INFORMÁTICA Y

TELECOMUNICACIONES

SEGURIDAD INFORMÁTICA:
¿ESTÁN SEGUROS NUESTROS DATOS?
INACAP Temuco, junio de 2016.

• Alejandro Mellado
• Emiliano Piscitelli
• Rubén Vergara
• Eduardo Godoy
5° Ciclo de Conferencias en Desarrollo de Capital Humano

INTRODUCCIÓN
La seguridad de la información se ha transformado en un factor de suma importancia en los negocios y en
el ámbito personal. Si bien las problemáticas son diferentes en cada entorno, tienen muchas cosas en
común, y es fundamental conocer los distintos aspectos que la componen, a fin de poder protegerse en
forma adecuada.

Normalmente, la seguridad está referida a un conjunto de medidas que podemos tomar, tanto preventivas
como correctivas, y que están orientada a proteger la información. Pero sabemos que hoy en día los siste-
mas informáticos procesan, transportan y almacenan más y más datos; ya prácticamente todo se puede
digitalizar, por lo que nos enfrentamos a situaciones desconocidas en el ámbito de la seguridad de la in-
formación. Se gana en la rapidez de los procesos y en el acceso a la información pero, a cambio, aparecen
otros problemas ligados a esas facilidades, ya que si es más fácil transportar la información, también hay
más posibilidades de que desaparezca “en alguna parte del camino”; y si es más fácil acceder a ella, también
es más fácil modificar su contenido.

A través de esta Conferencia, INACAP quiere hacer visible la importancia de la seguridad de los sistemas
informáticos y la necesidad de mantener un estado de alerta y actualización permanente. Las amenazas
a los sistemas fijos y móviles son cambiantes, evolucionan muy rápido, aumentan el grado de sofisticación
de sus ataques, y eso significa un aumento en la complejidad de las soluciones.
 

2
 5°
5° Ciclo
Ciclo de
de Conferencias
Conferencias en
en Desarrollo
Desarrollo de
de Capital
Capital Humano
Humano

SEGURIDAD INFORMÁTICA:
¿ESTÁN SEGUROS NUESTROS DATOS?

3
5° Ciclo de Conferencias en Desarrollo de Capital Humano

LOS EXPOSITORES
CONTENIDO

6 -8 Alejandro Mellado
El problema de la estandarización y la seguridad en los servicios de correos

9-14 Emiliano Piscitelli

Una vida para construir mi marca y cinco minutos para perderla

15-20 Rubén Vergara

“Tips and tricks” en seguridad TI

21-25 Eduardo Godoy

Ataques avanzados persistentes: la actual amenaza en la red

4

LOS EXPOSITORES
Alejandro Mellado
Docente de la Universidad Católica de Temuco.
Magíster en Telecomunicaciones. Fue do-
cente en la Universidad Mayor en Temuco,
Ingeniero de Sistemas en la Red Universi-
taria Nacional (Reuna), Ingeniero de Redes
en Publiguías e Ingeniero de Comunicacio-
nes y Soporte en Servibanca S.A. Ha lidera-
do proyectos de investigación aplicada y
proyectos de innovación en la docencia. Ha
sido colaborador en el Proyecto Alfa III
Clase Virtual de Matemáticas y Tutoría
(Clavemat), así como en el Proyecto Interno
UCT Cluster-DGI-CD-2006-2-03, implemen-
tando un cluster tipo Beowulf.
Emiliano Piscitelli
CEO en VHGroup, Buenos Aires, Argentina.
Conferencista internacional, experto en
concientización, basado en la premisa de
que la seguridad comienza por el ser hu-
mano, desarrollando y exponiendo diferen-
tes técnicas y herramientas que ayudan a
elevar la seguridad de las empresas y sus
miembros. Ha dado asesoramiento perso-
nalizado a CEO y gerentes, tanto del sector
público como privado. Actualmente se
desempeña como CEO en VHGroup, una
5° Ciclo de Conferencias en Desarrollo de Capital Humano
empresa argentina dedicada a brindar Paraguay, Uruguay y Bolivia Ingeniero Civil
consultoría en Seguridad IT, liderando allí en Computación de la Universidad de Chile,
los equipos de seguridad, investigación y con amplia experiencia en la industria de la
desarrollo. informática.
Rubén Vergara Ha trabajado para empresas locales e in-
Jefe de Seguridad y Continuidad de la Gerencia ternacionales y ha sido relator para charlas
de Sistemas y Tecnología de INACAP. de difusión tecnológica en Chile y el extran-
jero. Profesor del Departamento de Ciencias
Ingeniero Civil Electrónico con mención en de la Computación de la Facultad de Ciencias
Sistemas Digitales y Computadores de la Físicas y Matemáticas de la Universidad de
Universidad Técnica Federico Santa María. Chile. En su trayectoria profesional se ha
Posee más de 22 años de experiencia en desempeñado en áreas de Gestión de
cargos de jefatura y gerencia en Tecnologías Responsabilidad Social. Actualmente forma
de la Información en entidades del ámbito parte del directorio de la Red para el Desa-
financiero, militar y de servicios, 17 de ellos rrollo de las Microfinanzas en Chile.
en el área de la seguridad de la información  
y continuidad de negocios. Actualmente es
miembro del Disaster Recovery Institute
International (DRII); del Business Continui-
ty Institute (BCI); del International Informa-
tion Systems Security Certification Consor-
tium (ISC)²; miembro del capítulo chileno
del Information Systems Audit and Control
Association (Isaca), y fundador del capítulo
chileno del Information Systems Security
Association (Issa) Chile.
Eduardo Godoy
Symantec Territory Manager para Chile,
5
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Alejandro Mellado
EL PROBLEMA DE LA ESTANDARIZA-
CIÓN Y LA SEGURIDAD EN LOS SERVI-
CIOS DE CORREOS
Alejandro Mellado
Docente de la Universidad Católica de Temuco.
Expondré algunas experiencias que he te-
nido en la implementación de servicios de
correos. Estos empezaron en conjunto con
internet y, por lo tanto, son los más antiguos
dentro del sistema.
Hay un recorrido tecnológico-histórico que
fue haciendo cada vez más complejo este
tipo de correos, de acuerdo a las nuevas
herramientas, las nuevas necesidades y las
nuevas funcionalidades que los ingenieros
les entregaron, pensando en cómo satisfa-
cer las exigencias de las personas. Igual-
mente, estas fueron demandando mayor
funcionalidad.
El correo se simboliza generalmente por la
arroba (@). Ray Tomlinson decidió que este
símbolo se usaría para distinguir una URI,
es decir, un identificador uniforme. Porque
dentro de este contexto de red que recién
nacía, había que identificar primero –sin
posibilidad de error– al usuario y para ello
este va seguido de la arroba, más un domi-
nio. Los primeros servicios de correo fueron
6
simplemente un reflejo de lo que ya existía
en el mundo real, es decir, se establecieron
como las casillas de correo convencionales.
El servicio POP, por ejemplo, que significa
Protocolo de Oficina Postal, funciona de la
misma manera que las oficinas postales en
todo el mundo. Sin embargo, el número de
casillas virtuales supera enormemente a las
físicas.
INICIOS DEL CORREO ELEC-
TRÓNICO
Los primeros servicios de correo funcionaron
principalmente como textos en una red, que
los masificaba en aquello que se llama la
ethernet. Las primeras ethernet se construían
de manera muy simple: un cable, un termi-
nal en cada extremo, ambos conectados a
los computadores. Dentro de ese contexto
de un solo cable, la información viajaba en
texto. La seguridad de la primera internet
era nula, no existía: se fue construyendo en
el tiempo.
Y el texto generaba un problema, porque
bastaba con que hubiese algún software
que estuviese vigilando la red para detectar
ese texto. Es decir, fácilmente personas sin
muchos conocimientos podían tomar estos
softwares y examinar qué estaba circulando
por la red. Dentro del primer protocolo de
texto surgió el SMTP: Simple Mail Transfer
Protocol, algo muy sencillo para la transfe-
rencia de mensajes.
Con el terminal, el correo con SMTP funcio-
naba en un Mainframe, un computador
donde todo el correo se concentraba y los
servidores pasaban correos entre ellos, como
ocurre hasta hoy. Pero el usuario que estaba
en un terminal, de pronto recibía un men-
saje diciéndole que tenía un correo. Enton-
ces, colocaba “mail” y le aparecía una lista
de correo que leía directamente desde el
servidor. Cuando vino la transición y se
cambió de un terminal a un computador, se
necesitó otro tipo de protocolos para que el
computador pudiera interactuar con el
servidor y pudiésemos leer nuestros correos,
ya que no estábamos trabajando en la
misma máquina. Así nacen otros protocolos.
Surgió entonces el Mime, para compactar
los distintos tipos de archivos y también el
protocolo de oficina postal para que el
usuario de ese computador fuera a buscar
el correo al servidor. Se realiza una entrada
mediante una validación –que esté correc-
to el usuario y la password– y luego se
envían los correos, si los hubiera. Estos se
pueden borrar o dejarlos en el mismo ser-
vidor.
Uno de los problemas que surgió fue el

