Programa de seguridad CSP (SWIFT)

Recientemente, la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (SWIFT) ha sacado a la luz el programa de seguridad CSP (Customer Security Programme). Este programa es de obligado cumplimiento para todas las entidades financieras que forman parte de dicha organización, y su cumplimiento debe ser reportado de manera formal desde este mismo año. A lo largo de este artículo veremos el origen de dicho programa de seguridad, así como las características más destacadas del mismo.

Orígenes

Fundada en Bruselas en el año 1973, SWIFT (del inglés: Society for Worldwide Interbank Financial Telecommunication, es decir, la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales), es una organización cooperativa dedicada al fomento y al desarrollo de métodos de interacción globales y estandarizados para las transacciones financieras entre entidades bancarias. Es decir, que el objetivo de dicha organización es el de establecer una red global de comunicaciones para el procesado de datos bancarios, así como un lenguaje común para la realización de dichas transacciones.

Actualmente, SIWFT opera una red internacional de comunicaciones formada por más de 11000 entidades financieras, que a su vez son distribuidas en más de 200 países en todo el mundo.

Con el objetivo de mejorar la seguridad en toda la red de comunicaciones SWIFT, dicha organización inició en mayo de 2016 el programa de seguridad CSP (Customer Security Programme), de obligado cumplimiento por todas las entidades financieras que forman parte de la misma.

En los siguientes meses, se definió la hoja de ruta para el cumplimiento de dicho programa de seguridad, que establece los siguientes hitos:
  • A partir del segundo trimestre de 2017, todas las entidades financieras que forman parte de la red SWIFT deben reportar a la organización informes de validación que demuestren el cumplimiento de dicho programa, resultantes de evaluaciones de seguridad llevadas a cabo de manera interna, o de manera opcional, a través de entidades de auditoría externas. Dichos reportes deben renovarse (y reportarse) de manera anual, a partir de esta fecha inicial de validación.
  • En enero de 2018, todas las entidades financieras deberán haber reportado su cumplimiento con el CSP. Además, la organización SWIFT, seleccionará al azar algunas entidades financieras que formen parte de su red de comunicaciones, para que reporten con más detalle el resultado de las auditorías internas/externas llevadas a cabo para verificar su adecuación con el programa CSP.
Características destacadas
El programa de seguridad CSP establece 27 controles de seguridad, de los cuales 16 son de obligada aplicación por todas las entidades que forman parte de la red de comunicaciones SWFT. Los 11 controles restantes son de carácter opcional.

Dichos controles están agrupados en 8 principios, que a su vez están clasificados en 3 niveles, como puede observarse en la Figura [2].

Figura [2]

Además, el programa de seguridad CSP establece 2 tipos de arquitectura para las entidades financieras que forman parte de su red de comunicaciones:
  • Arquitectura A: Parte o la totalidad de la infraestructura SWIFT utilizada en la entidad forma parte del entorno de la entidad financiera.
  • Arquitectura B: Toda la infraestructura SWIFT utilizada en la entidad es externalizada a proveedores externos, de manera que el entorno de la entidad financiera no incluye en ningún caso parte o la totalidad del entorno SWIFT.
Dicha diferenciación en los tipos de arquitectura es importante, ya que algunos que los 27 controles de seguridad del CSP no aplican a las entidades que dispongan de una arquitectura correspondiente al escenario B.

En la Figura [3], puede observarse una tabla resumen con los 27 controles del programa de seguridad CSP, en la que se diferencian los controles obligatorios y los controles opcionales, y se muestra su aplicabilidad en las 2 posibles arquitecturas anteriormente comentadas.
Figura [3]
A continuación, se describen de manera general los aspectos más destacados de los principios de seguridad del programa CSP:
  1. Restricción de accesos desde internet: Debe limitarse el acceso desde redes públicas a la infraestructura SWIFT al mínimo imprescindible. Para ello, solo se aceptará en el entorno SWIFT tráfico proveniente de conexiones establecidas previamente desde el propio entorno SWIFT (conexiones de salida), nunca conexiones de entrada. Además, las URL’s con las que el entorno SWIFT pueda establecer comunicaciones deberán ser restringidas mediante la aplicación de listas blancas.
  2. Segregación del entorno SWIFT: Debe definirse una zona segura para el hospedaje de los elementos que formarán parte de la infraestructura SWIFT. Dicha zona debe ser segmentada del resto de elementos de la infraestructura de IT de la entidad financiera, mediante firewalls a nivel de red (como mínimo).

    Además, deben restringirse de manera adecuada los accesos a dicha zona segura, mediante una correcta gestión de las ACL de los elementos de filtrado, así como con unos adecuados controles de acceso, con los mecanismos de autenticación situados dentro de la zona segura.

    Por último, los accesos administrativos a los distintos elementos que forman el entorno SWIFT deben ser altamente controlados y monitorizados, permitiendo solo a los usuarios estrictamente necesarios el acceso a la realización de cambios de configuración en dichos elementos.
  3. Reducción de la superficie de ataque y las vulnerabilidades en el entorno: Dicho principio indica, en primer lugar, que todos los flujos de datos realizados entre los usuarios de la entidad financiera y el entorno SWIFT deben realizarse mediante canales que garanticen la Confidencialidad, la Integridad y la correcta Autenticación de dichas comunicaciones (por ejemplo, mediante canales VPN, SSH o similares).

    Además, dicho principio también incluye la necesidad de implementar una correcta gestión de vulnerabilidades y parches de seguridad en el entorno SWIFT, de manera que los parches críticos sean instalados como muy tarde un mes después de su fecha de lanzamiento.

    También se establece que, de manera opcional, las entidades financieras pueden ejecutar escaneos de vulnerabilidad anualmente, así como definir unos SLA’s adecuados con los proveedores de servicio a los cuales se hayan externalizados funciones críticas del propio entorno SWIFT.

    Por último, se establece que todas las tecnologías que forman parte del entorno SWIFT deben ser bastionadas siguiendo las mejoras prácticas de la industria, a través de guías de bastionado reconocidas, como son las de los organismos CIS, SANS o NIST.
  4. Securización física del entorno: En dicho principio se establecen las pautas para lograr una correcta securización del entorno físico de SWIFT. Entre otros, se establece que los dispositivos removibles del entorno (por ejemplo, dispositivos PED (Pin Entry Device), cintas de backup, etc.) deben estar sujetos a un correcto control y monitorización por parte de los empleados responsables de su custodia.

    Además, también se establece que las salas que contengan los servidores y los equipos de red que forman parte de la infraestructura SWIFT, deben estar sujetas a controles de acceso adecuados, como controles biométricos o tarjetas inteligentes identificativas, para restringir que solo los empleados con necesidades de negocio para tal efecto puedan acceder a las mismas.
  5. Prevención de robo de credenciales: Para evitar el robo de credenciales de autenticación en el entorno SWIFT, se debe establecer una política de contraseñas adecuada en todos los elementos de dicho entorno, teniendo en cuenta aspectos como la complejidad de las contraseñas, su longitud, su caducidad, etc.

    Además, y de manera obligatoria, deben definirse mecanismos de autenticación Multi-Factor en todos los accesos a los elementos del entorno SWIFT.
  6. Gestión de identidades y privilegios: Se deben gestionar de manera adecuada los accesos al entorno SWIFT, teniendo en cuenta los principios de la necesidad de conocer (Need-To-Know), la asignación de privilegios mínima (least privilege) y la segregación de funciones (segregation of duties).

    Además, deben gestionarse de manera adecuada los procesos de alta/baja de usuarios, así como los procesos de asignación de tokens físicos a los usuarios relacionados con el entorno SWIFT.
  7. Detección de actividades anómalas en sistemas o transacciones: Dicho principio indica que debe implementarse software antimalware en todos los elementos del entorno SWIFT, para identificar posibles amenazas de seguridad en dichos elementos.

    También debe implementarse software de monitorización de integridad de ficheros (software FIM o File Integrity Monitoring), para monitorizar los cambios en los ficheros críticos del entorno.

    Además, deben monitorizarse los logs o registros de auditoría de los distintos elementos del entorno SWIFT, para lograr una identificación temprana de los eventos no deseados llevados a cabo en el entorno.

    De forma opcional, dicho principio también ofrece la opción de implementar tecnologías de detección/prevención de intrusiones (IDS/IPS) en el entorno SWIFT, de manera que se monitorice la actividad de los usuarios a nivel de red.
  8. Planificación de respuesta a incidentes de seguridad: El último principio de seguridad indica la necesidad de que las entidades financieras dispongan de un plan de respuesta a incidentes de seguridad disponible y actualizado, de manera que los procesos de actuación en estos casos sean lo más ágiles posibles, y cada persona tenga claras sus obligaciones y responsabilidades al respeto.

    Además, dicho principio también indica la necesidad de que todos los usuarios relacionados con el entorno SWIFT reciban formaciones de seguridad con una periodicidad como mínimo anual, así como en el momento de su incorporación al entorno.

