20

No.20 / abril-mayo 201 4 ISSN: 1 251 478, 1 251 477

Am b i e n te s p ti m os

De l a i n certi d u m bre a l a acci n seg u ra

Internet Entornos Vender Prevencin Hablando Seguridad en
profunda virtuales seguridad de copyright correctamente salud
 Contenido

04 Seguridad informtica en entornos virtuales

08 Mitos y realidades de la Internet profunda

12 Hablando correctamente de seguridad de la informacin

16 Vender seguridad informtica

Seguridad de la Informacin en salud,

20 un sector olvidado

25 Copyright Prevent Copy: Protocolo BPS

Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de informacin y comunicacin. Subdireccin de
Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI M.R. , revista especializada en temas de seguridad
del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conocimientos aqu
expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.
Editorial
Ambientes ptimos
De la incertidumbre a la accin segura

.Seguridad Cultura de prevencin TI M.R. / Nmero 20 /

En nuestro mundo digital, y tambin en el fsico, febrero - marzo 201 4 / ISSN No. 1 251 478, 1 251 477 /
estamos rodeados de mltiples entornos, Revista Bimestral, Registro de Marca 1 29829
lugares en donde aprendemos, crecemos DIRECCIN GENERAL DE CMPUTO Y DE
profesionalmente, donde convivimos todos los TECNOLOGAS DE INFORMACIN Y
das, sitios que nos falta conocer, otros a los que COMUNICACIN
siempre volvemos, en fin. Un mapa que no
podramos navegar sin el uso de la tecnologa DIRECTOR GENERAL
Dr. Felipe Bracho Carpizo
y que, desafortunadamente, se encuentra en
constante riesgo. DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Es la naturaleza de nuestro tiempo, tratar de Act. Jos Fabin Romo Zamudio
convertir esta simbiosis con lo digital en mejoras SUBDIRECTOR DE SEGURIDAD DE LA
para nuestra vida. Es el reto que nos hemos INFORMACIN/ UNAM-CERT
propuesto en la edicin 20 de la revista Ing. Rubn Aquino Luna
.Seguridad, hacer de lo cotidiano el mejor de los
caminos, y de lo nuevo, una mejora constante.
Probablemente, los temas que encontrars en DIRECTORA EDITORIAL
este nmero emerjan en una gran interrogante L.A. Clica Martnez Aponte
de fallas de seguridad de nuestros das, pero EDITORA
tambin, son una buena oportunidad para L.C.S. Jazmn Lpez Snchez
optimizar nuestro futuro.
ASISTENTE EDITORIAL
Sin embargo, ptimo en los brazos de la L.C.C. Kristian R. Araujo Chvez
seguridad, no quiere decir inquebrantable. ARTE Y DISEO
Sabemos que pese a nuestro esfuerzo, no hay L.D.C.V. Abril Garca Carbajal
garantas totales para lo que cambia todos los
das, pero s existe la satisfaccin de hacer de REVISIN DE CONTENIDO
nuestro ambiente, lo mejor en favor de nuestra Rubn Aquino Luna
proteccin. Sandra Atonal Jimnez
Nora Dafne Cozaya Reyes
Miguel Ral Bautista Soria
Miguel ngel Mendoza Lpez
L.C.S Jazmn Lpez Snchez Jess Ramn Jimnez Rojas
Editora COLABORADORES EN ESTE NMERO
Subdireccin de Seguridad de la Informacin Enrique Snchez Gallardo
Juan Armando Becerra Gutirrez
Jos Luis Sevilla Rodrguez
Fausto Cepeda Gonzlez
Miriam J. Padilla Espinosa
Jess Nazareno Torrecillas Rodrguez
Seguridad informtica en
entornos virtuales
Enrique Snchez Gallardo

La proliferacin de nuevas tecnologas en las Seguridad en mquinas

distintas reas que conforman las soluciones virtuales
actuales de TIC (tecnologas de informacin y
comunicacin), trae como consecuencia nuevos Las mquinas virtuales (virtual machines), a
retos que las direcciones deben asumir y diferencia de un equipo fsico, estn reducidas a
solventar llegado el momento de su un simple archivo; que si bien representa
instrumentacin. flexibilidad para el administrador, tambin
significa una vulnerabilidad que puede ser
Aun cuando el trmino virtualizacin ha sido explotada para robar la mquina completa,
acuado en el contexto de los sistemas incluyendo su contenido. Recordemos que en
mainframe de IBM, introducidos en la dcada de los entornos virtuales, varias mquinas virtuales
pueden compartir una sola interfaz fsica (Figura
los 60s (Polze y Trger, 201 2), uno de los retos
actuales es el aseguramiento de este tipo de 1 ), en consecuencia, dichos equipos pueden ser
entornos, que a diferencia de la infraestructuravctimas de diversos tipos de ataques entre una
mquina virtual y otra residente en el mismo
fsica, plantea nuevos desafos. En contraste con
equipo fsico, ante esta situacin, el
los entornos fsicos, los entornos virtuales basan
administrador debe estar prevenido.
su operacin en infraestructura fsica unificada,
es decir, un servidor fsico puede contener uno
o varios sistemas operativos hospedados en una Por otro lado, la seguridad virtual se extiende
misma plataforma. Aqu el tema de seguridad de ms all de las mquinas virtuales, por ejemplo,
ambientes virtuales juega un papel importante. los sistemas de almacenamiento en red se ven

UNAMCERT
expuestos a amenazas y constituyen otra lnea vulnerables ante cualquierposible ataque (Figura
de accin para los atacantes. 2).

Figura 2.Esquema de servidores virtuales con procesamiento en

un servidor y almacenamiento en una SAN .
En los entornos de cmputo en la nube, los cuales
Figura 1. Servidores virtuales en un mismo servidor fsico
sin seguridad entre ellos. involucran sistemas operativos para el servidor
fsico, mquinas virtuales y aplicaciones, es
Una recomendacin es mantener los sistemas necesario considerar el aspecto de seguridad
de almacenamiento separados del resto de las para la virtualizacin.
mquinas virtuales.
En un esquema virtual, en donde se utilizan
equipos para ejecutar las tareas de Aplicacin de seguridad en
procesamiento de las mquinas virtuales (y su entornos virtuales
almacenamiento se encuentra en un
almacenamiento de red SAN 1 ), es fcil ver cmo Sabnis, S., Verbruggen, M., Hickey, J. and
se ve comprometido todo el sistema de McBride, A. J. (201 2), hacen mencin de algunos
almacenamiento cuando no se contemplan este aspectos para la aplicacin de seguridad en
tipo de riesgos, sobre todo al momento de la entornos virtuales al inicio de su diseo, por
instrumentacin de entornos virtuales basados ejemplo: clasificacin del trfico e informacin
en sistemas de almacenamiento separado. real entre mquinas virtuales, mecanismos de
autentificacin y controles de acceso robustos,
En este tipo de esquemas de operacin, existe controles para el acceso y la operacin,
un servidor denominado Servidor de correccin de vulnerabilidades e instalacin de
procesamiento que puede contener una o varias actualizaciones de seguridad, as como
mquinas virtuales y un Sistema de configuracin de auditora y escaneo de
almacenamiento (por ejemplo, uno del tipo vulnerabilidades.
SAN). Este sistema es un equipo fsico separado
UNAMCERT

