Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SEGURIDAD DE LA INFORMACIN
DEPOSITOS: Banco de Crdito Nro. de cuenta: MN 201-50102539-3-07 YanapTI SRL Direccin: Av. Arce esquina Montevideo Edificio Venus No. 2105 5to Piso oficina 5A Telfonos: 2152273 - 2440985 Fax: 2440803
El factor humano, el mayor riesgo a gestionar Lic. Hugo Rosales Uriona Ing. Limberg Illanes
E-mail: capacitacion@yanapti.com. Sitio web www.segurinfo.com.bo La Paz- Bolivia Fechas Jueves 3 de Julio: Area Tcnica Viernes 4 de Julio: Area de Gestin Costos Estudiantes: 300 Bs. Profesionales: 400 Bs. Lugar Hotel EUROPA Calle Tiahuanaco N 64 "Saln GERMANIA"
MBA. Ing. Marcelo Villegas Salinas
Contenido
Guido Rosales Uriona
EDITORIAL
Pag. 3 Cumpliendo un Compromiso
ENTREVISTA NOBOSTI
Pag. 43 Karina Medinacelli Derecho Informtico
PERCEPCIONES
Pag. 7 Seguridad y auditora en sistemas Biomtricos Pag. 10 Portal Pas del desarrollo Bolivia Pag. 13 Encriptacin Biomtrica Robusta Pag. 16 Cripto que? Pag. 21 Usb, los dispositivos de robo de informacin Pag. 25 Tcnicas de deteccin de fraude Pag. 29 Diferente tecnologa en servicios de Banca, pero se mantiene el mismo riesgo Pag. 31 Transparencia de la informacin pblica Pag. 51 Informe Interpol Caso porttiles las FARC Colombia Pag. 52 Etapas de la investigacin criminal
ARTCULO NOBOSTI
Pag. 49 Tecnologa puede apoyar en lugar de aplastar las lenguas originarias
Vladimir Murillo Ch. Editor Mariela Nuez B. Rep. Comercial Sergio Calizaya A. Editor - Diseo Grfico Wilson Morales M. Editor Alvaro Rojas C. Editor Boris Murillo P. Editor - Web Master Martn Mendoza B. Diseo grafico Alejandra Ojeda O. Editor Rolando Rosales U. Rep. Comercial Cochabamba Daniel Vargas M. Rep. Comercial Santa Cruz
PLUS
Pag. 35 Segurinfo Pag. 40 Calendario de eventos Nacionales e Internacionales Relacionados con TI Pag. 58 Gratos Recuerdos
info@nobosti.com
www.nobosti.com
Ingeniero de Sistemas y Master en Ciencias de la Ingeniera desde el ao 1995, titulado por la Universidad Internacional de Aviacin Civil de Kiev Ucrania. Master en Direccin Estratgica de TI desde 2007, estudios cursados con FUNIBER ESPAA. Auditor CISA (Certified Information System Auditor) desde el ao 2000. Especialista CISM (Certified Information Security Manager) desde el ao 2003. Acreditado por ISACA - EEUU. Especialista CISO (Certified Information Security Officer), FCA (Forensic Computer Advisor) e ISSA (Information system security Auditor) desde el ao 2005. Acreditado por YANAPTI - Bolivia. Experiencia Docente en Universidades de La Paz, Cochabamba, Santa Cruz, Oruro, Tarija y Sucre (Tanto en Pre como Postgrado). Traductor, revisor e impulsor de la Primera norma en Bolivia sobre seguridad NB ISO/IEC 17799. Autor de los libros: Polticas y Normas de Seguridad (2007) y Sun Tzu - Estrategias de Seguridad en TI.
Edicin Especial
Este primer nmero es sin duda un momento especial para la gran familia de Yanapti, momento que queremos dedicarlo al estado de la Seguridad en Bolivia desde nuestro punto de vista.
NOBOSTI, vol.0/08
Entendemos que hablar del Estado es bastante ambicioso por cuanto las variables para definirla son
4
muchas, pero queremos considerar por ejemplo: El estado de la regulacin. El mercado profesional especializado. El mercado de Capacitacin profesional y universitaria. El mercado de la consultora. El nivel de madurez promedio.
Tambin queremos acompaar esta edicin con el anuncio del primer evento profesional, SEGURYNFO, espacio que busca mostrar el talento nacional y de manera indirecta el estado de la seguridad en nuestro pas. Este evento que se llevara a cabo el mes de julio es sin duda parte indivisible de nuestras ediciones, son parte de ese TODO que es la seguridad.
Nuestra Mstica
Cada nombre tiene o debe tener un significado, quiero hacer remembranza de los nombres que componen nuestra familia. Empezando con YANAPTI, es en realidad la fusin de raz YANAP que tanto en aimara y quechua hace referencia a AYUDAR nicamente cambian las terminaciones y la palabra Tecnologa de Informacin que se representan como TI, entonces YANAPTI significa ayudar en TI, busca ser un punto de ayuda para las empresas, los profesionales y la comunidad en general.
NOBOSTI Viene de la palabra NOBOSTI que en el idioma ruso significa novedades. Para nosotros significa Novedades Bolivianas en Seguridad y TI.
Nuestro Alcance
Nuestro pblico objetivo es sin duda el segmento de profesionales en reas relacionadas directa e indirectamente con la Tecnologa. Sin embargo tambin consideramos que el espacio universitario es de vital importancia. Fomentar la continua renovacin e insercin de nuevos profesionales le inyecta la dinmica necesaria al mercado. Preparar las futuras generaciones hace que las actuales no pierdan el ritmo de capacitacin y entrenamiento que debe caracterizar al sector tecnolgico. Si muchas veces nos quejamos de la fala de integracin entre Universidad y empresa creemos que podemos aportar creando un espacio reservado para la produccin intelectual universitaria y las actividades que sin duda permiten a las empresas anticiparse a los acontecimientos y de una manera estrechamente ligada, entregar al segmento universitario informacin sobre las necesidades empresariales. Buscamos un alcance equilibrado entre la prctica y a teora, la universidad y la empresa. Entro lo que quisiera hacer y lo que puedo hacer.
Nuestras Creencias
Creemos en el uso de la tecnologa para mejorar la calidad de vida en todos los sectores. Si vemos a nivel mundial, independientemente de la lnea poltica o religiosa, la tecnologa es utilizada en todo lugar. Se ha llegado a convertir en el motor de la era del conocimiento, por ello creemos que podemos devolver a nuestra sociedad calidad de vida, optimizando procesos, transparentando operaciones, asegurando este nuevo mundo virtual para el beneficio de la sociedad.
NOBOSTI, vol.0/08
Creemos que podemos aportar y sobre todo dedicarnos a brindar un espacio seguro para lograr esa ansiada mejora en la calidad de vida.
Captura.
Est definido como la captura automtica o medicin de una caracterstica fisiolgica o de comportamiento de una persona. Extraccin Este componente extrae y preserva las caractersticas biomtricas que permitirn generar el modelo. Dentro de este componente esta un algoritmo de control de calidad el cual puede ayudar a determinar si una captura es aceptable o debe volver a ser capturada. Creacin del Modelo Este componente crea el modelo a partir de la salida generada por el componente de extraccin. Comparacin Es en este punto donde entran en juego dos caractersticas bsicas de la fiabilidad: la tasa de falso rechazo (FRR) que se entiende como la probabilidad de que el sistema de autenticacin rechace a un usuario legitimo, y la tasa de falsa aceptacin (FAR) que es la probabilidad de que el sistema autentique correctamente a un usuario ilegitimo. Este componente compara la informacin biomtrica extractada del modelo obtenido y la informacin obtenida de un modelo de referencia. Este tpicamente proporciona un valor de resultado o valor umbral (threshold). Riesgos de los Sistemas Biomtricos Ataques biomtricos. a) Biometra falsa Es representada por cualquier huella falsa
Biometra
El concepto biometra proviene de las palabras bio (vida) y metra (medida), se define como el conjunto de caractersticas fisiolgicas y de comportamiento que pueden ser utilizadas para verificar la identidad de un individuo en este caso especfico se hablar de la huella digital, debido a que es la biometra de mayor uso y la cual presenta un trabajo ms continuo en cuanto a estndares. 2.1 Procesamiento de la informacin biomtrica
NOBOSTI, vol.0/08
8
utilizada para burlar un sistema biomtrico. Estos incluyen huellas de cadveres, y huellas falsas hechas con silicona, gelatina, plstico, arcilla modelada o cualquier otra sustancia. b) Ataques de Reenvi/ Introduccin de datos falsos Se basa en la introduccin de tramas de datos biomtricos falsos entre el dispositivo biomtrico y el sistema de procesamiento. c) Reutilizacin de residuos Algunos sistemas pueden retener en la memoria las imgenes y los modelos de las huellas capturadas, si un atacante puede acceder a memoria puede obtener valiosa informacin biomtrica y re utilizarla. d) Interferencia del proceso de extraccin. Consiste en interferir el proceso de extraccin de caractersticas biomtricas para introducir datos falsos y forzar un nuevo procesamiento. e) Caracterstica biomtrica sintetizada. Una trama de datos representando una caracterstica biomtrica falsa es introducida durante la transmisin. f) Interferencia de la verificacin/Verificacin falsa Consiste en interferir o ignorar la decisin del proceso de verificacin reemplazndola con una verificacin valida. g) Intercepcin del canal de almacenamiento e introduccin de datos. Tal vez el ataque que presenta las ms significativas consecuencias, ya que puede comprometer el procesamiento del sistema y la base de datos biomtrica. h) Modificacin no autorizada de un modelo biomtrico. Los modelos biomtricos pueden ser alterados, reemplazados o adicionados en el sistema. i) Interferencia de la decisin / Falsa aceptacin. Este tipo de ataque ignora la decisin del proceso de verificacin e introduce un resultado de falsa aceptacin entre el sistema biomtrico y el dispositivo final. los datos biomtricos despus de obtener el modelo biomtrico, esto constituye un gran reto en la implementacin de controles para mantener la privacidad y proteccin de la base de datos biomtrica. c) Deteccin en vivo. Un elemento clave para la defensa de un ataque spoofing es la implementacin de controles en vivo para verificar que la huella presentada corresponde a una persona viva y no una persona muerta, o una huella falsa. d) Biometra mltiple. Al igual que los datos aleatorios este control adiciona un nivel mayor de complejidad a los ataques, este control requiere el uso de ms de una tecnologa biomtrica por ejemplo: biometra de la huella y del iris. e) Autenticacin Multi-factor. Al igual que con los datos aleatorios y la biometra mltiple, este control usa mltiples fuentes de autenticacin, tales como smart cards, tokens, pines, paswords etc. f) Criptografa y firmas digitales. La encriptacin proporciona un medio efectivo para cifrar y proteger la informacin que atraviesa la red de ataques de intercepcin e introduccin de datos falsos. g) Seguridad Fsica. La seguridad fsica es a menudo el sistema ms barato y ms efectivo sobre todo para proteger el acceso fsico a los dispositivos biomtricos, al mismo tiempo la presencia de guardias puede proteger a los usuarios autorizados de ataques coercitivos.
Marco de Referencia
Seguridad en Biometra El primer documento formal que trata el anlisis de la Seguridad en Biometra, es el BEM (Biometric Evaluation Methodology), que se emiti para ser considerado como una propuesta hacia el comit de CC (Common Criteria). La conclusin ms Ejecucin del proceso de Auditoria de los sistemas biomtricos. Evaluacin de la seguridad biomtrica. Segn el BEM fase previa a la evaluacin se requieren los siguientes materiales. Posterior a los materiales requeridos, los atributos biomtricos que pueden ser evaluados son: funcionamiento tcnico, aceptacin social, riesgos de negocio y beneficios, y la confiabilidad
Defensas
a) Datos aleatorios. El sistema requiere que el usuario registre mltiples caractersticas biomtricas, posteriormente el proceso de verificacin solicitar mltiples huellas al azar. b) Retencin de datos. La mayora de los sistemas biomtricos elimina
NOBOSTI, vol.0/08
ver tabla 1
9
Tabla 1 Materiales requeridos para la evaluacin
de la seguridad del sistema. A partir de la confiabilidad de la seguridad del sistema se considera como criterios de evaluacin: mantenimiento, confiabilidad, disponibilidad, vulnerabilidad y seguridad. Posteriormente la evaluacin puede iniciar considerando los siguientes tems: a) Documentacin de desarrollo: considera si estn usndose estndares biomtricos. b) Directrices de documentacin: considera como los requisitos de privacidad son documentados, como los factores del entorno son documentados y como la configuracin de los umbrales de verificacin son descritos y documentados. c) d) Pruebas: considera los procesos de testeo y requiere la verificacin del entorno de configuracin. Evaluacin de vulnerabilidades.
e) Robustez del sistema: considera amenazas y vulnerabilidades especificas tales como biometras similares, pruebas de stress, factores del entorno, y requisitos de privacidad. Finalmente los controles mnimos que el sistema biomtrico debe incorporar son (ver Tabla 2):
Conclusin.
Al igual que en muchos otros campos, la tecnologa biomtrica sigue avanzando tanto en la mejora de las tcnicas utilizadas en los sistemas ya existentes y en el desarrollo de nuevas tcnicas, esto es consecuencia de una demanda cada vez mayor de seguridad en un gran nmero de campos. Hoy en da los sistemas biomtricos tienen un lugar importante en una variedad de aplicaciones, ms all de controlar el acceso, inmigracin, control de asistencias, centros de atencin mdica, programas de beneficencia y puntos de ventas son solo unas cuantas de las aplicaciones donde se utilizan sistemas biomtricos, al mismo tiempo las mejoras tecnolgicas, precios ms bajos e innovaciones van creciendo ao a ao. Finalmente los estndares biomtricos y las buenas prcticas estn permitiendo establecer controles adecuados para mitigar el riesgo de ataques a los sistemas biomtricos.
