Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Am b i e n te s p ti m os
Universidad Nacional Autnoma de Mxico. Direccin General de Cmputo y Tecnologas de informacin y comunicacin. Subdireccin de
Seguridad de la Informacin/UNAM-CERT. Revista .Seguridad Cultura de prevencin para TI M.R. , revista especializada en temas de seguridad
del UNAM-CERT. Se autoriza la reproduccin total o parcial de este contenido con fines de difusin y divulgacin de los conocimientos aqu
expuestos, siempre y cuando se cite completa la fuente y direccin electrnica y se le de crdito correspondiente al autor.
Editorial
Ambientes ptimos
De la incertidumbre a la accin segura
UNAMCERT
expuestos a amenazas y constituyen otra lnea vulnerables ante cualquierposible ataque (Figura
de accin para los atacantes. 2).
del servidor de procesamiento, cuya funcin es Se debe considerar la utilizacin de VLANs3 para
alojar los archivos de cada una de las mquinas la separacin del trfico entre mquinas virtuales,
virtuales a travs de interfaces, ya sea de tipo lo que permitir cierto nivel de aislamiento entre
iSCSI 2 o Fiber Channel. Al interconectarse con cada una de ellas. La utilizacin de firewalls
el servidor de procesamiento, utiliza canales de personales en cada una de las mquinas tambin
comunicacin que nuevamente quedan constituye una lnea de defensa, puede
05
administrar el trfico de red permitido desde y Ejemplos de soluciones aplicables a
hacia cada una de las mquinas. Otra opcin es seguridad virtual
el empleo de switches virtuales, stos pueden Shavlik Technologies:
segmentar la red y controlar el trfico, sobre todo ShavlikNetChkConfigure es una solucin para la
cuando varias mquinas virtuales hacen uso de gestin de configuraciones que audita y hace
una sola interfaz fsica (Figura 3). Mantener cumplir las configuraciones de seguridad en una
actualizados los sistemas tambin representa un red.
menor riesgo en ambientes virtuales.
Sistema de respaldo BackupExec 1 2.5 de
Se puede hacerusode herramientascomerciales Symantec Corp.: Esta solucin de Symantec
para ayudar a resolver este tipo de problemas permite el respaldo de servidores virtuales a
de seguridad virtual, tanto en entornos virtuales travs de la instalacin de un cliente enfocado
puros como en mixtos. especficamente a entornos virtuales.
VMware: VMware vCloud Networking and
Security Edge ofrece una puerta de enlace de
servicios de seguridad para proteger el permetro
del centro de datos virtual.
Check Point: Secure Virtual Network (SVN)
asegura las comunicaciones business-to-
business entre redes, sistemas, aplicaciones y
usuarios a travs de Internet, intranets y
extranets.
Microsoft: Microsoft integra servicios de
seguridad a entornos virtuales, en algunos casos
integrados a sus soluciones, por ejemplo en
Hyper-v a travs de Windows Authorization
Manager y en otros, con la integracin de
soluciones de terceros.
Figura 3. Esquema de servidores virtuales con
mecanismos de seguridad instrumentados. Dado que la complejidad de los sistemas de
tecnologa va en aumento, se podra decir que
Qu hacer para asegurar los entornos la seguridad en entornos virtuales se ha colocado
virtuales? en la cima de dicha complejidad. Requiere, por
Al igual que cualquier componente fsico de TI, parte de los administradores de sistemas, una
se debe comenzar con un plan de interaccin con los sistemas virtuales igual o
instrumentacin de seguridad para los entornos mayor a la que demandan los ambientes fsicos,
virtuales, un buen punto de inicio es consultar a pero con un nivel de abstraccin superior. Los
los principales proveedores de soluciones, los administradores requieren, en principio, de un
cuales son unos de los primeros involucrados en buen o excelente entendimiento de los sistemas
el tema debido a la relevancia que tiene la tradicionales para una mejor comprensin de los
seguridad en ambientes virtuales. entornos virtuales.
