Вы находитесь на странице: 1из 32

no.

20
Direccin General

Ulises Castillo Hernndez

Editor en jefe

Hctor Acevedo Jurez

Consejo Editorial

Ulises Castillo Hernndez


Priscila Balczar Hernndez
Hctor Acevedo Jurez
Elia Fernndez Torres

Colaboradores

Sanjiv Agarwala
Ricardo Al Barrera Arteaga
Fabin Descalzo
Giovanni Guzmn de Len
Manolo Palao
Marcos A. Polanco Velasco
Dr. Katalin Szenes
John Walker

Marketing y Produccin
Karla Trejo Cerrillo
Sofa Mndez Aguilar

Correctora de estilo

Adriana Gmez Lpez

Diseo

Silverio Ortega Reyes

Contenido
AO 7, NMERO 1, 2016

4 Editorial

4 2016: no hay que bajar la guardia


Hctor Acevedo Jurez

6 Conexiones
6 Cierre de proyectos desde

seguridad de la informacin y
cumplimiento
Fabin Descalzo

8 An pides ayuda para enviar un

correo cifrado? Conoce lo que hay


detrs
Ricardo Al Barrera Arteaga

14 El recurso humano como

vulnerabilidad y fuente de
explotacin en la seguridad de TI
Giovanni Guzmn de Len

20 Lo desconocido

de lo desconocido de OSINT
John Walker

22 22 CiberSeguridad

La ciberinteligencia como habilitador


de la ciberseguridad
Marcos A. Polanco

10 Opinin

10 Evaluacin manual de la

seguridad de aplicaciones
Sanjiv Ariwala

16 Governanza, riesgo y seguridad


Dr. Katalin Szenes

28 Ciudades inteligentes. Internet de


las cosas y herencia
Manolo Palao

Magazcitum, revista trimestral de Scitum S.A. de C.V. Ao7, nmero 1, 2016. Editor responsable: Hctor Acevedo Jurez. Nmero de Certificado de Reserva otorgado
por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Nmero de certificado de Licitud de Ttulo y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827.
Domicilio de la Publicacin: Av. Insurgentes Sur 3500, piso 2, col. Pea Pobre, C.P. 14060, Mxico, D.F. Impreso en: Rouge & 21 S.A. de C.V. Av. Rmulo OFarril # 520
int 5 Col. Olivar de los Padres Mxico DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. Mxico D.F. Magazcitum,
revista especializada en temas de seguridad de la informacin para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de
la seguridad de la informacin. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseo grfico y el contenido propietario de Magazcitum son derechos reservados
por Scitum S.A. de C.V. y queda prohibida la reproduccin total o parcial por cualquier medio, sin la autorizacin por escrito de Scitum S.A. de C.V. Fotografas e
ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde est indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus
respectivos dueos. La opinin de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.
Para cualquier asunto relacionado con esta publicacin, favor de dirigirse a contacto@magazcitum.com.mx

2016

2016: no hay
que bajar la
guardia
Hctor Acevedo

CISSP, CISA, CGEIT, ITIL y MCSE


hacevedoj@scitum.com.mx

Empieza otro ao y es hora de ver cules sern los temas ms importantes en


seguridad informtica durante los prximos meses. Por ello, echamos un
vistazo a lo que dicen algunos analistas de la industria y encontramos que estos
son los 5 temas que ms aparecen en sus pronsticos:
1. IoT (Internet of Things) y seguridad en aplicaciones mviles.
2. El rol de la geopoltica, los estados nacionales como atacantes y la ciber
disuasin.
3. Seguridad en la nube.
4. Cibercrimen, especialmente lo relacionado con Ransomware.
5. Vulnerabilidades en Open Source.
4

De la lista anterior se desprende que la


estrategia para lograr la seguridad de
la informacin debe mantener todos
los elementos tradicionales, que no
desaparecen, pero tambin es
importante incorporar lo necesario
para enfrentarnos a las nuevas
vulnerabilidades y amenazas que
surgen de extender la red a ms y ms
aspectos de nuestra vida diaria.
Conscientes de ello, en Magazcitum
mantenemos el esfuerzo de
divulgacin y damos una cordial
bienvenida a nuevos colaboradores de
diversos rincones del mundo: Katalin
Szenes (Hungra), Jhon Walker (Reino
Unido) y Sanjiv Agarwala (India), a
quienes agradezco profundamente su
apoyo y entusiasta colaboracin.
Por favor no dejen de visitarnos en
nuestro sitio Web
(www.magazcitum.com.mx)
pues para nosotros es relevante saber
qu temas les resultan interesantes.
Como siempre, muchas gracias por
acompaarnos.

Atentamente
Hctor Acevedo Jurez
Editor en jefe

La actividad de verificacin de
cumplimiento est directamente
relacionada con la terminacin del
proyecto y por ello se debe identificar
e incluir en el plan de lnea base. Estas
tareas abarcan organizar y archivar
documentacin del proyecto, como
evidencias, excepciones, manuales
operativos y tcnicos, instructivos, y
cualquier otra informacin a utilizar
tanto en la fase productiva como en
las acciones de monitoreo, control y
auditora por parte del personal de
reas de seguridad de la informacin
y cumplimiento.

Cierre de
proyectos
desde seguridad de la
informacin y cumplimiento
Fabin Descalzo

CERTS
fabiandescalzo@yahoo.com.ar
Ante cualquier proyecto de TI, ya sea que est relacionado con el desarrollo de
software, interfaces informticas, modificaciones o implantaciones de activos
informticos, es necesario definir la informacin y registros necesarios como
respaldo de certificacin del cierre de proyecto, y adicionalmente para el
aseguramiento del traspaso de la operacin de seguridad aplicativa. Como
complemento de estas dos condiciones y para realizar el cierre formal, se debe
completar la actividad de verificacin de cumplimiento que incluya las
siguientes tareas principales:

Recoleccin de evidencias de pruebas en los diferentes ambientes y durante


todo el ciclo de vida del proyecto.

Definicin de la matriz de riesgos del aplicativo o activo informtico, con su


anlisis correspondiente.

Metodologa documental para las excepciones surgidas.


Definicin de la estrategia de traspaso de operacin de seguridad lgica.
Biblioteca de manuales operativos para la gestin de seguridad aplicativa.

Al cerrar el proyecto, el gerente de


proyecto debe revisar toda la
informacin de los cierres de fases
anteriores, para estar seguro de que
se tiene toda la informacin necesaria.
Se debe verificar, documentar y
obtener evidencia de:
1. Los controles, surgidos de un
anlisis de riesgos, a implantar en
los sistemas, identificando y
evaluando las interdependencias
entre el nuevo sistema y los otros
que se encuentran en el entorno
de explotacin (mapa de
interfaces).
2. La incorporacin de rutinas y
controles que contemplen tanto
los requerimientos del negocio
como los de seguridad de la
aplicacin o activo informtico. Las
rutinas y controles a considerar en
todas las aplicaciones deben ser:
a. Agregado o limitacin de
funcionalidades.
b. Modificacin de informacin.
c. Deteccin y correccin de
errores.
d. Prevencin de ejecucin
desordenada de rutinas.
e. Recuperacin frente a errores.
3. Que se hayan considerado los
controles de autenticacin y
autorizacin dentro de las
aplicaciones, que los mismos sean
centralizados y obligatorios,
conforme lo haya definido el
dueo del sistema.

4. Que aquellas funcionalidades que no estn permitidas a los usuarios sean


deshabilitadas para evitar violaciones en la estrategia de seguridad en
activos informticos.
5. Que exista una capa de acceso seguro entre la informacin interna de la
aplicacin y las interfaces externas, lo que implicara que todas las
comunicaciones ocurren a travs de caminos confiables. Internet y las redes
inalmbricas son ejemplos de redes no confiables.
6. Que los procesos, cuentas y permisos estn diseados para que se
ejecuten con los mnimos privilegios necesarios.
7. La implementacin de salvaguardas a nivel de procedimiento mediante la
segregacin de tareas, bajo el concepto de control doble o por oposicin
de intereses, para evitar fallos en los procesos que pudieran tener un
impacto econmico o regulatorio.

Gestin de identidades y accesos

(roles y perfiles asociados a la


aplicacin, tipo de autorizaciones de
acceso y detalle de ejecucin de
ABC de cuentas de usuario).

Gestin de pistas de auditora y

reportes (administracin de
bitcoras, desde la configuracin de
opciones de generacin hasta su
recoleccin).

8. Segregar adecuadamente la nmina de roles y perfiles resultantes del


mdulo de seguridad de la aplicacin.
9. Los registros obtenidos de las pruebas de seguridad que incluyan
fundamentalmente los siguientes aspectos:
a. Autenticacin
b. Autorizacin
c. Certificados
d. Firewalls y otros mtodos de control de acceso a redes
e. Visualizacin y configuracin de opciones de seguridad
f. Cifrado y control de transmisin
g. Control de interfaces
10. Los registros obtenidos de los casos de prueba debern incluir tanto la
informacin esperada como no esperada, para asegurar que los controles
de validacin sean efectivos.
11. Todas las pruebas realizadas a modificaciones, mejoras considerables y
los sistemas nuevos deben estar debidamente documentadas previamente
a la instalacin del software en ambiente productivo, y recibir la aprobacin
para su implantacin por parte del dueo de la aplicacin, sistema o
informacin.
Importante: La documentacin de las pruebas y de las vulnerabilidades
identificadas de los sistemas y aplicaciones deber protegerse de manera
adecuada.

Transicin de la administracin de seguridad aplicativa


El documento de cierre de proyecto debe incluir un captulo en el que se
desarrolle el proceso de traspaso de la administracin de la seguridad de la
aplicacin. Este captulo debe estar consensuado con el personal de seguridad
de la informacin responsable de la futura administracin.
En este punto se debe agrupar la informacin administrativa en un documento
que podra denominarse "Manual de Operacin de Seguridad", que incluya la
informacin relacionada con los siguientes procesos:

Gestin de configuracin de la seguridad (mdulo y opciones de


aseguramiento de la aplicacin o activo informtico).

Conclusin
Estas actividades de cierre propuestas,
y que deben considerarse por parte de
seguridad de la informacin y
cumplimiento, aportarn a los
proyectos:

Garantizar la certificacin por parte

de las reas de Seguridad


Informtica en los aspectos referidos
al aseguramiento de la
confidencialidad, integridad y
disponibilidad de la informacin.

Asegurar la condicin de

cumplimiento (compliance) del


resultante de cada proyecto, con el
marco regulatorio y la poltica de
seguridad establecida por la
organizacin.

Establecer condiciones de

seguridad, control y auditora en


forma anticipada con otras reas o
terceros que deben administrar u
operar el activo de informacin o
aplicacin en produccin.