relay: el reenvío que realiza un servidor de
correo a solicitud de un cliente. Es decir, el
computador solicita al servidor que le envíe
un correo. ¿Quiénes podían hacer relay?
Inicialmente quienes estuvieran autorizados
mediante dominio –el nombre que identi-
fica a una red– o por direcciones de red, por
un segmento de red, una IP específica o un
usuario específico. Por lo general, los años
90 fueron la edad de oro para los hackers,
porque se conocía poco de los protocolos
de red y era muy fácil poner un programa a
testear ahí y ver qué servidor de correo no
tenía filtros de relay.
Otro problema era el POP, donde el proto-
colo funcionaba en texto, al igual que el
SMTP. Esto quiere decir que bastaba con
dejar corriendo un programa –The Sniffer–
durante un tiempo para que nos entregara
un reporte de las password de todos los
colegas. Por lo tanto, la seguridad era muy
deficiente.
Después, a partir de 1996 aproximadamen-
te, los usuarios querían tener mayor nivel
de uso de estos servidores de correo. Enton-
ces se empezaron a masificar los Webmail
y les agregaron el HTTPS para poder res-
guardar los datos: el Webmail se instalaba
en el mismo servidor de correo para que
internamente hiciera esa solicitud o el re-
envío a través de relay o la solicitud de re-
cepción de correo. Así, desde cualquier lugar
de internet se podía recibir el correo. Hay
otras herramientas de esa época, como el
Fetchmail: muchas empresas, sobre todo
las pequeñas y medianas, que no tenían
tantos recursos, se conectaban por teléfono,
abrían la línea en un instante, descargaban
y subían los correos y cerraban la línea.
PROGRESOS EN LA SEGURI-
DAD
Después de ello aparecieron las laptops, los
dispositivos móviles y la conectividad total.
A partir de ahí se empezaron a desarrollar
otros sistemas de encriptación, sobre todo
el SSL, que es la capa que encripta todos los
datos y que sirve para el HTTPS, el POP, el
NAS y el IMAP, desapareciendo el problema
de que con un Sniffer nos fueran a detectar
la password, ya que el mensaje salía encrip-
tado desde el computador-cliente hacia el
servidor. Esos niveles de seguridad llegan
al punto de que hoy es común leer el correo
en el teléfono celular sin problemas.
Sin embargo, aunque la capa SSL está
presente, todavía tenemos la inseguridad
que causan los spam, que nos inundan de
correos que no queremos recibir. Y también
están los gusanos, los virus. Por ello, hoy en
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Alejandro Mellado
día los servidores de correo deben tener un
antivirus. Si se usa Zimbra, que es un siste-
ma de correos completo, se posee ahí el
Amavis, el Clamav Correo y SpamAssassin.
Sin embargo, este último no es muy rigu-
roso y se puede equivocar. Estos errores
pueden ser que un correo que necesitaba
recibir un usuario fue mal etiquetado y re-
cibimos –o no recibimos– un correo im-
portante. Además, puede que el SpamAs-
sassin se equivoque o que las personas que
les gusta mandar spam ya saben cómo
engañar estos softwares de reconocimien-
to de patrones, e igualmente nos inundan
de basura.
Cuando el servidor de correos de una em-
presa se llena de spam, empiezan los pro-
blemas. Ahí nos damos cuenta de que el
mundo de estos servidores era más amplio
de lo que pensábamos. Algunos de los
conflictos habituales es que las passwords
de los usuarios sean triviales y por mucho
resguardo que ponga el administrador para
que el servidor esté correctamente configu-
rado, los spam igualmente se filtran. Basta
con que alguien eche a correr un algoritmo
de fuerza bruta –programas que revisan
una y otra vez las password–, que detecte
un usuario y su password, y ya puede hacer
spam. En los nuevos esquemas, el relay se
7
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Alejandro Mellado
realiza bajo un usuario y una password con
el protocolo SMTP, dándoles a los servicios
de correo una movilidad total: desde cualquier
parte, con un teléfono celular se puede
hacer un relay, previa autenticación.
LAS LISTAS NEGRAS
El hecho de que nos vulneren un servidor
de correo y se pueda usar como transporte
de spam, significa que nos van a colocar en
las listas negras. Esa acción la realizan ser-
vicios a nivel global que mantienen las di-
recciones de red de aquellos servidores de
correo peligrosos, los que constantemente
envían spam. Salir de esa lista negra no es
fácil. En el mejor de los casos se va a la
página web correspondiente a la lista negra,
se llena un formulario y lo remueven. Pero
ello no siempre ocurre. Tuve que solucionar
uno de esos casos con una agencia china,
que accedió a retirarnos de esta lista, pero
debíamos informarle permanentemente qué
estábamos haciendo para que el servidor de
correo no generara más spam, y que siguié-
ramos ciertos requerimientos.
Hay ciertas recomendaciones para evitar
esto y dejar un servidor SMTP estandariza-
do. Lo primero es que en el registro de zona
8
de dominio –inacap.cl, por ejemplo– hay
que decirle que es un correo.dominio.org, es CUANDO EL SERVIDOR DE CORREOS DE UNA
un MX, es decir, que es un servidor de correo EMPRESA SE LLENA DE SPAM, EMPIEZAN
a nivel de DNS. Lo otro es que la inversa, la LOS PROBLEMAS. AHÍ NOS DAMOS CUENTA
dirección IP, esté asociada al mismo nombre DE QUE EL MUNDO DE ESTOS SERVIDORES
del servidor de correo y entonces ahí el ERA MÁS AMPLIO DE LO QUE PENSÁBAMOS.
sistema chequea y confirma. ALGUNOS DE LOS CONFLICTOS HABITUALES
Enseguida, se debe usar un convenio de ES QUE LAS PASSWORDS DE LOS USUARIOS
remitente, que consiste simplemente en SON TRIVIALES Y POR MUCHO RESGUARDO
identificar cuáles son los servidores de correo QUE PONGA EL ADMINISTRADOR EN QUE
para el dominio. Lo otro es colocar una EL SERVIDOR ESTÉ CORRECTAMENTE CON-
clave DKIM y así el servidor envía el correo FIGURADO, LOS SPAM IGUALMENTE SE
y se confirma dentro del encabezado de este FILTRAN.
correo. A nivel de DNS se tiene que chequear  
que esa clave con que salió el correo sea la
misma que está declarada en el dominio de
zona. Se trata de otra comprobación simple.
Además, una clave DMARC les dirá a los
demás servidores cómo actúa mi correo. Con
esto el servidor queda funcionando correc-
tamente. Es una ardua tarea, porque hay que
hacer pruebas, con ensayo y error.

