BYOD: Bring Your Own Device (parte 2)

En el anterior artículo, se expuso la problemática que conlleva el BYOD, así como sus ventajas e inconvenientes. Dicha problemática no afecta únicamente al BYOD, también afecta a todos aquellos dispositivos móviles propiedad de la empresa, proporcionados a los trabajadores para llevar a cabo sus tareas. El objetivo de este artículo, es presentar el MDM (Mobile Device Management) como principal solución al problema. Para ello se establecerá, en base a nuestra experiencia, el conjunto de funcionalidades principales que deberían incluirse  en una solución MDM. Posteriormente, se enumerará el conjunto de soluciones analizado,   existentes actualmente en el mercado, que integran en gran parte o en su totalidad las funcionalidades recomendadas.

MDM (Mobile Device Management)
Mobile Device Management es el término utilizado en la industria para denominar el proceso de administración de dispositivos móviles (portátiles, tablets, smartphones, PDAs, etc.) dentro de un entorno corporativo. Dicho proceso, generalmente se basa en una plataforma software centralizada.

Por un lado, dicha plataforma se caracteriza por la existencia de un conjunto de agentes. Cada agente, es una aplicación que debe instalarse en cada dispositivo móvil que se desea gestionar. Por otro lado, se encuentra el servidor central. La comunicación entre los agentes y el servidor es bidireccional. De forma periódica, los agentes envían información acerca de su estado al servidor. A su vez, el servidor puede solicitar bajo demanda información adicional, y además, puede ejecutar remotamente un conjunto de acciones sobre los agentes.

Funcionalidades y soluciones
En base a la experiencia de Internet Security Auditors en este tipo de tecnologías, a continuación se presenta el conjunto de funcionalidades principales, que deberían incluirse en una solución MDM:
  • Separación de entornos: Poder definir múltiples entornos aislados de aplicaciones y datos. Esta funcionalidad, permite establecer un entorno personal y otro corporativo, de forma que el usuario no vea afectados sus datos y aplicaciones ante cualquier cambio en el entorno corporativo (despliegue de aplicaciones, borrado remoto seguro, etc.).
  • Geolocalización: Poder localizar cada uno de los dispositivos gestionados. Esta funcionalidad, permite obtener la ubicación de los dispositivos perdidos o robados, con el objetivo de iniciar su proceso de recuperación, o bien iniciar otros procesos, cómo el borrado seguro de sus aplicaciones y datos corporativos.
  • Borrado seguro: Poder eliminar de forma segura las aplicaciones y datos corporativos, sin afectar a las aplicaciones y datos personales del usuario. Esta funcionalidad, permite reducir el potencial impacto derivado de la pérdida o robo del dispositivo, asegurando que el atacante no podrá obtener información sensible (calendarios, emails, contactos, etc.) del entorno corporativo. 
  • Gestión de políticas: Poder establecer y desplegar políticas, con el objetivo de configurar de forma segura los dispositivos gestionados, y así homogeneizar su nivel de seguridad. Entre ellas deberían incluirse: políticas de contraseñas, cifrado, aplicaciones autorizadas y no autorizadas, acceso VPN, etc.
    Además, poder gestionar los incumplimientos de las políticas. Ante un incumplimiento, debería ser posible impedir al usuario del dispositivo el acceso a los recursos corporativos (email, documentos, aplicaciones, etc.), y enviarle notificaciones con el objetivo de que aplique las medidas correctivas necesarias para el cumplimiento de la política.
  • Control remoto: Poder disponer en tiempo real de una interfaz gráfica e interactiva del dispositivo. Esta funcionalidad, permite a los administradores llevar a cabo tareas directamente sobre un dispositivo concreto. Es especialmente útil a la  hora de llevar a cabo tareas de soporte a usuarios. Además, en caso de robo o pérdida, permitiría analizar las acciones llevadas a cabo por el atacante sobre el dispositivo (en tiempo real y a posteriori), con el objetivo de identificarle y/o poder recuperar el dispositivo.
  • App Store corporativa: Poder distribuir, internamente a los empleados, aplicaciones de terceros y aplicaciones desarrolladas por la propia empresa. Esta funcionalidad, permite a la empresa establecer un control sobre las aplicaciones que utilizan sus empleados, realizando a su vez una mejor gestión (despliegue de actualizaciones, parches de seguridad, etc.). En este sentido, se podrían establecer conjuntos diferentes de aplicaciones disponibles, en función de los distintos roles de los empleados. De esta manera, cada empleado podría disponer de las herramientas que necesita, para llevar a cabo sus tareas desde el dispositivo móvil.
Actualmente, existen una gran cantidad de soluciones MDM en el mercado. Todas ellas se caracterizan por presentar un conjunto de funcionalidades comunes de gestión (despliegue de políticas, geolocalización, borrado seguro, etc.). Sin embargo, generalmente cada solución también presenta un conjunto de funcionalidades adicionales introducidas por el fabricante, con el objetivo de completarla integrando otro tipo de soluciones (antimalware, DLP –Data Loss Prevention–, fortificación de aplicaciones y documentos, etc.) derivadas de sus actividades principales de negocio.

A continuación, se presenta el conjunto de soluciones analizadas que integran en gran parte o en su totalidad las funcionalidades principales recomendadas:
Conclusiones
En primer lugar, antes de tomar la decisión de implantar una política empresarial basada en BYOD, es necesario analizar sus ventajas e inconvenientes. Además, es necesario buscar una solución a dichos inconvenientes. En este caso, se debe seleccionar un conjunto de soluciones del mercado y posteriormente analizarlas. El objetivo es conocer cuáles de ellas pueden resolver los inconvenientes, ajustándose a su vez, a las necesidades y restricciones del entorno corporativo. Posteriormente, se debe evaluar para cada solución, el nivel de riesgo residual estimado tras su aplicación. Llegados a este punto, se podrá seleccionar la solución más adecuada en términos de negocio y de seguridad de la información. De esta forma se podrán explotar todas las ventajas del BYOD, realizando a su vez, una gestión efectiva del riesgo derivado de sus inconvenientes.

Autor: Carlos Antonio Sans
Departamento de Consultoría.

Breve análisis del documento “PCI Terminal Software Security Best Practices” (TSSBP) del PCI SSC

Los cibercriminales siempre están en búsqueda de nuevas vulnerabilidades para obtener datos de tarjetas de pago de forma fraudulenta. Una de las modalidades que recientemente ha tenido mayor repercusión debido a la gran cantidad de datos robados es el ataque a las terminales de punto de venta (TPV, en inglés Point-of-Sale (POS)), nombre genérico que recibe el hardware y/o software utilizado por los comercios para la captura y procesamiento de datos de tarjeta, por lo general asociado a transacciones presenciales (aquellas en las cuales se emplea el plástico de la tarjeta y el PIN para autenticar la transacción). En estas terminales es muy común la captura de los datos completos de la banda magnética y/o chip EMV y el PIN, por lo que la manipulación/interceptación de los mecanismos operativos del dispositivo o del software instalado con el objetivo de capturar y exfiltrar de forma maliciosa los datos de las tarjetas leídas es un objetivo bastante tentador para un atacante. Bajo este escenario y teniendo presente la gran distribución de terminales de punto de venta en comercios, grandes superficies, centros comerciales y tiendas por departamentos, la forma más sencilla para amplificar y automatizar este ataque es mediante la creación de malware específico para TPV, dependiendo de la plataforma operativa sobre la que se ejecute (Microsoft Windows (sobre todo Windows XP y Windows XP Embedded Edition, que ya no tienen soporte del fabricante), Linux y firmware propietario, entre otros) y/o atacando vulnerabilidades sobre el aplicativo que se ejecute en el TPV.

Desde 2005 se tiene referencia de este tipo de ataques, pero no es sino hasta 2008 cuando VISA toma cartas en el asunto y publica la alerta “Debugging Software – Memory Parsing Vulnerability” (http://usa.visa.com/download/merchants/debugging_software_memory.pdf) en la que describe los hallazgos realizados posterior a una serie de intervenciones forenses en las que habían encontrado componentes de software malicioso diseñado específicamente para extraer datos de tarjetas de pago de sistemas TPV (POS) directamente desde la memoria RAM. Este tipo de malware se conoce con el nombre de RAM Scrapper.  Sin embargo, no es hasta 2012 cuando este tipo de ataques se empiezan a masificar y a tener impacto mediático con los ataques a Target, Home Depot y UPS con el malware BlackPOS, FrameworkPOS y Backoff respectivamente. Actualmente (2014) se encuentran múltiples variantes de este malware “in the wild” (http://www.wildlist.org/), convirtiéndose en una de las principales amenazas para 2015.