2016

An pides
ayuda para
enviar un correo
cifrado?
Conoce lo que hay
detrs

Ricardo Al Barrera Arteaga


PGP Key ID: AAD259C3
SANS GCIH, ITIL y FSE
rbarrera@scitum.com.mx

Hoy en da tenemos la necesidad de preservar la privacidad de nuestras


comunicaciones, ya sea por cumplimiento a normas internacionales como ISO/
IEC 27001, apego a polticas institucionales, o bien por iniciativa o paranoia
propia. Con el afn de satisfacer esta necesidad, en nuestra mente se ilumina la
palabra criptografa.
Etimolgicamente la palabra proviene del griego crypto, que significa oculto,
y graphos, que significa escritura, por lo que criptografa puede definirse
como El arte de la escritura oculta, que consiste en transformar un mensaje de
texto claro en un mensaje cifrado, con la finalidad de garantizar que solo las
personas o partes autorizadas sean capaces de leer el mensaje y de este modo
mantener la confidencialidad, integridad y autenticacin del mensaj e.1
La necesidad de comunicar informacin de forma confidencial se ha hecho
presente en diferentes pocas de la historia; por ejemplo, en el siglo V a.C. los
griegos hacan uso de una tcnica que consista en enrollar cinta de tela o
papiro a lo largo de una vara, una vez enrollado, se escriba el mensaje
confidencial de forma longitudinal.
8

Al momento de desenrollar la cinta solo


se vea una serie de letras sin sentido e
interpretacin. Para visualizar (descifrar)
el mensaje original se requera contar
con una vara con las mismas
dimensiones fsicas de la vara original
utilizada para cifrar el mensaje y enrollar
nuevamente la cinta con el mensaje
cifrado a lo largo de la vara. En esencia, a
este tipo de cifrado se le conoce como
cifrado por transposicin y, dado que
tanto para cifrar como para descifrar se
requiere contar con una vara con las
mismas dimensiones fsicas, se asume
que utiliza un mtodo de criptografa
simtrica.

jo
Ba
le"
yta
k
"S
to:
Fo

ons
mm
Co
a
i
ed
kim
Wi
de
a
i
nc
lice

En el campo de la
criptografa identificamos tres
principales mtodos: criptografa
simtrica, asimtrica, e hbrida.
Criptografa simtrica: se refiere al uso
de una misma clave tanto para cifrar
como para descifrar un mensaje. La
principal vulnerabilidad de este mtodo
reside en la forma en que ambas partes
(remitente y receptor) intercambian o se
ponen de acuerdo en la clave de
descifrado, por ejemplo, por telfono
diciendo en voz alta La clave es y
exponindolo a cualquier oyente o, peor
an, escribir la clave de descifrado
usando el mismo medio por el que viaja
nuestro mensaje confidencial (por
ejemplo el tpico correo que dice algo
tipo Adjunto encontrar el archivo
solicitado, cifrado para su seguridad, y la
clave para abrir el archivo es xxx).
Lo realmente catico aparece cuando no
existe una cultura de seguridad, y se
utiliza la misma clave para tener acceso a
diferentes sistemas o servicios
informticos, de tal modo que si la clave
se compromete puede ser utilizada para
alimentar diccionarios de contraseas y
posteriormente posibilita que un
atacante realice ataques de fuerza bruta
o ataques de diccionario, con altas
probabilidades de xito contra un
acceso no autorizado.

Criptografa asimtrica: se refiere a la


generacin y uso de dos claves,
llamadas clave pblica y clave privada,
en las que ambas tienen una estrecha
relacin matemtica y entre sus
propiedades presentan la capacidad
de garantizar no solo la
confidencialidad de los mensajes, sino
tambin la integridad, autenticacin y
no repudio. Uno de los puntos que
pretende subsanar la criptografa
asimtrica es el intercambio de claves
de descifrado de una manera segura,
sin caer en los puntos vulnerables del
intercambio de claves de la criptografa
simtrica.
Criptografa hbrida: se refiere al uso
combinado de la criptografa simtrica
y asimtrica, como es el caso de PGP
(Pretty Good Privacy), aplicacin
utilizada para cifrado y firmado digital
de correos electrnicos. Con este
mtodo de cifrado se pretende
obtener los beneficios de ambos
mtodos: rapidez en el cifrado (virtud
de la criptografa simtrica) y garantizar
la comparticin segura de claves (virtud
de la criptografa asimtrica).

1. Asegurando mis mensajes


de correo electrnico
Con la finalidad de dotar de seguridad
al intercambio de correos electrnicos
es necesario utilizar algn software
como PGP, programa desarrollado por
Phil Zimmermann en 1991 y que en
2010 fue adquirido por la firma
Symantec Corp. Y del cual hay
alternativas sin costo como GPG (GNU
privacy guard).
Con PGP/GPG obtendremos dos
capacidades para el intercambio de
correos electrnicos:
a) Cifrado de mensajes de correo:
permite garantizar la
confidencialidad de los mensajes.
Esto es, que nicamente las
personas o partes que conozcan la
clave de descifrado pueden tener
acceso al mensaje confidencial.

b) Firma digital: permite garantizar dos propiedades: 1.- Autenticacin,


validar que quien enva un mensaje es quien dice ser y con esto sustentar
el no repudio; y 2.- Integridad, validar que el mensaje no ha sufrido
alteraciones durante su transmisin, y con ello se garantiza que el mensaje
es ntegro.
Durante el proceso inicial de instalacin de este tipo de aplicaciones se
generar el par de claves (privada y pblica) y una frase de paso o
passphrase, las cuales sern vitales para el correcto cifrado o firmado
digital de los correos electrnicos. La frase de paso es una especie de
contrasea que desempea varias funciones; la ms importante es que
nos permite tener acceso a nuestra clave privada para hacer uso de ella, ya
sea para el descifrado de mensajes o bien para el firmado digital.

1.1 Cifrando mis mensajes de correo electrnico


Si la accin que deseamos emprender es cifrar nuestros mensajes de correo
electrnico, entonces debemos saber que:
a) La clave privada NO se debe compartir con nadie, solo el dueo de la
clave la debe tener pues esta se usa durante el proceso de descifrado.
b) La clave pblica debe ser conocida por todos aquellos que deseen
enviarnos correos cifrados. Durante el proceso de cifrado la clave
pblica se utiliza para cifrar un mensaje hacia un destinatario. Por ejemplo,
si Romeo desea enviar un correo cifrado a Julieta, Romeo deber conocer
la clave pblica de Julieta para cifrar el mensaje con la clave pblica de
Julieta, de tal manera que solo Julieta podr tener acceso al mensaje ya
que solo su llave privada puede descifrar algo procesado con su llave
pblica.

1.2 Firmado digital de mensajes


Si la accin que deseamos emprender es firmar digitalmente nuestros
mensajes de correo electrnico, entonces lo que debemos saber es que:
a) La clave privada se usa durante el proceso de firma digital. Por
ejemplo, si Romeo desea firmar digitalmente un mensaje a Julieta, deber
utilizar su clave privada (clave privada de Romeo) sobre el mensaje.
b) La clave pblica se usa para la autenticacin y no repudio de un
mensaje firmado digitalmente: una vez que Julieta recibe un mensaje
firmado digitalmente de Romeo, deber utilizar la clave pblica de Romeo
sobre el mensaje recibido para estar segura que dicho mensaje es ntegro
y realmente proviene de Romeo.
Referencias:
http://niccs.us-cert.gov/glossary#letter_c

http://www.australianscience.com.au/
technology/a-scytale-cryptography-ofthe-ancient-sparta/
Garfinkel, Simson. PGP Pretty Good Privacy
O'Reilly & Associates, Inc., 1995. ISBN
1-56592-098-8

International PGP Home Page


- http://www.pgpi.org/

Foto: Skytale. Licensed under CC


BY-SA 3.0 via Wikimedia
Commons, https://commons.
wikimedia.org/w/index.
php?curid=1698345

2016

Evaluacin
manual de la seguri
Sanjiv Ariwala

de aplicacion

Las aplicaciones son vitales para muchas organizaciones, cada vez ms y ms


dependen de ellas para mantener un crecimiento continuo. Con el mayor uso de las
tecnologas y el incremento del nmero de telfonos inteligentes y usuarios de PDA
(asistentes digitales personales), muchas aplicaciones han sido movidas a estos
dispositivos como una App. Y con la popularidad de implementaciones basadas en
la nube, el concepto de software como un servicio (SaaS) se ha convertido en la
tendencia actual.
Cada vez ms negocios cuentan con aplicaciones basadas en la Web, por lo que el
desarrollo e implementacin de aplicaciones de este tipo se ha vuelto ms popular.
Los negocios requieren asegurar una proteccin adecuada de la informacin crtica
dentro de las aplicaciones, tanto de usuarios internos como externos, para infundir
confianza y proporcionar seguridad a los clientes y personas interesadas
(stakeholders). La seguridad de aplicaciones est ganando la atencin de la alta
gerencia en muchas organizaciones, y con la creciente popularidad de los
dispositivos mviles y los servicios de cmputo en la nube, dicha seguridad ha
cobrado mayor relevancia, dado que las mismas funcionalidades estn ahora siendo
replicadas en App mviles que pueden ser fcilmente descargadas por los usuarios
e incluso por gente malintencionada.
Este artculo est dirigido a las aplicaciones de negocio y su seguridad. A pesar de
que existen muchas herramientas, incluyendo programas gratuitos (freeware) que
pueden detectar vulnerabilidades, especialmente para aplicaciones Web, este texto
est enfocado en la valoracin manual (no basada en herramientas) para cualquier
tipo de aplicaciones de negocio y en cmo sacar mejor provecho de los esfuerzos al
respecto.
Retos y escenarios clave en los que la evaluacin manual de la seguridad de
aplicaciones es til:

Se prohben herramientas en el ambiente de produccin. La organizacin puede

tener una poltica que prohba el uso de herramientas de hackeo y penetracin en


el ambiente de produccin, o no est dispuesta a correr el riesgo por los cambios
accidentales que pudieran generar esas herramientas.

Se tiene una aplicacin antigua (legacy) o que no est basada en la Web. La

mayora de las herramientas de anlisis y evaluacin de la seguridad de


aplicaciones son especficamente para ambientes Web. Cuando se enfrenta una
aplicacin de tipo legacy o no basada en Web, lo mejor es utilizar tcnicas
manuales de evaluacin de seguridad.

10

Lo que se busca es identificar fallas lgica

automatizadas, especialmente las de eva


ayudan a localizar errores en la lgica de
los datos sensibles de una tarjeta de crd
deben ser visibles en texto plano para cie
si esta informacin es cifrada o enmascar
utilizando herramientas automatizadas. D
producidas por errores lgicos que pudie
localizarlas con un enfoque manual.

