20_revistaseguridad-ambientesoptimos
TRANSCRIPT
-
Internet
profunda
No.20 / abri l-mayo 201 4 ISSN: 1 251 478, 1 251 477
Prevencin
de copyright
Hablando
correctamente
Entornos
virtuales
Seguridad en
salud
Vender
seguridad
20
D
D
e
e
l
l
a
a
i
i
n
n
c
c
e
e
r
r
t
t
i
i
d
d
u
u
m
m
b
b
r
r
e
e
a
a
l
l
a
a
a
a
c
c
c
c
i
i
n
n
s
s
e
e
g
g
u
u
r
r
a
a
A
A
m
m
b
b
i
i
e
e
n
n
t
t
e
e
s
s
p
p
t
t
i
i
m
m
o
o
s
s
-
Contenido
Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de informacin y comunicacin. Subdireccin de
Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI
M.R.
, revista especial izada en temas de seguridad
del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conocimientos aqu
expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.
04
08
Seguridad informtica en entornos virtuales
1 2
Vender seguridad informtica
1 6
20
25
Seguridad de la Informacin en salud,
un sector olvidado
Mitos y realidades de la Internet profunda
Copyright Prevent Copy: Protocolo BPS
Hablando correctamente de seguridad de la informacin
-
Ambientes ptimos
De la incertidumbre a la accin segura
En nuestro mundo digital, y tambin en el fsico,
estamos rodeados de mltiples entornos,
lugares en donde aprendemos, crecemos
profesionalmente, donde convivimos todos los
das, sitios que nos falta conocer, otros a los que
siempre volvemos, en fin. Un mapa que no
podramos navegar sin el uso de la tecnologa
y que, desafortunadamente, se encuentra en
constante riesgo.
Es la naturaleza de nuestro tiempo, tratar de
convertir esta simbiosis con lo digital en mejoras
para nuestra vida. Es el reto que nos hemos
propuesto en la edicin 20 de la revista
.Seguridad, hacer de lo cotidiano el mejor de los
caminos, y de lo nuevo, una mejora constante.
Probablemente, los temas que encontrars en
este nmero emerjan en una gran interrogante
de fallas de seguridad de nuestros das, pero
tambin, son una buena oportunidad para
optimizar nuestro futuro.
Sin embargo, ptimo en los brazos de la
seguridad, no quiere decir inquebrantable.
Sabemos que pese a nuestro esfuerzo, no hay
garantas totales para lo que cambia todos los
das, pero s existe la satisfaccin de hacer de
nuestro ambiente, lo mejor en favor de nuestra
proteccin.
L.C.S Jazmn Lpez Snchez
Editora
Subdireccin de Seguridad de la Informacin
.Seguridad Cultura de prevencin TI
M.R.
/ Nmero 20 /
febrero - marzo 201 4 / ISSN No. 1 251 478, 1 251 477 /
Revista Bimestral, Registro de Marca 1 29829
DIRECCIN GENERAL DE CMPUTO Y DE
TECNOLOGAS DE INFORMACIN Y
COMUNICACIN
DIRECTOR GENERAL
Dr. Felipe Bracho Carpizo
DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Act. Jos Fabin Romo Zamudio
SUBDIRECTOR DE SEGURIDAD DE LA
INFORMACIN/ UNAM-CERT
Ing. Rubn Aquino Luna
DIRECTORA EDITORIAL
L.A. Clica Martnez Aponte
EDITORA
L.C.S. Jazmn Lpez Snchez
ASISTENTE EDITORIAL
L.C.C. Kristian R. Araujo Chvez
ARTE Y DISEO
L.D.C.V. Abri l Garca Carbajal
REVISIN DE CONTENIDO
Rubn Aquino Luna
Sandra Atonal Jimnez
Nora Dafne Cozaya Reyes
Miguel Ral Bautista Soria
Miguel ngel Mendoza Lpez
Jess Ramn Jimnez Rojas
COLABORADORES EN ESTE NMERO
Enrique Snchez Gallardo
Juan Armando Becerra Gutirrez
Jos Luis Sevil la Rodrguez
Fausto Cepeda Gonzlez
Miriam J. Padil la Espinosa
Jess Nazareno Torrecil las Rodrguez
Editorial
-
UNAMCERT
La proliferacin de nuevas tecnologas en las
distintas reas que conforman las soluciones
actuales de TIC (tecnologas de informacin y
comunicacin), trae como consecuencia nuevos
retos que las direcciones deben asumir y
solventar l legado el momento de su
instrumentacin.
Aun cuando el trmino virtualizacin ha sido
acuado en el contexto de los sistemas
mainframe de IBM, introducidos en la dcada de
los 60s (Polze y Trger, 201 2), uno de los retos
actuales es el aseguramiento de este tipo de
entornos, que a diferencia de la infraestructura
fsica, planteanuevos desafos. En contraste con
los entornos fsicos, los entornos virtuales basan
su operacin en infraestructura fsica unificada,
es decir, un servidor fsico puede contener uno
o varios sistemas operativos hospedados en una
misma plataforma. Aqu el tema de seguridad de
ambientes virtuales juega un papel importante.
Seguridad en mquinas
virtuales
Las mquinas virtuales (virtual machines), a
diferencia de un equipo fsico, estn reducidas a
un simple archivo; que si bien representa
flexibi l idad para el administrador, tambin
significa una vulnerabil idad que puede ser
explotada para robar la mquina completa,
incluyendo su contenido. Recordemos que en
los entornos virtuales, varias mquinas virtuales
pueden compartir una sola interfaz fsica (Figura
1 ), en consecuencia, dichos equipos pueden ser
vctimas de diversos tipos de ataques entre una
mquina virtual y otra residente en el mismo
equipo fsico, ante esta situacin, el
administrador debe estar prevenido.
Por otro lado, la seguridad virtual se extiende
ms all de las mquinas virtuales, por ejemplo,
los sistemas de almacenamiento en red se ven
Seguridad informtica en
entornos virtuales
Enrique Snchez Gallardo
-
UNAMCERT
05
expuestos a amenazas y constituyen otra lnea
de accin para los atacantes.
Figura 1. Servidores virtuales en un mismo servidor fsicosin seguridad entre ellos.
Una recomendacin es mantener los sistemas
de almacenamiento separados del resto de las
mquinas virtuales.
En un esquema virtual, en donde se uti l izan
equipos para ejecutar las tareas de
procesamiento de las mquinas virtuales (y su
almacenamiento se encuentra en un
almacenamiento de red SAN
1
), es fcil ver cmo
se ve comprometido todo el sistema de
almacenamiento cuando no se contemplan este
tipo de riesgos, sobre todo al momento de la
instrumentacin de entornos virtuales basados
en sistemas de almacenamiento separado.
En este tipo de esquemas de operacin, existe
un servidor denominado Servidor de
procesamiento que puede contener unao varias
mquinas virtuales y un Sistema de
almacenamiento (por ejemplo, uno del tipo
SAN). Este sistema es un equipo fsico separado
del servidor de procesamiento, cuya funcin es
alojar los archivos de cada una de las mquinas
virtuales a travs de interfaces, ya sea de tipo
iSCSI
2
o Fiber Channel. Al interconectarse con
el servidor de procesamiento, uti l iza canales de
comunicacin que nuevamente quedan
vulnerablesante cualquierposible ataque (Figura
2).
Figura 2.Esquema de servidores virtuales con procesamiento enun servidor y almacenamiento en una SAN.
En los entornos de cmputo en la nube, los cuales
involucran sistemas operativos para el servidor
fsico, mquinas virtuales y aplicaciones, es
necesario considerar el aspecto de seguridad
para la virtualizacin.
Aplicacin de seguridad en
entornos virtuales
Sabnis, S. , Verbruggen, M. , Hickey, J. and
McBride, A. J. (201 2), hacen mencin de algunos
aspectos para la aplicacin de seguridad en
entornos virtuales al inicio de su diseo, por
ejemplo: clasificacin del trfico e informacin
real entre mquinas virtuales, mecanismos de
autentificacin y controles de acceso robustos,
controles para el acceso y la operacin,
correccin de vulnerabil idades e instalacin de
actualizaciones de seguridad, as como
configuracin de auditora y escaneo de
vulnerabil idades.
