PrivacidadySeguridad - UNAMrevista.seguridad.unam.mx/sites/default/files/revistas/... · 2018. 3....
26
Privacidad y Seguridad Brecha entre la legalidad y la práctica
Transcript of PrivacidadySeguridad - UNAMrevista.seguridad.unam.mx/sites/default/files/revistas/... · 2018. 3....
Privacidad y SeguridadBrecha entre lalegalidad y la práctica
Hacking
No.1 3 / Mayo-Junio ISSN: 1 251 478, 1 251 477
DDoS ProtecciónDatos
ProtecciónInformación
APT (AdvancedPersistent Threat)
Ley FederalProtección Datos
13
Contenido
6. El hacking ético y la seguridad de la informaciónde empresas en México
< 04 >
Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Subdirección deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI, revista especial izada en temas de seguridad delUNAM-CERT. Se autoriza la reproducción total o parcial de este artículo con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.
< 09 >
< 1 1 >
< 1 5 >
< 1 9 >
< 23 >
5. El Poder de proteger tu información
1. Leyes de protección de datos personales enel mundo y la protección de datos biométricos –Parte I
2. DDoS actualidad taxonomía y contramedidas.
4. El Futuro no Pertenece a los Antivirus.
3. ¿Qué pide el reglamento de la ley?
APT (AdvancedPersistent Threat)
Privacidad y seguridadBrecha entre la legalidad y la práctica
En la actualidad, tanto usuarios como empresasintercambian datos personales como parte desus actividades cotidianas dentro y fuera deInternet. Por lo que siempre existe unaconstanteinquietudsobre quéhacerparaprotegerlosdatosque recibimos y enviamos todos los días.
Enestaedición .SeguridadCulturadeprevenciónpara TI reúne una serie de opiniones queayudarán a aclarar el horizonte de la seguridadde datos. Por un lado, se muestra el panoramamundial en cuanto a la protección de datos, sedirige la brújula en el engorroso tema de laspolíticas de privacidad en las empresas; y seofrece una serie de prácticas soluciones para laprotección denuestrosdatoscomousuario final.
Asimismo, seabordan temasdeactualidad comoel futuro de los antivirus y su método deidentificación; ysecontinúaconel temadel fraudeen México y las alternativas de Pentesting,abordado en ediciones anteriores.
En esta ocasión contamos con la participaciónespecial del INFOTEC con una acertadaexplicación de lo que implica un ataque DDoS.
Esperamos que este número llene tusexpectativas, te invitamos a contactarnos porcualquieradenuestroscanalesdecomunicaciónpara extender el diálogo de seguridad.
Bienvenido una vez más a .Seguridad
L.C.S Jazmín López Sánchez
Editora
Subdirección de Seguridad de la Información
.Seguridad, Cultura de prevención TI / Número 1 3 / Mayo-Junio 201 2 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral
DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN
DIRECTOR GENERALDr. Felipe Bracho Carpizo
DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Act. José Fabián Romo Zamudio
SUBDIRECTOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna
DIRECCIÓN EDITORIALL.A. Célica Martínez Aponte
EDITORAL.C.S. Jazmín López Sánchez
ARTE Y DISEÑOL.D.C.V. Abraham Ávila González
DESARROLLO WEBIng. Jesús Mauricio Andrade GuzmánIng. Angie Aguilar Domínguez
REVISIÓN DE CONTENIDOIng. Iván Alvarado LimonesIng. Pablo A. Lorenzana GutiérrezIng. Miguel Ángel Mendoza LópezIng. Sergio A. Becerri l LópezIng. Jesús Mauricio Andrade GuzmánIng. Luis Edgar García Chávez
COLABORADORES EN ESTE NÚMEROIsai Rojas González, Gabriel Sánchez Pérez,Linda Karina Toscano Medina, María delCarmen Prudente Tíxteco, Gualberto AguilarTorres // José Antonio Ruíz Alvarez // JuanCarlos Carri l lo D´Huerta // Fausto CepedaGonzález // Miriam J. Padil la Espinosa //Anaid Guevara
Editorial
UNAMCER
T
Introducción
La protección de datos personales se remonta a1 948, cuando la Asamblea General de lasNacionesUnidas adoptael documento conocidocomo Declaración Universal de DerechosHumanos, en este documento se expresan losderechos humanos conocidos como básicos. Enel artículo 1 2 se señala lo siguiente:
Actualmente, una gran cantidad de datospersonales, incluyendoaquellos conocidoscomodatos biométricos, son almacenadosen sistemascomputacionales, factor que los hacesusceptibles de sufrir ataques informáticos.
En varios países del mundo hay esfuerzos porcrear legislaciones que establezcan los límites,permisos y castigos entorno al manejo adecuadode los datos contenidos en los sistemas deinformación, sobre todo de aquellos definidoscomo datos personales.
Esta investigación busca un precedente legal decómo son considerados los datos biométricos porlas leyes de protección de datos personales dedistintos países en el mundo.
A continuación se describen algunos conceptosque son uti l izados en este trabajo:
Leyes de protección de datos personalesen el mundo y la protección de datosbiométricos – Parte IIsai Rojas González, Gabriel Sánchez Pérez, Linda Karina Toscano Medina,María del Carmen Prudente Tíxteco, Gualberto Aguilar Torres
" Nadie será objeto de injerenciasarbitrarias en su vida privada, sufamilia, su domicilio o sucorrespondencia, ni de ataques a suhonra o a su reputación. Todapersona tiene derecho a laprotección de la ley contra talesinjerencias o ataques."
04
UNAMCER
T
1. Dato personal
Se refiere a toda aquella información asociada auna persona o individuo que lo hace identificabledel resto de las personas y/o como parte de ungrupo determinado de individuos, por ejemplo:nombre, domici l io, teléfono, fotografía, huellasdacti lares, sexo, nacionalidad, edad, lugar denacimiento, raza, fi l iación, preferenciaspolíticas,fechadenacimiento, imagendel irisdelojo, patrónde la voz, etc. La idea central de este conceptoes común en las legislaciones de protección dedatos que distintos países han redactado. de la
voz, etc. Laideacentraldeesteconceptoescomúnen las legislaciones de protección de datos quedistintos países han redactado.
