20_revistaseguridad-ambientesoptimos

Upload: montejo7783

Post on 16-Oct-2015

13 views

Category:

Documents


0 download

TRANSCRIPT

  • Internet

    profunda

    No.20 / abri l-mayo 201 4 ISSN: 1 251 478, 1 251 477

    Prevencin

    de copyright

    Hablando

    correctamente

    Entornos

    virtuales

    Seguridad en

    salud

    Vender

    seguridad

    20

    D

    D

    e

    e

    l

    l

    a

    a

    i

    i

    n

    n

    c

    c

    e

    e

    r

    r

    t

    t

    i

    i

    d

    d

    u

    u

    m

    m

    b

    b

    r

    r

    e

    e

    a

    a

    l

    l

    a

    a

    a

    a

    c

    c

    c

    c

    i

    i

    n

    n

    s

    s

    e

    e

    g

    g

    u

    u

    r

    r

    a

    a

    A

    A

    m

    m

    b

    b

    i

    i

    e

    e

    n

    n

    t

    t

    e

    e

    s

    s

    p

    p

    t

    t

    i

    i

    m

    m

    o

    o

    s

    s

  • Contenido

    Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de informacin y comunicacin. Subdireccin de

    Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI

    M.R.

    , revista especial izada en temas de seguridad

    del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conocimientos aqu

    expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.

    04

    08

    Seguridad informtica en entornos virtuales

    1 2

    Vender seguridad informtica

    1 6

    20

    25

    Seguridad de la Informacin en salud,

    un sector olvidado

    Mitos y realidades de la Internet profunda

    Copyright Prevent Copy: Protocolo BPS

    Hablando correctamente de seguridad de la informacin

  • Ambientes ptimos

    De la incertidumbre a la accin segura

    En nuestro mundo digital, y tambin en el fsico,

    estamos rodeados de mltiples entornos,

    lugares en donde aprendemos, crecemos

    profesionalmente, donde convivimos todos los

    das, sitios que nos falta conocer, otros a los que

    siempre volvemos, en fin. Un mapa que no

    podramos navegar sin el uso de la tecnologa

    y que, desafortunadamente, se encuentra en

    constante riesgo.

    Es la naturaleza de nuestro tiempo, tratar de

    convertir esta simbiosis con lo digital en mejoras

    para nuestra vida. Es el reto que nos hemos

    propuesto en la edicin 20 de la revista

    .Seguridad, hacer de lo cotidiano el mejor de los

    caminos, y de lo nuevo, una mejora constante.

    Probablemente, los temas que encontrars en

    este nmero emerjan en una gran interrogante

    de fallas de seguridad de nuestros das, pero

    tambin, son una buena oportunidad para

    optimizar nuestro futuro.

    Sin embargo, ptimo en los brazos de la

    seguridad, no quiere decir inquebrantable.

    Sabemos que pese a nuestro esfuerzo, no hay

    garantas totales para lo que cambia todos los

    das, pero s existe la satisfaccin de hacer de

    nuestro ambiente, lo mejor en favor de nuestra

    proteccin.

    L.C.S Jazmn Lpez Snchez

    Editora

    Subdireccin de Seguridad de la Informacin

    .Seguridad Cultura de prevencin TI

    M.R.

    / Nmero 20 /

    febrero - marzo 201 4 / ISSN No. 1 251 478, 1 251 477 /

    Revista Bimestral, Registro de Marca 1 29829

    DIRECCIN GENERAL DE CMPUTO Y DE

    TECNOLOGAS DE INFORMACIN Y

    COMUNICACIN

    DIRECTOR GENERAL

    Dr. Felipe Bracho Carpizo

    DIRECTOR DE SISTEMAS Y SERVICIOS

    INSTITUCIONALES

    Act. Jos Fabin Romo Zamudio

    SUBDIRECTOR DE SEGURIDAD DE LA

    INFORMACIN/ UNAM-CERT

    Ing. Rubn Aquino Luna

    DIRECTORA EDITORIAL

    L.A. Clica Martnez Aponte

    EDITORA

    L.C.S. Jazmn Lpez Snchez

    ASISTENTE EDITORIAL

    L.C.C. Kristian R. Araujo Chvez

    ARTE Y DISEO

    L.D.C.V. Abri l Garca Carbajal

    REVISIN DE CONTENIDO

    Rubn Aquino Luna

    Sandra Atonal Jimnez

    Nora Dafne Cozaya Reyes

    Miguel Ral Bautista Soria

    Miguel ngel Mendoza Lpez

    Jess Ramn Jimnez Rojas

    COLABORADORES EN ESTE NMERO

    Enrique Snchez Gallardo

    Juan Armando Becerra Gutirrez

    Jos Luis Sevil la Rodrguez

    Fausto Cepeda Gonzlez

    Miriam J. Padil la Espinosa

    Jess Nazareno Torrecil las Rodrguez

    Editorial

  • UNAMCERT

    La proliferacin de nuevas tecnologas en las

    distintas reas que conforman las soluciones

    actuales de TIC (tecnologas de informacin y

    comunicacin), trae como consecuencia nuevos

    retos que las direcciones deben asumir y

    solventar l legado el momento de su

    instrumentacin.

    Aun cuando el trmino virtualizacin ha sido

    acuado en el contexto de los sistemas

    mainframe de IBM, introducidos en la dcada de

    los 60s (Polze y Trger, 201 2), uno de los retos

    actuales es el aseguramiento de este tipo de

    entornos, que a diferencia de la infraestructura

    fsica, planteanuevos desafos. En contraste con

    los entornos fsicos, los entornos virtuales basan

    su operacin en infraestructura fsica unificada,

    es decir, un servidor fsico puede contener uno

    o varios sistemas operativos hospedados en una

    misma plataforma. Aqu el tema de seguridad de

    ambientes virtuales juega un papel importante.

    Seguridad en mquinas

    virtuales

    Las mquinas virtuales (virtual machines), a

    diferencia de un equipo fsico, estn reducidas a

    un simple archivo; que si bien representa

    flexibi l idad para el administrador, tambin

    significa una vulnerabil idad que puede ser

    explotada para robar la mquina completa,

    incluyendo su contenido. Recordemos que en

    los entornos virtuales, varias mquinas virtuales

    pueden compartir una sola interfaz fsica (Figura

    1 ), en consecuencia, dichos equipos pueden ser

    vctimas de diversos tipos de ataques entre una

    mquina virtual y otra residente en el mismo

    equipo fsico, ante esta situacin, el

    administrador debe estar prevenido.

    Por otro lado, la seguridad virtual se extiende

    ms all de las mquinas virtuales, por ejemplo,

    los sistemas de almacenamiento en red se ven

    Seguridad informtica en

    entornos virtuales

    Enrique Snchez Gallardo

  • UNAMCERT

    05

    expuestos a amenazas y constituyen otra lnea

    de accin para los atacantes.

    Figura 1. Servidores virtuales en un mismo servidor fsicosin seguridad entre ellos.

    Una recomendacin es mantener los sistemas

    de almacenamiento separados del resto de las

    mquinas virtuales.

    En un esquema virtual, en donde se uti l izan

    equipos para ejecutar las tareas de

    procesamiento de las mquinas virtuales (y su

    almacenamiento se encuentra en un

    almacenamiento de red SAN

    1

    ), es fcil ver cmo

    se ve comprometido todo el sistema de

    almacenamiento cuando no se contemplan este

    tipo de riesgos, sobre todo al momento de la

    instrumentacin de entornos virtuales basados

    en sistemas de almacenamiento separado.

    En este tipo de esquemas de operacin, existe

    un servidor denominado Servidor de

    procesamiento que puede contener unao varias

    mquinas virtuales y un Sistema de

    almacenamiento (por ejemplo, uno del tipo

    SAN). Este sistema es un equipo fsico separado

    del servidor de procesamiento, cuya funcin es

    alojar los archivos de cada una de las mquinas

    virtuales a travs de interfaces, ya sea de tipo

    iSCSI

    2

    o Fiber Channel. Al interconectarse con

    el servidor de procesamiento, uti l iza canales de

    comunicacin que nuevamente quedan

    vulnerablesante cualquierposible ataque (Figura

    2).

    Figura 2.Esquema de servidores virtuales con procesamiento enun servidor y almacenamiento en una SAN.

    En los entornos de cmputo en la nube, los cuales

    involucran sistemas operativos para el servidor

    fsico, mquinas virtuales y aplicaciones, es

    necesario considerar el aspecto de seguridad

    para la virtualizacin.

