bSecure — Mayo, 2010

EMPOWERING BUSINESS CONTINUITYMayo 2010 · 62 · www.bsecure.com.mx

$80.

00 M

.N.

En el arranque de la segunda década del siglo

XXI dos realidades son claras para la humanidad.

Uno, el internet ya comenzó a consolidarse como el pilar

central de las sociedades modernas. Dos, la viabilidad de esa infraestructura pende

de un hilo a consecuencia de su mayor enemigo, el

cibercrimen

2010-2020CIBERCRIMEN

PROYECTO

Mayo, 2010 B:SECURE 1

MAY2010ACCESO

EMPRESAS EN MÉXICO DEBERÁN INFORMAR SOBRE BRECHAS DE SEGURIDAD El Congreso de la Unión aprobó la Ley de Protección de Datos Personales en Posesión de los Particulares en México, que obligará a las personas físicas o morales privadas que recaben almacenen y utilizan datos personales a informar a su titular cuando la seguridad que los protege sea vulnerada.

B:SECURE FOR BUSINESS PEOPLE

LA FUNCIÓN DE SEGURIDAD, EL PRIMER PASO A SEGUIRSegunda de cuatro partesPara crear una adecuada función de seguridad de la información es fundamental conocer las expectativas de la organización en materia de seguridad para tener perfectamente claro cuál es el propósito de dicha función.

OPINIÓN

QUIERO DESAPARECER…O POR LO MENOS NO DAR INFORMACIÓNMuchas personas desconocen cuánta información existe en internet sobre sí mismos. Algunos, después de reflexionar simplemente buscan la manera de desaparecer. ¿Pero qué sucede con los datos personales dentro de las empresas?

EXPEDIENTE CERO¿Qué se necesita para ser un investigador en forensia digita ? Una reflexión para todos los profesionales involucrados en el análisis forense digital.

LA LEY Y EL DESORDEN

ACTA 2ª PARTELa tremenda secrecía, falta de transparencia y ánimo excluyente o discriminatorio con el que se llevaban las negociaciones de ACTA han llegado a su fin, pues en un hecho histórico los países negociadores del tratado decidieron hacer público su contenido.

AUDITORIA EXTREMA

¡OTRA PRÓRROGA A LA LEY, POR FAVOR!Dentro de unos meses la facturación electrónica será obligatoria; pero la mayoría de las empresas y las personas físicas no están preparadas para adoptarla.

SEGURO QUE LO QUIERES…Abrimos una nueva sección en b:Secure , en esta ocasión analizamos los cinco puntos que te hacen desear o desestimar la iPad de Apple.

06 LOGIN 31 SINNÚMERO

16PROYECTO CIBERCRIMEN 2010-2020Al final de la primera década del siglo XXI dos

realidades son claras para la humanidad. Uno, el internet ya comenzó a consolidarse como la base de la

comunicación, economía y la operación de empresas, gobiernos y ciudadanos. Dos, la viabilidad de esa

infraestructura pende de un hilo a consecuencia de su mayor enemigo; el cibercrimen

9 de Junio 2010Camino Real Monterrey

Producido por

Un evento deINFORMES:Tel. 2629 - 7260, lada sin costo 01800 670 6040 Opción 4.

www.bsecureconference.com.mx/mty

The Cloud Reloaded: Seguridad en la nube

The Net, socialmente peligrosas

Yo empleado: mas movil y mas inseguro

Infiltrados: en mi empresa

El abogado del hacker: La ley y marco juridico armas reales contra el cibercrimen?

Collateral Data Loss Prevention

5 Conferencias Magistrales

Show de clausura con Hector San Marino

Expo comercial

Agenda

Ademas

?

4 B:SECURE Mayo, 2010

ENLÍNEAHACKER LOGRA CORRER ANDROID EN EL IPHONEEl hacker David Wang publicó un video en el que muestra cómo logró correr el sistema operativo para móviles de Goo-gle en un iPhone de segunda generación.Según relata Wang, miembro del conocido grupo de hackers de productos de Apple Dev Team, trabajó todo un año en esta tarea. Ayudado de herramientas de Linux, Wang logró que la estrella de Apple corriera en forma dual su sistema ope-rativo, iPhone OS y Android a través del programa OpeniBoot.“Aún instalando Android, tu iPhone puede ser utilizado normalmente”, aclaró en su entrada de blog.Sin embargo, advirtió que no está libre de fallas la implementación de Android en el iPhone, lo cual podría ser corregido en una versión de producción masiva.En un video inserto en su blog Linuxoniphone.blogspot.com, muestra paso a paso el proceso completo por el que logra que Android se despliegue en la pantalla del iPhone. Ni Apple ni Google hicieron comentarios respecto a la instalación de dicho operativo en el iPhone. Sin embargo, la firma con el símbolo de la manzana ha estipulado, en diversas ocasiones, que cualquier violación al software del teléfono incurriría en una anulación de la garantía del equipo.

ROBO DE INFORMACIÓN A ONU, INDIA Y DALAI LAMA APUNTA A CHINASuena a dèja vú, pero nuevamente China está implicada en un robo masivo de información y el Gobierno chino de nue-vo ha negado las acusasiones.

Las evidencias apuntan hacia el territorio chino como la ubicación desde donde se perpetró un ataque coordinado para sustraer información ilegalmente del Ministerio de Defensa en India, la Organización de las Naciones Unidas (ONU) y de las oficinas del Dalai Lama.

Apenas en enero Google y otras compañías estadunidenses sufrieron robos de información y propiedad industrial, que provocaron el rompimiento de sus relaciones con China, y obligaron a la firma a eliminar la censura que había aplicado a sus resultados de búsqueda a solicitud del Gobierno para finalmente redirigir el tráfico de su buscador chino al de su sitio en Hong Kong.

De acuerdo con los investigadores del Monitor de Información Bélica de Citizen Lab, que hicieron público el hallazgo del ataque, les llevó ocho meses monitorear a los atacantes. Encontraron que los hackers tenían en su poder información clasificada de gobiernos, instituciones académicas y de empresas.

Mónica Mistretta DIRECTORA GENERAL

Elba de MoránDIRECTORA COMERCIAL

Gabriela Pérez SabatéDIRECTORA DE

PROYECTOS ESPECIALES

Alejandro CárdenasDIRECTOR DE ARTE

Iaacov ContrerasCIRCULACIÓN Y SISTEMAS

Gabriela BernalDIRECTORA

ADMINISTRATIVA

José Luis CaballeroASESORÍA LEGAL

EDITORCarlos Fernández de Lara

CONSEJO EDITORIALRafael García, Joel Gómez,

Roberto Gómez, Ricardo Lira, Ivonne Muñoz, Adrián Palma,

Luis Javier Pérez, Salomón Rico, Héctor Méndez, Jorge Varela, Andrés Velázquez,

Gilberto Vicente, Lizeztte Pérez, Raúl Gómez.

COLUMNISTASAdrián PalmaJoel Gómez,

Roberto Gómez, Ricardo Morales, Adrián Palma, Mario Ureña,

Andrés Velázquez, Elihú Hernández,Mario Velazquez

EDITOR ON LINEEfraín Ocampo

WEB MASTERAlejandra Palancares

DISEÑOPablo Rozenberg

ASISTENTES DEREDACCIÓN

Gabriela Rivera, César Nieto, Oscar Nieto

VENTAS Y PUBLICIDADMorayma Alvarado, Carmen Fernández, Cristina Escobar

SUSCRIPCIONESSonco-Sua Castellanos, Diana

Zdeinertb:Secure es una publicación mensual de Netmedia, S.A. de C.V. Se distribuye gratuitamente con circulación controlada y calificada.©2007. Todos los derechos reservados. Prohibida la reproducción total o parcial por cualquier medio, incluso los electrónicos sin autorización previa y por escrito de los editores. El contenido de los artículos es responsabilidad exclusiva de sus autores. La información ha sido obtenida de fuentes que se consideran fidedignas, pero en ningún caso deberá considerarse como sugerencia o recomendación para adquirir o utilizar bienes o servicios. Aunque los editores investigan sobre la veracidad de los anuncios publicados, declinan toda responsabilidad sobre su contenido y sobre las declaraciones, ofertas y promociones contenidas en ellos.Los artículos reproducidos de otras publicaciones están sujetas a edición. Reserva de derechos ante la Dirección General de Derechos de autor: 04-2003-052614050400-102.Autorización como publicación periódica por Sepomex, PP09-1119. Certificados de licitud de título (12580) y contenido (10153) por la

Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Editora responsable: Mónica Mistretta ([email protected]).Impresa en Impresiones Modernas S.A. de C.V., Sevilla 702-B, Col. Portales, México D.F. 03300. Netmedia, S.A. de C. V., Sócrates 128, 4° piso, Col. Polanco, México, D.F. 11560, teléfono 2629-7260 Fax: 2629-7289. www.netmedia.info

CARTAS AL EDITORDirija su correspondencia a b:Secure, Cartas al editor, Sócrates 128, 4° piso, Col. Polanco, México, D. F. 11560, Fax: 2629-7289 y correo electrónico: [email protected] efectos de identificación incluya nombre, cargo, compañía, dirección, teléfono y correo electrónicol. El editor se reserva el derecho de condensar las cartas por motivos de espacio, así como el de incluirlas indistintamente en las versiones impresas y electrónicas de sus publicaciones.

SUSCRIPCIONESPara solicitar una suscripción gratuita visite el sitio: www.netmedia.info/forma/ Todas las solicitudes serán sometidas a calificación antes de ser autorizadas. Sólo se considerarán lectores domiciliados en México. Dirija su correspondencia a: [email protected]

PUBLICIDADPara contactar a los ejecutivos de ventas o solicitar información sobre tarifas y espacios publicitarios, comuníquese al teléfono 2629-7260 o escriba a: [email protected]

En Estados Unidos y Canadá: Emily Ospenson-Crume, CMP Worldwide Media Networks, Teléfono: (650) 513-4374

[LOS EDITORES DE NETMEDIA HABLAN SOBRE LOS TEMAS DE MÁS ACTUALIDAD DE LA INDUSTRIA]

FABUOLUS BLOG Fabiola González, editora de InformationWeek México, analiza las tecnologías y los protagonistas que están cambiando la forma de hacer negocios.

TEMA LIBREEfraín Ocampo, editor online, retoma los sucesos más importantes de la semana para exponerlos de manera crítica y amena.

AUNQUE ME CORRANCarlos Fernández de Lara, editor de b:Secure, comenta, reseña y critica los temas más relevantes y escalofriantes de la seguridad IT.

BLOGUEROS INVITADOS: Mónica Mistretta (Netmedia), Miguel de Icaza (Novell), y Fausto Cepeda (Banco de México).

Estos y otros artículos en www.bsecure.com.mx

BSECURE.COM.MX


La octava ronda de negociaciones del Acuerdo Comercial Antifasilifca-ción (ACTA, por sus sigls en inglés) celebrada en Wellington, Nueva Ze-landa, analiza no desconectar a consumidores de piratería en internet.

De acuerdo con filtraciones de la última reunión, donde se discutió cómo quedará el Acuerdo por el que se pretende proteger los conteni-dos con derechos de propiedad intelectual dentro y fuera de internet, Es-tados Unidos, Corea del Sur, la Unión Europea y Japón se pronunciaron

por dejar el corte de internet para quienes descarguen contenidos prote-gidos a cada país.

Lo anterior, implicaría que cada nación participante en el acuerdo, en-tre los que se cuenta a México, podría emitir su propia legislación en donde se contemplaría de manera opcional la medida de la suspensión de internet y que ACTA no los obligaría a legislar a favor de la suspen-sión del servicio a quienes compartieran con ánimo de lucro contenidos protegidos.

El grupo difundió un comunicado posterior a la reunión en Nueva Ze-landa en el que informaron que durante 2010 llegarán a un borrador de-finitivo, pero que aún se concentrarán en Suiza para continuar con las negociaciones del tratado antifalsificación.

“Aunque los participantes reconocen la importancia de responder efi-cazmente al reto de la piratería en internet, nadie está proponiendo obli-gar a los gobiernos a establecer un sistema de ‘respuesta gradual’ o ‘tres avisos’ para las infracciones de los derechos de propiedad intelectual en la red”, indica el comunicado.

Además, negaron los rumores de que ACTA podría impulsar el esta-blecimiento de normas que obliguen a las autoridades aduanales a revisar equipaje o información en sus laptop con el fin de sancionar a quienes se les encuentre mercancías o contenidos que violen el derecho a la pro-piedad intelectual.

ACTA NO IMPONDRÁ SUSPENSIÓN DE INTERNET

LOGINLOGIN

Investigadores de seguridad de Google analizaron más de 240 millones de páginas web y detectaron que cerca de 11,000 dominios de todo el mundo son distribuidores de soluciones falsas de seguridad, mejor cono-cidas como rogueware o scareware.

La infección de internautas, mediante programas de Antivirus falsos, mejor conocidos como rogueware o scareware representan 15% de todo el malware en la red, de acuerdo con expertos de seguridad de Go-ogle.

En el blog de seguridad de la compañía, Niels Provos, del equi-po de seguridad de Google escribió, que tras una análisis a 240 millo-nes de páginas web el buscador en línea detectó que más de 11,000 dominios en todo el mundo son distribuidores de rogueware o sca-reware.

Según los expertos de Google, que publicaron su descubrimiento en el reporte Usenix Workshop on Large-Scale Exploits and Emergent Threats, afirmaron que este tipo de códigos maliciosos ya representan 15% de todo el malware en el web.

Cabe recordar que el scareware o rogueware, contrario a ser un códi-

go malicioso sofisticado, se vale del temor humano para infectar a sus víctimas.

Así, a través de pantallas emergentes, que dan aviso de que la com-putadora está infectada con un virus, obligan al usuario a descargar e instalar un programa en su equipo, que en realidad contiene un código

malicioso.“Este tipo de software maliciosos

toma ventaja del miedo que tienen los usuarios porque sus computa-doras se infecten lo que los incita a tomar acción correctiva, que es lo que termina por infectarlos”, apun-tó Provos.

