Crónica del 2do Foro Nacional de Seguridad TI: “Desafíos y Oportunidades de la Seguridad de la Información en la era del Posconflicto”

El 22 de junio tuvo lugar este foro en la Universidad de los Andes (Bogotá, Colombia), y aunque su nombre está atado a un término político (posconflicto) que solamente refleja una realidad parcial, que es la negociación de la paz con la guerrilla de las FARC-EP, pero no tiene en cuenta a otras que siguen operando en Colombia como el ELN y el EPL que no son parte de las negociaciones. Sin embargo la desmovilización de las FARC-EP implica que unos 32.000 combatientes deben salir de la ilegalidad, quizá en este contexto podamos hablar de un posconflicto.

Para no hablar más de política veamos que nos ofreció este foro, en la primera presentación María Isabel Mejía Jaramillo, Viceministra de Tecnologías y Sistemas de la Información, hizo una charla titulada "La nueva Política Pública de Seguridad Digital: desafíos y oportunidades en el escenario de posconflicto”, partió del estado actual de implementación del CONPES  del 2011 (el 3701) que dio los lineamientos iniciales para la implementación del ColCERT (Grupo de Respuesta a Emergencias Cibernéticas de Colombia) dependiendo del Ministerio de Defensa, y las dos entidades que dependen de este nuevo ente: El Centro Cibernético Policial - CCP dependiendo de la Dirección de Investigación Criminal e Interpol (DICI) de la Policía Nacional, y el Comando Conjunto Cibernético – CCOC dependiendo de las Fuerzas Militares Colombianas (Ejército, Fuerza Aérea y la Armada).

Posteriormente describió en términos generales sobre el proceso que se produjo para llegar al nuevo CONPES en cuanto a seguridad digital. El CONPES 3854 de 2016 “Política Nacional de Seguridad Digital” fija una serie de objetivos para continuar abordando la ciber-defensa y la ciber-seguridad pero ahora desde una perspectiva de gestión de riesgos de acuerdo a las recientes recomendaciones de la OCDE “Organización para la Cooperación y el Desarrollo Económicos”. Este nuevo documento tiene como fecha objetivo el 2020 y hace responsable de diferentes temas a todos los Ministerios del Gobierno e incluye iniciativas de formación desde la educación básica primaria.

La segunda presentación estuvo a cargo del Teniente Coronel Fredy Bautista, director del Centro Cibernético Policial. En esta charla nos presentó la estructura general del CCP donde se ocupan de 4 grandes temas: ciber-terrorismo, fraude informático, pornografía infantil y el CAI  Virtual. Estos temas son tratados por los diferentes equipos especializados en diferentes tareas: GGRIDI – Grupo Investigativo de Delitos Informáticos, GITEC -  Grupo de Investigaciones Tecnológicas, CSIRT PoNal, y el CCP – Centro Cibernético Policial. A continuación presentó las tendencias observadas del ciber-crimen, entre las cuales tenemos: ransomware, uso delictivo de cripto-divisas y ciber-lavado, los datos como productos, el crimen como servicio (desarrollo de aplicaciones maliciosas a la medida, acceso a sistemas comprometidos, gestión de plataformas de ventas de estos servicios), compromisos de correos empresariales, servidores a prueba de balas, y todos lo demás elementos que se pueden encontrar en la Deep Web o Dark Net.

Mencionó igualmente cómo están afectando en Colombia algunos mercados ilegales como Agora, Pandora y Silkroad, el inventario de 752 cripto-divisas que se tienen actualmente, los ataque a cajeros automáticos que han llegado (con aplicaciones como Dyre, Carbank, Timba, Corkon, Plotus) y detalló el caso de un banco (no nombrado) en el que se realizó un fraude de aproximadamente 1024 millones de pesos usando Plotus (un poco más de 300 EUR).

La tercera entrada de la jornada fue el “Panel Ejecutivo: Desafíos y oportunidades de seguridad de la información en la era del posconflicto” con la moderación de Sandra Peña - Jefe de Redacción Computer World, y los foristas: Policía Nacional de Colombia – Teniente Coronel Fredy Bautista, Universidad de los Andes - Sandra Rueda, Ph.D. Profesora Asistente, Departamento de Ingeniería de Sistemas y Computación, Universidad de los Andes - Jean Marie William Chenou, Profesor Maestría de "Construcción de paz", CCOC – Coronel Erich Siegert Cerezo, Comandante Comando Conjunto Cibernético, NEC - Luís Mauricio Vergara Jiménez, Especialista de Soluciones de Ciber-seguridad para Latinoamérica, MINTIC - Jorge Bejarano - Director de Estándares y Arquitectura de TI.

En este panel los participantes ven como preocupaciones o retos los siguientes temas: protección de la información de los reinsertados ya que esta puede ser usada para generar discriminación, esta protección debe dar cobertura a todos los sistemas que se usan para dar seguimiento a los procesos de reinserción, restablecimiento de derechos, y otros. La discriminación y el odio deben ser monitoreados especialmente en las redes sociales ya que son un mecanismo de rápida penetración en la sociedad.

Como estrategias se prevé: la educación como mecanismo para generar conciencia y fomentar la responsabilidad en el manejo de información en los medios, implementación de mecanismos para evitar la suplantación de identidad, la adecuada implementación del CONPES y el fortalecimiento de la lucha contra el crimen cibernético, para esto se debe incrementar la capacidad técnica, fortalecer las capacidades de recolección de acerbos probatorios, el fortalecimiento de la participación en escenarios internacionales, la formación de expertos en plataformas específicas, y, el uso de las emisoras administradas por el estado para contener mensajes virales (Radio Nacional de Colombia con presencia en 44 regiones, Radio Policía Nacional con presencia en 33 regiones, Emisora del Ejército Nacional con presencia en 38 regiones); igualmente se plantea la necesidad de fortalecer el ambiente jurídico y el fortalecimiento de la identidad de ciudadano digital desde las ópticas de derechos y deberes.

Entre las oportunidades que se encuentran en este momento histórico están: el uso de tecnologías para generar conocimiento que conduzca a finar o mejorar las políticas actuales, el uso del anonimato como mecanismo para el lanzamiento de alertas, oportunidades para el desarrollo económico.