    Por último, se ofrece de manera opcional la posibilidad de que la entidad realice Tests de Penetración anuales en el entorno, así como la realización de análisis de gestión de riesgos con una periodicidad también anual.
Mapeo con otros estándares
Para acabar, es importante destacar que para incrementar la convivencia entre el programa de seguridad CSP y otros estándares de seguridad disponibles en la industria, el SWIFT ha realizado un mapeo entre el CSP y los estándares PCI DSS v3.2, ISO 27002:2013 y NIST Cybersecurity Framework v1.0, que puede ser consultado en la Figura [4].

Figura [4]

Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.

Skimming: en qué consiste esta práctica delincuencial y cómo protegerse


El skimming es una práctica ilegal orientada hacia la captura no autorizada de los datos confidenciales contenidos en el plástico de una tarjeta de pago (banda magnética y/o contactless) con el fin de ser empleados para fines fraudulentos (clonación, uso en transacciones no presenciales, etc.).

Desde el origen de las tarjetas con banda magnética, éste ha sido uno de los principales problemas de seguridad a los que se enfrentan los adquirientes, los comercios y los propios usuarios. En este punto, es importante tener presente que los datos de la banda magnética se encuentran grabados en el plástico en texto claro y que no se cuenta con ningún método de protección asociado, más allá de la seguridad física del plástico.

Esta captura fraudulenta de datos de tarjeta puede ser realizada a través de diferentes dispositivos (denominados skimmers) que emplean las mismas funcionalidades que cualquier lector legítimo y que por lo general son ubicados de forma encubierta para evitar que el usuario detecte su presencia. Igualmente, existen skimmers portátiles que permiten la captura de datos directamente por el delincuente sin la necesidad de estar desplegados en un lector legítimo.

Figura 1. Diferentes dispositivos de tipo skimmer decomisados por la policía alemana
En este artículo se realizará una breve introducción a esta práctica delincuencial y se describirá algunas formas para evitar ser víctima de este tipo de fraude, así como recomendaciones por parte de las marcas de pago para afrontar este riesgo.

Skimming en cajeros electrónicos
Los cajeros automáticos / electrónicos (ATM – Automated Teller Machine) han sido históricamente los dispositivos más afectados por este problema, debido en gran medida a que no requieren de personal del banco, se encuentran ubicados en sitios con niveles de seguridad bajos y expuestos al público en general (centros comerciales, tiendas, supermercados, estaciones de transporte público, gasolineras, etc.), no son monitorizados de forma continua y muchas veces se encuentran en zonas aisladas y con poca visibilidad, facilitando la actividad del delincuente en la instalación, operación y retirada del skimmer.

Los delincuentes aprovechan estas fallas para ubicar el skimmer encima del lector legítimo o en otra ubicación que no ofrezca desconfianza al usuario final. De esta manera, cuando el usuario se dispone a retirar su dinero empleando una tarjeta de pago, es él mismo quien inserta el plástico en el skimmer sin notar ninguna diferencia en la operación normal del cajero. Los datos capturados (datos completos de la banda magnética) son almacenados hasta que el delincuente retira el lector encubierto.

Figura 2. Skimmer superpuesto sobre la parte frontal completa de un lector de tarjeta en un cajero electrónico
Los skimmers se adaptan a los diferentes tipos de cajeros electrónicos y su efectividad depende del camuflaje empleado para evitar ser detectado. Están diseñados para que se puedan colocar sobre la abertura del lector de tarjetas del cajero electrónico, ya sea cubriendo el propio lector o a través de un panel falso que cubre toda la superficie del frente del lector de tarjetas:

Figura 3.  skimmer superpuesto sobre la abertura de un lector de tarjeta en un cajero electrónico
Con el fin de obtener el dato del PIN asociado a los datos de la banda magnética capturada, los delincuentes suelen instalar como complemento al skimmer una microcámara de video (cámara estenopeica) que permite la grabación del PIN del usuario:

Figura 4. Micro-cámara encubierta para la grabación del PIN
En otros escenarios, se emplean teclados superpuestos que registran las teclas oprimidas por la víctima:

Figura 5.  Teclado falso superpuesto para permitir la captura del PIN
También pueden recurrir a métodos menos técnicos, como shoulder surfing (mirar por encima del hombro):

Figura 6.  Delincuente empleando shoulder surfing
Con estos elementos (banda completa de la tarjeta y PIN), el delincuente puede proceder a emplear estos datos con fines delincuenciales (extracción de dinero, compras y pagos abusivos, etc.).

¿Cómo protegerte si eres un usuario?
  • Utiliza solamente cajeros electrónicos localizados en sitios confiables (dentro del propio banco, por ejemplo)
  • Inspecciona siempre la superficie de los lectores de la tarjeta de pago y los teclados de los cajeros electrónicos en busca de cables, paneles falsos o accesorios sueltos o flojos y/o superficies extrañas ANTES de insertar la tarjeta. En caso de identificar cualquier anomalía, no uses el cajero e informa al banco o a la policía de forma inmediata.
  • Si la tarjeta es bloqueada o no es regresada por el cajero electrónico, NO TE RETIRES del cajero. Llama a la policía o al banco para notificar este problema.
  • Nunca recibas ayuda de personas extrañas cuando te encuentres realizando una transacción en un cajero electrónico.
  • Estate atento a personas extrañas que puedan estar a tu alrededor mientras realizas la transacción. Algunos cajeros electrónicos cuentan con pequeños espejos ubicados encima o a los costados del cajero para identificar el entorno:
    Figura 7. Espejos de seguridad para identificar personal extraño alrededor
  • Siempre cubre el teclado durante la digitación del PIN. Esto evitará que cualquier micro-cámara o personas cercanas puedan visualizar este dato mientras es digitado:
    Figura 8. Siempre cubra el teclado en el momento de digitar el PIN
¿Cómo protegerte si eres un banco?
  • El uso de tarjetas de pago con chip EMV disminuye de forma drástica la copia no autorizada de los datos de la tarjeta a través de skimmers. La responsabilidad por los fraudes relacionados con tarjetas falsificadas utilizadas en cajeros automáticos se asignará a la parte – Adquirente o Emisor – que no haya adoptado la tecnología de chip EMV. Si se usa una tarjeta de chip EMV en un cajero que no tenga la capacidad de aceptar tarjetas de chip EMV, el Adquirente del cajero automático asumirá el coste del fraude debido al uso de una tarjeta falsificada.
  • Notificar a los clientes acerca de los riesgos del skimming y las acciones que deben tener presente para auto-defenderse de esta práctica delictiva.
  • Mantener un sistema de CCTV (circuito cerrado de televisión) 7×24 que cubra los alrededores del lugar en donde se encuentra instalado el cajero electrónico.
  • Instalar lectores de tarjetas del tipo Jitter (vibratorio), que dificulta la lectura directa de la banda magnética de la tarjeta.
  • Instalar paneles anti-skimmer, que ayudan a evitar que el delincuente ubique un dispositivo de skimming encima de la ranura donde se inserta la tarjeta en el cajero electrónico.
  • Instalar dispositivos emisores de interferencias de frecuencias radiales que distorsionen el campo electromagnético que rodea al lector de tarjetas.
  • Notificar al usuario a través de mensajes de texto (SMS) acerca del uso de sus datos de tarjetas en transacciones extrañas.
  • Usar dispositivos PED (PIN Entry Devices) que cumplan con el programa PCI PIN (Encrypting PIN PAD – EPP)
  • El PCI SSC publicó en enero de 2013 el documento “Information Supplement: ATM Security Guidelines” que ofrece una serie de mejores prácticas a la hora de configurar y desplegar en producción un cajero electrónico, incluyendo seguridad física, seguridad lógica (software) y procedimientos para evitar la inserción de skimmers, entre otros controles.
    Figura 9. Bloques de componentes de un cajero electrónico cubiertos por la guía del PCI SSC
Skimming en datáfonos / TPV
Otro dispositivo afectado por esta técnica delincuencial es el datafono o TPV (Terminal de Punto de Venta), empleados en supermercados, gasolineras, peajes, etc. Debido a que estos elementos también permiten la lectura de la banda magnética y la digitación del PIN, son empleados por los criminales para la instalación de skimmers. Estos skimmers suelen estar acoplados en una carcasa externa que cubre toda la superficie del datafono o ser pequeñas unidades camufladas que capturan los datos de la tarjeta en el momento en el que el usuario la desliza.