2. Datos personales sensibles
Comúnmente se refiere a todos aquellos datosque se relacionan con el nivel más íntimo de sutitular y cuya divulgación pueda ser causa dediscriminación o generar un severo riesgo parasu titular. Demanerageneral, seconsiderandatossensibles aquellos que revelen característicascomo origen étnico o racial, estado de salud,creencias religiosas, opiniones políticas,preferencia sexual, pertenencia a sindicatos,creencias fi losóficas y morales, entre otras. Estaclase de información debe ser tratada con mayorresponsabil idad y establecer medidas deprotección más estrictas.
3. Datos biométricos
Por definición común, los datos biométricos sonaquellos rasgos físicos, biológicos o decomportamiento de un individuo que lo identificancomo único del resto de la población. Aquellossistemas informáticos en los que se mide algúndato biométrico, como parte del proceso deidentificación y/oautentificación de un sujeto, sonconocidos como sistemas de seguridadbiométricao simplemente sistemas biométricos.
Pordefinición yporsu propianaturaleza, losdatosbiométricos son datos personales, sin embargo,la interrogante es ¿Cuál es la aplicación de lasleyes de protección de datos personales conrespecto a los datos biométricos?
Leyes de protección de datos en el mundo
En el mundo existen dos vertientes principalesentorno a la protección de los datos personales:El modelo europeo buscaproteger la informacióny la propiedad de la misma, en aras de conservarla honorabil idad de la persona aun cuando éstahubiese fallecido, la motivación de este modelo
La siguiente lista sonalgunos ejemplos dedatos biométricos:
• Huellas dactilares• Geometría de la mano• Análisis del iris• Análisis de retina• Venas del dorso de la mano• Rasgos faciales• Patrón de voz• Firma manuscrita• Dinámica de tecleo• Cadencia del paso al caminar• Análisis gestual• Análisis del ADN
05
UNAMCER
T
tiene base en los derechos humanos de losindividuos. El modelo estadounidense pretendeproteger la información de las personas con elconceptodederechoalaprivacidad, el cual puedeextinguirse con la muerte del sujeto, el modelosurge derivado de motivos comerciales ya quelas empresas uti l izaban de maneraindiscriminada esa información. extinguirse conlamuerte del sujeto, el modelo surge derivado demotivos comerciales ya que las empresasuti l izaban de manera indiscriminada esainformación.
Diversos países han promulgado leyes deprotección de datos personales y en cada paíssehabuscadoadaptar, asuspropiascondicionesculturales, económicas y políticas, las bases dealgunode losdosmodelosdeprotección dedatospersonales existentes. A continuación, semencionan algunos casos relevantes sobre lasleyes de protección de datos personales dedistintos países, organizaciones y regiones delmundo:
1 . Organización de Naciones Unidas (ONU). En1 948, adopta el documento conocido comoDeclaración Universal de Derechos Humanos,en la que el artículo 1 2 señala que las personas
tienen derecho a la protección de la ley de susdatos personales.
2. Alemania. En 1 970 fue aprobada la primera leyde protección de datos (Datenschutz). En 1 977,el Parlamento Federal Alemán aprueba la LeyFederal Bundesdatenschutzgesetz. elParlamento Federal Alemán aprueba la LeyFederal Bundesdatenschutzgesetz. Estas leyesimpiden la transmisión decualquierdatopersonalsin la autorización de la persona interesada.
3.Suecia. En 1 973 fue publicada la que fue unade las primeras leyes de protección de datos enel mundo.
4. EstadosUnidosdeNorteamérica.Laprotecciónde datos tiene base en la Privacy Act de 1 974.
5.Unión Europea. El primer conveniointernacional de protección de datos fue firmadoen 1 981 por Alemania, Francia, Dinamarca,Austria y Luxemburgo. Es conocido como“Convenio 1 08” o “Convenio de Estrasburgo”. Enlos 90ʼs, se establece una norma común que sedenominó Directiva 95/46/CE. La directiva esreferente a la protección de las personas físicasen lo que respecta al tratamiento de datospersonales ya la l ibre circulación de estos datos.
Fig. 1 . Leyes de protección de datos en el mundo según David Banisar, David Banisar es un reconocido especial ista en el campo de la política dela información, en particular en la intersección de los derechos humanos y las TIC.http://cyberlaw.stanford.edu/profi le/david-banisar.http://ssrn.com/abstract=1 857498
06
UNAMCER
T
6. España. La leyOrgánica 1 5 de 1 999, establecelaProtección deDatosdeCarácterPersonal. Estáleyhasido importanteparaLatinoaméricaporquese ha uti l izado como firme referente del modeloeuropeo. se ha uti l izado como firme referente delmodelo europeo.
7. Latinoamérica. En América Latina, las leyes deprotección de datos personales surgen comounanecesidad derivada del incremento del uso de lastecnologías de la información y el aumento de lasvulnerabil idadesasociadas. Ensumayoría, estasleyes se asemejan al modelo europeo: EnArgentina la Ley 25.326 (2000), Chile (1 999),Panamá (2002), Brasil (1 997), Paraguay (2000),Uruguay (2008).
8.Rusia. En el año 2006 fue aprobada unaexhaustivaleydeproteccióndedatospersonales.
9.Perú. La ley 29.733 del 2 de jul io de 201 1 es lamás reciente ley de protección de datospersonales en el mundo.
1 0.México. LaLeyFederaldeProteccióndeDatosPersonales en Posesión de Particulares fuepublicada en el Diario Oficial de la Federación el5 de jul io de 201 0, entró en vigor un día despuésy tiene efecto a partir de enero del año 201 2.
Esta ley pretende salvaguardar el respeto a laprivacidad, dignidad e información de laspersonas, en ella se establecen cuatro derechosfundamentales que tienen los individuos sobre suinformación en posesión de cualquier personafísica o empresa particular (aseguradoras,bancos, tiendas departamentales, telefónicas,hospitales, laboratorios, universidades, etc. ) , sonlos denominados derechos ARCO: Acceso,Rectificación, Corrección y Oposición.
