LECTURAS TEMA 6

CASO 1:
Cyberscams: cuatro ciberdelincuentes principales: quiénes son y qué hacen Los sitios web
como el servicio de pago PayPal de eBay deben defenderse de los frecuentes intentos de
transacciones fraudulentas por parte de los ciberdelincuentes. REAL WORLD CASE 1
yberscams es el nicho criminal de más rápido crecimiento en la actualidad. Decenas de
bancos y gigantes del comercio electrónico, desde JPMorgan Chase & Co. hasta
WalMart.com, han sido golpeados, algunas veces repetidamente, por hackers y esquemas
de fraude en línea. La Encuesta de delitos informáticos del FBI de 2005 estimó las pérdidas
anuales de todo tipo de delitos informáticos, incluidos los ataques de virus y otros
"malware", fraude financiero e intrusiones de redes, a $ 67 mil millones al año.
De las 2.066 empresas que respondieron a la encuesta, el 87 por ciento informó un
incidente de seguridad. Y la Comisión Federal de Comercio de EE. UU. Dice que el robo de
identidad es su principal queja. Para rastrear el delito cibernético, los funcionarios
encargados de hacer cumplir la ley trabajan con compañías como eBay o Microsoft, así
como con las autoridades legales de todo el mundo. eBay tiene 60 personas que combaten
el fraude, mientras que el equipo de Seguridad de Internet de Microsoft cuenta con 65
operarios, incluidos ex agentes de la ley y fiscales federales. Para documentar el alcance de
la actividad, los periodistas de BusinessWeek recorrieron sitios web clandestinos donde se
intercambian datos robados como tantas tarjetas de béisbol en eBay. Considere este correo
electrónico promocionando el lanzamiento de un bazar de comercio de crímenes en línea,
vendorsname.ws, el año pasado: "Durante la batalla con el Servicio Secreto de EE.
UU., ¡Nosotros! @ # &! todos esos bastardos y ahora están ejecutando un foro nuevo,
mejorado y más grande que jamás hayas visto ". El mensaje se jacta de su variedad
de artículos robados: datos de tarjetas de crédito estadounidenses y europeas, cuentas de
PayPal" activas y adineradas "y sociales. Números de seguridad. Aquellos que
"se registran hoy" obtienen una opción de "bonificación" de
"una cuenta de Citybank con acceso en línea con 3K a bordo" o "25
tarjetas de crédito con PIN para cardar en línea". Lo que sigue es un vistazo a cuatro
personas identificadas por múltiples autoridades policiales como objetivos de alta prioridad
en sus investigaciones. No es coincidencia que todos sean rusos. Las universidades
técnicas fuertes, los ingresos comparativamente bajos, y un sistema legal inestable hacen
que la antigua Unión Soviética sea un caldo de cultivo ideal para cibercams. Además, las
tensas relaciones políticas a veces complican los esfuerzos para obtener cooperación con la
policía local. "El bajo nivel de vida y la alta sensación de saciedad son una mala
combinación", dice Robert C. Chesnut, un ex fiscal federal que es vicepresidente
sénior y dirige los esfuerzos antifraude en eBay. Entre los fraudes más perniciosos que
surgieron en los últimos años se encuentran los llamados anillos de reenvío. Y el rey de
estos es un pirata informático de origen ruso que se conoce con el nombre de Shtirlitz: una
referencia astuta a un agente secreto soviético ficticio que espiaba a los nazis. En la vida
real, Shtirlitz está siendo investigado por el Servicio de Inspección Postal de EE. UU. En
relación con decenas de millones de dólares en fraudes en los que los estadounidenses se
inscriben para actuar como colaboradores involuntarios en la conversión de datos de
tarjetas de crédito robadas en bienes tangibles que pueden venderse por efectivo.
"Creemos que está involucrado en el reclutamiento de cientos de personas",
dice William A Schambura, analista del US Postal Inspection Service. Los investigadores
creen que personas como Shtirlitz usan tarjetas de crédito robadas para comprar productos
que envían a los estadounidenses cuyas casas sirven como puntos de entrega. Los
estadounidenses envían los productos al extranjero, antes de que el propietario de la tarjeta
de crédito o el comerciante en línea lo descubran. Entonces los bienes están vallados en el
mercado negro. BusinessWeek descubrió que los grupos de reenvío eliminan anuncios
publicitarios en periódicos y falsifican anuncios de sitios de trabajo en línea.
