¿Sabías que

es el único
Centro de
Entrenamiento
autorizado en
México?
Por lo que ahora puedes:
1.- Tomar el Seminario Oficial CISSP de (ISC)2 del 10 al 14 de
agosto de 2015, en Scitum a un precio de US$1,900.00 más
IVA (precio regular en E.E.U.U.: $2,599.00).
2.- Presentar el examen de certificación con costo de US$599.00 a
través de uno de los centros autorizados.

Más informes, comuníquense al 9150.7496, lunes a viernes de 9:00 a 18:00 hrs. o bien al
correo electrónico: capacitacion-isc2@scitum.com.mx

La fecha límite de inscripciones es el 31 de julio de 2015.

 Contenido
no.
18
AÑO 6, NÚMERO 2, 2015

4 » Editorial
4 2015: ¿Cuándo acabará la crisis?
Héctor Acevedo Juárez

Dirección General
Ulises Castillo Hernández
6 » Conexiones
Editor en jefe TIPS 6 Seguridad en maestro de usuarios
Héctor Acevedo Juárez de SAP ERP
Pedro Hernández Farías
Consejo Editorial 14 En el ciberespacio, lo gratis no
Ulises Castillo Hernández siempre es gratis
Priscila Balcázar Hernández Imelda Flores
Héctor Acevedo Juárez 20 La continuidad de negocio en
Elia Fernández Torres las PyME, un reto de interés para
todos
Germán Vargas Pedroza
Colaboradores TIPS 26 Consejos básicos sobre clasificación
Héctor Acevedo Juárez de información - Parte 2
Ricardo Alí Barrera Arteaga Fabián Descalzo
María José de la Calle
Fabián Descalzo
Imelda Flores Monterrosas
Pedro Hernández Farías
10 » Opinión
10 "Wearables” y la protección de
Andre Pitkowski datos personales
Marcos A. Polanco Velasco María José de la Calle
Germán Vargas Pedroza 16 Personas + procesos + tecnología
= seguridad
Marketing y Producción Andre Pitkowski

Karla Trejo Cerrillo 28 De lo lógico a lo físico: dos

dimensiones un mismo acceso
Sofía Méndez Aguilar Fabián Descalzo

Correctora de estilo
Adriana Gómez López 8 » CiberSeguridad
8 Tendencias de amenazas en
Diseño ciberseguridad
Silverio Ortega Reyes Ricardo Alí Barrera Arteaga
22 Ciclo de vida de los ataques
avanzados
Marcos A. Polanco

Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 6, número 2, 2015 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado
por el Instituto de Derechos de Autor: 04-2013-032212560400-102. Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/TC/10/18827.
Domicilio de la Publicación: Av. Insurgentes Sur 3500, piso 2, col. Peña Pobre, C.P. 14060, México, D.F. Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O’Farril # 520
int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca 86-402 Col. Roma. México D.F. Magazcitum,
revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de
la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados
por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e
ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus
respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores.
Para cualquier asunto relacionado con esta publicación, favor de dirigirse a contacto@magazcitum.com.mx
2015 3
 Cambiando de tema, y como
podrán ver, estamos estrenando
diseño en la versión impresa y en la
revista virtual. Quiero agradecer a los
involucrados en ello pues me parece
que ahora tenemos una Magazcitum
más acorde con las últimas
tendencias al respecto. Esperamos
que sea de su agrado.

Finalmente y antes de despedirme,

quisiera compartir con ustedes
algunas estadísticas de nuestro sitio
Web para 2014, que mejoraron
bastante respecto al año anterior y
que existe gracias a todos ustedes:

2015: ¿Cuándo »»Total de visitas

»»Páginas vistas
82,665
113,718

acabará la crisis?
»»Los cinco países con más visitas
(de un total de 110):
»» México 25,338
»» Colombia 14,652

Héctor Acevedo »» Perú 8,621

»» España 8,024
CISSP, CISA, CGEIT, ITIL y MCSE »» Ecuador 4,787
hacevedoj@scitum.com.mx
Por favor no dejen de visitarnos en
nuestro sitio Web:
El inicio de 2015 es casi una repetición de los dos o tres años anteriores: www.magazcitum.com.mx, pues
esperanza de crecimiento después de un año que resultó más difícil de lo que para nosotros es relevante saber qué
todo mundo esperaba. temas les resultan interesantes.

Aunque los Estados Unidos de América siguen recuperándose lentamente, Como siempre, muchas gracias por
Europa sigue con su mezcla de noticias buenas y malas, con la crisis Griega su atenta lectura.
causando estragos en las bolsas y monedas de prácticamente todo el mundo.
Atentamente
Así pues, nuevamente estamos ante un año que será difícil para la industria de
TI y pareciera que el “movimiento a la nube” podría ser uno de los factores que Héctor Acevedo Juárez
permitan un poco de crecimiento, ya veremos. Editor en jefe

4
¡Ya estas enterado del beneficio de realizar el Security
Check Up a tus instalaciones de red!

Con la herramienta de Análisis de Amenazas de Check Point puedes recibir un análisis de

seguridad integral que resume los eventos de seguridad, sus riesgos y remediación, esta
herramienta integra automáticamente los eventos de seguridad de diferentes Software
Blades: control de aplicaciones, �ltrado de �R�, IPS, D�P, Anti Bot y Anti-Virus.

Beneficios Clave:

Redes de monitoreo de eventos críticos y alta seguridad

- Identi�ca las aplicaciones de riesgo que se utilizan.
- Detecta los hosts infectados con bots y virus.
- Resume los eventos de seguridad y las acciones
necesarias para corregirlos

Identificación de IPS peligrosas y eventos DLP

- Gusanos CIFS y ataques de directorio.
- Vulnerabilidades de denegación de servicio.
- Números de tarjetas de crédito y nombres
de los clientes.

Ofrece remediación para reducir los perfiles de

riesgo
- Proporciona un informe fácil de entender de
los incidentes de seguridad para la remediación rápida.
- Proporciona un resumen ejecutivo para discusiones con
la administración.

Para más información www.checkpoint.com/resources/securitycheckup

 Otra pregunta frecuente es ¿Por qué
no es recomendable eliminar a los
usuarios en el sistema SAP ERP? La
respuesta es fácil: al eliminarlos
existe el riesgo de alterar la
trazabilidad histórica de la cuenta
eliminada, ya que generalmente los
User Id son creados entre una
mezcla de la inicial del nombre y
apellido, por ejemplo JPEREZ para
asociar la cuenta del usuario Juan
Pérez. Entonces, si el empleado
TIPS Juan Pérez abandona la entidad o
es desvinculado y si su cuenta es
eliminada, en un futuro podría darse
el caso de que llegue un nuevo
empleado Jorge Pérez y le sea
asignado el User Id JPEREZ, con lo
que la trazabilidad asociada a las
transacciones realizadas por este
User Id si bien no se pierde sí podría
verse alterada.

Seguridad en
maestro de
usuarios de SAP
ERP
Pedro Hernández Farías
CGEIT y CRISC
pdhernandezf@gmail.com
@pdhernandezf
En el ERP de SAP, el maestro de usuarios es tan crítico que requiere
resguardarlo y monitorearlo en forma continua, tanto en los ambientes de
desarrollo como de producción.

En los foros de Internet constantemente hay preguntas de este estilo: ¿Qué

hacer con la cuenta de usuario SAP ERP si un empleado deja la entidad? La
respuesta a esta recurrente pregunta es clara y desde el punto de vista de
control interno es recomendable bloquearla y desvincularle la totalidad de
sus roles, perfiles y autorizaciones. Asimismo, es aconsejable asociarla a un
grupo de usuarios, que puede ser llamado “Exempleados” o algo
representativo, a fin de mantenerlos monitoreados y clasificados de una
manera fácil.
6
También es importante mantener monitoreadas y resguardadas las
transacciones que permiten crear, modificar y eliminar las cuentas de usuario
(transacción SU01) con la restricción y segmentación de sus respectivos
objetos de autorización que permiten ejecutar alguna de estas acciones.