NOBOSTI, vol.0/08
10
NOBOSTI, vol.0/08
continua en la pag. 24
Por otro lado, esto se puede subsanar mediante el principio de la autenticacin robusta, que solicita que adems de utilizar la clave, se aplique una contrasea el momento de la encriptacin o desencriptacin que slo el emisor conozca y que comparta slo con los receptores finales, los cuales la recibirn por otro medio. Es as, que se tendr una clave biomtrica relativamente robusta frente al hecho de que se puede robar la clave, pero se requerir a la persona como tal para desencriptarla. Entre los mtodos biomtricos sugeridos, se tienen la generacin de clave mediante: muestra de ADN digitalizado, huella dactilar y finalmente cdigo de Iris.
NOBOSTI, vol.0/08
14
Cdigo de Iris: El proceso del Reconocimiento de Iris realizado por el dispositivo biomtrico, consta
de los pasos siguientes: captura de la imagen, localizacin del iris. optimizacin de la imagen y clasificacin de la imagen.
Huella Digital: Utilizan un escner que hace rebotar rayos de luz en el dedo, donde un sistema procesa el patrn refractado. Esto permite al lector crear una imagen del dedo, que es trasmitida al software biomtrico.
Prototipo diseado por el autor del artculo, para combinar ambas tcnicas y realizar as la arquitectura de un software que realiza la encriptacin biomtrica, para una autenticacin robusta con clave pblica en sistemas criptogrficos avanzados como aquellos que aplican el algoritmo de encriptacin AES o el 3DES.
Donde: KBio: Clave Biomtrica generada por el dispositivo biomtrico Biomtrico: Dispositivo de reconocimiento biomtrico (Huella, ADN, Iris, etc) KPr: Clave privada generada por el algoritmo
KPu: Clave pblica generada por el algoritmo Generacin Clave: Algoritmo de Encriptacin (AES, TDES, etc.) KPuB: Clave pblica encriptada por el dispositivo Biomtrico.
Como se observa, es posible combinar tcnicas de encriptacin biomtrica y de clave asimtrica; asimismo utilizar un algoritmo veloz de encriptacin para el efecto, como lo es el algoritmo AES. La combinacin de ambas tcnicas de encriptacin de mensajes se realiz segn el diagrama en bloques de la figura anterior donde se muestra el proceso de la generacin de claves, ya sean biomtricas o la generacin de claves pblica-privada por otro medio.
NOBOSTI, vol.0/08
15
Es as que en el transmisor se crea la clave pblica biomtrica KPuB, que es generada al utilizar la clave pblica KPu por un mtodo tradicional, como el algoritmo AES; el emisor encriptar el mensaje a ser transmitido mediante la generacin de la clave privada KPr. La clave pblica biomtrica KBio, ser difundida por otro medio y slo servir para desencriptar la clave pblica biomtrica KPuB, no conocida por la entidad que produce la clave privada, ya que sta no tendra la clave biomtrica. Las aplicaciones que trabajen con este tipo de autenticacin, deben ser amigables y tomar en cuenta que los diseadores de redes y tcnicos no son ni sern los usuarios finales, ya que tanto los sistemas biomtricos como el cifrado sern parte de la vida cotidiana en los prximos aos. Finalmente hacemos notar que: La seguridad ser utilizada por el usuario siempre y cuando la forma segura de hacer las cosas sea a su vez la ms sencilla de hacerla.
Por otra parte en el receptor, se reciben tanto la clave biomtrica generada por el mecanismo biomtrico KBio, como la clave pblica encriptada por esta clave biomtrica KpuB, denominada clave pblica biomtrica, es as que en el receptor del mensaje se permitir finalmente, desencriptar mediante la segunda clave generada.
Por lo tanto, se implementa un algoritmo asimtrico, que cree una clave asimtrica mediante una metodologa conocida tanto para la generacin de la clave biomtrica como para la de la clave asimtrica de cifrado dada; en este caso el algoritmo criptogrfico sugerido es AES y como formas de autenticacin biomtrica se toman las aplicadas mediante: huella digital, cdigo del iris o una clave generada mediante la codificacin del ADN del emisor.
Es importante notar que todo este proceso es transparente para el usuario receptor del mensaje, ya que el procedimiento es prcticamente el mismo que la desencritacin de un mensaje firmado. Asimismo, con la diferencia de utilizar una clave generada por un medio de reconocimiento biomtrico, el proceso nuevo es tan simple como el tradicional, para el caso de la encriptacin.
El prototipo mencionado fue aplicado y comparado el mismo con otros mtodos de encriptacin en entornos distintos, de tal manera que se demostr el hecho de que efectivamente es posible incrementar el grado de seguridad de los datos transmitidos en sistemas criptogrficos avanzados de clave pblica aplicando encriptacin biomtrica a la clave generada por el algoritmo Rijndael (AES) de manera que solo el receptor pueda autentificar el origen del mensaje recibido.
NOBOSTI, vol.0/08
16 CRIPTO QU?
La introduccin del ordenador (computador), en las oficinas pblicas, privadas y nuestros hogares, y la aplicacin de estos en el trabajo conjunto o cooperativo a travs de las redes de datos, especficamente en Internet, ha popularizado enormemente la utilizacin de servicios tales como el correo electrnico, mensajera instantnea, transacciones administrativas y financieras y en suma para el envi de informacin a las personas (familiares, colegas) con las cuales trabajamos o mantenemos algn contacto.
La mayora de estas personas no saben que es lo que ocurre por debajo de este proceso (enviar informacin), y lgicamente tampoco debera importarles, pues para ellos, la cuestin es, enviar la informacin y la otra persona llammosla Receptor, y con la cual mantiene el contacto reciba esta informacin, as de sencillo es esto, no importndoles tambin si la informacin enviada sea interceptada por algn otro tipo de persona (Intruso), en otras palabras poco les importa la seguridad de la informacin transferida. Sin embargo existen personas y entidades, que tambin utilizan los servicios de una Red (Intranet, Extranet o Internet), que saben y tienen el
conocimiento que la informacin (su informacin), que transferirn solo sea conocida y recibida por una persona/entidad autorizada, evitando as las amenazas y riesgos a la que esta expuesta su informacin. Y es este tipo de persona/entidad que debera utilizar algn mecanismo que le permita proteger esta informacin. Y es aqu donde entra uno de los mecanismos ms importantes (sino la mas primordial), para securizar, la informacin, y la cual se denomina Criptografa. Una definicin general de lo que es Criptografa es la siguiente: La criptografa es el estudio de tcnicas matemticas relacionadas a aspectos de la seguridad, tales como la confidencialidad, integridad de datos, autenticacin, y no repudio. Una definicin ms comn para la criptografa es: Criptografa es la tcnica de convertir un texto en claro (plaintext), en otro llamado criptograma (ciphertext), cuyo contenido de informacin es igual al anterior pero slo lo pueden entender las personas autorizadas.
NOBOSTI, vol.0/08
17
Los trminos Cifrar y Descifrar, son utilizados comnmente para la conversin respectiva, CIFRAR, para convertir el Texto en Claro en Criptograma y DESCIFRAR para convertir el Criptograma en Texto en Claro, y es en esta comprensin de trminos que mucha gente, inclusive profesionales del rea se confunden y tienden a denominar estos trminos como Encriptar y Desencriptar, alguien en un Blog (que no me acuerdo, pero que esta por ah), escriba que ENCRIPTAR es el proceso de meter en un cripta y DESENCRIPTAR el proceso inverso, y tiene totalmente la razn pues los trminos ltimos son eso mismo. No se enojen, no se enojen, es as, y ejemplos hay muchsimos, pero bueno, a seguir se dijo, ya conociendo lo que es la Criptografa y lo que hace, podemos ya movernos a escenarios mas prcticos y reales y ver como podemos apoyndonos y aplicando este mecanismo proteger nuestra informacin. Pero (siempre hay un pero), primero conocer un poco mas de otros aspectos que son importantes para comprender mejor este mecanismo (tcnica para algunos). La criptografa en su forma ms bsica utiliza dos conceptos para su aplicacin: La Transposicin y la Sustitucin, conceptos clave para entender esto de la Criptografa. La Transposicin: Consiste en una reordenacin de los elementos bsicos (caracteres -letras, nmeros, smbolos-), La Sustitucin: Que consiste en el cambio de significado de los elementos bsicos (caracteres -letras, nmeros, smbolos-), del mensaje a cifrar.
C R I P T O G R A F I A
3 E Z # A T I E T 9 Z T
As de simple entonces haba sido la criptografa, mira vos, (alto, alto, tanto as no), para aplicar estos dos conceptos se utilizan algunos aspectos matemticos (formulas matemticas), que nos ayudaran a realizas estas dos tareas, y la aplicacin de estas formulas a travs de lo que se denomina Algoritmos, Criptogrficos, que nos permitirn Cifrar y Descifrar los mensajes. Y es aqu donde entra el concepto de Criptosistema (este mete puro conceptos parece). Un Criptosistema es una quntupla de elementos de la siguiente forma: (m, c, k, e, d), donde: m: representa el conjunto de todos los mensajes sin cifrar (texto en claro) c: representa el conjunto de todos los posibles mensajes cifrados, o criptogramas. k: representa el conjunto de claves que se pueden emplear en el criptosistema. e: es el conjunto de transformaciones de cifrado que se aplica a cada elemento de m para obtener un elemento de c. d: es el conjunto de transformaciones de descifrado, anlogo a e. Entonces todo criptosistema ha de cumplir la siguiente condicin: dk ( ek ( m ) ) = m, es decir, que si tenemos un mensaje m, lo ciframos empleando la clave k y luego lo desciframos empleando la misma clave, obtenemos de nuevo el mensaje original m.
F R A T O I P A R G C I
del mensaje a cifrar.
C R I P T O G R A F I A
NOBOSTI, vol.0/08
18
Tipos de Criptosistemas:
Criptosistemas Simtricos: La criptografa simtrica se refiere al conjunto de mtodos que permiten tener comunicacin segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente, que llamaremos clave o llave simtrica. La SIMETRIA se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar. Ejemplos de Criptosistemas simtricos: AES, TDES, IDEA, BLOWFISH, TWOFISH, DES.
de al algoritmo, la clave pblica ser la de cifrado o viceversa. Ejemplos de Criptosistemas Asimtricos: RSA, RW, DSA, DH, (considerando que DSA y DH se utilizan mas en la firma digital),
NOBOSTI, vol.0/08
19
Los algoritmos asimtricos emplean generalmente longitudes de clave mucho mayores que los simtricos. Por ejemplo, mientras que para algoritmos simtricos se considera segura una clave de 256 bits, para algoritmos asimtricos se recomiendan claves de al menos 2048 bits. Adems, la complejidad de clculo que comportan estos ltimos los hace considerablemente ms lentos que los algoritmos de cifrado por bloques. Las aplicaciones de este tipo de criptosistemas es la autenticacin de mensajes con ayuda de funciones hash, que nos permiten obtener una firma a partir de un mensaje. Dicha firma es mucho ms pequea que el mensaje original, y es muy difcil encontrar otro mensaje que tenga la misma firma. Bueno, ya conocemos lo que es la criptografa, en que se apoya y el como funciona, y como diablos aplicamos esto ? En primer lugar, necesitamos un programa (sistema, software), que implemente estos algoritmos criptogrficos (en otras palabras necesitamos un software que nos permita Cifrar y Descifrar la informacin), sino tenemos la capacidad de poder desarrollar uno de estos programas, pues podemos bajarnos de Internet algunos (existen varios gratuitos), que tienen su documentacin o manual de usuario inclusive. Aplicando un Algoritmo Simtrico, un escenario prctico sera el siguiente: Deseamos enviar informacin, ciframos nuestra informacin (ya sean datos o archivos completos), con una clave y a travs del correo electrnico enviamos la informacin o el archivo cifrado, el receptor (la persona a la cual enviamos la informacin), recibir la informacin o el archivo cifrado y utilizando el mismo programa, proceder a descifrar, lgicamente utilizando la misma clave con la cual se cifro. Aplicando un Algoritmo Asimtrico, un escenario prctico seria el siguiente: Deseamos enviar informacin, ciframos nuestra informacin (ya sean datos o archivos completos), con nuestra LLAVE PRIVADA y a travs del correo electrnico enviamos la informacin o el archivo cifrado, el receptor (la persona a la cual enviamos la informacin), recibir la informacin o el archivo cifrado y utilizando el mismo programa, proceder a descifrar, utilizando la CLAVE PBLICA del emisor. Para ambos casos, las personas que realicen la transferencia tendran que conocer la Clave Simtrica o la Clave Pblica del Emisor. Ya se cansaron no?, entonces para terminar, no solamente aplicando la Criptografa podemos afirmar que nuestra informacin este segura, sino ms bien complementar con otro tipo de mecanismos para poder minimizar las amenazas y riesgos para nuestra informacin, como son los, Modelos de Gestin de Informacin, Planes de Seguridad y el sentido comn. Luego de leer este articulo, hay quien, que ya no se preguntara CRIPTO QUE?