De acuerdo con los datos de Go-ogle, los ataques de Antivirus fal-sos representan 50% de todo el malware entregado a través de pu-blicidad en línea comprometida o apócrifa, esto es cinco veces más que lo registrado durante 2008.

Provos también resaltó que 60% de los dominios en internet que

distribuyen este tipo de códigos maliciosos incluyen el uso de palabras populares, para ser localizados con mayor facilidad por los motores de búsqueda.

MÁS DE 11,000 DOMINIOS DISTRIBUYEN ROGUEWARE: GOOGLE


Diez organismos encargados de proteger los datos de los ciudadanos del mismo número de países pidieron al CEO de Google, Eric Schmidt, cuidar la privacidad de sus ciudadanos en sus productos.

Las autoridades de protección de datos de Alema-nia, Canadá, España, Francia, Irlanda, Israel, Italia, Nueva Zelanda, Países Bajos y Reino Unido acusaron que Google Buzz no da las “garantías adecuadas” para proteger la privacidad de sus usuarios.

Además de las quejas contra la nue-va red social de Google, Buzz, los 10

gobiernos cuestio-

naron cómo su servicio Street View protege la priva-cidad de los ciudadanos.

En la carta abierta llamaron a Google a adherirse a los “principios fundamentales sobre privacidad” al momento de desarrollar nuevos servicios.

“Lanzar un producto en versión de prueba (Beta) no sustituye la obligación de asegurar que los nuevos servicios están en conformidad con principios de in-formación favorables antes de que sean liberados”, de

acuerdo con la carta.El grupo llamó a Google a recopilar la mínima

cantidad de datos personales que sea necesaria para echar a andar un servicio.

Según lo expuesto en la carta, el grupo demanda una respuesta del CEO de Google. Hasta el momento los reportes consignan que la compañía ha reiterado que se esfuerza por establecer controles significativos en sus productos para proteger la información que re-copilan y usan.

En el documento le recuerdan a Google que cuan-do arrancó la integración de Gmail con Buzz era po-sible de manera predeterminada que un contacto de un usuario, y los seguidores del primero, pudieran

ver todas sus direcciones de correo solo por haber sido integrados automáticamente en Buzz. Enton-ces Google pidió a sus usuarios ajustar sus contro-

les de privacidad.Paradójicamente, Google y otras 16 organizacio-

nes, además de tres decenas de individuos, forman parte de una coalición que empuja en Estados Unidos una reforma integral a la Ley de Privacidad de Comu-nicaciones Electrónicas.

La coalición demanda que la legislación sea ac-tualizada para corregir supuestas contradicciones en cuanto al acceso del gobierno estadunidense al co-rreo electrónico, la ambigüedad atribuida a la ley por algunas cortes locales y la incertidumbre constitucio-nal que la ley le proporciona al correo electrónico, entre otras.

Con el fin de responder a las necesidades del merca-do mexicano Desca, uno de los principales socios de negocios de Cisco y proveedor de infraestructura de redes y servicios, invirtió en el desarrollo de nuevas instalaciones y oficinas en México.

El objetivo detrás de la inversión dijo Jorge Alva-rado, presidente global de Desca, es generar un lazo más estrecho con los clientes del país, extender su al-cance en todo la República Mexicana y cimentar la de expansión de la firma a otras regiones en América Latina.

“En Desca no buscamos ser ni un integrador ni un proveedor, queremos que el cliente nos pida lo que necesi-ta, y para poder cumplir con ese re-quisito es que decidimos invertir en estas nuevas oficinas, luego de cuatro años en el mercado mexicano”, expli-có Alvarado.

Las nuevas oficinas de Desca no conllevan únicamente la inversión en instalaciones, pues de acuerdo con Alvarado, la compañía también ha invertido en la implementación de procesos, per-sonas y tecnología dentro de su infraestructura.

De hecho, agregó Alvarado, al ser el único partner Gold certificado de Cisco en el área de Comunicaciones Unificadas, Desca ha invertido alrededor de un millón de dólares tan solo en la instalación de una sala de tele-presencia en sus oficinas.

El objetivo, dijo el ejecutivo, es reducir los costos de operación y comunicación dentro de Desca Méxi-co y sus 14 filiales en el resto de América Latina. Y

al mismo tiempo, de-mostrar a sus clientes en el país las ventajas en el uso de esta tec-nología.

“Con la crisis eco-nómica muchas com-pañías tienen la incertidumbre de in-vertir en tecnología, por el miedo que exis-te de que su integrador

o proveedor desaparezca por falta de estabilidad eco-nómica. Esta inversión que Desca hace en México de-muestra la posición de la compañía y su compromiso con los clientes en la región”, subrayó Alvarado.

DESCA EXPANDE SU PRESENCIA EN MÉXICO

PIDEN AUTORIDADES DE 10 PAÍSES A GOOGLE PROTEGER DATOS SonicWall anunció la

salida del NSA 2400MX, un nuevo Firewall de Administración Unificada contra Amenazas (UTM, por sus siglas en inglés), para las Pequeñas y medianas empresas. El nuevo 2400MX incluye soporte para 10 puertos de 1Gbe y 16 puertos de Fast Ethernet. Además ofrece capacidades de seguridad, como VLAN 802.1q, Multi-WAN e ISP failover, gestión basada en objetos y zonas, balanceo de cargas y modos NAT avanzados.

Kaspersky liberó Securelist un sitio web, que sustituye a Viruslist, con información relevante de las últimas amenazas en internet. La página incluye datos sobre los últimos ataques o códigos maliciosos, temas sobre cómo evitar el spam y pshishing, artículos analíticos, consejos para los practicantes de IT, sobre cómo reconocer las amenazas internas y acceso a blogs con información desarrollada por expertos.

Checkpoint lanzó una nueva tecnología denominada Streaming, que aumenta dramáticamente el desempeño de detección de antivirus y filtrado de URL de software blades, para todos los gateways de seguridad de la firma. Esta tecnología está disponible a través de una actualización de software sin costo adicional.

BREVES


En los últimos 12 meses los estadunidenses levantaron más de 336,655 denuncias contra delitos informáticos, 22.3% más que las 275,280 quejas registradas durante 2008, de acuerdo con el no-

veno Internet Crime Report 2009 del Internet Crime Complaint Cen-ter (IC3).

El estudio del IC3 fue publicado a finales de marzo en el sitio web del FBI, y subraya que además de un crecimiento en el número de denuncias por parte de los estadunidenses, también se elevó el monto defraudado por los cibercriminales, al rebasar los $550 millones de dólares.

La cifra es casi del doble de los $265 millones de dólares defraudados durante 2008, y casi siete veces más alta que los $125 millones de dóla-res que los cibercriminales robaron en 2003.

Cabe recordar que el IC3 es un organismo creado a raíz de una alian-za entre el FBI y el Centro Nacional contra los Delitos de Cuello Blanco, con el objetivo de proveer a los internautas un espacio para la denuncia, ayuda y combate al cibercrimen.

“Los riesgos que enfrentan los usuarios en internet no dejarán de existir. Es necesario que mantengan y eleven la seguridad en todos sus dispositivos y evalúen a detalle cada correo electrónico, oferta en lí-nea o solicitud sospechosa que reciban, para evitar caer en una trampa. Recuerden: si algo parece ser demasiado bueno para ser verdad, pro-bablemente lo sea”, apuntó Peter Trahon, jefe de la división de ciber-seguridad del FBI.

Del total de denuncias levantadas por el FBI y el IC3, 19.9% pertene-cían a fraudes por falta de entrega o pago de servicios y productos com-prados a través del web, seguido del robo de identidades con 14.1%, y el hurto de número de tarjetas créditos o cuentas bancarias con 10.4%.

El reporte explica que en 86.7% de las denuncias, las víctimas reporta-ron una pérdida monetaria de entre $100 y $5,000 dólares. En el 30% de estos casos, el impacto económico no fue menor a los $1,000 dólares.

Los expertos del IC3 reconocen que, dado la falta de fronteras y la máscara de anonimato que ofrece el cibercrimen, las víctimas únicamen-te lograron señalar uno o más sospechosos en el 35.1% de los casos.

Con las denuncias recibidas, el IC3 detectó que en el 65.4% de los ca-sos el criminal se encontraba en Estados Unidos, seguido del Reino Uni-do (9.9%), Nigeria (8.0%), Canadá (2.6%) y Malasia (0.7%).

MEXICANOS SOLICITAN AYUDA AL IC3Los datos del Internet Crime Report 2009 subrayan que no sólo los estadu-nidenses levantan denuncias por delitos informáticos ante el IC3, pues víc-timas en naciones como Canadá, Reino Unido, México, Australia y la India recurren a la información y ayuda entregada por el organismo.

Así, el 92.02% de las denuncias provinieron de Estados Unidos, 1.7% de Canadá, 0.96% del Reino Unido, 0.59% de Australia, 0.42% de la India. Mientras que México acaparó 0.16% de la denuncias, arri-ba de países como Sudáfrica y Filipinas, lo que permitió al país de ha-bla hispana estar entre las 10 naciones que más denuncias ingresan ante el IC3.

“Estas cifras demuestran que los criminales toman total ventaja del anonimato y clandestinidad que les ofrece internet. Además, han comen-zado a desarrollar sistemas y herramientas sofisticadas para defraudar a los consumidores. Sin duda el cibercrimen ha evolucionado de una ma-nera que hace cinco años era imposible de imaginar”, dijo But Brackman, director del Centro Nacional contra los Delitos de Cuello Blanco. ●

ACCESO

AUMENTAN PÉRDIDAS Y DENUNCIAS

POR DELITOS INFORMÁTICOS:

IC3 Y FBIEl monto por pérdidas relacionadas a los delitos informáticos en Estados Unidos se duplicó durante 2009, al rebasar los $550 millones de dólares, de acuerdo al Internet Crime Report 2009, publicado por el Internet Crime and Complaint Center (IC3).

Por Carlos Fernández de Lara


El diputado Camilo Ramírez Puente argumentó ante el pleno de la Cámara, cuando propuso el dictamen para las reformas, que se pretendía perseguir de oficio la reproducción, distribución y la

venta indiscriminada en vía pública de artículos y mercancías piratas.“Por este delito resultan perjudicados además de los creadores de obras

y productos intelectuales, los artistas, los músicos, los editores de músi-ca, los distribuidores y vendedores legalmente establecidos; así como las industrias culturales, como los productores de fonogramas, videogramas y software“, expuso Ramírez Puente.

Los artículos aprobados por 359 votos a favor, 12 abstenciones y 26 en contra, son el 429 del Código Penal Federal y el 223 Bis, de la Ley de Propiedad Industrial.

El primero estipulaba que los delitos en materia de derechos de au-tor se perseguirán por querella de la parte ofendida y, con la reforma, se perseguirán de oficio, excepto cuando un editor, productor o graba-dor produzca más números de ejemplares de una obra protegida por la Ley Federal del Derecho de Autor, que los autorizados por el titular de los derechos y haya tenido conocimiento de ello.

Con la modificación podrá ser perseguido de oficio quien produzca, reproduzca, introduzca al país, almacene, transporte, distribuya venda o arriende copias de obras, fonogramas, videogramas o libros protegidos por derecho de autor, en forma dolosa, con el fin de especulación co-mercial y sin la autorización del titular de los derechos, según el artícu-lo 424 de dicha ley.

El software es protegido por la Ley Federal de Derecho de Autor, no por la de Propiedad Industrial, de acuerdo con Gilda González, directo-ra adjunta de Servicios de Apoyo del Instituto Mexicano de la Propiedad Industrial. Por esa razón, el delito de venta de piratería de software tam-bién podría ser perseguido de oficio.

En materia de propiedad industrial, el artículo reformado permite per-seguir de oficio al que venda a cualquier consumidor final en vías o en lugares públicos, en forma dolosa y con fin de especulación comercial, objetos que ostenten falsificaciones de marcas protegidas por la Ley de Propiedad Industrial.

El dictamen no contempla lo mismo para quienes utilizan copias ilegales de software ni para quienes las venden o comparten por in-ternet.

El diputado Humberto Benítez Treviño, en su intervención a favor del dictamen, dijo que la industria de la recreación pierde $750 millones de dólares al año, de éstos se pierde un millón de dólares al día por concep-to de impuestos, con los que se podrían crear centros recreativos, hospi-tales, escuelas y programas de desarrollo social.

Por su parte, el diputado Arturo Zamora Jiménez citó cifras de la Cá-mara Americana de Comercio, según la cual la economía tuvo el año pa-sado una afectación de más de $964,000 millones de pesos. Asimismo, dijo que 8 de cada 10 personas compraron productos piratas el año pa-sado, y que 54% de los bienes que están en el comercio provienen de fal-sificaciones.

Las penas con las que un vendedor pirata podrá ser castigado van de los dos a seis años de prisión y con multas de los $5,746 pesos a los $574,600 pesos.

La iniciativa con proyecto de decreto fue presentada, aprobada y en-viada a la Cámara de Senadores por los diputados desde abril de 2008. Fue un año más tarde cuando fue discutida y aprobada por los senado-res, para enviar nuevamente a los diputados el expediente para su revi-sión. Casi un año después, a mediados de marzo de 2010, la Comisión de Justicia del Congreso sesionó sobre el dictamen para su presentación ante el pleno. ●

ACCESO PERSEGUIRÁN DE OFICIO A

VENDEDORES DE SOFTWARE

PIRATALa Cámara de Diputados

aprobó reformas al Código Penal Federal y a la Ley de Propiedad Industrial, que

permiten a las autoridades del país perseguir de oficio a

quienes vendan o comercialicen, en vías o lugares públicos,

mercancía pirataPor Efraín Ocampo


La legislación pretende no solo proteger la información que obtie-nen de los individuos y usan las empresas, sino que revisa que éstas protejan los datos personales con medidas de seguridad ad-

ministrativas, técnicas y físicas contra daño, pérdida, alteración, des-trucción o el uso, acceso o tratamiento no autorizado.

La seguridad no será la misma para todo tipo de datos persona-les, sino que las empresas deberán tomar en cuenta la sensibilidad de los datos, el desarrollo tecnológico y el riesgo existente de que sean mal utilizados o no sean tratados, de acuerdo con el aviso de privacidad.

