica trata a la información como una herramienta que soporta la operación: es un medio y no un fin en sí mismo. El valor económico está asociado a los productos y servicios comercializados. Para los ciberdelincuentes, la información es el producto final a comercializar. Así como en las empresas los empleados trabajan en pos de generar ventas del objeto comercial que ofrece la organización, aquellos dedican su esfuerzo laboral a obtener información en forma fraudulenta, en pos de conseguir réditos económicos. No hemos incorporado el valor que tiene para un tercero la información que gestionamos. Visión de valoración Pasemos ahora a la valoración. En nuestra sociedad fácilmente podemos darle valor a los objetos tangibles, por ejemplo nuestra cartera, la tarjeta de crédito o nuestra documentación, sobre los cuales fijamos especial atención para asegurarnos de que no se pierdan o queden expuestos. Julio - Septiembre 2014 7
Pero, qué valor le damos a nuestra información personal? La percepción del valor es diferente frente a un ente inmaterial. No se distingue el peligro de pérdida. Mientras los documentos tangibles importantes los guardamos en un lugar seguro, no detectamos que los ponemos en riesgo al ingresar información de los mismos en un sitio Web, en un correo electrónico o través de una red social, sin tomar los suficientes resguardos para su protección. Firmaríamos un cheque en blanco? Seguramente la respuesta es un NO rotundo. Pero al momento de hacernos la misma pregunta sobre si evaluamos la información que compartimos o exponemos, damos la misma respuesta? Se desprende de este análisis que frente a la intangibilidad de la información se dificulta la percepción de riesgo. Visión de gestión En la actualidad las organizaciones sostienen su gestión en la información que brinda TI, que pasa a ser un área de soporte para el proceso productivo de la empresa. El éxito depende del correcto funcionamiento de los elementos que sostienen la infraestructura. Las áreas que no están vinculadas con la tecnología no terminan de comprender la complejidad que subyace para proveer diariamente información con los atributos de confidencialidad, disponibilidad e integridad. Consideran como natural el correcto funcionamiento del correo, sistemas, aplicaciones e infraestructura, sin percibir el valor presente tras las tareas de soporte. Los integrantes de las instituciones encuentran dificultad en valorar la complejidad asociada a los elementos que se integran para sostener el manejo de la información. Visión del peligro El miedo Cómo funciona nuestra mente frente al miedo? A qué le tememos y cómo se genera el miedo? Trataremos de comprender cómo se activa esta sensación y cómo nos ayudaría en relación a la seguridad de la información. En primer lugar, pensemos en el miedo como una emoción de protección, basada en la intuición, que nos permite evitar situaciones de peligro, nos alerta e inhibe de realizar acciones que ponen en juego nuestra supervivencia y es un elemento esencial al momento de tomar decisiones. Pero el móvil que despierta naturalmente el miedo es la amenaza física. Por ejemplo, no nos acercamos al borde de un precipicio porque se activa el miedo de caernos; preservamos nuestra vida. O tenemos alarmas y puertas blindadas por miedo a perder nuestros bienes o que nos ataquen. Qué pasa con la información? Es difícil que la pérdida de datos sensibles genere temor. La única manera de originar esa sensación es tener conciencia del valor económico o el perjuicio personal que nos puede causar un incidente de seguridad; esta sería la forma de activar el miedo. Las dificultad para internalizar las consecuencias negativas implicadas en un incidente sobre nuestra información impiden generar la sensación de temor. El riesgo A diferencia del miedo, que es un mecanismo puramente emocional, la percepción del riesgo funciona en forma racional, basada generalmente en la experiencia. El ser humano mide el riesgo si puede elaborar fríamente una situación peligrosa, sin sucumbir a la emoción. La ingeniería social se basa en la manipulación inteligente de las emociones y toma ventaja sobre las reacciones propias de la naturaleza humana. Racionalizar el riesgo implica hacer uso de las probabilidades de ocurrencia de incidentes al tomar una decisión, es una gimnasia mental que propicia un cambio en la apreciación del valor de la información que se gestiona. En general nuestra mente tiende a ignorar aquellos riesgos que le son difíciles de comprender o percibir. Para mitigar el riesgo es necesario conocer y elaborar internamente las posibles amenazas involucradas en el entorno. Así pues, concluimos el presente artículo sosteniendo que "para la gestión segura de la información es necesario promover un cambio cultural que genere conciencia sobre la percepción del real valor de la información". 8