Figura 10. Carcasa externa con skimmer para lectura de banda y captura de PIN

Figura 11. Nótese la diferencia entre la terminal TPV original (derecha) y la carcasa del skimmer (izquierda)
Figura 12. Otro ejemplo de carcaza externa de datáfono para captura de banda y PIN
Skimmers similares suelen ser instalados en terminales de pago desatendidas de gasolineras o peajes, que por lo general no requieren de autorización de la transacción en tiempo real (online), por lo que la detección del fraude es más demorada:
Figura 13. Skimmer en una terminal de pago desatendida

¿Cómo protegerte si eres un usuario?
  • Al igual que con los cajeros electrónicos, revisa siempre la superficie de la terminal de pago en busca de accesorios, pegatinas, cables, carcazas o piezas extrañas
  • Siempre utiliza terminales de comercios reconocidos
  • Si la tarjeta soporta EMV, inserta la tarjeta en el lector EMV en vez de emplear la lectura de la banda magnética
  • Protege el PIN en el momento de la digitación
  • Nunca entregues tu tarjeta a nadie ni la pierdas de vista durante la transacción
¿Cómo protegerte si eres un comercio?
Los comercios que emplean terminales de punto de venta (TPV) atendidas o desatendidas deben cumplir con un conjunto de controles de PCI DSS dependiendo del tipo y características de conexión del TPV (SAQ B, SAQ B-IP o SAQ P2PE). Estos controles incluyen la verificación periódica de la seguridad física del punto de interacción (Point of Interaction – POI) para verificar que no se han instalado componentes extraños, no se encuentran cables o carcazas adicionales y que los controles de seguridad provistos por el fabricante se mantienen íntegros (sellos de seguridad, tornillos, etc.). Adicionalmente, se requiere de formación a los empleados que están al cargo de estas terminales y/o las emplean para recepción de pagos y la creación de un inventario de terminales que incluya información del dispositivo, estado, identificación y ubicación. Algunas recomendaciones generales se pueden encontrar en el documento "PCI DSS v3.0 compliance: A closer look at Requirement 9.9 – Payment Terminal Protection".

¿Cómo protegerte si eres un banco?
Idealmente, el objetivo es emplear terminales de pago que acepten transacciones vía EMV. No obstante – y debido a compatibilidad con tarjetas emitidas en otros lugares – la compatibilidad con tarjetas con banda magnética obliga a aceptar métodos de pago inseguros.

En este caso, informar acerca de la responsabilidad de la seguridad física de las terminales a los comercios en donde se encuentran instaladas y enviar notificaciones periódicas para recordar acerca de estas responsabilidades y de los riesgos asociados.

Skimmers portátiles
Los skimmers no necesariamente deben estar ubicados en cajeros electrónicos y en TPV (datáfonos). También pueden ser portables. En este caso, requieren que el delincuente tenga acceso de alguna forma al plástico y lo deslice por el skimmer para leer la banda magnética, la cual es almacenada en el propio dispositivo para posteriormente ser descargada en un ordenador.
Es importante saber que existen skimmers que capturan los datos de tarjetas de pago que soportan NFC (contactless). En este caso – y dependiendo de la implementación – la cantidad de datos capturados se puede limitar al PAN, la fecha de expiración y el nombre del titular.

¿Cómo protegerte si eres un usuario?
  • Nunca entregues el plástico de la tarjeta a nadie
  • Para realizar pagos, garantiza que tienes acceso directo a la terminal de pagos (TPV o datáfono) y que nadie desliza tu tarjeta en tu nombre
  • En el caso de tarjetas que soportan contactless, se recomienda el uso de un elemento que bloquee la lectura de la tarjeta. Existen billeteras y bolsas de seguridad para estos casos.
  • Si identificas alguna acción sospechosa, notifica al responsable del comercio y a la Policía
¿Cómo protegerte si eres un comercio?
  • Ofrece formación y concienciación a los empleados
  • Notifica a la Policía si se detecta que un empleado está haciendo uso de estas herramientas
  • Garantiza que, en los protocolos de pago con tarjeta, siempre sea el cliente quien inserte su plástico en el lector o lo acerque al lector de contactless.
¿Cómo protegerte si eres un banco?
Aplican las mismas recomendaciones en el uso de skimming en datáfonos / TPV.

Recomendaciones generales
Con el objetivo de concienciar a usuarios y comercios respecto a los riesgos de estas prácticas delincuenciales, el PCI SSC publicó en septiembre de 2014 el documento "Information Supplement – Skimming Prevention: Best Practices for Merchants". Este documento incluye diferentes ejemplos de ataques y acciones para protegerse.

Por otro lado, VISA ha publicado los siguientes documentos, orientados hacia la información y actuación preventiva en casos de skimming:
Finalmente, MasterCard por su parte también ofrece una serie de recomendaciones generales para protegerse de este tipo de ataques:

Autor: David Eduardo Acosta - CISSP Instructor, CISM, CISA, CRISC, CHFI Instructor, CEH, PCI QSA, OPST, BS25999 L. A. 
Departamento de Consultoría

Vicente Aguilera participa en el SHA2017 que se celebrará en Holanda el próximo mes de Agosto

Se acerca la fecha del SHA2017, un evento sin ánimo de lucro que se llevará a cabo en Holanda, del 4 al 8 agosto. Es el sucesor de un conjunto de eventos similares que se realizan cada cuatro años (GHP, HEU, HIP, HAL, WTH, HAR y OHM). La compartición del conocimiento y el hacking son algunos de los valores clave de este evento que reúne a miles de apasionados y profesionales de la seguridad.

Vicente Aguilera participa por partida doble con 2 actuaciones:
  •     Impartición conferencia
  •     Impartición taller
En la conferencia, Vicente presentará una nueva versión de Tinfoleak, y mostrará ejemplos prácticos reales sobre cómo explotar la información existente en redes sociales para tareas de investigación. A demás de mostrar información útil para fuerzas y cuerpos de seguridad, investigadores privados, pentesters, ingenieros sociales, periodistas, analistas de seguridad y cualquier persona interesada en la privacidad o el análisis de redes sociales.

A través de demostraciones en vivo, Vicente pretende mostrar la capacidad de análisis de la que puede disponer cualquier persona. Se recopilará información sobre diversos objetivos y se utilizará para generar inteligencia, de forma que pueda servir en la toma de decisiones.

Más info:
https://sha2017.org/

ISO 27001 y PCI DSS, Un Análisis Comparativo

En abril del 2016 fue emitida la nueva versión de la norma PCI DSS, esta nueva versión (3.2) hace una actualización en algunos controles técnicos y endurece otros, sin embargo, no cambia su enfoque.

La norma PCI DSS v.3.2 y sus diferentes actualizaciones se ha venido orientando el cumplimiento de la misma en un esquema de los negocios como siempre (Business as Usual – BAU), sin embargo este enfoque aunque la acerca un poco más a la norma ISO 27001:2013 en términos de que las tareas deben ejecutarse de manera continua como parte de los procedimientos, la sigue manteniendo separada en su filosofía.

Partamos de la filosofía de los sistemas de gestión planteados por las normas ISO: “mejoramiento continuo”, es decir, se presume un sistema que tiene fallas pero que busca mejorarse continuamente y usa los mecanismos como manejo de incidencias y auditorías para el apoyo en la generación de los cambios. Este sistema parte de los requerimientos de la organización y del apetito de riesgo de la misma, el análisis de riesgos provee los insumos para la definición de los controles que debe implementar la organización.

La norma PCI DSS parte del principio de que los controles definidos cumplen con los requerimientos de seguridad y deben estar funcionando correctamente. Los mecanismos como manejo de incidencias y auditorías son sistemas de monitoreo para asegurar que los controles están operando correctamente, y buscan realinear cualquier desviación con la definición original y no mejorar, o en el mejor de los casos se busca detectar actividad sospechosa no limitada por los controles implementados. El único control que permitiría un espacio para mejorar el sistema es la evaluación de riesgos (Req. 12.2), pero es un control sin dientes, porque lo único que se exige es que se haga una evaluación que identifique las amenazas y vulnerabilidades asociadas en búsqueda de riesgos no mitigados por la norma, sin embargo, aunque el control pide identificar nuevos controles, el mecanismo de verificación no pide que se valide la implementación de dichos controles.

El espíritu con el que se implementan estos dos sistemas que buscan un fin común, asegurar los activos de información, difiere también en el principio que determina su vida dentro de la organización, la norma ISO 27001 requiere de un compromiso de la dirección sin que sea un requerimiento legal o contractual (en la mayoría de los casos), mientras que la norma PCI DSS es mandatoria, ya sea porque para operar, las franquicias de las marcas de pago o el adquiriente lo exigen o porque un cliente lo exige, es importante tener en cuenta que para mantener adecuadamente la implementación de la norma requiere un soporte financiero y esto hace que se involucre la dirección. De hecho, para llegar a la implementación de una norma ISO 27001 se hace de una manera más voluntaria (algunos mercados están exigiendo estar certificado para permitir el acceso a ellos), mientras que la implementación de los controles de la norma PCI DSS son obligados de manera contractual para poder manejar datos de tarjeta habiente. Se puede decir que la diferencia de principios genera una diferencia significativa en la asignación de recursos y en el camino que se sigue para implementar su cumplimiento.

De acuerdo a este espíritu en un sistema que se requiere un compromiso se deberían obtener mejores resultados, mientras que en un sistema de obligatorio cumplimiento se hará lo mínimo necesario para pasar la evaluación. Sin embargo, esta presunción dista mucho de la realidad, ya que en la mayoría de las implementaciones de cualquiera de las dos normas se encuentra que se hace lo mínimo necesario para poder demostrar un estado de cumplimiento, generando en ocasiones controles débilmente implementados.

El alcance de las dos normas tiene dos ramas que también difieren en lo que se busca obtener, en la primera rama vemos que mientras la norma PCI DSS busca proteger la confidencialidad, la norma ISO 27001 tiene un alcance mayor cubriendo no solo la confidencialidad sino la integridad y la disponibilidad. Esta gran diferencia nos muestra que sólo proteger los datos de la organización con los controles que brinda la norma PCI DSS deja dos vectores importantes huérfanos comprometiendo la imagen y la continuidad del negocio.