Se debe considerar la uti l izacin de VLANs
3
para
la separacin del trfico entremquinas virtuales,
lo que permitir cierto nivel de aislamiento entre
cada una de ellas. La uti l izacin de firewallspersonales en cadaunade lasmquinas tambin
constituye una lnea de defensa, puede
-
UNAMCERT
06
administrar el trfico de red permitido desde y
hacia cada una de las mquinas. Otra opcin es
el empleo de switches virtuales, stos pueden
segmentar la red y controlar el trfico, sobre todo
cuando varias mquinas virtuales hacen uso de
una sola interfaz fsica (Figura 3). Mantener
actualizados los sistemas tambin representa un
menor riesgo en ambientes virtuales.
Sepuedehacerusodeherramientascomerciales
para ayudar a resolver este tipo de problemas
de seguridad virtual, tanto en entornos virtuales
puros como en mixtos.
Figura 3. Esquema de servidores virtuales conmecanismos de seguridad instrumentados.
Quhacerpara asegurar los entornos
virtuales?
Al igual que cualquier componente fsico de TI,
se debe comenzar con un plan de
instrumentacin de seguridad para los entornos
virtuales, un buen punto de inicio es consultar a
los principales proveedores de soluciones, los
cuales son unos de los primeros involucrados en
el tema debido a la relevancia que tiene la
seguridad en ambientes virtuales.
Algunos documentos como VMWareSecurity
BestPractices, Hyper-V Security BestPractices
(201 0) y otros disponibles en los diferentes
portales, permiten a los administradores de TI
evaluar el tema y comenzar, en el caso de no
haber considerado antes la instrumentacin de
seguridad para sus entornos virtuales.
Ejemplos de soluciones aplicables a
seguridad virtual
Shavlik Technologies:
ShavlikNetChkConfigure es una solucin para la
gestin de configuraciones que audita y hace
cumplir las configuraciones de seguridad en una
red.
Sistema de respaldo BackupExec 1 2.5 de
Symantec Corp. : Esta solucin de Symantec
permite el respaldo de servidores virtuales a
travs de la instalacin de un cliente enfocado
especficamente a entornos virtuales.
VMware: VMware vCloud Networking and
Security Edge ofrece una puerta de enlace de
servicios de seguridad paraproteger el permetro
del centro de datos virtual.
Check Point: Secure Virtual Network (SVN)
asegura las comunicaciones business-to-business entre redes, sistemas, aplicaciones yusuarios a travs de Internet, intranets y
extranets.
Microsoft: Microsoft integra servicios de
seguridad a entornos virtuales, en algunos casos
integrados a sus soluciones, por ejemplo en
Hyper-v a travs de Windows Authorization
Manager y en otros, con la integracin de
soluciones de terceros.
Dado que la complej idad de los sistemas de
tecnologa va en aumento, se podra decir que
la seguridad en entornos virtuales se hacolocado
en la cima de dicha complej idad. Requiere, por
parte de los administradores de sistemas, una
interaccin con los sistemas virtuales igual o
mayor a la que demandan los ambientes fsicos,
pero con un nivel de abstraccin superior. Los
administradores requieren, en principio, de un
buen o excelente entendimiento de los sistemas
tradicionales para una mejor comprensin de los
entornos virtuales.
Es importante mencionar que el tema de
seguridad virtual tratado en este artculo es slo
una introduccin a esta rea de la tecnologa,
pues bien podra ser considerada como un rea
de especial idad para los administradores de
sistemas. En tal caso se deben tomar en cuenta,
entre otros aspectos: el anlisis de vulnerabil i-
-
UNAMCERT
07
Enrique Snchez Gallardo
Director de TI de El Colegio de Michoacn, A.C. ,
Centro Pblico de Investigacin CONACYT.
Es miembro del Grupo de trabajo Maagtic-SI del
Consejo Asesor en Tecnologas de Informacin
del CONACYT. Candidato a Doctor en Ciencias
de la Administracin por la Universidad del Valle
de Atemajac, Plantel Len. Maestro en
Computacin por la Universidad del Valle de
Atemajac, Plantel Guadalajara.
Es Licenciado en Informtica por la Universidad
de Zamora y docente Universitario en las reas
de Ingenieras, Mercadotecnia y
Administracin de la Universidad del Valle de
Atemajac, Plantel Zamora.
dades en entornos virtuales, polticas,
tecnologas y mejores prcticas, as como tomar
en cuenta que este tipo de entornos no operan
de igual forma que los fsicos. Sin embargo, al
igual que en stos ltimos, existen herramientas
que ayudan a proteger y mantener la integridad
de los entornos virtuales a travs de una buena
administracin de la seguridad virtual.
1SAN (Storage Area Network), Sistema deAlmacenamiento en Red2Abreviatura de Internet SCSI: es un estndar que permiteel uso del protocolo SCSI sobre redes TCP/IP3Acrnimo de virtual LAN (red de rea local virtual)
Referencias
Polze, A. and Trger, P. (2012), Trends and challenges inoperating systemsfrom parallel computing to cloudcomputing. Concurrency Computat.:Pract. Exper., 24:676686. doi: 10.1002/cpe.1903
Sabnis, S., Verbruggen, M., Hickey, J. and McBride, A. J.(2012), Intrinsically Secure Next-Generation Networks.Bell Labs Tech. J., 17: 1736. doi: 10.1002/bltj.21556
Server virtualization security best practices. Recuperadode: http://searchservervirtualization.techtarget.com/tutorial/Server-virtualization-security-best-practices-guideShavlik Technologies. Recuperado de:http://totemguard.com/soporte/files/Shavlik_NetChk_Configure.pdf
Symantec Backup Exec 12.5 for Windows Servers.Recuperado de: http://ftpandina.atv.com.pe/ManualesIT/ManualLTo.pdf
Seguridad y cumplimiento normativo. Recuperado de:http://www.vmware.com/latam/cloud-security-compliance/cloud-security#sthash.wrmYQ5XX.dpuf
Check Point. Recuperado de:http://www.etekreycom.com.ar/tecno/proveedor/check_point.htm
Microsoft Virtualization. Recuperado de:http://www.microsoft.com/spain/virtualizacion/solutions/technology/default.mspx
-
UNAMCERT
08
Juan Armando Becerra Gutirrez
Leyendas urbanas
Un concepto como deep web o Internet profundasuele rodearse de misticismo, todo lo que suene
profundo, oculto e invisible tiene esa facultad de
estimular nuestra imaginacin. A lo largo del
tiempo, he escuchado historias y recibido
cuestionamientos sobre la naturaleza de la
Internet profunda: sobre sus mltiples capas, las
realidades alternas que la contienen,
comparaciones con The Matrix y sobre lasterribles cosas que se albergan en el fondo de
la red.
Internet profunda, tecnologas de privacidad, e
incluso mercado negro, son conceptos que se
han entremezclado y que si bien, son igual o ms
sorprendentes que las mismas leyendas a su
alrededor, se encuentran detrs de mucha
niebla.
Red profunda
Deep web es una idea a la que recurrentementese le compara con el ocano, donde existe
informacin en la superficie, fci lmente accesible
para las redes de cualquier barco, e informacin
que requiere ms esfuerzo para ser adquirida y
procesada. La deep web es toda la informacinde Internet no accesible por tecnologas basadas
en indexado y rastreo web (web indexing y webcrawling) de los buscadores comoGoogle o Bing.
La red superficial, aquella que se accede por
medio de las consultas a los buscadores, se basa
en las ligas y relaciones existentes entre un sitio
y los hipervnculos que alberga, esta accin dio
origen al trmino navegar en la web, saltamos de
una pgina web a otra porque existe una
interrelacin directa con cada sitio indexado en
un buscador.