En la charla de “Desafíos del Ecosistema Digital, en la era de posconflicto” dirigida por Luís Mauricio Vergara Jiménez, Especialista de Soluciones de Ciber-seguridad para Latinoamérica de NEC, hizo una contextualización del ambiente del posconflicto partiendo de procesos de paz en 12 países pasando por los diferentes grupos armados ilegales que ha tenido el país y terminando en las cifras que maneja el gobierno en relación al estado actual del conflicto armado. Posteriormente presentó los retos del país en esta era de posconflicto, los retos presentados no difirieron de los analizados por los foristas del panel anterior.

En una de las charlas paralelas dirigida por la Teniente Coronel de la Fuerza Aérea Martha Sánchez, Directora del Programa Ciber-seguridad y Ciber-defensa de la Escuela Superior de Guerra,  "Desafíos de la educación en Ciber-seguridad y Ciber-defensa en el postconflicto", en esta charla partió de mencionar la realidad actual del proceso de negociación que ha involucrado temas como la política de desarrollo agrario integral, la participación política, el fin del conflicto armado, la solución al problema de las drogas ilícitas, las víctimas y los procesos de refrendación e implementación.

Durante esta presentación nos contó cómo ha mutado la amenaza partiendo de la experiencia de la desmovilización de las AUC (Autodefensas Armadas de Colombia) durante los años 2002 al 2005 con la ley de justicia y paz, en este proceso se desmovilizaron 31.000 combatientes pero 4.000 volvieron a la criminalidad en forma de 33 bandas criminales, estas redes tienen como características una estructura no vertical y son transnacionales.

Entre otras amenazas nombradas por la coronel están: la minería ilegal, la ciber-seguridad, el narcotráfico, derechos humanos, víctimas y restitución de tierras, medio ambiente y crimen organizado. Todo esto ha traído los siguientes desafíos: transformación de la estructura del estado, capacitación y formación especializada, tareas de investigación desarrollo e innovación, el mejoramiento de las relaciones inter-agencias y trabajo multidisciplinario, la gestión del riesgo adaptada a las nuevas necesidades en todas las organizaciones, entrenamiento y juegos de simulación, independencia tecnológica, cooperación interinstitucional y alianzas estratégicas; estos desafíos han sido abordados en la ESG en diferentes programas de formación de nivel de pos-grado orientados a diferentes perfiles (técnicos, legales).

En la sesión paralela del Coronel Erich Siegert Cerezo bajo el título "Los retos y oportunidades para la ciberdefensa en el postconflicto" se presentaron cuáles son los planes para el ejército de Colombia en su vertiente más cibernética, que incluso incluirá la componente de ciberejército con las capacidades ofensivas con las que ya cuentan otros países en el mundo. Además se hizo hincapié en la capacidad de las FF.AA. colombianas de exportar conocimiento en áreas en las que por las características a las que se han sometido estas durante 50 años de conflicto pueden ayudar a otros países en actividades para abordar asuntos de antiterrorismo, migratorios, etc. pudiendo “presumir” de amplia experiencia en materias en las que otros países pueden encontrarse de forma más reciente.

La charla "TIC's de Seguridad para el Ciudadano" dirigida por Luis Carlos Sanmartín, Especialista en seguridad de la información de SECURITY ZONE presentó al ciudadano digital desde las perspectivas de perfil, herramientas de acceso que usa, los medios de conectividad, la información que comparte, la información que busca, los riesgos a los que está expuesto, sus limitaciones técnicas, sus procesos de compra (tomado de PCI) y su pobre manejo de contraseñas. Luego mencionó las normativas y buenas prácticas del mercado en términos de seguridad de la información para llegar a que las recomendaciones son 12 (sí, los 12 requerimientos de PCI DSS) y luego los resume en 4 (use antivirus y firewall, actualice su sistema operativo y aplicaciones, no instale aplicaciones ilegales, y, haga copias de seguridad); luego hizo un par de recomendaciones para el manejo de correo electrónico (no ingresar a vínculos que soliciten información personal o financiera, desconfiar de correos promocionales o tarjetas virtuales, y analizar los correos con un antivirus), finalmente recomendó hacer uso de la navegación segura usando las páginas que presenten HTTPS al inicio de su dirección.

Finalmente en la breve charla de cierre “Visión global y conclusiones sobre los desafíos y oportunidades de la Seguridad de la Información en la era del postconflicto” dirigida por Jorge Bejarano - Director de Estándares y Arquitectura de TI del MINTIC, presentó una visión global donde mencionó como elementos importantes el hecho de tener un contexto único por el esquema en que se ha presentado el conflicto, la existencia de un marco legal, institucional y sistemas únicos (creados para poder dar soporte a todo el manejo de víctimas y reinsertados), la necesidad de mantener estos sistemas en esquemas de interoperabilidad seguros ya que intercambian información sensible. Entre retos y oportunidades mencionados están el tema de formación y educación en todos los niveles, desde los niños en el colegio hasta niveles especializados.


Autor: Javier Roberto Amaya Madrid - ISO 27001 LA, PCI QSA, PCIP
Departamento de Consultoría

Vicente Aguilera en el programa "Caça-tuits" hablando sobre #Tinfoleak

El programa "Caça-tuits" de UPFRàdio entrevistó la pasada semana a Vicente. Durante la entrevista, Vicente comentó los usos y el potencial de su herramienta Tinfoleak, así como la relación con la privacidad de los usuarios en las redes sociales.

El programa se dedica a comentar las noticias más interesantes que se publican en redes sociales, especialmente en Twitter. Vicente aportó su visión en la generación de inteligencia basada en OSINT, y las aportaciones que puede realizar Tinfoleak en esta línea.

Más información:
http://portal.upf.edu/web/upf-radio/caca-tuits

Podcast con la entrevista:
http://www.ivoox.com/caca-tuits-46-audios-mp3_rf_11789199_1.html

Fechas clave para la retirada de PA-DSS v3.1

El PCI SSC ha publicado las fechas de vigencia, caducidad y hasta las cuales se aceptarán Informes de Certificación del cumplimiento (ROVs) de PA-DSS en las versiones 3.1 y 3.2.