del servidor de procesamiento, cuya funcin es Se debe considerar la utilizacin de VLANs3 para
alojar los archivos de cada una de las mquinas la separacin del trfico entre mquinas virtuales,
virtuales a travs de interfaces, ya sea de tipo lo que permitir cierto nivel de aislamiento entre
iSCSI 2 o Fiber Channel. Al interconectarse con cada una de ellas. La utilizacin de firewalls
el servidor de procesamiento, utiliza canales de personales en cada una de las mquinas tambin
comunicacin que nuevamente quedan constituye una lnea de defensa, puede
05
administrar el trfico de red permitido desde y Ejemplos de soluciones aplicables a
hacia cada una de las mquinas. Otra opcin es seguridad virtual
el empleo de switches virtuales, stos pueden Shavlik Technologies:
segmentar la red y controlar el trfico, sobre todo ShavlikNetChkConfigure es una solucin para la
cuando varias mquinas virtuales hacen uso de gestin de configuraciones que audita y hace
una sola interfaz fsica (Figura 3). Mantener cumplir las configuraciones de seguridad en una
actualizados los sistemas tambin representa un red.
menor riesgo en ambientes virtuales.
Sistema de respaldo BackupExec 1 2.5 de
Se puede hacerusode herramientascomerciales Symantec Corp.: Esta solucin de Symantec
para ayudar a resolver este tipo de problemas permite el respaldo de servidores virtuales a
de seguridad virtual, tanto en entornos virtuales travs de la instalacin de un cliente enfocado
puros como en mixtos. especficamente a entornos virtuales.
VMware: VMware vCloud Networking and
Security Edge ofrece una puerta de enlace de
servicios de seguridad para proteger el permetro
del centro de datos virtual.
Check Point: Secure Virtual Network (SVN)
asegura las comunicaciones business-to-
business entre redes, sistemas, aplicaciones y
usuarios a travs de Internet, intranets y
extranets.
Microsoft: Microsoft integra servicios de
seguridad a entornos virtuales, en algunos casos
integrados a sus soluciones, por ejemplo en
Hyper-v a travs de Windows Authorization
Manager y en otros, con la integracin de
soluciones de terceros.
Figura 3. Esquema de servidores virtuales con
mecanismos de seguridad instrumentados. Dado que la complejidad de los sistemas de
tecnologa va en aumento, se podra decir que
Qu hacer para asegurar los entornos la seguridad en entornos virtuales se ha colocado
virtuales? en la cima de dicha complejidad. Requiere, por
Al igual que cualquier componente fsico de TI, parte de los administradores de sistemas, una
se debe comenzar con un plan de interaccin con los sistemas virtuales igual o
instrumentacin de seguridad para los entornos mayor a la que demandan los ambientes fsicos,
virtuales, un buen punto de inicio es consultar a pero con un nivel de abstraccin superior. Los
los principales proveedores de soluciones, los administradores requieren, en principio, de un
cuales son unos de los primeros involucrados en buen o excelente entendimiento de los sistemas
el tema debido a la relevancia que tiene la tradicionales para una mejor comprensin de los
seguridad en ambientes virtuales. entornos virtuales.
Algunos documentos como VMWareSecurity Es importante mencionar que el tema de
UNAMCERT

BestPractices, Hyper-V Security BestPractices
(201 0) y otros disponibles en los diferentes
portales, permiten a los administradores de TI
evaluar el tema y comenzar, en el caso de no
haber considerado antes la instrumentacin de
seguridad para sus entornos virtuales.
seguridad virtual tratado en este artculo es slo
una introduccin a esta rea de la tecnologa,
pues bien podra ser considerada como un rea
de especialidad para los administradores de
sistemas. En tal caso se deben tomar en cuenta,
entre otros aspectos: el anlisis de vulnerabili-
06
dades en entornos virtuales, polticas,
tecnologas y mejores prcticas, as como tomar
en cuenta que este tipo de entornos no operan
de igual forma que los fsicos. Sin embargo, al
igual que en stos ltimos, existen herramientas
que ayudan a proteger y mantener la integridad
de los entornos virtuales a travs de una buena
administracin de la seguridad virtual.
1SAN (Storage Area Network), Sistema de
Almacenamiento en Red
2Abreviatura de Internet SCSI: es un estndar que permite
Enrique Snchez Gallardo
Director de TI de El Colegio de Michoacn, A.C.,
Centro Pblico de Investigacin CONACYT.
Es miembro del Grupo de trabajo Maagtic-SI del
Consejo Asesor en Tecnologas de Informacin
del CONACYT. Candidato a Doctor en Ciencias
de la Administracin por la Universidad del Valle
de Atemajac, Plantel Len. Maestro en
Computacin por la Universidad del Valle de
Atemajac, Plantel Guadalajara.

el uso del protocolo SCSI sobre redes TCP/IP Es Licenciado en Informtica por la Universidad
3Acrnimo de virtual LAN (red de rea local virtual) de Zamora y docente Universitario en las reas
de Ingenieras, Mercadotecnia y
Administracin de la Universidad del Valle de
Referencias Atemajac, Plantel Zamora.
Polze, A. and Trger, P. (2012), Trends and challenges in
operating systemsfrom parallel computing to cloud
computing. Concurrency Computat.:Pract. Exper., 24:
676686. doi: 10.1002/cpe.1903

Sabnis, S., Verbruggen, M., Hickey, J. and McBride, A. J.

(2012), Intrinsically Secure Next-Generation Networks.
Bell Labs Tech. J., 17: 1736. doi: 10.1002/bltj.21556

Server virtualization security best practices. Recuperado

de: http://searchservervirtualization.techtarget.com/
tutorial/Server-virtualization-security-best-practices-
guide
Shavlik Technologies. Recuperado de:
http://totemguard.com/soporte/files/Shavlik_NetChk_Co
nfigure.pdf

Symantec Backup Exec 12.5 for Windows Servers.

Recuperado de: http://ftpandina.atv.com.pe/ManualesIT/
ManualLTo.pdf

Seguridad y cumplimiento normativo. Recuperado de:

http://www.vmware.com/latam/cloud-security-
compliance/cloud-security#sthash.wrmYQ5XX.dpuf

Check Point. Recuperado de:

UNAMCERT

http://www.etekreycom.com.ar/tecno/proveedor/check_
point.htm

Microsoft Virtualization. Recuperado de:

http://www.microsoft.com/spain/virtualizacion/solutions/
technology/default.mspx

07
Mitos y realidades de la Internet
profunda
Juan Armando Becerra Gutirrez

Leyendas urbanas Red profunda

Un concepto como deep web o Internet profunda Deep web es una idea a la que recurrentemente
suele rodearse de misticismo, todo lo que suene se le compara con el ocano, donde existe
profundo, oculto e invisible tiene esa facultad de informacin en la superficie, fcilmente accesible
estimular nuestra imaginacin. A lo largo del para las redes de cualquier barco, e informacin
tiempo, he escuchado historias y recibido que requiere ms esfuerzo para ser adquirida y
cuestionamientos sobre la naturaleza de la procesada. La deep web es toda la informacin
Internet profunda: sobre sus mltiples capas, las de Internet no accesible por tecnologas basadas
realidades alternas que la contienen, en indexado y rastreo web (web indexing y web
comparaciones con The Matrix y sobre las crawling) de los buscadores como Google o Bing.
terribles cosas que se albergan en el fondo de
la red. La red superficial, aquella que se accede por
medio de las consultas a los buscadores, se basa
Internet profunda, tecnologas de privacidad, e en las ligas y relaciones existentes entre un sitio
incluso mercado negro, son conceptos que se y los hipervnculos que alberga, esta accin dio
UNAMCERT

han entremezclado y que si bien, son igual o ms origen al trmino navegar en la web, saltamos de
sorprendentes que las mismas leyendas a su una pgina web a otra porque existe una
alrededor, se encuentran detrs de mucha interrelacin directa con cada sitio indexado en
niebla. un buscador.