De acuerdo con la Ley de Protección de Datos Personales las empresas deberán informar al titular en caso de sufrir una brecha de seguridad ya sea en la obtención, acceso, manejo, transferencia, disposición, divulga-ción o almacenamiento de los datos personales.

Por su parte, los terceros que establezcan contratos con empresas res-ponsables, solo deberán guardar la confidencialidad de los datos persona-les aún después de terminar la relación entre la empresa y el individuo.

La normativa estipula que será la Secretaría de Economía la responsa-ble de diseñar e instrumentar políticas, así como de coordinar la elabora-ción de estudios para el comercio electrónico.

Otra atribución de la Secretaría será promover el desarrollo y uso de IT en materia de protección de datos personales. Dicha condición podría incluir recomendaciones con el fin de orientar sobre la adopción de es-tándares y mejores prácticas internacionales, de acuerdo con las observa-ciones de la Comisión de Gobernación de la Cámara.

Los principales objetivos de la Ley son regular el tratamiento de la in-formación personal y el derecho de su autodeterminación informativa, lo cual significa que cada individuo debería conocer y decidir qué puede darse a conocer sobre él.

“Toda persona tendrá el poder de decidir y controlar si un tercero pue-de transmitir o utilizar sus datos, que van desde el teléfono o domicilio, hasta su religión”, concluyó la Comisión de Gobernación de acuerdo con las modificaciones efectuadas a la iniciativa.

Según la ley, los sujetos que ésta regulará son las personas físicas o morales que manipulen todo tipo de datos personales. Quedaron ex-ceptuadas de su cumplimiento las personas que recaban y almacenan datos personales para su uso exclusivo, sin fines de divulgación o utili-zación comercial.

La Ley prohíbe recabar o conservar datos mediante engaños o fraude, lo cual impediría al individuo conocer los términos y condiciones del tra-tamiento de su información personal.

Además de las penas que la Ley impone, como cinco años de cár-cel para quien recabe datos con engaños, el Instituto Federal de Acceso a al Información y Protección de Datos (IFAI), podrá sancionar econó-micamente a sus transgresores. Por ejemplo, deberá pagar de 200,000 a 320,000 días de multa, o $18 millones de pesos, a quien no guarde la confidencialidad de los datos personales.

También establece que el tratamiento de los datos personales está suje-to al consentimiento de su titular y que una vez que acepte los términos de privacidad y no manifieste oposición, estará de acuerdo tácitamente en cómo vaya a ser utilizada su información.

La excepción a lo anterior la tienen los datos financieros o patrimo-niales, los cuales requerirán el consentimiento expreso del titular, salvo cuando aparezcan en fuentes de acceso público o que exista una situa-ción de emergencia que dañe a un individuo en su persona o bienes, en-tre otras excepciones.

Además, se reconoce el derecho de los titulares de los datos de tener ac-ceso a su información, pedir la corrección, rectificación y cancelación. ●

ACCESOEMPRESAS EN

MÉXICO DEBERÁN INFORMAR SOBRE

BRECHAS DE SEGURIDAD

El Congreso de la Unión aprobó la Ley de Protección de Datos Personales en Posesión de los

Particulares, que obligará a las personas físicas o morales privadas, que recaban, almacenan y

utilizan datos personales, a informar a su titular cuando la seguridad que los protege sea

vulneradaPor Efraín Ocampo


No era el entrega de los Óscares, ni los Arieles, ni el Oso de Plata, pero Netmedia y b:Secure lograron reunir a los actores, actrices , directores y productores más importantes en la industria de la se-

guridad IT en México, en la 7º edición del b:Secure Conference Hollywood Meets Technology, en la Ciudad de México.

A lo largo de dos días de actividades y con más de 20 sesiones informativas entre conferencias magistrales y paneles de debate, los más de 260 asistentes al evento lograron conocer, discutir y analizar los temas más apremiantes en ci-berseguridad y continuidad de negocios que los CIO y CISO enfrentan dentro de los ambientes empresariales de México.

Los temas de este año abordaron desde los retos de privacidad y seguridad ante fenómenos como el Cómputo en la Nube, los dispositivos móviles inte-ligentes y las redes sociales, hasta el saber cómo lidiar con los temas de fuga y robo de información, la seguridad física y las certificaciones.

El tema central a lo largo del evento fue la urgencia de las empresas y CISO por transformar sus estrategias de seguridad y protección de información, ante los nuevos escenarios de comunicación, el crecimiento de internet y, so-bre todo, ante el cambiante escenario del cibercrimen en el mundo.

NO A LAS ESTRATEGIAS DE SEGURIDAD ESTÁTICASAnte los avances en la industria del cibercrimen, pero también con el creci-

miento de un planeta sin fronteras digitales entre usuarios, negocios y go-biernos, los responsables de seguridad deben evolucionar y dejar de pensar y operar como simples policías o guardianes de los datos, aseguró Gilberto Vicente, business development manager, Security and Mobility de Cisco.

“Las empresas han evolucionado. Ya no sólo se trata de tecnología, gen-te y procesos. Hoy los CISO y las áreas de seguridad enfrentan retos primor-diales, como la evolución en sus sistemas de detección y prevención ante escenarios más adversos. Además, necesitan aprender a cómo proteger una mayor cantidad de información a un menor precio; y definri cómo sus em-presas pueden ver a la seguridad como una habilitador de negocios”, apun-tó Vicente.

Para ello, dijo, existen factores o elementos que pueden transformarse en habilitadores para dar valor al tema de ciberseguridad o, por el contrario, se pueden convertir en barreras para su crecimiento. Tales como la industria-lización de IT, la expansión de los dispositivos móviles y el crecimiento de los servicios en la nube.

“Los riesgos seguirán evolucionando y no dejarán de ser un problema, constante y alarmante, para las empresas. Hay que entender que muchas ve-ces somos nosotros los que fallamos en proteger la información del negocio, porque no nos damos tiempo para entender cómo funcionan todos los proce-sos y ambientes de la empresa”, subrayó.

ROMPE RÉCORD EN TAQUILLASPor séptima ocasión el b:Secure Conference Ciudad de México logró reunir a los profesionales, expertos y empresas más importantes de la industria de seguridad IT. En un evento de dos días que abordó los temas más apremiantes para la continuidad de los negocios.

ROMPE RÉCORD EN NETMEDIA EVENTS

Panel de tendencias

Gilberto Vicente de Cisco

Alejandro Loza de Symantec

Pavel Orozco de Websense


En ese sentido, Ricardo Lira, gerente senior de Ernst & Young afirmó en su intervención durante el b:Secure Conference 2010, que las empresas es-tán lejos del estado ideal de la seguridad, sin recursos suficientes, sin gente bien capacitada y sin el patrocinio de la dirección general. Por ello, reco-mendó que revisen su gestión tanto táctica como estratégica y comiencen por aplicar los estándares básicos mínimos de seguridad.

“No necesitamos comprar nada para llevar a cabo estos estándares míni-mos, sería como pagarle al dentista para que nos diga que tenemos que la-varnos los dientes tres veces al día. Pero nos hemos dado cuenta, a través de pruebas de penetración, que muchas empresas no los aplican”, informó Lira de Ernst & Young.

Por su parte, Martín Hoz, gerente de ingeniería para Latinoamérica de Fortinet mencionó que, además de estándares mínimos, los CISO pueden apalancar una estrategia de seguridad efectiva, mediante la alianza con so-cios estratégicos que entreguen flexibilidad y eficiencia a la compañía.

“No se trata de tener un monopolio dentro de la seguridad en la red de la empresa. El objetivo es disminuir el número de proveedores que inter-vienen en sus procesos de operación. Sin embargo, es vital que ese socio es-tratégico cuente con una oferta de soluciones completa, flexible y eficiente, y que se adecue completamente a las necesidades específicas de la empresa en cuestión”, aclara Hoz de Fortinet.

A pesar de ello, Héctor Acevedo Juárez, Gerente de Soluciones de Servicios en Scitum enfatizó que las compañías no deben olvidar que “la seguridad no es un producto, es una estrategia, así que el socio de negocio que apoye en se-guridad debe ser un estratega, no un simple fabricante de soluciones”.

LA TORMENTA PERFECTA: CRIMINALES ORGANIZADOS Y USUARIOS INCONSCIENTESPero los retos para los CISO en materia de seguridad IT, no girarán en tor-no únicamente a procesos, estándares y adquisición de tecnología. Hoy, más que nunca lo expertos concordaron que el cibercrimen es una realidad in-eludible para todo tipo de empresa, y que la falta de concientización en los usuarios sólo complica la magnitud del problema en el robo de informa-ción o fuga de datos.

“Actualmente estamos en ciberguerra, los buenos sitios web ahora son malos, los criminales están organizados y los usuarios son el eslabón más débil en todos los ataques”, dijo Daniel Molina, gerente de Field Marketing para Kaspersky.

Según Molina de Kaspersky, los ataques cibernéticos y los códigos malicio-sos crecen de forma exponencial cada año, las amenazas son cada vez más per-sistentes, avanzadas.

Para México, este escenario es aún más complicado, pues la falta de cultura en las empresas y usuarios, y los fuertes porcentajes en el uso de programas apócrifos (piratas) hacen del país “un trampolín” para que los hackers, en busca de datos, ataquen Pequeñas y Medianas empresas, escue-las o usuarios para ganar dinero.

El cibercrimen es una industria que genera ganancias por arriba de los miles de millones de dólares, y la masificación en la creación y propagación de los códigos maliciosos y ciberataques, únicamente acrecentará este dina-

mismo de negocio clandestino, compartió Mike Dausin, investigador en se-guridad de Tipping Point.

“Hay mucho dinero en el mercado del cibercrimen, existe un enorme cre-cimiento del malware y cada vez es más fácil comprar o armar robos y frau-des electrónicos. Y, a medida que más personas entren al mundo digital y al Web, el número de mafias en Internet también crecerá”, apuntó Duasin de Tipping Point.

EN EL BOLSILLO O EN LA NUBE, LOS RETOS SON LOS MISMOSEl auge de fenómenos como el Cloud Computing y los teléfonos móviles no estuvo ausente durante el evento. Los temas de privacidad de datos o la manera de proteger información, que ha dejado de existir dentro períme-tros o infraestructuras establecidas, se colocaron como una de las principa-les preocupación de los asistente al b:Secure Conference.

Sin embargo, los expertos concordaron que, sin importar el sistema, ser-vicio o dispositivo que contenga los datos, las compañías deben enfocarse en entender dónde y quién tiene acceso a su información más sensible, dijo Alejandro Loza, especialista en protección de información y cumplimien-to normativo de Symantec.

“Los problemas de la fugas de datos pueden provenir de muchas seccio-nes o áreas del negocio, sea por el Web, el correo electrónico, los disposi-tivos portátiles o los errores humanos. Lo importante, no es el espacio de riesgo, sino la manera en que comenzamos a cerrar esas ventanas de fuga, mediante la integración de procesos y tecnología”, dijo Loza de Symantec.

Y si bien, el fenómeno del cómputo en la nube, suena muy atractivo para las organizaciones en materia de costos de operación, Zamantha Anguiano, gerente de canales de RSA México subrayó que las compañías no están con-siderando la implementación y cuidado de la seguridad en sus datos alre-dedor de este fenómeno.

“Es necesario enfatizar que cualquiera puede entrar a la nube, es informa-ción móvil, y no sabemos bien a bien dónde está. Todo integra una infraes-tructura de riesgo en el Cloud Computing; hay que monitorear por dónde pasa toda esa información, para entonces colocar los controles adecuados”, dijo Anguiano de RSA.

Aún así, Pável Orozco, ingeniero senior de Websense para México, Centro América y el Caribe reconoció que es imposible y riesgoso negarle a las empre-sas el uso de las herramientas de Web 2.0, entre ellas el Cómputo en la nube y las redes sociales, pues podría impactar en la productividad y eficiencia de la compañía para alcanzar nuevos públicos, aunados a los ya existentes.

Sin embargo, un uso indiscriminado o sin control de estas plataformas o servicios, también representa un riesgo para la información de las organiza-ciones, primordialmente, porque los cibercriminales roban datos, que ahora residen tanto afuera como adentro de una infraestructura.

“Los empleados necesitan tener acceso a redes sociales. Pero para evitar que nuestra red sea vulnerada o existan fugas de datos necesitamos protec-ción en tiempo real, porque el contenido de estas plataformas cambia en cuestión de minutos, a veces segundos. Y la realidad es, que ya no podemos negar que una campaña a través de Twitter o Facebook es más efectiva que cualquier otro medio”, dijo Orozco. ●

Carlos Chalico de Ernst&Young

Francisco Arguelles de CA

Héctor Acevedo de Scitum


El mundo del cibercrimen está cambiando. En los últimos 12 meses los cibercriminales más avanzados han aprendido a discernir entre sus blancos de ataque y el valor de la información que roban. Hoy, no se trata de cantidad sino de calidad de datos, de acuerdo con lo publicado en la XV edición del Security Threat Report (ISTR) de Symantec.

Sin embargo, para otra gran mayoría de “novatos”, la facilidad para comprar malware en los espacios clandestinos de internet ha permitido que hasta el delincuente más “neófito” en tecnología pueda convertirse en un cibercriminal, capaz de comprometer millones de identidades o hurtas cientos de miles de datos.

No por nada, durante 2009, 60% del total de las fugas de información o brechas en la seguridad de las organizaciones fueron reflejo de ciberataques o intentos de hackeo. Un crecimiento de casi 300%, al compararse con los datos del 2008, citan los autores del texto.

En mediosde la crisis económica, el sector financiero fue uno de los más afectados por el cibercrimen, al acaparar 60% de todos los casos de identidades comprometidas durante 2009, dos veces más que los reportada en 2008, cuando este sector presentó 29% de los casos de identidades o información comprometida.

Mientras que el sector Educativo acaparó el mayor porcentaje de fugas de información, que potencialmente derivaran en casos de robo de identidades con 20%, una ligera disminución si se compara con los 27 puntos porcentuales que registró este sector en 2008.

