Cuarta jornada de Gestión de la Identidad en la era digital

(Por Rubén Borlenghi) Sobre cómo manejar la identidad, y algunas maneras de perderla, en la era digital y explicado por expertos. Una reunión con expositores muy variados, público homogéneo y hasta una mini sesión de hacking en vivo. Si te la perdiste, estás a tiempo de enterarte, al menos…

La presentación de esta primera reunión 2011 de las Jornadas de CXO Community estuvo a cargo de Oscar Schmitz, su director ejecutivo, quien luego de agradecer a los sponsors (Check Point, Global Crossing y Licencias On Line) y a los dueños de casa (la Universidad CAECE), dio formal inicio a la Jornada de Gestión de la Identidad en la era digital, que se realizó por cuarto año consecutivo.
El primer expositor fue, por culpa del tránsito enrevesado, el segundo del programa, Pablo Javier López, especialista de seguridad para el “Southern Cone Latin America” en Check Point Software Technologies. El título de su presentación sin duda llegó derechito al corazón de los gerentes de sistemas presentes en la sala: “Cómo evitar tu propio Wikileaks”, ya que de prevención de pérdida de datos (Data Loss Prevention) se trataba. Señaló como medios físicos de fuga de información a las memorias USB y las laptop extraviadas/robadas/vulneradas, siendo el otro gran “culpable” el correo electrónico; y respecto a éste, comentó que el 20% del correo saliente lleva información cuyo contenido podría tener consecuencias legales, financieras o de alto riesgo para los activos de propiedad intelectual de una compañía.
Luego de afirmar que sin el compromiso de la alta gerencia y la concientización del personal, es muy difícil evitar fugas de información delicada, y cerró después de explicar cómo un producto de su empresa podía aplicarse para prevenir la pérdida de datos,
López dejó el escenario para que expusiera Laura Sadleir, la Regional Technology Specialist – Datacenter, Security & Outsourcing en Global Crossing Latin American (ése es su cargo completo), que habló sobre la gestión de identidades en el marco corporativo. Definió qué es la gestión de identidades, los tipos de accesos a un sistema, la importancia de determinar quién accede, desde dónde y hacia dónde, detalló las características de un sistema de gestión de identidades con puntos delicados como el control de altas y bajas de usuario, la delegación de administración, los informes consolidados donde se detectan cuentas huérfanas e inactivas, las vulnerabilidades de autorización y de autenticación, y terminó refiriéndose a los riesgos impuestos por el uso de redes sociales y de mensajería instantánea dentro de una compañía. Una presentación muy, muy completa.
El tema siguiente era “Control de fraudes en el sistema financiero”, y estuvo a cargo de Daniel Piazza, Gerente de Global Security para Cono Sur en American Express. Presentó y comentó extensamente un video preparado por su empresa, Skim City, en el cual se teatralizaba el proceso completo de skimming: un delincuente “levanta” números de tarjeta de crédito auténticas con un lector especial portátil que se emplea discretamente dentro de un restaurante, graba los datos en imitaciones de tarjetas prolijamente confeccionadas, y las vende a quien se dedicará a estafar con ellas.
Ahí, claro, llega la policía, que detiene a la camarera que levantaba los datos de las tarjetas, usando el skimmer que tenía en un bolsillo; al informático que sacaba del skimmer los datos de las tarjetas buenas para grabarlos en las copias, y al vendedor de flamantes clones. Aunque el video era de la década de los noventas (el programa copiador de tarjetas corría sobre Windows 3.11) la exposición del tema era muy detallada. Piazza aclaró que la diferencia de legislación entre EE UU, origen del video, y la Argentina u otros países hacía que no debieran tomarse en cuenta todos los pasos seguidos por los investigadores policiales; pero que quería mostrar el trabajo de investigación, y el apoyo que su empresa (y probablemente las otras, deduzco) brindan a las instituciones que luchan contra este tipo de delitos.
A continuación, aclarando que ya sabía que se acercaba la hora del almuerzo, el abogado Facundo Malaureille Peltzer, especialista en nuevas tecnologías, presentó “Identidad digital, es decir, nuestra vida en la Red”. El acento, esta vez, estuvo en analizar qué información queda en la Red luego de que alguien la sube, la modifica, o trata de borrar lo que otro puso. Indicó que las empresas suelen revisar los perfiles de los empleados en las redes sociales (recordó algunos casos de empleados echados luego de opinar de cierta manera en su Facebook) y tocó el tema de las identidades falsas o modificadas, relacionadas con engaños que posibilitaron delitos como homicidios o violaciones.
Facundo mencionó un proyecto de ley que presentó al Congreso, relacionado con el hecho de que alguien asumiera la identidad de un menor de edad en sus comunicaciones vía Internet con otros, tocó el tema del ORM, Online Reputation Management, respondió consultas sobre el derecho a la privacidad del empleado y recomendó ocupar un lugar en Facebook, a fin de evitar que un extraño generara un perfil con información falsa o dañina. Mucho para pensar en el almuerzo…