08
La red profunda, por su parte, es una porcin de dicho contenido. Este tipo de datos son los que
Internet a la que slo se puede acceder a travs forman parte de la red oscura, oculta o invisible.
de la consulta exacta dentro del contenido de
alguna base de datos. Para visitar una pgina no Las redes virtuales privadas (virtual private
indexada por un navegador, hay que conocer la networks o VPN) son tecnologas que
corresponden a esta clasificacin de red oscura
direccin o ruta exacta de ese sitio en particular.
y de hecho, son sus principales representantes.
Existen varias razones para que un contenido, es Estas redes corresponden a infraestructura y
decir, cualquier tipo de archivo y no slo sitios contenidos que se pueden acceder nicamente
web, no seaindexado ypertenezcaala deepweb: a travs de un software especfico, uno de los
ejemplos ms representativos es TOR.
Tiene mecanismos o interfaces poco
amistosas con los bots de los buscadores.
Es un contenido aislado, sin ligas que hagan TOR, The Onion Router
referencia a otros sitios y viceversa.
Son subdirectorios o bases de datos TOR es un proyecto diseado e implementado
restringidas. por la marina de los Estados Unidos,
Son contenidos no basados en html o posteriormente fue patrocinado por la EFF
codificados (por ejemplo, slo contienen (ElectronicFrontierFoundation, unaorganizacin
JavaScript, Flash, etc.) en defensa de los derechos digitales).
Es un contenido protegido por contrasea o Actualmente subsiste como TOR Project, una
cifrado. organizacin sin nimo de lucro galardonada en
201 1 por la Free Software Foundation por permitir
A partir de estos conceptos, podemos ver que que millones de personas en el mundo tengan
gran parte del contenido de Internet es deep web libertad de acceso y expresin en Internet
(se presume que alrededor del 90%), esta manteniendo su privacidad y anonimato.
informacin no siempre est optimizada para el
uso humano o est diseada para ser
explcitamente usada bajo ciertos protocolos y
tecnologas. Por ello se han desarrollado
herramientas como buscadores especializados
o navegadores web con caractersticas
especiales, permitiendo que disciplinas como
data mining, big data u open source intelligence
utilicen todos los datos disponibles y no slo los
ms evidentes proporcionados por los
buscadores tradicionales.
TOR es una red de tneles virtuales que permite
Red oscura a los usuarios navegar con privacidad en Internet,
a los desarrolladores, crear aplicaciones para el
Dentro de la red profunda hay una clase especial intercambio de informacin sobre redes pblicas
de contenidos que han sido diseados para sin tener que comprometer su identidad, ayuda
permanecer ocultos o en secciones separadas a reducir o evitar el seguimiento que hacen los
de las capas pblicas de Internet. Como se ha sitios web de los hbitos de navegacin de las
explicado anteriormente, una pgina sin una URL personas y a publicar sitios web y otros servicios
UNAMCERT

conocida permanece oculta de los buscadores. sin la necesidad de revelar su localizacin.

Por ejemplo la entrada de un blog sin publicar o
un tuit en borrador son elementos que existen en Si bien el objetivo de TOR es proteger a los
Internet, pero que no pueden ser hallados debido usuarios de la vigilancia en Internet (por ejemplo,
a que la URL slo es conocida por el creador de del anlisis de trfico), tambin se ha utilizado
09
para mantener ocultos diferentes servicios de
dudosa legalidad.
La red oscura no trata formalmente de crimen,
pero las propiedades de privacidad y anonimidad
de tecnologas como TOR la han convertido en
una esquina fangosa en el uso de la tecnologa,
a tal grado que dark web y mercado negro muchas
veces pueden usarse como sinnimos.

Mercado negro y el abuso de la

privacidad
Los objetivos de TOR como proyecto de software
libre son admirables, han sido reconocidos por
ello en mltiples ocasiones, sin embargo la
posibilidad de navegar y crear servicios annimos
ha permitido el desarrollo de diferentes
actividades, por ejemplo: pornografa infantil,
venta de drogas, trfico de informacin sensible
o clasificada, lavado de dinero, armas,
entrenamiento especializado en temas delictivos,
entre otros. El mercado negro tradicional ha
encontrado un lugar frtil para expandirse
utilizando estas plataformas. Palabras finales
Pese a que no hay cifras exactas sobre el Este artculo ha ido avanzando desde las aguas
crecimiento o popularizacin de la red profunda ms superficiales hasta algunas ms turbias,
como plataforma de intercambio, definitivamente tratando de mostrar que la deep web no es una
hay un antes y un despus con la utilizacin de regin prohibida y mstica de Internet, ni que la
bitcoins, unamonedaelectrnicadescentralizada tecnologa relacionada es malvola.
que tiene sus orgenes en 2009, pero que se ha
vuelto todo un fenmeno desde 201 2. Bitcoin (queSi bien se ha abusado de herramientas como
hace referencia tanto a la moneda como a la red TOR (recientemente se arrest al dueo de una
de intercambio) no est respaldada por ningn compaa que proporcionaba almacenamiento
gobierno o emisor central, como suele ocurrir conpara los servicios de TOR bajo cargos de
cualquier otra moneda. Las transacciones con pornografa infantil) tambin ha permitido a los
ciudadanos mantener comunicacin cuando los
bitcoins son directas entre un usuario a otro, sin
ninguna institucin mediadora, los bitcoins se gobiernos totalitarios han restringido el uso de las
transforman en dinero de uso corriente (como comunicaciones. Por un lado, tenemos a las
dlares o pesos) a travs de portales que hacen agencias antidrogas que afirman que los portales
la transformacin. dentro de la red oscura sern un problema en el
tema de narcotrfico y, por el otro, el nmero de
El comienzo de la utilizacin de bitcoins como personas que han descargado herramientas del
UNAMCERT

medio de pago representa el gran cambio para proyecto TOR a raz de los escndalos de
el mercado negro digital. TOR proporciona una espionaje de la NSA han aumentado
plataforma para que diferentes criminales den a drsticamente.
conocer sus productos e intereses y los bitcoins
han optimizado los medios de pago, permitiendo Ms all de las controversias sobre privacidad,
transacciones de difcil seguimiento. la deep web es, principalmente, un cmulo de
10
informacin que puede ser aprovechada por
investigadores y entusiastas, un rea de trabajo
emocionante y poco entendida por el pblico en
general debido a todas esas leyendas que giran
alrededor de ella.

Referencias
Rodrguez Darinka, El lado oscuro del comercio en
internet

https://www.torproject.org/ EFF

https://www.eff.org/ Deep Web Search

http://deep-web.org/

http://www.dineroenimagen.com/2013-08-22/24860

Juan Armando Becerra

Es ingeniero en telemtica egresado de UPIITA

del IPN, tiene experiencia en empresas de
rastreo satelital, telecomunicaciones y
desarrollo de software. Actualmente colabora
en la Direccin General de Autorregulacin del
IFAI como consultor en seguridad, privacidad y
proteccin de datos. Sguelo en Twitter como
@breakpool