“Los ataques informáticos a empresas ocurren desde hace varios años ya. Sin embargo, en 2009 analizamos una gran cantidad de ciberataques de gran escala y mucho más dirigidos”, subraya el texto de Symantec.

En ese sentido, Kevin Haley, director de Symantec Security Response en plática con b:Secure afirmó, que en los próximos años veremos una tendencia clara de los criminales para desarrollar Amenazas Avanzadas y Precisas (APT, por sus siglas en inglés), las cuales tienen por objetivo robar datos de blancos específicos, como lo fue el caso Google contra China, mejor conocido como Operación Aurora.

“Los APT son ataques muy particulares porque no son ruidosos, sino que tratan de estar en el sistema durante mucho tiempo, y esperan a que les llegue la información más precisa y las que más valor tiene para ellos. Periodos en los que la mayoría de las empresas ni siquiera saben que están infectadas”, dice Haley.

LA CIBERSAMBA BRASILEÑAEl reporte ISTR XV subraya que, por primera vez en seis años, un país, fuera de Estados Unidos, Rusia, China o Alemania terminó dentro de las primeras tres posiciones de las naciones más afectadas por el cibercrimen; Brasil.

El país Latinoamericano generó 6% de toda la actividad maliciosa en el mundo. Además, Brasil se colocó como el principal país en generación de spam, el quinto lugar con el mayor número de códigos maliciosos, el tercero en presencia de redes bot y el sexto en generación u origen de los ciberataques.

Por su parte, Estados Unidos se mantiene como el país con el mayor porcentaje de actividad maliciosa en internet del mundo, al generar 19% de ella. Los estadunidenses también terminaron en primer lugar en presencia de códigos maliciosos, ataques de phishing, redes bot y generación u origen de los ciberataques.

“No sólo Brasil se movió al número tres y desbancó a Alemania de su posición, sino que fue el único país que presentó crecimientos en todas las categorías que analizamos. Esto demuestra que el cibercrimen en mercados emergentes realmente es un negocio”, afirmó Haley.

CIBERCRIMEN PARA NEÓFITOSLos expertos del reporte concordaron que el crecimiento del cibercrimen, alrededor de todo el mundo, no es reflejo de que haya más expertos informáticos desarrollando software

REPORTEDEL MES

HASTA LOS MÁS NEÓFITOS EN TECNOLOGÍA YA SON CIBERCRIMINALES

Los más malosos y afectados del mundoRanking de los cinco países con mayor porcentaje de actividad

maliciosa en Internet

PAÍS Porcentaje de actividad maliciosa en el Web

2008 2009

Estados Unidos 23% 19%

China 9% 8%

Brasil 4% 6%

Alemania 6% 4%

India 3% 4%

Symantec publicó la XV edición de su Internet Security Threat Report (ISTR), la tendencia para los próximos años es clara: a medida que la tecnología se expande desarrollar ciberataques avanzados únicamente requerirá de dinero, no de conocimientos informáticos.


A Hackear se ha dichoMotivos detrás de las identidades comprometidas en 2009

Falla el cuidado de los datos Motivos detrás de las fugas de información

Hackeo o ciberataques 60% Robo o pérdida de datos 37%

Fallas en las políticas de seguridad 35% Fallas en las políticas de seguridad 26%

Robo o pérdida de datos 4%

Hackeo o ciberataques 15%

Fraude 1%

Internos 9%

Internos 1% Otros 12%Otros 1%

La subasta de tu ser virtualEl valor de la venta de información ilegal en internet

malicioso, sino que responde a la facilidad que tienen los criminales para vender “kits” de malware, en algunos casos en menos $9,000 pesos.

El caso más concreto del 2009 fue el troyano-botnet Zeus, del cual los expertos de Symantec detectaron más 90,000 variantes únicas distribuidas en toda la red a un precio inicial de los $700 dólares. De hecho, la compañía estima que 57% de todos los ciberataques a usuarios el año pasado fueron generados por cibercriminales simples, no profesionales ni organizados.

Y si bien, el número de ataques de phishing y botnets detectados por día cayó en 2009 contra 2008. La compañía registró más de 46,540 nuevas bot todos los días, 28% menos que en 2008. El reporte estima, que a la fecha hay más de 6.7 millones de PC zombis o bot en todo el mundo.

Esta realidad, compartió Zulfikar Ramzan, director técnico de Symantec Security Response, complica la posibilidad de proteger a los usuarios y empresas basados en sistemas de firmas.

“Lo kits de malware facilitan que cualquiera pueda ejecutar un ciberataque sin tener conocimiento alguno de informática. Un reflejo claro de este fenómeno es que en 2007 desarrollamos cerca de 700,000 firmas, para 2008 fueron más de 1.6 millones y en 2009 creamos casi tres millones de firmas”, dijo Ramzan.

Según datos del ISTR XV, 50% de todo el malware creado, desde hace que Symantec comenzó a realizar el reprorte, se creó en 2009.

“En algunos casos si estamos peor que los años pasados. El reporte no es una definición pura de lo que es el cibercrimen, pero 2009 sí fue un año muy complicado por la crisis económica. Sin embargo, ya por fin comenzamos a ver arrestos y colaboración entre autoridades, las razones las pueden criticar, pero lo importante es que existen”, dijo Haley.

El texto de 92 páginas está disponible en el sitio web de la compañía. Para su desarrollo Symantec recopiló información de más de 240,000 sensores en 200 países, 133 millones de clientes y alrededor de 8,000 millones de mensajes electrónicos de cada rincón del orbe. ●

Bien o producto Rango de precios

Información de tarjetas de crédito Entre $0.85 centavos de dólares a $30 dólares

Credenciales de cuentas bancarias Entre $15 y $850 dólares

Cuentas de correos electrónicos Entre $1 y $20 dólares

Direcciones de correos electrónicos Entre $1.70 dólares por MB hasta $15 dólares por MB

Identidades completas Entre $70 centavos de dólares hasta $20 dólares


CIBERCRIMENPROYECTO


Por Carlos Fernández de Lara [email protected]

Ilustración Pablo Rozenberg

En el arranque de la segunda década del siglo XXI

dos realidades son claras para la humanidad. Uno, el

internet ya comenzó a consolidarse como el pilar central

de las sociedades modernas. Dos, la viabilidad de esa

infraestructura pende de un hilo a consecuencia de su

mayor enemigo, el cibercrimen

2010-2020CIBERCRIMEN

PROYECTO


Comenzó como un simple juego de niños. Una forma que los amantes de la informática y los sistemas de cómputo tenían para demostrar sus conocimientos en la materia. Mientras más complicada era la tarea, ma-yor era orgullo por la victoria.

Sin embargo, nunca nadie imaginó, que aquellos primeros hac-kers, serían el inicio del principal problema, que gobiernos, empre-sas y usuarios enfrentan actualmente dentro de un mundo, cada día más interconectado a través del web: el cibercrimen.

Así, 30 años después de Creeper, el primer virus digital de la histo-ria, los virus informáticos pasaron de ser simples programas que mo-lestaban o impactaban las computadoras de los usuarios, a software malicioso indetectable, inteligente, de bajo perfil y en ocasiones ca-paces de mutar o cambiar en cuestión de horas.

Cifras de Symantec demuestran que el desarrollo de programas maliciosos ha dejado de ser un simple juego de habilidades y orgu-llos, pues tan sólo en los últimos ocho años la compañía ha detec-tado más de 5, 690,411 códigos maliciosos en la red, 50% de estos registrados en 2009.

Así, el malware se ha convertido en un producto más de la globa-lización. Se crea, vende y distribuye por todo el planeta, con el único objetivo de generar y amasar grandes cantidades de capital, a través del robo o venta de información.

Su éxito, le ha permitido crear una industria clandestina, que de acuerdo a diversos expertos, tiene un valor potencial por arriba de

los $8,000 millones de dólares y repercute en pérdidas anuales, tan sólo en Estados Unidos, por arriba del billón de dólares.

“Lo que no estamos entendiendo es que el crimen en internet no se trata de un problema de pandillas. Estamos hablando de una in-dustria, que sabe dónde está el dinero y que tiene ganancias multi-millonarias. Sin duda, en los próximos años veremos una evolución importante en el mundo del cibercrimen en busca de expandir su presencia y sus ganancias”, explica Ricardo Lira, gerente senior de la práctica de Asesoría en Seguridad de IT de Ernst & Young.

Como resultado, esta industria se ha transformado de simples cé-lulas cibercriminales a “sindicatos multinacionales del crimen en el web”. Con procesos escalables, trabajo en conjunto y, en algunos ca-sos, incluso con patrocinios de los gobiernos, explica Daniel Molina, gerente de Field Marketing para las Américas de Kaspersky.

“El mundo cambió en la última década, y en la era de las econo-mías digitales a ningún criminal le importa o pesa robar dinero en papel moneda. Para qué arriesgarse a asaltar una sucursal de un ban-co, cuando pueden desestabilizar su sistema o infraestructura tecno-lógica para hurtar dinero virtual”, afirma Molina de Kaspersky.

De modo que, cuando el dinero dejó de estar respaldado en meta-les, como el oro, y la economía de la humanidad obtuvo su valor de los unos y ceros de un código binario, fue el instante en el que delin-quir y robar información en internet alcanzó una razón verdadera-mente atractiva, comparte Molina de Kaspersky.

“Actualmente existe robo de información y ciberataques en todo

TARJETAS

DE CRÉDITO

BASES DE

DATOS

IDENTIDADES

CIBERCRIMEN S.A. DE C.V.

Una serie de expertos informáticos (hackers o crackers) se dedican al desarrollo de códigos maliciosos, la búsqueda de vulnerabilidades o la creación de ataques de ingeniería social para el robo de información.

Además de usar el malware creado para beneficio de la organización, los cibercriminales también venden los programas en forma de kits o paquetes para usarse “out of the box”.

Estos kits de malware pueden encontrarse por menos de $700 dólares en el mercado clandestino de internet. Esta situación convierte prácticamente a cualquier neófito en tecnología en un cibercriminal potencial.

Una vez con el paquete de malware, el o los cibercriminales “neófitos” tienen la opción de “alquilar” los servicios de distribución de una botnet, a fin de propagar su código maliciosos a la mayor cantidad de internautas posible.

Este tipo de atacantes obtienen sus ingresos mayoritariamente del uso o robo de dinero de cuentas bancarias, tarjetas de crédito o servicios de compras en línea. Comúnmente no utilizan los servicios de las cibermulas, pero no están exentos de hacerlo.

Symantec estiman que el valor potencial, de todos los datos robados y puestos a la venta en los mercados negros de internet rebasa los $5.3 mil millones de dólares. Más aun, expertos en ciberseguridad, como Joseph Menn dicen que los ciudadanos y empresas estadunidenses pierden en promedio un billón de dólares al año ante los cibercriminales. Un negocio sin duda rentable en todo el mundo.

Miembros de la organización criminal toman el malware o ataques desarrollados por los expertos y eligen sus blancos de ataques, masivos o selectivos, para el robo de información.

A través de redes bot, decenas de miles de computadoras comprometidas y controladas remotamente, la organización cibercriminal se dedica a la distribución de su código malicioso en todo el orbe.

Con la información sustraída, generalmente datos financieros, números de tarjetas de crédito, identidades personales o de propiedad intelectual, la organización delictiva busca compradores en el mercado negro del web.

Para limpiar sus huellas, los cibercriminales contratan cibermulas (usuarios, que se dedican a depositar el dinero de la venta de datos robados, en diversas cuentas bancarias para lavarlo). La mayor parte del tiempo, lo hacen sin saber que trabajan para un red criminal en internet.


los niveles: empresas, gobiernos y ciudadanos. Reflejo de que la de-lincuencia organizada, por fin, vio valor en el tema informático y está capitalizando la falta de reacción de estos tres niveles”, dice Lira de Ernst & Young.

Empresas como Imperva incluso han bautizado está nueva era de robo en el web, como la “Industrialización del Hackeo”:

Así, similar a lo que sucedió durante el siglo XIX con la Revolu-ción Industrial, que aceleró y desarrolló los métodos para pasar del ensamblado simple a la producción en masa, la industria actual del cibercrimen ha sufrido una transformación similar en busca de su automatización, escalabilidad y rentabilidad.

El resultado es una nueva ola de cibercriminales, ignorantes de los temas de informática, pero capaces de comprar “kits” de ma-lware prefabricados y listos para usarse, al momento de abrir o ins-talar el programa y, a precios por debajo de los 700 dólares.

En el último Internet Security Threat Report (ISTR), Symantec su-braya que en 2009, Zeus, el troyano-botnet, registró más de 90,000 variantes, distribuidas en internet, a un precio no mayor a los 9,000 pesos mexicanos. La misma compañía estima que 57% de todos los ciberataques a usuarios del año pasado fueron generados por ciber-criminales simples, no profesionales ni delincuentes organizados.

LA WEB 3.0, EL BLANCO PERFECTOEsta facilidad para armar y ejecutar ciberataques coloca a países emer-gentes, como los de Latinoamérica, como blancos fáciles de robo de información, pero también como hogar potencial de nuevos cibercri-minales a lo largo de los próximos años.

“El tema que tiene que estar en la agenda de todos, porque no hay país que esté exento al impacto del cibercrimen. Creo que la acelera-da transformación de la industria del crimen nos ha hecho reaccio-nar, no estamos en pañales, pero todavía nos falta mucho por hacer”, subraya Colin Lawrie, director de ventas de BitDefender.

Y conforme la tecnología, particularmente el internet, evolucionan los cibercriminales también lo harán. Molina y Lira afirman que ante la posible llegada del Web 3.0, mejor conocida como la web semán-tica o la red inteligente, podrían aparecer una nueva ola de ciberata-ques, mucho más dirigidos, precisos e infalibles.

“La Web 3.0 promete ser un internet que entiende quién eres, cuá-les son tus gustos, preferencias y necesidades, en pocas palabras, se trata de una red con inteligencia propia. Ahora, imagina esos datos o capacidad en manos de organizaciones cibercriminales, capaces de armar demografías y listados específicos de sus blancos de ataques, clasificados por sector socioeconómico, tipo y valor de la informa-ción que manejas”, vislumbra Molina de Kaspersky.

