19/03/2013

1

Sensibilización a la Protección de Datos

19/03/20131 Daniel Torres Falkonert © 2012

Ing. Daniel Torres Falkonert, CISSP

dtorres@paradoja.com

Twitter: @bytemarehack

Ing. Daniel Torres Falkonert, CISSP

Ingeniero de Sistemas, especialista en seguridad de lainformación de la Universidad de los Andes, con unaamplia experiencia en proyectos de atención deincidentes, Informática Forense y pruebas depenetración desarrollados en diferentes empresasdel sector de las telecomunicaciones, financiero ypúblico, al igual que con varias agencias deseguridad del estado nacionales y extranjeras.

Docente universitario de nivel de pregrado y posgrado,instructor de entrenamientos profesionales en laindustria y ponente en diferentes eventos deseguridad de la información. En su tiempo libredisfruta leer historias de ciencia ficción, los juegosde vídeo, el ecoturismo y resolver retos de hacking yprogramación.

08/02/2013Seminario de Sensibilización en Seguridad de la

Información2

daniel@paradoja.com

@bytemarehack

19/03/2013

2

El mundo es cada vez más pequeño

Las TIC (Tecnologías de la Información y la Comunicación) dan a las personas la posibilidad de crear, producir y acceder a contenidos a una escala hasta hace poco impensable.

Software, textos, música, imágenes, videos, estas obras están a clicks de distancia.

08/02/20133Seminario de Sensibilización en Seguridad de la

Información

Cada vez hay más innovaciones

técnológicas que facilitan la

creación, acceso y difusión de

información.

19/03/2013

3

Conectividad en todas partes

Manejando Comercio El Trabajo

Fuera de la ciudad En Casa

08/02/20135Seminario de Sensibilización en Seguridad de la

Información

Cada vez más alternativas

08/02/20136Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

4

La información es cada vez más valiosa

19/03/20137 Daniel Torres Falkonert © 2013

Mayor acceso a la información

Fuente: Semana.com

08/02/20138Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

5

Podemos volvernos famosos

08/02/20139Seminario de Sensibilización en Seguridad de la

Información

Esto también tiene su lado oscuro

Unas por otras

08/02/201310Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

6

Podemos conocer a nuestra alma gemela <3 <3 <3 <3

08/02/201311Seminario de Sensibilización en Seguridad de la

Información

Pero OJO!!!: Citas Mortales

08/02/201312Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

7

Casarnos <3 <3

08/02/201313Seminario de Sensibilización en Seguridad de la

Información

… y divorciarnos!!! </3 </3

08/02/201314Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

8

08/02/201315Seminario de Sensibilización en Seguridad de la

Información

Encontrar desaparecidos

08/02/201316Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

9

(Participación Ciudadana)10000

08/02/201317Seminario de Sensibilización en Seguridad de la

Información

La Razón: La Ley de Moore

“La Ley de Moore expresa que aproximadamente cada 2 años se duplica el número de transistores en un circuito integrado.” (Tomado

de Wikipedia)

08/02/201318Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

10

Espacio+Ciberespacio

• El ciberespacio se ha convertido en una extensión del mundo real.

• Cada vez le delegamos más cosas a las TIC.

• Muchas actividades ya son obsoletas

08/02/201319Seminario de Sensibilización en Seguridad de la

Información

¿Le pregunta a Google cuando está enferm@?

08/02/201320Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

11

Efectivo: Especie en vía de extinción

08/02/201321Seminario de Sensibilización en Seguridad de la

Información

Cambian las normas de Urbanidad

08/02/201322Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

12

Pero cada vez estamos más inmersos

“Temo el día en que la tecnología sobrepase nuestra

humanidad: el mundo solo tendrá una generación de

idiotas” (A. Einstein)

En un concierto

08/02/201323Seminario de Sensibilización en Seguridad de la

Información

Cada vez más dependientes

08/02/201324Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

13

¿Cuánto tiempo aguanta sin mirar el móvil?

