Fundamentos de almacenamiento de la información

Hemos visto en entradas anteriores de este blog cómo eliminar la información de manera adecuada en dispositivos extraíbles de almacenamiento de información, para que ésta no quede remanente en dichos dispositivos y no pueda ser recuperada en un futuro por una persona no autorizada:
No obstante, para acabar de entender de manera correcta los distintos procesos de borrado de información digital, necesitamos conocer previamente las particularidades de cada uno de los distintos soportes de almacenamiento de información digital existentes.

En esta entrada veremos las particularidades de cada uno de dichos soportes de almacenamiento.

Soportes de almacenamiento magnético
Los soportes magnéticos son los dispositivos de almacenamiento de información más antiguos, y que todos tenemos en mente, ya que los primeros disquetes (que seguro que todos recordamos) funcionaban de dicha manera. No obstante, el almacenamiento basado en soportes magnéticos sigue estando a la orden del día, y siendo altamente utilizado de hecho, como por ejemplo en el caso de los discos duros magnéticos (HDD) o las cintas de Backup.


En este caso, el almacenamiento de la información se basa en las propiedades magnéticas de las partículas contenidas en dichos medios. Lo que se hace para grabar la información en el dispositivo es dividir el soporte o plato en slots (de manera conceptual), y polarizar de una manera determinada las partículas magnéticas de cada uno de dichos slots, de manera que se pueda comprobar posteriormente la dirección de dicha polarización, y saber si corresponde a un “0” o un “1” a nivel digital. Para ello, y mediante la estimulación eléctrica del cabezal de escritura, se genera un campo electromagnético en el mismo, con la intensidad necesaria para modificar la orientación de las partículas magnéticas de dicho soporte.

Posteriormente, la lectura de los datos se consigue a través de la pequeña corriente eléctrica que se genera en la cabeza de lectura, al pasar por encima de cada uno de los slots magnetizados que conforman el soporte. La polaridad de dicho corriente eléctrico varía en función de la orientación de las partículas magnéticas contenidas en cada slot, y que han sido polarizadas en el proceso de grabación de la información. En función de la orientación del campo magnético, el sentido de la corriente será uno u otro, y se podrá distinguir si la información grabada en un slot concreto corresponde a un “1” o a un “0”.


Por lo tanto, si en los procesos de borrado de información logramos desmagnetizar todas las partículas de un soporte, con técnicas como el Degaussing o desmagnetización, variamos la polaridad de dichas partículas (con técnicas de sobreescritura de información) o bien destruimos físicamente todos los slots del soporte, nos aseguraremos que la información contenida en el dispositivo no quedará remanente en el soporte para ser recuperada en un futuro por personal no autorizado.

Soportes de almacenamiento electrónico
Los medios electrónicos son también altamente utilizados en la actualidad, en memorias de todo tipo, como memorias RAM, memorias flash o pendrives externos.


En este tipo de dispositivos, el almacenamiento de información digital se basa en transistores. Dichos dispositivos electrónicos facilitan o impiden el flujo de la corriente eléctrica entre su colector i su emisor, dependiendo de si se introduce o no voltaje en la base del transistor (Vin).

De esta forma, si polarizamos el transistor de una manera determinada cuando grabamos la información digital, posteriormente podemos comprobar en los procesos de lectura de información qué dígito concreto hemos guardado para cada transistor (nuevamente hay dos opciones, “0” o “1” a nivel digital).

Así pues, y para realizar una lectura de información, lo que hacemos es introducir un voltaje en Vcc, y realizar una lectura en Vout. Si hemos polarizado el transistor para que permita la corriente entre el colector y el emisor, en Vout tendremos un voltaje determinado, y consideraremos que se corresponde a un “1” a nivel digital. Si por el contrario hemos polarizado el transistor para que no permita el flujo eléctrico entre el colector y el emisor, en Vout tendremos cero volts (circuito abierto), de manera que determinaremos que el dato digital grabado en dicho transistor se corresponde a un “0”.

 Evidentemente, las memorias electrónicas han evolucionado mucho, existiendo en la actualidad varios tipos de transistores diferentes, e integrando un alto volumen de dichos elementos en las conocidas placas electrónicas, pero las bases de dichos medios de almacenamiento son las comentadas anteriormente.

En los procesos de borrado de la información contenida por dichos soportes, lo que debemos hacer es variar la polaridad de cada uno de dichos transistores (con técnicas de sobreescritura de información), o bien destruir físicamente todos los transistores del soporte, de manera que nos aseguremos de que la información almacenada en el mismo no pueda ser recuperada en un futuro.