Cules son las limitaciones de la evalua


aplicaciones?

Un enfoque manual ser una tarea tedios

gran nmero de pginas, pantallas, forma

La evaluacin manual de seguridad de ap

habilidades de la persona que lleva a cab


automticas en las que los patrones o firm
e identificados automticamente, las tcn
comprensin y localizacin de las vulnera

Puede haber el riesgo de que algunos pr

no sean detectados debido a error huma

Cmo obtener el mayor beneficio


seguridad de aplicaciones?

No hay un nmero limitado de pruebas que


aplicacin; sin embargo, estas son algunas d

1. Dedicar tiempo de calidad para compre


procesada por la aplicacin.
Para los usuarios del negocio no importa
tcnicos se observen y reporten en una
cul informacin crtica del negocio est
experiencia prctica, dedicar tiempo de
mejorar la valoracin/evaluacin de la se

idad

nes

as del negocio. Las herramientas


aluacin de seguridad de aplicaciones, no
el negocio. Por ejemplo, PCI DSS exige que
dito, como el nmero de dicha tarjeta, no
ertos usuarios de la aplicacin. Ahora bien,
rada, es probable que no sea fcil validarla
De manera similar, las fallas en aplicaciones
eran conducir a fraude, es mejor

acin manual de seguridad de

sa y costosa si las aplicaciones corren en un


atos y opciones en mens.

plicaciones depende mucho de las


bo la tarea. A diferencia de las herramientas
mas de ataque pueden ser preconfigurados
nicas manuales realmente involucran la
abilidades en la aplicacin.

roblemas de seguridad en las aplicaciones


ano o a falta de tiempo.

o de la evaluacin manual de

e puedan ser llevadas a cabo en una


de las tcnicas ms tiles:

ender la informacin crtica del negocio

a cuntas vulnerabilidades y problemas


aplicacin, si dicho reporte no demuestra
realmente en riesgo. En nuestra
e calidad a esta actividad ayuda mucho a
eguridad.

Entrevistar usuarios del negocio y utilizar diagramas de flujo de datos facilita la


identificacin de los escenarios ms probables en los que la confidencialidad,
integridad y disponibilidad de dicha informacin podra ser un gran problema. De
la misma manera, es importante comprender si las aplicaciones en cuestin
reciben alguna informacin de otras aplicaciones o como entrada de algn archivo
plano u otros mecanismos.
2. Buscar manuales de usuarios y otra documentacin relacionada con la aplicacin.
Los manuales podran explicar cmo la aplicacin puede utilizarse desde el punto
de vista de un usuario. Si se tratara de una aplicacin compleja, se tendra suerte si
se encontrara un manual de administracin del sistema. Si la aplicacin ha sido
desarrollada en casa, se deberan requerir diversos documentos creados durante
el ciclo completo de vida del desarrollo de software. La clave a resaltar es que
cuando se estn revisando estos documentos se est buscando informacin til
que ayude a comprender ampliamente el diseo de seguridad de la aplicacin o
sus componentes arquitectnicos.
3. Verificar si existe un escenario de prueba (test setup) para la aplicacin evaluada.
Aunque usted realmente no va a evaluar el escenario de prueba, lo he encontrado
muy til en mis evaluaciones manuales, en las que las herramientas no estn
disponibles, ya sea porque se trata de un sistema legacy o porque la aplicacin no
est basada en la Web. Por su naturaleza misma, dado que se trata de un
escenario de prueba, se puede arriesgar ingresando basura y elaborar tantas
pruebas negativas como se desee.
Si usted considera necesario familiarizarse an ms con la aplicacin, en cualquier
momento puede solicitar ayuda de los usuarios del negocio para hacer una rpida,
pero completa revisin de la aplicacin. Por ejemplo, en una de nuestras
evaluaciones identificamos un escenario de bypass de autenticacin, en el que a
un usuario normal le fue proporcionada una pantalla opcional para cargar un
archivo y esta pantalla estaba destinada nicamente a usuarios privilegiados. El
equipo de desarrollo del cliente no estaba convencido de que los usuarios
normales pudieran cargar archivos, pues esto haba sido programado nicamente
para usuarios privilegiados. Sin embargo, cuando demostramos exitosamente la
posibilidad de dicha situacin en el escenario de prueba, capt la atencin del
equipo de desarrollo.
4. Integre el enfoque basado en riesgos en su evaluacin manual de seguridad de
aplicaciones.
Encontramos muy til el enfoque basado en riesgos en todos nuestros proyectos
de evaluacin manual de seguridad de aplicaciones. En este tipo de enfoque, se
pueden identificar los riesgos de la aplicacin en trminos de amenazas/
vulnerabilidades y su correspondiente probabilidad e impacto, y las reas de alto
riesgo resultantes son las primeras en ser evaluadas con mayor nfasis. Por
ejemplo, si se trata de una aplicacin con requerimientos regulatorios de mucho
peso, entonces el violar alguno de esos requerimientos regulatorios sera un rea
de alto riesgo. De modo similar, si la aplicacin est procesando informacin de
identificacin personal o informacin sensible, entonces todos esos mdulos
dentro de la aplicacin, los cuales administran las entradas, procesamiento,
almacenamiento y salidas que tienen que ver con esa informacin son reas de
alto riesgo y deben evaluarse primero.
En una de nuestras evaluaciones de seguridad de una aplicacin desarrollada en
casa, utilizada para el procesamiento de tarjetas de dbito y de datos de tarjetas
ATM, al utilizar el enfoque basado en riesgos se pudo identificar la existencia de
puntos crticos dentro de la aplicacin, en la cual la confidencialidad de los datos
se estaba perdiendo, de tal manera que realizamos pruebas enfocadas a la
aplicacin para demostrar cmo la informacin confidencial se encontraba
disponible por un muy corto tiempo para otros usuarios no autorizados.

2016

11

5.Cuente con una lista de revisin bsica de la evaluacin de seguridad y adptela a la aplicacin especfica.
Es recomendable contar con un checklist bsico, el cual se deber probar para cada aplicacin y, con base en su
propio estudio de la aplicacin especfica, podr adaptarla. Si se trata de una aplicacin basada en Web, entonces
podr encontrar guas excelentes disponibles en el sitio Web de OWASP, las cuales pueden utilizarse para llevar a
cabo las pruebas e integrarse al checklist bsico. En cambio, si se trata de una aplicacin no basada en la Web,
entonces se puede iniciar con un checklist bsico, como el mostrado a continuacin, y adaptarlo a sus propias
necesidades:
Validacin de entradas y salidas
Nm.

Descripcin

S / No / NA

La validacin de entrada se lleva a cabo cada vez que los datos son recibidos por una funcin y sus parmetros?

La validacin acepta las entradas diversas, basadas en el tipo de datos, formatos y longitudes mximas/mnimas?

La aplicacin valida las entradas tanto del lado del cliente como del lado del servidor?

La aplicacin valida SQL Injection y otros tipos de ataques de entradas?

Todas las salidas visibles estn basadas en los roles de usuarios, segn se definen en la aplicacin?

Los roles y cuentas de usuario utilizadas en la aplicacin han sido configuradas considerando el principio de mnimo privilegio?

La aplicacin restringe el nmero de intentos fallidos de acceso?

Existe una poltica de contraseas estricta o un mecanismo de autenticacin construido dentro de la aplicacin?

Los tokens relacionados con autenticacin, tales como cookies, se transmiten a travs de conexiones seguras?

La informacin de autenticacin est cifrada?

Existe informacin de autenticacin codificada (hard-coded) dentro de la aplicacin?

Cules son los algoritmos de criptografa utilizados por la aplicacin para requerimientos de cifrado y hashing? Son estos robustos?

Los datos sensibles se cifran o enmascaran para protegerlos?

Se protegen las copias temporales de datos sensibles contra el acceso no autorizado, y se programa su remocin cuando ya no van a ser
utilizados?

La aplicacin utiliza mdulos de criptografa, los cuales refuerzan el uso de algoritmos de seguridad?

La aplicacin identifica mecanismos de proteccin para datos sensibles que son enviados sobre la red (interna y externa)?

Se utilizan mecanismos como SSLv3/TLSv1/SSHv2 (o similares) para proteger cookies y datos sensibles tales como nombres de usuario,
contraseas o datos de tarjetas de crdito, mientras la informacin se encuentra en trnsito?

Existe un enfoque estndar apropiado para estructurar el manejo de excepciones en la aplicacin?

La aplicacin identifica el nivel de auditora y almacenamiento (logging) necesario y los parmetros clave para ser almacenados y auditados?

Se asegura que los recursos sean liberados si ocurre un error?

La aplicacin genera un nuevo identificador de sesin (session ID) cuando un usuario requiere ser reautenticado en pantallas que involucran
acciones sensibles?

Los valores de sesin expiran automticamente despus de un lapso de tiempo predefinido?

Determine las acciones que la aplicacin lleva a cabo si ocurre una sesin de ID invlida.

Determine cmo funciona la funcionalidad de log-out o cmo terminan las sesiones de usuarios.

Observaciones

Autenticacin y autorizacin

Almacenamiento seguro

Comunicacin segura

Manejo de errores

Administracin de sesiones

Las organizaciones deben definir sus aplicaciones crticas de negocio y las amenazas del ambiente para una correcta
seguridad en dichas aplicaciones. Llevando a cabo evaluaciones internas de seguridad de aplicaciones, pueden integrar
prcticas de seguridad en forma temprana en el ciclo de vida de desarrollo de software. Algunas de las aplicaciones son,
a veces, creadas con nuevas tecnologas para las cuales las herramientas automatizadas es probable que no se
encuentren fcilmente disponibles. Se pueden identificar tcnicas efectivas de evaluacin para cualquier tipo de
aplicacin utilizando el enfoque basado en riesgos y siguiendo principios fundamentales para la evaluacin de
seguridad de aplicaciones, segn se ha mencionado arriba. Los resultados son siempre positivos, porque un enfoque
solo basado en herramientas no puede reportar riesgos importantes de seguridad de aplicaciones, dado que existen
muchos escenarios en los que es necesario contar con los resultados de evaluaciones manuales.

