Segurinfo 2014: Cuando el tamaño no es todo (2a. parte)

ISO_SEGURINFO_COLOR09(Por Rubén Borlenghi, el Microsaurio) Este es el turno de la reunión plenaria de arranque de Segurinfo 2014, la 35a. Feria y Congreso Iberoamericano de Seguridad, de algunos (no todos) los tracks (porque a pesar de que eran menos que el año pasado, uno es uno solo ¿vio?), por ejemplo, el de Ciberseguridad y Ciberespionaje; también el de Riesgos en Cloud Computing, mucho de BYOD… y un llamado de atención sobre fotos non sanctas.

Terminado el panel de apertura, arrancó la reunión plenaria, donde Daniel Rojas, Gerente de Mercadeo para América Latina de Symantec, presentó su Panorama de amenazas y nuevos desafíos de protección en América Latina. Entre una cantidad de datos y estadísticas, elegí que los ataques dirigidos aumentaron más del 40% en un año, siendo una de las puertas de entrada a la red de una Gran Empresa la infiltración de un proveedor, que tal vez sea una PyME que dedica pocos recursos a proteger sus comunicaciones… pero tiene acceso autorizado a la red interna de la Gran Empresa; que en algunos casos las infiltraciones se descubren después de dos o tres años; y luego de sorprender a la audiencia preguntando “quiénes han oído hablar de Stuxnet”, indicó que el gran reto del BYOD es la mezcla de datos personales y datos corporativos que contienen estos superteléfonos. Y remató diciendo que el enfoque de seguridad debe rediseñarse, para adaptarse al cambiante accionar de los ciberdelincuentes.

 

Iniciados los “tracks” implementados en cinco salas, fui a escuchar “Ciberseguridad, Ciberespionaje, CiberRiesgos”, presentado por Inés Tornabene, Jefa de la Oficina de Registro, Centro de Protección de Datos Personales; César Cerrudo, CTO, IOActive Labs, y Pedro Hecht, Profesor Titular de Criptografía, Universidad de Buenos Aires (UBA). Cuando llegué, Tornabene afirmaba que sí se pueden proteger los datos personales, pero que el usuario de computadoras debe ser consciente de que su propio accionar puede exponer datos sensibles, dejándolos al alcance de personas malintencionadas (este es un terrible resumen del cual me hago cargo, de una presentación muy interesante). César Cerrudo, a quienes nuestros lectores recordarán como quien tenía como lema “Nosotros Rompemos Oracle” hace unos años y ahora es CTO de una empresa estadounidense de seguridad (!) señaló algunos mitos (“los ataques cibernéticos son muy caros”) y también que los objetivos de un ataque pueden ser políticos, comerciales o de venganza; habló sobre vulnerabilidades y recompensas (las empresas que pagan para que se les informe una vulnerabilidad de manera privada antes de publicarla) y que con el tema de la “Internet de las cosas” cada vez crece más la superficie de ataque.

El profesor Hecht se dedicó a preocupar a la concurrencia (sala llena, dicho sea de paso) recordando la existencia, en Ciertos Países, de agencias con presupuestos inmensos afectados al monitoreo e intercepción de comunicaciones. Con fines de proveer a su propia seguridad nacional… o al espionaje industrial.

El problema, evidentemente, es que el ingreso a una página que emplea SSL, pero que está alojada en un servidor extranjero, ya no es sinónimo de comunicación segura. La solución: el uso de criptografía. Es una herramienta de defensa, si está bien usada; pero si viene del exterior, ya ha sucedido que puede tener una puerta trasera, además de vulnerabilidades, como en el caso de las randomizaciones mal programadas.

Hecht presentó tres líneas de trabajo para un “escudo tecnológico”: criptografía cuántica, limitada actualmente por temas relacionados con la optoelectrónica; cifrado homomorfo, con ofuscación que impida la ingeniería inversa, y criptografía no conmutativa (que se está desarrollando localmente). Yo cierro este resumen eligiendo una frase de la presentación: “se debe desarrollar tecnología de software y hardware local 100% auditable”. Y se abrió la ronda de preguntas.