c o n e x i o n e s Tips Fabián Descalzo Director certificado en Seguridad de la Información (Universidad CAECE), ITIL v3-2011 y auditor ISO 20000 fabiandescalzo@yahoo.com.ar Consejos básicos sobre clasificación de información Introducción Todos usamos innumerables tipos de información en nuestras actividades diarias, que almacenamos básicamente en dos formatos principales: 1.Físico, también conocido como formato hardcopy. Por ejemplo: documentos en papel, incluyendo faxes y copias fotostáticas. 2.Electrónico ( softcopy ). Por ejemplo: documentos electrónicos en procesador de textos, hojas de cálculo, etcétera. De este modo, la información hardcopy puede ser almacenada en archivos físicos, carpetas o gabinetes, mientras que la información softcopy puede ser almacenada en medios electrónicos, incluyendo CD ROM, cintas de audio, memorias USB, discos duros, asistentes digitales personales y otros dispositivos similares. El uso de tecnología inalámbrica para facilitar la comunicación electrónica y de voz ha aumentado rápidamente en todo el mundo. Los teléfonos celulares, las redes inalámbricas y los PDA (asistente digital personal, personal digital assistant) son ejemplos de ello. Es importante destacar que, en el caso de la información electrónica, todos los controles que comentaré en próximas entregas, aplican de la misma forma cuando empleados o contratistas de una organización hacen uso de la tecnología inalámbrica. Por otro lado, la información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión; oralmente, por teléfono o en persona, por escrito vía fax, correo postal o correo electrónico. Cuando comuniquen información, siempre consideren el principio fundamental que indica que la información debe ser compartida únicamente con quienes tengan una necesidad legítima de conocerla. No debe compartirse con quienes no lo necesiten (de igual manera que nuestra vida cotidiana). Si tiene duda al recibir información particular de personas dentro o fuera de la organización, siempre pregúntese Realmente necesito conocer esta información? Y antes de compartir información con los demás, plantéense si esta persona necesita conocerla para llevar a cabo sus actividades en la empresa. En caso necesario hagan la misma pregunta a la persona que les haya solicitado compartir la información. Esta primera publicación es una introducción sobre el concepto básico de "conocer y dar a conocer", para así abrir una serie de consejos sobre mi forma de ver la información, su entorno de procesamiento, riesgos asociados, y cómo clasificarla, para que con base en esta óptica establezcamos los controles adecuados para cumplir con alguna regulación, norma o estándar implementado en la organización. 10
Proteja el activo más importante de su empresa: SU INFORMACIÓN SPA SEGURIDAD PERIMETRAL ADMINISTRADA Es un servicio administrado por especialistas certificados en seguridad, que le brinda la mejor protección a su información. Servicio que le ofrece: Consulta de indicadores de su seguridad y su servicio vía nuestro portal SPA. Monitoreo y gestión 7x24 desde nuestro SOC (centro de operaciones de seguridad). Implementación de un UTM con las funciones de firewall, IPS, filtrado de contenido y VPN. Para mayor información, por favor contacte a su ejecutivo de cuenta o llame al 01-800-700-0SPA (772)
c o n e x i o n e s Conexiones Franco Rigante CISA, CRISC y PMP @FrancoIT_GRC Gestión de riesgos de TI - En busca de la optimización Con la publicación de la nueva versión 5 de COBIT, la ISACA se focalizó en la "maximización de la creación de valor a partir de TI para el negocio" mediante el cumplimiento simultáneo de tres objetivos de gobierno: Maximización de beneficios. Optimización de recursos. Optimización de riesgos. La introducción del concepto de optimización de riesgos como objetivo de gobierno, muestra una clara evolución frente al enfoque tradicional de mitigación de riesgos, más basada en la visión clásica de la auditoría. Antes: MITIGAR! Ahora: OPTIMIZAR! La justificación de este cambio de visión se puede encontrar en que hoy las organizaciones se desempeñan en