Con el fin de proteger los datos de tarjetas de pago cuando se almacenan, se procesan y/o se transmiten, el PCI SSC (Payment Card Industry Security Standards Council) publicó el estándar PCI DSS (Payment Card Industry Data Security Standard). No obstante, dicho estándar está más focalizado en la infraestructura de TI de las empresas que en la gestión de seguridad de dispositivos de extremo en el proceso (como los TPV/POS), por lo cual aún persistía una brecha que había que controlar. Conscientes de ello, el PCI SSC ha publicado este mes el documento “PCI Terminal Software Security Best Practices” (TSSBP) (https://www.pcisecuritystandards.org/documents/terminal_security_best_practices.pdf). Este documento enumera una serie de recomendaciones y buenas prácticas para la protección de datos de tarjetas de pago  y es el resultado de varios meses de esfuerzo de los Grupos de Trabajo (Task Forces) del PCI SSC.

El documento “PCI Terminal Software Security Best Practices” (TSSBP) cubre todos aquellos elementos que no son tenidos en cuenta en estándares como PCI DSS (Payment Card Industry Data Security Standard), PA DSS (Payment Application Data Security Standard) y PCI PTS (PCI PIN Transaction Security), focalizándose, entre otros en los siguientes componentes:
  • Aplicaciones de pago
  • Núcleos (kernel) de EMV
  • Librerías / API
  • Software de terceros
Estas recomendaciones están esquematizadas en cuatro grupos principales:
  • Formación en Concienciación en seguridad (Security-Awareness Training): Cuyo objetivo está focalizado en la creación de un grupo altamente cualificado y con conocimiento suficiente de la plataforma a través de un programa de formación continuo y auditable (4 controles)
  • Establecimiento de un Ciclo de Vida de Desarrollo de Software Seguro (Secure Software-Development Life Cycle (SSDLC)) y definición de roles en los Procesos de Desarrollo Seguro de Software Seguro (Secure Software-Development Process): Como resultado de la definición de un equipo de desarrollo y con el conocimiento de las potenciales amenazas y contramedidas a aplicar, el paso siguiente es el establecimiento de un ciclo de vida de desarrollo de software que incorpore la seguridad desde la base (SSDLC), así como una metodología y documentación que permita darle continuidad al proceso a lo largo del tiempo (12 controles).
  • Pruebas a nivel de dispositivo (Device-Level Testing): El paso siguiente consiste en las pruebas de integración y funcionalidad del software con el dispositivo POI (Point-of-Interaction). Estos dispositivos (al igual que su firmware) deben cumplir con los requerimientos del programa PCI PTS POI y estar listados en https://www.pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php (4 controles). 
  • Revisiones de procesos internos (Internal Process Reviews): Como complemento a las revisiones a bajo nivel realizadas en los grupos anteriores, se recomienda un análisis de los procesos a alto nivel de la organización, dentro de los que se encuentran el establecimiento de un personal específico encargado de las revisiones y la publicación, la monitorización de alertas de seguridad por parte de terceros, la actualización de las guías de codificación segura y la firma de ficheros (7 controles).
Obviamente este documento no pretende ser la “bala de plata” pero si convertirse en la base de una serie de actividades preventivas con miras a optimizar la seguridad en estos dispositivos. Al ser recomendaciones, no son de obligatoria implementación dentro de la organización (como sí lo son los estándares), pero para aquellas empresas afectadas lo ideal es que integren estas buenas prácticas dentro de sus prácticas habituales o Business-as-usual (BAU) como estrategia global para la minimización de incidentes provenientes de ataques a TPV/POS. Como siempre, es mejor actuar ahora y evitar problemas como los sucedidos con Target y sus 110 millones de datos de tarjetas de pago comprometidos (https://corporate.target.com/about/shopping-experience/payment-card-issue-FAQ).

Desde Internet Security Auditors podemos ayudar a las empresas que quieran afrontar proyectos de revisión de su cumplimiento con esta nueva guía en las áreas de Formación para el personal afectado en las actividades de concienciación en seguridad; en todo lo relativo a la creación de Marcos de Seguridad en Desarrollo de Software siguiendo metodologías reconocidas a nivel internacional; llevando a cabo revisiones técnicas de seguridad y del propio cumplimiento de los requerimientos de las diferentes normas de la "familia PCI" con el objetivo último de la integración de las medidas de seguridad necesarias en los propios procesos de la empresa, tal y como recomienda el PCI SSC.


Autor: David Eduardo Acosta - CISSP, CISA, CISM, CRISC, PCI QSA, CCNA Security, OPST, CHFI Trainer, BS25999 L.A. 
Departamento de Consultoría.

Colaboramos en el décimo aniversario de las Global Workforce Surveys del (ISC)2

Se cumplen 10 años de las Global Workforce Surveys realizadas por el (ISC)² cada dos años.

La profesión de la ciberseguridad está cambiando más allá de todo reconocimiento de una especialidad basada en la tecnología, en una profesión de gran alcance que abarca personas, procesos y políticas y que alcanza en todas las áreas de negocio.

Es por ello que el (ISC)² realiza estas encuestas, que pretenden mostrar una imagen detallada de cómo el profesional de la ciberseguridad global está cambiando y qué factores se pueden mejorar.

Desde Internet Security Auditors, estamos colaborando con el estudio realizado por el (ISC)² y queremos animar a todos los profesionales de la seguridad que nos siguen a participar en este estudio para que haya una representación española significativa.

Os dejamos a continuación el enlace para realizar la encuesta:

https://fasus.dubinterviewer.com/scripts/dubinterviewer.dll/Frames?Quest=10814777&Ban=1&QW6092=441461&Resp=413236070

Protección de información en dispositivos (Parte 1)


Protección de información en dispositivos
Muchas veces somos poco conscientes de los riesgos que comportan nuestras acciones, y en materia de seguridad y privacidad de la información, el tema se hace todavía más evidente.

Un ejemplo claro de esto es el momento de deshacerse de un antiguo ordenador personal, ya sea para que lo utilice otra persona (venta, donación o cesión), o simplemente para finalizar su vida útil. En dicha situación, muchas personas, preocupadas por la protección de la información contenida en el equipo, sabe que es necesario eliminar sus archivos personales antes de ello. No obstante, ¿Estamos convencidos de que el borrado de datos que realizamos es suficiente para la protección de dicha información? ¿Nadie podrá acceder a dicha información una vez sea eliminada? ¿Quién nos asegura que con técnicas especializadas, un atacante no podrá recuperar mi información?

Los profesionales de la seguridad, nos sentimos con la obligación de informar a los usuarios de sus riesgos ante estos aspectos, y de facilitar a los mismos la información necesaria para la aplicación de los procedimientos que preserven su confidencialidad y privacidad. Por tanto, en esta entrada intentaremos especificar cómo se debe (y cómo no se debe) actuar en el momento de eliminar la información contenida en un ordenador, cuando un usuario desee deshacerse del mismo.

Cómo NO hacerlo
Si una acción no se debe realizar, es simplemente eliminar los ficheros a través del sistema operativo, ya sea enviando un fichero a la papelera y vaciando la misma en Windows o Mac OS X, o a través del comando rm o la interface gráfica en GNU/Linux. Estas acciones, lo que realizan en realidad es eliminar los punteros o referencias a estos ficheros, de manera que la memoria ocupada por los mismos se “libera”. Una vez el sistema operativo ha liberado la memoria ocupada por un archivo, dicha memoria está disponible para nuevos usos. No obstante, la información anteriormente contenida en el espacio seguirá remanente en él, hasta que sea sobrescrita por nueva información.
De la misma forma, un formateo del disco duro actúa de manera parecida, liberando la memoria utilizada en un equipo para su sobre-escritura futura, pero conservando la información de manera remanente hasta ese momento.

Por tanto, hasta el momento en el que un sistema operativo sobre-escriba la información remanente en una parte concreta de la memoria del ordenador (pueden pasar largas temporadas de tiempo), un usuario más o menos experimentado podría recuperar la información contenida en la misma, a través de la utilización de herramientas forenses diseñadas para tal efecto.

Cómo hacerlo

Existen tres formas básicas para eliminar la información contenida en un ordenador, siendo estas la Desmagnetización, la Destrucción Física y la Sobre-escritura de la Información.
Las dos primeras medidas son las más eficientes para el borrado de la información, no obstante, tienen dos grandes desventajas:
  • Los dispositivos sometidos a dichos procedimientos no se pueden reutilizar para el almacenamiento de nueva información.
  • Dichas acciones no están al alcance de los usuarios comunes, ya que son necesarios recursos y conocimientos adecuados para una realización con garantías.
A continuación, nos centraremos en la última de estas medidas, la Sobre-escritura de la Información, que permite la reutilización de los equipos una vez aplicada, y que además, está al alcance de los usuarios comunes, siempre que se disponga de los conocimientos básicos descritos en esta entrada.