En la otra rama del alcance de la norma están los activos de información a proteger, mientras que PCI DSS busca proteger los datos de tarjeta-habiente, la norma ISO 27001 busca proteger todos los activos de información de la organización de acuerdo a los niveles que la misma organización defina.

Esta diferencia lo que nos muestra es que PCI DSS tiene pre-definido un conjunto de activos como confidenciales mientras que bajo el criterio de la norma ISO 27001 esta definición puede ser un poco ajustable dependiendo de los requerimientos legales a los que esté sujeta la empresa, las necesidades de proteger sus activos de información y su apetito de riesgo. Sin embargo, al estudiar diferentes implementaciones de la norma ISO 27001, es fácil encontrar la falta de rigurosidad a la hora de clasificar la información y por ende los controles terminan siendo laxos o insuficientes.

Adicionalmente algunas organizaciones certifican tareas que tienen en plan de trabajo, contrario a la exigencia de los controles de la norma PCI DSS que se posicionan de un modo absoluto y estricto, la definición de cumplimiento de estos no da lugar a términos medios y no se pueden validar planes de trabajo, los controles deben estar operando desde el principio para considerar que la organización se encuentra en estado de cumplimiento con la norma PCI DSS.

Otro punto de vista sobre la expectativa de cómo implementar cada una de las normas se obtiene al analizar los requerimientos para poder auditar o verificar el cumplimiento de cada una de las normas, mientras que en términos generales de un auditor líder de ISO 27001 se espera que sea un profesional con deseable experiencia en auditoría interna o en auditoría de calidad (ISO 9001) o en general cualquier auditoría que se rija por los métodos definidos en la ISO 19001, un auditor de PCI DSS debe demostrar experiencia de 5 años en el campo de la seguridad informática y alguna certificación de industria en este campo, lo que hace que una persona certificada para hacer evaluaciones PCI (QSA) lo pueda hacer con conocimientos reales y prácticos sobre la materia y no solamente los conocimientos sobre una norma donde en algunas ocasiones sus argumentos serán sobre la interpretación de una palabra y no sobre el riesgo al que se puede exponer una plataforma por una inadecuada implementación de un control.

En otras palabras, la definición de la norma PCI DSS puede considerarse como el ejercicio que hizo el PCI SSC al definir los controles para un sistema de gestión sobre una empresa genérica con unas premisas definidas, con un alcance limitado, y esto lo podemos ver cuando hacemos un mapeo de las dos normas, al realizar esta tarea encontramos que prácticamente todos los controles de la noma PCI DSS tienen una equivalencia en el Anexo A de la norma ISO 27001, sólo que en la primera los controles son bastante específicos.

Conclusión
En ambientes donde es un requerimiento implementar la norma PCI DSS se deben aprovechar los beneficios que brinda el tener un sistema de gestión de seguridad de la información, al proveer mecanismos de mejora continua y respaldo corporativo sumados con el detalle de los controles que da la norma PCI DSS que han sido probados en diferentes ambientes y son reconocidos por dar resultados adecuados.

En muchos casos la implementación de la norma PCI DSS da una relevancia a controles que eventualmente durante la implementación del sistema de gestión se pudieron haber pasado por alto o no se les dio la suficiente importancia.

Referencias
(1) ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements – 2013-10-01
(2) Payment Card Industry (PCI) Data Security Standard (DSS) – Requirements and Security Assessment Procedures – Version 3.2 – 2016-04

Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad

Nuevo plazo para registrar las bases de datos personales en Colombia

Hace unos días (el 4 de mayo) que participé en una de las formaciones que dicta la Superintendencia de Industria y Comercio en relación con el Registro Nacional de Bases de Datos Personales, durante la sesión de preguntas y respuestas los instructores invitaron a uno de los profesionales del equipo legal que apoya los procesos relacionados con este tema internamente para apoyar la tarea y ser formales en las respuestas entregadas, en alguna de las preguntas de los participantes, el abogado fue enfático en afirmar que el Gobierno Nacional no daría más plazos para el registro.


Sin embargo, al navegar en la página web de la Superintendencia de Industria y Comercio (http://www.sic.gov.co/) encontramos un banner que ocupa el 70% de la página principal donde presenta el borrador del decreto con el que se dará un nuevo aplazamiento para el cumplimiento de la obligación de declarar las bases de datos personales.

Al revisar el proyecto podemos encontrar que se mantiene la consideración inicial del primer aplazamiento (decreto 1759 de 2016), pero se incluye un nuevo elemento a considerar para tomar esta determinación y es el hecho de que menos del 25% del total de los sujetos obligados a hacer el registro lo han hecho.

Si analizamos las consideraciones para este aplazamiento deberíamos llegar a algunas conclusiones alarmantes: la primera sería que la tarea de divulgación y socialización, no se ha realizado de acuerdo al mandato de la ley y, esta es una obligación del Estado a través de las entidades que lo representan, esto representa una acción que debería ser verificada por las entidades de control.

El segundo tema a considerar es: si los obligados a reportar mantienen la indisciplina, el Gobierno seguirá dando plazos de manera indefinida, deslegitimando el proceso y pisoteando un trabajo que le ha costado mucho esfuerzo al mismo Gobierno para lograr la protección de la información de sus ciudadanos.

Y finalmente, tantos aplazamientos pueden significar una falta de visión, un análisis pobre de las causas de los incumplimientos y una planeación inadecuada, ya que una simple ampliación de plazos no va a asegurar que al final del ciclo se logre el objetivo si no se plantean u ofrecen mecanismos que garanticen el cumplimiento de la norma.

El decreto entonces, se queda corto porque no le da a la Superintendencia herramientas adicionales para mejorar la “divulgación y socialización” y si a la fecha menos del 25% de los responsables han hecho la tarea, ¿qué hace pensar que en 6 meses lo hará el 75% faltante si la ampliación anterior fue similar y no se logró el propósito?

No sería mejor ofrecer un plazo mayor brindando recursos adicionales para que la Superintendencia pueda ofrecer herramientas, plantillas, guías y ejemplos específicos a aquellas empresas que por su tamaño no tienen la capacidad para hacer un análisis juicioso sobre el estado de la protección de datos al interior de las empresas.

Si no se plantean mecanismos de apoyo es mejor no seguir dando plazos y dedicar los recursos a verificar el cumplimiento de una ley que ya va a cumplir 5 años, que ahora se amplían quedando con los siguientes plazos :
  • Los Responsables del Tratamiento, personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país, deberán realizar la referida inscripción a más tardar el 31 de enero de 2018, de acuerdo con las instrucciones que para el efecto imparta la SIC.
  • Los Responsables del Tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el 31 de enero de 2019, conforme con las instrucciones impartidas para tales efectos por la SIC.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a) y b), deberán inscribirse dentro de los 2 meses siguientes, contados a partir de su creación.


Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad

Cómo protegerse (efectivamente) de un Ransomware o la RansomSociety (la Sociedad Secuestrada)

El Ransomware es un programa que aprovecha una vulnerabilidad para “colarse” en tu PC, encriptar todos los datos y pedirte dinero a cambio, además en medios empresariales se propaga de forma que infecta todas las unidades de red a las que tengas acceso.

Un Ransomware es un Virus?
Un virus es un programa cuya finalidad es la infección alterando o no su comportamiento. Hay un tipo de virus llamado “gusano” [Worm] cuya finalidad es la dispersión (la infección masiva).

Un ramsonware es un programa “malicioso” de ahí el nombre de MalWare [Software Malintencionado], cuya finalidad como programa es el secuestro de la información de nuestro equipo. 

En el caso de WannaCry, es un programa malicioso, dado que secuestra nuestra información y nos pide dinero para liberarla y al mismo tiempo se dispersa (Worm).

La RansomSociety es la sociedad secuestrada por la amenaza de este tipo de acciones, cada día hay más preocupación por la “amenaza digital”, hemos visto robos de información que han influido en resultados electorales, países que abandonan las máquinas para hacer el recuento de sus elecciones “analógicamente” (Holanda) por miedo a intervenciones de un tercero. Ataques a infraestructuras críticas con éxito, Ucrania… La amenaza existe, y más desde que ha pasado a tener plan de negocio. Conviene recordar que la “industria” del malware mueve miles de millones de dólares hoy en día, por tanto, hay negocio y hay gente dispuesta a beneficiarse de este mercado, así que vamos a tener amenazas ahora y en el futuro.

¿Cómo podemos protegernos de forma efectiva contra un Ransomware?
Hay dos principios básicos:
  1. Preventivo: previniendo la pérdida, anticipándome y protegiendo el equipo previo a que esto pase.
  2. Reactivo: actuando una vez estoy siendo atacado.
En función de dónde esté:

¿Qué hago en casa?