"¡Tenemos una oferta de trabajo promocional para usted!" Llama un correo
electrónico para un "puesto de recepción de envío" de UHM Cargo que parecía
provenir de Monster.com. Establece que "el salario inicial es de $ 70- $ 80 por envío
procesado. Beneficios de salud y vida después de 90 días ". Los funcionarios
desconocen el verdadero nombre de Shterlitz, pero creen que tiene entre 25 y 27 años y
vivió en el área de San Francisco una vez después de que sus padres emigraron. No saben
dónde está ahora, pero creen que él está activo. En un foro de CardingWorld.cc, una
persona con el alias iNFERNis publicó esta solicitud el 23 de diciembre de 2005:
"Hola, necesito los inicios de sesión de eBay con acceso de correo electrónico, por
favor icq 271-365-234." Unas horas más tarde, Shtirlitz respondió: "Conozco a
un buen vendedor. ICQ me: 80-911. "Una vez equipado, alguien podría iniciar sesión
en esas cuentas de eBay y usarlas para comprar productos con el dinero de los
propietarios, mientras vaciando el dinero de sus cuentas de PayPal. "Los sitios web
son más como un servicio de citas", dice Yohai Einav, analista de RSA Security Inc.
"Luego puede realizar transacciones en salas de chat privadas. Puedo hacer clic en el
nombre de alguien y comenzar a hacer negocios con ellos ". Las herramientas
técnicas para robar los números de las tarjetas de crédito y los datos de inicio de sesión de
la cuenta bancaria en línea a menudo son tan valiosos como los propios productos robados.
Un cibercriminal conocido como "Smash" está siendo investigado por el Servicio
de Inspección Postal bajo la sospecha de que ayuda a piratear hackers. La imagen, o
avatar, que acompaña las publicaciones de Smash en las salas de chat en línea muestra a
un ángel caído. De 25 a 30 años y con base en Moscú, se cree que es un experto en crear
programas de spyware, códigos maliciosos que pueden rastrear las pulsaciones de teclado
de los internautas y que a menudo se ocultan en sitios web corruptos y correo electrónico
no deseado. Funcionarios de cumplimiento de los EE. UU. Afirman que la empresa con
sede en Rusia de Smash, RAT Systems, presenta abiertamente spyware en la Web en
www.ratsystems.org. En su página de inicio, RAT Systems niega cualquier intención
maliciosa: "En general, estamos en contra de las cargas destructivas y la propagación
de virus. Codificar el spyware no es un delito. "Pero los" términos de servicio
"garantizan que sus productos de spyware serán indetectables por el software
antivirus hecho por compañías de seguridad como McAfee Inc. y Symantec Corp. One
producto, llamado TAN Systems Security Leak, creado para atacar a las empresas
alemanas, se vende por $ 834. Los oficiales del Servicio de Inspección Postal también están
investigando la actividad de Smash como miembro sénior de la Asociación Internacional
para el Avance de la Actividad Criminal, que describen como una red suelta de hackers,
ladrones de identidad y estafadores financieros. Smash y otro conocido pirata informático
llamado ZoOmer operan conjuntamente el sitio web de IAAcA, www.theftservices.com, uno
de los sitios de comercio de datos robados más populares y virulentos, según funcionarios
estadounidenses. El 11 de mayo de 2005, el fiscal general de Massachusetts Tom Reilly
entabló una demanda contra Leo Kuvayev y seis cómplices, acusándolos de enviar millones
de correos electrónicos no deseados para vender medicamentos falsificados, software
pirateado, relojes falsos y pornografía. Kuvayev, un ruso de 34 años que usa el apodo
BadCow, es uno de los tres principales spammers del mundo, según el grupo antispam
Spamhaus. Los funcionarios estatales alegan que Kuvayev y sus asociados utilizaron varios