Referencias:
https://www.owasp.org/index.php/
Category:OWASP_Guide_Project

http://www.softwaretestingclass.
com/what-is-risk-based-testing-insoftware-testing/

12

Hacking Exposed: Web Applications 3, by Joel


Scambray, Vinvent Liu, Caleb Sima, published
by McGraw-Hill Osborne Media, ISBN

http://www.nist.gov/customcf/get_
pdf.cfm?pub_id=890097

http://www.isaca.org/Journal/archives/2004/
Volume-4/Pages/Systems-DevelopmentAdvice-in-a-Web-enabled-World.aspx

As mismo, durante ya algunos aos se


ha escuchado y publicado mucho
material sobre ataques, secuestros y
guerra informtica, que tambin
consideran los pasos anteriores,
denominados etapas de un ataque:

Anlisis

Desarrollo Propagacin

Etapas de un ataque

El recurso
humano como
vulnerabilidad

y fuente de explotacin
en la seguridad de TI
Giovanni Guzmn de Len
CISM, MA, ITIL CFC
guzmancg@gmail.com

Con la falta de una gua apropiada para TI, y muy especialmente para la
seguridad, en los ltimos aos se han puesto de moda muchas metodologas,
estndares y marcos de referencia como TOGAF, Cobit 5, ISO, NIST o PMbok,
en los que cuales se revisa cmo implementar la confidencialidad, integridad,
autenticidad y disponibilidad de la informacin o se toma en consideracin el
recurso humano, la infraestructura, los datos y aplicaciones.
Relacionando situaciones actuales con los cursos de seguridad y el mtodo
cientfico, me doy cuenta de que todas o la mayora de esas iniciativas nacen
en funcin a la observacin y experimentacin, que nos piden seguir pasos
como:
a. Analizar el problema (observacin)
b. Crear el programa para la solucin del problema (induccin)
c. Probar el programa para la solucin del problema (experimentacin)
d. Verificacin de resultados
14

Estas reflexiones me llevan a pensar


cunto invertimos en seguridad y en
investigar ms sobre metodologas de
administracin de proyectos y
bsqueda de metodologas de gestin
de riesgos como ISO 31000, ISO
27005, el COSO neozelands 4360 y
otras, y cules de ellas se centran en la
etapa de propagacin de un ataque,
en la que se le pone atencin al recurso
humano. Hay que recordar que justo la
gente es el eslabn ms dbil de la
cadena de seguridad y es una
vulnerabilidad dentro de nuestro
sistema de seguridad: no olvidemos
que toda vulnerabilidad puede ser
explotada.
Al transcurrir de los aos se ha
acentuado la dependencia de los
sistemas informticos en todas las
organizaciones a nivel mundial, e
incluso el valor que tengan en bolsa
depende del manejo de estos sistemas
y la seguridad que le puedan brindar a
los registros financieros, por lo se
invierten grandes cantidades de
recursos financieros con la finalidad de
obtener integridad, confidencialidad,
confiabilidad y disponibilidad,
disminuyendo o eliminando el recurso
humano en los procesos productivos o
colocndoles controles extremos, ya
que una de las bases en la cual
descansa el control interno es que no
debe existir manipulacin de los datos
por intervencin humana, por lo
anteriormente expuesto, y este es uno
de los temas ms controversiales en
cualquier empresa.

Material y mtodos
Dentro de una organizacin, un ataque causa serios daos de imagen,
principalmente en el rea bancaria y financiera, con ataques que se
aprovechan del recurso humano de la propia empresa o de algn cliente
externo, que es donde florecen las vulnerabilidades con lo que sabe, dice
o hace.
Abajo presento una grfica de la empresa Eset que muestra los dominios
gubernamentales comprometidos por cdigo malicioso, segn el reporte
de tendencias 2014 en el desafo a la privacidad en Internet.

Valorando este tipo de necesidades, la


ISACA (Information System Audit &
Control Association), conjuntamente con
el ITGI, se dieron a la tarea de investigar
las necesidades y crear una metodologa
en la que ya se incluye el comportamiento
del recurso humano, con tcnicas y
estrategias de retencin para el mismo.

Recomendacin

Bolivia
Nicaragua

3%

Rep. Dominicana

2%

2%

Otros pases

3%

Brasil

33%

Ecuador

6%

Colombia

8%

Argentina

11%
Mxico

12%

Per

20%

Porcentaje de dominios comprometidos en 2014

Discusin
Hoy da la tecnologa contina convirtindose en un componente
fundamental en todas las organizaciones a nivel mundial, sin embargo, a la
seguridad informtica se le sigue viendo como un tab, y ms ahora que la
gente se conforma con firewalls u otro tipo de aparato de seguridad.
Y frecuentemente no tomamos en consideracin al recurso humano como
un punto de explotacin de vulnerabilidades, sabiendo que ellos son los
que conocen los procedimientos de la organizacin. Por experiencia
propia me he dado cuenta de que proyectos de millones de dlares
peligran por situaciones como que al empleado X, aquel que puede ser el
programador estrella de ese proyecto, no se le brinda la atencin
necesaria, que a veces solo requiere de un simple saludo.
Las investigaciones del ITGI (Instituto de Gobierno de Tecnologa de
Informacin) confirman estas preocupaciones, que abarcan las siguientes
entre las principales:

Bajo retorno en la inversin de los proyectos de tecnologa de


informacin.

No existe la medicin en el desempeo de tecnologa de informacin.


Capacitacin y concienciacin casi inexistente para el recurso humano.
No se toma en consideracin la vulnerabilidad que nos puede generar
el cliente externo

Hoy da en nuestros pases la adopcin


de metodologas es sumamente escasa y
existen pocas empresas que se atreven a
implementar a sus sistemas productivos
este tipo de sper procesos controlados,
debido a la falta de credibilidad, recursos,
o simplemente por el deseo de no
invertir. Lo anterior, al cabo del tiempo, les
restar oportunidades de desarrollo, ya
que la implementacin, y planificacin les
redituara en mejor aprovechamiento del
tiempo y del control de sus procesos, con
una mejor produccin y, por ende, mejor
calidad y seguridad.

Conclusin
No hay que perder de vista la importancia
de los recursos humanos, ya que
dependemos de ellos en gran parte para
generar nuestros procesos de seguridad
de la informacin, adems de que
representan una de las vulnerabilidades
ms explotada al momento de realizar un
ataque, fraude u otro tipo de ilcito.
Referencias:

www.itgi.org

www.isaca.org

www.pmi.org

PMBok Fifth Guide Edition


VAL IT 2.0
COBIT 5.0
COSO
ISO-27001, 27003, 27005, 31000
ERM (Enterprise Risk Management)
Estndar Neozelands 4360

2016

15

Governanza, riesgo
seg
Dr. Katalin Szenes

CISA, CISM, CGEIT, CISSP y PhD

szenes.katalin@nik.uni-obuda.hu
http://users.nik.uni-obuda.hu/szenes/

Tanto la investigacin como la experiencia prctica que he adquirido como


oficial de seguridad, como asesor de seguridad, o como auditor de TI, me han
mostrado la conexin mutua entre las operaciones de seguridad y la
gobernanza corporativa. Las metodologas de seguridad y de auditora sugieren
cumplir con tales submetas, las cuales contribuyen al cumplimiento de los
objetivos estratgicos de la compaa. En cada rea de operaciones corporativas
estas submetas pueden traducirse fcilmente en tareas prcticas y
comprensibles, las cuales pueden asignarse a miembros de la organizacin de
diferentes reas. Algunas medidas de seguridad seleccionadas razonablemente
podran apoyar incluso el xito de mercado de las compaas, mientras, por otro
lado, los objetivos estratgicos pueden utilizarse para justificar los originalmente
relacionados con la seguridad.
Por otro lado, las metas de gobierno pueden apoyar la seguridad. Con el fin de
que la gerencia comprenda los beneficios de las metas de seguridad, y que las
acepten, se tiene que comprobar la relacin de estas con el xito de la
compaa. Esta idea surgi de mi prctica diaria: Cmo podra yo obtener
presupuesto para construir una red segura en un banco?
El contenido de este artculo es una parte de mi presentacin en la Conferencia
(ISC)2 SecureCEEBudapest en Hungra, el 21 de abril de 2015, en la que
consideramos los siguientes temas:

Una forma de establecer la interconexin entre gobernanza y seguridad.


Los principales atributos de mi metodologa.
Una definicin til para la medicin y predictibilidad de la seguridad
operacional y la seguridad de la informacin.

El soporte a la administracin del riesgo.


El criterio de excelencia (criterio de excelente gobernanza).
El problema de inducir el involucramiento de la gerencia.
Ejemplos para aplicar el criterio de excelencia y los pilares.
Referencias.
Una forma de establecer la interconexin entre gobernanza y seguridad
Para establecer la metodologa, primero tuve que definir la seguridad
operacional con conexiones claras hacia la estrategia y la ayuda metodolgica
para alcanzar objetivos estratgicos.
16

Para lograr el establecimiento de la intercone


seguridad, la alta gerencia debe tomar respo
identificacin de objetivos estratgicos, prop
cumplimiento y crear la misin de todo emple
objetivos.

Los principales atributos de mi meto

Cules son los principales puntos de mi met

Define una seguridad operacional y una se


tiles, medibles y predecibles.

Ayuda a encontrar submetas que apoyen l


operacionales del personal.

A mis metas propuestas las denomino criterio


diferentes ponderaciones, pueden ser condic
necesariamente suficientes, para los objetivos

Para la identificacin de dichos objetivos y me


cumplimiento, necesitamos aspectos (puntos
para clasificarlos. Entonces podremos compa
respecto a otro. Tales aspectos son lo que llam
organizacin, reglamento y tcnicas.

Una de mis ms importantes herramientas es


de riesgo relacionada con esfuerzo, la cual pu
comparar el significado de los diferentes prob

Una definicin til para la medicin y pred


seguridad operacional y la seguridad de l
La definicin que propongo para una segurid
predictible es: un sistema organizacional, reg
se establezca en la compaa, mediante la ide
operacionales relacionados con la estrategia
operacionales, las cuales contribuyen al cump
Tal sistema, que satisface al menos algunos d
por excelencia (de acuerdo con las prioridade
aquellos de sus directores de las diferentes r
manara predecible, medible y escalable.

Normalmente estos criterios pueden no ser c


o, al menos, no en la misma medida. La alta g
deben determinar cul criterio es ms o meno

oy

guridad

exin entre gobernanza y


onsabilidad en la
porcionar apoyo para su
eado: ir hacia esos

eguridad de la informacin

los objetivos estratgicos y

o de excelencia. Estas, con


ciones necesarias, pero no
s estratgicos.

edidas que contribuyan a su


s de vista) y posibilidades
arar su relevancia con
mo pilares de la operacin:

s un activo, y una definicin


uede ser utilizada para
blemas.

dictibilidad de la
la informacin
dad operacional medible y
gulatorio y tcnico, para que
entificacin de los objetivos
y las actividades
plimiento de estos objetivos.
de estos criterios, el criterio
es de la alta gerencia), o
reas del negocio, de una

cumplidos al mismo tiempo


gerencia o sus directores
os importante en el

El riesgo es directamente proporcional a:

La importancia estratgica o de negocio de este


activo, en la bsqueda del objetivo operacional.
Esto es la llamada distancia del activo con
respecto a la meta.