Algunos documentos como VMWareSecurity Es importante mencionar que el tema de
UNAMCERT
BestPractices, Hyper-V Security BestPractices seguridad virtual tratado en este artculo es slo
(201 0) y otros disponibles en los diferentes una introduccin a esta rea de la tecnologa,
portales, permiten a los administradores de TI pues bien podra ser considerada como un rea
evaluar el tema y comenzar, en el caso de no de especialidad para los administradores de
haber considerado antes la instrumentacin de sistemas. En tal caso se deben tomar en cuenta,
seguridad para sus entornos virtuales. entre otros aspectos: el anlisis de vulnerabili-
06
dades en entornos virtuales, polticas, Enrique Snchez Gallardo
tecnologas y mejores prcticas, as como tomar
en cuenta que este tipo de entornos no operan Director de TI de El Colegio de Michoacn, A.C.,
de igual forma que los fsicos. Sin embargo, al Centro Pblico de Investigacin CONACYT.
igual que en stos ltimos, existen herramientas
que ayudan a proteger y mantener la integridad Es miembro del Grupo de trabajo Maagtic-SI del
de los entornos virtuales a travs de una buena Consejo Asesor en Tecnologas de Informacin
administracin de la seguridad virtual. del CONACYT. Candidato a Doctor en Ciencias
de la Administracin por la Universidad del Valle
de Atemajac, Plantel Len. Maestro en
1SAN (Storage Area Network), Sistema de Computacin por la Universidad del Valle de
Almacenamiento en Red Atemajac, Plantel Guadalajara.
2Abreviatura de Internet SCSI: es un estndar que permite
el uso del protocolo SCSI sobre redes TCP/IP Es Licenciado en Informtica por la Universidad
3Acrnimo de virtual LAN (red de rea local virtual) de Zamora y docente Universitario en las reas
de Ingenieras, Mercadotecnia y
Administracin de la Universidad del Valle de
Referencias Atemajac, Plantel Zamora.
Polze, A. and Trger, P. (2012), Trends and challenges in
operating systemsfrom parallel computing to cloud
computing. Concurrency Computat.:Pract. Exper., 24:
676686. doi: 10.1002/cpe.1903
http://www.etekreycom.com.ar/tecno/proveedor/check_
point.htm
07
Mitos y realidades de la Internet
profunda
Juan Armando Becerra Gutirrez
han entremezclado y que si bien, son igual o ms origen al trmino navegar en la web, saltamos de
sorprendentes que las mismas leyendas a su una pgina web a otra porque existe una
alrededor, se encuentran detrs de mucha interrelacin directa con cada sitio indexado en
niebla. un buscador.
08
La red profunda, por su parte, es una porcin de dicho contenido. Este tipo de datos son los que
Internet a la que slo se puede acceder a travs forman parte de la red oscura, oculta o invisible.
de la consulta exacta dentro del contenido de
alguna base de datos. Para visitar una pgina no Las redes virtuales privadas (virtual private
indexada por un navegador, hay que conocer la networks o VPN) son tecnologas que
corresponden a esta clasificacin de red oscura
direccin o ruta exacta de ese sitio en particular.
y de hecho, son sus principales representantes.
Existen varias razones para que un contenido, es Estas redes corresponden a infraestructura y
decir, cualquier tipo de archivo y no slo sitios contenidos que se pueden acceder nicamente
web, no seaindexado ypertenezcaala deepweb: a travs de un software especfico, uno de los
ejemplos ms representativos es TOR.
Tiene mecanismos o interfaces poco
amistosas con los bots de los buscadores.
Es un contenido aislado, sin ligas que hagan TOR, The Onion Router
referencia a otros sitios y viceversa.
Son subdirectorios o bases de datos TOR es un proyecto diseado e implementado
restringidas. por la marina de los Estados Unidos,
Son contenidos no basados en html o posteriormente fue patrocinado por la EFF
codificados (por ejemplo, slo contienen (ElectronicFrontierFoundation, unaorganizacin
JavaScript, Flash, etc.) en defensa de los derechos digitales).
Es un contenido protegido por contrasea o Actualmente subsiste como TOR Project, una
cifrado. organizacin sin nimo de lucro galardonada en
201 1 por la Free Software Foundation por permitir
A partir de estos conceptos, podemos ver que que millones de personas en el mundo tengan
gran parte del contenido de Internet es deep web libertad de acceso y expresin en Internet
(se presume que alrededor del 90%), esta manteniendo su privacidad y anonimato.
informacin no siempre est optimizada para el
uso humano o est diseada para ser
explcitamente usada bajo ciertos protocolos y
tecnologas. Por ello se han desarrollado
herramientas como buscadores especializados
o navegadores web con caractersticas
especiales, permitiendo que disciplinas como
data mining, big data u open source intelligence
utilicen todos los datos disponibles y no slo los
ms evidentes proporcionados por los
buscadores tradicionales.
