gestiónde seguridadyriesgos - unam · 2018. 3. 9. · méxico,elvotoelectrónicoyel2012
TRANSCRIPT
Seguridad y RiesgosGestión de
Distintos enfoquesen la práctica segura
DatosBiométricos
No.1 4 / Julio-Agosto 201 2 ISSN: 1 251 478, 1 251 477
IncidentesSeguridad
RiesgoTecnológico
PenTest Voto ElectrónicoGerencia
14Gestión de
Seguridad y Riesgos
Contenido
México, el voto electrónico y el 2012
< 04 >
Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Subdirección deSeguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI, revista especial izada en temas de seguridad delUNAM-CERT. Se autoriza la reproducción total o parcial de este artículo con fines de difusión y divulgación de los conocimientos aquíexpuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.
< 1 0 >
< 1 2 >
< 1 7 >
< 21 >
< 27 >
La importancia de las pruebas de penetración - Parte II
Leyes de protección de datos personales enel mundo y la protección de datos biométricos - Parte II
Gestión de incidentes de seguridad informáticacon agentes inteligentes
Sin la Gerencia no hay paraiso
Riesgo tecnológico y su impacto para lasorganizaciones - Parte I
Gestión de seguridad y riesgos:Distintos enfoques en la práctica segura
La guerra épica entre la seguridad y lafuncionalidad implica un constante cambio, unciclo continuo de altas y bajas que busca elequil ibrio adecuado. Por un lado tenemos elbatallón de la administración y los usuariosfinales, quienes buscan practicidad, ahorro ysoluciones. Por el otro, están los guerreros de laseguridad, el los resguardan, protegen yneutralizan.
Ambas partes se necesitan una a la otra. Estadualidad de seguridad y funcionalidad, estesíncope entre armonía y contraste es lo quepermite ganar una batalla aún mayor, la luchacontra los ataques a la tecnología.En tu revista .Seguridad Cultura de prevenciónpara TI queremos ofrecerte una visión integral,con un certero bosquejo de los aspectosgerenciales y operativos de la seguridad, pero almismo tiempo con valiosas aproximaciones a lacultura de protección de datos, a la importanciade analizar riesgos, de entenderlos yneutralizarlos.
Te invitamos a encontrar en los artículos de estaedición, la bitácora de guerra de la lucha entre laGestión de seguridad y los riesgos tecnológicos:Distintos enfoques en la práctica segura.
L.C.S Jazmín López SánchezEditoraSubdirección de Seguridad de la Información
.Seguridad, Cultura de prevención TI / Número 1 4 / Julio-Agosto 201 2 / ISSN No. 1 251 478, 1 251 477 /Revista Bimestral
DIRECCIÓN GENERAL DE CÓMPUTO Y DETECNOLOGÍAS DE INFORMACIÓN YCOMUNICACIÓN
DIRECTOR GENERALDr. Felipe Bracho Carpizo
DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Act. José Fabián Romo Zamudio
SUBDIRECTOR DE SEGURIDAD DE LAINFORMACIÓN/ UNAM-CERTIng. Rubén Aquino Luna
DIRECCIÓN EDITORIALL.A. Célica Martínez Aponte
EDITORAL.C.S. Jazmín López Sánchez
ARTE Y DISEÑOL.D.C.V. Abraham Ávila González
DESARROLLO WEBIng. Jesús Mauricio Andrade GuzmánIng. Angie Aguilar Domínguez
REVISIÓN DE CONTENIDO
Ing. Miguel Ángel Mendoza LópezIng. Jesús Mauricio Andrade GuzmánIng. Abraham Cueto MolinaIng. Miguel Raúl Bautista SoriaIng. Jesús Tonatihu Sánchez NeriIng. Manuel Quintero LópezIng. Mario Martínez Moreno
COLABORADORES EN ESTE NÚMEROIsai Rojas González, Gabriel Sánchez Pérez,Linda Karina Toscano Medina, María delCarmen Prudente Tíxteco, Gualberto AguilarTorres // Gunnar Eyal Wolf Iszaevich //Johnny Villalobos Murillo // Erika Gladys DeLeónGuerrero // Alexandra RamírezCastro // Jeffrey Steve Borbón Sanabria
Editorial
UN
AM
CER
T
la primera entrega del artículo se describieronconceptos básicos referentes a la protección dedatos personales y a la biometría, se hizo unabreve introducción a las leyes y acuerdos deprotección de datos personales que existen enel mundo y se enumeraron algunos de los casosmás relevantes con el objetivo de dar a conocerlos antecedentes que existen respecto a cómoson considerados los datos biométricos por lasleyes de protección de datos personales dedistintos países en el mundo.
En esta segunda parte se describen algunos delos riesgos que están asociados al uso de datosbiométricos y que motivan a la búsqueda demedidas de protección, se habla de la forma enqueéstosson consideradosanivel internacional,sobre el contexto de las leyes de protección dedatos personales y sobre una serie derecomendaciones emitidas por organismos
internacionales referentes a cómo deben serobtenida y procesada esta información.
Riesgos asociados al uso de los datosbiométricos
Un sistema biométrico que no es protegidoadecuadamente puede facil i tar la obtención deinformación personal sensible. Por ejemplo, si unatacante roba la base de datos de un sistema dereconocimiento facial en el cual se almacenanfotografías, se podría inferir la raza de cada unode los usuarios, lo que podría ser causa dediscriminación u otras acciones.
Algunos datos biométricos pueden ser obtenidosrealizando el proceso inverso de captura yalmacenamiento, como es el caso de las huellasdacti lares. Éstas tienen rasgos únicos conocidos
Leyes de protección de datos personalesen el mundo y la protección de datosbiométricos – Parte IIIsai Rojas González, Gabriel Sánchez Pérez, Linda Karina Toscano Medina, María del Carmen PrudenteTíxteco, Gualberto Aguilar Torres
04
UN
AM
CER
T
como minucias, durante el proceso de captura,estos son identificados y codificados paradespués almacenarlos como una secuencia dedatos denominada planti l la de minucias, de talforma que, en lugar de almacenar una fotografíade la huella dacti lar, se almacenan planti l las deminucias. Se dice que una huella dacti larreconstruida a partir de la planti l la de minuciastiene un resultado positivo en más del 90% de loscasos, y que este tipo de reconstrucciones sonmás frecuentesde lo quesepodríasuponer . Estoindica que pueden identificarse personas ofalsificar identidadesmediante huellas dacti laresque son obtenidas exitosamente, en su forma
original, incluso desde una base de datos deplanti l las de minucias.