UNA VIDA PARA CONSTRUIR MI MARCA
Y CINCO MINUTOS PARA PERDERLA
Emiliano Piscitelli
CEO en VHGroup, Buenos Aires, Argentina.
Estamos permanentemente generando
información a través de las vías digitales. Se
podría decir que somos información. Frente
a eso, ¿cuál es el “sistema operativo” más
vulnerable que existe? Nosotros, los seres
humanos, ya que producimos información,
la manejamos y configuramos mal o bien,
de manera segura o insegura los servidores,
las computadoras y los dispositivos.
La mayoría de las empresas le presta atención
a la tecnología para implementar firewalls,
IDS, IPS, DLP y otras herramientas. La segu-
ridad siempre es en profundidad, por capas,
y obviamente no existe una única solución.
Si alguien quisiera atacar nuestros servido-
res, es más fácil hacerlo a quien los maneja
que uno por uno hasta llegar a la información
que se necesita.
LOS PELIGROS DE LAS RE-
DES SOCIALES
Las empresas son tan seguras como la
gente que las compone. Si en nuestra em-
presa hacemos capacitación, concientización
y utilizamos diferentes técnicas para mitigar
los ataques, pero contratamos a un emplea-
do nuevo que no ha sido formado en esta
lógica, corremos el peligro de que postee en
las redes características de su trabajo, colo-
que fotografías donde está la cámara del
circuito cerrado de televisión o una imagen
con un postit donde figura un usuario y su
contraseña. En ese momento se terminó la
seguridad.
Caemos en descuidos e ignorancias y así
entregamos mucha información que no
deberíamos dar. ¿Cuál es el primer paso que
realiza un ciberatacante profesional de la
informática? Obtener información. Y ella no
es solo referida a la tecnología de la empre-
sa escogida, de su firewall, de servidores de
correo web u otros aspectos, sino que de
algo más importante: nosotros, las personas.
Veremos algunas técnicas que utilizan y
cómo nosotros les regalamos información
sin saberlo.
Lo primero que ellos hacen es descubrir
quiénes son los empleados que se desem-
peñan en la empresa, cuáles son sus hobbies,
cómo es su familia, qué piensan en religión
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Emiliano Piscitelli
y política, entre otros aspectos, para buscar
vulnerabilidades. Desde ahí ya pueden
saltar a la empresa.
Lo hacen a través de una Open Source Inte-
lligence (Osint), que es una técnica utilizada
para relevar información de redes sociales.
En realidad, todas las fuentes abiertas que
están disponibles se puede utilizar como
Osint: Facebook, Twitter, LinkedIn, Instagram,
Google+, YouTube, WhatsApp, radio y tele-
visión.
LinkedIn es la única red social donde todo
el mundo acepta a todo el mundo. No
ocurre, por ejemplo, con Facebook, pero en
LinkedIn el usuario admite participar sin
tomar precauciones. Lo primero que hace el
ciberatacante es relevar información: va a
búsqueda avanzada, donde automática-
mente aparece una lista con la que puede
armar el organigrama casi perfecto de la
empresa. Ello, porque hoy en día la mayoría
de sus empleados está en LinkedIn y así
podemos conocer sus profesiones, los cargos
que ocupan y hasta las tecnologías que
utilizan.
Otro caso es Twitter. Cuando tuiteamos, la
plataforma de Twitter extrae mucha infor-
mación del usuario sin que este se dé
9
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Emiliano Piscitelli
cuenta. Twitter tiene una App para que un
desarrollador –un tercero– pueda conec-
tarse a ese twitter y traer los datos que re-
quiere: cuántos tweets hace esa persona por
día, cuánta gente lo sigue, en qué lugar está,
si tiene la geolocalización activada, dónde
se encuentra ahora. Se puede saber qué
tecnología utiliza, iPhone, Android, OS X, si
tiene una Mac, si usa FourSquare, si tuitea
desde otras redes sociales.
Así se puede armar un mapa, día por día,
de cuándo tuiteó ese usuario y los días de
mayor frecuencia. Si se cruzan estos datos
con los horarios dentro y fuera de oficina, y
fin de semana, se puede saber dónde tra-
baja y vive esa persona. Utilizando técnicas
de wardriving –ir en un auto o caminando
por la calle con un equipo pequeño– es
posible obtener información de redes, redes
wifi abiertas y hasta claves. Con un GPS, un
equipo de antenas wifi y un programa po-
demos subir esa información a un mapa,
Wiggle.net, por ejemplo, y consultar las
redes wifi y redes celulares de la zona. Po-
demos ubicar la red wifi de la persona, saber
su seguridad y a través de Google Street View
saber también de la seguridad física de la
casa. Y todos aquellos datos los regalamos
10
sin darnos cuenta.
EL USUARIO REGALA LA
INFORMACIÓN
Con WhatsApp podemos configurar tres
elementos de una privacidad que para mi
gusto es bastante deficiente: quién puede
ver mi foto, cuándo es la última vez que me
conecté y el estado. Hay muchos que rega-
lan información colocando “de vacaciones”
o “viajando”, revelando así la posibilidad de
que nuestro hogar esté solo. Además, a
menos que nos aparezca la opción de blo-
quearlo, cualquiera nos puede agregar a
WhatsApp y si no tenemos configurada la
privacidad, se puede acceder a nuestra fo-
tografía y, en muchos casos, a las de la fa-
milia. Existen herramientas que monitorean
las cuentas de WhatsApp y diseñan un mapa
donde aparece el comportamiento de la
persona: a qué hora va a dormir, cuándo se
despierta, cuándo está en una reunión.
Y también existen los metadatos, que es
información que queda dentro de un archi-
vo. Cuando generamos un PDF, cuando to-
mamos una fotografía o creamos un docu-
mento en Word o en Excel, surgen datos que
otros podrían leer. Una herramienta llama-
da MetaShield nos puede informar que un
documento PDF se descargó, que estaba
hecho con Microsoft Office, usaba Windows
XP, su tiempo de edición fue de sesenta
minutos, venía de un usuario que se llama-
ba Santiago y se editó varias veces. Incluso
en ocasiones se sabe exactamente dónde
está ubicada la computadora. Se trata de
información que no tendría por qué salir de
la empresa, pero se libera porque no se le
presta atención.
También está el caso de la búsqueda de un
puesto de trabajo. Es muy típico que en
estas ocasiones el personal de Recursos
Humanos colabore con el área correspon-
diente, colocando los antecedentes del re-
querimiento que necesita. La gente de sis-
temas o de seguridad los entrega y se suben.
Gracias a ello se puede saber que esa em-
presa tiene determinado antivirus y ocupa
ciertos programas. Es importante tener
presente este tema, porque sobre esa base
se prepararán los ataques, exactamente
concebidos para la plataforma de esa com-
pañía.
Otras veces ocurre que publican una foto-
grafía y después se dan cuenta de que hay
algo más atrás de ella: por ejemplo, una

clave de wifi. Aparecen, además, las cáma-
ras de seguridad, los domos u otra informa-
ción. Hay que recordar que la idea de Osint
es relevar información para después anali-
zarla y, basada en una inteligencia, puede
saber por dónde se va a atacar y cómo.
También hay personas que regalan infor-
mación en redes sociales, que tienen dos
mil amigos en Facebook y cuelgan fotogra-
fías o videos desayunando, almorzando, en
actividades de vacaciones. En las redes so-
ciales no existe la alternativa de deshacer.
Si se va a internet es imposible borrarlo.
En síntesis: a través de LinkedIn podemos
obtener el organigrama de una empresa, a
través de Twitter sacamos la tecnología que
utiliza, a través de Google Street View y de
Google Earth conocemos el entorno, la se-
guridad física en la casa, en el trabajo y sus
redes wifi. Si lo mezclamos con Wardriving,
a través de WhatsApp podemos saber el uso
del celular, las reuniones y la vida cotidiana,
y a través de la búsqueda de empleo pode-
mos acceder a la tecnología que utiliza la
empresa, entre otros recursos.
ALGUNAS TÉCNICAS PARA
ENGAÑARNOS
Lo reseñado es una prueba de que genera-
mos bastante información para un atacan-
te y que esta está disponible todo el tiempo.
La mayoría de las personas que utiliza estas
herramientas no repara en esto. Por lo
tanto, para cuidarnos no debemos concen-
trarnos en la tecnología, sino que en nues-
tro principal “sistema operativo”: los seres
humanos. Solo ahí podemos asegurar
realmente, tanto nuestra privacidad como
la de nuestra empresa.
La ingeniería social es básicamente una
mezcla de arte y de ciencia, que utiliza di-
ferentes técnicas con el objetivo de influir
sobre otra persona o sobre un grupo de
personas. Para ello se pueden utilizar psico-
logía, comunicación no verbal, negociación,
magia e ilusionismo, entre tantas otras. Para
engañar a un individuo, el primer paso es
relevar información.
Kevin Mitnick es el ideólogo de la ingeniería
social moderna, del estudio sobre el engaño.
¿Por qué funciona?, se pregunta él. Primero,
porque todos queremos ayudar: si vamos
caminando y alguien se cae a mi lado, lo
más probable es que yo le auxilie. Este primer
movimiento hacia el otro es de confianza.
Es poco frecuente desconfiar, a menos que
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Emiliano Piscitelli
haya algo raro: no pensamos que nos quie-
ren robar algo y confiamos. No nos gusta
decir que no y nos encanta que nos agra-
dezcan.
¿Qué técnicas se utilizan en ingeniería social?
Una de ellas, por ejemplo, es el pretexting,
que usa el teléfono para llamar y hacerse
pasar por miembro de una compañía que
pide ciertas claves o informaciones. Otra es
el shoulder surfing, que es “mirar por arriba
del hombro”: espiar qué está escribiendo
esa persona a ver si se puede obtener infor-
mación relevante. El tailgating es entrar a
un recinto cuando otro sale, diciendo que se
le quedó adentro la llave. Una forma pare-
cida es clonar tarjetas de uso laboral, que
usan los funcionarios de una empresa y
llevan prendidas de su camisa. Con ella se
puede entrar sin problemas en sus oficinas.
Otro fenómeno es el impersonate: conversar
con la recepcionista o la secretaria para que
lo dejen visitar la empresa y una vez ahí se
puede robar mucha información.
El baiting es un señuelo. A través de toda la
información que se recopiló antes, podemos
saber exactamente el recorrido de una
persona y colocarle un pendrive en su ca-
mino, por ejemplo. Si lo recoge, lo llevará a
11
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Emiliano Piscitelli
su computador, lo más seguro. Pero en
realidad no es un pendrive, sino que un
teclado disfrazado que tiene una memoria
con un script y una orden. Cuando se insta-
la en el computador, comienza a copiar
información, enviándola por mail o a un
servidor FTP. Una vez que se le otorgue la
red, el atacante se conecta a la computado-
ra del cliente con una clave que ya instaló
ahí y puede intervenirlo.
Dumpster diving es una técnica de revisar
la basura en búsqueda de esos papeles que
nadie rompe, que dicen el nombre del
usuario y la contraseña, mails que se envían
entre usuarios, se imprimen y después los
tiran. Por eso es importante destruirlos
antes de botarlos.
LA INFORMACIÓN NO VER-
BAL
Y también está la magia y el ilusionismo.
Como primer concepto, este tiene como
función distraer, desorientar: la misdirection,
que es una técnica que se puede aplicar muy
bien a la ingeniería social y que se usa para
engañar a las personas, tratar de robarles
algo o influir sobre ellas. Actualmente se
está estudiando mucho la magia y el ilusio-
nismo en la neurociencia, sobre todo porque
explotan las vulnerabilidades humanas, una
12
especie de arte de hackear el cerebro.
Una de las teorías dice que nuestra mente
puede prestar atención a un 5% de lo que
en realidad ocurre. El otro 95% es descar-
tado inmediatamente. Esto pasa porque de
otra forma nuestra mente se saturaría de
información y no funcionaría bien. Entonces,
con ese 95% se puede hacer mucho en
términos de manipulación. Uno de esos
casos es que todos los días interactuamos
con nuestro teléfono móvil. Si lo usamos con
tanta frecuencia, deberíamos saber de
memoria qué iconos tenemos ahí y que
corresponden a diversas aplicaciones. Sin
embargo, si uno piensa qué aplicación está
abajo a la derecha, lo más probable es que
no lo recuerde. Es decir, miramos una pan-
talla y no prestamos atención.
Y acá viene el tema de la comunicación no
verbal, que básicamente es todo lo que
decimos, sin decirlo, aquello que expresa
nuestro cuerpo cuando está con los brazos
cruzados, lo que dice nuestro rostro cuando
está con la cabeza ladeada: gestos, posturas,
movimientos.
Los expertos dicen que hay expresiones
faciales básicas correspondientes a emocio-
nes elementales, que son iguales en cualquier
parte del mundo y son muy difíciles de
ocultar: odio, asco, desprecio, miedo, triste-
za, sorpresa y felicidad. Esta última se ex-
presa en una sonrisa, aun cuando hay muchos
tipos de sonrisas y solo una sola denota
verdaderamente felicidad. El resto oculta
algo; por ejemplo, la del orgullo narcisista.
Por ello, a la hora de entrar en las redes
sociales hay que prestar a atención a la fo-
tografía del perfil, porque incluso ahí pode-
mos descubrir vulnerabilidades. Mirando
fotografías, imágenes o videos se puede
llegar a saber cómo es una persona, qué
siente, qué le gusta y qué no. Por lo tanto,
un ciberdelincuente puede saber si un
usuario es seguro o inseguro, y si se trata de
este último caso, es muy probable que
concrete su ataque y obtenga los datos y el
acceso que desea. Existe una técnica llama-
da pivoting, que consiste en atacar a fami-
liares y amigos, porque en esos casos opera
la confianza. De esta manera se puede ac-
ceder a la empresa.
TOMAR CONCIENCIA DE LA
VULNERABILIDAD
En este contexto surge un tema caracterís-
tico de las redes sociales: la solicitud de
amistad. Cuando llega una solicitud de este
tipo, lo que generalmente se hace es ver a
la persona. Algunas veces se le rechaza y
pocas veces se le investiga. Cuando la soli-