NOBOSTI, vol.0/08
famoso plug and 'play'!!!): Uno de los ejemplos mas sencillos de nombrar, es tambin uno de los mas comunes, prcticamente toda persona hoy en da viaja de un lugar a otro con su Ipod en mano (o clones de fabricacin asitica, pero con la misma funcionalidad), en varias oficinas es comn ver estos dispositivos constantemente conectados a las estaciones de trabajo de los empleados, ahora pensemos: cul es el nivel de acceso que tienen esos usuarios a los datos importantes de la empresa?, pensemos en, tal vez lo mas importante, la informacin de la Base de Datos, incluso si esta debidamente protegida, nuestra pesadilla no acaba all, pensemos en los datos de los usuarios, desde planes de marketing, formularios de correo, documentos confidenciales, etc., todo tipo de datos que imaginemos visible a travs de la red es tambin fcil de almacenar mediante estos dispositivos, al fin y al cabo un IPod comn y corriente tiene hoy en dia poco mas de 80 Gb, listos para ser almacenados. Por cierto esta tcnica se denomina 'Pod Slurping' aunque no hace falta conocer el nombre para aplicarla, pregunten a sus usuarios. En este sentido lo que ms debe causarnos preocupacin (adems de la existencia de estos dispositivos) es la naturalidad con que permitimos su conexin, se nos hace difcil prohibir el uso de estos, puesto que a veces es mas fcil enviarnos informacin por un Flash USB que hacerlo por otros medios, de ah que la vida sin estos dispositivos se nos imagine imposible. Tal vez la mejor forma de mostrar la peligrosidad de los dispositivos 'plug-and-play' sea dando mas ejemplos. Veamos, cunta informacin importante tiene en su escritorio? (el fsico, no el virtual), desde papeles de trabajo, pasando por contratos, y tal vez por all alguna que otra clave de acceso a sus sistemas de informacin. Una cmara promedio
Figura 1: Conversor de discos SSD a IDE. En una de esas casuales visitas a los centros de venta tecnolgicos de la ciudad, me puse a revisar el arsenal de dispositivos que existe a la venta hoy en da, desde mini-cmaras, dispositivos de comunicacin: bluetooth y wi-fi, unidades de almacenamiento externo, etc, o incluso un 'todoen-uno'. Se me ocurri realizar una breve recopilacin de tcnicas, herramientas de hacking y robo de informacin que se aprovechen de la facilidad de instalacin de dichos dispositivos (el
NOBOSTI, vol.0/08
22
hoy en da tiene una resolucin de 5 Megapixeles (ni que decir de las nuevas Cibershot ...), que bastan para capturar con una sola fotografa todo lo que uno tiene en el escritorio con una visibilidad aceptable, y nuevamente, su unidad de almacenamiento es lo suficientemente grande para robar los datos del escritorio (esta vez si hablo del virtual : ) ). Suficiente?, pasemos a otro ejemplo, los famosos ataques va bluetooth, las aplicaciones de este tipo caben en un celular con mediano poder de procesamiento, y son capaces de robar toda la informacin de una agenda electrnica, leer sus mensajes, ver sus contactos y sus nmeros telefnicos, cambiar el profile, reproducir una cancin, reiniciar el mvil, apagarlo, restaurar todos los cambios a defaults, cambiar el volumen del celular, enviar spam a todos los celulares o dispositivos cercanos, etc. En nuestro laboratorio trabajamos con 2 tipos de ataque: el bluespaming y el bluesnarfing (existen otros como el bluesniffing y el bluebugging). El primero de ellos se trata, por decirlo de una forma elegante, de marketing via bluetooth, el dispositivo identifica la categora de los dispositivos cercanos y comienza a enviar mensajes a todos los que encuentre a su alrededor, podemos utilizar la herramienta para dispositivos palm disponible a travs de http://www.mulliner.org/palm/bluespam.php, su uso es muy simple, simplemente se activa el programa y el mismo realiza todos los pasos automticamente, solamente se necesita cargar el archivo a ser enviado en una carpeta de la palm, y ...listo. Incluso existe software comercial que utiliza este tipo de vulnerabilidades en los dispositivos, el caso de Blue Market de la empresa RIA Software, cuyo producto cuesta aproximadamente 512 $US. Figura 2: Blue Market, herramienta de spaming via bluetooth El segundo tipo de ataque es mucho mas critico, el bluesnarfing consiste en el robo de informacin de un dispositivo a travs de una conexin de bluetooth, podramos utilizar una de las mas completas herramientas: 'Super Bluetooth Hack', es una aplicacin desarrollada en java (por lo que podemos instalarlo a nuestros celulares Ericsson y Nokia) que permite la conexin contra otro celular, la primera conexin requiere que la victima acepte un cdigo, un poco de ingeniera social nos facilitara el trabajo. Una vez realizada la primera conexin, ya no es necesario ningn cdigo, la victima queda vinculada al atacante el cual puede realizar distintas acciones, desde ver el calendario hasta realizar llamadas remotas, etc.
Figura 3: Super Bluetooth Hack La recomendacin en los ataques de tipo blue'x' es desactivar el bluetooth del dispositivo y nicamente activarlo cuando vaya a ser utilizado. Pasemos a otros dispositivos: los dispositivos wifi, la variedad mas interesante es la de dispositivos portables con conexin por USB, por su portabilidad, no tienen mucho que envidiar a los de tipo PCI, el tipo de ataque mas comn consiste en conectar este dispositivo en algn lugar oculto de la computadora (en la parte trasera basta), y configurar dicho dispositivo en modo puente, de tal manera que una vez estemos fuera del edificio sea posible conectarnos a travs de dicho dispositivo a la red institucional, justamente su portabilidad permite
NOBOSTI, vol.0/08
23
pasar inadvertido por la mayora de los usuarios y administradores del sistema. es modificable, entonces podramos cargar aun mas herramientas como keyloggers, spyware, etc. Otra cosa interesante de estas tcnicas es que viene incorporado con una aplicacin denominada 'avkill.exe', el cual deshabilita la mayor parte de las funciones del antivirus para que la herramienta pueda infectar la terminal sin interrupciones, el ataque como tal, toma de 40 a 60 segundos y graba el resultado en la misma memoria USB, ejecutando todo en segundo plano, de manera que todo el proceso es transparente al usuario. Si desea saber mas acerca de esta herramienta, existe un excelente manual disponible en http://www.nobosti.com/spip.php?article258. Hasta aqu un breve repaso de algunas de las tcnicas utilizadas hoy en da que aprovechan estos nuevos aparatos, no por nada las instituciones britnicas estn bloqueando completamente los puertos de comunicacin USB, unindose al movimiento que llevan bastante tiempo en otros pases del primer mundo. Las recomendaciones mas efectivas van desde la desactivacin de los puertos de USB por bios (y con contrasea), hasta la implementacin de productos de control de perifricos, tipo DeviceWall, DeviceLock o GFI EndPoint Security. Finalmente depende de nosotros, realizando un examen al interior de nuestras instituciones, el permitir o no el uso de los mismos, a sabiendas que corremos un grave riesgo por la falta de control.
Obviamente del otro lado debemos disponer de una buena antena para realizar la conexin, pero con las nuevas tecnologas WIFI '811.n' se mejora la probabilidad de xito de dicho ataque. El ejemplo final que deseo presentar, consiste en los ataques realizados mediante dispositivos de almacenamiento USB flash. Tal vez el ejemplo ms tpico que encontramos al respecto son los virus y troyanos, estos han encontrado en los dispositivos flash USB uno de los mejores medios de almacenamiento y contagio; al respecto uno de los proyectos ms avanzados es el desarrollado por el grupo HAK5 (www.hak5.org), mediante las tcnicas: switchblade y hacksaw. Dichas tcnicas se basan en la 'nueva' caracterstica U3 de algunos dispositivos, al conectar el dispositivo U3 se visualizan 2 unidades nuevas, la unidad de almacenamiento del dispositivo y una unidad virtual de CD perteneciente al mismo dispositivo, el cual 'emula' una unidad de CD virtual que contiene las aplicaciones del dispositivo, dichas aplicaciones se cargan automticamente debido a la caracterstica de autoarranque de las unidades de CD, lo que permite llevar aplicaciones como Firefox, Thunderbird, McAfee, etc. de forma porttil, sin necesidad de instalar nada. El ataque se lleva a cabo modificando el contenido de ese CD virtual, insertando aplicaciones de hacking, como scanners a nivel de red, recuperadores de contraseas, instalacin de escritorio remoto, etc., los cuales se lanzan automticamente mediante un archivo '.bat', el cual, por supuesto
* Boris Murillo Prieto Ingeniero de Sistemas Escuela Militar de Ingeniera, actualmente Consultor y Oficial de Seguridad en YanapTI SRL. Especializado en Seguridad y Auditoria de Sistemas, CISO (Certified Information Security Officer). Analista de seguridad en aplicaciones e infraestructura tecnolgica basado en OSSTM y ASSIF. Capacitador en ataque y defensa a profundidad de sistemas de informacin. Experiencia en implementacin y hardenning de infraestructura de VoIP. Experto en desarrollo e implementacin de sistemas basados en teconologa WEB. Experiencia en recoleccin y anlisis de medios en investigacin forense, facilitador en eventos y capacitaciones de Ethical Hacking.
NOBOSTI, vol.0/08
24
viene de la pag. 10
iniciativas y programas pblicos de desarrollo productivo, econmico y social en Bolivia, promoviendo la participacin de la ciudadana en general. Proveer un foro de discusin y accin que promueva colaboraciones y sinergias entre la sociedad civil y los sectores pblicos y privados en temas de Desarrollo productivo. Tambin promover el desarrollo de una red activa de expertos en temas de desarrollo. Promover la movilizacin de recursos econmicos para aquellos proyectos y programas a nivel local, regional o nacional que tengan el objetivo de reducir la diferencia al acceso de tecnologa e informacin e incentivar el uso de tecnologa para promover la lucha contra la pobreza. Incorporar las experiencias innovadoras desarrolladas en otros pases de Amrica Latina como puntos de referencia para la evaluacin comparativa de la situacin de Bolivia y para la formulacin de nuevas propuestas. Promover el desarrollo sustentable y la reduccin de la pobreza compartiendo conocimientos y recursos.
Beneficios que ofrece el Portal de Desarrollo. Conglomerar empresas, principalmente pequeas y medianas concentradas geogrficamente y especializadas sectorialmente a travs de la red. Encadenamiento en un conjunto hacia adelante y hacia atrs entre los agentes econmicos con base en el intercambio de bienes, informacin a travs de los mercados o por fuera de ellos. Enfatizar los aspectos culturales y sociales, que son factores determinantes en la confianza que debe existir entre los agentes de complejo productivo para que se d una cooperacin intensa entre los agentes. Apoyo al conglomerado de instituciones de carcter privado y pblico a travs de distintos servicios de informacin, que permiten mejorar las condiciones de competencia: o o o o o o o o o o o o o o o o o o Acceso a informacin sobre precios de productos agrcolas y otra informacin relevante. Oferta y Demanda de Subcontratacin y produccin conjunta Provisin de informacin en procesos productivos. Provisin de informacin de productos especializados. Provisin de informacin de Proveedores de materias primas y componentes. Informacin Turstica Rural. Provisin de Informacin sobre Proveedores de maquinaria nueva, segunda mano o partes. Apoyo a agentes comerciales que venden en mercados distantes ya sean nacionales o externos. Ofertas y demandas de insumos. Flujos de Informacin. Compras en comn. Provisin de informacin de productores especializados de servicios tcnicos, financieros y contables. Informacin sobre posibilidades de exportacin del sector productivo Formacin de asociaciones para proveer servicios a la comunidad del Portal. Surgimientos de medios para compartir informacin tales como boletines o pequeos peridicos Cofinanciacin de institutos tcnicos y de capacitacin. Organizacin y participacin de eventos como ferias. Ecuacin virtual sobre distintas temticas para apoyar al sector productivo.
NOBOSTI, vol.0/08
Procedimientos analticos de auditoria: Anlisis vertical y horizontal de las cuentas de balance y de resultados; anlisis de ndices/ratios histricos Los resultados de estas tcnicas no necesariamente indican que existe fraude en un grupo de datos analizados, simplemente nos dan indicaciones donde poner mayor atencin en el anlisis, los resultados se tendrn que valorar de acuerdo a las particularidades del negocio, por ejemplo puede ser que existan transacciones en Depsitos a Plazo Fijo que las realiza el Administrador de Base de Datos (ABD), entonces una vez detectadas estas transacciones de carcter operativo se debe investigarlas ms a fondo, es decir determinar que tipo de operaciones son, en que fechas se realizan y creo que lo ms importante si existe autorizacin formal para que el ABD las realice y la revisin de la normativa interna relacionada.
Para los ejemplos que se plantearan, se tiene como base la siguiente estructura de datos de una tabla que almacena los transacciones en ventanilla (caja) de una entidad financiera del segundo semestre de la gestin 2007: Dentro de estas tcnicas podemos mencionar las siguientes: Anlisis Estadstico: Anlisis de regresin, anlisis de correlacin, anlisis de dispersin, La Ley de Benford Anlisis de Frecuencia digital. Patrones: Secuencias, investigacin de faltantes y duplicados, anlisis histrico de tendencias, anlisis de ratios. Tcnicas de anlisis visual: Anlisis de relaciones, anlisis de lneas de tiempo, grficos de agrupamiento (clustering).
NOBOSTI, vol.0/08
26
encontrar el mximo o mnimo, calcular la desviacin estndar o la varianza. estos 3 usuarios y poner especial nfasis en la autorizacin para realizar las 2 transacciones que realiza el usuario genrico admin y que funcionario lo utiliza, asimismo se deber realizar una revisin de las Polticas, Normas y Procedimientos (PNPs) sobre el ciclo de vida de los identificadores de usuarios.
Ejemplo: La variable elegida ser Usuario y la operacin de totalizacin ser un simple conteo, es decir, que se ir contando cuantas transacciones realiz cada usuario en el segundo semestre del 2007, obtenindose los siguientes resultados:
De acuerdo al criterio del FRAUDITOR, este podr combinar los otros operadores de totalizacin, analizarlos y concluir sobre la base de sus resultados. Asimismo como en este caso no solamente se elije una tcnica y centrarse nicamente en la elegida, sino ms bien integrarla con otras tcnicas, tal es el caso del Anlisis de Frecuencia Digital que se puede combinar con las tcnicas de Anlisis de Correlacin, Anlisis de dispersin y Generar informacin histrica para realizar Anlisis de Tendencias, Anlisis de Ratios, Anlisis de Regresin.
De este resultado se puede comenzar ya una investigacin tomando en cuenta los valores extremos el mnimo y el mximo, o solamente comparar los usuarios que se tiene en el resultado con la planilla de sueldos del segundo semestre 2007. Esta misma informacin se la puede realizar mes por mes e ir acumulando un histrico por usuario para determinar tendencias de cantidad de transacciones por cada usuario y realizar su grfico respectivo:
Como se mencion lneas arriba, este tipo de tcnicas se pueden realizar con diversas herramientas, entre ellas: Excel a travs de las Tablas y Grficos Dinmicos con las limitaciones que tiene esta herramienta de 65.536 registros hasta la versin 2003 y 1.048.576 registros en la versin para Vista. Access mediante las Consultas de Tablas de Referencias Cruzadas. IDEA y ACL se puede calcular a travs de o p c i o n e s d e To ta l i z a c i n d e c a m p o s .