Se debe tener mucho cuidado respecto a la asignación a un mismo usuario

de las transacciones SU01, SU02 y PFCG, dado que genera un conflicto de
segregación de funciones (SoD, por sus siglas en inglés), pudiendo con estos
privilegios crearse un usuario en forma indebida y asignarle roles, perfiles y
autorizaciones amplios en el sistema SAP ERP.

A continuación, comparto algunas consideraciones clave a tener en cuenta en

materia de seguridad del maestro de usuarios en SAP:

1. Baja de usuarios.
a. Como ya se dijo, no eliminar la cuenta de un usuario que deja de
pertenecer a la entidad.
b. Se debe bloquear al usuario inmediatamente.
c. Hay que desvincular inmediatamente la totalidad de los roles, perfiles y
autorizaciones de la cuenta de usuario que deja la entidad.
d. Clasificar a estos usuarios en un grupo especial y representativo, a fin de
mantenerlos monitoreados de forma sencilla.

2. Privilegios de usuarios.
a. Restringir y monitorear los privilegios para la creación, modificación y
eliminación de usuarios en el sistema.
b. Restringir y monitorear los privilegios para la creación de roles, perfiles,
autorizaciones y su asignación a un User Id.
c. Segregar los privilegios para creación de usuarios, roles, perfiles y
autorizaciones.
d. Monitorear continuamente el maestro de usuarios.
e. Usar cuentas de usuario que sean representativas de quien las usará y
evitar el uso de cuentas genérica en aquellos que ejecutan transacciones
de creación, modificación, actualización o eliminación. Eventualmente se
podría usar cuentas genéricas restringidas con privilegios de
visualización, pero con el debido resguardo de la confidencialidad de la
información.
f. Monitorear de manera continua la integridad en la creación de datos
maestros de usuarios.

3. Normatividad.
a. Crear y difundir políticas y procedimientos para regular lo arriba
mencionado.
b. Establecer mecanismos para la aplicación, revisión y actualización
permanente de las políticas y procedimientos.

2015 7
 Una de las principales tendencias en
ciberseguridad es estar preparado,
ya que “la preparación lo es todo”. Si
usted lo está y cuenta con una
estrategia adecuada que mezcle
tecnología de vanguardia, procesos
operables y personal especializado,
manejar un ciberincidente no será
fácil, pero tampoco tendrá por qué
ser un dolor de cabeza que termine
por volarnos los sesos.

Y la pregunta de moda es: ¿cuáles

serán las tendencias de las amenazas
en ciberseguridad? A continuación,
expongo cinco de las predicciones
más importantes de seguridad para
este 2015:

Tendencias de
amenazas en
ciberseguridad
Ricardo Alí Barrera Arteaga
SANS GCIH e ITIL 1. Los cibercriminales se
estarán enfocando con
rbarrera@scitum.com.mx mayor persistencia en los
registros médicos de los
pacientes en los hospitales.
No importa qué tan grande sea su compañía o cuál sea el giro del negocio al
que pertenezca, tarde o temprano se enfrentará a un ciberincidente.
Se ha detectado que los registros
médicos de un paciente contienen
De acuerdo con la Agencia de Seguridad Nacional de Estados Unidos, por suficiente información de identidad
cada compañía que está enterada de que está siendo hackeada, existen otras personal (PII, por sus siglas en
100 que desconocen que sus sistemas han sido comprometidos1. inglés) tales como nombre,
dirección postal, número de
Empresas de todos los tamaños y tipos tendrán ciberincidentes. Esto no es un seguridad social e incluso enlaces a
mal augurio, pero es importante tenerlo en cuenta, ya que de vez en vez se información financiera, como para
escucha decir: “durante dos años no hemos tenido ningún incidente de hacer que dichos registros sean
seguridad, por lo tanto no tengo nada de qué preocuparme”. La realidad es valiosos para un cibercriminal, lo que
que esta postura es muy riesgosa ya que algunas de estas empresas que no propiciará una multitud de ataques
están suficientemente preparadas no vivirán para contarlo. de fraude de identidad
8
2. El Internet de las cosas, un
nuevo vector de amenazas.
Para empezar, entiéndase que el
término “Internet de las cosas” (IoT, por
sus siglas en inglés) se refiere a la
interconexión digital, por medio de
Internet, de los objetos cotidianos como
refrigeradores, termostatos, relojes
inteligentes, sistemas de vigilancia en el
hogar y productos de domótica.
Según la consultora de gestión y
tecnología Accenture, para el final de
2015 al menos 13% de los
consumidores poseerá un dispositivo de
estos y en los próximos cinco años el
porcentaje se elevará a 69%2.
Desde la perspectiva de ciberseguridad
IoT ofrece un nuevo campo de batalla,
ya que cada dispositivo conectado a la
red incrementará potencialmente el
número de ataques cibernéticos. Por
ejemplo, en investigaciones realizadas
por Proofpoint3, se encontró que 25%
del correo electrónico malicioso
(alrededor de 750,000 mensajes)
provenía de este tipo de dispositivos.
3. Dispositivos móviles: la llave
de acceso a la información y al
dinero fácil.
Los dispositivos móviles serán el
objetivo de ataque para el robo de
datos de autenticación de usuarios y
tener acceso a otros servicios. Por
ejemplo, los servicios de cómputo en la
nube que permiten el acceso desde
varios dispositivos motivarán y llamarán
la atención de los cibercriminales para
obtener las credenciales de acceso de
estos dispositivos, para robar
información de acceso adicional, como
vector de entrada a los recursos e
información provistos desde la nube.
Por otra parte, aquellas aplicaciones
orientadas a realizar pagos desde
dispositivos móviles, tales como Apple
Pay4 y Google Wallet, por mencionar un
par, propiciarán que los atacantes estén
en busca de vulnerabilidades que les
permitan robar dinero de los usuarios.
4. Innovando las técnicas de Crime as a Service (CaaS).
Las amenazas serán más innovadoras y sofisticadas para evadir los nuevos
mecanismos de seguridad de las organizaciones. Los ataques dirigidos ya no
serán asociados solo con países como Rusia, China o Estados Unidos. Ya se
han visto ataques provenientes de Vietnam, India, Reino Unido, Indonesia y
Malasia, por citar algunos.
En los siguientes años, los agentes de amenazas y las motivaciones de
ataques seguirán creciendo y variando. Por ejemplo, se hará uso masivo de
algoritmos de generación de dominios polimórficos (DGA, por sus siglas en
inglés) con la finalidad de preservar la persistencia de agentes de amenazas
relacionados, botnets y sitios maliciosos. Otro ejemplo es el hecho de que,
aunque la mayor parte de los ataques dirigidos son iniciados por técnicas
como spear phising y tácticas de watering hole, con el aumento de servicios
en la nube se ha observado que las instrucciones de comando y control
usadas para dar órdenes a equipos previamente infectados serán
hospedadas en sitios legítimos tales como Google Docs.
5. El código abierto es el nuevo Caballo de Troya.
Seguirán siendo descubiertas vulnerabilidades en código abierto como
heartbleed y shellshock, que permanecieron sin ser detectadas durante años
hasta que fueron explotadas en 2014. A modo de recordatorio, heartbleed es
una falla de seguridad en la biblioteca OpenSSL que permitía a los atacantes
leer fragmentos de la memoria de equipos afectados, donde dichos
fragmentos de memoria podrían contener información confidencial, como las
claves privadas SSL de un servidor. Por otra parte, shellshock es una falla de
seguridad que afecta ampliamente a bourne-again shell (Bash) de Unix, que
permitió a los hackers tomar control a distancia de un estimado de 500
millones de computadoras en el mundo.
En conclusión, es un hecho que los ciberincidentes ocurrirán, pero la
pregunta medular es: ¿Cuándo sucederán?... Dado que muchas
organizaciones sufren para detectar, responder y remediar la creciente
oleada de ataques, es importante empezar por conocer a qué nos
enfrentamos y enfrentaremos, para definir líneas de acción estratégicas y
tácticas que nos permitan estar preparados.
Referencias:
Para acceder a los links a los que se hace referencia escanee el código QR con la aplicación para
smartphone de su preferencia.
• 2015 Security Prediction • THE Invisible becomes visible Trend
Micro Security Predictions for 2015
and Beyond
http://www.websense.com/content/2015-predictions-report.aspx http://www.trendmicro.com/cloud-content/us/pdfs/security-
intelligence/reports/rpt-the-invisible-becomes-visible.pdf
Notas:
1
NSA chief: Cyber-attacks skyrocket, 2
New Study Predicts 69 Percent of
account for largest 'transfer of
wealth' ever
Consumers Will Own an IoT Device by
2019
http://www.foxnews.com/politics/2012/07/09/nsa-chief-cyber- http://blog.atmel.com/2014/08/22/69-of-consumers-will-own-an-in-
attacks-skyrocket-account-for-largest-transfer-wealth-in/ home-iot-device-by-2019/
3
Your Fridge is Full of SPAM: Proof of 4
Warren Tsai. (September 25, 2014).
An IoT-driven Attack TrendLabs Security Intelligence Blog.
“Apple Pay: Introducing (Secure) Mobile
Payments?”
http://www.proofpoint.com/threatinsight/posts/your-fridge-is- http://blog.trendmicro.com/trendlabs-security-intelligence/
full-of-spam-proof-of-a-Iot-driven-attack.php apple-pay-introducing-securemobile-payments
2015 9
“Wearables”
y la protección
de datos
personales
María José de la Calle
iTTi, Instituto de Tendencias en Tecnología e
Innovación (España)
mjdelacalle@ittrendsinstitute.org

