"La vejez es la pérdida de la curiosidad"

[ José Martínez Ruiz Azorín - Novelista y crítico español - 1873-1967 ]

Boletín 178 - Proteger infraestructuras críticas - 13/11/2011

No te pierdas el próximo 30 de noviembre la I Jornada de Cibercrimen y Ciberterrorismo en donde tendré el placer de ser disertante junto a otros profesionales, para mostrar las novedades en cibercrimen y algunas vulnerabilidades de sistemas SCADA.

Puedes participar del sorteo de entradas para el evento.

1. ¿Qué significa proteger infraestructuras críticas?
2. Segu-Info e ISSA Argentina firman convenio de colaboración
3. Denuncias de Phishing recibidas por Segu-Info
4. Segu-Info busca autores
5. Apoya a Segu-Kids, Juntos en la Red
6. Desafío de la semana

1. ¿Qué significa proteger infraestructuras críticas?

El pasado día 3 de noviembre se llevó a cabo en Bruselas el ejercicio Cyber Atlantic 2011 con el objetivo de simular escenarios que permitan a los participantes explorar los modos en que la Unión Europea y EE.UU. podrían coordinar mecanismos de cooperación y de defensa, en situaciones de ciberataques deliberados dirigidos a sus infraestructuras críticas.

Durante el ejercicio se crearon diferentes escenarios de ciberataque basados en APT (Advanced Persistent Threats) y dispositivos SCADA (Supervisory Control And Data Acquisition) en centrales de generación de energía.

Según la Wikipedia, los sistemas SCADA (Wikipedia) son aquellos "sistemas basados en computadoras que permiten supervisar y controlar variables de proceso a distancia, proporcionando comunicación con los dispositivos de campo (controladores autónomos) y controlando el proceso de forma automática por medio de un software especializado."

Si bien no es exclusivo, generalmente los sistemas SCADA controlan Infraestructuras Críticas que "son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción pueden tener una repercusión importante en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos."

La UE define una Infraestructura Crítica como cualquier "elemento, sistema o parte de ésta que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población y cuya perturbación o destrucción afectaría gravemente a un Estado al no poder mantener esas funciones".

Las siguientes pueden ser consideradas Infraestructuras Críticas:

• centrales y redes de energía
• tecnologías de la información y las comunicaciones
• sistemas de finanzas y tributarios
• sector sanitario
• agua
• transportes
• industria química y nuclear
• investigación e instalaciones espaciales

Basado en que los riesgos de ataques terroristas catastróficos contra dichas infraestructuras está en aumento, desde junio de 2004, Europa ha estado trabajando en una estrategia global para proteger las infraestructuras críticas. Desde entonces la UE ha establecido un proceso de identificación de infraestructuras críticas y ha planteado un método para evaluar la necesidad de mejorar su protección. Por mencionar sólo un caso, por ejemplo España ya cuenta con legislación referente a la protección de dichas infraestructuras y cuenta con una serie de documentos referidos a la seguridad de sistemas SCADA.

Como menciona uno de estos documentos, los sistemas SCADA fueron pensados y diseñados antes de la masificación de Internet. Antes eran sistemas aislados y no conectados en red y, tradicionalmente carecen de dispositivos de seguridad como firewalls, mecanismos de cifrado o software. Su diseño se centraba en la funcionalidad y, en básicamente, limitar el acceso mediante seguridad física. Siempre utilizaron tecnologías propietarias y poco probadas fuera de ambientes controlados. Los riesgos actuales se basan en que estos sistemas (casi sin protección) se interconectaron ampliamente mediante la utilización de tecnologías y protocolos estándares, con vulnerabilidades conocidas y ampliamente explotadas.

Si bien parece obvia la relación que debería existir entre estas infraestructuras y su seguridad, el éxito de los ataques sobre las mismas ha comenzado a tomar relevancia en el último año y, sobre todo, la facilidad para ejecutar dichos ataques. Por ejemplo, los investigadores italiano y español respectivamente, Luigi Auriemma y Rubén Santamarta han reportado decenas de alertas y vulnerabilidades sobre sistemas ampliamente utilizados en la industria y en los gobiernos.

Como si esto fuera poco, luego del ataque ampliamente conocido del gusano Stuxnet a centrales nucleares de Iran, Mcafee y CSIS realizaron un informe en donde ponen en relevancia que, sobre una encuesta a 200 empresas de infraestructura crítica en 14 países, "el 40% de los ejecutivos pensaba que la vulnerabilidad del sector había aumentado y el 30% opinó que su empresa no estaba preparada para enfrentar un ataque cibernético."

En otro informe, Mcfee señala que "los propietarios y operadores de infraestructuras críticas afirman que sus redes están sometidas a ciberataques constantes, de adversarios de envergadura, como países extranjeros."