Mitos y realidades de la Internet
profunda
-
UNAMCERT
09
La red profunda, por su parte, es una porcin de
Internet a la que slo se puede acceder a travs
de la consulta exacta dentro del contenido de
alguna base de datos. Para visitar una pgina no
indexada por un navegador, hay que conocer la
direccin o ruta exacta de ese sitio en particular.
Existen varias razones para que un contenido, es
decir, cualquier tipo de archivo y no slo sitios
web, nosea indexadoypertenezcaa ladeepweb:
Tiene mecanismos o interfaces poco
amistosas con los bots de los buscadores.
Es un contenido aislado, sin l igas que hagan
referencia a otros sitios y viceversa.
Son subdirectorios o bases de datos
restringidas.
Son contenidos no basados en html o
codificados (por ejemplo, slo contienen
JavaScript, Flash, etc. )
Es un contenido protegido por contrasea o
cifrado.
A partir de estos conceptos, podemos ver que
gran parte del contenido de Internet es deep web(se presume que alrededor del 90%), esta
informacin no siempre est optimizada para el
uso humano o est diseada para ser
explcitamente usada bajo ciertos protocolos y
tecnologas. Por ello se han desarrollado
herramientas como buscadores especial izados
o navegadores web con caractersticas
especiales, permitiendo que discipl inas como
data mining, big data u open source intelligenceuti l icen todos los datos disponibles y no slo los
ms evidentes proporcionados por los
buscadores tradicionales.
Red oscura
Dentro de la red profunda hay una clase especial
de contenidos que han sido diseados para
permanecer ocultos o en secciones separadas
de las capas pblicas de Internet. Como se ha
explicado anteriormente, una pgina sin unaURLconocida permanece oculta de los buscadores.
Por ejemplo la entrada de un blog sin publicar o
un tuit en borrador son elementos que existen en
Internet, pero que no pueden ser hallados debido
a que la URL slo es conocida por el creador de
dicho contenido. Este tipo de datos son los que
forman parte de la red oscura, oculta o invisible.
Las redes virtuales privadas (virtual private
networks o VPN) son tecnologas que
corresponden a esta clasificacin de red oscura
y de hecho, son sus principales representantes.
Estas redes corresponden a infraestructura y
contenidos que se pueden acceder nicamente
a travs de un software especfico, uno de los
ejemplos ms representativos es TOR.
TOR, The Onion Router
TOR es un proyecto diseado e implementado
por la marina de los Estados Unidos,
posteriormente fue patrocinado por la EFF
(ElectronicFrontierFoundation, unaorganizacinen defensa de los derechos digitales).
Actualmente subsiste como TOR Project, una
organizacin sin nimo de lucro galardonada en
201 1 por laFreeSoftwareFoundationpor permitirque mil lones de personas en el mundo tengan
libertad de acceso y expresin en Internet
manteniendo su privacidad y anonimato.
TOR es una red de tneles virtuales que permite
a los usuarios navegar con privacidad en Internet,
a los desarrolladores, crear aplicaciones para el
intercambio de informacin sobre redes pblicas
sin tener que comprometer su identidad, ayuda
a reducir o evitar el seguimiento que hacen los
sitios web de los hbitos de navegacin de las
personas y a publicar sitios web y otros servicios
sin la necesidad de revelar su localizacin.
Si bien el objetivo de TOR es proteger a los
usuarios de la vigi lancia en Internet (por ejemplo,
del anlisis de trfico), tambin se ha uti l izado
-
UNAMCERT
1 0
para mantener ocultos diferentes servicios de
dudosa legalidad.
La red oscura no trata formalmente de crimen,pero las propiedades de privacidad y anonimidad
de tecnologas como TOR la han convertido en
una esquina fangosa en el uso de la tecnologa,
a tal grado que darkwebymercado negromuchasveces pueden usarse como sinnimos.
Mercado negro y el abuso de la
privacidad
Los objetivos de TOR como proyecto de software
libre son admirables, han sido reconocidos por
ello en mltiples ocasiones, sin embargo la
posibi l idad de navegarycrear servicios annimos
ha permitido el desarrollo de diferentes
actividades, por ejemplo: pornografa infanti l ,
venta de drogas, trfico de informacin sensible
o clasificada, lavado de dinero, armas,
entrenamiento especial izado en temas delictivos,
entre otros. El mercado negro tradicional ha
encontrado un lugar frti l para expandirse
uti l izando estas plataformas.
Pese a que no hay cifras exactas sobre el
crecimiento o popularizacin de la red profunda
como plataforma de intercambio, definitivamente
hay un antes y un despus con la uti l izacin de
bitcoins, unamonedaelectrnicadescentralizadaque tiene sus orgenes en 2009, pero que se ha
vuelto todo un fenmenodesde 201 2. Bitcoin (quehace referencia tanto a la moneda como a la red
de intercambio) no est respaldada por ningn
gobierno o emisor central, como suele ocurrir con
cualquier otra moneda. Las transacciones con
bitcoins son directas entre un usuario a otro, sinninguna institucin mediadora, los bitcoins setransforman en dinero de uso corriente (como
dlares o pesos) a travs de portales que hacen
la transformacin.
El comienzo de la uti l izacin de bitcoins comomedio de pago representa el gran cambio para
el mercado negro digital. TOR proporciona una
plataforma para que diferentes criminales den a
conocer sus productos e intereses y los bitcoinshan optimizado los medios de pago, permitiendo
transacciones de difci l seguimiento.
Palabras finales
Este artculo ha ido avanzando desde las aguas
ms superficiales hasta algunas ms turbias,
tratando de mostrar que la deep web no es unaregin prohibida y mstica de Internet, ni que la
tecnologa relacionada es malvola.
Si bien se ha abusado de herramientas como
TOR (recientemente se arrest al dueo de una
compaa que proporcionaba almacenamiento
para los servicios de TOR bajo cargos de
pornografa infanti l) tambin ha permitido a los
ciudadanos mantener comunicacin cuando los
gobiernos totalitarios han restringido el uso de las
comunicaciones. Por un lado, tenemos a las
agencias antidrogas que afirman que los portales
dentro de la red oscura sern un problema en el
tema de narcotrfico y, por el otro, el nmero de
personas que han descargado herramientas del
proyecto TOR a raz de los escndalos de
espionaje de la NSA han aumentado
drsticamente.
Ms all de las controversias sobre privacidad,
la deep web es, principalmente, un cmulo de
-
UNAMCERT
1 1
informacin que puede ser aprovechada por
investigadores y entusiastas, un rea de trabajo
emocionante y poco entendida por el pblico en
general debido a todas esas leyendas que giran
alrededor de ella.
Referencias
Rodrguez Darinka, El lado oscuro del comercio eninternet
https://www.torproject.org/ EFF
https://www.eff.org/ Deep Web Search
http://deep-web.org/
http://www.dineroenimagen.com/2013-08-22/24860
Juan Armando Becerra
Es ingeniero en telemtica egresado de UPI ITA
del IPN, tiene experiencia en empresas de
rastreo satel ital , telecomunicaciones y
desarrol lo de software. Actualmente colabora
en la Direccin General de Autorregulacin del
IFAI como consultor en seguridad, privacidad y
proteccin de datos. Sguelo en Twitter como
@breakpool
-
UNAMCERT
1 2
Hablando correctamente de
seguridad de la informacin
Jos Luis Sevil la Rodrguez
Encriptar y desencriptar
El principal error que cometen los especial istas
de seguridad, ingenieros en computacin,
administradores de servidores, entre otros, es
mencionar encriptar o encripcin para referirsea la accin de ocultar informacin sensible
mediante un algoritmo de cifrado. En el
diccionario de la lengua de la Real Academia
Espaola (RAE) dichas palabras no estn
registradas, aunque muchas fuentes en Internet
manejan estos trminos. En diversas
conferencias y capacitaciones de seguridad de
la informacin a las que he asistido, he escu-
chado los trminos encriptar y desencriptar,adems de otros que se uti l izan como si fueran
sinnimos. Mi teora sobre estos errores radica
en que las palabras en ingls para la accin ya
mencionada es encrypt y su contrapartedecrypt. As, es posible que se quieran traducircomo cognados debido a que la mayora de la
En el mbito de la seguridad de la informacin,
el mal uso del lenguaje es una prctica que
suele suceder al tratar de explicar cmo
funcionan ciertos dispositivos, durante la
elaboracin de un artculo o documento; o
simplemente conversando con otra persona
sobre un tema en especfico. Cuando
hablamos de cosas relacionadas con seguridad
de la informacin, se suelen uti l izar trminos
con diferentes significados de manera indistinta
o incorrecta. Es nuestro trabajo concientizar a
los usuarios sobre la correcta uti l izacin de
algunos trminos. En esta ocasin tratar de
explicar la criptografa, el malware y las
evaluaciones de seguridad de la informacin,
as como tambin proporcionar los significados
correctos.
