Blog de la Seguridad de la Información

Gestión de riesgos en la cadena de suministro TIC

2012-05-23T11:15:30Z

Cada vez es más habitual ver en la misma frase los conceptos ’cadena de suministro’ y ’servicios TIC’ y es que, desde la explosión de la informática en la nube, los servicios TIC cada vez son más asimilables a un suministro más de la propuesta de valor de cualquier cadena de producción que podamos pensar. De hecho, cada vez somos más, los que al hablar, sobre todo, de los servicios IaaS y PaaS, pensamos en ellos como la electricidad del siglo XXI.

En esta línea, llamó mi atención un informe realizado por la Oficina de Contabilidad del Gobierno de los EE.UU. (GAO, por sus siglas en inglés, Government Accountability Office) titulado "IT Supply Chain - National Security Related Agencies Need to Better Address Risks" publicado el pasado mes de marzo. El objetivo de la auditoría cuyas conclusiones comentaremos más tarde era identificar:

Los riesgos fundamentales asociados a las cadenas de suministro empleadas por las agencias federales para adquirir equipamiento, software y servicios TIC;
El grado hasta el que las agencias seleccionadas (las relacionadas con la seguridad nacional - Energía, Interior, Justicia y Defensa) consideraban los riesgos en las cadenas de suministros TIC; y
Hasta qué punto dichas agencias habían determinado si sus redes de telecomunicaciones incluían equipos, software o servicios desarrollados por extranjeros.

En primer lugar, me gustaría resaltar el propio hecho de que exista este informe que, por cierto, se inició en… ¡¡noviembre de 2010!! Es decir, que algunos ya están preocupados por este tema desde hace dos años aproximadamente. De hecho, la GAO no solo piensa en los servicios TIC, sino que también está pensando en la fabricación, ensamblaje y distribución de hardware o software y que, en la medida en la que las agencias federales dependen de estos productos o servicios para la ejecución de sus misiones, la seguridad de los proveedores se convierte en crítica para garantizar la seguridad nacional.

En segundo lugar, las principales amenazas que la GAO identifica en la cadena de suministro TIC:

Instalación de lógicas maliciosas en hardware o software.
Instalación de falsificaciones de hardware o software.
Fallos o trastornos en la producción o distribución de un producto o servicio crítico.
Dependencia de proveedor de servicios malicioso o no capacitado para la realización de servicios técnicos.
Instalación de vulnerabilidad no intencionadas en hardware o software.

Me parece muy apropiado este enfoque a la hora de pensar en los riesgos que supone la provisión por terceros de servicios TIC, puesto que nos posiciona en un plano en el que podemos analizar, desde una perspectiva operativa los riesgos informáticos.

En tercer lugar me gustaría destacar que, por una vez, hay asuntos en los que no tenemos que envidiar en materia de seguridad a los EE.UU., puesto que ellos cuentan con dos normas fundamentales para la seguridad federal, las normas FIPS 199 y 200, mientras que nosotros contamos con "nuestro" Esquema Nacional de Seguridad.

Finalmente, mencionaría las propuestas recogidas en el documento para gestionar este riesgo:

Revisiones previas de los proveedores, utilización de almacenes y transportes seguros y emplear análisis independientes de los productos y servicios (según se recoge en el requerimiento SA-12 de la NIST SP 800-53).
Procedimientos para evaluar las amenazas de los proveedores potenciales de componentes críticos de los sistemas (maximizar la visibilidad).
Procesos para detectar la ocurrencia, reducir su probabilidad y mitigar las consecuencias de productos falsificados o con componentes maliciosas.
Mejoras en las pruebas de detección de vulnerabilidades, incluyendo soluciones automatizadas.
Seleccionar lenguajes de programación y herramientas que contrarresten las debilidades.
Reducir los riesgos durante las actualizaciones de software y la gestión de parches.

Estas actividades implican la necesidad de:

Recursos suficientes para las actividades de gestión de riesgos en la cadena de suministros TIC;
Un gobierno adecuado de estos aspectos;
Procesos y procedimientos para mejorar la confianza y reducir el riesgo;
Métodos contractuales y legales para evitar utilizar proveedores con demasiado riesgo; y
Revisar las políticas para considerar la gestión de este riesgo.

Como decía, me parece un enfoque muy a tener en cuenta para el futuro… ¿qué opináis vosotr@s?

(Puedes dejar tus comentarios en el espacio reservado en este blog, en el correo electrónico observatorio@inteco.es, o a través de los perfiles @ObservaINTECO en redes sociales Twitter y Facebook).

Botnets: un negocio floreciente

2012-05-14T08:45:36Z

Uno de los incidentes de seguridad más destacados en lo que va de año ha sido la infección de más de 600.000 equipos informáticos que contaban con el sistema operativo Mac OS mediante el uso del troyano Flashback.

Detrás de este incidente hay un claro propósito: el lucrativo negocio que puede suponer para los ciberdelincuentes la explotación de la información almacenada en los equipos infectados. Por otro lado, qué duda cabe, que además ha logrado terminar con la imagen de seguridad y robustez que hasta ahora era una de las enseñas del sistema operativo de Apple. En el momento que ha aumentado la masa crítica de potenciales víctimas, los Mac también se han convertido en objetivo de estos ataques masivos.

Pero, ¿cómo han conseguido comprometer a más de medio millón de ordenadores? A través de una botnet.

Para los que no estén familiarizados con el término, una botnet o red de “ordenadores zombis” es el conjunto formado por equipos infectados por un determinado malware que permite al atacante controlar dicha red de forma remota. Generalmente, los propietarios de estos ordenadores no se percatan del ataque.

Desde 2006 (año en el que comenzaron a ser un fenómeno destacable), las botnets han crecido en número e influencia. Más aún, si bien los sistemas operativos de Windows eran los principales afectados hasta hace no mucho, la distribución de troyanos disfrazados de aplicaciones Mac cada vez es mayor.