TOR es una red de tneles virtuales que permite
Red oscura a los usuarios navegar con privacidad en Internet,
a los desarrolladores, crear aplicaciones para el
Dentro de la red profunda hay una clase especial intercambio de informacin sobre redes pblicas
de contenidos que han sido diseados para sin tener que comprometer su identidad, ayuda
permanecer ocultos o en secciones separadas a reducir o evitar el seguimiento que hacen los
de las capas pblicas de Internet. Como se ha sitios web de los hbitos de navegacin de las
explicado anteriormente, una pgina sin una URL personas y a publicar sitios web y otros servicios
UNAMCERT
medio de pago representa el gran cambio para proyecto TOR a raz de los escndalos de
el mercado negro digital. TOR proporciona una espionaje de la NSA han aumentado
plataforma para que diferentes criminales den a drsticamente.
conocer sus productos e intereses y los bitcoins
han optimizado los medios de pago, permitiendo Ms all de las controversias sobre privacidad,
transacciones de difcil seguimiento. la deep web es, principalmente, un cmulo de
10
informacin que puede ser aprovechada por
investigadores y entusiastas, un rea de trabajo
emocionante y poco entendida por el pblico en
general debido a todas esas leyendas que giran
alrededor de ella.
Referencias
Rodrguez Darinka, El lado oscuro del comercio en
internet
https://www.torproject.org/ EFF
http://deep-web.org/
http://www.dineroenimagen.com/2013-08-22/24860
UNAMCERT
11
Hablando correctamente de
seguridad de la informacin
Jos Luis Sevilla Rodrguez
as como tambin proporcionar los significados adems de otros que se utilizan como si fueran
correctos. sinnimos. Mi teora sobre estos errores radica
en que las palabras en ingls para la accin ya
"Errores que cometen mencionada es encrypt y su contraparte
especialistas, ingenieros, decrypt. As, es posible que se quieran traducir
administradores, etc." como cognados debido a que la mayora de la
12
informacin sobre temas relacionados a mismo y se propaga sobre una red.
seguridad se encuentra en ingls. Explota vulnerabilidades afectando a un
gran nmero de computadoras.
El trmino encriptar est compuesto del prefijo Puede enviarse de forma automtica
en y de la palabra cripta (un lugar subterrneo mediante correo electrnico.
en donde se puede enterrar a los muertos), es
decir, significa enterrar en un cripta. Sin Troyano:
embargo, la etimologa de la palabra
criptografa viene del griego o (krypts), Programa malicioso que intenta suplantar
que significa oculto. Por tanto, la palabra un software legtimo.
encriptar no cumple con el significado de Tiene diversos propsitos
criptografa. malintencionados, como obtener estadsticas
de actividad de exploracin en Internet de la
De acuerdo a la RAE, cifrar se refiere a vctima, informacin sensible y acceso remoto.
transcribir en guarismos, letras o smbolos, de
acuerdo con una clave, un mensaje cuyo Si nuestro equipo personal o estacin de
contenido se quiere ocultar. Por lo tanto, en el trabajo comienza a hacer actividades no
argot de seguridad y con base en mi experien- autorizadas e inusuales, es posible que no
cia, la forma correcta de referirse en espaol a sepamos si es un virus, gusano o troyano.
la accin de ocultar y revelar informacin Entonces, podemos decir que el dispositivo se
mediante un algoritmo de cifrado, es cifrar y encuentra infectado con malware (acrnimo de
descifrar. Malicious Software), ste es el nombre que se
le da al conjunto de software listado
anteriormente, aunque puede incluir a otros
Virus, gusano y troyano ms.
Cuando un usuario detecta comportamiento
inusual en su computadora suele atribuirlo a un
virus, aunque el equipo de cmputo no haya
sido revisado por un especialista o el antivirus
no lo haya determinado. Lo ms probable es
que sea una vctima de software malicioso,
existen muchos tipos distintos. Para entender
con claridad el problema que tiene el equipo,
es importante saber cules son las diferencias
entre algunos trminos.
Virus:
Requiere la intervencin del usuario para
ejecutarse o propagarse.
Se copia en el equipo sin el consentimiento
del usuario para causar acciones maliciosas.
Suele esconderse dentro de ciertos
procesos del sistema operativo (por ejemplo
svchost.exe o explorer.exe en Windows).
UNAMCERT
Gusano:
Programa malicioso que se replica a s
13
Hacker y cracker Evaluacin de seguridad,
hacking tico y pruebas de
En diversos medios de comunicacin podemos
encontrar noticias sobre ataques informticos, penetracin
denegacin de servicio, defacement, robo de
informacin, entre otros, comnmente estas Estas tres frases frecuentemente se utilizan de
acciones se atribuyen errneamente a los manera indistinta; y aunque no significan lo
hackers. El trmino hacker se refiere a una mismo, tienen cierta relacin entre ellas pues
persona experta en tecnologa, capaz de conforman un todo. En la imagen 1 , se observa
identificar fallas o explotar vulnerabilidades de que las pruebas de penetracin pertenecen al
sistemas, pero su inters es acadmico, hacking tico y, a su vez, forman parte de una
educativo o de investigacin. Cuando los hackers evaluacin de seguridad.
detectan un problema de seguridad, lo informan
al dueo del activo vulnerable para que se
solucione y as, evitar que sea aprovechado por
un delincuente informtico.