Soportes de almacenamiento óptico
Los soportes ópticos son ampliamente conocidos por todos, y seguro que todos nosotros tenemos alguno de dichos dispositivos en casa. En esta categoría entran soportes como CD’s, DVD’s, discos de Blu-Ray, etc.


Para grabar la información digital en este tipo de soportes, lo que se hace es modificar la estructura metálica que cubre los discos con un láser de escritura, introduciendo un plano (land) o un orificio (pit) para cada uno de los spots del disco, que representarán cada uno de los bits grabados en dichos dispositivos.

En el proceso de lectura de información, lo que se hace es emitir un láser de lectura, que tiene una potencia más débil que el de escritura, para evitar que se corrompa el soporte, y que se refleja o no en cada spot del disco en función de si encuentra un plano o un orificio. En el caso de que la luz se refleje (debido a que existe un plano en el spot), el haz de luz modifica su fase al ser reflejado (se polariza la luz unos 180°), haciendo que éste sea fácilmente redirigible a través de un prisma de filtrado de luz según su fase. En el otro extremo del prisma, nos encontramos un sensor de luz, que emitiría un “1” en el caso de recibir el haz de luz. En el otro caso, en el que el haz de luz emitido se encuentra un orificio en un spot concreto,  éste simplemente no se reflejaría, y por lo tanto el sensor de luz del extremo del prisma no detectaría nada, y se generaría un “0” como output.


Así pues, y para borrar de manera segura toda la información contenida en dichos soportes ópticos, debemos destruir físicamente todos los spots del soporte, o bien es variar la estructura de mismos con técnicas de sobreescritura de información (solo en el caso de tratarse de un disco óptico regrabables).

Como curiosidad, y ahora que conocemos la lógica de almacenamiento de información existente en los soportes ópticos, vemos que algunos de los medios más modernos, como el Blu-ray, utilizan un haz de luz azul en vez de uno rojo (el utilizado en los CD-ROM/DVD). La longitud de onda de un haz de luz azul es menor que el de un haz de luz rojo, como podemos ver en la siguiente imagen, y por lo tanto, en la misma superficie de disco podrán grabarse muchos más spots que en un CD-ROM/DVD, que a su vez se traduce en que se podrán grabar muchos más bits a nivel digital. Por eso, los discos de Blue-ray tienen mucha más capacidad de almacenamiento que los medios basados en CD-ROM/DVDs.



Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.

Internet Security Auditors estará en el ANDICOM 2016 (Colombia)

ANDICOM 2016 es un evento TIC que se celebra en Cartagena de Indias (Colombia) que se está situando como foro de referencia TIC en la región. Al evento asisten todo tipo de empresas  de diferentes sectores Financiero, Seguros, Gobierno, TIC, etc.

El evento se celebrará en los días del 31 de agosto al 2 de septiembre en el Centro de Convenciones de Cartagena de Indias.

Internet Security Auditors estará en el ANDICOM 2016, gracias a la ayuda del organismo de la Generalitat de Catalunya, Acció, para la promoción de las empresas catalanas en el exterior, donde 8 empresas catalanas, entre las que nos encontramos nosotros, con el fin de poder ampliar nuestro oferta de servicios a empresas importantes y reconocidas de toda Colombia. Durante el congreso, además, presentaremos casos de éxito en proyectos ejecutados en diferentes áreas como son PCI DSS, PA-DSS, ISO27001, ISO22301, Madurez en S-SDLC en proyectos internacionales con clientes en Colombia y América en general.

Más información sobre el evento:
http://andicom.co/

Vicente Aguilera ponente en el Overdrive Hacking Conference

Overdrive Conference es un evento internacional, que se celebrará los días 24-25 noviembre, y que tendrá lugar en la Escuela Politécnica Superior de la Universidad de Girona.

Vicente Aguilera participará como ponente para hablar sobre investigaciones OSINT, un tema en auge y de gran actualidad en los últimos tiempos. El evento también contará con ponentes de países muy diversos, por lo que todas las conferencias serán efectuadas en inglés.

El objetivo principal es acercar a todas aquellas personas interesadas en esta disciplina, ya sea profesional o amateur, a través de ciclos de conferencias y otras actividades gratuitas que proporciona el evento.

Más información en:
http://overdriveconference.com/

PCI SCC se pronuncia: ¡sí se puede!… reducir el entorno de cumplimiento con un cifrado no certificado bajo el esquema PCI

Desde el pasado mes de junio del 2016, los consultores e implantadores de la norma PCI-DSS que trabajamos en Internet Security Auditors estamos de buena nueva: el PCI Council ha decidido agraciarnos con una nueva FAQ (artículo numero 1162), que a pesar de que su liviandad lo sitúa más cerca de ser una mera directriz que de una guía detallada, es un gran avance en lo que respecta a establecer un criterio al eterno y turbio problema para conseguir reducir el entorno de cumplimiento del comercio mediante el cifrado de los datos de tarjeta dónde el proveedor custodia las claves asociadas.