    Aplicacin de seguridad en

    entornos virtuales

    Sabnis, S. , Verbruggen, M. , Hickey, J. and

    McBride, A. J. (201 2), hacen mencin de algunos

    aspectos para la aplicacin de seguridad en

    entornos virtuales al inicio de su diseo, por

    ejemplo: clasificacin del trfico e informacin

    real entre mquinas virtuales, mecanismos de

    autentificacin y controles de acceso robustos,

    controles para el acceso y la operacin,

    correccin de vulnerabil idades e instalacin de

    actualizaciones de seguridad, as como

    configuracin de auditora y escaneo de

    vulnerabil idades.

    Se debe considerar la uti l izacin de VLANs

    3

    para

    la separacin del trfico entremquinas virtuales,

    lo que permitir cierto nivel de aislamiento entre

    cada una de ellas. La uti l izacin de firewallspersonales en cadaunade lasmquinas tambin

    constituye una lnea de defensa, puede

  • UNAMCERT

    06

    administrar el trfico de red permitido desde y

    hacia cada una de las mquinas. Otra opcin es

    el empleo de switches virtuales, stos pueden

    segmentar la red y controlar el trfico, sobre todo

    cuando varias mquinas virtuales hacen uso de

    una sola interfaz fsica (Figura 3). Mantener

    actualizados los sistemas tambin representa un

    menor riesgo en ambientes virtuales.

    Sepuedehacerusodeherramientascomerciales

    para ayudar a resolver este tipo de problemas

    de seguridad virtual, tanto en entornos virtuales

    puros como en mixtos.

    Figura 3. Esquema de servidores virtuales conmecanismos de seguridad instrumentados.

    Quhacerpara asegurar los entornos

    virtuales?

    Al igual que cualquier componente fsico de TI,

    se debe comenzar con un plan de

    instrumentacin de seguridad para los entornos

    virtuales, un buen punto de inicio es consultar a

    los principales proveedores de soluciones, los

    cuales son unos de los primeros involucrados en

    el tema debido a la relevancia que tiene la

    seguridad en ambientes virtuales.

    Algunos documentos como VMWareSecurity

    BestPractices, Hyper-V Security BestPractices

    (201 0) y otros disponibles en los diferentes

    portales, permiten a los administradores de TI

    evaluar el tema y comenzar, en el caso de no

    haber considerado antes la instrumentacin de

    seguridad para sus entornos virtuales.

    Ejemplos de soluciones aplicables a

    seguridad virtual

    Shavlik Technologies:

    ShavlikNetChkConfigure es una solucin para la

    gestin de configuraciones que audita y hace

    cumplir las configuraciones de seguridad en una

    red.

    Sistema de respaldo BackupExec 1 2.5 de

    Symantec Corp. : Esta solucin de Symantec

    permite el respaldo de servidores virtuales a

    travs de la instalacin de un cliente enfocado

    especficamente a entornos virtuales.

    VMware: VMware vCloud Networking and

    Security Edge ofrece una puerta de enlace de

    servicios de seguridad paraproteger el permetro

    del centro de datos virtual.

    Check Point: Secure Virtual Network (SVN)

    asegura las comunicaciones business-to-business entre redes, sistemas, aplicaciones yusuarios a travs de Internet, intranets y

    extranets.

    Microsoft: Microsoft integra servicios de

    seguridad a entornos virtuales, en algunos casos

    integrados a sus soluciones, por ejemplo en

    Hyper-v a travs de Windows Authorization

    Manager y en otros, con la integracin de

    soluciones de terceros.

    Dado que la complej idad de los sistemas de

    tecnologa va en aumento, se podra decir que

    la seguridad en entornos virtuales se hacolocado

    en la cima de dicha complej idad. Requiere, por

    parte de los administradores de sistemas, una

    interaccin con los sistemas virtuales igual o

    mayor a la que demandan los ambientes fsicos,

    pero con un nivel de abstraccin superior. Los

    administradores requieren, en principio, de un

    buen o excelente entendimiento de los sistemas

    tradicionales para una mejor comprensin de los

    entornos virtuales.

    Es importante mencionar que el tema de

    seguridad virtual tratado en este artculo es slo

    una introduccin a esta rea de la tecnologa,

    pues bien podra ser considerada como un rea

    de especial idad para los administradores de

    sistemas. En tal caso se deben tomar en cuenta,

    entre otros aspectos: el anlisis de vulnerabil i-

  • UNAMCERT

    07

    Enrique Snchez Gallardo

    Director de TI de El Colegio de Michoacn, A.C. ,

    Centro Pblico de Investigacin CONACYT.

    Es miembro del Grupo de trabajo Maagtic-SI del

    Consejo Asesor en Tecnologas de Informacin

    del CONACYT. Candidato a Doctor en Ciencias

    de la Administracin por la Universidad del Valle

    de Atemajac, Plantel Len. Maestro en

    Computacin por la Universidad del Valle de

    Atemajac, Plantel Guadalajara.

    Es Licenciado en Informtica por la Universidad

    de Zamora y docente Universitario en las reas

    de Ingenieras, Mercadotecnia y

    Administracin de la Universidad del Valle de

    Atemajac, Plantel Zamora.

    dades en entornos virtuales, polticas,

    tecnologas y mejores prcticas, as como tomar

    en cuenta que este tipo de entornos no operan

    de igual forma que los fsicos. Sin embargo, al

    igual que en stos ltimos, existen herramientas

    que ayudan a proteger y mantener la integridad

    de los entornos virtuales a travs de una buena

    administracin de la seguridad virtual.

    1SAN (Storage Area Network), Sistema deAlmacenamiento en Red2Abreviatura de Internet SCSI: es un estndar que permiteel uso del protocolo SCSI sobre redes TCP/IP3Acrnimo de virtual LAN (red de rea local virtual)

    Referencias

    Polze, A. and Trger, P. (2012), Trends and challenges inoperating systemsfrom parallel computing to cloudcomputing. Concurrency Computat.:Pract. Exper., 24:676686. doi: 10.1002/cpe.1903

    Sabnis, S., Verbruggen, M., Hickey, J. and McBride, A. J.(2012), Intrinsically Secure Next-Generation Networks.Bell Labs Tech. J., 17: 1736. doi: 10.1002/bltj.21556

    Server virtualization security best practices. Recuperadode: http://searchservervirtualization.techtarget.com/tutorial/Server-virtualization-security-best-practices-guideShavlik Technologies. Recuperado de:http://totemguard.com/soporte/files/Shavlik_NetChk_Configure.pdf

    Symantec Backup Exec 12.5 for Windows Servers.Recuperado de: http://ftpandina.atv.com.pe/ManualesIT/ManualLTo.pdf

    Seguridad y cumplimiento normativo. Recuperado de:http://www.vmware.com/latam/cloud-security-compliance/cloud-security#sthash.wrmYQ5XX.dpuf

    Check Point. Recuperado de:http://www.etekreycom.com.ar/tecno/proveedor/check_point.htm

    Microsoft Virtualization. Recuperado de:http://www.microsoft.com/spain/virtualizacion/solutions/technology/default.mspx

  • UNAMCERT

    08

    Juan Armando Becerra Gutirrez

    Leyendas urbanas

    Un concepto como deep web o Internet profundasuele rodearse de misticismo, todo lo que suene

    profundo, oculto e invisible tiene esa facultad de

    estimular nuestra imaginacin. A lo largo del

    tiempo, he escuchado historias y recibido

    cuestionamientos sobre la naturaleza de la

    Internet profunda: sobre sus mltiples capas, las

    realidades alternas que la contienen,

    comparaciones con The Matrix y sobre lasterribles cosas que se albergan en el fondo de

    la red.

    Internet profunda, tecnologas de privacidad, e

    incluso mercado negro, son conceptos que se

    han entremezclado y que si bien, son igual o ms

    sorprendentes que las mismas leyendas a su

    alrededor, se encuentran detrs de mucha

    niebla.

    Red profunda

    Deep web es una idea a la que recurrentementese le compara con el ocano, donde existe

    informacin en la superficie, fci lmente accesible

    para las redes de cualquier barco, e informacin

    que requiere ms esfuerzo para ser adquirida y

    procesada. La deep web es toda la informacinde Internet no accesible por tecnologas basadas

    en indexado y rastreo web (web indexing y webcrawling) de los buscadores comoGoogle o Bing.