"... parece mentira que no hayamos conseguido una navegación segura,

que comprar online signifique pasar a formar parte de una base de
datos, se quiera o no, o que usar nuestro correo electrónico pueda ser
todavía una excelente vía de entrada para el malware y los virus".

"El consumidor recibe mensajes del tipo: 'No ejecute aplicaciones

peligrosas'... pero, ¿cómo puede saber cuáles lo son? ¡Si además,
potencialmente, todas lo son realmente!".

Radia Perlman "DISI 2008: Adventures in Network Security"1

Esto lo decía la doctora en Ciencias de la Computación por el MIT Radia

Perlman2 en el año 2008, en Madrid, con motivo de las jornadas organizadas
por la Cátedra UPM (Universidad Politécnica de Madrid ) Applus+ de
Seguridad y Desarrollo de la Sociedad de la Información "Día Internacional de
la Seguridad de la Información, DISI".

A pesar de las leyes de protección de datos, en realidad, tal y como afirma la

Dra. Perlman, no somos dueños de los datos que "voluntariamente" dejamos
en Internet cuando interactuamos con la red. Podríamos, por ejemplo, una vez
conseguido el objetivo de nuestra interacción, ser capaces de borrar nuestro
rastro, si así lo deseáramos, y no que todo lo que hacemos quede registrado y
perdamos el control sobre ello.
10
Utilizamos herramientas que no sabemos
muy bien qué es lo que hacen, además
de lo que se supone deben hacer, y
recibimos mensajes ominosos acerca del
peligro que podemos correr utilizándolas.

Y aún hay más. En esta misma sección y

en el otoño de 2014 ya apunté, bajo el
título '"Internet de las cosas” o la
peligrosa transformación del mundo real
en virtual3 , que la conectividad de los
objetos cotidianos a Internet ampliaba el
margen de inseguridad de la vida misma
al poder ser “manipulados” de forma
remota, ellos mismos o los datos que se
intercambian, violando el principio de
integridad de la seguridad de la
información.

Un subconjunto de dichos dispositivos lo

constituyen los "wearables" o, en
español, lo que podemos llevar encima,
como relojes, pulseras, gafas, etc., que
integran cámaras, micrófonos y sensores
que pueden constituir medidores de
nuestros parámetros biológicos y de
nuestro entorno próximo. Y en el caso de
dispositivos como marcapasos y prótesis
activas varias, no solo medidores, sino
“actuadores”.

A los objetos cotidianos se les provee de

más funcionalidades: permiten grabar y
transferir datos, están hechos para
portarlos regularmente y para registrar
información sobre nuestros hábitos y
estilos de vida, y, una vez que los datos se
almacenan de forma remota, pueden ser
compartidos con terceros, a veces sin que
la persona afectada sea consciente de
ello.

Como ejemplo podemos citar

rastreadores de movimiento, indicadores
cuantitativos relacionados con la actividad
física, calorías quemadas o distancias
recorridas, pulso u otros indicadores de
salud. Estos son datos que se refieren a
personas físicas -nosotros- que se pueden
identificar, por tanto son datos personales
y como tales hay que tratarlos. Pasamos,
entonces a otro principio de la seguridad
de la información: el de la
confidencialidad.

2015 11
 Las vulnerabilidades de dichos dispositivos entrañan riesgos significativos para
nuestra privacidad y, dado que los tenemos con nosotros casi
permanentemente, pueden crear un sentimiento de estar siempre vigilados.

Para paliar estos desafíos de privacidad, el órgano consultivo europeo de

protección de datos conocido como Grupo de Trabajo del Artículo 29 (GT29/
WP29)4 aprobó en el pasado año 2014 el primer Dictamen conjunto sobre
Internet de las cosas (IoT)5, del cual se puede resaltar lo siguiente:

"Las organizaciones que coloquen la privacidad y protección de datos en

la vanguardia del desarrollo de productos, estarán en buenas condiciones
para asegurar que sus productos y servicios respetan los principios de
privacidad desde el diseño (PbD) y están dotados de la privacidad por
defecto de forma amigable, que esperan los ciudadanos de la UE."6

"Los datos personales deben ser recogidos y tratados de manera leal y

lícita. El principio de equidad requiere específicamente que los datos
personales nunca se recojan y procesen sin que el individuo realmente
sea consciente de ello. Este requisito es tanto más importante en relación
con la IoT al estar los sensores realmente diseñados para no ser invasivos,
es decir, tan invisibles como sea posible."7

Debemos dotarnos de una serie de normas para un uso adecuado de la

tecnología y conseguir para todos un acceso digital de calidad en todas las
facetas de la vida, apoyando la confianza y la innovación.

Poco a poco...

Notas y referencias.
Para acceder a los links a los que se hace referencia escanee el código QR con la aplicación para
smartphone de su preferencia.

1
Véase (video en YouTube) 2
A Radia Perlman se la conoce como
"la madre de Internet" por su
desarrollo en 1985 del STP
(spanning tree protocol) y a lo largo
de su carrera ha desarrollado más
https://www.youtube.com/watch?v=zDyQ5TleDYg de 100 patentes, muchas de ellas
dedicadas a la seguridad en
Internet.
http://solutionists.ieee.org/radia-perlman/

3
María José de la Calle. 4
Véase
Magazcitum, Oct-2014

http://www.magazcitum.com.mx/?p=2697 http://www.agpd.es/portalwebAGPD/internacional/Europa/
grupo_29_europeo/index-ides-idphp.php

5
Véase (incluídos las siguientes citas).
6
"Organisations which place privacy and data protection at the forefront of product
development will be well placed to ensure that their goods and services respect the
principles of privacy by design and are equipped with the privacy friendly defaults
expected by EU citizens."
7
"Personal data should be collected and processed fairly and lawfully. The fairness
principle specifically requires that personal data should never be collected and
processed without the individual being actually aware of it. This requirement is all the
more important in relation to the IoT as sensors are actually designed to be non-
obtrusive, i.e. as invisible as possible."

https://drive.google.com/file/d/0B4ag6tWSZgLVLVZqRlltU3c0R2c/view?pli=1

12
 ¿Cuándo acabarán las noticias en
primera plana sobre ataques a
empresas o gobiernos? Todo parece
indicar que no pronto, porque
recordemos que cuando alguien te
quiere hackear, te va a hackear, y de
ahí que es importante enfocarse en
dos frentes: por una parte tener
infraestructura que permita detectar
una intrusión en el menor tiempo
posible, y por otro lado tener un
programa de prevención que
contemple tecnología, procesos y
gente.