Después del almuerzo
Al regreso presenciamos el panel “Personal branding en Internet”, a cargo del periodista Gustavo Talaván, con la presencia de Federico Barcos von der Heide, un especialista en la búsqueda de ejecutivos para corporaciones, y Juan Faerman, autor del libro “Faceboom”. Lo que se inició como una presentación convencional de von der Heide, quien muy amable y profesionalmente dio pautas sobre cómo comunicar al mercado quiénes somos, se transformó gracias a las preguntas de Talaván en un ida y vuelta de opiniones entre Faerman, von der Heide y el público.
Quedó en claro que una agencia de “head hunters” hace una cuidadosa búsqueda en Google sobre los candidatos, que también se revisa cuanta presencia tenga el candidato en las redes sociales, y en lo relativo a Facebook oí de Faerman una definición breve y precisa: “es el hijo de Gran Hermano y Second Life”.
Como la organización de la Jornada era muy estricta con los horarios, cerró el panel y nos preparamos para escuchar cómo se trataba el tema de la suplantación y empleo delictivo de una identidad ajena, que fue tratado muy ampliamente, y con detalle de casos reales, por el subinspector Pablo Cepeda y el oficial mayor Federico Marchetti, pertenecientes al Área Especial de Investigaciones Telemáticas de la Policía Metropolitana de la ciudad de Buenos Aires, y por Jorge Mieres, investigador argentino de la empresa Kaspersky.
A través de la presentación de Mieres, “¿Sabemos por dónde navegan nuestros hijos?” nos enteramos de que el 50% de la población argentina, aproximadamente, tiene acceso a Internet, y de ese segmento, más o menos la mitad tiene menos de 20 años (de los cuales, los de 15 a 17 años navegan más de 4 horas diarias) y que 7 de esos 10 usuarios emplean alguna red social. Con un universo de posibles víctimas de tal tamaño, no era raro que escucháramos relatos sobre pedofilia o trata de personas.
Luego de la muy completa intervención de Mieres los miembros de la policía metropolitana presentaron “Crónica de un rapto anunciado”, relato pormenorizado de un rapto que tuvo como víctima a una menor cordobesa, exitosamente rescatada en Buenos Aires con la intervención de personal policial local y cordobés, luego de una intensa y exitosa investigación que incluyó la colaboración (judicialmente solicitada) de proveedores de telefonía celular, mensajería de Internet y correo web (Sí, hay proveedores internacionales de correo web que colaboran desde hace tiempo con las autoridades argentinas).
La siguiente presentación, “Robo de identidad, el ataque desde las redes sociales hasta un dispositivo móvil” estuvo a cargo de Cristian Borghello, director de Segu-Info.com.ar y Claudio Caracciolo, director de Root-Secure.
En un tono ameno pero lleno de precisiones, ambos dialogaron sobre los elementos comunes a los diversos productos que se presentan como “red social”: la canalización del ocio, la posibilidad de mensajería (microblogging), la presentación de datos profesionales con posibilidad laboral, la geolocalizacion, y la posibilidad de disfrutar de contenidos multimedia y difundirlos. Quedó clara la necesidad de establecer reglas dentro de las empresas u organizaciones, para evitar problemas, dado que la transformación del teléfono móvil en una computadora portátil donde todo se concentra en un dispositivo muy fácil de robar, aumenta muchísimo el riesgo.
El final de la presentación fue una mini demostración de hacking, en la que se estableció como escenario un típico “ataque dirigido”: se identifica a un ejecutivo de empresa, se obtiene su password enviándole un email con un vínculo a un website maligno (al cual la víctima ingresa y escribe sus datos, claro) y luego, habiendo robado el celular del ejecutivo, que está bloqueado, se usa la contraseña para hacer que se descargue en el celular un par de aplicaciones, con lo cual se logra desbloquearlo. Por supuesto, el siguiente paso del atacante sería levantar todos los mensajes, contactos y demás información valiosa que está en el celular, y dirigir otro ataque contra la empresa. La demo funcionó con una pequeña demora (cosas de la Wi-Fi, parece) pero se pudo ver cómo se robaba la contraseña de la presunta víctima, se instalaban dos aplicaciones en el celu, y éste era desbloqueado.
El cierre de la Jornada estuvo a cargo de Eduardo Thill, subsecretario de Tecnologías de Gestión de la Jefatura de Gabinete de Ministros, presentando “Los próximos pasos gubernamentales en identidad digital para 2011”. De la copiosa información resumo: mencionó que existe preocupación porque la inclusión de la población en Internet va a aumentar en los próximos 18 a 24 meses, y la gente no toma conciencia de los riesgos posibles. Gran parte de este fenómeno (el aumento de usuarios) se deberá a la entrega de computadoras portátiles a alumnos. Esas máquinas, además, funcionarán en los hogares, por lo cual se espera un efecto multiplicador en la cantidad de personas conectadas. También recordó la existencia de una Agenda Digital Argentina, a la que calificó de una política que necesita que se involucren de forma activa todos los actores, no sólo el gobierno; señaló el esfuerzo ya realizado para poner en marcha el sistema de firma digital, que cuenta con tres autoridades certificantes, ANSES, AFIP y ONTI, y recordó que el mejor elemento de identificación es el reconocimiento biométrico.
Opinó también que frente a los esfuerzos realizados por diferentes organismos nacionales para avanzar en firma digital y temas similares, la tecnología ya está, la normativa también está, pero la demanda… no está.
La Jornada fue, como podrán darse cuenta, intensa, extensa y muy informativa. Cerca del final Oscar Schmitz recordó que esta era la primera del año, y que seguirán otras con temas que (afirmó) estarían vinculados a muchos aspectos de la seguridad que interesan a empresas y organizaciones afines. Así que en próximas oportunidades, les contaré qué vi y escuché.