Así, el crecimiento de servicios como las redes sociales, con un alto contenido de datos personales de empresas, usuarios y gobiernos, la llegada de fenómenos como el Cómputo en la nube y la falta de me-canismo adecuados para mantener la privacidad y protección de la información representan minas de oros para las organizaciones cri-minales de la siguiente década.

“Hoy, con el crecimiento de las redes sociales o el cómputo en la nube, las empresa y usuarios entrega información sin conciencia ni responsabilidad de que esos datos pueden y son usados en nuestra contra para engañarnos o afectarnos económicamente”, subraya Lira de Ernst & Young.

Y si bien, los expertos concuerdan en que es imposible definir con claridad cuáles serán los nuevos tipos de códigos maliciosos que ron-darán la red en la próxima década, confirman en que sus herramien-tas de ataques sí serán mucha más sofisticadas e inteligentes.

“La información resguarda en un perímetro, servidor o compu-tadora se acabó. En los próximos años los criminales desarrollarán herramientas para vulnerar dispositivos móviles, nuevos equipos co-nectados a la red o servicios en la nube”, comparte Marco Hernández gerente de Security Practice de Getronics México.

Hernández agrega, que antes de combatir y desarrollar tecnología para enfrentar a los nuevos códigos maliciosos, es vital entender los motivos y objetivos que incitan a los cibercriminales a rompe y vul-nerar la integridad, disponibilidad y confidencialidad de los datos.

TOKENS CEREBRALESAunque suene a trama de película de ciencia ficción, investigadores como Tadayoshi Kohno y Tamara Denning, del departamento de cien-cias e ingeniería de la Universidad de Washington (UW) han planteado un posible futuro de vivir en una sociedad altamente tecnificada e in-terconectada: la posibilidad de que la siguiente plataforma o blanco de ataque de los cibercriminales no sean dispositivos móviles, redes socia-les o nubes web, sino nuestra mente y cuerpo.

Así, frente a la evolución de los dispositivos médicos, como marca-pasos, prótesis robóticas, o aparatos neurálgicos avanzados (algunos de ellos ya con capacidades inalámbricas o de conectividad a redes), los ci-bercriminales podrían comenzar a buscar vulnerabilidades dentro de estos sistemas electrónicos para cuasar daño, manipular o obtener in-formación del cuerpo y la mente de manera remota, explica Denning en entrevista con b:Secure desde Washington, Estados Unidos.

En los próximos años, dice la experta de la UW, aparecerán disposi-tivos médicos con un alto grado de tecnología. Muchos de ellos con el potencial de mejorar nuestra calidad de vida dramáticamente. Sin em-bargo, hasta el momento nadie está contemplando procesos de seguri-dad o protección al momento de desarrollar estos equipos y alrededor de su uso. No hacerlo tiene implicaciones a futuro muy peligrosas.

Un cambio que es aún mucho más peligroso frente a equipos neu-rálgicos de última generación capaces de interpretar señales o impulsos cerebrales en datos o información, utilizados comúnmente en prótesis robóticas o aparatos para problemas del cerebro.

Sea ciencia ficción o realidad lejana, es posible que, ante una huma-nidad dependiente de la tecnología, la ciberseguridad tarde o tempra-no deje de resguardar únicamente aquellos datos que existen dentro de redes, computadoras o dispositivos móviles, y comience a contemplar la necesidad de proteger neuronas, nervios e impulsos cerebrales, que conforman los bits y bytes de nuestra memoria. ●


Por Adrián PalmaSegunda de cuatro partes

BUSINESS PEOPLEfor

Segunda de 2 partes

Para crear una adecuada función de seguridad de la informa-ción es fundamental conocer las expectativas de la organiza-ción en materia de seguridad, para tener perfectamente claro cual es el propósito de dicha función y que es lo que realmen-te puede esperar la alta dirección. Ya que hoy día en la mayo-

ría de las organizaciones esta función prácticamente no cumple con las necesidades reales de seguridad debido a que el área de seguridad está a un nivel operativo, con una perspectiva de IT, mas no con una perspecti-va organizacional, y ni hablar de las organizaciones que ni siquiera tienen dicha función. En este proceso es necesario entender de manera muy cla-ra los drivers del negocio o de la organización, tanto internos como ex-ternos, para crear un programa de seguridad que sustente a la función de seguridad de la información de la organización, así el programa puede ser construido sobre una estructura sólida que cumple con factores esencia-les que influyen sobre la organización.

En la mayoría de las organizaciones, este proceso no es llevado a cabo de una manera formal y estructurada. La realidad es que, por diversas circuns-tancias, el área de seguridad es creada de una manera empírica e informal para cumplir en mayor medida con marcos regulatorios y normativos. Au-nado a esto se da la responsabilidad de dicha función a personal sin los co-nocimientos, habilidades y experiencia en materia de seguridad, además de que dicho personal cuenta con un limitado apoyo en todos sentidos (de pre-supuesto, de posición organizacional, de capacitación etc.).

A continuación algunos componentes para tener éxito en la implementa-ción de un programa de seguridad:

Mucha gente ve la seguridad como un centro de costos, como un mal necesario, como la piedrita en el zapato, no como una función que me de beneficios. Esta percepción casi automáticamente coloca a la función de seguridad en una posición nada envidiable de tener que constantemente vender las ventajas y beneficios del programa de seguridad. Vender y hacer marketing de las iniciativas e ideas asociadas con el programa de seguridad de la información es uno de los factores críticos de éxito para su implemen-tación, ya que se requiere tener las habilidades para poder vender dicho pro-grama a gente del negocio. Dicho en otras palabras: se tiene que tener una visión organizacional además del conocimiento técnico de la seguridad.

Otra problemática, en este sentido, es que los controles de seguridad de la información son vistos muchas veces como algo que va a tener un impac-to negativo o adverso en la operación y cultura de la organización, una per-cepción de que se tiene que pagar un alto precio operativo, administrativo, y muchas veces se ven como un obstáculo para cumplir con los objetivos de las distintas áreas de una empresa. Debido a que esos controles no reflejan

tangiblemente un beneficio en cuestiones económicas, se hace doblemen-te difícil la venta del programa de seguridad de la información. Como re-sultado de esto se necesitará ser capaz de hacer una venta y para mostrar la habilitación de nuevas oportunidades de negocio o reducir el riesgo de la organización a un nivel aceptable.

HABILITANDO NUEVAS OPORTUNIDADES DEL NEGOCIOEsto, puede ser mejor explicado a través de un ejemplo rápido. Con la ven-taja de Internet, muchas compañías están intentando manejar soluciones de negocio vía Web. Como resultado, ellos están implementando sistemas que están procesando datos sensitivos bajo internet y pronto sobre el Web 2.0, con tendencias como el Cloud Computing. Esto presenta un nuevo giro en un viejo tema, sobre cómo hacer que los clientes tengan la plena confianza en su proveedor si así fuera el caso. Puesto que existen muchas amenazas asociadas a hacer negocios en internet, un modo significativo para ayudar a vender el programa de seguridad de la información es mostrar cómo la im-plementación de controles, derivados de un análisis de riesgos, puede direc-tamente incrementar la confianza de los clientes. Esto se debe redondear con cuestiones de marketing hacia el exterior como pudiera ser una certificación de algún estándar de la industria como el ISO 27001.

REDUCIENDO EL RIESGO DEL NEGOCIO U ORGANIZACIÓN Otra forma de mostrar el valor del programa de seguridad de la información es mostrar una reducción en el riesgo total del negocio. En un sentido, este método es similar a vender seguridad, pues estamos tratando de vender los beneficios de un programa para minimizar el impacto de un evento impre-visto en materia de seguridad para la organización. Algunos puntos impor-tantes para reducir el riesgo de la organización son los siguientes:

-cesita la organización en materia de seguridad.

Mantenga una mente abierta y no tratemos de proyectar nuestras ideas en necesidades de dueños custodios y usuarios.

están tratando de comunicar, no solo los síntomas.-

bos puedan apoyar.

simple y apropiada para el nivel de administración, cultura, educación y motivaciones políticas, de los dueños, custodios y usuarios.

Hay que usarlos como referencia para otros proyectos relacionados con la seguridad.

¿EL PRIMER PASO A SEGUIR?LA FUNCIÓN DE SEGURIDAD

Adrián Palma es licenciado en Informática cuenta con mas de 22 años de experiencia en Seguridad Informática y TI, actualmente es Director General de Integridata , tiene las certificaciones CISSP,CISA,CISM,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, y de la maestría de seguri-dad de la información en el CESNAV Ex presidente de la ALAPSI Internacional y actualmente director de educación de la misma. [email protected]


-

Conocimiento crítico

Entendiendo del negocio u organización.

-

--

-

-

-

-

-

-

-

-

--

-

-

-

-

-●

Continuara…

¿EL PRIMER PASO A SEGUIR?LA FUNCIÓN DE SEGURIDAD


Los recientes sismos ocurridos en Haití, Chile y Baja California nos re-cuerdan la importancia de contar con una estrategia que permita a nuestras organizaciones resistir ante este tipo de eventos y mante-

ner la continuidad en la provisión de nuestros productos y servicios. Los retos actuales relacionados con la continuidad del negocio incluyen adicio-nalmente a los desastres naturales, riesgos relacionados con la escasez de energéticos, cambios en el entorno ambiental, político y financiero, fallas técnicas, errores humanos, ciber-guerra-crimen-terrorismo, entre otros.

Nuestro país reconoce que se encuentra mejor preparado para atender este tipo de riesgos de una forma más adecuada que hace algunos años, y sin embargo, al interior de las organizaciones es común encontrar dificul-tades relacionadas con la falta de una estrategia de continuidad del nego-cio, falta de apoyo por parte de la alta dirección, falta de análisis de riesgos e impacto al negocio, planes de contingencia / recuperación no integrados, procedimientos no actualizados, falta de pruebas de continuidad, respon-sabilidades de continuidad inexistente o poco claras, planes demasiado ge-nerales o demasiado específicos, entre otros.

Con el fin de ayudar a las organizaciones a mejorar su estrategia de conti-nuidad de negocio y con esto, incrementar su resiliencia ante eventos catas-tróficos, el British Standards Institution (BSI) desarrolló el estándar BS25999.

Este estándar establece los requerimientos para la definición, implemen-tación, operación y mejora continua de un Sistema de Gestión de Continui-dad del Negocio (BCMS) y se encuentra organizado en dos documentos.

La primera parte (BS25999-1:2006) define el código de práctica para el ci-clo de vida de la continuidad del negocio y requiere:

Gestión del programa de continuidad del negocioEste es el corazón de la continuidad del negocio y requiere una participa-ción activa de la gerencia en la definición, establecimiento y soporte de la continuidad. Requiere de una adecuada asignación de responsabilidades, implementación y gestión de la continuidad del negocio (BCM) e incluye como parte de la documentación:

Entendimiento de la organizaciónTiene como objetivo principal asistir el entendimiento de la organización a través de la identificación de sus productos y servicios clave, así como las actividades y recursos que los soportan. Esto permite asegurar que el pro-grama de BCM se alinea con los objetivos de la organización y requiere:

-

Determinación de la estrategia de gestión de continuidad del negocioComo resultado del entendimiento del negocio, la organización se encon-trará en posición de seleccionar las estrategias de continuidad más apropia-das para el cumplimiento de sus objetivos. Se deben determinar estrategias para personas, instalaciones, tecnología, información, provisiones y partes interesadas.

Desarrollo e implementación de la estrategia de gestión de continuidad del negocioEsta etapa se refiere al desarrollo e implementación de los planes y arreglos necesarios para la continuidad del negocio y desde el punto de vista del es-tándar se requieren dos planes de forma mandatoria:

Ejercicio, mantenimiento y revisión

una situación de contingencia real, es necesario ejecutar pruebas y ejer-cicios que pueden ir desde lo más simple, como en el caso de una prueba de escritorio, hasta pruebas más complejas como puede ser el ejercicio del

defina la frecuencia con que se realizan las pruebas, siempre y cuando tome en consideración las necesidades de la propia organización, el ambiente en el que opera y sus partes interesadas.

Integración de la gestión de continuidad del negocio en la cul-tura de la organizaciónSin importar el tamaño de la organización ni el sector al que pertenece, se debe integrar los conceptos de continuidad del negocio, en la forma en que operan los procesos de la organización. El desarrollo de la cultura de conti-nuidad se encuentra soportado por el liderazgo de personal directivo, asig-nación de responsabilidades, incremento en los niveles de concientización, entrenamiento y ejercicio de los planes.

La segunda parte del estándar (BS2599-2:2007) establece los requeri-mientos para implementar el Sistema de Gestión de Continuidad del Nego-cio que se encuentra basado en el ciclo de mejora continua conocido como

ISO9001, ISO27001, ISO20000 hace énfasis en la definición e implementa-ción de una política, control de documentos y registros, medidores de des-empeño, ejecución de auditorías internas, revisión por parte de la gerencia, así como la implementación de acciones preventivas y correctivas.

El estándar BS25999 resulta relevante para todas las organizaciones que necesitan de una estrategia de continuidad del negocio permanente y que se mantenga actualizada con el tiempo. Existe la posibilidad de obtener una evaluación independiente por parte de BSI para certificar el sistema de gestión, lo cual conlleva beneficios adicionales, incluyendo mejoras en la imagen de la organización, transparencia y la posibilidad de diferenciar-se de sus competidores. ●

CONTINUIDAD DEL NEGOCIO UTILIZANDO BS25999

OPINIÓN´ Mario Ureña Cuate

Mario Ureña Cuate es Director General de SecureInformationTechnologies y cuenta con las certificaciones CISSP, CISA, CISM, CGEIT, Auditor Líder BS25999 e ISO27001. Participa como Miembro del CISA QAT de ISACA Internacional, Director de Estándares y Normatividad de ALAPSI y es miembro del Programa de Fo>armadores de Opinión del British Standards Institution (BSI). www.mariourenacuate.com

eMediaRedes SocialesWebcastPodcastBlogsRevistas DigitaleseNewsletter

eMedia Redes Sociales Webcast Podcast Blogs Revistas Digitales eNewsletterRevistas Digitales

Líder enCustom New eMedia

SI DESEA INCORPORAR SOCIAL MEDIA EN SU ESTRATEGIA, CONTÁCTENOSwww.netmedia.info

t. 2629 7260 ext. 1125


Muchas personas desconocen cuánta información existe en in-ternet sobre sí mismos; algunos, después de reflexionar, sim-plemente buscan la manera de desaparecer.¿Pero qué pasa

con los datos personales dentro de las empresas?El internet, además de haberse transformado en una importante he-

rramienta para buscar, colaborar, intercambiar, compartir e investigar; se transformó en una gran base de datos con información personal, que poco a poco, cada uno de nosotros hemos compartido y alimentado.