"Errores que cometen
especialistas, ingenieros,
administradores, etc."
-
UNAMCERT
1 3
mismo y se propaga sobre una red.
Explota vulnerabil idades afectando a un
gran nmero de computadoras.
Puede enviarse de forma automtica
mediante correo electrnico.
Troyano:
Programa malicioso que intenta suplantar
un software legtimo.
Tiene diversos propsitos
malintencionados, como obtener estadsticas
de actividad de exploracin en Internet de la
vctima, informacin sensible y acceso remoto.
Si nuestro equipo personal o estacin de
trabajo comienza a hacer actividades no
autorizadas e inusuales, es posible que no
sepamos si es un virus, gusano o troyano.
Entonces, podemos decir que el dispositivo se
encuentra infectado con malware (acrnimo de
Malicious Software), ste es el nombre que se
le da al conjunto de software listado
anteriormente, aunque puede incluir a otros
ms.
informacin sobre temas relacionados a
seguridad se encuentra en ingls.
El trmino encriptar est compuesto del prefi jo
en y de la palabra cripta (un lugar subterrneoen donde se puede enterrar a los muertos), es
decir, significa enterrar en un cripta. Sin
embargo, la etimologa de la palabra
criptografa viene del griego pio (krypts),que significa oculto. Por tanto, la palabra
encriptar no cumple con el significado de
criptografa.
De acuerdo a la RAE, cifrar se refiere a
transcribir en guarismos, letras o smbolos, de
acuerdo con una clave, un mensaje cuyo
contenido se quiere ocultar. Por lo tanto, en el
argot de seguridad y con base en mi experien-
cia, la forma correcta de referirse en espaol a
la accin de ocultar y revelar informacin
mediante un algoritmo de cifrado, es cifrar y
descifrar.
Virus, gusano y troyano
Cuando un usuario detecta comportamiento
inusual en su computadora suele atribuirlo a un
virus, aunque el equipo de cmputo no hayasido revisado por un especial ista o el antivirus
no lo haya determinado. Lo ms probable es
que sea una vctima de software malicioso,
existen muchos tipos distintos. Para entender
con claridad el problema que tiene el equipo,
es importante saber cules son las diferencias
entre algunos trminos.
Virus:
Requiere la intervencin del usuario para
ejecutarse o propagarse.
Se copia en el equipo sin el consentimiento
del usuario para causar acciones maliciosas.
Suele esconderse dentro de ciertos
procesos del sistema operativo (por ejemplo
svchost.exe o explorer.exe en Windows).
Gusano:
Programa malicioso que se replica a s
-
UNAMCERT
1 4
Evaluacin de seguridad,
hacking tico y pruebas depenetracin
Estas tres frases frecuentemente se uti l izan de
manera indistinta; y aunque no significan lo
mismo, tienen cierta relacin entre ellas pues
conforman un todo. En la imagen 1 , se observa
que las pruebas de penetracin pertenecen al
hacking tico y, a su vez, forman parte de unaevaluacin de seguridad.
Imagen 1. Relacin entre evaluacin de seguridad, hackingtico y pruebas de penetracin.
Una evaluacin de seguridad de la informacin
es un proceso para determinar el estado de
seguridad actual del activo que se est evaluando
(computadora, sistema, red, etc. ) . Durante la
evaluacin de seguridad de una organizacin, se
revisa una serie de documentos y archivos, tales
como polticas de seguridad, bitcoras,
configuracionesde seguridad, conjunto de reglas,
entre otros; tambin es necesario hacer pruebas
de penetracin. Durante todo el proceso se
documentan los hallazgos y se genera un reporte
final que refleja la postura de seguridad de una
organizacin.
Cuando se hace referencia al trmino hacking,se piensa en muchos significados, por lo regular
las personas creen que se habla del robo de
informacin digital izada o de ataques hacia
organizaciones para provocar fallas, es decir,
siempre se ve con una connotacin negativa.
Hacker y crackerEn diversos medios de comunicacin podemos
encontrar noticias sobre ataques informticos,
denegacin de servicio, defacement, robo deinformacin, entre otros, comnmente estas
acciones se atribuyen errneamente a los
hackers. El trmino hacker se refiere a unapersona experta en tecnologa, capaz de
identificar fal las o explotar vulnerabil idades de
sistemas, pero su inters es acadmico,
educativo o de investigacin. Cuando los hackersdetectan un problema de seguridad, lo informan
al dueo del activo vulnerable para que se
solucione y as, evitar que sea aprovechado por
un delincuente informtico.
En la mayora de los casos, los protagonistas de
ataques cibernticos son los crackers, individuosqueaprovechanvulnerabil idadesocomprometen
sistemas informticos de manera ilegal, su
objetivo es obtener algn beneficio, como
reconocimiento personal o remuneracin
econmica. Porste ltimo, se han creadogrupos
criminales que buscan defraudar a usuarios y
organizaciones.
Revisando el significado de los dos trminos, te
puedes dar cuenta de que la palabra hacker hasido satanizada y mal empleada en muchos
medios de comunicacin, los hackers tienen uncdigo de tica que no les permite uti l izar sus
conocimientos para afectar la informacin de
otros, aunque hay distintos tipos de hackers.
Para no caer en confusin. Un hacker desombrero negro es igual que un cracker, pero elprimero buscar vulnerabil idades en tu
infraestructura sin provocar algn dao
(modificacin o destruccin), tal vez podra
reportarte las fallas de seguridad de tu
organizacin mediante un correo annimo; sin
embargo, lo hacesin permiso, staes ladiferencia
con un hacker de sombrero blanco, que puedeser contratado para evaluar la seguridad de la
empresa. Por otro lado, un cracker podra alterar,destruir o lucrar con la informacin obtenida a
partir de un acceso no autorizado o mediante la
explotacin de una vulnerabil idad.
-
UNAMCERT
1 5
1 SP 800-115, Technical Guide to Information SecurityTesting and Assessment.2 S/A, Network Penetration Testing: Planning, Scoping,and Recon, Maryland, SANS Institute, SEC 560.1, version1Q09,2008,242pp.SANSSEC560.1:NetworkPenetrationTesting: Planning, Scoping, and Recon.
Ing. Jos Luis Sevilla Rodrguez
Egresado de la Facultad de Ingeniera de la
carrera de Ingeniera en Computacin por la
Universidad Nacional Autnoma de Mxico, con
mdulo de salida en Redes y Seguridad.
Cuenta con las certificaciones Ethical Hacker
(CEH) y Hacking Forensisc Investigator (CHFI)
de EC Council .
Actualmente est implementando un Sistema de
Gestin de Servicio de Pruebas de Penetracin
ofrecido por el rea de Auditora y Nuevas
Tecnologas. Adems est impulsando
proyectos para realizar pruebas de penetracin
en aplicaciones y dispositivos mviles.
En el contexto de la seguridad, hacking hacereferenciaa lamanipulacin de la tecnologapara
lograr que sta haga algo para lo cual no fue
diseada.Hackingtico se refiere ausar tcnicasde ataques para encontrar alertasde seguridad
con el permiso del dueo del activo (por ejemplo,
anlisis de vulnerabil idades y pruebas de
penetracin), lo que se busca, es fortalecer la
seguridad.