LEY DE BENFORD
De esta tcnica se puede comentar que no es nada nueva, puesto que tiene su origen el ao 1881 enunciada por Simon Newcomb y posteriormente el ao 1930 por Frank Benford quien era un fsico de la General Electric. En 1994 Mark Nigrini utiliza esta Ley para detectar posibles fraudes e irregularidades en datos fiscales y para d e t e c ta r c o n ta b i l i d a d e s c o n ta m i n a d a s .
Del anterior grfico se puede determinar la evolucin en cantidad de transacciones por cada usuario y verificar que los usuarios admin, dvargas y hrosales no son usuarios habituales en caja en ninguno de los meses analizados respecto de los usuarios rrivero, mmarco, froca y lvaca; otra revisin adicional podra consistir en revisar los perfiles de
NOBOSTI, vol.0/08
La Ley de Benford en trminos sencillos dice que aquellos nmeros de la vida real que empiezan
27
por el dgito 1 ocurren con mucha ms frecuencia que el resto de nmeros.
Recomendaciones:
El tamao del conjunto de datos debe ser mayor a 1.000 elementos para establecer conclusiones de auditoria para la prueba del primer digito y para la prueba de los 3 primeros dgitos se recomienda al menos 10.000 datos. El valor mximo entre el mnimo (diferente de cero) debe ser por lo menos 100. Preferiblemente analizar datos generados en periodos largos de tiempo (una o varias gestiones fiscales por ejemplo) que sobre cortos (un da por ejemplo). Lo ideal es trabajar con datos que registren 4 o ms dgitos, aunque con 3 dgitos se pueden obtener excelentes resultados. La Ley de Benford es de escala invariante, se puede utilizar esta Ley independientemente de su escala de medida, es decir si trabajamos en metros o millas se tendra el mismo resultado, en trminos financieros es independiente de la moneda en la cual se expresa los importes.
Esta Ley plantea que la ocurrencia de los dgitos en una serie de datos puede predecirse. Ningrini define la Ley de Benford como aquella que predice la frecuencia esperada de aparicin de los dgitos en series de nmeros. Otra forma de enunciarla es: los primeros dgitos de los nmeros no se distribuyen de manera equiprobable. Los resultados que arroja esta Ley respecto a la probabilidad de ocurrencia de los dgitos es la siguiente:
Como toda Ley, para que sea aplicable deben cumplirse ciertas condiciones: El conjunto de datos debe estar formado por magnitudes medibles de un mismo fenmeno, es decir las transacciones de caja de una entidad, importes de gastos familiares, los votos obtenidos por un candidato en las diferentes mesas de sufragio. No debe existir una limitacin de mximo y mnimo, es decir debe ser una variable cuantitativa sin restricciones. En el caso de Moneda, los resultados de nuestro anlisis no tendran sentido, puesto que este campo solo puede asumir dos valores 1 o 2. Los datos no deben ser nmeros asignados por ejemplo los nmeros de telfono de Santa Cruz comienzan siempre con 3, los de Cochabamba con 4, estos conjuntos de datos no se ajustan a la Ley de Benford. Debe haber un mayor nmero de valores pequeos que grandes, es decir el cumplimiento de La Ley de Pareto que dice que generalmente el 80% del importe total se encuentra en el 20%
Utiliza programas que incluyen esta Ley dentro de sus opciones como son el IDEA, ACL, DATAS, Auriga, aunque si uno no dispone de estas, con una planilla Excel podra ser suficiente con las limitaciones inherentes del Excel. Ejemplo: La variable analizada ser Importe considerando que todas las transacciones estn en una misma moneda. Los resultados del ejemplo tomado versus la Ley de Benford se expresan en la siguiente tabla y luego se realiza su grafica correspondiente:
NOBOSTI, vol.0/08
28
toma la probabilidad de ocurrencia del primer dgito segn La Ley de Benford, de tal manera que si esta cantidad esperada y la real muestran una diferencia significativa es un indicador de que los datos son posiblemente inventados, errados o fraudulentos. Con el ejemplo de transacciones de caja, para el primer digito significa que existirn mas transacciones que comiencen con el numero 1 que transacciones que comiencen con el numero 9, realizando los clculos tenemos que 15.430 transacciones tienen como primer digito 1 y solamente 1.230 transacciones tienen como primer digito 9. 47.634) con Excel teniendo como resultado el siguiente grafico cuyos primeros dgitos tienen una probabilidad de ocurrencia entre 10% y 11%, verificando que la Ley no se cumple para estos datos, algunos llaman a esto el grado de Benforicidad, es decir cuan aplicable es La Ley de Benford a un conjunto de datos.
Aplicaciones de esta Ley se hicieron en procesos eleccionarios: Elecciones de Ecuador (Noboa, Correa, Roldos, Viteri, Rosero, Villacis), Elecciones de Presidente de los EEUU (2004), Referndum de Venezuela (2004), Presidente de Mxico (Julio 2006) De los resultados anteriores se tiene: para el primer digito 5 una probabilidad de ocurrencia segn la Ley de Benford de 7.92 % y con los datos actuales se tiene 11.76 %, esta diferencia es una alerta de un posible fraude o irregularidad en las operaciones que comienzan con el digito 5 en su importe. Las diferencias que indican posibles fraudes pueden estar en ms o en menos respecto la Ley de Benford. Para confirmar o afinar los resultados se puede realizar anlisis adicionales como son la prueba del segundo digito, tercer digito, primeros 2 dgitos, primeros 3 digitos y la prueba de los 2 ultimos digitos.
Finalmente concluir que las herramientas son solo eso, herramientas y no reemplazan la experiencia y criterio del FRAUDITOR. Parafraseando el dicho El genio es 10% inspiracin y 90% de trabajo se dice que: El Frauditor utiliza 10 % de tcnicas y herramientas y 90 % de criterio profesional. Para las investigaciones forenses (informtica y auditoria) no solamente se deben considerar los resultados de las tcnicas y herramientas, tambin y quizs lo mas importante es considerar la validez de los resultados obtenidos y su debido respaldo para fines legales, considerar por ejemplo: garantizar la cadena de custodia de la evidencia, diferenciar la evidencia persuasiva (auditoria) de la evidencia conclusiva (legal)
NOBOSTI, vol.0/08
29 DIFERENTE TECNOLOGA EN SERVICIOS DE BANCA, PERO SE MANTIENE EL MISMO RIESGO Por: Msc. Ing. Guido Rosales Uriona
E l surgimiento de diferentes tecnologas ha llevado a innovar servicios bancarios acorde al momento. Desde varios aos atrs se cuenta con servicios de Banca Telefnica, el internet dio lugar a la Banca Electrnica y ahora el boom de la telefona celular est dando lugar a la Banca Mvil. Sin lugar a dudas servicios que facilitan el acceso a los servicios bancarios y en general servicios financieros. Sin embargo existe un riesgo entre otros que a la fecha se mantiene y es un comn denominador en todos estos servicios, me refiero a la autenticacin simple o esttica. El presente articulo hace consideracin bsica a las soluciones propuestas de acuerdo con la exigente regulacin de la FFIEC, Authentication in an Internet Banking Environment.
Cabe resaltar que durante la preparacin de la presente opinin, tambin se est preparando un sondeo sobre el estado de la seguridad en la autenticacin en entidades financieras de Bolivia. Esperamos terminar sino los resultados sern publicados en el siguiente nmero de NOBOSTI. por la lnea hasta la central o sistema de la entidad financiera. Pero esta seal pasa por diferentes puntos, desde el mismo cable interno, la central telefnica interna, el cable pblico, los dispositivos de conmutacin del operador telefnico y similar ruta hasta el dispositivo de la entidad financiera donde se desmodula para convertir en seal digital y transmitirlo al servidor y consecuentemente ejecutar la transaccin o consulta realizada.
NOBOSTI, vol.0/08
30
debe teclear los datos de identificacin y autenticacin. Otras usan un esquema ms sofisticado donde la disposicin de los nmeros cambia en cada conexin, sin embargo presentan riesgos ante keylogger por ejemplo la atenuacin que sufre la tecla oprimida con el mouse. Al margen de estos comentarios, el problema sigue siendo la autenticacin o uso de password esttico. Si el atacante logra reunir los 4 elementos del PIN o algunos mas en caso de claves, tendr mucho tiempo para fraguar su ataque. password esttico, si el atacante logra ver la clave, tendr tiempo suficiente para organizar el ataque.
Conclusin:
En los tres servicios brindados actualmente tenemos el mismo problema. El uso de claves estticas. Vemos por ejemplo que la regulacin en Chile ya exige el uso de autenticacin con password dinmico y el mercado de soluciones ya ofrece este tipo de servicios. Debemos puntualizar que actualmente la seguridad est en manos del cliente cuando las Entidades Financieras deberan ser mas proactivas para minimizar el Riesgo. Evidentemente representa un costo, pero con el ciclo de la tecnologa cada vez es ms accesible y debe hacerse. La solucin viene por el lado de SmartCards o Tokens donde las claves son generadas para un solo uso ya sea bajo un esquema de sincronizacin (Chip interno) o por desafo respuesta(Circuito interno). Tambin debemos resaltar el rol de la Super intendencia de bancos, especficamente en su circular SB 443/03 o SB 466/03 sobre requisitos mnimos de seguridad informtica, puntualmente la Seccin 4, articulo 1, donde se dice sobre Banca electrnica, sin considerar la opcin de telfono fijo y mvil. Esta regulacin debe ser ampliada en su concepto o en su alcance sobre las tecnologas utilizadas.
NOBOSTI, vol.0/08
31 TRANSPARENCIA DE LA INFORMACIN PBLICA: UN PAPEL DEL GOBIERNO ELECTRNICO A TRAVS DE LAS TIC
Por: Ph.D. Prof. Csar D. Vargas Daz Investigador Econmico
El Gobierno Electrnico (a partir de ahora) eGobierno como campo de investigacin y prctica ha ido ocupando un importante espacio en el mbito de la modernizacin de los Estados, ya sea en la Gestin Pblica, en la relacin Administracin Pblica-Ciudadano. La entrada de las nuevas Tecnologas de la Informacin y Comunicacin (TICs) en el mbito de la Administracin Pblica ha despertado un inters general por encontrar mecanismos que permitan que el Gobierno Electrnico impacte positivamente en su quehacer d i a r i o . D i c h o c o n o t r a s pa l a b r a s , l a s Administraciones Pblicas necesitan ser ms eficientes y eficaces (Rocheleau y Liangfu, 2002), los ciudadanos reclaman que estas sean ms transparentes, las empresas demandan un entorno operativo que facilite su competitividad y todos los actores sociales estn expectantes de mayor informacin y participacin en la vida pblica (Fieldman y Khademian, 2007).