En 2003, el Grupo de Protección de las Personasen lo que Respecta al Tratamiento de DatosPersonales, creado en virtud de la Directiva95/46/CE del Parlamento Europeo ydel Consejo,adoptó un documento de trabajo sobre biometría,en la introducción del documento se puedeapreciar la siguiente inquietud:
…Una utilización amplia y sin control de labiometría es preocupante desde el puntode vista de la protección de los derechosylibertadesfundamentalesdelaspersonas.Este tipo de datos es de una naturalezaespecial, ya que tienen que ver con lascaracterísticas comportamentales yfisiológicas de una persona y puedenpermitir su identificación inequívoca…
La recolección de datos biométricos es otroaspecto de preocupación, así lo señala laComisión Nacional de Informática y Libertades(Francia) en su informe de actividades del año2007, que en uno de sus fragmentos dice: …
Algunos datos biométricos presentan laparticularidaddepoderserrecabadosyuti l izadossin que el interesado se dé cuenta. Es el caso delas huellas genéticas, ya que todos vamosdejando involuntariamente un rastro de nuestro
cuerpo, aunque sea ínfimo, del cual se puedeextraer el código ADN. Lo mismo sucede con lashuellas dacti lares, de las que también vamosdejando un rastro, másomenos fácil de procesar,en nuestra vida cotidiana .
La Comisión indica que la biometría con rastrorequiere de medidas de seguridad especialespara garantizar la protección de las personasafectadas.
Protección jurídica de losdatos biométricos
Porsunaturaleza, losdatosbiométricossondatospersonales, sin embargo, en muy pocaslegislaciones en el mundo se consideran demaneraexplícitacomodatospersonalesymenosaún como datos personales sensibles, lo anteriorda origen a diversas controversias.
En España y Argentina, las leyes de protecciónde datos personales, no han tipificado demaneraexplícita a los datos biométricos, es por ello queorganismos regulatorios han sido los encargados
1 Planti l la de minucias: Se denomina al conjunto de características ínfimas de una huella dacti lar que se almacenan como un patrón de datosúnico que hace identificable de manera inequívoca al titular de la huella.2 Fingerprint Biometrics: Address Privacy Before Deployment. Publicado por el Comisionado de Información y Privacidad de Ontario ennoviembre de 2008.
05
UN
AM
CER
T
de debatir y emitir resoluciones para cada casoespecífico de controversia, lo han hechoevaluando las circunstancias particulares decada situación.
En el año 2006, la Agencia Española deProtección de Datos resuelve que el uso de lahuella dacti lar como medio para controlar elacceso de alumnos al colegio resulta excesivo ydesproporcionado para esa finalidad.
Porotro lado, enArgentinaenel 2009, laDirecciónNacional de Protección de Datos Personalesresolvió, respecto a un banco de datos deaficionados al fútbol, que pueden ser tratados losdatos biométricos, por serdatos estrictamente deidentificación, cuando sean necesarios para lafinalidad pretendida (seguridad en estadios defútbol) . La mayoría de las leyes de protección dedatos personales en el mundo se encuentran enuna situación de ambigüedad en lo que se refierea los datos biométricos. La legislación en Méxicotiene el mismo inconveniente, la ley en sí no hacemención explícita de los datos biométricos ni desu tratamiento.Algunos países comienzan a incluir de maneraexplícita el concepto de datos biométricos y lamaneraenqueestosdeben tratarseyprotegerse:
Australia. El comité de reforma de la ley deprivacidad, recomendó que se agregaran losdatos biométricos a la definición de datossensibles. El cambio aún no ha sido incluido enla versión actual de la ley con fecha del 4 de jul iode 201 1 .
Rusia. Actualmente, se encuentra en proceso demodificación a su ley federal de protección dedatos de 2006, el propósito es mejorar algunos
aspectosdeseguridad. Unode loscambios indicaque el reglamento establecerá los requisitos deseguridad para el procesamiento de datosbiométricos.
Perú. Recientemente adoptó la ley número29.733 que se refiere a la protección de datospersonalesyseñalaen su artículo2ºque losdatosbiométricos son datos personales sensibles.
Futura legislación en Colombia. El documentocon el texto concil iado y aprobado del proyectode ley estatutaria número 1 84 de 201 0 Senado,046 de 201 0 Cámara en Colombia, especifica ensu título I I I , artículo 5º que los datos biométricosson considerados datos personales sensibles.
06
UN
AM
CER
T
Convenios internacionales
El Consejo de Europa (Council of Europe) hapublicado un documento llamado: “Informe desituación relativo a la aplicación de los principiosdelaconvención1 08sobrelarecogidayalprocesode losdatosbiométricos” , el informecontiene unaserie de pronunciamientos respecto a los datosbiométricos ysu uso. Acontinuación, se presentala idea básica de cada punto:
1 ) Losdatosbiométricosdeben serconsideradoscomo una categoría específica de datos, ya queestos siguen siendo los mismos en distintossistemas y son inalterables de por vida.
2) Antes de recurrir a la biometría, se debenevaluar: las finalidades previstas para los datos,lasventajascontralosinconvenientesqueafectenla vida privada de la persona involucrada, y sedeben tener posibles soluciones alternativas quesuponganunmenoratentadocontralaprivacidad.
3) Nosedeberíaoptarporlabiometríaúnicamentepor el hecho de que su uso resulte práctico.
4) Los datos biométricos deben seruti l izados confines determinados, explícitos y legítimos. Nodeben ser procesados de manera incompatiblecon esas finalidades.
5) Losdatosdeberíanseradecuados, pertinentesy no excesivos en comparación con la finalidaddel proceso; si basta con patrones, se deberíaevitarelalmacenamientodelaimagenbiométrica.
6) A la hora de elegir la estructura del sistema, sedeberíaproceder teniendo enmente los aspectosde seguridad.
7) La estructura de un sistema biométrico nodebería ser desproporcionada respecto a lafinalidad del proceso; si basta con la verificación,no se debería desarrollar una solución deidentificación.
8) La persona afectada debería ser informada dela finalidad del sistema y de la identidad delresponsable del proceso. Además, conocer losdatos procesados y las categorías de personas alas que se comunicarán esos datos.
9) La persona afectada tiene derecho de acceso,rectificación, bloqueoycancelacióndesusdatos.
1 0)Se deben prever medidas, técnicas yorganizativas, queseanadecuadasparaprotegerlos datos biométricos contra la destrucción y lapérdida accidental, también se deben protegercontrael acceso, modificación o comunicación noautorizadaydebenserresguardadosdecualquierotra forma de procesamiento i lícito. 07
UN
AM
CER
T
1 1 ) Se debería desarrollar un procedimiento decertificación y de control, con el fin de establecernormas de calidad para el software y la formacióndel personal responsable del registro y laverificación de datos biométricos. Se recomiendaunaauditoría periódica que pruebe las cualidadestécnicas del sistema.
1 2) Si una persona, registrada en un sistemabiométrico, es rechazada, el responsable deproceso debería, a petición de ésta, volver aexaminar el caso y si fuese preciso, ofrecerlesoluciones de sustitución adecuadas.
Actualmente, hay varios países que cuentan conleyes de protección de datos personales, peropocos son los que incluyen en sus postulados, demanera explícita, a los datos biométricos y eltratamiento que éstos deben tener, el precedentelegal lo establecen países como Rusia, Perú yColombia.
Es necesario regular al respecto del uso de losdatos biométricos en los sistemas de información,son datosmuy íntimos que acompañan a su titularde por vida y que no pueden ser cancelados orestablecidos; si a un usuario le roban y falsificansu huella dacti lar, esta no podrá ser cancelada, suhuella seguirá siendo la misma.La regulación legal de los datosbiométricosayudaa prevenir ambigüedades que pueden generarcontroversias y además establece las reglasnecesarias para el correcto resguardo de lainformación sensible de las personas.