Como en cualquier organización, la protección de estos sistemas debería contemplar al menos:

• Identificación de infraestructuras críticas locales
• Análisis de riesgos sobre estas infraestructuras
• Identificación de sistemas críticos sobre estas infraestructuras
• Identificación de amenazas sobre las infraestructuras y sus sistemas
• Análisis de impacto de cualquier amenaza identificada
• Contemplar escenarios de ataques y posibilidades de realización
• Contemplar soluciones y costos (eficacia y eficiencia)
• Crear planes de recuperación de desastres y de contingencia
• Analizar vulnerabilidades de los sistemas y crear un equipo de respuesta ante incidentes con conexiones internacionales (CERT)
• Capacitarse e informar a la sociedad sobre los planes creados
• Creación de planes de protección civil y apoyo logístico

En lo que respecta a América Latina, Brasil considera la importancia de sus infraestructuras críticas desde febrero de 2008, cuando publicó en Diário Oficial da União Nº 27, la importancia de las mismas. En este mismo contexto han creado una Guía de Referencia para mantener la seguridad en dichas infraestructuras.

Por su parte, Argentina cuenta desde agosto pasado con el "Programa Nacional de Infraestructuras Críticas de información y ciberseguridad", dependiente de la Oficina Nacional de Tecnologías de Información (ONTI), según el Boletín Oficial 32.204 y el cual establece algunos de los objetivos de seguridad mencionados. Sólo queda esperar que esta iniciativa sea el comienzo de lo que deberían ser acciones concretas y no sólo expresiones de deseo volcadas en un papel.

2. Segu-Info e ISSA Argentina firman convenio de colaboración

ISSA (Information Systems Security Association) es una organización internacional sin fines de lucro, que agrupa a profesionales y practicantes de seguridad de la información.

Desde la formación de ISSA capítulo Buenos Aires-Argentina, Segu-Info ha trabajado en estrecha colaboración con sus diferentes comisiones directivas y profesionales que forman dicha organización.

Ha partir de la formación de la comisión actual, ambas organizaciones hemos firmado un convenio de colaboración con el compromiso de seguir aportando conocimiento y valor agregado a los miembros de ambas comunidades.

Aquí puedes ver algunos de los beneficios: http://issaarba.org/BEN

Para hacerse miembro de ISSA Argentina, consulta su sitio web: http://issaarba.org/QS

3. Segu-Info busca autores

Desde Segu-Info mantenemos una sección de denuncias de casos de Phishing y otros tipos de fraudes y estafas:

Cada una de las denuncias recibidas es investigada, para establecer la motivación de los delincuentes así como el modus-operandi de cada uno de los ataques. Si desea conocer más sobre las metodologías utilizadas por Segu-Info
recomendamos la lectura de nuestro Protocolo para denuncias y baja de sitios de Phishing creado para tal objetivo así como las estadísticas de los sitios investigados.

En las últimas semanas, los siguientes casos han sido investigados y dados de baja:

• Visa, Banco Río y Banco Francés... los phishing de hoy
• Phishing y malware a la empresa Claro y II
• Phishing a Banco BBVA: su cuenta esta bloqueada
• Phishing de BBVA dados de baja por Segu-Info antes de estar activos
• Correo sobre aviso de billetes falsos de El Salvador, propaga malware

Cada uno de estos casos ha permitido realizar acciones conjuntas entre Segu-Info y las entidades afectadas para lograr la baja inmediata de los sitios falsos que buscaban engañar al usuario.

4. Segu-Info busca autores

Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

• si te interesan la Seguridad de la Información,
• si conoces de Legislación en Seguridad,
• o, si la Seguridad de la Información es uno de tus temas de lectura/búsqueda preferidos...

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.

5. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

6. Desafío de la semana

Solución al desafío del Boletín anterior:

Existen varias soluciones posibles, entre ellas:

• 1 + 2 + 34 - 5 + 67 - 8 + 9 = 100
• 1 + 2 + 3 - 4 + 5 + 6 + 78 + 9 = 100
• 123 - 45 - 67 + 89 = 100
• 123 - 4 - 5 - 6 - 7 + 8 - 9 = 100
• 12 + 3 - 4 + 5 + 67 + 8 + 9 = 100

Respondieron correctamente: rofernandez@, marco_d26@, caio.ruiz@, dbonorino1@, sergioaguayo10@, felipem2213@, berebere@

Desafío de esta semana:

Un número es elegante si al sumar los cuadrados de sus cifras e iterar con la misma operación sobre los resultados obtenidos, finalmente se obtiene 1 como resultado. Por ejemplo, el número 13 es elegante, ya que:

• 1^2 + 3^2 = 1 + 9 = 10
• 1^2 + 0^2 = 1 + 0 = 1

Obtener los números elegantes hasta 100.