Ahora se encuentra muy de moda el tema de la información personal, la forma en que vamos a legislarla en México y cómo deberán las em-presas privadas manejar estos datos.

Como ejemplo vivo de esto, hemos sufrido la reciente experiencia del RENAUT (Registro Nacional de Usuarios de Telefonía Móvil) que dejó mucho que desear desde su implementación, validación y aho-ra su uso.

A la mente me llegan tantos pensamientos al respecto de este regis-tro, como el hecho de que queremos la posibilidad de que si alguien nos llama al celular amenazándonos, tengamos la capacidad de iniciar una denuncia y que la autoridad nos entregue algo más que: “no joven, ese celular era de prepago y ya no está en uso”. Pero también es inevi-table pensar qué uso van a darle a la información que entregamos. Ahí es cuando algunos pensaron “¿y si mejor damos datos falsos?”, sin con-siderar que podría ser un delito hacerlo.

Como verán, es un debate sin fin, pero en el que cada lado tiene su parte de verdad.

A la semana de que terminó el plazo del RENAUT una publicación del Universal comentaba que es posible llegar a comprar las bases de datos del IFE, de ciertas tarjetas de crédito e incluso los datos de cierta empresa de venta de boletos para eventos en línea. Todo debido a la ini-ciativa de Datos Personales que está en proceso de aprobarse.

“¿Pero cómo se hicieron de estos datos?” me preguntaba angustia-do un alumno de una universidad donde impartí una conferencia días después.

“¡Ya con lo anterior, creo que tienen todos mis datos! Quiero desapa-recer…” gritaba desesperado.

Pero no es tan fácil. Hay muchas cosas que nos ligan a la red. Desde un correo que enviamos hace cinco años a un foro de consulta, sobre cómo poder configurar un equipo correctamente y que contiene nues-tro correo electrónico (aunque sea de un ex – empleo), pero que permite conocer un poco de nosotros. O quizá incluso ingresamos nuestro nú-

mero celular o nuestro nombre completo.Pero también tenemos un perfil en redes sociales, como LinkedIn,

tratando de mantenernos en contacto con colegas de seguridad de la información, nuevas oportunidades de trabajo o simplemente para que nos recuerden. Facebook o Hi5 no pueden faltar, perfiles en dichas re-des sociales muestran a veces información personal o fotografías fa-miliares. Más aun, a veces ni siquiera tenemos que abrir un perfil en dichas redes, pues quizá alguien de la familia, del trabajo o amigos que acabamos de reencontrar subieron una fotografía a su perfil y “etique-taron” nuestro nombre en el pié de foto.

También están los congresos, a los que asistimos como invitados o conferencistas, donde se encuentran fotografías del tan renombrado foro, y que nos permite compartir en el Web quiénes somos.

El problema realmente sucede cuando queremos eliminar la informa-ción y desaparecer, porque es casi imposible de hacerlo dado la enorme cantidad de datos ligados a nosotros.

Pero regresemos al tema de la información personal. Por un lado, te-nemos que entender qué es información personal dentro de nuestra or-ganización y cómo va a ser protegida.

Quizá dentro de la organización seamos nosotros, junto con la gen-te de TI, quienes tengamos la responsabilidad más grande sobre pro-teger la información personal de los empleados, clientes, proveedores, outsourcing, etc.

Pero este concepto es difícil de entender, porque no estamos acos-tumbrados a determinar qué es información personal. Alguna vez es-cuché a alguien que decía que una dirección IP es un dato personal… no comments.

Finalmente, nosotros dimos la información a las empresas para poder acceder a un servicio. Y dicha información es la que se encuentra tam-bién en estas bases de datos, que venden al mejor postor en diferentes puntos de México e incluso por internet.

¿Por qué tiene alguien copia de dicha información? Simple, porque alguien no hizo el trabajo de planear la estrategia de protección de los datos – ya sea impresos o digitales -, no había una política, no había un procedimiento, no había una validación, no había una supervisión, no había… Nada.

Pregúntese, ¿qué tengo en mi computadora y en mi red que sean datos personales? y ¿cómo cuido los datos personales de los demás?; y espero que los que guardan sus datos personales en otras empresas se hagan la misma pregunta. ●

QUIERO DESAPARECER…O POR LO MENOS NO DAR INFORMACIÓN

OPINION

Por Andrés Velázquez

Andrés Velázquez es un mexicano especialista en delitos informáticos, profesor de la facultad de seguridad en redes de la University of Advancing Technology (UAT) en Phoenix, Arizona; y cuenta con las certificaciones CISSP, GCFA, ACE, IAM, IEM y BS7799. [email protected] Síguelo en Twitter: http://twitter.com/cibercrimen

´


En números pasados hemos tratado diversos temas relacionados con el análisis forense y los distintos escenarios a los que un in-vestigador se puede enfrentar al momento de intentar reconstruir

los hechos ocurridos entorno de una investigación. Y aunque mi inten-ción en este número era abordar algunos temas técnicos, como el uso de herramientas dedicadas al análisis forense, me vino a la mente una reflexión, que seguro pasa por el pensamiento de muchos de los invo-lucrados en investigaciones forenses digitales. ¿Qué se necesita para ser un investigador en esta disciplina?

Una de las características más importantes, con las que debe de con-tar un investigador forense dentro de su expediente de habilidades, es la capacidad de análisis de sus acciones antes de realizarlas. En otras palabras, sin previo análisis de las consecuencias, cero acciones debe-rán ser tomadas durante una investigación. Ya que realizar actividades sin un previo análisis y razonamiento, puede llegar a modificar el siste-ma derivando en la pérdida de datos (evidencia) cruciales para el desa-rrollo y buen término de la investigación.

Partiendo de esta situación y a fin de evitar caer en este tipo de es-cenarios, que con frecuencia vive en analista forense novato o el per-sonal de sistemas que se ve involucrado de una investigación de este tipo. Es necesario esclarecer que no hay una receta de cocina que pue-da ser aplicable a todos los casos a los que un investigador se puedan enfrentar. Es más, me atrevería a decir que ningún caso es igual a otro, y todas aquellas acciones realizadas en una investigación no serán apli-cables en otra. Por lo tanto, no existen acciones correctas o incorrectas durante una investigación. Ya que inevitablemente, cualquier acción que se realice sobre el sistema a investigar alterará, de una u otra ma-nera, el estado original del mismo (A toda acción corresponde una reac-ción [Tercera ley de Newton]).

Esta situación nuevamente nos lleva a reflexionar: sin importar qué haga el sistema va a cambiar de su estado original, entonces, ¿por qué debo ser tan cuidadoso en las acciones a realizar?

La respuesta a esta interrogante es muy sencilla. Si bien es cierto que cualquier acción va a modificar el estado original del sistema, la diferen-cia radical consiste en que dependiendo de la que se eliga se modifica-rá, en mayor o menor medida, el sistema o los medios originales. Esto nos lleva a una de las premisas más importantes dentro de la metodolo-gía establecida para el análisis forense digital.

MINIMIZAR LA PÉRDIDA DE DATOSEste principio es vital que siempre esté presente en la mente del inves-tigador, ya que una mala decisión en la fases de recolección, preserva-ción y análisis pueden derivar en graves consecuencias que van, desde la pérdida de evidencia crucial para la reconstrucción de los hechos, hasta la invalidación de la misma.

El mismo principio no aplica exclusivamente a nivel técnico (accio-

nes informáticas), sino también a nivel de procedimientos. Ya que un mal manejo de la evidencia u omisión de alguna acción, durante el pro-ceso de la cadena de custodia, puede ocasionar que todo el trabajo del investigador se vaya a la basura.

Otro punto que hay que tener muy presente, es que en algún mo-mento, el investigador tendrá que rendir su declaración ante una ins-tancia legal. Es ahí, donde éste debe de tener muy presente aquella frase que dice, Calladito te vez más Bonito

Lo más sano para un investigador forense, que muchas veces des-conoce total o parcialmente el tratamiento legal que se le da a una investigación (proceso penal), es limitarse únicamente a contestar es-pecíficamente las preguntas que el Ministerio Público o la autoridad en curso le realice. Evitando responder directamente a los cuestiona-mientos de la contraparte (defensora o acusadora según el caso). Ya que una mala interpretación de los hechos o inclusive la forma en la que se relatan, utilizando palabras que den lugar a duda tales como: creo, supongo, me parece, por citar algunas; puede ocasionar un retra-so considerable en la investigación o en el peor de los casos provocar que el proceso se anule.Nunca asumir nadaEn algunos casos me he topado con personas, que en lugar de apegar-se exclusivamente a correlacionar los eventos del sistema tratando de hilvanar acciones, logs’s o accesos, confían en demasía en la entrevis-ta verbal que suele realizarse. Esto, muchas veces entorpece la inves-tigación sobre todo si el investigador otorga más veracidad a los datos recopilados en una entrevista, que al equipo o los medios que se vieron involucrados en el incidente de seguridad o delito informático.

Por su naturaleza, el ser humano es capaz de mentir en muchas si-tuaciones de su vida. Pero no debemos olvidar que, a diferencia del ser humano, los dispositivos electrónicos actuales no están sujetos a estos factores. Por lo tanto, la única fuente confiable que tiene el in-vestigador es la información contenida en dichos dispositivos .Tan sencillo como: si se encuentra evidencia de alguna acción o evento es porque sucedió. Con las excepciones que alguna vez comenté sobre las técnicas anti-forenses.

Finalmente quisiera agregar -y en esto concuerdo con mi compañero de profesión Andrés Velazquez- que no se puede ser todologo. Sin em-bargo, sí se requiere que el investigador en materia de análisis forense digital, cuente en su expediente con la capacidad de “aprender” y tener una mente abierta. Que lo lleven a reflexionar sobre las muchas mane-ras que existen para llegar a un mismo camino y lo inciten a intentar hacer las cosas de una manera distinta, por muy imposible o loco que parezca. Esta característica será un diferenciador clave entre el éxito que puede alcanzar un investigador promedio, versus uno que siempre tenga en mente aquella frase que dice, “Todo se puede sólo hay que sa-ber cómo hacerlo”.

EXPEDIENTE CEROOPINION

Por Elihú B. Hernández Hernández

Elihú B. Hernández, GCFA ([email protected]) es responsable de la función de análisis forense e integrante del grupo de respuesta a incidentes de seguridad de la información en Produban México (Grupo Santander)

´


C ontinuemos con algunos hechos, mitos y realidades sobre este tratado conocido popularmente como “ACTA”..

¿Por qué ha generado tanta polémica, confronta-ción y polarización este tratado llamado “Anti-Counter-feiting Trade Agreement”? En el artículo anterior estuvimos platicando sobre las razones de forma y de fondo que han genera-do confrontación y polarización en torno a ACTA. Sin embargo, en la tercera semana de abril se dieron sucesos que me obligan a re-tomar brevemente las razones de forma.

Tal vez la mayor de las molestias derivadas de ACTA consistía, en que desde 2006 a marzo de 2010, ningún gobierno involucrado en su negociación había compartido públicamente la versión ofi-cial del texto. A pesar de que muchas organizaciones civiles, no gubernamentales, ciudadanos y la misma industria lo habían soli-citado vigorosa y reiteradamente.

La tremenda secrecía, falta de transparencia y ánimo excluyente o discriminatorio, con el que se llevaban las negociaciones del tra-tado por fin han llegado a su fin, pues en un hecho histórico, y pro-bablemente gracias a la tremenda presión internacional, los países negociadores del ACTA decidieron hacer público su contenido.

El 21 de abril, el IMPI (Instituto Mexicano de la Propiedad Indus-trial) publicó en su sitio web la siguiente nota:

Sin prejuicio de lo dispuesto por los artículos 13 y 14 de la Ley Fede-

ral de Transparencia y Acceso a la Información Pública Gubernamental,

en la 8ª ronda de negociación del Acuerdo Comercial Anti-Falsificación

(ACTA, por sus siglas en inglés) llevada a cabo los días 12 al 16 de Abril

de 2010, en Wellington, Nueva Zelanda, los participantes en la negocia-

ción acordaron hacer público el texto consolidado del capítulo de pro-

tección de propiedad intelectual.

Es importante señalar que el texto publicado, no refleja las diferen-

tes posturas de los gobiernos debido a que éstas pueden afectar otros

foros internacionales.

Asimismo, el entorno de la negociación se encuentra aún reservado

para uso de los posibles gobiernos signatarios. Las negociaciones se

han llevado a cabo en el idioma inglés y por el grado de avance que se

lleva aún no se cuenta con una versión oficial en español.

El texto adjunto a esta nota, en algunas secciones es casi ilegi-ble, particularmente en el apartado que pudiere resultar de mayor interés para la comunidad informática: Sección 4: Medidas Es-peciales Relacionadas a la Ejecución Tecnológica de Dere-

chos de Propiedad Intelectual en el Entorno Digital, que forma parte del Capítulo 2, “Marco Legal para la Ejecución de De-rechos de Propiedad Intelectual”. Y cuando menciono “ilegible”, no me refiero a que no pueda leerse, sino a que se batalla mucho para entenderse, puesto que está lleno de “corchetes” y “opciones”.