Desde la empresa de seguridad Check Point Software Technologies se afirma que una cuarta parte de los ordenadores personales conectados a Internet forma parte de una red de drones o zombis. Algunos ejemplos de la magnitud que pueden llegar a alcanzar estas redes han sido la botnet “Mariposa” (que en 2010 llegó a controlar 13 millones de equipos), la botnet “TDL” (con 4,5 millones de zombis en 2011) o la botnet “Rustock” (que con 2, 4 millones de equipos, en marzo de 2011 generaba diariamente miles de millones de correos basura).

En esta evolución y magnitud influye directamente la rentabilidad que se obtiene de la información almacenada en los equipos controlados, no sólo de naturaleza financiera, sino también de carácter general. Por ello, organizaciones de cibercriminales cada vez mejor preparadas suelen estar detrás de estas botnets, e invierten conocimiento, tiempo y recursos para crear redes zombis cada vez más sofisticadas, que reportan millones de euros a través del envío de correo basura (spam), ataques de denegación de servicio (DoS) para la extorsión a empresas, o la venta de la información sensible obtenida. Incluso, una vez creada, llegan a vender la propia red zombi a terceros para que sean otros los que la exploten. Volviendo al ejemplo inicial, se estima que la botnet basada en Flashback ha generado más de 7.700 euros diarios mediante el “fraude de click”.

Para evitar que tu equipo se convierta en un zombi y que terceros malintencionados puedan lucrarse con tu información, te ofrecemos a continuación pautas que permiten reforzar la protección de equipos y sistemas frente al malware:

Crear cuentas de usuario sin privilegios, diferenciadas de la cuenta de administrador, puesto que las acciones que pueden ser llevadas a cabo por otro usuario o por algún tipo de código malicioso en una cuenta sin privilegios están acotadas.
Mantener actualizado con los últimos parches de seguridad (modificaciones realizadas en un programa para solucionar vulnerabilidades) tanto el sistema operativo como los programas instalados en el equipo, incluyendo el antivirus.
No ejecutar programas ni abrir documentos que no hayan sido solicitados, aunque provengan de una fuente en la que se confíe.
Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la Red. Esto se puede hacer visitando frecuentemente webs especializadas, o a través de suscripciones a boletines de seguridad, como por ejemplo, los disponibles en la sección de INTECO-CERT.

También puedes ampliar la información sobre el concepto, manifestaciones de los ataques y recomendaciones en el artículo Botnets, ¿qué es una red de ordenadores zombis?

No dejes de enviarnos tus comentarios a este blog, a nuestro correo electrónico observatorio@inteco.es, o a través de los perfiles @ObservaINTECO en redes sociales (Twitter y Facebook).

Que no te salga cara la campaña de la Renta 2011

2012-05-03T07:26:55Z

En seguridad de la información, existen una serie de eventos anuales que son la excusa perfecta para la propagación de spam o correos basura. Así, tras un mes de marzo protagonizado por el día de San Patricio, la Pascua o el nuevo modelo de iPad, abril suele estar protagonizado por envíos de este tipo que se refieren a la campaña de la Renta de 2011 como principal excusa. Con este post queremos que estés alerta ante el spam y evites impactos negativos más allá de la publicidad molesta, como una posible infección por malware o un ataque de phishing.

Para ponernos en situación, el spam es todo correo no deseado recibido por el destinatario (en el ámbito del correo electrónico personal, blogs, foros y grupos de noticias), procedente de un envío automatizado y masivo por parte del emisor. Esta es una práctica ampliamente extendida en Internet: según Kaspersky, el spam en marzo ha alcanzado el 75% del total del tráfico de correo, dato que está en línea con el 76,5% declarado por los internautas en el último informe disponible del Observatorio, relativo al 2º cuatrimestre de 2011.

El origen de estas comunicaciones se encuentra en países asiáticos (India, Indonesia, Vietnam, Corea, etc.) y de América del Sur (Brasil, Perú, Argentina, etc.), países que, de forma general, disponen de menor desarrollo normativo que proteja las comunicaciones electrónicas y en los que radican importantes mafias de spammers y ciberestafadores.

Evitar una supuesta estafa informática, mejorar las finanzas personales de forma fácil o publicitar diversos juegos de azar son los principales ganchos utilizados por estas comunicaciones publicitarias. Sin embargo, la simple publicidad suele llevar aparejada una finalidad maliciosa, como por ejemplo:

Una infección por malware, producida por ejemplo al descargar un archivo adjunto en el correo.
Un ataque de phishing que mediante técnicas de ingeniería social trata de dirigir a los usuarios a supuestas webs oficiales, e intenta engañarles para que proporcionen su información sensible, como credenciales bancarias y datos de tarjetas de crédito.

En todo caso, los atacantes cambian sus tácticas con frecuencia y aprovechan determinados acontecimientos que suscitan gran expectación entre los internautas. Para evitar que esta campaña de la Renta 2011, o el final de la liga, o cualquier otro acontecimiento de interés te salga muy caro, te proponemos unos sencillos consejos de seguridad:

Desconfía de los mensajes que prometen interesantes beneficios, generalmente desproporcionados.
No responder nunca a un correo electrónico no deseado, por muy realista que parezca.
Extrema las precauciones a la hora de pinchar en enlaces y direcciones web recibidas o incluidas en correos electrónicos. En caso de duda, verifica que la dirección web es la correcta o tecléala directamente en el navegador.
Se cauteloso respecto a los datos personales que proporcionas en la Red.
Actúa con prudencia a la hora de registrarte en sitios web no confiables y revisa los permisos que concedes en este proceso de registro.
Evita publicitar la cuenta de correo de manera directa en Internet.
Utiliza fórmulas como la copia oculta (Bcc, Ccc) cuando envíes un correo a una lista de direcciones conocidas, ya que respetarás la privacidad de tus contactos.
Nunca solicites ser eliminado de una lista de distribución de correo en la cual no te hayas inscrito previamente.
Utiliza varias cuentas de correo electrónico y empléalas en el entorno adecuado (laboral, personal, ocio…).
Aplicar normas básicas de seguridad en tus equipos y documentos: mantén actualizado, tanto el equipo como los programas instalados en él, especialmente las soluciones de seguridad.