Referencias Bibliográficas (Parte 2)
[1] Remolina A. N. (2011). Sistemas de identificación
biométrica y protección de datos personales: ni
“tecnofobia”, ni “tecnofascinación”, pero sí
“tecnoreflexión”. Consultado en:
http://www.ambitojuridico.com/BancoConocimiento/N/no
ti-111116-
06_(sistemas_de_identificacion_biometrica_y_proteccio
n_de_datos_personales)/noti-111116-
06_(sistemas_de_identificacion_biometrica_y_proteccio
n_de_datos_personales).asp
[2] Comité consultivo de la Convención para la protección
de las personas respecto al proceso automatizado de los
datos de carácter personal (T-PD) (2005). Informe de
situación relativo a la aplicación de los principios de la
convención 108 a la recogida y al proceso de los datos
biométricos
[3] Sitio Web Kimaldi Electrónics. Tratamiento de la huella
digital de los trabajadores/as.
[4] Agencia Española de Protección de Datos:
• Proporcionalidad del tratamiento de la huella dactilar de
alumnos de un colegio. Informe 368/2006
• Tratamiento de la huella digital de los trabajadores.
• Resolución de archivo de actuaciones.
Expediente Nº E/00016/2007
[5] Segalis B. (2011). Russia Amends Federal Data
Protection Law; Privacy Enforcement on the Rise.
Consultada en:
http://www.infolawgroup.com/2011/07/articles/internatio
nal-2/russia-amends-federal-data-protection-law-
privacy-enforcement-on-the-rise/
[6] Kindt E. (2007). Biometric applications and the data
protection legislation. Datenschutz und Datensicherheit.
[7] Woo R. B. Challenges posed by biometric technology
on data privacy protection and the way forward
[8] Liu Y. (2007). Introduction to biometrics from a legal
perspective. University of Oslo.
[8]LiuY.(2008).IdentifyingLegalConcernsintheBiometric
Context. Journal of International Commercial Law and
Technology Vol. 3, Issue 1. University of Oslo.
[9] Iglezakis I. (2010). EU data protection legislation and
case-law with regard to biometric applications. Faculty of
Law, Aristotle University of Thessaloniki.
[10]ElCongresodeColombia.Textoconciliadoyaprobado
del proyecto de Ley Estatutaria número 184 de 2010
Senado, 046 de 2010 Cámara. “Por la cual se dictan
disposiciones generales para la protección de datos
personales”.
[11] Cavoukian A. (2008). Fingerprint Biometrics: Address
Privacy Before Deployment
08
UN
AM
CER
T
[12] Article 29 of Directive 95/46/EC – Data Protection
Working Party. Working document on biometrics (2003)
[13] Australia. Privacy Act 1988. Act No. 119 of 1988 as
amended. This compilation was prepared on 4 July 2011
taking into account amendments up to Act No. 60 of 2011.
Enlaces Web:
[1]http://cyberlaw.stanford.edu/profile/david-banisar
[2]http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=
CELEX:31995L0046:es:HTML
[3]http://www.statewatch.org/news/2004/feb/biometric-
wp80_en.pdf
[4]http://www.martinaberastegue.com/seguridad/privaci
dad/legislacion-internacional-en-materia-de-proteccion-
de-datos-y-privacidad.html
[5]http://www.agpd.es/portalwebAGPD/canaldocumenta
cion/textos_interes/common/pdfs/informe-principios-
convencion-108.pdf
09
UN
AM
CER
T
En este artículo se propone la aplicación deagentes intel igentes comounmedio para facil i tarlagestión de incidentesdeseguridad informática.Los agentes intel igentes propuestos tendríanfunciones específicas de búsqueda y selecciónde incidentes según especificacionespreviamenteestablecidasporlaorganización. Setoman como base las investigaciones realizadas
sobre la aplicación de algoritmos de intel igenciaartificial colectiva.
Incidentes de seguridad
Los diferentes ataques que sufren los sistemasconectados a Internet son conocidos comoincidentes de seguridad informática. Éstosamenazan el buen funcionamiento de cualquierorganización y violan implícita o explícitamentelas políticas de seguridad [1 ]. Al aceptar Internetcomo medio de interconexión global, grancantidad de transacciones de negocios serealizan de esta forma, por lo que se requieren
mecanismos de respuestas rápidas a incidentesde seguridad para evitar que la organización seexpongaapérdidas irreversibles. Se le denominaun incidente de seguridad informática a cualquierevento que sea considerado una amenaza parala seguridad de un sistema.
Existen diversos tipos de amenazas y seguiránapareciendo cada vez más.
Entre las más conocidas tenemos:
• Instalación de software malicioso• Acceso sin autorización al sistemaoasus datos• Interrupciones indeseadas• Denegación de servicios• Uso desautorizado de las bases de datos• Cambio en el hardware, firmware osoftware del sistema
Gestión de incidentes de seguridadinformática con agentes inteligentesMsc. Johnny Villalobos Murillo
1 0
UN
AM
CER
T
Es posible clasificar los incidentes de seguridaden dos tipos [2]:
• Incidentes automáticos• Incidentes manuales
Se denominan incidentes automáticos a losincidentesproducidosporprogramasdecómputotales como virus, gusanos y troyanos. Losincidentes manuales son aquellos incidentes enlosquedemanera intencional seatacaun sistemauti l izando, por ejemplo, escaneo devulnerabil idades, inyección SQL o ingenieríasocial, aunque bajo ciertas circunstancias,también sepueden realizarde formaautomática.
Agentes inteligentes como gestoresde incidentes de seguridad informática
Podemos definir a un agente intel igente como unprograma de cómputo que actúa con autonomíaen nombre de una persona o una entidad [3]. Lacaracterística de autonomía se le otorga debidoa que actúan sin intervención humana o de otrossistemas externos.
Existen muchas clasificaciones de agentes,pueden catalogarse por autonomía (capacidadde actuar solos), reactividad (capacidad deejecutar acciones en forma inmediata) yproactividad (metas u objetivos específicos acumplir) entre otros [4].
Suponga un grupo de agentes intel igentes quecolaboren con un CERT o Equipo de Respuestaa Incidentes deSeguridad Informática (ComputerEmergency Response Team por sus siglas eninglés), ayudando a determinar qué tipo deincidente está ocurriendo en un sistema que estébajo ataque, con base en los síntomas que éstepresenta. Los agentes proporcionarían alertas,soluciones inmediatas y medidas en formaautomática para controlar dicho incidente.
El grupo de agentes estaría formado por agentesbuscadores de tipo autónomo y seleccionadoresdel tipo proactivos. Los agentes buscadorestrabajan en forma independiente y con recorridosal azar en la red, localizando información sobreincidentes en la red mediante algoritmos deintel igencia artificial, y almacenándolos en unabase de datos.
El comportamiento de estos agentes, es similaral de una colonia de hormigas que realizanbúsquedaspara llevarcomidaasushormigueros.La base de datos sería entonces la bodega dealimentos de los hormigueros, la informaciónalmacenadaes definida por la organización, peroen forma general deberá registrarse por ejemploel nombre y tipo de incidente, la fecha en queocurrió y la plataforma informática o tecnológicaen donde se presentó.
