María Paula Weblog

Predicciones en Seguridad para el 2010

mapu24 — Wed, 06 Jan 2010 18:16:23 +0000

El Doctor Jeimy Cano, Profesor de Cátedra de la Facultad de Derecho de la Universidad de los Andes, Colombia y Coordinador de la lista de Seguridad Informática en Colombia, denominada SEGURINFO, creada a través de la Asociación Colombiana de Ingenieros de Sistemas ACIS, profesional con una amplia experiencia en Seguridad de la Informacin, ha publicado una EVALUACIÓN DE LAS PREDICCIONES EN SEGURIDAD DE LA INFORMACIÓN PARA EL 2009 Y EL RIESGO DE LAS PREDICCIONES PARA EL 2010. Luego de leerlo pienso que además de dar varias pautas en temas de seguridad, nos permite corroborar muchas de las tendencias tecnológicas para el nuevo año. No es decnocido para nadie el auge de los ambientes virtualizados, la fortaleza de las redes sociales, así como la masificación de los servicios móviles y, de la mano con estos un extenso abanico de riesgos de seguridad para nuestra información, que deben ser reconocidos a tiempo y minimizados no solo a nivel tecnológico sino principamente a nivel cultural.

Les invito a leer este articulo y emitir sus comentarios al respecto.

Año nuevo…. vida nueva!!!!

mapu24 — Wed, 06 Jan 2010 17:59:22 +0000

Y no es solamente un viejo refrán, son los sentimientos que renacen en nuestros corazones en un nuevo año. Que la energía y la vitalidad sea la característica principal de este año, dejando atrás todas las dificultades del años que pasó y llevando con nosotros todas los aprendizajes que nos dejó.

Así que ha comenzar de nuevo con los anhelos e ilusiones que nos caracteriza. Qué no es tan fácil, si no lo es, pero creo que requiere de una gran confianza en nostros mismo y sobretodo en las capacidades que Dios nos ha dado.

Quiero citar un texto interesante que me llego por correo:

Los japoneses siempre han gustado del pescado fresco. Pero las aguas cercanas a Japón no han tenido muchos peces por décadas. Así que para alimentar a la población japonesa, los barcos pesqueros fueron fabricados más grandes para ir mar adentro.

Mientras más lejos iban los pescadores más era el tiempo que les tomaba regresar a entregar el pescado. Si el viaje tomaba varios días, el pescado ya no estaba fresco. Para resolver el problema, las compañías instalaron congeladores en los barcos pesqueros. Así podían pescar y poner los pescados en los congeladores.

Sin embargo, los japoneses pudieron percibir la diferencia entre el pescado congelado y el fresco, y no les gustaba el congelado, que, por lo tanto, se tenían que vender más barato.

Las compañías instalaron entonces en los barcos tanques para los peces. Podían así pescar los peces, meterlos en los tanques y mantenerlos vivos hasta llegar a la costa. Pero después de un tiempo los peces dejaban de moverse en el tanque. Estaban aburridos y cansados, aunque vivos.

Los consumidores japoneses también notaron la diferencia del sabor porque cuando los peces dejan de moverse por días, pierden el sabor fresco…

Y ¿cómo resolvieron el problema las compañías japonesas?

Y ¿cómo consiguieron traer pescado con sabor de pescado fresco?

Si las compañías japonesas te pidieran asesoría, ¿qué les recomendarías?

(Mientras piensas en la solución…. lee lo siguiente):

Tan pronto una persona alcanza sus metas, tales como empezar una nueva empresa, pagar sus deudas, encontrar una pareja maravillosa, o lo que sea, empieza a perder la pasión. Ya no necesitará esforzarse tanto. Así que solo se relaja.

Experimentan el mismo problema que las personas que ganan la lotería, o el de quienes heredan mucho dinero y nunca maduran, o de quienes se quedan en casa y se hacen adictos a los medicamentos para la depresión o la ansiedad…

Como el problema de los pescadores japoneses, la solución es sencilla. Lo dijo L. Ron Hubbard a principios de los años 50:

“Las personas prosperan más cuando hay desafíos en su medio ambiente”

Para mantener el sabor fresco de los peces, las compañías pesqueras ponen a los peces dentro de los tanques en los botes, pero ahora ponen también un tiburón pequeño!

Claro que el tiburón se come algunos peces, pero los demás llegan muy, pero muy vivos. ¡Los peces son desafiados! Tienen que nadar durante todo el trayecto dentro del tanque, ¡para mantenerse vivos!

Mi consejo es: Cuando alcances tus metas proponte otras mayores. Nunca debes crear el éxito para luego acostarte en él. Así que, invita un tiburón a tu tanque, y descubre que tan lejos realmente puedes llegar.