UNAMCERT

11
 Hablando correctamente de
seguridad de la informacin
Jos Luis Sevilla Rodrguez
En el mbito de la seguridad de la informacin,
el mal uso del lenguaje es una prctica que
suele suceder al tratar de explicar cmo
funcionan ciertos dispositivos, durante la
elaboracin de un artculo o documento; o
simplemente conversando con otra persona
sobre un tema en especfico. Cuando
hablamos de cosas relacionadas con seguridad
de la informacin, se suelen utilizar trminos
con diferentes significados de manera indistinta
o incorrecta. Es nuestro trabajo concientizar a
los usuarios sobre la correcta utilizacin de
algunos trminos. En esta ocasin tratar de
explicar la criptografa, el malware y las
evaluaciones de seguridad de la informacin,
as como tambin proporcionar los significados
correctos.
"Errores que cometen
especialistas, ingenieros,
administradores, etc."
Encriptar y desencriptar
El principal error que cometen los especialistas
de seguridad, ingenieros en computacin,
administradores de servidores, entre otros, es
mencionar encriptar o encripcin para referirse
a la accin de ocultar informacin sensible
mediante un algoritmo de cifrado. En el
diccionario de la lengua de la Real Academia
Espaola (RAE) dichas palabras no estn
registradas, aunque muchas fuentes en Internet
manejan estos trminos. En diversas
conferencias y capacitaciones de seguridad de
la informacin a las que he asistido, he escu-
chado los trminos encriptar y desencriptar,
UNAMCERT
adems de otros que se utilizan como si fueran
sinnimos. Mi teora sobre estos errores radica
en que las palabras en ingls para la accin ya
mencionada es encrypt y su contraparte
decrypt. As, es posible que se quieran traducir
como cognados debido a que la mayora de la
12
informacin sobre temas relacionados a mismo y se propaga sobre una red.
seguridad se encuentra en ingls. Explota vulnerabilidades afectando a un
gran nmero de computadoras.
El trmino encriptar est compuesto del prefijo Puede enviarse de forma automtica
en y de la palabra cripta (un lugar subterrneo mediante correo electrnico.
en donde se puede enterrar a los muertos), es
decir, significa enterrar en un cripta. Sin Troyano:
embargo, la etimologa de la palabra
criptografa viene del griego o (krypts), Programa malicioso que intenta suplantar
que significa oculto. Por tanto, la palabra un software legtimo.
encriptar no cumple con el significado de Tiene diversos propsitos
criptografa. malintencionados, como obtener estadsticas
de actividad de exploracin en Internet de la
De acuerdo a la RAE, cifrar se refiere a vctima, informacin sensible y acceso remoto.
transcribir en guarismos, letras o smbolos, de
acuerdo con una clave, un mensaje cuyo Si nuestro equipo personal o estacin de
contenido se quiere ocultar. Por lo tanto, en el trabajo comienza a hacer actividades no
argot de seguridad y con base en mi experien- autorizadas e inusuales, es posible que no
cia, la forma correcta de referirse en espaol a sepamos si es un virus, gusano o troyano.
la accin de ocultar y revelar informacin Entonces, podemos decir que el dispositivo se
mediante un algoritmo de cifrado, es cifrar y encuentra infectado con malware (acrnimo de
descifrar. Malicious Software), ste es el nombre que se
le da al conjunto de software listado
anteriormente, aunque puede incluir a otros
Virus, gusano y troyano ms.
Cuando un usuario detecta comportamiento
inusual en su computadora suele atribuirlo a un
virus, aunque el equipo de cmputo no haya
sido revisado por un especialista o el antivirus
no lo haya determinado. Lo ms probable es
que sea una vctima de software malicioso,
existen muchos tipos distintos. Para entender
con claridad el problema que tiene el equipo,
es importante saber cules son las diferencias
entre algunos trminos.
Virus:
Requiere la intervencin del usuario para
ejecutarse o propagarse.
Se copia en el equipo sin el consentimiento
del usuario para causar acciones maliciosas.
Suele esconderse dentro de ciertos
procesos del sistema operativo (por ejemplo
svchost.exe o explorer.exe en Windows).
UNAMCERT

Gusano:
Programa malicioso que se replica a s

13
Hacker y cracker Evaluacin de seguridad,
hacking tico y pruebas de
En diversos medios de comunicacin podemos
encontrar noticias sobre ataques informticos, penetracin
denegacin de servicio, defacement, robo de
informacin, entre otros, comnmente estas Estas tres frases frecuentemente se utilizan de
acciones se atribuyen errneamente a los manera indistinta; y aunque no significan lo
hackers. El trmino hacker se refiere a una mismo, tienen cierta relacin entre ellas pues
persona experta en tecnologa, capaz de conforman un todo. En la imagen 1 , se observa
identificar fallas o explotar vulnerabilidades de que las pruebas de penetracin pertenecen al
sistemas, pero su inters es acadmico, hacking tico y, a su vez, forman parte de una
educativo o de investigacin. Cuando los hackers evaluacin de seguridad.
detectan un problema de seguridad, lo informan
al dueo del activo vulnerable para que se
solucione y as, evitar que sea aprovechado por
un delincuente informtico.
En la mayora de los casos, los protagonistas de
ataques cibernticos son los crackers, individuos
queaprovechan vulnerabilidadesocomprometen
sistemas informticos de manera ilegal, su
objetivo es obtener algn beneficio, como
reconocimiento personal o remuneracin
econmica. Porste ltimo, se han creado grupos
criminales que buscan defraudar a usuarios y
organizaciones.
Imagen 1. Relacin entre evaluacin de seguridad, hacking
Revisando el significado de los dos trminos, te tico y pruebas de penetracin.
puedes dar cuenta de que la palabra hacker ha
sido satanizada y mal empleada en muchos Una evaluacin de seguridad de la informacin
medios de comunicacin, los hackers tienen un es un proceso para determinar el estado de
cdigo de tica que no les permite utilizar sus seguridad actual del activo que se est evaluando
conocimientos para afectar la informacin de (computadora, sistema, red, etc.). Durante la
otros, aunque hay distintos tipos de hackers. evaluacin de seguridad de una organizacin, se
revisa una serie de documentos y archivos, tales
Para no caer en confusin. Un hacker de como polticas de seguridad, bitcoras,
sombrero negro es igual que un cracker, pero el configuraciones de seguridad, conjunto de reglas,
primero buscar vulnerabilidades en tu entre otros; tambin es necesario hacer pruebas
infraestructura sin provocar algn dao de penetracin. Durante todo el proceso se
(modificacin o destruccin), tal vez podra documentan los hallazgos y se genera un reporte
reportarte las fallas de seguridad de tu final que refleja la postura de seguridad de una
organizacin mediante un correo annimo; sin organizacin.
embargo, lo hace sin permiso, staesladiferencia
con un hacker de sombrero blanco, que puede Cuando se hace referencia al trmino hacking,
ser contratado para evaluar la seguridad de la se piensa en muchos significados, por lo regular
UNAMCERT

empresa. Por otro lado, un cracker podra alterar, las personas creen que se habla del robo de
destruir o lucrar con la informacin obtenida a informacin digitalizada o de ataques hacia
partir de un acceso no autorizado o mediante la organizaciones para provocar fallas, es decir,
explotacin de una vulnerabilidad. siempre se ve con una connotacin negativa.

14
En el contexto de la seguridad, hacking hace 1 SP 800-115, Technical Guide to Information Security
referencia a la manipulacin de la tecnologa para Testing and Assessment.
lograr que sta haga algo para lo cual no fue 2 S/A, Network Penetration Testing: Planning, Scoping,

diseada. Hacking tico se refiere a usartcnicas
de ataques para encontrar alertasde seguridad
con el permiso del dueo del activo (por ejemplo,
anlisis de vulnerabilidades y pruebas de
penetracin), lo que se busca, es fortalecer la
seguridad.
and Recon, Maryland, SANS Institute, SEC 560.1, version
1Q09, 2008, 242pp. SANS SEC560.1: Network Penetration
Testing: Planning, Scoping, and Recon.
Ing. Jos Luis Sevilla Rodrguez