servicios de alojamiento web de los Estados Unidos y de todo el mundo para lanzar
ataques. Massachusetts fue capaz de perseguir a Kuvayev porque enumeró una dirección
de Massachusetts en su licencia de conducir y realizó negocios utilizando una casilla de
correos de Boston. El 11 de octubre de 2005, después de que ninguno de los acusados
​pareció responder a los cargos, un juez del Tribunal Superior emitió una sentencia en
rebeldía contra ellos. El juez encontró que los spammers violaron las leyes estatales y
federales de protección al consumidor y ordenó el cierre permanente de docenas de sitios
web ilegales. Kuvayev y sus codemandados recibieron la orden de pagar 37 millones de
dólares en multas civiles por enviar casi 150,000 correos electrónicos ilegales. Los
funcionarios federales encargados de hacer cumplir la ley creen que la operación de
Kuvayev está recaudando más de $ 30 millones al año. Los funcionarios del estado
sospechan que Kuvayev huyó a Rusia antes de ser demandado. "El problema es que
Rusia no tiene ninguna ley antispam en este momento", dice el investigador principal
del Servicio de Inspección Postal de EE. UU., Gregory Crabb. "Es difícil atrapar a
alguien que no está infringiendo la ley". Los ladrones de bancos roban a los bancos
porque ahí es donde está el dinero. Para los ciberdelincuentes, el mejor botín se encuentra
a menudo dentro de las redes de procesadores de tarjetas de crédito, los intermediarios que
manejan las transacciones de tarjetas para comerciantes y bancos. Funcionarios del
Servicio de Inspección Postal dicen que están investigando a Roman Khoda, también
conocido como MyO, por la fuerte sospecha de que está relacionado con el robo de un
millón de tarjetas de crédito en los últimos años. Un ruso de 26 años con un título
universitario en física, Khoda trabajó una vez con los principales miembros de carderplanet,
uno de los mayores mercados en línea utilizados para comprar y vender datos bancarios y
cuentas bancarias robadas, hasta que fue desglosado por Estados Unidos y el extranjero
funcionarios en agosto de 2004. Pero Khoda es diferente a algunos hackers engreídos que
a menudo escriben sus propias firmas digitales en código malicioso, dice Crabb; Khoda
opera con sigilo. En los sitios web de carderplanet y sucesores, no ha dejado un rastro
detallado que lo conecte directamente a los datos robados. Pero Crabb dice que los
funcionarios saben que Khoda y dos cómplices llevaron a cabo diligencias exhaustivas en
las redes informáticas de objetivos recientes en los que intentaban entrar, incluso
estableciendo empresas falsas con cuentas en los procesadores de tarjetas de crédito para
detectar agujeros en sus sistemas. Luego cargaron las computadoras a un departamento
alquilado en la isla mediterránea de Malta, según Crabb. Utilizando servidores proxy en los
Estados Unidos, China y Ucrania para ocultar su conexión a Internet, Khoda & Co.
desataron sus ataques de asalto
1. ¿Cuáles son las razones por las cuales "las cámaras cibernéticas son el nicho
criminal de más rápido crecimiento en la actualidad"? Explica por qué las razones que
das contribuyen al crecimiento de cyberscams.
2. ¿Cuáles son varias medidas de seguridad que podrían implementarse para combatir la
propagación de cyberscams? Explica por qué tus sugerencias serían efectivas para limitar
la propagación de cyberscams.
3. ¿Cuáles uno o dos de los cuatro ciberdelincuentes más importantes descritos en este
caso representan la mayor amenaza para las empresas? Para los consumidores? Explique
las razones de sus elecciones y cómo las empresas y los consumidores pueden protegerse
de estos ciberespaciales.