De acuerdo con el IMPI en este tipo de negociaciones se esti-la que los países involucrados en la lectura y estudio de documen-tos a ser negociados agreguen corchetes en los párrafos en los que no están de acuerdo, o en los que sugieren una nueva redacción. Como lo mencionamos en el artículo anterior, son al menos 37 paí-ses los involucrados en la negociación del ACTA. ¿Tiene usted una idea de cuántos corchetes, opciones y notas dalpié de página pue-de haber en un tratado negociado por 37 países? ¡MUCHOS!

Como el espacio previsto para esta columna, en este número, no nos permite entrar de fondo en el estudio de los temas de la famo-sa “Sección 4”, trataré brevemente algunos de los puntos introduc-torios que aparecen en los primeros artículos del ACTA.

El Artículo 2.X contiene las “obligaciones generales con respec-to a la ejecución”. Establece que en relación a los recursos civiles y sanciones criminales para la ejecución de derechos de propiedad intelectual, cada país deberá tomar en cuenta la necesidad de pro-porcionalidad entre la seriedad de la ofensa o violación y los recur-sos civiles y sanciones penales a contemplar por las leyes locales. Dichas medidas, procedimientos y recursos deberán también ser efectivos, proporcionales, justos, equitativos y disuasivos.

Sin duda esto refleja la gran presión que ejerció la comunidad in-ternacional sobre los negociadores en el sentido de no criminalizar actividades “cotidianas” u ordinarias en internet.

Esas actividades “cotidianas” u “ordinarias” pudieren referirse a las acciones de millones de usuarios en el mundo, que a diario des-cargan música, videos y juegos por internet. Toda persona, con un poco de educación y sentido común, entiende que si en esa activi-dad no existe el pago de regalías a los respectivos autores, pudié-ramos estar frente a una violación flagrante a leyes de derechos de autor. Si bien es esto cierto, tampoco significa que debemos con-vertir en criminales y meter a la cárcel a todo aquél que participe en esta actividad.

En la próxima y última parte (¡ahora sí!) abordaremos y discu-tiremos los contenidos de la Sección 4, relacionados con la ejecu-ción de derechos de propiedad intelectual en el entorno digital. ●

LALEYYELDESORDEN 2.0ACTA 2ª PARTEUN POLÉMICO TRATADO INTERNACIONAL QUE SE NEGOCIÓ EN SECRETO; AHORA SU TEXTO PRELIMINAR FUE LIBERADO AL ESCRUTINIO PÚBLICO

Por Joel A. Gómez Treviño

Joel Gómez es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE. [email protected]

UNIDAD DE VÍCTIMAS DEL CIBERCRIMEN

“Ejecución” viene del término legal anglosajón “enforcement”; entiéndase como “acción de hacer cumplir la ley”. En la primera parte de este artículo también se usó como equivalente el término “observancia”.


El área de seguridad informática requiere una constante actuali-zación. Es importante conocer los nuevos ataques y tendencias que se presentan a diario. De un día a otro se pueden dar a cono-

cer nuevas vulnerabilidades y es vital implementar las contramedidas necesarias lo más pronto posible. En tiempos anteriores, la actualiza-ción se obtenía de revistas, congresos y listas de interés. Sin embargo, en estos días en los que el tiempo se diluye como agua entre las manos, ¿dónde podemos encontrar espacios para leer, asistir a un congreso o darle seguimiento a una lista de interés? La respuesta la encontramos en los nuevos medios de comunicación que internet facilita, en parti-cular los podcasts.

El podcast permite aprovechar tiempos muertos. Uno puede escu-char un podcast mientras se encuentra en el tráfico, en el transporte público o haciendo ejercicio. Es importante recordar que no necesita-mos un iPod o iPhone para poder escuchar un podcast, con cualquier reproductor MP3 basta.

Entre los podcast que me permito recomendar están Security Now, Risky Business, Pauldotcom Security Weekly y The Silver Bullet Secu-rity Podcast. Es posible obtener el audio de cada uno de ellos directa-mente en la página del podcast o via iTunes. Vale la pena aclarar que todos los podcast son inglés, y algunos con un acento muy especial.

Security Now (http://twit.tv/sn) es un podcast conducido por Steve Gibs, quien es acompañado de Leo Laporte. De acuerdo con la publi-cidad del sitio, Gibs inventó el término de spyware y creó el primer programa antispyware. De todos los podcasts mencionados, es el que habla un inglés más claro. En la página de Security Now se encuentra la transcripción de la transmisión en diferentes formatos por si uno no entendió algo que se dijo durante ésta. El primer episodio data de agos-to del 2005, por lo que estamos hablando de un programa que cuen-ta con cerca de cinco años. No es necesario contar con conocimientos profundos para entender lo que dice. Este podcast es recomendable para gente que no cuenta con mucha experiencia en el área de seguri-dad informática. Cada episodio dura entre 80 y 90 minutos. Gibs ha de-sarrollado diferentes herramientas, entre ellas una de recuperación de información de discos dañados, y durante la emisión se leen casos de éxito. Fuera de esta sección, que representa 5% de todo el episodio, no hay otro tipo de publicidad.

La segunda recomendación, Risky Business (http://risky.biz/net-casts/risky-business) no tiene nada que ver con la película que prota-gonizara Tom Cruise en los 80s. Este podcast lo conduce un australiano de nombre Patrick Gray, con un marcado acento inglés. El programa se divide en tres partes. En la primera, Patrick discute las noticias de la semana con Adam “Beardy McUNIXguy” Boileau. En la segunda par-te, se entrevista a una persona de renombre en el área de seguridad in-formática. La tercera parte, es otra entrevista, pero con la gente que patrocina el episodio (cada episodio cuenta con un patrocinador dife-rente), y estas las entrevistas no son comerciales, sino técnicas. El pri-

mer podcast se transmitió el 20 de febrero del 2007, por lo que estamos hablando de tres años de duración. Cada episodio tiene una duración de 45 a 50 minutos. La página de este podcast cuenta con una sección de noticias, pero a diferencia de Security Now, no hay transcripción de los episodios por lo que hay que estar muy atentos a lo que se dice. Si bien es cierto que el nivel no es tan básico como el de Security Now, considero que no se requieren conocimientos profundos para entender de lo que se habla.

El tercer podcast, PaulDot Com (http://www.pauldotcom.com/), cuenta con un estilo underground y completamente informal. Imagi-nemos una sala, o mesa de cantina, donde se reúnen diferentes exper-tos a hablar de seguridad informática, de las novedades de la semana y de los últimos ataques. Al oírlo da la impresión de que el podcast no se produjo en estudio alguno. Algunos de los participantes se comunican vía telefónica con otros para discutir los temas de moda y beber cer-veza, que de acuerdo a ellos se ha convertido en un elemento esencial para crear un ambiente relajado. La persona detrás de todo es Paul Asa-doorian y también participan Larry Pesce, John Strand, Mick Douglas, Calos ‘DarkOperator’ Perez, entre otros. El contenido es variado, prin-cipalmente se centran en discutir las noticias y en algunas ocasiones cuentan con entrevistas. Cuentan con un wiki donde se publican notas, ligas, documentación y screenshots de cada uno de los episodios, sin embargo no hay transcripción de lo que se comentan. El primer episo-dio de PaulDot Com se produjo en la coferencia SANS el 27 de octubre del 2007. Para este sí es necesario contar con un buen nivel de inglés para poder entender lo que se dice.

The Silver Bullet Security Podcast (http://www.cigital.com/silverbu-llet/) es conducido por Gary McGraw y consiste en entrevistas a perso-nalidades del área de seguridad informática. No se discuten noticias de seguridad informática, ni nuevas vulnerabilidades y/o amenazas actua-les. Todo el podcast se dedica a la entrevista donde se tocan temas de moda, dependiendo del perfil del entrevistado. Durante la transmisión no hay publicidad, ya que está patrocinado por la revista IEEE Securi-ty & Privacy. Los episodios se publican cada mes y tienen una dura-ción de unos 20 minutos. El primer episodio se publicó el 25 de marzo del 2006.

Estos podcast no son las únicos opcione.Otros, pueden ser Securi-ty Bites, Security Wire Weekl, CyberSpeak. En México, está arrancan-do la generación de podcast de seguridad. Uno de los primeros, es el de Andrés Velazquez, Crimen Digital. Sin embargo, el contenido no es muy técnico y no siempre está relacionado con el área de seguridad in-formática.

Los podcasts son un complemento para mantenerse actualizado y no deben considerarse como la única fuente de información. Es impor-tante encontrar el tiempo para la lectura de revistas y la asistencia a congresos especializados. El twitter es otro complemento a considerar, pero hay que tener cuidado de seleccionar a quién se va a seguir. ●

LOS PODCASTS SOBRE SEGURIDAD INFORMÁTICAPor Roberto Gómez Cárdenas

ÁREARESTRINGIDA


INTRODUCCIÓN: EL CAMBIO DEL PARADIGMA En los últimos meses, la legislación sobre los delitos cibernéticos ha estado en boga. La Ley de Seguridad Cibernética, introducida por los senadores Rockefeller y Snowe (S. 773), la Ley de Coopera-ción Internacional de Información Delitos Informáticos, presenta-da por los senadores Gillibrand y Hatch, junto con otros temas de la misma seriedad, presentados en la Unión Europea (que tienen por objeto desarrollar un tratado para combatir la actividad criminal en internet) me han puesto a pensar en las razones o motivos que con-vertirían a este leyes y tratados en un éxito, pero también cuáles las harían ser ineficientes, o peor aún, perjudiciales.

Creo que todos coincidimos (basados en estudios y evidencias sólidas) que el cibercrimen existe y dado que no hay fronteras le-gales o nacionales en internet, su mera existencia nos afecta a to-dos, sin importar si nos encontramos en América, Asía Pacífico, o algún lugar de Europa, Oriente Medio o África.

Si bien somos capaces de coincidir en la existencia y preva-lencia del cibercrimen en todo el mundo. Seguimos fallando en la manera y métodos precisos sobre cómo combatir, solucionar, in-vestigar y perseguir legalmente estos delitos. Ahora mas que nun-ca, la humanidad necesita trabajar en el desarrollo de un marco

legal de trabajo, verdaderamente internacional, invitando a todas las naciones a participar y asegurando los recursos necesarios para impartir justicia sin prejuicios. La legislación redactada sobre un vacío —independientemente de las intenciones de las partes res-ponsables de su elaboración o creación— sólo servirá para ocultar las aguas turbias de la acción penal y, en última instancia, gene-rar un impacto negativo sobre la capacidad de una o varias nacio-nes para procesar a este tipo de delincuentes. Una nueva Era de pensamiento y acción es necesaria para marcar el comienzo de un enfoque formulista y repetible, para procesar aquellas personas in-volucradas o vinculadas a actividades “criminales”, al tiempo que previene a otros de involucrarse.

ADIÓS A LAS ARMAS: UNA NUEVA ERA EN LA PERSECUCIÓN DE LOS CIBERCRIMINALESLa primera premisa de este tratado, se lo debo a una conversa-ción que tuve con Will Gragido de Casandra Security. Se trata de basar las leyes de cibercrimen internacionales, de las que hago referencia arriba, bajo los estatutos de RICO de los Estados Uni-dos. Definida como Acta contra el Chantaje Influido y Corrupción en Organizaciones (RICO, por su siglas en inglés) es una ley fede-

LAS BASES PARA COMBATIR A LOS PIRATAS DE LA INFORMACIÓN EN LOS MARES ABIERTOS DE INTERNET

EL INVITADO

Por Daniel J. Molina Urcelay, CISSP


ral estadounidense que prevé ampliar las sanciones penales y las causas de acción civil, de los actos realizados como parte de un or-ganización criminal. Esta ley, se promulgó por primera vez en la sección 901 (a) de la Ley de Control de la Delincuencia Organiza-da de 1970 (Pub. L. 91-452, 84 Stat. 922, promulgada 15 de octubre 1970) y está codificada bajo el Capítulo 96 del Título 18 del Código de Estados Unidos, 18 USC § 1961-1968.

Originalmente, y de acuerdo con Gragido, sus autores habían previsto que la ley sólo se utilizara en los esfuerzos de la fiscalía contra los miembros de la mafia italiana, conocida como La Cosa Nostra en Estados Unidos. Sin embargo, su uso ha rebasado su propósito inicial y se sigue utilizando de manera creativa por la policía estadunidense, en la persecución de otras personas que participaron activamente en actividades delictivas organizadas. Como resultado su aplicación es mucho más generalizada, amplia y eficaz, que las otras legislaciones comparables tradicionales, que incluso podrían ya estar desfasadas en sus tácticas de procesa-miento fiscal. Si existiera un equivalente o una portabilidad de la Ley RICO a la esfera del mundo cibernético, las legislaciones en materia de cibercrimen avanzarían a la velocidad de la luz, lo que les permitiría cumplir verdaderamente con las necesidades de la economía mundial, cada vez más dependiente de internet. Un es-tado tipo RICO significaría que podríamos procesar a las personas que extorsionan y conspiran para realizar actos ilícitos en internet (como se deduce por los principios básicos de la ley), además de que también contemplaría las sanciones a aquellos, que a sabien-das, buscan asociarse con entidades criminales.

Gente como Albert González, quien fue condenado reciente-mente por su papel instrumental en el robo de datos de TJX —que afectó más de 44 millones de tarjetas de crédito—, podría haber sido detenido durante la etapa de planificación de su ataque. Una normativa como está bien podría haber impedido algunos otros de-litos informáticos, como los casos Hannaford, Heartland, 7-11, y muchos más.

TEMPUS FUGIT: EL TIEMPO VUELA Y NO ESPERA POR NADIEVivimos en tiempos progresivos y maravillosos: la aprobación de la ley-Rockerfeller Snowe en el Congreso de los Estados Unidos de América muestra un pequeño vistazo, pero importante, de cuán pro-gresista son. Esta iniciativa de ley permitiría a Estados Unidos apli-car sanciones contra un país que, a sabiendas, actúa como puerta de embarque para los cibercriminales. Aunque el proyecto de ley es bien intencionado, y verdaderamente adelantado a sus tiempos en muchos aspectos, es fatalmente defectuoso en muchas áreas, y eso sin mencionar su fracaso en el planteamiento de la importancia de la presencia geográfica y de ubicación dentro de la legislación.