Unos cuantos tiburones te harán conocer tu potencial para seguir vivo y haciendo lo que mejor haces, de la mejor manera posible!!

Y si ya los encuentras en el tanque, déjalos que se muerdan entre si, que no te asusten sus dientes ni sus trampas… tu sigue alerta, pero siempre “fresco” porque siempre habrá tiburones a donde vayas…

NO PIDAS A DIOS QUE GUÍE TUS PASOS, SI NO TIENES LA INTENCIÓN DE MOVER TUS PIES…

feliz año nuevo 2010

Seguridad en Redes Sociales

mapu24 — Thu, 26 Feb 2009 15:57:26 +0000

Seguridad en Redes Sociales

El día jueves 19 de febrero del presente se dictó por parte de la Universidad Autónoma de México, el Primer Seminario de Seguridad Informática UNAM – Microsfot, el mismo que pudo ser seguido en la UTPL por medio del sistema de Videoconferencia de Internet2.

Del desarrollo de este evento, se pueden destacar algunas recomendaciones que los usuarios de la redes sociales debemos seguir para evitar que la información que manejamos sea un medio para que se comentan delitos informáticos.

Antes de tratar estas recomendaciones, es necesario recordar que una red es una forma de interacción social, definida como un intercambio dinámico entre personas, grupos e instituciones en contextos de complejidad, concepto que ha sido utilizado para el desarrollo de herramientas que permiten la interacción de diversas personas que se identifican en las mismas necesidades y problemáticas. Ejemplo de estas redes sociales son: Hi5, Facebook [1],delicious, LinkedIN, Flickr , Twitter y muchas más, muy difundidas entre los usuarios de Internet y cuyo uso avanza a pasos agigantados especialmente dentro de la Web 2.0.

El uso de las redes sociales ha tomado fuerza en diversos entornos, de manera especial en los educativos. Nuestra Universidad por ejemplo, realiza un uso extendido de las redes sociales como herramienta principal de la gestión del conocimiento, lo que ha permitido entre otras cosas, aumentar nuestra capacidad intelectual.

El gráfico representa una muestra del porcentaje de usuarios que hace uso de estas estructuras de información:

Pero ¿por qué hay que tener cuidado al ser parte de una red social?

Las ventajas de ser parte de estas redes son múltiples, sin embargo; aún cuando no seamos expertos en temas técnicos es muy importante tener en cuenta dos componentes: seguridad y privacidad, que juegan un papel importante cuando de redes sociales se habla, pues muchos usuarios confían en las redes sociales una gran cantidad de información personal que puede ser utilizada con fines ilícitos.

Del estudio publicado por OFCOM (Social Networking, A quatitative y qualitative research report into attitudes, behaviours, and use) en Abril del 2008, se puede destacar que en las redes sociales para adultos, un 48% configuró su perfil para que sea visto solamente por sus amigos, mientras que el 44% dijo que su perfil podría ser visto por cualquier persona.

-Entre el 41 y el 44% dejan las opciones de privacidad en “default” (por defecto)

- El 17% de los usuarios en general habla con gente que no conoce en la realidad. Más entre los 16 y 24 años. El 35% habla con “amigos de amigos”.

- El 25% de usuarios registrados en redes sociales decían haber dejado datos personales en sus perfiles (teléfono, dirección postal, email, etc.…). Los adultos más jóvenes eran los que mostraban mayor tendencia a hacerlo.

De la conferencia, se pueden destacar los siguientes riesgos de seguridad:

- Predadores Sexuales, riesgo principalmente dirigido a los niños.

- Abusadores / Acosadores, quienes basan su actuación en información confidencial que pudieran ingresar los usuarios.

- Uso de la información publicada para realizar ataques de ingeniería social, mucha de esta información puede ser obtenida de diferentes redes sociales de las que un usuario es miembro, con lo cual el atacante logra tener un perfil completo de una persona.

- Ataques contextualizados, como el phishing[2] o el correo no deseado (SPAM), una vez que ha identificado los gustos o preferencias de los usuarios.

- Vulnerabilidad de Aplicaciones, debido a las aplicaciones de terceros que algunas redes conllevan a instalar: XSS, Widgets, etc.

Frente a estos riesgos potenciales, es necesario tener en cuenta algunas consideraciones:

- Usar contraseñas seguras, al menos 8 caracteres alfanuméricos y considerar tener al menos 2 o 3 contraseñas para los diferentes sistemas a los que accedemos.

- Manejar un perfil restringido, limitando el acceso a la información a los diferentes usuarios.

- No publicar información sensible del usuario.

- No compartir la lista de contactos.

- Evitar dar información que permite perfilarlos.