Y, ante todo, no peques de incauto: usa el sentido común y desconfía de archivos adjuntos, enlaces y solicitudes de información que tus contactos o entidades y organismos oficiales no te harían en la vida real.

No dejes de enviarnos tus dudas y comentarios en el espacio habilitado en este post, o si lo prefieres, en el correo electrónico observatorio@inteco.es y en nuestros canales online de Twitter y Facebook (buscando @ObservaINTECO).

Crónica del Security Blogger Summit 2012

2012-04-20T13:00:49Z

Bajo la temática "Seguridad y privacidad, ¿estamos seguros en Internet?" profesionales de diferentes ámbitos y reputados blogueros relacionados con la seguridad de la información generaron ayer un interesante debate en el marco de la cuarta edición del evento Security Blogger Summit (http://securitybloggersummit.com/), organizado por la empresa de seguridad Panda. INTECO estuvo representado por Pablo Pérez San-José, gerente del Observatorio de INTECO. Desde este espacio agradecemos al organizador la invitación y nos permitimos hacer una crónica de este evento de referencia.

El debate se dividió en dos partes: la primera, centrada en las redes sociales como objetivo de los ciberatacantes, mientras que la segunda trató sobre los últimos cambios legislativos que afectan a la esfera de Internet y su impacto en la privacidad de los usuarios.

De forma más detallada, en relación al primer tema se pusieron sobre la mesa ideas como la relación directa que existe entre seguridad y privacidad en Internet y el papel del usuario como principal responsable de asegurar que la privacidad de los datos se mantenga bajo su control, acudiendo, en primer lugar, a la seguridad por defecto.

La divulgación de información personal sin un control efectivo y unas pautas de seguridad implica unos riesgos, al igual que sucede en el mundo real, pero que en este ámbito se intensifican. Estos riesgos afectan a adultos y menores, los primeros por su menor experiencia en las nuevas tecnologías y los segundos, por su mayor tendencia a realizar actuaciones de riesgo, principalmente en su entorno.

En este sentido, se constataba un aumento de casos de ciberbullying y fraude en Internet (según INTECO), así como de las denuncias por hackeo de perfiles de usuarios y correos electrónicos (según los representantes de GDT y del BIT).

Frente a esta evolución, desde esta entidad se ofrecía el dato positivo de la mayor preocupación del usuario por la visibilidad de su información personal (reflejado en la disminución del número de internautas que tienen parcialmente abierto su perfil, del 48% en 2008 al 8,6% en la actualidad).

Para cerrar esta primera parte, se reclamaba mayor proactividad por parte de los proveedores de servicios de redes sociales a la hora de realizar el seguimiento de delitos en estos canales.

Por su parte, el segundo tema de debate trató los recientes cambios legislativos introducidos por la Ley de Economía Sostenible, que propiciaron diferentes puntos de vista entre los ponentes en cuanto a la protección de la propiedad intelectual y la privacidad del usuario en Internet.

Frente al hecho del incontestable volumen de descarga de contenidos en Internet, los expertos apuntaban a la necesidad del un desarrollo legislativo más acorde con el tecnológico, de tal forma que se aseguraran los derechos de los usuarios de Internet así como de los creadores de contenido.

En conclusión, la actualidad e interés de los temas planteados mantuvo un intenso debate, que propició un gran seguimiento y participación del público a través de la red social Twitter (vinculado a la etiqueta #SBS12, que se convirtió en Trending Topic, o tema más seguido).

Si quieres aportar tus ideas o reflexiones sobre los temas del evento, te animamos a que utilices el espacio para comentarios del post, o si lo prefieres, el correo electrónico observatorio@inteco.es y nuestros perfiles @ObservaINTECO en Twitter y Facebook.

Crónica del virus de la policía

2012-04-17T16:09:35Z

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista." Con este mensaje, cientos de usuarios en España y Europa han visto cómo su ordenador se bloqueaba nada más arrancarlo. Con el logo de la policía española, este ransomware es una de las plagas más insidiosas de los últimos tiempos (al margen de SpyEye y Zbot).

Las primeras muestras aparecieron en julio de 2011, pero no tuvieron el impacto actual. Estas versiones eran relativamente simples, aunque ya se lanzaron en toda Europa. Las primeras apariciones se localizaron en Alemania, y más tarde se extendió a otros países de Europa (Italia, Gran Bretaña, Francia...). En la segunda mitad de 2011, no se observó demasiada actividad, si bien parece que, ante el éxito de esa primera versión, se decidió “detener el proyecto” para perfeccionarla y abarcar más usuarios.

Y finalmente, a finales de 2011, la plaga se extiende. Estas nuevas versiones son mucho más sofisticadas. No incluyen la imagen en su interior, sino que la descargan desde un servidor según la dirección IP de origen del infectado. El sistema pasa también a formar parte de una pequeña botnet que permite ser eliminada en remoto por el propio atacante, según le convenga.

Se observan cada vez más infecciones durante los primeros meses del año. Los foros de usuarios se inundan de comentarios sobre cómo deshacerse del virus, pero parece que existen diferentes variantes, y las instrucciones no son siempre válidas o exactas. Los usuarios coinciden en que "no han hecho nada" para infectarse. Consigue un alto nivel de infectados y notoriedad en medios de comunicación de toda Europa al usar la imagen de los cuerpos del Estado para amedrentar al infectado.

A finales de febrero aparece una nueva variante, que se aleja del resto en estética, pero con igual funcionalidad y temática: supuesto bloqueo del ordenador por orden de la policía. Tiene la particularidad de renombrar la rama del registro de Windows que se encarga de permitir el arranque en modo seguro (F8). Esta era la funcionalidad a la que la mayoría de usuarios acudían para poder desinfectar el sistema. A su vez, la versión "mainstream" del troyano comienza a utilizar diferentes ramas del registro para lanzarse en el inicio del sistema operativo y bloquearlo. Limpiar la infección se complicaba.