entornos cada vez más dinámicos y competitivos, expuestas al ingreso de nuevos jugadores capaces de redefinir rápidamente las claves del modelo de negocio, donde la búsqueda constante de la maximización sustentable de beneficios exige que se eviten los costos innecesarios de aquellos controles mitigantes que alejan a la organización del nivel óptimo aceptable de exposición al riesgo establecido por la dirección. Concretamente, COBIT 5 define la optimización de riesgos como "garantizar que los riesgos para el negocio relacionados con TI no exceden el nivel aceptable establecido por la dirección y que el impacto de los riesgos inherentes a TI que podrían afectar al negocio son gestionados y que la probabilidad de potenciales incumplimientos a leyes es minimizada". En ese sentido, en este artículo veremos ejemplos de cómo aplicar los lineamientos de gestión que surgen del reciente documento COBIT 5 for Risk, de próxima aparición en castellano, para la optimización de los riesgos de TI mediante la aplicación de los siete facilitadores (enablers) incluidos en COBIT 5. 12
Según señala la guía COBIT 5 for Risk, se deben aplicar en forma coordinada los siete facilitadores empresariales para gestionar los distintos escenarios de riesgo tecnológico al nivel óptimo establecido por la dirección. COBIT 5 - Facilitadores empresariales 2. Procesos 3. Estructura organizacional 4. Cultura, ética y comportamientos 1. Principios, políticas y frameworks 5. Información 6. Servicios, infraestructura y aplicaciones 7. Personas, habilidades y competencias Recursos En términos del riesgo tecnológico existe consenso generalizado en definirlo como la posibilidad de pérdidas derivadas de un evento relacionado con el acceso o uso de la tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de la organización, al comprometer o degradar las dimensiones críticas de la información (Ej. confidencialidad, integridad, disponibilidad). Así pues, COBIT 5 for Risk define el riesgo de TI como un riesgo para el negocio, específicamente el riesgo para el negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI dentro de una empresa. Una inadecuada gestión de los riesgos de TI puede reducir el valor del negocio creando pérdidas financieras, dañando la reputación corporativa y desperdiciando nuevas oportunidades. Con ese objetivo, COBIT 5 for Risk incluye 20 categorías de escenarios de riesgo con potenciales respuestas basadas en los facilitadores de COBIT 5 como acciones de optimización. Algunas de las categorías mencionadas son las siguientes: 1. Establecimiento y mantenimiento de portafolio. 2. Gestión del ciclo de vida de proyectos y programas. 3. Toma de decisiones de inversión en TI. 4. Conocimientos y habilidades de TI. 5. Operaciones del staff (errores humanos/maliciosos). 6. Información (violación de datos: daño, fuga y acceso). 7. Arquitectura (visión y diseño). 8. Infraestructura (hardware, sistemas operativos y tecnología de control). 9. Software. 10. Propiedad del negocio de TI inefectiva. Si tomamos un ejemplo de la 2ª categoría encontraremos los siguientes escenarios de riesgo: Ref. Categorías de escenario de riesgo Tipo de riesgo Beneficio de TI / generación de valor Ejecución del proyecto / Programa de TI Operaciones de TI y entrega de servicio Escenarios negativos Escenario de ejemplo Escenarios positivos 0201 P P P 0202 0203 Gestión del ciclo de vida de proyectos / programas (iniciación, economía, ejecución, calidad y terminación) P P P P P P Proyectos que faltan (debido al costo, cambio de prioridades del negocio, corrupción del alcance) no son terminados. El proyecto de TI excede el presupuesto. Se presenta una demora en la ejecución del proyecto por parte de un departamento interno de desarrollo. Proyectos con fallas o irrelevantes son detenidos a tiempo. El proyecto de TI se completa dentro de los presupuestos acordados. La ejecución del proyecto se realiza a tiempo. Julio - Septiembre 2014 13