Los ROVs y los cambios para las aplicaciones de pago validadas según las PA- DSS v3.1 podrán ser presentados hasta el 31 de agosto de 2016 y a partir del 1 de septiembre de 2016 todos los nuevos ROVs deberán estar validados acorde a PA-DSS v3.2.

El resumen de las fechas de vigencia y caducidad es el siguiente:

Fechas del ciclo de vida de las PA-DSS
PA-DSS 3.1
PA-DSS 3.2
Fecha de vigencia:
Las inscripciones estarán abiertas a partir de esta fecha.
1 de junio 2015
1 de junio de 2016
Fecha de caducidad Estándar:
Las presentaciones para los nuevos anuncios de aplicaciones y cambios de alto impacto no se aceptarán después de esta fecha.
31 de agosto de 2016
TBD
Fecha de caducidad Aplicación de venta:
Todas las aplicaciones se moverán a la lista de
"los despliegues preexistentes "
28 de octubre de 2019
28 de octubre de 2022
Los cambios aceptados hasta:
Bajo impacto y no hay cambios de impacto para aplicaciones enumeradas
28 de octubre de 2019
28 de octubre de 2022













El PCI SSC extenderá un período de gracia para aquellos ROVs sobre los que se haya pedido aclaraciones o cambios entregados antes de la fecha del 31 de agosto de 2016 en la versión 3.1, y que llegará hasta el 30 de noviembre de 2016, siempre y cuando el ROV completado y todo el apoyo la documentación se hubiera presentado correctamente al PCI SSC (y la correspondiente factura fue pagada en su totalidad antes de las 12:00 am EDT 1 de septiembre de 2016) antes de la fecha límite.

Este cambio en las fechas volverá a afectar a los ciclos de validez de la norma PA-DSS tal y como sucedió el mes pasado con la publicación avanzada de PCI DSS v3.2 por lo que será importante que las empresas con aplicaciones en procesos de certificación tengan en consideración estas fechas.

Si necesita ayuda o aclaraciones ante estos cambios, no dude en contactar con nuestro equipo comercial para asesorarles sobre cuál sería el proceso más adecuado en su caso para alcanzar la certificación PA-DSS de la mejor forma posible.

Reflexiones sobre OSINT en 140 caracteres

De un tiempo a esta parte, OSINT (“Open-Source Intelligence”) se ha convertido en un término habitual para quienes estamos vinculados a la seguridad. No hablaría de una moda, ya que hace años que está con nosotros, pero sí que es cierto que cada vez cobra mayor relevancia. El uso creciente de las redes sociales como altavoz de ciertas actividades ilícitas, la situación de amenaza terrorista global en la que nos encontramos, la necesidad de explotar de forma eficiente el “big data” público y la necesidad de los gobiernos y las Fuerzas y Cuerpos de Seguridad del Estado en mejorar sus procesos de detección, ha acrecentado la difusión y conocimiento de este término por parte de los actores involucrados.

Este artículo no pretende definir o presentar el concepto clásico de OSINT (para eso, pueden consultarse presentaciones como la de las II Jornadas de Seguridad y Ciberdefensa “Técnicas #OSINT” [1], o el debate “OSINT y hacking con buscadores” del canal “Palabra de hacker” [2]) ni ser un repositorio de herramientas, manuales de uso o referencias, sino ir más allá en lo que este concepto oculta dentro del propio término, para que sea el propio lector quien pueda llegar a comprenderlo y, en última instancia, definirlo.

Tras iniciar la publicación de los #OSINTquoteoftheday, que publico diariamente en Twitter, algunas personas se han interesado en lo que hay más allá de estos conceptos o reflexiones y este artículo ahonda en ellas a fin de aportar algo de luz a conceptos que quizás no se tienen en consideración al hablar de OSINT.

 “If we want to hear the society, regardless of our goal, we have to analyze his voice, which is nothing more than the data provided through multiple sources.”

Nuestra sociedad quiere ser oída y nosotros necesitamos oírla. Se expresa diariamente a través de los medios que tiene a su alcance pero, su voz, casi siempre se pierde en el océano de la información.

Independientemente del motivo que nos lleve a querer conocer qué dicen y, más importante aún, quién lo dice y porqué lo dice, necesitamos acceder y analizar los datos que nos proveen las fuentes de información utilizadas por la Sociedad.

Lógicamente, las redes sociales son la primera fuente que nos viene a la mente. Pero también nos expresamos a través de otros múltiples medios, que deben ser igualmente analizados y que, además, nos ayudarán a ampliar y permitir contrastar la información que podamos obtener. Estos medios pueden proporcionar información de manera directa (una publicación en una red social, un comentario en un foro, una entrevista en un medio de comunicación, un testigo de un hecho, etc.) o de manera indirecta (reducción en las ventas de un producto, incremento de desplazamientos, descenso en el número de votantes, etc.).

Cualquier fuente de información facilita datos que pueden ser analizados para extraer conclusiones sobre un individuo, un sector o la sociedad en su conjunto. Conocer las fuentes y saber cómo explotarlas, es donde reside su complejidad.

 “As any process of generating intelligence, the OSINT ultimate goal is to assist in decision-making.

Cuando oímos que la información es poder, cosa en la que coincido plenamente, en realidad lo que pretenden decirnos es que el hecho de conocer determinada información facilita que se puedan tomar decisiones que conlleven un beneficio para el poseedor de dicha información. Cuanta más información se disponga, mayor número de decisiones se pueden tomar, y con un mayor nivel de éxito. Ahí está su poder.

Es decir, es importante analizar la información porque ello nos permitirá generar inteligencia. Y dicha inteligencia está encaminada a ayudarnos en la toma de decisiones, generalmente buscando un beneficio para la sociedad, aunque el objetivo dependerá de quien tenga la responsabilidad de tomar las decisiones.

 “OSINT reveals more details about a person that a psychological analysis.