citud de amistad llega por las muchas
amistades en común, lo más probable es
que directamente se le agregue. Así, los
ciberdelincuentes bien entrenados no man-
darán una solicitud de amistad directamen-
te, sino que a nuestros amigos para generar
una red de confianza y llegar a nosotros. Por
eso es muy importante no aceptar a cual-
quiera, por más que se tengan amigos en
común.
Existe el caso de Robin Sage. Un profesional
llevó a cabo un experimento para concien-
tizar a la gente sobre nuestra vulnerabilidad.
Colocó a una chica atractiva ficticia (llama-
da Robin Sage) que decía que trabajaba en
seguridad –según ella era cyber intelligen-
ce operator– y con ella comenzó a armar
redes sociales. Agregó personas de la NSA,
la CIA y el FBI en su cuenta. La mayoría
aceptó, porque casi todos eran hombres.
Cuando ya tenía un poco de confianza, les
planteaba dudas sobre el funcionamiento
del sistema computacional y los demás le
ayudaban, le entregaban información de su
propio sistema y de sus políticas de seguri-
dad. Durante un año consiguió datos confi-
denciales de doscientas empresas. ¿Quiénes
se la entregaron? Los encargados de segu-
ridad de cada una de ellas…
Incluso el tema de las cámaras que trasmi-
ten en directo no es algo menor. Muchas
veces estas quedan abiertas y otras personas
pueden acceder a aquello que exhiben:
equipos trabajando en tiempo real, compu-
tadores, papeles, escritorios. Hay una plata-
forma llamada Shodan, que se encarga de
relevar este tipo de información que provie-
ne de servicios como impresoras conectadas
a internet, cámaras y computadoras.
NUESTRAS DÉBILES CON-
TRASEÑAS
Existe también el phishing –suplantación
de la identidad para adquirir información
confidencial de forma fraudulenta–, sobre
todo el bancario, y que afecta a las tarjetas
de crédito, de débito o a la cuenta personal.
Son mensajes que nos urgen a entrar en
nuestra cuenta bajo la amenaza de que la
bloquearán si no lo hacemos. Generalmen-
te colocan un link para entrar, que no es una
página del banco, sino de otra empresa que
se aprovecha de la vulnerabilidad, piden el
RUT y la clave, y así obtienen información
de nuestra cuenta, al punto de que el ata-
cante tiene control de ella.
Hoy por hoy, las contraseñas están perdien-
do valor, ya que a través de la ingeniería
social y de variadas técnicas se pueden co-
nocer y así tomar el control de las cuentas.
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Emiliano Piscitelli
Por ello es necesario buscar un segundo
factor de autenticación. Por ejemplo, después
de colocar el usuario y contraseña, llega un
SMS al celular donde aparece un número
PIN que uno debe digitar. Su uso se puede
habilitar para las cuentas de Facebook, Yahoo,
LinkedIn y hasta Twitter.
En 2012 hubo un robo de ciento diecisiete
millones de contraseñas. En ese entonces,
LinkedIn aplicaba una forma de cifrado poco
robusta y le extrajeron su base de datos que
vendieron en el mercado negro. Cuando se
descubrió, LinkedIn forzó a que las contra-
señas se autenticaran. Por ello hay que
cambiarlas de tanto en tanto y nunca
compartirlas.
Ello no significa ponerse paranoico, porque
la paranoia y el miedo paralizan y no nos
dejan operar. Lo que hay que hacer es estar
atento, empezar a pensar en la información
de otra manera. Si cuidamos el auto, la casa
y nuestros objetos, ¿por qué no cuidar la
información? Si a alguien le roban el auto y
tiene seguro, lo cubren. Pero si nos roban
nuestra información y la exponen pública-
mente, nos hacen más daño que si fuera
algo tangible, material.
Entregaré dos recomendaciones básicas e
importantes. Una, controlar la privacidad:
todas las redes sociales tienen opciones para
13
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Emiliano Piscitelli
ello y debemos usarlas. Antes de publicar,
hay que pensar, porque no existe el “desha-
cer”. Igualmente, si nos llega un mail de
alguien a quien no conozco ofreciendo in-
creíbles oportunidades de ganar dinero, por
ejemplo, hay que desconfiar y no abrirlo.
Lo segundo es crear una cultura de la segu-
ridad tanto dentro como fuera de la empre-
sa: de nada sirve fomentarla solo en su in-
terior, si después del trabajo las personas
colocan en las redes información que puede
servir a los delincuentes. Podemos usar un
programa de concientización entre los
empleados y evaluar la seguridad de la
plataforma, de la infraestructura. Hay que
pensar la seguridad de otra manera, trasla-
dar la seguridad física que hoy aplicamos
naturalmente a la seguridad digital.
14
HAY PERSONAS QUE REGALAN INFORMACIÓN
EN REDES SOCIALES, QUE TIENEN DOS MIL
AMIGOS EN FACEBOOK Y CUELGAN FOTO-
GRAFÍAS O VIDEOS DESAYUNANDO, ALMOR-
ZANDO, EN ACTIVIDADES DE VACACIONES.
EN LAS REDES SOCIALES NO EXISTE LA AL-
TERNATIVA DE DESHACER. SI SE VA A INTER-
NET ES IMPOSIBLE BORRARLO. EN SÍNTESIS:
A TRAVÉS DE LINKEDIN PODEMOS OBTENER
EL ORGANIGRAMA DE UNA EMPRESA, A
TRAVÉS DE TWITTER SACAMOS LA TECNO-
LOGÍA QUE UTILIZA, A TRAVÉS DE GOOGLE
STREET VIEW Y DE GOOGLE EARTH CONO-
CEMOS EL ENTORNO, LA SEGURIDAD FÍSICA
EN LA CASA, EN EL TRABAJO Y SUS REDES
WIFI.