La ley también indicaque losparticularesdeberánavisar, a cada persona de la que obtenganinformación personal, sobre el tratamiento queplanean darasusdatos. Loanteriorsedebehacermediante un aviso de privacidad, el cual deberáser respetado por el particular, y cada personanotificada tendrá la l ibertad de otorgar o no suconsentimiento respecto al procesamiento de suinformación.
Mapa de protección de datos personales
David Banisar hapublicadounmapacon las leyesde protección de datos personales aplicadas enel mundo (Fig. 1 ). La clasificación de Banisarparece evaluarúnicamente el modelo europeo deproteccióndedatospersonales, yaquenoincluye
07
UNAMCER
T
a los Estados Unidos como parte de los paísescon legislación sobre protección de datospersonales.
Con esto concluye la primera parte de esteartículo, en la segunda parte se hará mención delos riesgos asociados a los datos biométricos, deaquellas leyesdeproteccióndedatospersonales,de distintos países del mundo, que incluyen ensus artículos la protección explícita de los datosbiométricos.
Referencias bibliográficas (Parte 1)
[1] Ley Nº 19.628 (Chile). Sobre Protección de La Vida
Privada O Protección De Datos De Carácter Personal
[2] Ley 25.326 (Argentina). Protección de los Datos
Personales
[3] Ley Orgánica 15/1999 (España), de 13 de
diciembre, de Protección de Datos de Carácter
Personal.
[4] Gregorio C.G. Protección de Datos Personales:
Europa Vs. Estados Unidos, todo un dilema para
América Latina (p. 299–325)
[5] Ley Estatutaria 1266 . Colombia. (2008)
[6] Gregorio C.G. Protección de Datos Personales en
América Latina – Juan Pérez ante la disyuntiva de
progreso y bienestar. Disponible en
http://www.iijlac.org/docs/juanperez.pdf
[7] Millan A. (2011). Retos de la protección de datos
personales en México. Consultado en:
http://www.lasillarota.com/index.php?option=com_k2&vi
ew=item&id=16493:retos-de-la-protecci%C3%B3n-de-
datos-personales-en-m%C3%A9xico&Itemid=101
[8] Directiva 95/46/CE del Parlamento Europeo y del
Consejo
[9] Travieso J.A. (2009). Seguridad física y lógica para
la protección de los datos personales. CIBRA
[10] Luxemburgo. Protection Des Personnes À L’égard
Du Traitement Des Données À Caractère Personnel
[11] Suecia. Personal Data Act (1998:204)
[12] Reyes O. P. (2004). Legislación extranjera sobre
Derecho de Acceso a la información. Biblioteca del
Congreso Nacional de Chile.
[13] Ley Nº 18.331 (Uruguay). Protección de Datos
Personales y Acción de "Habeas Data"
[14] Ley Nº 29733 (Perú). Ley de Protección de DatosPersonales.
[1 5] Ley de Datos de Suecia 1 973
[16] Privacy Act, 1974. United State of America
[17] Ley de Protección de Datos de Hesse (1970)
[18] Ley Alemana Federal de Protección de Datos
(1977)
[19] Loi 78-17 Du 6 Janvier (1978). Relative À
L'informatique, Aux Fichiers Et Aux Libertés (Francia)
[20] Loi n° 2004-801 du 6 août 2004 relative à la
protection des personnes physiques à l’égard des
traitements de données à caractère personnel et
modifiant la loi n° 78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés
[21] Ley de Protección de Datos Personales de
Paraguay
[22] Tratado de Estrasburgo. Convenio para la
protección de las personas con relación al tratamiento
automatizado de datos de carácter personal.
[23] Banisar D., National Right to Information Laws,
Regulations and Bills 2011 Map (November 22, 2011).
Disponible en SSRN: http://ssrn.com/abstract=1857498
08
UNAMCER
T
Una denegación de servicio o “DoS” (Denial ofService), es el vector de ataque que busca comoobjetivo principal, realizar la saturación o laexplotación de alguna vulnerabil idad en unservicio que opere en equipos o infraestructurasde telecomunicaciones, dando como resultadola degradación, caída o falla del mismo. Unanueva modalidad de este vector de ataque es
conocido como DDoS (Distributed Denial ofService), que por sus siglas en inglés se refiereaunataquededenegacióndeserviciodistribuido,el objetivo principal de este vector es la de uti l izarun gran flujo de tráfico que es generada desdediferentes puntos de conexión, ya seade interneto de una red de datos local con el mismo fin, lade deteriorar un servicio hasta hacerlo fallar.
Recientemente hemos escuchado sobre lasoperaciones grupos Hacktivistas, mismos quehan realizado ataques de este tipo,principalmente haciaportalesWEBde entidadesgubernamentales y algunos cuantos del sector
privado, es por este tipo de ataques que elINFOTEC se ha visto en la necesidad deincursionar e investigar estas nuevas tendenciasde ataques, debido que nuestra visión es innovary desarrollar servicios que puedan ser uti l izadosy aprovechados por ambos sectores ya seagobierno o iniciativa privada.
En las operaciones ciel ito l indo, tequila,independencia y en la ultima llamada operacióntranzas el principal objetivo de ataque ha sido elsector gobierno, entidades como la sedena,gobernación, el senado, la cámara de diputadospor mencionar algunos, se han visto comovictimas de este grupo de atacantes, que enmomentos vemos como son superados loscontroles de seguridad por el gran número deatacantes; dejando en claro lo vulnerable y débilque son las infraestructuras y las arquitecturasde comunicaciones y seguridad en México. Loque podemos notar, es que el modus operandi deestos grupos es de carácter político, rel igioso osocial y el número de ataques aumenta hacia el
DDoS actualidad taxonomía ycontramedidasJosé Antonio Ruíz Alvarez
09
UNAMCER
T
sectorgobiernosiendoestadeun52%deataquesde este tipo, le sigue la iniciativa privada y al finaly no por eso no ser atacadas, se encentran lasinstituciones académicas.