En marzo el malware comienza a usar una vulnerabilidad en Java muy reciente para distribuirse. Los usuarios con un Java no parcheado desde final de enero son vulnerables con solo visitar con cualquier navegador una página web manipulada. Normalmente se esconden en publicidades de páginas web de descarga de material multimedia.

Las variantes se suceden. Pareciera como si, diferentes bandas de atacantes, programaran de distintas maneras el troyano para adecuarlo a sus necesidades.

Los antivirus no se muestran muy eficaces. Las muestras se multiplican y las muy recientes suelen ser poco detectadas. Los atacantes trabajan de forma notable para eludir las firmas, consiguiendo que las muestras "frescas" pasen muy desapercibidas.

El virus continúa su evolución técnica. Cambia de estrategia y no usa imágenes, sino HTLM. También hay variantes que usan características poco conocidas de Windows para bloquearlo. Por último, comienza a destruir por completo el arranque en modo seguro, único "salvavidas" de muchos usuarios, que se ven incapaces de eliminar el malware si no es con otros métodos de recuperación más sofisticados.

Y el ataque continúa. La producción sigue y cada variante es diferente a la anterior, hasta el punto de que han añadido otros puntos de arranque como objetivo de bloqueo, como por ejemplo la carpeta de inicio. ¿Hasta cuándo se mantendrá esta ofensiva?

Hispasec ha publicado una herramienta para evitar, si no la infección, al menos que el malware (este y cualquier otro tipo) se instale en el inicio de Windows perpetuando la infección y permitiendo el bloqueo del equipo.

El salto a la nube… mejor con red

2012-04-10T16:44:19Z

En los últimos años asistimos con expectación al desarrollo de una propuesta tecnológica que parece centrar toda la atención tanto de la industria como de las organizaciones usuarias de los servicios de tecnologías de la información y la comunicación: el cloud computing.

El cloud computing consiste en la ubicación de la información y las capacidades de computación en la “nube” (cloud en inglés). Esta expresión trata de poner de manifiesto que se trata de un modelo tecnológico que permite ofrecer servicios informáticos (por ejemplo, aplicaciones software o almacenamiento de datos) a través de Internet, y por tanto accesibles desde cualquier lugar y desde cualquier ordenador o dispositivo móvil con conexión a la Red.

El objetivo es que el cliente no tenga que preocuparse por los detalles técnicos del hardware y el software, de los que se encarga el proveedor de cloud. Así, este modelo ofrece grandes posibilidades para empresas y administraciones, en términos de inversión, ahorro de costes, economías de escala, deslocalización, etc.

Los avances en la capacidad de procesamiento, conexión a Internet y dispositivos móviles junto a las importantes inversiones realizadas por las grandes empresas que dominan el panorama tecnológico mundial han propiciado la rápida evolución e implantación del cloud computing. Hasta tal punto que muchos usuarios ya disfrutan los servicios en la nube sin darse cuenta. A pesar de su aparente novedad, en cierta medida el cloud computing viene usándose casi desde los inicios de Internet. Por ejemplo, las cuentas de correo que los usuarios llevan años utilizando (Hotmail, Yahoo, Gmail) se pueden considerar servicios “en la nube”, ya que permiten utilizar unas aplicaciones y almacenar cierta información sin necesidad de instalar un programa informático específico ni ocupar una parte del disco duro. Así pues, lo realmente novedoso es la incorporación de nuevas utilidades, como las aplicaciones ofimáticas en la nube y las mayores capacidades técnicas ofertadas.

La oferta de servicios en la nube puede prestarse en tres niveles: i) El modelo de Software como Servicio o SaaS (por sus siglas en inglés, Software as a Service), que consiste en ofrecer programas informáticos online sin necesidad de tenerlos instalados en un equipo en concreto y pudiendo adaptar el pago de derechos de uso a las necesidades del día a día del cliente. ii) El modelo PaaS (Platform as a Service), que pone a disposición del usuario una plataforma completa, como por ejemplo puede ser la necesaria para la gestión de una página web. iii) Y el IaaS o de Infraestructura como Servicio, que ofrece una infraestructura de procesamiento completa con uno o varios servidores virtuales en la nube. Así, en unos minutos, una empresa puede, por ejemplo, aumentar el tamaño de disco duro para obtener mayor capacidad, sin necesidad de hacer ninguna inversión en máquinas y pagando solamente por los recursos utilizados.

Todas estas alternativas suponen una serie de ventajas evidentes. Por un lado permiten el pago por uso, implicando un ahorro de costes al no tener que mantener programas de software cuyo uso es ocasional y al evitar la infrautilización de los recursos. Por otro lado, este modelo permite ampliar o reducir las capacidades de computación (espacio de almacenamiento, accesos web gestionados, etc.) ante posibles cambios en las necesidades. Finalmente, cabe señalar que también implica un ahorro en los costes de mantenimiento.

Sin embargo, dar el salto a este nuevo modelo también implica una serie de riesgos, por lo que deben tenerse en cuenta a la hora de adoptar una decisión.

Por ejemplo, la posibilidad de acceso a la información desde cualquier conexión a Internet supone una ventaja, pero también abre la puerta a accesos no autorizados, incluso a que éstos se produzcan por error al poder compartir diferentes empresas un mismo servidor. Cabe señalar también como otro posible riesgo que este modelo supone una dependencia respecto al proveedor cloud, no sólo respecto al propio nivel de prestación del servicio, sino en otras materias como la legalidad o seguridad.

Para asegurar el éxito en la utilización de servicios en la nube y concienciar a las empresas sobre la importancia de estas cuestiones el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado la Guía para empresas: seguridad y privacidad en el cloud computing. Este documento además de incluir información sobre los diferentes niveles de nubes, se detiene en los aspectos de seguridad y privacidad así como en los riesgos a los que las empresas podrían estar expuestas, señalando qué medidas y buenas prácticas seguir para evitarlos y mitigarlos.