08/02/201325Seminario de Sensibilización en Seguridad de la

Información

Ciberadictos!!

08/02/201326Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

14

¡¡¡Cyberjunkies!!!

08/02/201327Seminario de Sensibilización en Seguridad de la

Información

En problemas por culpa de Facebook

08/02/201328Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

15

En pueblo chico …

08/02/201329Seminario de Sensibilización en Seguridad de la

Información

… Infierno grande

¿y no se suponeque el mundoes cada vezmás pequeño?

:-S

08/02/201330Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

16

¿Alguna vez le han tomado una foto en la que no le gusta como sale?

Y además la han publicado!!!

Caso “Little Fatty”

•El fenómeno comenzó en china a finales del año 2002 (circa).

•Quian tenia 16 años en ese entonces.

•Le tomaron una foto en una clase

•Debido a su expresión, la foto fue usada para hacer montajes sobre cuerpos de celebridades.

•Su imagen se propagó por cientos de sitios web en cuestión de dias.

•Algunos la describieron como una de las caras máss famosas de china

•Ahora tiene hasta su propia entrada en wikipedia

08/02/201332Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

17

“Little Fatty”

08/02/201333Seminario de Sensibilización en Seguridad de la

Información

“Little Fatty”

08/02/201334Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

18

¿Cómo sobrevivir a la Humillación en Línea?

El tipo del tapabocas

08/02/201336Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

19

Su foto también se uso para hacer montajes

08/02/201337Seminario de Sensibilización en Seguridad de la

Información

Generó una búsqueda intensiva

08/02/201338Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

20

Finalmente lo encontraron

08/02/201339Seminario de Sensibilización en Seguridad de la

Información

¿Se puede llegar a poner en peligro la Vida?

19/03/2013

21

Pequeña confusión

08/02/201341Seminario de Sensibilización en Seguridad de la

Información

¿Será que eso les va a traer problemas en el futuro?

19/03/2013

22

Caer en la eternidad del ciberespacio

08/02/201343Seminario de Sensibilización en Seguridad de la

Información

Geolocalización

08/02/201344Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

23

Podría pasarle a usted

08/02/201345Seminario de Sensibilización en Seguridad de la

Información

… la información está más expuesta de lo creemos gracias a nuestro gran

amigo

19/03/2013

24

Podemos encontrar cuentas de cobro

08/02/2013Seminario de Sensibilización en Seguridad de la

Información47

… Podemos buscar hojas de vida

08/02/201348Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

25

… por lo menos nos conoce muy bien.

08/02/201349Seminario de Sensibilización en Seguridad de la

Información

¿qué tan expuestos estamos?

08/02/201350Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

26

08/02/201351Seminario de Sensibilización en Seguridad de la

Información

Múltiples fuentes de información

08/02/201352Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

27

Podemos automatizar fácilmente el proceso

08/02/201353Seminario de Sensibilización en Seguridad de la

Información

... Y podemos conseguir aún más información si sabemos dónde buscar

08/02/201354Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

28

08/02/201355Seminario de Sensibilización en Seguridad de la

Información

Es muy fácil conseguir la información de las personas.

08/02/201356Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

29

El Lado Oscuro del Ciberespacio

Daniel Torres Falkonertdaniel@paradoja.com

@bytemarehack

08/02/2013Seminario de Sensibilización en Seguridad de la

Información57

Un negocio muy rentable

08/02/201358Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

30

Internet bajo ataque

Daniel Torres Falkonert (c) 2012

Cada vez vemos más noticias relacionadas

Daniel Torres Falkonert (c) 2012

http://www.dinero.com/

19/03/2013

31

¿Hacktivismo?

19/03/201361 Daniel Torres Falkonert © 2012

???????

08/02/2013Seminario de Sensibilización en Seguridad de la

Información62

Publicado: 09/03/2013

19/03/2013

32

Intrusos Internos:La más común de las amenazas

• Conocen de los sistemas de la organización

• En posición de llevar a cabo un ataque debido a que tienen privilegios en el sistema.