En el
ciberespacio,
lo gratis no Precisamente quiero hablar de la
gente como el eslabón más débil, en
parte porque la naturaleza del ser

siempre es
humano es consumir aquello que es
gratis, y es justamente esa
vulnerabilidad la que es explotada.

gratis Es importante recordar que en el

ciberespacio lo gratis no siempre es
gratis. Ejemplos hay muchos y muy
variados, una muestra de ello es que
en el Centro de Ciberseguridad

Imelda Flores
hemos detectado que cuando los
usuarios bajan algún crack para

PMP, CISSP, COBIT 5, ITIL, CCNA generar números de serie de algún

software, minutos, e incluso
Security, FSE & Optenet Certified segundos después de esta descarga
se detecta una llamada generada
iflores@scitum.com.mx por la máquina del usuario a un
equipo de comando y control (C&C),
por lo que probablemente en ese
Cada día nos enteramos de nuevos incidentes de seguridad. Hoy más que momento el usuario forma ya parte
nunca es fácil que cualquiera de nuestras computadoras forme parte de una de una botnet y, en la mayor parte
botnet, misma que podría estar sirviendo para atacar la infraestructura crítica de los casos, nunca se dará cuenta
de un país o cualquiera de las empresas del Fortune 500. de ello.
14
Por otro lado, están las series de
televisión y películas gratis. En la
mayoría de los casos no solo instalan
adware al equipo del usuario final,
sino que algunas veces instalan
software para el robo de contraseñas,
números de tarjeta de crédito y
Bitcoins, entre otros. Por supuesto lo
mismo ocurre con los sitios de
pornografía, donde incluso los que
requieren de algún pago han sido
comprometidos por terceras partes
para distribuir malware a sus usuarios,
de acuerdo con el sitio TechHive.
Otro ejemplo son los libros, donde
aparentemente un buen samaritano
quiere compartirlos con la comunidad
subiéndolos a Torrent, Pirate Bay,
Rapidshare o cualquier otro sitio
parecido, pero en realidad pueden
traer malware embebido. Y no
olvidemos las aplicaciones para
teléfonos móviles, si bien Android es
el sistema más vulnerable, iOS no se
salva ya que, como Charly Miller
demostró hace tiempo, era posible
que al instalar una app que parecía
normal, el teléfono llamara a un
servidor y a partir de ese momento el
atacante podía ejecutar los comandos
que quisiera, pudiendo robar las fotos,
lista de contactos, etc. (Apple corrigió
aquella vulnerabilidad, pero no
sabemos que más puedan estar
escondiendo las nuevas apps
gratuitas). Recuerden: si parece muy
bueno para ser verdad, lo más
probable es que no lo sea.
Un caso especial de explotación de lo gratuito son aquellos interesados en
aprender algo de hackeo. Existen muchos sitios que tienen información
interesante al respecto, pero al mismo tiempo comprometen el equipo del
“estudioso” al explotar vulnerabilidades de su navegador de Internet o de
alguna aplicación como Flash o Java.
Tampoco hay que confiar en los proxies gratuitos, usados por aquellos que
buscan navegar anónimamente. Hay sistemas con mecanismos para robar las
credenciales de todo aquello que pueden, además de agregar un payload
malicioso que infecta el equipo de la víctima y lo hace formar parte de una
botnet (esto último fue demostrado por el hacker español Chema Alonso en
una plática en Defcon en 2012).
Aunque existen muchos ejemplos más de que lo gratis no siempre es gratis,
me permito mostrarles este párrafo de las condiciones de uso de las cuentas
de Gmail, que a pesar de que se puede leer de muchas formas, pareciera que
al aceptar sus condiciones les cedemos todos los derechos sobre aquello que
guardamos en sus servidores de correo.
Más que alarmar, la idea de este texto es tener conciencia de todas las
implicaciones que existen cuando descargamos algún contenido para
reflexionar sobre los riesgos de lo “gratuito”. Finalmente, si quieren seguir
disfrutando lo que es gratis en Internet, recomiendo que al menos lo hagan
desde una máquina virtual con Linux ejecutada desde un Live CD para
disminuir las probabilidades de infección. Recuerden también que mientras
estén usando un proxy gratuito no deben entrar a ningún sitio que implique el
uso de credenciales. Finalmente, si quieren disminuir el riesgo, lo mejor es
pagar por el contenido o servicios de manera legal, ya que al haber un
contrato con un proveedor, se le puede responsabilizar por sus servicios y
entregables.
2015 15

Personas
+ procesos
+ tecnología
= seguridad
Andre Pitkowski
pitkowski@me.com
Puede parecer obvio el deseo de cualquier empresa para desarrollar su marco
de gestión de riesgos, sin embargo, como dice Galvao Bueno, cronista deportivo
y de la Fórmula 1, lo planeado es una cosa y lo que pasa es otra. Completar este
proceso con éxito requiere una gran cantidad de tareas detalladas y complejas.
Si bien la necesidad de confidencialidad, integridad y disponibilidad está
determinada por las áreas de negocio, también hay que considerar a las
personas, procesos y tecnología para lograrlo.
¡Sin la gente no lo va a lograr!
Para las organizaciones y sus CISO (chief information security officers), los
empleados son los activos más importantes y tienen una gran responsabilidad en
lo que respecta a la gestión de riesgos de TI. Lo ideal sería que trabajaran en
conjunto para desarrollar una cultura de seguridad de la información,
contemplando una estructura con tres pilares::
16
»»Gestión de identidad y gestión de acceso: hay que definir
los roles de los diferentes usuarios en el lugar de trabajo,
desde auxiliares administrativos hasta el director general,
y especificar los privilegios de acceso físico y lógico para
todos los empleados. Una vez que se establecen estas
normas, se requiere garantizar que todas las personas
tienen acceso adecuado, de acuerdo con sus funciones.
»»Organización de la seguridad de la información: la idea es
hacer a todos responsables de la seguridad de la
información. Los CISO exitosos entienden que la empresa
debe tener en cuenta mucho más que simplemente
atacar los problemas de seguridad informática. También
se debe administrar los riesgos inherentes a la protección
de la información corporativa en todas sus formas.
»»Formación y sensibilización: desarrollar la imagen y el
plan de mercadotecnia para la seguridad de la
información. Los empleados que no trabajan
directamente con la seguridad de datos no suelen tener
una idea clara de lo que es la gestión de riesgos. Es una
función del CISO mantenerlos informados e interesados
en el tema de la seguridad de la información.
El control sobre la tecnología crea eficiencia y ahorra tiempo
Los seres humanos son mucho más inteligentes que las computadoras, pero los
ordenadores son mucho mejores para realizar tareas repetitivas y que consumen
mucho tiempo. Por lo tanto, las tareas de supervisión, garantía de desempeño,
respuestas, métricas e informes sobre los controles de seguridad de la
información son los principales candidatos para la automatización, pero sólo
después de que todos los empleados han sido capacitados y se han especificado
y detallado los procesos. Si la gente y los elementos del proceso son
descuidados, todo el trabajo se pierde inevitablemente.
Ahora bien, podemos considerar siete zonas de riesgo en el área de la
tecnología:
»»Red: use la tecnología para hacer inteligente su red. Seguridad de la red
significa mantener la información a salvo de los que están fuera de la empresa,
protegida del acceso no autorizado a los de dentro de la empresa y mientras
está en tránsito.
»»Bases de datos: hay que cifrar los datos, preferiblemente con una herramienta
de gestión centralizada. Mantenga el control de bases de datos con la
supervisión activa, gestión de vulnerabilidades y cuidando la seguridad de los
datos en tránsito.
»»Aplicaciones: desarrolle estrategias para un desarrollo seguro y para proteger
las aplicaciones corporativas. Utilice autenticación de los dispositivos de
almacenamiento y cifre los datos de estos dispositivos.
»»Dispositivos: utilice protección para estaciones de trabajo, portátiles y
dispositivos móviles como PDA y teléfonos inteligentes. Normalmente, estos
dispositivos son, por desconocimiento o negligencia, los primeros en ser
infectados para introducir piezas de código malicioso en el entorno
corporativo. Existen tecnologías de antivirus, antispam, cifrado de disco,
gestión de configuración, firewall, IPS y autenticación para proteger a estos
eslabones más débiles en el trabajo actual.
»»Infraestructura: hay que reducir la superficie de ataque. Muchas de las
vulnerabilidades documentadas están relacionadas con las aplicaciones
basadas en la Web, por lo que deben emplearse herramientas para analizar
código e instalar firewalls específicos para servidores Web.
»»Contenido: se debe pensar en la protección del intercambio de información
comercial. El CISO debe garantizar que toda la información sensible está
cifrada y que se vigila y filtra todo el tráfico entrante y saliente (Web, correo
electrónico, mensajes instantáneos, etc.) de acuerdo a las políticas
corporativas para seguridad de la información.
»»Cifrado de datos: solo cifrar no ofrece una protección adecuada. Es necesario
desarrollar y poner en práctica una estrategia corporativa con criterios
estrictos para autorizar el acceso, de tal manera que se mantengan los datos
protegidos contra el acceso no autorizado.
2015 17
 Procesos es el pegamento que une a las personas con la
tecnología