“TIPS AND TRICKS” EN SEGURIDAD TI
Rubén Vergara
Jefe de Seguridad de Continuidad de la Ge-
rencia de Sistemas y Tecnologías de INACAP
Quisiera dejar algunas ideas y conceptos
respecto de temas de seguridad, que a veces
no se conocen o, si se conocen, se pasan por
alto. Lamentablemente, en Chile todavía no
hay una fuerte enseñanza de pregrado en
temáticas relativas a seguridad. Se incluyen
contenidos generales sobre este tema, pero
todavía no de manera robusta. En INACAP
estamos haciendo ese cambio.
LOS TRES PILARES DE LA
SEGURIDAD
Y de ahí nace el primer punto que trataré.
Es necesario estar al día con lo relativo a la
seguridad, participar de charlas y de eventos,
porque permiten abrir la mente y conocer
este tema. El mundo de la seguridad es muy
amplio: desde la seguridad física, a la segu-
ridad lógica y tecnológica, pasando por la
seguridad del ámbito administrativo, la
gestión y la estrategia. Algo importante es
ser parte de instituciones profesionales
preocupadas de estos asuntos, porque
siempre se está aprendiendo, conociendo
nuevos contenidos. Y estas instituciones, que
en estos momentos son de nivel mundial
con sus capítulos locales, ayudan a entender
más esos temas.
Además de ello, es fundamental tener co-
nocimiento a través de instancias más for-
males, como los magísteres, diplomados,
cursos y certificaciones. Es esencial estable-
cer redes de contacto, algo que en el área TI
–la Seguridad TI es parte de la seguridad
informática y tiene como objetivo la confi-
dencialidad, integridad y disponibilidad de
la información– lamentablemente no po-
seemos. Lo fácil es hacer vínculos amistosos,
pero no de aspectos técnicos ni tampoco
compartir tecnología. A veces, las experien-
cias de cada uno se pierden para siempre.
En temas de seguridad hay que involucrar-
se a través de diferentes herramientas. Hay
elementos que existen en internet y que
permiten desarrollar y experimentar. Por
ejemplo, el sitio de DVWA es fácilmente
hackeable, pero uno lo puede levantar en
una máquina virtual y jugar contra él. No le
hace daño a nadie y sirve para aprender de
manera sana y ética, como corresponde.
Porque, lamentablemente, cuando se em-
pieza a aprender lo relativo a seguridad se
conocen muchos factores relativamente
ocultos para la mayoría de las personas y es
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Rubén Vergara
fácil irse para el lado oscuro. Es muy fácil,
porque es tentador. Entonces, ahí la ética
nos dice que debemos aplicar ese conoci-
miento de buena forma.
Algunos postulados esenciales en Seguridad
TI se sustentan en una triada. Pero, ante todo,
la Seguridad TI es parte de la seguridad de
la información, orientada a la seguridad de
los activos de información, con las tecnolo-
gías donde esta se mueve. La información
es amplia y variada: documentos de la po-
lítica, la enseñanza, la concientización.
Los tres pilares fundamentales en seguridad
se agrupan en el término inglés CIA: Confi-
dencialidad, Integridad y Disponibilidad
(Availability). Lamentablemente, a veces
por desconocimiento se manejan solo las
dos primeras, aun cuando siempre deben
tenerse en cuenta esos tres postulados, esos
tres objetivos.
NO EXISTE LA SEGURIDAD
TOTAL
La seguridad es un proceso y no un proyec-
to. Es decir, concebir un proyecto trabajando
dos años no es algo que termina en ese
periodo. La seguridad es un proceso continuo,
un ciclo: planear, hacer, chequear, corregir y
seguir haciendo eso, implementando,
completando, actualizando.
15
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Rubén Vergara
La seguridad total no existe. Esto es algo que
para algunos puede ser obvio, pero para
otros no tanto. Si alguien nos quiere vender
un control de seguridad afirmando que es
“completamente seguro”, no hay que creer-
le, porque puede que los controles en ese
momento sean totalmente confiables y al
día siguiente ya no lo sean. ¿Por qué? Porque
pudo haber aparecido una vulnerabilidad
que hasta ese momento no se conocía.
Existen las llamadas Vulnerabilidades de Día
0, que son aquellas que están siendo explo-
tadas por los hackers y que las personas
corrientes no conocen. Estas vulnerabilida-
des siempre van a estar y aparecer. Se
pueden remediar o eliminar, aunque luego
surgirán otras.
Tampoco los controles por sí mismos solu-
cionan los conflictos de seguridad. En ge-
neral, la seguridad es un conjunto de con-
troles que pueden ser puestos como capas
en profundidad, pero ellos permiten riesgos
a los que se enfrenta una organización. Esos
riesgos no se solucionan con un solo pro-
ducto. Es decir, no por instalar un antivirus
en un computador el usuario está seguro:
no existe un antivirus que detenga a todos
los virus y todos los malware, es decir, sof-
twares que causan algún daño. Y nunca
existirá, ya que siempre surgirá una nueva
16
variante o forma de operar que no se tenía
pensada. Este conjunto de controles nos
permitirá estar un poco más tranquilos, pero
nunca solucionará totalmente los riesgos.
La ley de Pareto también se aplica en segu-
ridad. Normalmente, las instituciones inten-
tan colocar miles de controles, pensando
que a mayor cantidad, menos riesgos. Sin
embargo, no por tener más controles hay
mayor seguridad: lo importante es imple-
mentarlos bien, es decir, mantenerlos en
buen estado, gestionarlos, monitorearlos,
chequearlos y corregirlos. Entonces, tal vez
con un 20% de los controles que cubren el
espectro de la empresa, a lo mejor se evita
el 80% de las vulnerabilidades a las que se
está expuesta.
El nivel de protección depende del valor de
lo que se quiere proteger. Muchas veces las
instituciones gastan más dinero en resguar-
dar ciertos activos de información que lo
que vale el propio activo. Hay que aprender
a revisar bien cuál es su valor y cuál el de los
controles que aplicaremos sobre él.
Toda evaluación de seguridad debe contem-
plar la triada Confidencialidad, Integridad y
Disponibilidad. Con ella en mente se puede
hacer una evaluación de seguridad y revisar
qué controles se pueden necesitar. La Con-
fidencialidad es que la información sea
conocida únicamente por las personas que
tienen el derecho y los permisos para ello.
La Integridad de la información significa que
ella pueda ser modificada –y hasta elimi-
nada– por quienes tienen el permiso para
realizar esta acción y no por cualquiera. Y la
Disponibilidad es que se tenga acceso a esa
información cuando las personas indicadas
lo requieran.
EL MUNDO CAMBIA Y LOS
ATAQUES TAMBIÉN
Los riesgos se aceptan, mitigan, transfieren
o eliminan.
En general, cuando uno hace un análisis,
una evaluación de riesgo, se encuentra con
un resultado a veces muy alentador y en
otros casos con algo inesperado. Y los riesgos
debemos tratarlos. Si el riesgo es muy bajo,
porque la probabilidad de ocurrencia casi
no existe o su impacto es menor, podemos
aceptarlo. Si el usuario piensa que puede
pasar a mayores, debe tomar alternativas y
la más normal es mitigar, establecer dife-
rentes tipos de controles, que pueden ser
lógicos, administrativos o técnicos.
La otra opción es transferir este riesgo. Esto
es más complejo, porque normalmente no
se pueden transferir las responsabilidades,
aunque en ciertas circunstancias una com-