La sobre-escritura de información se basa, como su nombre indica, en grabar datos aleatorios o nueva información no útil sobre la información sensible a eliminar, de manera que una vez realizado el proceso, solo se conserve la nueva información, y la original no esté disponible para su recuperación.

Para su realización, se deben utilizar herramientas especiales, y seguir los procedimientos adecuados, diferentes para cada sistema operativo. Vemos a continuación algunas de estas medidas para los sistemas operativos más comunes:
  • Windows: Para la sobre-escritura de la información, se recomienda el uso de herramientas externas (muchas veces gratuitas), como son las siguientes:
  • Eraser
  • Active Kill Disk
  • DeleteOnClick
  • WipeFile
  • File Shredder
  • Etc.
  • GNU/Linux: Se recomienda el uso de los paquetes/comandos siguientes:
  • Paquete secure-delete, con el comando srm Nombre_Fichero.
  • Paquete coreutils, con el comando shred –vun N Nombre_Fichero, donde N es el número de pasadas a realizar, idealmente 35 o superior, según el tiempo del que se disponga.
  • MAC OS X: Se recomienda seguir los siguientes pasos en el mismo sistema operativo:
  1. Enviar un fichero a la Papelera.
  2. Ejecutar la Utilidad de disco, localizada en la carpeta “Aplicaciones”.
  3. Seleccionar la unidad a eliminar, en este caso la Papelera.
  4. Seleccionar la pestaña “Borrar”.
  5. Clicar botón de “Opciones de seguridad”.
  6. Seleccionar opción “Borrado de 7 pasadas” o “Borrado de 35 pasadas”, según el tiempo del que se disponga (obviamente, la versión de 35 pasadas es más efectiva, pero tarda 5 veces más que la opción de 7 pasadas).
  7. Clicar “Aceptar”, y posteriormente clicar “Borrar”.
Estas herramientas/técnicas permiten, además de eliminar información contenida en un archivo concreto, realizar formateos seguros de la memoria completa de un equipo, de manera que todos los espacios de su memoria (incluida los slack spaces, la memoria libre, etc) son “vaciados” de la información contenida.

Hay que tener en cuenta no obstante, que todas estas técnicas son mucho más lentas que el proceso de liberación de memoria realizado en la mayoría de casos, ya que mientras que en una liberación de memoria se elimina simplemente una referencia, y por tanto se obtienen resultados inmediatos, el proceso de sobre-escritura de información se basa en introducir nueva información aleatoria “encima” de toda la información presente en un espacio, y realizar varias pasadas sobre este procedimiento, cosa que evidentemente ralentiza mucho el proceso.

Cabe decir además, que estas técnicas no son 100% eficaces, ya que con equipos profesionales y costosos, y con los conocimientos adecuados, se puede llegar a recuperar los objetos borrados. No obstante, y si se aplican estas técnicas de manera correcta, los resultados que se obtienen son muy buenos, de manera que se minimiza mucho esa posibilidad.

Por tanto, vemos que las técnicas de borrado seguro de la información al alcance de los usuarios comunes pueden ser pesadas, sobre todo a nivel temporal, pero su aplicación en el momento de deshacerse de un ordenador personal es necesaria, ya que en caso contrario, la información contenida en el mismo podría verse comprometida por personal no deseado, y por consiguiente, la privacidad del usuario ser afectada a grandes efectos.


Referencias
Guía de borrado seguro:
www.inteco.es/file/Nxk8l4GNfrjAyyRDEuknZg
Borrado seguro en GNU/Linux con secure-delete:
http://elbinario.net/2014/03/16/borrado-seguro-en-gnulinux-con-secure-delete/
Borrado seguro en GNU/Linux con shred:
http://www.linuxhispano.net/2014/03/07/borrado-seguro-de-ficheros-con-shred/
Aprende a borrar archivos de forma segura en Windows
http://bitelia.com/2013/06/borrado-seguro-de-archivos-windows
Borrado seguro de archivos con Eraser y CCleaner (Windows)
http://zoomred.blogspot.com.es/2011/06/borrado-seguro-de-archivos.html


Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.

La importancia del Doble Factor de Autenticación

¿Qué es?
El Doble Factor de Autenticación es un método de seguridad que permite añadir una verificación adicional en el proceso de autenticación.

El método más habitual para entrar en nuestro correo, es introducir únicamente el usuario y la contraseña, pero, ¿qué sucedería si te robaran estos datos? Es aquí donde entra la importancia del doble factor, ya que se trata de una medida de seguridad extra que frecuentemente requiere de un código obtenido a partir de una aplicación, o un mensaje, además de la contraseña para acceder al servicio.

Seguro que después de leer esto estás pensando… ¡Sólo me faltaba esto, con la de contraseñas que tengo que memorizar! pero el doble factor de autenticación puede ser la diferencia entre ser víctima de un cibercriminal y mantenerse protegido. Son muchos los servicios que ya ofrecen esta característica, aunque algunos de ellos lo implementaran por que se vieron obligados, después de ser hackeados.

¿Cómo funciona?
Hay varios sistemas, pero por lo general, se suele utilizar un mensaje automático, o una app que genera códigos de acceso. Una vez introducidos nuestros datos, la plataforma solicita un código de acceso, que en ocasiones suelen ser aplicaciones separadas del navegador.
No es necesario utilizar este sistema en todos los sitios web a los que accedemos, pero si a los que consideramos de mayor relevancia, sitios que visitamos frecuentemente, y que contienen información valiosa, cómo puede ser nuestro correo, o las redes sociales.

Si tiene una empresa, también puede ser de ayuda, ya que, en muchas compañías está contemplado el teletrabajo,  y las conexiones podrían no ser seguras, y podría quedar expuesta información sensible.

¿Qué beneficios ofrece el Doble Factor de Autenticación?
  • Los sistemas de doble factor de autenticación son mucho más seguros que las contraseñas, muchos ataques que se han hecho públicos, este último año, no hubieran ocurrido si hubieran implementado este sistema.
  • Este sistema, no es infalible, pero garantiza que los atacantes tendrán que trabajar más, ya que ofrece una capa extra de protección.  
  • Mediante el sistema de Doble Factor, si un atacante consigue nuestras credenciales, solo podrá suplantar nuestra identidad en el momento que estemos usando el mecanismo de Doble Factor y  si estamos dentro de, por ejemplo, nuestro correo, ya que él no puede generar una OTP válida para esa sesión.
Os dejamos a continuación un vídeo de Google, dónde explica cómo activar la protección de Doble Factor de Autenticación en vuestro correo de Gmail!

https://www.youtube.com/watch?v=zMabEyrtPRg

Y una infografía realizada por ESET basada en datos interesantes para comprender la importancia que tiene proteger el acceso a la información confidencial de las empresas.

La importancia del Doble Factor de Autenticación



Autor: Lidia Buendia
Departamento de Marketing.

Ponencias en el CyberCamp 2014

CyberCamp es el gran evento de Ciberseguridad organizado por INCIBE en colaboración con los mejores expertos del panorama nacional en la materia. Se celebrará en Madrid entre el 5 y el 7 de diciembre y nace con el objetivo de reunir a los mejores talentos en materia de Ciberseguridad.

Para ello en los meses previos al evento se han realizado una serie de pruebas técnicas y retos online de diferentes categorías y niveles de dificultad con el fin de identificar a los mejores participantes en materia de Ciberseguridad. Además de estos retos, CyberCamp cuenta con diferentes actividades orientadas a familias, estudiantes, profesionales y desempleados. Conferencias con Keynotes internacionales, Training Labs impartidos por los mejores expertos en cada disciplina y presentación de proyectos de cyberseguridad.

Dentro de este marco, Internet Security Auditors aportará su granito de arena participando con dos ponencias. Por un lado Vicente Aguilera hará una demostración de su herramienta tinfoleak: “#Tinfoleak: analizando nuestras pautas y comportamientos a través del análisis de la exposición pública en Twitter”.  La ponencia tiene como objeto hacer visible, de forma práctica, el nivel de exposición de nuestras vidas en las redes sociales, y el abuso que puede realizarse de dicha exposición pública que, en la mayoría de casos, su alcance es totalmente desconocido por el usuario.

Y por otro lado Ismael González estará el domingo presentando su framework Tortazo para auditar la red de TOR, permitiendo auditar hidden services en la Deepweb de TOR, nodos de salida de la propia red de TOR o incluso también auditar en modo BOTNET.

Crónica NcN 2014

La No cON Name es el congreso de seguridad informática con más antigüedad en España. El pasado 31 de Octubre y el primero de Noviembre, tuvo lugar en el CosmoCaixa de Barcelona su edición 2014, como viene siendo habitual en las últimas ediciones.