Incluso la mejor infraestructura para la gestión del riesgo se vuelve inútil si no

hay procesos detrás de las políticas. Para mantener la numerología, a
continuación listo siete áreas a tener en mente:

»»Gestión de riesgos: significa reducir, transferir o aceptar los riesgos. Hay que
empezar por identificar, evaluar y mitigar los riesgos relacionados con la
seguridad de la información, y luego crear procesos para priorizar, controlar
y vigilar los riesgos. Tener una gestión de riesgos formal asegura que la
gerencia de la empresa es consciente de cuáles son los riesgos críticos y por
ello puede tomar las medidas adecuadas para manejarlos.
»»Estructura y política de cumplimiento: proporcionar a los usuarios normas y
directrices concretas sobre el tema. La creación de las políticas de seguridad
es solo el primer paso pues tienen que ser convertidas en normas,
procedimientos y directrices técnicas para su implementación.
»»Gestión de activos de información: muchas compañías tienen dificultades
para mantener sus activos de información. Para hacer frente a este problema
hay que especificar quién es el dueño de la información, clasificar los
activos, gestionarlos a través de su ciclo de vida y garantizar la adecuada
retención y destrucción, tanto de los activos que manejan la información
como de la información misma.
»»Continuidad del negocio y recuperación de desastres: la idea es reducir
sustancialmente el impacto de los desastres y las interrupciones de negocio
(o en algunos casos incluso evitarlos). El CISO necesita desarrollar un
conjunto de procesos para mantener, entrenar al personal y administrar los
riesgos del negocio, asegurando que los sistemas son redundantes y de alta
disponibilidad, creando el personal necesario para ello cuando sea
necesario.
»»Gestión de amenazas e incidentes: una vez más, los procesos bien
establecidos son esenciales para asegurar que todas las amenazas se
investigan, planifican y responden en el tiempo apropiado. Muchos CISO
permanecen enfocados en amenazas a la infraestructura, a pesar de que la
mayoría de las amenazas provienen de las vulnerabilidades que existen en Enfoque desde arriba (top-
las aplicaciones e incluso en la gente. down)
»»Seguridad física y ambiental: no importa cuán sofisticados sean los sistemas La seguridad es un asunto
tecnológicos de seguridad, si no se controla el acceso a la empresa, su
complicado y encontrar una forma
negocio nunca estará a salvo. Pensando en el futuro, algunas organizaciones
sencilla de gestionar y reportar los
están analizando la convergencia de la seguridad física y la lógica, creando
riesgos es la única manera de un
procesos conjuntos integrales para compartir información y mejorar la
CISO para hacer su trabajo y
eficiencia global de la seguridad. Los equipos y las instalaciones físicas
convencer a los directivos de que
requieren mantenimiento regular y los controles ambientales apropiados,
dicho trabajo es eficaz, produciendo
tales como calefacción, aire acondicionado, etc., para mantener la
resultados positivos para el negocio.
continuidad de las operaciones.
Al trabajar de manera integral con las
»»Gestión de operaciones y desarrollo de sistemas: no deje que la seguridad personas, la tecnología y los
llegue a un punto en el que los problemas se tienen que explicar más que procesos, se podrá establecer una
prevenir. Si el compromiso con la seguridad está presente desde el primer estructura que efectivamente
día en el desarrollo de sistemas, seguramente habrá ahorros de tiempo, monitoree, mida, controle e informe
recursos y dinero. Un ciclo de desarrollo seguro de software incluye la sobre los riesgos de la seguridad de
revisión periódica de la arquitectura, garantía de calidad, control de acceso la información, que al final lleve a
para el desarrollo y ciclos bien documentados de aprobación y puesta en que se cumplan las políticas de
producción. seguridad.

18
Presentamos

M200 y M300

Las empresas pequeñas son grandes objetivos para los

criminales cibernéticos, ya que conocen que habitualmente
ellas no cuentan con los recursos necesarios para
implementar soluciones de seguridad so sticadas.

Los Firebox M200 y M300 están diseñados

especí camente para proteger a las pequeñas
empresas, con una combinación de características
de seguridad de fuerza empresarial,
alto rendimiento y galardonadas
herramientas de visibilidad.

No comprometa su Seguridad
Proteja su empresa con nuestros
nuevos modelos Firebox M200 y M300

Llámenos al +52 55 5347 6 063

o escríbanos un email:
LatinInfo@watchguard.com Copyright © 2015 WatchGuard Technologies, Inc. All Rights Reserved
 Por diversas razones, pero
esencialmente porque no se
dimensionan los impactos
(financieros, regulatorios, en la
reputación, etcétera) que genera una
suspensión de la operación, porque
existe el concepto de que las
inversiones necesarias son onerosas
y no se percibe un retorno de la
inversión en programas y proyectos
de esta naturaleza, el grado de
implementación de planes de
continuidad de negocio en las
pequeñas y medianas empresas es
notablemente inferior al de las
grandes compañías; así lo
demuestran estudios y encuestas
efectuadas en diferentes países.

Todo lo anterior lleva a que los

planes de continuidad pierdan en la
lucha por presupuesto frente a otros
proyectos de negocio que se
vinculan de manera más directa con

La continuidad
la producción y comercialización de
los bienes y servicios ofrecidos.

de negocio en
Las PyME tienen una participación
importante en las economías
nacionales, en especial para
Latinoamérica: entre 80% y 92% de

las PyME, un las empresas en nuestra región son

de este tipo. Según la OIT, más de

reto de interés
para todos
Germán Vargas Pedroza
vargas.german@hotmail.com
Muchas pequeñas y medianas compañías tienen un enfoque pasivo frente a los
temas de continuidad y recuperación de negocios. Sus esfuerzos en temas de
riesgos no suelen contemplar escenarios de desastres e incidentes mayores
que representen una afectación significativa para su negocio, para los sistemas
que lo soportan y para su información. Los conceptos de resiliencia no han
permeado la conciencia ni forman parte de su conocimiento; en consecuencia
no se consideran en sus planes estratégicos y mucho menos se tienen en
cuenta en sus ejercicios de definición de presupuesto.

20
80% de los puestos de trabajo que
se crean en el mundo se deben a
ellas e incluso en los países
desarrollados representa entre 30%
(EE.UU.) y 70% (Italia), por lo que
resulta de suma relevancia el
impacto social que podría tener no
contar con programas y planes de
continuidad de negocio para
eventos de desastre mayor.

Así mismo, hay que considerar que

algunas de las grandes
organizaciones dependen en parte
de proveedores clasificados como
PyME, y si estas no están preparadas
para eventos disruptivos mayores,
aquellas podrían sufrir en
consecuencia, a pesar de que ya
cuenten con planes y programas de
Así pues, el BCI sugiere las siguientes consideraciones en las estrategias de
continuidad definidos,
mitigación:
implementados e incluso probados.