c o n e x i o n e s Para optimizar dichos escenarios podemos aplicar los siete facilitadores de COBIT 5 de la siguiente forma: 1. Políticas, principios y marcos. a. Política de gestión de proyectos. b. Implementación de PMBOK 5 para la gestión de proyectos. 2. Procesos. a. Proceso BAI01 de COBIT 5: "Gestionar programas y proyectos" 3. Estructura organizacional. a. Implementar formalmente una Oficina de Gestión de Proyectos (PMO). 4. Cultura, ética y comportamientos. a. Fomentar la comunicación efectiva. b. Incentivar la transparencia sobre desvíos. 5. Información. a. Reportes de gestión del valor ganado (EVM). 6. Servicios, infraestructura y aplicaciones. a. Servicio de consultoría sobre administración de proyectos. b. Software de gestión de proyectos. c. Bases de datos de conocimiento. 7. Personas, habilidades y competencias. a. Rol del administrador de proyectos. b. Certificación PMP (Project Management Professional). c. Habilidades interpersonales, soft skills, etcétera. Finalmente, para lograr el objetivo de la optimización de riesgos, es fundamental tener presente los siguientes conceptos clave: Apetito: la cantidad de riesgo, en un amplio nivel, que la organización está dispuesta a aceptar para alcanzar su misión. Tolerancia: el nivel de variación aceptable que la dirección está dispuesta a permitir para cualquier riesgo en particular con el propósito de alcanzar sus objetivos. Capacidad: la cantidad objetiva de pérdida que una empresa puede tolerar sin poner en riesgo su sustentabilidad y su propia existencia. Difiere del concepto de "apetito", el cual refleja una decisión de la dirección acerca de hasta cuánto nivel de riesgo es deseable aceptar. C M Y CM MY CY CMY K 10 10 5 5 0 0 Riesgo Actual Apetito por el Riesgo Capacidad de Riesgo Ejemplo del nivel de riesgo actual en dos organizaciones Como se aprecia claramente en la imagen, el nivel de riesgo actual (línea azul) en la primera organización es temporalmente superior al nivel de apetito establecido (línea roja) pero nunca supera la capacidad (línea verde) que puede tolerar, mientras que en la segunda organización una incorrecta definición del apetito por encima de la capacidad tolerable, puede significar un nivel de riesgo actual que comprometa seriamente la sustentabilidad. 14
Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, la solución líder del mercado:» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial» Cumple totalmente los requisitos 6.6 de PCI DSS SecureSphere Web Application Firewall ThreatRadar Imperva México www.imperva.com IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F.11520 Informes: cynthia.ortega@imperva.com Tel: 55 8000 2370 Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.
opinión Ingeniería social El hackeo al ser humano Un enfoque holístico Cristina Ledesma (CISA, CISM, CRISC y Auditor Sr. ISO 27001), Ana Ledesma y Maricarmen Pascale maria.cristina.ledesma@gmail.com analedesma12@yahoo.com maricarmen.pascale@gmail.com Introducción Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera. Albert Einstein Antecedentes La primera vez, hace muchos años, cuando escuché el término ingeniería social, en la acepción que lo usamos en seguridad de la información, me pareció un poco contradictorio debido a mi concepción de la ingeniería como algo sistémico, estructurado y procedural, en contra de lo social que es tan dinámico, variado y en muchos casos no estructurado si consideramos lo diverso y multifacético de las personas, dada su educación, su formación, el contexto en el que viven y las experiencias que desarrollan o las condiciones de vida que enfrentan, disfrutan o padecen. Luego de una investigación somera de los antecedentes, me di cuenta de lo limitado de mi visión y de mi conocimiento acerca de los diversos ámbitos en que este término se ha aplicado en la historia, mucho antes de que la seguridad de la información lo adoptara. Ingeniería social es un término empleado en ciencias políticas en un doble sentido, uno refiere a esfuerzos para influir actitudes, relaciones o acciones sociales en la población de un país o región, y el otro una manera de implementar programas de modificaciones sociales. A pesar de las connotaciones negativas que el término tiene hoy, hay que notar que todo esfuerzo de una organización social o civil con el objetivo de cambiar el comportamiento puede calificarse como ingeniería social. Si pensamos en el ámbito de la política veremos que el término es definitivamente aplicable; en EE.UU. los políticos conservadores han acusado a sus oponentes de realizar ingeniería social debido a su promoción de la corrección política, dado que esta intenta definir los lenguajes aceptables o inaceptables. Ambos, el conservadurismo y la derecha, han sido acusados de ingeniería social, en tanto que promocionan conductas sociales de orden derivadas de consideraciones morales o religiosas. Origen y evolución del término El uso de la expresión se inició en 1894 con un ensayo del empresario y filántropo holandés J.C. Van