pañía de seguros asume el daño que se
pueda producir. Lo último es eliminarlo, algo
nada de fácil, porque supone anular un
activo de información, que es cualquier
elemento, tal vez tecnológico, que posee
información, la transmite, almacena o la
genera.
No comparto la llamada seguridad “por
oscuridad”, es decir, por ocultamiento: es-
conder archivos de configuración del servi-
dor, por ejemplo, colocándolos en un direc-
torio que nadie conoce. Es un error, porque
hay herramientas de búsqueda que los van
a encontrar. Son archivos con nombres co-
nocidos que incluso se pueden googlear y,
lamentablemente, los google-hacks usan
incluso libros que ayudan a hackear sitios u
obtener información a través de Google,
haciendo ciertas consultas. Por lo tanto,
esconder un activo es una muy mala idea,
y no hay que confundirlo esto con la confi-
dencialidad, porque la confidencialidad es
permitir acceso a la información a aquellos
que deben tenerla.
El mundo cambia y los ataques también. No
podemos ser ciegos a la tecnología que cada
día avanza. Los ataques evolucionan y los
hackers también. Al principio, esto era una
especie de juego de estudiantes que gozaban
haciendo defacement, es decir, cambios en
las páginas web y colocándoles un letrero
de “los hackeamos”. Después evolucionaron,
al darse cuenta de que podían ganar algo
de dinero con sus acciones y, finalmente,
descubrieron que podían ganar mucho di-
nero y se hicieron profesionales.
Cada organización es un mundo diferente y
no todos los controles calzan, no se pueden
copiar de una empresa a otra. Se deben
analizar los riesgos propios: qué se tiene
para que esos controles efectivamente sean
los más útiles. No sacamos mucho con
comprar el mismo antivirus que tiene la
competencia, porque quizá no somos tan
robustos económicamente y tenemos unos
PCs más livianos, donde esos programas no
pueden trabajar.
LAS FALLAS DEL PERSONAL
CAPACITADO
Me gustaría referirme a la seguridad en las
aplicaciones, dejando algunos controles
fuera, mirando en forma general este tema.
Intentaré demostrar lo complejo que es
tener seguridad en las aplicaciones, cuando
las observamos desde la perspectiva de la
confidencialidad, la integridad y la disponi-
bilidad de esa información.
Lo primero aquí es proyectar un ciclo de vida
de desarrollo formal, repetitivo, algo que
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Rubén Vergara
está siendo controlado permanentemente
y donde se establecen definiciones como la
especificación de requerimientos. Si vamos
a desarrollar un software de seguridad,
necesitamos especificar sus requerimientos;
por ejemplo, cuánta disponibilidad debe
tener este sistema, qué nivel de autenticación
se necesita. Hay que detallar el nivel de
carga que requiere, es decir, el conjunto de
controles o elementos que necesitamos y
que son una parte formal en el desarrollo
de cualquiera de estos software.
Enseguida está la arquitectura, el diseño,
donde se debe comprobar aquello que se
especificó para hacer que se construya co-
rrectamente. Si necesitamos ciertos contro-
les en los requerimientos, debemos definir
bien en la arquitectura.
Otro aspecto es implementar una capacita-
ción formal del personal. Normalmente este
es el punto más débil en las instituciones,
porque dan por entendido que todos saben
de seguridad, que los desarrolladores son
expertos y que programan perfectamente.
Este es un error garrafal. Por desgracia, las
vulnerabilidades en las aplicaciones se dan
justamente por forados de seguridad que
van en asuntos básicos de desarrollo de
software.
El Cross-side Scripting y el SQL Injection,
17
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Rubén Vergara
que son dos temas muy conocidos y puntos
principales por los cuales las aplicaciones
sufren vulnerabilidades, obedecen a fallas
de programación, por no validar bien los
datos de entrada de una aplicación. El SQL
Injection es una inyección de código SQL,
una consulta, o query, manejado en el
campo de un dato, que nos permite sacar
información de la base de datos. Esto tam-
bién se puede controlar con ciertas senten-
cias o formas de programación especial que
las personas deberían de saber. Hay un
concepto llamado Estamentos Preparados,
que consiste en armar las query en la pro-
gramación y ahí inyectar los datos que se
ingresan por el usuario. Sin embargo, lo que
hace el programador en forma simple es
armar la query en el momento para enviar-
la hacia el motor de base de datos.
OWASP es una agrupación de personas que,
sin fines de lucro, intenta desarrollar temá-
ticas en el ámbito de la seguridad. Estable-
cer librerías de seguridad es otro punto
importante. Cuesta que en las instituciones
se reutilice el código y, si lo hacemos, ojalá
sea en librerías de seguridad, de tal manera
que si tenemos que recibir en un campo de
texto, se haga a través de un número. Yo uso
18
una librería que ya está limpia, que corrige
todos los problemas que pueden aparecer
en un ataque. Si no se han filtrado bien los
datos de entrada, un ataque en un campo
de números será exitoso. Si alguien le pone
un script, se va a ejecutar en el computador
de la persona que está siendo atacada. Por
ello es importante utilizar librerías de segu-
ridad: en ese caso no es necesario hacer una
programación cada vez que se genere un
campo de ingreso de datos.
Otro factor es establecer un estándar de
desarrollo seguro. Es importante que en las
instituciones se definan estándares donde
concentrar el esfuerzo y así los desarrolla-
dores se focalicen en estos puntos. Por
ejemplo, si las contraseñas son de ocho
caracteres, que ello se cumpla y que al in-
greso de los datos, validen los datos de
entrada, los limpien. Muchas veces los
atacantes, los hackers, para vulnerar la
aplicación, codifican los datos o los cambian
a otro ámbito, a otra definición de reglas, de
tal manera que la aplicación no perciba que
la intentan atacar. Por lo tanto, si se utiliza
una librería y todas estas herramientas, se
podrán filtrar estos ataques.
LA IMPORTANCIA DE LA
REVISIÓN PERMANENTE
Respecto de los QA y los checklist de segu-
ridad, este último no siempre está presente,
aun cuando está orientado a dar un estándar
de desarrollo seguro. Un checklist de segu-
ridad que tenga relación a ese estándar,
focaliza a los programadores hacia un de-
sarrollo preocupado de ese ámbito. Poste-
riormente se debe testear que efectivamen-
te se esté cumpliendo.
Hay un testing que tiene dos modalidades:
el manual y el automático. El manual fun-
ciona revisando con un checklist o utilizan-
do herramientas llamadas las Sast, que
permiten verificar el código e identificar
problemas. Lamentablemente tiene muchos
falsos positivos, es decir, alertan diciendo
que hay un error y tal vez no lo haya. Además,
a veces son muy complejos de leer. Pero, al
menos, la revisión manual permite revisar
las aplicaciones y el estándar de seguridad
que se estableció, filtrando una importante
cantidad de problemas que la aplicación
podría tener. El testing automático –a través
de herramientas llamadas Dast– se realiza
con la aplicación funcionando.
Hay un conjunto de herramientas gratuitas,

como el ZAP y el Burp Suite. Hay otras pa-
gadas, como el Acunetix, que ayudan a
detectar vulnerabilidades en las aplicaciones.
También tienen problemas con falsos posi-
tivos, pero a través del ensayo y error los
podemos probar, y después verificar su
certeza en forma manual.
Cuando se trabaja en las instituciones po-
demos utilizar el Ethical Hacking, entregado
por compañías expertas en seguridad. Su
problema es que muchas veces el análisis
de vulnerabilidades se remite únicamente
a decirnos que sí existen, sin revisar si ella
es explotable por los ciberdelincuentes. En
caso de que informen en detalle, deberemos
tomar las acciones pertinentes para corre-
girlas.
En el software –que es parte nativa de la
calidad– el tema de cambios y controles de
versiones es muy importante. Debemos
saber qué se cambió, cuándo y quién lo hizo,
porque si una aplicación tiene una vulnera-
bilidad y se quiere volver atrás y mirar su
proceso, este control es imprescindible. Si
no existe, será imposible evitar ese error en
el futuro, ya que carecemos de la información
necesaria para corregirlo.
Otro factor esencial es tener ambientes de
desarrollo, de pruebas y de producción se-
parados, de tal forma que las personas no
accedan a datos que no les compete conocer.
Igualmente, la arquitectura debe ser de alta
disponibilidad en toda la cadena de trabajo.
No podemos exponernos a tener un punto
débil, ya que basta una falla en una zona
para que toda la producción se detenga. Es
fundamental monitorear desde dentro la
continuidad del servicio y cuáles son los
tiempos de respuesta del sitio.
EL CONOCIMIENTO COMO
INVERSIÓN
Es necesario establecer un plan de recupe-
ración de desastre, estableciendo un con-
cepto llamado RTO/RPO, que marca los
tiempos de recuperación del sistema
cuando se ha caído y determinar cuánto es
posible resistir en ese estado sin que la
empresa sufra un daño significativo. El RPO
marca la información que estamos dispues-
tos a perder si se cae un sistema.
Debemos preocuparnos por la seguridad en
las redes, su sedimentación y calidad de
servicio, que es la forma de impedir, por
ejemplo, que nuestro sitio web colapse y las
personas no puedan acceder. Hay que tener
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Rubén Vergara
auditorías, tanto internas como externas,
para encontrar las posibles debilidades en
los controles.
El firewall de aplicaciones –que es el punto
principal de desarrollo en la actualidad– es
un aplicativo que permite detener muchos
ataques que vienen desde la Capa 7, espe-
cíficamente a la aplicación. Ahí se debe
tener un constante tunning del firewall de
aplicaciones, porque aparecen muchos
bloqueos y alarmas que es necesario inter-
pretar y así corregir la aplicación. Es impor-
tante minimizar las excepciones. En los fi-
rewall, como muchos de los equipos, se
establecen reglas, pero no podemos llenar-
los de una cantidad infinitas de ellas, porque
finalmente siempre va a estar abajo. El WAF
compra tiempo, debido a que en ocasiones
las plataformas tienen vulnerabilidades que
no se pueden subsanar en el mismo mo-
mento.
Hay otros controles que ayudan, como el
Control de Configuraciones en el firewall,
que nos permite saber qué estamos hacien-
do, cómo, qué se está cambiando y a qué
hora. Debemos conocer qué causó ese
cambio, quién lo pidió e implementar reglas
en todos los ambientes. Si tenemos firewa-
19
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Rubén Vergara
ll de aplicaciones, hay que utilizarlo también
en el ambiente de desarrollo como en
pruebas y no solamente en producción. Con
el firewall se pueden bloquear herramientas
de scanning y ver ciertos comportamientos;
por ejemplo, saber si alguien está escanean-
do el sitio web de tal manera de bloquear
de inmediato esa IP.
Hay que tener ciertas consideraciones al
momento de comprar un control o estable-
cer un servicio. Primero, y básico, es que
cumpla con lo queremos. Hay tener cuidado
con el valor del control: a veces puede ser
muy barato, pero finalmente puede resultar
muy caro porque hay condiciones que no
son conocidas. Hay que ver si es escalable y
valorar los costos extras de hardware o
software que puede tener el producto. Por
ejemplo, que su implementación suponga
que varios profesionales deban conocer su
manejo a través de una capacitación en el
extranjero puede resultar muy caro.
Igualmente, se debe calibrar el nivel de
soporte que se entregará: las soluciones
deben ser rápidas, inmediatas, ejercidas por
personal con un óptimo nivel de entrena-
miento. Hay que preocuparse de que esa
empresa sea robusta, que tenga varios años
en el mercado y ojalá esté cotizando en la
bolsa. Además, debe ofrecer la integración
20
con otras soluciones, que se pueda imple-
mentar rápidamente, que entregue una
proyección de mejora y de productos futuros.
Aquí hay un concepto llamado road mark:
es el ciclo de vida, el movimiento de ese
producto, su mejora y actualización perma-
nente.
Finalmente, el conocimiento es la mejor
inversión que se puede hacer; es algo que
debemos buscar para ser cada vez mejores
en este importante campo de la seguridad
informática.
EL NIVEL DE PROTECCIÓN DEPENDE DEL
VALOR DE LO QUE SE QUIERE PROTEGER.
MUCHAS VECES LAS INSTITUCIONES GASTAN
MÁS DINERO EN PROTEGER CIERTOS ACTIVOS
DE INFORMACIÓN QUE LO QUE VALE EL
PROPIO ACTIVO. HAY QUE APRENDER A
REVISAR BIEN CUÁL ES SU VALOR Y CUÁL EL
DE LOS CONTROLES QUE APLICAREMOS
SOBRE ÉL. TODA EVALUACIÓN DE SEGURIDAD
DEBE CONTEMPLAR LA TRIADA CONFIDEN-
CIALIDAD, INTEGRIDAD Y DISPONIBILIDAD.
 

