AÑO 7 - Nº 03 - MAR 11
|
 |
PUNTO DE VISTA
Uso del correo electrónico
Institucional
Por Claudio A. Núñez
Montecino
Consultor Líder ITE, Advisory.
PricewaterhouseCoopers Chile
En Internet existe un sin número
de servicios públicos (foros de discusión, blogs, salas de
chat, redes sociales u otros) que les permiten a los usuarios
interactuar en un entorno dinámico, y que requieren de la
creación de una cuenta de usuario y una password de acceso por
cada individuo. Al momento de creación de nuestro perfil en
estos entornos, se nos solicita distinta información como puede
ser nombre, apellidos, fecha de nacimiento, nickname, password,
y por cierto, un correo electrónico de referencia para futuras
comunicaciones. En muchos casos el registro de una dirección de
correo como Hotmail, Yahoo o Gmail no atendería ningún problema,
dependiendo del uso y tipo de información que manejamos en estos
servicios de correos. No obstante, es muy habitual que los
usuarios tiendan a registrar como referencia su correo
electrónico Institucional, olvidando los motivos que tuvo su
creación y la responsabilidad que tienen sobre su uso.
¿Cuál es el riesgo para
una organización? ¿A que nos podemos ver enfrentados?
Uno de los ataques más comunes de
los hackers o cyber-delincuentes en Internet es la apropiación
de bases de datos, que se encuentran expuestas en servicios que
no han sido adecuadamente configurados. Esto trae consigo la
obtención de bases de datos que pueden ser fácilmente obtenidas
modificando por ejemplo la dirección URL de uno de estos
servicios, o utilizando otro tipo de técnicas de hacking. Si
sumamos a este tipo de vulnerabilidades, la debilidad de que
estas bases de datos no se encuentran cifradas, un atacante
obtiene con ello toda la información registrada por los
usuarios, y por ende, sus contraseñas.
Correo @Institucional
como herramienta de uso controlado
En la actualidad muchas
organizaciones utilizan servicios de Web Mail de manera que sus
funcionarios tengan acceso a sus cuentas de correo vía Internet,
u otros servicios, que requieren de la identificación y clave de
autenticación del usuario. En este aspecto los hackers pueden
vincular la contraseña de acceso al foro del usuario (obtenida y
registrada en la base de datos) con la contraseña de acceso al
correo electrónico institucional, y con ello, acceder a
información confidencial, suplantar la identidad de los
usuarios, o lo que es peor, apropiarse de la cuenta de correo.
Más aún, en los casos que dicha contraseña sea la misma
utilizada por el usuario en su correo institucional, el hacker
obtiene la información que le permite comprender rápidamente la
política de contraseñas utilizada por la organización, y de esta
forma planificar un ataque a mayor escala. Como funcionarios
tenemos la obligación de atender debidamente las medidas de
seguridad definidas por la organización y debemos ser consientes
de las razones que motivaron la creación de nuestra cuenta de
correo. En consecuencia, las cuentas de correo electrónico
Institucionales debieran utilizarse como una herramienta de uso
controlado, y exclusivamente para propósitos relacionados con la
función de cada individuo dentro de la organización.
Envíanos tu comentario:
contactos@infosecurityvip.com
|
EDICIONES ATERIORES |
|
FEBRERO 2011
“VI Congreso
Iberoamericano de Seguridad Informática CIBSI 2011”
Jorge Ramió
Coordinador CRIPTORED
Comité Organizador CIBSI 2011
NOTA DE PRENSA CONGRESO CIBSI
2011 BUCARAMANGA
Bucaramanga y Madrid, 17 de enero
de 2011
CIBSI 2011: NUEVA CITA CON LA
SEGURIDAD DE LA INFORMACION EN BUCARAMANGA
Este año 2011 la sede Bucaramanga,
en Colombia, de la Universidad Pontificia Bolivariana recibe la
sexta edición del Congreso Iberoamericano de Seguridad
Informática CIBSI 2011, una iniciativa de la Red Temática
CRIPTORED que cuenta, además, con el patrocinio de la
Universidad Politécnica de Madrid, España.
CRIPTORED, decana de las redes
temáticas, presenta en sus once años de vida la celebración de
cinco congresos internacionales CIBSI celebrados en ediciones
anteriores en México dos veces, Chile, Argentina y Uruguay. Una
red con más de 850 miembros de 25 países y que representan a 226
universidades y 310 empresas.
En todas sus ediciones CIBSI ha
contando con una excelente participación de docentes, técnicos e
investigadores de muchos países, lo que permite analizar del
estado del arte de la I+D+i en seguridad de la información, una
especialidad que cada día aumenta su abanico de temas como
Fundamentos de la Seguridad, Criptografía, Criptoanálisis,
Algoritmos y Protocolos Criptográficos, Vulnerabilidades de los
Sistemas, Infraestructuras de Clave Pública, Seguridad en
Aplicaciones, Seguridad en Redes y Sistemas, Seguridad Web,
Controles de Acceso y de Identidad, Técnicas de Autenticación,
Arquitecturas y Servicios de Seguridad, Implantación y Gestión
de la Seguridad, Planes de Contingencia y Recuperación,
Auditoría Informática, Forensia Informática. Legislación en
Seguridad y Delitos, Normativas y Estándares en Seguridad,
Negocio y Comercio Electrónico, etc.