Los agentes seleccionadores por su parte, tienenla tarea de escoger aquellos incidentes que seadapten más a los criterios definidos por laorganización, e informar mediante alertas laaparición de un incidente de seguridad para quese tomen las medidas respectivas.
La propuesta de uti l izar los agentes intel igentesen los CERTS u otras organizaciones, facil i taríala gestión de incidentes de seguridad en tantosus algoritmos, especificaciones de búsqueda yselección garanticen de forma razonable sueficacia y eficiencia.
La información que es almacenada estaría adisposición de otras organizacionesinteresadas, ayudando así en la divulgación deincidentes y protección de información.
Si los incidentes de seguridad se realizan contecnologías, entonces debemos aplicartecnologías para su prevención y corrección.
1 1
UN
AM
CER
T
Referencias
[1] ISO27001 Sistema de Gestión de Seguridad de la
Información ISO - International Organization for
Standardization
[2] NIST 800-61 Computer Security Incident Handling
Guide: National Institute of Standards and Tecnology.
U.S. Departament of Commerce
[3] Using Intelligent Agents”, Lecture Notes in Artificial
Intelligence, Springer-Verlag, Vol. 4496, pp. 82-91
[4] Juan L. Dinos-Rojas. Arquitectura de un sistema
basado en agentes para la
recuperación de metadatos rdf con base en una
ontología de documentos.Departamento de Ingeniería
Eléctrica y Computadoras, 2004.
1 2
UN
AM
CER
T
Riesgo tecnológico y su impacto para lasorganizaciones - Parte I
Origen del riesgo tecnológico¿Cómo nos afecta?
El riesgo tecnológico tiene su origen en elcontinuo incremento de herramientas yaplicaciones tecnológicas que no cuentan conunagestiónadecuadadeseguridad. Su incursiónen lasorganizacionessedebeaque la tecnologíaestá siendo fin y medio de ataques debido avulnerabil idades existentes por medidas deprotección inapropiadas y por su constantecambio, factores que hacen cada vez más difíci lmantener actualizadas esas medidas deseguridad.
Adicional a los ataques intencionados, seencuentra el uso incorrecto de la tecnología, queen muchas ocasiones es la mayor causa de lasvulnerabil idades y los riesgos a los que seexponen las organizaciones.
El riesgo tecnológico puede verse desde tresaspectos, primero a nivel de la infraestructura
tecnológica (hardware o nivel físico), ensegundo lugar a nivel lógico (riesgos asociadosa software, sistemas de información einformación) y por último los riesgos derivadosdel mal uso de los anteriores factores, quecorresponde al factor humano como un tercernivel.
Si se revisan las definiciones de las metas,objetivos, visión omisión de lasorganizaciones,estás no se fundamentan en términos técnicoso con relación a la tecnología. Sin embargo, alanalizar de forma profunda y minuciosa estetipo de planteamientos gerenciales, seencuentra que su aplicación trae como base eldesempeño de una infraestructura tecnológicaque permita darle consecución a dichascualidades. Por ello, el cumplimientocorrespondiente con la prestación de losserviciosydesarrollo de losproductosofrecidospor laempresa, elmantenimientode laactividadoperativa e incluso la continuidad del negocio,dependen del cuidado y conservación que setenga de la base tecnológica y por supuesto,del personal que la opera.
Ing. Alexandra Ramírez Castro
UN
AM
CER
T
Medidas de aseguramiento ante elriesgo tecnológico
Hablar de controles ymedidas que permitan a lasorganizaciones contrarrestar este tipo de riesgopuede ser complicado, pero es posible tomaracciones que lleven a su mitigación. Elaseguramiento puede realizarse desde los tresniveles antes mencionados.
En el nivel físico, las medidas a tomar son decarácter técnico o de seguridad informática,referidas a la aplicación de procedimientos decontrol y barreras físicas ante amenazas paraprevenir daño o acceso no autorizado a recursose información confidencial que sea guardada enla infraestructura física. Dentro de éstas seencuentran:
• Controles de acceso físico, que pueden incluirel uso de sistemas biométricos y vigi lantes paraacceso en áreas específicas.
• Manejo de tokens o tarjetas de identificación.• Controles a nivel de equipos, tales comoubicación y protección, seguridad en cableadoo mantenimiento periódico de equipos.
• Servicios básicos (energía, agua yalcantari l lado, entre otros) de soporte paracontinuidad.
• Gestión de medios de almacenamientoremovible.
• Controles de vulnerabil idades técnicas,entre otros.
En el nivel lógico, las medidas a tomar se dan conrespectoal usodesoftwareysistemas, enfocadasa proteger los datos y garantizar el accesoautorizado a la información por parte de losusuariosatravésdelosprocedimientoscorrectos.Como parte de estas medidas se pueden tomar:
• Controles de acceso lógico con la gestión deusuarios, perfi les y privi legios para acceso.• Controles de acceso a la red interna ysegregación en redes y controles paraasegurar servicios de la red.• Controles a nivel de teletrabajo y equiposmóviles.• Soluciones de protección contra malware.• Respaldos de bases de datos e informaciócrítica.
• Protocolos para intercambio de información ycifrado de información.
• Monitoreo de los sistemas, sincronización derelojes y protección sobre registros.
• Limitación en tiempos de conexión a aplicativosy cierres de sesión por inactividad.
• Gestión de control de cambios, entre otros.
El tercer nivel y el más crítico dentro de lasorganizaciones, dada su naturalezaimpredecible, es el personal o recurso humano.Las medidas a este nivel deberían ser másprocedimentales, l igadas a la regulación yconcienciación.Dentro de éstas se puedenincluir:
• Definición de políticas de seguridad quepresenten las correspondientes violacionescon el fin de dar cumplimiento.
• Controles relacionados a acuerdos con1 4
UN
AM
CER
T
terceros, prestación de servicios que se puedandar con éstos y segregación de funciones.
• Controles a nivel contratación de personal.• Gestión antes, durante y después de laterminación de los contratos.
• Educación y capacitación continua en aspectosde seguridad.
• Procedimientos e instructivos para manejo deinformación.
• Políticas de escritorio y pantalla l impia.• Cumplimiento de legislación aplicable, entreotros.
Riesgo tecnológico como raízde otros riesgos
El riesgo tecnológico puede ser causa yconsecuencia de otro tipo de riesgos, una fallasobre la infraestructura puede implicar riesgos enotros ámbitos, comopérdidas financieras, multas,acciones legales, afectación sobre la imagen dela organización, causar problemas operativos oafectar las estrategias de la organización. Sipensamosenel casodeunempleadodescontentoquepuede representarun riesgooperativo, podríaimplicar también un riesgo tecnológico pormanipulación inapropiada de sistemas einformación.