La probabilidad de la ocurrencia de un evento que


amenaza el uso del activo por parte del negocio.

La vulnerabilidad de este activo.

odologa

todologa?:

La otra novedad de mi nocin de riesgo es que el


activo, el cual desempea una funcin en el
cumplimiento de la meta, tambin se muestre
expresamente. Por tanto, mi riesgo es un valor, el cual
es asignado a un par de activos corporativos, y el
objetivo operacional es una meta de las operaciones
de la compaa.

cumplimiento de los objetivos estratgicos


o una submeta relacionada con el negocio.
La alta gerencia tiene que evaluar qu
negocio es ms relevante en una situacin
dada, y entonces esta ponderacin debera
tambin considerarse cuando el analista de
sistemas, el experto de seguridad de
informacin o algn otro coordinador
describe el resultado.
La seguridad de informacin tiene que
derivar de la seguridad operacional. Por lo
tanto, el sistema de informacin de una
compaa puede considerarse seguro si
apoya o soporta la seguridad operacional
en una manera medible y predecible.
Debe tomarse en cuenta que, como se
infiere de los comentarios arriba
mencionados, la prioridad de los sistemas
individuales, y sucesivamente la prioridad
de los componentes, dependen de la
prioridad estratgica del proceso
operacional que soportan. Los procesos
operacionales pueden ser procesos de
negocio o procesos que soportan las
operaciones como, por ejemplo, recursos
humanos, seguridad, finanzas, etctera.
Soporte a la administracin del riesgo
Con este enfoque de seguridad
operacional, es necesario contar con una
definicin de riesgo relacionado con la
meta. Esta meta puede ser a nivel
estratgico, o puede ser una submeta, la
cual contribuye al cumplimiento de la
primera.

El criterio de excelencia (criterio de


excelente gobernanza)

Los criterios pueden clasificarse de muchas maneras.


Una de las posibilidades es dividirlos en dos grupos:
criterio de excelencia operacional y criterio de
excelencia en el manejo del activo.
El beneficio de ambos grupos es que, si enfocamos
objetivos estratgicos mediante estos criterios,
entonces logramos una lnea base de metas prcticas
y actividades.
Los criterios de excelencia operacional son:

Efectividad
Eficiencia
Cumplimiento
Confiabilidad
Excelencia de la administracin del riesgo
Funcionalidad
Orden
Los criterios de excelencia del manejo de activos son:

Disponibilidad
Integridad
Confiabilidad

Criterio de excelente gobernanzaexcelencia


operacional
Una actividad operacional es efectiva si sus
resultados cumplen con los requerimientos
predefinidos, los cuales aceptaron todos los
interesados.

2016

17

Una actividad operacional es eficiente si se lleva a cabo en la forma predefinida,


documentada y costo-efectiva, con uso ptimo de los recursos humanos y
materiales.
Una empresa opera en una forma de cumplimiento, o las operaciones de una
compaa observan un criterio de cumplimiento, si se cumple en una forma
documentada con cualquier requerimiento de las autoridades que regulan
aspectos de las actividades de la compaa.
Las operaciones de una compaa son confiables si estn organizadas de tal
manera que proveen los servicios acordados en tal manera que apoyan el trabajo
del personal, de acuerdo con las mejores prcticas profesionales.
La excelencia en la administracin del riesgo es una estrategia conducida que
administra los riesgos relacionados con:

Una meta dada


Un activo, el cual es capaz de servir a esta meta
El esfuerzo que el personal de la compaa ejerce relacionado con este activo,
con el fin de contribuir al logro de la meta.

o Submetas regulatorias:
documentacin, planeacin de la
administracin de la continuidad
del negocio, inventario dinmico,
administracin del cambio y de
liberacin, directrices
procedimentales, etctera.
o Submetas organizacionales, por
ejemplo, educacin, separacin de
tareas, descripciones de trabajo y
de roles significativas.
o Submetas tcnicas.
o Submetas organizacionales y
regulatorias: procesos
operacionales organizados, por
ejemplo, desarrollo de aplicaciones
organizado en el departamento de
TI; documentacin a travs del
ciclo de vida de cada producto,
proceso de prueba planeado.

Lo interesante del criterio de excelencia individual, con respecto a los dems,


Criterio de excelente gobernanza
debe siempre ser evaluado por la alta gerencia o los directores de rea; tomando criterio de excelencia en manejo de
en consideracin la estrategia de la compaa, ellos deben decidir cul criterio es activos.
relevante en una situacin dada.
El manejo confidencial de activos
significa que aquellos y solo aquellos
Ya se abord la distancia entre un activo y una meta. Esta misma nocin puede
empleados quienes tienen una tarea
utilizarse aqu tambin. La evaluacin de metas, activos y otros factores, de
relacionada con ellos, tengan acceso a
acuerdo con su importancia estratgica, significa que los responsables de la
dichos activos.
compaa deben tener en consideracin la distancia de estos factores, ya sea
entre ellos o con otros factores, segn lo demande la situacin.
Se dice que la integridad de un
activo es preservada si al ser
La funcionalidad del sistema de informacin de una compaa es adecuada si manejada o procesada no es
sirve a los empleados de tal forma que puedan cumplir con los requerimientos
cambiada inadvertidamente.
de su trabajo de la mejor manera posible.
El orden es por definicin adecuado si la alta gerencia toma la responsabilidad
del bienestar de la empresa:

Para la determinacin de tal estrategia, la cual tambin contribuye al xito en


el mercado tanto como sea posible.

La responsabilidad por su mantenimiento continuo.


Con el fin de cumplir con los objetivos estratgicos, se deben identificar metas
de bajo nivel. El orden puede ser tal meta. Ejemplos de submetas tiles de
orden son:

18

Disponibilidad de un activo significa


que si tiene un rol particular en un
asunto determinado, entonces est
disponible para todo empleado
competente, en una forma planeada,
predecible y documentada, de
acuerdo con los acuerdos preliminares
sobre su accesibilidad, los cuales
tienen que referirse a cada
prescripcin cualitativa y cuantitativa
relevante en el asunto.

Referencias:
CISA Review Technical Information Manual
ed.: Information Systems Audit and Control Association, Rolling Meadows, Illinois, USA
- Involucramiento personal: Fui miembro del equipo de aseguramiento de calidad del CISA Review Manual (CRM), 1998
COBIT and related materials 1998, (COBIT = Control Objectives for Information Technology), Copyright IT Governance Institute
COBIT 4.1 Framework, Management Guidelines, Maturity Models, Copyright IT Governance Institute , 2007
COBIT 5.0 Vol. I The Framework and COBIT 5.0 Vol. IIaProcess Reference Guide 2011 ISACA, working paper
Enabling Processes - COBIT 5 An ISACA Framework, Copyright 2012 ISACA
- Involucramiento personal: Fui miembro del Grupo Experto de los temas en cuestin.
La familia del estndar 27000 :
International Standard ISO/IEC 27000 First edition 2009-05-01, Information technology Security techniques Information security management
systems Overview and vocabulary, Reference number: ISO/IEC 27000:2009(E) Copyright ISO/IEC 2009
International Standard ISO/IEC 27001 - 2nd edition: Oct. 1, 2013

EST APAGANDO LA INSPECCIN DEL TRFICO


ENCRIPTADO PARA MANTENER EL RENDIMIENTO?

TENEMOS UNA MEJOR IDEA


ms rpido que nunca

Presentamos el

El tr co encriptado se est expandiendo en todo el mundo. Es por eso


que WatchGuard ha lanzado dos nuevos dispositivos de seguridad que
ofrecen una velocidad sin precedentes:
el Firebox M400 y M500.
De hecho, el M500 es 61% ms rpido que la competencia con todos los
niveles de seguridad encendido. Y 149% ms rpido para una alta
capacidad de inspeccin HTTPS.* Ahora usted tiene el poder de ampli car
el rendimiento de la red sin sacri car la fortaleza de su Seguridad.

Nunca comprometa la Seguridad.


Adquiera los nuevos Firebox.

Llmenos al +52 55 5347 6 063


o escrbanos un email:
LatinInfo@watchguard.com

Copyright 2015 WatchGuard Technologies, Inc. All Rights Reserved


* Report TB141118, Miercom, 2014, http://bit.ly/1yBAXGV

Lo desconocido

de lo desconocido
de OSINT
John Walker

john.walker@hexforensics.com

Durante los ltimos 10 aos nuestras comunidades se han vuelto dependientes


de la tecnologa para soportar sus relaciones familiares y de negocio. Podra
incluso llegar a afirmarse que 99.99%, si no es que el 100% de la poblacin en
cualquier sociedad desarrollada estar, por inferencia, utilizando tecnologa en
ambas formas, directa e indirecta, digamos por asociacin con el uso de banca
en lnea, ATM, TV en lnea bajo demanda, y tecnologa dentro del auto,
telfonos celulares, y por supuesto mediante aquellos puntos de comunicacin
de que disponemos en nuestras computadoras personales, desktops, iPad,
iPhone, Kindle, etctera. De hecho, estas posibilidades parecieran ser infinitas.
Lo anterior implica que, queramos o no, esta cmoda relacin tecnolgica que
hemos establecido agrega a nuestra propia existencia una huella invisible que
podra estar influenciada o apalancada por la aplicacin de la ley, publicidad,
la comunidad criminal, terroristas, o quienquiera que, por cualquier propsito,
quisiera averiguar cosas de esta huella oscura, desconocida y subliminal.
De hecho, en nuestra vida diaria vamos dejando huellas digitales subliminales.
Por ejemplo, el uso de una direccin IP cuando nos conectamos a nuestro ISP.
Tal vez incluso desde un documento en papel que ha sido descartado, o algn
metadato en un documento de Word o Excel que haya sido liberado a un
medio pblico, objetos que aislados no tendran mayor significado, sin
embargo, cuando tales fragmentos de informacin (inteligencia) aislados son
acumulados, podran proporcionar a un observador gran cantidad de
informacin sobre el perfil personal y de negocio del sujeto en la mira.
Sobre este mismo tema consideremos una de las reas de exposicin
potencial ms ignoradas en nuestra sociedad electrnica en la forma de
inteligencia de fuente abierta, en ingls open source intelligence [OSINT], la
cual puede ser aprovechada por la comunidad criminal con un buen rango de
xito. Cuando vemos el lado opuesto de la pared ciberntica de conflicto en la
arena de los negocios comerciales, una gran mayora de los CIO y CISO
tienden a descartar esta rea como una amenaza por pensar que no tienen por
qu preocuparse - se trata solamente de ruido fuera de su infraestructura
protegida, la cual no constituye ningn riesgo directo para su organizacin
20