Entonces los ataques DDoS, representan unaamenaza muy real para los negocios en línea,más aún cuando la disponibi l idad del servicio esuna función esencial del negocio. En laactualidadlos firewalls tradicionales y dispositivos deprotección perimetralesocontrolesdeseguridad,pueden proporcionar un cierto grado deprotección contra ataques de ancho de bandarelativamentebajos, sin seróptimosni confiables.Cabemencionarqueesdifíci l defendersedeestosataques, pero mediante una planificacióncuidadosa y contando con el apoyo deespecial istas y de los proveedores de serviciosde internet (ISP), es posible proporcionar un nivelóptimo de protección frente a los ataques dedenegación de servicio.
En conclusión, los ataques de denegación deservicios continúan siendo un problema y unagran preocupación para las empresas, gobiernosyproveedoresdeservicios, sobretodoensu formadistribuida (DDoS), principalmente por su fácilimplementación, por lo devastadorquepuede serel ataque y la mutación constante de susprocedimientos, pero no por eso es imposibledetectarlos, mitigarlos, prevenirlos y detenerlos,si contamos con los especial istas, tácticas,proveedores y una infraestructura solida y enconstante revisión lo podemos lograr, enINFOTEC ya contamos con casos de éxito vsDDoS/DoS, por lo que podemos apoyarte en lamitigación de este vector de ataque. INFOTECsu socio tecnológico.
José Antonio Ruíz Alvarez
Hacking SWAT Team Leader
Fondo de Información y Documentación para la
Industria INFOTEC
Unidad de Seguridad de la Información
1 0
UNAMCER
T
¿Qué pide el reglamento de la ley?Desde el pasado miércoles 21 de diciembre de201 1 muchas personas me hacen la mismapregunta: “¿Qué pide el Reglamento de la LeyFederal de Protección de Datos Personales enPosesión de los Particulares a las empresascomo la mía?”
La respuesta, que no es simple, se encuentra ensíntesis en 3 artículos del Reglamento de la Ley,los artículos 48, 60 y 61 .
¿La Ley exige lo mismo para todas lasempresas?
Ninguna ley, por naturaleza, puede exigir más omenos a las personas o empresas, por lo que lapreguntadel nivel de exigenciaescapciosa, peroel artículo 60 presenta elementos para que lacarga sea acorde a las capacidades de losresponsables (como pasa o debería pasar conlos impuestos).
El artículo deja en libertad a losresponsables en:“El responsable determinará lasmedidas de seguridad aplicables alos datos personales que trate,considerando los siguientesfactores”
Pero si nos marca las consideracionesnecesarias para determinar las medidas deseguridad a implementar, explico dichasconsideraciones:
I . El riesgo inherente por tipo de dato personal.El riesgo es igual a la amenaza por lavulnerabil idad, por lo que es necesario realizarunanálisisderiesgos(comolo insistiráelartículo61 ).
I I .La sensibi l idad de los datos personalestratados. La sensibi l idad derivada de la misma
Juan Carlos Carrillo D´Huerta
UNAMCER
T
Ley y definida en datos personales y datospersonalessensibles, requierequehagamosunaclasificación de información para determinar lasensibi l idad de los datos.
I I I .El desarrollo tecnológico. El estado actual dela tecnología, si no es conocido, deberá seranalizado con profundidad y relacionado con lasensibi l idad de los datos, es decir no solo seráconocer el desarrollo tecnológico general delresponsable si no por el tipo de sensibi l idad delos datos personales que se manejan.
IV.Las posibles consecuencias de unavulneración para los titulares. Históricamente, lasorganizacioneshemosvaluado lainformaciónporel impacto que tiene al interior de la organización,bajo esta legislación debemos valorar el costo delos datos personales.
V.El número de titulares. Esta es la variable mássencil la. Es el volumen de datos personales quemanejamos, básicamente de nuestros clientes(personas físicas) y de nuestros empleados.
VI .Las vulnerabil idades previas ocurridas en lossistemas de tratamiento. Este es uno de losrequerimientos más complejos, ya que pordistintos reportesdel Ponemon Institutesabemosquemásdel 85%de lasempresassufrenalmenosuna vulneración a la seguridad al año, pero estono se conoce o se decide ocultar. En el estado de
California en los Estados Unidos existe desde2003 una legislación únicamente paravulneraciones a la seguridad (California SenateBil l 1 386) y que nos puede ayudar mucho en elmanejo de estas situaciones.
VI I . El riesgo por el valor potencial cuantitativo ocualitativo que pudieran tener los datospersonales tratados para una tercera persona noautorizadapara su posesión. Este punto nos pideque el análisis que hagamos de los datospersonales no debe ser únicamente en suvolumen sino en el riesgo de la reputación de lostitulares afectados.
VI I I . Demás factores quepuedan incidiren el nivelderiesgooqueresultendeotrasleyesoregulaciónaplicable al responsable. La Ley Federal deProtección de Datos Personales en Posesión delos Particulares no exime del cumplimiento de
otras legislaciones, por el contrario, suma a lasvariables de riesgo y cumplimiento dichas leyeso regulaciones, como pueden ser las solicitadaspor el IMSS, SAT, INFONAVIT, etc.
Una vez que hemos entendido los factores quenos afectan en el tipo de medidas de seguridada implementar, analicemos qué medidas son lasque debemos implementar (artículo 48).
1 2
UNAMCER
T
Medidas para garantizar el debidotratamiento de datos personales
El artículo 48 del reglamento nos explica lasactividades que debemos realizar para podergarantizar que el tratamiento de los datospersonales cumple con la legislación, estasmedidas no son opcionales y todos losresponsables deben cumplirlas.
Para explicarlo anterior, muestro una gráfica delos requerimientos, donde todo gira alrededor depolíticas y programas de privacidad obligatorios,los cuales deben tener un fundamento en elconjunto de acciones técnicas y administrativasque permitan garantizar el cumplimiento de losprincipios y obligaciones derivados de la Ley y suReglamento.
Lo complicado al mirar este esquema es que noexiste una sola área dentro de las empresas quepueda tomar toda la responsabil idad para cumplircon la legislación, es por lo mismo que todos losresponsablesdeben teneruncomitédeprotecciónde datos personales donde al menos estén lasáreas de tecnologías de información, recursoshumanos, legal y comercial.