Los días previos al inicio de ésta conferencia de seguridad, tuvo lugar entre otros eventos, los talleres y el CTF (Capture the Flag), una competición de equipos experimentados en seguridad y hacking procedentes de diferentes rincones de la Península y Europa. La cual puso a prueba la habilidad y los conocimientos de hacking de los participantes para resolver diferentes retos. Este año ganó el grupo Balalaika Cr3w, concursantes procedentes en su mayoría de Rusia. Los españoles int3pids quedaron en segunda posición en un trepidante y ajustado final. Nuestro compañero Tomás Velázquez también tuvo la oportunidad de competir. Como tercer clasificado tuvo lugar un equipo procedente de Ucrania.

Según la organización, en el evento de la ciudad condal, hubo más de 450 asistentes, llegando a la cifra de 500 personas entre ellos ponentes, colaboradores, y periodistas.

Las temáticas de las ponencias fueron muy diversas, desde seguridad en Smart Cards por dos emprendedores como Sergio Casanova y Pol Matamoros (bitwise), pasando por la mitigación de ataques Wifi al control remoto de Drones o la historia de los hackers españoles de Mercè Molist. Albert Puigsech y Albert Sellarès, de la academia Codelearn, profundizaron acerca del funcionamiento técnico y de la seguridad de los bitcoins. No faltó una aparición estelar y no anunciada de una de las figuras más conocidas en el panorama de la seguridad en España, Chema Alonso.

Al final de la primera jornada de ponencias, tuvo lugar el coloquio. Una muy buena oportunidad de acercar empresarios y trabajadores para que puedan hablar y mostrarse los distintos puntos de vista. Daniel Fernández, CEO de Internet Security Auditors, estuvo presente en dicho debate.

Expertos relacionados con la seguridad informática, y todas las ramas del sector, como la programación, el comercio electrónico, la criptografía, el análisis de datos, y las nuevas tecnologías asistieron a la NcN que un año más consolida su buena forma en el panorama nacional de los congresos de seguridad.

Desde aquí felicitar a la organización, y a los colaboradores por el trabajo realizado. Gracias por seguir organizando conferencias como estas en donde tantos profesionales se reúnen para intercambiar puntos de vista. ¡Nos vemos el año que viene!

Autora: Laura Blasco - ISO 17025 L.A.
Departamento de Consultoría.

El blog de HTC dedica un artículo a la herramienta tinfoleak


HTC, el fabricante de smartphones, ha publicado en su blog un artículo dedicado a tinfoleak, herramienta desarrollada por Vicente Aguilera.

Uno de los objetivos de Tinfoleak es que seas consciente de los riesgos que implica ser tan descuidado en la Red, y de que tu información puede ser utilizada por muchos grupos con buenas o malas intenciones.

En el artículo, hacen un análisis sobre el funcionamiento y funcionalidades de ésta, y ponen como ejemplo la cuenta del actor y director Santiago Segura, que publica una media de 25.34 tuits diarios.

A continuación os dejamos el enlace al artículo:

http://www.experiensense.com/tinfoleak-twitter/

Daniel Fernández CEO de Internet Security Auditors entrevistado en la TV Peruana

Con motivo del evento PERUHACK 2014 realizado el pasado 21 de noviembre, en el que participamos con una ponencia sobre PCI DSS, Daniel Fernández junto con Walter Cuestas, impulsor del evento, estuvieron en los estudios de TV Perú 7.3 (el equivalente en Perú al 3x24 de TV3 o 24h de TVE) para explicar la iniciativa.

Durante la entrevista se trataron temas como la polémica sobre el significado de la palabra Hacker y sus connotaciones, la importancia de securizar los sistemas contando con  personas cualificadas y la repercusión que está tomando el evento de PERUHACK ayudando a entender la mentalidad de los atacantes y la forma de combatirlos.

 A continuación os dejamos la entrevista:

David Marugán, Analista de Seguridad, participa en el programa MundoHacker de DiscoveryMax

Mañana martes 18 de noviembre, a las 00:25h se estrena la segunda temporada de MundoHacker TV en Discovery Max.

Mundo Hacker es un programa divulgativo emitido por la cadena de televisión DiscoveryMAX, enfocado a acercar al usuario el mundo de la seguridad informática, intentando transmitir estos conocimientos de una manera amena y divertida, mediante consejos prácticos para fomentar la seguridad en la red.

En esta nueva temporada habrá cuatro capítulos de periodicidad semanal, y se tratarán por este orden:
  1. Delitos digitales
  2. Hacktivismo y activismo en la red
  3. Menores en la red
  4. Hacking en radiofrecuencias

David Marugán, Analista de Seguridad de nuestro equipo de Auditoría, participará en el programa como protagonista del cuarto y último capítulo de la temporada dónde se hablará de la seguridad en radiofrecuencias, radios definidas por software (SDR), drones, etc.

Participamos en el PerúHack 2014

Vuelve a celebrarse el evento de hacking más importante de Perú, el PERUHACK 2014. Este evento reúne a destacados profesionales internacionales del mundo del Hacking Ético y la Seguridad de la Información y tendrá lugar el 21 de noviembre en la Universidad Peruana de Ciencias Aplicadas (UPC).

 Después del éxito obtenido en la primera edición celebrada en el 2013, el PeruHack se ha consolidado como el único evento 100% técnico que muestra la seguridad desde la perspectiva de un atacante, lo cual permite a los profesionales de seguridad informática y seguridad de la información conocer sus técnicas y cómo proceder para proteger a sus organizaciones.

Se trata de un evento que dura un día completo y en el que tienen lugar charlas en simultáneas en dos salas donde se reúnen hackers éticos y profesionales de la Seguridad, a demostrar cómo se explotan problemas de seguridad, cómo se analizan incidentes de seguridad y cómo existen vectores de ataque que afectan a organizaciones en Perú en formas diversas.

Este año, nos han invitado a participar como ponentes. Daniel Fernández será el encargado de hablar sobre la Norma PCI DSS con su presentación: “Cómo cumplir con PCI DSS…sin nombrarla” donde se analizará el porqué de la necesidad de las normas PCI, cómo impacta su incumplimiento al ciudadano y cómo se está abordando desde los reguladores de algunos países de Latinoamérica a través de sus diferentes circulares relacionadas con las seguridad.

Participamos en la mesa redonda de la NcN

En el marco de la No cON Name, Daniel Fernández participó en el Debate de la primera jornada del Congreso invitado por la organización para aportar su visión desde el punto de vista de una empresa del mundo de la seguridad, de la temática que se trataba: la profesionalización en el mundo de la Seguridad TIC.

Durante el coloquio, en el que participó activamente el público asistente se trataron diferentes situaciones que se dan en el mundo de la Seguridad como es la necesidad de la iniciativa autodidacta de los profesionales para complementar el conocimiento escaso de los estudios universitarios en esa área.

Otros temas debatidos fueron la necesidad de renovar los planes de estudio de las universidades e incluso cómo éstos no se adaptan a las necesidades de profesionales que demandan las empresas del sector. Cómo esto obliga a un aprendizaje en las propias empresas y a la investigación y autoformación, o como se insistió desde el público, a la formación continua, para encontrarse en una posición "útil" profesionalmente.

Temas más delicados como la imposibilidad de que brillantes, pero poco versátiles, expertos en la seguridad encuentren puestos de trabajo donde desarrollar sus carreras o las deficiencias de los profesionales TIC fueron puntos de debate que hicieron participar activamente tanto a los participantes en la mesa como a los asistentes.

CISSP (Certificated Information Systems Security Professional), Hoja de ruta

CISSP Certification

La certificación CISSP (Certificated Information Systems Security Professional), de (ISC)², es una de las más preciadas para consultores, auditores, y profesionales de la seguridad de la información en general. El motivo principal de ello es que se trata de una de las certificaciones con más prestigio y más reconocidas en la industria de TI en general, y en especial, en el ámbito de la Seguridad de TI.

Podemos ver un ejemplo de rankings de certificaciones relacionadas con el mundo de la seguridad y de las TI a continuación, en los que podemos observar que la certificación CISSP obtiene un lugar destacado:
Otro motivo de peso para su obtención es la extensión de su temario, conformado por 10 dominios, y que abarca desde temas técnicos, como Controles de Acceso, Criptografía, etc., a temas relacionados con la procedimientos de gestión, como Tratamientos del Riesgo, Gobierno y Cumplimiento, Operaciones de Seguridad, etc.

El listado de los 10 dominios incluidos en la certificación se puede ver en el siguiente gráfico:

Dominios CISSP

No obstante, al plantearse la obtención de esta certificación, suelen surgir dudas al candidato sobre los pasos que debe seguir, el tiempo necesario de estudio, los materiales necesarios, etc. Este artículo pretende servir como respuesta a algunas de estas preguntas, y ofrecer al mismo tiempo a los candidatos información sobre los pasos a seguir para la obtención de la certificación CISSP, basándonos en la experiencia de Internet Security Auditors en la materia.