Las fechas de interés para autores
son: Límite de recepción de trabajos, 15 de abril de 2011;
Notificación de aceptación, 15 de junio de 2011; Versión final
para actas del congreso, 22 de julio de 2011.
La historia de estos casi 10 años
celebrando el CIBSI permite indicar que tras la recepción de más
de 70 ponencias durante el plazo de envío que se abre este 17 de
enero de 2011, un Comité de Programa compuesto por 50 expertos
internacionales selecciona entre 45 y 50 ponencias para ser
presentadas en el congreso, y que proceden de una decena de
países. Además de público en general, se asegura la asistencia
de investigadores de estos países, lo que facilita y fortalece
el intercambio de experiencias, siendo por tanto un excelente
entorno para plantear nuevos proyectos de colaboración
académica, técnica y científica.
Próximamente se anunciarán los
conferenciantes invitados a sesiones plenarias de conferencias
magistrales.
En un aspecto más lúdico, los
eventos sociales que se planifican y ofrecen a los congresistas
permiten un amplio conocimiento del arte y la cultura del país
anfitrión, en este caso Colombia y la región de Santander.
Mención especial merece el Parque Nacional del Cañón del
Chicamocha, considerado como una de las maravillas de Colombia y
que los asistentes al congreso tendrán la oportunidad de
conocer, al estar incluida una visita a este hermoso paraje en
la Agenda del congreso, y subir a su espectacular teleférico
inaugurado en enero de 2009, que cuenta con seis kilómetros de
longitud y es uno de los más extensos del mundo.
Por todos estos motivos,
académicos y lúdicos, te recomendamos no pierdas la oportunidad
de asistir al CIBSI 2011 de Bucaramanga y lo apuntes en tu
agenda, en unas fechas además muy propicias.
Un cordial saludo,
Angélica Flórez, Jeimy Cano,
Reinaldo Mayol (UPB)
Jorge Ramió (UPM)
CIBSI 2011
Más Información:
http://www.cibsi.upbbga.edu.co/
ENERO 2011
“Perspectivas sobre seguridad cibernética: Tendencias y
Amenazas Emergentes”
Omar J. Alvarado Pargas - CEH, ISACA Member ID
532740
Director de
Investigación y Desarrollo Tecnológico
Ministerio del Poder Popular para la Ciencia, Tecnología e Industrias
Intermedias - Venezuela
En los últimos 10 años, Latinoamérica ha visto
crecer de forma exponencial el uso de las tecnologías de la
información. Este auge de la sociedad de la información, es un
fenómeno que los entendidos en la materia interpretan como una
evolución de nuestra sociedad actual, y en donde la información
en todas sus formas es parte importante de nuestra vida diaria
en la innumerable cantidad de formas en las que se percibe:
medios impresos, TV, Cine, Radio, aplicaciones de Internet,
entre otras.
Calidad de la Información
Con más de 40 años de creada y más de 15 años de masificado
su uso, Internet, ha cobrado un matiz interesante en estos
últimos 10 años, donde los Gobiernos Latinoamericanos han
impulsado su uso para facilitar la gestión de trámites en
todos los ámbitos. Se ha convertido en una tendencia entre
los prestadores de servicios: banca electrónica, servicios
de televisión por suscripción, trámites personales, pago de
impuestos, declaración de divisas; y la masificación del
Gobierno Electrónico (o eGobierno) para simplificar la
gestión de documentos y el tiempo de trámite invertido por
ciudadanos y ciudadanas.
Sin embargo, existen factores que afectan directamente la
calidad de la información que se publica en el ciberespacio:
uno es el crecimiento exponencial del que ha sido
objeto Internet (sobre todo con el uso masivo de
aplicaciones como las redes sociales); otro es sin duda,
como lo mencionamos, la continua masificación de los
servicios orientados al ciudadano (para evitar la
innecesaria inversión de tiempo haciendo filas para algún
servicio o solicitud en instituciones públicas y privadas);
por último, está la democratización del acceso a las
tecnologías de la información que se ha brindado al
ciudadano en los últimos 10 años.
Esto, ha causado que día tras día un sinnúmero de nuevos
usuarios accedan a la autopista de la información sin ningún
tipo de precaución, malicia o totalmente desprotegidos, a
causa de no contar con un apropiado programa de educación
para el buen uso del recurso. Es decir, cada vez son más
usuarios en Latinoamérica, pero se torna insuficiente la
publicidad y los mecanismos de enseñanza en la correcta
utilización, actualización y mantenimiento de las
computadoras que se conectan a Internet: en el comercio, en
el hogar, en puntos de acceso libre y en instituciones.