¿Quién es quién en el contexto actual?:
Con el fin de contextualizar, en primer lugar describiremos de manera rápida las diferentes tecnologías involucradas en los procesos de cifrado punto a punto existentes hoy en día en España:
  • PCI Point-to-point encryption (P2Pe): estándar PCI bajo el que se certifican las soluciones para el cifrado de los datos de tarjeta desde el propio dispositivo de lectura de la tarjeta y hasta la pasarela o el procesador de pago.
  • Visa Technology Innovation Program (TIP): programa de VISA que permite adherirse a los comercios que cumplan ciertas condiciones, y bajo el cual los requerimientos a reportar a las marcas quedan sustancialmente reducidos en lo relativo a los sistemas por lo que se trasmiten los datos de tarjeta.
  • Sistema Nacional de Cifrado de Pistas (SNCP) -conocida también como Solución Normalizada de Cifrado de Pista -: sistema de cifrado de los datos de tarjeta desde el dispositivo de lectura de la tarjeta y hasta el procesador de pago, que desde el 2009 es empleado por las redes de tarjeta y procesadores en España. Aunque a día de hoy oficialmente no se ha hecho público que esté certificada bajo un esquema PCI, se puede considerar como una implementación P2Pe ad-hoc.
  • Servicios crossborder: bajo esta nomenclatura, algunos proveedores de servicios de pasarela de pago ofrecen tramitar la transacción con los datos de tarjeta capturados fuera de España a través de los procesadores REDSYS o CECA de España, y de este modo, bajo SNCP.

Prólogo: El escenario de la discordia
A modo de preludio imprescindible para cualquier drama tecnófobo que se precie, nuestros clientes con presencia internacional nos suelen describir un escenario en el cual realizan transacciones tanto dentro como fuera de territorio español, empleando dispositivos PIN-PAD/POS, que aunque certificados bajo un esquema PCI, transmiten la información a través de sus redes corporativas bajo protocolo TCP/IP y hasta la pasarela de pago sin desplegar una solución P2Pe certificada, y en el cual por lo tanto toda la electrónica de red y sistemas intermedios por donde se transmitan los datos estarían también bajo el alcance de PCI.

En este escenario, con el objetivo de lograr reducir el entorno bajo responsabilidad del comercio, las tareas a abordar se pueden resumir en dos hitos principales a cumplir:
  • a) El comercio no deberá tener acceso a los datos de tarjeta de pago capturados, procesados y/o transmitidos en ningún momento, y para ello, se aplicará un cifrado de los datos extremo a extremo (desde el propio dispositivo donde se capturan los datos, hasta el adquiriente o procesador).
  • b) Las claves de cifrado de los datos de tarjeta solo serán accesibles por una tercera parte ajena al comercio (típicamente será el proveedor de la pasarela o el procesador del pago).

Para lograr estos hitos, en una primera aproximación y a modo de oda al minimalismo, podríamos resolver por la vía rápida recomendando la implantación de una solución P2Pe para reducir el entorno, no obstante, cabe mencionar que actualmente no existe ninguna solución P2Pe certificada que opere en España (con toda seguridad motivado por la ya existencia de la solución SNCP de la que hablaremos unas líneas más abajo).

Descartada esta primera opción en la mayoría de los casos ¿Qué nos queda?: podríamos adherirnos al TIP de VISA. ¿Qué problemas presenta? Aunque se reducen los requerimientos a reportar a las marcas de tarjeta (a su vez los requerimientos quedan divididos entre “mandatory” u obligados y “recommended” o recomendados), los requisitos para optar a la adhesión no siempre podrán cumplirse (a modo de resumen):
  • El adquiriente (nuestro banco) debe aprobar la adhesión.
  • Al menos un 95% de las transacciones anuales realizadas presencialmente deben haber sido originadas en dispositivos con soporte a tarjetas con chip Europay MasterCard VISA (EMV).
  • El comercio no puede haber estado involucrado en ninguna incidencia en la que se hayan comprometido datos de tarjeta en los últimos 12 meses (criterio establecido en cada caso concreto a discreción de VISA Europe).
Si esta solución tampoco nos complace, bien porque no podamos optar a ella o bien porque no reduzca el alcance todo lo que nos gustaría, en España contamos con el antes mencionado SNCP.