y, en cierta medida, tienen razn cuando


uno considera el riesgo directo. Para
sustentar esta observacin, en 2014 al
moderar la Cumbre de Crimen
Informtico en Londres pregunt a ms
de 80 participantes si comprendan las
amenazas planteadas por OSINT y si
contaban con defensas para proteger a
sus organizaciones contra dichas
amenazas. No fue una sorpresa saber
que nicamente alrededor de 5% de los
participantes confirmaron que s
contaban con defensas en marcha y
efectivamente se esforzaban por
asegurar sus organizaciones contra
exposiciones a OSINT y fuga de datos.
Desvindonos un poco del tema, hace
algunos aos un tal Clifford Stoll escribi
un libro titulado The Cuckoos Egg, a
partir de una historia real sobre el rastreo
del espionaje de cmputo y ciberdelito.
A pesar de que eso sucedi hace ms de
30 aos, en nuestra sociedad moderna
existen todava los mismos riesgos (la
nica diferencia, es que estos son
escalados por la proporcin de
computadoras en operacin en 2016). Lo
que realmente era interesante sobre este
libro era el hecho de que un peligro de
seguridad masivo fue alertado por una
pieza de informacin sin importancia en
la forma de un error de 75 centavos en la
contabilidad de una computadora
central (mainframe). Sin embargo, dentro
de esta recomendada publicacin
tambin vemos rastros de ignorancia en
seguridad: un archivo de Unix Shadow
de contraseas fue obtenido por un
tercero, pero dado que estaba cifrado, el
dueo de la organizacin consider que
no haba riesgo real directo para sus
activos asegurados y no previ ningn
dao, permitiendo as a un tercero
desconocido y no autorizado el acceso a
dicho archivo protegido!
El asunto que se perdi de vista con
respecto al archivo de contraseas fue
que, a pesar de estar cifrado, pasaron
por alto el hecho de que una vez que
estuviera en manos de un externo, que
podra ser un adversario potencial o
atacante, esa persona o personas
tendran acceso sin lmite de tiempo para
intentar descifrarlo y obtener as las
contraseas.

Es precisamente aqu donde podemos


comenzar a ver la liga entre OSINT, la
cual tiende a inferir el mismo nivel de
acceso indirecto, sin prisa, con elementos
que se pueden utilizar para desplegar un
ataque. Los niveles de exposicin que se
podran manifestar de una manera
realista son originados por el
malentendido de los riesgos indirectos
alguna vez presentes.
Tomemos un documento comn de
oficina generado dentro de cualquier
organizacin, el cual puede contener
fragmentos mltiples de inteligencia
subliminal o subconsciente. Luego,
considere los activos que tienen
asociaciones lgicas, tanto con los
sistemas visibles como con los ocultos,
que pueden decirle a alguien ajeno a la
organizacin mucho sobre los sistemas
de la empresa. Nuestros atacantes
potenciales tambin pueden echarle un
vistazo al DNS (Domain Name System)
para investigar si hay algn agujero
abierto o mala configuracin de la que se
aprovechen. Por ejemplo, hace
aproximadamente cinco aos se llev a
cabo una evaluacin de OSINT de 100
sitios Web comerciales, por medio de la
cual se descubri que aproximadamente
12% posea capacidades de transferencia
de zona que permitan a un probable
atacante una visin de los servidores
internos y sus activos informticos.
De hecho, los sitios inseguros localizados
en esta evaluacin correspondan desde
agencias gubernamentales
estadounidenses hasta una organizacin
de referencias de crdito, que en su caso
permiti scripts en el lado del servidor
que contenan identificadores de usuario
y contraseas embebidas en el sistema,
informacin muy valiosa para cualquier
sinvergenza con intenciones de causar
dao.
El verdadero punto sobre OSINT es que
se trata de un punto conocido de
explotacin para pre ataque
(footprinting) y es en efecto una tcnica
comn utilizada por hackers, criminales
cibernticos y en particular por el crimen
patrocinado por los Estados para
acumular inteligencia ciberntica, como
lo hara cualquier organizacin militar
cuando selecciona y planea un ataque
contra un objetivo.

Y no solo tal ejercicio subliminal puede proporcionar a los atacantes informacin


sobre el objetivo en la mira, sino que puede revelar tambin otra informacin de
inters que deja al descubierto lo que, hasta este punto, eran sistemas y activos
escondidos.
La parte sorprendente es que no importa qu sitio, despliegue o ataque se
decida conducir con OSINT, cuando se trata de buscar puntos de OSINT con el
propsito de infiltracin o explotacin, hay una posibilidad muy alta de que tales
artefactos existan, junto con puntos de fuga de datos. Ello permite la salida de
informacin hacia las manos del atacante, quien la busca en forma de:

Sistemas internos y direcciones IP


Nombres de equipo
Sistemas asociados y de terceros
Sistemas operativos (tipos, versiones, niveles de actualizacin)
Nombres de usuarios
Contraseas
Informacin de departamentos y extensiones telefnicas
Almacenamiento de documentos
Direcciones de correo electrnico sensibles en organismos de Gobierno
Control inseguro de cambios en la infraestructura

La manera en la que un atacante utiliza tales fragmentos de inteligencia


indirecta para llevar a cabo un ataque directo est sujeto a su propio nivel de
imaginacin. Pero, dado que tiene la posibilidad de acceso, estoy seguro de
que hallar la manera de aprovechar dichos materiales para formular un plan
para comprometer algn activo, a algn tercero, o algn sitio/servicio
asociado. Otra ruta posible sera el empleo de tcticas orientadas al personal,
para llevar a cabo un ataque de ingeniera social directa contra una persona
seleccionada. Por eso siempre digo: La nica limitante es la imaginacin del
atacante!
Despus de leer esto, usted podra no estar convencido de que se trata de
una cuestin de verdadera preocupacin para su organizacin, pero piense
otra vez, si usted da acceso indirecto a alguno de tales materiales que pueden
ser aprovechados en un ataque directo a los activos de su organizacin, tal vez
debera reconsiderarlo, pues la exposicin de sus desconocidos no conocidos
tal vez proporcione a su prximo atacante la informacin de inteligencia que
necesita para perpetrar un ataque exitoso.

2016

21

1. Preparacin. Contempla la
identificacin, seleccin del objetivo a
atacar y recoleccin de toda la
informacin que sea posible acerca
de la vctima, as como la creacin o
adquisicin del arsenal de ciberarmas.

La ciberinteligencia
como habilitador de la
ciberseguridad
Marcos A. Polanco

ITIL, CISSP, CISA y CISM


mpolanco@scitum.com.mx

Constantemente escuchamos acerca de los riesgos a los que estamos expuestos


en el ciberespacio y de la relevancia que est tomando la ciberseguridad, esto
reforzado por mltiples noticias sobre incidentes (hackeo, fugas de informacin,
robos de identidad y otros ataques).
Ante este nuevo contexto de ciberamenazas avanzadas en las cuales estn
involucrados grupos criminales y hacktivistas con motivaciones polticas y
econmicas, contar con una estrategia de ciberinteligencia se vuelve un
elemento clave para reforzar la estrategia de seguridad de la informacin.
El objetivo de este artculo es explicar brevemente el contexto de riesgos al que
estn expuestas nuestras organizaciones, describir qu es la ciberinteligencia y
su papel como habilitadora de la ciberseguridad.

Contexto de riesgos
Iniciemos recordando que la seguridad de la informacin tiene que ver con la
administracin de riesgos, y que riesgo se define como la probabilidad de que
una amenaza explote una vulnerabilidad, ocasionando un impacto a la
organizacin. Si no hay amenaza no hay riesgo, si no hay vulnerabilidades,
aunque haya amenaza tampoco hay riesgo, y aun si hay amenazas y
vulnerabilidades, si no hay impacto tampoco hay riesgo1.
Hoy en da, las estrategias de ataque usadas son ms complejas y de largo
plazo, utilizan mltiples pasos estructurados, a los que se les conoce como ciclo
de vida de un ataque, el cual podemos resumir de la siguiente manera2:

Ciclo de vida de un ataque avanzado


Preparacin
del ataque

Obtencin
de acceso

Creacin de
persistencia

Etapas del ciclo de vida de un ataque avanzado

22

Ejecucin
de acciones

Eliminacin
de rastros

2. Obtencin de acceso. Envo de las


ciberarmas por diversos medios,
siendo el correo electrnico
(spearphishing), sitios Web infectados
y dispositivos USB los tres ms
comunes para explotar
vulnerabilidades en el sistema de la
vctima y evadir los sistemas de
seguridad que tenga.
3. Creacin de persistencia. Los
atacantes buscan afirmar y ampliar su
presencia y control en la red de la
vctima, realizando el reconocimiento
de la red, diversos movimientos
laterales y robo de credenciales de
administradores.
4. Ejecucin de acciones. Considera la
seleccin y recoleccin de la
informacin buscada hasta lograr la
extraccin de la misma (exfiltration).
5. Eliminacin de rastros. Una vez
logrados sus objetivos, el intruso
buscar eliminar todos los rastros e
indicios que pudieran revelar las
acciones tomadas, sus tcticas,
tcnicas y procedimientos.
Hoy es claro que el viejo paradigma de
proteger las redes y sistemas no basta,
tenemos que enfocar nuestros esfuerzos
en proteger, detectar y actuar. Debemos
planear la estrategia y acciones a partir
de la premisa de que nuestra red ser
comprometida, incluso considerar que ya
hemos sido comprometidos. Es aqu
donde la ciberinteligencia comienza a
convertirse en una habilitadora vital para
la ciberseguridad.

Qu es la ciberinteligencia?
Ciberinteligencia es la adquisicin y
anlisis de informacin para identificar,
rastrear, predecir y contrarrestar las
capacidades, intenciones y actividades de
los ciberactores (atacantes), y ofrecer
cursos de accin con base en el contexto
particular de la organizacin, que
mejoren la toma de decisiones.

En el siguiente diagrama podemos observar de manera general el concepto


de ciberinteligencia.

Social
Econmico
Geopoltico
Contexto

Foros

La ciberinteligencia puede apoyar a la


ciberseguridad en cada una de las
etapas del ciclo de vida de los ataques:

Deep Web
Blogs

Monitoreo
en lnea

Anlisis y

Recomendaciones

Canales IRC
Dark web

Evaluacin
de impacto

Noticias nacionales y
extranjeras

Actores

Redes Sociales

Cmo la ciberinteligencia
ayuda a la ciberseguridad?