En este contexto el tema del Gobierno Electrnico se ha instalado en los debates y en las agendas polticas con mucha fuerza, siendo un concepto que al parecer se encuentra en un constante estado de desarrollo (Jaeger, 2003). Esta tendencia es entendida como una de las formas de expresin de la Sociedad de la Informacin, as como un mbito en el proceso de modernizacin de la Administracin Pblica, permitiendo el uso estratgico e intensivo de las TICs, tanto en las relaciones internas de las Administraciones Pblicas, como en la relacin de estos organismos con los ciudadanos y empresas del sector privado. De hecho, el e-Gobierno se considera una de las mayores iniciativas del sector pblico tendente a la transformacin de las Administraciones Pblicas, con un magnfico potencial para cambiar las relaciones de los ciudadanos con los organismos pblicos y la visin pblica de estos (Holden y Millett, 2005). Este reciente inters se ha visto reflejado en el vertiginoso aumento de estudios realizados sobre e-Gobierno, que han sido llevados a cabo por profesionales, investigadores y entendidos en la materia en campos de estudios muy heterogneos no siendo de extraar que existan un gran nmero de revistas, libros, conferencias, etc., que lo tengan
como tema central. As, podemos encontrarnos con artculos que hacen referencia a la utilidad de Gobierno Electrnico bien como mtodo para reducir la -corrupcin- en las funciones gubernamentales ofreciendo una -mayor transparencia en la informacin- y funciones pblicas (Maor, 2004), bien como mtodo para mejorar los actuales servicios pblicos (Hartley, 2005), o bien como instrumento para aumentar la rendicin de cuentas en el resultado ms preciso y eficaz de sus servicios (Holliday y Yep, 2005). Asimismo, el Gobierno Electrnico puede actuar como mecanismo conductor para acelerar la descentralizacin de la administracin pblica y, al mismo tiempo, mejorar la capacidad del gobierno para supervisar las actividades principales, reducir los costes administrativos y el tiempo dedicado a tareas repetitivas para los funcionarios, facilitar una mayor transparencia a la administracin, y aumentar el acceso a los servicios debido a la disponibilidad las veinticuatro horas del da los siete das de la semana de Internet. No obstante, el proceso de e-Gobierno tambin presenta una serie de limitaciones entre las que se encuentran: la disparidad existente en el acceso al gobierno electrnico o brecha digital, la educacin que necesitan los ciudadanos para que puedan apreciar el verdadero valor de esta herramienta, los problemas relacionados con la privacidad y confidencialidad, y la escasa participacin de los ciudadanos en la toma de decisiones pblicas (Devas y Grant, 2003). En lo que a Informacin Econmico Financiera Pblica (IEFP) se refiere, es decir, los recursos de los ciudadanos-contribuyentes que administran los Gobiernos-Administradores, la divulgacin de dicha informacin a travs de Internet es fundamental (AECA, 2002). Considera que los principales usuarios de la informacin econmico financiera pblica son los ciudadanos. Con el paso del tiempo, los ciudadanos sienten cada mayor necesidad por conocer las prcticas llevadas a cabo por los administradores pblicos, que les obligue a dotar
NOBOSTI, vol.0/08
32
a los organismos pblicos con ms eficaces y eficientes sistemas de informacin que racionalicen el uso de recursos financieros y consiguiendo mejorar con ello el desempeo de los servicios pblicos. La divulgacin de informacin podra aumentar la transparencia y disminuir la corrupcin tal como esta ocurriendo en los pases ms desarrollados (Global E-government Readiness Report , 2007), de este proceso como parte de una tendencia mundial hacia la -Rendicin de Cuentas al Pblico. Aunque son muchos los pases que elaboran la informacin econmico-financiera pblica, usualmente no es de fcil acceso para los ciudadanos (Tayib, Coombs and Ameen, 1999), lo cual en la prctica supone una carencia de Transparencia de Informacin. Estas limitaciones hacen que la informacin econmica y contable pblica sea escasamente til para la toma de decisiones y requiere la aplicacin de herramientas de seguridad e instrumentos que permitan aumentar la transparencia que necesitan los ciudadanos de un economa globalizada e informatizada en la que vivimos. El instrumento usado en el sector privado para hacer ms transparente la informacin, no es otro que la aplicacin de las Tecnologa de la Informacin y la Comunicacin (TICs). Desde hace relativamente poco tiempo estamos siendo testigos del increble aumento del uso de este tipo de tecnologas en todas las esferas de nuestro quehacer diario, es ms, el sector privado las utiliza como instrumento para diferenciarse de sus competidores y ser ms competitivos a la hora de ofrecer y distribuir sus servicios entre sus consumidores. Por lo tanto, las Administraciones Pblicas han sentido la necesidad, o mejor dicho se han visto obligadas a implantar las TICs en sus funciones, y guiar a travs de las mismas sus relaciones con los ciudadanos, las empresas y otros organismos pblicos. Estas herramientas tecnolgicas permiten a los organismos pblicos ser ms eficaces y eficientes en el desarrollo de sus funciones. Por lo que con la correcta divulgacin de informacin on-line, se espera soluciones a los siguientes problemas, entre otros: Mayor transparencia supone un mayor control por parte de los ciudadanos de los recursos utilizados por los organismos pblicos, por lo tanto menores casos de corrupcin. Mayor responsabilidad por parte del Gobierno en divulgar informacin pblica con seguridad, veracidad y fiabilidad. Poner de manifiesto si los gobiernos estn llevando a cabo esfuerzos para disear las pginas Web gubernamentales accesibles, que permitan un acceso fcil por parte del ciudadano. Observar las caractersticas cualitativas que ofrecen la informacin finalmente divulgada La divulgacin de informacin permite a los gobiernos ser ms eficaces y eficientes en el desempeo de sus funciones pblicas. Aumentar la participacin ciudadana en la toma de decisiones pblicas. Por ltimo, concluir en base a lo mencionado que el Gobierno Electrnico o e-Gobierno es de gran beneficio para cualquier gobierno o administracin pblica. En el caso boliviano, a mi juicio es importante la implementacin del eGobierno en todos sus mbitos (Nacional, Regional y Local) y ms aun en la coyuntura en la que se encuentra Bolivia.
Bibliografa
(AECA) Asociacin Espaola de Contabilidad y Administracin de Empresas (2002): Cdigo de buenas prcticas para la divulgacin de informacin financiera en Internet. Madrid, Autor: Fieldman M. S. y A. M. Khademian (2007): The Role of the Public Management in Inclusion: Creating Communities of Participation. Governance: An International Journal of Policy, Administration and Institution, 20(2): 305-324. Global E-government Readiness Report (2007): (Consultar en la Web) http://www2.unpan.org/egovkb/global_reports/05repor t.htm Holden, S. H. y L. I. Millett (2005): Authentication, Privacy, and the Federal E-Government. The Information Society, 21 (5): 367-377. Holliday, I. y R. Yep (2005): E-Government in China. Public Administration and Development, 25 (5): 239249. Jaeger, P. T. (2003): The endless wire: E-government as global phenomenon. Government Information Quarterly, 20 (4): 323-331. Maor, M. (2004): Feeling the Heat? Anticorruption Mechanisms in Comparative Perspective. Governance: An International Journal of Policy, Administration and Institutions, 17(1): 1-28. Rocheleau, B. y W. Liangu (2002): Public Versus Private Information Systems. Do they differ in important ways? A review and empirical test. American Review of Public Administration, 32 (4): 349-397. Tayib, M., Coomsb, H. G., and Ameen. J. R. M. (1999): Financial reporting by Malaysian local authorities. A study of the needs and requirements of the users of local authority financial accounts. The International Journal of Public Sector Management, 12(2), 103-120
NOBOSTI, vol.0/08
34
35
SEGURYNFO es una actividad que tenamos pendiente en la agenda de nuestra empresa. Ahora
saldamos una deuda con nuestra comunidad profesional que pretendemos propagarla a nivel nacional.
antecedentes:
Los antecedentes de caracterstica internacional para esta iniciativa se remontan al ao 1999 cuando organizamos el primer evento sobre auditoria de sistemas contando en su oportunidad como invitado con el Presidente del Captulo ISACA del Per el Lic. Manuel Guevara, ocasin en la que se conform el primer proyecto de Captulo en Bolivia. El segundo evento desarrollado el ao 2001, llevo la denominacin de DESEIN Derecho y Seguridad Informtica, actividad que cont con la visita del Dr. David Prez Arnaldo, especialista espaol en Derecho Informtico. El ao 2005 contamos con la presencia de uno de los ms famosos hackers mundiales, Sergio Alvares o shadown. Quien dejo marcada una escuela en la seguridad. A nivel Nacional hemos desarrollado desde conferencias de 3 horas hasta programas de Maestra de 2 aos. La actividad de capacitacin nos he permitido llegar a casi TODAS las ciudades capital del Pas, aun nos falta Cobija, pero llegaremos sin duda.
Objetivo:
Retomar la modalidad de eventos abiertos, destinados a profesionales del rea con la finalidad de convertir los temas de seguridad en conocimientos transversales a todas las disciplinas informticas.
Desde el inicio de actividades, durante el ao 1999, hemos visto crecer profesionalmente a muchos colegas quienes hoy han alcanzado talla internacional reconocida con certificaciones internacionales. Queremos brindarnos la posibilidad de un espacio para compartir los conocimientos y experiencias logradas que nos devuelvan la confianza en la capacidad nacional. Queremos aportar a los varios esfuerzos que se realizan de tal manera que podamos tener una agenda anual sin un solo mes libre en el campo de la Seguridad de la Informacin. Tecnologa? La tenemos. Seguridad? Nos falta mucho en este campo.
Audiencia:
NOBOSTI, vol.0/08
Evento destinado a todos los profesionales relacionados con la Tecnologa de Informacin. Podemos asistir para aprender temas nuevos, para profundizarlos o simplemente para ver que el conocimiento logrado es un comn denominador, es decir todos tenemos un motivo por el cual asistir.
36
Cronograma de Actividades
Lic. Hugo Rosales Uriona El factor humano, el mayor riesgo a gestionar Ing. Limberg Illanes
NOBOSTI, vol.0/08
37
Expositores
Ing. Teddy Vctor Mercado Rodrigo
Ingeniero en Computacin, Universidad Catlica de Santiago, Argentina del Estero, graduado con mencin de honor. CISM (Certified Information Security Manager), CISSP (Certified Information Systems Security Professional). Actualmente es el encargado de seguridad de la gerencia de Tecnologa de la Informacin y Telecomunicaciones (TIT) - Petrobras Bolivia. Asimismo fue Lder de proyectos en el diseo e implementacin de proyectos llave en mano de seguridad en redes para Internet y redes de rea local, PROCOM SRL Santa Cruz (1999 2003) Divisin comunicaciones. Administrador de red y Administrador del nodo regional de Internet de la red boliviana BOLNET (1995 1998) Universidad Andina Simn Bolvar Sucre, Bolivia.
NOBOSTI, vol.0/08
38
Ing. Roberto Escalante Mendoza
Ingeniero Electrnico, mencin Sistemas Digitales UMSA. CISM Candidato a Certified Information Security Officer ISACA, CISO (Certified Information Security Officer), FCA (Forensic Computer Advisor), MCSE (Microsoft Certified Systems Engin), CCNA Administrador de redes de computadoras certificado por CISCO Systems Inc. Docente del Diplomado en Auditoria de Sistemas y Seguridad de los Activos de Informacin UMSA Docente del MAGESI Maestra en Gestin de Seguridad de la Informacin - EMI Docente del programa de Certificacin en Gerencia de Seguridad de la Informacin - YanapTI
39
Ing. Limberg Illanes Murillo
Ingeniero de Sistemas Escuela Militar de Ingeniera, Diplomado en Educacin Superior, Maestra en Gestin de Seguridad de Informacin. Ex miembro del directorio de ISACA Bolivia Capitulo 173. CISO (Certified Information Security Officer) Facilitador en diferentes seminarios y cursos de seguridad y auditoria informtica. Trabaj durante 3 aos en Yanapti SRL, oportunidad en la cual ha participado en trabajos de consultoria especializada en Seguridad y auditoria de sistemas tanto a nivel tcnico como de gestin. Ex Encargado Nacional de Seguridad del Banco Los Andes Procredit. Actualmente se desempea como Administrador de Sistemas de Seguridad en la Empresa Minera San Cristobal.
Licenciado en Administracin de Empresas Universidad Catlica Boliviana, Supervisor de la Superintendencia de Bancos y Entidades Financieras SBEF. Especializado en Gestin y Auditoria de Sistemas de Informacin. Encargado del rea de Riesgo Operativo y Tecnolgico de la Intendencia de Riesgo I. Funcionario de la SBEF desde el ao 1988. CISO (Certified Information Security Officer), Diplomado en Gestin de Seguridad de la informacin.
NOBOSTI, vol.0/08
40
Lic. Claudia Araujo Michel
Licenciada en Ciencias jurdicas, Diplomada y especializada en investigacin criminal, procedimiento penal, procedimiento civil, administrativo y derecho informtico. Asesor Legal corporativo desde el ao 2000 con ms de 50 casos atendidos. Examinador de Fraudes Certificado CFE. Asesor legal de YanapTI SRL. Miembro de la Comisin de Derecho Informtico del Ilustre Colegio de Abogados de La Paz. Docente universitario en cursos de pre y post grado. Asesor de la Polica Nacional en casos de Delitos informticos.
INTERNACIONALES
Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona - Espaa) * Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informtica ACIS 2008 (Bogot - Colombia) Junio 19 al 21 de 2008: III Conferencia Ibrica de Sistemas y Tecnologas de la Informacin CISTI 2008 (Ourense - Espaa) Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo - Noruega) Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamrica 2008 (Madrid - Espaa) Julio 9 al 11 de 2008: XIV Jornadas de Enseanza Universitaria de la Informtica (Granada - Espaa)
NOBOSTI, vol.0/08
Agosto 17 al 20: Latin CACS Conferencia de IT Governance, Control, Seguridad y Aseguramiento en Tecnologa de Informacin: (Santigo Chile) Septiembre 2 al 5 de 2008: X Reunin Espaola de Criptologa y Seguridad de la Informacin
41
RECSI 2008 (Salamanca - Espaa) Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracaj - Brasil) Septiembre 15 al 19 de 2008: 2nd International Castle Meeting on Coding Theory and Applications (Medina del Campo - Valladolid - Espaa) Septiembre 22 al 24 de 2008: XXIII Simposio Nacional de la Unin Cientfica Internacional de Radio (Madrid - Espaa) Septiembre 22 al 26 de 2008: International School on Mathematical Cryptology 2008: Mathematical Foundations of Cryptology (Barcelona Espaa) Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Mlaga - Espaa) CIMATEL 2008 "Una opcin sin lmites". Del 13 al 15 de octubre (Habana Cuba) Octubre 18 al 19 de 2008: NSS 2008 IFIP International Workshop on Network and System Security (Shanghai- China) Octubre 22 al 25 de 2008: Second Workshop on Mathematical Cryptology en UNICAN (Santander - Espaa) Octubre 29 al 31 de 2008: 15th International Congress on Computer Science Research (Aguascalientes - Mxico)
NOBOSTI, vol.0/08
43 LA ENTREVISTA NOBOSTI.
ENTREVISTA A KARINA MEDINACELI, UNA PIONERA Y MASTER EN EL REA DE DERECHO INFORMTICO, ACTUALMENTE COORDINADORA DEL DIPLOMADO EN DERECHO INFORMTICO Y NUEVAS TECNOLOGAS EN SU SEGUNDA VERSIN Y SIN DUDA UNA GRAN PROFESIONAL
Karina Medinaceli es abogada, experta como Asesora Legal y Master en Derecho Informtico. Promotora del conocimiento del Derecho Informtico en nuestro pas, con una amplia experiencia tanto profesional como personal.
En esta oportunidad nos brinda un espacio para poder conocerla mejor. En cuanto a su vida personal y acadmica nos comenta: Entrevista realizada por: Vladimir Muriilo. Ch. Mariela Nuez B.