Así pues, vemos la respuesta a algunas de estas dudas a continuación, con lo cual esperamos que el proceso de obtención de dicha certificación quede más claro a los candidatos de la misma.

¿Cómo me registro para el examen?
Recordemos que el examen es presencial, basados en Computer Based Testing (CBT), o lo que es lo mismo, el examen se realiza a través de un software oficial en instalaciones reconocidas por el (ISC)² para tal efecto. Con eso, se deja atrás el examen en formato papel, realizado hasta hace pocos años para la obtención de dicha certificación.

Por tanto, vemos que el primer paso a seguir para registrarse al examen es darse de alta en el portal web del (ISC)²:

https://www.isc2.org/

Al hacerlo, el (ISC)²  envía a través de correo electrónico al candidato un código de “Candidate ID”, necesario para el registro en el portal de Pearson VUE, como veremos a continuación.

A continuación, el candidato se debe registrar en la página del Pearson VUE (centros autorizados para la realización del examen) relacionada con el (ISC)²:

http://www.vue.com/isc2/

En el momento del registro, se le solicita al usuario su “ISC ID”, código que se corresponde con el obtenido como “Candidate ID” a través de la web del (ISC)².

Una vez realizado el registro en el portal de Pearson VUE, se puede observar información sobre la localización más próxima al domicilio habitual del candidato para la realización del examen presencial, y las fechas disponibles para ello. Hay centros VUE repartidos por todo el territorio internacional, siendo Barcelona y Madrid las únicas ciudades del territorio nacional disponibles. Se puede consultar la localización del centro VUE más próximo a una dirección en el siguiente enlace:
https://wsr.pearsonvue.com/testtaker/registration/SelectTestCenterProximity/ISC2/385999

Una vez se ha escogido el centro y la fecha adecuada, se puede realizar una reserva para el examen, previo pago del importe de este (ver https://www.isc2.org/uploadedFiles/Certification_Programs/exam_pricing.pdf para información actualizada sobre el coste del examen), y previa aceptación del código de ética del (ISC)², que puede ser consultado en el siguiente enlace:

https://www.isc2.org/ethics/default.aspx

En el momento del registro del examen, se puede escoger el idioma del mismo, estando incluidos tanto el inglés (idioma original del examen) como el castellano. En este tipo de casos, siempre es recomendable realizar el examen en el idioma original (en este caso el inglés), ya que las traducciones del mismo siempre pueden perder sentido en algunas preguntas. No obstante, en este caso concreto se recomienda escoger tu idioma nativo, ya que al hacerlo, en el momento del examen se incluye tanto el idioma seleccionado como el idioma original del examen, y por tanto podemos consultar ambos idiomas sin ningún problema.

En este punto, ya se estará registrado para el examen del CISSP.


¿Cómo me preparo para el examen?
Existen diferentes libros basados en el temario del examen CISSP, aunque la mayoría son en inglés, siendo uno de los más conocidos el libro de Shon Harris “CISSP All-In-One Exam Guide”. Además, también se pueden encontrar diferentes libros en castellano, aunque la recomendación principal es seguir el libro oficial del (ISC)² para el examen, el CISSP CBK (Common Body of Knowledge). El libro dispone de más de 1400 páginas que recorren los 10 dominios de la certificación, y contiene la información necesaria para preparar y pasar el examen. No obstante, hay que tener en cuenta que el candidato deberá profundizar en algunos de los temas tratados en el libro según la información contenida en otros libros/fuentes disponibles en el sector.

Aparte de los libros, otra recomendación es realizar uno de los cursos oficiales de preparación para el examen, impartidos por profesores homologados por el (ISC)². Dicho curso tiene una duración de una semana, y en él se proporcionan todas las bases necesarias para aprobar el temido examen. Hay que ser conscientes que el curso, al igual que la certificación, está enfocado a gente con una base en el mundo tecnológico y de seguridad IT, por lo que es necesario que los candidatos a dicho curso estén familiarizados con estos temas antes de la impartición del mismo.

Estos cursos oficiales son impartidos en España, tanto en Madrid como en Barcelona, y de manera presencial. En el siguiente enlace se pueden ver las próximas fechas para el curso:

http://www.isecauditors.com/calendario-de-cursos#isc2

Una vez que el candidato disponga de los conocimientos necesarios sobre los 10 dominios incluidos en el temario oficial, será necesario que este se familiarice con el formato del examen.
Este examen consta de 250 preguntas tipo test, y tiene una duración de 6 horas, en las que se pone a prueba tanto el conocimiento del candidato como su capacidad de resistencia ante un examen de dicha duración.

Existen distintas webs donde se puede simular el examen antes de su realización. En dichas webs, se ofrece al candidato preguntas similares (que no iguales) a las encontradas el día del examen.
Uno de estos recursos es oficial, ofrecido por el (ISC)² en el siguiente enlace, previo pago del servicio:

https://www.isc2.org/studiscope/default.aspx

También se puede descargar el simulador de examen oficial como aplicación para smartphones, a través del siguiente enlace:

https://www.isc2.org/practice-tests-app/Default.aspx

Existen también webs gratuitas que ofrecen este servicio, aunque lógicamente los servicios que ofrecen no están tan ajustados al temario oficial como los ofrecidos por el (ISC)². Una de las webs que tiene más prestigio en este aspecto es la siguiente:

https://www.cccure.org/

¿Cuánto tiempo de preparación necesito?
Esta es otra pregunta que suele surgir al candidato al examen CISSP, y desgraciadamente no existe una respuesta única  a la misma.
Lógicamente, el tiempo de preparación dependerá de cada candidato, de su preparación previa, del tiempo diario del que disponga para el estudio, de su experiencia en el mundo de las tecnologías y la seguridad, etc. No obstante, el tiempo de preparación recomendado iría de unos 3 meses para las personas más experimentadas, hasta un periodo de un año para personas más noveles en el sector.

¿Cómo realizo el examen?
Como se ha comentado anteriormente, el examen se realiza por ordenador en un centro autorizado VUE.

El examen está conformado por 250 preguntas tipo test, con 4 respuestas disponibles, de las que solo se debe escoger una. Las preguntas mal contestadas no descuentan puntos, por lo que es importante contestar todas las preguntas antes de finalizar el examen. 

Se dispone de 6 horas para contestar las 250 preguntas, aunque el candidato puede realizar tantas pausas como considere necesarias, siempre que vaya acompañado de un responsable del centro VUE en ellas. Además, el candidato no podrá manejar dispositivos electrónicos durante el examen (incluidas las pausas del mismo), ni introducir comida o bebida en la sala del examen (a no ser que haya razones médicas justificadas que así lo requieran). Estos centros disponen de cámaras de seguridad que monitorizan las acciones del candidato en todo momento, con lo que si se intenta consultar apuntes, manuales, etc., dicha acción sería identificada al momento, y se invitaría al candidato a abandonar el examen por intento de copia.

Otras medidas especiales de cada uno de estos centros
Además, lógicamente el candidato perdería el derecho a la realización del examen en esa convocatoria.

Una vez el candidato ha finalizado el examen, éste lo debe indicar al software (es importante estar seguro de que todas las respuestas están correctamente contestadas antes de realizar dicha acción, ya que no hay vuelta atrás), y en unos segundos se le indica al candidato por pantalla si los resultados del examen han sido satisfactorios, o si por el contrario, lo ha suspendido.

La puntuación del examen va de 0 a 1000 puntos, siendo necesario un total de 700 puntos para aprobar el examen. No obstante, no todas las preguntas ponderan de la misma forma, y no se informa al candidato de las ponderaciones para cada pregunta, por lo que es muy difícil conocer los resultados del examen antes de que estos sean validados e indicados por el software.

Desde principios del 2014, se ha incluido un nuevo formato para algunas de las 250 preguntas, llamado “Drag and Drop”, o Arrastrar y Soltar. En dichas preguntas, se indica al candidato de forma gráfica un problema, que debe ser resuelto con el arrastre de alguna de las partes de la representación gráfica a un punto determinado del mismo.

Vemos un ejemplo de dichas preguntas a continuación:

Ejemplo de preguntas de examen CISSP

Se pueden consultar más ejemplos de este nuevo tipo de preguntas en el siguiente enlace:

https://www.isc2.org/innovative-cissp-questions/Default.aspx

Este nuevo formato de preguntas puede asustar al candidato en un inicio, por el desconocimiento del mismo. No obstante, hay que tener claro que los conocimientos evaluados por el examen son los mismos en todos los tipos de preguntas, por lo que si un candidato se encuentra preparado para las preguntas tipo test, no debería tener problema en enfrentarse a las preguntas de “Drag and Drop”.