En la actualidad, nuestra vida está en Internet. De forma pública y accesible para cualquier observador interesado en nosotros. Un análisis psicológico depende de la interpretación de un especialista en base a la información facilitada por el individuo objeto del análisis, como resultado de una o varias sesiones. Pero, puestos a analizar a un individuo, ¿qué mejor que analizar su entorno, sus acciones, sus relaciones, sus éxitos, sus fracasos, a lo largo de toda su vida? ¿Y si, a través de diferentes fuentes, podemos contrastar la información obtenida en base a aquella no facilitada directamente por el individuo, o facilitada por su entorno o un tercero?

Aplicando técnicas OSINT, la información obtenida sobre una persona puede revelarnos más detalles y un mejor conocimiento de la misma que un análisis psicológico. Todo depende de los objetivos que nos hayamos marcado sobre la decisión a tomar.

 “Our digital fingerprint is indelible. The problem is that not only allows to identify our actions and our identity, but also allows to reveal the essence of ourselves.

Internet no olvida o, por lo menos, siempre recuerda algunos aspectos. Borrar por completo nuestra identidad digital es una utopía. Este hecho, facilita que podamos ser identificados, que nos pongan cara y que conozcan nuestras acciones. Esto, de por sí, ya debería preocuparnos en gran medida. Pero el problema es aún mayor. El hecho de revelar intimidades o aspectos privados de nuestra vida, nuestros movimientos, nuestros gustos y nuestras aspiraciones es todavía más preocupante.

No sólo acabamos revelando nuestra identidad, revelamos aquello que nos hace ser únicos, en definitiva, ser quienes somos. Las agencias de publicidad y marketing, lo aprovechan para realizar campañas personalizadas observando los resultados a tiempo real, las empresas analizan los perfiles de sus candidatos, los candidatos a su vez, a sus posibles responsables y compañeros de trabajo, el acosador es capaz de predecir los movimientos de su víctima, etc. y esto no es más que el principio.

 “In an OSINT process, the fact of selecting an information source is like choosing your ideal partner: difficult, impossible sometimes, and better not to take a wrong decision.

Cuando hablamos de obtener información, el hecho de seleccionar las fuentes más adecuadas y fiables, se convierte en una tarea vital dentro del proceso de generación de inteligencia. Las fuentes utilizadas van a determinar el grado y la calidad de la inteligencia que podamos generar. Es una parte compleja dentro del proceso, y su selección dependerá de los objetivos perseguidos, del tiempo disponible y de la capacidad del analista.

El hecho de seleccionar una fuente de información inadecuada va a generarnos ruido y desinformación. En este escenario, pierde el sentido la expresión “la información es poder”, ya que la decisión que tomemos en base a dicha información va a tener el efecto contrario al esperado, y se volverá en nuestra contra. No hay nada peor que tomar una decisión de manera desinformada. Las consecuencias son imprevisibles.

 “Sometimes is not necessary to have the resources of a spy agency. The information being sought is accessible through open sources.

Hoy en día, cualquier usuario dispone de los medios y herramientas necesarias para poder generar la inteligencia necesaria sobre ámbitos concretos. Más allá de las capacidades de una agencia de inteligencia (o espionaje) como NSA [4], GCHQ [5] o nuestro mismo CNI [6] (curiosamente, CNI es el único que integra la palabra inteligencia entre sus siglas), que no voy a poner en duda y que, lógicamente, no pueden ser comparadas con las de un usuario particular, existen contextos específicos que sí pueden ser analizados, por el hecho de que la información asociada se encuentra accesible públicamente y puede dar respuesta al objetivo perseguido.

En estos casos, existen múltiples fuentes de información que pueden ser aprovechadas por usuarios anónimos, o grupos, para generar inteligencia que les permita tomar decisiones en su beneficio o, simplemente, saciar su curiosidad. La ética también juega un papel importante. Si la información está disponible para cualquiera, el uso que se pueda hacer de la misma también tendrá finalidades positivas y negativas.

 “The information is available to anyone, but intelligence only for the most sagacious people.

Cada segundo, generamos un volumen de información impensable hace tan sólo unos años [7]. La mayor parte de esta información se encuentra accesible para cualquiera, de forma pública. Con estas premisas, parece que generar inteligencia sea un juego de niños. Nada más lejos de la realidad. Información e inteligencia no son sinónimos, y la segunda está basada en las características de la primera, y en la capacidad de análisis de la que se dispone.

Además de los aspectos que he comentado previamente en relación con la selección de las fuentes de información, cabe destacar el hecho de que si hoy existe algo en exceso en nuestra sociedad es, precisamente, información. Tanto es así, que se ha acuñado el término infoxicación [8] para hacer referencia a esta sobrecarga de datos. Por tanto, el hecho de que esté disponible la información no está asociado directamente al hecho de generar inteligencia o, cuando menos, inteligencia con la calidad deseada. Tan complicado y deseado es generarla, que los estados incrementan sus partidas presupuestarias para conseguir superar la capacidad de sus “adversarios” o la de sus propios “compañeros” de alianza.
 “Those who undervalue OSINT, undervalue his privacy and security.

Si pensamos que nuestra vida, y la de nuestro entorno más próximo, está expuesta no sólo para las agencias gubernamentales sino para cualquier usuario (imaginemos nuestro vecino, la persona con la que coincidimos diariamente en los desplazamientos en metro a nuestro lugar de trabajo, la persona que nos observa en una cafetería, el dependiente que nos atiende en un comercio, etc.), comprenderemos la importancia de la privacidad y seguridad, no sólo la nuestra sino también la de aquellos que nos rodean.

En ocasiones, somos conscientes de que nuestra información puede ser utilizada por un tercero, posiblemente buscando un objetivo económico. Pero cometemos, bajo mi punto de vista, dos errores importantes. Primero, ese tercero que hace uso de la información privada que ha obtenido a través de una fuente pública, no tiene porqué ser un gobierno o una organización, o alguien que se encuentra a miles de kilómetros de distancia. Puede ser alguien que forma parte de nuestra vida, de nuestro entorno, y eso nos afecta de forma mucho más directa. Por otro lado, el segundo gran error es pensar en el uso de la información personal exclusivamente por agencias de marketing, gobiernos u otros que puedan hacer usos estadísticos. La finalidad es conocernos, en su sentido más amplio. Y el uso de la información puede ir desde el chantaje o la extorsión, hasta el secuestro o el atentado. Hasta que no seamos conscientes de ello, no pensaremos seriamente en garantizar nuestra privacidad y seguridad.
On Champions League final, many people bet on the winner. But prediction from an OSINT analyst is not based on desires or preferences, and considers all the parameters that may directly or indirectly affect the result.