Segn el NIST
1
, las pruebas de penetracin son
una prueba de seguridad tcnica en donde un
evaluador simula ataques reales, su funcin es
identificar los mtodos para eludir las
caractersticas de seguridad de una aplicacin,
un sistema o una red. De acuerdo con el SANS
2
,
las pruebas de penetracin, como su nombre lo
indica, son un proceso enfocado a penetrar las
defensas de una organizacin, comprometer los
sistemas y obtener el acceso a la informacin.
Analizando las dos definiciones anteriores,
concluyo que las pruebas de penetracin son un
proceso intrusivo en donde se evalan los
mecanismos y configuraciones de seguridad de
una organizacin mediante la uti l izacin de
mtodos y tcnicas para burlar la seguridad.
Su funcin es penetrar los sistemas para
conseguir informacin confidencial de la
organizacin.
Existen ms trminos relacionados con
seguridad de la informacin empleados como
sinnimos o uti l izados incorrectamente (payload,
exploit, amenaza,riesgo), sin embargo, consi-
dero que en este artculo trat los que llegamos
a escuchar de forma ms cotidiana, cuando
asistimos a una clase, conferencia, curso, tal ler
o capacitacin relacionada con la seguridad.
-
UNAMCERT
Consultora de seguridad. Es comn que
en el rea de seguridad informtica se contraten
servicios de consultora para atender alguna
necesidad. Puede tratarse de poner en marcha
un sistema de gestin de seguridad o para
apegarseaun estndar. Tambin sern lasreas
de Tecnologas de Informacin (TI) quienes
estarn involucradasenmanteneresosprocesos
que antes no existan.
Nuevas tecnologas. Para el siguiente ao
hay cambio de marca de firewall perimetral einstalarn por fin esa red inalmbrica que todos
estn esperando. Pero los de seguridad dicen
que no se puede instalar nueva tecnologa sin
previa revisin. Esas revisiones agregarn otrastareas a esos proyectos de implementacin.
Recientes problemas de seguridad . A una
tecnologa usada en la organizacin que nunca
haba dado problemas, de pronto le aparecen
vulnerabil idades por doquier y amenazas que
aprovechan sus debil idades.
La venta de seguridad informtica no es una
tarea fcil . Incrementar el nivel de proteccin en
las redes, sistemas y aplicaciones involucra un
esfuerzo extra. Para lograrlo, el rea de sistemas
debe emplear a su personal en estas actividades
y dejar de lado sus tareas cotidianas, as como
dejar o suspender otras actividades con el fin de
atender los pendientes de seguridad. En el peor
de los casos, no slo es tiempo, sino tambin
presupuesto lo que interfiere.
Por lo tanto, atender a la seguridad se percibe
como una carga extra tanto para usuarios como
para administradores de sistemas. Es trabajo
que probablemente no estaba contemplado y
que es resultado de varias situaciones, aqu
muestro algunos posibles escenarios:
Pentest interno o externo. El resultado de
estos ejercicios seguramente va a generar ms
de un hallazgo que tiene que ser solucionado.
Son problemas que no se tenan que remediaranteriormente.
Vender seguridad informtica
Fausto Cepeda Gonzlez
-
UNAMCERT
1 7
La respuesta ms fcil sera obligarlos. Pero eso
presenta al menos dos problemas. El primero es
que no deberas obligar a la alta direccin (tus
jefes), esos son terrenos peligrosos. El segundo
es que las quejas pueden multipl icarse tanto y
venir de tantas reas diferentes, que finalmente
ser el rea de seguridad la que se ver obligada
a modificar sus procedimientos y sus intentos de
conseguir una seguridad perfecta.
Pues bien, la respuesta que yo propongo no es
tcnica. Es todo lo contrario, se trata de un tema
puramente de ventas para ofrecerle a otrapersona una idea atractiva. Esto es algo en lo
que deseo puntualizar, porque la gente de
seguridad informtica es buena con los bits y
bytes. Muchas veces ellos entienden mejor a las
computadoras que a las personas y dominan el
Metasploit, pero no el arte de convencer a un
grupo de administradores o usuarios. Hacen
presentaciones tan tcnicas que parece que van
a ir a BlackHat y no a una reunin con los jefes.De tal forma que el resto de la empresa los ve
como entes raros, como si hablaran de trminososcuros, riesgos inentendibles y que dan trabajo
extra a los dems. As es como quieres vender
seguridad a tu empresa?
A continuacin, enlisto tcticas concretas que
podran servir para vender seguridad a nuestraorganizacin. No tienen garanta, porque insisto,
noesun temade ingenierani unacuestin tcnica
a resolver. Sin embargo, quiero recalcar que lo
importante es intentarestas estrategias y, en caso
de no funcionar, continuar insistiendo y creando
otras ideas que puedan dar el resultado deseado.
De otra forma, impulsar los temas de seguridad
informtica ser una labor ardua, tortuosa y con
resultados limitados.
I .- Demuestra de manera prctica las
consecuencias. Llevar a cabo pruebas de
seguridad internas (como pentest) es ideal para
demostrar los riesgos de no incrementar las
protecciones. Considero mucho mejor este
mtodo que dar una presentacin en PowerPoint
donde se expone lo que podra pasar. Siempre
es mejor demostrar la consecuencia de manera
prctica y en vivo. stas quedan claras cuando
se visualiza, por ejemplo, que es posible extraer
Es necesario cambiar esa tecnologa y con eso,
l lega un nuevo proyecto.
Incidentes de seguridad . Existe la sospecha
de un incidente en la infraestructura de TI. El rea
de seguridad solicita bitcoras para revisarlas y
tomar alguna accin. Durante esta investigacin,
se consume tiempo de las reas de TI. Sin
mencionar que las acciones correctivas tambin
requiere que se involucren otros recursos.
Usuarios descontentos. El antivirus hace a
mi computadora lenta, no puedo entrar a sitios
de Internet que necesito para mis labores porque
estn bloqueados, no me llegan correos porque
algo los detiene, no puedo ejecutar una
aplicacin porque aparece un mensaje de
seguridad. Seguramenteestosusuariosestaran
ms felices sin los controles de proteccin. Menos
seguros, pero ms felices.
El reto es: Cmo conseguir que exista inters
por la seguridad? Cmo lograr que los
administradores destinen tiempo y recursos para
temas de seguridad informtica? Cmo poner
a la alta direccin del lado de seguridad? Cmo
persuadir a los usuarios para que cooperen?
-
UNAMCERT
1 8
informacin de una base de datos importante
desde Internet. Yporcierto, anadie levaa importar
la tcnica usada, cunto esfuerzo pusiste ni cmo
funciona el hackeo. Habla de consecuencias.
II .- Prestar recursos a los departamentos de
informtica. Las reas de TI se quejan de que
les dasms trabajo con cada revisin, consultora
opentestquehaces. Estarasdispuestoaprestar
una persona de seguridad informtica a esas
reas? Este recurso les ayudar a solucionar un
par de tus hallazgos. Dirn que les diste ms
trabajo, pero apreciarn que les ofrezcas un
recurso humano tuyo para que ellos no distraigan
tanto a los suyos. La ideaesqueen verdad prestes
a tu recurso y que no slo se quede en una buena
intencin.
III .- Proyeccin de la seguridad al resto de la
empresa. No slo hablo de las reas de TI, sino
del resto de tus usuarios. Haces algo con ellos
para explicarles los beneficios de tus controles
de seguridad? Conferencias, boletines, correos
o artculos en la Intranet? Armas seguido algn
programadeconcientizacin (securityawarenesspor su trmino en ingls)? Recabas los
comentarios de tus usuarios por medio de
encuestas? Das cursos internos dirigidos a la
seguridad informtica del hogar de los usuarios?
Evala la relacin que tiene la seguridad
informtica con el resto de la organizacin.
