Vicente Aguilera participará en CONAND - Andorra

El próximo miércoles 7 de febrero Vicente participará en la mesa redonda: Ciberterrorismo, en el evento CONAND que se llevará a cabo en Andorra.

Moderador:
o César Marquina. CSO (Andorra Telecom).

Participantes:
o Maria Àngels Moreno Aguirre. Jueza del Principado de Andorra
o Carlos Fragoso. Digital Forensincs, Incident Response / CyberThreat Intelligence (One eSecurity)
o Vicente Aguilera
o Javier Ignacio Zaragoza Tejada. Fiscal de la Fiscalía Provincial de San Sebastián

Y el jueves 8 de febrero, presentará su ponencia: “Presente y futuro del ciberterrorismo”

Descripción de la conferencia:

La evolución de la tecnología comporta, inherentemente, su abuso con múltiples finalidades. La presentación tratará el incremento en la dependencia de la tecnología y las motivaciones por parte de los cibercriminales. ¿Cómo afecta el ciberterrorismo a la sociedad actual? ¿Cómo será su evolución e impacto en paralelo con la evolución de la tecnología? ¿De qué manera los gobiernos y la sociedad en su conjunto se están preparando ante las nuevas ciberamenazas? Estas y otras cuestiones serán tratadas durante la exposición.

Para más información sobre el evento:
https://conand.ad/

Nuevo plazo para registrar las bases de datos personales en Colombia

El 18 de enero se publicó un nuevo decreto en relación con el registro de las bases de datos personales ante la Superintendencia de Industria y Comercio, este es el Decreto 090 del 18 de enero de 2018, por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio Industria y Turismo.

Dentro de las consideraciones existe una que se había anticipado en un artículo anterior: seguimos con un porcentaje de responsables que han hecho su registro menor al 25% (misma cifra argumentada los decretos anteriores), es decir, volvemos a la alarmante conclusión de que la Superintendencia no ha cumplido con su labor de socialización y divulgación de acuerdo al mandato de ley y, teniendo en cuenta que este es el tercer aplazamiento, se puede prever que exista un cuarto o quinto ya que no se ven intenciones de parte de la Superintendencia por cambiar o mejorar los programas de difusión que, por lo visto, tampoco están siendo monitoreadas por los entes de control.

Ahora, para hacer que el universo de aplicación de la obligación de registro y vigilancia se vea más pequeño y poder mostrar un cumplimiento más grande, además, enmascarándolo con la campaña anti-trámites (ver imagen tomada de www.sic.gov.co), se ha decidido exonerar del registro a algunos tipos de entidades. Con esto la Superintendencia presentará un porcentaje de cumplimiento de registro de base de datos significativamente mayor al 25% sin haber realizado una gestión diferente (y probablemente sin aumentar el número de bases de datos registradas). Desafortunadamente a día de hoy la SIC1 no ha dado cifras sobre el número de empresas que han registrado sus bases de datos, desagregando esta información en los rangos o criterios que hoy está usando para hacer la reducción del universo, ni está dando la magnitud de cada uno de los rangos. La no publicación de estas cifras nos hace presumir que los porcentajes de declaración de bases de datos que se publicarán en próximas fechas estén desvirtuados por el hecho que el universo de afectados por la obligatoriedad de registro se haya reducido drásticamente, y no tanto por la cantidad de registros realizados, por lo que el factor determinante para hacer subir los porcentajes de declarantes no será que las declaraciones se hayan realmente incrementado de un día para otro tras la publicación de este nuevo decreto.

Para hacer la reducción del universo se usan algunos criterios de definición de micro, pequeña y mediana empresa que vienen de la Ley 905 de 2004, estos son:
  • Mediana empresa: activos totales entre 100.000 y 610.000 UVTs2 .
  • Pequeña empresa: activos totales entre 501 y 5.000 SMMLV3.
  • Microempresa: activos totales menores a 500 SMMLV.


De acuerdo con el nuevo decreto, serán objeto de inscripción en el Registro Nacional de Bases de Datos, aquellas empresas que son responsables y caigan dentro una de las siguientes características:
  • Sociedades y entidades sin ánimo de lucro con activos superiores a 100.000 UVTs.
  • Personas jurídicas de naturaleza pública.
Y los plazos se ajustan así:
  • 30 de septiembre de 2018: Sociedades y entidades sin ánimo de lucro con activos superiores a 610.000 UVTs.
  • 30 de noviembre de 2018: Sociedades y entidades sin ánimo de lucro con activos totales entre 100.000 y 610.000 UVTs.
  • 31 de enero de 2019: Personas jurídicas de naturaleza pública.
Afortunadamente, encontramos que se mantiene la obligación de cumplir la norma en cuanto al programa de protección de datos personales para todos y que está obligación está vigente desde el momento de la expedición del Decreto 1377 del 27 de junio de 2013. Lo único que se le quitó a las pequeñas y micro empresas fue la obligación de registrar las bases de datos en el RNBD4.