Preventivo
  • Unificar la información personal en una carpeta (Mis Documentos, Mis Imágenes…), ¿por qué? Para facilitar la copia de seguridad, si tenemos la información dispersa en el disco duro hacer un backup será más complejo.
  • Comprar un disco duro externo y hacer copia de los datos a este medio externo.
  • Establecer una rutina de actualización de la información, éstas acciones tienen que tener continuidad, tener un backup de hace 3 años puede que no me sirva de nada, por tanto, a la hora de establecer un proceso de copia debe establecerse una rutina de actualización (cada día, cada semana, cada mes…).
  • Revisar que Windows Update o el sistema operativo utilizado esté al día, si no es así actualizar el equipo.
  • Actualizar Antivirus/Malware en todos los equipos (recordemos que si es un ZeroDay no habrá definición de antivirus aún pero siempre es recomendable).
  • Explicar a todos los usuarios del PC que:
    • No deben abrir correos sospechosos,
    • No deben ejecutar programas que “aparecen” en la web tipo “instale esto y le permitiremos bajar el archivo” o “su pc es vulnerable, escanéelo ahora con este programa”, suele ser malware.
    • Usar un bloqueador de elementos emergentes en los navegadores
    • Usar UAC (Control de cuentas de usuario de Windows).
      Inicio – Cuentas de usuario:


      Haga clic en Activar o desactivar Control de cuentas de usuario.
      Nota: Si se le pide una contraseña de administrador o una confirmación, escriba la contraseña o haga clic en Continuar.
      Haga clic para activar la casilla de verificación Usar el Control de cuenta de usuario (UAC) para ayudar a proteger el equipo y, a continuación, haga clic en Aceptar.
      Reinicie el equipo para aplicar el cambio.
      • Controlar las opciones de privacidad de los navegadores.
      • Borrar la memoria caché de Internet y el historial del navegador. [Basados en los métodos de protección pasivos de la definición de Virus].
      Generalmente en un domicilio los Pc’s comparten un grupo de trabajo, por lo que todos los usuarios de todos los Pc’s del domicilio debieran observar éstas recomendaciones.
Reactivo
Si mi equipo se comporta de forma anómala ¿qué puedo hacer?
  • Si veo que la información ya no está disponible o bien los archivos cambian de nombre o bien el equipo se queda “colgado”, es posible que tenga un malware cifrando la información. En ese caso:
    • Apagar el equipo
    • Buscar asesoramiento para restaurar la información, evaluar hasta dónde ha llegado o bien probar la solución de la infección completa.  O bien restaurar la información desde el punto de restauración anterior y revisar que la información se halle actualizada.
  • Si ya me han infectado del todo y al abrir cualquier archivo lo que veo es el aviso del Ransomware conforme debo pagar:
    • Intentar buscar soluciones ya existentes en www.nomoreransom.org
      Asistente de NomoreRansom.org

      Nomoreransom.org
      Es una iniciativa sin ánimo de lucro que agrupa herramientas gratuitas para los usuarios. En caso de haber sido infectado por alguno de los malwares que ya disponen de desencriptador, es posible desencriptar la información sin necesidad de pagar al Ciberdelincuente.

      CryptoSheriff permite enviar un archivo cifrado a nomoreransom para que ellos identifiquen el tipo e indiquen si tienen “vacuna”.

    • O utilizar Telefonica WannaCry File Restorer, si apagamos el PC antes de que se cifre todo aún puede recuperarse desde la carpeta Temp.
    • Si esto no funciona, ir a buscar directamente el backup y despedirse de la información que no hubiera guardada en la copia de seguridad.
    • No se recomienda pagar el rescate, no hay garantía que el pago vaya a permitir desencriptar la información (hay quien ha pagado y no ha podido rescatar la información, hasta los procesos de pago de los Ransomwares tienen un “HelpDesk” para ayudar a los usuarios…).
¿Qué hago en la oficina?
Preventivo
  • No emplear los medios de la oficina para otra cosa que el cometido de tu puesto de trabajo.
  • Comunicar un incidente cuando se produzca mediante los cauces establecidos y si estos no existen mediante cualquier medio a nuestro alcance
  • No abrir correos sospechosos o que tengan algo que los haga sospechosos, como por ejemplo:
    • Texto extraño o contenido poco habitual, el cuerpo del mensaje “pide dinero” o pide algo no habitual como que se realice un acceso a su web.
    • Otro ejemplo, es un correo de publicidad con un ZIP anexo, ¿Para qué es el Zip? Sospechar
    • Oferta novedosa o mail del banco: “estamos actualizando la información debe acceder a su cuenta e introducir su número de cuenta”. Los bancos nunca piden el número de cuenta, lo único que piden son el identificador de acceso y la clave que debe ser oculta. Si un banco pide que le envíes la clave en texto, llama al banco.
  • No ejecutar programas que “aparecen” en la web tipo: “instale esto y le permitiremos bajar el archivo” o “su pc es vulnerable, escanéelo ahora con este programa”, “llame a este 908 para bajar…” suele tratarse de malware.
Reactivo:
Si recibo un mail y al abrir el adjunto la pantalla parpadea o bien el adjunto de Office no se abre o bien se abre y el Excel/Word se cierra a continuación, es posible que haya sido infectado. En ese caso: Avisar a los equipos de soporte

¿Cómo identifico que mi equipo está teniendo un ataque?
  • Si veo que la información ya no está disponible o bien los archivos cambian de nombre y el equipo se queda “colgado”, lo más probable es que tenga un malware cifrando la información. En ese caso:
    • Apagar el equipo
    • Avisar inmediatamente a los equipos de soporte
  • Avisar a los compañeros que si reciben un mail nuestro puede ser fraudulento
  • Si veo que información en la red a la que tengo acceso no está o bien ha cambiado de nombre:
  • Avisar a los equipos de soporte
Existen asimismo métodos de infección en donde no es necesario que yo haya abierto “nada”, sino que el ransomware busca equipos vulnerables a determinada vulnerabilidad en el sistema (el caso de WannaCry, se vale de un ZeroDay para infectarse) y por el hecho de estar conectados a la red los infecta. Por lo que nosotros, como monitores debemos estar atentos al comportamiento de nuestro PC y si vemos que alguna de las casuísticas mencionadas antes se produce avisar de inmediato para que los equipos de respuesta puedan identificar y neutralizar lo antes posible la amenaza.

QUÉ ES UN ZERO DAY?
Son vulnerabilidades de los programas desconocidas para su fabricante –por tanto, no ha podido emitir un parche que la subsane- no estamos protegidos contra ellas dado que son desconocidas para los equipos que administran los sistemas. Ante ellas las protecciones más efectivas son el aislamiento “cortamos internet” o bien la concienciación “sospechar de un correo extraño o no solicitado”.

Una Vulnerabilidad Zero Day puede permitir por ejemplo que un archivo se copie entre todos los Pcs vulnerables a dicha vulnerabilidad de una red. Este es el caso de WannaCry que explota una vulnerabilidad de SMB

Conclusión
Por tanto, aunque seamos un usuario que no entra en ninguna web extraña ni recibe ningún mail extraño podemos vernos infectados por otro usuario que sí lo haga por la naturaleza “gusano” de algunos malwares. Lo primero que debemos hacer como usuarios es evitar la infección evitando actividades que puedan poner en riesgo la compañía/información doméstica. Hemos visto cómo, aún sin haber sido nosotros quienes realizan estas actividades, podemos resultar infectados, en cuyo caso la recomendación es disponer de información de copia de seguridad actualizada, de forma que esta pueda ser restaurada de forma eficaz y rápida y no nos haga depender del pago de un rescate, también hemos visto cómo, aunque se haya encriptado toda la información aún queda esperanza con recursos como nomoreransom.org.

Por tanto, todos debemos observar reglas de uso adecuado de los medios para preservar las tres dimensiones de la Seguridad de la Información que son la Confidencialidad, la Integridad y la Disponibilidad de mis datos, si el cumplimiento no es por parte de todos, estas dimensiones pueden verse afectadas:
  • Confidencialidad: Exfiltración, publicación de información a quien no debiera verla
  • Integridad: Alteración, modificación de la información, caso de ransomware
  • Disponibilidad: Denegación, impedir el acceso a la información, caso de los Ataques que saturan los sistemas, ataques de Denegación de Servicio (DOS) o bien si son a gran escala Ataques Distribuidos de Denegación de Servicio (DDOS).
Y nuestros técnicos deben velar para que los sistemas que empleamos se hallen actualizados de forma que al menos dispongamos de la protección que el fabricante ha suministrado vía actualización de los parches o definición de virus.

Internet Security Auditors asesora y ayuda a las empresas a conseguir un entorno en donde se cumpla la conclusión de éste artículo, ayudando a gestionar su seguridad y aportando un enfoque práctico orientado a negocio que aporte valor a todos los involucrados implantando las mejores prácticas y una metodología contrastada para reducir el riesgo de ataques.


Autor: Carlos Ortiz de Zevallos - ISO 27001 L.A., Scrum Manager, MCP, ITILF, 
ITIL Service Management.
Dpto. Consultoría

Crónica Mundohackerday 2017



Mundohackerday es uno de los eventos de ciberseguridad y hacking más importantes de España y en este evento (que es ya la 4ªedición) se analizaron las últimas tendencias en materia de ciberseguridad con diversas ponencias y mesas redondas en las que participaron expertos de todo el mundo.
En este evento se ha querido concienciar sobre la importancia de la ciberseguridad. Se habló de que los ciberataques son cada vez más sofisticados y difíciles de detectar, por lo que es importante divulgar y concienciar a empresas y ciudadanos sobre la ciberseguridad.