Marken, difundido en Francia por Émile Cheysson (uno de los integrantes del Musée Social), pero recibió su mayor impulso en EE.UU. a través del libro Social Engineering del reformista social W.H. Tolman, conocido en aquella época por ayudar a los pobres. La idea central es que no había en las empresas una función social (algo así como los departamentos de recursos humanos de hoy), por lo que el ingeniero social tenía una función de mediador para resolver los conflictos como intermediador racional entre el capital y el trabajo. En esta acepción, el ingeniero social debía contar con habilidades sociales, en contraste con el uso posterior del término, basado en la metáfora de la máquina que se convierte en el núcleo del concepto peyorativo actual, popularizado a partir de 1911 1. 16
Se sugiere que el origen del término está en el concepto filantrópico de los pensadores liberales de la segunda mitad del siglo XIX como los intermediarios racionales entre el capital y el trabajo. Para las décadas 30 y 40 del siglo XX el término había caído en desuso 2. A partir de esta especialización, se generaliza el concepto de que la ingeniería social puede ser una técnica o método para lograr una variedad de resultados, es decir, deja de ser un instrumento para resolver problemas sociales y se transforma en uno para manipular a la población. Es evidente en este punto que la propaganda puede ser considerada ingeniería social, así como las campañas políticas y la religión, dado que buscan lograr un comportamiento específico en las masas. En 1945 Karl Popper reintroduce el término con la acepción de implementación de métodos críticos y racionales de la ingeniería y ciencia a los problemas sociales 3. Presentación del problema ingeniería social y seguridad marco legal Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Uno de los fines más comunes para lo que se usa la ingeniería social es para el robo de dinero, ya sea a través de la página de un banco, de un cajero automático (ATM) o por teléfono, dependiendo de las funcionalidades de estos servicios en los bancos o empresas financieras. El delito que se constituye en este caso es robo de identidad y no en todos los países existe legislación específica o está legislado como delito informático. Esta circunstancia es complicada, pero a mi entender es más complicado y angustiante para la víctima poder demostrar que efectivamente sufrió un robo de identidad y que todo el dinero que le falta en su cuenta no lo tomó, o que los varios préstamos que tramitaron en su nombre no los realizó. Este tipo de crímenes han sido posibles dada la característica de anonimato que brinda Internet y porque, en términos generales y a mi entender, las páginas Web que las entidades financieras ponen a disposición de las personas físicas no brindan las suficientes medidas de seguridad, como podrían ser las técnicas de autenticación de varios factores (MFA multi factor authentication), así como medidas de concientización explícitas y presenciales, más allá de los simples tips de seguridad que encontramos en las páginas Web a las cuales por supuesto el usuario promedio no ingresa. Desde el punto de vista del banco o institución financiera es también todo un desafío las investigaciones y diligencias que deben seguir para llegar a concluir que efectivamente la persona fue víctima de un delito y que no está mintiendo, considerando que en estas situaciones hay aspectos psicológicos a analizar como el comportamiento financiero de la persona, el perfil de relacionamiento o vinculación con el banco además de los temas de correlaciones en el comportamiento, es decir, de cuántas extracciones se trata, qué frecuencia tienen, de qué monto, dónde estaba la persona cuando las extracciones se produjeron, si hizo gastos importantes al mismo tiempo que las extracciones y que no coinciden con su perfil, etcétera. En algunas situaciones los clientes que fueron víctimas pueden llegar a sentir que son culpables hasta que demuestren lo contrario, aunque en términos generales los bancos se hacen cargo y devuelven el dinero a los clientes luego de las debidas investigaciones. Otro aspecto también importante y que agrega complejidad es si las autoridades policiales de los diferentes países están capacitadas en conocimientos específicos (computación forense y otros) como para gestionar los delitos informáticos. Por qué el promedio de las personas puede caer ante estos ataques, es una explicación que dejaremos para la