Egresado de la Facultad de Ingeniera de la

carrera de Ingeniera en Computacin por la
Universidad Nacional Autnoma de Mxico, con
mdulo de salida en Redes y Seguridad.
Cuenta con las certificaciones Ethical Hacker
(CEH) y Hacking Forensisc Investigator (CHFI)
de EC Council.
Actualmente est implementando un Sistema de
Gestin de Servicio de Pruebas de Penetracin
ofrecido por el rea de Auditora y Nuevas
Tecnologas. Adems est impulsando
Segn el NIST1 , las pruebas de penetracin son proyectos para realizar pruebas de penetracin
una prueba de seguridad tcnica en donde un en aplicaciones y dispositivos mviles.
evaluador simula ataques reales, su funcin es
identificar los mtodos para eludir las
caractersticas de seguridad de una aplicacin,
un sistema o una red. De acuerdo con el SANS 2,
las pruebas de penetracin, como su nombre lo
indica, son un proceso enfocado a penetrar las
defensas de una organizacin, comprometer los
sistemas y obtener el acceso a la informacin.
Analizando las dos definiciones anteriores,
concluyo que las pruebas de penetracin son un
proceso intrusivo en donde se evalan los
mecanismos y configuraciones de seguridad de
una organizacin mediante la utilizacin de
mtodos y tcnicas para burlar la seguridad.
Su funcin es penetrar los sistemas para
conseguir informacin confidencial de la
organizacin.
Existen ms trminos relacionados con
seguridad de la informacin empleados como
UNAMCERT

sinnimos o utilizados incorrectamente (payload,

exploit, amenaza,riesgo), sin embargo, consi-
dero que en este artculo trat los que llegamos
a escuchar de forma ms cotidiana, cuando
asistimos a una clase, conferencia, curso, taller
o capacitacin relacionada con la seguridad.
15
Vender seguridad informtica
Fausto Cepeda Gonzlez
La venta de seguridad informtica no es una
tarea fcil. Incrementar el nivel de proteccin en
las redes, sistemas y aplicaciones involucra un
esfuerzo extra. Para lograrlo, el rea de sistemas
debe emplear a su personal en estas actividades
y dejar de lado sus tareas cotidianas, as como
dejar o suspender otras actividades con el fin de
atender los pendientes de seguridad. En el peor
de los casos, no slo es tiempo, sino tambin
presupuesto lo que interfiere.
Por lo tanto, atender a la seguridad se percibe
como una carga extra tanto para usuarios como
para administradores de sistemas. Es trabajo
que probablemente no estaba contemplado y
que es resultado de varias situaciones, aqu
muestro algunos posibles escenarios:
Pentest interno o externo. El resultado de
estos ejercicios seguramente va a generar ms
de un hallazgo que tiene que ser solucionado.
Son problemas que no se tenan que remediar
anteriormente.
Consultora de seguridad. Es comn que
en el rea de seguridad informtica se contraten
servicios de consultora para atender alguna
necesidad. Puede tratarse de poner en marcha
un sistema de gestin de seguridad o para
apegarse aun estndar. Tambin sern las reas
de Tecnologas de Informacin (TI) quienes
estarn involucradas en manteneresos procesos
que antes no existan.
Nuevas tecnologas. Para el siguiente ao
hay cambio de marca de firewall perimetral e
instalarn por fin esa red inalmbrica que todos
estn esperando. Pero los de seguridad dicen
que no se puede instalar nueva tecnologa sin
previa revisin. Esas revisiones agregarn otras
tareas a esos proyectos de implementacin.
Recientes problemas de seguridad . A una
tecnologa usada en la organizacin que nunca
haba dado problemas, de pronto le aparecen
vulnerabilidades por doquier y amenazas que
aprovechan sus debilidades.
UNAMCERT
Es necesario cambiar esa tecnologa y con eso, La respuesta ms fcil sera obligarlos. Pero eso
llega un nuevo proyecto. presenta al menos dos problemas. El primero es
que no deberas obligar a la alta direccin (tus
Incidentes de seguridad . Existe la sospecha jefes), esos son terrenos peligrosos. El segundo
de un incidente en la infraestructura de TI. El rea es que las quejas pueden multiplicarse tanto y
de seguridad solicita bitcoras para revisarlas y venir de tantas reas diferentes, que finalmente
tomar alguna accin. Durante esta investigacin, ser el rea de seguridad la que se ver obligada
se consume tiempo de las reas de TI. Sin a modificar sus procedimientos y sus intentos de
mencionar que las acciones correctivas tambin conseguir una seguridad perfecta.
requiere que se involucren otros recursos.
Pues bien, la respuesta que yo propongo no es
Usuarios descontentos. El antivirus hace a tcnica. Es todo lo contrario, se trata de un tema
mi computadora lenta, no puedo entrar a sitios puramente de ventas para ofrecerle a otra
de Internet que necesito para mis labores porque persona una idea atractiva. Esto es algo en lo
estn bloqueados, no me llegan correos porque que deseo puntualizar, porque la gente de
algo los detiene, no puedo ejecutar una seguridad informtica es buena con los bits y
aplicacin porque aparece un mensaje de bytes. Muchas veces ellos entienden mejor a las
seguridad. Seguramente estos usuarios estaran computadoras que a las personas y dominan el
ms felices sin los controles de proteccin. Menos Metasploit, pero no el arte de convencer a un
seguros, pero ms felices. grupo de administradores o usuarios. Hacen
presentaciones tan tcnicas que parece que van
a ir a BlackHat y no a una reunin con los jefes.
De tal forma que el resto de la empresa los ve
como entes raros, como si hablaran de trminos
oscuros, riesgos inentendibles y que dan trabajo
extra a los dems. As es como quieres vender
seguridad a tu empresa?
A continuacin, enlisto tcticas concretas que
podran servir para vender seguridad a nuestra
organizacin. No tienen garanta, porque insisto,
no esun temade ingenierani unacuestin tcnica
a resolver. Sin embargo, quiero recalcar que lo
importante es intentarestas estrategias y, en caso
de no funcionar, continuar insistiendo y creando
otras ideas que puedan dar el resultado deseado.
De otra forma, impulsar los temas de seguridad
informtica ser una labor ardua, tortuosa y con
resultados limitados.

I.- Demuestra de manera prctica las

El reto es: Cmo conseguir que exista inters
consecuencias. Llevar a cabo pruebas de
seguridad internas (como pentest) es ideal para
demostrar los riesgos de no incrementar las
protecciones. Considero mucho mejor este
UNAMCERT

por la seguridad? Cmo lograr que los
administradores destinen tiempo y recursos para
temas de seguridad informtica? Cmo poner
a la alta direccin del lado de seguridad? Cmo
persuadir a los usuarios para que cooperen?
mtodo que dar una presentacin en PowerPoint
donde se expone lo que podra pasar. Siempre
es mejor demostrar la consecuencia de manera
prctica y en vivo. stas quedan claras cuando
se visualiza, por ejemplo, que es posible extraer
17
informacin de una base de datos importante V.- Presenta con el afn de que te entiendan .
desde Internet. Yporcierto, anadie le vaaimportar No ests frente al pblico de BlackHat. Tampoco
la tcnica usada, cunto esfuerzo pusiste ni cmo ests en DefCon. Ests en tu empresa. Presenta
funciona el hackeo. Habla de consecuencias. de tal manera que quede claro a tu pblico de lo
que ests hablando. Explica cualquier trmino
complicado. Como ya dije, habla de
II.- Prestar recursos a los departamentos de consecuencias. La cantidad de tecnicismos que
informtica. Las reas de TI se quejan de que uses debe reducirse conforme presentas a gente
les das ms trabajo con cada revisin, consultora de jerarquas ms altas. Tal vez valga la pena
opentestquehaces. Estarasdispuestoaprestar que vayas alguna vez a una junta o conferencia
una persona de seguridad informtica a esas de economistas o de abogados. Cuando
reas? Este recurso les ayudar a solucionar un entiendas un 30% de lo que ah se dice, sabrs
par de tus hallazgos. Dirn que les diste ms cmo se sienten los dems en tus exposiciones.
trabajo, pero apreciarn que les ofrezcas un
recurso humano tuyo para que ellos no distraigan
tanto alos suyos. Laideaes que en verdad prestes VI.- Usar tecnicismos no te hace ver ms
a tu recurso y que no slo se quede en una buena inteligente. A propsito del punto anterior. Usas
intencin. trminos como buffer overflow, sql injection o
cross site scripting? Crees que hablar as te
hace ver superior porque no te entienden? Mal.
III.- Proyeccin de la seguridad al resto de la Si no te entienden, el mensaje completo no llega
empresa. No slo hablo de las reas de TI, sino al destinatario. Eso no es muy inteligente. Sobre
del resto de tus usuarios. Haces algo con ellos todo si le ests explicando un riesgo a alguien
para explicarles los beneficios de tus controles que toma decisiones. No tendr el entendimiento
de seguridad? Conferencias, boletines, correos suficiente para impulsar tus iniciativas.
o artculos en la Intranet? Armas seguido algn
programadeconcientizacin (securityawareness
por su trmino en ingls)? Recabas los
comentarios de tus usuarios por medio de
encuestas? Das cursos internos dirigidos a la
seguridad informtica del hogar de los usuarios?
Evala la relacin que tiene la seguridad
informtica con el resto de la organizacin.