¿Y si suspendo?
El candidato al CISSP puede presentarse hasta un máximo de 3 convocatorias de examen al año, siguiendo la siguiente política:
  • Al suspender por primera vez, el candidato debe esperar un mínimo de 30 días antes de volver a presentarse. 
  • Al suspender por segunda vez, el candidato debe esperar un mínimo de 90 días antes de volver a presentarse.
  • Al suspender por tercera vez, el candidato debe esperar un mínimo de 180 días antes de volver a presentarse.
  • Si se suspende por cuarta vez, se repite el proceso como si se tratara del primer suspenso.

¿Cómo aplico para la certificación?
Una vez se ha pasado satisfactoriamente el examen, el siguiente paso es aplicar para la obtención de la certificación. Recordemos aunque pueda parecer lógico, que antes de realizar esto el candidato no está certificado, y por tanto, no puede utilizar el título de CISSP con solo haber pasado el examen.
Para aplicar para la certificación, se debe disponer de una experiencia laboral de un mínimo de 5 años, relacionado con un mínimo de dos de los diez dominios abarcados por la certificación.

El candidato puede sustituir uno de estos 5 años, demostrando que ha realizado un grado superior de un mínimo de 4 años, o bien demostrando que es poseedor de alguna de las certificaciones aprobadas por el (ISC)² para tal efecto. No obstante, al hacer esto, seguirá requiriendo un mínimo de 4 años de experiencia laboral relacionada con los dominios del CISSP.

En el siguiente enlace se puede consultar la política relativa a la sustitución de un año de experiencia profesional comentada, con el listado de los certificados aprobados por el (ISC)² para ello:

https://www.isc2.org/credential_waiver/default.aspx

Si el candidato no dispone de la experiencia profesional necesaria para solicitar la certificación en el momento de superar el examen, se puede asociar al (ISC)² mientras la obtiene. Recordemos que una vez aprobado el examen, el candidato dispone de 9 meses para solicitar la certificación o bien para asociarse al (ISC)². En caso contrario, el candidato perdería la validez del examen realizado, y en caso de desear obtener la certificación en un futuro, se debería volver a presentar al examen y pasarlo satisfactoriamente.

Una vez se dispone de la experiencia necesaria, el próximo paso es obtener la aprobación de otro miembro con la certificación CISSP vigente. Dicho miembro deberá aceptar la responsabilidad de confirmar que el candidato al CISSP dispone de la experiencia profesional para la obtención del certificado. En caso que no se tenga contacto con ningún profesional con la certificación CISSP vigente, hay que indicarlo al (ISC)², que establecerá un procedimiento adicional para comprobar que el candidato dispone de la experiencia reportada.

El siguiente paso será rellenar un formulario de admisión, que irá firmado tanto por el candidato como por el profesional con el CISSP vigente.

Este formulario puede ser encontrado en el siguiente enlace:

https://www.isc2.org/uploadedFiles/Certification_Programs/endorsement.pdf

Una vez completado, deberá ser enviado al (ISC)² a través de correo electrónico, correo postal o fax a la siguiente dirección:

Correo electrónico: programs@isc2.org
Fax: 727-786-2989

Correo postal:   
(ISC)² Programs
Attn: Endorsements
311 Park Place Blvd, Suite 400
Clearwater, FL 33759 USA

Una vez recibida la petición, el (ISC)² emitirá una confirmación de recibo, y aprobará la petición del candidato al cabo de unas cinco o seis semanas desde ese momento. Si el proceso es correcto, se notificará al candidato después de dicho tiempo que su aplicación ha sido correcta, y se enviará al candidato el certificado por correo postal.

Más información sobre el proceso de solicitud de la certificación puede ser encontrada en el siguiente enlace:

https://www.isc2.org/uploadedFiles/Certification_Programs/endorsement.pdf

¿Cómo mantengo la certificación?
Una vez obtenida la certificación, no hay que olvidar que es necesario realizar un mantenimiento anual de la misma. Una de las acciones relacionadas con este aspecto es pagar unas tasas anuales, de un total de 85 dólares americanos.

Además, también se deben obtener y reportar un mínimo de 120 CPE (Continuing Professional Education) en un periodo de tres años, con un mínimo de 20 CPE anuales.

Reportar CPE es la manera de demostrar al (ISC)² que el profesional se encuentra activo en cuanto a las nuevas consideraciones relacionadas con el sector, y se basa en realizar acciones como elaborar artículos relacionados con alguno de los dominios de CISSP, asistir a seminarios o conferencias, la lectura de libros determinados, etc. Por regla general, un CPE suele corresponder a una hora de tiempo dedicada a una de estas actividades. De manera aleatoria, el (ISC)² realiza auditorías de los CPE reportados por los profesionales certificados en el último año, con lo que se deben conservar evidencias de las actividades realizadas para la obtención de los CPE, y hacerlas llegar al (ISC)² en caso que sea solicitado.

El detalle sobre las políticas relacionadas con el reporte de CPE puede ser consultado en el siguiente enlace:

https://www.isc2.org/uploadedFiles/%28ISC%292_Member_Content/CPEs/cpe_guidelines.pdf

Conclusiones
Con la lectura de este artículo, el candidato a la certificación CISSP debería tener un mapa de ruta bastante claro sobre el proceso de obtención de la misma, así como ser conocedor de los detalles de cada una de las etapas del proceso.

Los pasos para la obtención de dicha certificación que se han detallado en el artículo son los siguientes:


Pasos para la obtención del CISSP

El camino es largo y costoso, pero para los profesionales de la seguridad de la información, la recompensa sin duda merece todo el esfuerzo empleado. Ahora solo queda lo más difícil… Ponerse con ello!



Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.

Los Metadatos: definición, riesgo y eliminación

Algunos de nuestros clientes nos han planteado sus dudas acerca de los metadatos. El objetivo de este artículo es intentar responder a estas dudas. Para ello, se comenzará describiendo qué son los metadatos y dónde podemos encontrarlos, en el contexto de un entorno corporativo. Posteriormente, se analizará de forma justificada el riesgo derivado de su fuga, caracterizando los factores que influyen directamente en él. Finalmente, con el objetivo de reducir el nivel de riesgo, se presentarán un conjunto de soluciones nativas y de terceros, que permiten eliminar los metadatos asociados a los archivos más comúnmente utilizados en este tipo de entornos.

¿Qué son y dónde se encuentran?
La palabra metadato significa “datos acerca de los datos”. En nuestro contexto, se refiere  a la información relativa a un documento, como por ejemplo: el autor, la fecha de creación/modificación, el programa editor, etc. Estos datos son de gran ayuda a la hora de gestionar documentos y sus procesos de elaboración colaborativa.

En un entorno corporativo, los metadatos se encuentran principalmente en los documentos ofimáticos. Actualmente, existe una gran variedad de formatos de estos tipos de documentos. Sin embargo, los formatos generalmente utilizados son los relativos a: los documentos escritos, ya sea en formato editable (.doc, .docx, .odt, etc.) o de impresión (.pdf), las hojas de cálculo (.xls, .xlsx, .ods, etc.) y las presentaciones (.ppt, .pptx, .odp, etc.).

A continuación se muestran los principales tipos de metadatos contenidos en los documentos ofimáticos:
  • Propiedades del documento: Autor, Título, Páginas, Palabras, Tiempo de edición, Fecha de creación, Fecha de la última modificación, etc.
  • Revisiones de la edición: Historial de versiones anteriores.
  • Propiedades técnicas: Impresora física o virtual (PDF), Aplicación editora y versión, etc.
Además de los documentos ofimáticos, en un entorno corporativo también pueden encontrarse otros archivos que contienen metadatos, como son las imágenes, que también se encuentran en diversos formatos (.jpg, .png, .bmp, .gif, etc.). 
A continuación se muestran los principales tipos de metadatos contenidos en las imágenes:
  • Propiedades de la imagen: Geolocalización, Artista, Título, Descripción, Orientación, Resolución, Fecha de creación, Fecha de modificación, etc.
  • Propiedades técnicas: Marca y modelo del dispositivo fotográfico, Aplicación editora y versión, etc. 
Únicamente se han citado los tipos de archivos más utilizados en un entorno corporativo. Sin embargo, es importante indicar que todos los archivos poseen un conjunto común de metadatos asociados. Además, en función de la tipología del archivo (documento, imagen, archivo de sonido, video, etc.), este posee un conjunto de metadatos adicional, específico de su tipo (como son las Propiedades del documento y las Propiedades de la imagen mencionadas anteriormente).