sección psicológica de este artículo. El proceso es gradual y consta de varios pasos con una estrategia bien definida; lo siguiente a la obtención de información es conocer el perfil de la víctima y definir cuál es el medio más eficiente para apoderarse de sus datos sensitivos, para hacerse pasar por ella. El aspecto psicológico Siguiendo con el tema, investigamos qué aportes puede hacer la psicología. Son varios los perfiles que encuadran bien con el de la víctima, pero para no extendernos nos referiremos al más común y el que más aparece: el complejo de superhéroe Quién al ver que alguien pide ayuda no ha estado tentado a ayudar? Estadísticamente sería 70% de la población mundial, porque el ser humano originariamente nace bueno, el 30% restante son los sociópatas o psicopáticos. (EE.UU. - DSM4 Manual diagnóstico y estadísticas de trastornos mentales). Julio - Septiembre 2014 17
Qué se siente cuando se ayuda?, primero el agradecimiento de la persona, con frases como Dios lo bendiga, me salvó el día, no hay gente como usted en estos tiempos, etcétera. Esto actúa como un fuerte reforzador para que la conducta de ayudar se repita Por qué un bombero entra a un gran incendio a salvar a alguien? Por el sueldo? No, porque al salvarlo además del agradecimiento de la víctima y la familia recibe aplausos y reconocimiento social, humano y de sus superiores. El que más lo gratifica es el social y humano y lo refuerzan los titulares de la prensa ( Bombero héroe salva anciana! ). Desde niños aprendemos que ayudar es bueno, y lo es a veces. Cuando estamos frente a delitos informáticos, es diferente. El victimario sabe que si pide ayuda y hay tres personas, por lo menos dos se ofrecerán. Y dicho victimario sí es un sociópata. Sus características son parecer inofensivo, indefenso, preocupado, deprimido. En realidad es frío, calculador, mitómano y siempre sabe lo que hace: sabe diferenciar el bien del mal, pero no le importa (España-CTIO, Clasificación estadística internacional de enfermedades y problemas de salud). Si de alguna manera lo detienen, cosa improbable ya que siempre tiene un plan b, c, d, etcétera, es capaz de engañar al mejor juez o psiquiatra y psicólogo, ya que es un gran simulador. No le importa el daño que inflige o si hace sentir mal al otro, es más, se siente bien, y si son internados, lamentablemente no suelen ser curables. No existe aún fármaco para esta disfunción y no es considerado por DSMV (Manual diagnóstico y estadístico de los trastornos mentales) como una patología. Así que empecemos a enseñar a nuestros niños que ayudar es bueno, pero no en una situación en la que haya que mostrar documentación o información sensible. Y ya que el sociópata puede ser muy violento si no logra su fin, es recomendable analizar todo pedido de ayuda cuando viene de un extraño muy amigable. Lamentablemente nuestra sociedad ha evolucionado mucho en algunos aspectos, pero hay 30% de seres humanos que, creo, INVOLUCIONAN, ya que se despiertan y se duermen pensando cómo hacer el mal, para su propio beneficio 4. Para no ser tan pesimistas, nos quedamos con 70% de la población que sí es buena pero deben saber que LOS HÉROES NO EXISTEN. El aspecto legal Diversos estudios internacionales han demostrado que el robo de identidad se ha convertido en el delito del milenio y es una de las actividades ilícitas de mayor crecimiento en los últimos años. En lo que respecta a la regulación jurídica en materia de robo de identidad, distintos organismos internacionales han tomado la iniciativa de actuar sobre este tema. A continuación presentamos una breve reseña de documentos que fueron elaborados por diferentes organismos: Organización para la Cooperación y el Desarrollo Económicos (OCDE). En el año 1999 aprobó un conjunto de directrices tendentes a proteger el comercio electrónico, con medidas para la elaboración de estrategias de prevención del hurto de identidad. En 2008 publicó un estudio sobre el hurto de identidad en línea, el scoping paper on online identity theft, en el cual se analizaron las diferentes estafas relacionadas con el hurto de identidad a través de Internet, las cuestiones relacionadas con las víctimas y los ámbitos de aplicación de la ley. En el mismo 2008 publicó el documento Policy Guidance on Online Identity Theft, que establecía una perspectiva general de las diferentes estrategias para responder al hurto de identidad relacionado con Internet. Unión Europea. En mayo de 2007 indicó que la cooperación