SNCP: ¿Cómo funciona, que nos ofrece y como nos adherimos?
El SNCP es una implementación de cifrado extremo a extremo desarrollada, desplegada, gestionada y revisada por las redes de tarjetas españolas Servired, Sistema 4B y Euro 6000, procesadores de pago REDSYS y CECA, y en colaboración con las diversas entidades bancarias. Dicha implementación es prácticamente transparente para los comercios (el comercio puede advertir este sistema cuando el dispositivo PIN-PAD requiera renovar las claves bien porque han sido revocadas, deben ser instaladas de nuevo, etc.).

Tal y como se mencionaba anteriormente, no se ha dado a conocer al público general que oficialmente este sistema se encuentre certificado bajo un esquema PCI, por lo que hasta ahora, la implantación del mismo solo suponía una reducción del entorno de cumplimiento sujeto al criterio que el adquirente (nuestro banco) nos indicase en la forma de reportar nuestro cumplimiento a través de un cuestionario SAQ simplificado específico para SNCP.

Cabe señalar además, que dentro del despliegue de la solución SNCP, se contemplan dos situaciones diferenciadas según los datos de tarjeta visible por el comercio:

Categoría 1) El comercio en ningún momento tiene acceso al PAN en claro, siendo sólo accesible el BIN de la tarjeta (las primeras seis posiciones del PAN).
Dado que no se dispone del PAN en claro, no se almacenan, procesan o transmiten datos de titulares de tarjetas en los términos establecidos por PCI DSS.

Categoría 2) El PIN-PAD envía el PAN (o más de seis dígitos del BIN) en claro al comercio, que debe garantizar que éste se almacena de forma segura.
Al comercio le serán de aplicación los requerimientos de PCI DSS relativos a almacenamiento, procesado y transmisión especificados en el cuestionario simplificado específico para SNCP.

Para nuestro objetivo de reducción del alcance, deberíamos ir hacia el caso de una implementación del SNCP bajo categoría 2.

Por último, y relacionado con el párrafo anterior, es importante conocer que algunos de los proveedores de pasarela de pago que ofrecen servicios en España, permiten a aquellos clientes que capturen datos de tarjeta fuera de territorio español, poder procesar las transacciones realizadas en otros países a través de los procesadores ubicados en España (REDYSYS y CECA) y de este modo a su vez bajo SNCP.

¿Qué nos dice el PCI Council en esta FAQ y por qué es importante?
Como giro de guión inesperado en apenas dos párrafos, esta nueva FAQ nos viene a indicar que una solución de encriptación de los datos de tarjeta, a pesar de no estar certificada bajo PCI P2Pe ni incluida en los listados del PCI Council (como es el caso de SNCP), puede ser válida para reducir el entorno de datos de tarjeta (sacar del alcance toda la electrónica de red y dispositivos intermedios a través de los cuales viajan los datos de tarjeta) siempre que sea aprobada por el adquiriente o las marcas de tarjeta.

En resumen: lo que de facto ya veníamos haciendo en España para reducir así el entorno de cumplimiento del comercio con el SNCP bajo las directrices exclusivamente de nuestro adquiriente, ahora ya se encuentra aceptado formalmente y amparado bajo criterios del propio PCI SSC, otorgando así una seguridad a la hora de garantizar el cumplimiento con el estándar PCI-DSS utilizando esta implementación.


Autor: Ero Rodríguez - CISA, CRISC, ITILF, ISO 22301 L.A.
Departamento Consultoría

Autenticación multi-factor (MFA): la nueva apuesta de seguridad de PCI DSS v3.2

Uno de los cambios más significativos en la versión 3.2 del estándar PCI DSS (publicada a finales de abril de 2016) [1] consistió en la expansión del requerimiento 8.3 para incluir el uso de autenticación multi-factor para cualquier conexión que no sea de consola. El concepto de “autenticación multi-factor” entró a remplazar al concepto de “autenticación de dos factores” empleado en versiones anteriores del estándar. Sin embargo, aún hay muchas preguntas relacionadas con este tema y el concepto no ha quedado del todo claro a pesar de los grandes beneficios que trae a la organización, teniendo en cuenta que su implementación satisfactoria hubiera podido minimizar el impacto en el robo de tarjetas en casos tan sonados como el de Target en Estados Unidos [2].

En este artículo se revisarán en detalle las diferencias entre estos dos conceptos y su aplicabilidad en los modelos de autenticación requeridos en PCI DSS.