La toma de decisiones es, en muchas ocasiones, un aspecto crítico. En el caso de los gobiernos, sus decisiones causan un impacto directo en toda la sociedad. De esta forma, cuando hemos de tomar una decisión, no podemos basarnos en suposiciones o informaciones no contrastadas o que puedan verse afectadas por aspectos sentimentales, entre otros aspectos.

La información debe ser objetiva, imparcial, fiable, verificada y de calidad, para que la inteligencia que generemos nos ayude a tomar la decisión más adecuada en cada momento, produciendo el resultado deseado.

Intelligence generated through OSINT techniques is like an orange juice. There is always something more to squeeze.

Hacía referencia anteriormente al término infoxicación. Es tal la cantidad de datos, fuentes de información disponibles, objetivos y detalles a analizar, que el analista siempre tiene la sensación de que, por muchas horas dedicadas, siempre podría exprimir más alguna fuente para conseguir identificar un nuevo dato revelador o un aspecto que le permita verificar la fiabilidad de alguno de los datos obtenidos durante su proceso de investigación.

La paciencia es una de las características de todo buen analista, pero quien tiene la responsabilidad de la toma de decisiones, requerirá disponer de los resultados en un tiempo siempre menor que el deseado.
 “Make visible what our eyes cannot see, deduce things that we do not know, that’s the magic of OSINT.

En este punto me gustaría aclarar la diferencia entre información e inteligencia. La misma información, analizada por distintos analistas, puede generar inteligencia de mayor o menor calidad. Es decir, es necesario interpretar los datos, identificar patrones, conectar puntos y, en definitiva, ver más allá de la información que tenemos sobre la mesa.

Por ejemplo, podemos ubicar a una persona en distintos lugares en base a las coordenadas que nos facilitan sus dispositivos de geolocalización. Eso sería información que podemos obtener. La inteligencia nos permitiría deducir que dicha persona utilizó un coche como medio de transporte para desplazarse entre dos ubicaciones, que era un coche alquilado y que no viajó sólo, por ejemplo. Esta información puede generarse a partir del análisis de los datos iniciales de una investigación. Sólo es necesario interpretar correctamente los datos y utilizar las fuentes de información adecuadas, profundizando en los detalles y haciendo uso de herramientas pero, sobre todo, de la capacidad del analista para ver aquello que no es visible. En resumen, ser los magos de la información.
 “An OSINT analyst is the Sherlock Holmes of the 21st Century.
En múltiples ocasiones se hace referencia al personaje creado por el escritor Arthur Conan Doyle, Sherlock Holmes, cuando se habla de inteligencia. Este detective poseía un especial razonamiento deductivo, un don que sabía aprovechar para resolver los casos más complejos. El personaje fue creado en 1887 y, por aquel entonces, los medios que utilizaba eran tremendamente limitados. Su capacidad de deducción era lo que le permitía interpretar los datos que recopilaba.

Esta labor de investigación y razonamiento deductivo es lo que comparte, entre otros aspectos, Sherlock Holmes con los analistas de información que han de generar inteligencia. A pesar de que actualmente contemos con medios altamente sofisticados para la explotación de fuentes abiertas, seguimos requiriendo estas características en la capacidad del analista.

 “An OSINT process should not be limited to identifying a needle in a haystack, also must be able to know how the needle got there.

Entre las cualidades de un analista, se espera que no sólo conozca las fuentes de información disponibles y sepa sacarles el máximo provecho, sino que se le presupone la capacidad analítica y deductiva necesaria para hacer visible detalles e información que, a priori, no se encuentran disponibles o un tercero ha dificultado su obtención.

El analista no sólo debe deducir acontecimientos (cómo, cuándo  porqué ocurrieron, así como quién o quienes estuvieron involucrados) sino que debe ser capaz de predecirlos (así como sus características) en la medida de lo posible. La inteligencia adquiere su máxima expresión al alcanzar este nivel.

Two possibilities exist: OSINT allows to obtain sensitive and private information with a positive purpose or with a negative purpose. Both are equally terrifying.

Si los detalles de la vida de una persona y de su entorno son accesibles por cualquiera mediante el uso de fuentes abiertas, sólo resta pensar que, dependiendo de quién haya detrás de esta labor de inteligencia, su uso puede ser beneficioso para la sociedad (por ejemplo, desarticular una célula terrorista a punto de atentar) o negativo (por ejemplo, extorsionar a un ciudadano a partir del conocimiento de su lugar de residencia, su nivel económico, su familia y sus movimientos).

Es la misma polémica que el uso de armas. Las Fuerzas y Cuerpos de Seguridad, si no estuvieran armados, ¿tendrían el mismo poder disuasorio y reactivo? OSINT abre la puerta a esta discusión, pero no hay que olvidar que, para protegernos, debemos ser conscientes de los riesgos existentes. Si desconocemos cómo pueden atacarnos, será imposible adoptar las medidas adecuadas para defendernos.


Conclusiones
El potencial de las técnicas OSINT se encuentra, aún, en vías de desarrollo. Conceptos como el Big Data, Machine Learning o Data Mining, están asociados a este desarrollo. El tratamiento de la información masiva está siendo una de las vías de trabajo pero todavía hay muchos caminos tanto de investigación como de explotación de la información.

Aquellos que no conocían el término, espero que puedan crearse su propia definición o, cuando menos, despertar su inquietud respecto cómo puede afectar a su privacidad y seguridad, así como la de su entorno más cercano.