En este sentido, los pasos recomendados son realizar un análisis de necesidades y oportunidades para ver si el cloud computing es la solución idónea para nuestra empresa; decidir qué áreas de negocio, tareas e información deben gestionarse mediante cloud computing; estudiar cuidadosamente las distintas opciones existentes en el mercado. Finalmente, una vez elegido el tipo de servicio y proveedor, definir claramente a través del contrato la posición de cada una de las partes así como sus responsabilidades y obligaciones, asegurándose que la prestación del servicio contratado cumple una serie de características, tanto técnicas como jurídicas.

En el contexto económico actual las empresas tienen que buscar ser mejores y más eficientes, y para ello sin duda las tecnologías de la información y la comunicación juegan un papel fundamental, y entre ellas el cloud computing. Pero que los saltos, sean con red. Seamos emprendedores e innovadores, pero no imprudentes.

Seguridad en sistemas SCADA

2012-03-30T12:23:40Z

Hace unas semanas publicábamos los resultados del Estudio sobre la seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA) que ha realizado el Observatorio de INTECO.

Partiendo de una metodología fundamentada en entrevistas personales a profesionales y expertos en este campo, esta investigación aborda en profundidad aspectos como el grado de madurez de estas tecnologías, sus usos y beneficios o su marco regulatorio. Pero especialmente se centra en conocer los riesgos que pueden afectar a estos sistemas y las posibles buenas prácticas para la gestión de la seguridad de los mismos.

Los conocidos como SCADA son sistemas de monitorización y control en tiempo real, que permiten gestionar ciertos procesos que, por su complejidad, de otro modo serían ingobernables o al menos más costosos y difíciles de gestionar. ¿Cuáles son estos procesos? Se puede decir que prácticamente cualquier tarea compleja que se pueda imaginar, desde el control del agua embalsada en una presa hasta la climatización de un edificio, de la distribución eléctrica en todo un país hasta el funcionamiento de la maquinaria en una tintorería, de la gestión de una central nuclear a la producción de una almazara, una destilería o una planta farmacéutica. Incluso el funcionamiento de los ascensores en un edificio de oficinas o las escaleras mecánicas en un centro comercial pueden estar gestionados mediante sistemas SCADA.

Su funcionamiento se resume en la medición de una serie de parámetros y su comunicación a un centro de control, desde donde, en caso de ser necesario, se podrán enviar órdenes para que unos dispositivos actúen y los modifiquen. Los parámetros a seguir pueden ser diferentes en función del proceso gestionado, por ejemplo la temperatura y la presión en una caldera o la cantidad de productos en un contenedor. Las acciones ordenadas desde el centro de control también son diversas, por ejemplo abrir una válvula para reducir la presión, desembalsar agua en una presa o sustituir el contenedor para que la producción no acabe en el suelo.

Así pues, si por ejemplo en una destilería el sistema informa a los controladores de que la presión en una caldera está aumentando y llegando a ciertos límites, éste podrá ordenar al sistema liberar presión o bajar la temperatura en esa caldera en concreto, evitando posibles problemas.

Sus beneficios se centran en la simplificación de la gestión de estos procesos y en la mejora de la eficiencia. Un controlador podrá gestionar de manera más simple un proceso a través de estos sistemas al recibir toda la información instantáneamente y poder identificar las desviaciones no deseadas, pudiendo actuar para corregirlas. Esta simplificación ya implica una mejora en la eficiencia, pero las posibilidades de automatización que brindan los sistemas SCADA ayudan a que ésta sea mayor aún. De este modo, las respuestas a las variaciones más habituales y rutinarias pueden predeterminarse y automatizarse para que se realicen en el preciso instante en que sean necesarias e impliquen menores costos (energéticos, de calidad…). Mientras tanto, el supervisor vigilaría el correcto funcionamiento del sistema y actuaría únicamente en caso de incidencias menos usuales.

Si bien éstas son las características definitorias de los sistemas SCADA, en esta investigación se han detectado una serie de circunstancias concernientes a los mismos que afectan directamente a su nivel de seguridad.

El hecho de que estos sistemas inicialmente se diseñasen para que los procesos controlados no se interrumpieran bajo ningún concepto por los problemas que esto acarrearía (pensemos por ejemplo en la distribución de electricidad en una región o la potabilización de aguas en una ciudad), ha tenido como consecuencia que la seguridad no haya tenido la importancia que se desearía en su creación e implantación.

A esta priorización de la disponibilidad frente a la seguridad se debe añadir su concepción para trabajar en entornos aislados, sin conexiones externas, de tal modo que la seguridad podría limitarse en gran medida al acceso físico a las instalaciones. Pero actualmente ese aislamiento se ha roto mediante la conexión (directa o indirecta, consciente o inconsciente) con otras redes como Internet. A día de hoy, a pesar de que sus gestores puedan desconocerlo, es posible establecer una conexión entre un ordenador en cualquier parte del mundo y algunos sistemas SCADA que no se encuentran suficientemente protegidos.

Otro de los factores a tener en cuenta para evaluar la seguridad de los sistemas SCADA es su grado de actualización. Durante mucho tiempo no se ha considerado necesario actualizar estos sistemas a causa de los problemas que esto podría acarrear (esencialmente la interrupción de su funcionamiento si la actualización incorporase algún fallo o incompatibilidad), además de otras causas como el uso de software específico o su inicial aislamiento. De este modo, actualmente podemos encontrar sistemas SCADA cuyas vulnerabilidades son similares a las de los ordenadores domésticos de hace 10 años, ya que no se han aplicado en ellos las actualizaciones y mejoras que están disponibles desde hace tiempo para el resto de sistemas. Dicho de otro modo, si no se han actualizado los sistemas y su software, puede que haya equipos que gestionen procesos con las medidas de seguridad de hace 10 o hasta 15 años enfrentándose a las amenazas y riesgos de la actualidad.

Se podrían añadir otros elementos como la incorporación de tecnologías de uso generalista, el exceso de confianza en la seguridad por oscuridad (resumida en la concepción “si casi nadie sabe de esto casi nadie conocerá sus problemas y podrá aprovecharlos”), el desconocimiento del grado de interconexión con otras redes (“mi sistema SCADA no está conectado a Internet”, aunque sí a los equipos de oficina con conexión a Internet) o la minusvaloración de las amenazas (“quién me va a atacar a mí”).