Hasta este punto, la mayoría del trabajo pareceser un trabajo de procesos y procedimientospropios de las empresas, pero el reglamento esmuy específico al pedirnos que implementemos9 acciones para asegurar los datos personales.El artículo 61 del reglamento lo explica de formamuy puntual.
¿Cómo aseguro los datos personales?
A continuación, dividiré las acciones deaseguramiento dentro de proyectos específicospara su mejor comprensión.
Clasificación de la información
1 . Elaborar un inventario de datos personales yde los sistemas de tratamiento.2. Determinar las funciones yobligaciones de laspersonas que traten datos personales.3.Realizar un registro de los medios dealmacenamiento de los datos personales.
PIA (Privacy Impact Analysis)
4.Contar con un análisis de riesgos de datospersonales que consiste en identificar peligros yestimar los riesgos a los datos personales.5.Establecer las medidas de seguridad
Img. 1 Medidas para garantizar el debido tratamiento de datos personales según el artículo 48
1 3
UNAMCER
T
aplicables a los datos personales e identificaraquellas implementadas de manera efectiva.
Plan estratégico de mejora
6. Realizar el análisis de brecha que consiste en:la diferencia de las medidas de seguridadexistentes y aquéllas faltantes que resultannecesarias para la protección de los datospersonales.7.Elaborar un plan de trabajo para laimplementación de las medidas de seguridadfaltantes, derivadas del análisis de brecha.
Auditoria y capacitación
8. Llevar a cabo revisiones o auditorías.9.Capacitar al personal que efectúe eltratamiento.
1 4
UNAMCER
T
Los antivirus cumplieron en su época (finales delos ochenta) una labor importante para protegersatisfactoriamente a los equipos de cómputo. Sinembargo, el reinado de los antivirus tal cual losconocemos está llegando a su fin, en gran partepor su antiguo y ya no tan efectivo enfoque delistas negras. Hoyen día una empresa que deseeseriamente proteger sus equipos de cómputoWindows contra los códigos maliciosos no debepermitir que su seguridad descanse únicamenteen los antivirus.
Aunque no son nuevas yya han estado de algunaforma viviendo en las infraestructuras de TI, (porejemplo en productos que previenen intrusos ensistemas) las soluciones de listas blancas hanevolucionado y están evidenciando la mejoraindiscutible en su enfoque para proteger a lossistemas de los cientos de códigos maliciosos osus variantes que aparecen cada día. Dichoenfoqueessencil lo ysuponeun cambiosuti l , peroque hace la diferencia: enlistar lo que está
permitido ejecutarse en un sistema (l ista blanca)versus enlistar lo que se prohíbe ejecutar en unacomputadora(l istanegrausadapor losantivirus).
Si tuviéramos únicamente un puñado de softwaremalicioso (virus, troyanos, etc. ) , entoncesimplementar una lista negra sería relativamentesencil lo y efectivo. Cada semana que aparecieraun par de virus o gusanos obtendríamos su huella(con la cual sabríamos cómo identificarlos),generaríamos la firma correspondiente yactualizaríamos el antivirus. Ésta era la situaciónque se vivía en los noventa.
Hoy en 201 2 es otra historia, los antivirus handemostrado su punto débil ante la abrumadoracantidad y poder del nuevo malware que hay quedetener. Sin mencionar la pobre labor paradetectar a los llamados APT (AdvancedPersistent Threat), que por su naturaleza sonavanzados (indetectables por los antivirus al usartécnicas evolucionadas) y persistentes
El futuro no pertenece a los antivirusFausto Cepeda González.
1 5
UNAMCER
T
mundo que tienen su producto. Es decir,transcurre un cierto tiempoentre quese identificaun virusyque finalmentenuestroantiviruscuentacon la firma apropiada para detectarlo yeliminarlo. Ese tiempopuede serde horas o días,dependiendo de la rapidez para identificarlo, laprontitud para generar la firma y la importanciadel bicho detectado, entre otros factores.
Caberesaltarque losantivirusnosehanquedadodel todo estancados. Han mejorado diversastecnologías usadas yadesde hace tiempo, comola llamada “heurística” que es una detección enbase al comportamiento de archivos donde setrata de determinar si un ejecutable espotencialmente código malicioso nuevo.
Otra mejora a introducido al usar la famosanube, para mejorar la identificación y reducir losbytes de las firmas, además de acelerar ladetección de nuevo código malicioso. De estaforma han ayudado ciertamente a atacar elproblema. Sin embargo a) no están resolviendola problemática de raíz y b) los equipos decómputo continúan infectándose. Cualquieradministrador de un antivirus corporativo podráconfirmar que con todo y las mejoras, lossistemas se siguen contaminando, lo que hacenecesaria una limpieza manual en varios casos;algunos incluso llegan a recomendar que
(persiguen objetivos específicos y dirigidos,intentan incesantemente lograr sus metas).
Los APT representan una amenaza que impactausando un enfoque diferente al código maliciosocomún y corriente. Estos últimos siguen laestrategia de reproducirse en el mayor númerode equipos posibles en un tiempo relativamentecorto e infectar así a unabase amplia de sistemas(así se construyen por ejemplo, las botnets, queson una colección de sistemas infectados bajocontrol del atacante). Ahora bien, los APT comolos que afectaron a RSA o los que se vierondurante la l lamada operación Aurora sonespecíficos en el sentido de que se desea afectara una empresa en particular. No hay un interésen comprometer masivamente a equipos (ladetección de amenazas masivas es donde los
antivirus tienen su nicho). Para los APT que usanestrategias avanzadas y específicas como en elcaso de StuxNet, los antivirus son burlados sindemasiada dificultad.
Ahora bien, uno podría pensar que al menos losantivirusproveen seguridad contraestosataquesgenéricos donde se persigue una infecciónmasiva. Sin embargo, aun en este escenario, laprotección depende de que la compañíaantivirusdetecte al código malicioso, lo analice paragenerar la firma correspondiente y puedaempujarla a todos los clientes alrededor del
1 6
UNAMCER
T
después de una infección, lo más apropiado seaformatear el equipo para reinstalar el sistemaoperativo.