CASO 2:
Lowe's, TCI, Bank of America, ChoicePoint y otros: fallas en la administración de
seguridad de datos ChoicePoint es un recurso de datos para miles de millones de registros
de empresas y particulares. Su falta de garantías adecuadas llevó al robo de miles de
registros de personas en 2005. CASO REAL WORLD 2 En febrero de 2005, el agregador de
datos ChoicePoint reconoció que los ladrones de identidad habían robado información vital
sobre 145,000 personas. Menos de dos semanas después, Bank of America admitió haber
perdido las cintas de respaldo que contenían la información de la cuenta de 1,2 millones de
titulares de tarjetas de crédito. En marzo, el minorista de calzado DSW dijo que los datos de
la tarjeta de crédito de sus tiendas habían sido violados; el Servicio Secreto de los EE. UU.
estimó que se había accedido a al menos 100,000 números valiosos. Más de un mes
después, DSW dio a conocer el número real: 1,4 millones. LexisNexis de Reed Elsevier, un
rival de ChoicePoint, hizo lo mismo, revelando en primer lugar que los usuarios no
autorizados habían comprometido 32,000 identidades, para luego aumentar el número a
310,000. Y esos son solo los cabezas de cartel. Las empresas admitían decenas de
infracciones menores. El 8 de abril, el Grupo Médico de San José anunció que alguien
había robado una de sus computadoras y que potencialmente tenía acceso a 185,000
registros de pacientes. Unos días más tarde, los clientes de Polo Ralph Lauren
descubrieron que un pirata informático había accedido a 180,000 tarjetas de crédito HSBC
utilizadas en sus tiendas. Luego, el 20 de abril, Ameritrade culpó a su proveedor de envío
por perder una cinta de respaldo que contenía información personal sobre 200,000 clientes.
Las corporaciones estadounidenses finalmente están reconociendo un secreto que llevan
mucho tiempo ocultas: no puede salvaguardar algunos de sus datos más valiosos. En los
últimos años, el software de base de datos y los dispositivos de almacenamiento más
económicos facilitaron a las empresas reunir y guardar información privada sobre sus
clientes, presentando un objetivo tentador (y sorprendentemente fácil) para los ladrones de
identidad que buscan hacer una ventanilla única y dar empresas numerosas formas de
arruinar la seguridad. Veamos cuatro ejemplos con más detalle. En la tarde del 7 de
noviembre de 2003, dos fanáticos de la informática llamados Adam Botbyl y Brian Salcedo
entraron en la estacionamiento de una tienda de mejoras para el hogar de Lowe's en
Southfield, Michigan. Desde la comodidad del Pontiac Grand Prix blanco de Botbyl, el dúo
abrió una computadora portátil equipada con Wi-Fi y se conectó a un punto de acceso
inalámbrico para que los empleados de Lowe's conectaran teléfonos y escáneres al
sistema informático de la tienda. Una vez que Salcedo y Botbyl ingresaron a la red de la
compañía, intentaron instalar una versión casera del programa de procesamiento de tarjetas
de crédito de Lowe's. Su objetivo: capturar los números de tarjeta de crédito de miles
de clientes de Lowe's. Durante un período de varios días, Salcedo obtuvo acceso no
solo a la tienda de Southfield sino también al centro de datos corporativos de Lowe's
en Carolina del Norte. Una vez dentro, aprendió cómo el minorista aprobó y procesó las
tarjetas de crédito, y luego escribió su propia versión del software de transacción de tarjetas
de crédito de Lowe's. En la versión de Salcedo, de acuerdo con una acusación
posterior, la información se guardará en un archivo al que luego podría acceder. Lo que
aparentemente no se dio cuenta de Salcedo es que muchos sistemas informáticos
corporativos son cada vez mejores para decir cuándo alguien está jugando con ellos. Los
ingenieros de red de Lowe's, del centro de datos de la empresa en Carolina del Norte,
pudieron reconstruir el calendario de los diversos robos. El 6 de noviembre de 2003, los
funcionarios de Lowe llamaron a la oficina del FBI en Charlotte. Doris Gardner y los
miembros de su equipo de cibercrimen llegaron al centro de datos de Lowe's casi de
inmediato. Los agentes tomaron sus lugares alrededor del borde de la habitación mientras
el equipo técnico de Lowe's buscaba centrarse en el origen de los robos. Usando
herramientas de monitoreo del sistema, el equipo de Lowe's pronto determinó que una
violación de seguridad estaba sucediendo en ese mismo momento en Southfield. El 7 de
noviembre, Gardner hizo que los agentes replantearan la tienda allí. Esa noche, el FBI tomó
un descanso. Uno de los agentes notó un brillo fantasmagórico proveniente del asiento
delantero de un Pontiac Grand Prix. Fue la computadora portátil. El FBI ejecutó la matrícula
y se le ocurrió el nombre de Botbyl. En cuestión de días, los geeks habían sido atrapados,
antes de que pudieran capitalizar cualquier información de la tarjeta de crédito. Botbyl, de
21 años, se declaró culpable de un cargo de conspiración y cumple una condena de dos
años. Salcedo, de 22 años, fue sentenciado a nueve años. Hoy se sienta en una prisión en
Lewis Run, Pennsylvania. El FBI dice que hackeó otras compañías que no lo detuvieron a
tiempo. "Definitivamente obtuvo beneficios económicos de otros hacks", dice
Gardner, del FBI, si la seguridad de Lowe's atrapó a Botbyl, ¿no debería ser suficiente
la detección de intrusos para detener la fuga de datos? Ni por asomo. Sea testigo de
Teledata Communications International, una compañía que se enorgullece de su seguridad.