A continuación, se presentan algunos ejemplosque ilustran lo anterior:
• El reciente descubrimiento en mayo de 201 2delmalwareFlame, el cual teníacomoobjetivoataques de ciberespionaje en países deorientemedio. Esteataquerepresentópérdidade información confidencial y crítica. [1 ]
• Otro caso de ciberespionaje industrial es elmalware encontradoen archivos deAutoCad,cuya finalidad es el robo de informaciónsensible como planos arquitectónicos. [2]
• Un ataque muy nombrado en marzo del añopasado es el relacionado al robo deinformación realizado a RSA, que implicóriesgos para la banca en línea. [3]
• Por último, el ataque que sufrió Sony en 201 1 ,donde robaron información de cuentas deusuarios. [4]
Todoloanterior, confirmalaposibi l idaddedañosy perjuicios que puede desencadenar un falloen la seguridad a nivel tecnológico.
Con estas aproximaciones damos porterminada la primera parte de este artículo, enuna próxima entrega hablaremos sobre laimportancia de las buenas prácticas y el marcode referencia COBIT en algunas de susversiones.
1 5
UN
AM
CER
T
Referencias
[1] Meet ‘Flame,’ The Massive Spy Malware Infiltrating
Iranian Computers, Revista Wired, Mayo de 2012.
Disponible:
http://www.wired.com/threatlevel/2012/05/flame/
[2] Malware en archivos AutoCad podría ser inicio de
ciberespionaje industrial, Subdirección de Seguridad de
la Información - Información y servicios de seguridad en
cómputo.Disponible:
http://www.seguridad.unam.mx/noticia/?noti=420
[3] En riesgo más de 40 millones de usuarios de banca
electrónica, blog de tecnología ALT1040, Marzo 2011.
Disponible en: http://alt1040.com/2011/03/en-riesgo-
mas-de-40-millones-de-usuarios-de-banca-electronica
[4] Sony admite un robo adicional de datos que afecta a
casi dos centenares de usuarios en España, Diario El
mundo España, Mayo 2011. Disponible en:
http://www.elmundo.es/elmundo/2011/05/03/navegante/
1304383366.html
1 6
UN
AM
CER
T
Enmuchasocasiones, grandes ideasyproyectosen torno a la seguridad de la información quedanlejos de ser una realidad en las organizacionesdebido a que no se involucra a la dirección enestas iniciativas, más allá de solicitudes derecursos económicos u otros requerimientosafines. El presente artículo presenta algunassituaciones reales de cómo NO se debe ofrecerla seguridad de la información a la dirección; yqué buscar en estas áreas administrativas altrabajar dentro de una organización.
En organizaciones donde la razón de ser delnegocio no es la tecnología, no se cuenta connormasreferentesalaseguridaddelainformacióno simplemente no existe una obligación frente aeste importante aspecto, aquellos quienes hantenido laexperienciadeofrecerplanes, proyectoso iniciativas sobre seguridad de la informaciónson conscientes de cuán complicado puede serel venderesta ideaa laaltadirección. Vale lapenaindicar que a diferencia de lo que ocurre con las
áreas de tecnología, en la seguridad de lainformación no existe formalmente un retorno deinversión, es por ello que es visto por la direccióno aquellas áreas que toman las decisiones deinvertir, más como un gasto que como unaoportunidad.
Con base en lo anterior, se requiere deexperiencia, claridad en las explicaciones ypropuestas;e inclusode llegaracontarconaliadosestratégicos dentro de las organizaciones, parapresentar estas iniciativas a la dirección y contarcon su apoyo y compromiso. Aquí realizo unadistinción: usualmenteencontramosquesehablade apoyo en virtud de soporte, impulso a las idease iniciativas. Por otro lado, acuño el términocompromiso con base en qué tanto se involucran,aportan y gestionan los recursos e insumosnecesarios para la realización de los proyectosplanteados. Esto último resulta una tareacompleja, pero no imposible y su consecuciónpuede llegar a ser la causa de éxito del proyectoo iniciativa a desarrollar.
Sin la gerencia no hay paraisoJeffrey Steve Borbón Sanabria
1 7
UN
AM
CER
T
miedo y generar una sensación de inseguridaden la audiencia. Es importante comprender queninguna organización funciona con la mismalógica, por lo que no siempre es posible hablaren términos de pérdidas económicas o multas,también deben abordarse otro tipo de impactostales como la reputación e imagen, el impactolegal y otros aspectos, todo esto sin l legar aejemplos extremos o terrorismo.
* Propuestas no alineadas con el negocioEs común que en una organización surjan ideasque pueden resultar descabelladas, pero querealmente aportan a favor del negocio, estoocurre porque directa o indirectamente seencuentran enfocadas al logro de objetivos ycumplimientode lamisión. Sin embargo, elmayorfracaso de una idea desde que es concebida,
radica en que pueda encontrarse en contravíacon lo que desea la organización, ya que noaportará valor y puede generar una inversióninnecesaria reduciendo el capital de inversiónpara otros proyectos.
* Costos de soluciones imposiblesLa teoría de gestión de riesgos establece que,en caso de que el mecanismo a través del cualse controla o reduce el impacto de un riesgocuente con un valor más elevado que el mismoactivo, no es viable aplicar dicho control. Loanterior puede aplicarse para otras situacionestales como solicitar inversión para tecnologías o
Fallos, fallos y más fallos
A continuación, se abordan algunos errores quese comenten regularmente al ofrecer losproyectos o iniciativas de seguridad de lainformación a la dirección:
* Ausencia de claridad en la propuesta:Si las soluciones, proyectos o ideas a presentarno son concretas o lo suficientemente claras paraquienes toman decisiones, difíci lmente serántomados en cuenta. Recurrir a la simplicidad yexplicar con ejemplos puede ser una excelenteestrategia.
* Lenguaje extremadamente técnicoUno de los talones de Aquiles de quienestrabajamos con tecnología es explicar temas
haciendo uso en exceso de un lenguajeespecial izadoplagadodeexpresionescomplejasotecnicismosdedifíci l comprensiónparaaquellaspersonas que no se involucran directamente enlastareas. Estopuedesignificarperderlaatenciónde la audiencia y echar abajo las posibi l idades decontar con el interés y respaldo de la dirección.
* No siempre funciona el terrorismoPartiendo de la premisa de que la seguridad dela información suele ser vista como un gasto másque una inversión, es común acudir a técnicas desugestión y terror empleando situacionesadversas de otras organizaciones para inspirar
1 8
UN
AM
CER
T
soluciones a nivel de seguridad de la informaciónque son más costosas que la mismainfraestructura, o cuya uti l idad como control oprotección es mínimo con respecto al costo. Esnecesario buscar soluciones viablesorganizacionalmente, económicamente y queaporten al negocio.
* No ofrecer utopías: la seguridad total no existeEs una realidad que no existe la seguridad total,nada puede llegar a un 1 00% de seguridad.Ofrecer esta idea o fundamentar una solución oproyecto en estamentirapuede sernegativo parala imagen del área o personal de seguridad, encasodequeacontezcaun incidentequeevidencieque la protección total no existe. Siempre existiráun riesgo residual, un porcentaje deamenazaconel que la organización debe convivir, no se puedeignorar la presencia del mismo.
* Presentaciones interminablesLacapacidadparapresentarunaideaenel tiempoadecuado, recurriendo a la síntesis y simplicidad,es una de las mayores cualidades que se debenpotenciar al trabajar con temas de seguridad. Esmuy probable que no exista tiempo para atenderestos temas y cuando lo hay es demasiado corto,así que hay que fortalecer la capacidad depresentar rápidamente los problemas y lassoluciones para lograr contar con la atención deaquellos que toman decisiones dentro de laorganización. No hay que morir ante eldesagradable: “Tiene 5 minutos para supresentación”.