El problema más grande de este planteamiento es que, bajo el criterio de reducir el alcance de vigilancia, se deja de lado el monitoreo de las empresas donde suele haber un mayor desorden y disciplina en el manejo de las bases de datos personales y donde existe una menor cantidad de recursos para llevar el control de estos datos, esto también puede estar excluyendo de declarar a empresas que tienen el manejo de información bastante sensible como por ejemplo datos médicos, información de menores, datos socio-económicos, información sobre raza, religión, situación de desplazamiento, entre otros. Un ejemplo de esta situación se puede ver en la Resolución 13790 de 20165 de la SIC, donde podemos ver que no es un caso hipotético sino un evento de la realidad Colombiana que ya ha sido sancionado; en caso de una brecha en una entidad de este tipo se puede afectar de manera importante a las personas; igualmente, se deja de lado el criterio del volumen de las bases de datos, que podría ser un factor determinante a la hora de tener que hacer el registro de las bases de datos, porque es un hecho que una empresa pequeña puede tener a su cargo cientos de miles de registros, un ejemplo notable es la sanción definida en la Resolución 15339 de 20166 de la SIC. Ahora, como no hay que registrar las bases de datos en muchas empresas ¿Quién va a proteger los derechos de los ciudadanos en referencia al manejo de bases de datos personales y la Superintendencia busca reducir su tarea?

Por otro lado, debemos revisitar el tema de que si los obligados a reportar mantienen la indisciplina y el Gobierno, a través de sus organismos, no obliga al cumplimiento y continúa dando plazos de manera indefinida, seguirá deslegitimando el proceso y devaluando un trabajo que le ha costado mucho esfuerzo al mismo Gobierno para lograr la protección de la información de sus ciudadanos.

Una nota para pensar: tantos aplazamientos pueden significar una falta de visión, un análisis pobre de las causas de los incumplimientos y una planeación inadecuada por parte del Superintendente, ya que la reducción del universo y una ampliación de plazo no va a asegurar que al final del ciclo se logre el objetivo, es necesario plantear estrategias y definir mecanismos que garanticen que el cumplimiento de la norma será efectivo y generará sanciones a quienes no lo hagan.

Volvemos a tener un decreto que se queda corto porque no le da a la Superintendencia herramientas adicionales para mejorar las capacidades de “divulgación y socialización”, y si a la fecha después de dos aplazamientos, estando a punto de culminar el segundo plazo, tenemos que menos del 25% de los responsables han hecho la tarea, ¿Qué hace pensar que en 8 meses lo hará el 75% faltante si la ampliación anterior fue similar y no se logró el propósito?.

A la fecha no se ha visto que la Superintendencia esté cambiando sus mecanismos de difusión, ni que facilite la implementación con recursos adicionales, como, por ejemplo, ofrecer herramientas, plantillas, guías y ejemplos específicos a aquellas empresas que por su tamaño no tienen la capacidad para hacer un análisis juicioso sobre el estado de la protección de datos al interior de las empresas.

Para mayor información sobre el decreto y el proceso de registro de bases de datos visitar la página de la Superintendencia de Industria y Comercio: http://www.sic.gov.co/gobierno-nacional-reduce-universo-de-obligados-a-cumplir-el-registro-de-bases-de-datos-ante-superintendencia-de-industria-y-comercio.

1Superintendencia de Industria y Comercio
2Unidad de Valor Tributario
3Salario Mínimo Mensual Legal Vigente
4Registro Nacional de Bases de Datos
5www.sic.gov.co/sites/default/files/files/Res%20No_%2013790%20de%202016%20-%20SERGIO%20GUZMAN%20MUNOZ.pdf
6http://www.sic.gov.co/sites/default/files/files/Res%20No_%2015339%20de%202016%20-%20LUIS%20EDUARDO%20PALACIO.pdf




Autor: Javier Roberto Amaya Madrid
CISM, ISO 27001 LA, PCI QSA, PCI PCIP
Dpto. Consultoría 

Vicente Aguilera ponente en CIBERSEG 2018 - Madrid

El próximo jueves 25 de enero en la Universidad de Alcalá, se realizarán las V Jornadas de Seguridad y Ciberdefensa organizadas por el grupo de Ingeniería de Servicios Telemáticos del Departamento de Automática, las Cátedra DARS y las Delegaciones de Estudiantes de la Escuela Politécnica Superior. Estas jornadas tienen como objetivo promover temas relacionados la seguridad y la Ciberdefensa en el ámbito universitario.