Hola a todos y gracias por invitarme a sumar mi voz al contenido de esta revista. NOBOSTI: Muchas personas creen que el Derecho es solo teora, pero en este caso tu nos demuestras que es algo ms. Desde tu punto de vista que relacin encontraste entre Derecho y Tecnologa para asociarlas? Bueno cuando estaba trabajando en el Ministerio de Hacienda en la Unidad de Normas, lo que anteriormente era conocida como la Direccin de Normas, Organizacin y Procedimientos Administrativos DONPA, se estaba formando el Sistema de Informacin de Contrataciones del Estado - SICOES, uno de los pilares fundamentales que tena en ese momento el gobierno del Presidente Hugo Banzer era la transparencia, una forma de llegar a la transparencia era tener un Sistema de Informacin de Contrataciones del Estado, ver los diferentes procesos, como por ejemplo: en qu estado se encontraba dicho proceso de contratacin, as tambin la construccin de un camino, la compra de bienes y/o servicios, el responsable de la contratacin entre otros. Entonces, como consejo de uno de mis colegas informticos del SICOES, comenc a buscar una nueva especialidad. Por lo que mi perfil hasta el 2001 era ms dirigido a Derecho Administrativo, ya que al trabajar en la Administracin Pblica, estaba trabajando en la parte prctica de lo que es el Derecho Administrativo y al momento de buscar informacin me quede sorprendida que en
Espaa no haba Maestras en Derecho Administrativo, sino ofrecan Doctorados, para esa poca era un salto muy cualitativo, pasar de la Licenciatura en Derecho a un Doctorado, lo que yo buscaba era una Maestra. Entonces, los temas que me llamaron la atencin fueron de Derecho Informtico y de Ordenamiento Territorial, por esta razn empec a hablar ms con los informticos y me comentaron que era un rea que no estaba explotada en Bolivia, que en el 2001 haba un Anteproyecto de modificar el Cdigo de Comercio incluyendo un Ttulo y/o Captulo referido al Comercio Electrnico y me comenc animar por el tema ya que muy poca gente es especialista en el rea, que era un campo virgen para explotar digamos no comunes en el rea de Derecho (Civil, Penal, Comercial, Constitucional), y es as como tomo la decisin de hacer la Maestra en Derecho Informtico, la eleccin estaba entre dos ofertas de universidades espaolas tanto la Pontificia de Comillas - UPCO y la Complutense de Madrid que a nivel de Espaa es la nmero uno en Universidades estatales, como pasa en nuestro pas la gente prefiere estudiar en la universidad estatal por el tema de prestigio de obtener un titulo. En consecuencia, por consejo de un informtico estoy en esta especialidad, posteriormente otros docentes espaoles han influido a tomar la decisin de mi Doctorado en Sociedad de la Informacin y del Conocimiento. Por qu no un Doctorado en Derecho? Siendo abogada y con un perfil ms dirigido a mi rea. Pero soy una abogada con una Maestra en Derecho Informtico, porque no dar un salto cualitativo hablando ya de un Doctorado en
NOBOSTI, vol.0/08
44
Ingeniera Informtica, pero en un programa multidisciplinario como es Sociedad de la Informacin y del Conocimiento, porque en este programa haba socilogos, abogados, licenciados, informticos, todo tipo de profesionales. NOBOSTI: Vindolo ahora dentro de las universidades como materia de carrera Se debera tomar en cuenta el Derecho Informtico como tal para la Carrera de Derecho o Sistemas?
Bueno, la informtica forense estara ms relacionada con la parte de Delitos Informticos y Auditoria Informtica, hay que resaltar primero que es lamentable que en la Malla Curricular de las universidades pblicas y/o privadas boliviana no haya una asignatura correspondiente a Derecho Informtico, son pocas las universidades que tienen en su malla curricular Derecho Informtico como asignatura, porque la caracterstica del Derecho Informtico es que es transversal a todas las reas del derecho, por ejemplo Derecho Constitucional: proteccin de datos personales y Recurso de Hbeas Data; Derecho Comercial: contratos informticos o comercio electrnico; Derecho Tributario: impuestos, que es el taln de Aquiles del tema del comercio electrnico (Dnde yo voy a pagar mis impuestos cuando hago una compra a travs de Internet?); Derecho Penal: delitos informticos, es aqu donde entra la informtica forense o pericia informtica forense, entre otras reas relacionadas con el Derecho Informtico. Yo creo que hoy en da la informacin es valiosa, depende cuan importante es para la entidad tanto pblica como privada, ya que la informacin da poder. Tiene ms poder aquella persona que sabe usar la informacin que la persona que detenta la informacin, por eso digo que estamos viviendo en la denominada Sociedad de la Informacin y del Conocimiento. Es este el valor agregado que sacan los pases del primer mundo, como Europa y Estados Unidos que encabezan en los temas relacionados a la tecnologa. Pero nosotros en Bolivia ya estamos viviendo casos de delitos informticos y de ah viene la especialidad de la pericia informtica forense o informtica forense. A medida que haya ms informatizacin en nuestro medio, en nuestra cultura, mbito publico como privado la informacin tomar un valor importante; es una nueva especialidad, tanto para abogados como para informticos, un nuevo campo que explotar es el tema de la Seguridad de Informacin.
Puedo decir, que la Facultad de Derecho y Ciencias Polticas de la Universidad Mayor de San Andrs, es una de las precursoras sobre el tema, porque incluye en su malla curricular la materia como Derecho Informtico. Otras universidades que yo tenga conocimiento es la Universidad Salesiana, San Francisco de Ass, de Aquino Bolivia; que tenga conocimiento en la Carrera de Informtica no la consideran. En la Escuela Militar de Ingeniera EMI, tienen una asignatura denominada Ingeniera Legal, pero desconozco su contenido. Pero yo creo que el contenido que dicto en Derecho Informtico es mucho ms interesante para un informtico, porque los temas que se abordan en esta materia son Informtica Jurdica que es un campo amplio para que los informticos puedan desarrollar; el tema de Comercio Electrnico, Firma Electrnica, Documento electrnico, Contratacin Electrnica, Propiedad Intelectual del Software, Base de Datos, Contratos Informticos, Delitos informticos, y as puedo continuar con muchos temas, que lamentablemente no estn desarrollados y que en las Facultades de Sistemas, Ingeniera, Electrnica, Telecomunicaciones deberan formar parte de la Malla Curricular. NOBOSTI: Usted cree que lo estn viendo ms por el lado de especialidad? Yo tuve esa experiencia cuando regrese de Espaa, me preguntaban cual es tu especialidad, y yo contestaba Derecho Informtico y ellos me decan ah. que bien, pero esto se daba porque es un tema tan nuevo que mucha gente no saba que trataba y se preguntaban Cul es su utilidad? Esta nueva especialidad trata del rgimen jurdico de todo lo que es Informtica, Internet y Comercio Electrnico, y cuando les empezaba a comentar un poquito sobre el tema, como que ya les sonaba interesante, pero igual pensaban que yo haba ido a perder tiempo y dinero en Espaa, ya que en ese entonces no lo consideraban el negocio del futuro y menos como una especialidad exitosa. Cuando retorne de mi Doctorado, empec cursando un Diplomado en Educacin Superior ya que es lo primero que te piden para ser docente en cualquier universidad pblica y/o privada. A mi parecer es lo correcto ya que uno no nace docente
NOBOSTI, vol.0/08
45
sino se hace docente y la prctica hace al maestro. El 2006 propuse a todas las Universidades de La Paz, especialmente a las Carreras de Derecho e informtica, pero todos me decan que el contenido de la materia de Derecho Informtico era ms para un Diplomado o Especialidad que para una materia de Pre Grado, me llamo la atencin porque en Espaa se dicta la materia en Pre Grado sobre todo en las Facultades de Informtica y a mi parecer era muy importante que incluyan esta asignatura en Pre Grado, as fue que me impulsaron a desarrollar el Diplomado en Derecho Informtico y Nuevas Tecnologas ampliando el contenido. Ahora pienso que si no la consideran en la Malla Curricular de Pre Grado, la opcin es tener un Diplomado, Especialidad o Maestra en Derecho Informtico. NOBOSTI: En cuanto al tema de Diplomado tengo entendido de que se realiz una primera versin, Que opinin me podras dar acerca de dicho evento? Bueno gracias a la buena relacin que tengo con mi ex Director de la Maestra, Dr. Emilio Su Llins, de la Universidad Complutense de Madrid, se realiz un Convenio Acadmico por cinco aos no solo para Facultad de Derecho y Ciencias Polticas de la UMSA sino en general para toda la Universidad Mayor de San Andrs, es decir, un Convenio Acadmico para todas las facultades, pero empezamos actividades con la Facultad de Derecho y Ciencias Polticas lanzando la primera versin, en ese entonces denominado, Diplomado en Derecho de Tecnologas de la Informacin y las Comunicaciones, para entonces vino el Dr. Emilio Su Llins Phd., que es una autoridad reconocida en el rea de Derecho Informtico en Espaa, tambin vino otro docente estrella en Sociedad de la Informacin y del Conocimiento, Javier Bustamante Donas Phd., que tiene doble doctorado, su segundo doctorado lo realiz en Estados Unidos sobre Ciencia, Sociedad y Tecnologa. Este inicio fue positivo ya que ahora por lo menos el concepto de Derecho Informtico ya suena ms familiar en el entorno jurdico. Luego decidimos cambiar el nombre del Diplomado de Derecho de Te c n o l o g a s d e l a I n f o r m a c i n y l a s Comunicaciones, que es un rea ms amplia por Derecho Informtico y Nuevas Tecnologas. Para mi fue una experiencia positiva ya que pude replicar un poco de la experiencia que tuve con la maestra en Espaa, con la aplicacin de una parte terica que esta a cargo del docente titular y para la parte prctica se invita a conferencistas relacionados con cada Mdulo que se dicta en el Diplomado, destacados profesionales en el tema especfico. NOBOSTI: Hablando de la aplicacin del Diplomado tiene alguna experiencia que le fue til o no? La experiencia que tengo se ha dado en el rea de la Proteccin de Datos Personales y Recurso de Hbeas Data. Lo que siempre digo es que el Responsable de Sistemas o de Recursos Humanos, simplemente es el detentador de la base de datos, banco de datos o archivo, pero no es el propietario de los datos personales sino son los titulares de los mismos, es decir, nosotros mismos. Creo ha habido un poco mas de concientizacin, de cmo se debe tratar los datos personales. En consecuencia, el que administra los datos personales, ahora tiene el cuidado de dar esta informacin a cualquier persona, incluso a sus autoridades superiores, pese a que nosotros no tenemos una Ley de carcter preventivo donde indique, quin es el responsable, el encargado, las medidas de seguridad que se deben tener para el tratamiento de estos datos, cules son nuestros derechos, entre otros temas. Hoy en da vivimos con las tecnologas de informacin y las comunicaciones (TIC), as como tienen un lado positivo, porque nos facilitan la vida cotidiana, tambin tienen un lado negativo, como puede ser la invasin a la intimidad y privacidad personal y familiar. Pese que no existe en Bolivia una Ley especfica aprobada sobre Mensajes de Datos, Documento Electrnico, Firma Electrnica y/o Comercio Electrnico, existe legislacin dispersa sobre estos temas, por ejemplo en el nuevo Cdigo Tributario, Decreto Supremo del SIGMA, Resoluciones de Directorio del Banco Central de Bolivia que tratan sobre la Firma Electrnica, interpretacin de algunos artculos del Cdigo Civil y el Cdigo de Comercio, entre otras disposiciones. Creer que por el hecho de que no hay una ley especfica, no hay legislacin en Bolivia sobre los temas entes citados, es simplemente taparse los ojos y detener el crecimiento del Comercio Electrnico. NOBOSTI: En su carrera profesional Usted utiliza algn tipo de software o ha escuchado de l? En Bolivia un software para el rea de jurdica
NOBOSTI, vol.0/08
46
lamentablemente no conozco. En otros pases utilizan diferente software para las oficinas jurdicas, las notaras, conocido como Ofimtica Jurdica, que agiliza la gestin del da a da para el profesional abogado (Espaa, Mxico, Argentina, entre otros pases). Existe otro software desarrollado para corregir errores en la redaccin de leyes y/o decretos, evita la redundancia, los vacos legales, las remisiones, contradicciones, creo que es necesario, ya que al haber tenido la experiencia de trabajar en la revisin, redaccin, y socializacin del Proyecto de Ley Documentos, Firmas y Comercio Electrnico (aprobado en grande y en detalle a finales de la gestin 2007 en la H. Cmara de Senadores), a veces no se pueden detectar los errores, aunque leas muchas veces el Proyecto de Ley, ese software ayudara mucho en la elaboracin de estas leyes, por ejemplo. NOBOSTI: Usted cree que el Derecho Informtico es aplicado en Bolivia y si lo es como vamos con este? En Bolivia ya se aplica el Derecho Informtico, aunque hay desconocimiento de su utilidad. Utilizamos las tecnologas todos los das en el trabajo, la universidad, para hacer transacciones (pago con tarjeta de debito, retirar dinero de un cajero automtico, por ejemplo), en la casa. Casos de la vida real se dan con los delitos informticos, como amenazas al celular o correo electrnico realizadas desde un Caf Internet; robo de crdito de tarjetas de celulares con la famosa frase usted a ganado un premio, as que debe ir a comprar 2 tarjetas de 100 Bs.- cada una para ser transferidos el crdito de las mismas a los celulares de los delincuentes; el secuestro de informacin; el robo de informacin, el phishing; que suban a un blog (Sitio Web gratuito) fotografas comprometedoras de nuestra persona sin autorizacin, por ejemplo, entre otros delitos. Por eso es muy importante tomar en cuenta en que mundo vivimos y que estamos sumergidos en la tecnologa (computadora, Internet, celular, televisin digital, agendas electrnica, ipod, etc.), ya que ahora los nios aprenden a utilizar computadoras sin saber leer ni escribir, nacen con la tecnologa. Por eso insisto en decir que ahora estamos viviendo en la denominada Sociedad de la Informacin y del Conocimiento, donde las TIC son parte de nuestra vida, como dice una frase de un informe sobre Brecha Digital de la Unin Internacional de Telecomunicaciones UIT si quieres saber que aportan las tecnologas, trata de vivir sin ellas. NOBOSTI: Cuales seran sus recomendaciones con respecto a este tema? Bueno lo que yo siempre les recomiendo sobre todo a los menores y jvenes, es que cuando entren o utilicen el Chat siempre sepan con quien chatean, porque uno nunca sabe quien esta chateando por al otro lado (hombre, mujer, nio, una persona mayor con malas intensiones), que tengan cuidado con la informacin que dan sobre su persona y fotografas que suben a redes como Facebook, Hi5, entre otras, porque quizs estas fotos les pueden perjudicar maana cuando estn buscando un trabajo. NOBOSTI: Felicidades! y muchas gracias Para mi a sido un gusto compartir este momento con ustedes les deseo xito en su revista.