En la mayora de los casos, los protagonistas de
ataques cibernticos son los crackers, individuos
queaprovechan vulnerabilidadesocomprometen
sistemas informticos de manera ilegal, su
objetivo es obtener algn beneficio, como
reconocimiento personal o remuneracin
econmica. Porste ltimo, se han creado grupos
criminales que buscan defraudar a usuarios y
organizaciones.
Imagen 1. Relacin entre evaluacin de seguridad, hacking
Revisando el significado de los dos trminos, te tico y pruebas de penetracin.
puedes dar cuenta de que la palabra hacker ha
sido satanizada y mal empleada en muchos Una evaluacin de seguridad de la informacin
medios de comunicacin, los hackers tienen un es un proceso para determinar el estado de
cdigo de tica que no les permite utilizar sus seguridad actual del activo que se est evaluando
conocimientos para afectar la informacin de (computadora, sistema, red, etc.). Durante la
otros, aunque hay distintos tipos de hackers. evaluacin de seguridad de una organizacin, se
revisa una serie de documentos y archivos, tales
Para no caer en confusin. Un hacker de como polticas de seguridad, bitcoras,
sombrero negro es igual que un cracker, pero el configuraciones de seguridad, conjunto de reglas,
primero buscar vulnerabilidades en tu entre otros; tambin es necesario hacer pruebas
infraestructura sin provocar algn dao de penetracin. Durante todo el proceso se
(modificacin o destruccin), tal vez podra documentan los hallazgos y se genera un reporte
reportarte las fallas de seguridad de tu final que refleja la postura de seguridad de una
organizacin mediante un correo annimo; sin organizacin.
embargo, lo hace sin permiso, staesladiferencia
con un hacker de sombrero blanco, que puede Cuando se hace referencia al trmino hacking,
ser contratado para evaluar la seguridad de la se piensa en muchos significados, por lo regular
UNAMCERT
empresa. Por otro lado, un cracker podra alterar, las personas creen que se habla del robo de
destruir o lucrar con la informacin obtenida a informacin digitalizada o de ataques hacia
partir de un acceso no autorizado o mediante la organizaciones para provocar fallas, es decir,
explotacin de una vulnerabilidad. siempre se ve con una connotacin negativa.
14
En el contexto de la seguridad, hacking hace 1 SP 800-115, Technical Guide to Information Security
referencia a la manipulacin de la tecnologa para Testing and Assessment.
lograr que sta haga algo para lo cual no fue 2 S/A, Network Penetration Testing: Planning, Scoping,
diseada. Hacking tico se refiere a usartcnicas and Recon, Maryland, SANS Institute, SEC 560.1, version
de ataques para encontrar alertasde seguridad 1Q09, 2008, 242pp. SANS SEC560.1: Network Penetration
con el permiso del dueo del activo (por ejemplo, Testing: Planning, Scoping, and Recon.
anlisis de vulnerabilidades y pruebas de
penetracin), lo que se busca, es fortalecer la
seguridad. Ing. Jos Luis Sevilla Rodrguez
UNAMCERT
Es necesario cambiar esa tecnologa y con eso, La respuesta ms fcil sera obligarlos. Pero eso
llega un nuevo proyecto. presenta al menos dos problemas. El primero es
que no deberas obligar a la alta direccin (tus
Incidentes de seguridad . Existe la sospecha jefes), esos son terrenos peligrosos. El segundo
de un incidente en la infraestructura de TI. El rea es que las quejas pueden multiplicarse tanto y
de seguridad solicita bitcoras para revisarlas y venir de tantas reas diferentes, que finalmente
tomar alguna accin. Durante esta investigacin, ser el rea de seguridad la que se ver obligada
se consume tiempo de las reas de TI. Sin a modificar sus procedimientos y sus intentos de
mencionar que las acciones correctivas tambin conseguir una seguridad perfecta.
requiere que se involucren otros recursos.