En esta oportunidad Vicente participará con la conferencia "Usos y abusos de la inteligencia basada en fuentes abiertas"

Descripción de la conferencia:

En el ámbito militar, el valor de la inteligencia es incuestionable. No sólo para conseguir una ventaja frente al enemigo, sino para evitar que este pueda conseguirla sobre nosotros. Los grandes conquistadores de la historia la utilizaron para conseguir sus propósitos y, hoy en día, la inteligencia ha visto renovado y ampliado su valor, aún más si cabe. Las fuentes abiertas han permitido que la generación de inteligencia no sea una actividad exclusiva de unos pocos afortunados, sino que pueda ser explotada por cualquier persona interesada en sus beneficios.

Para más información sobre el evento:
https://ciberseg.uah.es

Vicente Aguilera ponente en Hack & Beers Vol 3 - Barcelona

El próximo viernes 19 de enero después de mucho tiempo vuelve un nuevo Hack&Beers a Barcelona, que se llevará a cabo en las instalaciones de TeatreNeu , con ponencias como:
  • Selva Orejón con "Protección de la identidad digital"
  • Eduardo Sánchez con "Creando un bot de Geolocalización"
En esta oportunidad Vicente Aguilera participará con la ponencia “Nuestra actividad en RRSS: más allá de los datos”

Para más información sobre el evento:
URL: https://www.eventbrite.es/e/entradas-hack-beers-vol-3-barcelona-41852152916

¿Cómo afecta la nueva versión del Top Ten de OWASP el cumplimiento de PCI DSS v3.2?

Dentro de la comunidad de seguridad de la información, el proyecto OWASP (The Open Web Application Security Project - https://www.owasp.org) tiene un amplio reconocimiento debido a sus aportes en pro de la mejora de los controles para la protección de aplicaciones web. Uno de sus proyectos más importantes es el “OWASP Top Ten Project” (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project), que, de forma periódica, lista los 10 riesgos más críticos en este tipo de aplicaciones. Este listado se establece con base en múltiples propuestas de firmas especializadas en seguridad de aplicaciones y de entrevistas a más de 500 individuos, cuyos datos son seleccionados y priorizados de acuerdo con estimaciones consensuadas de explotabilidad, detectabilidad e impacto, tanto técnico como al negocio. 

Figura 1. Variables para el cálculo del riesgo en aplicaciones (Fuente: OWASP)

La versión más reciente de este listado - OWASP Top 10 2017  https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf - fue publicada el 20 de noviembre de 2017. Esta nueva versión, a diferencia de su predecesora, la versión 2013 (https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf), ha tenido en cuenta el impacto de nuevas tecnologías en la industria y los cambios de arquitectura en aplicaciones web, tales como el uso de microservicios escritos en node.js y Spring Boot y el uso de marcos de trabajo web basados en JavaScript (Angular, Bootstrap, Electron y React).

De acuerdo con ello, la priorización de riesgos en esta nueva versión 2017 ha quedado de la siguiente manera, en comparación con la versión del 2013:


 Figura 2. Comparativo de los riesgos del OWASP Top Ten de 2013 y de 2017 (Fuente: OWASP)


Como se puede observar, se han priorizado tres nuevos riesgos (A4, A8 y A10), dos han sido fusionados (A4 y A7 del 2013 en el A5 de 2017) y dos han sido retirados (A8 y A10 del 2013) debido al bajo porcentaje de aplicaciones afectadas hoy en día. Todo lo anterior demuestra que, a pesar del gran esfuerzo realizado para la protección de la infraestructura de aplicaciones web, las amenazas constantemente van evolucionando, quizás más rápido que la propia tecnología.

OWASP Top Ten y PCI DSS

Desde sus primeras versiones, PCI DSS siempre citado a la OWASP como referente para la definición de directrices de codificación segura. Por ello, en el requisito 6.5 “Aborde las vulnerabilidades de codificación comunes en los procesos de desarrollo de software” se citan las guías de la OWASP como mejores prácticas de la industria a ser empleadas para estas acciones, en conjunción con las guías del CERT (https://www.cert.org/secure-coding/publications/index.cfm) y del SANS CWE Top 25 (http://cwe.mitre.org/top25/). 

Teniendo en cuenta la dinámica en términos de riesgos en las aplicaciones web, el PCI SSC fue bastante precavido y por ello dejó en claro que, en el caso de actualización de las mejores prácticas de la industria para la gestión de las vulnerabilidades, éstas deberían primar sobre las identificadas por el propio estándar.

Figura 3. Requisito 6.5 de PCI DSS

 Por otro lado, también se deja en claro lo siguiente:

“A medida que cambian las prácticas de codificación segura aceptadas por la industria, las prácticas de codificación de las organizaciones y la capacitación de los desarrolladores se deben actualizar para abordar nuevas amenazas, por ejemplo, ataques para extraer la memoria.