Referencias
[1] Técnicas OSINT
http://www.isecauditors.com/sites/default/isecauditors.com/files/files/CIBERSEG16_Vicente_Aguilera_Diaz_-_Tecnicas_OSINT.pdf

[2] OSINT y hacking con buscadores
https://www.youtube.com/watch?v=bcJ_TEQtORE

[3] #OSINTquoteoftheday
https://twitter.com/hashtag/OSINTquoteoftheday

[4] NSA (National Security Agency)
https://www.nsa.gov/

[5] GCHQ (Government Communications Headquarters)
https://www.gchq.gov.uk/

[6] CNI (Centro Nacional de Inteligencia)
https://www.gchq.gov.uk/

[7] Big Data, for better or worse: 90% of world’s data generated over last two years
https://www.sciencedaily.com/releases/2013/05/130522085217.htm

[8] Infoxicación
https://es.wikipedia.org/wiki/Sobrecarga_informativa


Autor: Vicente Aguilera - CISA,CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.

Se celebra la entrega de los Trofeos de la Seguridad TIC de la revista Red Seguridad

La revista RED SEGURIDAD desde el año 2006 organiza y convoca los Premios TIC de la Seguridad cuya finalidad es reconocer públicamente a las empresas y profesionales que cada edición son premiadas en la categoría correspondiente, y como viene ocurriendo desde 2007, Vicente Aguilera ha formado parte del selecto jurado que ha analizado y decidido los premiados de esta X edición.

Estos Trofeos se han convertido en los más prestigiosos que se conceden en el ámbito de la Seguridad Lógica en España, y se entregan en un solemne y entrañable acto presidido por relevantes personalidades de la Seguridad TIC.

Los concede un jurado independiente que avala la trayectoria y el prestigio de estos premios que cada año estudia las más de 60 candidaturas que presentan en cada edición. Alfonso Mur Bohigas (socio de Deloitte) fue el Primer Presidente, ostentando en este momento Guillermo Llorente (Director General de Seguridad y Medio Ambiente de MAPFRE) la presidencia.

Como novedad, este año, la ceremonia de entrega de trofeos se engloba dentro del VIII Encuentro de Seguridad Integral, dedicado a la Gestión del Fraude, y se realizará el martes 14 de Junio aquí:

Gas Natural-Fenosa
Avd. San Luis 77
Madrid

Por otro lado, los candidatos ganadores de las diferentes categorias son:
  • Trofeo al producto o sistema de seguridad TIC: Cisco Advanced Malware Protection
  • Trofeo al servicio de seguridad TIC: Logitek
  • Trofeo a la innovación en Seguridad TIC: Leet Security
  • Trofeo a la formación, capacitación, divulgación o concienciación en Seguridad TIC: Kaspersky Lab
  • Trofeo Extraordinario del Jurado: Twitter de la Policía Nacional

Jurado:
http://www.borrmart.com/trofeos/trofeos-tic/jurado/

Implicaciones para el Responsable de Seguridad de la Reforma de Protección de datos Europea

Recientemente, algunos compañeros han publicado sus primeros análisis sobre los cambios que presentará el nuevo Reglamento de Protección de Datos Europeo. Este artículo, pretende profundizar un poco más en ellos, centrándose en las principales implicaciones que tendrán dichos cambios para el Responsable de Seguridad. Por otro lado, la estructura de este artículo difiere respecto a la de los anteriores. Se ha decidido estructurarlo en un formato de “Preguntas y respuestas”, de forma que sea más directo, y a su vez, más sencillo resolver las dudas que puedan surgir:

¿Cuándo será aplicable el nuevo Reglamento?
Tal y como comentó nuestro compañero Juan Miguel en su último artículo [1], el pasado 15 de Diciembre, la Comisión, el Consejo y el Parlamento europeos, alcanzaron un acuerdo sobre las nuevas reglas de protección de datos. El pasado 14 de Abril, los textos finales fueron formalmente adoptados por el Consejo y el Parlamento europeos. Finalmente, el día 4 del pasado mes de Mayo se llevó a cabo su publicación en el Diario Oficial de la Unión Europea [7]. A los 20 días tras su publicación, el pasado 25 de Mayo, se inició el período de 2 años, a partir del cual será de aplicación obligatoria y directa para todos los países de la Unión, es decir, el próximo 25 de Mayo de 2018.

¿Qué medidas de seguridad se deberán implementar?
En este sentido, el nuevo Reglamento ha cambiado el enfoque a través del cual se determinan las medidas de seguridad técnicas y organizativas, que se deben implementar. En base a este nuevo enfoque, las medidas de seguridad no se encuentran predeterminadas por el nivel asociado a los datos tratados.

En primer lugar será necesario diferenciar los tratamientos que se lleven a cabo, entre tratamientos considerados de a) riesgo y de b) alto riesgo, teniendo en cuenta la naturaleza, el alcance, el contexto, la finalidad y las fuentes de riesgo. En segundo lugar, para aquellos tratamientos considerados de alto riesgo, será necesario llevar a cabo una Evaluación de impacto en la protección de datos, con el objetivo de determinar el origen, la naturaleza, las particularidades y la severidad del riesgo. Los resultados de la evaluación, se deberán tener en cuenta de cara a la selección de las medidas de seguridad adecuadas que finalmente se implementarán, para tratar dichos riesgos. 

¿Cómo se demostrará el cumplimiento de las medidas de seguridad?
Debido a que con el nuevo Reglamento cada organización podrá tener implementadas un conjunto diferente de medidas de seguridad en función de sus riesgos, no es posible establecer una relación fija y completa de requisitos (como ocurre en el Título VIII del RDLOPD).

Por ello, el Reglamento pretende impulsar como mecanismos para demostrar el cumplimiento a) la certificación y b) los códigos de conducta. Respecto a la certificación, esta no tendrá carácter obligatorio, y serán las Entidades de certificación o la Autoridad supervisora competente, las encargadas de otorgarlas. Los Responsables o Encargados deberán proporcionar toda la información y accesos a los tratamientos, que sean necesarios para llevar a cabo el proceso de certificación. El período de validez de dichas certificaciones será de 3 años, siendo necesaria su renovación.