Pues bien, la respuesta que yo propongo no es
Usuarios descontentos. El antivirus hace a tcnica. Es todo lo contrario, se trata de un tema
mi computadora lenta, no puedo entrar a sitios puramente de ventas para ofrecerle a otra
de Internet que necesito para mis labores porque persona una idea atractiva. Esto es algo en lo
estn bloqueados, no me llegan correos porque que deseo puntualizar, porque la gente de
algo los detiene, no puedo ejecutar una seguridad informtica es buena con los bits y
aplicacin porque aparece un mensaje de bytes. Muchas veces ellos entienden mejor a las
seguridad. Seguramente estos usuarios estaran computadoras que a las personas y dominan el
ms felices sin los controles de proteccin. Menos Metasploit, pero no el arte de convencer a un
seguros, pero ms felices. grupo de administradores o usuarios. Hacen
presentaciones tan tcnicas que parece que van
a ir a BlackHat y no a una reunin con los jefes.
De tal forma que el resto de la empresa los ve
como entes raros, como si hablaran de trminos
oscuros, riesgos inentendibles y que dan trabajo
extra a los dems. As es como quieres vender
seguridad a tu empresa?
A continuacin, enlisto tcticas concretas que
podran servir para vender seguridad a nuestra
organizacin. No tienen garanta, porque insisto,
no esun temade ingenierani unacuestin tcnica
a resolver. Sin embargo, quiero recalcar que lo
importante es intentarestas estrategias y, en caso
de no funcionar, continuar insistiendo y creando
otras ideas que puedan dar el resultado deseado.
De otra forma, impulsar los temas de seguridad
informtica ser una labor ardua, tortuosa y con
resultados limitados.
por la seguridad? Cmo lograr que los mtodo que dar una presentacin en PowerPoint
administradores destinen tiempo y recursos para donde se expone lo que podra pasar. Siempre
temas de seguridad informtica? Cmo poner es mejor demostrar la consecuencia de manera
a la alta direccin del lado de seguridad? Cmo prctica y en vivo. stas quedan claras cuando
persuadir a los usuarios para que cooperen? se visualiza, por ejemplo, que es posible extraer
17
informacin de una base de datos importante V.- Presenta con el afn de que te entiendan .
desde Internet. Yporcierto, anadie le vaaimportar No ests frente al pblico de BlackHat. Tampoco
la tcnica usada, cunto esfuerzo pusiste ni cmo ests en DefCon. Ests en tu empresa. Presenta
funciona el hackeo. Habla de consecuencias. de tal manera que quede claro a tu pblico de lo
que ests hablando. Explica cualquier trmino
complicado. Como ya dije, habla de
II.- Prestar recursos a los departamentos de consecuencias. La cantidad de tecnicismos que
informtica. Las reas de TI se quejan de que uses debe reducirse conforme presentas a gente
les das ms trabajo con cada revisin, consultora de jerarquas ms altas. Tal vez valga la pena
opentestquehaces. Estarasdispuestoaprestar que vayas alguna vez a una junta o conferencia
una persona de seguridad informtica a esas de economistas o de abogados. Cuando
reas? Este recurso les ayudar a solucionar un entiendas un 30% de lo que ah se dice, sabrs
par de tus hallazgos. Dirn que les diste ms cmo se sienten los dems en tus exposiciones.
trabajo, pero apreciarn que les ofrezcas un
recurso humano tuyo para que ellos no distraigan
tanto alos suyos. Laideaes que en verdad prestes VI.- Usar tecnicismos no te hace ver ms
a tu recurso y que no slo se quede en una buena inteligente. A propsito del punto anterior. Usas
intencin. trminos como buffer overflow, sql injection o
cross site scripting? Crees que hablar as te
hace ver superior porque no te entienden? Mal.
III.- Proyeccin de la seguridad al resto de la Si no te entienden, el mensaje completo no llega
empresa. No slo hablo de las reas de TI, sino al destinatario. Eso no es muy inteligente. Sobre
del resto de tus usuarios. Haces algo con ellos todo si le ests explicando un riesgo a alguien
para explicarles los beneficios de tus controles que toma decisiones. No tendr el entendimiento
de seguridad? Conferencias, boletines, correos suficiente para impulsar tus iniciativas.
o artculos en la Intranet? Armas seguido algn
programadeconcientizacin (securityawareness
por su trmino en ingls)? Recabas los
comentarios de tus usuarios por medio de
encuestas? Das cursos internos dirigidos a la
seguridad informtica del hogar de los usuarios?
Evala la relacin que tiene la seguridad
informtica con el resto de la organizacin.
18
VII.-Vemsalldevender, hazquetecompren.
Ve al consultorio de un buen doctor. Siempre
estar lleno. Los pacientes van a l. Es su salud.