El inicio del evento lo efectuó Víctor Aznar (director de Globb TV) con una breve introducción y posteriormente Antonio Ramos, presentador del programa de televisión Mundohacker y director de StackOverflow.es dio comienzo al evento. Antonio Ramos en su charla “Keynote: Sociedad 4.0 - la cuarta revolución industrial, bienvenidos al infierno!” habló sobre las sociedades actuales y cómo afecta la tecnología y los problemas que nos acontecerán próximamente con la robótica (la automatización de tareas/trabajos por estos mismos).

Para continuar Ricardo Maté y Antonio Ruiz, de “Sophos Iberia”, explicaron como el uso de técnicas de cifrado que pueden ser de gran ayuda a la hora de cumplir el nuevo reglamento europeo de protección de datos (Reglamento (UE)”.
La siguiente charla fue la mesa redonda, compuesta por Rosa Díaz (Panda), Carlos Tortosa (ESET), Pedro Garcia (Kaspersky), Melchor Sanz (HP), Isaac Gutiérrez (Prosegur), Silvia Barrera (Policía Nacional) y Juan Navarro (HPE Software), con moderación de Carlos Alberto Saiz Peña (ISMS Forum). La charla trató sobre la nueva normativa europea en materia de seguridad y privacidad, la GDPR o el Reglamento General de Protección de Datos, que ya está en vigor y será de obligado cumplimiento a partir del 25 de mayo de 2018.

La siguiente ponencia la realizó Julien Blanchez, (Google), que nos habló de cómo securizar las plataformas cloud y nos describió las tecnologías que utiliza su compañía para mantener los datos seguros en los servicios que ofrecen.

Para continuar, la siguiente charla fue protagonizada por Gadi Naveh, (Check Point), que habló sobre la historia del cibercrimen hasta los tiempos de hoy, en los que actualmente es posible contratar servicios de phising, exploit o ransomware, por lo que, estas técnicas, para fines maliciosos están al alcance de cualquiera, aunque sus conocimientos informáticos sean muy básicos. A lo largo de su charla enumeró las fases por las que un ataque llega a ser exitoso.

Después del café continuamos con Carlos Gómez Gallego, (HPE Aruba), el cual nos relataba que cada vez hay más riesgos de seguridad asociados a los dispositivos móviles.
El siguiente ponente fue Agustín Muñoz-Grandes, (S21sec), que habló sobre los servicios gestionados vs APTs (advanced persistent Threats), indicando también a su vez que las personas son el punto de entrada de la mayoría de los ataques,

La última charla de la mañana fue la mesa redonda “Hacking Spain: el rol de las comunidades en la ciberseguridad”, Esteban Dauksis (FAQin), Miguel Ángel Cazalla (Hack & Beers), Igor Lukic (Hackron), Juan Antonio Robledo (HoneyCON),David Albela (María Pita DefCon),Luis Jurado Cano (Moscow C0n),Juan Carlos Gutiérrez (Mundo Hacker),Rubén Ródenas (Navaja Negra),María José Montes Díaz (Qurtuba),Sergio Sáiz García (Sh3llCon), Adrián Ramírez Correa (SEC/ADMIN9, Ángel-Pablo Avilés (X1RedMasSegura) y Raúl Riesco (Incibe) como moderador.

Después de comer, siguió David Marugán, explicando como la tecnología se ha abaratado para el ciberespionaje y puede estar al alcance de todos. A su vez nos enseñó dispositivos y técnicas que se utilizan para rastrear y tener la seguridad de que no existen micrófonos u otros elementos espiándonos.

Siguiendo con el evento Enrique Serrano nos alertaba de como roban tus credenciales mientas navegas.

El siguiente ponente fue Carlos Loureiro, que se centró en la realización de análisis de la deep web y como era posible rastrear IPs y usuarios.

Seguimos con Alberto Cartier, que nos apartó un poquito de la seguridad, pero nos mostró técnicas de memorización con ejemplos prácticos, como por ejemplo recordar palabras en nuevos idiomas y recordar largas secuencias de números.

Luego Yago Hansen (Mundo Hacker y Stack Overflow) explicaba cómo realizar chats secretos mediante canales Wi-Fi encubiertos.

Deepak Daswani (Deloitte) nos habló sobre Whatsapp y distintas técnicas para espiar su contenido.
Simon Roses (Vulnex), hizo referencia en su charla a las puertas traseras que se encuentran actualmente.

Javier Espejo (Raipson) nos habló de Red Team y como ser “malo” y no acabar entre rejas.
Pedro Candel (Deloitte) y Carlos Barbero nos explicaron como explotar sistemas de escritorio de última generación mediante browser hooking.

Lorenzo Martínez (Securízame) hizo mención a las APTs (Amenazas Persistentes Avanzadas).
Y ya para finalizar Gabriel Lazo hablo sobre la ciberguerra, exponiendo que la OTAN ha reconocido al ciberespacio como un nuevo campo militar, junto con los campos que ha habido siempre como son los de tierra, mar y aire.

Por otro lado, la CTF Academy, en la que miembros del equipo español que han participado en los campeonatos Europeos “European Cyber Security Challenge 2016” enseñaban a los futuros expertos en seguridad cómo aprender a competir en retos de hacking en cuatro sesiones a lo largo de la jornada.


Una mirada del Ransomware WannaCry desde el punto de vista de PCI DSS

Desde hace algunos días la comunidad Internet ha estado siendo agobiada por el ataque de un virus informático que, desde el punto de vista de diferentes estándares de seguridad y en especial de la norma Payment Card Industry Data Security Standards PCI DSS v.3.2 (https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf?agreement=true&time=1494941625673 ), no ha debido ocurrir.

Veamos algunos elementos de información que se han hecho públicos y que nos permiten hacer un análisis de los eventos que resumo a continuación:
  • Microsoft publicó un parche para todos los sistemas operativos soportados para una vulnerabilidad clasificada como crítica en el protocolo Server Message Block (SMB) versión 1.0 el 14 de marzo de 2017 (MS17-010).
  • La vulnerabilidad usada por este virus (EternalBlue), junto con el exploit fue hecha pública por el grupo de hackers Shadow Broker el 14 de abril de 2017.
  • El 12 de mayo de 2017 se viraliza el Ransomware WannaCry iniciando uno de los ataques más serios de los últimos tiempos.
  • El 12 de mayo, algunos fabricantes de antivirus publicaron las firmas que detectan este virus.
  • Debido a la seriedad del ataque Microsoft publicó parches para algunos sistemas operativos no soportados el 13 de mayo de 2017.
Si revisamos con detenimiento las fechas encontramos que entre la fecha de publicación del parche y el ataque pasaron dos meses, y, la norma fija que no deben pasar más de 30 días desde la publicación de un parche de una vulnerabilidad crítica y su aplicación (requerimiento 6.2 de la norma PCI DSS v.3.2).



El virus está atacando a sistemas que tienen activo el servicio SMB 1.0, el cual en la mayoría de casos no es requerido y ha debido ser desactivado después de un proceso de configuración inicial de las máquinas (requerimiento 2.2 de la norma PCI DSS v.3.2).


El vector de ataque del virus es el puerto 445, lo que significa que para ser atacado, este puerto debe estar expuesto ya sea por internet o una máquina de la empresa que se conectó fuera del ambiente corporativo a Internet y luego la llevó y la conecto a la red corporativa; esto nos presenta dos puntos posibles (en términos generales) de infección: una regla de firewall que permite el acceso a este puerto (es muy raro que una empresa requiera exponer a través de sus portales públicos este puerto), lo que significaría que hay reglas no requeridas, o extremadamente abiertas en el firewall y que no fue eliminada en ninguna de las revisiones semestrales (requerimientos 1.1.6 y 1.1.7 de la norma PCI DSS v.3.2).




El segundo escenario es el de una estación que se conecta de manera directa a Internet, en este escenario la estación o portátil debería estar operando con un firewall de host o personal con reglas definidas para dar acceso a los recursos necesarios para poder trabajar, cerrando todo tipo de acceso remoto e impidiendo su desactivación o reconfiguración por parte del usuario final (requerimiento 1.4 de la norma PCI DSS v.3.2).


Teniendo en cuenta que algunas empresas que producen antivirus lograron sacar firmas que protegen contra el virus en mención, su aplicación temprana ha podido prevenir una infección de las máquinas que fueron contaminadas los días posteriores a su publicación (requerimiento 5.2 de la norma PCI DSS v.3.2).


Por la información de prensa se evidenció que en muchas empresas los planes de respuesta a incidentes no incluyeron los procedimientos adecuados para dar continuidad al negocio como, por ejemplo, copias de seguridad y una adecuada comunicación de las tareas a seguir para evitar que los daños se siguieran propagando (requerimiento 12.10.1 de la norma PCI DSS v.3.2).

Finalmente es importante recordar que muchos de estos controles requieren el concurso directo de los empleados ya que los dispositivos que se conectan a la red son operados por ellos, por tanto, una adecuada concientización en temas de seguridad realizada de manera periódica asegura el correcto funcionamiento de los controles (requerimiento 12.6.1 de la norma PCI DSS v.3.2).