Por otro lado, respecto a los códigos de conducta (de forma similar a los actuales códigos tipo), se pretende promover la elaboración códigos estándar que recojan los aspectos de cumplimiento específicos de diferentes sectores (ej. salud) y tipos de empresa (ej. micro, PYMEs). El objetivo es que las organizaciones puedan adherirse a dichos códigos, y de esta forma vean simplificado el trabajo que conlleva el cumplimiento de las medidas de seguridad.

¿Será necesaria la designación de un DPO?
Tal y como indicó nuestra compañera Lidia Buendia en su último artículo [2], no todas las empresas deberán designar un DPO. A continuación, se indican los casos en que será necesario:
  • Cuando el tratamiento se lleve a cabo por parte de las Administraciones públicas (pudiendo designar un único DPO para un conjunto de organismos administrativos).
  • Cuando las actividades principales del Responsable o el Encargado consistan en tratamientos 
    • a) que requieren una monitorización sistemática y periódica de personas a gran escala, o bien, consistan en
    • b) tratamientos de datos relativos a categorías especiales, y a delitos o condenas criminales, también tratados a gran escala.
  • Cuando así lo indiquen las leyes de la Unión Europea o del correspondiente Estado miembro.
¿Qué sanciones se prevén en caso de incumplimiento?
En relación a las multas administrativas, en el nuevo Reglamento se aprecia un cambio importante respecto a las establecidas actualmente por la LOPD. En primer lugar, se reducen a dos los tipos de multas, y en segundo lugar, se establece una cuantía proporcional a la facturación de la empresa, en lugar de tramos progresivos comunes a todas ellas. A continuación se incluye una tabla resumen de los nuevos tipos de multas:

Cumplimiento Artículo (s) Multa
Obligaciones del Responsable y Encargado. 8, 10, 23 al 37, 39 y 39a 10M€ / 2% facturación(*)
Obligaciones de las Entidades certificadoras. 39 y 39a
Obligaciones de la Entidad de monitorización. 38a (4)
Principios básicos para el tratamiento. 5, 6, 7 y 9 20M€ / 4% facturación (*)
Derechos del afectado. 12 al 20
Transferencias de datos con destino un tercer país o una organización internacional. 40 al 44
Obligaciones conformes a leyes de los Estados miembro. Capítulo IX
No cumplimiento de:
  • Una orden
  • Una limitación temporal / definitiva respecto a un tratamiento.
  • La suspensión de flujos de datos por la Autoridad supervisora.
53(1b)
No proporcionar acceso violando el artículo 53(1)
(*): Facturación total a nivel mundial, del último año fiscal

Referencias:
  1. http://blog.isecauditors.com/2016/02/nuevo-reglamento-de-proteccion-de-datos.html
  2. http://blog.isecauditors.com/2016/01/europa-actualiza-el-reglamento-de-proteccion-datos.html
  3. http://ec.europa.eu/justice/data-protection/reform/index_en.htm
  4. http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
  5. Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (15/12/2015)
  6. http://europa.eu/rapid/press-release_STATEMENT-16-1403_en.htm
  7. http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.SPA&toc=OJ:L:2016:119:TOC


Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
Departamento de Consultoría.

Un miembro del equipo en el Hall of Fame del CERT-EU

La reducida lista del CERT-EU, que recoge menos de 20 expertos en seguridad que explícitamente han ayudado en la mejora de la seguridad de las Instituciones, Agencias y Cuerpos de la Unión Europea reportando problemas de seguridad y vulnerabilidades descubiertas, incluye desde la semana pasada a José Carlos Exposito Bueno del equipo de Internet Security Auditors.

Sin duda es una muestra más del gran nivel del equipo de Internet Security Auditors y demuestra nuestro compromiso en la mejora de la seguridad en Internet de nuestra compañía.

Intentaremos publicar los detalles de las vulnerabilidades, siguiendo nuestra filosofía de transparencia y difusión de la ciberseguridad, los próximos días.

SEGURIDAD VS. CUMPLIMIENTO: LA BALA DE PLATA NO EXISTE

En diciembre de 2013 la compañía estadounidense Target Inc. sufrió uno de los mayores ciberataques de la historia, con la pérdida de aproximadamente 40 millones de datos de tarjeta de pago y más de 70 millones de direcciones, números de teléfono y otra información personal. Como resultado de este ataque, su CEO fue despedido, su CIO fue remplazado, la reputación de la empresa llegó a niveles mínimos y se estima que el coste global de las acciones correctivas (incluyendo - entre otros - pago de multas, indemnizaciones, soporte legal e investigaciones forenses) se acerca a los 1.000 millones de dólares [1]. Irónicamente, Target certificó su cumplimiento en el estándar PCI DSS (Payment Card Industry Data Security Standard – estándar para la protección de datos de tarjeta de pago) en septiembre de 2013, dos meses antes de sufrir el ataque. Obviamente, este no es el único ejemplo.

Neiman Marcus (una tienda por departamentos) también tuvo un incidente de seguridad con 1.1 millón de datos de tarjeta de pago comprometidos, aun cuando la empresa estaba certificada en PCI DSS [2]. Igual suerte tuvo la cadena de tiendas de artesanías y decoración Michaels en Estados Unidos [3], que después de certificarse en PCI DSS tuvo un incidente vinculado con captura de 3,3 millones de datos de tarjetas de pago en sus dispositivos TPV [4].  

La conclusión general de este incidente se puede resumir en “el cumplimiento no exime de los riesgos ni hace invulnerable a la organización”. Para aclarar esta frase, es importante diferenciar los conceptos de “seguridad” y “cumplimiento”:
  • Cumplimiento: Acciones que validan que un comportamiento está alineado con las normas establecidas en un momento específico.
  • Seguridad: Estado de exención de peligros, daños o riesgos [5]
Una comparación de estos dos criterios con un escenario de la vida real podría ser el siguiente: Para conducir un coche se requiere superar una serie de pruebas y obtener un certificado (licencia de conducción). La obtención de dicho certificado implica que el candidato a conductor validó sus aptitudes con base en unas reglas previamente establecidas (“normativas”) y que esa licencia se otorgó con base en los resultados obtenidos en un momento determinado (“auditoría”). No se puede garantizar que el conductor siempre tendrá el mismo nivel de destreza en el futuro o que se podrá comportar de forma correcta en situaciones no examinadas (ya que el examen se realiza con base en un “muestreo”). Todo este proceso vendría a ser “cumplimiento”, por lo general validado mediante una auditoría.