El doctor no les est llamando para que acudan
a una visita. No tiene que ir a vender sus servicios
de casa en casa, sus pacientes van y lo buscan.
No vende, ya hizo que ellos compraran por s
solos. Obviamente es porque ofrece un buen
servicio y es bueno en lo que hace.
T tambin puedes lograr que tus usuarios y
administradores acudan a ti? Que perciban que
es mejorircontigo que no iryestardesprotegidos?
Si lo logras, estars ms all de la venta de la
seguridad, habrs llegado a lo que yo considero
el nirvana: que ellos compren la seguridad.
UNAMCERT
19
Seguridad de la informacin en
salud, un sector olvidado
Miriam J. Padilla Espinosa
En un mundo hiperconectado, la incorporacin cinco objetivos son los que conforman dicha
de tecnologas ha evolucionado la forma en que estrategia. En aspectos relacionados con la
se crea la informacin, en su intercambio, salud, el objetivo nmero cuatro, denominado
almacenamiento y difusin. Ha dado lugar a Salud Universal y Efectiva, fue creado con la
nuevas amenazas que afectan la finalidad de aprovechar la incorporacin de las
confidencialidad, disponibilidad y la integridad tecnologas de informacin ycomunicacin como
de los datos, es decir, la seguridad de la medio para aumentar la cobertura, el acceso y
informacin. Esta situacin no es nica de la calidad de los servicios de salud, otra de las
sectores como el financiero o el tecnolgico, ni finalidades es lograr el uso eficiente de la
exclusiva de grandes empresas o instituciones. infraestructura y los recursos destinados a
proveer el servicio de salud a la poblacin.
El sector salud en Mxico enfrenta grandes retos
en materia de seguridad de la informacin, en Previamente, existan ya iniciativas de integrar
los ltimos aos se han incorporado nuevas los datos clnicos en un expediente electrnico,
tecnologas como una medida para renovar y de hecho, algunas entidades ya lo han
agilizar la prestacin de servicios, esta situacin implantado, junto con algunas otras leyes en
se ha visto reflejada recientemente en las Mxico que regulan en el sectorpblico yprivado,
estrategias del gobierno mexicano. la proteccin de los datos personales, los datos
La recin liberada Estrategia Digital Nacional personales sensibles y las Normas Oficiales
tiene como objetivo mejorar el uso de la Mexicanas (NOM) en materia de salud. Algunas
tecnologa para contribuir al desarrollo del pas, de ellas son la NOM-004-SSA3-201 2 del
UNAMCERT
expediente clnico, la NOM-024-SSA3-201 0 de elementos es modificado o gestionado de forma
Sistemas de Informacin de Registro Electrnico inadecuada, afectar el equilibrio del modelo.
para la salud y en cuanto a intercambio de El resultado del anlisis aplicado al sector salud
informacin en salud, la NOM-035-SSA3-201 2. en Mxico se presenta a continuacin:
Todas estas iniciativas, si bien son de gran ayuda, 1 . Diseo y estrategia de la organizacin
deben ir de la mano con una estrategia en materia El Sistema Nacional de Salud en Mxico fue
de seguridad de la informacin que considere la creadoen cumplimientoal derechoalaproteccin
gestin de nuevos riesgos asociados a la de la salud que toda persona tiene, segn lo
incorporacin de las TIC. Esta estrategia debe establece el artculo 4 de la Constitucin Poltica
ser evaluada previamente, considerando la de los Estados Unidos Mexicanos, formalmente
problemtica a nivel organizacional que enfrenta seencuentradefinidoen laLeyGeneral deSalud.
el sector, la prevaleciente resistencia al cambio
y la falta de conciencia sobre temas relacionados Los principales objetivos de este sistema son:
con la seguridad de la informacin. De no proporcionar servicios de salud a toda la
considerarse estos factores, podran convertirse poblacin, colaborar con el bienestar social, dar
en una gran limitante. impulso al desarrollo de la familia y comunidades
indgenas, apoyaren lamejorade las condiciones
Para identificar los retos en materia de seguridad sanitarias y promover el conocimiento y
de la informacin que enfrenta el sector salud en desarrollo de la medicina tradicional,
Mxico, se realiz un anlisis tomando como principalmente. Para el cumplimiento de sus
base el modelo de negocio para la seguridad de objetivos son considerados el Plan Nacional de
la informacin (vese figura 1 .1 ) desarrollado por Desarrollo y el Programa Nacional de Salud.
el Dr. Laree Kiely y Terry Benzel en Institute for
Critical Information Infrastructure Protection El Sistema de Salud de Mxico se divide en dos
(Instituto de Infraestructura de Proteccin para sectores: el pblico y el privado. La siguiente
la Informacin Crtica) en la escuela de negocios tabla presenta las instituciones que forman parte
Marshall School of Business de la Universidad de cada sector:
del Sur de California de EUA. La estructura funcional del Sistema de Salud en
Mxico est integrada por tres niveles de
atencin, se describen brevemente en la Figura
1 .2.