En las evaluaciones con base en
modelos de madurez en continuidad
de negocio, como los que se realizan
con el BCMM (Business Continuity
Madurity Model), con frecuencia se
identifica la necesidad de mejorar en
la incorporación de los proveedores
a los programas de continuidad.
Afortunadamente la nueva Norma
ISO-22301 contempla la
participación de todas las partes
interesadas en términos de las
dependencias entre negocios,
análisis de riesgos y comunicación, e
incluso enfatiza la importancia de
conducir evaluaciones de la
capacidad de los proveedores para
lograr la continuidad del negocio.
El tema también es tratado y tiene
una relevancia importante en los
lineamientos del BCI (Business
Continuity Institute), tanto es así que
se trata de manera especial lo
relacionado con la continuidad en la
cadena de suministros (supply chain)
y se da valor a considerar eventos
generados por interrupciones de los
proveedores, con el objetivo de estar
preparados y gestionarlos, al punto
de que sean incluidos dentro de los
propios programas de BCM
(Business Continuity Management).
»»Contemplar fuentes duales o múltiples (asegurar por lo menos un segundo
nivel de proveedores diferentes).
»»Evaluar los programas de BCM de los proveedores.
»»Incluir penalizaciones y sanciones contractuales.
»»Contar con inventario de repuestos de equipos y materiales críticos.
»»Uso de proveedores sustitutos.
»»Identificación y autorización de proveedores alternos.
»»Además, contemplar la disponibilidad y ubicación de los proveedores
alternos, valorar su capacidad en el tiempo de entrega del bien o servicio, y
la interdependencia con otros proveedores.
Si revisamos diversas estadísticas, por ejemplo las recopiladas por Symantec o
las de algunas cámaras de comercio latinoamericanas, cerca de 80% de las
PyME fracasa antes de los cinco años, y uno de los motivos se encuentra en la
falta de planificación para responder ante desastres o incidentes mayores, lo
que debiera orientar a las firmas de consultoría y a los profesionales en gestión
de continuidad de negocios a abarcar este tema para concienciar y promover
la conveniencia de contar con programas y planes, así como los beneficios de
una adecuada preparación en continuidad de negocios.
En conclusión: se requiere trabajar en la generación de conciencia y cultura
organizacional sobre la importancia de la gestión de la continuidad de negocio
como un factor de supervivencia y como una inversión, con un retorno (ROI)
tangible en términos de supervivencia, reputación y valor de imagen de la
empresa y no como un costo. Si se reflexiona acerca de que en los últimos
años se ha presentado con frecuencia la ocurrencia de desastres, disturbios
sociales y ataques terroristas, no solo las compañías mismas, sino aun los
gobiernos debieran incentivar y promover la implementación de programas
de continuidad para las pequeñas y medianas empresas, promoviendo la
resiliencia de este tipo de organizaciones y mitigando posibles impactos
económicos y sociales, incluso de orden nacional.
2015 21
 1. Preparación.

Antes de cualquier ataque dirigido,

lo primero que surge es la
motivación. Algún individuo o grupo
decide que una organización tiene
algo que quiere y por lo tanto está
dispuesto a invertir recursos y tiempo
para conseguirlo.

Así pues, la primera acción es la

identificación y selección del objetivo
a atacar. Posteriormente se hace la
investigación, es decir, se recolecta
tanta información como sea posible
acerca de la víctima, ya sea de forma
pasiva o activa.

Ciclo de vida Se considera recolección pasiva

cuando se hace por medios que no
pueden ser detectados por la

de los ataques
organización objetivo, por ejemplo:
obtener información de los dominios
utilizados, direcciones de correo
electrónico, información de la

avanzados empresa y sus empleados mediante

búsquedas en redes sociales, visitas
a las páginas Web, historiales
académicos, publicaciones en

Marcos A. Polanco conferencias, noticias, ingeniería

social, etcétera. Por su parte, la
CISSP, CISM y CISA recolección activa deja rastros que
pueden ser detectados, por ejemplo:
mpolanco@scitum.com.mx escaneos de red, análisis de activos
expuestos en Internet, discusiones en
En los últimos años se han realizado diversos esfuerzos por entender mejor la grupos de redes sociales, entre otros.
estructura y el enfoque de los ataques avanzados, los cuales son cometidos
por adversarios que tienen suficientes recursos y entrenamiento para llevar a
cabo campañas de intrusión de largo plazo, utilizando herramientas y técnicas
avanzadas, y cuyas principales motivaciones son económicas y políticas.

Se ha identificado que los ataques siguen una secuencia estructurada de

pasos, por lo cual se han documentado en diversos modelos con el fin de
describir la secuencia de actividades que un atacante debe ejecutar progresiva
y exitosamente antes de lograr las metas que se ha planteado. El modelo más
conocido es el denominado Cyber Kill Chain, concepto difundido
ampliamente por la empresa Lockheed Martin y adoptado por la industria
(todo parece indicar que el concepto fue realmente acuñado por Jeffrey Carr
del proyecto Grey Goose de inteligencia de f uentes abiertas -OSINT-); otros
igualmente conocidos son el Attack Lifecycle de Mandiant y el Lifecycle of an
APT de Dell SecureWorks.

En este artículo presento una propuesta de ciclo de vida de un ataque

avanzado que pretende, por un lado, consolidar y resumir los conceptos de los
tres modelos mencionados y, por el otro, explicar los pasos ejecutados de una
manera sencilla.
22
Lo que sigue es la creación o
adquisición del arsenal de
ciberarmas; esto generalmente
significa ensamblar herramientas de
acceso remoto, conocidas como
remote access trojans o RAT
(software que provee al intruso de
acceso y control de un equipo
comprometido), con mecanismos de
explotación de vulnerabilidades
(exploits) en un componente del
malware (llamado payload) el cual
será enviado a la víctima.

Esta fase concluye con una serie de

pruebas para confirmar que el
código malicioso puede evadir los
controles de seguridad más
comunes y garantizar que se logrará
el objetivo.

2. Obtención de acceso.

Una vez que el ataque se ha 3. Creación de persistencia.

preparado, el siguiente paso es
obtener acceso a la red de la víctima.
Para ello se enviarán las ciberarmas
por diversos medios, siendo el
correo electrónico (spearphishing),
sitios Web infectados y USB los tres
más comunes.
Los siguientes pasos serán para afirmar y ampliar la presencia y control del
intruso en la red, es decir, lograr la persistencia; para ello realizará el
reconocimiento de la red interna y empezará a moverse dentro de ella, a esto
último se le llama movimiento lateral. En esta fase la comunicación entre la red
interna y la infraestructura de comando y control se intensifica y se vuelve
activa.

Estas ciberarmas buscan explotar
vulnerabilidades en el sistema de la
víctima y evadir los sistemas de
seguridad que tenga, produciéndose
así la intrusión inicial. Al activarse el
código del intruso se crean accesos
remotos ocultos (backdoors), a través
de las herramientas tipo RAT, que le
permiten utilizar el sistema
comprometido para ejecutar sus
siguientes pasos.
El control remoto se ejecuta por
medio del establecimiento de un
canal de comunicación entre el
equipo infectado y la infraestructura
del atacante, a la cual se le conoce
como “comando y control” (C&C).
En este momento se ha creado el
primer punto de presencia y control
dentro de la red objetivo.
Uno de los objetivos primordiales en esta fase es conseguir contraseñas con el
mayor nivel de privilegios (a esto se le denomina escalamiento de privilegios)
que le permitan realizar diferentes tipos de acciones con la intención de
cumplir con sus objetivos.
Durante esta fase es común que el código malicioso utilizado sea actualizado y
que se generen nuevos payload de tal forma que la probabilidad de ser
detectado sea menor.
4. Ejecución de acciones.
Finalmente, a través del reconocimiento interno y movimientos laterales, el
atacante llega a los activos tecnológicos que contienen lo que busca, y al
contar con los privilegios necesarios podrán seleccionar, recolectar y cifrar la
información e iniciar la extracción de la misma (exfiltration).
La extracción de la información puede realizarse por mecanismos tradicionales
como un FTP por lo que aquí el malware ya no juega un papel primario ni se
requiere forzosamente hacer uso de la comunicación con la infraestructura de
comando y control.

2015 23
 5. Eliminación de rastros.

Una vez logrados sus objetivos, el intruso pretenderá eliminar todos los rastros e indicios que pudieran revelar sus
acciones, tácticas, técnicas y procedimientos.

En la siguiente gráfica se aprecia una representación general del ciclo de vida y de las principales acciones que ocurren
en cada una de las fases.