Hacer el análisis de todos estos elementos desde el punto de vista de cualquier otra norma de seguridad nos llevaría a la misma conclusión, el ataque se pudo haber prevenido mediante la correcta aplicación de buenas prácticas de seguridad.
La seguridad no es un tema de un ataque aislado ni de un evento en la operación, es un tema de todos los días de tratarla desde un punto de vista sistémico como parte de la operación del negocio.


Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad

Vicente Aguilera participa nuevamente en el programa 8aldia de 8TV

El viernes saltaban las alarmas debido al ataque informático masivo que se extiende a nivel global. En las últimas 24 horas se identificaron más de 100.000 equipos infectados por la variante de WannaCrypt.A en un total de 166 países distintos.

En el programa 8aldia del canal 8TV quisieron contar, una vez más, con la opinión y experiencia de Vicente Aguilera.

En el siguiente enlace se encuentra la entrevista completa:
http://www.8tv.cat/8aldia/8-al-dia-amb-josep-cuni/vicente-aguilera-al-final-depenem-dun-ordinador/

Crónica de la Charla Sobre el Registro Nacional de Bases de Datos

El 4 de mayo se llevó a cabo la segunda charla sobre el registro de bases de datos de información personal en las instalaciones de la Superintendencia de Industria y Comercio, las personas a cargo de esta charla fueron Carolina López y René Sierra. Durante esta charla se hicieron clarificaciones sobre diferentes aspectos del proceso del registro.

Como punto de partida se hizo una revisión del marco legal vigente que tiene como pilares la ley 1581 de 2012 y el decreto 1074 de 2015.

Durante la charla se reforzó la definición de un dato personal como aquel que permite identificar a un individuo, la clasificación de estos se da por su naturaleza: los datos públicos son el nombre y la cédula, un dato semiprivado aquel que no tiene naturaleza íntima, reservada ni pública y cuyo tratamiento le interesa a la persona y a un grupo específico de personas, por ejemplo los datos financieros; los datos privados son aquellos que solo son relevantes para el titular, como por ejemplo, fotos o información relacionada con el estilo de vida; los datos sensibles que son aquellos que afectan la intimidad de las personas y el uso indebido puede generar discriminación.

Durante la charla se reforzó el hecho de que para hacer tratamiento de datos de menores de edad se requiere la autorización de un mayor responsable de este y que tenga una relación de primer grado de consanguinidad. Ej. Los datos de los hijos para registrarlos en la caja de compensación.

El registro se debe actualizar en los 10 primeros días de cada mes en cambios significativos, esto es cuando cambie:
  • Finalidad
  • Encargado
  • Los canales de atención al titular
  • Las medidas de seguridad de la información implementadas
  • La política de tratamiento de la información
  • Transferencia y transmisión internacional de datos personales.

Igualmente recordaron que las bases de datos nuevas se deben registrar dentro de los dos meses siguientes a su creación.

En el momento de presentar las fechas límite de registro (30 de junio de 2017 para personas jurídicas privadas inscritas en cámara de comercio, 30 de junio de 2018 para el resto), fueron enfáticos en informar que la SIC no dará más plazos y que quien no registre sus bases de datos se atiene a posibles multas.

En cuanto a la solicitud de autorizaciones de uso de información, estas se solicitan de dato semi privado en adelante.

En cuanto al inventario de bases de datos hicieron las siguientes aclaraciones: se debe tener en cuenta que si los mismos datos están en medio físico y medio digital, se consideran bases de datos independientes, si el mismo conjunto de información se tiene en sitios separados con propósitos diferentes, se consideran bases de datos diferentes, para el caso de las tarjetas de presentación de negocios se debe evaluar por ejemplo se manejan tarjeteros o si la información de estas se sube a una aplicación que maneja una base de datos ya registrada, con estos criterios se deberá tomar la decisión de si se registra o no.

En referencia a la política de tratamiento mencionaron que puede haber una política diferente para cada base de datos dependiendo de la finalidad o puede haber una general.

Los datos que se da a las entidades de salud, pensiones, impuestos, cajas de compensación, etc. Antes eran tratados como “cesión” pero el criterio cambió y ahora ya no se registran estos procesos de cesión o transferencia. Cada una de las entidades que reciben esos datos deben hacer su propio registro y se clasifican como responsables de la información.

Si el responsable y el encargado son diferentes se deben crear canales de comunicación independientes para cada perfil.

En cuanto a la sección de medidas de seguridad del proceso de registro, se resaltó la importancia de documentarlas para cualquier proceso probatorio en caso de investigaciones.

Cuando se habló del proceso de autorización al tratamiento recordaron que el artículo 7 del decreto 1377 de 2013 menciona 3 mecanismos de autorización (por escrito, oral, conducta inequívoca) y recomendaron ampliamente usar el mecanismo escrito que es el único trazable y sustentable en un proceso jurídico. Mencionaron como ejemplo que en el caso de una factura que recoja los datos de una persona, el mismo formato de la factura debe hablar de la autorización.

Para los casos en que se requiera transferir información a un país donde la legislación no sea equivalente se requiere autorización expresa o llevar a cabo el proceso de hacer una solicitud de declaración de conformidad que aclararon es un proceso que toma mucho tiempo.

Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad

Crónica GigaTIC 2017: "Más allá del futuro: Negocio, tecnología y robótica"



El pasado día 26 de Abril de 2017 tuvo lugar GigaTIC, uno de los eventos en materia de mejores prácticas en gobierno y gestión de servicios TIC de referencia, y consolidado en la capital catalana. El evento fue organizado por itSMF España en Catalunya e ISACA Barcelona.

La jornada contó con la apertura institucional, a cargo de Jordi Puigneró (secretari per a la Governança de les Tecnologies de la Informació i la Comunicació). A continuación, se inició la tanda de conferencias y talleres.

Adrià Morron con “Revoluciones tecnológicas en el siglo XXI: impacto económico y retos sociales”, nos expuso una visión histórica de los sucesos más significativos con importante impacto económico (véase aparición de la máquina de vapor, el ferrocarril, la 2ª revolución industrial etc.). Actualmente, la situación es muy distinta. Se producen avances o revoluciones tecnológicas, pero el impacto de éstas no es el mismo a nivel económico.

Así pues, se intenta analizar el futuro, principalmente teniendo en mente la aparición, instauración y consolidación progresiva de los robots en los puestos de trabajo.  Si estás leyendo este artículo, probablemente te estés preguntando si tu trabajo podría ser reemplazado por un robot. Obviamente, es una pregunta muy compleja, en la que intervienen no uno sino múltiples factores, pero es cierto que algunas profesiones son más propensas a ser “robotizadas”.  A continuación, y a modo de ejemplo a muy alto nivel, se muestra el riesgo de automatización según empleo:

Si se analiza el gráfico anterior, se puede llegar a la conclusión de que los trabajos que son más susceptibles de ser ‘robotizados’ son aquellos con un grado de repetición más elevado.
Además, se debe tener en cuenta que los salarios elevados son los que tienen un menor riesgo de automatización. Los salarios medios son propensos a ser robotizados, de forma que los trabajadores que pierden el trabajo por dicha situación, se ven desplazados hacía lugares de trabajo con menor calificación, produciéndose un incremento de las desigualdades.

La segunda conferencia estuvo a cargo de Antonio Valle, con “Un BOT en la vida del Service Manager”. Cómo un robot crea el nexo de unión entre ITSM y DevOps.

Se analizó una situación actual, que se puede dar en cualquier empresa. La diferencia está en si la situación se gestiona de una forma tradicional o en si se utiliza DEVOPS como herramienta de soporte.

Vamos por partes, la situación a analizar es la gestión de un incidente. La gestión de un incidente grave conlleva que múltiples trabajadores estén involucrados en su gestión y resolución. El contenido de las llamadas telefónicas no queda registrado, la información de configuración se tiene que localizar y consultar, del mismo modo que el estado de las máquinas. Una vez determinada la raíz del problema y resuelto el incidente, la gestión de este aún no finaliza, queda por documentar todo lo sucedido, manualmente.

Pero, ¿qué puede aportar DevOPS? Con la implementación de un ‘robot’, o en términos más correctos, un ‘bot’ que participe en la conversación, se puede obtener asistencia en:
  • Ejecución de tareas no cognitivas y repetitivas, como por ejemplo las siguientes:
    • Creación automática de un chat room.
    • Inserción de tema y descripción.
    • Invitación de empleados que se ven afectados por el incidente sucedido.
    • Dar información del estado y los detalles del ticket.
    • Modificar y cerrar el ticket.
    • Facilitar información sobre las personas de contacto.
    • Facilitar información sobre los problemas y cambios relacionados.
    • Facilitar información de la base de datos de conocimiento.
La lista de tareas puede ser muy extensa, simplemente se muestran unas cuantas a modo de ejemplo.
Los beneficios que se obtienen con la utilización de un bot en la gestión de incidentes anteriormente analizada son múltiples. La comunicación fluye con más facilidad, y todo lo que se sucede en el chat room queda registrado. Además, la velocidad o el tiempo de actuación es menor, dado que directamente se puede crear un chat con todo el personal afectado y responsable de su resolución, sin tener que dedicar tiempo en buscar las personas que pudieren tener responsabilidad, llamarlas y gestionarlas.