• Empleado molestos, Ex-empleados, corruptos …

• El mayor de los problemas (70-80% de los casos)

08/02/201363Seminario de Sensibilización en Seguridad de la

Información

Corrupción, el peor de los males

08/02/201364Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

33

Delincuencia Organizada

El bajo mundo del ciberespacio

08/02/201365Seminario de Sensibilización en Seguridad de la

Información

La realidad

08/02/201366Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

34

La delincuencia evoluciona

Antes Ahora

08/02/201367Seminario de Sensibilización en Seguridad de la

Información

08/02/201368Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

35

Identidades a la Venta

08/02/201369Seminario de Sensibilización en Seguridad de la

Información

Información financiera a clicks de distancia

08/02/201370Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

36

Vacantes abiertas

08/02/201371Seminario de Sensibilización en Seguridad de la

Información

¿Qué se necesita saber para ser un

“Hacker”?

¡¡¡muy poco!!!

Ahora casi cualquiera

puede serlo

19/03/2013

37

El usuario: El eslabón más débil

http://www.eltiempo.com08/02/201373

Seminario de Sensibilización en Seguridad de la Información

Hay Toneladas de Documentación

http://www.semana.com

08/02/201374Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

38

Las herramientas y técnicas utilizadas por los intrusos

son cada vez más sofisticadas

08/02/201375Seminario de Sensibilización en Seguridad de la

Información

los intrusos han cambiado sus objetivos

Antes

El objetivo era entrar al sistema

Ahora

El objetivo es mantenerse en el sistema

One Hit Wonder The King08/02/201376

Seminario de Sensibilización en Seguridad de la Información

19/03/2013

39

¿Cómo es un Ataque?

08/02/201378Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

40

http://www.smbc-comics.com

08/02/201379Seminario de Sensibilización en Seguridad de la

Información

http://www.smbc-comics.com08/02/201380Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

41

Y así se ve …

¡¡Video!!

Famos@s, los mejores señuelos

08/02/201382Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

42

… y lo mejor de todo

La mayoría se consigue libremente en Internet

08/02/201384Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

43

Plataformas de ataque

08/02/201385Seminario de Sensibilización en Seguridad de la

Información

Malware Comercial

08/02/2013Seminario de Sensibilización en Seguridad de la

Información86

19/03/2013

44

Zeus

Malware comercial:•Toolkit entre U$3.000 y U$10.000)•Alquiler del servicio (Hosting, adaptación, propagación, etc.) desde U$700•Facilidades de pago.

El constructor crea una copia única que no es detectada por el software de protección actual

Tiene EULA!!!!!!

08/02/201387Seminario de Sensibilización en Seguridad de la

Información

A Rey Muerto, Rey Puesto

08/02/201388Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

45

Crackers a sueldo

08/02/201389Seminario de Sensibilización en Seguridad de la

Información

Malware en múltiples plataformas

08/02/201390Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

46

¿Qué nos espera?

08/02/201391Seminario de Sensibilización en Seguridad de la

Información

¿Qué hacer entonces?

¿Apague y vámonos?

08/02/201392 Seminario de Sensibilización en Seguridad de la Información

19/03/2013

47

La solución no es desconectarnos

08/02/201393Seminario de Sensibilización en Seguridad de la

Información

La paranoia tampoco es la respuesta

08/02/201394Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

48

El problema es complejo

Mientras el Oficial de seguridad debe pensar en la mayor cantidad de posibles vectores de ataque, el atacante debe encontrar unas pocas vulnerabilidades para comprometer todo un sistema.

Debemos cambiar el enfoque que le damos a la seguridad de la

información

La solución

19/03/2013

49

La seguridad nos permite tomar riesgos

Es un generador de valor para las organizaciones

08/02/2013Seminario de Sensibilización en Seguridad de la

Información97

Ser consiente de la realidad

• Mito: La seguridad total es posible

• Realidad: Niveles aceptables de riesgo.