    La red superficial, aquella que se accede por

    medio de las consultas a los buscadores, se basa

    en las ligas y relaciones existentes entre un sitio

    y los hipervnculos que alberga, esta accin dio

    origen al trmino navegar en la web, saltamos de

    una pgina web a otra porque existe una

    interrelacin directa con cada sitio indexado en

    un buscador.

    Mitos y realidades de la Internet

    profunda

  • UNAMCERT

    09

    La red profunda, por su parte, es una porcin de

    Internet a la que slo se puede acceder a travs

    de la consulta exacta dentro del contenido de

    alguna base de datos. Para visitar una pgina no

    indexada por un navegador, hay que conocer la

    direccin o ruta exacta de ese sitio en particular.

    Existen varias razones para que un contenido, es

    decir, cualquier tipo de archivo y no slo sitios

    web, nosea indexadoypertenezcaa ladeepweb:

    Tiene mecanismos o interfaces poco

    amistosas con los bots de los buscadores.

    Es un contenido aislado, sin l igas que hagan

    referencia a otros sitios y viceversa.

    Son subdirectorios o bases de datos

    restringidas.

    Son contenidos no basados en html o

    codificados (por ejemplo, slo contienen

    JavaScript, Flash, etc. )

    Es un contenido protegido por contrasea o

    cifrado.

    A partir de estos conceptos, podemos ver que

    gran parte del contenido de Internet es deep web(se presume que alrededor del 90%), esta

    informacin no siempre est optimizada para el

    uso humano o est diseada para ser

    explcitamente usada bajo ciertos protocolos y

    tecnologas. Por ello se han desarrollado

    herramientas como buscadores especial izados

    o navegadores web con caractersticas

    especiales, permitiendo que discipl inas como

    data mining, big data u open source intelligenceuti l icen todos los datos disponibles y no slo los

    ms evidentes proporcionados por los

    buscadores tradicionales.

    Red oscura

    Dentro de la red profunda hay una clase especial

    de contenidos que han sido diseados para

    permanecer ocultos o en secciones separadas

    de las capas pblicas de Internet. Como se ha

    explicado anteriormente, una pgina sin unaURLconocida permanece oculta de los buscadores.

    Por ejemplo la entrada de un blog sin publicar o

    un tuit en borrador son elementos que existen en

    Internet, pero que no pueden ser hallados debido

    a que la URL slo es conocida por el creador de

    dicho contenido. Este tipo de datos son los que

    forman parte de la red oscura, oculta o invisible.

    Las redes virtuales privadas (virtual private

    networks o VPN) son tecnologas que

    corresponden a esta clasificacin de red oscura

    y de hecho, son sus principales representantes.

    Estas redes corresponden a infraestructura y

    contenidos que se pueden acceder nicamente

    a travs de un software especfico, uno de los

    ejemplos ms representativos es TOR.

    TOR, The Onion Router

    TOR es un proyecto diseado e implementado

    por la marina de los Estados Unidos,

    posteriormente fue patrocinado por la EFF

    (ElectronicFrontierFoundation, unaorganizacinen defensa de los derechos digitales).

    Actualmente subsiste como TOR Project, una

    organizacin sin nimo de lucro galardonada en

    201 1 por laFreeSoftwareFoundationpor permitirque mil lones de personas en el mundo tengan

    libertad de acceso y expresin en Internet

    manteniendo su privacidad y anonimato.

    TOR es una red de tneles virtuales que permite

    a los usuarios navegar con privacidad en Internet,

    a los desarrolladores, crear aplicaciones para el

    intercambio de informacin sobre redes pblicas

    sin tener que comprometer su identidad, ayuda

    a reducir o evitar el seguimiento que hacen los

    sitios web de los hbitos de navegacin de las

    personas y a publicar sitios web y otros servicios

    sin la necesidad de revelar su localizacin.

    Si bien el objetivo de TOR es proteger a los

    usuarios de la vigi lancia en Internet (por ejemplo,

    del anlisis de trfico), tambin se ha uti l izado

  • UNAMCERT

    1 0

    para mantener ocultos diferentes servicios de

    dudosa legalidad.

    La red oscura no trata formalmente de crimen,pero las propiedades de privacidad y anonimidad

    de tecnologas como TOR la han convertido en

    una esquina fangosa en el uso de la tecnologa,

    a tal grado que darkwebymercado negromuchasveces pueden usarse como sinnimos.

    Mercado negro y el abuso de la

    privacidad

    Los objetivos de TOR como proyecto de software

    libre son admirables, han sido reconocidos por

    ello en mltiples ocasiones, sin embargo la

    posibi l idad de navegarycrear servicios annimos

    ha permitido el desarrollo de diferentes

    actividades, por ejemplo: pornografa infanti l ,

    venta de drogas, trfico de informacin sensible

    o clasificada, lavado de dinero, armas,

    entrenamiento especial izado en temas delictivos,

    entre otros. El mercado negro tradicional ha

    encontrado un lugar frti l para expandirse

    uti l izando estas plataformas.

    Pese a que no hay cifras exactas sobre el

    crecimiento o popularizacin de la red profunda

    como plataforma de intercambio, definitivamente

    hay un antes y un despus con la uti l izacin de

    bitcoins, unamonedaelectrnicadescentralizadaque tiene sus orgenes en 2009, pero que se ha

    vuelto todo un fenmenodesde 201 2. Bitcoin (quehace referencia tanto a la moneda como a la red

    de intercambio) no est respaldada por ningn

    gobierno o emisor central, como suele ocurrir con

    cualquier otra moneda. Las transacciones con

    bitcoins son directas entre un usuario a otro, sinninguna institucin mediadora, los bitcoins setransforman en dinero de uso corriente (como

    dlares o pesos) a travs de portales que hacen

    la transformacin.

    El comienzo de la uti l izacin de bitcoins comomedio de pago representa el gran cambio para

    el mercado negro digital. TOR proporciona una

    plataforma para que diferentes criminales den a

    conocer sus productos e intereses y los bitcoinshan optimizado los medios de pago, permitiendo

    transacciones de difci l seguimiento.

    Palabras finales

    Este artculo ha ido avanzando desde las aguas

    ms superficiales hasta algunas ms turbias,

    tratando de mostrar que la deep web no es unaregin prohibida y mstica de Internet, ni que la

    tecnologa relacionada es malvola.

    Si bien se ha abusado de herramientas como

    TOR (recientemente se arrest al dueo de una

    compaa que proporcionaba almacenamiento

    para los servicios de TOR bajo cargos de

    pornografa infanti l) tambin ha permitido a los

    ciudadanos mantener comunicacin cuando los

    gobiernos totalitarios han restringido el uso de las

    comunicaciones. Por un lado, tenemos a las

    agencias antidrogas que afirman que los portales

    dentro de la red oscura sern un problema en el

    tema de narcotrfico y, por el otro, el nmero de

    personas que han descargado herramientas del

    proyecto TOR a raz de los escndalos de

    espionaje de la NSA han aumentado

    drsticamente.

    Ms all de las controversias sobre privacidad,

    la deep web es, principalmente, un cmulo de

  • UNAMCERT

    1 1

    informacin que puede ser aprovechada por

    investigadores y entusiastas, un rea de trabajo

    emocionante y poco entendida por el pblico en

    general debido a todas esas leyendas que giran

    alrededor de ella.