Mientras los productos antivirus siganrequiriendo bajar diariamente actualizaciones defirmas, seguirá siendo evidente que ladependencia de éstas es un factor principal en suestrategia de detección. Lo anterior no solo sepuede verificar en infraestructuras corporativasde TI donde frecuentemente apareceninfecciones en sistemas con antivirusactualizado, sino que también se han realizadopruebas donde se evidencia la contaminaciónexitosa de equipos que únicamente cuentan coneste tipo de control basado en listas negras.
Las listasblancasnoson un conceptonuevo, perosí han madurado con el tiempo hasta llegar aconvertirse en una solución suficientementesólida como para ser usada en una corporación.Hace unos años estas listas blancas no eran unproducto por sí solo sino que por lo generaloperaban junto con otra solución de seguridad.Trabajaban básicamente haciendo un hash deunaaplicación yverificandoquesiemprequeéstasolicitara salida a la red, contara con un hashválido. Y ciertamente, esta manera primitiva deadministración no era nada cómoda para eladministrador, quien tenía inicialmente queregistrar cientos (o miles) de aplicaciones y
averiguarsi sepodían catalogarcomoprogramasbenignos. Pero la labor no termina ahí, ya queposteriormente se debían gestionar todos loscambios en las aplicaciones existentes (porejemplo, por la aplicación de parches deseguridad o instalación de nuevas versiones)para darles el visto bueno y que pudieran seguirsaliendo a la red, sin mencionar el registro denuevas aplicaciones. Esto resultó ser unverdadero infierno administrativo y se optaba porhacer reglas genéricas, por lo tanto se reducía elpoder para proveer seguridad.
El concepto no ha cambiado, pero sí la forma deadministrar los registrosde las listasblancas. Hoyen día existen solucionesmás “intel igentes” en elsentido de que tratan de identificar por sí solas alas aplicaciones benignas, siguiendo ciertoscriterios para establecer un “nivel deconfiabil idad”, por ejemplo, cuánto tiempo se havisto presente a esa aplicación en lainfraestructura, si el programa proviene de unafuente confiable de la red corporativa (como unservidor de distribución de software) y otrosparámetros, como se muestra a continuación:(Imagen 1 )
Actualmente, se requiere tener dos solucionesseparadas en las infraestructuras de TI, una deantivirus yotrade listas blancas, con toda la cargaadministrativa que eso conlleva: diferentes
Img. 1 Gráfica Nivel de Confiabil idad
1 7
UNAMCER
T
agentes instalados en los sistemas, un par deconsolas de administración y servidores donderesiden las soluciones. Es probable que en elfuturo estas dos tecnologías converjan en un soloproducto haciendo una labor preventiva (l istablanca) y reactiva (l ista negra); de hecho algunassoluciones de listas blancas están tomando yaese camino.
No sorprende que varias instituciones esténactualmente incorporando soluciones de listasblancas, como se ven el caso de la NSA enEstados Unidos. Cabe mencionar que existendiversas soluciones que podemos encontraractualmente en el mercado y que estánorientadas al control de aplicaciones por mediode listas blancas, por ejemplo:
• Bit9 con su producto “Parity Suite”.
• Lumension con su solución “ApplicationControl”.• CoreTrace con su lista blanca llamada“CoreTrace Bouncer”.
Las listas blancas vienen a llenar los huecos delos actuales controles basados en listas negrasque luchan contra el código malicioso. Por lotanto, el futuro cercano no debe seguirperteneciendo a los antivirus como el control porexcelencia para proteger de los virus, gusanos,troyanos y códigos maliciosos en general. Unaestrategia contra este tipo de amenazayano estácompletasin laparticipación activade un enfoquebasado en listas blancas.
Fausto Cepeda es ingeniero en Sistemas
Computacionales por el ITESM. Es Maestro de
Seguridad de la Información por la Universidad de
Londres (Royal Holloway). Actualmente labora en la
Oficina de Seguridad Informática del Banco de México.
También cuenta con las certificaciones de seguridad
CISSP, CISA, CISM y CEH.
1 8
UNAMCER
T
El poder de proteger tu información
¿Has pensado qué una protección noadecuada de tus datos personalespodría convertirte en una cifra más enlas estadísticas de robo de identidado afectar tu reputación en línea?
Loscasosde robode identidad enMéxico yanivelinternacional van en aumento, esto comoconsecuencia de factores como el uso de nuevastecnologías, el incremento en la demanda decompras por Internet y el uso de banca en línea,la falta de conciencia o tiempo destinado por losusuarios para la protección de sus datospersonalesofinancierosyeldesarrollodetécnicasmás sofisticadas por los atacantes para laobtención ilícita de este tipo de información,quienes se aprovechan de Internet, de diversosmedios digitales y sobre todo, de la falta deprecaución del usuario para lograr sus objetivos.
La protección de los datos personales yfinancieros es una actividad fundamental que sedebe realizar con absoluta responsabil idad yconciencia, para ello es necesario definir unconjunto de medidas que permitan protegernuestrosdatos, estasdeberán serseleccionadasconsiderando las siguientes interrogantes:
a)¿Qué se desea proteger?
Es indispensable que el usuario identifique quéinformación pone en riesgo su identidad o suprivacidad. Para poder hacerlo es necesarioentender estas clasificaciones:
Dato personal: es toda información relativa a unindividuo que lo identifica o que permite suidentificación (origen, edad, lugar de residenciaocualquier tipo de trayectoria, yaseaacadémica,laboral o profesional).
Miriam J. Padilla Espinosa
1 9
UNAMCER
T
Datos personales sensibles: son aquellos cuyouso indebido representa un riesgo grave para elpropietario, que daña su intimidad o que lo hacesujeto de algún tipo de discriminación (origenracial o étnico, estado de salud presente y futuro,información genética, creencias religiosas,fi losóficasymorales, afi l iación sindical, opinionespolíticas y preferencia sexual ).
Datos financieros: es la información que permiteconocer lacomposición ovariación del patrimonioeconómicodeunusuarioenunmomentooperiododeterminado (estados de cuenta, transaccionesy transferencias, saldos, número de cuenta,usuarioycontraseñaparael accesoen línea, etc. )
b)¿De qué se desea proteger?