IV.-Antesde instalar, avisay tratadepersuadir
a tus usuarios. Vas a poner un antivirus en
cada computadora? Un producto de listas
blancas? Un nuevo firewall a nivel aplicacin?
Avisa! Informa con sobrada anticipacin de lo
que vas a implementar y de las ventajas de esa
nueva herramienta. Explica si implicar algn
trabajo extra para el resto de las reas en el futuro.
Hazpresentaciones sobre el cambio yadelntate,
como buen pastor, a persuadir a tu rebao para
que siga tu camino. No te vayas al extremo de
pedirles las cosas a ver si las quieren; pero
tampoco a que no estn enterados de tus planes.
Siempre que puedas, evita poner el nuevo
producto de un da para otro.
V.- Presenta con el afn de que te entiendan .
No ests frente al pblico de BlackHat. Tampocoests en DefCon. Ests en tu empresa. Presentade tal manera que quede claro a tu pblico de lo
que ests hablando. Explica cualquier trmino
complicado. Como ya dije, habla de
consecuencias. La cantidad de tecnicismos que
uses debe reducirse conforme presentas a gente
de jerarquas ms altas. Tal vez valga la pena
que vayas alguna vez a una junta o conferencia
de economistas o de abogados. Cuando
entiendas un 30% de lo que ah se dice, sabrs
cmo se sienten los dems en tus exposiciones.
VI.- Usar tecnicismos no te hace ver ms
inteligente. Apropsito del punto anterior. Usas
trminos como buffer overflow, sql injection ocross site scripting? Crees que hablar as tehace ver superior porque no te entienden? Mal.
Si no te entienden, el mensaje completo no llega
al destinatario. Eso no es muy intel igente. Sobre
todo si le ests explicando un riesgo a alguien
que toma decisiones. No tendr el entendimiento
suficiente para impulsar tus iniciativas.
-
UNAMCERT
1 9
VII.-Vemsalldevender, hazque tecompren.
Ve al consultorio de un buen doctor. Siempre
estar lleno. Los pacientes van a l. Es su salud.
El doctor no les est llamando para que acudan
a una visita. No tiene que ir a vender sus servicios
de casa en casa, sus pacientes van y lo buscan.
No vende, ya hizo que ellos compraran por s
solos. Obviamente es porque ofrece un buen
servicio y es bueno en lo que hace.
T tambin puedes lograr que tus usuarios y
administradores acudan a ti? Que perciban que
esmejor ir contigo que no iryestardesprotegidos?
Si lo logras, estars ms all de la venta de la
seguridad, habrs llegado a lo que yo considero
el nirvana: que ellos compren la seguridad.
Fausto Cepeda Gonzlez
Es Ingeniero en Sistemas Computacionales por
el ITESM. Es Maestro de Seguridad de la
Informacin por la Universidad de Londres (Royal
Holloway). Actualmente labora en laSubgerencia
de Seguridad Informtica del Banco de Mxico.
Tambin cuenta con las certificaciones de
seguridad CISSP, CISA, CISM y CEH.
-
UNAMCERT
En un mundo hiperconectado, la incorporacin
de tecnologas ha evolucionado la forma en que
se crea la informacin, en su intercambio,
almacenamiento y difusin. Ha dado lugar a
nuevas amenazas que afectan la
confidencial idad, disponibi l idad y la integridad
de los datos, es decir, la seguridad de la
informacin. Esta situacin no es nica de
sectores como el financiero o el tecnolgico, ni
exclusiva de grandes empresas o instituciones.
El sector salud en Mxico enfrenta grandes retos
en materia de seguridad de la informacin, en
los ltimos aos se han incorporado nuevas
tecnologas como una medida para renovar y
agil izar la prestacin de servicios, esta situacin
se ha visto reflejada recientemente en las
estrategias del gobierno mexicano.
La recin liberada Estrategia Digital Nacional
tiene como objetivo mejorar el uso de la
tecnologa para contribuir al desarrollo del pas,
cinco objetivos son los que conforman dicha
estrategia. En aspectos relacionados con la
salud, el objetivo nmero cuatro, denominado
Salud Universal y Efectiva, fue creado con la
finalidad de aprovechar la incorporacin de las
tecnologasde informacin ycomunicacin como
medio para aumentar la cobertura, el acceso y
la calidad de los servicios de salud, otra de las
finalidades es lograr el uso eficiente de la
infraestructura y los recursos destinados a
proveer el servicio de salud a la poblacin.
Previamente, existan ya iniciativas de integrar
los datos clnicos en un expediente electrnico,
de hecho, algunas entidades ya lo han
implantado, junto con algunas otras leyes en
Mxico que regulan en el sectorpblico yprivado,
la proteccin de los datos personales, los datos
personales sensibles y las Normas Oficiales
Mexicanas (NOM) en materia de salud. Algunas
de ellas son la NOM-004-SSA3-201 2 del
Miriam J. Padilla Espinosa
Seguridad de la informacin en
salud, un sector olvidado
-
UNAMCERT
21
expediente clnico, la NOM-024-SSA3-201 0 de
Sistemas de Informacin de Registro Electrnico
para la salud y en cuanto a intercambio de
informacin en salud, la NOM-035-SSA3-201 2.
Todasestas iniciativas, si bien son degran ayuda,
deben ir de lamano con unaestrategia enmateria
de seguridad de la informacin que considere la
gestin de nuevos riesgos asociados a la
incorporacin de las TIC. Esta estrategia debe
ser evaluada previamente, considerando la
problemtica a nivel organizacional que enfrenta
el sector, la prevaleciente resistencia al cambio
y la falta de conciencia sobre temas relacionados
con la seguridad de la informacin. De no
considerarse estos factores, podran convertirse
en una gran limitante.
Para identificar los retos en materia de seguridad
de la informacin que enfrenta el sector salud en
Mxico, se realiz un anlisis tomando como
base el modelo de negocio para la seguridad de
la informacin (vese figura 1 .1 ) desarrollado por
el Dr. Laree Kiely y Terry Benzel en Institute for
Critical Information Infrastructure Protection
(Instituto de Infraestructura de Proteccin para
la Informacin Crtica) en la escuela de negocios
Marshall School of Business de la Universidad
del Sur de California de EUA.
Figura 1. 1 Modelo de negocio para la seguridadinformacin
El modelo se representa grficamente como una
pirmide conformada por cuatro elementos
unidosmedianteseis interconexionesdinmicas,
todas las partes que integran el modelo
interactan entre s. Si cualquiera de los
elementos es modificado o gestionado de forma
inadecuada, afectar el equil ibrio del modelo.
El resultado del anlisis aplicado al sector salud
en Mxico se presenta a continuacin:
1 . Diseo y estrategia de la organizacin
El Sistema Nacional de Salud en Mxico fue
creadoen cumplimientoal derechoa laproteccin
de la salud que toda persona tiene, segn lo
establece el artculo 4 de la Constitucin Poltica
de los Estados Unidos Mexicanos, formalmente
seencuentradefinidoen laLeyGeneral deSalud.
Los principales objetivos de este sistema son:
proporcionar servicios de salud a toda la
poblacin, colaborar con el bienestar social, dar
impulso al desarrollo de la famil ia y comunidades
indgenas, apoyaren lamejorade las condiciones
sanitarias y promover el conocimiento y
desarrollo de la medicina tradicional,
principalmente. Para el cumplimiento de sus
objetivos son considerados el Plan Nacional de
Desarrollo y el Programa Nacional de Salud.
El Sistema de Salud de Mxico se divide en dos
sectores: el pblico y el privado. La siguiente
tabla presenta las instituciones que forman parte
de cada sector:
La estructura funcional del Sistema de Salud en
Mxico est integrada por tres niveles de
atencin, se describen brevemente en la Figura
1 .2.
Compaas
aseguradoras.
Prestadores de
servicios que laboran en
consultorios, clnicas y
hospitales privados.
Servicios de medicina
alternativa.