IV.- Antes deinstalar, avisa ytrata depersuadir

a tus usuarios. Vas a poner un antivirus en
cada computadora? Un producto de listas
blancas? Un nuevo firewall a nivel aplicacin?
Avisa! Informa con sobrada anticipacin de lo
que vas a implementar y de las ventajas de esa
nueva herramienta. Explica si implicar algn
trabajo extra para el resto de las reas en el futuro.
Haz presentaciones sobre el cambio yadelntate,
como buen pastor, a persuadir a tu rebao para
que siga tu camino. No te vayas al extremo de
UNAMCERT

pedirles las cosas a ver si las quieren; pero

tampoco a que no estn enterados de tus planes.
Siempre que puedas, evita poner el nuevo
producto de un da para otro.

18
VII.-Vemsalldevender, hazquetecompren.
Ve al consultorio de un buen doctor. Siempre
estar lleno. Los pacientes van a l. Es su salud.
El doctor no les est llamando para que acudan
a una visita. No tiene que ir a vender sus servicios
de casa en casa, sus pacientes van y lo buscan.
No vende, ya hizo que ellos compraran por s
solos. Obviamente es porque ofrece un buen
servicio y es bueno en lo que hace.
T tambin puedes lograr que tus usuarios y
administradores acudan a ti? Que perciban que
es mejorircontigo que no iryestardesprotegidos?
Si lo logras, estars ms all de la venta de la
seguridad, habrs llegado a lo que yo considero
el nirvana: que ellos compren la seguridad.

Fausto Cepeda Gonzlez

Es Ingeniero en Sistemas Computacionales por

el ITESM. Es Maestro de Seguridad de la
Informacin por la Universidad de Londres (Royal
Holloway). Actualmente labora en la Subgerencia
de Seguridad Informtica del Banco de Mxico.
Tambin cuenta con las certificaciones de
seguridad CISSP, CISA, CISM y CEH.

UNAMCERT

19
Seguridad de la informacin en
salud, un sector olvidado
Miriam J. Padilla Espinosa
En un mundo hiperconectado, la incorporacin
de tecnologas ha evolucionado la forma en que
se crea la informacin, en su intercambio,
almacenamiento y difusin. Ha dado lugar a
nuevas amenazas que afectan la
confidencialidad, disponibilidad y la integridad
de los datos, es decir, la seguridad de la
informacin. Esta situacin no es nica de
sectores como el financiero o el tecnolgico, ni
exclusiva de grandes empresas o instituciones.
El sector salud en Mxico enfrenta grandes retos
en materia de seguridad de la informacin, en
los ltimos aos se han incorporado nuevas
tecnologas como una medida para renovar y
agilizar la prestacin de servicios, esta situacin
se ha visto reflejada recientemente en las
estrategias del gobierno mexicano.
La recin liberada Estrategia Digital Nacional
tiene como objetivo mejorar el uso de la
tecnologa para contribuir al desarrollo del pas,
cinco objetivos son los que conforman dicha
estrategia. En aspectos relacionados con la
salud, el objetivo nmero cuatro, denominado
Salud Universal y Efectiva, fue creado con la
finalidad de aprovechar la incorporacin de las
tecnologas de informacin ycomunicacin como
medio para aumentar la cobertura, el acceso y
la calidad de los servicios de salud, otra de las
finalidades es lograr el uso eficiente de la
infraestructura y los recursos destinados a
proveer el servicio de salud a la poblacin.
Previamente, existan ya iniciativas de integrar
los datos clnicos en un expediente electrnico,
de hecho, algunas entidades ya lo han
implantado, junto con algunas otras leyes en
Mxico que regulan en el sectorpblico yprivado,
la proteccin de los datos personales, los datos
personales sensibles y las Normas Oficiales
Mexicanas (NOM) en materia de salud. Algunas
de ellas son la NOM-004-SSA3-201 2 del
UNAMCERT
expediente clnico, la NOM-024-SSA3-201 0 de elementos es modificado o gestionado de forma
Sistemas de Informacin de Registro Electrnico inadecuada, afectar el equilibrio del modelo.
para la salud y en cuanto a intercambio de El resultado del anlisis aplicado al sector salud
informacin en salud, la NOM-035-SSA3-201 2. en Mxico se presenta a continuacin:
Todas estas iniciativas, si bien son de gran ayuda, 1 . Diseo y estrategia de la organizacin
deben ir de la mano con una estrategia en materia El Sistema Nacional de Salud en Mxico fue
de seguridad de la informacin que considere la creadoen cumplimientoal derechoalaproteccin
gestin de nuevos riesgos asociados a la de la salud que toda persona tiene, segn lo
incorporacin de las TIC. Esta estrategia debe establece el artculo 4 de la Constitucin Poltica
ser evaluada previamente, considerando la de los Estados Unidos Mexicanos, formalmente
problemtica a nivel organizacional que enfrenta seencuentradefinidoen laLeyGeneral deSalud.
el sector, la prevaleciente resistencia al cambio
y la falta de conciencia sobre temas relacionados Los principales objetivos de este sistema son:
con la seguridad de la informacin. De no proporcionar servicios de salud a toda la
considerarse estos factores, podran convertirse poblacin, colaborar con el bienestar social, dar
en una gran limitante. impulso al desarrollo de la familia y comunidades
indgenas, apoyaren lamejorade las condiciones
Para identificar los retos en materia de seguridad sanitarias y promover el conocimiento y
de la informacin que enfrenta el sector salud en desarrollo de la medicina tradicional,
Mxico, se realiz un anlisis tomando como principalmente. Para el cumplimiento de sus
base el modelo de negocio para la seguridad de objetivos son considerados el Plan Nacional de
la informacin (vese figura 1 .1 ) desarrollado por Desarrollo y el Programa Nacional de Salud.
el Dr. Laree Kiely y Terry Benzel en Institute for
Critical Information Infrastructure Protection El Sistema de Salud de Mxico se divide en dos
(Instituto de Infraestructura de Proteccin para sectores: el pblico y el privado. La siguiente
la Informacin Crtica) en la escuela de negocios tabla presenta las instituciones que forman parte
Marshall School of Business de la Universidad de cada sector:
del Sur de California de EUA. La estructura funcional del Sistema de Salud en
Mxico est integrada por tres niveles de
atencin, se describen brevemente en la Figura
1 .2.
Sector pblico Sector Privado
Instituciones de Compaas
seguridad social: aseguradoras.
Instituto Mexicano de
Seguridad Social (IMSS) Prestadores de
Instituto de Seguridad y servicios que laboran en
Servicios Sociales de los consultorios, clnicas y
Trabajadores del Estado hospitales privados.
(ISSSTE)
Petrleos Mexicanos
(PEMEX) Servicios de medicina
Secretara de la alternativa.
Defensa (SEDENA)
Secretara de Marina
(SEMAR)
Figura 1. 1 Modelo de negocio para la seguridad Instituciones para
informacin poblacin sin
UNAMCERT