Una vez identificados los objetivos de protección,es preciso que el usuario conozca los principalesriesgos a los cuales puede estar expuesta suinformación, tales como robo, divulgación noautorizada, alteración, modificación, extravío oeliminación. A su vez, debe estar consciente delas consecuencias que esto conlleva, como dañoen la reputación en línea del usuario, ser víctimade agresiones psicológicas o discriminación,convertirse en una víctima de robo de identidadpara cometer cualquier tipo de fraude, mal uso olaafectacióndelpatrimoniofinancierodelusuario.
Tabla 1 . Medidas para la protección de datos personales y financieros
20
UNAMCER
T
c)¿Cómo protegerlo?
El usuario debe serprecavido cuando navegaporInternet, debe cuidar la información que publicaen las redes sociales o que ingresaen formularios
o ligas enviadas por correo electrónico. De igualforma debe hacer valer sus derechos, tales comoel acceso, la rectificación, la cancelación y laoposición, para que los particulares (personasfísicas o morales de carácter privado, conexcepción de los mencionados en el artículo 2 dela LFPDPPP1 ) protejan la información que deellos se tiene almacenada.
Definir medidas para proteger nuestros datospersonales y financieros nos permite actuar deforma proactiva, es decir, actuar antes depresentarse cualquier incidente que ponga enriesgo nuestra reputación, privacidad, intimidad,situación financiera o en casos más extremos lavida misma.
La Tabla 1 presenta un conjunto derecomendaciones que permitirá a los usuariostomar medidas para proteger su información.
Tabla 2. Regulaciones para protección de datos personales,financieros y seguridad de la información
21
UNAMCER
T
1 LFPDPPP: Ley Federal de Protección de Datos
Personales el Posesión de los Particulares.
2 SGSI: Sistema de Gestión de Seguridad de la
Información. Concepto central sobre el que se
constituye ISO 27001, su objetivo es garantizar que la
seguridad de la información se gestione de forma
correcta, basado en un proceso sistemático,
documentado y con la participación de toda la
organización, desde un enfoque de riesgo
empresarial.
Actualmente, existen tantoenMéxicocomoanivelinternacional iniciativas, leyes, códigos yreglamentos que consideran la protección de losdatos personales y financieros, así como
estándares internacionales y buenas prácticasparaprotección de laseguridad de la información.Algunos de éstos se presentan en la Tabla 2:
Tomando en cuenta estos datos, es posiblefortalecer laseguridadde la informaciónyreforzarlas prácticas que llevan a una cultura deprevención de delitos relacionados con los datospersonales.
Es fundamental que los usuarios eli jan medidasde seguridad para proteger su informaciónpersonal y financiera. También es necesarioconsiderar la importancia de difundir informacióna personas cercanas para fomentar la cultura deseguridad y protección de los datos personales.Con estas prácticas contribuiremos a reducirriesgos y cifras en las estadísticas de personasafectadasporamenazasdeseguridad. Recuerdaque la información espoder, queestáen nuestrasmanosprotegerlayasícontrolar lacapacidad quedamos a otras personas para usar nuestrainformación.
Referencias:
• Padilla Espinosa, Miriam J. Buenas prácticas para
proteger datos confidenciales en las aseguradoras. Tesis
de licenciatura, Universidad Nacional Autónoma de
México, Facultad de Ingeniería, 2009, México D.F.
• Requerimientos para publicar documentos en la web. En
http://www.contenido.ccs.ipn.mx/G-840-2011-S.pdf
• Ley Federal de Protección de Datos Personales en
Posesión de los Particulares (2010). Consultado en
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.
• Reglamento de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares (2011)
Consultado en
http://dof.gob.mx/nota_detalle.php?codigo=5226005&fe
cha=21/12/2011
• Leyes y reglamentos de la Secretaría de Gobernación.
Consultado en http://dof.gob.mx/ley-reg.php
• Guía práctica para generar el aviso de privacidad (2011)
IFAI. Consultado en http://www.ifai.org.mx/PrivacidadGuia
• ISO 27000 http://www.iso27000.es/iso27000.html
• Evento sobre la Ley y el Reglamento de Protección de
Datos Personales (Presentaciones) Lex Informática. En:
http://www.lexinformatica.com/blog/?p=129
• Navega protegido en Internet
http://www.navegaprotegido.org/
22
UNAMCER
T
En el artículoanterior revisamosquéesel hackingético, cuál es su objetivo, quiénes trabajan en élycuálessonsusalcances.Retomandoestoúltimoabordaré a detalle algunas razones para aplicaresta metodología en casos concretos como losfraudes y las fugas de información en paíseslatinoamericanos, aunque enfocándonosespecíficamente en México.
Desafortunadamente, hoy en día existe un bajoíndicedeinversiónporpartedelasorganizacionesen auditorías pentesting, ya que no se le prestala debida importancia, y se prefiere invertir enotras áreas que puedan redituar a corto plazo, osimplemente las desconocen.
Este hecho ha propiciado el fraude de maneraexponencial. Según un estudio realizado por
KPMG referente a esta actividad en Méxicodurante el 201 0, el nivel registrado de incidenciade fraudes para las compañías que operan en elpaís es de 75 por ciento, como lo muestra lasiguiente gráfica:
El hacking ético y la seguridad de lainformación de empresas en MéxicoAnaid Guevara
Img. 1 Gráfica de Incidencia de fraudes en empresas que operan enMéxico/ Fuente: KPMG. Encuesta de Fraude en México 201 0
23
UNAMCER
T
Esto significa que prácticamente 8 de cada 1 0empresas que operan en México han padecidoal menos un fraude en los últimos doce meses.Al comparar con otros países de la región,(Argentina, Brasil , Chile y Uruguay) se puedeobservar que México sigue presentando losniveles de incidencia de fraude más altos, pesea que en varios de estos países se registró unincremento en losmismos, tal y como lomuestrael siguiente gráfico:
Si bien es cierto que el grado de incidencia defraudes en general se ha mantenidoprácticamente en el mismo nivel, también sepueden observar cambios significativos en eltipo de fraudes cometidos contra empresas queoperan en México.