La estandarización en la resolución del incidente, así como la trazabilidad, son también dos factores muy importantes que se ven mejorados.

Después de una pequeña pausa, los conferenciantes se dividían en tres salas distintas.  En la sala 1 – Auditorio, se encontraba Carlos Ortiz de Zevallos, miembro de itSMF, moderando el debate “Debatiendo con… Ramón Lopez de Mántaras, Miquel Barceló y Josep Puyol – Inteligencia Artificial y Robótica: De la ficción a la realidad”. A la misma hora, Vicente Aguilera presentó, en la sala 2, “Strength level before hacking – técnicas de evaluación de Seguridad en el software”.

Se hizo hincapié en la complejidad que tiene el SW, y en el gran entendimiento técnico que se tiene que tener para poder explotarlo.  La creación del SW seguro es un elemento muy importante, que se tiene que tener en cuenta desde un primer momento, y que debe comprender:
  • Diseño, construcción y realización de pruebas para la seguridad
  • Ejecución correcta bajo un ataque malicioso (que el comportamiento esté ‘controlado’)
  • Diseño teniendo en mente las fallas.
Además, es posible añadir una capa adicional de seguridad, mediante la implantación de buenas prácticas: OWASP, CLASP, BSMM etc.

El resto de la presentación giró alrededor de las distintas técnicas de evaluación que pueden ser utilizadas, valorando sus ventajas y desventajas. Algunas de las técnicas tratadas se listan a continuación:
  • Revisiones manuales
  • Modelado de amenazas
  • Revisión de código
  • Pentest (Prueba de Penetración)
  • Machine Learning
El Machine Learning es un campo de la inteligencia artificial que está dedicado al diseño, el análisis y el desarrollo de algoritmos y técnicas que permiten que las máquinas evolucionen. Se trata pues, de crear programas que sean capaces de generalizar comportamientos a partir del reconocimiento de patrones o la clasificación.

Se analizaron las distintas soluciones de Machine Learning presentes en el mercado, desde soluciones que analizan el código fuente, identificando la forma de código vulnerable hasta la aplicación automática de parches para solucionar vulnerabilidades (corrección automática e independiente del código).
Se constató, después de analizar las distintas soluciones de Machine Learning presentes en el mercado, que esta ‘tecnología’ ha llegado para quedarse, ya que aún tiene mucho por ofrecer.
A continuación, en la misma sala, fue el turno de Ivan Lalaguna, con “Experiencias innovadoras en la transformación digital”.

Ivan nos mostró la evolución de diferentes proyectos en la transformación digital, haciendo especial hincapié en el factor humano, y es que la solución técnica a un problema, por muy buena que sea, no será útil si no se ha tenido en cuenta el factor humano de todos los afectados.

A modo de ejemplo, voy a exponer uno de los escenarios tratados en la presentación. El escenario evaluado trataba de la instalación de un parque eólico. Se tenía que localizar una zona que permitiera la generación suficiente de electricidad, pero, además, como se quería estar generando siempre a máxima potencia, se tuvo que idear un sistema para tener X aerogeneradores, y, en función del viento, activar o desactivar aerogeneradores para poder generar siempre a potencia máxima (y no sobrepasarla).

La implementación del SW, tenía que realizarse teniendo en cuenta la localización remota de la instalación. Se empezó con la realización del software y las posteriores pruebas, y se determinó que ya estaba listo para poder ejecutarse. Pero, un día cualquiera, el SW se desactivó, y dejó de funcionar. Se analizó lo que estaba ocurriendo, y efectivamente se había desactivado, pero activándolo de nuevo, volvía a funcionar con total normalidad, sin apreciarse ningún error o fallo.

Finalmente, los responsables del SW, cansados ya de dedicar personas y personas a revisar el código y posibles fallos que pudiera tener, decidieron monitorear manualmente el funcionamiento, para poder actuar de forma inmediata delante una desconexión de éste. Un día dado, se desconectó, y los responsables intentaron conectarse de forma remota, pero ésta también se desconectaba. ¿Cuál era el problema? El factor humano, ya que era una tercera persona quién utilizaba el ordenador bajo el cual corría el SW, y quién lo cerraba (sin saber lo que realmente estaba haciendo).

¿Qué se puede aprender de la situación anterior? Pues que no solamente se deben tener en cuenta los factores técnicos de la solución, sino toda la interacción (directa e indirecta) con humanos, también debe ser analizada y tratada debidamente.

Antes de la comida, en la sala 3, Luis Benítez realizó la presentación “IoT: In-Security of Things”. En ella, se analizó la situación actual de este tipo de dispositivos, dejando clara una tendencia en aumento del número de dispositivos por persona.

A continuación, Luís, nos expuso tres escenarios distintos, con ‘deficiencias’ en seguridad, mostrando los problemas que pueden suceder (y que ya se están empezando a suceder).
  1. Smart TVs
    Nos mostró cómo, algunas de las TV analizadas, tenían distintas vulnerabilidades conocidas clasificadas como graves sin corregir. Se abarcó también el tema de la privacidad y la seguridad de la función ‘botón rojo’.
  2. Barra de sonido empresa X
    Es un claro ejemplo de lo que podría pasar, a medio o largo plazo, con los distintos dispositivos IoT en uso.  La barra de sonido tenía múltiples vulnerabilidades críticas, altas, medias etc. así que lo primero que le viene a uno en la cabeza es actualizarla. Hasta aquí todo bien y muy coherente. ¿Entonces, cuál es el problema? La empresa X se encuentra bajo concurso de acreedores, y ya no da soporte de sus productos.

    ¿Resultado? Tenemos un HW funcional, completamente operativo, pero que por su naturaleza (IoT) se encuentra conectado permanentemente a Internet sin tener unas medidas de seguridad mínimas, facilitando que un hacker pudiera acceder a ella.
  3. Dispositivo de control eléctrico
    El tercer escenario evaluado, hace referencia a un conjunto de dispositivos que permiten tener un control del consumo energético de una casa. Mediante el análisis de tráfico se determinó un problema muy importante, y que tiene una relación directa con lo tratado en la presentación de Vicente Aguilera, el uso de buenas prácticas.

    El SW transmite la latitud y la longitud de cada uno de los sensores, y además, envía un número identificador de dashboard (pantalla principal de la aplicación para controlar y administrar todos los sensores). Pues bien, en la información transmitida con la aplicación, se sabía no solamente el lugar exacto de los sensores (y por lo tanto de la posible víctima) sino que además se podía acceder a los dashboard de cualquier cliente mediante la modificación manual del código…
Después de la comida, en el auditorio, fue el turno de Conxi Pérez y Enric Arola con “¿Cómo me muevo hacia el futuro?”. Se analizó la situación actual, y la influencia que tiene la tecnología en el siglo XXI, poniendo como ejemplo la figura de embajador tecnológico creada por el gobierno de Dinamarca para actuar de interlocutor con las empresas tecnológicas. También se trató la importancia de llegar a un equilibrio entre la “cultura1 y las “estructuras2 de una organización, y lo importante que es involucrar a todo el equipo.  Finalmente, se analizaron los distintos tipos de organización y los estilos de liderazgo, abarcando la importancia de todo el equipo en la empresa y en los distintos roles que poseen.

A continuación, fue el turno de Robert Falkowitz, con la ponencia “Managing the robots that manage services”. Se analizó el futuro de los robots y los cambios que podrían conllevar en las disciplinas actuales de gestión del servicio, debatiendo, por ejemplo, el impacto que podría tener si los robots fueran capaces (por sí solos) de conocer cómo han sido configurados y los cambios que se han ido produciendo en el tiempo.

Para la gestión de peticiones de servicio, se constató que los robots podrán evaluar los riesgos de una forma mucho más precisa, sin tener en cuenta todos los temas emocionales humanos, así como realizar cambios de forma rápida y efectiva, sin tener que esperar a la disponibilidad de una persona. Además, se pueden actualizar de forma automática y pueden realizar distintas pruebas de testing mucho más complejas de forma más rápida. Por si fuera poco, la transferencia de conocimiento de un robo a otro, también se produce de forma mucho más efectiva, dado que no hay un ‘tiempo de aprendizaje’.

Para finalizar la jornada, y antes de la clausura institucional, tuvo lugar un debate titulado “CDO-CEO-CIO: ¿Cómo liderar la transformación digital?” entre Sergio Martínez (Pronovias), Jordi Priu (MMM) y Benito Cerrillo (Vichy). En él, se debatió la forma en la que se debe introducir y gestionar la innovación en la organización, y en la forma de llevar a cabo la transformación digital, maximizando la involucración de todos los empleados, analizando los puntos fuertes y los puntos débiles, y haciendo frente a la aversión al cambio.

1. Cultura de una organización: Se trata de ver con el factor humano (uso de poder, dinámicas de influencia, liderazgo etc.)
2. Estructura de una organización: Conjunto de estrategias, políticas y procedimientos de una organización.


Autor: Marc de Tébar 
Dpto. Consultoría