policial y judicial en el seno de la Unión Europea se vería facilitada si el hurto de identidad se tipificara como delito en todos los estados miembros. En julio de 2007 inició un estudio comparativo sobre las definiciones de la expresión hurto de identidad utilizadas en los estados miembros de la Unión Europea y sus consecuencias penales. Naciones Unidas. La convención de las Naciones Unidas contra la delincuencia organizada trasnacional constituye la base jurídica aplicable en materia de cooperación en los casos de fraude trasnacional vinculados en materia de robo de identidad. El Consejo Económico y Social de las Naciones Unidas, por Resolución 2004/26 estableció directrices sobre la variedad de delitos que suponen la falsificación de identidad. En el informe de 2007 de la oficina de Naciones Unidas contra la droga y el delito se dedicó un apartado al análisis del robo de identidad. Además en su informe de 2010 The globalization of crime, a transnational organized crime threat assessment, un apartado del mismo se vincula al robo de identidad. 18
En el derecho comparado entre los países que han tipificado el delito de robo de identidad, se encuentran Canadá, Estados Unidos y Reino Unido. La ley federal de Canadá define el robo de identidad como la obtención y posesión de información de la identidad de una persona con la intención de engañarla o realizar actos deshonestos o fraudulentos en su nombre. A nivel federal, Estados Unidos define el robo de identidad como el que a sabiendas, posea, transfiera o use, sin autoridad legal, un medio de identificación de otra persona con la intención de cometer, ayudar o instigar, cualquier tipo de actividad ilegal. En el Reino Unido, el robo de identidad se encuentra definido por el Home Office Identity Fraud Steering Committee, como el acto por el cual alguien obtiene información suficiente acerca de la identidad de otro para facilitar el fraude de identidad, con independencia de que la víctima esté viva o muerta. Si bien en Uruguay no se encuentra tipificado en el código penal el delito de robo de identidad, ante un hecho de ingeniería social, en el cual se engaña y manipula psicológicamente a la víctima para que revele datos personales que no brindaría en circunstancias normales, se debería aplicar el artículo 347 que tipifica la estafa: el que con estratagemas o engaños artificiosos, indujere en error a alguna persona, para procurarse a sí mismo o a un tercero, un provecho injusto, será castigado con seis meses de prisión a cuatro años de penitenciaría. Conclusiones Desde el punto de vista psicológico ya fue expresado anteriormente que no existe una cura para esta patología, por lo que de nuevo hay que educar y prevenir a la posible víctima. Desde el punto de vista legal es clave una mejor legislación del delito informático y en especial del robo de identidad, fundamentalmente en los países latinoamericanos. También debe mejorarse la cooperación internacional para lograr acuerdos que permitan intercambiar conocimientos, prácticas y leyes que, una vez validada su efectividad, puedan ser tomadas como base por otros países que aún no tengan la legislación. Esto es vital, sobre todo teniendo en cuenta que estos delitos cruzan las fronteras ya que en muchos casos se valen de Internet. Desde el punto de vista técnico lo que podemos decir de la ingeniería social es que es cada vez más complejo ya que no se utiliza sola sino en combinación con phishing y spoofing de sitios Web, spam y malware en general, lo que hace más difícil aún para un usuario medio detectar ciertos comportamientos que lo prevengan de caer en la trampa. Lamentablemente también se usa en actos tan terribles como la trata de personas, la pornografía infantil y el secuestro, lo que nos lleva a pensar una vez más que en ambas acepciones (la positiva y la negativa), algo que puede generar resultados tan extremadamente opuestos sólo puede ser mitigado con educación y concientización en principios, valores y seguridad, con fuertes castigos una vez que los delitos se constatan. Finalmente, hay que indicar que lo anterior es una responsabilidad de todos, no sólo de los bancos y empresas, sino también de las autoridades, si es que realmente queremos avanzar hacia una sociedad de la información donde los servicios ciudadanos sean digitales, así como de los profesionales en seguridad e instituciones como ISACA que tienen una misión de compromiso con la sociedad. Referencias Bill S-4: An Act to amend the Criminal Code (identity theft and related misconduct), en http://www.lexology.com/library/detail.aspx?g=36d58195-58f3-43c2-9872-200ae899787e 18 U.S. Code 1028 - Fraud and Related Activity in Connection with Identification Documents, Authentication Features, and Information, en http://www.law.cornell.edu/uscode/text/18/1028 http://www.identitytheft.org.uk/identity-crime-definitions.aspx ISACA: Control Journal, ediciones 2012 y 2013. DSMV (Manual diagnóstico y estadístico de los trastornos mentales). CPU 2012 al 2014 Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al 2014 - Publicación Semanal sobre psicología 1 Wikipedia, definición de ingeniería social. 