Ligero e inaccesible, el que sabe no deja huellas; divinamente misterioso, es imperceptible. De este modo es dueo del destino de su enemigo.
SUN TZU
NOBOSTI, vol.0/08
47
16
NOBOSTI, vol.0/08
49 EL ARTCULO NOBOSTI
TecnologaPuede apoyar en lugar de aplastar las lenguas originarias?
Por: Amos B. Batto
Sin duda la electrnica moderna y las tecnologas de informacin y comunicacin (TICs) han llevado muchos beneficios a la humanidad en trminos de mejoramientos de productividad y comunicaciones. La televisin, el radio, los reproductores de CDs/DVDs, la computadora, el telfono celular y el internet han enlazado todo el mundo, llevando msica, vdeo, noticias y toda de moda a los ojos y los odos en los rincones ms remotos del planeta.
Estamos deslumbrados por las novedades de la globalizacin de los medios y el crecimiento de las TICs, pero muchas veces no estamos conscientes de los efectos negativos de la tecnologa moderna. A la vez que la tecnologa moderna nos ha conectado al mundo, tambin esta misma tecnologa ha facilitado el reemplazo de lo local por lo global, sirviendo como una fuerza aplastando y desprestigiando la cultura local y la lengua local. El nio andino bombardeado por la msica de Shakira y Mana y las pelculas de Hollywood rpidamente se vuelve pensar que todo lo que viene de afuera es ms importante y ms de moda que lo que viene de su comunidad. En la mente de muchos jvenes, la cultura local y la lengua que expresa esta cultura son concebidas como cosas del pasado que slo sirven para los abuelos. En este contexto lenguas originarias como quechua y aymara son considerados lenguas intiles que no sirven en la modernidad. Estas percepciones negativas hacia lenguas originarias estn reflejadas en las estadsticas del Censo Nacional de 2001 de Bolivia, mostrando un descenso preocupante en el porcentaje de jvenes que habla lenguas originarias. Solo 30,5% de los nios de 5 a 9 aos saben como hablar una lengua originaria, comparado a 76,3% de personas con 65 aos o ms. Bolivia es considerada un foco de diversidad lingstica, conteniendo dos veces ms familias de lenguas que todo el continente de Europa.
Desafortunadamente, muchas de estas lenguas est en riesgo de morir, una situacin ocurriendo en todo el mundo. La prediccin es slo 900 de las 7000 lenguas en el mundo sobrevivirn el siglo actual. La prdida de un lengua significa ms que la prdida de una coleccin de palabras, pero la prdida de los conocimientos, la msica, la danza, la mitologa, la tecnologa, las tradiciones orales, practicas culturales y estilos de vida que fueron expresados en esa lengua. Aunque hay muchas causas de la prdida de lenguas, como la globalizacin de la economa y las migraciones masivas del campo a los centros urbanos, la sobrevivencia de lenguas depende mucho de las actitudes acerca de la lengua, especialmente las actitudes de jvenes que transmiten la lengua al futuro. Hoy en da, la tecnologa influencia mucho las percepciones de jvenes, captando su atencin y su imaginacin. La cuestin es cmo podemos usar el poder de la tecnologa para promover el uso de lenguas originarias en lugar de aplastarlas y desprestigiarlas. A diferencia de tecnologas como el radio y la televisin donde el usuario es pasivo, recibiendo la emisin sin la habilidad de alterarla, la computadora es una tecnologa totalmente configurable, posibilitando que el usuario pueda usarla en cualquier lengua y en cualquier contexto cultural. Adems la computadora y el internet son tecnologas participativas e interactivas, permitiendo el usuario crear su propio contenido en cualquier lengua. Desafortunadamente, la computadora es generalmente controlada por empresas transnacionales que no tiene mucho inters en la promocin de diversidad lingstica ni cultural. Cuesta ms para desarrollar software en lenguas no dominantes, y mucho ms para desarrollar software con interfaces diferentes que reflejan culturas diversas. Por eso, casi todo el software es desarrollado para usar lenguas dominantes que tiene la mayora del mercado. Hablantes de lenguas originarias aprenden que sus lenguas maternas no valen y no son tiles en el mundo
NOBOSTI, vol.0/08
50
futuro porque la tecnologa que determinar sus habilidades de trabajar, comunicar, crear y divertirse en el futuro no funcionar en sus lenguas maternas. Adems, los usuarios de software en todo el mundo son forzados de usar la misma interfaz e iconografa, conformando a los paradigmas culturales de Norteamrica o Europa donde la mayora de software es creado. La iconografa usada en software es basada en la cultura occidental y su simbolismo. Por ejemplo, el icono en un navegador de web para volver a la pgina inicial es un casa de Europa nortea con ventanas de vidrio, techos empinados y un chimenea de ladrillos, pero la mayora del mundo no vive en tal tipo de casa. Una casa tradicional de los Andes tiene un techo ms plano y muros de adobe sin ventanasde hecho, quechua y aymara no tenan palabras para ventana. Un nio andino usando un navegador web es sutilmente entrenado para pensar que su casa no sea adecuada porque la computadora muestra otro tipo de casa. Para disfrutar los beneficios de computacin, el nio andino tiene que aceptar otro simbolismo que desprestigia su cultura local. Como muchas otras formas de globalizacin, la globalizacin de software minimiza la diversidad en nuestro mundo, empujando todos al mismo molde. El software de Microsoft, Adobe, Corel, Oracle y otras empresas transnacionales de software privativo (propietario) facilita la globalizacin y la occidentalizacin de lenguas y culturas, promoviendo un mundo donde no haya mucha diversidad. Afortunadamente, en aos recientes ha alzado una alternativa, conocido como software libre o fuente abierta, que permite a cualquier persona tener acceso al cdigo fuente y cambiarlo. A diferencia de software privativo que trata de forzar que todos conformen a la misma interfaz y el mismo paradigma de uso, software libre est desarrollando una diversidad de interfaces y diferentes formas de usar el software. Por ejemplo, software libre permite la creacin de su propia distribucin o combinacin de sistema operativo, gerente de ventanas y aplicaciones. Segn Distrwatch.com, actualmente existen 533 distribuciones diferentes de GNU/Linux, BSD y otros sistemas operativos relacionados. Cada una es diseada para las metas y los gustos diferentes de sus desarrolladores. Aunque la mayora de estas distribuciones son basadas en culturas occidentales, la tecnologa ha empezado de a adaptar a otras lenguas y culturas. Ahora algunas distribuciones promueven el uso de lenguas originarias como Indux promuevan el uso de las lenguas nativas de India. Tambin, pueden promover culturas diferentes en la manera que Tumix promueva el patrimonio precolombino de Per con imgenes de artefactos de los Chavin y los Incas. Otra distribucin de Per, Condorux, reconoce el patrimonio quechua, nombrando sus versiones con palabras quechuas.
Igualmente, software libre permite el desarrollo de una diversidad de interfaces. En Windows y Mac OS, hay solo un tipo de escritorio, pero en XWindows, existen 23 diferentes gerentes de ventanas, permitiendo muchas diferentes formas de GUI (interfaz grfica del usuario). Aplicaciones tambin muestra esta diversidad de interfaces en software libre. Aunque la mayora de usuarios de OpenOffice utiliza la interfaz desarrollado por SUN, IBM ha aadido su propia interfaz basado en Eclipse y el gobierno de China est desarrollando otra interfaz diseada para la lengua china. ARTICULO PROPORCIONADO POR: Amos B. Batto es el cofundador de Runasimipi.org, un grupo que ha traducido AbiWord en quechua y aymara y desarrollado un corrector ortogrfico de quechua.
Lo que se llama conocimiento previo, no puede obtenerse a partir de los espritus, ni de dioses, ni por analoga con hechos pasados, ni por clculos. Debe obtenerse de hombres que conocen la situacin del enemigo. SUN TZU
NOBOSTI, vol.0/08
Introduccin: Al leer el informe presentado por Interpol, surgen muchas dudas e interrogantes sobre el caso, el procedimiento, las conclusiones. Debemos entender que se fusionan varias aspectos: tcnicos, legales y hasta polticos. Mi intensin es expresar una opinin personal basado en el conocimiento y experiencia en el campo de la informtica forense y de una manera ms general, en el campo de los sistemas de informacin. Anlisis del Informe Entre las recomendaciones de Interpol se indica que las Fuerzas del Orden deben prepararse y capacitarse para encarar situaciones relacionadas con Tecnologas de Informacion. Esta conclusin asume que la manipulacin inicial de las pruebas instrumentales o como ha sido denominado el acceso a estas fue ocasionado por la premura de tiempo y el desconocimiento de los procedimientos bsicos de informtica forense. Pero seamos MAS ESEPTICOS con esta conclusin y bajo la prctica del Abogado del diablo trabajemos la hiptesis contraria a la que expone Interpol. Los funcionarios de la unidad antiterrorista dominan las tcnicas anti forenses y manipularon los datos a nivel hexadecimal, encendiendo posteriormente los dispositivos y accediendo a las unidades de almacenamiento para borrar las huellas y cubrir los rastros Bajo esta posicin podemos analizar el informe con otro enfoque: Veamos algunos puntos: El informe publicado por INTERPOL en fecha 15 de mayo y que est disponible en su sitio oficial http://www.interpol.int/ presenta algunos aspectos importantes a considerar. 1.Dice que se encontraron 609 Gb de datos, sin embargo no indica la capacidad de almacenamiento exacta de las 8 pruebas
instrumentales (3 porttiles, 2 discos duros externos y 3 memorias flash). Si asumimos que los 609 Gb son el total de la capacidad de almacenamiento surge la interrogante siguiente: Estaban al tope de capacidad? Y si vamos por el otro lado, los 609Gb son espacio ocupado, tambin surge otra interrogante Qu informacin existe en el espacio no utilizado? Se habr procedido a la recuperacin de archivos borrados? 2.El informe es muy puntual y exacto en citar cuantos archivos han sido creados, abiertos, modificados o suprimidos. En todas las pruebas instrumentales se hace esta puntualizacin y tambin se concluye que en total son 48.055 archivos que evidentemente es una suma exacta por prueba instrumental. Si el informe precisa estos datos, porque no es tan puntual en citar cuantos archivos son de sistema, cuntos son de usuario, cuanto espacio estaba ocupado, cuanto espacio estaba libre, etc?. Ahora si existe tal cantidad con fechas modificadas, Cmo pueden asegurar que entre esos archivos no existen algunos que fueron modificados manualmente? Se est tomando las fechas como dato de referencia para ver cuantos archivos fueron modificados, pero se debe tambin entender que se pudo modificar el reloj del computador o algo mejor, hacer una edicin hexadecimal para modificarlos. 3.En los archivos de las porttiles se puede entender la cantidad de archivos de sistema creados, modificados, suprimidos y abiertos, lo que representa dudas es por ejemplo en los discos duros externos (Pruebas N30 y N 31)
NOBOSTI, vol.0/08
continua pag. 57
52 ETAPAS DE LA
Por: Msc. Ing. Guido Rosales Uriona
INVESTIGACIN CRIMINAL
Antes de comenzar con la investigacin criminal debemos analizar la secuencia tpica de un ataque informtico o del uso de un medio electrnico para la comisin de un delito.
Estos pasos son generales, entonces no necesaria y nicamente encontraremos pistas en el dispositivo afectado o utilizado, el atacante ha tenido que colectar la informacin y bajo el principio de elocard ha dejado huellas electrnicas que debemos encontrar, cada caso es peculiar, segn el atacante. Por supuesto, que debemos tomar en cuenta la naturaleza e intelecto del atacante que puede haber utilizado tcnicas Anti Forenses (Trmino utilizado a las propiedades del Borrado Seguro demostradas en 1996 por el Dr. Guttman) en cuyo caso estaremos frente a un atacante o perpetrador del hecho muy sofisticado que si bien minimiza la posibilidad de encontrar rastros, tambin limita en sentido positivo el espectro de posibles atacantes, dado el conocimiento y las tcnicas utilizadas.
que en el mbito virtual, que puede representar la mayor complejidad, cerrada en el mbito fsico, pero abierta en el campo virtual. Cuando se sospecha o se tiene certeza de la ocurrencia de un hecho anormal, se debe bloquear el uso y acceso a todos los dispositivos, medios electrnicos, magnticos u pticos que puedan estar comprometidos. Si en una escena fsica se procede con el acordonamiento del lugar, en casos de escenas que comprendan computadores, se debe tomar en cuenta que estos pueden estar conectados a redes de computadores, por ello se deber aislar de la forma ms eficiente. Consideremos por ejemplo una oficina, fcilmente podemos deducir que un escritorio puede contener algunos, o todos los dispositivos siguientes: Un Computador personal, de escritorio o mvil, un celular, una agenda electrnica, una o varias Memorias flash, CDs o DVDs, diskettes, una impresora, un telfono / Fax que puede tener memoria de grabacin, Dispositivos USB, por ejemplo infrarrojos, Bluethoot, greles, etc. En caso de que se vea en pantalla algo que podra perderse si el computador es apagado, se recomendar redactar un acta, donde se exponga lo que se tena en pantalla. Este procedimiento debe ser muy rpido, dado que es mayor el peligro de una conexin por red que est con la potencialidad de borrar todos los datos del disco duro. En caso de un incidente informtico perpetrado desde fuera o desde la red interna se mantiene latente la posibilidad de acciones del atacante. Una de las mejores maneras de aislar la escena electrnica del hecho: es quitar la alimentacin de forma inmediata. En caso de computadores personales se quitar la energa elctrica sin apagar, va sistema operativo. En caso de un computador portable se apagar removiendo la batera o en su defecto por el botn de energa. Se debe tomar en
NOBOSTI, vol.0/08
53
cuenta que lo que se llega a perder, es poco comparado con la proteccin que se logra. Tambin se debe tomar en cuenta que, por el principio de administracin de memoria RAM, gran parte de lo que existe en ella est tambin en el disco duro, en espacio de memoria virtual. Si la persona que tiene contacto inicial con la escena del crimen, puede llamar a los especialistas o en este caso a los investigadores de la FELCC, entonces solo deber efectuar la Etapa 1. En caso de no existir la posibilidad de llegada en un tiempo corto, deber efectuar los pasos siguientes por su cuenta. Importante.- La escena del hecho electrnica es dem a la fsica en los cuidados requeridos, no se le ocurra navegar, prender o apagar los dispositivos dado que estara contaminando las evidencias. Tome en cuenta que con el solo hecho de conectar una memoria flash por ejemplo, podra introducir un virus que modificara la escena del crimen introduciendo elementos forneos al hecho, cambiando fechas, modificando archivos, borrando huellas, etc. No se puede predecir las acciones que un virus puede ejecutar en cuestin de segundos. Cerrado PCs sin conexin a redes Abierto PCs con conexion a Internet va ISP M i x t o P C S e n L A N / M A N / WA N . Principio de e-Locard: Todo dispositivo en comunicacin con otro, deja huella binaria (Es una modificacin al principio bsico que se me ocurri para encontrar un analoga). Este principio nos obligar a no descartar ningn dispositivo que tenga capacidad de almacenamiento. Dado que a simple vista no podemos concluir; al respecto, debemos considerar todos los dispositivos electrnicos como fuente posible de evidencia digital. Se aplica el principio de pecar por exageracin que lamentar lo contrario. Considere que hoy en da generalmente tenemos escenas mixtas o abiertas. Tambin considere que por precaucin un delincuente avanzado no colocara su evidencia en su propio computador, entonces es importantes que al momento de revisar la escena trate de evaluar las conexiones directas que puedan existir, sino le tocara levantar evidencia posteriormente cuando establezca la relacin del tringulo del crimen.