Sector pblico Sector Privado
Instituciones de Compaas
seguridad social: aseguradoras.
Instituto Mexicano de
Seguridad Social (IMSS) Prestadores de
Instituto de Seguridad y servicios que laboran en
Servicios Sociales de los consultorios, clnicas y
Trabajadores del Estado hospitales privados.
(ISSSTE)
Petrleos Mexicanos
(PEMEX) Servicios de medicina
Secretara de la alternativa.
Defensa (SEDENA)
Secretara de Marina
(SEMAR)
Figura 1. 1 Modelo de negocio para la seguridad Instituciones para
informacin poblacin sin
UNAMCERT
seguridad social:
El modelo se representa grficamente como una Secretara de Salud
(SSA)
pirmide conformada por cuatro elementos Servicios Estatales de
unidosmedianteseisinterconexionesdinmicas, Salud (SESA)
Programa IMSS-
todas las partes que integran el modelo Oportunidades
interactan entre s. Si cualquiera de los Seguro Popular
21
Mxico cuenta con una amplia red de atencin adopcin efectiva de la tecnologa para mejorar
mdica, resultado de la inversin que el gobierno los procesos institucionales.
federal ha designado para mejorar la prestacin Tambin es necesario considerar controles ms
de servicios de salud. Segn datos del Banco rigurosos para los proveedores y personal
Mundial, este hecho que se ve reflejado en un externo que brinda productos o servicios a las
incremento del porcentaje del PIB destinado para instituciones de salud.
gastos de salud, de un 5.8 % en el ao 2008, a
un 6.2 % en el ao 201 1 . Ladecisin hafavorecido
a las instituciones de salud en Mxico,
fortaleciendo la infraestructura y mejorando los
recursos tecnolgicos disponibles para la
prestacin de los servicios de salud a la pobla-
cin.
2. Personas
Es fundamental realizar mayores esfuerzos para
lograr la capacitacin y concienciacin del
personal administrativo y mdico que labora en
las instituciones de salud en Mxico, sobre todo,
en los aspectos relacionados con la seguridad
de la informacin. Es importante que conozcan
las amenazas, las vulnerabilidades y las
principales tcnicas de ataques que pudieran
afectar, tanto la operacin de la institucin como
UNAMCERT
De igual forma, se deben mejorar los controles la repblica deben realizar sus actividades bajo
de acceso. En algunas instituciones stos son condicionessimilares,adems,esindispensable
deficientesdebido alagran demandadel servicio,
que sin duda se vuelve un asunto prioritario que
deja para despus los temas y controles
relacionados con la seguridad de la informacin.
3. Procesos
Las instituciones de salud cuentan con diversos
procesos para llevar a cabo sus actividades
diarias, sin embargo, en la operacin, los
procedimientos asociados se exceden en
trmites. Esta situacin genera mayores tiempos
de espera, descontento por parte de los usuarios
del servicio y, en el peor de los casos, puede
afectar la vida misma de los pacientes, resultado
de errores en los procedimientos o exceso en
los tiempos de espera.
UNAMCERT
Cada vez que vamos a un auditorio, saln de est establecido judicialmente en la mayora de
actos, cine, etc., presenciamos cmo las los pases: El desconocimiento de la ley no
personas toman fotos o graban las sesiones y a exime su cumplimiento. Lo que en palabras
nadie parece importarle esta situacin pues, llanas quiere decir que las leyes estn para
debido a las continuas violaciones del copyright, cumplirlas, aunque se desconozcan.
la mayora de la gente piensa o cree que estas
acciones no son ilegales. Qu hacen los cines, salas de exhibicin, salas
de conciertos y auditorios (los responsables de
Es bien conocido que muchos artistas, para los eventos) para evitar que el pblico filme,
poder sobrevivir, se dedican a dos profesiones fotografe y grabe en su paso por esos recintos?
ya que su actividad artstica, incluso, llega a Poca cosa, ya que se podra afirmar que cada
costarles dinero debido a los graves efectos de asistente a un evento porta un telfono con
la piratera sistemtica de sus producciones. cmara incorporada.