¿Supone un riesgo su fuga?
Generalmente, los metadatos no son considerados uno de los elementos principales a tener en cuenta en términos de Seguridad de la Información. Es cierto, que su propia existencia no implica directamente la existencia de vulnerabilidades en el entorno. Además, analizándolos de forma aislada, el riesgo derivado de su fuga puede llegar a ser poco relevante.
Sin embargo, el nivel de riesgo depende principalmente de los siguientes factores:
  1. El volumen de metadatos disponibles.
  2. La criticidad de la información que proporcionan acerca de las vulnerabilidades del entorno.
  3. El grado de relación existente entre ellos.
Supongamos que disponemos de los metadatos Autor y Aplicación editora y versión de un mismo documento. Por un lado, el metadato Autor nos proporciona información sobre la existencia de un usuario en el entorno. Por otro lado, el metadato Aplicación editora y versión nos proporciona información sobre la existencia de un software ubicado en un sistema que pertenece al entorno.
Llegados a este punto, podemos concluir que cada metadato nos proporciona una información única acerca del entorno, que no podríamos conocer si no dispusiéramos de él (Factor I)).

Como se ha indicado anteriormente, el metadato Autor nos proporciona información sobre la existencia de un usuario. Esta información podría permitirnos deducir su dirección de correo corporativo, en caso de existir una correspondencia entre el nombre del usuario y su alias de correo (generalmente coinciden). Esto proporcionaría a un atacante un punto de entrada al entorno, pudiendo intentar realizar un ataque de ingeniería social para lograr su objetivo. A su vez, el metadato Aplicación editora y versión nos proporciona información sobre la existencia de una aplicación. Esta información podría permitirnos deducir, a qué vulnerabilidades está expuesta la propia aplicación, a través de la búsqueda de sus vulnerabilidades conocidas. Esto permitiría a un atacante la posibilidad de explotar una vulnerabilidad de la aplicación para lograr su objetivo.

Trabajando sobre la hipótesis que la aplicación vulnerable es accesible indirectamente a través de Internet, y que la vulnerabilidad explotada por el atacante le permite lograr su objetivo (alterar información, tomar el control del sistema, etc.), podemos concluir que cada metadato nos proporciona información de criticidad diferente acerca de las vulnerabilidades del entorno. En este caso, la probabilidad de éxito (y por tanto la criticidad de la información asociada) de un ataque que intente explotar dicha vulnerabilidad conocida de la aplicación, es mayor que la de un ataque de ingeniería social (Factor II). Es importante indicar, que en caso que la aplicación no fuera accesible a través de Internet, o no permitiera al atacante lograr completamente su objetivo, la probabilidad de éxito de un ataque a la aplicación podría ser igual o menor que la probabilidad de un ataque de ingeniería social.
Por otro lado, sabemos que ambos metadatos pertenecen a un mismo documento. Gracias a esta relación, obtenemos más información relevante acerca de las vulnerabilidades del entorno. En este caso, sabemos que existe un usuario (Autor) y que él mismo ha utilizado una aplicación vulnerable (Aplicación y versión) para generar un documento. Esta nueva información, permitiría a un atacante encadenar ambos ataques. Es decir, realizar un ataque de ingeniería social, en este caso a través de un correo electrónico, con el objetivo de explotar una vulnerabilidad de la aplicación para lograr su objetivo, utilizando para ello un documento manipulado específicamente para ese fin. La probabilidad de éxito de este ataque combinación de los anteriores, es superior a la de cada ataque por separado (Factor III).

En definitiva, los metadatos pueden convertirse en una fuente de información crítica para un atacante. Todos estos datos pueden permitirle obtener una imagen bastante fiel del entorno de una organización (incluyendo usuarios, sistemas, dispositivos de red, etc.) y de las vulnerabilidades que pueden afectar a cada uno de sus componentes. Toda esta información puede ser utilizada para posteriormente realizar un ataque dirigido, con una probabilidad de éxito muy superior a la de un ataque no dirigido, al no disponer de dicha información.

¿Cómo eliminarlos?
Esta es una de las cuestiones clave que nos plantean nuestros clientes. Actualmente, existe un conjunto amplio de herramientas que permiten eliminar los metadatos. Sin embargo, es importante indicar que no todas ellas son capaces de eliminar todos los metadatos asociados a los documentos. Además, no existe una solución que automatice completamente el proceso de eliminación de metadatos, siempre es necesario una implicación por parte del usuario, mayor o menor dependiendo de la solución empleada.
Podemos distinguir dos grupos de herramientas de eliminación de metadatos:
  • Herramientas nativas: Proporcionadas por los sistemas operativos y las plataformas de edición de documentos ofimáticos e imágenes.
  • Herramientas de terceros: Productos y servicios de empresas privadas y aplicaciones de código abierto.
Dentro de las Herramientas nativas, podemos encontrar las siguientes herramientas. Para cada una de ellas se indican los pasos necesarios para la eliminación de metadatos:
  • Windows: El sistema operativo dispone de una herramienta genérica que permite eliminar algunos metadatos asociados a los archivos. Para eliminar estos metadatos se deben realizar los siguientes pasos:
    • Acceder a las Propiedades del archivo.
    • Seleccionar la pestaña Detalles.
    • Hacer clic en Quitar propiedades e información personal.
    • Marcar la opción Crear una copia con todas las propiedades posibles quitadas.
    • Hacer clic en Aceptar.
  • Office: La plataforma Microsoft Office ha incorporado en sus últimas versiones la funcionalidad de eliminación de metadatos. A continuación, para cada versión se indican los pasos necesarios para utilizarla.
    • En las últimas versiones, la funcionalidad de eliminación de metadatos se llama “Inspección de documentos”. Es importante indicar, que el proceso es independientemente de la versión del formato y la versión de Office con las que se creó el documento. Para eliminar estos metadatos se deben realizar los siguientes pasos:
    • 2013:
      1. Acceder al menú Archivo y hacer clic en Información.
      2. En la sección Preparar para compartir, hacer clic en Comprobar si hay problemas.
      3. Hacer clic en Inspeccionar documento.
      4. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      5. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2010:
      1. Acceder al menú Archivo.
      2. En la sección Preparar para compartir, hacer clic en Comprobar si hay problemas.
      3. Hacer clic en Inspeccionar documento.
      4. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      5. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2007:
      1. Acceder al menú Archivo.
      2. En la sección Preparar, hacer clic en Inspeccionar documento.
      3. Marcamos todas las zonas susceptibles de contener metadatos y hacemos clic en Inspeccionar.
      4. Para cada zona que deseemos eliminar sus metadatos, hacer clic en Quitar todos.
    • 2003/XP: Para esta versión, existe un plugin que permite eliminar permanentemente los datos ocultos y de colaboración (como el control de cambios y los comentarios). Tras finalizar su instalación, para eliminar estos metadatos se deben realizar los siguientes pasos:
      1. Acceder al menú Archivo.
      2. Hacer clic en Remove Hidden Data.
    • Para versiones anteriores de Office, Microsoft ha publicado un conjunto de guías, con el objetivo de minimizar los metadatos almacenados en esos documentos:
  • OpenOffice: Esta plataforma también incorpora la funcionalidad de eliminación de metadatos. Para utilizarla y eliminar los metadatos asociados a estos tipos de documentos, se deben realizar los siguientes pasos:
    1. Acceder al menú Herramientas.
    2. Hacer clic en Opciones.
    3. En el árbol de la izquierda, seleccionar Seguridad.
    4. En el panel de la derecha, en el apartado Opciones de Seguridad y alertas, hacer clic en Opciones.
    5. En el nuevo menú abierto, marcar la opción Elimina la información personal al guardar.
    6. Hacer clic en Aceptar.
Sin embargo, tal y como se ha indicado anteriormente, algunas de las herramientas descritas no son capaces de eliminar todos los metadatos asociados a documentos e imágenes. Por ello, a continuación se indican algunas de las herramientas que se encuentran dentro del grupo de Herramientas de terceros, capaces de eliminar todos los metadatos:
  • OOMetaExtractor: Esta herramienta permite eliminar los siguientes metadatos, los cuales no pueden ser eliminados a través de la Herramienta nativa OpenOffice: Aplicación generadora del documento, Sistema operativo, Impresoras, Bases de datos y Rutas de plantillas.
  • ExifTool: Esta herramienta permite eliminar todos los metadatos asociados a una imagen (también llamados etiquetas de metadatos EXIF).
  • Metashield Protector: Esta suite de herramientas ofrece un conjunto de soluciones, algunas de ellas automatizadas y otras manuales, para la eliminación de metadatos en entornos corporativos. A continuación se describen las soluciones principales:
    • IIS/Sharepoint: Este módulo permite interceptar las peticiones de documentos de los usuarios de dichas plataformas, y limpiar sus metadatos antes de entregarlos.
    • File Servers: Este módulo permite monitorizar las carpetas ubicadas en este tipo de servidores, para eliminar los metadatos de los documentos contenidos en ellas inmediatamente después de su creación.
    • Clients: Este módulo se integra en el sistema operativo Windows. Permite de forma similar a la Herramienta nativa del sistema, eliminar todos los metadatos de un archivo (incluyendo los que no puede eliminar el propio sistema operativo).
Conclusiones 
Tras dar respuesta a las principales dudas acerca de los metadatos, es importante adoptar una postura frente a ellos. Conocer qué son los metadatos y dónde se encuentran, nos permitirá de ahora en adelante, identificar cuáles son las principales fuentes de metadatos y su diversa tipología, presentes en un entorno corporativo. Los resultados del análisis del riesgo derivado de su fuga, nos permitirán evaluar el riesgo de una forma más precisa y real, siendo más conscientes de los posibles impactos que pueden llegar a materializarse. Finalmente, conocer cuáles son y cómo pueden utilizarse las principales soluciones de eliminación de metadatos, nos permitirá definir un plan de tratamiento del riesgo efectivo y adecuado al entorno.