¿Cuál es la diferencia entre autenticación multi-factor (MFA) y autenticación de dos factores (2FA)?
Para poder validar la identidad de un usuario o aplicación se hace uso de los siguientes factores de autenticación:
  • SYK (Something You Know): Algo que el usuario sabe (como una contraseña)
  • SYH (Something You Have): Algo que el usuario tiene (como una smart card)
  • SYA (Something You Are): Algo que el usuario es o hace (como una huella digital)
Si únicamente se emplea uno de estos factores, un potencial atacante que tenga acceso a esa información podría acceder a un sistema haciéndose pasar por un usuario legítimo. Por ello, para reforzar la seguridad en el proceso de autenticación y – de paso – implementar el concepto de “no repudio” (en el cual el usuario autenticado no puede negar que no ha sido el quien ha ejecutado esa acción) se hace uso de la combinación de dos o más de estos factores.

El término autenticación multi-factor (MFA) entró a remplazar todas las apariciones del concepto de autenticación de dos factores (2FA) en los requerimientos 8.3, 8.3.1, 8.3.2 y 8.5.1. A pesar del cambio de nombre, el concepto sigue siendo el mismo: El uso de dos (o más) factores en el proceso de autenticación.

El argumento principal del cambio de nombre del concepto se encuentra en la ampliación del mismo para no limitarlo únicamente a “dos factores” sino a “dos o más factores”, considerando que actualmente el uso de dos factores en exclusiva puede contener debilidades de seguridad si no se implementa correctamente [3].

¿Se puede hacer uso de dos o más contraseñas diferentes para realizar una autenticación de dos factores o multi-factor?
No, básicamente porque bajo ese concepto se está empleando dos veces un único factor (algo que sabes – SYK), que entra en conflicto con la definición de 2FA/MFA que requiere - como mínimo - una combinación de 2 de los 3 factores de autenticación disponibles.

¿Es la autenticación de dos pasos (2SA) lo mismo que autenticación multi-factor (MFA) o autenticación de dos factores (2FA)?
El concepto de autenticación de dos pasos permite la presentación de una segunda pantalla de autenticación únicamente si la primera ha sido satisfactoria. Algunos ejemplos de este modelo han sido implementados por Google [4], Twitter [5], Facebook [6], Amazon AWS [7] y Microsoft Azure [8] como respuesta a los robos masivos de credenciales de autenticación ocurridos en los últimos meses.

Para que una implementación de 2SA esté alineada con PCI DSS, se deben cumplir las siguientes premisas:
  • Para la autenticación se debe emplear una combinación de mínimo dos de los tres factores de autenticación.
  • Los factores de autenticación empleados deben ser independientes entre sí. Esto implica que el acceso al segundo factor de autenticación no debe depender del primero.

¿Cuándo se requiere el uso de la autenticación multi-factor?
En PCI DSS los requerimientos vinculados con MFA son el 8.3, 8.3.1, 8.3.2 y 8.5.1. En estos requerimientos se describen los escenarios en los cuales es indispensable el uso de la autenticación multi-factor. Sin embargo, antes de describir dichos escenarios, es importante introducir tres términos básicos:
  • Acceso diferente al de consola (“non-console access”): Acceso lógico a un componente del sistema a través de una interfaz de red en vez de una línea física directa al componente. En este caso, el usuario que se conecta no está presente físicamente frente a la consola del sistema y no puede interactuar directamente con la pantalla y el teclado local. Algunos ejemplos de accesos diferentes al de consola son los servicios de RDP (Remote Desktop Protocol) o interfaces de administración basadas en web (GUI).
  • Acceso administrativo (Administrative access): Privilegio concedido a una cuenta en particular que le permite ejecutar acciones privilegiadas en un sistema. Se excluyen de esta definición cuentas del sistema o de aplicación que ejecuten funciones automatizadas y cuentas de usuario con acceso limitado a recursos del sistema.
  • Acceso remoto (Remote access): Acceso a un ordenador o a una red de ordenadores desde fuera de dicha red. Estos accesos se pueden generar desde dentro de la red de la compañía (por ejemplo, desde otra VLAN) o desde una ubicación remota fuera de la red de la compañía (por ejemplo, una VPN).

Siendo así, la implementación de MFA se requiere en estos escenarios:
  • Requerimiento 8.3.1: Para accesos diferentes al de consola de cualquier cuenta con privilegios administrativos originados desde redes confiables (“trusted networks”, tales como redes internas) que permitan el acceso al CDE (Cardholder Data Environment). Este requerimiento es una mejor práctica y entra a ser obligatorio a partir de enero 31 de 2018
  • Requerimiento 8.3.2: Para todos los accesos remotos  al CDE o a cualquier red que permita acceso al CDE de usuarios, administradores y terceros (proveedores que ofrezcan servicios de soporte o mantenimiento) originados desde fuera de la red de la entidad (Internet o cualquier red no confiable (“untrusted network”) incluyendo redes de terceros)
  • Requerimiento 8.5.1: En el caso de proveedores de servicio, si se tiene acceso a redes de clientes (por ejemplo, para soporte de sistemas TPV) se requiere del uso de una credencial de autenticación exclusiva por cada cliente. Bajo este modelo, el concepto de MFA puede ser una alternativa de implementación. 