Todas estas circunstancias abren las puertas a posibles incidentes de seguridad, desde una infección por malware hasta un acceso no autorizado o una falsificación de sus comunicaciones. Las consecuencias que podrían tener estos incidentes también son de diferentes envergaduras.

Las más importantes serían las que afectasen a los SCADA que controlen las denominadas Infraestructuras Críticas, ya que se trata de sistemas cuya paralización supondría graves problemas para el conjunto de la sociedad (hablamos en este caso de la producción y distribución eléctrica, la potabilización de aguas, la gestión de los transportes…). En este caso el CNPIC ya ha puesto en marcha los mecanismos necesarios para la protección de estas infraestructuras.

Pero existen muchos otros SCADA que, no gestionando Infraestructuras Críticas, en caso de no funcionar correctamente, o ser controlados por un atacante malintencionado, podrían generar graves problemas. Es el caso de buena parte de los procesos industriales, ya que su mal funcionamiento podría afectar a la seguridad física de las personas (pensemos en industrias que utilicen productos químicos o simplemente calderas que soporten altos niveles de presión). En otros casos, los procesos productivos gestionados no pondrían en riesgo la seguridad física de las personas si fueran gestionadas de manera malintencionada, pero sí podrían suponer unas pérdidas importantes para las empresas (por ejemplo una almazara que pudiera perder su producción porque un atacante decide liberar el aceite almacenado).

Finalmente, existen otros procesos que se gestionan mediante sistemas SCADA y cuya peligrosidad en caso de ataque podría considerarse menor a primera vista. Se trata de servicios e infraestructuras básicas presentes en multitud de edificios e instalaciones y se ejemplifican claramente en los sistemas de climatización o la gestión de los ascensores y escaleras mecánicas. En estos casos, a pesar de que las consecuencias de un ataque se podrían considerar menores (ascensores bloqueados o altas/bajas temperaturas en una oficina), no se debería considerar así. Ejemplo de ello serían las escaleras mecánicas de un centro comercial que llegasen a ser controladas por un atacante malicioso, deteniéndolas y poniéndolas en marcha bruscamente y pudiendo generar caídas y contusiones a quienes las estuvieran utilizando en ese momento.

Lo hasta aquí expuesto, junto a otros resultados de la investigación, pone de manifiesto la necesidad de protección de este tipo de sistemas.

Con esta finalidad INTECO se ha dedicado a la búsqueda y exposición de posibles soluciones, medidas de seguridad y buenas prácticas aplicables con el fin de mitigar y evitar estos riesgos. Todo ello se ha plasmado, en un documento adicional: la Guía para empresas: seguridad de los sistemas de monitorización y control de procesos e infraestructuras (SCADA), dirigida a todas aquellas empresas que cuenten con sistemas SCADA y en la que se exponen estos problemas y las soluciones propuestas, utilizando para ello un lenguaje sencillo y con una vocación eminentemente pedagógica y práctica.

Incidentes de terceros

2012-03-20T16:41:47Z

Estos últimos días, en los foros de seguridad ha sido muy comentada la noticia de que un partner de seguridad de Microsoft ha publicado un exploit para una vulnerabilidad crítica. Básicamente, lo que ha ocurrido es que el descubridor de dicha vulnerabilidad la notificó a Microsoft junto con una prueba de concepto que la explotaba, que a su vez Microsoft distribuyó a su red de partners de seguridad (fabricantes de antivirus, IDSs, etc.) con el fin de que fueran preparando las contramedidas correspondientes, y uno de esos partners ha sido la fuente de la filtración, lo que hace que el exploit esté disponible públicamente a todo Internet.

Lo que quiero analizar en este post no es el resultado de este incidente, sino el hecho en sí de que un incidente de seguridad de un tercero afecte a tu negocio. ¿Qué medidas de seguridad se pueden adoptar para prevenir y/o mitigar este hecho?

En primer lugar, es evidente que el requisito mínimo es tener regulada contractualmente la relación. Más allá de la legislación de cada país, es evidente que si no disponemos de un contrato que regule las responsabilidades de cada parte, difícilmente podremos transferir el riesgo derivado de un posible incidente de seguridad a nuestro partner. No obstante, tener un contrato no es suficiente. Dicho contrato tendría que contemplar específicamente las responsabilidades derivadas de un posible incidente de seguridad, y este aspecto no es en absoluto trivial, ya que requiere definir algo tan genérico, hipotético o imprevisible como un incidente de seguridad, y determinar, en función de las nuevamente hipotéticas consecuencias de dicho incidente, las responsabilidades asociadas.

Sin embargo, ni siquiera con tener contractualmente regulado este aspecto sería suficiente. ¿Cómo asume la parte contratada las responsabilidades definidas? Las consecuencias no tienen por qué limitarse a un servicio no prestado, sino que el contratante puede argumentar lucro cesante, pérdida de imagen, incumplimientos legales o regulatorios... ¿Puede asumir la parte contratada una indemnización que satisfaga todos esos aspectos? En el mundo anglosajón se empiezan a contratar seguros específicos que cubran estas casuísticas, pero ni es una práctica generalizada ni prácticamente aplicada en el mercado español.

Aun en el caso de que realmente exista un seguro, ¿cuál es la prima que requiere su contratación? El importe puede ser muy variable, y potencialmente elevado, aunque parece lógico pensar que dependerá de la probabilidad real de que realmente ocurra un incidente de seguridad.

¿Cómo se puede "estimar" esta probabilidad de ocurrencia? Como alguno de los lectores ya habréis adivinado, disponer de elementos de seguridad como un SGSI certificado o contar con diferentes dispositivos de seguridad técnica son factores que se tienen en cuenta a la hora de calcular dicha prima.

¿Y qué puede hacer la parte contratante? Por un lado, se puede entender que si ha llegado hasta aquí ha transferido adecuadamente el riesgo. Pero por otro lado, si aun así el incidente de seguridad se materializa, los daños los va a seguir sufriendo, aunque estén mitigados.