No obstante, el hecho de tener esa licencia no asume per se que el conductor nunca vaya a tener un accidente, que pueda conducir otro tipo de vehículo o que realice una conducción temeraria con riesgos que anteriormente no eran asumidos, para lo cual es necesaria la ejecución de acciones adicionales para lograr un estado que permita que las aptitudes evaluadas y las aptitudes actuales se mantengan en un nivel similar o mejores que en el momento de la revisión.

Continuando con el ejemplo de Target, debido a esta confusión de conceptos la organización recayó en una falsa sensación de seguridad al finalizar la auditoría de cumplimiento de PCI DSS, considerando que con el cumplimiento del estándar era más que suficiente, permitiendo la degradación continua de los controles de seguridad desplegados, creando problemas en la comunicación entre áreas y evitando de una validación preventiva a nivel interno [6]. La Dirección conoció los detalles del incidente cuando ya era demasiado tarde. Se había validado el cumplimiento de PCI DSS (al margen de los errores propios que pudo tener esa auditoría) pero olvidaron que las labores de cumplimiento deben ser mantenidas y optimizadas en el tiempo para gestionar de forma correcta el riesgo (ver figura 1).

Figura 1. Degradación de los niveles de cumplimiento en ausencia de acciones de seguimiento y mejora

¿Cómo lograr que el cumplimiento soporte de forma efectiva la seguridad? El concepto de GRC (Governance, Risk Management, and Compliance) y su aplicabilidad en la organización
Tal como se describió anteriormente, el concepto de Cumplimiento (“Compliance”) soporta a la organización en el alineamiento y validación de controles desprendidos de obligaciones legales, comerciales, financieras, etc. Sin embargo, para que su efectividad se pueda desplegar de forma transversal a toda la organización y se mantenga en el tiempo, es indispensable su integración con otros dos conceptos clave: Gobernanza (“Governance”) y Gestión de riesgo (“Risk Management”).

La gobernanza establece las directivas estratégicas de la organización (gobierno corporativo) que soportan los objetivos, la misión, la visión y las metas a nivel de negocio. Con su correcta ejecución se garantiza que la empresa se focalizará en sus actividades principales, identificando quién tiene la autoridad para tomar decisiones y cuáles serán sus responsabilidades, así como también cómo se evaluará el rendimiento de dichas acciones.

Por otro lado, la gestión de riesgo identifica, analiza, evalúa y monitoriza los activos, sus amenazas y potencial impacto y frecuencia, a la vez que propone acciones para mitigar, transferir, eliminar o asumir el riesgo.

Mediante la interacción continua de estos tres bloques de acciones no estáticas (conocidas como GRC) se logran los siguientes objetivos:
  • Congruencia de los conceptos de confidencialidad, integridad y disponibilidad con las necesidades del negocio y la estrategia corporativa
  • Identificación y gestión proactiva de activos, amenazas, vulnerabilidades, impacto y frecuencia
  • Priorización en la implementación de controles en función del riesgo detectado y la estrategia de la empresa
  • Identificación e implementación de políticas, leyes y regulaciones aplicables a la organización
  • Reporte de resultados para la Dirección con el fin de soportar la toma de decisiones
Cualquier desviación en estas acciones penalizará la seguridad global de la organización (ver figura 2).
Figura 2. Relación entre los bloques de conceptos de GRC
Conclusión
Para aquellos que aún consideran que el cumplimiento de un estándar, una ley o una política los hace invulnerables ante los ataques, hay malas noticias: No existe la bala de plata.

El cumplimiento por sí solo no garantiza la seguridad. De hecho, muchas veces los cuerpos normativos con los que se alinea el entorno organizacional suelen tener deficiencias de fondo o simplemente la forma en cómo se implementó o se auditó han fallado, dejando a la Dirección expuesta debido a una sensación de falsa seguridad. Por otro lado, el cumplimiento es una “foto fija” del estado de los controles en un momento dado. Debido a la dinámica de los riesgos, este estado de cumplimiento puede no ser el mismo al día siguiente.

Por ello, es clave tener presente que el cumplimiento define los niveles mínimos de seguridad que deben proveer los controles desplegados. No obstante, mediante una integración metodológica con los conceptos de gobernanza y gestión de riesgos (GRC) se puede establecer una estrategia holística, gestionar el riesgo y cumplir con las directivas aplicándolos a las personas, los procesos y la tecnología, que en términos prácticos resultará en lo que llamamos “seguridad”.


Referencias
[1] Target, PCI Auditor Trustwave Sued By Banks. http://www.darkreading.com/risk/compliance/target-pci-auditor-trustwave-sued-by-banks/d/d-id/1127936
[2] Neiman Marcus says 'complex' malware defeated its security. http://www.computerworld.com/article/2486859/cybercrime-hacking/neiman-marcus-says--complex--malware-defeated-its-security.html
[3] Michaels Investigates Possible Data Breach. http://www.infosecurity-magazine.com/news/michaels-investigates-possible-data-breach/
[4] RAM SCRAPING: ¿ES SUFICIENTE CON PCI DSS?. http://blog.isecauditors.com/2016/01/ram-scraping-es-suficiente-con-pci-dss.html
[5] ISACA JOnline: “Posición Estratégica Defensiva” en el Campo de Seguridad de la Información. ISACA JOURNAL Volume 6, 2013. http://www.isaca.org/Journal/archives/2013/Volume-6/Pages/JOnline-Defensive-Strategic-Posture-in-the-Field-of-Information-Security-Spanish.aspx
[6] Ventanas rotas (“Broken Windows”): El experimento social aplicado a la seguridad de la información. http://blog.isecauditors.com/2015/04/ventanas-rotas-experimento-social-aplicado-seguridad-informacion.html 


Autor: David Eduardo Acosta - CISSP, CISA, CISM, CRISC, PCI QSA, CCNA Security, OPST, CHFI Trainer, BS25999 L.A.
Departamento de Consultoría