Representacin esquemtica del concepto de ciberinteligencia

El proceso general que se sigue para la generacin de ciberinteligencia consta


de cinco pasos:
1. Identificacin del objetivo o misin. Determinar qu es lo que
queremos encontrar o qu respuesta/hiptesis es la que queremos
responder.
2. Coleccin de informacin. Definir las fuentes de informacin que
utilizaremos; pueden ser internas o externas, abiertas o privadas, manuales
o automticas.
3. Anlisis. Preparacin y anlisis de la informacin, utilizando diversas
tcnicas y herramientas visuales.
4. Identificacin de hallazgos. Encontrar aquellos elementos que son
relevantes y que ayuden a confirmar o rechazar las hiptesis planteadas, o
que ayuden a responder las preguntas establecidas en el primer paso.
5. Difusin. Hacer llegar a las partes interesadas los hallazgos y cursos de
accin propuestos.
Existen mltiples disciplinas de recoleccin de inteligencia; a continuacin se
listan las ms relevantes y se explica brevemente su aplicacin en el contexto
de ciberseguridad:

OSINT (Open Source Intelligence). Inteligencia a partir de la informacin


que es pblica y abierta, la principal fuente es Internet.

SIGINT (Signals Intelligence). Inteligencia a partir de la intercepcin de

seales. En este contexto se traduce normalmente como la inteligencia


adquirida por redes seuelo, conocidas tcnicamente como honeynets o
honeygrids.

GEOINT (Geospatial Intelligence). Inteligencia obtenida por medio de la


geolocalizacin; en este caso las fuentes ms importantes son los
dispositivos mviles y aplicaciones.

HUMINT (Human Intelligence). Inteligencia adquirida por individuos, en el

contexto de la ciberseguridad se utiliza como vHUMINT, es decir, entidades


virtuales que obtienen informacin en su interaccin con otras personas por
medio de redes sociales y canales de comunicacin electrnica.

1. En la etapa de preparacin del


ataque, la ciberinteligencia apoya
con la investigacin en fuentes
abiertas, monitoreo de DeepWeb y
Darkweb, canales IRC, etc., en
bsqueda de posibles campaas
que se estn orquestando en contra
de la organizacin, conocimiento
de nuevas amenazas, identificacin
de toda aquella informacin que
permita anticiparse a un posible
ataque.
2. En las etapas de obtencin de
acceso y creacin de persistencia
entra en juego una de las reas de
la ciberinteligencia conocida como
Cyber Threat Intelligence
(inteligencia de ciberamenazas), la
cual se define3 como el
conocimiento acerca de los
adversarios y sus motivaciones,
intenciones y mtodos, que es
recolectado, analizado y difundido
en formas tales que ayudan al
personal de seguridad y de
negocio a proteger los activos
crticos de la organizacin.
Lo anterior significa realizar el
monitoreo y anlisis de malware, la
identificacin de posibles vectores
de ataques, la identificacin de TTP
(tcnicas, tcticas y procedimientos)
de los atacantes, el monitoreo de la
actividad de las botnets, etc.,
realizado por medios propios o a
travs de la recepcin de feeds
externos de inteligencia.
Otra lnea de trabajo es la ejecucin
de anlisis forense de artefactos
basados en ciberinteligencia y la
correlacin de vectores de ataques
previos.
3. En las etapas de ejecucin de
acciones y eliminacin de rastros, la
ciberinteligencia complementa a
travs del monitoreo activo en
DeepWeb y DarkWeb para
identificar cundo se pone a la
venta o se hace pblica, de forma
no legtima, la informacin que es
propiedad de la organizacin.

2016

23

Una actividad muy importante que apoya a lo largo de todas las etapas es el
establecimiento de una estrategia de colaboracin con diversas entidades que
complemente la estrategia de ciberinteligencia, esto con el fin de realizar el
intercambio de informacin de inteligencia relativa a las amenazas de
seguridad y as potencializar mutuamente sus capacidades de proteccin,
deteccin y respuesta, es decir, robustecer la capacidad de anlisis y vigilancia
de amenazas e incidentes, mejorar la toma de decisiones y acelerar la
ejecucin de acciones de respuesta y remediacin, as como mejorar la
conciencia situacional (situational awareness).
Las entidades con las que se debe buscar este tipo de colaboracin son
aquellas que, por su naturaleza, llevan a cabo una evaluacin permanente de
las diferentes amenazas, cuentan con centros de inteligencia de
ciberamenazas, o con centros de ciberrespuesta, ya sea con cobertura local o
internacional, por ejemplo:

CERT gubernamentales. Son centros embebidos en entidades

gubernamentales (por ejemplo, en Mxico estn el CERT-MX de la Divisin


Cientfica de la Polica Federal de la Comisin Nacional de Seguridad y el
UNAM-CERT) cuyo mandato es identificar y proteger un sector de servicios
o grupo de personas y que deben compartir informacin que les permita
investigar a las distintas redes delictivas que operan en el pas.

Complementar la informacin que

reciben las plataformas SIEM (Security


Information and Event Management),
para una mayor precisin e identificar
ms gilmente patrones asociados
con ataques y eliminar falsos positivos.

Filtrar aquello que es relevante, pues

actualmente se reciben muchas


alertas, muchos avisos de
vulnerabilidades y parches, muchos
reportes sobre malware y ataques de
DDoS etc., as como priorizar de mejor
forma la aplicacin de parches.

Enfocarse en los ataques ms

probables de ocurrir para una


organizacin y determinar cules son
las alertas ms importantes a atender.

CERT privados. Se refiere a los centros aprobados, comnmente por el

FIRST (Forum for Incident Response and Security Teams) o el CREST


(Council of Registered Ethical Security Testers), para efectuar estas
funciones, cuyo objetivo es proveer a sus clientes de proteccin y
mecanismos de respuesta a incidentes. Dichos clientes de manera explcita
permiten que su informacin sea analizada y compartida para efectos de
contener ataques y amenazas.

Fabricantes de tecnologas de seguridad. Aquellas entidades que por la

naturaleza de las funcionalidades que integran a sus equipos o por la de los


servicios que ofrecen a sus clientes, realizan anlisis de vectores de ataque,
de identificacin de malware y de equipos infectados, para incluirlos en sus
esquemas de blacklisting o bien de proteccin por comportamiento. Estos
fabricantes han solicitado la autorizacin expresa de sus licenciatarios para
compartir informacin de su comportamiento y estado en el alcance de la
informacin que el ecosistema requiere compartir.

Al implementar una estrategia de ciberseguridad se podrn obtener los


siguientes beneficios:

Proveer a los directivos una visin de los ciberriesgos reales del negocio y

mayor visibilidad sobre las amenazas, logrando as tener un mejor contexto


y conciencia situacional.

Mejorar las decisiones sobre el uso del presupuesto de seguridad,

invirtiendo de manera estratgica para maximizar la relacin costobeneficio.

Ante el nuevo contexto de


ciberamenazas avanzadas, contar con
una estrategia de ciberinteligencia es
uno de los elementos ms crticos para
enfrentarlas. Esta ciberinteligencia
debe ser correctamente articulada con
las actividades diarias de la seguridad
de la informacin y deber formar
parte integral de cualquier estrategia
de ciberseguridad.
Para mayor detalle consultar
el artculo Ciberseguridad:
Verdaderamente estamos
en un escenario ms
riesgoso? de la revista
Magazcitum

Mejorar la comunicacin del CISO con los altos ejecutivos, ya que permite

relacionar los temas tcnico-operativos con elementos crticos y estratgicos


del negocio.

Para mayor detalle consultar el


artculo Ciclo de vida de los
ataques avanzados de la
revista Magazcitum

Poder realizar una respuesta ms rpida, ya que el analizar los ataques y

tener informacin permite crear reglas que aumentan la efectividad de las


tecnologas de bloqueo, permite investigar (hunting) y remediar posibles
brechas.

FRIEDMAN, Jon, BOUCHARD, Mark, (2015)


Definitive Guide to Cybe threat Intelligence
(CyberEdge Group, LLC)

Ciudades

inteligentes

Internet de las cosa

y herenc

Manolo Palao

mpalao@ittrendsinstitute.org
El que deja una herencia, deja pendencias
Del refranero popular
Dichoso el da en que ni la fortuna ni la miseria
se hereden.
Rafael Barrett
El creciente y natural inters por las ciudades inteligentes
smart cities (SC) y por el Internet de las Cosas (IoT, por sus
siglas en ingls) viene provocando por doquier infinidad de
eventos y publicaciones de muy diverso enfoque y tambin
de muy variada calidad.
En su gran mayora, describen ambos fenmenos como una
revolucin global de gran impacto que ya ha comenzado y
est acelerndose por la rpida evolucin de la tecnologa,
el crecimiento de la poblacin y acceso creciente a la
tecnologa por parte de cada vez mayores contingentes
humanos. Esas descripciones muy a menudo anuncian a
veces con tintes evangelizadores un futuro prximo de
utopa feliz.
El objetivo de las SC es una calidad de vida elevada, un
desarrollo econmico-ambiental durable y sostenible, una
gobernanza participativa, una gestin prudente y reflexiva
de los recursos naturales, y un buen aprovechamiento del
tiempo de los ciudadanos. Calidad de vida, sostenibilidad
y eficacia seran los tres conceptos clave.
26

Las SC son ciudades en las que se da un uso intensivo de lo


digital (con una dependencia globalizada de
infraestructuras y servicios) y una alta concentracin,
diversidad, y poder de agentes y otros interesados3. El
concepto de SC est todava cristalizndose, como lo
prueba que una bsqueda somera de las ciudades ms
smart de 2015 en Google arroja listas sin coincidencia
alguna4.
Dicho uso intensivo consiste fundamentalmente en una
amplia utilizacin del Internet de las Cosas, que permite una
creciente regulacin inteligente de redes (mediante
sensores, algoritmos y dispositivos actuadores), como las de
semforos, abastecimientos (comunicaciones, agua, gas,
electricidad, etc.) y otros servicios (hospitales, emergencias,
etc.). De todo ello hay experiencias piloto y aplicaciones que
ya tratan bastante satisfactoriamente sistemas muy diversos.
Son usos de la IoT que deberan ir acompaados de un
mayor y mejor uso de tecnologas sociales, tecnologas
de las personas: administracin-e, sanidad-e, educacin-e,
voto-e, mayor democracia participativa (que no
asamblearia)5.

as

cia

En ambos casos (tecnologa de las cosas y


tecnologa de las personas) se trata de usos
capital-intensivos, que globalmente se
desarrollarn e implantarn en el mundo
diferencialmente, segn los planes del capital y
la capacidad de endeudamiento de las
ciudades. Por ello, sera bueno tambin que
gobiernos, universidades y pequeos
emprendedores centraran adems su atencin
en tecnologas blandas6 alternativas o
complementarias, muchas de rpida
implantacin, con baja inversin.
Tanta novedad y progreso nos puede distraer
de mirar adecuadamente al pasado,
llevndonos a ignorar la herencia histrica de
las ciudades, y de gran parte de la
infraestructura de la IoT. No es que esta
perspectiva histrica sea la mejor ni la nica. Se
trata simplemente de que no debe obviarse.
La prospectiva conduce inevitablemente a la
ciencia ficcin, porque es fcil deslizarse hacia
el entusiasmo tecnolgico7.