seguridad social:
El modelo se representa grficamente como una Secretara de Salud
(SSA)
pirmide conformada por cuatro elementos Servicios Estatales de
unidosmedianteseisinterconexionesdinmicas, Salud (SESA)
Programa IMSS-
todas las partes que integran el modelo Oportunidades
interactan entre s. Si cualquiera de los Seguro Popular
21
Mxico cuenta con una amplia red de atencin adopcin efectiva de la tecnologa para mejorar
mdica, resultado de la inversin que el gobierno los procesos institucionales.
federal ha designado para mejorar la prestacin Tambin es necesario considerar controles ms
de servicios de salud. Segn datos del Banco rigurosos para los proveedores y personal
Mundial, este hecho que se ve reflejado en un externo que brinda productos o servicios a las
incremento del porcentaje del PIB destinado para instituciones de salud.
gastos de salud, de un 5.8 % en el ao 2008, a
un 6.2 % en el ao 201 1 . Ladecisin hafavorecido
a las instituciones de salud en Mxico,
fortaleciendo la infraestructura y mejorando los
recursos tecnolgicos disponibles para la
prestacin de los servicios de salud a la pobla-
cin.
2. Personas
Es fundamental realizar mayores esfuerzos para
lograr la capacitacin y concienciacin del
personal administrativo y mdico que labora en
las instituciones de salud en Mxico, sobre todo,
en los aspectos relacionados con la seguridad
de la informacin. Es importante que conozcan
las amenazas, las vulnerabilidades y las
principales tcnicas de ataques que pudieran
afectar, tanto la operacin de la institucin como
UNAMCERT

la confidencialidad, integridad y disponibilidad de

los datos clnicos.
Otro aspecto importante a considerar es la
resistencia al cambio. En algunas instituciones
ha sido una gran limitante que ha impedido la
22
Interconexin Resultados
Gobierno Las instituciones de salud deben fortalecerse en este mbito para garantizar el
cumplimiento de los objetivos. Deben integrar o mejorar la gestin de sus riesgos de
manera que les permita actuar de forma proactiva, as como mejorar las estrategias
que actualmente se tienen implantadas para verificar el uso responsable de los
recursos institucionales, reduciendo con ello los fraudes y eventos que puedan afectar
la continuidad o causar daos en los activos.
Cultura El gran reto en este rubro est enfocado en reducir la divisin que existe entre el
personal mdico y el administrativo, adems de realizar programas efectivos de
concienciacin en materia de seguridad de la informacin para generar una cultura en
la materia.
Habilitacin y La labor en este aspecto se relaciona con llevar a cabo una reingeniera de procesos
soporte con el objetivo de mejorarlos en cada una de las instituciones de salud. El resultado
ser que stos sean prcticos y fciles de poner en marcha. Si son transparentes
para el personal, podrn salir adelante de mejor manera. El fortalecimiento con
buenas prcticas, normas, polticas y estndares no se debe dejar de lado. Si bien la
mayora de las instituciones cuentan con stos a nivel documental, en algunas
entidades no se encuentran realmente implementados.
Surgimiento La resistencia al cambio ha impactado esta interconexin en el sector pblico de
salud, que en gran parte ha sido el resultado de incorporar tecnologa sin llevar a
cabo de forma previa una evaluacin sobre el impacto a nivel organizacional que
dicho cambio traer en consecuencia.
Factores Es necesario que los desarrollos y tecnologas a ser implantadas tomen en cuenta la
humanos experiencia de los usuarios de dichos recursos con el objetivo de reducir errores por
desconocimiento o generados por la resistencia al uso de los recursos tencnolgicos.
Arquitectura Es fundamental que las instituciones de salud, una vez que identifiquen sus
necesidades en materia de seguridad, incorporen una arquitectura que incluya los
controles requeridos para la proteccin de sus activos, al tiempo que permita a las
entidades de salud ser proactivas con sus decisiones de inversin en materia de
seguridad.

De igual forma, se deben mejorar los controles la repblica deben realizar sus actividades bajo
de acceso. En algunas instituciones stos son condicionessimilares,adems,esindispensable
deficientesdebido alagran demandadel servicio,
que sin duda se vuelve un asunto prioritario que
deja para despus los temas y controles
relacionados con la seguridad de la informacin.
3. Procesos
Las instituciones de salud cuentan con diversos
procesos para llevar a cabo sus actividades
diarias, sin embargo, en la operacin, los
procedimientos asociados se exceden en
trmites. Esta situacin genera mayores tiempos
de espera, descontento por parte de los usuarios
del servicio y, en el peor de los casos, puede
afectar la vida misma de los pacientes, resultado
de errores en los procedimientos o exceso en
los tiempos de espera.
UNAMCERT