En términosdequién cometeel i l ícito, se puedendistinguir dos tipos de fraude: el interno y elexterno.
Img. 2 Incidencia de fraudes en América LatinaFuente: KPMG. Encuesta de Fraude en México 201 0
Img. 3 Tipo de fraude por perpetrador del i l ícitoFuente: KPMG. Encuesta de Fraude en México 201 0
El fraude interno es aquel que comete unempleado de la propia organización, sea demanera solitaria o en complicidad con algunaotra persona. Por el contrario, el fraude externoes el que realiza una persona ajena a laorganización, como puede ser un proveedor oun cliente. Con base en esta clasificación, sepuede observar que los fraudes que se hancometido en los últimosdocemesesaempresasque operan en México son principalmentefraudes internos, un 77 por ciento, como semuestra en la siguiente gráfica: (Imagen 3)
Por lo anterior, el control de una empresa debetener base en un sistema permanente. No sepuede dejar el patrimonio de la compañía alcuidado de la buena voluntad de los empleados,mucho menos en situaciones de crisis. Noolvidemos que en situaciones como las que hoyse presentan, el principal objetivo de lasempresas es mantenerse operativas e impedirmayores pérdidas. De ahí que, proteger a laempresa de posibles quebrantos se convierte,en buena medida, en un objetivo estratégico.
Para201 0, soloel 30porcientode lascompañíasque operaban en el país habían adoptadomedidas de prevención de fraudes, las cualespueden deberse a fallas en los sistemas,información divulgada consciente oinconscientemente por los trabajadores de lasmismas, ataques informáticos, falta de culturaorganizacional, etcétera.
24
UNAMCER
T
La gráfica siguiente muestra la proporción deempresas que cuentan conmedidas preventivasy las que reconocen no tenerlas. La alta relaciónde empresas que no cuentan con mecanismosde prevención de fraudes explica, en parte, elnivel de incidencia de fraudes en México, siendouno de los más altos en América Latina.
Img. 4 Porcentaje de empresas que cuentan con medidas deprevención de fraudesFuente: KPMG. Encuesta de Fraude en México 201 0
Como se puede observar, solo el 30 por ciento delasempresasdenuestropaís implementamedidasde prevención de fraude. Una mayoría, el 66 porciento, no lo hace, y un 4 por ciento ni siquierainvierte en ello, no porque no quiera, sino porquedesconoce las medidas preventivas que ayudana mitigar la fuga de información confidencial, loque trae como consecuencia grandes pérdidasmonetarias y de reputación para la organización.
Finalmente, se expone la siguiente gráfica en laque, de acuerdo a estudios realizados en el 201 0por la Consultora KPMG, se hace un comparativoentreel índicedetectadoen2008yel 201 0, respetoa los fraudes de índole interna en las empresasmexicanas.
Con estos antecedentes, queda claro que losempresarios y empleados deben ser conscientesde la gran cantidad de fraudes que acontecen asu alrededor, sobre todo con aquellos fraudesperpetrados por los propios empleados. Tambiéndeben tomar conciencia de cuidar que lostrabajadores que transportan informaciónconfidencial, no la revelen a terceros bajo ningunacircunstancia. En caso de que ocurra cualquiercontingencia, prever para tener un plan derespuesta. Acciones como pruebas depenetración o hacking ético ayudarán a encontrardichas fugas de información para así poderprevenir el mal uso de las mismas, y porconsiguiente traer el fortalecimiento de laseguridad de la organización.
En conclusión, las pruebas de penetración ohacking ético son técnicas que arrojan resultadossustanciales a las empresas en cuanto a ladetección y explotación de vulnerabil idadesexistentes en una infraestructura de red(Seguridad física, Seguridad en lascomunicaciones, Seguridad inalámbrica,Seguridad en las tecnologías de Internet,Seguridad del resguardo de información,Seguridad de los procesos). Todo pentester (ohacker ético) ayuda a encontrar puntos
Img. 5 Comparativo de incidencia de fraudesFuente: KPMG. Encuesta de Fraude en México 201 0
25
UNAMCER
T
.Referencias
• Anzola,S.Administracióndepequeñasempresas(2003).
México: McGraw-Hill.
• Barragán, J. et al. Administración de las pequeñas y
medianas empresas, retos y problemas ante la nueva
economía global (2002). México: Trillas.
• INEGI (1999). InstitutoNacionaldeEstadísticaGeografía
e Informática.
• MARTÍNEZ Aguirre, Tania Guadalupe. Seguridad en el
acceso a los sistemas de información. Celaya, Gto. Tesis
de Licenciatura (Ingeniero en Computación- Universidad
Lasallista Benavente, Escuela de Ingeniería en
Computación), 2009.
Artículos
• Anonymous. Arm yourself against black hats. En: E-
WORLD: Businessline. Chennai: Jul 12, 2010.
• Ronald I Raether Jr. DATA SECURITY AND ETHICAL
HACKING: Points to Consider for Eliminating Avoidable
Exposure.EnBusinessLawToday.Chicago:Sep/Oct2008.
Tomo18,No.1;Pág.55Ethicalhackingonrise,BillGoodwin.
Computer Weekly. Sutton: Jan 31, 2006. Pág. 8 (1 página)
Estudios
• KPMG. Encuesta de Fraude en México 2010. México:
KPMG. (2010). Recuperado de
http://www.kpmg.com/MX/es/IssuesAndInsights/Articles
Publications/Documents/Estudios/Encuesta_fraude_en_
Mexico_2010.pdf
vulnerables realizando ataques informáticos,evitando que personas maliciosas (o crackers)causen daños, detectando previamente lasvulnerabil idadesydebil idadesde laorganización.
Es indispensable romper el paradigma de que lorelacionado con la palabra hacker es malicioso,permitiendo unamayor apertura a la aplicación deesta técnicaen empresas enMéxico yaque, comose expuso, el porcentaje de fraudes informáticoses muy alto, inclusive en relación con otros paíseslatinoamericanos.
26