Sector pblico Sector Privado
Instituciones de
seguridad social:
Instituto Mexicano de
Seguridad Social (IMSS)
Instituto de Seguridad y
Servicios Sociales de los
Trabajadores del Estado
(ISSSTE)
Petrleos Mexicanos
(PEMEX)
Secretara de la
Defensa (SEDENA)
Secretara de Marina
(SEMAR)
Instituciones para
poblacin sin
seguridad social:
Secretara de Salud
(SSA)
Servicios Estatales de
Salud (SESA)
Programa IMSS-
Oportunidades
Seguro Popular
-
UNAMCERT
22
Mxico cuenta con una amplia red de atencin
mdica, resultado de la inversin que el gobierno
federal ha designado para mejorar la prestacin
de servicios de salud. Segn datos del Banco
Mundial, este hecho que se ve reflejado en un
incremento del porcentaje del PIB destinado para
gastos de salud, de un 5.8 % en el ao 2008, a
un 6.2%en el ao201 1 . Ladecisin ha favorecido
a las instituciones de salud en Mxico,
fortaleciendo la infraestructura y mejorando los
recursos tecnolgicos disponibles para la
prestacin de los servicios de salud a la pobla-
cin.
2. Personas
Es fundamental realizar mayores esfuerzos para
lograr la capacitacin y concienciacin del
personal administrativo y mdico que labora en
las instituciones de salud en Mxico, sobre todo,
en los aspectos relacionados con la seguridad
de la informacin. Es importante que conozcan
las amenazas, las vulnerabil idades y las
principales tcnicas de ataques que pudieran
afectar, tanto la operacin de la institucin como
la confidencial idad, integridad ydisponibi l idad de
los datos clnicos.
Otro aspecto importante a considerar es la
resistencia al cambio. En algunas instituciones
ha sido una gran limitante que ha impedido la
adopcin efectiva de la tecnologa para mejorar
los procesos institucionales.
Tambin es necesario considerar controles ms
rigurosos para los proveedores y personal
externo que brinda productos o servicios a las
instituciones de salud.
-
UNAMCERT
23
De igual forma, se deben mejorar los controles
de acceso. En algunas instituciones stos son
deficientesdebidoa lagran demandadel servicio,
que sin duda se vuelve un asunto prioritario que
deja para despus los temas y controles
relacionados con la seguridad de la informacin.
3. Procesos
Las instituciones de salud cuentan con diversos
procesos para llevar a cabo sus actividades
diarias, sin embargo, en la operacin, los
procedimientos asociados se exceden en
trmites. Esta situacin generamayores tiempos
de espera, descontento por parte de los usuarios
del servicio y, en el peor de los casos, puede
afectar la vida misma de los pacientes, resultado
de errores en los procedimientos o exceso en
los tiempos de espera.
Los procesos deben ser difundidos
adecuadamente y se deben llevar a cabo
acciones para monitorear su cumplimiento bajo
un esquema de indicadores y mtricas.
En cuanto a la estandarizacin de los
procedimientos, las entidades de los estados de
la repblica deben realizar sus actividades bajo
condicionessimilares,adems,esindispensable
Las instituciones de salud deben fortalecerse en este mbito para garantizar el
cumplimiento de los objetivos. Deben integrar o mejorar la gestin de sus riesgos de
manera que les permita actuar de forma proactiva, as como mejorar las estrategias
que actualmente se tienen implantadas para verificar el uso responsable de los
recursos institucionales, reduciendo con ello los fraudes y eventos que puedan afectar
la continuidad o causar daos en los activos.
Interconexin
Gobierno
Resultados
El gran reto en este rubro est enfocado en reducir la divisin que existe entre el
personal mdico y el administrativo, adems de realizar programas efectivos de
concienciacin en materia de seguridad de la informacin para generar una cultura en
la materia.
Cultura
La labor en este aspecto se relaciona con llevar a cabo una reingeniera de procesos
con el objetivo de mejorarlos en cada una de las instituciones de salud. El resultado
ser que stos sean prcticos y fciles de poner en marcha. Si son transparentes
para el personal, podrn salir adelante de mejor manera. El fortalecimiento con
buenas prcticas, normas, polticas y estndares no se debe dejar de lado. Si bien la
mayora de las instituciones cuentan con stos a nivel documental, en algunas
entidades no se encuentran realmente implementados.
Habil i tacin y
soporte
La resistencia al cambio ha impactado esta interconexin en el sector pblico de
salud, que en gran parte ha sido el resultado de incorporar tecnologa sin l levar a
cabo de forma previa una evaluacin sobre el impacto a nivel organizacional que
dicho cambio traer en consecuencia.
Surgimiento
Es necesario que los desarrollos y tecnologas a ser implantadas tomen en cuenta la
experiencia de los usuarios de dichos recursos con el objetivo de reducir errores por
desconocimiento o generados por la resistencia al uso de los recursos tencnolgicos.
Factores
humanos
Es fundamental que las instituciones de salud, una vez que identifiquen sus
necesidades en materia de seguridad, incorporen una arquitectura que incluya los
controles requeridos para la proteccin de sus activos, al tiempo que permita a las
entidades de salud ser proactivas con sus decisiones de inversin en materia de
seguridad.
Arquitectura
-
UNAMCERT
24
Referencias
Moreno Altamirano, L, & Castro Albarrn, JM. (2010). Lasalud pblica y el trabajo en comunidad (M. G. Hill Ed.Primera Edicin ed.).
Leal,HctorVzquez,Campos,RalMartnez,Domnguez,Carlos Blzquez, & Sheissa, Roberto Castaeda. Unexpediente clnico electrnico universal para Mxico:caractersticas, retos y beneficios.
Salvador Rosas, Griselda. (2007). La proteccin de losdatos personales en expedientes clnicos, un derechofundamental de todo individuo. (Licenciado en DerechoLicenciatura), UNAM.
Snchez-Gonzlez, JM, & Ramrez-Barba, EJ. Elexpediente clnico en Mxico.
http://www.isaca.org/KnowledgeCenter/Research/Documents/Intro-Bus-Model-InfoSec-22Jan09Research.pdf
http://www.presidenca.gob.mx/estrategia-digital-nacional-para-transformar-a-mexico/
http://bvs.insp.mx/rp/articulos/articulo_e4.php?id=002625
http://www.diputadosgob.mx/LeyesBiblio/pdf/1.pf
http://www.diputados.gob.mx/LeyesBiblio/pdf/142.pdf
http://dof.gob.mx/nota_detalle.php?codigo=5280848&fecha=30/11/202
http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2010_SistemasECE.pf
http://www.dof.gob.mx/nota_detalle.php?codigo=5272787&fecha=15/10/2012
http://pnd.gob.mx/
Miriam J. Padilla Espinosa
Ingeniera en Computacin egresada de la
Facultad de Ingeniera de la UNAM. Colabor en
la Subdireccin de Seguridad de la Informacin
(SSI/UNAM-CERT) en el rea de Auditora y
Nuevas Tecnologas como responsable del
proyecto de implementacin de ISO 27001 .
Actualmente es maestrante en Administracin de
laTecnologadel Posgradode laFCAde laUNAM.
Cuenta con experiencia en implementacin de
ISO 27001 y Gobierno de TI.
incorporarprocesosyprocedimientosenmateria
de seguridad de la informacin en donde se
definan claramente los roles y responsabil idades
de los involucrados. Esta accin contribuir a
cambiar de un enfoque de respuesta reactivo a
uno proactivo.
4. Tecnologa
Con la finalidad de generar una mejora en la
operacin de este sector, se han incorporado
nuevas tecnologas que permitan brindar el
servicio a una cantidad mayor de usuarios, una
deellas, es la iniciativade incorporarel expediente
clnico electrnico.
En la actualidad, las instituciones cuentan con
dosmodalidades de expedientes, la versin fsica
y la digital. La implantacin de sistemas de
informacin como stos, desarrollados sin
considerar la experiencia de los usuarios
(mdicos, administrativos o enfermeras) ha
ocasionado una resistencia a su adopcin o bien,
informacin incompleta en los expedientes.