Cibercrimen
Aprovechando estos factores de inexperiencia o
desconocimiento, existe una creciente plataforma de
ciberataques o incidentes telemáticos , con una inminente
tendencia al crecimiento de riesgos y amenazas para los
nuevos y persistentes usuarios de los servicios de
tecnologías de información. En esta plataforma emergente de
ciberataques y cibercrimen contamos con una diversificación
de amenazas: ataques dirigidos, sabotaje, espionaje
industrial, merma en la productividad, secuestros, robo de
identidad, fraude electrónico, extorsión y chantaje, solo
por nombrar algunos. Hoy en día es más frecuente ver casos
de desfiguración de portales de Gobierno y Servicios (Defacement),
virus, troyanos y gusanos (Malware en general), ingeniería
social y fraudes en línea (conocidos como Phishing y
Pharming), redes Fast-Flux (redes de equipos voluntarios
utilizados entre ellos como puente, para garantizar la
anonimidad en la navegación), así como crecientes,
maliciosas y no menos peligrosas Redes Robot (Botnets). Ese
mismo crecimiento, ha permitido el desarrollo técnico de
quienes, con solo utilizar los buscadores de Internet más
conocidos, pueden descargar un tutorial en video, manual o
código fuente que realice lo que desean ó lo que “creen” que
desean hacer con un sistema o con su información. Y es que
con anterioridad este tipo de conocimientos estaba en
propiedad de un grupo minoritario de personas que gustaban
de compartir actividades de investigación.
Tendencias
Las nuevas tendencias apuntan al cuidado y protección de la
información de los dispositivos móviles (a través del uso de
mecanismos de encriptación), el uso de Antivirus y software
de protección perimetral en los equipos de escritorio
(Firewall), al cuidado y protección de la información que se
publica en las redes sociales. Pero también, estas mismas
tendencias anuncian el desarrollo de nuevas Amenazas Web,
Cybercrimen y Cyberterror, donde es necesaria la
articulación extra e intra Gobierno. Más y mejores redes de
ataques anónimos y sigilosos, que le permitan al intruso
desplegar una serie de elementos sin ser detectados, en
algunos casos combinando software para establecer redes
Fast-Flux (como TOR o Vidalia), con una Distribución de GNU/Linux
para navegación anónima (como Incógnito o Phantomix); en
otros utilizando el pago de servicios anónimos (DNS, Hosting,
SPAM) o pagando la utilización de servicios zombies para
Ataques Web (Defacement) o Denegación de Servicio
Distribuída (DDoS). Recientemente estas plataformas han sido
expuestas en muchos casos con el apoyo de redes CERT y la
cooperación de autoridades locales, son estos los casos de
la RBN (Russian Bussines Network) y las Redes Bot Mariachi –
Mariposa – Zeus – Conficker – Rateros, donde una buena parte
del contingente de Drones y C&C (Centros de Comando y
Control) se localizaron en países de Latinoamérica.
Conclusiones
En este sentido, es imperante exponer las necesidades de:
concienciar al usuario final y potenciar la articulación y
cooperación, tanto de forma interna como externa, entre los
actores nacionales encargados de gestionar estas amenazas
del ciberespacio. Es en este punto, es donde cobra
importancia el establecer controles preventivos y reactivos
de seguridad que permitan contar con un mínimo de protección
sobre la información que pertenece a nuestros usuarios, y
que es gestionada a través de Internet. En Venezuela, como
en otros países de Latinoamérica, existe una organización
Gubernamental CERT: VenCERT – Sistema Nacional de Gestión de
Incidentes Telemáticos (https://www.vencert.gob.ve),
encargada de coordinar y articular los esfuerzos en el
ámbito Nacional e Internacional orientados a la Atención de
Incidentes Telemáticos y Gestión de Seguridad Informática,
en las infraestructuras críticas del Estado Bolivariano de
Venezuela y los entes de su Administración Pública. Desde su
puesta en marcha, el VenCERT ha atendido un sector que hasta
la fecha de su nacimiento permanecía explorado con poco
incentivo. Cada vez son más los CERT en el mundo que buscan
cooperar y unir esfuerzos para tratar de contener las
amenazas en el ciberespacio. Aún en Latinoamérica se
continua un proceso de crecimiento, pero estamos seguros que
con el apoyo de las Comunidades Nacionales, y el aporte de
organismos Gubernamentales, el sector público, privado, y
organizaciones Internacionales, podremos desarrollar las
capacidades en aras de dar respuesta a las necesidades
crecientes de seguridad de información que surgen con más
ahínco en nuestro territorio, las claves: compromiso,
continuidad, cooperación y concienciación.
Omar J. Alvarado Pargas
CEH, ISACA Member ID 532740
Director de Investigación y Desarrollo Tecnológico
Superintendencia de Servicios de Certificación Electrónica
Ministerio del Poder Popular para la Ciencia, Tecnología e
Industrias Intermedias
República Bolivariana de Venezuela
|
|
|
|