    Referencias

    Rodrguez Darinka, El lado oscuro del comercio eninternet

    https://www.torproject.org/ EFF

    https://www.eff.org/ Deep Web Search

    http://deep-web.org/

    http://www.dineroenimagen.com/2013-08-22/24860

    Juan Armando Becerra

    Es ingeniero en telemtica egresado de UPI ITA

    del IPN, tiene experiencia en empresas de

    rastreo satel ital , telecomunicaciones y

    desarrol lo de software. Actualmente colabora

    en la Direccin General de Autorregulacin del

    IFAI como consultor en seguridad, privacidad y

    proteccin de datos. Sguelo en Twitter como

    @breakpool

  • UNAMCERT

    1 2

    Hablando correctamente de

    seguridad de la informacin

    Jos Luis Sevil la Rodrguez

    Encriptar y desencriptar

    El principal error que cometen los especial istas

    de seguridad, ingenieros en computacin,

    administradores de servidores, entre otros, es

    mencionar encriptar o encripcin para referirsea la accin de ocultar informacin sensible

    mediante un algoritmo de cifrado. En el

    diccionario de la lengua de la Real Academia

    Espaola (RAE) dichas palabras no estn

    registradas, aunque muchas fuentes en Internet

    manejan estos trminos. En diversas

    conferencias y capacitaciones de seguridad de

    la informacin a las que he asistido, he escu-

    chado los trminos encriptar y desencriptar,adems de otros que se uti l izan como si fueran

    sinnimos. Mi teora sobre estos errores radica

    en que las palabras en ingls para la accin ya

    mencionada es encrypt y su contrapartedecrypt. As, es posible que se quieran traducircomo cognados debido a que la mayora de la

    En el mbito de la seguridad de la informacin,

    el mal uso del lenguaje es una prctica que

    suele suceder al tratar de explicar cmo

    funcionan ciertos dispositivos, durante la

    elaboracin de un artculo o documento; o

    simplemente conversando con otra persona

    sobre un tema en especfico. Cuando

    hablamos de cosas relacionadas con seguridad

    de la informacin, se suelen uti l izar trminos

    con diferentes significados de manera indistinta

    o incorrecta. Es nuestro trabajo concientizar a

    los usuarios sobre la correcta uti l izacin de

    algunos trminos. En esta ocasin tratar de

    explicar la criptografa, el malware y las

    evaluaciones de seguridad de la informacin,

    as como tambin proporcionar los significados

    correctos.

    "Errores que cometen

    especialistas, ingenieros,

    administradores, etc."

  • UNAMCERT

    1 3

    mismo y se propaga sobre una red.

    Explota vulnerabil idades afectando a un

    gran nmero de computadoras.

    Puede enviarse de forma automtica

    mediante correo electrnico.

    Troyano:

    Programa malicioso que intenta suplantar

    un software legtimo.

    Tiene diversos propsitos

    malintencionados, como obtener estadsticas

    de actividad de exploracin en Internet de la

    vctima, informacin sensible y acceso remoto.

    Si nuestro equipo personal o estacin de

    trabajo comienza a hacer actividades no

    autorizadas e inusuales, es posible que no

    sepamos si es un virus, gusano o troyano.

    Entonces, podemos decir que el dispositivo se

    encuentra infectado con malware (acrnimo de

    Malicious Software), ste es el nombre que se

    le da al conjunto de software listado

    anteriormente, aunque puede incluir a otros

    ms.

    informacin sobre temas relacionados a

    seguridad se encuentra en ingls.

    El trmino encriptar est compuesto del prefi jo

    en y de la palabra cripta (un lugar subterrneoen donde se puede enterrar a los muertos), es

    decir, significa enterrar en un cripta. Sin

    embargo, la etimologa de la palabra

    criptografa viene del griego pio (krypts),que significa oculto. Por tanto, la palabra

    encriptar no cumple con el significado de

    criptografa.

    De acuerdo a la RAE, cifrar se refiere a

    transcribir en guarismos, letras o smbolos, de

    acuerdo con una clave, un mensaje cuyo

    contenido se quiere ocultar. Por lo tanto, en el

    argot de seguridad y con base en mi experien-

    cia, la forma correcta de referirse en espaol a

    la accin de ocultar y revelar informacin

    mediante un algoritmo de cifrado, es cifrar y

    descifrar.

    Virus, gusano y troyano

    Cuando un usuario detecta comportamiento

    inusual en su computadora suele atribuirlo a un

    virus, aunque el equipo de cmputo no hayasido revisado por un especial ista o el antivirus

    no lo haya determinado. Lo ms probable es

    que sea una vctima de software malicioso,

    existen muchos tipos distintos. Para entender

    con claridad el problema que tiene el equipo,

    es importante saber cules son las diferencias

    entre algunos trminos.

    Virus:

    Requiere la intervencin del usuario para

    ejecutarse o propagarse.

    Se copia en el equipo sin el consentimiento

    del usuario para causar acciones maliciosas.

    Suele esconderse dentro de ciertos

    procesos del sistema operativo (por ejemplo

    svchost.exe o explorer.exe en Windows).

    Gusano:

    Programa malicioso que se replica a s

  • UNAMCERT

    1 4

    Evaluacin de seguridad,

    hacking tico y pruebas depenetracin

    Estas tres frases frecuentemente se uti l izan de

    manera indistinta; y aunque no significan lo

    mismo, tienen cierta relacin entre ellas pues

    conforman un todo. En la imagen 1 , se observa

    que las pruebas de penetracin pertenecen al

    hacking tico y, a su vez, forman parte de unaevaluacin de seguridad.

    Imagen 1. Relacin entre evaluacin de seguridad, hackingtico y pruebas de penetracin.

    Una evaluacin de seguridad de la informacin

    es un proceso para determinar el estado de

    seguridad actual del activo que se est evaluando

    (computadora, sistema, red, etc. ) . Durante la

    evaluacin de seguridad de una organizacin, se

    revisa una serie de documentos y archivos, tales

    como polticas de seguridad, bitcoras,

    configuracionesde seguridad, conjunto de reglas,

    entre otros; tambin es necesario hacer pruebas

    de penetracin. Durante todo el proceso se

    documentan los hallazgos y se genera un reporte

    final que refleja la postura de seguridad de una

    organizacin.

    Cuando se hace referencia al trmino hacking,se piensa en muchos significados, por lo regular

    las personas creen que se habla del robo de

    informacin digital izada o de ataques hacia

    organizaciones para provocar fallas, es decir,

    siempre se ve con una connotacin negativa.

    Hacker y crackerEn diversos medios de comunicacin podemos

    encontrar noticias sobre ataques informticos,

    denegacin de servicio, defacement, robo deinformacin, entre otros, comnmente estas

    acciones se atribuyen errneamente a los

    hackers. El trmino hacker se refiere a unapersona experta en tecnologa, capaz de

    identificar fal las o explotar vulnerabil idades de

    sistemas, pero su inters es acadmico,

    educativo o de investigacin. Cuando los hackersdetectan un problema de seguridad, lo informan

    al dueo del activo vulnerable para que se

    solucione y as, evitar que sea aprovechado por

    un delincuente informtico.

    En la mayora de los casos, los protagonistas de

    ataques cibernticos son los crackers, individuosqueaprovechanvulnerabil idadesocomprometen

    sistemas informticos de manera ilegal, su

    objetivo es obtener algn beneficio, como

    reconocimiento personal o remuneracin

    econmica. Porste ltimo, se han creadogrupos

    criminales que buscan defraudar a usuarios y

    organizaciones.

    Revisando el significado de los dos trminos, te

    puedes dar cuenta de que la palabra hacker hasido satanizada y mal empleada en muchos

    medios de comunicacin, los hackers tienen uncdigo de tica que no les permite uti l izar sus

    conocimientos para afectar la informacin de

    otros, aunque hay distintos tipos de hackers.

    Para no caer en confusin. Un hacker desombrero negro es igual que un cracker, pero elprimero buscar vulnerabil idades en tu

    infraestructura sin provocar algn dao

    (modificacin o destruccin), tal vez podra

    reportarte las fallas de seguridad de tu

    organizacin mediante un correo annimo; sin

    embargo, lo hacesin permiso, staes ladiferencia

    con un hacker de sombrero blanco, que puedeser contratado para evaluar la seguridad de la

    empresa. Por otro lado, un cracker podra alterar,destruir o lucrar con la informacin obtenida a

    partir de un acceso no autorizado o mediante la

    explotacin de una vulnerabil idad.

  • UNAMCERT

    1 5

    1 SP 800-115, Technical Guide to Information SecurityTesting and Assessment.2 S/A, Network Penetration Testing: Planning, Scoping,and Recon, Maryland, SANS Institute, SEC 560.1, version1Q09,2008,242pp.SANSSEC560.1:NetworkPenetrationTesting: Planning, Scoping, and Recon.

    Ing. Jos Luis Sevilla Rodrguez

    Egresado de la Facultad de Ingeniera de la

    carrera de Ingeniera en Computacin por la

    Universidad Nacional Autnoma de Mxico, con

    mdulo de salida en Redes y Seguridad.

    Cuenta con las certificaciones Ethical Hacker

    (CEH) y Hacking Forensisc Investigator (CHFI)

    de EC Council .

    Actualmente est implementando un Sistema de

    Gestin de Servicio de Pruebas de Penetracin

    ofrecido por el rea de Auditora y Nuevas

    Tecnologas. Adems est impulsando

    proyectos para realizar pruebas de penetracin

    en aplicaciones y dispositivos mviles.