- Reducir la visibilidad de las acciones, es decir evitar notificar cualquier cambio o acción que usted realiza.

- No instalar aplicaciones de terceros desconocidas.

Es necesario que todos tomemos consciencia de estos riesgos, pues hoy en día nuestra información está disponible a través de diversas fuentes, hay que tomar las medidas adecuadas y aprender a vivir con esta realidad.

Más información del evento puede encontrar aqui

mpespinoza@utpl.edu.ec

Grupo de Telecomunicaciones

[1] Se estima que en el 2009 tendrá 200 millones de usuarios.

[2] Técnica pretende dirigir a los usuarios a sitios falso para obtener datos confidenciales

Acerca de las Redes Trampa

mapu24 — Thu, 02 Oct 2008 20:47:21 +0000

Si bien es cierto hoy en día existe una gran cantidad de dispositivos, mecanismos y herramientas útiles para asegurar nuestras redes y los datos que por ella circulan, no es menos cierto que las técnicas utilizadas por la comunidad “Black Hat” se incrementan notablemente, poniendo en notable desventaja a firewall, ids, antivirus, etc.

Una tecnología que es muy utilizada actualmente con fines investigativos y comerciales son las Honeynet o Redes Trampa, promovidas desde 1999 a través del proyecto The Honeynet Project.

Una Honeynet tiene como objetivo atraer a la Comunidad ”blackhat” simulando ser sistemas reales débiles o vulnerables a los ataques, ésta tecnología permite recoger información acerca de los atacantes, técnicas y herramientas utilizadas así como advertir a los administradores sobre los intentos de ataques a redes de sus dominios con fines proactivos. Tiene como filosofía la de “Conocer a tu enemigo” lo que ayudará a los administradores y a los entendidos en seguridad a adoptar mecanismos adecuados de protección frente a los procesos que realizan los atacantes.

“Mi comandante me solía decir que para protegerte a ti mismo contra el enemigo, primero debías conocer quien era tu enemigo.

Esta doctrina militar se aplica fácilmente al mundo de la seguridad en red. Simplemente como los militares, tienes una información que intentas proteger. Para ayudar a la protección de estos datos, necesitas saber quiénes son tus enemigos y cómo te van a atacar.

Si tu o tu organización tiene cualquier terminal conectado a Internet, este enemigo irá a por ti.”

(The Honeynet Project. Conoce a tu enemigo. Las herramientas y metodologías del Script Kiddie”. Julio, 2000.)

Existen diversos capítulos del proyecto Honeynet a nivel internacional, en el Ecuador el proyecto ha comenzado a marchar y sus avances los podemos conocer en el sitio Honeynet Ecuador.

Eventos Internacionales de Seguridad

mapu24 — Wed, 09 Jul 2008 20:36:05 +0000

Realizando algunos contáctos pra definir la linea de investigación de Seguridades, me he encontrado con varios eventos y talleres internacionales que son de gran interés en seguridad.

Uno de ellos es ESORICS, que es un simposio para tratar temas investigativos en seguridad en cómputo. El CSFW es otro evento que se realiza para compartir los resultados de investigación en esta linea, se inició como un workshop de la IEEE y actualmente es un congreso anual. Los nuevos avances sobre detección de intrusiones pueden ser discutidos en el RAID que se viene realizando desde 1998 y en este año tiene su sede en Cambridge, Massachusetts, USA. Otra conferencia muy reconocida a nivel mudial es la CSI que es un evento anual que gira en torno a temas de seguridad y finalmente, RECSI, que es un capítulo dedicado a Criptología y Seguridad de la Información

Además, hay Talleres como el WISPT que se realiza por segundo año consecutivo en España. WOSIS es otro workshop que va por su sexta edición. La Universidad de Australia también presenta el NSS que es un workshop internacional sobre Redes y Sistemas de Seguridad. LACNIC tha incorporado como parte de su asamblea anual un Foro de Seguridad en Red.

El tema de criptología tiene mucho peso en otros países, debido a su importancia se están desarrollando algunos eventos como AMAC en España. Si desean conocer acerca de más eventos en este tema sugiero revisar el sitio de IACR.

Si alguien sabe de más eventos a nivel mundial, sería muy interesante agregarlo a la lista. Saber de estos eventos nos permiten entre otras cosas ver por donde va el tema de seguridad a nivel mundial y así validar lo que estamos haciendo.

Sobre Certificados Digitales

mapu24 — Wed, 09 Jul 2008 16:43:32 +0000

Luego de algunas evaluaciones de seguridad se ha aceptado la necesidad de contar con servicios de Internet Seguros, en los cuales entre otras cosas, se transmita información cifrada entre el origen y destino de la comunicación. Uno de los mecanismos utilizados hoy en día es la Implementación del Protocolo “Secure Socket Layer (SSL)” a través de certificados digitales.