Autor: Carlos Antonio Sans
Departamento de Consultoría.

Análisis de la norma PCI P2PE (PCI Point-to-Point Encryption) del PCI SSC

A continuación se realiza un análisis de la norma PCI P2PE (PCI Point-to-Point Encryption) establecida por el PCI SSC, la cual permite reducir el ámbito de cumplimiento de la norma PCI DSS en comercios. La norma PCI P2PE se basa en el proceso que comprende el cifrado de datos en el punto de interacción con el poseedor de la tarjeta (generalmente un comercio), hasta que los datos alcanzan el entorno de descifrado gestionado por un proveedor de servicios.

Este proceso incluirá tanto el método de cifrado desde el terminal de punto de venta (POI) como el descifrado para el envío a los organismos autorizadores del pago, incluyendo la seguridad de los sistemas y aplicaciones que intervienen en dicho proceso así como la gestión de las claves de cifrado y descifrado.

En primer lugar aclarar que el hecho de que un comercio utilice una solución certificada como P2PE, no le exime de cumplir PCI DSS con los requisitos que le sean de aplicación y remitidos por su banco adquiriente (en función de los niveles de servicio), aunque sí reducir en gran medida su ámbito de cumplimiento. Esto se explica debido a que, en muchos casos, los comercios tienen que tratar tarjetas físicas en mano o pueden recibir datos de tarjeta a través de otros canales distintos del definido para P2PE como por ejemplo a través del teléfono. Además, al comercio se le requerirán otros requisitos en relación con:
  • La protección física de los POI (Point of Interaction)
  • No almacenar datos sensibles fuera de los POI
  • Políticas y procedimientos adecuados por parte del comercio
  • Mantenimiento de acuerdos con terceros (en caso de ser necesario)
  • Seguir el documento P2PE Instruction Manual (PIM) que tiene que ser provisto por el proveedor P2PE al comercio y que establece como implantar y mantener los dispositivos POI.
  • Segmentar adecuadamente entorno P2PE del resto de entornos.

En relación con la certificación P2PE  para proveedores de servicio, hay dos tipos de sistemas en función del entorno de descifrado utilizado:
  • P2PE Hardware/Hardware: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan dentro de un HSM.
  • P2PE Hardware/Hybrid: cuando las operaciones de cifrado se realizan dentro del POI y las operaciones de descifrado se realizan a través de software fuera de un HSM (aunque utilice un HSM para almacenar las claves).
Actualmente el escenario más habitual es Hardware/Hardware cuyas características son las siguientes:
  • Utilización de un dispositivo hardware seguro (SCD Secure Cryptographic Devide) en ambos extremos.
  • Solución proporcionada por un proveedor (adquiriente, procesador, pasarela de pagos) – Third Party

En función del tipo de entorno de descifrado utilizado, habrá variación en algunos de los requisitos aplicados en el dominio 5 “Entorno de Descifrado” (los dominios se especifican de forma esquemática más adelante)

Hay una relación muy estrecha entre los requisitos solicitados por P2PE con respecto al resto de normas establecidas por el PCI SSC tal y como se detalla a continuación:
  • Los dispositivos POI utilizados para lectura de tarjetas deben estar incluidos en las listas del PCI SSC como dispositivos aprobados por PCI PTS con la función SRED (Secure Reading and Exchange of Data): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_solutions.php
  • Las prácticas de gestión de claves para cifrado y descifrado de datos de tarjeta debe realizarse siguiendo los criterios de PTS PIN.
  • Las aplicaciones en los dispositivos POI deben cumplir con los requisitos de PA-DSS. Una matización importante al respecto es  que, en el caso de haber varias aplicaciones dentro del mismo POI, deben ser evaluadas todas (incluidas las que no accedan a datos de tarjeta).
  • El entorno de descifrado cumple con los requisitos de la norma PCI DSS.

Aunque no es necesario estar certificado del resto de normas para cumplir con P2PE, sí ayudan a reducir el entorno de cumplimiento (y por lo tanto al ámbito de la auditoría anual). Un caso distinto será el referido a los terminales de venta (POI) que sí deben aparecer en las listas del PCI SSC como dispositivos homologados.

Estos requisitos están incluidos dentro de los dominios establecidos para la norma P2PE para la obtención de la certificación:
  • Dominio 1: Dispositivos criptográficos (POI, HSM)
  • Dominio 2: Aplicaciones en dispositivos POI (En las listas del PCI SSC se establecen aplicaciones que cumplen con los requisitos establecidos para P2PE): https://www.pcisecuritystandards.org/approved_companies_providers/validated_p2pe_applications.php
  • Dominio 3: Entorno de cifrado del comercio
  • Dominio 4: Segmentación entre dominios de cifrado y descifrado
  • Dominio 5: Entorno de descifrado (En el caso de que el entorno de descifrado no este certificado como PCI DSS, será requerido un análisis de dicho entorno según los criterios de la norma P2PE que le son de aplicación. 
  • Dominio 6: Administración de claves P2PE
  • Anexo A: Requerimientos para distribución de claves simétricas utilizando métodos asimétricos
  • Anexo B: Operaciones de cifrado: Inyección de claves en los terminales

En relación con la externalización de los servicios, la norma permite que cualquiera de los requisitos sea delegado a un tercero siempre y cuando éste esté certificado como P2PE para dichos requisitos (proporcionando un atestado de cumplimiento) o demuestren cumplir con los mismos en un análisis de un asesor P2PE (QSA P2PE).

Un caso de particular interés es aquel en el que los POI y sus claves ya han sido desplegados y se pretende que formen parte de la certificación P2PE. En este caso hay dos opciones:
  • Opción 1: Revisar que las evidencias existentes demuestren que se realizó según se refleja en la norma P2PE.
  • Opción 2: Resetear todos los dispositivos POI incluyendo firmware, claves criptográficas, configuración y software instalado y volver a instalarlos de acuerdo con la norma P2PE.

En cuanto a los requisitos de la certificación en sí, se debe realizar un análisis por parte de un asesor QSA (P2PE) que deberá generar un informe de reporte de validación al final del mismo (P-ROV: P2PE Report On Validation) y un atestado de validación (AOV) firmado por el proveedor de P2PE y por dicho asesor. En caso de ser aceptado y validado por el PCI SSC, éste enviará el mismo atestado de validación (AOV) firmado, tanto al proveedor P2PE como al asesor y serán incluidos en las listas de soluciones P2PE validadas.

Una vez conseguida la certificación, la validez de la misma será de dos años. Al final de dicho periodo habrá que volver a realizar un análisis completo de la solución P2PE. Sin embargo, se requiere que al año siguiente de la obtención de la certificación (y en años sucesivos a la recertificación) un asesor QSA P2PE realice un análisis provisional (chequeo de salud) de que se están siguiendo los procedimientos según se han establecido y que el entorno sigue siendo el mismo. El resultado será el envío de un atestado de validación (AOV) al PCI SSC.

En relación a las tasas de certificación, aparecen incluidas en la página del PCI SSC:
http://es.pcisecuritystandards.org/security_standards/fees.php

Se requiere una tasa inicial previa a la inclusión en las listas de las marcas de pago y otras tasas en función que distintos tipos de cambios en la solución que requieren de análisis por parte de un asesor.

Las tasas definidas son las siguientes:
Vendor Fees:
Solution P-ROV Submission Fee     USD 4,500
Administrative Changes Fee     USD 500
Designated Changes Fee     USD 1,000
Application P-ROV Submissions Fee     USD 2,500
No-Impact Changes Fee     USD 125


Autor: Javier Lorrio - CISSP, CCSA, CCSE, CISA, PCIP
Departamento de Consultoría.