    En el contexto de la seguridad, hacking hacereferenciaa lamanipulacin de la tecnologapara

    lograr que sta haga algo para lo cual no fue

    diseada.Hackingtico se refiere ausar tcnicasde ataques para encontrar alertasde seguridad

    con el permiso del dueo del activo (por ejemplo,

    anlisis de vulnerabil idades y pruebas de

    penetracin), lo que se busca, es fortalecer la

    seguridad.

    Segn el NIST

    1

    , las pruebas de penetracin son

    una prueba de seguridad tcnica en donde un

    evaluador simula ataques reales, su funcin es

    identificar los mtodos para eludir las

    caractersticas de seguridad de una aplicacin,

    un sistema o una red. De acuerdo con el SANS

    2

    ,

    las pruebas de penetracin, como su nombre lo

    indica, son un proceso enfocado a penetrar las

    defensas de una organizacin, comprometer los

    sistemas y obtener el acceso a la informacin.

    Analizando las dos definiciones anteriores,

    concluyo que las pruebas de penetracin son un

    proceso intrusivo en donde se evalan los

    mecanismos y configuraciones de seguridad de

    una organizacin mediante la uti l izacin de

    mtodos y tcnicas para burlar la seguridad.

    Su funcin es penetrar los sistemas para

    conseguir informacin confidencial de la

    organizacin.

    Existen ms trminos relacionados con

    seguridad de la informacin empleados como

    sinnimos o uti l izados incorrectamente (payload,

    exploit, amenaza,riesgo), sin embargo, consi-

    dero que en este artculo trat los que llegamos

    a escuchar de forma ms cotidiana, cuando

    asistimos a una clase, conferencia, curso, tal ler

    o capacitacin relacionada con la seguridad.

  • UNAMCERT

    Consultora de seguridad. Es comn que

    en el rea de seguridad informtica se contraten

    servicios de consultora para atender alguna

    necesidad. Puede tratarse de poner en marcha

    un sistema de gestin de seguridad o para

    apegarseaun estndar. Tambin sern lasreas

    de Tecnologas de Informacin (TI) quienes

    estarn involucradasenmanteneresosprocesos

    que antes no existan.

    Nuevas tecnologas. Para el siguiente ao

    hay cambio de marca de firewall perimetral einstalarn por fin esa red inalmbrica que todos

    estn esperando. Pero los de seguridad dicen

    que no se puede instalar nueva tecnologa sin

    previa revisin. Esas revisiones agregarn otrastareas a esos proyectos de implementacin.

    Recientes problemas de seguridad . A una

    tecnologa usada en la organizacin que nunca

    haba dado problemas, de pronto le aparecen

    vulnerabil idades por doquier y amenazas que

    aprovechan sus debil idades.

    La venta de seguridad informtica no es una

    tarea fcil . Incrementar el nivel de proteccin en

    las redes, sistemas y aplicaciones involucra un

    esfuerzo extra. Para lograrlo, el rea de sistemas

    debe emplear a su personal en estas actividades

    y dejar de lado sus tareas cotidianas, as como

    dejar o suspender otras actividades con el fin de

    atender los pendientes de seguridad. En el peor

    de los casos, no slo es tiempo, sino tambin

    presupuesto lo que interfiere.

    Por lo tanto, atender a la seguridad se percibe

    como una carga extra tanto para usuarios como

    para administradores de sistemas. Es trabajo

    que probablemente no estaba contemplado y

    que es resultado de varias situaciones, aqu

    muestro algunos posibles escenarios:

    Pentest interno o externo. El resultado de

    estos ejercicios seguramente va a generar ms

    de un hallazgo que tiene que ser solucionado.

    Son problemas que no se tenan que remediaranteriormente.

    Vender seguridad informtica

    Fausto Cepeda Gonzlez

  • UNAMCERT

    1 7

    La respuesta ms fcil sera obligarlos. Pero eso

    presenta al menos dos problemas. El primero es

    que no deberas obligar a la alta direccin (tus

    jefes), esos son terrenos peligrosos. El segundo

    es que las quejas pueden multipl icarse tanto y

    venir de tantas reas diferentes, que finalmente

    ser el rea de seguridad la que se ver obligada

    a modificar sus procedimientos y sus intentos de

    conseguir una seguridad perfecta.

    Pues bien, la respuesta que yo propongo no es

    tcnica. Es todo lo contrario, se trata de un tema

    puramente de ventas para ofrecerle a otrapersona una idea atractiva. Esto es algo en lo

    que deseo puntualizar, porque la gente de

    seguridad informtica es buena con los bits y

    bytes. Muchas veces ellos entienden mejor a las

    computadoras que a las personas y dominan el

    Metasploit, pero no el arte de convencer a un

    grupo de administradores o usuarios. Hacen

    presentaciones tan tcnicas que parece que van

    a ir a BlackHat y no a una reunin con los jefes.De tal forma que el resto de la empresa los ve

    como entes raros, como si hablaran de trminososcuros, riesgos inentendibles y que dan trabajo

    extra a los dems. As es como quieres vender

    seguridad a tu empresa?

    A continuacin, enlisto tcticas concretas que

    podran servir para vender seguridad a nuestraorganizacin. No tienen garanta, porque insisto,

    noesun temade ingenierani unacuestin tcnica

    a resolver. Sin embargo, quiero recalcar que lo

    importante es intentarestas estrategias y, en caso

    de no funcionar, continuar insistiendo y creando

    otras ideas que puedan dar el resultado deseado.

    De otra forma, impulsar los temas de seguridad

    informtica ser una labor ardua, tortuosa y con

    resultados limitados.

    I .- Demuestra de manera prctica las

    consecuencias. Llevar a cabo pruebas de

    seguridad internas (como pentest) es ideal para

    demostrar los riesgos de no incrementar las

    protecciones. Considero mucho mejor este

    mtodo que dar una presentacin en PowerPoint

    donde se expone lo que podra pasar. Siempre

    es mejor demostrar la consecuencia de manera

    prctica y en vivo. stas quedan claras cuando

    se visualiza, por ejemplo, que es posible extraer

    Es necesario cambiar esa tecnologa y con eso,

    l lega un nuevo proyecto.

    Incidentes de seguridad . Existe la sospecha

    de un incidente en la infraestructura de TI. El rea

    de seguridad solicita bitcoras para revisarlas y

    tomar alguna accin. Durante esta investigacin,

    se consume tiempo de las reas de TI. Sin

    mencionar que las acciones correctivas tambin

    requiere que se involucren otros recursos.

    Usuarios descontentos. El antivirus hace a

    mi computadora lenta, no puedo entrar a sitios

    de Internet que necesito para mis labores porque

    estn bloqueados, no me llegan correos porque

    algo los detiene, no puedo ejecutar una

    aplicacin porque aparece un mensaje de

    seguridad. Seguramenteestosusuariosestaran

    ms felices sin los controles de proteccin. Menos

    seguros, pero ms felices.

    El reto es: Cmo conseguir que exista inters

    por la seguridad? Cmo lograr que los

    administradores destinen tiempo y recursos para

    temas de seguridad informtica? Cmo poner

    a la alta direccin del lado de seguridad? Cmo

    persuadir a los usuarios para que cooperen?

  • UNAMCERT

    1 8

    informacin de una base de datos importante

    desde Internet. Yporcierto, anadie levaa importar

    la tcnica usada, cunto esfuerzo pusiste ni cmo

    funciona el hackeo. Habla de consecuencias.

    II .- Prestar recursos a los departamentos de

    informtica. Las reas de TI se quejan de que

    les dasms trabajo con cada revisin, consultora

    opentestquehaces. Estarasdispuestoaprestar

    una persona de seguridad informtica a esas

    reas? Este recurso les ayudar a solucionar un

    par de tus hallazgos. Dirn que les diste ms

    trabajo, pero apreciarn que les ofrezcas un

    recurso humano tuyo para que ellos no distraigan

    tanto a los suyos. La ideaesqueen verdad prestes

    a tu recurso y que no slo se quede en una buena

    intencin.

    III .- Proyeccin de la seguridad al resto de la

    empresa. No slo hablo de las reas de TI, sino

    del resto de tus usuarios. Haces algo con ellos

    para explicarles los beneficios de tus controles

    de seguridad? Conferencias, boletines, correos

    o artculos en la Intranet? Armas seguido algn

    programadeconcientizacin (securityawarenesspor su trmino en ingls)? Recabas los

    comentarios de tus usuarios por medio de

    encuestas? Das cursos internos dirigidos a la

    seguridad informtica del hogar de los usuarios?