El Sistema de Salud en Mxico enfrenta grandes
retos, tantoanivel organizacional comooperativo,
por un lado es necesario ampliar la cobertura del
servicio y por otro mejorar la calidad y eficiencia
de las instituciones que se encuentran
actualmente en operacin. Dado el crecimiento
de la poblacin, stas se encuentran saturadas
y con escasos recursos, complicando significa-
tivamente la prestacin de servicios que
garanticen la satisfaccin de los usuarios.
Para dar una mejor respuesta a las necesidades
de la poblacin en materia de salud, es necesaria
una planeacin interinstitucional de largo plazo,
con estrategias claramente definidas, una mejor
administracin de riesgos, as como el compro-
miso y corresponsabil idad entre instituciones.
Adems, es fundamental considerar los controles
necesarios para garantizar la proteccin de la
informacin que es creada, almacenada y
transmitida en las instituciones de salud.
Como resultado de este anlisis, podemos
identificar grandes oportunidades para proponer,
actuary, comoprofesionales, contribuir pormedio
de conocimientos, tecnologas y personal
calificado amejorar la seguridad de la informacin
-
UNAMCERT
25
Copyright Prevent Copy:
Protocolo BPS
Cada vez que vamos a un auditorio, saln de
actos, cine, etc. , presenciamos cmo las
personas toman fotos o graban las sesiones y a
nadie parece importarle esta situacin pues,
debido a las continuas violaciones del copyright,la mayora de la gente piensa o cree que estas
acciones no son ilegales.
Es bien conocido que muchos artistas, para
poder sobrevivir, se dedican a dos profesiones
ya que su actividad artstica, incluso, l lega a
costarles dinero debido a los graves efectos de
la piratera sistemtica de sus producciones.
En general, la gente considera que el hecho de
fotografiar a un artista, grabarle en un concierto,
enviar fotos tomadas en un evento o subir a la
red grabaciones domsticas, no es materia de
delito. La realidad es distinta. De hecho, como
est establecido judicialmente en la mayora de
los pases: El desconocimiento de la ley no
exime su cumplimiento. Lo que en palabras
llanas quiere decir que las leyes estn para
cumplirlas, aunque se desconozcan.
Qu hacen los cines, salas de exhibicin, salas
de conciertos y auditorios (los responsables de
los eventos) para evitar que el pblico fi lme,
fotografe y grabe en su paso por esos recintos?
Poca cosa, ya que se podra afirmar que cada
asistente a un evento porta un telfono con
cmara incorporada.
Cmo se defienden los artistas ante la
sistemtica violacin del copyright de sus obras?
Pareciera que a priori tienen la batalla perdida
tras la incorporacin, hace pocos aos, de
cmaras en los telfonos mviles.
Jess Nazareno Torrecillas Rodrguez
-
UNAMCERT
26
unaseal perturbadoraque impidequeel telfono
reciba o efecte llamadas, creando lo que se
conoce como zona de sombra. El problema de
los perturbadores o bloqueadores telefnicos
descritoses, queparaque los telfonossequeden
sin seal, deben emitir una frecuencia igual a la
de los telfonos, pero conmuchamayorpotencia.
Esto es pernicioso a todas luces para la salud
humana, ya que los telfonos trabajan en
frecuencias de varios gigahercios (microondas).
El BPS bsicamente consiste en una
combinacin de estrategias por parte de los
fabricantes de telfonos y de los dueos de las
salas de exhibicin, cines, auditorios, etc. De
acuerdo a lo siguiente:
1 Protocolo propiamente dicho. Se tratara de
que todos los telfonos aceptasen instrucciones
en una frecuencia modulada FM del orden de
pocos MHz en modulacin PCM (Pulse Code
Modulation).
2 Instalacin de transmisores de muy baja
potencia en lugares pblicos que emitiesen en
la frecuencia modulada FM de pocos MHZ en
modulacin PCM.
3 Como las frecuencias de pocos MHz en
modulacin PCM no se interfieren con las de
GHz, los telfonos podran recibir instrucciones
de la estacin emisora local instalada en los
auditorios con el fin de que el telfono, al recibir
la seal codificada, automticamente
desconectase sus funciones.
La situacin sera la siguiente:
A medida que el pblico entre en la sala y sus
telfonos reciban la orden desde el transmisor
FM-PCM podran considerarse varias acciones:
1 Apagado automtico del equipo. Cuando el
usuario intentase reactivarlo, ste
automticamente se volver a desactivar sin
l legar al encendido operativo.
2 Bloqueo de algunas funciones del equipo,
como llamar, tomar fotos, tomar vdeo, etc.
3 En el auditorio se podra indicar un semforo
o aviso ptico indicando a los asistentes que a
partir de ese punto sus telfonos quedarn
Sin embargo, la respuesta depende de muchos
factores: Educacin del pblico, costo de las
actuaciones, nivel social de los asistentes,
jurisprudenciadel pas, capacidad de laautoridad
para prevenir estos delitos, inters de los
empresarios en contribuir en la prevencin de
estas actividades, etc.
Una pregunta que yo me he planteado es, son
responsables los fabricantes de los telfonos
mviles del incremento de las sistemticas
violaciones del copyright? Esta pregunta es
similar a decir que son los fabricantes de armas
los responsables del aumento de los crmenes.
Yo me atrevera a decir que directamente no lo
son, pero indirectamente s. Es muy posible que
sin armas no hubiera tantos crmenes, entonces
las armas, son hasta cierto punto, faci l i tadoras
de delitos. Igual ocurre con los telfonos mviles
que cuentan con cmara de fotos y sistema de
grabacin incorporados.
Por ello, m planteamiento es muy simple y
versti l . Los fabricantes de telefonas mviles y
de smartphones se pueden poner a trabajar en
conjunto en lo que yo llamo un nuevo protocolo
integrado en WIFI 4G. Se tratara de lo que yo
he denominado Protocolo BPS (Blocked PhoneSystem)
En muchos lugares, salas, auditorios, iglesias, y
con el fin de evitar que el pblico asistente pueda
perturbar la tranquil idad del lugar con llamadas
telefnicas, se instala lo que se denomina
bloqueadores telefnicos. Hay de dos tipos:
Dinmicos, cuando detecta emisin de
frecuencias; y estticos, es decir, siempre emiten
-
UNAMCERT
27
bloqueados interrumpiendo todas o algunas
funciones.
4 Slo en los tiempos de descanso del evento
se podran activar manualmente algunas
funciones, como llamadas, pero no grabacin ni
captura de fotos.
5 Al reiniciar el evento se bloquearan de nuevo
las funciones del telfono.
6 A la salida del recinto los telfonos volveran
a su operacin normal.
Correspondera al trabajo conjunto entre los
operadores de eventos, las compaas de
servicios telefnicos y los fabricantes de estos
dispositivos, implementar una tecnologa
adecuada para al manejo de la privacidad en el
campo de los eventos masivos. Asimismo, el
trabajo se llevara a cabo de lamano con el marco
legal existente en cada uno de los pases en
donde se piense implementar una tecnologa
como esta.
Considero que es una buena solucin de
compromiso en eventos pblicos.
Sin embargo, an quedara pendiente ver las
implicaciones jurdicas y operativas deimplementar este tipo de protocolos en el campo
real.
Jess Nazareno Torrecillas Rodrguez
Actualmente es CISO en la compaa Axtel.
Graduado con Excelencia como Director de
Seguridad de Empresa (D.S.E. ) Por la
Universidad Pontificia de Comil las en Madrid
(UPCO). Realiz cursos de Ingeniera Tcnica
en Telecomunicaciones en la EUITT de Madrid.
Ha estudiado Electrnica Digital y
Microprocesadores orientados a robtica en
diferentes centros de estudios privados en
Espaa.
-
UNAMCERT
Revista .Seguridad Cultura de prevencin para TI
No.20 / abri l-mayo 201 4 ISSN: 1 251 478, 1 251 477