Se debe aceptar el hecho obtener seguridad 100%

es imposible.

08/02/201398Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

50

Hay cosas inevitables

Vea el problema como un desastre natural.

No se puede evitar, pero se puede mitigar su impacto

08/02/201399Seminario de Sensibilización en Seguridad de la

Información

Ni los mejores se salvan

08/02/2013100Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

51

Infiltrados Durante 10 años!!!

08/02/2013101Seminario de Sensibilización en Seguridad de la

Información

Existen muchas herramientas de seguridad

• TOR

• Ccleaner

• PGP o GNUPG

• Hushmail

• Truecrypt

• …

08/02/2013102Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

52

NO existe una aplicación Mágica que solucione el problema de la

inseguridad.

La seguridad no es algo que se instale

Tampoco es una serie de pasos que hay que seguir ciegamente

• No es que lasrecomendaciones nosirvan, solo que no sonsuficientes

• Y en otros casos noson muy prácticas …

08/02/2013104Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

53

Y en otros son simplemente ingenuas

08/02/2013105Seminario de Sensibilización en Seguridad de la

Información

Hay que usar bien los mecanismos

08/02/2013106Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

54

La seguridad es un procesoSe debe definir un enfoque de seguridad de información, y darleuna línea base para identificar los aspectos clave de un programaintegral de seguridad organizacional.

Formula Ganadora

Seminario de Sensibilización en Seguridad de la Información

Prevención

Educación

Reacción

Cooperación

08/02/2013108

19/03/2013

55

Cuál es el impacto en el Negocio?

Daniel Torres Falkonert (c) 2012

Ella no evaluó el riesgo

08/02/2013110Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

56

Identificar las necesidades

Alicia BetoMalandra

1. Confidencialidad

2. Integridad

3. Disponibilidad

4. No-Repudiación

5. Autenticidad

6. Anonimato

7. Privacidad

08/02/2013111Seminario de Sensibilización en Seguridad de la

Información

Definir los Mecanismos

Confidencialidad

Integridad

Disponibilidad

No Repudio

Autenticación

Anonimato

Privacidad

Cifrado, esteganografía

Funciones de hash

Redundancia, Políticas de calidad

Firmas digitales

Muchos métodos: Password, Certificados, pruebasde cero conocimiento

Cifrado, Proxies

Medidas de seguridad, cifrado, buenasprácticas

08/02/2013112Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

57

La Seguridad es algo dinámico

Adaptar la infraestructura a este forma de pensar* :

• Defendible• Hostil• Fértil

*Rick Lee (www.csiservices.ca)

19/03/2013113 Daniel Torres Falkonert © 2012

Y cuando ocurraun incidente?

08/02/2013Seminario de Sensibilización en Seguridad de la

Información114

19/03/2013

58

Recuerde las 7 P

Proper Prior Planning Prevents

Particularly Poor Performance

08/02/2013115Seminario de Sensibilización en Seguridad de la

Información

La clave está en la Reacción

Creación de programa de Atención

y manejo de incidentes alineadocon la misión y las políticas de laorganización, sustentado en unmodelo de capacidad y madurez.

Modelo

unificado de

control y

riesgo

Análisis

forense

Manejo de

incidentes

19/03/2013

59

Primera respuesta a incidentes y Análisis

Forense

08/02/2013117Seminario de Sensibilización en Seguridad de la

Información

Si la inseguridad es la constante en el mundodigital. Los procedimientos forenses eninformática deberían ser la norma que confirmala existencia de la constante. Sin una adecuadarespuesta a los incidentes de seguridad, ladetección y el seguimiento de los intrusos notendría sentido.

J.cano, s.rueda, d.torres

1. Información como Contrabando

1. Violación de licencias de Software

2. Posesión no autorizada de informaciónsensible/confidencial /restringida/privilegiada

3. Venta y distribución de software con fines delictivos.

2. Información como Intrumento

1. Uso de Software Malicioso

2. Violación de políticas de seguridad

3. Acceso abusivo a sistemas informático

4. Ataques de denegación de servicio

3. Información como evidencia y apoyo técnico en

investigaciónes

1. Adquisición de datos en Internet

2. Casos de Infidelidad

3. Cronología de actividad en el sistema.

4. Delitos Financieros

5. Homicidios

6. Acoso y persecución

7. Extorsiones

8. secuestros

9. Estafas

10. Extracción de Evidencia en la red

11. Descubrimiento de información en procesos civiles, comerciales, administrativos, etc.

Áreas de aplicación.

19/03/2013118 Daniel Torres Falkonert © 2013

19/03/2013

60

Las 3 reglas de oro de la computación Forense según Edwin Lugo

1. Proteja la evidencia Original

2. Proteja la evidencia Original

3. Proteja la evidencia Original

La validez de la evidencia depende de la rigurosidad de los procedimientos

utilizados

08/02/2013119Seminario de Sensibilización en Seguridad de la

Información

En caso de duda…

Pida ayuda a algún experto, pero NO

improvise con los procedimientos

forenses.

Si quiere me llama ☺☺☺☺

08/02/2013120Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

61

Análisis forense en la vida Real

19/03/2013121 Daniel Torres Falkonert © 2012

Análisis forense en la vida real

08/02/2013122Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

62

Análisis forense en la vida real

08/02/2013123Seminario de Sensibilización en Seguridad de la

Información

Análisis forense en la vida real

08/02/2013124Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

63

Tenga cuidado!!

Asegúrese de que quienes realicen los procedimientos sean verdaderos

profesionales!!!!

Daniel Torres Falkonert (c) 2012

Conclusiones: Lo que Tenemos que cambiar

Estado Actual

Estado Ideal

No hay compromisoNo Existen programas de Respuesta a incidentesFalta de cordinación con otrasentidadesNo se comparte informaciónNo hay colaboración mutua…

CompromisoCreación de programas de atención de incidentesContar con personal altamente capacitadoCoordinación a nivel internacionalCooperación entre diferentes sectoresCompartir informaciónAyuda MutuaUsuarios conscientes y colaboradores…

08/02/2013126Seminario de Sensibilización en Seguridad de la

Información

19/03/2013

64

Incorporar nuevos elementos

1. Entender la “Física” del ciberespacio1. Saber qué pasa tras bambalinas2. Comprender las propiedades de los datos digitales3. Conocer los límites y alcances de la tecnología4. “Soy trancad@ para la tecnología” YA NO ES UNA EXCUSA VÁLIDA

2. Tomar decisiones con base en una evaluación realista del riesgo y no a partir de una lista de chequeo de la que ni siquiera se entiende su proposito

3. Saber reaccionar, es decir qué hacer cuando la seguridad falle4. Ver la seguridad como un habilitador de oportunidades y no como

un conjunto de restricciones5. Mantener la seguridad lo más simple posible6. …

08/02/2013127Seminario de Sensibilización en Seguridad de la

Información

El reto

• Encontrar un equilibrio entre:

– Privacidad

– Libertad de Expresión

– Transparencia

– Seguridad

– Legislación

– Tecnología

– …

19/03/2013 Daniel Torres Falkonert (c) 2012

19/03/2013

65

“Por más tecnología que

incorporemos es necesario un

cambio social, un cambio cultural”

Eduardo Thill

Lecturas recomendadas

19 de marzo de 2013Ing. Daniel Torres Falkonert, CISSP (c) 2012130

19/03/2013

66

Preguntas

08/02/2013131Seminario de Sensibilización en Seguridad de la

Información

¡¡¡¡Muchas Gracias!!!!

Esta presentación se autodestruirá en 15 segundos…

Daniel Torres Falkonertdtorres@paradoja.com

@bytemarehack

19/03/2013

67

08/02/2013133Seminario de Sensibilización en Seguridad de la

Información