Ciudad
Barcelona

Orgenes
5500 a.C.
1174

Berln

1250

Estocolmo
Hong Kong
Londres

30,000 a.C.
1500 a.C.
1624

Nueva York
Pars

250 a.C.
1200

Tokio
Toronto
Viena

1793

500 a.C.

Fuente: elaboracin propia con datos de Google.

2016

27

Como reflexin histrica, las ciudades de la segunda de las dos listas de la nota
4, fueron fundadas en las fechas que indica la tabla a la derecha. Una gran
herencia; con sistemas fsicos y culturales con siglos de antigedad.
Las que se estima8 son las 10 mayores megalpolis actuales, albergan unos
317 millones de habitantes y en general crecen a un ritmo acelerado. Parece
lgico pensar que estas grandes concentraciones humanas son o sern muy
pronto importantes candidatas a evolucionar hacia SC de hecho, dos de ellas,
Nueva York y Tokio, estn en la tabla de SC.
Herencias antiguas tienen tambin la mayora de las muchas que se
denominan nuevas ciudades (new towns) o ciudades planificadas9 (aparte de
que el adjetivo nuevo en el nombre de la ciudad puede inducir a errores
histricos: Nueva York es de 1624 y Nueva Delhi de 1911).
La paradigmtica new town britnica Milton Keynes (de 1967, ya con un
trazado vial mallado y no radial) "tiene el compromiso de convertirse en una
Smart City10.
Quiz puedan salvarse de la losa histrica aquellas de las nuevas ciudades
chinas millennials (nativas digitales)11 que lleguen a consolidarse porque, al
parecer, bastantes estn desiertas o casi12.
Por otra parte, cabe esperar que el desarrollo de la industria 4.0
caracterizada entre otras cosas por la robotizacin, que da lugar a una industria
que cada vez requiere menos mano13 pueda en parte atenuar algo el
crecimiento urbano y de las nuevas ciudades, dado que este se debi en gran
parte a la creciente demanda de mano de obra concentrada surgida tras la
Revolucin Industrial14.
Por lo que respecta a la IoT y pese al anunciado progreso de la industria 4.0,
durante mucho tiempo una parte significativa, si no la mayor parte, de las
cosas que maneje y de su infraestructura, seguirn siendo tambin
heredadas. La capacidad de renovacin del parque empresarial es limitada y
la tasa de penetracin generalizada de las innovaciones es relativamente
lenta15.
Investigaciones recientes prueban que, como media, los pases han adoptado
tecnologas tales como las de automviles, camiones, ordenadores/
computadoras personales, telfonos o imgenes de resonancia magntica ms
de cuarenta y cinco aos tras su invencin16.
En Espaa, 41% del parque de vehculos (un total de 30 millones) tena con
datos hasta 2013 inclusive ms de 15 aos de antigedad17 Qu porcentaje
del parque total dispone de conectividad con servicios Web o de asistencia al
aparcamiento/parqueo?
En informtica la palabra herencia legacy es de mal agero. La herencia
suele ser un problema intricado, retorcido18, una patata caliente. Supone
problemas econmicos (eficacia, eficiencia), operativos (facilidad, continuidad,
mantenimiento) y de seguridad.
Un sistema heredado es un sistema informtico que ha quedado anticuado,
pero contina siendo utilizado por el usuario y no se quiere o no se puede
reemplazar o actualizar de forma sencilla19.
28

Las herencias informticas, por la


propia historia de la tecnologa, son
herencias relativamente recientes y
frescas: difcilmente superan, en los
casos extremos, los 3040 aos.
Pero imaginen ustedes lo que esas
herencias que de por s
consideramos pesadas pueden
suponer superpuestas a las de los
sistemas fsicos (operativos, fabriles,
urbanos) que a su vez son sistemas
heredados, muchos con una enorme
carga histrica.
Estamos ante lo que el Profr. Allenby20,
hablando del cambio climtico,
denomina una condicin a la que
hay que habituarse e intentar tratar a
mediano-largo plazo; pero no ante un
problema como algo que permite
confiar en una solucin directa,
relativamente pronta: una condicin
o problema retorcido.

Quiz uno de los riesgos y retos ms


importantes que plantea y plantear la
herencia es el de la seguridad. Los
sistemas heredados son
intrnsecamente inseguros, porque
fueron diseados sin que la seguridad
fuese una especificacin de diseo. Y
en las SC y en la IoT se estn
implantando sistemas informticos
heredados inseguros21, 22, y los nuevos
que se implantan con frecuencia
carecen de las precauciones de
seguridad adecuadas23.
Muchas legislaciones permiten
rechazar las herencias convencionales
(conjunto de bienes y obligaciones
que alguien cede a su muerte). Las
herencias genticas no son, por el
momento, rechazables, y las
tecnolgicas rara vez lo son.
Hay, por ello, y habr durante aos,
tanto en las SC como en la IoT, temas
de preocupacin y de ocupacin
abundantes e importantes para los
especialistas en seguridad

2016

29

Referencias
El movimiento de las nuevas ciudades surgi en un intento
de corregir la congestin, hacinamiento e inconvenientes
de las ciudades, subproducto de la revolucin industrial,
generado por el crculo vicioso por el que la industria opt
por esta-blecerse prxima a las bases de poblacin.
Consultado el 2016-01-25

Consultado el 2016-01-23.

14

Consultado el 2016-01-23.

Un 2% probablemente no es una mala aproximacin de cun deprisa,


como media, la Humanidad puede avanzar la fron-tera de la
innovacin, y parece nuestra mejor previsin para el prximo cuarto de
siglo
Tras la espectacular iluminacin, en 1882, del bajo Manhattan por
Thomas Edison, la electrificacin de la mitad de las fbri-cas [de EE.
UU.] an llev unas cuatro dcadas. Traducido de Greenspan, A.
(2007). The Age of Turbulence. The Penguin Press. pp 473-6.

15

Palao, M. y Garca-Menndez, M. (abril 2015). Smart Cities y Gobierno


Corporativo de las Tecnologas de la Informacin. Revista APD.
Monogrficos 2015, apd Asociacin para el Progreso de la Direccin.
Madrid.

Arlington County, Virginia, EE.UU.; Columbus, Ohio, EE.


UU.; Ipswich, Queensland, Australia; Mitchell, South
Dakota, EE.UU.; New Taipei City, Taiwan; Rio de Janeiro,
Brasil; Surrey, British Columbia, Canada; segn Forbes:
World's Top 7 Smart Cities Of 2015 Are Not The Ones You'd
Expect.

Fuente: Traducido de Allenby, B. R. (2012). The Theory and Practice of


Sustainable Engineering. Nueva York: Pearson Learning Solutions. p
156.

16

Consultado el 2016-01-23.

17

Ver nota 3.

Como educacin, persuasin, invntica, heurstica, investigacin


operativa, economa compartida, autoconsumo, consor-cio, etc. Ver, p. ej.,
http://tecnoblanda.blogspot.com.es/ y Varela, G. (1997), Los patrones de
vinculacin Universidad-Empresa en Estados Unidos y Canad y sus
implicaciones para Amrica Latina, en Casas, R. y Luna, M.
Coordinadoras. (1997). Gobierno, Academia y Empresas en Mxico.
Hacia una nueva configuracin de relaciones. Mxico, D. F.: Plaza y
Valds. p 55

El Pas (Editorial). (20160124). El beneficio de la catstrofe.


Consultado el 2016-01-24.

Ciudad de Mxico, Delhi, Guangzhou, Jakarta,


Karachi, Manila, Mumbai, Nueva York,
Shanghi, y Tokio. Consultado el 2016-01-23.

Un "problema retorcido" (en ingls, "wicked problem")


es un problema que es difcil o imposible de resolver
dado que presenta requisitos incompletos, contradictorios
y cambiantes que generalmente son difciles de
reconocer. El trmino "retorcido" no se utiliza en un
sentido de malvado, sino como resistencia a la solucin.
Consultado 2016-01-26

18

Consultado el 2016-01-23.

19

Ver nota 16.

20

Al considerar los requisitos de un sistema operativo seguro, vale la


pena reconocer cun lejos de satisfacer tales requisi-tos estn los
sistemas operativos corrientes. Traducido de: Jaeger, T. (2008).
Operating Systems Security. San Rafael, Cali-fornia: Morgan &
Claypool. p 39.

21

Consultado el 2016-01-26.

"[P]rcticamente, todos los sistemas operativos embebidos instalados


son incapaces de satisfacer de forma significativa niveles altos de
certificacin de seguridad. Una de las razones de la falta de seguridad
de los sistemas operativos es el enfo-que adoptado histricamente
para lograr la seguridad. En la mayora de los casos, la seguridad de
atornilla a toro pasado Lamentablemente, muchos de los sistemas
que se usan en el mundo para monitorizar y controlar plantas y equipos
en industrias tales como abastecimientos de agua, saneamiento y
gestin de basuras, energa y refine del petrleo usan esos sistemas
operativos, los mismos instalados en una vulgar PC. Traducido de
David Kleidermacher, D. & Kleidermacher, M. (2012). Embedded
Systems Security: Practical Methods for Safe and Secure Software and
Systems Development. Elsevier. p 27

22

Consultado el 2016-01-26.

10

Los principales cambios en la planificacin de nuevas ciudades


sucedieron en la dcada de 2000, cuando las ciudades chinas
experimentaron una suburbanizacin acelerada. Traducido de Wu, F.
(2015). Planning for Growth: Urban and Re-gional Planning in China.
Nueva York: Routledge. Ch. 6.

11

Consultado el 2016-01-26.

12

Las nuevas tecnologas (sistemas, dispositivos, etc.) se


estn implantando sin realizar ninguna prueba de
seguridad. Traducido de Cerrudo, C. (2015). Hacking
Smart Cities. RSA Conference 2015. Consultado el
2016-01-27.

23

[E]n un horizonte comprendido entre el 2025 y


el 2035, el 47% de la poblacin ocupada de
EE.UU. se hallar en un riego muy alto de que
el trabajo que desempea sea realizado por un
elemento no humano. Nio Becerra, S. (5 de
enero 2016). Reedicin.
LACARTADELABOLSA. Consultado el
2016-01-05.

13

30