En general, la gente considera que el hecho de Cmo se defienden los artistas ante la
UNAMCERT
fotografiar a un artista, grabarle en un concierto, sistemtica violacin del copyright de sus obras?
enviar fotos tomadas en un evento o subir a la Pareciera que a priori tienen la batalla perdida
red grabaciones domsticas, no es materia de tras la incorporacin, hace pocos aos, de
delito. La realidad es distinta. De hecho, como cmaras en los telfonos mviles.
25
Sin embargo, la respuesta depende de muchos unaseal perturbadoraque impide que el telfono
factores: Educacin del pblico, costo de las reciba o efecte llamadas, creando lo que se
actuaciones, nivel social de los asistentes, conoce como zona de sombra. El problema de
jurisprudenciadel pas, capacidad de laautoridad los perturbadores o bloqueadores telefnicos
para prevenir estos delitos, inters de los descritoses, queparaquelostelfonossequeden
empresarios en contribuir en la prevencin de sin seal, deben emitir una frecuencia igual a la
estas actividades, etc. de los telfonos, pero con mucha mayor potencia.
Esto es pernicioso a todas luces para la salud
Una pregunta que yo me he planteado es, son humana, ya que los telfonos trabajan en
responsables los fabricantes de los telfonos frecuencias de varios gigahercios (microondas).
mviles del incremento de las sistemticas
violaciones del copyright? Esta pregunta es El BPS bsicamente consiste en una
similar a decir que son los fabricantes de armas combinacin de estrategias por parte de los
los responsables del aumento de los crmenes. fabricantes de telfonos y de los dueos de las
Yo me atrevera a decir que directamente no lo salas de exhibicin, cines, auditorios, etc. De
son, pero indirectamente s. Es muy posible que acuerdo a lo siguiente:
sin armas no hubiera tantos crmenes, entonces
las armas, son hasta cierto punto, facilitadoras 1 Protocolo propiamente dicho. Se tratara de
de delitos. Igual ocurre con los telfonos mviles que todos los telfonos aceptasen instrucciones
que cuentan con cmara de fotos y sistema de en una frecuencia modulada FM del orden de
grabacin incorporados. pocos MHz en modulacin PCM (Pulse Code
Modulation).
Por ello, m planteamiento es muy simple y
verstil. Los fabricantes de telefonas mviles y 2 Instalacin de transmisores de muy baja
de smartphones se pueden poner a trabajar en potencia en lugares pblicos que emitiesen en
conjunto en lo que yo llamo un nuevo protocolo la frecuencia modulada FM de pocos MHZ en
integrado en WIFI 4G. Se tratara de lo que yo modulacin PCM.
he denominado Protocolo BPS (Blocked Phone
System) 3 Como las frecuencias de pocos MHz en
modulacin PCM no se interfieren con las de
En muchos lugares, salas, auditorios, iglesias, y GHz, los telfonos podran recibir instrucciones
con el fin de evitar que el pblico asistente pueda de la estacin emisora local instalada en los
perturbar la tranquilidad del lugar con llamadas auditorios con el fin de que el telfono, al recibir
telefnicas, se instala lo que se denomina la seal codificada, automticamente
bloqueadores telefnicos. Hay de dos tipos: desconectase sus funciones.
La situacin sera la siguiente:
A medida que el pblico entre en la sala y sus
telfonos reciban la orden desde el transmisor
FM-PCM podran considerarse varias acciones:
1 Apagado automtico del equipo. Cuando el
usuario intentase reactivarlo, ste
automticamente se volver a desactivar sin
llegar al encendido operativo.
UNAMCERT
6 A la salida del recinto los telfonos volveran Actualmente es CISO en la compaa Axtel.
a su operacin normal. Graduado con Excelencia como Director de
Seguridad de Empresa (D.S.E.) Por la
Correspondera al trabajo conjunto entre los Universidad Pontificia de Comillas en Madrid
operadores de eventos, las compaas de (UPCO). Realiz cursos de Ingeniera Tcnica
servicios telefnicos y los fabricantes de estos en Telecomunicaciones en la EUITT de Madrid.
dispositivos, implementar una tecnologa Ha estudiado Electrnica Digital y
adecuada para al manejo de la privacidad en el Microprocesadores orientados a robtica en
campo de los eventos masivos. Asimismo, el diferentes centros de estudios privados en
trabajo se llevara a cabo de la mano con el marco Espaa.
legal existente en cada uno de los pases en
UNAMCERT
27
Revista .Seguridad Cultura de prevencin para TI
No.20 / abril-mayo 201 4 ISSN: 1 251 478, 1 251 477
UNAMCERT