Los delincuentes informáticos, como todos sabemos, pueden ocultarse, falsificar y rebotar entre varios países mientras come-ten sus crímenes, con un esfuerzo mínimo. Están bien organiza-dos y poseen un conocimiento rudimentario de las redes TCP / IP y las técnicas de suplantación de identidad. Como resultado, en mu-

chos casos, nos encontramos aplicando sanciones contra las llama-das cibermulas, o un tenientes botnet. Culpables de nada más que tener un sistema sin parches conectado, a través de una empresa o red local, a internet. Empecé a pensar en cómo exploramos o nave-gamos actualmente por Internet. Eso me dio una idea que supongo podría ser un gran inicio. Necesitamos una Ley estilo-RICO basada en el Derecho Marítimo y propongo la llamemos Ciber-RICO.

CIBER-RICO: CAMBIANDO LAS REGLAS PARA ACOMODAR EL JUEGOUno podría preguntarse, ¿por qué Derecho Marítimo? Bueno, por una variedad de razones. En primer lugar, el derecho del Almiran-tazgo (a veces se denomina ley marítima) se ocupa de cuestiones y delitos que suceden en aguas internacionales, y creo que podemos establecer un paralelismo sólido entre la mera naturaleza de inter-net, la Nube y los mares. Porque toca a muchos países, y todos tenemos intereses similares en protegerlo. Más importante aún, ninguna nación tiene la capacidad de reclamarla como suyo, ni si-quiera la policía de aguas internacionales, que por definición, son internacionales y por lo tanto la responsabilidad, de los que la utili-zan o se aprovechan de ellos, es de todos. Píenselo por un momen-to. ¿Quién no utiliza o se aprovecha de las aguas internacionales, de forma directa o indirecta? El comercio internacional utiliza estas vías acuáticas como un mecanismo de transporte marítimo de bie-nes y servicios, de manera similar a lo que hacen personas de todo el mundo en la nube de internet. Y al igual que en alta mar, donde por milenios los corsarios y los piratas han tratado de aprovecharse del carácter abierto y permeable de estos cursos de acuáticos, en la era de internet también tenemos nuestros propios piratas (ciber-criminales) y corsarios (hackers económicamente motivados), que han tratado de sacar provecho de la naturaleza nebulosa del Web.

En ese entonces, cuando se desarrollaron las primeras leyes marítimas. El principal motivo para impulsar la ratificación de los tratados multilaterales eran los beneficios personales. Incluso al-gunas naciones, que proporcionaron refugio a los piratas, se man-tenían reacias a aprobarlas en un principio. Sin embargo, cuando los piratas se volvieron contra ellos, los países con intereses perso-nales, rápidamente animaron al resto a ratificar y adoptar dichos tratados.

La base del derecho marítimo es que cualquier país que haya fir-mado el tratado multilateral puede participar en la aplicación o for-talecimiento de las leyes. De la misma manera, la ley de internet Ciber-RICO daría a los países la capacidad de procesar a los crimi-nales cibernéticos, que cometan delitos en los mares abiertos del Web. Incluso, cuando se hayan cruzado fronteras de uno o más paí-ses, las fuerzas internacionales pueden trabajar con un marco legal común de aplicación. De la misma forma, que los grupos de res-puesta contra la piratería trabajan frente a las costas de Somalia. Ellos, responderán a cualquier grito de ayuda, sin importar el co-lor o emblema de la bandera del buque afectado. Ese es el espíri-tu correcto de la ley y funcionaría tan bien como se relacione con el cibercrimen. ●

Daniel J. Molina es CISSP y líder de pensamiento en la arena de seguridad informática. Actualmente se desempeña como Gerente de Field Marketing para las Américas de Kaspersky Lab. Puede ser contactado a través de [email protected]


Como sabemos, a partir del primero de enero de 2011 será obligatoria la facturación electrónica en México, al menos para todas aquellas facturas mayores a $ 2,000 pesos. Este

no es un tema nuevo, pues desde 2005 se aceptó como válido lo que se conoce oficialmente como comprobante fiscal digital (CFD), el punto es que ahora será ya una obligación.

De acuerdo a datos del SAT, al primero de marzo de 2010 se han generado más de 400 millones de CFD, y hay más de 28 mil contribuyentes registrados que han optado por este esquema. Las empresas que ya utilizan la factura electrónica cuentan con infra-estructura y mejores esquemas de seguridad para responder a este requerimiento; sin embargo, a partir del próximo año, las Pymes y micro empresas también tendrán que adoptar el manejo de los comprobantes fiscales digitales y por lo tanto deberán preparar-se para esto.

Este cambio no implica solamente poder generar y emitir la fac-tura electrónica, también se debe tomar en cuenta la conservación de ésta y todas las medidas de seguridad que deberán implemen-tarse alrededor. Los sistemas y los procesos en las empresas deben estar listos para asegurar la integridad de los CFD.

No es que actualmente no sea posible alterar las facturas que manejamos en medios impresos. Sin embargo, con este cambio se abren nuevas posibilidades de generar documentos apócrifos, si no se toman las medidas correctas.

Por otro lado, debido a que cada contribuyente debe enviar mensualmente al SAT toda la información de su facturación por medios electrónicos, también se deben reforzar los controles sobre estos datos. Este no es un tema menor, sobre todo en estos tiem-pos, con la venta de bases de datos robadas a empresas y entida-des de gobierno.

Hay además otros aspectos a considerar. Por ejemplo, me imagi-no el caso de comprar una nueva computadora y que ésta se des-componga después de algún tiempo, al presentarme a reclamar la garantía, me pedirán la factura, esa que probablemente se quedó almacenada en la computadora. Sin duda, estos casos se resolve-rán de algún modo; pero hay que ir pensando en cómo.

Los receptores de facturas electrónicas también deberemos adaptarnos a esta modalidad, ya que cada vez recibiremos más, y hay que estar listos para manejarlas de forma óptima y segura.

Pese a los retos por venir, es indudable que los CFD tienen ven-tajas para todos: para la autoridad es un medio para apretar la fis-calización; para las empresas representa una disminución en sus costos de facturación y para los consumidores implica ahorros en tiempo y en facilidades de almacenar las facturas. Sin embargo, también trae consigo nuevos riesgos que deben analizarse y ma-nejarse de una manera adecuada

Para estar listos para manejar los comprobantes fiscales digita-les, se deben realizar cambios en la seguridad de los equipos que intervengan en el proceso de facturación electrónica. No sólo se debe evitar que los documentos electrónicos puedan ser alterados; también se deben incrementar las medidas para que la disponibi-lidad de los equipos no pueda ser comprometida.

Hay que considerar que las Pymes, las micro empresas y los con-sumidores no cuentan con los recursos, infraestructura, ni la cultura en materia de seguridad informática como las grandes corporacio-nes. Por lo tanto, seguramente se les va a complicar más la adopción de prácticas adecuadas para el manejo de las facturas electrónicas.

Desde 1999, año en el que las empresas se prepararon para el cambio de siglo, no recuerdo un cambio tan importante como el que se espera para el primer día del 2011. La diferencia es que en aquel entonces la preocupación era la funcionalidad y continui-dad de los sistemas. Ahora el tema debe ser la seguridad, integri-dad y disponibilidad de los CFD. Tanto las autoridades, como las empresas y los consumidores debemos de prepararnos para entrar de lleno a la era de los certificados fiscales digitales. Sin embargo, me parece que no se le está dando la importancia debida o tal vez estamos esperando una prorroga a la obligatoriedad de la medida. Bueno, eso creo yo, pero ¿usted qué opina? ●

AUDITORÍA EXTREMA´

Por Mario Velázquez

Mario Velázquez trabaja actualmente como gerente de auditoría de IT en Comex; cuenta con la certificación CISA.

¡OTRA PRÓRROGA A LA LEY, POR FAVOR!

Dentro de unos meses la facturación electrónica será obligatoria; pero la mayoría de las empresas y las personas físicas no están preparadas para adoptar esta medida.


SINNÚMERO

Por años América Latina se ha mantenido como una región donde la palabra malware o cibercrimen se

escucha lejana, ausente o quizá, hasta poco creíble.

Sin embargo, de acuerdo a la 15º edición del Internet Security Threat Report de Symantec los países de

la región han experimentado un crecimiento notable en sus porcentajes de actividad maliciosa

en Internet.

La principal prueba de ello es que, por primera vez en seis años, un país

de América Latina, Brasil, terminó en los primeros tres lugares

de todo el planeta, al generar 6% de toda la actividad

maliciosa en el web.

Si bien ninguna otra nación de la región terminó

en las primeras diez posiciones del ranking

global, no por ello estuvieron exentes de ser

blancos de ataques o, peor aún, hogar de

nuevos cibercriminales.

Aquí un breve vistazo al lado oscuro de

América Latina:

EL MALWARE LATINOAMERICANO

México y Argentina terminaron en segundo y tercer lugar, respectivamente,

de la región al generar 13% de toda la actividad maliciosa en América Latina.

Seguidos de Chile, que fue responsable de 7% de la actividad delictiva en la red.

El origen de los ataques cibernéticos hacia América Latina provino de Estados Unidos en el 40%, de los

casos, Brasil en el 13% y México en el 5%. Este último país terminó en la posición 16 a nivel global, y fue responsable del

1% de los ciberataques en todo el orbe.

América Latina, acaparó 14% de todas los computadores zombis del mundo. Tan sólo Brasil alberga 7% de estas.

De acuerdo al ISTR de Symantec América Latina generó 20% de todo el spam en 2009. Brasil generó 54% de todo el correo

electrónico de la región, seguido de Colombia y Argentina, ambas naciones con porcentajes de 12%.

SEGURO… QUE LO QUIERES

SEGURO QUE LO QUIERES POR…Eres seguidor de la marca con el símbolo de la manzana. Ya tienes MacBook, iMac, iPhone, iPod Touch y te falta tu iPad.

Si no tienes ningún producto de Apple, la iPad ponen a tu disposición un catálogo de más de 12 millones de canciones, 55,000 videos y 8,500 programas de televisión (no todos ellos disponibles para el mercado mexicano).

La iPad permite la instalación o compra de más de 150,000 mil aplicaciones de la App Store de Apple, y cerca de 3,000 programas exclusivos para la tableta multimedia

Su pantalla de 9.7 pulgadas promete ser perfecta para la lectura y consumo de medios digitales como libros electrónicos, periódicos, revistas o sitios web. En su primer día de ventas los dueños de una iPad descargaron más de 250,000 libros.

Cuenta con tecnología Bluetooth para conectar periféricos adicionales como teclado, cámara web, entre otros.

SEGURO QUE NO LA QUIERES POR…Ya tienes un Smartphone y una computadora portátil. No necesitas gastar otros $500 dólares en un reproductor multimedia de pantalla grande.

La iPad no cuenta con entradas USB, para conectar periféricos o memorias, lo que te obliga a comprar productos con tecnología inalámbrica.

Su pantalla promete ser ideal para la lectura y consumo de medios digitales, pero al no ser tinta electrónica, como la del Kindle, un uso prolongado del dispositivo cansa la vista.

No es un equipo de trabajo. La iPad servirá para revisar contenidos, más no para crearlos. No es una computadora ni en desempeño ni en aplicaciones.

Estás esperando las tabletas multimedia o Slate PC de marcas como HP, Dell o Lenovo.

Lo quieras, lo necesites, te guste o te desagrade, el nuevo producto de Apple ha causado comentarios, positivos o negativos, alrededor del mundo. Ahora la pregunta concreta sería ¿Te lo vas a comprar? LA TABLETA DEL DESEO… ESPECIFICACIONES

NUEVO PARADIGMA O UN SIMPLE OBJETO DEL DESEO


Próximos eventosReserve su agenda

28 y 29 de septiembre, Centro BanamexEs el único foro que reúne al mayor número de proveedores de tecnologías de negocios mostrando en vivo sus productos o servicios. El propósito es que el comprador corporativo/influencer tenga una experiencia hands-on de las nuevas tecnologías y tendencias en servicios. A través de sesiones interactivas, los asistentes conocerán de primera mano y de voz de sus desarrolladores, las últimas versiones de las soluciones para negocios y las nuevas aplicaciones disponibles en el mercado.

13 de octubre, Hotel Hilton Cuidad de México ReformaPor tercer año consecutivo, el Government Innovation Forum reunirá a la élite de innovadores del sector público en todo el país, quienes conforman la selecta lista de “Los más innovadores” de la revista InformationWeek México. A la convocatoria asisten también tomadores de decisiones de los distintos niveles de la administración pública (federal, estatal y municipal), que desean compartir las experiencias de quienes son reconocidos en el prestigiado ranking, a través de paneles de discusión, mesas redondas y conferencias magistrales. El foro concluye con la emotiva ceremonia de entrega de la estatuilla a los más innovadores del ranking de InformationWeek México.

20 y 21 de octubreSoMeBIZ es un foro interactivo que conjunta las mentes más brillantes en comunicaciones, marketing, desarrollo de marcas y ejecutivos de negocios para explorar cómo el social media ha revolucionado la forma en que los individuos y las empresas posicionan sus marcas en línea. Presentado por Netmedia, la compañía de soluciones mercadológicas y de medios de mayor prestigio en el segmento de la tecnología y los negocios, la conferencia está diseñada para mercadólogos, tomadores de decisiones, líderes IT, consultores, publicistas, publirrelacionistas y desarrolladores de aplicaciones.

Nuevo

24 de junio, Hotel Four SeasonsLas 50 empresas más innovadoras de InformationWeek México es una premiación creada por Netmedia y avalada por la metodología desarrollada ex profeso por la prestigiada firma de consultoría Ernst & Young. Ambas organizaciones participan año con año a lo largo del proceso, que incluye revisión y actualización de cuestionarios, convocatoria, calificación de proyectos, selección y verificación de los casos presentados. Registre su proyecto antes del 14 de mayo de 2010.

Nuevo

bSecure — Mayo, 2010

Documents

Transcript of bSecure — Mayo, 2010