    Evala la relacin que tiene la seguridad

    informtica con el resto de la organizacin.

    IV.-Antesde instalar, avisay tratadepersuadir

    a tus usuarios. Vas a poner un antivirus en

    cada computadora? Un producto de listas

    blancas? Un nuevo firewall a nivel aplicacin?

    Avisa! Informa con sobrada anticipacin de lo

    que vas a implementar y de las ventajas de esa

    nueva herramienta. Explica si implicar algn

    trabajo extra para el resto de las reas en el futuro.

    Hazpresentaciones sobre el cambio yadelntate,

    como buen pastor, a persuadir a tu rebao para

    que siga tu camino. No te vayas al extremo de

    pedirles las cosas a ver si las quieren; pero

    tampoco a que no estn enterados de tus planes.

    Siempre que puedas, evita poner el nuevo

    producto de un da para otro.

    V.- Presenta con el afn de que te entiendan .

    No ests frente al pblico de BlackHat. Tampocoests en DefCon. Ests en tu empresa. Presentade tal manera que quede claro a tu pblico de lo

    que ests hablando. Explica cualquier trmino

    complicado. Como ya dije, habla de

    consecuencias. La cantidad de tecnicismos que

    uses debe reducirse conforme presentas a gente

    de jerarquas ms altas. Tal vez valga la pena

    que vayas alguna vez a una junta o conferencia

    de economistas o de abogados. Cuando

    entiendas un 30% de lo que ah se dice, sabrs

    cmo se sienten los dems en tus exposiciones.

    VI.- Usar tecnicismos no te hace ver ms

    inteligente. Apropsito del punto anterior. Usas

    trminos como buffer overflow, sql injection ocross site scripting? Crees que hablar as tehace ver superior porque no te entienden? Mal.

    Si no te entienden, el mensaje completo no llega

    al destinatario. Eso no es muy intel igente. Sobre

    todo si le ests explicando un riesgo a alguien

    que toma decisiones. No tendr el entendimiento

    suficiente para impulsar tus iniciativas.

  • UNAMCERT

    1 9

    VII.-Vemsalldevender, hazque tecompren.

    Ve al consultorio de un buen doctor. Siempre

    estar lleno. Los pacientes van a l. Es su salud.

    El doctor no les est llamando para que acudan

    a una visita. No tiene que ir a vender sus servicios

    de casa en casa, sus pacientes van y lo buscan.

    No vende, ya hizo que ellos compraran por s

    solos. Obviamente es porque ofrece un buen

    servicio y es bueno en lo que hace.

    T tambin puedes lograr que tus usuarios y

    administradores acudan a ti? Que perciban que

    esmejor ir contigo que no iryestardesprotegidos?

    Si lo logras, estars ms all de la venta de la

    seguridad, habrs llegado a lo que yo considero

    el nirvana: que ellos compren la seguridad.

    Fausto Cepeda Gonzlez

    Es Ingeniero en Sistemas Computacionales por

    el ITESM. Es Maestro de Seguridad de la

    Informacin por la Universidad de Londres (Royal

    Holloway). Actualmente labora en laSubgerencia

    de Seguridad Informtica del Banco de Mxico.

    Tambin cuenta con las certificaciones de

    seguridad CISSP, CISA, CISM y CEH.

  • UNAMCERT

    En un mundo hiperconectado, la incorporacin

    de tecnologas ha evolucionado la forma en que

    se crea la informacin, en su intercambio,

    almacenamiento y difusin. Ha dado lugar a

    nuevas amenazas que afectan la

    confidencial idad, disponibi l idad y la integridad

    de los datos, es decir, la seguridad de la

    informacin. Esta situacin no es nica de

    sectores como el financiero o el tecnolgico, ni

    exclusiva de grandes empresas o instituciones.

    El sector salud en Mxico enfrenta grandes retos

    en materia de seguridad de la informacin, en

    los ltimos aos se han incorporado nuevas

    tecnologas como una medida para renovar y

    agil izar la prestacin de servicios, esta situacin

    se ha visto reflejada recientemente en las

    estrategias del gobierno mexicano.

    La recin liberada Estrategia Digital Nacional

    tiene como objetivo mejorar el uso de la

    tecnologa para contribuir al desarrollo del pas,

    cinco objetivos son los que conforman dicha

    estrategia. En aspectos relacionados con la

    salud, el objetivo nmero cuatro, denominado

    Salud Universal y Efectiva, fue creado con la

    finalidad de aprovechar la incorporacin de las

    tecnologasde informacin ycomunicacin como

    medio para aumentar la cobertura, el acceso y

    la calidad de los servicios de salud, otra de las

    finalidades es lograr el uso eficiente de la

    infraestructura y los recursos destinados a

    proveer el servicio de salud a la poblacin.

    Previamente, existan ya iniciativas de integrar

    los datos clnicos en un expediente electrnico,

    de hecho, algunas entidades ya lo han

    implantado, junto con algunas otras leyes en

    Mxico que regulan en el sectorpblico yprivado,

    la proteccin de los datos personales, los datos

    personales sensibles y las Normas Oficiales

    Mexicanas (NOM) en materia de salud. Algunas

    de ellas son la NOM-004-SSA3-201 2 del

    Miriam J. Padilla Espinosa

    Seguridad de la informacin en

    salud, un sector olvidado

  • UNAMCERT

    21

    expediente clnico, la NOM-024-SSA3-201 0 de

    Sistemas de Informacin de Registro Electrnico

    para la salud y en cuanto a intercambio de

    informacin en salud, la NOM-035-SSA3-201 2.

    Todasestas iniciativas, si bien son degran ayuda,

    deben ir de lamano con unaestrategia enmateria

    de seguridad de la informacin que considere la

    gestin de nuevos riesgos asociados a la

    incorporacin de las TIC. Esta estrategia debe

    ser evaluada previamente, considerando la

    problemtica a nivel organizacional que enfrenta

    el sector, la prevaleciente resistencia al cambio

    y la falta de conciencia sobre temas relacionados

    con la seguridad de la informacin. De no

    considerarse estos factores, podran convertirse

    en una gran limitante.

    Para identificar los retos en materia de seguridad

    de la informacin que enfrenta el sector salud en

    Mxico, se realiz un anlisis tomando como

    base el modelo de negocio para la seguridad de

    la informacin (vese figura 1 .1 ) desarrollado por

    el Dr. Laree Kiely y Terry Benzel en Institute for

    Critical Information Infrastructure Protection

    (Instituto de Infraestructura de Proteccin para

    la Informacin Crtica) en la escuela de negocios

    Marshall School of Business de la Universidad

    del Sur de California de EUA.

    Figura 1. 1 Modelo de negocio para la seguridadinformacin

    El modelo se representa grficamente como una

    pirmide conformada por cuatro elementos

    unidosmedianteseis interconexionesdinmicas,

    todas las partes que integran el modelo

    interactan entre s. Si cualquiera de los

    elementos es modificado o gestionado de forma

    inadecuada, afectar el equil ibrio del modelo.

    El resultado del anlisis aplicado al sector salud

    en Mxico se presenta a continuacin:

    1 . Diseo y estrategia de la organizacin

    El Sistema Nacional de Salud en Mxico fue

    creadoen cumplimientoal derechoa laproteccin

    de la salud que toda persona tiene, segn lo

    establece el artculo 4 de la Constitucin Poltica

    de los Estados Unidos Mexicanos, formalmente

    seencuentradefinidoen laLeyGeneral deSalud.

    Los principales objetivos de este sistema son:

    proporcionar servicios de salud a toda la

    poblacin, colaborar con el bienestar social, dar

    impulso al desarrollo de la famil ia y comunidades

    indgenas, apoyaren lamejorade las condiciones

    sanitarias y promover el conocimiento y

    desarrollo de la medicina tradicional,

    principalmente. Para el cumplimiento de sus

    objetivos son considerados el Plan Nacional de

    Desarrollo y el Programa Nacional de Salud.

    El Sistema de Salud de Mxico se divide en dos

    sectores: el pblico y el privado. La siguiente

    tabla presenta las instituciones que forman parte

    de cada sector:

    La estructura funcional del Sistema de Salud en

    Mxico est integrada por tres niveles de

    atencin, se describen brevemente en la Figura

    1 .2.

    Compaas

    aseguradoras.

    Prestadores de

    servicios que laboran en

    consultorios, clnicas y

    hospitales privados.