ATAQUES AVANZADOS PERSISTENTES:
LA ACTUAL AMENAZA EN LA RED
Eduardo Godoy
Symantec Territory Manager para Chile,
Paraguay, Uruguay y Bolivia.
Symantec es una empresa líder mundial en
temas de seguridad informática. Uno de
nuestros productos estrella es el antivirus
Norton. Todos los años, Symantec publica
un informe con nuestros análisis sobre qué
ha ocurrido en internet. Hoy quisiera refe-
rirme a los ataques avanzados persistentes,
una nueva forma de amenaza en la red.
Generalmente, los que estamos vinculados
a la tecnología siempre decimos que la
tecnología avanza muy rápido, que cambia
constantemente y por eso sentimos que todo
tiempo pasado fue mejor. ¿Por qué? Porque
antes todo era más fácil, más seguro, desde
la vida diaria hasta la tecnología. Bastaba
un alicate para arreglar el televisor. Ahora,
cuando el control remoto no funciona se nos
complica arreglarlo; por ejemplo, hay bajar
una app para ello.
LA ACTUAL EXPLOSIÓN DE
LOS MALWARE
Quiero referirme a una pequeña evolución
de la seguridad. El 6 de marzo de 1992 fue
un día muy especial: fue la primera vez que
apareció un titular de un diario en Chile
preocupado por la seguridad informática.
En esa fecha se activaba un virus llamado
Miguel Ángel, que se fue propagando bajo
una estrategia hasta entonces desconocida:
venía en los CDs donde se hacían respaldos
de software. La fecha fue elegida porque era
un aniversario más del nacimiento de este
artista del Renacimiento. Operaba borrando
partes del disco duro y lo dejaba inutilizable.
Después, en 1999, apareció otro virus que
marcó una tendencia: el Happy New Year
99. Fue el primer virus que llegaba por correo
electrónico. Si uno lo abría, podía ver unos
llamativos fuegos artificiales que salían en
la pantalla, mientras –sin saberlo el usuario–
enviaba más correos con la copia del virus.
Fue el primero que se distribuyó masiva-
mente y que se autoenviaba. Julio de 2001
también marca otro punto importante,
porque aparece la primera vulnerabilidad
masiva: el Code Red, alojado en el servidor
web de Microsoft, que tenía una vulnerabi-
lidad que permitía entrar ahí y darlo de baja.
Estos tres casos ejemplifican que en aquella
época vivíamos preocupados de hechos
puntuales, y donde lo más importante era
mantener actualizado el antivirus y bien
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Eduardo Godoy
configurado el firewall. Entonces la vida no
era más simple, solo diferente, porque las
herramientas con que contábamos también
eran muy distintas: todo era más manual,
más artesanal. Si había un virus en la em-
presa, el encargado de solucionarlo llegaba
con un juego de diskettes y se ponía a tra-
bajar.
Las herramientas eran otras y, por lo tanto,
lo complejo iba de la mano de ellas. Y ya en
2009 en Symantec fuimos capaces de de-
tectar que ese año se crearon más de dos
millones de malware. Y el año pasado de-
tectamos 430 millones de nuevos malware,
que significan más de un millón de nuevas
amenazas diarias. Dicho en términos simples,
aparecen catorce malware nuevos por se-
gundo. Para quienes son responsables de
seguridad, ese número suena como cam-
panazo en la cabeza. Si actualizáramos
nuestro antivirus tres veces al día, no daría-
mos abasto frente a tanta amenaza nueva.
Symantec llegó a determinar ese número
porque somos la red no militar más grande
del mundo: tenemos más de 57 millones
de sensores distribuidos en el planeta cap-
turando esta información; más del 30% del
correo corporativo del mundo pasa por
nuestros filtros, y de ahí aprendemos mucho,
generando una big data donde analizamos
21
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Eduardo Godoy
todo lo que ocurre.
EL ROBO DE LA IDENTIDAD
¿Qué ocurrió en 2015 en términos de las
vulnerabilidades y a qué estamos expuestos?
Antes, cuando alguien creaba un virus, lo
echaba a correr con la idea de que ojalá la
mayor cantidad de personas se contamina-
ra y lo distribuyera. Esa acción llenaba de
fama a su inventor. Pero las campañas de
ataque descienden cada año y sus destina-
tarios también son menos. Ahora, los ataques
no son al azar, sino dirigidos. Si alguien
quiere agredir a una cierta institución, la
investiga, hace un análisis y se lanza hacia
ese objetivo específico.
Así, los ciberdelincuentes estudian a esa
empresa de manera específica. Por ejemplo,
descubren que a su gerente general le
gusta hacer windsurf. Entonces, le envían
una campaña dirigida con mucha informa-
ción respecto del windsurf para que pinche
y sea contaminado. Así, progresivamente
van tomando a esa empresa. Y puede ocu-
rrir esto porque existen esas Vulnerabilidades
de Día 0, que son fallas del sistema de las
que no somos conscientes y que los hackers
comienzan a utilizarlas.
En nuestros primeros años de análisis,
veíamos que los números se mantenían:
22
unas trece vulnerabilidades por año eran
detectadas y afectaban a millones de per-
sonas. Pero en 2013 subió a 23, en 2014 a
24 y en 2015 a 54. ¿Qué significa esto? Que
hay muchas más aplicaciones que tienen
estas vulnerabilidades que nadie percibe,
solo aquellos que no quisiéramos que se
dieran cuenta. Lo lamentable de esta histo-
ria es que hemos llegado a contar hasta
nueve meses, antes de que la empresa
responsable del producto libere algún parche
para esta vulnerabilidad. Por lo tanto, es
mucho el tiempo en que el usuario queda
expuesto.
¿Por qué esas vulnerabilidades son impor-
tantes? Porque una de las acciones más
importantes que realizan es robar identida-
des. Nosotros tenemos una estadística de
megarrobos: una usurpación de más de diez
millones de identidades.
2013 fue un año especial: hubo una explo-
sión en el robo de identidades. En 2014 bajó
algo y en 2015 alcanzaron los 429. Se trata
solo de acciones de las que se supo, porque
no todas las instituciones están obligadas a
revelar esta información. Las más famosas
son empresas multinacionales que lo reco-
nocen, pero hay muchas otras que no lo
revelan. Nosotros estimamos en algo más
de 500 estos megarrobos de identidades. Es
decir, hay gente que tiene acceso a nuestro
usuario, la clave y otros datos. Muchas veces
la intención de los malware y de estos
ataques es penetrar en los sistemas sin que
el usuario se dé cuenta. Antiguamente, la
gente se explicaba la lentitud de su PC por
la presencia de un virus. Era el síntoma para
reconocerlo. Hoy los malware están elabo-
rados para que nadie sepa de esta interven-
ción, ya que el objetivo es obtener la mayor
cantidad de información posible.
Hicimos un estudio y nos mostró que, de
2014 a 2015, los sitios web con vulnerabi-
lidades crecieron en un 2%. Parece una cifra
menor, pero no lo es, dada la inmensa
cantidad de estos sitios en el mundo.
PROFESIONALIZACIÓN DEL
CIBERCRIMEN
El ransomware está de moda, pero no es
nuevo, apareció en 2005. Consiste en una
especie de secuestro: a través de un men-
saje fraudulento se nos dice que tenemos
instalado un software sin haber pagado la
licencia y que debemos hacerlo de inme-
diato. Y la gente pagaba. Igualmente ocurría
con la oferta de antivirus gratuito. El usuario
lo instalaba, pero en realidad se llenaba de
virus y se debía pagar para limpiar el disco