Las vulnerabilidades identificadas en los Requisitos 6.5.1 al 6.5.10 proporcionan un punto de partida mínimo. Es responsabilidad de la organización informarse sobre las últimas tendencias en vulnerabilidades e incorporar las medidas apropiadas en cuanto a las prácticas de codificación segura”.

Las vulnerabilidades descritas en los requisitos 6.5.1 al 6.5.10 de PCI DSS hacen referencia a los controles mínimos que se deben implementar y que las organizaciones deben incorporar dentro de sus prácticas de codificación segura correspondientes a la tecnología particular de su entorno. A continuación, se relacionan dichos requisitos de PCI DSS y su correspondencia con los Top Ten de la OWASP de los años 2013 y 2017:

Req.
Descripción
Referencia en OWASP Top Ten 2013
Referencia en OWASP Top Ten 2017
6.5.1
Errores de inyección, en especial, errores de inyección SQL. También considere los errores de inyección de comandos de OS, LDAP y Xpath, así como otros errores de inyección.
A1:2013
A1:2017
6.5.2
Desbordamiento de buffer
-        
-        
6.5.3
Almacenamiento cifrado inseguro
A6:2013
A3:2017
6.5.4
Comunicaciones inseguras
A6:2013
A3:2017
6.5.5
Manejo inadecuado de errores
A5:2013
A6:2013
A3:2017
A6:2017
6.5.6
Todas las vulnerabilidades de “alto riesgo” detectadas en el proceso de identificación de vulnerabilidades
A9:2013
A9:2017
6.5.7
Lenguaje de comandos entre distintos sitios (XSS)
A3:2013
A7:2017
6.5.8
Control de acceso inapropiado
A4:2013
A7:2013
A10:2013
A5:2017
6.5.9
Falsificación de solicitudes entre distintos sitios (CSRF)
A8:2013
-        
6.5.10
Autenticación y administración de sesión interrumpidas
A2:2013
A2:2017

Como se puede observar, ninguno de los nuevos riesgos incluidos en la versión 2017 del Top Ten de la OWASP es contemplado por PCI DSS v3.2:

  • A4:2017 – XML External Entities (XXE)
  • A8:2017 – Insecure Deserialization
  • A10:2017 – Insufficient Logging & Monitoring
¿Qué implican estos cambios en el cumplimiento de PCI DSS y cómo se debe proceder?

La priorización de nuevos riesgos a nivel de aplicación previamente no cubiertos por PCI DSS, pero identificados actualmente en la última versión del Top Ten de la OWASP, implica que todas las organizaciones que desarrollen aplicaciones de pago para entornos PCI DSS deben proceder de la siguiente manera:
  • Actualizar la documentación vinculada con el SSDLC (Secure Software Development Life Cycle) para que contemplen la totalidad de los riesgos del Top Ten de la OWASP 2017 – Req. 6.3
  • Actualizar los criterios empleados en la revisión de código (ya sea si se realiza manualmente o empleando herramientas automatizadas) antes de enviarlo a Producción para que cubran estos nuevos riesgos – Req. 6.3.2
  • Actualizar el material de formación en desarrollo seguro incluyendo estos nuevos riesgos y describir sus contramedidas – Req. 6.5
  • Proceder a capacitar a los desarrolladores dentro de los ciclos formativos anuales – Req. 6.5
  • Si se cuenta con aplicaciones web públicas y dependiendo de la opción empleada para protegerlas contra ataques conocidos, actualizar dichos métodos para que contemplen los riesgos de la OWASP Top Ten 2017:

  • o Si se emplean herramientas o métodos de evaluación de vulnerabilidades de aplicación  automáticos o manuales, éstos deben permitir la identificación de los nuevos riesgos.

    o Si se emplea un WAF (Web Application Firewall), esta solución debe ser configurada para que detecte y/o bloquee aquellos ataques vinculados con estos nuevos riesgos.

    Finalmente, se recomienda la revisión de otros proyectos interesantes de la OWASP, como OWASP Proactive Controls (https://www.owasp.org/index.php/OWASP_Proactive_Controls), OWASP Application Security Verification Standard (ASVS - https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project), Software Assurance Maturity Model (SAMM - https://www.owasp.org/index.php/OWASP_SAMM_Project) y OWASP Testing Guide (https://www.owasp.org/index.php/OWASP_Testing_Project), así como las guías  específicas para desarrolladores del OWASP Cheat Sheet Series (https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series).  Se puede encontrar información adicional en los anexos “What’s Next for Developers“, “What’s Next for Security Testers“, “What’s Next for Organizations” y “What’s Next for Application Managers”, que se encuentran al final del documento del Top Ten de 2017.


    Autor: David Eduardo Acosta 
    CISSP Instructor, CISM, CISA, CRISC, CHFI Instructor, CEH, PCI QSA, OPST, BS25999 L.A.
    Dpto. de Consultoría