¿Qué buscar en la gerencia?
Una vez analizados los casos que planteanposibles fracasos, es importante recalcar que noes fácil dejar de lado esos fallos que tantas veceshan hecho ir en lastre nuestros proyectos. Sinembargo, es necesario e imperativo conseguir elapoyoycompromisode ladirección durante todoslos proyectos y actividades, pues es la direcciónla que puede solicitar el cumplimiento de laspolíticasolacolaboraciónen losmismos, asícomoes la que aportará los recursos humanos,económicos, logísticos, entre otros, que serequieren para hacer realidad proyectos deseguridad de la información, y también es quien
puede aplicar los correctivos y sanciones cuandola seguridad de la información no es tomada conla debida seriedad en la organización.
Como se puede evidenciar, hay mucho pormejorar y realizar para llegar a ese público tancomplicado como lo es la dirección, gerencia,administración o al área equivalente en donde setoman las decisiones en una organización.
Otras recomendaciones
AsícomoexisteelROI (retornode inversión) comouna medida para identificar la ganancia obtenidaen virtud del capital invertido y es una de lasmaneras de cómo las áreas de tecnología suelensustentar sus requerimientos y compras, laseguridad de la información cuenta con unamétrica similar denominada ROSI (retorno de lainversión en seguridad), con el cual es posiblereferenciar las pérdidas que podría tener laorganización contra los costos de los controles(tecnológicos, de recursoshumanos, etc). Al igualque el ROI, el éxito del ROSI radica en justificarydemostrarque la inversiónarealizarnoesmayoral valor del activo y de la pérdida, ya que no tienesentido aplicar controles más costosos que elactivo a proteger.
1 9
UN
AM
CER
T
Para más información acerca del ROI, serecomienda leer un artículo realizado por elconsultor Dejan Kosutic
Referencias
[1] http://blog.iso27001standard.com/2011/06/13/is-it-
possible-to-calculate-the-return-on-security-investment-
rosi/
[2] http://www.iso27001standard.com/en/rosi/return-on-
security-investment
[3]
http://services.nsw.gov.au/sites/default/files/backup_mi
grate/manual/ROSI%20Calculator%201.2.xls
20
UN
AM
CER
T
La importancia de las pruebas depenetración - Parte II
El presente artículo está constituido por dospartes, la primera ha sido publicada en la ediciónnúmero1 2(http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/fi les/revistas/pdf/Para%20PDF_1 2.pdf), el objetivo es brindar al lector unpanoramageneralsobreelconceptoylasventajasde realizar pruebas de penetración, introducirseen cada etapa de realización de auto-evaluaciones y comprender la importancia de larevisión periódica de seguridad.
En estaparte del artículo se analizaráel conceptojunto con algunas técnicas de escaneo devulnerabil idades, de explotación y reporte.
Para hablar de las etapas, es necesario tener unaconcepción clara de lo que son las pruebas depenetración. Son una evaluación de seguridadejecutadaexactamentecomo loharíaunatacantereal, es decir, se descubren vulnerabil idades y selanzan exploits intentando obtener acceso no
autorizado, modificación de paquetes, negaciónde servicio, etc. , l legando hasta el punto máscrítico; el objetivo es dar a conocer a la institucióno dueño del activo, las consecuencias que podríatener en caso de no contar con las medidasnecesarias de seguridad, agregando elementospara la toma de decisiones en la estrategia deseguridad.
Ing. Erika Gladys De León Guerrero
Figura 1 . Menú Fast-Track
21
UN
AM
CER
T
Elescaneodevulnerabil idadespermite identificardebil idades en el sistema evaluado, toma comobase los detalles obtenidos durante las fasesprevias, el objetivo es identificar el método deataquemásefectivoypreverel tipode informaciónque se obtendrá cuando se explote lavulnerabil idad encontrada. Se debe tomar elmismo enfoque que tomaría un atacante real, vera la organización como un adversario potencial eintentar causarle el mayor daño posible.
Existen distintos métodos para descubrirvulnerabil idades, así como también existendistintas herramientas automatizadas quepueden ayudar en esta fase. Se mencionan acontinuación algunas técnicas que pueden seruti l izadas para descubrir vulnerabil idades:
1 . Verificar la versión de software: Es una de lastécnicas más comunes, basta con identificar elnúmero de versión y compararlo con las listas deversiones vulnerables públicas gratuitamente endistintos sitios de seguridad. En este punto, sedeben verificar también los parches y upgradesaplicados que podrían eliminar la vulnerabil idad.Aquípodríanseruti l izadas lasherramientas libresnmap y amap.
2.Verificar la versión del protocolo decomunicación: Probablemente la versión de
Figura 2. Opción Autopwn Automation
software no contenga vulnerabil idades, peropodríausaralgún protocolo de red con problemasde seguridad.
3. Verificarlaconfiguración:Esnecesarioanalizarlos diferentes accesos que se podrían dar,remotos, locales y con distinto tipo de privi legios,nobastasoloconanalizarsi setieneconfiguraciónpor default, es necesario revisar si lasconfiguraciones aplicadas por el administradorbastan para evitar problemas de seguridad.
4.Ejecución de exploits: Se pueden ejecutarexploits sin conocer las vulnerabil idadespresentes, tomando como base el prestigio delexploity la información obtenidadurante las fasesprevias. Esta técnica puede ser peligrosa ya quepodría causar daños al sistema, incluyendonegación de servicio. Sin embargo, es posiblerepresentar una técnica muy cercana a lo quepasaría en caso de ser sometidos a ataquesreales. Para la ejecución de esta técnica existenherramientas como fast-track.pycon laopción deautopwn Automated, es una herramienta escritaen python que formapartedeMetasploit ypermitelanzar automáticamente gran cantidad deexploits con tan solo indicar la dirección IP(ver Figura 1 y 2)
Por otro lado, existen herramientas automáticas
22
UN
AM
CER
T
Figura 5. Detalles de vulnerabil idad
Figura 3. Nessus
Figura 4. Reporte
que permiten la identificación devulnerabil idades, entre las más comunes sepueden mencionar las siguientes:
1 .Nessus: es una herramienta con opcióncomercial y gratuita, tiene como ventajas lacreación de distintos perfi les de escaneo(políticas) dependiendo del tipo de evaluaciónqueserequieraydel sitiodesdeel cual seejecutenlas pruebas. Proporciona un formato gráfico deinteracción (ver Figura 3).
Nessus genera reportes categorizando lasvulnerabil idades encontradas de acuerdo alimpacto y asocia un identificador para cada unade ellas que facil i ta la búsqueda de informaciónrelacionada con la explotación (ver Figura 4).
Se puede obtener una breve descripción de lavulnerabil idad, una posible solución, referencias
y una calificación dada por la calculadoraCVSS disponible enhttp://www.patchadvisor.com/PatchAdvisor/CVSSCalculator.aspx,la cual asigna un valor al impacto tomando encuenta distintos parámetros(ver Figura 5).