 

Como todos los famosos “tracks” tenían interés, salté de una sala a otra. Para los que cometieron el error de no estar entre los mil y pico de asistentes (1800 para ser más precisos), había conferencias sobre los riesgos de Cloud Computing (y las mitigaciones, claro…); las fallas de seguridad en el Desarrollo de software; mucho de BYOD, los móviles corporativos y la trazabilidad de documentación; fraude financiero y normativas bancarias; gestión operativa de la seguridad, normas, controles y “governance”; en fin, para todos los gustos (y los sustos)

 

Así llegué al cierre de la presentación sobre Riesgos en Cloud Computing, que de acuerdo al programa mostraba conclusiones elaboradas por Enrique Arce (Oracle), Enrique Gil (partner de Deloitte), Pablo Silberfich (BDO) y Jorge Cella (Microsoft). Y fue Jorge quien me señaló que entre las preguntas del público estaba “si su empresa daba información a las autoridades”. Respuesta para tomar nota: “SÍ damos información”. Pero… (un interesante “pero”): no es cualquier tipo de información, y no a cualquier “autoridad”. Se sigue el mismo camino (una requisitoria formal de un juez competente) que se seguiría en el caso de una investigación judicial convencional, de acuerdo a leyes que en la mayoría de los países son muy anteriores a “La Nube”. Dado que los datos del cliente residen generalmente (en el caso de Microsoft) en servidores del exterior, hay un agregado especial: en los casos en que está en riesgo la vida (secuestro extorsivo, por ejemplo) u otros delitos donde la pérdida de tiempo en tramitación podría ser crítica para el resultado, la filial local se hace cargo de presentar el tema a la casa matriz, por vía interna e inmediata, a fin de proporcionar la información en un tiempo ciertamente menor que el de la formalización de un exhorto judicial entre países. Y esto se hace desde hace años, como hemos verificado personalmente alguna vez.

 

Rápido café mediante, ya que el área reservada a presentadores y sponsors también estaba liberada a periodistas, lo cual produjo útiles encuentros y café muy a mano, fui a enterarme de lo que Leonardo Huertas Calle, de ElevenPaths, y Fernando Caló (Telefónica de Argentina) presentaban bajo el título de “¿Por dónde entran a nuestro reino? Ciberseguridad y un poco más”. Si de mostrar cuáles eran las puertas que un atacante puede usar para apoderarse de una computadora o amargarle a vida a un usuario se trata, el ejemplo que estaba mostrando Leonardo era muy interesante. Una dama había posteado en Internet una fotografía, que sólo mostraba parte de la cara (la zona de los ojos). Pero… para armar esa imagen había recortado, Photoshop mediante, una foto donde estaba de cuerpo entera… y sin la parte superior del traje de baño. El hábil Leandro, usando una distribución Linux que tiene herramientas de análisis incluidas, mostró no sólo que el recorte estaba realizado con Photoshop versión 7, la fecha de toma, la marca de la cámara, las coordenadas geográficas del momento de la toma, sino (a partir del recorte con los ojos) la foto original completa. Era la descripción del método usado por un atacante real, para avergonzar públicamente a una víctima real. A partir de un pequeño segmento de una imagen fotográfica mayor, que es posible recuperar, con el equipo y el entrenamiento necesarios, y gracias, en parte, a los famosos datos EXIF que quedan grabados en toda foto digital existente. Poner barbas en remojo, sería la moraleja más apropiada, ya que la foto no fue robada por un intruso que se metió en una PC: fue posteada por la víctima, estaba en el dominio público. La foto recortada, claro, pero con eso bastó.

Me hubiera gustado escuchar a Ezequiel Sallis, de la División Cibercrimen de la Policía Metropolitana, y Gustavo Pressman, director del Estudio de Informática Forense, hablar sobre el Tratamiento de los Delitos Informáticos en Entorno Corporativo, pero llegó la hora de la conferencia de prensa, algo que te voy a contar en la próxima nota.

Evidentemente el Segurinfo de este año dio bastante tela para cortar.

Hasta luego.

 

La multitud que asistió al panel de Hecht, Tornabene y Cerrudo
La multitud que asistió al panel de Hecht, Tornabene y Cerrudo

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.