Ciclo de vida de un ataque

Preparación Obtención Creación de Ejecución Eliminación

del ataque de acceso persistencia de acciones de rastros

Identificación Transmisión de Fortalecimiento Búsqueda y Eliminación de

y selección del ciberarmas puntos de filtrado de rastros
objetivo presencia y información
control

Investigación y Explotación de Reconocimiento Selección y

recolección de vulnerabilidades interno y recolección
información movimiento
lateral

Creación / Activación de Escalación de Extracción de

adquisición malware privilegios información
de ciberarmas

Pruebas de Creación punto Evolución

“evasión”a de presencia y dinámica del
mecanismos control malware
de seguridad

Creación de Comunicación
backdoors activa C&C

Inicio de
comunicaciones
C&C

Conclusiones

Es primordial entender el ciclo de vida de un ataque avanzado ya que esto nos permitirá establecer estrategias integrales
que sean más efectivas al considerar controles y actividades para cada una de las fases.
Si bien el malware es un componente muy importante, no es lo único. En ciertas fases hay que buscar otro tipo de
indicadores de intrusión. Así mismo, hay que entender mejor las tácticas, técnicas y procedimientos de los atacantes para
buscar las contramedidas más adecuadas (aquellas que maximizan la relación entre el costo y la reducción de riesgos).
Entre más temprano en el ciclo de vida detectemos y mitiguemos un ataque será mejor, por lo que crear las capacidades
internas para ello se vuelve una estrategia fundamental.

Fuentes:
• White Paper: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaings and Intrusion Kill Chains, de Lockheed Martin
Corporation.
• Reporte: APT1, Exposing One of China’s Cyber Espionage Units, de Mandiant.
• White Paper: Lyfecycle of an Advanced Persistent Threat, Counter Threat Unit research, de Dell SecureWorks.
• Artículo: The Cyber Exploitation Life Cycle, Infosec Institute

24
 ANTE LOS NUEVOS DESAFÍOS
EVOLUCIONA
TU SEGURI DAD

SER VICIOS DE
CIBERSEGURIDAD
· DIAGNÓSTICO Y PROTECCIÓN CONTRA
AMENAZAS AVANZADAS
· ANÁLISIS FORENSES AVANZADOS
· RESPUESTA A CIBERINCIDENTES
· CIBERINTELIGENCIA
· GESTIÓN CONTINUA DE CIBERRIESGOS
BASADA EN INTELIGENCIA

M AY O R E S I N F O R M E S A L T E L É F O N O : 9 1 5 0 . 7 4 0 0 E x t . 1 8 0 9 y 1 7 3 1
Y AL CORREO ELECTRÓNICO: ventas@scitum.com.mx
 3. Los dueños y autores deben
considerar el impacto y
probabilidad de divulgación al
clasificar la información. El
impacto es evaluado en términos
de pérdida o ganancia potencial,
riesgo de daño a personas, daño
a la reputación de la organización
y a la participación de mercado,
entre otros factores.

TIPS 4. La probabilidad del daño se

evalúa en colaboración con el
personal de seguridad de la
información y otros sectores
según se requiera.
5. Las clasificaciones establecidas
por los dueños y autores de la
información deben ser revisadas
solo con la aprobación del
dueño/autor.

Consejos
6. Para agregar información a un
documento o colección nueva, se
requiere que quien la agrega,

básicos sobre
evalúe su sensibilidad y garantice
su clasificación correcta.

clasificación de
información
Parte 2
Fabián Descalzo
Director certificado en Seguridad de
la Información (Universidad CAECE),
ITIL v3-2011 y auditor ISO 20000
fabiandescalzo@yahoo.com.ar
¿Quién decide la clasificación correcta?

1.Los dueños de datos son responsables de garantizar que dicha información

sea clasificada correctamente en una de las tres categorías.
2. Los “autores” o “creadores” de la información generalmente determinarán
la categoría apropiada consultando al personal de seguridad de la
información, según sea necesario.
26
Los dueños de datos son personas de alta gerencia que son responsables,
entre otras cosas, de los niveles de clasificación asignados a la información de
la organización. Aunque los dueños de la información son responsables de la
correcta clasificación, dicha responsabilidad muchas veces será delegada a los
autores que crean la información. En muchos casos, los autores entienden
mejor el contenido y están en mejor posición de clasificarla correctamente.

Los autores pueden generar o crear información “desde cero” o pueden

recopilarla a partir de fuentes existentes. La información recibida de otra
fuente, ya sea un empleado o un tercero, debe haber sido clasificada
previamente. Tomarla y combinarla con otra de una segunda fuente, ya sea en
forma verbal o escrita, crea efectivamente información “nueva” que debe ser
clasificada.

Por ejemplo, el material A podría contener información personal y ser

clasificado como información de “uso interno”.

El material B podría contener información sensible utilizada para algún proceso

específico (por ejemplo, información relativa a la salud o religión) y ser
clasificado también como información de “uso interno”. Cuando creamos
materiales nuevos que contienen información de ambas fuentes, dicha
información se podría clasificar como “confidencial”.

Es importante entender que si creamos una carpeta para que la vean los
demás, en papel o electrónica, que contenga tanto el material A como el
material B, entonces habremos creado una fuente de información combinada.
La persona que agrega información necesitará confirmar que la carpeta
resultante esté catalogada de manera adecuada.

En términos generales, los pasos involucrados en la clasificación son:

a) Evaluar el posible impacto en caso de que la información de documentos o

archivos electrónicos sea divulgada. Los dueños y autores deben considerar
el nivel de impacto, el daño potencial a los clientes y a la reputación de la
organización.
b) Evaluar la probabilidad de divulgación de la información en documentos o
archivos electrónicos.
c) Asignar la clasificación correcta según el contenido y sensibilidad de la
información.
d) Implementar las medidas de seguridad apropiadas para el
almacenamiento, distribución y desecho del documento o archivo
electrónico, y proporcionar instrucciones adecuadas a los usuarios o
receptores que deseen comunicar la información.

Aunque los dueños/delegados nominados son responsables de determinar y

aplicar la clasificación correcta, cada persona que maneja información,
incluyendo empleados y contratistas, son responsables de garantizar que
cualquier información sensible sea manejada de forma correcta y apropiada.

Gracias a todos, y espero que hayan sido de utilidad estos consejos que hemos
compartido.

2015 27
De lo lógico
a lo físico
Dos dimensiones,
un mismo acceso
Fabián Descalzo
Director certificado en Seguridad de la Información (Universidad
CAECE), ITIL v3-2011 y auditor ISO 20000.
fabiandescalzo@yahoo.com.ar
Como sabemos, el entorno de los datos y los procesos que
los convierten en información no se limita solo a lo
relacionado con la tecnología. Contener y procesar
Como respuesta a esta necesidad y como custodios de
información requiere de nosotros el ejercicio de ampliar
los activos de información de nuestra organización, es
nuestra visión y proponernos un viaje imaginario entre el
que debemos pensar en un sistema de tratamiento y
mundo digital y el físico, ya que como ejecutivos de la
protección de información que consista en la aplicación
seguridad entendemos que todo proyecto u operación de TI
de medidas de prevención y contramedidas para
necesita para su gestión y la de seguridad de la información,
asegurar la gestión de los medios que la contengan y
un especial cuidado del aspecto físico.
los espacios físicos donde se almacene o procese.

Referente a ello, hay aspectos importantes que debemos

conocer respecto del entorno físico de la información y que
deben ser aplicados casi como un espejo de nuestras
decisiones tomadas acerca de las plataformas tecnológicas y
sus componentes… Imaginemos este viaje entre lo digital y lo
físico preguntándonos ¿Por qué me preocupo en restringir los
accesos a archivos si dejo abierta la puerta del centro de
datos? O, ¿si imprimo ese archivo electrónico y lo dejo sobre
mi escritorio a la vista de los demás cuando me retiro?
Establecer una visión de protección física por sobre aquello
que ya estoy protegiendo digitalmente marca una necesidad
de vencer la barrera de lo cultural partiendo de la base de
establecer un plan de concientización, con una visión global
del entorno de la información, y de definir un plan de
capacitación para nuestros líderes de seguridad con la
finalidad de que tengan en cuenta los aspectos de seguridad
física que además (y por si fuera poco) también tiene un
impacto en el cumplimiento regulatorio.
Los principales aspectos que se deben tener en cuenta
dentro del sistema de tratamiento y protección de
información son:
»»Incluir dentro de la clasificación de información
aspectos relacionados con los medios de tratamiento
de la misma (impresoras, destructoras, faxes,
notebooks) y aquella información que se encuentre
contenida en cualquier medio físico (CD/DVD, papel,
discos extraíbles, memorias USB, cintas de respaldo,
etc.).
»»Con base en lo anterior, identificar los espacios físicos
donde se trate información confidencial o sensible y,
al igual que las salas de sistemas y comunicaciones,
etiquetarlos y proteger su entorno como “área
restringida” mediante procedimientos o herramientas
que aseguren el acceso y monitoreo adecuado.