Llegados a este punto, lo que debería hacer el contratante es llevar a cabo una vigilancia activa del contrato. O dicho de otro modo, no sólo asegurarse de que el contrato contiene las cláusulas necesarias, sino verificar que se cumple: reuniones de seguimiento, solicitud de informes, auditorías... Y por supuesto, que el propio contrato contemple todos estos mecanismos.

Para acabar, sólo una pregunta. ¿Cuánto se aproximan vuestros contratos a estas recomendaciones?

Sobre el procedimiento de notificación de la sección segunda de la Comisión de Propiedad Intelectual

2012-03-12T11:59:30Z

En las últimas semanas diferentes colectivos como las asociaciones de usuarios, los abogados, la Asociación de Internautas y la Red de Empresas de Internet, entre otros, están manifestando sus protestas y quejas en relación al procedimiento de salvaguarda de los derechos de Propiedad Intelectual descrito en el Real Decreto 1889/2011. La causa es que dicha norma atribuye a un órgano administrativo (la Sección Segunda de Comisión de Propiedad Intelectual) competencias asignadas a los jueces por ley. Los afectados han acudido incluso a la vía judicial con la interposición y admisión de recurso contencioso administrativo ante el Tribunal Supremo.

Partiendo de este hecho, la reflexión que me gustaría compartir es sobre el ambiguo sistema de notificación descrito en la citada norma desde el punto de vista jurídico así como en la Orden ECD/378/2012 publicada 29 de febrero de 2012 por la que se establece la obligatoriedad para los interesados del uso de sistema electrónicos.

En relación a los sujetos obligados al uso de sistemas electrónicos

Respecto al uso de sistemas electrónicos para comunicarse con la Sección Segunda de la Comisión de Propiedad Intelectual y admitir notificaciones electrónicas, señalar que el legislador no ha exceptuado a nadie, es decir, ha incluido a todas y cada una de las personas que pueden estar legitimadas para iniciar el procedimiento así como a todos los responsables de los servicios de la sociedad de la información pese que ello pueda contradecir a lo dispuesto a la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en adelante LAE.

Si recordamos el contenido del artículo 27.6 de la LAE, éste permite establecer la obligación de comunicarse con las Administraciones Públicas sólo por medios electrónicos cuando los interesados se correspondan a personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o técnica tenga garantizado el acceso a los medios tecnológicos precisos.

Pues bien, considero que el legislador a través de la Orden ECD/378/2012 ha interpretado en sentido amplio la habilitación referida por cuanto que obliga al uso de medios electrónicos a todas las personas físicas – no a colectivos como dice la Ley – responsables de servicios de la sociedad de la Información contra los que se dirige el procedimiento. Por tanto, no entra a considerar y da por hecho que tienen garantizado el acceso de los medios necesarios (a diferencia de lo que establece para las personas físicas titulares de derechos de propiedad intelectual legitimadas para iniciar el procedimiento).

Por ello, aquel prestador de servicios de la sociedad de la información, sea persona física o jurídica, contra el que se inicie un procedimiento de restauración de la legalidad por vulnerar presuntamente derechos de Propiedad Intelectual deberá defenderse a través del uso de medios electrónicos y admitir la notificación por estos medios, sin disponer de otra opción.

¿Se puede considerar que todas las personas físicas responsables de servicios de la sociedad de la información son un “colectivo” en los términos que establece la LAE? Estoy segura de que en algunos casos se creará indefensión, ya que muchos no contarán con los medios que el legislador cree que cuenta solo por ser prestador de servicios de la Sociedad de la Información.

En relación a la práctica de notificaciones electrónicas

Respecto a la práctica de las notificaciones efectuadas por la Sección Segunda a los prestadores de la sociedad de la información contra los que se ha iniciado un procedimiento y los plazos de actuación me gustaría hacer las siguientes reflexiones.

El Real Decreto establece plazos reducidos (48 horas para la retirada voluntaria de contenidos en la fase de inicio del procedimiento y 24 horas en el momento de la resolución) para que el prestador atienda a los requerimientos notificados electrónicamente a través de la dirección electrónica habilitada. Ahora bien, si el legislador ha querido obligar a los interesados en un procedimiento de salvaguarda de los derechos de propiedad intelectual a recibir las notificaciones de forma electrónica, estas entiendo que se deberán regir en los términos que establece la LAE.

El procedimiento de notificación y los breves plazos de respuesta que se exigen al prestador se refieren desde la práctica de la notificación. Pues bien, en los términos de la LAE una notificación se entiende efectuada cuando el interesado accede al contenido de la misma, no desde el envío o la puesta a disposición.

De esta forma considero que la Sección Segunda, si no hubiera acceso al contenido de la notificación, se deberá esperar como mínimo diez días naturales para que se entienda rechazada la notificación por el prestador y entonces sí se tendrá por efectuado el trámite de la notificación siguiendo con el procedimiento, en este caso concediendo 24 o 48 horas según corresponda para que el prestador de servicios de la sociedad de la información actúe. Todo ello de conformidad con lo dispuesto en los artículos 28.3 de la LAE y el artículo 59.4 de la Ley de 30/92 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

En definitiva, habrá que esperar al pronunciamiento del Tribunal Supremo para conocer si la legitimación que ostenta la Sección Segunda de la Comisión de Propiedad Intelectual es adecuada conforme al Derecho, así como el procedimiento de la notificación a los prestadores de servicios de la sociedad de la información contra los que se inicie un procedimiento de salvaguarda de derechos de Propiedad Intelectual. En mi opinión, el legislador debería centrar sus esfuerzos en evitar y subsanar ambigüedades que puedan provocar frenos en el desarrollo de la Sociedad de la Información.

¿Qué sucedió y qué está por venir en seguridad y privacidad? #resumen2011 y #prospectiva2012 – Reflexión final de Dabo (@daboblog)

2012-03-09T09:25:30Z

Una vez publicadas las diferentes entrevistas mantenidas con los colaboradores del Blog sobre lo que ha acontecido en seguridad de la información y privacidad durante este último año (#resumen2011) y lo que está por venir en 2012 (#prospectiva2012), David Hernández - Dabo (@daboblog) concluye esta iniciativa realizando un resumen general de todo lo expuesto y presentándolo a modo de relator.