duro. Era el engaño en versión cibernética.
Después, a partir de 2010 esto evolucionó
hasta llegar a amenazar a la gente acusán-
dola de tener en el computador música y
películas ilegales. Y muchos pagaron, ya que
efectivamente sus descargas eran ilegales.
Pero no le depositaron al verdadero dueño
de esos derechos.
En la actualidad estos ataques son más
complejos. Por ejemplo, se introducen en
nuestro computador, cifran nuestros datos
y los encriptan, usando técnicas de llave
asimétrica. Entonces, el usuario no puede
acceder a su propia información. Ahí, el
delincuente le demuestra que él sí puede
hacerlo y exige una cierta cantidad por la
“llave” para abrir los archivos. Hay casos de
empresas locales a las que les han cobrado
hasta tres mil dólares, y otros donde, a pesar
de haber pagado, nunca les llega la llave. La
recomendación aquí es no pagar, porque se
produce un círculo vicioso: se fomenta un
negocio ilegal y nos exponemos a un se-
gundo secuestro, porque somos “buenos
clientes”.
El problema es que estos crypts o ranso-
mware, en estricto rigor, no son un virus y
los antivirus no los pueden reconocer. La-
mentablemente todos los sistemas están
expuestos: Windows, Android, Linux y Mac.
A todos ellos se les puede secuestrar.
Esto nos lleva a un tema que para mí es
crucial: la profesionalización del cibercrimen.
Estas empresas delictuales tienen montado
un callcenter. Por eso, cuando secuestran un
computador, el usuario afectado llama a un
número determinado, contestan en su
idioma, les explican cómo comprar bitcoins
y les dan facilidades de pago. Por ejemplo,
el TeslaCrypt se hizo famoso porque fue el
primer grupo que comenzó a hacer los
ransomware. Se bautizaron como empresa,
desarrollaron un soporte y ahí el afectado
negociaba el precio y las formas de pago.
Afortunadamente sus dueños decidieron
salirse del negocio –después de ganar
mucho dinero– y, en un arranque de ética,
liberaron la llave maestra de ese crypt.
Hemos observado otros grupos volcados en
esta actividad ilegal. Encontramos uno
dedicado a hacer phishing. La gráfica de sus
ataques nos mostró que se producían valles
en su actividad: en algunos días llegaba,
incluso, a cero. ¿Cuándo? Por ejemplo, en las
vacaciones entre el 25 de diciembre y el 4
de enero. Ello demuestra que se trata de
agrupaciones profesionales que viven de
esto: no es un hobby, es su trabajo, con
horarios y protocolos laborales. Si estamos
expuestos a profesionales del ataque, no nos
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Eduardo Godoy
podemos defender de manera amateur, no
podemos delegar la seguridad en el respon-
sable de limpiar los teclados. La seguridad
es algo mucho más complejo.
Esto no ocurre solo en Estados Unidos, ob-
viamente. En el ranking de los diez princi-
pales países que generan amenazas, Brasil
está en el décimo lugar. China dio un salto
entre 2014 y 2015, convirtiéndose en el
principal productor de ataques, dueños de
una especie de ciberejército. Dentro del
contexto latinoamericano, Chile está quinto
y Argentina tercero. ¿Qué tipo de amenazas
se generan en nuestro país? Principalmen-
te la producción de códigos maliciosos, esos
que están encapsulados dentro de las apps.
Ello significa que aquí tenemos buenos
desarrolladores, aunque mal orientados.
EL ANTIVIRUS NO ES SUFI-
CIENTE
Otro dato interesante es que, a nivel mundial,
el 75% del correo que navega es spam y
Chile no se escapa de esta tendencia: nos
llega la misma basura que a todo el mundo.
Sin embargo, las empresas más pequeñas
–menos de 250 empleados– solo reciben
un 66,7%, lo que significa que las grandes
son las más atacadas. Ello corrobora el hecho
de que ahora la mayoría de los ataques son
23
5° Ciclo de Conferencias en Desarrollo de Capital Humano
Eduardo Godoy
dirigidos, no al azar. En la actualidad se
apunta a targets específicos. Un correo de
cada cinco mil es phishing y uno de cada
mil quinientos transporta malware, lo que
constituye una cifra alta.
En Chile estamos recibiendo, en promedio,
siete ataques diarios de ransomware y por
eso es difícil encontrar empresas que no
hayan sido afectadas. Aquí aparecen los
ataques persistentes avanzados, es decir,
que se prolongan durante un extenso pe-
ríodo hasta lograr un objetivo. Y ese objeti-
vo muchas veces no es pedir un rescate en
dinero, sino que destruir esa empresa.
Cuando esta gente estima que tiene el 80%
de los computadores con el ransomware
dentro, se activa, produciendo una catástro-
fe de proporciones. El problema es que
dentro de esa empresa no pueden saber
desde qué IP están atacando, porque estos
delincuentes las cambian dinámicamente,
de tal manera de volver imposible su iden-
tificación.
¿Cómo sobrevivir en este mundo? Lógica-
mente que el antivirus no es suficiente.
Debemos modificar la forma de defendernos
y utilizar, por ejemplo, una herramienta
llamada Advanced Threat Protection (ATP),
generada por Symantec, que constituye una
forma avanzada de protección. Además,
24
necesitamos gente capacitada, capital hu-
mano adiestrado en seguridad.
¿Cómo opera la ATP? Debido a que Syman-
tec tiene la red no militar más grande del
mundo, posee miles de sensores, muchos
datos y unos comandos Security Operation
Center (SOC). Gente especializada observa
gráficos y pantallas las 24 horas. Así, si
ocurre un ataque en Japón, por ejemplo, a
través de un archivo PDF que pesa 405 kilos,
se informa en tiempo real a esta red global
y se pide que cualquier archivo con estas
características que llegue a la empresa debe
pasar por un filtro y ser analizado. A partir
de un mensaje “con mala reputación”, se
desarrolla una acción global en la empresa
para detener la agresión.
Esta es la nueva forma que se complemen-
ta con los antivirus, una de las tantas nuevas
maneras de protegerse. Las instituciones,
las compañías, deben evolucionar, porque
ya no basta con el antivirus. Se trata de un
mecanismo complejo y potente que funcio-
na no solo con el correo, sino que, por
ejemplo, con los pendrives. Es una modali-
dad de protección que viene a responder a
esta necesidad, a esta realidad de contar con
más de un millón de malware nuevos al día.
Espero dejar un mensaje muy claro. La
realidad cambió, la forma de los ataques
cambió, pero también han cambiado las
formas de defendernos. Esto significa tener
una buena cuota de educación y de profe-
sionalizar el tema de la seguridad. No es
juego de niños, porque puede significar el
fin de la operación de la empresa si no nos
preocupamos.
HEMOS OBSERVADO OTROS GRUPOS DEDI-
CADOS A LA ACTIVIDAD ILEGAL. ENCON-
TRAMOS UNO DEDICADO A HACER PHISHING.
LA GRÁFICA DE SUS ATAQUES NOS MOSTRÓ
QUE SE PRODUCÍAN VALLES EN SU ACTIVIDAD:
EN ALGUNOS DÍAS LLEGABA INCLUSO A
CERO. ¿CUÁNDO? POR EJEMPLO, EN LAS
VACACIONES ENTRE EL 25 DE DICIEMBRE Y
EL 4 DE ENERO. ELLO DEMUESTRA QUE SE
TRATA DE AGRUPACIONES PROFESIONALES
QUE VIVEN DE ESTO: NO ES UN HOBBY, ES
SU TRABAJO, CON HORARIOS Y PROTOCOLOS
LABORALES. SI ESTAMOS EXPUESTOS A
PROFESIONALES DEL ATAQUE, NO NOS
PODEMOS DEFENDER DE MANERA AMATEUR,
NO PODEMOS DELEGAR LA SEGURIDAD EN
EL RESPONSABLE DE LIMPIAR LOS TECLADOS.
5° Ciclo de Conferencias en Desarrollo de Capital Humano

Eduardo Godoy

25
26