2.OpenVas: Es otra opción de software libre queposee flexibi l idad en la aplicación de distintosperfi les de evaluación, es una herramientacliente-servidor, a pesar de no ser tan “amigable”comoNessus, es unabuenaopción paraverificarlas vulnerabil idades arrojadas por otrasherramientas (ver figura 6).
La variedad de herramientas para detección devulnerabil idades es muy amplia, algunas conlicencia comercial como Core Impact, Saint,Retina o Qualys.
Una vez identificado el método de ataque demayor viabil idad, es necesario considerar cómose tendráaccesoal objetivo, es decir, l lega la fase
Figura 6. OpenVas
de explotación. Es la parte más interesante de laejecución de pruebas de penetración y la que lohace diferente aun escaneo de vulnerabil idades,muchasveces llamado incorrectamente “análisisde vulnerabil idades”, donde solo se llega hastala etapa anterior, solo se localizan lasvulnerabil idades sin comprobar si pueden serexplotadas.
23
UN
AM
CER
T
Esta etapa dependerá totalmente de losresultados obtenidos en las etapas anteriores,por lo que cada prueba será diferente de acuerdoa los servicios existentes y las vulnerabil idadespresentes. En esta etapa se pueden realizardistintas acciones como resultado de laexplotación, por mencionar algunas:
• Copiar archivos hacia el objetivo• Copiar archivos desde el objetivo
Figura 7. Búsqueda de smb
Figura 8. Resultados de búsqueda
• Visualizar tráfico confidencial• Reconfigurar el objetivo• Instalar software• Tomar control total• Causar negación de servicio• Usar un objetivo para llegar a otro• Obtener contraseñas
Existe una vasta cantidad de herramientas paraexplotar vulnerabil idades, hay sitios donde
pueden serencontradosexploits independientesy existen frameworks completos de ataque, unode los más úti les e importantes es Metasploit, elcual contiene cientos de exploits aplicables adistintossistemasoperativos, adistintosserviciosy a distintas versiones, contiene tres tipos deinterfaces que facil i tan la ejecución.
Se mostrará un ejemplo de uso de Metasploitcomoprimerpunto, es necesario buscarel exploit
que se quiere ejecutar, o bien el servicio que estápresente en el sistema, en este caso se realizarála búsqueda de smb (ver Figura 7).
Los resultados arrojan los exploits relacionadoscon smb (ver figura 8)
24
UN
AM
CER
T
Se selecciona el siguiente exploit:auxil iary/dos/Windows/smb/ms09_050_smb2_negotiate_pidhighel cualafectaalossiguientessistemasoperativos:• Windows Vista• Windows 7• Windows Server 2008 R2
Se selecciona el objetivo con la siguienteinstrucción:set RHOST 1 92.1 68.1 .71
Para comprobar las opciones seleccionadas seejecuta: show options
Se selecciona el objetivo con la siguienteinstrucción:set RHOST 1 92.1 68.1 .71
Se selecciona el puerto:set RPORT 445
Y finalmente, se ejecuta:
25
UN
AM
CER
T
En el otro lado, en el objetivo, se puede observaruna falla en el sistema. El ejemplo mostradoanteriormente solo es unapequeñaparte de lo queun pentester realiza al comprobarvulnerabil idades, existen otras herramientas paraexplotación, algunascomercialesyalgunas libres,es necesario hacer una combinación entre lasdistintas herramientas. Por otro lado, en algunoscasos no existe el exploit para comprobardeterminadas vulnerabil idades, por lo que esnecesario generarlo, para lo cual también existendistintas herramientas y frameworks, incluyendonuevamente Metasploit.
La etapa final y la más importante, es la creacióndel reporte de hallazgos, ya que es en esta fasedonde se comunica qué se hizo, cómo se hizo ycómo la organización puede eliminar lasvulnerabil idades detectadas durante el análisis,por lo que es de gran importancia generar reportescon la mayor calidad posible.
El formato de un reporte puede ser muy variable,pero a continuación se muestran algunos puntosque deben ser presentados:
•Tabla de contenido•Resumen ejecutivo•Metodología uti l izada•Hallazgos ordenados de acuerdo al impacto•Evidencia detallada incluyendo screenshotsdel hallazgo
Es recomendable presentar la evidencia demanera jerárquica, ya que tomando como hechoque todas las vulnerabil idades deben sereliminadas, existen algunas que puedenrepresentarmayor impacto a la organización, porlo que es prioritaria la solución inmediata.
Es posible creer que el reporte no es importantecuando se realiza un pentest interno, pero esnecesario tener una bitácora que almacene elhistorial del los problemas de seguridad que sehan tenido, esto podría ayudar a resolverproblemas en el futuro.
Para concluir, es necesario decir que la tarea deun pentester no es fácil , pero es determinantepara una buena estrategia de seguridad, por loque es recomendable realizar evaluacionesinternas y periódicamente (1 o 2 veces por año)solicitar servicios profesionales.
Referencias
[1] Mati Aharoni. Et Al. Metasploit. The Penetration tester’s
Guide. EUA. No starch press. 2011.
[2] SANS. Security 560. Network Penetration Testing and
Ethical Hacking. 2009.
[3] Allen Harper. Et Al. Grey Hat Hacking. The Ethical
Hacker’s Handbook. EUA. Mc. Graw Hill. 2011.
26
UN
AM
CER
T
Un reclamo muchas veces escuchado es que,dado que es imposible confiar en los individuos,corruptiblespornaturaleza, laresponsabil idaddelescrutinio de los votos debería recaer en unsistemacomputarizado, siempre limpio, eficientey honesto. De eso hablaremos a continuación.
¿Qué hace una urna electrónica?
Las urnas electrónicas se han propuesto desdehace mucho tiempo y muchos países (ojurisdicciones menores) las han adoptado.En el corazón de todas las propuestas de votoelectrónico está la urna electrónica. Esta esbásicamente una computadora con una interfazde usuario l imitada para solo permitir un conjuntoespecífico de operaciones, construida dentro deuna caja o maletín que dificulte el acceso acualquiera de sus componentes, fuera de aquelexpresamente autorizado y encargado de recibircada uno de los votos, convirtiéndolos eninformación almacenada electrónicamente. Por
mediodeunprocedimientopreviamentediseñado,las autoridades electorales pueden indicarle quedeje de recibir votos yque entregue los totales quecada una de las opcionesque capturó.
Las primeras urnas electrónicas que cumplen conestadefinición, las l lamadasDREvotingmachines(Direct-Recording Electronic, máquinas de votoelectrónico de grabación directa) fueron puestasen prácticaampliamentehacia1 996. Al díadehoy,votan de esta manera la totalidad del electoradode países tan grandes como la India y Brasil , asícomoamplios segmentos de otras naciones comolos Estados Unidos.