Esta entrada a su vez constituye la primera del recién incorporado colaborador, quien reparte su labor profesional entre varios proyectos: es fundador de Daboweb, co-fundador y responsable de Hacking Ético y Seguridad de la Información de APACHEctl, consultor y formador en diversas materias e intenso bloguero en DaboBlog, y DebianHackers. Sus servicios a nivel profesional están recopilados en DavidHernandez.

Esperamos que sus aportaciones os gusten tanto como a nosotros.

¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?

Primeramente, quería saludar a los lectores en mi primera colaboración aquí y aprovechar la ocasión, para dar las gracias a INTECO por la confianza depositada, además de poder hablar sobre algo que me apasiona, la Seguridad Informática, dentro de una plataforma de comunicación con tanta difusión. Todo ello, junto a grandes profesionales del sector a los que sigo y admiro desde hace muchos años. También, de alguna forma corresponder al gran trato recibido por INTECO-CERT en el pasado 5EBloggers del ENISE.

Sobre mi visión acerca de cómo viví el 2011 desde el punto de vista de la (IN) seguridad, puedo decir que estoy muy de acuerdo con el resto de compañeros del blog en los resúmenes que he estado leyendo desde principios de año. Dudas en el sector más profesional de la seguridad con ejemplos como lo sucedido con RSA, ataques masivos contra grandes corporaciones con la consiguiente pérdida de negocio y daños en su reputación, no ya "online", sino empresarial o bursátil, además de los sufridos por usuarios en medio de un "mar de ataques" donde la "navegación" o "mantenerse a flote", no ha sido algo fácil. Este pasado año, mucha gente supo lo que era un DDoS, se "certificó en pérdida de confianza" (DigiNotar por ej), además de hacer un curso rápido de cómo bajar de la nube y poner los pies en la tierra...

Como podemos ver, el 2012, empieza fuerte. Sirva como ejemplo reciente el ataque sufrido por Panda y todas las consecuencias derivadas del mismo. No sólo ya en cuanto a los daños causados por una intrusión de la que nadie está libre, sino también por la polémica suscitada tanto por la gestión del incidente, como los tiempos de respuesta. Bajo el prisma de mi día a día (los servidores / entornos web), preveo problemas similares, acrecentados por la excesiva necesidad de conectarse y sincronizar desde cualquier dispositivo o lugar, datos contra servidores y aplicaciones web que se ven muy expuestas desde múltiples vectores de ataque. Todo ello acrecentado por la actual moda de la computación en la nube que puede llevar al usuario a utilizar sistemas deficientemente implementados sobre los que su control es mínimo. En resumen, seguiremos viendo con una frecuencia mayor, escenarios en los que un simple usuario con un problema de seguridad común, puede más que nunca comprometer a toda una infraestructura empresarial. Cuando no hace tanto tiempo, quizás esa brecha no traspasaría las barreras "locales", pudiendo afectar quizás a una Intranet (nada menor desde luego), para ahora dejar expuestos datos tanto de la propia empresa, como de sus empleados, proveedores, clientes o usuarios que visiten su sitio web.

Quizás, cuando ves que un troyano alojado en el equipo de ese usuario con un nivel de acceso alto a un sistema web como el que anteriormente cito, sirva como ejemplo el "Gootkit ddos system" que ni es nuevo y se conoce como actúa ,además de ser reconocido en la gran mayoría de firmas de virus de cualquier solución anti-malware, es capaz de inyectar código "Javascript" en una url, capturar usuarios, contraseñas FTP, realizar o sufrir ataques DDoS, tu valoración cambia.

Estos días, podemos ver las consecuencias tanto de una política no muy transparente respecto a las actualizaciones / cambio de versiones por parte del desarrollador, así como los daños colaterales sufridos cuando quien tiene que aplicar los pertinentes parches de seguridad baja la guardia. Me refiero al caso de "Plesk", esa combinación de factores junto a una "industria del malware" cada vez más preparada, ha dejado comprometidos a miles de servidores web con intrusiones de un nivel de acceso "total". Alcanzan su objetivo buscado en la mayor parte de ocasiones de una forma automatizada, subiendo el "exploit" de turno a un servidor y llenando por ejemplo el directorio "/cgi-bin" de ficheros con extensión ".pl" o ".cgi", ejecutados tanto desde el programador de tareas en un sistema GNU/Linux, "cron" o desde el que tiene el propio "Plesk", convirtiendo a esa máquina, al igual que puede suceder en un PC de escritorio (o "combinado con", ese PC y el servidor web) en parte activa de una "Botnet", o pasarela de ataques DDoS, spam o difusión masiva de "malware" hacia otros sistemas, ves las cosas con otra perspectiva, la real y cómo lo vive el sufrido usuario final...

Podría poner muchos ejemplos sobre las pésimas configuraciones "por defecto" que suelo ver en muchos servidores web, la falta de actualizaciones y medidas de protección de sistemas operativos locales, remotos, móviles, además de gestores de contenidos o desarrollos propios que forman un "ecosistema de la seguridad", víctima más a menudo de lo deseable (o esperado) del llamado "factor humano" con un matiz, ahora esos riesgos se multiplican exponencialmente por cada dispositivo que accede a plataformas desde conexiones, dispositivos o protocolos cuya seguridad debe ser cuestionada "por defecto", como esas configuraciones las que aludo.

¿Se pueden apuntar tendencias para el 2012?

Posiblemente, este año 2012 si fuese el responsable de una PYME, me preocuparía más de la formación a mi equipo humano, la gestión integral de la seguridad y preparación frente a incidentes informáticos, que del tiempo consumido en mi empresa navegando por la Red Social de turno. La inversión en seguridad debería ser considerada como un activo en medio de tanto "ROI". Sí, no vende tanto como el Marketing, eso lo sabemos todos, pero te causará menos pérdidas a todos los niveles que "una mala campaña".