En 1999, Philip Cummings consiguió un trabajo en TCI como un humilde trabajador de
mesa de ayuda. La compañía, ahora en Hauppauge, Nueva York, fabrica dispositivos
utilizados por bancos, consultorios médicos y concesionarios de autos que permitieron
verificaciones de crédito instantáneas al conectarse con agencias de crédito como Experian
o Equifax. Cuando los clientes tenían problemas para iniciar sesión en una de las agencias
de un buzón de TCI, llamaban para pedir ayuda. Cummings respondería, les pedirá su
código de usuario y contraseña (TCI no guardó la información, irónicamente, por razones de
seguridad), y los ayudará a solucionar su problema. Luego se guardó la información en el
bolsillo. Fuera del trabajo, Cummings llegó a un acuerdo con un hombre que conocía en
New Rochelle, Nueva York, llamado Linus Baptiste. Baptiste le daría a Cummings los
nombres de personas adineradas y le pediría que extrajera su información de crédito
confidencial. De acuerdo con la acusación formal, Cummings ingresaría a las agencias de
informes de crédito utilizando una de las contraseñas de clientes de TCI, buscaría datos
personales como la Seguridad Social y los números de cuentas bancarias, y los entregaría.
Baptiste sabía que la gente de Brooklyn y el Bronx estaba dispuesta a pagar $ 60 por cada
nombre; él y Cummings dividen el efectivo. Cummings pronto abandonó TCI y en 2001 se
mudó a Georgia. Trabajó en una computadora portátil TCI robada y en una lista de
contraseñas de clientes de TCI. Cuando un cliente de TCI cambiaba las contraseñas,
Cummings bajaba su lista, buscaba otra y se la daba a Baptiste. Los fiscales dicen que los
dos accedieron a unos 30,000 nombres, todos los cuales vendieron a otros. Continuaron
haciendo eso durante dos años; TCI nunca tuvo idea. El primer indicio de las actividades de
Cummings se produjo a principios de 2002, cuando Ford Motor, uno de los clientes de TCI,
no podía dar cuenta de 15,000 comprobaciones de crédito que Experian dijo que la
compañía había hecho con él. Pronto el FBI estuvo involucrado. Experian siguió excavando,
al igual que Equifax. Ambos encontraron que las solicitudes parecían originarse de un
número en New Rochelle. El 29 de octubre de 2002, agentes del FBI allanaron la casa de
Baptiste y encontraron tres computadoras debajo de dos camas y reportes de crédito
escondidos en su habitación. Con la ayuda de Baptiste, los federales finalmente tocaron a
Cummings, que ahora cumple una condena de 14 años en una prisión federal. Pero
seguramente la seguridad es mucho más estricta en la industria bancaria. Bueno, no
necesariamente. A fines de diciembre de 2004, los empleados de Bank of America
empacaron y enviaron a sus cintas de respaldo del centro de datos que contienen
información sobre trabajadores del gobierno inscritos en una cuenta de tarjeta de crédito. O
al menos, allí es donde se suponía que debían ir. Las cintas, ninguna de las cuales se
encriptaron, se enviaron por aire comercial. Pero justo después de Año Nuevo, los
funcionarios del banco se dieron cuenta de que las cintas nunca habían llegado. