tadas - UNA
153
1 Memoria I Congreso Internacional de Ciberseguridad y Sociedades Hiperconectadas
Transcript of tadas - UNA
1
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
2
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Las interpretaciones expresadas en esta obra colectiva son de exclusiva responsabilidad de
los autores(as), al igual que las fotografías, figuras, u otras similares.
MEMORIA DEL I CONGRESO INTERNACIONAL DE CIBERSEGURIDAD Y
SOCIEDADES HIPERCONECTADAS 2019
19 AL 22 de noviembre de 2019
Universidad Nacional, Costa Rica
Sede Regional Chorotega
Diseño y diagramación: Bach. Ricardo Castro Blanco
La publicación puede ser utilizada indicando los derechos de autor. Usted es libre de copiar y difundir los artículos comprendidos en la obra, siempre y cuando no se haga un uso comercial de la obra original, ni la generación de obras derivadas.
005.8
C749m Congreso de Ciberseguridad y Sociedades Hiperconectadas (noviembre,
19-22, Nicoya, Costa Rica)
Memoria [recurso electrónico] / Edgar Vega Briceño, compilador. –
Nicoya, Guanacaste, Costa Rica : Universidad Nacional. Sede Regional
Chorotega, 2019.
1 disco computadora (153 páginas) : PDF ; 12 centímetros.
ISBN 978-9968-526-10-4
1. SEGURIDAD (INFORMÁTICA). 2. IDENTIDAD. 3. PROTECCIÓN DE DATOS. 4. INTERNET. I. Título. II. Vega Briceño, Edgar, compilador.
3
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Comité Central
Coordinador: M.Sc. Edgar Vega Briceño
M.Sc. Raymond Pérez Meza
Bach. Ricardo Castro Blanco
Ing. Sergio Piedra Navarro
Comité Científico
M.Sc. Edgar Vega Briceño
M.SI. Patricia Prandini
M.IT. Rubén Aquino Luna
M.Sc. Ignacio Trejos Zelaya
M.SC. Leonardo Lemes Fagundes,
4
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
ÍNDICE
Presentación ....................................................................................................................................... 5
Objetivos ................................................................................................................................................ 8
Aspectos éticos del uso de datos digitales en el sector salud en Costa Rica:
Caso EDUS .......................................................................................................................................... 10
Beneficios de una posible aplicación del Blockchain en Costa Rica en la
industria agroalimentaria, inmobiliaria y el sector de la finanzas públicas.
.................................................................................................................................................................... 18
Herramienta de Autoevaluación para PYMES basada en el Marco de
Trabajo para la Mejora de la Infraestructura Crítica para la Ciberseguridad
del NIST .................................................................................................................................................. 31
Mirando hacia adentro: Las redes sociales en la vida de los estudiantes de
la Universidad Nacional, Sede Regional Chorotega, Campus Liberia ......... 43
Proceso de migración a sistema operativo GNU/Linux para mitigar
vulnerabilidades de seguridad en la plataforma de TIC’s en la
municipalidad de Carrillo, Guanacaste. ........................................................................... 57
Securización de Infraestructura TIC por medio de GNU/Linux y Software
Libre: El caso de la Municipalidad de Carrillo, Guanacaste, CR ....................... 74
Estudio sobre mecanismos para concientizar sobre el phishing .................. 85
Implementación de una Infraestructura de Llave Pública con OpenSSL y
NGINX ..................................................................................................................................................147
5
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Presentación
Inicio esta presentación del I Congreso Internacional de
Ciberseguridad y Sociedades Hiperconectadas (CICSOH), realizado en el
Campus Nicoya, mencionando uno de los motores más importantes de la
Sociedad Hiperconectada: el Internet de las Cosas (IoT, por sus siglas en
inglés), que tiene como antecedente importante la tecnología de
identificación por radiofrecuencia (RFID), pero este concepto fue creado
por un británico de ahora 51 años, en el año 1999, ¡sí, hace 20 años! Su
nombre es Kevin Ashton. Él creó ese concepto para ilustrar un sistema en
el cual los objetos se conectarían a Internet por medio de sensores y tal
vez Ashton no se imaginó que 20 años después se proyectan más de 24
mil millones de esos objetos conectados a la red Internet, estimulando el
crecimiento de la sociedad hiperconectada y trayendo consigo nuevos y
complejos retos de Ciberseguridad.
La tecnología ha avanzado tan rápido en los últimos 20 años que los
temas de Ciberseguridad parecen haber pasado desapercibidos. En Costa
Rica, las redes celulares han avanzado hasta tener un avance significativo
en la penetración de la red 4G y ya hablarse de la 5G, acceso a Internet
doméstico de hasta 50 o 100 Mbps, un país entre las mejores posiciones
del Índice de Competitividad Global en el pilar de adopción de las TIC sólo
superado por Chile, México y Uruguay. Esto ha implicado un impulso en el
desarrollo y adopción de nuevas aplicaciones y gran cantidad de nuevos
servicios que hacen de nuestra sociedad más dinámica, conectada e
inteligente.
La transformación digital en el sector salud y la conectividad de
dispositivos médicos para mejorar la eficiencia en el cuido de enfermos y
de las personas adultas mayores tales como monitores de presión, del
pulso o incluso cámaras conectadas a Internet para cuidar de ellos.
6
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
También, a través del IoT se pueden digitalizar y automatizar
servicios de transporte y control vial, servicios públicos vitales como
sistema de infraestructuras críticas (energía, agua), ciudades inteligentes
eficientes y sustentables desde una perspectiva económica, ecológica y
ambiental.
Estas iniciativas requieren de un despliegue importante de sensores
requeridos para cuantificar, monitorear y controlar las diferentes
aplicaciones a desarrollar. En otras latitudes ya se pueden encontrar
edificios inteligentes, hospitales y hogares conectados, medios de
transportes como trenes, barcos o aviones también conectados. El
incremento exponencial de distintos tipos de sensores será la constante
en los próximos años.
Todo lo anterior y otras dinámicas tecnológicas, requieren pensar en
métodos de protección para prevenir la actividad criminal. Las cámaras
que protegen a un enfermo o controlan el flujo vehicular pueden ser
remotamente secuestradas a través de Internet, un sistema de
infraestructura crítica puede ser violentado y modificado, las aplicaciones
y servicios pueden ser también atacadas para obtener información
confidencial o sensible. Cualquier debilidad en una aplicación, sensor o
infraestructura tecnológica deriva en un riesgo de ciberataque, se
convierte en una amenaza que no solo afecta a alguien particular, una
institución o una empresa, sino que toda una sociedad estaría en riesgo.
El constante desarrollo tecnológico nos permite contar con
ciudades inteligentes, redes sociales, gobierno electrónico, innovación en
inteligencia artificial, e incluso avances en las empresas que incluyen
banca en línea y moneda digital, entre otros. Estos beneficios también
representan grandes desafíos para la protección de datos de los usuarios,
7
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
el bombardeo de noticias falsas en línea, ciberacoso y seguridad para las
empresas digitales.
Por lo tanto, la Ciberseguridad es vital para las sociedades
hiperconectadas, para asegurar el desarrollo de la digitalización, la
industria 4.0, la e-salud, el e-learning, el e-turismo y todo aquello que
forme parte de un ecosistema digital y de múltiples interesados. La
Ciberseguridad debe ser integral y articulada, desde proteger un equipo
servidor hasta aspectos de legislación y normativa en temas de privacidad,
protección de datos y gobernanza de la ciberseguridad.
En esta memoria del Congreso, en su primera edición, se presentan
investigaciones, avances de trabajos finales de graduación, talleres y
experiencias de proyectos realizados en el ámbito de la ciberseguridad
que permitieron reflexionar desde un punto de vista multidisciplinario el
objeto de estudio en conjunto con las sesiones de conferencias
magistrales y foros realizados durante los días del Congreso cuya historia
podrían encontrar en http://cicsoh.una.ac.cr
Desde la Universidad Nacional (UNA) estamos comprometidos,
desde nuestra acción sustantiva, a aportar y generar espacios para la
discusión, reflexión y puesta en práctica de iniciativas académicas en el
ámbito de la Ciberseguridad.
¡Esperamos disfruten la lectura!
M. Sc. Edgar Vega Briceño. Ing.
Académico
Coordinador general
CICSOH 2019
8
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Objetivos
1) Divulgar los resultados parciales o finales de proyectos de
investigación/extensión en el ámbito de la Ciberseguridad en distintas
áreas de la Sociedad que busquen proteger la integridad, confidencialidad
y disponibilidad de la información.
2) Generar espacios de diálogo para el análisis y discusión,
articulando temas relacionados con la Seguridad de la Información, la
Ciberseguridad y las Sociedades Hiperconectadas.
3) Promover el análisis, la reflexión y la discusión de la
Ciberseguridad como un objeto de estudio multidisciplinario para el
aporte al desarrollo de iniciativas que procuren la articulación entre
sociedad, academia y sector privado.
4) Fomentar el intercambio, vinculación y cooperación entre
académicos e investigadores.
9
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
PONENCIAS
10
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Aspectos éticos del uso de datos digitales en el sector salud en Costa Rica: Caso EDUS
Allan González Estrada
Escuela de Filosofía
Universidad Nacional
Costa Rica.
El EDUS, un diseño proveniente de un área técnica como la informática, entra ahora en relación con profesionales del sector salud, por lo que podría decirse que la salud en este momento -dados los cambios que la implementación del EDUS genera– pasó de un “asunto de médicos” a ser asumida por un buen número profesionales e instituciones. Por este motivo, existe una presión sobre las llamadas ciencias de la computación, para que avancen en mejoras de técnicas de análisis de datos y así poder generar, en el caso del área de la salud, herramientas necesarias para una mejora en la investigación médica. Por otro lado, –y esta es la vertiente para analizar – se trata de generar información para crear y justificar políticas públicas en el área de salud -Aunque no únicamente, los datos en salud pueden justificar la toma de decisiones y políticas públicas en otros ámbitos de la vida de una sociedad.
Lo anterior permite a la Caja Costarricense de Seguro Social el manejo y la interpretación de datos, en otras palabras, los datos arrojados por el EDUS colaboran en el momento de manipular la información para poder establecer al menos cuatro líneas de acción en las cuales se espera que el EDUS tenga un impacto definitivo. Estas son:
• Mejoras en la práctica médica
• Servicios de salud más eficientes
• Conocimiento nuevo
11
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
• Innovación
Con respecto a la primera, aún es muy temprano para poder conocer el impacto del EDUS sobre la práctica médica en Costa Rica. No obstante, según un reporte del Kaiser Health News and Fortune Magazine, de marzo de 2019, después de 10 años de uso de expedientes digitales en el sector salud de Estados Unidos, la práctica médica no ha mejorado. Entre la razones mencionadas están las siguientes:
a) Al haber errores por parte de médicos, estos culpan al sistema. b) Existe una falta total de pistas visuales en la atención a los usuarios. c) Un médico hizo la analogía de que pasar del expediente físico al
expediente digital es como pasar de usar caballos a usar automóviles, no todos estaban preparados tecnológicamente para este programa informático.
d) En el programa hay muchas cajas de diálogo y menús que han causado un “cognitive bournout” entre los médicos, lo cual ha hecho que muchos se retiren de la práctica.
e) El médico no interactúa, solo es un puente entre lo que dice el usuario y la computadora.
f) Toman muchas horas completar reportes en un expediente digital.
Con respecto al punto b), al carecerse de una herramienta cuantitativa
y cualitativa para valorar a profundidad las interacciones médico-usuario, no se puede calcular aún el verdadero riesgo de la poca atención que le presta el primero al segundo. En otras palabras, solamente salvo algunas respuestas de usuarios en las que se quejan de que el medico pone más atención a la computadora que a él, no puede decirse con mayor claridad cuál es el impacto a nivel psicológico de la atención que recibe el usuario.
12
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Con respecto al punto c), el uso de las tecnologías digitales podría
resultar un problema en cierta población médica, dada la necesidad de alfabetización digital que esta requiere. No obstante, en las nuevas generaciones de médicos, o al menos entre las que empezaron la carrera hacia mediados de los años 90, se espera un mejor manejo de dispositivos tecnológicos. Sin embargo, es adecuado mencionar que la CCSS debería proveer los elementos necesarios para que esto no sea un impedimento a la hora de la atención en salud.
Con respecto al punto d), algunos médicos se han quejado del tiempo que les toma llenar toda la información, algunos extienden bastante sus horas de trabajo, lo cual tiene un impacto directo en sus momentos de descanso, fundamentales para una práctica médica adecuada.
El punto e) es muy similar al punto c), la diferencia sería el papel del médico solamente como instrumento para poner información en el expediente; si este proceso llegara a automatizarse, el usuario solamente necesitaría indicarle a un computador los síntomas que tiene, y por medio de sensores biométricos se obtendría el resto de la información.
La creación de todo sistema informático va a depender de las necesidades del usuario, y quien programa se basa en esto para su diseño. Sin embargo, si el EDUS fue pensado directamente por quienes administran y no por quienes se ocupan de la práctica médica, el impacto tanto en las personas profesionales en medicina como en las usuarias del EDUS puede ser contraproducente a largo plazo. El sistema debería ser tan amigable con unas como con otras, con el fin de generar un mayor beneficio a todas por igual. De ahí que, si se parte de una ética principialista el EDUS, debería ofrecerse un beneficio a ambas partes, si lo que interesa de verdad es la salud de la población. Por otro lado, si la ética es más utilitarista por parte de quienes crearon el sistema, el EDUS más bien se convierte en una herramienta para un análisis estadístico, instrumentalizando a los médicos, viéndolos como medio y no como fin, y de igual manera a la población. En síntesis, para la creación del EDUS debería partirse entonces de cierta ética, de un principio de Beneficencia, más que de una apuesta utilitarista para la toma de decisiones.
13
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
El reglamento de la CCSS utiliza términos muy confusos, por
ejemplo, usuario del Sistema de salud, y usuario del EDUS, este último se refiere al médico, no al paciente.
Es evidente que existe un beneficio, como lo es la inmediatez de la información, en otras palabras, la posibilidad de contar en tiempo real con la información médica de un usuario que, por ejemplo, tiene su centro de atención en una zona alejada y debe ser atendido en un hospital del Valle Central. Sin embargo, para que este beneficio sea real, la información debe ser lo más exacta posible, y esto no se logra en tanto la relación médico-usuario no mejore. El EDUS, en este momento, no parece contribuir mucho a ello. La falta de atención del médico al usuario, en el contexto de la implementación del EDUS, está en concordancia con la noción por la cual el expediente fue concebido. Si lo que se requiere es la mayor cantidad de datos posible en el menor tiempo, nuevamente el usuario pasa a ser instrumentalizado, en tanto se convierte en un dato que debe ser recolectado, perdiéndose el valor de la consulta médica. Está clara la necesidad de mejorar los recursos, al ser el tiempo un factor determinante; la información generada por el EDU puede permitir un desahogo de los centros de salud al valorarse los datos médicos y tomarse decisiones sobre la atención a los usuarios y distribución de recursos, pero lo último no debe estar por encima de la salud como un valor de la sociedad y derecho humano.
Cuadro 1: Aspectos esenciales para el funcionamiento EDUS.
Fuente: Elaboración propia, s.f.
14
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Para que existan servicios de salud más eficientes debe conocerse
qué de ellos debe ser mejorado, esto es una observación lógica. En este sentido, el EDUS, con la información que genera al recolectar y analizar datos, hace un aporte valioso para una justa distribución de recursos, o al menos eso es lo que se debe pensar. Pero cabe preguntarse, ¿para quién son generados estos datos nuevos? Y ¿con que fin? El EDUS arroja al menos dos tipos de información: por un lado, sobre la salud de la población, por ejemplo, información epidemiológica y, por otro lado, sobre la población misma.
Quizás convenga detenerse un poco en el impacto que tiene la
generación de datos del EDUS sobre la población. Al haber una base de datos, que debe ser llenada, y estos son los aportados por los usuarios, el EDUS se convierte también en un repositorio digital de toda la población costarricense. Recientemente, como una supuesta idea en aras de prestar servicios más eficientes, se anunció una colaboración entre el Tribunal Supremo de Elecciones (TSE), la CCSS y el Sistema Centralizado de Recaudación (SICERE). Esto implicaría una mejora en la atención del sector salud, pues ya no es necesario presentar la cédula, ya que se usarán los datos biométricos para identificar a las personas y acelerar el proceso de atención. En principio, esto parece alentador para el usuario, quien percibe efectivamente un aumento en la velocidad del servicio, ya que la actual ha sido motivo de queja constante por muchos años. Conviene, sin embargo, analizar este aspecto de manera más precisa.
Una interpretación equivocada del concepto de dato llevaría a
obviar que todo este proceso puede derivar en vigilancia ciudadana por parte del Estado, pues bajo la premisa del intercambio de datos, el manejo de estos posibilita el control sobre la población. En primera instancia, es necesario asumir con cuidado la relación entre el TSE y el EDUS, ya que asocia la información sobre salud y la información civil. Esto es a lo que apunta el presente escrito, al análisis ético de los procesos de almacenamiento, enlace y uso de datos. Los aspectos negativos, desde un punto de vista ético, residen en el hecho de que la información de la población puede quedar expuesta a:
15
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
• Ataques cibernéticos, lo cual daría pie para la creación de un órgano policial que vele por la seguridad informática del país.
• Vigilancia estatal • Discriminación • Identificación de poblaciones vulnerables.
El EDUS contempla datos personales que no son sensibles y datos de salud que sí lo son, tales como tratamientos de fertilidad, hormonales, HIV o trastornos mentales, en cualquier contexto datos altamente sensibles, por ello, una distinción importante de hacerse con datos digitales es:
• Cómo son usados, pues su uso impacta en decisiones y
acciones de las personas • Cómo son categorizados, pues estos pueden definir
políticas para poblaciones vulnerables. • En un contexto de salud debe fundamentarse el uso de
datos sensibles con un criterio de privacidad. Esto debe valorarse desde varias perspectivas:
o Relación del individuo con el Estado con respecto a
la seguridad y uso de los datos o Relación del usuario del sistema de salud con el
médico o Relación del médico con profesionales en
informática o Relación de profesionales en informática con la CCSS.
Con respecto al punto i) hay que definir los límites al Estado, en otras
palabras, cómo este usa los datos. En la época actual, de datos digitales, esta es una pregunta fundamental para salvaguardar la privacidad de las personas y su autodeterminación. O el Estado promueve la privacidad en función del bien colectivo, o el bien colectivo es sacrificado por la privacidad.
16
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Lo primero puede generar una total asimetría en las relaciones de poder entre el Estado y el individuo, y lo segundo debe estar en balance de una manera evidente, aunque lo que primero sea una ética utilitarista para tomar esta decisión, esto podría solventarse con una teoría de justicia adecuada y, como se mencionó anteriormente, con leyes más actualizadas que garanticen la relación de confidencialidad.
Cuadro 2: Uso de datos y aspectos éticos para utilizar el EDUS.
Fuente: Elaboración propia.
17
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Conclusiones
Como se ha discutido, el campo que se encarga del análisis de la salud de las personas está compuesto ahora por profesiones del sector salud ligados a profesionales en informática, en administración de empresas, a bio-informáticos y profesionales de disciplinas encargadas del análisis de datos. Este panorama, como se discutió, tiene un aspecto positivo. Por un lado, se ha logrado poner cierto orden al profesional en salud, el cual ahora este sujeto a tiempos reales de atención y labores médicas, y tiene un acceso inmediato a la información. El usuario, por su parte, tiene cierto acceso a su historial de salud. Pero, por otro lado, los datos recolectados por el Expediente Digital en Salud no parecen estar muy bien resguardados y las leyes actuales no parecen ser suficientes en cuanto a la protección de estos. En el contexto actual y futuro, el uso de datos de la población podrá ser un arma de doble filo para la ciudadanía, por lo que los datos deberían estar celosamente resguardados y las justificaciones para compartirlos con el sector privado deben ser verdaderamente fuertes. La sociedad civil puede ver incrementadas las inequidades y los problemas que conlleva asignar a las personas ciertas características que refuercen estereotipos asociados a la salud. Es recomendable una educación muy fuerte en el tema del uso de datos dirigida a la población, así como brindar herramientas de análisis ético a los distintos profesionales que se relacionan con estos datos; el Estado debe garantizar el cumplimiento ético del manejo de los datos de salud, y en este momento no lo está haciendo.
Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional.
18
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Beneficios de una posible aplicación del Blockchain en Costa Rica en la industria agroalimentaria, inmobiliaria y el sector de la finanzas
públicas.
Alejandro Gamboa Barahona
Escuela de Informática
Universidad Nacional
Costa Rica
Resumen
El uso del Blockchain no se ha limitado únicamente a las monedas virtuales, su aplicación se ha dado a diferentes sectores productivos alrededor del mundo que lo han adoptado. El objetivo de este estudio es describir una serie de beneficios que, mediante la aplicación de esta tecnología, pueden llegar a tener los sectores costarricenses en la industria agroalimentaria, inmobiliaria, y de las finanzas públicas. Esto se realizó mediante una revisión bibliográfica de los beneficios de la aplicación en sectores productivos a nivel global y a partir de ahí se realiza una comparación con la situación actual costarricense para determinar los posibles beneficios de su aplicación. El Blockchain puede transformar de manera positiva los modelos productivos costarricenses, así como también llevar un mejor ordenamiento y transparencia de las finanzas públicas a través de la trazabilidad, la innovación tecnológica y la contribución a una sociedad totalmente conectada.
Palabras clave: Blockchain; Transformación Digital; Industria Productiva; finanzas; Big Data.
19
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Introducción
El Blockchain es una tecnología emergente, su inicio se dio a partir del desarrollo y publicación de la moneda virtual Bitcoin en el año 2008 como medio para trasladar y asegurar información de manera digital, sin embargo, su uso ha tenido una evolución importante en los últimos años en diversos sectores a nivel global de debido a su potencial de transformación en la forma en que los negocios trabajan actualmente. Según el Banco Mundial, esta tecnología lograría revolucionar los mercados actuales con el fin de promover la prosperidad en varios ámbitos, entre ellos la transparencia, el orden financiero y el combate al fraude (Banco Mundial, 2019), para ello es primordial una inversión y una innovación en las áreas de ciencia y tecnología. En Costa Rica, con el objetivo de esa implantar esa innovación tecnológica, el Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT), lanzó en 2018 la “Estrategia de Transformación Digital hacia la Costa Rica del Bicentenario 4.0”, el cual fomenta e impulsa el uso de nuevas herramientas tecnológicas para la conectividad, entre ellas el Blockchain, en donde se espera que múltiples sectores de la sociedad costarricense se vean beneficiados (MICITT, 2018). Para esto en este estudio se consideran que tres de esos sectores, los cuales son el sector agroalimentario, el sector inmobiliario- construcción y el sector de las finanzas públicas los pueden verse beneficiados por la aplicación de esa tecnología.
Blockchain y sus aplicaciones
1. Definición
El Blockchain es una tecnología de libro contable, digital, abierto, compartido e inmutable que facilita el proceso de registrar transacciones (datos) y rastrear activos tangibles e intangibles en una red de negocios, mediante el uso de internet donde cada participante del libro actúa como publicador suscriptor y validan la información a través de modelos de consenso (Gupta, 2018).
También lo definen como una nueva estructura de datos compartidos en forma de cadenas de bloques donde se puede registrar y guardar transacciones para que de forma conjunta y segura sean validadas (Microsoft, 2018).
20
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Por lo tanto, Blockchain se puede definir como una base datos en la nube separada en bloques donde cada uno está interconectado entre sí, a través de una red de comunicación, almacenando así información esencial la cual quedará guardada y validada sin intermediarios en un único registro no modificable.
2. Funcionamiento del Blockchain
El funcionamiento del Blockchain consiste en un proceso donde se almacenan los datos de las transacciones en bloques, y una vez llenado cada bloque se forma una cadena entre ellos. A medida que aumenta el número de transacciones, también lo hace la cadena de bloques. Los bloques registran y confirman el tiempo y la secuencia de las transacciones, posteriormente se registran dentro de una red de trabajo regida por medio de modelos de consenso anteriormente acordados (donde se decide si la información es pública o privada). Cada bloque contiene una identificación única (hash), fecha y hora de las transacciones, así como el hash del bloque anterior. (Gupta, 2018).
La información de las transacciones se logra transportar a través de una red de pares (peer-to-peer) donde cada computadora actúa como un igual, utilizando sin excepción cada uno. Se aplican las mismas reglas de comunicación, es decir, cada uno actúa como cliente y servidor a la vez, respecto a los demás integrantes de la red.
Como lo explica Nakamoto (2008) en cada bloque se agrega la información del hash del bloque anterior para evitar que este sea alterado, debido a que funciona como un comprobante mediante un “sellado” de tiempo donde prueba que los datos realmente han existido en un tiempo anterior al del bloque actual que se esté utilizando.
Con esto se evidencia parte de las características fundamentales del funcionamiento del Blockchain como lo es su control cruzado, su trazabilidad, y la fiscalización debido a que esta no recae en una única entidad o en un único profesional, sino que, al ser descentralizada, cada integrante de la red forma parte fiscalizadora de datos asegurando cada hash, con esto se reduce la probabilidad de falsificación de datos en transacciones.
21
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
3. Aplicaciones del Blockchain
El origen del Blockchain se asocia directamente con la moneda virtual Bitcoin en el 2009 pero su uso no se ha limitado únicamente a estas, la cual se ha empezado a aplicar en diversos sectores siendo una alternativa con potencial para cambiar sus modelos de operacionales, al integrarla en diferentes áreas.
En este caso la empresa HerenBouw de capital holandesa, ha realizado una aplicación exitosa para el sector construcción donde empezó a utilizar Blockchain para realizar y guardar transacciones de suma importancia legal para labores de auditoría en un proyecto de desarrollo a gran escala en el puerto de Ámsterdam (Tapscott y Vargas,2019),
También se ha aplicado a la cadena de suministros alimentarios y del agro por parte de la empresa Microsoft que ha desarrollado una aplicación que abarca la trazabilidad desde las granjas hasta el consumidor pasando por sus procesos intermedios de transporte y tratamiento debido que según PricewaterhouseCoopers (PwC) el fraude en de cadenas de suministros alimentarios tiene un costo de aproximadamente $40 billones por año (PWC, 2016).
En el área de las finanzas, la empresa IBM ha desarrollado el IBM Blockchain, una infraestructura en la nube que ofrece servicios para manejar un ordenamiento claro y seguro en las finanzas facilitando labores de auditoría y en combate al fraude financiero. (IBM, 2019).
Metodología
La metodología de este estudio es cualitativa, se realiza una revisión de la literatura referente a la definición del Blockchain, su aplicación y usos a nivel global en diversos ámbitos de la industria. Se realiza también un análisis de la situación de los sectores de la industria inmobiliaria, agroalimentaria y el sector de las finanzas costarricenses con el fin de determinar los beneficios con el uso del Blockchain.
22
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Análisis
La industria a nivel global ha venido adoptando la tecnología emergente Blockchain como parte importante de sus procesos de producción. En Costa Rica, esta tecnología no es muy conocida y se encuentra en etapa inicial de visualización donde puede aportar para diversos sectores, por ejemplo, se han dado casos de startups como WorldSibu ahora llamada Covalent que han empezado a brindar soluciones basadas en el Blockchain en el ámbito privado sobre todo en el sector médico (Chacón, 2018; Montes, 2019), pero ¿qué pasa si como país se logra extender esta tecnología a otros sectores productivos?
Sector Agroalimentario
Una forma en la que la tecnología Blockchain puede contribuir es en el sector agroalimentario costarricense, según el estudio "¿Hacia dónde va la industria alimentaria?" elaborado por la por la Promotora de Comercio Exterior de Costa Rica (PROCOMER), las empresas exportadoras de alimentos pasaron de ser 140 firmas en 1998 apenas, a 265 en el 2016, siendo parte del tercer sector de exportación más importante en el país. Para el año 2018, el sector alimentario representó un 14% del total de las exportaciones de bienes, con registros cerca de $1.093 millones (PROCOMER, 2018). Debido a esto el sector ha tenido que enfrentar diversos desafíos para conllevar un mejor ordenamiento de sus procesos complejos de negocio, por lo cual es muy propenso a tener carencias y fallos, para lo cual la confianza y la seguridad debe ser fundamental en su funcionamiento.
El desarrollo de productos basados en el Blockchain para el manejo de cadenas de suministros alimentarios debido a sus características puede mitigar las principales razones de fallo en las cadenas de suministros, como lo es, por ejemplo, la capacidad de determinar el momento exacto de un fallo o la entidad responsable causante de alguna desconfianza a nivel de negocio. Microsoft creó una solución utilizando Blockchain en conectividad con sensores y códigos que abarca una trazabilidad de los productos desde que están en una granja donde se mide y se guarda en cada bloque información como la temperatura, humedad, entre otros, hasta que llegan al cliente final, pasando por los
23
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
procesos de transporte donde se guarda la información del tiempo de traslado del producto, tratamiento en fábricas y procesos regulatorios con entidades socias al proceso de negocio donde se certifica la calidad del producto (Microsoft, 2018).
A nivel costarricense ya MICITT, el Ministerio de Agricultura y Ganadería de Costa Rica (MAG) y el Instituto Interamericano de Cooperación para la Agricultura (IICA) han empezado a tener conversaciones sobre el uso de transformación digital en el sector agropecuario; según el MICITT generaría enormes economías de escala e impulsaría una creciente concentración y capitalización de las empresas agrarias (MICITT, 2019). Con la utilización del Blockchain en este sector se puede tener múltiples beneficios además de los anteriores, por ejemplo, al tener información inmutable en cadenas de bloques el sector podría lograr una mejoría al momento de administrar y organizar la adquisición de materias primas, también el cliente podría acceder a información de garantías y calidades del alimento de una forma rápida y sencilla donde se especifique información a la cual el cliente promedio no tiene acceso, por ejemplo, saber si el lugar de cultivo de un determinado alimento es realmente el cual se indica en el empaque. Tradicionalmente para esto existe una institución interventora en los procesos técnicos agroalimentarios, le corresponde al Ministerio de Economía, Industria y Comercio (MEIC) debido a cambios en políticas institucionales de presupuestos, las labores de control de esta entidad se han visto reducidas (Muñoz, 2012). Es en esta situación donde el Blockchain vendría a brindar trazabilidad, y confianza sin necesidad de una institución interventora más allá de su participación en la red, también se lograría un mejor control financiero debido a que toda la información de procesos de exportación queda guardada, por lo que facilitaría los procesos de fiscalización gubernamental y pago de impuestos por concepto de importación/exportación de productos para los procesos comerciales.
24
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Sector Inmobiliario
Holanda ha decido meterse invertir en tecnologías emergentes en la computación, y una de ellas es el Blockchain. Siguiendo con esa iniciativa que tiene como país, la empresa HerenBouw, cuya sede principal se encuentra en Ámsterdam, considera que la aplicación de esta tecnología le brindará al sector construcción una información oportuna y con menos errores sobre los procesos clave para el desarrollo operacional, así como alta fiabilidad en los contratos con intermediarios o sectores aliados a la construcción. (Tapscott y Vargas,2019).
El sector inmobiliario y además el de construcción costarricense se encuentra en crecimiento, según el Banco Central de Costa Rica (BCCR) para el 2020 se proyecta un crecimiento de 2,1% , por lo cual es un buen momento en el que se puede empezar a pensar en invertir en tecnología Blockchain para sus modelos de producción ya que esta podría eliminar gastos burocráticos al largo plazo sobre todo en el pago a intermediarios en la compra de materiales, la adquisición de permisos, labores de auditorías financieras, documentación en la venta de bienes y el pago de impuestos ya que todo esto quedaría en un registro digital, trazable desde el primer eslabón hasta el último en la cadena productiva del sector. Según la empresa gestora de riesgo Aon Corporation, el 95% de los datos de construcción de edificios se pierden en la transferencia al primer propietario (Aon Reed Stenhouse Inc., 2019).
Por lo tanto, se puede aplicar en la creación de diversas soluciones Blockchain que rastreen la adquisición de materiales, los códigos de estos quedarían guardados en cada bloque, así como también los estándares de construcción. También ayudaría tanto a identificar fallos e irregularidades en compras y facilitaría las labores de inspección y auditorías externas. Otra forma de aplicarlo a este sector puede ser para guardar la información de cada contrato que adquiere la empresa, tanto de personal como de adquisición de patentes, o servicios tercerizados, con lo que posteriormente se podría facilitar la creación de métricas con una alta confiabilidad que ayuden a identificar los contratos que más ayudan a la productividad de la empresa. A su vez, se puede aplicar en el área de recopilación de datos y documentación referente a propietarios o a arrendatarios de edificios, donde en cada bloque se guarde sus fechas de adquisición, sus fechas de pagos y métodos y sus nombres e identificaciones, con esto se lograría una oportuna administración, una mayor visualización de responsables y una mayor trazabilidad que ayude con el pago de deudas y con el pago de impuestos.
25
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Sector Finanzas Públicas
La tecnología Blockchain ofrece la posibilidad de ser un gran aliado estratégico de los gobiernos para llevar a cabo ordenamientos a nivel de las finanzas públicas con el objetivo de obtener mejoras en la recaudación fiscal y llevar a cabo impulsos para desarrollar un claro combate al fraude e irregularidad fiscal. Según el informe “Programa de análisis de brechas tributarias en la administración de ingresos públicos: Análisis de brechas tributarias en el impuesto general sobre las ventas y el impuesto a la renta de las sociedades” elaborado por el departamento de finanzas públicas del Ministerio de Hacienda en conjunto con el Fondo Monetario Internacional (FMI), la brecha tributaria en Costa Rica equivale a un 4,6% del Producto Interno Bruto(P.I.B), entendiendo brecha como “la comparación entre las declaraciones estimadas y los ingresos efectivos del Estado”(pp. 41) (Pecho; Ueda, 2018). En otro estudio con otra metodología se estima que el incumplimiento tributario equivale a un 8,22% del P.I.B, entendiendo incumplimiento tributario como “la estimación de incumplimiento que toma en cuenta tanto la evasión, la elusión y la mora” (pp. 06) (Fonseca; Muñoz, 2015). La información de estos informes sirve como parámetro para medir cómo esta situación deteriora el estado de las finanzas públicas, por lo que se deben buscar soluciones y esfuerzos tanto en el corto, mediano y largo plazo, para que las irregularidades tributarias disminuyan drásticamente.
Actualmente el Blockchain es parte de esos esfuerzos en diferentes países del mundo. Por ejemplo, SKAT, la cual es la autoridad fiscal tributaria de Dinamarca, en asociación con la empresa privada, utiliza Blockchain para controlar el ciclo de vida del proceso de importación/exportación, venta y compra de vehículos, esto lo hace por medio de un protocolo en el cual el Estado es el único que puede crear nuevos registros para cada nuevo vehículo en ese país el cual es cargado en un Blockchain, posterior a esto, el Estado transfiere la propiedad del vehículo a cada fabricante o encargado de venta invocando al Blockchain en cada transferencia, esto para crear un manejo inteligente y un registro inmutable de dueños de vehículos, combatir las inconsistencias de información y mitigar el riesgo de defraudación tributaria (Berryhill;Bourgery y Hanson, 2018). Lo anterior evidencia el esfuerzo de Dinamarca por utilizar y llevar a la práctica iniciativas de tecnologías emergentes que contribuyen a un ordenamiento de las finanzas públicas.
26
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
A nivel de empresa privada, IBM ofrece diversas soluciones: colaboraciones, consultorías y alianzas con gobiernos para la utilización de sus soluciones de Blockchain en temas de impuestos y ordenamientos tributarios, comprometiéndose también con cualquier servicio de soporte que se requiera ya que los procesos de recaudación de impuestos suelen ser muy complejos con diferentes tratados y reglas en cada país. (Schimpel, 2019).
En Costa Rica por el momento no se ha visto ningún impulso por parte del Ministerio de Hacienda para poner en práctica el Blockchain. Sin embargo, existe un gran potencial como herramienta del ordenamiento de las finanzas públicas obteniendo beneficios tales como la seguridad en financiera ya que la información estaría cifrada, una mitigación de las prácticas corruptas o desleales ya que la naturaleza del Blockchain por ser descentralizada y verificable lo impide, también el Estado se vería beneficiado en una eficiente recaudación de impuestos ya que cada pago, cada deuda o cada declaración de impuestos estaría registrado en un Blockchain confidencial sin intermediarios que puedan alterar registros.
Todas las propuestas y beneficios anteriores deben ir aunadas a unas políticas estatales que logren regular desde el plano legal todo el entorno en el que se desenvuelve siendo el Estado parte de la red Blockchain involucrada. En concordancia, un Estado que tiene como meta la colectividad, el financiamiento de tecnologías y la cooperación en alianzas público-privadas muestra como meta llevar a Costa Rica a un alto nivel en prácticas tecnológicas.
27
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Conclusiones
Parte de las características fundamentales del Blockchain es la trazabilidad, la cual es un punto alto de la aplicación de esta tecnología como se ve reflejado en el análisis ya que por medio de ella podemos generar altos grados de confianza a nivel empresarial, a nivel gubernamental o a nivel de un usuario final de un determinado producto en cuyo proceso de negocio se haya aplicado el Blockchain debido a que se cuenta con ordenamiento de registros y un historial que ningún profesional por sí solo puede modificar. A su vez, otro de los puntos altos de la aplicación de esta tecnología es la facilidad con la que se pueden combatir prácticas corruptas o antitéticas, esto con el fin de crear una transparencia, legitimidad y sobre todo seguridad en movimientos que tienen con compra-venta, declaraciones o con documentación sensible como la adquisición de permisos ya que la naturaleza de esta tecnología no permite la pérdida de información ni una modificación de históricos, que es por ese medio donde suele establecerse muchas de las prácticas que generan impactos negativos tanto en cadenas productivas de diversos sectores como en la percepción de la población de un país.
Estos beneficios solo serán factibles en un país como Costa Rica existiendo una voluntad política real de parte del Estado para que todos los impulsos por la innovación tecnológica no queden únicamente en una idea sino que logren ser aplicados tanto en los sectores productivos económicos como en el sector público mediante entidades fiscalizadoras de diversos procesos, así mismo debe existir un trabajo en conjunto entre la empresa privada que desee tomar como una inversión la innovación en tecnologías y las diversas entidades públicas administradoras de los sectores productivos.
Si bien el Blockchain no es la única solución ante las carencias que suelen tener los diversos sectores, los múltiples impactos positivos que la aplicación de esta tecnología ha dado a nivel global nos puede poner a repensar los modelos estratégicos de producción y a repensar diversas estrategias efectivas en el ámbito público que nos puedan llevar a un ordenamiento financiero y a partir de ahí ir construyendo, mediante cooperación, un modelo de país que vaya enfocado hacia la conectividad, la seguridad, la transparencia y la innovación tecnológica.
28
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Referencias
Aon. (2019). “Technology Corner Profile”. [Boletín Electrónico]. Recuperado de: https://www.aon.com/getmedia/dbc61848-f07a-4838-bfb0-a28a1bec86b9/Brickchain-Tech-Profile-V1-0-9-7-18.aspx
Banco Mundial. (2019). “Blockchain: cómo asegurarse que cada dólar llegue a quien lo necesita”. [Boletín Electrónico]. Recuperado de: https://www.bancomundial.org/es/news/feature/2019/01/24/blockchain-como-asegurarse-que-cada-dolar-llegue-a-quien-lo-necesita
Berryhill, J., Bourgery, T., Hanson, A. (2018). “Blockchains Unchained: Blockchain Technology and its Use in the Public Sector”. OECD Working Papers on Public Governance. N° 28. Recuperado de: https://dx.doi.org/10.1787/3c32c429-en
Chacón y Zamora, A. (Febrero-Marzo, 2019). “¿Qué se espera del sector inmobiliario costarricense para el 2019?”. Inversión Inmobiliaria. Edición 16. 159-163.Recuperado de: https://www.inversioninmobiliariacr.com/images/pdf/perspectivas0319.pdf
Chacón, K. (20 Febrero, 2018). “Dos emprendedores encuentran en el Blockchain la oportunidad para crear su empresa emergente”. El Financiero. Recuperado de: https://www.elfinancierocr.com/tecnologia/dos-emprendedores-encuentran-en-el-blockchainla/IVRKI3BZDRFXDOACA3NFSIHWFQ/story/
Fonseca, O y Muñoz, J. (2015). “Incumplimiento Tributario en Impuestos sobre la Renta y Ventas 2010-2013”. Dirección General de Hacienda. Ministerio de Hacienda. [Informe]. Recuperado de: https://www.hacienda.go.cr/docs/56b3c9b1e7428_Estudio%20Incumplimiento%20IGV%20e%20ISR%202010-2013%20(3).pdf?fbclid=IwAR1XvlvtJlSRwWhEsIhwJy5AEWo6NUc0H5SJZfJ6q5WfnoQjkRhyh5Ji4Eg
Gupta, M. (2018). “Blockchain For Dummies® IBM Limited Edition”. Recuperado de: https://www.ibm.com/downloads/cas/36KBMBOG
29
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
IBM. (2019). “IBM Blockchain PlatformBuild. Operate. Govern. Grow”. Recuperado de: https://www.ibm.com/downloads/cas/Q9DGBLV7
MICITT. (2018). “Estrategia de Transformación Digital hacia la Costa Rica del Bicentenario 4.0”. Recuperado de: https://micit.go.cr/transformaciondigitalcr/TransfDigitalCR.pdf
MICITT. (2019). “MICITT, MAG e IICA apuntan a la estrategia transformación digital para potenciar el sector agrícola en Costa Rica”. [Página Web]. Recuperado de: https://www.micit.go.cr/index.php?option=com_content&view=article&id=10462:micitt-mag-e-iica-apuntan-a-la-estrategia-transformacion-digital-para-potenciar-el-sector-agricola-en-costa-rica&catid=40&Itemid=630
Microsoft. (2018). “5 ways blockchain is transforming Financial Service”. Recuperado de: https://azurecomcdn.azureedge.net/cvt-6d842530990f39ba4d55bf140f3b0b48bf4956b603dd0f99937cf32d163e12e5/mediahandler/files/resourcefiles/five-ways-blockchain-is-transforming-financial-services/five-ways-blockchain-is-transforming-financial -services.pdf
Microsoft. (2018). “How blockchain will transform the modern supply chain”. Recuperado de: https://azurecomcdn.azureedge.net/cvt-2499a2a77fa86b41969b4a3edaa4721371c16b8c4526a581b9c4564dd8fbb12c/mediahandler/files/resourcefiles/how-blockchain-will-transform-modern-supply-chain/how-blockchain-will-transform-modern-supply-chain.pdf
Montes, W. (26 Agosto, 2019). “WorldSibu is now Covalent”. Medium. Recuperado de: https://medium.com/covalentxhq/worldsibu-is-now-covalent 2b188357dc66
Muñoz, H. (2012). “El control oficial sobre el “fraude alimentario” en Costa Rica”. Memoria de resúmenes de Ponencias. I Congreso de Seguridad Alimentaria Nutricional. Construyendo un abordaje Integral (16,17,18 Octubre, 2012). Recuperado de:
30
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
www.congresosan.ucr.ac.cr/index.php/descarga/category/5ejepoliticas?download=19:resumenpoliticas6
Nakamoto, S. (2008). “Bitcoin: A peer-to-peer electronic cash system”. Recuperado de: https://bitcoin.org/bitcoin.pdf
Pecho, M y Ueda, J. (2018). “Programa de análisis de brechas tributarias en la administración de ingresos públicos: Análisis de brechas tributarias en el impuesto general sobre las ventas y el impuesto a la renta de las sociedades”. Departamento de Finanzas. Ministerio de Hacienda. [Informe de Asistencia Técnica]. Recuperado de: https://www.imf.org/~/media/Files/Publications/CR/2018/Spanish/cr18124-CostaRicaTA-es.ashx?fbclid=IwAR3wXCRNMbY5aEt1OC-GKSA02xXPMeLHFg7ibA6YolgrHAZKtPlz7zZTaJg
PriceWaterhouseCoopers. (2016). “Food Fraud Vulnerability Assessment and Mitigation. Are you doing enough to prevent food fraud?” Recuperado de: https://www.pwc.com/gx/en/services/food-supply-integrity-services/assets/pwc-food-fraud-vulnerability-assessment-and-mitigation-november.pdf
PROCOMER. (23 octubre, 2018). “Industria alimentaria de Costa Rica deleita los paladares más sofisticados en la feria SIAL París”.[Boletín Electrónico].Recuperado de: https://procomer.com/es/noticias/industria-alimentaria-de-costa-rica-deleita-los-paladares-mas-sofisticados-en-la-feria-sial-paris
Tapscott D & Vargas R. (2019). “How Blockchain Will Change Construction”. Harvard Business Review. [Pagina Web]. Recuperado de: https://hbr.org/2019/07/how-blockchain-will-change-construction
Schimpel, U. (2019). “Blockchain and Government: International Taxation”. [Página Web]. Recuperado de: https://www.ibm.com/blogs/think/uk-en/blockchain-and-government-international-taxation/
Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional.
31
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Herramienta de Autoevaluación para PYMES basada en el Marco de Trabajo para la Mejora de la Infraestructura Crítica para la
Ciberseguridad del NIST
Máximo Coghi Hernández
ORCID: 0000-0002-9432-5740
Universidad Cenfotec
Costa Rica
Kattia Fernández Quesada
ORCID: 0000-0002-7670-1095
Universidad Cenfotec
Costa Rica.
Resumen
Existen grandes corporaciones severamente afectadas por ciberataques y, si eso pasa a empresas globales, ¿qué está pasando en Costa Rica?
En Costa Rica, el 97% del parque laboral lo conforman PYMES según los datos del MEIC (MEIC, s.f.) y por ello surgió la duda de ¿qué puede hacer una PYME para mejorar su postura en ciberseguridad? Si las PYMES representan casi la totalidad del parque industrial, es preocupante el impacto que podría tener un ciberataque masivo dirigido a este sector.
Esto hizo proponer una herramienta de autoevaluación para PYMES basada en el Marco de Trabajo para la Mejora de la Infraestructura Crítica para la Ciberseguridad del NIST.
Se usó una investigación aplicada para atender las brechas de seguridad que podrían presentar las PYMES y se desarrolló una herramienta fácil de usar, comprehensiva y sencilla de entender que puede darle gran información y dar sugerencias sobre cómo proteger su empresa.
Palabras clave: PYME; ciberseguridad; herramienta; autoevalaución; marco de trabajo.
32
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Summary
Many global companies are severely affected by cyberattacks and, if this is happening to global companies, what is happening in Costa Rica?
In Costa Rica, 97% of all companies are SMBs according to MEIC’s data (MEIC, s.f) the authors wondered: how can an SMB improve its cybersecurity posture? If SMBs are close to 100% of all costa Rican companies, it is troublesome to think the impact that a massive cybersecurity attack aimed at costa Rican SMBs could have.
This encouraged the authors to propose a self-evaluation tool for SMBs using as a reference NIST’s Framework for Improving Critical Infrastructure Cybersecurity.
An applied investigation was used to identify security breaches an SMB might have and a comprehensive tool and easy to understand was developed provide information and generate conversations around how to protect your company.
Keywords: SMB; cybersecurity; tool; self-assessment; framework.
Introducción
Hace poco más de un mes, Capital One recibió un mensaje anónimo alertando que potencialmente habían sido víctimas de un ciberataque e información de sus clientes se podía encontrar en una cuenta de GitHub. El análisis determinó que el ataque inició aproximadamente cinco meses antes, que afectó 100 millones de personas en los Estados Unidos y 6 millones en Canadá (Capital One, 2019). Capital One es la compañía número 98 en la lista de las 500 de la revista Fortune y el décimo banco más grande de los Estados Unidos (Fortune 500, 2019).
Not Petya, ciber ataque lanzado como arma en la guerra entre Rusia y Ucrania en julio del 2017, fue catalogado en septiembre del 2018, por la revista Wired, como el ciber ataque más devastador de la historia (Greenberg, 2018). El costo total del mismo se estima en 10,000,000,000 de dólares. Entre las compañías más afectadas: Merck número 76 en la lista de las 500 de Fortune, FedEx número 47, Maerks número 294 en la lista Global 500.
33
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Compañías gigantes severamente afectadas por ciber ataques. Y si eso pasa en el mundo, ¿qué está pasando en Costa Rica?
En la lista del Índice Global de Ciberseguridad de la ITU, la agencia de las Naciones Unidas especializada en Tecnologías de la Información y Comunicación, Costa Rica está de número 115 en una lista total de 175 países participantes indicando que apenas comienza el compromiso para con la ciberseguridad del país (ITU, 2018).
No es de extrañar entonces que recientemente CRHOY publicara que el sector público no está exento de los ciber ataques y no está preparado para ellos. Como ejemplos publicados están los casos del Poder Judicial y el Archivo Nacional en febrero, la Cancillería y Asamblea Legislativa en marzo, el Cosevi en abril. En el CSIRT dijeron que el tiempo de respuesta ante un ciber ataque es de 24 horas para restablecer los servicios; sin embargo, las noticias de febrero indican que el Archivo Nacional duró más de una semana en restablecerlos (Murillo, 2019).
En el 2017, la revista Summa citó que el 32% de las empresas en Costa Rica sufrieron al menos un ciber ataque (Revista Summa, 2018). Se debe entender qué población de empresas fueron usadas para cada una de las noticias, pero independientemente de la población, los expertos comentan que los ciber ataques van en alza. Estos expertos también comentan que las PYMES están siendo blanco de los ciber atacantes, sea para robarles información o para usarlos como escalón para llegar a empresas más grandes. En general, las PYMES tienen tendencia a tener medidas de ciber seguridad débiles, que están más enfocados en los objetivos del negocio y no se presta la atención debida a la tecnología y los riesgos que pueden presentar en términos de ciber seguridad, además tienen recursos limitados (Walker, 2019). En Costa Rica el 97% del parque laboral lo conforman PYMES según los datos del MEIC (MEIC, s.f.).
Uniendo todos estos datos surgió la duda sobre ¿qué puede hacer una PYME para mejorar su postura en ciber seguridad? Si las PYMES representan casi la totalidad del parque laboral, preocupa el impacto que podría tener a nivel nacional un ciber ataque masivo dirigido a este sector.
34
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Esto hizo proponer una herramienta de autoevaluación para PYMES basada en el Marco de Trabajo para la Mejora de la Infraestructura Crítica para la Ciberseguridad del NIST con los siguientes objetivos:
• Que describa la estructura y el contenido del Marco de Trabajo.
• Que pueda ser utilizada en modo autoevaluación.
• Que encuentre brechas de seguridad en la PYME y las clasifique de mayor a menor.
• Que proponga acciones para cerrar las brechas más críticas.
Por lo tanto, el producto de esta investigación es desarrollar una herramienta, basada en el Marco de Trabajo mencionado anteriormente, a través de una hoja de cálculo, que permita autoevaluar a una PYME. Con esto, cada empresa podrá encontrar y clasificar las brechas de seguridad informática a través de la herramienta, y al mismo tiempo, la herramienta propondrá las acciones necesarias para cerrar esas brechas de seguridad
Marco teórico
La ciberseguridad se conoce, en su forma más simplista, como la seguridad de la Tecnología de la Información (TI) o seguridad de la información electrónica (Kaspersky Lab, s.f.) y es de esta manera en que se diferencia de la seguridad física.
La evaluación de la ciberseguridad de una empresa empieza por el Marco de Trabajo que haya sido escogido para ser implementado o, en su defecto, como estándar establecido o mejor práctica del mercado para determinar el estatus de la ciberseguridad.
En términos generales, se reconocen cuatro (4) como los estándares más robustos y de mayor uso (Watson, 2019):
• El Marco de Trabajo para la Mejora de la Infraestructura Crítica para la Seguridad del NIST.
• PCI DSS
• ISO 27001/27002
35
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
• Controles de Seguridad Críticos CIS.
Una vez seleccionado el Marco de Trabajo, el mismo se ajusta teniendo en cuenta las características significativas de la organización, una de estas características es el tamaño de la empresa (Ross, 2014). En Costa Rica, el tamaño de la empresa se determina “mediante la ponderación matemática de una fórmula que las clasifica según actividad empresarial, y que contempla el personal promedio contratado en un período fiscal, el valor de los activos, el valor de ventas anuales netas y el valor de los activos totales netos” (MEIC, s.f.). Según el resultado obtenido de la fórmula las PYMES se subclasifican en Microempresa, Pequeña Empresa, Mediana Empresa.
El ajuste al Marco de Trabajo debe también estar dirigido por criterios con base en los riesgos y las amenazas identificadas con potencial impacto a los procesos e infraestructura crítica de la empresa para evitar situaciones en las que los controles de seguridad implementados estén desalineados con la criticidad de la infraestructura (Meszaros & Buchalcevova, 2017).
Una herramienta que funcione en modalidad autoevaluativa para una PYME debe contar con dos características claves para que pueda ser utilizada en formato autoevaluativo (Toth & Paulsen, 2016) (Ross, 2014):
• Proveer plantillas definidas para la evaluación
• Estar realizada en lenguaje no técnico
Las plantillas pre-definidas son la herramienta ya lista para ser utilizada por la empresa, sin tener que invertir en entender cómo ajustar el Marco de Trabajo, cómo evaluarlo y el lenguaje no técnico es la clave para que todas aquellas organizaciones que no cuentan con un especialista en TI o cuyo especialista no tiene conocimientos profundos de ciberseguridad puedan aplicarla sin problemas.
La innovación de esta investigación consiste en incorporar, como paso final, la información necesaria para que las empresas puedan clasificar las brechas identificadas por la herramienta de autoevaluación al igual que posibles acciones para el cierre de las brechas identificadas.
36
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Metodología
Para el desarrollo de esta propuesta, se usó una investigación de tipo aplicada empleando las mejoras prácticas en el ámbito de la ciberseguridad que propone el Marco de Trabajo para la Mejora de la Infraestructura Crítica para la Ciberseguridad del NIST, con el objetivo de atender las brechas de seguridad que podrían presentar las PYMES y desarrollando una herramienta que cualquier PYME pueda usar para contrastar el estado actual versus las buenas prácticas que propone el Marco de Trabajo del NIST.
La recolección de datos se realiza a través de plantillas predefinidas donde se evalúan 109 preguntas relacionadas con los diversos aspectos de ciberseguridad de la PYME de los cuales algunos aplican, otros no y la PYME tiene la posibilidad de indicarlo. El resultado se analiza con el objetivo de identificar brechas de seguridad según el Marco de Trabajo del NIST y proponer soluciones según la severidad de las brechas.
Las plantillas que se usan están basadas en los cinco dominios que define el Marco de Trabajo del NIST, y se adaptaron a un nivel comprensible para que cualquier PYME logre completar las respuestas de la plantilla e identifique los puntos de mejora.
Análisis
En primera instancia, el NIST se divide en cinco (5) funciones con el objetivo de que la empresa piense en sus riesgos organizadamente y vea que una adecuada comprensión y gestión en las primeras funciones repercute positivamente en las siguientes. Estas cinco funciones y su descripción son:
• Identificar: donde se incorporan los aspectos de compresión organizacional
• Proteger: donde se analizan los servicios críticos y las medidas de seguridad necesarias para la operación de estos
• Detectar: donde se consideran las actividades que permiten identificar intrusiones o incidentes
• Responder: donde se revisan las actividades apropiadas para contener y reaccionar ante una intrusión o incidente
• Recuperar: donde se enfocan las acciones para la recuperación luego de un incidente o intrusión.
37
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Cada una de las cinco (5) funciones del NIST se subdivide en un total de veintitrés (23) categorías que evalúan aspectos específicos de la función. Utilizando el criterio experto de los autores de este trabajo, se tomó la decisión de utilizar la misma cantidad de categorías para organizar la Herramienta de Autoevaluación; sin embargo, se realizaron ajustes a sus nombres con el fin de facilitar la comprensión por parte del personal de las PYMES.
Cada una de las categorías del NIST se subdivide en subcategorías que son las que evalúan aspectos puntuales de cada subcategoría. Estas subcategorías se convirtieron en preguntas específicas en la Herramienta de Autoevaluación para que la PYME evalúe su estado actual y su estado deseado. Se escogió realizarlo en forma de pregunta con el fin de facilitar la comprensión del aspecto específico que está siendo evaluado, resultando un total de ciento nueve (109) preguntas específicas a ser realizadas para la Autoevaluación.
Para el desarrollo de la herramienta, no se partió de cero sino que se usó el Marco de Trabajo para la Mejora de la Infraestructura Crítica para la Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). Una de las fortalezas que tiene este Marco de Trabajo es su robustez; sin embargo, esta fortaleza es a la vez su más grande debilidad a la hora de utilizarlo en una PYME la cual, dependiendo de su tamaño y su enfoque, puede contar con recursos de TI o puede no tener personal de TI del todo.
Existen algunas áreas evaluadas por el Marco de Trabajo del NIST que tal vez no aplican a ciertas PYMEs, incluso algunas no aplican a la mayoría de las empresas. Esta situación se discutió y se tomó la decisión de incluirlas en la Herramienta de Autoevaluación, pero proveer la forma de que la empresa indique que “No Aplican”. Para esto, una de las opciones de las posibles respuestas para cada pregunta siempre es el equivalente a decir: “la empresa no tiene o no hace lo que se pregunta”. Por ejemplo, en la pregunta: “¿La empresa provee infraestructura crítica usada por todo su sector de la industria?”, la primera respuesta es: “1. La empresa no provee infraestructura crítica a su industria”.
De la mano, las instrucciones de la Herramienta de Autoevaluación indican que: “Hay preguntas acerca de temas que podrían no aplicar a su empresa (su PYME no provee infraestructura crítica para todo el sector de PYMEs o su PYME no desarrolla sistemas). Para estas preguntas, la respuesta debe ser 1 en Estado Actual y Estado Deseado”.
38
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Igualmente, es probable que la PYME cuando esté contestando las preguntas y seleccionando los niveles deseados a futuro, quiera escoger el nivel más alto en todas las opciones con tal de estar protegido en el mayor nivel posible. Para llegar al nivel de madurez más alto se deben asignar una cantidad relevante de recursos y, en una PYME, esta acción podría descuidar otras áreas del negocio. Es por esta razón, que la herramienta recomendará seleccionar el nivel donde la empresa se sienta más cómoda y aplicar el nivel más alto deseado en las áreas más críticas del negocio indicando lo siguiente en las instrucciones: “Tenga en cuenta que la Respuesta 4 (el nivel más alto) no es necesariamente el ideal para su empresa. Usted es quien mejor la conoce y quien mejor sabe en qué nivel se siente cómodo(a) y en qué nivel es suficiente para su empresa. Algunos aspectos no aplican para su empresa y nunca lo harán. En algunos aspectos, realizar lo que indica la pregunta sólo para los casos o elementos más críticos es suficiente y en algunos aspectos, realizarlo en todos los casos o elementos, aunque no sea de forma estandarizada también es suficiente”.
Con el objetivo de llevar a cabo la autoevaluación, la herramienta solicita al usuario responder dos campos por cada pregunta: el primero es el Estado Actual de la empresa y el segundo es el Estado Deseado. Tal y como su nombre lo indica, el Estado Actual se refiere a la situación al momento de contestar las preguntas, mientras que el Estado Deseado se refiere donde la empresa planea estar en un futuro determinado. El plazo para cumplir el Estado Deseado deberá ser establecido por cada entidad que llene la autoevaluación según su capacidad de operación.
39
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Para mayor facilidad para quien realice la autoevaluación, las respuestas del Estado Actual y del Estado Deseado se encuentran predefinidas en una lista con valores que van del 1 al 4, la respuesta es única para ambos estados. Éstos valores determinan el nivel de la seguridad cibernética según los niveles que define el estándar NIST. Adicionalmente, la hoja de cálculo cuenta con una columna donde explica el significado de cada nivel, para utilizarla como referencia al momento de seleccionar el Estado Actual y el Estado Deseado.
Al momento de contestar todas las preguntas, la herramienta realizará una serie de cálculos con el objetivo de brindar una nota por Función y dar una nota global de los resultados. El valor de las notas se ubica entre los números 0 y 100, y la nota representa una relación proporcional del estado actual con base en el estado deseado. Se decidió utilizar este rango de valores, ya que es un sistema muy utilizado a nivel costarricense para brindar una calificación.
Por lo tanto, para conseguir la nota de cada Función se necesita obtener un valor único para el estado actual y otro para el estado deseado según las respuestas del cuestionario asociadas a esta Función. Una vez obtenidos los valores se utiliza una regla de tres simple, donde el valor del estado deseado obtenido se considera la nota más alta, es decir, el valor del estado deseado equivale a la nota con valor 100.
Además de presentar las notas obtenidas por las Funciones, la herramienta muestra una nota global, es decir, una nota de toda la autoevaluación. Para llevar a cabo este proceso, se realiza el mismo procedimiento descrito anteriormente y la diferencia consiste en aplicar los cálculos para todas las preguntas y no separarlas por Función. De esta forma, se consigue una nota general de toda la autoevaluación.
Los resultados que muestra la herramienta es la nota general de toda la autoevaluación y la calificación por cada una de las Funciones evaluadas. Es importante mencionar que cada nota está acompañada de un gráfico de barras con el objetivo de visualizar mejor los resultados.
40
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Además de presentar el resultado de la autoevaluación, la herramienta le mostrará al usuario una serie de recomendaciones con el objetivo de cerrar las brechas de seguridad que se identificaron después de contestar las preguntas. Las recomendaciones estás separadas por las subcategorías del estándar NIST, y menciona las acciones más críticas parar cerrar las brechas de seguridad.
Con el objetivo de que la PYME pueda enfocarse las áreas más críticas, las recomendaciones se mostrarán en una lista, donde el primer elemento de la lista es la subcategoría que obtuvo la nota más baja después de completar la autoevaluación.
Conclusiones
El estudio profundo de la estructura y el contenido del Marco de Trabajo para la Ciberseguridad del NIST permitió concluir que, desde un punto de vista de organización, la estructura es robusta, bien organizada y utilizable sin mayores alteraciones; sin embargo, desde un punto de vista de facilidad de entendimiento por una persona con pocos conocimientos de Tecnología de la Información de las Subcategorías a evaluar, la usabilidad es baja en su estado nativo y se requirió bastante ajuste para que las preguntas fueran fáciles de entender por cualquier persona.
Utilizando la estructura del Marco de Trabajo de NIST y ajustando las subcategorías a preguntas en lenguaje comprensible para cualquier persona sin conocimientos profundos de Tecnología de la Información, fue viable desarrollar una Herramienta de Autoevaluación.
Cuando se solicita a la PYME la información sobre el Estado Actual y el Estado Deseado en cada Categoría, esta información permite identificar la brecha entre el Estado Deseado y el Estado Actual por Categoría. Esta información permite, a su vez, determinar cuáles son las mayores brechas según el Estado Actual y permite clasificar qué áreas deben recibir mayor cantidad de recursos para el cierre de las brechas.
41
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
La herramienta permite identificar las áreas más críticas y, a su vez, mostrar una lista de recomendaciones para cerrar las brechas. Existen muchas herramientas y guías gratuitas que fueron documentadas para pasar ese conocimiento a la PYME y que puedan ser exploradas como una posibilidad para el cierre de brechas.
Se concluye este trabajo de investigación habiendo desarrollado una Propuesta de Herramienta de Autoevaluación orientada a PYMEs, basada en el Marco de Trabajo para la Mejora de la Infraestructura Crítica para la Ciberseguridad del NIST.
Referencias
Capital One. (2019). Información sobre el ciber incidente. Retrieved from Capital One: https://www.capitalone.com/facts2019/
Fortune 500. (2019). Fortune 500. Retrieved from Fortune 500: https://fortune.com/fortune500/search/
Greenberg, A. (2018). The untold story of NotPetya, the most devastating cyberattack in history. Obtenido de WIRED: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
ITU. (2018). Indice Global de Ciberseguridad. Retrieved from Indice Global de Ciberseguridad: https://www.itu.int/en/ITU-D/Cybersecurity/Documents/draft-18-00706_Global-Cybersecurity-Index-EV5_print_2.pdf
Kaspersky Lab. (s.f.). What is Cyber-Security. Retrieved from Kaspersky Lab: https://www.kaspersky.com/resource-center/definitions/what-is-cyber-security
MEIC. (s.f.). PYMES Costa Rica. Retrieved from Ministerio de Economía, Industria y Comercio: http://www.pyme.go.cr/cuadro5.php?id=1
Meszaros, J., & Buchalcevova, A. (2017). Introducing OSSF: A framework for online service cybersecurity risk management. Retrieved from Computers & Security: https://www.sciencedirect.com/science/article/pii/S01674048163017
42
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
91
Murillo, E. (2019, Junio 7). crhoy.com Noticias 24/7. Retrieved from https://www.crhoy.com/tecnologia/costa-rica-recibio-19-millones-de-ciberataques-este-semestre-sector-publico-no-esta-preparado/
Revista Summa. (2018). Ciberataques ganan terreno en Costa Rica y urge aplicar mecanismos para detenerlos. Obtenido de Revista Summa: http://revistasumma.com/ciberataques-ganan-terreno-en-costa-rica-y-urge-aplicar-mecanismos-para-detenerlos/.
Ross, R. S. (2014). Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Assessment Plans. Obtenido de Journal of Research of the NIST: https://www.nist.gov/publications/assessing-security-and-privacy-controls-federal-information-systems-and-organizations
Ruiz, C. (2014). La Nacion. Retrieved from La Nacion: https://www.nacion.com/tecnologia/informatica/75-de-empresas-de-costa-rica-sufrieron-al-menos-un-incidente-de-inseguridad-informatica-en-2013/KNMZDTIDCBDGBHO4N5SFQHFFCM/story/
Toth, P. R., & Paulsen, C. (2016). Small Business Information Security: The Fundamentals. Obtenido de Journal of Research of the NIST: https://www.nist.gov/publications/small-business-information-security-fundamentals
Walker, I. (2019). Forbes. Retrieved from Forbes: https://www.forbes.com/sites/ivywalker/2019/01/31/cybercriminals-have-your-business-their-crosshairs-and-your-employees-are-in-cahoots-with-them/#482409d81953
Watson, M. (2019). Top 4 cybersecurity frameworks. Retrieved from IT Governance: https://www.itgovernanceusa.com/blog/top-4-cybersecurity-frameworks
Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional.
43
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Mirando hacia adentro: Las redes sociales en la vida de los estudiantes de la Universidad Nacional, Sede Regional Chorotega,
Campus Liberia
Marcela Mora Peralta
ORCID: 0000-0003-0115-7395
Universidad Nacional
Costa Rica
Rebecca Falcioni, estudiante
Universidad Nacional
Costa Rica
Fiorella Fernández Centeno, estudiante
Universidad Nacional
Costa Rica
Yulissa Mendoza Álvarez, estudiante
Universidad Nacional
Costa Rica
Sofía Rodríguez Hernández, estudiante
Universidad Nacional
Costa Rica
Brenton Villalobos Rojas, estudiante
Universidad Nacional
Costa Rica
Resumen
El presente artículo describe el uso dado a las redes sociales, por parte de los estudiantes de la Universidad Nacional, Sede Regional Chorotega, Campus Liberia, con datos resultantes de la aplicación de técnicas de investigación mixtas. El objetivo de la investigación fue analizar diferentes aspectos relacionados con el uso que hacen los universitarios de las redes
44
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
sociales en Internet: frecuencia y finalidad, la percepción de riesgo, hábitos de seguridad y evolución en el uso de las diferentes formas de comunicación e interacción a través de dispositivos tecnológicos, tales como teléfonos celulares, computadoras o tabletas electrónicas y redes sociales virtuales, considerando el impacto generado en su vida académica y personal. Los resultados mostraron una frecuencia de uso de las redes sociales superior a las 20 veces al día, y no consideran que este uso tenga consecuencias negativas en su rendimiento académico. Asimismo, en su mayoría, los estudiantes afirman no tener mucha confianza en la Internet y conocen las amenazas del uso inadecuado de las redes sociales.
Abstract
This research paper article identifies the use of social networks given by the National University of Costa Rica student population who attend the Liberia campus. This data resulted from applying mixed research techniques, such as the submission of questionnaires in all the majors offered at the campus, direct observation, and a focus. The study characterizes the students’ perception towards social media, their behavior as users such as the frequency of usage, safety habits, and the usage of different forms of communication and interaction through various devices, such as cell phones, computers, or electronic tablets. The paper also examines the perception of the impact of social media on the student academic and personal life. Most respondents open their social media more than 20 times during the day, and they do not consider this to have an impact on their academic performance. Also, the study concludes that students claim not having confidence on the Internet and know the threats of an inappropriate use of social networks. Keywords: social networking sites; networking security; communication and information technology; University population; University.
Introducción
La universidad se enfrenta en las aulas, en este momento, a los llamados nativos digitales, la generación nacida posterior a 1995. Los universitarios actuales han crecido bajo la influencia del mundo
45
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
audiovisual y de la Red. Las nuevas herramientas tecnológicas (redes sociales, blogs, plataformas de vídeo, etc.), se han convertido en un elemento esencial en sus vidas. Cómo llevar a cabo la mayor parte de sus actividades cotidianas, sin la ayuda de Internet, les resulta incomprensible.
En la universidad, el uso de Internet y de las redes sociales, se ha convertido en una herramienta de comunicación básica, y un espacio en el cual, las sedes, las facultades, y los profesores intercambian información y generan contenido.
Destacan dentro de las tecnologías de la información y la comunicación, el uso de redes sociales, las cuales se han expandido en nuestros entornos familiares y sociales. En Costa Rica, las tecnologías de comunicación y, en especial, las redes sociales, han adquirido una gran importancia para un segmento creciente de la población.
El informe de 2018, elaborado por Latinobarómetro, ubica a Costa Rica como el líder regional en el uso de tecnologías como Facebook (el 77 % de la población del país afirma usarlo), WhatsApp (el 83 %) y YouTube (el 59 %).
Este mismo estudio revela, que el 89 % de los ciudadanos en América Latina disponen de teléfono celular, solo superado por el 91 % que tiene agua potable y el 96 % que realiza una comida al día. Es decir, en la región latinoamericana, casi nadie deja de tener un teléfono celular.
La pobreza latinoamericana no llega a los niveles que la gente se muera de hambre, toda la población tiene, al menos, una comida al día y, en efecto, el 32 % de los latinoamericanos que aducen falta de alimentación, cuentan con un Smartphone. En los jóvenes de 18 a 25 años, esto aumenta al 44 %. Eso es, uno de cada tres latinoamericanos que tienen una sola comida al día, disponen de un Smartphone. El 80 % de los que realizan una sola comida al día poseen celular. Es más importante tener un celular o Smartphone, que más de una comida al día.
46
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
En ese contexto, la presente investigación se propone, como objetivo: identificar aspectos relacionados con el uso que la población universitaria hace de las redes sociales en Internet, así como la percepción de seguridad que estos tienen. Esto, con el fin de que los hallazgos sobre el uso de las redes sociales puedan servir como un insumo para que los académicos deban orientar su mediación pedagógica a la búsqueda del desarrollo de las competencias necesarias, para que los estudiantes hagan un uso de las redes sociales, de manera que contribuya con su formación académica y su desarrollo profesional.
Marco teórico
El concepto de red social es definido por González y Muñoz (2016) como “un sitio en la red, cuya finalidad es permitir a los usuarios relacionarse, comunicarse, compartir contenido, crear comunidades, dirigir su aprendizaje y disponer de espacios en la red”.
Por su parte, Hutt (2012), señala que más allá de las definiciones puntuales, una red social, es “un espacio creado virtualmente para facilitar la interacción entre personas. Esta interacción está marcada por algunos aspectos particulares como el anonimato total o parcial, así como también, la seguridad e inseguridad de las relaciones que se suscitan por esta vía”.
En el ámbito universitario costarricense, se han realizado en los últimos años, investigaciones que revelan datos relacionados con el uso de las redes sociales y permiten conocer la evolución en el uso de estas.
En el año 2011, el Programa de la Sociedad de la Información y el Conocimiento (PROSIC) de la Universidad de Costa Rica (UCR), consultó a estudiantes de esa universidad sobre el uso de las redes sociales. Nueve de cada diez estudiantes utilizaba, en el momento del estudio, alguna de las redes sociales en Internet. Y, de esos nueve, cinco accedían varias veces al día a estas tecnologías de interacción social. Entre las principales actividades realizadas por los universitarios en estas redes sobresalen: “leer y comentar publicaciones de otros” y “chatear con los contactos”.
En relación con el grado de privacidad guardada por los universitarios a la hora de publicar asuntos personales en redes sociales, el 90 % de los encuestados reportaban compartir fotos personales, relaciones sentimentales y familiares, así como lugares de estudio y trabajo.
47
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Asimismo, siete de cada diez compartían su número de teléfono. Respecto a su opinión sobre la privacidad de las redes, una mayoría estaba de acuerdo con “no compartir mucha información personal en redes sociales”, y acerca de la confianza que los usuarios de estas redes tenían en torno de contactos, un 41 % pensaba que los amigos hechos en las redes sociales son amigos cercanos.
En igual forma, Hernández (2013), en un estudio realizado en estudiantes de primer año de la sede Rodrigo Facio de la Universidad de Costa Rica (UCR), indica que el “92 % de estudiantes que utilizan las redes sociales, el 88 % las ha utilizado para hacer comentarios sobre perfiles, fotos y enlaces de otros”. Señala, por lo demás, “que el 54 % de los estudiantes han hecho uso de redes sociales con fines formales de aprendizaje en el contexto universitario”.
Asimismo, El Centro de Investigación en Comunicación (CICOM) de la Universidad de Costa Rica (2018), encontró que, entre los jóvenes estudiantes, la plataforma Instagram es la red social más popular, la cual es visitada varias veces al día, y al menos durante un periodo de una hora. No obstante, la principal actividad, no es la creación de contenido, sino “revisar el feed”.
El comportamiento de los estudiantes universitarios es un reflejo del comportamiento de los costarricenses en general, tal y como lo reflejan las estadísticas de Latinobarómetro (2018), en las cuales, Costa Rica destaca en la región latinoamericana como asidua usuaria de redes sociales, con porcentajes de uso superiores a la media de la región, gracias a ser un país con una población pequeña y con una alta penetración de líneas móviles.
Metodología
La presente investigación fue realizada en el primer ciclo académico del 2019. La muestra, aleatoria, no probabilística por conveniencia, con un 95 % de confiabilidad y un 5 % de margen de error estuvo integrada por 274 estudiantes, del total de 1175 alumnos del Campus Liberia de la Universidad Nacional, Sede Regional Chorotega, con edades comprendidas entre los 18 y los 25 años. Del total de la muestra, el 48 % son hombres (N=132) y un 52 % son mujeres (N=142).
En cuanto a la carrera cursada, se obtuvo para cada carrera, una muestra representativa según su importancia porcentual de total de alumnos matriculados en las carreras de Comercio y Negocios internacionales (N=35), Administración de Empresas (N=84),, Enseñanza
48
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
del Inglés (N=23), Ingeniería hidrológica (N=32), Ingeniería en Sistemas de la Información (N=37), Gestión Empresarial para el Turismo Sostenible (N=41), y Pedagogía (N=20 impartidas en el campus.
La investigación ha empleado técnicas mixtas. Se utiliza metodologías cualitativas-entrevistas, grupos de discusión- y cuantitativas: cuestionario autoadministrado. El análisis estadístico empleado es un análisis descriptivo, basado en frecuencias y porcentajes. Para la recolección de datos, se utilizó un cuestionario integrado por 22 ítems, con respuestas de elección múltiple.
Se llevó a cabo, igualmente, un grupo de discusión (grupo focal), partiendo de una entrevista grupal semiestructurada. Para implementación del cuestionario, cinco personas se desplazaron a las aulas de cada carrera, garantizando a los participantes la confidencialidad en la información. La tabulación y el análisis de los datos, se realizó mediante la aplicación Excel.
Análisis
Si bien más del 50 % (N=137) de la población estudiantil no considera necesario hoy pertenecer a una red social, un 44 % N (=120) de entre ellos, afirma que sí es absolutamente necesario. A pesar de este porcentaje, el cual opina que se puede vivir en la actualidad sin redes sociales, hay una elevada presencia del estudiantado en las plataformas sociales, puesto que el 100 % de los entrevistados afirma utilizar al menos una red social.
Las redes sociales más conocidas y utilizadas por los estudiantes se observan en la figura 1. Las de mayor uso son: WhatsApp y Facebook, ambas con más del 90 % (N=254) de los estudiantes como usuarios, confirmando la tendencia nacional de uso de las redes sociales. En una menor medida, le siguen Instagram y YouTube.
Poco más de un 25 % (N=68) de los estudiantes utilizan Snapchat (N=82) y Twitter (N=77), en tanto que LinkedIn es utilizada únicamente por 19 estudiantes (el 7 %) de los 274 entrevistados. Las plataformas de citas en línea Tinder y Tumblr son aquellas que presentan menos usuarios entre la población universitaria.
49
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 1. Redes Sociales Utilizadas. Elaboración propia.
La evolución en el uso de las distintas redes sociales desde el ingreso en la Universidad muestra cambios entre los estudiantes, con similitudes en todas las carreras universitarias.
En lo que se refiere a la red social Snapchat, aplicación de mensajería, cuyos contenidos son accesibles por un tiempo determinado, un 30 % (N=82) de los estudiantes afirma usar menos o haberla dejado de utilizar del todo, en los años posteriores a su ingreso en la universidad, por otro lado, un 30 % (N=82) del estudiantado indica haber disminuido el uso de Facebook desde su ingreso en la Universidad, en tanto que un 22 % (N=60) de la población refiere haber aumentado el uso de Instagram, un 42 % (N=115) dice utilizar más YouTube y un 57 % (N=156) expresa haber incrementado el uso de la aplicación WhatsApp.
Mención especial merece la aplicación de mensajería WhatsApp, ya
que esta es considerada como una red social por los universitarios y es aquella, que tiene un mayor uso con fines académicos, debido a su utilización como medio de comunicación con los grupos de trabajo universitario, así como el uso dado por algunos profesores.
No se encuentra diferencias significativas por género en la pertenencia y uso de las redes sociales. Tanto hombres como mujeres están permanentemente conectados y acceden a sus redes sociales, al menos una vez cada hora, durante el día. Por más de 20 veces al día, un 75 % (N=205) de los estudiantes hombres acceden a WhatsApp, el 28 % (N=77) visita Facebook, el 21 % (N=57) Instagram y el 14 % (N=38) YouTube.
92,8883,16
28,8 29,88
80,28
96,48
6,84 1,08 2,520
20
40
60
80
100
120
Redes Sociales Utilizadas
50
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
De igual manera, las mujeres estudiantes abren más de 20 veces al día WhatsApp, para el 69 % (N=189), un 30 % (N=82) visitan Facebook, y el 27 % Instagram, en tanto que YouTube es visitado por las mujeres con menos frecuencia durante el día, solo un 24 % (N=66) de ellas dice abrir esta aplicación entre una y diez veces al día.
Las principales motivaciones referidas, para este uso intensivo de las redes sociales son: el entretenimiento a través de la observación de estados, de fotos y comentarios de los perfiles de sus amigos o conocidos, ver noticias populares, compartir “memes” y publicaciones, dar “me gusta” o “seguir” páginas y perfiles. Asimismo, una actividad común es “subir” contenido fotográfico de su vida diaria. Algunos de los estudiantes manifestaron utilizar las redes para crear nuevas amistades y conocer personas.
Un 88 % (N=241) de los entrevistados manifestó dar seguimiento en redes sociales a páginas, perfiles académicos o profesionales relacionados con la carrera, los resultados no muestran diferencias significativas entre las carreras cursadas por los estudiantes. Un 78 % (N=213) del estudiantado afirma haber utilizado las redes sociales para realizar trabajos universitarios. Siendo las mujeres en todas las carreras las que señalan mayoritariamente el uso de redes sociales para propósitos académicos.
En lo que a los dispositivos de acceso a las redes sociales se refiere, el 99 % (N=271) de las personas entrevistadas acceden a ellas a través de su teléfono móvil, el 35 % (N=96), también utilizan las computadoras para conectarse a las plataformas de redes sociales, y solamente un 3 % (N=8) utiliza una “Tablet”.
El 80 % (N=219) de los estudiantes entrevistados reconocen que revisan sus redes sociales durante las clases, envían o contestan mensajes de texto, “chatean” por WhatsApp o Messenger, comparten publicaciones y ver los perfiles de sus amigos. El 62 %, (N=170) de los universitarios entrevistados afirma que el uso de las redes sociales afecta su rendimiento
51
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
académico, mientras que el 38 % (N=104) considera que el uso de las redes sociales no tiene consecuencias negativas en su rendimiento universitario.
Queda en manifiesto una diferencia de percepción, según el año universitario al que se pertenezca; lo estudiantes pertenecientes al primero y segundo años universitarios perciben que las redes sociales no afectan su rendimiento académico, en tanto que los estudiantes más avanzados, de tercer y cuarto años de su carreras universitarias, mencionan afectaciones, tanto es su rendimiento académico, como en sus relaciones familiares y sus horas de sueño.
Los resultados correspondientes a las emociones experimentadas cuando no se tiene acceso a las redes sociales son contradictorios. En general, los jóvenes manifiestan en los grupos focales, sentirse frustrados, angustiados, preocupados, impacientes y hasta tristes cuando no tienen acceso a Internet y las redes sociales, por el contrario, el 64 % (N=175) de hombres y mujeres dicen sentirse “tranquilos” e, inclusive, un 16 % (N=44) “desestresados”, cuando no pueden acceder a las redes sociales.
La figura 2, muestra la medida de confianza que tienen los universitarios en la Internet. Las mujeres universitarias entrevistadas se muestran más desconfiadas que los varones. Un 76 % (N=108) de las mujeres y un 58 % (N=76) de los hombres coinciden, en no tener mucha o nada de confianza en la Internet.
52
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 2 Confianza en el Internet. Elaboración propia.
Contrariamente a lo manifestado, los hábitos de uso no revelan del todo la desconfianza apuntada por los entrevistados, como lo es aceptar solamente a personas conocidas como amigos en el Facebook, tanto hombres en un 61 % de (N=80) como mujeres con el mismo porcentaje (N=87) tiene esta costumbre.
Aquellos que aceptan, tanto a personas conocidas como a los amigos de esas personas, según un 39 % de hombres (N=51) así lo hace y el 36 % (N=51) de mujeres tiene este mismo patrón de comportamiento. Ninguno de los hombres dice aceptar a personas desconocidas, mientras que un 3 % (N=4) de mujeres sí.
A pesar de este aparente hábito de cuidado en esta red social, al revisar el número de amigos de los entrevistados, las mujeres cuentan en un 70 % (N=99) con más de 1000 amigos, en tanto que un 50 % (N=66) de los varones cuenta con menos de 900 amigos en Facebook. Ahora bien, el 39 % (N=55) de las mujeres y el 85 % (N=116) de los varones aceptan no conocer a todos sus amigos de esta aplicación.
No obstante, quienes pueden ver lo que ellos publican o comparten, tanto hombres en un 85 % (N=112), como mujeres en un 88 % (N=125), son sus “amigos en línea”, a los que ellos, no siempre conocen, en cambio un
3%
73%
24%
0%3%
55%
39%
3%
0%
10%
20%
30%
40%
50%
60%
70%
80%
Ninguna Confianza
No mucha confianza
Bastante Confianza
Mucha Confianza
PO
RC
EN
TA
JES
Mujeres Hombres
53
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
97 % de las mujeres y un 91 % de los hombres dicen que únicamente sus “amigos en línea, son quienes pueden comentar en sus muros”.
En lo que respecta a los términos y condiciones de uso de la información personal por parte de las aplicaciones de redes sociales como FB, WhatsApp o Instagram, el 76 % (N=100) de los varones dice desconocerlos, mientras que un 64 % (N=91) de las mujeres indica que sí conocen dichos términos.
La figura 3, muestra los peligros en la Internet mencionados por la población estudiantil, sobresalen: el robo de información y la utilización de la imagen, seguido de uso de la ubicación, el ataque de “hackers” y el acceso indebido a sus cuentas, por último, señalan las estafas y el ciberacoso.
Figura 3. Peligros en el Internet. Elaboración propia.
Según los jóvenes, en el caso de los varones, en un 70 % (N=92) y en el caso de las mujeres en un 73 % (N=103), la red social más insegura es Facebook y el 85 % (N=121) de las estudiantes y el 58 % (N=77) de los estudiantes, conocen cómo proteger su privacidad. Y, en el caso de Instagram, más del 50 % (N=137), tanto de hombres como de mujeres, dicen restringir sus seguidores en Instagram.
0 5 10 15 20 25 30 35
Robo de información
Uso de su imagen
Ataques de hackers
Estafas
Ciber acoso
Uso de su ubicación
Acceso a sus cuentas de manera…
Mujeres Hombres
54
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Hoy, conocer las características del uso que los jóvenes hacen de las herramientas de comunicación social en Internet es una tarea prioritaria para la universidad, en una sociedad caracterizada por una evolución tecnológica constante. Surge, entonces, la interrogante: ¿Es posible el desarrollo de estrategias que propicien actividades académicas integradas a este ámbito de acción en el que se desenvuelven los estudiantes?
Conclusiones
Los resultados indican que el 100 % (N=274) de los estudiantes pertenecen a alguna red social, sin embargo, más del 50 % (N=137) de ellos, sobre todo, los varones, consideran que esto no es necesario.
Los jóvenes se conectan con las Redes Sociales, generalmente a través del teléfono móvil. La mayoría utiliza, en este orden: WhatsApp, Facebook, Instagram y YouTube. Hombres y mujeres acceden a sus redes sociales, por lo menos, una vez por hora.
Se indica que el uso de las redes sociales se da por la posibilidad y disposición de comunicación, además de un uso de entretenimiento, por ejemplo: la visualización de estados, fotos y comentarios de los perfiles de amigos, noticias populares, compartir “memes” y publicaciones, seguir páginas y perfiles, acorde con sus intereses, además de subir contenido fotográfico acerca de su vida diaria. Se utiliza las redes sociales para crear nuevas amistades y conocer personas.
Un 78 % (N=214) de los estudiantes utiliza las redes sociales con fines académicos. Se logra evidenciar un aumento en el uso de las redes sociales por parte de los estudiantes, a partir de su ingreso en la Universidad, así como un cambio en las aplicaciones utilizadas, a medida que ellas se crean y evolucionan.
La juventud universitaria es consciente de la importancia de la administración de la seguridad y privacidad en las redes sociales, sin
55
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
embargo, la mayoría muestran inconsistencias en las prácticas de seguridad en las redes sociales.
La presente investigación corrobora la necesidad de orientar las prácticas pedagógicas al desarrollo de las competencias necesarias para que los estudiantes hagan un uso de las redes sociales, de manera a que contribuya con su formación.
Mediante la docencia se deben fortalecer estrategias que permitan la utilización académica de las redes sociales, que los universitarios utilizan tan intensamente.
Bibliografía básica
Cordero, M. (27 de noviembre del 2018). UCR busca llamar atención de estudiantes y funcionarios sobre salud mental. Semanario Universidad. Recuperado de https://semanariouniversidad.com/universitarias/ucr-busca-llamar-atencion-de-estudiantes-y-funcionarios-sobre-salud-mental/
Corporación Latinobarómetro (2018). Informe 2018. Santiago de Chile.
Recuperado de: http://www.latinobarometro.org/lat.jsp
González, C., & Muñoz, L. (2016). Redes sociales su impacto en la Educación Superior: Caso de estudio Universidad Tecnológica de Panamá. Campus Virtuales, 5(1), 84-90. Recuperado de: http://uajournals.com/ojs/index.php/campusvirtuales/article/view/117
Hernández, S. H. (2013). Influencia de redes sociales en hábitos de estudio
de universitarios de primer año. Foro educacional (22), 131-148. Recuperado de: https://dialnet.unirioja.es/servlet/articulo?codigo=6429479
Hütt, H. (2012). Las redes sociales: una nueva herramienta de difusión.
Reflexiones, 91(2), 121-128. Recuperado de: https://revistas.ucr.ac.cr/index.php/reflexiones/article/view/1513
56
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Universidad de Costa Rica. Centro de Investigación en Comunicación (CICOM). (2018). Los Líderes de Opinión Digitales para la Red de Estudiantes Universitarios. Recuperado de: https://163.178.170.241/sigpro/web/projects/B7025
Universidad de Costa Rica. Programa Sociedad de la Información y el
Conocimiento. (2018). Hacia la Sociedad de la Información y el Conocimiento en Costa Rica. Recuperado de: http://www.prosic.ucr.ac.cr/informe-2011
Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional
57
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Proceso de migración a sistema operativo GNU/Linux para mitigar vulnerabilidades de seguridad en la plataforma de TIC’s en la
municipalidad de Carrillo, Guanacaste.
Sairo Alemán Vallejos [email protected]
Universidad de Costa Rica Luis Eduardo Amaya Briceño
[email protected] Universidad de Costa Rica
Andrés Alberto Cortés Fuentes [email protected]
Universidad Nacional, Costa Rica Armando Mora Bolaños
[email protected] Universidad de Costa Rica
Resumen
La municipalidad de Carrillo llevó a cabo un proceso de migración de la plataforma tecnológica a software libre, esta necesidad surge como respuesta al mandato de la Contraloría General de la República, la cual exigía al municipio cumplir ciertos lineamientos, que la antigua infraestructura tecnológica no contaba. El objetivo del artículo es describir cómo esta migración ayudó a resolver las ineficiencias del gobierno local mejorando; los procesos, la prestación de servicios y la seguridad de la información. De este modo, para realizar la confección de este documento se ha utilizado una revisión bibliográfica y una entrevista a un profesional en el área de TI de la municipalidad, que fundamentan con criterio el objetivo antes mencionado.
58
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Concluida la revisión, se descubrió que la implementación de
software libre ayudó al gobierno local a solventar las limitaciones y vulnerabilidades presentes, ahorrando paralelamente los recursos y optimizándolos en otros aspectos de suma importancia.
Palabras claves: gobiernos locales; software libre, municipalidad de Carrillo, ciberseguridad.
Introducción
La municipalidad de Carrillo antes de la implementación de
software libre GNU/Linux como base en su plataforma tecnológica, se exponía a diversas vulnerabilidades y riesgos sobre el manejo de la información.
En 2005 una auditoría llevada a cabo por la Contraloría General de la República de Costa Rica, y que contaba con el apoyo de la empresa DECSA Costa Rica, evidencia que la municipalidad tenía serios problemas en los servicios de tecnología, razón con la cual los dirigentes del municipio llegaron a la decisión de implementar un departamento de TI, el cual en dicho momento era inexistente. Una inversión de este tipo conlleva altos costos, por lo tanto, deciden invertir en software libre, evitando de esta manera atrasos en los procesos y optimizar los recursos económicos.
La implementación de este tipo de tecnología ha generado en dicha municipalidad: estabilidad, flexibilidad, seguridad, entre otras cosas, todo esto a un bajo costo o casi nulo, permitiendo al mismo tiempo, ahorro económico e inversión en otros proyectos de gran importancia para el municipio, como: mantenimiento de caminos, puentes o áreas de esparcimiento, por mencionar algunos.
Marco teórico
El Sistema Operativo GNU/Linux, cuyo origen se remonta al año 1991, cuando un estudiante finlandés anunció en una página de internet, que había creado su propio núcleo de sistema operativo, proporcionándolo a una comunidad de desarrolladores para que lo probarán y le realizarán ciertos ajustes de ser necesario (Esteve, 2010).
59
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Linux actualmente es considerado uno de los sistemas operativos más seguro, debido a que brinda total acceso a su configuración, permitiéndole al usuario adaptar los niveles de seguridad a sus necesidades, además de que cuenta con una gran variedad de herramientas para combatir los ataques informáticos.
Richard Stallman (miembro de la Free Software Foundation), aparece con un concepto conexo a GNU/Linux: el software libre; caracterizado por permitir acceso a su código fuente, estudiarlo, adaptarlo a las necesidades del usuario (modificarlo) y redistribuirlo sin recibir dinero alguno por ello. Giraldo Gallego, L (S. f), menciona que el software libre es popular e importante para las compañías porque garantiza a los usuarios finales gozar de libertad de licenciamiento, conocimiento compartido, formatos abiertos, seguridad de los servicios, transparencia de información, y esquema multiusuario-multiplataforma, por mencionar las más destacadas, de igual manera, Mata, et al (2014) resalta en su informe que, a raíz de estas particulares características, el software libre reviste especial importancia para la administración pública o privada, pues, cabe destacar que desde sus inicios se han convertido en un pilar fundamental para las organizaciones de diferentes enfoques, y es que gracias a la comunidad que conforma esta plataforma tecnológica, han surgido herramientas apropiadas que ayudan a agregar valor a dichas compañías con un costo de inversión casi nulo.
Ahora bien, hechas estas salvedades y reiterando que las organizaciones o instituciones públicas no son la excepción en el uso del software libre, es oportuno citar algunos casos relacionados al uso de software libre a nivel mundial.
La misma autora Giraldo Gallego, L (S. f)., menciona los siguientes:
Gobierno de Brasil: instauración de software libre a toda la administración pública, en el 2004 por el presidente Lula da Silva.
Gobierno de Perú: proyecto de ley aprobado por el congreso frente al uso y desarrollo del software libre, expedido en el 2003.
60
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Gobierno de Venezuela: instauración de software libre a toda la administración pública, este edicto fue expedido en el 2004 por el presidente Chávez.
Gobierno de Alemania: migración de plataformas Windows a GNU/Linux en toda la administración pública.
Gobierno de Francia: migración de plataformas Windows a GNU/Linux en todo el gobierno.
En esta misma línea, Costa Rica también presenta casos donde se ha visto favorecido gracias a la implementación de software libre, donde se ha dado el fortalecimiento en la administración de recursos tecnológicos en los sectores públicos, como universidades, gobiernos locales, entre otros. Esto ha sido en parte impulsado por resoluciones como N°R-CO-26-2007, donde se insta al sector público a considerar el software libre como una alternativa de soluciones con criterios técnicos, económicos, operativos y jurídicos establecidos en dicha Normativa de Costa Rica (Mata, et al, 2014, pág. 30).
Para ilustrar el uso de software libre en el sector público de Costa Rica, enseguida se describen algunos casos.
En el año 2011 el periódico la Nación, publica que la Universidad de Costa Rica (UCR) promovió la utilización de la suite OpenOffice, ahorrándose una cantidad significativa de recursos económicos, que fueron utilizados para invertir en otras herramientas de las unidades académicas y de investigación.
De igual manera, desde el año 2010 la Comunidad de Software Libre y Código Abierto de la Universidad de Costa Rica (CSLUCR) ha venido trabajando en un proyecto, que consiste básicamente en la creación de comunidades de Software Libre y Código Abierto (SL/CA) en cada una de las sedes de la UCR.
Instituto Costarricense de Acueductos y Alcantarillados (AyA) que, según lo que menciona Mata, et. 2014, en su libro pág. 55, desde hace 10 años el AyA buscó soluciones alternativas para solventar las limitaciones de presupuesto. Realizando un análisis de la situación para el corto y largo plazo, comparando los costos y garantías entre el software propietario y el libre. El estudio proyectó que solo se utilizaba el 10% de las capacidades de Microsoft Word, un 15% del Excel y el 9% de Power Point. Con base en esta
61
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
información se optó por usar OpenOffice, con lo cual se han ahorrado ¢2,500 millones desde el año 2000.
El Ministerio de Educación Pública de Costa Rica, con el Proyecto GNU/Linux y uso de software libre en el Programa Nacional de Innovaciones, cuyo objetivo es apoyar a 92 de los 684 colegios públicos del país con necesidades de software educativo, con el cual ha tomado la decisión de migrar hacia software libre a tales instituciones.
Llegados a este punto, nos interesa señalar el caso de los gobiernos locales, que como se ha mencionado no son la excepción en el uso de software libre, así lo demuestra una encuesta realizada a 71 municipalidades en el año 2014 por la Universidad Nacional (UNA), donde cita que el 68.6% de los gobiernos locales han estado o están en proceso de implementar software libre (Mata, et al, 2014, pág. 69). El estudio también revela que la mayor implementación de software libre se realiza especialmente en sitios web (67%), servidores web (54%) y correo electrónico (42%), esto se evidencia en el siguiente gráfico elaborado por Mata.
Gráfica 1. Tipo de
software utilizado por
los gobiernos
locales
62
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Una de las municipalidades es San Ramón, que raíz del deterioro considerable en los equipos de cómputo, en la instalación eléctrica y la red de cómputo, se tomó la decisión de dirigir los recursos económicos disponibles hacia la renovación y mejora del equipo en estas áreas, para lo cual era necesario reducir el costo por las licencias de software. Considerando esto, surgió la necesidad de iniciar un proceso de migración a software libre, cuya implementación trajo consigo ventajas como: la eliminación de fallas en los sistemas y los equipos, al contar con sistemas operativos libres y más robustos, además del fortalecimiento de la seguridad de los sistemas informáticos. La municipalidad ha tenido que ir en paralelo a estos avances y actualmente cuenta con software libre en las siguientes áreas: infraestructura de servicios, servidores Linux, de archivos, servidores NAS, proxy, gestores de bases de datos PostgreSQL y MySQL, servidor web, DNS, DHCP y telefonía IP. En la parte Ofimática, el 96% de las estaciones de trabajo están con OpenOffice (Mata, et al, 2014, págs. 76-78).
En segunda instancia, se localiza el caso de la municipalidad de Esparza que también ha tenido un proceso de migración a software libre para gestionar algunas áreas importantes como: el soporte a los usuarios mediante el software OsTicket, para atender de forma ordenada las solicitudes generadas. Así mismo, el área de sitio web y servicios se ha implementado el gestor de contenidos Joomla, fortalecimiento de algún modo las capacidades de programación en el lenguaje PHP y permitiendo que el sitio incluya un directorio comercial con un listado de los distintos negocios ubicados en el cantón.
Vistos los casos anteriores, se puede identificar que el software libre se ha convertido en una herramienta importante para las administraciones de las entidades públicas y que ha venido en crecimiento para mejorarlas. A continuación, se presenta un gráfico realizado en el estudio “Uso y barreras del software libre en los gobiernos locales”, UNA-PNUD, 2012, que evidencia la evolución de esta tecnología en los gobiernos locales.
63
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Gráfica 2. Año en el cual inicia la implementación del software libre en el gobierno local.
A partir de la gráfica 2, vemos que la implementación de software libre en los gobiernos locales inicia en el 2002, se detiene hasta el 2005, pero luego toma fuerza entre el 2006 y el 2011.
Alcance de la plataforma tecnológica de la municipalidad de Carrillo previo a la aplicación de software libre.
Dentro de este contexto, según un informe emitido en el año 2016 por el jefe del Departamento de Tecnologías de la Información, en el año 2005 al municipio se le subrayo por medio de una auditoría realizada por la Contraloría General de la República (CGR); la presencia de vulnerabilidades y riesgos que exponían a la institución, y uno de los hallazgos era la inexistencia de un profesional en informática y por ende de un Departamento de Tecnologías de Información.
Algunas de las vulnerabilidades identificadas por la CGR se exponen a continuación:
64
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
• El municipio no contaba con un cuarto de telecomunicaciones donde se pudiera albergar los servidores, equipos de telecomunicaciones y respaldos.
• Existía solamente un cableado estructurado artesanal el cual interconectaba 5 computadoras a un equipo donde albergaba el Sistema para la Administración de la Parte Tributaria (SIM21), desarrollado en FOX para DOS.
• A raíz de la arquitectura que presentaba este sistema, imaginarlo trabajando de manera remota era imposible, ya que no alcanzaba el desempeño óptimo requerido.
• SIM21 no brindaba herramientas suficientemente robustas y eficientes que permitiera realizar la gestión: de cobros, arreglos de pago, cobro judicial, prescripciones, entre otros.
• A nivel de seguridad, el sistema también presentaba carencias, debido a que su proceso de instalación se realizaba mediante unidades de red. Permitiendo el acceso libre a las tablas .dbf a través de hojas electrónicas, pudiéndose alterar los datos.
• El sistema SIM21 no permitía realizar un seguimiento de quién o quiénes modificaban información dentro del software, lo cual era un grave problema, porque cualquier usuario podía alterar información sensible y el sistema no archivaría rastro alguno de ello.
• El esquema de respaldo consistía en hacer una copia de toda la carpeta y para ello ningún usuario debía estar dentro del sistema para que los archivos no quedaran corruptos.
• La Municipalidad no contaba con políticas para el control y seguridad de la información. Ni mucho menos privilegios personalizados al sistema de acuerdo con el puesto y perfil del funcionario, lo cual, al darle acceso a un usuario en cierto módulo, tenía permisos totales sobre él.
• A causa de las vulnerabilidades antes mencionadas, la municipalidad tenía que lidiar día a día con ciertas limitaciones, provocando en algunos de los casos: redundancia en los procesos, mal servicio a los clientes, pérdida de confianza de los contribuyentes, etc.
65
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
• También hay que mencionar que el sistema que se tenía no contaba con un apartado de Contabilidad-Presupuesto, haciendo que los empleados recibieran los reportes impresos y se vieran en la obligación de confeccionar manualmente en hojas electrónicas: reportes de liquidación presupuestaria, asientos, estado financieros etc. Esta manera hacía que el proceso como tal fuera bastante lento e inseguro, ya que, esas hojas electrónicas confeccionadas eran almacenadas en medios electrónicos que no contaban con restricciones de acceso.
A causa de las vulnerabilidades antes mencionadas, la municipalidad tenía que lidiar día a día con ciertas limitaciones, provocando en algunos de los casos: redundancia en los procesos, mal servicio a los clientes, pérdida de confianza de los contribuyentes, etc.
También hay que mencionar que el sistema que se tenía no contaba con un apartado de Contabilidad-Presupuesto, haciendo que los empleados recibieran los reportes impresos y se vieran en la obligación de confeccionar manualmente en hojas electrónicas: reportes de liquidación presupuestaria, asientos, estado financieros etc. Esta manera hacía que el proceso como tal fuera bastante lento e inseguro, ya que, esas hojas electrónicas confeccionadas eran almacenadas en medios electrónicos que no contaban con restricciones de acceso.
El proceso para realizar el pago respectivo de los salarios era mediante la digitación de hojas electrónicas y almacenadas en archivos .txt. Para el pago como tal, se debía de trasladar dicho documento a un medio magnético (Diskette) para luego efectuar el pago en la entidad bancaria.
No existía un portal web que permitirá a la municipalidad brindar información útil sobre sus servicios básicos: consulta de estados de cuenta, solicitud de citas, formularios para solicitudes, mucho menos pagos en línea, etc. A raíz de esto, no se lograba brindar un servicio de calidad a sus contribuyentes ni mucho menos con transparencia; provocando de esta manera un detrimento en la imagen de la institución, y una gran pérdida de confianza por parte de los usuarios.
66
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Proceso de implementación y migración hacia GNU/Linux y Software Libre
Teniendo el municipio las herramientas necesarias para implementar el proyecto tecnológico, en primera instancia, se dedicó a confeccionar el cuarto de comunicaciones principal (Servidores, racks, equipos de comunicaciones, etc). Finalizada la etapa de construcción de la plataforma sobre la cual se iba a administrar toda la información del municipio, se realizó la migración de los servidores a GNU/Linux utilizando la versión de Ubuntu Server, basada en la distribución de Debian. Así como ciertas terminales de trabajo del Departamento de Tecnologías de Información a GNU/Linux utilizando la versión de Ubuntu Desktop. También se hizo la instalación, configuración y puesta en producción del servidor de base de datos y el servidor de aplicaciones. Paralelamente se brindó capacitación, se realizaron pruebas y se pusieron en producción los distintos módulos que el nuevo Sistema Integrado, Financiero, Administrativo y Tributario (SIFAT), ofrecía (Cortés Fuentes, A, 2016, págs. 10,11).
No obstante, cabe señalar que la municipalidad migró del SIM21 a la base de datos relacional, conservando el contrato por servicios profesionales para atender cualquier requerimiento que se presentara, por tanto, la labor era en para paralelo, corrigiendo los errores que se presentaran en ambos sistemas y así evitar la inconsistencia de datos y a la vez brindar servicios de calidad.
Otro procedimiento que realizó el departamento de TIC´s fue la compra, configuración e implementación de un Socket para la conectividad con el Banco Nacional para poner en producción la plataforma de BN Internet Banking; luego para ampliar el servicio a otras entidades bancarias se puso en producción la plataforma de BN Comercio Electrónico con la cual se abrió el servicio a todos los contribuyentes que tuvieran tarjetas de cualquier ente financiero siempre y cuando fueran VISA o MasterCard (Cortés Fuentes, A, 2016, pág. 12).
Por último, se cita que hubo una integración de la página web del municipio con el Socket de conectividad adquirido, para que los contribuyentes paguen directamente desde el portal web.
67
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Implementación de software libre y GNU/Linux para ahorrar recursos y contrarrestar los riesgos de seguridad de la información
Antes de la puesta en marcha de todo el proceso de migración, la municipalidad de Carrillo se exponía a una serie de vulnerabilidades y limitaciones que afectaban la eficacia y eficiencia de los procesos, y que, además generaba a los contribuyentes una mala imagen y desconformidad, como solución a toda esta problemática fue que se formó la plataforma tecnológica con la que hoy cuentan.
Mediante la utilización de LAMP (Linux, Apache, MySQL y PHP), este municipio ha logrado desarrollar un servidor web administrado totalmente con GNU/Linux. Teniendo Linux como sistema operativo, Apache como servidor web que atiente las peticiones de los clientes, MySQL, como sistema gestor de base de datos y PHP como lenguaje de programación que fue utilizado para el desarrollo del portal web (Cortés, 2017).
Ahora bien, al implementar GNU/Linux y software libre, se aseguraba el ahorro de recursos económicos y tecnológicos, debido a que el costo de los licenciamientos era nulo, permitiéndoles destinar estos recursos a otros proyectos como: servicio de mantenimiento de carreteras, servicio de educativos, culturales y deportivos, servicios sociales complementarios, servicio de mantenimiento de la zona marítimo terrestre y desarrollo urbano.
Uno de los principales beneficios para la municipalidad con el uso de GNU/Linux y software libre, fue a nivel de seguridad de la información, ya que gracias a todo el soporte que brinda la comunidad de desarrolladores, se reciben constantes actualizaciones que mitigan los ataques informáticos. De hecho, este municipio según narró el jefe del Departamento de TIC´s Cortés Fuentes, 2016, en un principio cuando se hizo la migración, descuidaron ciertos aspectos de seguridad y sufrieron ataques como: hackeo de la página web, solitudes al servidor web de IP’s
68
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
desconocidas, entre otros, pero sin ningún perjuicio grave que comprometiera la institución.
Por estas situaciones mencionadas, el Gobierno de Carrillo implementó herramientas en su infraestructura tecnológica como el firewall; el cual permite bloquear el acceso no autorizado a lo interno de la red, sin embargo, como bien lo mencionan los autores Peña & Gonzalo, 2006; “...el manejo de la configuración de los firewalls en los equipos, es conocido por su difícil configuración”, por esta razón se implementó con “Shorewall”, y en combinación con la ejecución de un script desarrollado en el lenguaje Shell, se logró bloquear ciertos puertos e IP’s que eran atacados de puntos geográficos desconocidos, haciendo que el firewall fuera más seguro, poderoso y robusto.
Otra herramienta que se ha implementado por la institución es el uso de un servidor proxy Squid3, el cual ayuda a filtrar algunos contenidos web y software malintencionados. Al mismo tiempo, mejora el rendimiento de navegación en internet, debido a que almacena una copia de las páginas web más utilizadas en la caché del servidor, dando como resultado menor tiempo de respuesta en la petición (Gómez & Canela, 2012).
Por otro lado, esta municipalidad, ha buscado maneras de brindarle un mejor servicio a sus clientes, permitiéndoles desde el portal web realizar pagos, consultas de estados de cuentas. Al ser información sensible y que viaja a través del internet, es importante que se maneje de manera segura, para cumplir esto, se realizó la adquisición de un estándar SSL (Secure Sockets Layer) de 128 bits, que garantiza la seguridad de los que los paquetes transferidos. (Cortés, 2017).
Por otro lado, como una buena práctica, el departamento de TIC´s implementa servicios para realizar una adecuada administración de la red como: NIS (Network Information Service) el cual es un protocolo de servicio de directorio cliente-servidor utilizado en sistemas distribuidos para mantener los datos y archivos de configuración consistentes en toda la red (Britto, et al, 2014).
69
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Además, para brindar un mejor servicio a lo interno de la municipalidad, es decir, a los funcionarios como tal. Se implementa el servicio NFS (Network File System) que, según Britto, et al, 2014, corresponde a un protocolo de la capa de aplicación (modelo OSI) el cual proporciona el compartimiento de archivos en una red de área local. Y da la posibilidad que distintos equipos conectados a una misma red puedan acceder a ficheros remotos, dando la ilusión que se encuentran localmente.
Igualmente, otros de los servicios para la administración de red utilizados en el gobierno local son: DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol,), SAMBA (Protocolo de archivos compartidos de Microsoft Windows, para para sistemas de tipo UNIX). Que en conjunto hacen que la red trabaje de manera eficiente.
Para finalizar, es pertinente mencionar que la mayoría de los equipos de escritorio disponibles usan versiones de Ubuntu como sistema operativo, también tienen Mozilla Thunderbird como sistema gestor de correo electrónico y Firefox como navegador web, además de LibreOffice como suite de ofimática para la documentación requerida.
70
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Conclusiones
Al realizar el estudio bibliográfico, se encontró que algunos gobiernos locales de Costa Rica han utilizado y utilizan software libre, como eje principal en su infraestructura tecnológica, la municipalidad de Carrillo no es la excepción, ya que, debido a las necesidades de ciertos procesos gubernamentales y vulnerabilidades que presentaba su sistema SIM21 (desarrollado en FOX), la gerencia como tal procedió a la obtención de software libre para la construcción de su infraestructura tecnológica.
Entre las ventajas que se alcanzaron con la dispersión de software libre a las estaciones de trabajo se encuentran: reducción de los problemas relacionados con virus, optimización de los recursos de hardware mediante el uso de facilidades de virtualización basadas en el software libre VMware Esxi6. Y, por último, gozar de una gran cantidad de documentación y posibilidades de adquirir conocimiento oportuno.
Sin embargo, la implementación de estos procesos presentó desventajas, principalmente por parte de los usuarios finales, ya que tuvieron que acoplarse al nuevo formato o lineamiento tecnológico, poniendo mucho esfuerzo para adquirir el conocimiento necesario y hacer el uso correcto de las tecnologías de información.
GNU/Linux por su naturaleza como sistema operativo, es menos propenso a sufrir infestaciones de sistemas maliciosos, favoreciendo de esta manera una mayor seguridad a las estaciones de trabajo de la municipalidad, donde ha sido instalado este sistema operativo; causando al mismo tiempo una mayor seguridad en el sistema principal; disminuyendo los riegos de presentar una infestación por este medio.
Finalmente, cabe señalar que el software libre al ser una herramienta versátil provee múltiples beneficios, entre ellos, uno muy relevante: la seguridad de la información y que, además, es gratis. Razones por la cual el Gobierno Local decidió montar toda la plataforma tecnológica sobre GNU/Linux, obteniendo paralelamente una mayor flexibilidad, estabilidad y fácil adaptación a las necesidades de este.
71
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Referencias
Andrade, G., Borzone, E. & Muñoz, A. (S. f). Seguridad en Internet con los certificados SSL y HTTPS. Chile: Universidad Técnica Federico Santa María. Recuperado de http://profesores.elo.utfsm.cl/~agv/elo322/1s17/projects/reports/Proyecto%20Seguridad%20HTTPS.pdf
Bolívar, E., Díaz, G., Moreno, J., Pacheco, L., Pertuz, A., Martelo, E & san Martin, P. (2013). Uso del Software Libre en las Organizaciones de Barranquilla. Universidad Simón Bolívar Barranquilla, Colombia. Recuperado de http://revistas.unisimon.edu.co/index.php/innovacioning/article/view/2074
Barrantes, J., Ortega, E & Cortés, A. (2013). Diagnóstico y propuestas desde la perspectiva de tecnologías de información y comunicación. Municipalidad de Carrillo, Departamento de Tecnologías de Información.
Britto, A., Piyaratne, M & Andrahanndi, D. (2014). A Standalone SAMBA-NIS/NFS Server Model for Windows and LINUX Dual Boot Clients with Individual User Authentication. 10(9). 360-369. Recuperado de https://www.researchgate.net/profile/Kk_Lasantha_Britto_Adikaram/publication/264418698_A_standalone_samba-NISNFS_server_model_for_Windows_and_Linux_dual_boot_clients_with_individual_user_authentication/links/53e165310cf2235f352b3df8/A-standalone-samba-NIS-NFS-server-model-for-Windows-and-Linux-dual-boot-clients-with-individual-user-authentication.pdf?origin=publication_detail
Cortés, A. (2016). Implementación de la Infraestructura de Tecnologías de Información y Comunicación (TIC's) con GNU/Linux y Software Libre; y Puesta en Producción del SIFAT (Sistema Integrado, Financiero, Administrativo y Tributario) en la Municipalidad de Carrillo. Universidad Estatal a Distancia, Unión Nacional de Gobiernos Locales e Instituto de Fomento y Asesoría Municipal.
Cortés, A. (2017). Implementación de Plataforma Tecnológica basada en Software Libre: Caso de Éxito Municipalidad de Carrillo. Carrillo, Costa Rica: Municipalidad de Carrillo.
72
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Esteve, Josep. (2010). Introducción al sistema operativo GNU/Linux. España: Universidad Oberta de Catalunya.
Giraldo Gallego, L. (S. f). Uso del software libre y casos de éxito. Recuperado de http://migracion.ucr.ac.cr/wp-content/uploads/2017/03/CE-Colombia Uso_del_software_libre_y_casos_de_exito.pdf
Gómez, C., Sepúlveda, L & Candela, C. (2012). Servidor Proxy Caché: Comprensión y asimilación tecnológica. 8(1). 149-162. Recuperado de file:///C:/Users/Usuario/Downloads/Seguridad%20Web/Dialnet-ServidorProxyCache-4869011.pdf
Hernández, F., García, L & Méndez, L. (2014). Software libre como alternativa de calidad en la educación. Congreso Iberoamericano de Ciencia, Tecnología, Innovación y Educación. Recuperado de https://www.oei.es/historico/congreso2014/memoriactei/964.pdf
Jiménez, X & Chavarría, L. (2017). Caso de la Universidad de Costa Rica: Implementación de Software Libre, Código Abierto y Formatos Abiertos. Séptima Conferencia de Directores de Tecnología de Información, TICAL 2017 Gestión de las TIC’s para la Investigación y la Colaboración, San José, del 03 al 05 de julio de 2017. Recuperado de http://documentas.redclara.net/bitstream/10786/1288/1/133%20Caso%20de%20la%20Universidad%20de%20Costa%20Rica%20Implementaci%C3%B3n%20de%20Software%20Libre.pdf
Jornadas Argentinas de Software Libre. (2013). Gestión de Servicios Informáticos con Software libre Universidad Nacional de Quilmes. Del Brocco, A.D. Recuperado de http://42jaiio.sadio.org.ar/proceedings/simposios/Trabajos/JSL/03.pdf
López, J., Gómez, E & Salgado, V. (2003). Linux: Seguridad Técnica y Legal. España: VirtuaLibro.
Mata, F., Flores, C., Zembrano, R & Pacheco, G. (2013). Retos y Oportunidades de Software Libre en la Administración Pública en Costa Rica. San José, Costa Rica: Universidad Nacional de Costa Rica.
Perpiñan, A. (2011). Seguridad de Sistemas GNU/Linux. República Dominicana: Fundación Código Libre Dominicana. Recuperado de http://highsec.es/wp-content/uploads/2013/10/Libro-Seguridad-GNU-Linux-Antonio-Perpinan-2011.pdf
73
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Peña, I & Gonzalo, I. (2006). Gestión de firewall bajo Linux mediante Shorewall. Azuay, Ecuador: Universidad de Azuay. Recuperado de http://dspace.uazuay.edu.ec/bitstream/datos/2239/1/05543.pdf
Umaña, J. (2017). El TEC crece en el uso de software libre con su nuevo portal web. Hoy en el TEC. Recuperado de https://www.tec.ac.cr/hoyeneltec/2017/01/17/tec-crece-uso-software-libre-su-nuevo-portal-web
Securización de Infraestructura TIC por medio de GNU/Linux y Software Libre: El caso de la Municipalidad de Carrillo, Guanacaste, CR
Andrés Alberto Cortés Fuentes
Universidad Nacional
Costa Rica
Marlene Durán López
Orcid: 0000-0002-3391-498X
Universidad Nacional
Costa Rica
Resumen
La seguridad de la información para cualquier pequeña, mediana o gran empresa, genera no solo una gran preocupación en aspectos de confidencialidad, integridad y disponibilidad de la información, sino que, a nivel técnico enfrenta a los administradores de TI, al reto de elegir la mejor alternativa en términos de costo-beneficio. Existen diversas soluciones que ofrece el mercado, desde equipos físicos optimizados para tal fin, así como aplicaciones propietarias o libres para dotar a la organización de un robusto sistema de seguridad que le permita protegerse de los ataques procedentes desde Internet.
De esta manera, el objetivo que orienta este artículo se centra en proponer una solución para implementar un sistema robusto de seguridad perimetral, basado GNU/Linux y software libre que se encuentre al alcance de las organizaciones.
Se expone el caso de éxito de la Municipalidad de Carrillo, gobierno local pionero en la implementación y fomento de GNU/Linux y software libre a nivel nacional, mediante la técnica de recolección de datos, recuperando las experiencias que pueden ser replicadas y complementadas en cualquier organización. De igual forma, se integra información relevante, producto de la revisión bibliográfica referente a la securización.
75
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Se deriva de este estudio, que el fomento de GNU/Linux y software libre, da paso a una serie de soluciones lógicas para administrar la seguridad de su organización, mediante el uso de herramientas como Shorewall y las debidas configuraciones para el manejo del tráfico, puertos y servicios específicos. Lo anterior, complementado con la implementación de esquemas para listas blancas - negras de IP’s, y scripts para la identificación de bloqueos, permiten garantizar un alto nivel de protección ante las amenazas externas principalmente provenientes de Internet.
Palabras claves: Securización, Shorewall, Scripts, GNU/Linux, Software Libre
Abstract
The security of information for any small, medium or large company generates not only a great concern in aspects of confidentiality, integrity and availability of information, however at a technical level; it faces IT administrators, the challenge of choosing the best alternative in terms of cost-benefit. There are several solutions offered by the market, from physical equipment optimized for this purpose, as well as proprietary or free applications to provide the organization with a strong security system that allows it to protect itself from attacks from the Internet.
In this way, the objective that guides this article focuses on proposing a solution to implement a strong perimeter security system, based on GNU / Linux and free software that is within the reach of organizations.
The success story of the Municipality of Carrillo, pioneer local government in the implementation and promotion of GNU / Linux and free software at national level, through the data collection technique, recovering the experiences that can be replicated and complemented in any case is presented organization. In the same way, relevant information is integrated, product of the bibliographic review referring to securitization.
76
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
It is derived from this study, that the promotion of GNU / Linux and free software, gives way to a series of logical solutions to manage the security of your organization, through the use of tools such as Shorewall and the appropriate configurations for traffic management, specific ports and services. The foregoing, complemented by the implementation of schemes for white-black lists of IPs, and scripts for the identification of blockages, allow guaranteeing a high level of protection against external threats mainly from the Internet.
Keywords: Securitization, Shorewall, Scripts, GNU/Linux, Free Software.
La ciberseguridad se ha convertido en una de las principales preocupaciones de las empresas, instituciones y a nivel de gobierno, no es la excepción. Esto responde al incremento de ataques digitales acontecidos a nivel mundial, donde las compañías han visto la necesidad de invertir más recursos en esta materia, implementar estrategias adecuadas y contar con perfiles calificados.
La ciberseguridad representa un pilar, en miras de garantizar la seguridad de las infraestructuras de la información, y salvaguardar los datos y la privacidad de todos los entes involucrados, ante las amenazas que se produzcan.
En este sentido existen grandes compañías especializadas, muy bien posicionadas en el mercado que ofrecen soluciones a nivel físico y lógico para tal fin. Esta propuesta, aunque muy atractiva para muchos, representa para otros una limitante en tema de costos, ya que no siempre se encuentra al alcance de la organización, por un tema de su naturaleza y poder adquisitivo.
Según el informe EY Global Information Security Survey (GISS): “casi nueve de cada diez empresas (87%) no tienen aún un presupuesto suficiente como para proporcionar los niveles de ciberseguridad y de resiliencia deseados”.
77
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Ante esta realidad, que representa la situación actual de muchas organizaciones, cabe la pregunta: ¿Existen soluciones accesibles y robustas que permitan administrar la seguridad de la organización? ¿Hay evidencia de su efectividad?
Es aquí, donde se pretende responder a estas interrogantes, con el objetivo de presentar y proponer una solución para implementar un sistema robusto de seguridad perimetral, que se encuentre al alcance de las organizaciones.
Shorewall
En la actualidad es posible implementar un robusto sistema de seguridad perimetral, gracias a las soluciones existentes basadas en GNU/Linux y software libre, que le brinda la posibilidad a cualquier gerente de TIC, poder administrar la seguridad de la organización.
Una de estas herramientas es Shoreline Firewall, más comúnmente conocido como “Shorewall”. Según el sitio web shorewall.org (2019), hace referencia a Shorewall como una herramienta de alto nivel, Gateway/firewall, para configurar Netfilter (iptables / ipchains). La herramienta es de código abierto e integrado en el kernel de Linux, lo que facilita la administración de esquemas de configuración más complejos para describir reglas usando archivos de texto. Requiere de la configuración de zonas, reglas y políticas para una adecuada configuración, compilación y ejecución.
Ante la investigación y el análisis de las soluciones de firewall basadas en GNU/Linux, realizado por los funcionarios del departamento de TIC de la Municipalidad de Carrillo, se descubrió el alto potencial, versatilidad y escalamiento que ofrece Shorewall, razones por las cuales fue elegido la herramienta para la implementación de la seguridad perimetral de la infraestructura tecnológica de la organización.
78
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Securización de la infraestructura TIC: Caso de éxito de la Municipalidad de Carrillo
Con base en lo expuesto anteriormente, a continuación, se presenta el caso de éxito de la Municipalidad de Carrillo, Guanacaste, Costa Rica, como gobierno Local pionero en la implementación y fomento de GNU/Linux y software libre a nivel nacional. Esta institución realizó la migración de toda la plataforma tecnológica a partir del año 2008 y desde entonces todo lo referente a la securización de la misma se ha realizado por medio de equipos con GNU/Linux (Versión Ubuntu Server) y Shorewall.
Esta migración, ha dado solución al manejo de la seguridad de los siguientes servicios: integrado con Squid para compartir y administrar la conexión a Internet por parte de los colaboradores de la Municipalidad de Carrillo, operando junto a Apache en el servidor web, brindando conectividad y seguridad tanto en ipv4 como ipv6, junto con Bind en el servidor DNS (el cual resuelve zonas a nivel de WAN) y con la herramienta OpenVPN en el servidor de VPN.
La versatilidad de esta herramienta, aunado al dominio y la experticia que los funcionarios del departamento de Tecnologías de Información han desarrollado, durante aproximadamente 11 años de adoptar el paradigma del software libre como un modo-estilo de trabajo, ha permitido alcanzar un alto nivel de implementaciones e integraciones de los servicios anteriormente citados, junto a todo el resto del ecosistema informático. De esta manera el departamento ha respondido de una manera ágil, eficaz y oportuna, solventando las necesidades de crecimiento y escalabilidad a un costo sumamente bajo por no mencionar nulo.
A continuación, se explica detalladamente en qué consiste la solución desarrollada. Antes de empezar, es necesario ubicar el contexto sobre las bases y filosofía con la cual se ha implementado la plataforma tecnológica de la Municipalidad de Carrillo, al haber alcanzado un alto grado de proliferación y madurez tecnológica con el uso de GNU/Linux corriendo directamente en equipos físicos. Este hecho, dio como resultado lidiar con problemas como: espacio en los Racks, en las regletas que suministran la electricidad, en los puertos de conexión de los switch por citar los más comunes.
79
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Ante esta situación, surgió la necesidad de reinventar dicha forma de operar, adoptando así un esquema de virtualización de los servidores para dar solución a la problemática expuesta y además potencializar la infraestructura tecnológica. Hoy por hoy, la Municipalidad de Carrillo, cuenta con dos servidores de Rack configurados en alta disponibilidad, utilizando almacenamiento compartido por medio de una SAN, todo ello conectado a un sistema de alimentación ininterrumpida (Banco de UPS, ATS (transferencia automática) y generador eléctrico), para mantener la operación 24/7/365.
Para realizar la puesta en producción de Shorewall en el servidor de Internet, se contó con una máquina virtual con 2 procesadores de 2 núcleos cada uno, 4 GB de RAM, un disco duro de 150 GB y dos tarjetas de red (Una para la conexión a Internet y la otra para la red interna) corriendo sobre VMware. A nivel de sistema operativo actualmente corre un Ubuntu Server.
El tipo de configuración inicial por medio del archivo policy, se define en modo estrictamente “Restrictivo” con lo cual se cierra todo tipo de tráfico y por medio del archivo rules se habilitan reglas específicas para abrir puertos y servicios específicos. Como, por ejemplo: la redirección del puerto utilizado para el Proxy, para brindar la salida a Internet de las terminales de los colaboradores.
Evidentemente, esta configuración no exime del escaneo de puertos y ataques recurrentes. Para solventar dicha problemática, se ha implementado un esquema de Listas Blancas de IP’s relacionadas a un servicio en específico. Por ejemplo, el uso de SSH:
SSH o Secure Shell, es un protocolo de administración remota que le permite a los usuarios controlar y modificar sus servidores remotos a través de Internet… Proporciona un mecanismo para autenticar un usuario remoto, transferir entradas desde el cliente al host y retransmitir la salida de vuelta al cliente. El servicio se creó como un reemplazo seguro para el Telnet sin cifrar y utiliza técnicas criptográficas para garantizar que todas las comunicaciones hacia y desde el servidor remoto sucedan de manera encriptada. Hostinger, 2019.
80
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Por lo tanto, al abrir dicho puerto se garantiza que solamente un número muy reducido de IP’s públicas, administrado y validado por personal calificado del departamento de TIC, van a tener la posibilidad de acceder a los equipos y servidores dentro de la red LAN y para el resto de las peticiones de orígenes desconocidos se rechaza (REJEC o bien DROP) el simple intento de conexión.
Ahora bien, aunque pueda parecer un poco extremista, esto no es suficiente para reducir el riesgo de ser víctima de atacantes, debido a que estos van a procurar por todos los medios vulnerar la plataforma. Este escenario conllevó a tomar otras acciones complementarias: en conjunto con la empresa YAIPAN (proveedora del Sistema de Información Municipal y pionera también en el uso de GNU/Linux y software libre) se puso en producción un script desarrollado en el lenguaje SHELL que realiza las tareas como se detallan a continuación:
Cada 5 minutos en este caso particular, debido a la configuración realizada en el crontab del servidor se hace un barrido del archivo /var/log/syslog del equipo, identificando todos los bloqueos que se han producido del tipo “net – FW REJECT”, para de esta manera obtener el puerto destino “DPT”. La información de este último se compara contra una lista de puertos (previamente especificados por el administrador). Si el puerto bloqueado se encuentra en la lista, se procede a obtener la dirección IP pública desde donde se originó la solicitud y esta se registra en el archivo /etc/hosts.deny con el fin de denegar el acceso.
Según las acciones previamente mencionadas, el servidor deja de existir para todas aquellas direcciones IP’s que hayan sido registradas en (/etc/hosts.deny) y por lo tanto se garantiza un alto nivel de protección con menor exposición ante los atacantes.
Este esquema de trabajo ha sido utilizado en la Municipalidad de Carrillo desde el año 2012, obteniendo resultados exitosos, ante diversos ataques que han experimentado las instituciones del gobierno costarricense, específicamente a sus sitios web y además de los incidentes detectados y comunicados por el CSIRT-CR administrado por el MICITT (Ministerio de Ciencia, Tecnología y Telecomunicaciones), en los cuales los servidores de la Municipalidad no han surgido afectación.
81
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Basado en este caso de éxito es que se ha desarrollado la metodología, junto al análisis de material bibliográfico, que pretende sistematizar la experiencia implementada, desarrollada y consolidada a través de los años, como un ejemplo a ser replicado, complementado y mejorado por otras organizaciones, que deseen hacer uso de los beneficios que brindan las plataformas y herramientas GNU/Linux y software libre.
Reflexión final
El sistema operativo GNU/Linux, se ha perfilado como uno de los sistemas más sobresalientes en el mercado informático, amoldándose a las necesidades de las organizaciones, con una distribución segura, confiable, robusta y escalable. De ahí que resulta de interés en nuestro país potencializar su uso hacia pequeñas y medianas empresas tanto públicas como privadas, donde se realice por ejemplo un mejor aprovechamiento de los fondos, al disminuir la compra de licencias, e invertir en infraestructura de punta y personal capacitado para la atención de esta.
En aspectos de seguridad, cabe destacar que el uso de GNU/Linux, solventa problemas relacionados a virus informáticos, resultando en una mejor manera de proteger el mayor activo de las empresas, que es su información.
Otro punto fuerte para mencionar en cuanto al uso y puesta en producción de GNU/Linux, es la capacidad de instalarse y ejecutarse en equipos con pocos recursos a nivel de procesamiento (memoria y procesador), con muy buen rendimiento y desempeño. Este factor representa una oportunidad y deja entrever las generosidades de migrar a una plataforma de TIC estable y segura, sacando provecho a los equipos con los que cuenta la organización.
En lo que respecta a la administración de servidores, GNU/Linux cuenta con una línea de comandos o terminal muy poderosa mediante la cual se puede realizar todo tipo de configuración tanto a nivel local (red interna) como de manera remota, por medio de conexiones a través del protocolo SSH, para lo cual no se necesita un gran ancho de banda de Internet, permitiendo así una optimización de los recursos y la capacidad de poder atender situaciones en tiempo real desde cualquier parte del mundo.
82
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Mostrar estos resultados constituye un reto: implica conocer y contar con suficientes conocimientos en la materia, pero más allá de ello, consideramos que el secreto del éxito está en asumir una firme convicción de adoptar este nuevo paradigma de trabajo, con el cual se va lograr un alto nivel de empoderamiento de los recursos tecnológicos de la empresa, erradicando costos asociados al licenciamiento y con la capacidad a través de las libertades de copia y modificación que brinda el uso de GNU/Linux, ajustar y diversificar la cartera de servicios, sin depender de terceros.
La experiencia en el caso de éxito de la Municipalidad de Carrillo ha demostrado que por medio de la plataforma GNU/Linux, se pueden obtener grandes beneficios con un mayor aprovechamiento de recursos económicos. Como gobierno local, la Municipalidad, ha logrado una disminución significativa de los costos asociados al pago de licencias, los cuales se han podido canalizar hacia la inversión en infraestructura de hardware y también en mejorar las condiciones y calidad de vida de los contribuyentes.
Por último, se recalca que herramientas como Shorewall, permiten administrar la seguridad de la organización, mediante configuraciones para el manejo del tráfico, puertos y servicios específicos, complementado con la implementación de esquemas para listas blancas - negras de IP’s, y scripts, garantizan un alto nivel de protección, ante las amenazas externas que se puedan presentar a la infraestructura TIC de las organizaciones.
83
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Referencias:
Binnie, C. (2016). Linux Server Security. United States: Wiley.
Barrios, J. (2013). Cómo configurar un muro cortafuegos con Shorewall y
tres interfaces de red. Recuperado de
http://www.alcancelibre.org/staticpages/index.php/como-
shorewall-3-interfaces-red
Ey.com. (2019). ¿Es la ciberseguridad algo más que una cuestión de
protección? Recuperado de
https://www.ey.com/Publication/vwLUAssets/ey-resumen-
ejecutivo-global-information-security/$File/ey-resumen-ejecutivo-
global-information-security-2018.PDF
Hostinger. (2019). ¿Cómo funciona el SSH? Recuperado de
https://www.hostinger.es/tutoriales/que-es-ssh
Huamaní, W. (s.f). Instalar Firewall en Linux Server con Shorewall.
Recuperado de
http://configurarlinuxserver.com/instalarfirewallenlinuxserver.pdf
Linux.com. (2017). An Introduction to the Shorewall Firewall Tool.
Recuperado de https://www.linux.com/tutorials/introduction-
shorewall-firewall-tool/
Negus, C. (2015). Linux Bible. (9na ed). United States: Wiley. shorewall.org.
(2019). Introduction to Shorewall. Recuperado de
http://shorewall.org/Introduction.html#Shorewall
84
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
TRABAJOS FINALES DE
GRADUACIÓN
85
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Universidad de Buenos Aires Facultades de Ciencias Económicas, Cs. Exactas y Naturales e Ingeniería
Carrera de Especialización en Seguridad Informática Tutor: Mg. Prandini, Patricia Trabajo Final de Especialización Tema: Phishing
Estudio sobre mecanismos para concientizar sobre el phishing Autor: Pascaner, Diego Año de presentación: 2018 Cohorte: 2016
86
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Resumen
El phishing es un tipo de ataque informático cuyo objetivo es robar
información personal del usuario. El presente Trabajo Final de
Especialización del Posgrado en Seguridad Informática de la Universidad
de Buenos Aires, enmarcado en un proyecto conjunto entre dicha
Universidad y la Universidad Nacional de La Plata, tiene como objetivos
conocer las capacidades de los usuarios para reconocer páginas web que
formen parte de este tipo de ataques y evaluar la eficacia de distintos
instrumentos usados en campañas de concientización.
Para lograrlo se desarrolló un aplicativo que invitaba a los
participantes a identificar sitios maliciosos, proponía distintas instancias
de capacitación y verificaba posteriormente si se habían registrado
mejoras en la capacidad de los usuarios para detectar sitios maliciosos.
El estudio se realizó con la participación de 250 voluntarios, con un
promedio de edad de 40 años y un nivel de educación alto. Un 29% se
dedicaba a la seguridad de la información mientras que un 14% nunca
había escuchado el término phishing.
El estudio demostró que los participantes mejoraron su capacidad de
detección de sitios falsos al ser capacitados, no encontrándose diferencias
significativas entre los tipos de instrumentos utilizados. Se pudo
corroborar que todo esfuerzo para mejorar las capacidades de los usuarios,
por mínimo que sea, redunda en una mejora en sus habilidades para evitar
ser víctimas del phishing.
Palabras clave: ciberataque; phishing; concientización; instrumentos de
comunicación; estudio estadística.
87
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
1. Introducción
Este Trabajo Final de Especialización abarca el problema del phishing
en la realidad actual del uso de Internet. Incluye una introducción al tema
describiendo sus principales características, sus distintas técnicas y
versiones y las medidas para prevenirlo, desde los diferentes roles
involucrados. Más específicamente se plantea la necesidad de conocer la
eficacia de distintos instrumentos con los que se puede concretar la
capacitación de los usuarios de Internet.
Para el análisis planteado, el trabajo incluye el desarrollo de una
aplicación web que permite evaluar la mejora de un usuario después de
realizar una capacitación en particular, permitiendo comparar las mejoras
promedio de los usuarios que recorrieron cada uno de los instrumentos
configurados. Esta herramienta se inspira en trabajos similares realizados
por entidades internacionales dedicadas a combatir el phishing;
concretamente Anti-Phishing Working Group1 y Stop. Think. Connect.2.
Estas organizaciones están involucradas en proyectos similares e
interesadas en conocer los resultados de este proyecto de investigación.
Además del análisis de los resultados, el trabajo también desarrolla
una sección de recomendaciones para la prevención de ataques de
phishing, focalizada principalmente en la capacidad de los usuarios para
reconocer páginas web maliciosas. Además, se sugieren alternativas de
cómo se puede continuar avanzando con la investigación del tema.
88
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
2. Desarrollo
2.1. Introducción al phishing
2.1.1. ¿Qué es?
El phishing es un tipo de ataque informático cuyo objetivo es robar
información personal de un usuario. Consta de un mensaje en el cual el
atacante pretende engañar a la víctima haciéndose pasar por una
institución válida (o cualquier emisor legítimo del mensaje), en el que se le
solicitan los datos en cuestión. Dependiendo de la información que se
persigue, se podría esperar que los usuarios respondan al mensaje
entregando sus datos, o bien, utilizar la primera comunicación como un
punto de partida para el mismo fin. En el último caso, usualmente se
incluye un acceso directo a un sitio web, que continúa simulando ser
legítimo, en donde el usuario, si no se percata del engaño, ingresará la
información. Normalmente el mensaje es un correo electrónico, pero el
término incluye cualquier tipo de comunicación (llamada, mensaje de
texto, mensajeros instantáneos, etc.).
Para lograr su objetivo, los atacantes suelen ofrecer grandes
beneficios o generar sensación de urgencia. Por ejemplo, el mensaje
podría ser respecto a haber ganado un gran premio o amenazar que una
cuenta bancaria será cerrada si no se responde a la brevedad con la
información solicitada. (Phishing.org - What is Phishing, s.f.)
Un ataque de phishing usualmente incluye los siguientes cinco pasos.
Primero, identificar y seleccionar a las víctimas. Puede ser una campaña
masiva, o bien, un ataque dirigido en el que se selecciona un grupo
específico de destinatarios. Segundo, configurar el emisor del mensaje.
Elegir una marca, crear un sitio de igual apariencia, armar un correo
89
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
electrónico que parezca legítimo y finalmente, hacer parecer que el
emisor del mensaje es legítimo (un contacto de la víctima, una dirección
de correo de la marca). Tercero, distribución del ataque. Se envían los
correos con enlaces a los sitios phishing y se generan publicidades y
participaciones en foros que también lleven al sitio apócrifo. Esto se realiza
acorde al público seleccionado en el primer paso, en términos de idioma,
tipo de invitación, intereses, etc. Cuarto, las víctimas caen en el engaño:
ingresan a enlaces fraudulentos y completan sus datos o responden los
correos entregando la información. Quinto, monetizar el ataque. Se busca
ganancia financiera vendiendo las credenciales obtenidas y accediendo a
cuentas de pago de las víctimas. La información obtenida puede ser
también el punto de partida para nuevos ataques o fases subsiguientes
del mismo. (PHISH GUTS - The Anatomy of a Phishing Attack, s.f.)
2.1.2 Historia
Se considera que los primeros ataques de phishig fueron a mediados
de la década del ’90 y sus objetivos eran obtener cuentas de America
Online (más conocida como AOL), principal proveedor de Internet en ese
momento. Los atacantes se hacían pasar por empleados de la empresa y
solicitaban a otros usuarios información personal para verificar sus
cuentas o confirmar su dirección de facturación.
En el 2001 se registró el primer ataque a un sistema de pago en línea.
Si bien se considera que no tuvo éxito, se puede decir que sentó
precedentes ya que en los años que le siguieron se registraron dominios
de Internet con sitios que simulaban ser eBay y PayPal. (Phishing.org -
History of Phishing, s.f.)
90
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
2.1.3. Evolución
Desde los primeros ataques de phishing hasta hoy, la realidad del
uso de Internet cambió de forma considerable. Según el indicador
“Individuos usando Internet (% de población)” medido por The World
Bank3, en 1995 menos del 1% de la población del mundo utilizaba Internet.
Desde el 2014 superó el 40% y continúa en aumento. (The World Bank -
Individuals using the Internet (% of population), s.f.).
Figura 1 - Porcentaje de población que utiliza Internet
% de población que utiliza Internet
50
45 43.89595231
40
35
30
25 29.149614
20
15 15.78908227
10
0.782312674
5
6.770427059
0
19
95
19
96
19
97
19
98
19
99
20
00
20
01
20
02
20
03
20
04
20
05
20
06
20
07
20
08
20
09
20
10
20
11
20
12
20
13
20
14
20
15
91
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Adicionalmente al acelerado crecimiento de la población con acceso
a Internet, se debe considerar la cantidad de cuentas que controla cada
usuario (generalmente más de una) y el tráfico generado. En el 2015 un
estudio estimó que cada usuario utiliza su correo electrónico para acceder
en promedio a más de 100 cuentas de otros sitios y según la tendencia
observada, el número se duplica cada 5 años (Dashlane - Infographic
online overload its worse than you thought, s.f.). Otra variable que muestra
el ritmo de este incremento es la tasa de tráfico de Internet al cabo de los
años, medida por el estudio “La era del Zettabyte: tendencias y análisis”
llevado a cabo por Cisco (Cisco - The Zettabyte Era: Trends and Analysis,
s.f.).
Figura 2 - Tráfico de Internet
Tráfico de Internet (GB/s)
30000
25000 26600
20000
15000
10000
5000
0.001 0.028 100
2000
0
1992 1997 2002 2007 2016
92
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Ventas minoristas en línea vs. Crecimiento año/año, Estados Unidos 2010-2016
min
orita
s e
n lín
ea
(1.0
00
mill
on
es
% C
recim
ien
to a
ño
/añ
o
Ve
nta
s
Figura 3 - Ventas minoristas en línea vs. crecimiento año/año
Hospitales que permiten el acceso digital de información a sus pacientes, 2012-2015
% d
e h
ospitale
s
93
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
De la mano de este cambio de contexto de Internet, se advierte un
crecimiento en la motivación para realizar ataques de phishing y por lo
tanto, resulta esperable observar un incremento de este tipo de actividad.
El siguiente gráfico refleja la variación en la cantidad de sitios únicos de
phishing detectados según los reportes de tendencia de Anti-phishing
Working Group (Anti-phishing Working Group - APWG Phishing Attack
Trends Reports, s.f.).
Figura 5 - Sitios únicos de phishing detectados
Sitios únicos de phishing detectados
x 10
000
18
16
14
12
10
8
6
4
2
0
Jul-
05
Jul-0
6Jan
-07
Jul-0
7Jan
-08
Jul-
08
Jan-
09Ju
l-09
J u l - 1 0 J a n - 1 1 J u l - 1 1 J a n - 1 2 J u l - 1 2 J a n - 1 3 J u l - 1 3 J a n - 1 4
Jul-
14
Jan
-15
Jul-
15Ja
n-16
Jul-
16
Jan
-05
Jan
-06
Jan
-10
En conjunto con el incremento en la cantidad, existe un proceso de
perfeccionamiento en los aspectos técnicos del ataque, manteniéndose
siempre estable el objetivo: lograr que uno o más usuarios entreguen
información en forma inadvertida a una fuente no autorizada. Sin
embargo, para mejorar la tasa de éxito y/o expandir los vectores de ataque,
se desarrollaron nuevas técnicas, según se describe a continuación.
94
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Phishing dirigido (en inglés spear phishing): en lugar de enviar
grandes cantidades de mensajes con una pequeña probabilidad de
respuesta, el atacante elige un objetivo (persona u organización), lo
investiga y personaliza la comunicación. Esto dificulta que la víctima note
que el mensaje es ilegítimo.
Inyección de contenido: es un ataque a los sitios web en el cual el
atacante obtiene la capacidad de modificar parte del contenido de un sitio
legítimo. Hasta aquí no se relaciona con el phishing, sin embargo, se ha
utilizado esta técnica para dirigir a los usuarios de un sitio legítimo a uno
que no lo es. (Phishing.org - Phishing Techniques, s.f.)
Punycode: es un mecanismo para ampliar los caracteres permitidos
en una dirección de un sitio web. En general, un buen mecanismo de
defensa ante el phishing es revisar la dirección del sitio que uno está
navegando; si no es la del sitio que se desea, probablemente se esté ante
un ataque. Aprovechando la tecnología del punycode se puede registrar
un dominio cuya representación visual sea otra. Por ejemplo, alguien
podría utilizar el dominio “xn--pple-43d.com” y los visitantes en su
navegador visualizarían “аpple.com”5 (Xudong Zheng - Phishing with
Unicode Domains, s.f.).
2.1.4 Actualidad
Las organizaciones pueden optar por diversas alternativas técnicas para
5 Poco tiempo después de ser descubierta esta posibilidad para ocultar un ataque de
phishing, los principales navegadores hicieron mejoras para tratar de prevenir a los usuarios.
95
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
defenderse del phishing. Algunas son buenas prácticas genéricas de la
seguridad de la información, como mantener los sistemas actualizados y
con sus respectivos parches de seguridad, instalar soluciones anti-
malware y monitorearlas y desarrollar políticas de seguridad
(especialmente relacionadas con autenticación y contraseñas), entre
otras. Otras defensas aplican de forma más directa al phishing (aunque
también hagan su aporte en otros aspectos de la seguridad) como el uso
de filtros de salida para la navegación de los usuarios o el análisis de los
datos de entrada, especialmente en los correos. (Digital Guardian -
Phishing Attack Prevention: How to Identify & Avoid Phishing Scams, s.f.)
Adicionalmente se deben considerar variantes que pueden implementar
tanto proveedores de servicios, como usuarios finales. Para el primer
grupo, algunas opciones son el monitoreo de la marca en línea para
detectar sitios “clonados”, la creación de perfiles de comportamiento de
los usuarios en pos de detectar anomalías o incluso, mejoras en los
mecanismos de autenticación. 6 Los usuarios finales pueden utilizar
herramientas de análisis de correos, que se comportan como filtro, listas
negras de direcciones de sitios o incluso de remitentes, aplicaciones que
analizan el flujo de información o hasta la detección de sitios clonados por
su parecido visual. (Rosiello, s.f.)
A pesar del amplio abanico de soluciones técnicas anti-phishing, es
importante destacar que, aún adoptadas en conjunto, nunca lograrán una
6 Un ejemplo de un proveedor de servicio en línea que implementa soluciones anti-phishing es Google. En su
sistema de correo electrónico Gmail, incluye un algoritmo para la detección de spam, así como advertencias a
usuarios cuando sospechan que está siendo víctima de un ataque de phishing. Se puede conocer más al respecto
con la nota de Forbes al respecto: https://www.forbes.com/sites/kevinmurnane/2017/06/05/google-enhances-
gmail-with-new-anti-phishing-tools/#5287fb9c6991.
96
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
efectividad del 100%. Esto puede deberse a cuestiones relativas a las
configuraciones (bajar la sensibilidad de filtros para evitar falsos positivos)
o a propiedades inherentes a la solución como el hecho de ser reactivas.
Al respecto, Peter Wenham, Director de seguridad de la información en la
consultora Trusted Management, indica:
“Abordar los engaños basados en correo electrónico y el spam
comienza con reducir el volumen de spam a través de filtros y es
completado educando a los usuarios para reconocer spam y engaños
y borrarlos, desde la cúpula de una organización hasta los niveles más
bajos. ¿Por qué? Porque no es posible detectar el 100% de este tipo
de mensajes usando aplicativos especializados, complementos en los
servidores de correo ni servicios externos. Finalmente, una persona
deberá leer los mensajes que pasan los filtros electrónicos. Una
aplicación, complemento en el servidor de correo o servicio externo
debería reducir el nivel de spam cerca de un 95% (esto variará entre
proveedor y proveedor y a lo largo del tiempo).”7 (¿Computer Weekly
- How can organizations guard against phishing scams?, s.f.)
Tomando como base esta información, existen dos caminos no
excluyentes entre sí a seguir para combatir el phishing: avanzar en las
herramientas que reducen significativamente la cantidad de ataques que
7
Traducción propia. Original en fuente: “Tackling e-mail-based scams and spam starts with reducing the volume of spam by filtering and is completed by the educating the users from the top of an organisation right down to the most junior levels to recognise spam and scams and to delete. Why? Because it is not possible to screen out 100% of these message types using specialist appliances, add-in applications to e-mail servers or external services. In the end a human will have to read the messages that get through the electronic screening. An appliance, e-mail server add-in or external service should reduce spam levels by about 95% (this will vary supplier to supplier and from time to time).”
97
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
los usuarios reciben a diario y mejorar la concientización de los usuarios
para que logren diferenciar mensajes legítimos de ataques con mejor tasa
de éxito. Este trabajo se centra en el último de los dos caminos.
Se puede comprobar la necesidad de mejorar la educación a los
usuarios de Internet estudiando los datos informados en la infografía
reporte de cyber-amenazas (Cyber Threat Report) de Cyren (Cyren -
Phishing Infographic, 2016). De allí se desprende que en el 2016 un 30% de
los correos electrónicos de phishing fueron abiertos y un 12% de enlaces,
accedidos.
2.1.5 Capacitación anti-phishing
Considerando el incremento del phishing en los últimos años y que –
según Alan Paller, presidente de SANS Technology Institute y Director de
investigación de SANS Institute 8 – el 95% de los ataques en las redes
empresariales son el resultado de ataques de phishing dirigidos exitosos,
era esperable ver un aumento en los esfuerzos de las organizaciones para
reducir el éxito de estos ataques. Con la información expuesta en el
informe del estado del phishing de Wombat Security del 2017 (Wombat
Security - State of the Phish 2017, s.f.) se puede corroborar que sucedió (y
sigue sucediendo) exactamente eso. El reporte fue realizado entre más de
500 profesionales de seguridad de todo el mundo trabajando en más de
16 industrias distintas y concluye la siguiente información:
8 El artículo completo se encuentra disponible en:
http://www.networkworld.com/article/2164139/network-security/how-to-blunt-spear-
phishing-
98
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 6 - Porcentaje de empresas que miden la susceptibilidad al phishing
Figura 7 - Porcentaje de empresas que capacita para identificar y evitar phishing
99
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
¿Logró cuantificar una reducción en la susceptibilidad al
phishing en base a estas actividades?
Figura 8 - Porcentaje de empresas que redujeron su susceptibilidad al phishing gracias a las capacitaciones
El motivo por el cual los ataques de phishing siguen aumentando
es porque tienen éxito. Sin embargo, con esta información, se puede ver
que la capacitación de los usuarios es una defensa exitosa. Queda por
preguntarse cuánto se los debe capacitar, en qué aspectos y qué
instrumentos de capacitación tienen mejores tasas de éxito.
52%
dijo que sí
40% de incremento
respecto al año pasado
100
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
2.2 Instrumento de medición: ciclo de vida del desarrollo
2.2.1 Objetivo
En el capítulo anterior se estableció que para combatir el phishing
resulta fundamental la educación a los usuarios. Uno de los objetivos del
proyecto en el que se enmarca este trabajo es determinar la eficacia de
algunos instrumentos de capacitación, mediante la generación de una
plataforma que permita en forma configurable, la realización de pruebas
de otros tipos de instrumentos posibles. Para esto se propone un sistema
que ubique a los usuarios en situaciones de la vida diaria, en las que deban
determinar si se encuentran ante un sitio legítimo o uno apócrifo. Luego
se los capacitará utilizando diversos instrumentos y se los invitará a volver
a realizar la evaluación, para verificar si mejora su capacidad para
identificar posibles ataques.
Dicha actividad consistirá en la presentación de una secuencia de
imágenes de un navegador de Internet mostrando distintos sitios web. El
participante deberá determinar si cada uno de ellos es legítimo o no.
Tendrá un tiempo máximo de ejecución, buscando imponer presión que
aumente la similitud con una situación real en la que la atención de la
persona no está puesta únicamente en el sitio que está navegando ni
tampoco se está preguntando de forma constante si se encuentra frente
a un ataque.
Un aspecto clave para poder determinar el éxito de las
capacitaciones es la posibilidad de dar seguimiento a los resultados de
cada usuario en las evaluaciones. Para esto se analizó identificar a cada
uno con el debido cuidado de modo de mantener el anonimato, evitando
solicitar datos personales. En este marco, se desarrolló el aplicativo de
101
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
modo que se realizará toda la actividad de forma continua, considerando
primero una secuencia de imágenes de sitios, luego la capacitación y
finalmente, para comprobar las mejoras que pudieran haberse logrado en
la habilidad del participante, una nueva secuencia de imágenes de sitios.
Cabe acotar que las organizaciones globales Anti-Phishing
Working Group9 y Stop. Think. Connect. que como se explicó más arriba,
fomentan y apoyan proyectos similares, aunque de mayor escala,
manifestaron su interés en conocer los resultados de este trabajo de
investigación previendo que puedan ser aprovechados para mediciones
similares en otros países.
Con estas premisas en mente, en el desarrollo de la aplicación se
incluyó un panel de administración desde el que se generan las
evaluaciones. Éstas contendrán preguntas que el usuario debe contestar,
en forma adicional al estudio y los sitios que se presentarán al usuario (en
sus versiones legítima y apócrifa). Además, todos los mensajes
presentados en la pantalla, tanto a los participantes como al
administrador) son configurables para lograr una mejor regionalización y
eventual adaptación a diferentes organizaciones. Adicionalmente, para
simplificar el uso del sistema por parte de terceros, se procedió a
documentar sus funcionalidades y se desarrolló una guía de instalación y
el código en forma prolija y comentada, todo lo cual queda a disposición
del Posgrado de Seguridad Informática de la UBA.
Otra premisa que da base a este trabajo es la construcción del
sistema utilizando tecnología de uso libre y gratuito, de modo que una vez
desarrollado, el código pueda ser compartido con las organizaciones que
manifiesten interés en utilizarlo.
102
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
2.2.2 Alcance
El sistema tiene dos tipos de usuarios claramente distinguibles: el
administrador, que configura las evaluaciones, y los participantes de la
actividad, que ingresan a través de un enlace que se les compartió vía
correo electrónico y sólo tienen disponible la evaluación.
A continuación, se describe el proceso en el que un usuario realiza
la actividad y los distintos módulos de configuración disponibles para el
administrador.
I. Realización de la actividad
Instancia de evaluación
Cuando el usuario ingresa al enlace de una actividad, el sistema
muestra una pantalla introductoria, que incluye la denominación del
estudio, una explicación de sus objetivos y su contexto y las instrucciones
para continuar. Toda esta información es acompañada por imágenes y se
muestra organizada en pasos para no abrumar a los participantes con un
volumen excesivo de texto. A continuación, se puede visualizar una
imagen de esta pantalla.
103
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 9 - Página de introducción del estudio
En ese momento, el sistema genera un código único con el que
identifica la instancia de la actividad. Esto es transparente para el usuario,
pero esencial para poder darle seguimiento durante todos los pasos
involucrados. Junto con dicho identificador, el sistema genera y persiste
toda la información que va a ser necesaria durante la actividad: sitios de
los que se mostrarán imágenes, su orden y cuáles son válidos; preguntas
que conformarán la sección de la encuesta y el instrumento de
capacitación que se utilizará. Toda esta información surge de la
configuración del estudio y es explicada con mayor detalle en el apartado
“Inicio de actividad”.
104
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Una vez que el usuario completa la introducción, se le presenta
una lista de sitios de Internet, sobre los cuales luego va a tener que
identificar las imágenes legítimas y las que no lo son. Sobre dicha lista se
le solicita que marque aquellos con los que se siente familiarizado. Este
paso no tiene impacto en cómo continua la actividad, y se realiza
únicamente para precisar si el conocimiento previo del sitio ayuda a los
participantes a detectar eventuales ataques.
El siguiente paso es la primera secuencia de imágenes de sitios
web. En esta sección, se muestra una imagen de un navegador en un sitio
de Internet, botones para determinar si el sitio es válido o no y un
cronometro del tiempo restante que comienza en 2 minutos12. Una vez
que el usuario responde, se persiste su respuesta y se le informa si eligió
correctamente. En el caso de las respuestas incorrectas, se descuentan 5
segundos. Para mejorar la experiencia de los participantes, se incluyeron
botones para ambas respuestas, tanto sobre la imagen del sitio como por
debajo. Además, al pasar el cursor por encima de la imagen se amplía esa
sección para mejor la accesibilidad visual. A continuación, se muestra un
ejemplo de esta pantalla.
105
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 10 - Página del estudio para que los participantes determinen la legitimidad de un
sitio
Cuando el usuario finaliza con la primera secuencia de sitios o se
termina el tiempo disponible para evaluar las ocho imágenes, se muestran
los resultados, que reflejan el desempeño del participante: la cantidad de
sitios legítimos, cuántos fueron contestados correctamente, cuántos
fueron erróneos y cuántos no se llegó a contestar, si fuera el caso. Lo
mismo se muestra en el caso de los sitios ilegítimos. Finalmente, se indica
la cantidad de respuestas correctas. Si el usuario cometió errores
marcando como legítimos sitios ilegítimos, se le muestran los motivos por
los que los sitios seleccionados no eran válidos, es decir los indicios que no
detectó para identificar la imagen del sitio atacado.
El usuario continúa luego con la sección de la encuesta. El sistema
solicita responder todas las preguntas y muestra de a una a la vez. Todas
106
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
son de opción múltiple (lista de respuestas predefinidas) pero en algunas
se puede seleccionar una única respuesta y en otras, cualquier cantidad.
Una vez completada la encuesta, el sistema persiste las respuestas.
En este punto existen dos opciones para continuar el estudio. En caso de
que, en la primera secuencia de imágenes de sitios, el usuario haya llegado
a tiempo a responder todos los casos y lo haya hecho correctamente, se le
muestra una pantalla explicando que es el fin de la actividad por haber
distinguido con éxito las imágenes de los sitios web atacados de los sitios
legítimos. Luego se sugiere mantener la atención y se brindan algunas
recomendaciones al respecto.
En caso de que en la primera secuencia de imágenes, el usuario no
hubiera respondido todos los casos con éxito, la actividad continúa
ofreciéndole una instancia de capacitación. Ésta será, entre las
configuradas para la evaluación, la que haya sido determinada por el
sistema en el ingreso del usuario a la primera pantalla. Para esta aplicación
se seleccionó un artículo de lectura, una infografía y un video13. Se sugiere
al usuario tomarse su tiempo con la capacitación, incorporar los
conocimientos ofrecidos y al completarla, proseguir a la segunda
secuencia de imágenes de sitios, similar a la inicial. Una vez completada
esta segunda sección, y luego de ver sus resultados, se indica el fin de la
actividad y agradece al usuario por su participación.
107
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Inicio de actividad
Cuando el sistema genera una nueva instancia de una actividad,
debe determinar qué sitios aparecerán, qué se preguntará en la encuesta
y cuál será el instrumento de capacitación a utilizar. En esta sección se
describen los mecanismos empleados en la aplicación para realizarlo.
Como parte de la configuración de una actividad, se debe
determinar una lista ordenada de imágenes de sitios. Para esto, el
administrador puede indicar cada uno de los sitios que desea incluir uno
por uno, puede hacerlo a través de sus categorías o cualquier
combinación. Por ejemplo, podría configurarse: sitio de Google, 3 sitios de
noticias, sitio de Netflix. Sobre esta lista, el sistema debe reemplazar las
categorías por la cantidad indicada de imágenes de sitios. En el ejemplo
anterior debe intercalar entre el sitio de Google y el de Netflix, 3 sitios que
pertenezcan a la categoría "noticias". Estos serán elegidos al azar entre los
que estén habilitados dentro de la categoría y aún no hayan sido incluidos
en la actividad, ni de forma explícita ni a través de otra categoría. Una vez
finalizado este proceso, la primera mitad de sitios se agrupa en una tanda
para la primera sección y el resto, en la segunda. En caso de una cantidad
total impar, la primera tanda tendrá uno menos que la segunda. Para
finalizar con las imágenes de sitios, se toma la mitad de cada secuencia de
forma aleatoria y se los marca como válidos; éstos son de los que se va a
mostrar la imagen legítima, del resto se mostrará la imagen de un sitio
atacado como parte de un phishing.
108
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Para seleccionar las preguntas de la encuesta, se realiza el mismo
procedimiento que el primer paso, es decir, utilizando las preguntas y las
categorías de preguntas configuradas.
Finalmente, para determinar el instrumento de capacitación, se
busca la cantidad de instancias de la evaluación para las que se seleccionó
cada uno de los instrumentos configurados, a esa altura del estudio. En
base a esta información, se toma el instrumento menos elegido hasta el
momento. El objetivo que persigue esta lógica es mantener equiparada la
cantidad de instancias de la actividad con cada uno de los posibles
instrumentos, de modo de poder compararlos.
Datos persistidos
Desde que el usuario ingresa a la dirección web de la actividad y
hasta que finaliza, el sistema registra su progreso junto a la información
considerada útil a los fines del análisis. En este apartado se detallan los
datos almacenados paso a paso.
Como ya se indicó previamente, tan pronto como el usuario accede
a la actividad, se le asigna un identificador único para su instancia. Éste es
persistido junto al identificador de la actividad que se está realizando, ya
que puede haber más de una actividad en curso y en simúltaneo de
distintos participantes, y la siguiente información: fecha y hora,
instrumento de capacitación seleccionado, lista de preguntas ordenadas
y lista de imágenes de sitios, indicando a qué tanda pertenecen y si se
mostrará su imagen legítima o como sitio atacado.
109
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Cuando el usuario completa la introducción y presiona el botón de
comenzar, el sistema guarda la fecha y hora y muestra la lista de sitios
cuyas imágenes se irán presentando, para que indique si se encuentra
familiarizado con ellos. Una vez que el usuario responde, se guardan las
respuestas (si es que eligió contestar, ya que puede no seleccionar
ninguno, si lo prefiere) y la fecha y hora.
En este punto comienza la primera evaluación y se muestra la
primera tanda de imágenes de los sitios. Al responder, el sistema persiste
la respuesta (válido o inválido) y la fecha y hora. En caso de agotarse el
tiempo disponible para resolver todos los casos de la secuencia, se guarda
la fecha y hora del momento en que se produce este corte.
El usuario continúa con la encuesta. Al iniciarla, se persiste la fecha y
la hora y al terminar, todas las respuestas más la fecha y la hora. Ésta última
coincide con el momento en el que se comienza la sección
correspondiente a la capacitación. Al finalizarla, se guarda la fecha y la
hora indicando que la completó y comienza la segunda secuencia de
presentación de imágenes de sitios, de la que se persiste la misma
información que para la primera.
Situaciones de error
Existen básicamente dos posibles fallas en el transcurso de la
actividad: que se pierda la conexión entre el navegador del usuario y el
servidor o que un procedimiento no se ejecute como debería. En ambos
casos, el sistema está preparado para informar al usuario la ocurrencia de
un error. Éste puede volver a ingresar a la dirección web de la actividad o
presionar un botón que lo llevará automáticamente a ese punto. En la
110
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
primera pantalla del estudio, junto con la introducción, se le informará que
tiene una instancia de actividad en curso y se le ofrecerá volver a comenzar
desde cero o continuarla desde donde estaba previo al error.
II. Módulos de configuración
Módulo de preguntas
El objetivo de este módulo es administrar las preguntas que
integrarán la encuesta de cada evaluación que se encuentran organizadas
por categorías jerárquicas, también administrables.
Los datos de las preguntas serán: nombre, consigna (el texto que se
mostrará al usuario), lista de respuestas válidas, lista de respuestas
inválidas, categorías y estado de habilitación.
Adicionalmente, se deberá determinar si la pregunta admite una
única o múltiples respuestas, que deben poder ser ordenadas por el
administrador, pero también existe una opción para permitir que se
presenten de forma aleatoria.
Los datos de las categorías son: nombre, categoría padre (opcional)
y estado de habilitación. Si bien existe una pantalla dedicada a
gestionarlas, también se podrán cargar nuevas categorías desde el
formulario de preguntas, para agilizar el proceso.
Para facilitar las tareas de administración, se permitirá la clonación
de preguntas.
111
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Cuando se intente modificar una pregunta que ya esté incluida en
una evaluación, se debe advertir al administrador que dicha modificación
debería ser únicamente para corregir o clarificar la misma pregunta (no
cambiarla por otra completamente distinta). El objetivo de esta
advertencia es lograr el correcto análisis de los datos una vez concluida la
actividad. Si el administrador edita los datos de una pregunta, para el
sistema la pregunta es la misma que antes. Si se cambiara por otra, al
estudiar las respuestas se mezclarían las dos preguntas distintas y la
información que se pueda obtener de los datos perdería sentido.
Cuando se intente borrar una pregunta que ya esté incluida en una
evaluación en curso, el sistema verificará que aún no haya aparecido en la
encuesta de ninguna instancia de la actividad. Si no fue así, se advierte al
administrador, y si ya fue respondida por algún usuario que participa en la
evaluación, no se permite su borrado.
Módulo de sitios
El objetivo de este módulo es administrar los sitios que podrán
integrar una evaluación, que se encuentran organizados por categorías
jerárquicas, también administrables.
Los datos de los sitios son: denominación, nombre para los
participantes, dirección URL, información de autorización (dato
únicamente informativo para que el administrador lleve registro de la
autorización de la organización, si es que se solicita), imagen válida,
imagen inválida, categorías, estado de autorización y estado de
habilitación.
112
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Adicionalmente, se debe poder determinar si el sitio se podrá
responder con botones, haciendo click sobre la imagen (como si en
realidad fuera el sitio y no una imagen) o ambas.
También es obligatorio ingresar el motivo por el cual la imagen
inválida lo es (por ejemplo: dirección con error de tipeo, nombre del sitio
como subdominio, etc.). Estos motivos son administrables y sus datos son
el nombre y la descripción del motivo para el usuario.
Los datos de las categorías son: nombre, categoría padre (opcional)
y estado de habilitación. Si bien existe una pantalla dedicada a
gestionarlas, también se podrán cargar nuevas categorías desde el
formulario de sitios para agilizar el proceso.
Para facilitar las tareas de administración, se permite la clonación de
imágenes de sitios.
Cuando se intente modificar una imagen que ya esté incluida en
una evaluación, se debe advertir al administrador que dicha modificación
debería ser únicamente para corregir un dato del sitio o mejorar o
actualizar las imágenes (no cambiarlo por otro completamente distinto).
Al igual que con las preguntas, el objetivo de esta advertencia es lograr el
correcto análisis de los datos una vez concluida la actividad. Si el
administrador edita las imágenes de un sitio, para el sistema éste es el
mismo que antes. Si se cambia por otro, al estudiar las respuestas se
mezclarían los dos sitios distintos y la información que se pueda obtener
de los datos perdería sentido.
113
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Cuando se intente borrar un sitio que ya esté incluido en una
evaluación en curso, el sistema verificará que aún no haya aparecido en
ninguna instancia de la actividad. Si no fue así se advierte al administrador,
pero si apareció en alguna evaluación, no se permite su borrado.
Módulo de capacitaciones
El objetivo de este módulo es administrar los instrumentos de
capacitación que podrán integrar una evaluación. Sus datos son: nombre,
descripción, página de capacitación, fuente y estado de habilitación.
La página de capacitación puede variar de acuerdo con el
instrumento que se quiera utilizar. Se puede cargar un archivo HTML (por
ejemplo, para subir un artículo), una imagen, un video (tanto como archivo
como desde YouTube), escribir un texto enriquecido (texto con formato) o
bien cargar un archivo de tipo PDF.
Se le advertirá al administrador que sea extremadamente cauteloso
con el archivo que cargue y no utilice ningún archivo descargado de
Internet ni de fuentes que no sean de confianza. Esto es porque si en este
archivo se incluyeran, por ejemplo, scripts maliciosos; estos se ejecutarían
en los navegadores de todos los participantes que realicen la capacitación.
Para facilitar las tareas de los administradores, se permitirá la
clonación de capacitaciones.
114
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Cuando se intente modificar una capacitación que ya esté incluida
en una evaluación en curso, se debe advertir al administrador que dicha
modificación debería ser únicamente para corregir un dato de la
capacitación o para mejorarla (no cambiarla por otra completamente
distinta). El objetivo de esta advertencia es lograr el correcto análisis de los
datos una vez concluida la actividad. Si el administrador edita una
capacitación cambiando su instrumento por otro completamente
distinto, para el sistema la capacitación es la misma que antes. Al estudiar
las mejoras que pudieran existir en los participantes luego de realizar la
capacitación, se mezclarían los resultados de los dos instrumentos
distintos y la información que se pueda obtener de los datos perdería
sentido.
Cuando se intente borrar una capacitación que ya esté incluida en
una evaluación en curso, el sistema verificará que aún no haya aparecido
en ninguna instancia de la actividad. Si no fue así se advierte al
administrador, pero si apareció en alguna evaluación no se permite su
borrado.
Módulo de actividades
El objetivo de este módulo es administrar las actividades a las que
podrán ingresar los participantes. Sus datos son: denominación,
descripción, título para los usuarios, página introductoria, identificador de
acceso (utilizado como parte de la dirección URL que se comparte a los
participantes), tiempo máximo para realizar la actividad, lista de
capacitaciones y estado de habilitación.
115
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Adicionalmente se configurará la lista ordenada de imágenes de
sitios que está compuesta por: sitios específicos o categorías de sitios y la
cantidad deseada de dicha categoría. De la misma manera, se configurará
la encuesta con preguntas específicas o categorías de preguntas.
Finalmente se configurarán los períodos en los que la actividad
podrá realizarse lo que permite al administrador configurar una actividad
sin que todavía pueda ser accedida. La disponibilidad se ingresará como
una lista de pares de fechas. Los rangos no deben superponerse y la mayor
fecha de inicio de disponibilidad puede no tener aparejada una fecha de
finalización. En este último caso, la actividad quedará habilitada desde el
inicio de ese período hasta que se cambie dicha configuración.
Para facilitar las tareas de administración, se permitirá la clonación
de actividades.
116
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
2.2.3 Aspectos técnicos
Tecnologías utilizadas
La aplicación fue desarrollada en el lenguaje C# y se utilizaron los
frameworks de desarrollo Microsoft .Net 4.69 y MVC510.
En los navegadores de los usuarios, con el fin de enriquecer las
interfaces y mejorar la dinámica de uso de la aplicación, se utilizaron los
frameworks jQuery11 y jQuery UI12. Se analizó la posibilidad de agregar otras
herramientas con fines similares (como AngularJS13, Knockout14, React15 o
Backbone.js16) pero se concluyó que terminarán incorporando
restricciones a la forma de trabajo.
Para el estilado de la aplicación se utilizó {less}17, lenguaje similar al
utilizado en las hojas de estilo (CSS) de los sitios de Internet, pero con
algunas funcionalidades agregadas que facilitan su mantenimiento. Se
aclara que no tiene ningún impacto al momento de instalar o usar la
aplicación, ya que simplemente facilita la administración de las hojas de
estilo.
Se utilizó el motor de base de datos MySQL Community Edition versión
5.718.
9 https://docs.microsoft.com/en-us/dotnet/framework/whats-new/index#v46 10https://docs.microsoft.com/en-us/aspnet/mvc/mvc5 11https://jquery.com/ 12https://jqueryui.com/ 13 https://angularjs.org/ 14 http://knockoutjs.com/ 15 https://reactjs.org/ 16 http://backbonejs.org/ 17 http://lesscss.org/ 18 https://www.mysql.com/products/community/
117
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Como repositorio de código y controlador de versiones durante el
proceso de desarrollo, se empleó un servidor TFS en línea19 por una mera
cuestión de disponibilidad y agilización. De optarse por compartir la
aplicación con otras organizaciones, se deberán estudiar alternativas más
prácticas para proyectos de código abierto.
Requerimientos técnicos
Se consideró al realizar este Trabajo Final de la Especialización que
resultaba muy importante lograr una interfaz fluida para el usuario para
evitar que le sea tediosa su participación y sobro todo, porque durante las
secuencias de selección de imágenes de sitios, el tiempo es un factor clave.
Esto implicó el desafío de trabajar con imágenes con niveles altos de
calidad y buena accesibilidad visual. Para lograrlo, desde que el usuario
ingresa a la primera página de la actividad, se comienza a cargar las
imágenes de los sitios una por una de forma completamente transparente
al usuario. Así, cuando se vea la imagen de un sitio, ésta ya estará
descargada en su navegador.
2.3 Ejecución de encuesta y resultados
En esta sección se describirá la experiencia de llevar a cabo la
actividad con la herramienta desarrollada. El proceso completo desde el
desarrollo hasta el cierre del período de realización del estudio duró
aproximadamente seis meses, comenzando en noviembre del 2017 y
finalizando en abril del 2018.
19 https://www.visualstudio.com/es/team-services/
118
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
El primer paso fue la preparación de cada uno de los tipos de los
datos a recopilar: sitios, preguntas y capacitaciones. Con los sitios resultó
particularmente desafiante conseguir que entidades argentinas den su
aprobación para utilizar la imagen de sus páginas web, objetivo que
finalmente no se logró por la negativa de las empresas consultadas de
permitir el uso de las imágenes de sus sitios web, con diversas
justificaciones.
Las preguntas para la encuesta no trajeron mayores complejidades,
pero en cambio, conseguir las capacitaciones tampoco resultó sencillo,
especialmente dada la falta de contenidos de calidad disponibles en
Internet en español, a diferencia de lo que ocurre con los contendidos en
inglés. Los primeros 3 meses se consumieron rápidamente entre este paso
y resolver algunos aspectos técnicos como por ejemplo: el servidor sobre
el que finalmente se implementó la herramienta, el certificado SSL para
dotar de seguridad al sitio del estudio y las correcciones de algunos errores
que aparecieron en el sistema desarrollado.
Una vez completada esta etapa, se cargó en la herramienta un
registro que fue utilizado como beta. Se seleccionó un grupo reducido de
personas27 y se les distribuyó esta versión de la evaluación. Desde este
punto y durante un mes se trabajó iterativamente con las devoluciones
recibidas por este grupo. Se mejoraron algunos textos, cambiaron
contenidos e incorporaron imágenes explicativas.
Finalmente se consideró que la actividad estaba lista para lanzarse
al público, iniciándose el período de toma de datos el 19 de febrero de 2018.
Se determinó un objetivo ambicioso de 300 personas y se comenzó con la
distribución que se realizó de forma parcialmente pública: entre
119
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
conocidos no necesariamente cercanos e instándolos a compartirla, pero
sin llegar a exponer la evaluación en espacios públicos (foros, grupos de
redes sociales, etc.). El motivo por el que no se abrió al público fue que no
haber podido conseguir autorización de las entidades argentinas y por lo
tanto, haber utilizado imágenes de sitios de otros países, considerados
conocidos por usuarios de nuestro país. Adicionalmente, se evitó
sobrecargar el servidor o su conexión.
Durante la primera semana se consiguió una cantidad de
respuestas muy esperanzadora: más de 150. Sin embargo, el crecimiento
posterior fue significativamente más lento. Por este motivo se decidió que
250 participaciones completas serían suficiente. A continuación, el gráfico
muestra la cantidad de participaciones cada semana y permite observar
el decrecimiento a medida que avanzaba el tiempo.
Figura 11 - Participaciones acumuladas por semana
300
238 241 244 248 249 250
250
par
tici
pan
tes
200
168 171 183
163
150
Can
t.
100
50
0
0
0 2 4 6 8 10
Cantidad de participaciones (acumuladas)
120
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
De la cuarta semana a la quinta se puede ver un salto importante ya
que en este punto se decidió volver a lanzar la convocatoria a un nuevo
grupo de potenciales participantes.
Entre las devoluciones de algunos participantes respecto al tenor
del estudio se destacan una positiva y una negativa. La mayoría manifestó
que la actividad realmente les había servido para aprender y darse cuenta
de lo poco que conocían el tema y de los errores que cometían. La crítica
constructiva fue respecto a la incomodidad para participar desde sus
teléfonos celulares. Se considera que este segundo punto se ve reflejado
en el siguiente gráfico de embudo en el que se muestran las cantidades y
porcentajes conseguidos, fraccionando el proceso de realización de
estudio en cuatro etapas: ingreso a la dirección web que se les envió;
lectura de las instrucciones; realización del primer paso de la actividad,
indicando cuáles de los sitios presentados le resultan conocidos; y
finalmente, recorrido completo del estudio.
Figura 12 - Gráfico de conversión del estudio
121
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Se debe tener en cuenta que existen otros factores que pudieron
haber ampliado la brecha entre las primeras dos etapas. Por ejemplo, que
a los participantes les haya resultado demasiado larga la introducción o
que entraran a ver con qué se encontraban y dejaran su participación, para
otro momento, sin volver a retomarla.
2.4 Análisis de resultados obtenidos
Para el siguiente análisis se tienen en cuenta únicamente las
participaciones completas en la actividad; descartándose aquellas que se
dejaron inconclusas. Considerando esto, se toma un total de 250
participaciones sobre los 739 ingresos a la página inicial.
Para comenzar a estudiar la información recolectada se observó
cómo estaba compuesto el grupo de participantes. El promedio de edad
fue aproximadamente 40 años con una concentración significativamente
mayor entre los 25 y 50 años como muestra la Figura 13 - Participantes por
grupo etario. Resulta destacable el alto nivel de educación del público de
la actividad expuesto en la Figura 14 - Participantes por mayor título
alcanzado. De los 250 participantes, 72 (29%) indicaron que la seguridad de
la información es su actividad principal. Finalmente, resulta importante
considerar los niveles de conocimiento iniciales del phishing. Un 80% de
los participantes sabía de qué se trataba, mientras que para un 14% era la
primera vez que escuchaba el término. Se expone un mayor detalle de
estos datos en la Figura 15 - Participantes por conocimiento del phishing.
122
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 13 - Participantes por grupo etario
Figura 14 - Participantes por mayor título alcanzado
100
80
70
60
35
40
20 19
20
0
Menos de 25 Entre 25 y 35 Entre 36 y 50 Entre 51 y 60 Más de 60
Participantes por grupo etario
123
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 15 - Participantes por conocimiento del phishing
El primer resultado interesante es que 72 participantes
respondieron correctamente todos los sitios de la primera tanda y por lo
tanto, no realizaron la capacitación ni la segunda secuencia de sitios. Esta
cantidad representa un 29% del total de participantes. La distribución de
este grupo no muestra diferencias significativas en cuanto a
conocimientos previos del phishing o al porcentaje que se dedica a la
seguridad de la información.
La primera comparación que se realizó es el total de imágenes de
sitios que los usuarios no hicieron a tiempo de responder antes y después
de la capacitación. Esto se hizo con el objetivo de evaluar si con la
capacitación se logró mejorar el tiempo promedio que utiliza un usuario
para identificar la legitimidad de un sitio. Para esto sólo se consideró a los
178 participantes que pasaron por la segunda secuencia de sitios. Aquí se
puede observar un resultado que a priori, puede considerarse opuesto al
esperado: antes de la capacitación hubo 95 (7%) sitios que, tomando el
124
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
conjunto de los participantes, no llegaron a evaluar, mientras que después
de la capacitación hubo 128 (9%) no evaluados. Una posible explicación es
que al principio solamente miraban la apariencia del sitio y luego de ser
capacitados, prestaban mayor atención a los aspectos técnicos específicos
como la dirección web y el certificado de HTTPS; lo cual lleva más tiempo.
Desde otra perspectiva y tomando la cantidad de participantes y no de
imágenes de sitios, de la primera secuencia de sitios hubo 37 participantes
a los que no les alcanzó el tiempo para realizar las 8 respuestas (21% sobre
los 178 mencionados); mientras que después de la capacitación, este
número se redujo a 28 (16%).
Otro aspecto interesante que diferencia la primera tanda de la
segunda, son los sitios respondidos correctamente. Sobre los 178
participantes que realizaron la segunda secuencia de sitios, en la primera
tanda de imágenes se respondieron correctamente 897 sitios (63% del
total o 67% si se descartan los que quedaron sin respuesta por falta de
tiempo). En la segunda secuencia en cambio, se observó un 15% de
incremento habiendo evaluado correctamente 1037 sitios (73% del total de
sitios y 80% sobre los sitios respondidos). Resulta interesante que si se
consideran únicamente aquellas personas que no conocían lo que es el
phishing el incremento asciende a un 33% con 174 respuestas correctas en
la primera secuencia (44%) y 231 (58%) sitios evaluados correctamente en
la segunda tanda.
Categorizando las imágenes de sitios identificadas correctamente
por tipo de capacitación ofrecida al participante, se obtiene la información
representada en la siguiente tabla:
125
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Tabla I - Mejoras en respuestas por tipo de capacitación recibida
Se puede observar que la capacitación más efectiva tomando el
conjunto total de respuestas resultó ser el artículo de lectura.
El promedio de mejora de todos los participantes fue de un 31%.
Esto se obtuvo como el promedio de los porcentajes de incremento de las
respuestas correctas entre la primera y segunda secuencia de sitios para
cada participante. Por ejemplo, un participante que en la primera
secuencia evaluó correctamente 4 imágenes y en la segunda 6, tuvo un
50% de mejora. Este mismo valor aparece en la Tabla I - Mejoras en
respuestas por tipo de capacitación recibida agrupado por tipo de
capacitación.
Adicionalmente se pudo observar que el 83% de los participantes
mejoró o se mantuvo igual luego de la capacitación, de los cuales el 63%
mostró mejoras y el 20% restante se mantuvo con la misma cantidad de
aciertos. Tomando el 83%, el promedio de mejora global asciende al 45%.
Es posible que esta diferencia se deba a que algunos participantes no
hayan completado la capacitación, o bien que el tipo de capacitación que
recibieron no fuera el adecuado para ellos. No se encontró en los datos
recolectados ninguna característica que segmente de forma clara al
grupo que mejoró su cantidad de aciertos respecto al que empeoró.
Tipo de
Respuestas correctas
Mejora promedio
Primera
Segunda
capacitación
Incremento
por participante
secuencia
secuencia
Infografía 323 356 10% 25%
Video 286 326 14% 36%
Artículo de lectura 288 355 23% 32%
126
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
El hecho de estar familiarizado con un sitio no se presentó como
una ventaja a la hora de detectar su legitimidad. Tanto para los sitios
señalados como utilizados frecuentemente como para los desconocidos,
ocurrió un 76% de acierto al responder. Concretamente de 1235 respuestas
a sitios que los participantes conocían, 944 fueron correctas. Para los sitios
que a los participantes no les resultaban familiares, hubo un total de 1738
respuestas y de ellas, 1319 correctas.
También resulta interesante analizar las mejoras de los participantes
para detectar los distintos tipos de engaño que aparecieron durante el
estudio. La Tabla 2 - Mejoras según el tipo de error presentado, muestra las
mejoras porcentuales para cada tipo de error tanto de forma global, así
como desagregado según la capacitación recibida.
Tabla 2 - Mejoras según el tipo de error presentado
Mejora promedio para detectar el
Tipo de error
engaño luego de la capacitación
Global
Infografía
Video
Artículo de
lectura
Solicitar datos personales sin cifrar el 54% 58% 46% 57%
tráfico (sin HTTPS)
Error de tipeo en la dirección web 45% 46% 53% 37%
Uso del nombre del sitio en la 7% -1% 3% 17%
dirección web pero no como dominio
127
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
2.5 Recomendaciones para combatir el phishing
En base al trabajo realizado, en esta sección se elabora una serie
de recomendaciones para que los usuarios de Internet puedan estar más
prevenidos frente a eventuales ataques de phishing.
En este sentido, el aspecto fundamental que deben comprender
es la necesidad de mantener una actitud de desconfianza ante cualquier
mensaje o imagen conteniendo un enlace o al pretender navegar en
cualquier sitio web. En otras palabras, hasta no estar seguro de su
legitimidad, debe asumir que se trata de un mensaje o sitio web
fraudulento. A continuación, y a manera de ejemplo, se explican
situaciones de distinto nivel de sofisticación, que podrían ocurrir de
manera habitual.
El escenario más usual y quizás el más simple de detectar, es la
recepción de un mensaje (correo electrónico, SMS, mensajes instantáneos
o cualquier medio similar) de una dirección desconocida, de apariencia
legítima que incluya, por ejemplo, nombres de un contacto o de entidades
conocidas.
Algunos signos específicos de alerta son: el ofrecimiento de
situaciones poco probables y muy ventajosas, la amenaza de
consecuencias drásticas si no se siguen las indicaciones brindadas, la
inclusión de enlaces a sitios y la solicitud de datos personales o de
seguridad.
128
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Un caso similar, aunque más complejo de detectar, es la recepción
de un mensaje desde una dirección electrónica conocida. Si bien los
usuarios viven esto en forma habitual, podrían encontrarse ante una
situación de un ataque, por ejemplo, si el emisor tuviera algún dispositivo
infectado con malware o si alguna de sus cuentas de mensajería hubiera
sido robada. Un primer filtro rápido para clasificar la mayoría de los
mensajes es si se encuentra mal escrito o si es distinto de lo que se
esperaría del emisor (uso de palabras extrañas, español neutro, otro
idioma, etc.), además de las alertas señaladas en el caso anterior.
Otro escenario más complejo de detectar es cualquier enlace
encontrado en Internet, incluso en aquellos sitios considerados confiables.
Los atacantes tienen distintas formas de hacer aparecer un enlace a un
sitio apócrifo en una página legítima y confiable. Siempre que se pueda,
se debe ingresar de forma directa al sitio que buscamos y no a través de
enlaces, ni siquiera si se trata de sitios confiables y de uso habitual, como
por ejemplo Google.28 Muchos usuarios tienen la costumbre de escribir
en su navegador el nombre del sitio al que desean ingresar en lugar de su
dirección web, generando una búsqueda en el motor que esté
configurado por defecto y desde ahí, acceden al sitio que aparece
normalmente, como primer resultado.
A partir de la recomendación de desconfiar de los mensajes
recibidos y de los enlaces en sitios de Internet, a los usuarios sólo les resta
el conocimiento para inspeccionar cada sitio y determinar su veracidad,
aspecto que fue cubierto por el estudio realizado.
Para detectar si un enlace es legítimo es necesario comprender
dos aspectos: sus componentes y cómo se conforma una dirección web.
129
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Un enlace está compuesto por un conjunto de elementos visibles al
usuario: usualmente texto celeste subrayado, pero podría ser texto con
cualquier formato o una imagen, y la dirección a la que apunta. El engaño
suele estar en mostrar una dirección web como texto del enlace. De esta
forma pareciera que es la dirección a la que se redireccionará, pero es sólo
un texto. Para ver la verdadera dirección web a la que apunta un enlace se
debe poner el cursor encima de su contenido y el navegador mostrará en
su parte inferior la dirección.
El otro aspecto para analizar es si esa dirección a la que realmente
apunta el enlace es legítima. Para no ser engañados, los usuarios deben
corroborar que el dominio de la dirección sea el correcto. A continuación,
se muestra una imagen con la estructura de una dirección web, en la que
se detallan sus componentes.
Figura 16 - Componentes de una dirección web
Además de distinguir direcciones de sitios legítimos, los usuarios
deben estar en condiciones de detectar direcciones de correo ilegítimas.
130
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Este caso es más simple ya que todo lo posterior al carácter “arroba” (@)
de una dirección, es el dominio en cuestión.
Finalmente, se cierran las recomendaciones de esta sección con
un conjunto adicional de buenas prácticas ante un posible mensaje o sitio
web apócrifo. Para lograr distinguir frente a qué situación se encuentran,
la mejor opción es contactar al supuesto emisor por un medio alternativo
y en caso de haberse hecho efectivo el ataque por no haberlo detectado a
tiempo, se recomienda reportar el caso frente a la organización o persona
cuya identidad fue suplantada y ante las autoridades competentes. Luego,
para evitar un mayor compromiso de la información robada, se deben
adoptar las medidas pertinentes, como modificar las credenciales de
acceso o anular los datos de una tarjeta de crédito.
Por su parte, las organizaciones deben estar atentas frente a
posibles ataques de phishing porque además de la posibilidad de perder
información, suelen ser el punto de partida hacia ataques más sofisticados.
Una organización madura en este aspecto debe en primer lugar, realizar
mediciones respecto a la capacidad de sus empleados para detectar
eventuales ataques de phishing y en base a este diagnóstico, los
responsables de seguridad de la información deben intentar reducir
cualquier falencia. Para esto se pueden realizar jornadas presenciales o
virtuales de concientización, distribuir boletines de forma periódica y
realizar ejercicios de simulación en los que cuando los empleados sean
víctimas de un ataque ficticio, reciban una notificación con las
explicaciones pertinentes al caso. En Internet hay disponible abundante
material respecto a las campañas que pueden llevar a cabo las
131
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
organizaciones20 e incluso, herramientas que permiten gestionarlas de
forma simple y centralizada.
Para finalizar esta sección se dejan dos gráficos que sintetizan las
recomendaciones detalladas.
Figura 17 - Recomendaciones para combatir el phishing (usuarios)
20 Por ejemplo el Instituto Nacional de Ciberseguridad de España (incibe) comparte de forma gratuita un kit de
concienciación disponible en: https://www.incibe.es/protege-tu- empresa/kit-concienciacion. Stop. Think. Connect. también
tiene abundante material disponible incluyendo posters, hojas de consejos, videos, entre otras. Se
puede visualizar aquí: https://stopthinkconnect.cc/resources/landing/.
132
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Figura 17 - Recomendaciones para combatir el phishing (usuarios)
2.6 Futuras investigaciones y mejoras a la herramienta
2.6.1 Futuras investigaciones
Escala y muestreo
La primera posible investigación que podría dar continuidad a este
trabajo es la ampliación del uso de la herramienta desarrollada para un
grupo poblacional más extenso, es decir, su ejecución a mayor escala,
asegurando un muestreo representativo, a partir de lo cual podría
plantearse una campaña masiva de concientización, para analizar su
efectividad.
133
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Logrado esto en más de una región geográfica o inclusive más de
un país, se podrían comparar los resultados y analizar la experiencia de
aquellas regiones con usuarios mejor entrenados, para reproducir
eventualmente esas condiciones.
Otras modalidades del phishing y eficacia de capacitaciones
Se ha establecido que el phishing es cualquier ataque que
involucre una comunicación apócrifa con el fin de obtener datos del
receptor. Si bien este trabajo final de especialización se centró en la
identificación de sitios web fraudulentos por parte de los usuarios, otras
investigaciones podrían poner el foco en las diferentes formas que puede
tomar el ataque y medir la eficacia de capacitaciones propias para cada
tipo de ataque.
Comparación entre distintos dispositivos
Adicionalmente, podría adaptarse la herramienta para configurar
una actividad que, en lugar de comparar al usuario en mismas condiciones
antes y después de una capacitación, compare al usuario (igualmente
capacitado) navegando desde distintos dispositivos.
2.6.2 Mejoras en la herramienta
Durante el desarrollo del presente trabajo final de especialización
se identificaron numerosas mejoras posibles sobre la herramienta que no
pudieron ser incluidas por los tiempos y esfuerzos que demandaba su
implementación. Algunas de ellas se detallan a continuación.
134
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Modalidad de respuesta de sitios: mapa de imagen
La herramienta se diseñó con el objetivo de permitir que las
imágenes de los sitios de la actividad puedan ser respondidos con botones
(uno indica válido y otro, inválido). Otra opción posible es lograrlo invitando
a los participantes a presionar el botón “atrás” o el botón “cerrar” del
navegador, lo que representaría responder inválido, o el enlace o botón de
“iniciar sesión” propio del sitio en la imagen, en señal del reconocimiento
de un sitio válido. Esto hubiera permitido un accionar más realista por su
similitud respecto a lo que un usuario hace efectivamente al ingresar a un
sitio web.
Sitio responsivo
Se dice que un sitio es responsivo cuando selecciona el contenido
que muestra a los usuarios y su disposición en base al tamaño de sus
pantallas. El objetivo es buscar la mayor comodidad de los participantes
desde cualquier dispositivo con el que accedan a la herramienta. Esto se
considera crítico ya que algunos de los canales de distribución esenciales
son los mensajes instantáneos que los usuarios reciben en sus celulares.
Incluso utilizando un medio más estándar y formal como es el correo
electrónico, ya no se puede asumir que el mensaje será recibido desde una
computadora con pantalla grande.
135
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Módulo de informes
Para este trabajo se obtuvieron los informes y gráficos respecto a
las participaciones utilizando consultas a la base de datos del sistema y
aplicaciones de planillas de cálculos. Sería conveniente incorporar a la
herramienta un módulo con informes en el que se pueda seleccionar una
actividad y obtener la información pertinente. Podrían ser informes pre-
armados (incorporados en el desarrollo) o inclusive, mejorarse más aún,
permitiendo que el administrador cree modelos de reportes.
Vista previa para los administradores
En algunas situaciones a los administradores no les es sencillo
comprender cómo verá el participante lo que están configurando. Para
esto sería conveniente desarrollar una funcionalidad que les permita
previsualizar tanto sitios, preguntas y capacitaciones, así como
evaluaciones completas.
Selección de categorías jerárquicas
Tanto los sitios como las preguntas se clasifican utilizando una
estructura de categorías jerárquicas. Sería conveniente que, al momento
de su selección, el control permita visualizarlas en forma de árbol. Aquí se
podría analizar también la posibilidad de mostrar los elementos
(preguntas o sitios) que pertenecen a cada categoría en el árbol, lo que
podría resultar útil con la desventaja de que podría confundir a algunos
usuarios o incluso, sobrecargar sus navegadores.
136
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Rearmado de contenidos en página de introducción
Se sugiere repensar los contenidos de esta página debido a que
para muchos participantes resultó demasiado larga. Las opciones son
múltiples: cada actividad podría crear su propia página de introducción
completa; podría armarse una página estándar utilizando modificadores
(tokens) para introducir datos propios de una evaluación; o también podría
realizarse a la inversa, configurar cada página por separado y permitir
incrustar recursos para las secciones comunes.
Gestión de contenido de una actividad
Se podría segmentar la selección de sitios web y la de preguntas
para la actividad, agregando la opción de indicar si se buscará también en
sub-categorías. Por ejemplo, en lugar de incluir la pregunta “¿Cómo
gestiona sus contraseñas?” podría agregarse una al azar que pertenezca a
la categoría “Conocimiento de seguridad informática”. En la funcionalidad
actual de la aplicación se busca únicamente la categoría seleccionada y
no se puede elegir ampliar la búsqueda utilizando sus sub-categorías.
Situación de error
En caso de que ocurra un error mientras un participante realiza
una actividad, se permite continuar desde donde se encontraba. En la
versión actual del sistema, al realizar esto, el temporizador es reiniciado.
Este problema se relaciona con el siguiente punto.
137
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Inseguridad del temporizador
Por la naturaleza de las aplicaciones web, lo que realiza el usuario
se ejecuta en su dispositivo, específicamente en el navegador que tiene
instalado. Esta condición lo vuelve vulnerable ante usuarios maliciosos ya
que pueden manipular o incluso bloquear las ejecuciones del código.
Estas características aplican al temporizador de las actividades. Si
bien cada paso que avanza el usuario se persiste junto con la fecha y hora
del servidor para evitar la manipulación mencionada, el participante
podría manipular el temporizador y un usuario avanzado podría evitar que
se finalice la actividad al quedarse sin tiempo.
La alternativa más segura es manejar el temporizador desde el
servidor, pero eso implicaría realizar una cantidad de peticiones mucho
mayor sobrecargando tanto al mismo servidor, como al navegador del
cliente y a su conexión. Esta complejidad surge de las pausas que realiza
el temporizador para luego reanudar, en distintos momentos de la
actividad.
Auditoría
Se sugiere como posible mejora en el sistema, agregar auditoría
de los elementos críticos, persistiendo usuario y fecha-hora de creación y
de última modificación. Debería hacerse, como mínimo, con las
actividades, las preguntas, los sitios y las capacitaciones.
138
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Gestión de permisos
En este momento cualquier administrador dado de alta tiene
permisos absolutos sobre el panel de configuración. Deberían
implementarse permisos para cada funcionalidad y permitir configurar
qué se le otorga a cada uno.
Aspectos técnicos de seguridad21
Después de un análisis de seguridad, se detectaron las siguientes
posibilidades de mejora. Se aclara que no fueron implementadas por su
bajo nivel de criticidad y por falta de tiempo.
• Revelación de versión de ASP.NET MVC (ASP.NET MVC Information
disclosure). Las respuestas que envía el servidor a los clientes incluyen
una cabecera que indica la versión utilizada de dicho framework. Esto
debería evitarse.
• No se evita la renderización de las páginas dentro de un marco
(clickjacking). En las respuestas a las peticiones no se incluye una
cabecera que indique a los navegadores que el contenido no debe ser
renderizado dentro de marcos de otras páginas. Esto abre la posibilidad
de ataques de tipo clickjacking.
• Cookies sin indicador de “seguras”. Las cookies utilizadas por la
herramienta, para almacenar información en los navegadores de los
21 Se agradece especialmente al equipo del CERT de la UNLP por su aporte en el análisis de seguridad de la
herramienta.
139
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
usuarios, no incluyen el indicador de ser seguras. Esto genera que los
navegadores las incluyan en peticiones inseguras (sin canal SSL).
• Método OPTIONS habilitado. Con esta opción un cliente puede solicitar
al servidor que liste los métodos soportados, exponiendo
innecesariamente información de la comunicación entre los clientes y
el servidor.
140
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
3. Conclusiones
El estudio planteado en el presente Trabajo Final de
Especialización permitió comprobar que la herramienta desarrollada
cumple con las expectativas iniciales y que los resultados del análisis de
datos reafirman la importancia de concientizar y capacitar a los usuarios
para evitar ser víctimas de un ataque de phishing. Adicionalmente, se
pudo comparar distintos tipos de capacitaciones. Si bien la muestra del
estudio no es la ideal en tamaño y composición, es posible formular las
siguientes conclusiones.
En primer lugar, se observó la falta de conocimiento del tema;
incluso estando en plena era de la información, un 20% respondió que
nunca había escuchado sobre el phishing o bien, que conocían el término,
pero no su significado.
Si bien en el marco de los participantes que se dedican a la
seguridad de la información, el desconocimiento del tema es inferior, este
conocimiento pareciera ser meramente teórico ya que en la práctica
consiguieron promedios de aciertos levemente por encima del resto de
los participantes. Más aún, entre los que hicieron la primera secuencia de
imágenes de sitios completa y sin ningún error, la proporción de
participantes dedicados a la seguridad de la información es apenas 2
puntos porcentuales superior.
141
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Cabe acotar que entre el grupo que no necesitó realizar la
capacitación, las características promedio en cuanto a conocimientos
previos del phishing, edad, cantidad de tiempo que dedican a Internet,
etc., son similares a las del total de la muestra. Esto podría indicar que
quizás puedan existir otras características personales como la capacidad
de atención o de observación, que se relacionen más directamente con la
facilidad para detectar engaños de phishing.
Respecto a la velocidad de los legítimo o apócrifo, no se obtuvo
evidencia determinante en cuanto a la existencia de una mejora real.
Después de la capacitación los participantes parecen haber tomado más
tiempo para responder, lo que podría ser atribuido a una mayor atención
y/o a una más precisa búsqueda de indicios que antes pasaban por alto.
Sin embargo, en la segunda secuencia de imágenes fueron menos los
participantes que no pudieron completar los 8 sitios en los 2 minutos,
indicando que en este sentido sí existió una mejora.
El aspecto más destacable del estudio realizado es el que permite
concluir que a partir de la exposición a uno de los tres instrumentos de
capacitación utilizados, los participantes experimentaron una mejora
sustancial en su habilidad para evaluar sitios web. Efectivamente, el
porcentaje de mejora fue de un 13%, partiendo de un 67% de respuestas
correctas en la primera tanda al 80% en la segunda. Es dable destacar en
este sentido, que la actividad completa estaba pensada para realizarse en
no más de 15 minutos, por lo que la duración de la capacitación era
bastante acotada e incluso así, fue suficiente para generar estas mejoras.
El crecimiento es aún mayor si se toma a los participantes que no sabían
142
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
qué era el phishing antes de comenzar. Esto muestra cuán sencillo es
incorporar los aspectos mínimos y suficientes para defenderse de los
ataques más básicos.
Resulta interesante observar que, con independencia del
instrumento utilizado para capacitar, siempre se observan mejoras en la
cantidad de respuestas correctas, si bien los incrementos variaron según
cada modalidad. Se considera que el tamaño de la muestra y el hecho de
tener una única versión de cada instrumento de capacitación (una
infografía, un video y un artículo de lectura) no permiten concluir
fehacientemente cuál de los instrumentos fue más efectivo y, menos aún,
segmentar el público al que más efectiva le haya sido cada capacitación y
tratar de encontrar características en común en cada uno de estos grupos.
Sin embargo, la herramienta desarrollada permite obtener este tipo de
información que, en un proyecto a gran escala sería muy prometedora.
Otra conclusión a la que se pudo llegar es que el hecho de estar
familiarizado con un sitio web no necesariamente influye en la capacidad
del usuario para distinguir si es legítimo o un ataque de phishing.
En base a las mejoras de los participantes para identificar cada tipo
de engaño utilizado, es notable la diferencia entre los dos engaños que no
requieren conocimiento técnico y el que sí. Verificar que existe un
certificado HTTPS tuvo una mejora del 54%; revisar que no haya errores de
tipeo en la dirección web, un 45%. Sin embargo, que el nombre del sitio
sea realmente parte del dominio y no de otro componente de la dirección
web (subdominio, página o un parámetro) tuvo tan solo un 7% de mejora.
Se destaca también que para este último existió una diferencia notable a
favor de la capacitación a través del artículo de lectura.
143
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Si bien sería recomendable confirmar la siguiente conclusión
realizando este estudio en una muestra más numerosa y diversa, los
resultados obtenidos muestran que para los engaños más simples la
infografía y el video tienen un comportamiento similar o inclusive mejor
que el artículo de lectura, pero que respecto a los conocimientos más
técnicos la lectura muestra una mejor incorporación por parte de los
participantes.
Para cerrar el presente Trabajo y como conclusión, puede afirmarse
que el estudio realizado confirma que todo esfuerzo, por mínimo que sea,
realizado a nivel organizacional o personal para mejorar las capacidades
de detección de sitios web falsos, redundará en una mejora en las
habilidades de los usuarios para evitar ser víctimas del phishing.
144
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
4. Bibliografía Anti-phishing Working Group - APWG Phishing Attack Trends Reports.
(s.f.). Recuperado el 07 de 2017, de https://www.antiphishing.org/resources/apwg-reports/
Cisco - The Zettabyte Era: Trends and Analysis. (s.f.). Recuperado el 07 de
2017, de http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visualnetworking-index-vni/vni-hyperconnectivity-wp.html
Computer Weekly - How can organisations guard against phishing
scams? (s.f.). Recuperado el 08 de 2017, de http://www.computerweekly.com/opinion/How-can-organisations-guard-against-phishing-scams
Cyren - Phishing Infographic. (2016). Recuperado el 08 de 2017, de
http://www.cyren.com/tl_files/downloads/Phishing_infographic_print_r2.pdf
Dashlane - Infographic online overload its worse than you thought. (s.f.).
Recuperado el 07 de 2017, de https://blog.dashlane.com/infographic-online-overload-its-worse-than-you-thought/
Digital Guardian - Phishing Attack Prevention: How to Identify & Avoid
Phishing Scams. (s.f.). Recuperado el 08 de 2017, de https://digitalguardian.com/blog/phishing-attack-prevention-how-identify-avoid-phishing-scams
KPCB - Internet Trends. (s.f.). Recuperado el 07 de 2017, de
http://www.kpcb.com/internet-trends PHISH GUTS - The Anatomy of a Phishing Attack. (s.f.). Recuperado el 04 de 2018, de http://www.cyren.com/tl_files/downloads/Phishing_infographic_print_r2.pdf?utm_medium=digital_ad&utm_source=APWG_resources
Phishing.org - History of Phishing. (s.f.). Recuperado el 07 de 2017, de
http://www.phishing.org/history-of-phishing Phishing.org - Phishing Techniques. (s.f.). Recuperado el 07 de 2017, de
http://www.phishing.org/phishing-techniques
145
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Phishing.org - What is Phishing. (s.f.). Recuperado el 07 de 2017, de http://www.phishing.org/what-is-phishing
Rosiello, A. P. (s.f.). Blac Hat - Anti-Phishing Security Strategy Brief.
Recuperado el 08 de 2017, de http://www.blackhat.com/presentations/bh-europe-08/Rosiello/Presentation/bh-eu-08-rosiello.pdf
The World Bank- Individuals using the Internet (% of population). (s.f.). Recuperado el 07 de 2017, de
http://data.worldbank.org/indicator/IT.NET.USER.ZS Wombat Security - State of the Phish 2017. (s.f.). Recuperado el 08 de 2017,
de https://info.wombatsecurity.com/state-of-the-phish Xudong Zheng - Phishing with Unicode Domains. (s.f.). Recuperado el 07
de 2017, de https://www.xudongz.com/blog/2017/idn-phishing/
146
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
TALLERES PARTICIPATIVOS
147
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Implementación de una Infraestructura de Llave Pública con OpenSSL y NGINX
José Pablo Calvo Suárez
[email protected] https://orcid.org/0000-0002-3370-6435
Universidad Nacional Costa Rica
Abstract PKI (Public Key Infrastructure) is a set of tools, policies and
procedures that allow to deploy a secure channel between two parties. PKI’s objective is to protect all information that is carried through the network and guarantee that it cannot be retrieved by an unauthorized party and verify both source and destination identity before and during data transmission.
To develop a secure solution that uses PKI, it is necessary to make
use of digital certificates. OpenSSL is a library that contains several cryptographic algorithms by protocols such as TLS and SSL, and it also allows the creation and management of digital certificates. In this workshop a PKI system will be deployed using digital certificates created with OpenSSL and go through their installation on NGINX web server.
Resumen Infraestructura de llave pública (PKI) es un conjunto de
herramientas, políticas y procesos que permiten la implementación de un canal de comunicación seguro entre dos entidades. La finalidad de PKI es proteger la información que se transporta sobre una red para garantizar que no pueda ser accesada por personas no autorizadas, y también verificar la autenticidad tanto del emisor como el destinatario antes y durante el envío de datos.
Para llevar a cabo el desarrollo de una solución de seguridad que
utilice PKI, es necesario utilizar certificados digitales. OpenSSL es una librería que permite trabajar con diversos algoritmos de criptografía utilizados en protocolos como TLS y SSL y a través de la cual se pueden crear y gestionar certificados digitales. En este taller se llevará a cabo la implementación de un sistema PKI utilizando OpenSSL, y se mostrará la instalación de los certificados en un servidor web corriendo NGINX.
148
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Palabras clave: confidencialidad; integridad; privacidad;
autenticidad; criptografía. Introducción Uno de los pilares de seguridad en una infraestructura de sistemas
de información y comunicación es la confidencialidad: la capacidad de transmitir información por un medio de red sin que pueda ser interceptado y leído por entidades no autorizadas. La privacidad es sumamente importante ya que garantiza que los datos se mantengan ocultos durante la realización de transacciones electrónicas, principalmente cuando se trata de información sensible. Esto es relevante con el uso de redes públicas tales como Internet o cualquier otra red administrada por una organización ajena a nuestro entorno.
Además de la confidencialidad, otro aspecto fundamental de la seguridad de la información es verificar que el origen y el destino de los datos sea realmente la entidad que se espera. Así, se puede garantizar que el intercambio de datos se realice únicamente entre las partes autorizadas.
La infraestructura de clave pública (PKI por sus siglas en inglés), es
un marco de referencia utilizado para implementar medidas que permitan el intercambio de información entre partes de manera segura, basado en los principios de confidencialidad e integridad y garantizando la autenticidad de los distintos actores durante la comunicación. Este tipo de implementaciones se lleva a cabo cuando es necesario validar la identidad de un servicio en la red y así evitar un posible robo de información, principalmente en transacciones que contienen información sensible. PKI es ampliamente utilizado en plataformas web y servicios de firma digital.
Hoy en día se han vuelto cada vez más comunes las transacciones
mediante mecanismos digitales (por ejemplo, en la web) y de ahí radica la importancia de mantener una infraestructura de red robusta y segura, así como en los distintos servicios que aloja. La información que viaja en la red contiene información muy sensible para los usuarios (información personal, números de tarjetas de crédito, contraseñas, etc.) y es fundamental asegurar la integridad y privacidad de los datos.
Objetivo General
149
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
• Desarrollar habilidades básicas para la creación y mantenimiento de certificados digitales en una infraestructura de llave pública.
Objetivos Específicos • Identificar los principales elementos de una infraestructura de
llave pública. • Comprender el rol de los certificados digitales en la transmisión
de datos en la red para garantizar la confidencialidad, integridad y autenticidad.
• Crear y administrar certificados digitales utilizando OpenSSL. • Instalar un certificado digital en un servidor web basado en NGINX
para proporcionar trasmisiones de datos seguras a través del protocolo HTTPS.
Metodología Durante el desarrollo del taller se realizarán actividades en las
cuales los participantes seguirán un conjunto de instrucciones paso a paso para instalar y configurar la librería OpenSSL junto con el servidor web NGINX. Así mismo, se crearán certificados digitales utilizando el estándar X.509v3, y se procederá a firmarlos de dos maneras: a través de un CA (simulando el proceso que se efectúa cuando una autoridad certificadora valida los certificados digitales de una organización) y de manera “self-signed”. Es importante destacar que la implementación PKI en el taller será simple y no se trabajará con todos los escenarios posibles. El trabajo para realizar se enfoca principalmente en:
• La creación e instalación de un certificado digital validado por una
autoridad certificadora (CA) para realizar transacciones en un servidor web de manera segura a través de HTTPS. Esta es la opción más común en la implementación de servicios web seguros. En este tipo de configuración solamente se autentica la identidad del servidor.
• La creación e instalación de un certificado digital “self-signed”
para realizar transacciones en un servidor web de manera segura a través de HTTPS. Este tipo de implementación es utilizada principalmente en servicios que son privados en la organización y que no requieren controles exhaustivos de autenticación. Al igual que en el caso anterior, solamente se autentica la identidad del servidor.
• La creación e instalación de dos certificados digitales: uno para autenticar el servidor y otro para autenticar el cliente. Usualmente se conoce como autenticación de SSL dos vías (two-way SSL).
150
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Para verificar que la implementación funciona de manera correcta,
se procederá a instalar los certificados digitales tanto en el servidor web como en el navegador de acuerdo con los requisitos de cada escenario, y se accederán a los sitios configurados de manera segura.
Aunque la naturaleza del taller es práctica y cada asistente
participará de manera activa durante la configuración, se abordarán los principales conceptos relacionados con la configuración de PKI y los componentes de los certificados digitales durante todos los pasos del proceso. Es posible que también se expongan conceptos básicos relacionados con criptografía cuando se considere necesario.
Conclusiones
Dada la naturaleza insegura de muchos de los protocolos que
operan actualmente en Internet y que se encargan del transporte de datos entre el origen y el destino, se han tratado de incorporar soluciones de seguridad que permitan operar sobre la infraestructura de red existente con la menor cantidad de cambios posible. Como parte de esas soluciones se ha desarrollado PKI: un conjunto de políticas, procedimientos, tecnologías, entre otros, que permite el intercambio de información de manera segura entre usuarios finales o dispositivos y que además permite verificar la identidad de los actores involucrados en la comunicación. PKI proporciona confidencialidad, integridad y autenticación.
Es importante conocer el rol de los certificados digitales como
parte de PKI, para identificar amenazas como la falsificación de sitios web o correos electrónicos enviados por personas no autorizadas. Los profesionales en seguridad de tecnologías de la información, y en menor medida, los usuarios, deben comprender los principales conceptos de una infraestructura de llave pública para distinguir posibles transacciones fraudulentas que comprometan la privacidad o el posible robo de información con fines criminales.
Al concluir las actividades del taller, los participantes no solamente
podrán comprender de manera integral algunos de los principales componentes de PKI sino que les permitirá desarrollar habilidades para implementar en pequeña escala mecanismos para el transporte de datos de manera segura mediante el uso de certificados digitales.
151
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
152
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
Referencias Anderson, R. J. (2008). Security Engineering (Segunda ed.). Indianapolis:
Wiley Publishing, Inc.
DeJonghe, D. (2019). NGINX Unit Cookbok. Sebastopol, CA: O'Reilly Media
Inc.
Easttom, C. (2016). Computer Security Fundamentals (Tercera ed.).
Indianapolis: Pearson Education.
Gibson, D. (2016). Systems Security Certified Practitioner Exam Guide
(Segunda ed.). New York: Mc Graw Hill Education.
Ristic, I. (2015). OpenSSL Cookbook (Segunda ed.). London: Feisty Duck
Limited.
153
Me
mo
ria I C
on
gre
so In
tern
acion
al
de
Cib
erse
gu
rida
d y S
ocie
da
de
s Hip
erco
ne
ctad
as