    Servicios de medicina

    alternativa.

    Sector pblico Sector Privado

    Instituciones de

    seguridad social:

    Instituto Mexicano de

    Seguridad Social (IMSS)

    Instituto de Seguridad y

    Servicios Sociales de los

    Trabajadores del Estado

    (ISSSTE)

    Petrleos Mexicanos

    (PEMEX)

    Secretara de la

    Defensa (SEDENA)

    Secretara de Marina

    (SEMAR)

    Instituciones para

    poblacin sin

    seguridad social:

    Secretara de Salud

    (SSA)

    Servicios Estatales de

    Salud (SESA)

    Programa IMSS-

    Oportunidades

    Seguro Popular

  • UNAMCERT

    22

    Mxico cuenta con una amplia red de atencin

    mdica, resultado de la inversin que el gobierno

    federal ha designado para mejorar la prestacin

    de servicios de salud. Segn datos del Banco

    Mundial, este hecho que se ve reflejado en un

    incremento del porcentaje del PIB destinado para

    gastos de salud, de un 5.8 % en el ao 2008, a

    un 6.2%en el ao201 1 . Ladecisin ha favorecido

    a las instituciones de salud en Mxico,

    fortaleciendo la infraestructura y mejorando los

    recursos tecnolgicos disponibles para la

    prestacin de los servicios de salud a la pobla-

    cin.

    2. Personas

    Es fundamental realizar mayores esfuerzos para

    lograr la capacitacin y concienciacin del

    personal administrativo y mdico que labora en

    las instituciones de salud en Mxico, sobre todo,

    en los aspectos relacionados con la seguridad

    de la informacin. Es importante que conozcan

    las amenazas, las vulnerabil idades y las

    principales tcnicas de ataques que pudieran

    afectar, tanto la operacin de la institucin como

    la confidencial idad, integridad ydisponibi l idad de

    los datos clnicos.

    Otro aspecto importante a considerar es la

    resistencia al cambio. En algunas instituciones

    ha sido una gran limitante que ha impedido la

    adopcin efectiva de la tecnologa para mejorar

    los procesos institucionales.

    Tambin es necesario considerar controles ms

    rigurosos para los proveedores y personal

    externo que brinda productos o servicios a las

    instituciones de salud.

  • UNAMCERT

    23

    De igual forma, se deben mejorar los controles

    de acceso. En algunas instituciones stos son

    deficientesdebidoa lagran demandadel servicio,

    que sin duda se vuelve un asunto prioritario que

    deja para despus los temas y controles

    relacionados con la seguridad de la informacin.

    3. Procesos

    Las instituciones de salud cuentan con diversos

    procesos para llevar a cabo sus actividades

    diarias, sin embargo, en la operacin, los

    procedimientos asociados se exceden en

    trmites. Esta situacin generamayores tiempos

    de espera, descontento por parte de los usuarios

    del servicio y, en el peor de los casos, puede

    afectar la vida misma de los pacientes, resultado

    de errores en los procedimientos o exceso en

    los tiempos de espera.

    Los procesos deben ser difundidos

    adecuadamente y se deben llevar a cabo

    acciones para monitorear su cumplimiento bajo

    un esquema de indicadores y mtricas.

    En cuanto a la estandarizacin de los

    procedimientos, las entidades de los estados de

    la repblica deben realizar sus actividades bajo

    condicionessimilares,adems,esindispensable

    Las instituciones de salud deben fortalecerse en este mbito para garantizar el

    cumplimiento de los objetivos. Deben integrar o mejorar la gestin de sus riesgos de

    manera que les permita actuar de forma proactiva, as como mejorar las estrategias

    que actualmente se tienen implantadas para verificar el uso responsable de los

    recursos institucionales, reduciendo con ello los fraudes y eventos que puedan afectar

    la continuidad o causar daos en los activos.

    Interconexin

    Gobierno

    Resultados

    El gran reto en este rubro est enfocado en reducir la divisin que existe entre el

    personal mdico y el administrativo, adems de realizar programas efectivos de

    concienciacin en materia de seguridad de la informacin para generar una cultura en

    la materia.

    Cultura

    La labor en este aspecto se relaciona con llevar a cabo una reingeniera de procesos

    con el objetivo de mejorarlos en cada una de las instituciones de salud. El resultado

    ser que stos sean prcticos y fciles de poner en marcha. Si son transparentes

    para el personal, podrn salir adelante de mejor manera. El fortalecimiento con

    buenas prcticas, normas, polticas y estndares no se debe dejar de lado. Si bien la

    mayora de las instituciones cuentan con stos a nivel documental, en algunas

    entidades no se encuentran realmente implementados.

    Habil i tacin y

    soporte

    La resistencia al cambio ha impactado esta interconexin en el sector pblico de

    salud, que en gran parte ha sido el resultado de incorporar tecnologa sin l levar a

    cabo de forma previa una evaluacin sobre el impacto a nivel organizacional que

    dicho cambio traer en consecuencia.

    Surgimiento

    Es necesario que los desarrollos y tecnologas a ser implantadas tomen en cuenta la

    experiencia de los usuarios de dichos recursos con el objetivo de reducir errores por

    desconocimiento o generados por la resistencia al uso de los recursos tencnolgicos.

    Factores

    humanos

    Es fundamental que las instituciones de salud, una vez que identifiquen sus

    necesidades en materia de seguridad, incorporen una arquitectura que incluya los

    controles requeridos para la proteccin de sus activos, al tiempo que permita a las

    entidades de salud ser proactivas con sus decisiones de inversin en materia de

    seguridad.

    Arquitectura

  • UNAMCERT

    24

    Referencias

    Moreno Altamirano, L, & Castro Albarrn, JM. (2010). Lasalud pblica y el trabajo en comunidad (M. G. Hill Ed.Primera Edicin ed.).

    Leal,HctorVzquez,Campos,RalMartnez,Domnguez,Carlos Blzquez, & Sheissa, Roberto Castaeda. Unexpediente clnico electrnico universal para Mxico:caractersticas, retos y beneficios.

    Salvador Rosas, Griselda. (2007). La proteccin de losdatos personales en expedientes clnicos, un derechofundamental de todo individuo. (Licenciado en DerechoLicenciatura), UNAM.

    Snchez-Gonzlez, JM, & Ramrez-Barba, EJ. Elexpediente clnico en Mxico.

    http://www.isaca.org/KnowledgeCenter/Research/Documents/Intro-Bus-Model-InfoSec-22Jan09Research.pdf

    http://www.presidenca.gob.mx/estrategia-digital-nacional-para-transformar-a-mexico/

    http://bvs.insp.mx/rp/articulos/articulo_e4.php?id=002625

    http://www.diputadosgob.mx/LeyesBiblio/pdf/1.pf

    http://www.diputados.gob.mx/LeyesBiblio/pdf/142.pdf

    http://dof.gob.mx/nota_detalle.php?codigo=5280848&fecha=30/11/202

    http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2010_SistemasECE.pf

    http://www.dof.gob.mx/nota_detalle.php?codigo=5272787&fecha=15/10/2012

    http://pnd.gob.mx/

    Miriam J. Padilla Espinosa

    Ingeniera en Computacin egresada de la

    Facultad de Ingeniera de la UNAM. Colabor en

    la Subdireccin de Seguridad de la Informacin

    (SSI/UNAM-CERT) en el rea de Auditora y

    Nuevas Tecnologas como responsable del

    proyecto de implementacin de ISO 27001 .

    Actualmente es maestrante en Administracin de

    laTecnologadel Posgradode laFCAde laUNAM.

    Cuenta con experiencia en implementacin de

    ISO 27001 y Gobierno de TI.

    incorporarprocesosyprocedimientosenmateria

    de seguridad de la informacin en donde se

    definan claramente los roles y responsabil idades

    de los involucrados. Esta accin contribuir a

    cambiar de un enfoque de respuesta reactivo a

    uno proactivo.

    4. Tecnologa

    Con la finalidad de generar una mejora en la

    operacin de este sector, se han incorporado

    nuevas tecnologas que permitan brindar el

    servicio a una cantidad mayor de usuarios, una

    deellas, es la iniciativade incorporarel expediente

    clnico electrnico.

    En la actualidad, las instituciones cuentan con

    dosmodalidades de expedientes, la versin fsica

    y la digital. La implantacin de sistemas de

    informacin como stos, desarrollados sin

    considerar la experiencia de los usuarios

    (mdicos, administrativos o enfermeras) ha

    ocasionado una resistencia a su adopcin o bien,

    informacin incompleta en los expedientes.