¿En dónde puede ser implementada la autenticación multi-factor?
La autenticación multi-factor puede ser implementada a nivel de red o a nivel de aplicación/sistema.
Si un usuario emplea MFA al ingresar al CDE, no es necesario que nuevamente se autentique con MFA en un sistema o aplicación dentro del CDE.

Para la elección e implementación de una solución particular de MFA se puede emplear la guía del NIST 800-63-2 “Electronic Authentication Guideline” que incluye una serie de mejores prácticas en el proceso de autenticación electrónica [9].

Como siempre, se recomienda el soporte de un Asesor QSA, quien podrá guiar a la organización en las mejores prácticas para la implementación y el despliegue de una solución de MFA que cumpla con los criterios de PCI DSS.

Referencias
[1] http://blog.isecauditors.com/2016/05/publicada-la-version-3-2-de-pcidss.html
[2] http://krebsonsecurity.com/2015/09/inside-target-corp-days-after-2013-breach/
[3] https://www.schneier.com/blog/archives/2005/03/the_failure_of.html
[4] https://www.google.es/landing/2step/
[5] https://support.twitter.com/articles/20170439#
[6] https://www.facebook.com/help/413023562082171?expanded_faq=270942386330392
[7] https://aws.amazon.com/es/iam/details/mfa/
[8] https://azure.microsoft.com/es-es/documentation/articles/multi-factor-authentication/
[9] http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-2.pdf


Autor: David Eduardo Acosta - CISSP, CISA, CISM, CRISC, PCI QSA, CCNA Security, OPST, CHFI Trainer, CEH, BS25999 L.A.
Departamento de Consultoría

Crónica del 2do Foro Nacional de Seguridad TI: “Desafíos y Oportunidades de la Seguridad de la Información en la era del Posconflicto”

El 22 de junio tuvo lugar este foro en la Universidad de los Andes (Bogotá, Colombia), y aunque su nombre está atado a un término político (posconflicto) que solamente refleja una realidad parcial, que es la negociación de la paz con la guerrilla de las FARC-EP, pero no tiene en cuenta a otras que siguen operando en Colombia como el ELN y el EPL que no son parte de las negociaciones. Sin embargo la desmovilización de las FARC-EP implica que unos 32.000 combatientes deben salir de la ilegalidad, quizá en este contexto podamos hablar de un posconflicto.

Para no hablar más de política veamos que nos ofreció este foro, en la primera presentación María Isabel Mejía Jaramillo, Viceministra de Tecnologías y Sistemas de la Información, hizo una charla titulada "La nueva Política Pública de Seguridad Digital: desafíos y oportunidades en el escenario de posconflicto”, partió del estado actual de implementación del CONPES  del 2011 (el 3701) que dio los lineamientos iniciales para la implementación del ColCERT (Grupo de Respuesta a Emergencias Cibernéticas de Colombia) dependiendo del Ministerio de Defensa, y las dos entidades que dependen de este nuevo ente: El Centro Cibernético Policial - CCP dependiendo de la Dirección de Investigación Criminal e Interpol (DICI) de la Policía Nacional, y el Comando Conjunto Cibernético – CCOC dependiendo de las Fuerzas Militares Colombianas (Ejército, Fuerza Aérea y la Armada).

Posteriormente describió en términos generales sobre el proceso que se produjo para llegar al nuevo CONPES en cuanto a seguridad digital. El CONPES 3854 de 2016 “Política Nacional de Seguridad Digital” fija una serie de objetivos para continuar abordando la ciber-defensa y la ciber-seguridad pero ahora desde una perspectiva de gestión de riesgos de acuerdo a las recientes recomendaciones de la OCDE “Organización para la Cooperación y el Desarrollo Económicos”. Este nuevo documento tiene como fecha objetivo el 2020 y hace responsable de diferentes temas a todos los Ministerios del Gobierno e incluye iniciativas de formación desde la educación básica primaria.

La segunda presentación estuvo a cargo del Teniente Coronel Fredy Bautista, director del Centro Cibernético Policial. En esta charla nos presentó la estructura general del CCP donde se ocupan de 4 grandes temas: ciber-terrorismo, fraude informático, pornografía infantil y el CAI  Virtual. Estos temas son tratados por los diferentes equipos especializados en diferentes tareas: GGRIDI – Grupo Investigativo de Delitos Informáticos, GITEC -  Grupo de Investigaciones Tecnológicas, CSIRT PoNal, y el CCP – Centro Cibernético Policial. A continuación presentó las tendencias observadas del ciber-crimen, entre las cuales tenemos: ransomware, uso delictivo de cripto-divisas y ciber-lavado, los datos como productos, el crimen como servicio (desarrollo de aplicaciones maliciosas a la medida, acceso a sistemas comprometidos, gestión de plataformas de ventas de estos servicios), compromisos de correos empresariales, servidores a prueba de balas, y todos lo demás elementos que se pueden encontrar en la Deep Web o Dark Net.