La confianza y los aguafiestas
Si una cosa caracteriza al gremio de losdesarrolladores de software es la cantidad deerrores (tantoaccidentalescomo inducidos, lo queesmuchomás peligroso) que pueden apareceren
México, el voto electrónico y el 2012Gunnar Eyal Wolf Iszaevich
27
UN
AM
CER
T
un programa, no lo perdamos de vista. El merohecho de que exista un área de especial izacióntan importante como la seguridad informática lohace patente: La complej idad hasta de lossistemas más sencil los hace imposible asegurarcon toda certeza que una computadora haga loque debe hacer.Para ilustrar: Son pocas las computadoras en elmundo que no uti l izan una solución antivirus enla actualidad. Estos programas se hicieronnecesarios dadas las grandes deficiencias de
diseño que tuvo el sistemaoperativomáspopulardel planeta ante la realidad de estarpermanentemente conectados a una red hosti l .No importa si nuestro sistema es el más seguro,es necesario estar al tanto de todas lasactualizacionesynotasdeseguridadsi queremosconfiar en que nuestra computadora respondeúnicamente a nuestras órdenes y que lo hace deforma confiable.
Incluso ante el mismo programador, comoproféticamente lo demostró en 1 984 KenThompson al aceptar el premio Turing(reconocido en nuestro campo como el premio
Nobel de la Ciencia de la Computación) con elartículo Reflexiones acerca de la confianza en laconfianza ; un programador siempre confíaciegamente en un conjunto de programas sobrelos cuales construye (compilador, l igador,sistema operativo) y por tanto, un atacantedeterminadosólotienequebajarlosuficienteparaplantar un troyano.
Desconfiando del DRE… y de lo demás
Expertos en seguridad informática no tardaronen señalar diversas fallas elementales en el votoDRE; la principal, la confiabil idad. Si los votosúnicamente son grabados en la memoriaelectrónica ¿Cómo puede asegurarse quereflejen fielmente el sentido del voto de cadaindividuo? O puesto de otro modo, ¿cómo podríaasegurarse un recuento de los votos en caso deser necesario?
La respuesta no se hizo esperar: A cada votoemitido, sería impreso un comprobante o testigodel voto, mismo que serviría para contar los votosmanualmente en caso de impugnación. Este
28
UN
AM
CER
T
que hacían (a menos de dos meses del procesoelectoral) replantearse si se emplearían o no .EnelDistritoFederal, la implementacióndeurnaselectrónicas licitadas a la misma empresa quelas provee en Jalisco fue rescindida, en parte,por haberse encontrado 28 fallas .
¿Un simulacro exitoso aseguraría queno habrá fallas el día de la elección?¡De ninguna manera!
Por restricciones de espacio, en este textoapenasme ha sido posible arañaralgunos de lospuntosmás notorios del voto electrónico yde porqué, comprendiendo puntos básicos deseguridad en cómputo yestando conscientes dela gran importancia que tiene el voto dentro deun sistema democrático representativo, como elque aspiramos tener en nuestro país, resultaimposible confiar en que las urnas electrónicasresuelvannuestrosproblemasdeconfianza,muypor el contrario.
Se ha hablado de emplear al voto electrónicopara resolver otros problemas, como el del costoo la agil idad de la transmisión de resultados.Estos puntos pueden desmenuzarse ydescartarse con todavía mayor facil idad que elaquí presentado.
Si este breve artículo resultó de su interés, lesinvito a leer el artículo publicado a fines de 201 1 ,así como el abundante material que al respectoha generado la Fundación Vía Libre (Argentina),destacando el l ibro Voto electrónico: los riesgosde una ilusión, publicado en 2009 .
Referencias
1 Reflections on Trusting Trust, Ken Thompson,
Communications of the ACM, Vol. 27, No. 8, August 1984,
pp. 761-763
2 Urnas electrónicas: con imprimir el voto no alcanza,
FedericoHeinz,FundaciónVíaLibre,septiembrede2010;
http://www.vialibre.org.ar/2010/09/12/urnas-
electronicas-con-imprimir-el-voto-no-alcanza/
3 Machine Casts Phantom Votes in the Bronx, Invalidating
esquema es conocido como VVPAT (Voter-verified paperaudit trai l , rastroauditableen papelverificado por el votante).
Si bienhasidoaceptadopornumerosossistemaselectorales en el mundo, sigue sin ser suficiente.Como sugiere Federico Heinz , hay variosesquemas que podrían reventar una eleccióncon este planteamiento. Por ejemplo, si laspersonas interesadas en sabotearunaurna, trasvotar, reclaman ante la mesa de autoridadesindicando que la urna registró un voto contrarioa lo que se le solicitó, podrían llevara laanulaciónde todos los sufragios emitidos por dicha urna,dado que son potencialmente ilegítimos.Por otro lado, podría presentarse nuevamenteel escenario que se dio en la ciudad de NuevaYork en 201 0 : Al calentarse las urnaselectrónicas, se emitían votos aleatorios porerror. Se estima que esto pudo haber invalidadohasta el 30% de los votos efectivos dealgunas mesas.
La futilidad de los simulacros
Este 201 2, el principal proyecto deimplementación de voto electrónico en Méxicoserá en las elecciones locales del estado deJalisco. Unode losmuchospuntospreocupantesde este ejercicio es que, como pruebas previasa la instalación de más de mil urnas electrónicasen dos distritos electorales y un municipio, lasúnicaspruebasdeconfiabil idad disponiblesparaser analizadas públicamente son cincosimulacros.
¿Qué puede comprobarse en un simulacro?Que en el mejor de los mundos posibles y sinninguna intencionalidad maligna, las urnasfuncionen como dicen funcionar. En caso dehaberalgún componentemalicioso en las urnas,es del total interés de quien lo haya sembradoque no cause ningún comportamiento inusual(parano perdersu agente encubierto sin obtenerlaventajaque le l levóaintroducirlo). Unsimulacrobusca demostrar que, bajo condicionescontroladas, la elección no colapsa. Lo peor delcasoesqueen este sentido, 3 de los4simulacrosque habían ocurrido hasta la fecha en que estedocumentofueescrito, registraronfallosdiversos
29
UN
AM
CER
T
Real Ones: Report, The Empire, mayo de 2012;
http://www.wnyc.org/blogs/empire/2012/may/09/reports-
find-machine-errors-led-uncounted-votes-2010/
4 Pide diputada que IEPC esté listo a llevar a cabo elección
tradicional,ZairaRamírez,El Informador,8demayode2012;
http://www.informador.com.mx/primera/2012/374801/6/pi
de-diputada-que-iepc-este-listo-a-llevar-a-cabo-eleccion-
tradicional.htm
5 Urnas electrónicas tienen 28 fallas: IEDF, Jonathan
Villanueva, El Universal, 13 de abril del 2012;
http://www.eluniversal.com.mx/ciudad/111073.html
6 Voto electrónico: ¿Quién tiene realmente la decisión?,
Construcción Colaborativa del Conocimiento (IIEc-UNAM),
Gunnar Wolf, 2011;
http://seminario.edusol.info/seco3/pdf/seco3_apend3.pdf
7 Fundación Vía Libre — Voto electrónico
http://www.votoelectronico.org.ar/
8 Voto electrónico: los riesgos de una ilusión, Fundación
Via Libre, 2009; http://www.vialibre.org.ar/wp-
content/uploads/2009/03/evoto.pdf
30
UN
AM
CER
TRevista .Seguridad Cultura de prevención para TI
No.1 4 / Julio-Agosto 201 2 ISSN: 1 251 478, 1 251 477