    El Sistema de Salud en Mxico enfrenta grandes

    retos, tantoanivel organizacional comooperativo,

    por un lado es necesario ampliar la cobertura del

    servicio y por otro mejorar la calidad y eficiencia

    de las instituciones que se encuentran

    actualmente en operacin. Dado el crecimiento

    de la poblacin, stas se encuentran saturadas

    y con escasos recursos, complicando significa-

    tivamente la prestacin de servicios que

    garanticen la satisfaccin de los usuarios.

    Para dar una mejor respuesta a las necesidades

    de la poblacin en materia de salud, es necesaria

    una planeacin interinstitucional de largo plazo,

    con estrategias claramente definidas, una mejor

    administracin de riesgos, as como el compro-

    miso y corresponsabil idad entre instituciones.

    Adems, es fundamental considerar los controles

    necesarios para garantizar la proteccin de la

    informacin que es creada, almacenada y

    transmitida en las instituciones de salud.

    Como resultado de este anlisis, podemos

    identificar grandes oportunidades para proponer,

    actuary, comoprofesionales, contribuir pormedio

    de conocimientos, tecnologas y personal

    calificado amejorar la seguridad de la informacin

  • UNAMCERT

    25

    Copyright Prevent Copy:

    Protocolo BPS

    Cada vez que vamos a un auditorio, saln de

    actos, cine, etc. , presenciamos cmo las

    personas toman fotos o graban las sesiones y a

    nadie parece importarle esta situacin pues,

    debido a las continuas violaciones del copyright,la mayora de la gente piensa o cree que estas

    acciones no son ilegales.

    Es bien conocido que muchos artistas, para

    poder sobrevivir, se dedican a dos profesiones

    ya que su actividad artstica, incluso, l lega a

    costarles dinero debido a los graves efectos de

    la piratera sistemtica de sus producciones.

    En general, la gente considera que el hecho de

    fotografiar a un artista, grabarle en un concierto,

    enviar fotos tomadas en un evento o subir a la

    red grabaciones domsticas, no es materia de

    delito. La realidad es distinta. De hecho, como

    est establecido judicialmente en la mayora de

    los pases: El desconocimiento de la ley no

    exime su cumplimiento. Lo que en palabras

    llanas quiere decir que las leyes estn para

    cumplirlas, aunque se desconozcan.

    Qu hacen los cines, salas de exhibicin, salas

    de conciertos y auditorios (los responsables de

    los eventos) para evitar que el pblico fi lme,

    fotografe y grabe en su paso por esos recintos?

    Poca cosa, ya que se podra afirmar que cada

    asistente a un evento porta un telfono con

    cmara incorporada.

    Cmo se defienden los artistas ante la

    sistemtica violacin del copyright de sus obras?

    Pareciera que a priori tienen la batalla perdida

    tras la incorporacin, hace pocos aos, de

    cmaras en los telfonos mviles.

    Jess Nazareno Torrecillas Rodrguez

  • UNAMCERT

    26

    unaseal perturbadoraque impidequeel telfono

    reciba o efecte llamadas, creando lo que se

    conoce como zona de sombra. El problema de

    los perturbadores o bloqueadores telefnicos

    descritoses, queparaque los telfonossequeden

    sin seal, deben emitir una frecuencia igual a la

    de los telfonos, pero conmuchamayorpotencia.

    Esto es pernicioso a todas luces para la salud

    humana, ya que los telfonos trabajan en

    frecuencias de varios gigahercios (microondas).

    El BPS bsicamente consiste en una

    combinacin de estrategias por parte de los

    fabricantes de telfonos y de los dueos de las

    salas de exhibicin, cines, auditorios, etc. De

    acuerdo a lo siguiente:

    1 Protocolo propiamente dicho. Se tratara de

    que todos los telfonos aceptasen instrucciones

    en una frecuencia modulada FM del orden de

    pocos MHz en modulacin PCM (Pulse Code

    Modulation).

    2 Instalacin de transmisores de muy baja

    potencia en lugares pblicos que emitiesen en

    la frecuencia modulada FM de pocos MHZ en

    modulacin PCM.

    3 Como las frecuencias de pocos MHz en

    modulacin PCM no se interfieren con las de

    GHz, los telfonos podran recibir instrucciones

    de la estacin emisora local instalada en los

    auditorios con el fin de que el telfono, al recibir

    la seal codificada, automticamente

    desconectase sus funciones.

    La situacin sera la siguiente:

    A medida que el pblico entre en la sala y sus

    telfonos reciban la orden desde el transmisor

    FM-PCM podran considerarse varias acciones:

    1 Apagado automtico del equipo. Cuando el

    usuario intentase reactivarlo, ste

    automticamente se volver a desactivar sin

    l legar al encendido operativo.

    2 Bloqueo de algunas funciones del equipo,

    como llamar, tomar fotos, tomar vdeo, etc.

    3 En el auditorio se podra indicar un semforo

    o aviso ptico indicando a los asistentes que a

    partir de ese punto sus telfonos quedarn

    Sin embargo, la respuesta depende de muchos

    factores: Educacin del pblico, costo de las

    actuaciones, nivel social de los asistentes,

    jurisprudenciadel pas, capacidad de laautoridad

    para prevenir estos delitos, inters de los

    empresarios en contribuir en la prevencin de

    estas actividades, etc.

    Una pregunta que yo me he planteado es, son

    responsables los fabricantes de los telfonos

    mviles del incremento de las sistemticas

    violaciones del copyright? Esta pregunta es

    similar a decir que son los fabricantes de armas

    los responsables del aumento de los crmenes.

    Yo me atrevera a decir que directamente no lo

    son, pero indirectamente s. Es muy posible que

    sin armas no hubiera tantos crmenes, entonces

    las armas, son hasta cierto punto, faci l i tadoras

    de delitos. Igual ocurre con los telfonos mviles

    que cuentan con cmara de fotos y sistema de

    grabacin incorporados.

    Por ello, m planteamiento es muy simple y

    versti l . Los fabricantes de telefonas mviles y

    de smartphones se pueden poner a trabajar en

    conjunto en lo que yo llamo un nuevo protocolo

    integrado en WIFI 4G. Se tratara de lo que yo

    he denominado Protocolo BPS (Blocked PhoneSystem)

    En muchos lugares, salas, auditorios, iglesias, y

    con el fin de evitar que el pblico asistente pueda

    perturbar la tranquil idad del lugar con llamadas

    telefnicas, se instala lo que se denomina

    bloqueadores telefnicos. Hay de dos tipos:

    Dinmicos, cuando detecta emisin de

    frecuencias; y estticos, es decir, siempre emiten

  • UNAMCERT

    27

    bloqueados interrumpiendo todas o algunas

    funciones.

    4 Slo en los tiempos de descanso del evento

    se podran activar manualmente algunas

    funciones, como llamadas, pero no grabacin ni

    captura de fotos.

    5 Al reiniciar el evento se bloquearan de nuevo

    las funciones del telfono.

    6 A la salida del recinto los telfonos volveran

    a su operacin normal.

    Correspondera al trabajo conjunto entre los

    operadores de eventos, las compaas de

    servicios telefnicos y los fabricantes de estos

    dispositivos, implementar una tecnologa

    adecuada para al manejo de la privacidad en el

    campo de los eventos masivos. Asimismo, el

    trabajo se llevara a cabo de lamano con el marco

    legal existente en cada uno de los pases en

    donde se piense implementar una tecnologa

    como esta.

    Considero que es una buena solucin de

    compromiso en eventos pblicos.

    Sin embargo, an quedara pendiente ver las

    implicaciones jurdicas y operativas deimplementar este tipo de protocolos en el campo

    real.

    Jess Nazareno Torrecillas Rodrguez

    Actualmente es CISO en la compaa Axtel.

    Graduado con Excelencia como Director de

    Seguridad de Empresa (D.S.E. ) Por la

    Universidad Pontificia de Comil las en Madrid

    (UPCO). Realiz cursos de Ingeniera Tcnica

    en Telecomunicaciones en la EUITT de Madrid.

    Ha estudiado Electrnica Digital y

    Microprocesadores orientados a robtica en

    diferentes centros de estudios privados en

    Espaa.

  • UNAMCERT

    Revista .Seguridad Cultura de prevencin para TI

    No.20 / abri l-mayo 201 4 ISSN: 1 251 478, 1 251 477