El certificado digital es un documento electrónico que garantiza la identidad del titular permitiendo una gestión adecuada de las claves de cifrado y principalmente la confianza en los portadores de estas claves.

Como Autoridad Certificadora se conoce a las empresas u organismos encargados de emitir certificados luego de verificar la identidad de quiénes lo solicitan. Existen algunas empresas certificadoras como VeriSign, Thawte, Entrust, entre otras a nivel mundial. En el caso de Ecuador aún existen algunas solicitudes en trámite ante el CONATEL para obtener el permiso y funcionar como autoridad certificadora.

Al momento de adquirir un certificado es necesario tener clara la aplicación del mismo y el tipo de información que se va a proteger, pues dependiendo de esto se puede seleccionar una variedad de soluciones que ofrecen los proveedores. Entre los parámetros a considerar para ésta selección están: empresa (este es un punto determinante en el costo de la solución), número mínimo y máximo de bits utilizados para la encriptación, método de autenticación que se utiliza (generalmente suele ser basado en dominio pero pueden considerarse factores adicionales), garantía (que es un valor monetario alto que ofrece pagar la empresa si la seguridad que ofrece su certificado fuera vulnerada), el soporte que ofrece la empresa en la región y finalmente el costo (suelen existir paquetes cuando se requieren varios certificados).

En la fase de compra hay que tener en cuenta algunos pasos importantes. Aquí una guía que provee Thawte para la adquisición. Ésta variará ligeramnte entre una y otra solución o empresa.

Voz y video sobre IP

mapu24 — Tue, 10 Jun 2008 21:50:59 +0000

El aumento de ancho de banda debido a la constante baja de precios de
hardware y mejoras en software, ha permitido que Internet tenga cada vez
más contenido enriquecido, fotos, videos, audio y otras aplicaciones.

Sin embargo, para el envío y recepción de vídeo y su transmisión a
través de web se consideran algunas caracteristicas: compresión (mpeg),
pixeles, codificadores (codecs), digitalización.

¿Qué criterios utiliza el sitio de Youtube y la aplicación de Skype para
el envío y recepción de contenido enriquecido ?

Caching de Páginas Web

mapu24 — Wed, 04 Jun 2008 16:11:49 +0000

Uno de los principales objetivos de los administradores de red es ofrecer a los usuarios un acceso rápido a los contenidos. En éste sentido se han desarrollado muchas soluciones a nivel de hardware y software que permiten realizar caching de los sitios web.

Analice las ventajas y desventajas de estas soluciones, cómo funcionan e investigue al menos 2 soluciones en software y dos en hardware.

En LACNIC XI

mapu24 — Thu, 29 May 2008 14:37:23 +0000

Luego de un viaje bastante agotador llegamos a la bonita ciudad de Salavador de Bahía el Lunes 26 de Mayo, aproximadamente a las 22:30 Brasil, 08:30 Ecuador.

Participamos en el evento el día martes. Mi primera impresión los asistentes son muchos y personas de un muy buen nivel técnico!!! Diversidad de empresas: educativas, financieras, ISP´s, Universidades: no tantas como pensaba y no hay muchos ecuatorianos pero estamos en el sexto lugar de asistencia al evento.

Martes: Reunión NAPLA, NAP´s de latinoamérica

Miércoles: Evento de Seguridad, en el cual tuvimos la oportunidad de presentar el resultado de dos proyectos que se han realizado en el tema de seguridad: Implementación de una Herramienta SIM en la UTPL y Seguridad en la Red Inalámbrica de la Red de un Campus Universitario.

Además de las presentaciones el Evento ha servido para mirar por donde va la investigación en la línea de seguridad en latinoamérica y muchos de ellos están en torno al estudio de tráfico de generado por SPAM y ataques de seguridad, esto permitirá reorientar los proyectos que estamos desarrollando.

Ya subiré algunas imágenes del evento aunque en el sitio web de LACNIC, pueden encontrar muchas.

Sobre Google Apps

mapu24 — Fri, 23 May 2008 16:00:57 +0000

Uno de los servicios de Internet más difundidos en la actualidad es el de Correo electrónico, servicio que una gran cantidad de empresas tiene implementado en sus organizaciones.

Sin embargo, surgen nuevas soluciones que permiten a las empresas tercerizar el mismo. Una de las soluciones es la propuesta de Google a través de Google Apps.

Es necesario entonces realizar un estudio del mismo: en que consiste, cómo funciona y las principales características de operación y seguridad y, sobretodo las ventajas y desventajas que representa para las organizaciones delegar la gestión de este servicio a terceros.

Vamos a discutir y evaluar los puntos de vista de cada uno