Mencionó igualmente cómo están afectando en Colombia algunos mercados ilegales como Agora, Pandora y Silkroad, el inventario de 752 cripto-divisas que se tienen actualmente, los ataque a cajeros automáticos que han llegado (con aplicaciones como Dyre, Carbank, Timba, Corkon, Plotus) y detalló el caso de un banco (no nombrado) en el que se realizó un fraude de aproximadamente 1024 millones de pesos usando Plotus (un poco más de 300 EUR).

La tercera entrada de la jornada fue el “Panel Ejecutivo: Desafíos y oportunidades de seguridad de la información en la era del posconflicto” con la moderación de Sandra Peña - Jefe de Redacción Computer World, y los foristas: Policía Nacional de Colombia – Teniente Coronel Fredy Bautista, Universidad de los Andes - Sandra Rueda, Ph.D. Profesora Asistente, Departamento de Ingeniería de Sistemas y Computación, Universidad de los Andes - Jean Marie William Chenou, Profesor Maestría de "Construcción de paz", CCOC – Coronel Erich Siegert Cerezo, Comandante Comando Conjunto Cibernético, NEC - Luís Mauricio Vergara Jiménez, Especialista de Soluciones de Ciber-seguridad para Latinoamérica, MINTIC - Jorge Bejarano - Director de Estándares y Arquitectura de TI.

En este panel los participantes ven como preocupaciones o retos los siguientes temas: protección de la información de los reinsertados ya que esta puede ser usada para generar discriminación, esta protección debe dar cobertura a todos los sistemas que se usan para dar seguimiento a los procesos de reinserción, restablecimiento de derechos, y otros. La discriminación y el odio deben ser monitoreados especialmente en las redes sociales ya que son un mecanismo de rápida penetración en la sociedad.

Como estrategias se prevé: la educación como mecanismo para generar conciencia y fomentar la responsabilidad en el manejo de información en los medios, implementación de mecanismos para evitar la suplantación de identidad, la adecuada implementación del CONPES y el fortalecimiento de la lucha contra el crimen cibernético, para esto se debe incrementar la capacidad técnica, fortalecer las capacidades de recolección de acerbos probatorios, el fortalecimiento de la participación en escenarios internacionales, la formación de expertos en plataformas específicas, y, el uso de las emisoras administradas por el estado para contener mensajes virales (Radio Nacional de Colombia con presencia en 44 regiones, Radio Policía Nacional con presencia en 33 regiones, Emisora del Ejército Nacional con presencia en 38 regiones); igualmente se plantea la necesidad de fortalecer el ambiente jurídico y el fortalecimiento de la identidad de ciudadano digital desde las ópticas de derechos y deberes.

Entre las oportunidades que se encuentran en este momento histórico están: el uso de tecnologías para generar conocimiento que conduzca a finar o mejorar las políticas actuales, el uso del anonimato como mecanismo para el lanzamiento de alertas, oportunidades para el desarrollo económico.

En la charla de “Desafíos del Ecosistema Digital, en la era de posconflicto” dirigida por Luís Mauricio Vergara Jiménez, Especialista de Soluciones de Ciber-seguridad para Latinoamérica de NEC, hizo una contextualización del ambiente del posconflicto partiendo de procesos de paz en 12 países pasando por los diferentes grupos armados ilegales que ha tenido el país y terminando en las cifras que maneja el gobierno en relación al estado actual del conflicto armado. Posteriormente presentó los retos del país en esta era de posconflicto, los retos presentados no difirieron de los analizados por los foristas del panel anterior.

En una de las charlas paralelas dirigida por la Teniente Coronel de la Fuerza Aérea Martha Sánchez, Directora del Programa Ciber-seguridad y Ciber-defensa de la Escuela Superior de Guerra,  "Desafíos de la educación en Ciber-seguridad y Ciber-defensa en el postconflicto", en esta charla partió de mencionar la realidad actual del proceso de negociación que ha involucrado temas como la política de desarrollo agrario integral, la participación política, el fin del conflicto armado, la solución al problema de las drogas ilícitas, las víctimas y los procesos de refrendación e implementación.