2 Wikipedia, definición de ingeniería social. 3 Wikipedia, definición de ingeniería social. 4 CPU 2012 al 2014 Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al 2014 - Publicación semanal sobre psicología. Julio - Septiembre 2014 19
c o n e x i o n e s Desde la trinchera Marcos Polanco Velasco CISSP, CISM y CISA mpolanco@scitum.com.mx Estableciendo un lenguaje común en ciberseguridad Actualmente se habla mucho sobre ciberseguridad y los nuevos riesgos a los que estamos expuestos pero, entendemos todos lo mismo sobre ciberseguridad?, sabemos cuáles son esos nuevos riesgos?, tenemos claridad en cómo enfrentar los nuevos tipos de ataques? Dada la importancia de estos temas, a partir de este número empezaremos a dedicar un espacio para tratar diversos temas relacionados con ciberseguridad y ciberinteligencia. En esta ocasión iniciaremos con una serie de definiciones elementales, pretendiendo establecer un lenguaje común que nos permita crear un marco de referencia y contexto general para futuros artículos. Las definiciones están basadas en diversas fuentes 1 y en algunos casos llevan un poco de mi cosecha. Antes de entrar en materia, quisiera comentar algunas premisas que hay que tener presentes como parte de este contexto común y que hacen que los conceptos a describir más adelante sean relevantes: Los atacantes han cambiado, ahora son grupos organizados con las capacidades y los recursos para concretar sus metas además de contar con una motivación y una clara definición del objetivo que persiguen. Las estrategias de ataque son más complejas y de largo plazo, utilizan múltiples pasos para llegar a su objetivo, combinan diversas técnicas de explotación (exploits) y de evasión, emplean malware avanzado así como diversos mecanismos para pasar desapercibidos. Los ataques ahora son dirigidos, es decir, se planean, articulan y ejecutan pensando en el perfil particular de la víctima, de tal forma que sea mucho más factible el éxito. Lo anterior, aunado al valor de la información que los atacantes buscan extraer, provoca que su impacto sea muy alto. En otras palabras, la probabilidad de ocurrencia y el impacto de estos riegos se han incrementado significativamente. Por último, si bien puede sonar pesimista o un tanto catastrófico, en este momento la mayoría de los expertos coinciden en que debemos pensar que es casi un hecho que seremos atacados y que la probabilidad de éxito de dichos ataques es alta, por lo que se vuelve prioritario trabajar en fortalecer, entre otras, la capacidad de detectar que estamos siendo víctimas de un ataque avanzado; de analizar su estructura y comportamiento para poder contenerlo y remediarlo; así como de analizar los efectos o el impacto que se haya tenido. A continuación menciono algunas de las definiciones que considero básicas para entender el contexto y establecer ese lenguaje común: APT (advanced persistent threat, ataque persistente avanzado). Ciberataque en contra de una entidad específica realizado por un ciberactor para robar, por un tiempo prolongado, información valiosa. Los atacantes buscan pasar inadvertidos y utilizan múltiples métodos para vulnerar a la organización objetivo, estos normalmente son difíciles de detectar y remover sobre todo para las tecnologías de seguridad tradicionales. Una vez que el blanco es vulnerado se crean puertas traseras que permiten al atacante tener acceso continuo (esto se conoce como comando y control) sobre los sistemas comprometidos. El atacante busca expandir su alcance tomando control de más equipos y así afianzar su permanencia (lograr la persistencia), para mantener el acceso por largos periodos de tiempo con el fin de recolectar más información sobre el blanco, realizar más ataques (movimientos laterales) hasta que se logre el acceso y extraer la información objetivo. 20