NOBOSTI, vol.0/08
54
cada dispositivo en un cuadrante especfico. Cuadrante I: Servidor marca Compac Serial 456789123 Cuadrante II: PC con IP 192.168.01, 192.168.002 y HUB con serial 123456789 Cuadrante III: PC con IP 192.168.03, 192.168.004 Cuadrante IV: HUB serial 789456789, MODEM serial 78978797, firewall marca PIX serial 7897879777, MODEM ADSL serial 78945611212 Video grabacin de la disposicin de los dispositivos y medios. Por ejemplo la grabacin podra decir. jueves 25, horas 09:45, escritorio de Juan Prez, se encuentra un CD serial 123, una mquina porttil marca Compac, que se encontraba apagada, etc. Identificacin de planos elctricos y datos. Cableado o dispositivos inalmbricos En este punto se recomienda validar mediante la observacin el cableado existente y registrarlo en actas. Se debe asumir que muchas veces no se ve la presencia de conexiones wireless, entonces, no se pude afirmar su existencia o ausencia. Etiquete los cables segn el dispositivo al que pertenecen. Conforme haga el barrido cubra con cinta de embalaje todos los puertos, disketeras y unidades de discos. Procure utilizar algo similar al lacrado, por ejemplo utilice papel con su firma como sello, recubierto con cinta de embalaje transparente. Etiquete los puertos no utilizados como tal, si separa un dispositivo perifrico identifique los cables conectados y el puerto para poder reconstruir la conexin existente.
SITUACIN 1:
Si encuentra que existen en la escena varios computadores, se puede suponer que existe una red de computadores, en ese caso, debe procurar la presencia de un especialista en informtica forense dado que el alcance de la escena puede comprender muchos sitios geogrficamente distantes.
SITUACIN 2:
El computador est encendido y el monitor presenta algo en pantalla. Entonces, tome fotografas o efecte un croquis a mano alzada de lo que se ve en el monitor, procure tener un testigo adicional.
SITUACIN 3:
El computador est encendido, pero el monitor est con pantalla de descanso. Entonces tome fotografas, luego mueva levemente el Mouse. Si aparece la pantalla pidiendo la clave fije la instancia con fotografa o en el acta, pero no efectu otro movimiento o tecleo de alguna clave, procure tener un testigo adicional.
NOBOSTI, vol.0/08
55
Por ejemplo, si el ataque se ha producido sobre los datos de un sistema, fsicamente tendremos el servidor, pero lgicamente se compromete la base de datos. Ahora el ataque puede ser va sistema, entonces se compromete el aplicativo mismo o directamente sobre la base de datos donde se compromete cada una de las tablas que hacen la Base misma. Los indicios y/o evidencias que se recolecten de la escena del hecho, se transportan hasta los ambientes predefinidos puede ser la oficina de auditoria interna, los laboratorios del Instituto de Investigacin Forense, ambientes de la Fiscalia u otros. Siempre apuntando la lista en el cuaderno de Investigaciones, bajo constancia en Acta, con la firma de todos los participantes y un testigo de actuacin. En este punto se debe considerar que al no existir las garantas de traslado, se podr pedir el anticipo de prueba, amparados en el Cdigo de Procedimiento Penal. Tome en cuenta el riesgo de traslado, sobre todo con evidencias con componentes mecnicos que pueden dessincronizarce como en el caso de los Discos Duros. Sea escptico y si alguna vez ha odo sobre la ley de Murphy, tmela en cuenta. Se recomienda tomar en cuenta lo siguiente: Colecta de todos los medios mviles y removibles, tomando en cuenta su rol en el esquema tecnolgico. Levantamiento de actas escritas, grabadas y/o filmadas. Fijacin de nmeros seriales y dems caractersticas. Busque el nmero serial de cada objeto, todos lo tienen, sino marque con un nmero y firme sobre el objeto utilizando en lo posible marcador indeleble. Pero cuide de dejar constancia de la marca en el acta del levantamiento. IMPORTANTE: No se le ocurra prender un dispositivo del lugar del hecho para elaborar su acta de colecta.
NOBOSTI, vol.0/08
56
indicando: fecha, hora, nombre y firma de quin recibe y de quin entrega. La naturaleza de los medios de almacenamiento digital, corren el riesgo de cambiar su estado o sufrir daos de transporte y conservacin, debiendo la Fiscalia proveer las medidas para garantizar su permanencia en el tiempo. CPP: Artculo 307. (Anticipo de prueba). Cuando sea necesario practicar un reconocimiento, registro, reconstruccin o pericia, que por su naturaleza o caractersticas se consideren como actos definitivos e irreproducibles, o cuando deba recibirse una declaracin que, por algn obstculo, se presuma que no podr producirse durante el juicio, el fiscal o cualquiera de las partes podrn pedir al juez que realice estos actos. El juez practicar el acto, si lo considera admisible, citando a todas las partes, las que tendrn derecho a participar con las facultades y obligaciones previstas en este Cdigo. Si el juez rechaza el pedido, se podr acudir directamente al tribunal de apelacin, quien deber resolver dentro de las veinticuatro horas de recibida la solicitud, ordenando la realizacin del acto, si lo considera admisible, sin recurso ulterior. En casos de evidencia digital, se recomienda que cuando no exista la posibilidad de garantizar un ambiente de conservacin adecuado, la Fiscalia apoyada en el artculo 307, del c.p.p., puede generar medidas que garanticen la permanencia inalterable de la evidencia digital. Ya los peritos de parte, podrn ponerse de acuerdo en los medios a utilizar para garantizar el Anticipo de prueba, segn el caso. Considere la proteccin de traslado tomando en cuenta las condiciones ambientales como humedad, temperatura, exposicin prolongada a vibracin.
Ser invencible depende de mi mismo. La vulnerabilidad del enemigo depende de l. La posibilidad de ser invencible se funda en la defensa, la posibilidad de la victoria en el ataque.
SUN TZU
NOBOSTI, vol.0/08
viene de la pag. 51
reloj del computador o algo mejor, hacer una edicin hexadecimal para modificarlos. 3.En los archivos de las porttiles se puede entender la cantidad de archivos de sistema creados, modificados, suprimidos y abiertos, lo que representa dudas es por ejemplo en los discos duros externos (Pruebas N30 y N 31) por qu existe tal cantidad de archivos?. En uno son 11579 archivos abiertos y en el otro 13. 366 y tampoco se indica cuantos son exactamente archivos de usuario y cuantos de sistema. 4.En el informe no se menciona si el anlisis tcnico ha considerado la edicin hexadecimal, solo se toma las modificaciones que pudieron hacerse desde sistema operativo. Consideremos que una edicin hexadecimal puede alterar el contenido de los archivos sin modificar las fechas y se puede hacer cambio de cadenas sobre todo el disco en un tiempo breve. 5.Se tiene alrededor de 4000 archivos con fechas futuras, ao 2009 y ao 2010. Segn la Conclusin de Interpol, simplemente estos archivos NO deberan ser tomados en cuenta para el anlisis. Pero esta es una conclusin inconcebible, en realidad encontrar archivos con fechas futuras cuestiona TODAS las fechas. Entendamos que la autenticidad de una prueba recae entre otras cosas en su directa relacin con los hechos investigados. Sabemos que la fecha de un archivo o lo que comnmente se llama metadata puede ser modificada de varias formas: manualmente o cambiando la fecha al computador no se podra concluir que simplemente debe excluirse del anlisis esos archivos. 6.Utiliza aspectos propios de la sealizacin de pruebas, claramente indica la existencia de 8 pruebas instrumentales, pero en el mismo informe tiene imgenes donde se puede apreciar lo siguiente a.Como se observa en la imagen de la derecha se ven 9 pruebas instrumentales, la prueba 29 aparentemente una memoria electrnica, es presentada en el conjunto de pruebas, sin embargo no se realiza un anlisis de la misma y tampoco existen conclusiones. Cul la intencin de presentar 9 pruebas pero solo concluir sobre 8? b.Como se puede apreciar tomando las dos imgenes del informe, la prueba sealada con el N 32 en una de las imgenes y en todo el documento corresponde a una memoria flash tipo U3 de color negro, pero en a)Entre el 1 y 3 de marzo tenemos alrededor de 72 horas. Si tenemos 609Gb en cuestin y utilizamos herramientas forenses bsicas y open source como HELIX, podemos decir que tardaramos alrededor de 609 minutos haciendo una imagen a razn de 1 Gb por minuto, eso nos da alrededor de 10 horas, si adems sacamos la imagen, podemos incrementar el tiempo en un 50% lo que nos da alrededor de 15 horas en total, pero en forma separada no ms de 3 horas por prueba instrumental. Si consideramos que contar con un laboratorio con instrumentos forenses adecuados, el tiempo se reduce fcilmente en un 50% lo que nos deja alrededor de 7 u 8 horas en total y menos 2 horas por prueba instrumental. Efectuar este procedimiento en ese tiempo es excesivo? El tema de Ral Reyes lleva aos. El Gobierno Colombiano ha mencionado una recompensa de 2,5 millones de dlares. El costo de un laboratorio forense apropiado que no excede los 30.000$US es una limitante? Conclusiones: El informe es incompleto en exceso. Tiene una visin ms poltica que tcnica dadas las imprecisiones. Mas parece un informe mutilado, hay elementos que dicen sobre su falta de integridad .Parece que trata de encubrir errores procedimentales determinantes y finalmente NO ES IMPARCIAL. Se asemeja a la Pericia de Parte , considerando que se manejan verdades a medias. Seria importante conocer la posicin de los colegas abogados sobre el marco legal violentado. Sin embargo el informe muestra elementos por ejemplo sobre la sealectica muy destacables y en general muestra que el Gobierno Colombiano est avanzando en este tema. Algo que debemos reclamar a nuestras autoridades en casos que estn pendientes relacionados con Computadores y evidencia digital. Uno ocurri ya hace casi un ao y el otro hace un par de meses. Esperemos los comentarios para seguir investigando. otra imagen, la prueba sealada con el numero 32 corresponde a una memoria Kingston color blanco. Por qu las imgenes presentan pruebas instrumentales sealizadas con diferentes nmeros? Es un simple error de numeracin? O que paso? 3.- El Informe textualmente dice: En las operaciones policiales que se efectan en todo el mundo es corriente que las primeras unidades policiales que llegan al lugar de los hechos accedan directamente a las pruebas electrnicas decomisadas en lugar de hacerles copias protegidas contra la escritura. En particular, las unidades antiterroristas consideran que hay que obtener y analizar las pruebas inmediatamente para evitar el prximo atentado De acuerdo a las fotografas presentadas en el mismo informe, los dispositivos fueron trasladados del campamento de las FARC y los mismos dispositivos fueron encendidos y apagados en diferentes momentos de tiempo hasta su entrega al DIJIN (Polica Colombiana) en fecha 3 de marzo. Surgen las siguientes dudas
57
NOBOSTI, vol.0/08
58
Formulario de suscripciones
Datos del suscriptor
Nombre:......................................................... C. I./NIT....................................................
Pas:................................................................................................................................................ Adjunto cheque No.: del Banco: por la cantidad de: ----------------------------------------------------------------------------------------------------------------------------
Enviar cheque a nombre de NOBOSTI SRL en sobre cerrado remitido a Claudia Araujo M Para suscribirse usted tambin puede realizar un depsito en la Cta. del Banco Nacional de Bolivia y enviarnos por fax el depsito y el formulario, o acercarse a nuestras oficinas para pago en efectivo. Las suscripciones institucionales tienen precios diferenciados segn su naturaleza. Contctenos para ms informacin a: e-mail: info@nobosti.com ARTICULOS, PUBLICIDAD E INVITACIONES Para todo articulo (opinin, entrevista, evento, sociales o cualquier actividad) deber contactar a Vladimir Murillo o Mariela Bellot vemurillo@nobosti.com y manunez@nobosti.com respectivamente.
10 20 150
Av. Arce N 2105, Edificio Venus 5A, Tel.: (591 2) 2152273 Fax: (591 2) 2440985, Casilla Postal 7266 La Paz - Bolivia
www.nobosti.com
NOBOSTI, vol.0/08
16
NOBOSTI, vol.0/08