Durante esta presentación nos contó cómo ha mutado la amenaza partiendo de la experiencia de la desmovilización de las AUC (Autodefensas Armadas de Colombia) durante los años 2002 al 2005 con la ley de justicia y paz, en este proceso se desmovilizaron 31.000 combatientes pero 4.000 volvieron a la criminalidad en forma de 33 bandas criminales, estas redes tienen como características una estructura no vertical y son transnacionales.

Entre otras amenazas nombradas por la coronel están: la minería ilegal, la ciber-seguridad, el narcotráfico, derechos humanos, víctimas y restitución de tierras, medio ambiente y crimen organizado. Todo esto ha traído los siguientes desafíos: transformación de la estructura del estado, capacitación y formación especializada, tareas de investigación desarrollo e innovación, el mejoramiento de las relaciones inter-agencias y trabajo multidisciplinario, la gestión del riesgo adaptada a las nuevas necesidades en todas las organizaciones, entrenamiento y juegos de simulación, independencia tecnológica, cooperación interinstitucional y alianzas estratégicas; estos desafíos han sido abordados en la ESG en diferentes programas de formación de nivel de pos-grado orientados a diferentes perfiles (técnicos, legales).

En la sesión paralela del Coronel Erich Siegert Cerezo bajo el título "Los retos y oportunidades para la ciberdefensa en el postconflicto" se presentaron cuáles son los planes para el ejército de Colombia en su vertiente más cibernética, que incluso incluirá la componente de ciberejército con las capacidades ofensivas con las que ya cuentan otros países en el mundo. Además se hizo hincapié en la capacidad de las FF.AA. colombianas de exportar conocimiento en áreas en las que por las características a las que se han sometido estas durante 50 años de conflicto pueden ayudar a otros países en actividades para abordar asuntos de antiterrorismo, migratorios, etc. pudiendo “presumir” de amplia experiencia en materias en las que otros países pueden encontrarse de forma más reciente.

La charla "TIC's de Seguridad para el Ciudadano" dirigida por Luis Carlos Sanmartín, Especialista en seguridad de la información de SECURITY ZONE presentó al ciudadano digital desde las perspectivas de perfil, herramientas de acceso que usa, los medios de conectividad, la información que comparte, la información que busca, los riesgos a los que está expuesto, sus limitaciones técnicas, sus procesos de compra (tomado de PCI) y su pobre manejo de contraseñas. Luego mencionó las normativas y buenas prácticas del mercado en términos de seguridad de la información para llegar a que las recomendaciones son 12 (sí, los 12 requerimientos de PCI DSS) y luego los resume en 4 (use antivirus y firewall, actualice su sistema operativo y aplicaciones, no instale aplicaciones ilegales, y, haga copias de seguridad); luego hizo un par de recomendaciones para el manejo de correo electrónico (no ingresar a vínculos que soliciten información personal o financiera, desconfiar de correos promocionales o tarjetas virtuales, y analizar los correos con un antivirus), finalmente recomendó hacer uso de la navegación segura usando las páginas que presenten HTTPS al inicio de su dirección.

Finalmente en la breve charla de cierre “Visión global y conclusiones sobre los desafíos y oportunidades de la Seguridad de la Información en la era del postconflicto” dirigida por Jorge Bejarano - Director de Estándares y Arquitectura de TI del MINTIC, presentó una visión global donde mencionó como elementos importantes el hecho de tener un contexto único por el esquema en que se ha presentado el conflicto, la existencia de un marco legal, institucional y sistemas únicos (creados para poder dar soporte a todo el manejo de víctimas y reinsertados), la necesidad de mantener estos sistemas en esquemas de interoperabilidad seguros ya que intercambian información sensible. Entre retos y oportunidades mencionados están el tema de formación y educación en todos los niveles, desde los niños en el colegio hasta niveles especializados.


Autor: Javier Roberto Amaya Madrid - ISO 27001 LA, PCI QSA, PCIP
Departamento de Consultoría

Vicente Aguilera en el programa "Caça-tuits" hablando sobre #Tinfoleak

El programa "Caça-tuits" de UPFRàdio entrevistó la pasada semana a Vicente. Durante la entrevista, Vicente comentó los usos y el potencial de su herramienta Tinfoleak, así como la relación con la privacidad de los usuarios en las redes sociales.

El programa se dedica a comentar las noticias más interesantes que se publican en redes sociales, especialmente en Twitter. Vicente aportó su visión en la generación de inteligencia basada en OSINT, y las aportaciones que puede realizar Tinfoleak en esta línea.

Más información:
http://portal.upf.edu/web/upf-radio/caca-tuits

Podcast con la entrevista:
http://www.ivoox.com/caca-tuits-46-audios-mp3_rf_11789199_1.html