Los procesos deben ser difundidos

adecuadamente y se deben llevar a cabo
acciones para monitorear su cumplimiento bajo
un esquema de indicadores y mtricas.
En cuanto a la estandarizacin de los
procedimientos, las entidades de los estados de
23
incorporarprocesosyprocedimientosen materia
de seguridad de la informacin en donde se
definan claramente los roles y responsabilidades
de los involucrados. Esta accin contribuir a
cambiar de un enfoque de respuesta reactivo a
uno proactivo.
4. Tecnologa
Con la finalidad de generar una mejora en la
operacin de este sector, se han incorporado
nuevas tecnologas que permitan brindar el
servicio a una cantidad mayor de usuarios, una
de ellas, es lainiciativade incorporarel expediente
clnico electrnico.
En la actualidad, las instituciones cuentan con
dos modalidades de expedientes, la versin fsica
y la digital. La implantacin de sistemas de
informacin como stos, desarrollados sin
considerar la experiencia de los usuarios
(mdicos, administrativos o enfermeras) ha
ocasionado una resistencia a su adopcin o bien,
informacin incompleta en los expedientes.
El Sistema de Salud en Mxico enfrenta grandes
retos, tanto anivel organizacional como operativo,
por un lado es necesario ampliar la cobertura del
servicio y por otro mejorar la calidad y eficiencia
de las instituciones que se encuentran
actualmente en operacin. Dado el crecimiento
de la poblacin, stas se encuentran saturadas
y con escasos recursos, complicando significa-
tivamente la prestacin de servicios que
garanticen la satisfaccin de los usuarios.
Para dar una mejor respuesta a las necesidades
de la poblacin en materia de salud, es necesaria
una planeacin interinstitucional de largo plazo,
con estrategias claramente definidas, una mejor
administracin de riesgos, as como el compro-
miso y corresponsabilidad entre instituciones.
Adems, es fundamental considerar los controles
necesarios para garantizar la proteccin de la
informacin que es creada, almacenada y
transmitida en las instituciones de salud.
Como resultado de este anlisis, podemos
identificar grandes oportunidades para proponer, laTecnologadel Posgrado de laFCAde laUNAM.
actuary, como profesionales, contribuirpormedio Cuenta con experiencia en implementacin de
de conocimientos, tecnologas y personal
calificado a mejorar la seguridad de la informacin
Referencias
Moreno Altamirano, L, & Castro Albarrn, JM. (2010). La
salud pblica y el trabajo en comunidad (M. G. Hill Ed.
Primera Edicin ed.).
Leal, Hctor Vzquez, Campos, Ral Martnez, Domnguez,
Carlos Blzquez, & Sheissa, Roberto Castaeda. Un
expediente clnico electrnico universal para Mxico:
caractersticas, retos y beneficios.
Salvador Rosas, Griselda. (2007). La proteccin de los
datos personales en expedientes clnicos, un derecho
fundamental de todo individuo. (Licenciado en Derecho
Licenciatura), UNAM.
Snchez-Gonzlez, JM, & Ramrez-Barba, EJ. El
expediente clnico en Mxico.
http://www.isaca.org/KnowledgeCenter/Research/
Documents/Intro-Bus-Model-InfoSec-22Jan09Research.
pdf
http://www.presidenca.gob.mx/estrategia-digital-
nacional-para-transformar-a-mexico/
http://bvs.insp.mx/rp/articulos/articulo_e4.php?id=00262
5
http://www.diputadosgob.mx/LeyesBiblio/pdf/1.pf
http://www.diputados.gob.mx/LeyesBiblio/pdf/142.pdf
http://dof.gob.mx/nota_detalle.php?codigo=5280848&fe
cha=30/11/202
http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-
SSA3-2010_SistemasECE.pf
http://www.dof.gob.mx/nota_detalle.php?codigo=52727
87&fecha=15/10/2012
http://pnd.gob.mx/
Miriam J. Padilla Espinosa
Ingeniera en Computacin egresada de la
Facultad de Ingeniera de la UNAM. Colabor en
la Subdireccin de Seguridad de la Informacin
(SSI/UNAM-CERT) en el rea de Auditora y
UNAMCERT
Nuevas Tecnologas como responsable del
proyecto de implementacin de ISO 27001 .
Actualmente es maestrante en Administracin de
ISO 27001 y Gobierno de TI.
24
Copyright Prevent Copy:
Protocolo BPS
Jess Nazareno Torrecillas Rodrguez
Cada vez que vamos a un auditorio, saln de
actos, cine, etc., presenciamos cmo las
personas toman fotos o graban las sesiones y a
nadie parece importarle esta situacin pues,
debido a las continuas violaciones del copyright,
la mayora de la gente piensa o cree que estas
acciones no son ilegales.
Es bien conocido que muchos artistas, para
poder sobrevivir, se dedican a dos profesiones
ya que su actividad artstica, incluso, llega a
costarles dinero debido a los graves efectos de
la piratera sistemtica de sus producciones.
En general, la gente considera que el hecho de
fotografiar a un artista, grabarle en un concierto,
enviar fotos tomadas en un evento o subir a la
red grabaciones domsticas, no es materia de
delito. La realidad es distinta. De hecho, como
est establecido judicialmente en la mayora de
los pases: El desconocimiento de la ley no
exime su cumplimiento. Lo que en palabras
llanas quiere decir que las leyes estn para
cumplirlas, aunque se desconozcan.
Qu hacen los cines, salas de exhibicin, salas
de conciertos y auditorios (los responsables de
los eventos) para evitar que el pblico filme,
fotografe y grabe en su paso por esos recintos?
Poca cosa, ya que se podra afirmar que cada
asistente a un evento porta un telfono con
cmara incorporada.
Cmo se defienden los artistas ante la
UNAMCERT
sistemtica violacin del copyright de sus obras?
Pareciera que a priori tienen la batalla perdida
tras la incorporacin, hace pocos aos, de
cmaras en los telfonos mviles.
25
Sin embargo, la respuesta depende de muchos unaseal perturbadoraque impide que el telfono
factores: Educacin del pblico, costo de las reciba o efecte llamadas, creando lo que se
actuaciones, nivel social de los asistentes, conoce como zona de sombra. El problema de
jurisprudenciadel pas, capacidad de laautoridad los perturbadores o bloqueadores telefnicos
para prevenir estos delitos, inters de los descritoses, queparaquelostelfonossequeden
empresarios en contribuir en la prevencin de sin seal, deben emitir una frecuencia igual a la
estas actividades, etc. de los telfonos, pero con mucha mayor potencia.
Esto es pernicioso a todas luces para la salud
Una pregunta que yo me he planteado es, son humana, ya que los telfonos trabajan en
responsables los fabricantes de los telfonos frecuencias de varios gigahercios (microondas).
mviles del incremento de las sistemticas
violaciones del copyright? Esta pregunta es El BPS bsicamente consiste en una
similar a decir que son los fabricantes de armas combinacin de estrategias por parte de los
los responsables del aumento de los crmenes. fabricantes de telfonos y de los dueos de las
Yo me atrevera a decir que directamente no lo salas de exhibicin, cines, auditorios, etc. De
son, pero indirectamente s. Es muy posible que acuerdo a lo siguiente:
sin armas no hubiera tantos crmenes, entonces
las armas, son hasta cierto punto, facilitadoras 1 Protocolo propiamente dicho. Se tratara de
de delitos. Igual ocurre con los telfonos mviles que todos los telfonos aceptasen instrucciones
que cuentan con cmara de fotos y sistema de en una frecuencia modulada FM del orden de
grabacin incorporados. pocos MHz en modulacin PCM (Pulse Code
Modulation).
Por ello, m planteamiento es muy simple y
verstil. Los fabricantes de telefonas mviles y 2 Instalacin de transmisores de muy baja
de smartphones se pueden poner a trabajar en potencia en lugares pblicos que emitiesen en
conjunto en lo que yo llamo un nuevo protocolo la frecuencia modulada FM de pocos MHZ en
integrado en WIFI 4G. Se tratara de lo que yo modulacin PCM.
he denominado Protocolo BPS (Blocked Phone
System) 3 Como las frecuencias de pocos MHz en
modulacin PCM no se interfieren con las de
En muchos lugares, salas, auditorios, iglesias, y GHz, los telfonos podran recibir instrucciones
con el fin de evitar que el pblico asistente pueda de la estacin emisora local instalada en los
perturbar la tranquilidad del lugar con llamadas auditorios con el fin de que el telfono, al recibir
telefnicas, se instala lo que se denomina la seal codificada, automticamente
bloqueadores telefnicos. Hay de dos tipos: desconectase sus funciones.
La situacin sera la siguiente:
A medida que el pblico entre en la sala y sus
telfonos reciban la orden desde el transmisor
FM-PCM podran considerarse varias acciones:
1 Apagado automtico del equipo. Cuando el
usuario intentase reactivarlo, ste
automticamente se volver a desactivar sin
llegar al encendido operativo.
UNAMCERT

2 Bloqueo de algunas funciones del equipo,

como llamar, tomar fotos, tomar vdeo, etc.
3 En el auditorio se podra indicar un semforo
Dinmicos, cuando detecta emisin de o aviso ptico indicando a los asistentes que a
frecuencias; y estticos, es decir, siempre emiten partir de ese punto sus telfonos quedarn
26
bloqueados interrumpiendo todas o algunas
funciones.
4 Slo en los tiempos de descanso del evento
se podran activar manualmente algunas
funciones, como llamadas, pero no grabacin ni
captura de fotos.
Considero que es una buena solucin de
compromiso en eventos pblicos.
Sin embargo, an quedara pendiente ver las
implicaciones jurdicas y operativas de
implementar este tipo de protocolos en el campo
real.

5 Al reiniciar el evento se bloquearan de nuevo

las funciones del telfono. Jess Nazareno Torrecillas Rodrguez

6 A la salida del recinto los telfonos volveran Actualmente es CISO en la compaa Axtel.
a su operacin normal. Graduado con Excelencia como Director de
Seguridad de Empresa (D.S.E.) Por la
Correspondera al trabajo conjunto entre los Universidad Pontificia de Comillas en Madrid
operadores de eventos, las compaas de (UPCO). Realiz cursos de Ingeniera Tcnica
servicios telefnicos y los fabricantes de estos en Telecomunicaciones en la EUITT de Madrid.
dispositivos, implementar una tecnologa Ha estudiado Electrnica Digital y
adecuada para al manejo de la privacidad en el Microprocesadores orientados a robtica en
campo de los eventos masivos. Asimismo, el diferentes centros de estudios privados en
trabajo se llevara a cabo de la mano con el marco Espaa.
legal existente en cada uno de los pases en
UNAMCERT

donde se piense implementar una tecnologa

como esta.

27
Revista .Seguridad Cultura de prevencin para TI
No.20 / abril-mayo 201 4 ISSN: 1 251 478, 1 251 477
UNAMCERT