28

»»Establecer normas y procedimientos asociados al ciclo de
vida de la información contenida en medios físicos, tal
como lo hacemos para el formato digital, que permitan
identificar responsables, pautas de gestión, hitos de
control y métodos de disposición final.
»»Definir normas y procedimientos que contemplen toda la
gestión de tarjetas de acceso, así como la instalación,
configuración y operación del sistema cerrado de TV y
equipos de control de acceso.
»»Proveer de un marco de cumplimiento que abarque no
solo a los integrantes de la organización, sino también a
terceras partes, incluyendo aspectos relacionados con el
comportamiento dentro de áreas restringidas.
Un detalle importante es la necesidad de actuar
colaborativamente en estos aspectos con otros sectores de
la compañía, como las áreas de recursos humanos,
seguridad e higiene, intendencia, legal y otras.
Los requerimientos de cumplimiento establecidos por las
regulaciones y certificaciones actuales, tales como PCI o
leyes de protección de datos, indican que se deben
proteger las áreas restringidas de igual forma que con la
seguridad lógica determinando niveles de protección en el
acceso a las mismas, cuyas características dependerán del
área a proteger y del nivel de información que en ella se
procese o almacene. Entre las áreas restringidas pueden
mencionarse los centros de procesamiento de datos (Data
Centers), salas de comunicaciones, salas de embozado de
tarjetas de crédito, oficinas de sectores legales o
administrativas que traten información confidencial o
sensible (historias clínicas, datos bancarios, etc.).
No es necesario establecer niveles complejos de
protección, simplemente con determinar dos niveles en
los que pueda agruparse en un primer nivel los
ambientes en los que se trate información ligada a los
objetivos, la operación de la organización y los
compromisos con terceros; en un segundo nivel, los de
carácter general de la compañía, cuya pérdida no afecte
seriamente la operación normal de la organización. La
división es importante pues permitirá “proteger” nuestro
presupuesto al enfocarnos solo en aquellos espacios en
los que se requiera, de acuerdo al análisis y clasificación
de los activos de información y su entorno.
Al igual que en el mundo digital, el nivel de protección
de seguridad física a aplicar a un área debe
corresponder al de mayor nivel de clasificación de la
información que en ella se trate o almacene. En
consecuencia, una vez determinados los niveles de
protección, se otorgarán los accesos a los empleados y
colaboradores teniendo en cuenta la función que los
mismos desarrollarán en la organización y los niveles de
seguridad de los espacios físicos a los cuales deban
acceder. A su vez, se debe contar con herramientas que
permitan monitorear y registrar que las definiciones
impuestas se cumplan, como los circuitos CCTV y
controles de acceso.
Otros aspectos que habrá que tener en cuenta están
relacionados con las decisiones estratégicas a tomar
ante cambios en edificios o futuras mudanzas, donde es
necesario considerar lo siguiente:
»»Evitar la existencia de aberturas (para el caso de Data
Centers) o bien que las mismas no estén accesibles a
sitios externos, como por ejemplo pasillos públicos
en galerías o acceso por veredas fuera de la línea de
catastro.
»»Las paredes externas deben ser de construcción
sólida. Las puertas que dan al exterior, así como las
ventanas, conductos de refrigeración y calefacción
deben poseer adecuados mecanismos de control,
por ejemplo rejas, alarmas y cerraduras de seguridad.
»»En lo relacionado a aspectos de vigilancia, el ingreso
de personas debe ser registrado en bitácoras o
mediante tarjetas de proximidad y monitoreado por
cámaras de circuito cerrado, además de contar con
puntos de control de acuerdo a la distribución de
plantas que tenga el edificio.
»»Disponer de dispositivos de control de acceso
instalados en las áreas identificadas como
restringidas, que sean capaces de identificar y
registrar a todas las personas que acceden o salen de
estas áreas, así como los horarios en que se
efectuaron estas acciones, previendo resguardar los
registros por el tiempo mínimo indicado por el marco
regulatorio que aplique a la compañía.
2015 29
 Una forma de gestionar
eficientemente el sistema de
seguridad física es contar con la
colaboración de cada gerencia
usuaria, a la cual se le puede asignar
la administración del control de
acceso de su propio sector del
edificio y que sea esta la que autorice
el acceso a ese sector a quien
corresponda. Continuando con las
similitudes, ante una modificación en
la situación laboral del personal,
debe preverse el cambio de
permisos sobre la tarjeta de acceso,
así como requerir que todo el
personal interno o externo la exhiba
como forma de identificación y
alentar a cuestionar la presencia de
desconocidos no escoltados y la no
exhibición de una identificación.
Seguridad de la información también
representa factores ambientales, ya
que la disponibilidad e integridad de
esa información depende de las
condiciones básicas de temperatura,
humedad, higiene y de las medidas
preventivas tales como sistemas
automáticos de detección/extinción
de incendios.
30
Las condiciones ambientales también pueden verse afectadas si no se
mantienen bajo control los riesgos asociados al comportamiento de las
personas dentro de las áreas restringidas, donde tendrá que ponerse especial
énfasis en:
»»No ingresar ni almacenar materiales inflamables o peligrosos. En caso de
que se requiera, no olvidar remover los desechos y cajas vacías al finalizar
tareas de instalación, por ejemplo.
»»No permitir comidas, bebidas o fumar dentro de los centros de datos o
algunas áreas restringidas que así lo requieran.
»»Prohibir el uso de cámaras fotográficas, cámaras de video o equipos móviles
provistos con cámaras fotográficas. No permitir el bloqueo de pasillos,
elevadores o cualquier otro espacio público de paso y uso común.
»»Evitar el uso de aspiradoras, taladros o artefactos similares en las áreas de
almacenamiento de datos, para no contaminar con polvo los discos o
cualquier otro elemento mecánico que contenga o procese información.
Para finalizar, y como parte fundamental del aseguramiento de la
confidencialidad de la información, también debe contemplarse en el plan de
tratamiento de datos los lineamientos para la destrucción de información
contenida en soportes impresos o magnéticos (CD, DVD, discos externos, etc.)
que permita aplicar una forma de disposición final de la información adecuada
basada en los siguientes pasos:
»»Inventario – Enumere en un documento toda la información retenida por la
situación, incluyendo datos operacionales sobre la misma.
»»Análisis – Efectúe una revisión de todos los datos en cada grupo de
información particular, y prepare un cronograma preliminar de custodia.
»»Destrucción - Identifique y destruya cualquier tipo de información cuyo
periodo de custodia haya expirado, o cuando considere que ya no es
necesaria. Los métodos y herramientas utilizadas para este fin deben
asegurar que la información no pueda ser reconstruida.
»»Mantenimiento - Mantenga este programa, asegure su actualización y
supervise la correcta realización de la destrucción de información inactiva.
Si bien esto aplica a la información sin importar su formato, recordemos que
cuando debamos determinar qué información debe ser destruida, habrá que
tomar en cuenta aquella que tiene un periodo de custodia estipulado por
agencias gubernamentales, por motivos legales, impositivos u otros. El periodo
de custodia de esta información es determinado dentro de la compañía con
base en su importancia o necesidad y teniendo en cuenta los requisitos legales
aplicables a la información retenida.
Pensar en seguridad consiste primero en conocer los diferentes procesos a
asegurar y su entorno, para luego aplicar la tecnología necesaria de
aseguramiento de su calidad de procesamiento basada en la confidencialidad,
integridad y disponibilidad de la información que tratan, inclusive en los
aspectos físicos, que también deben estar incluidos en sus estrategias de
seguridad.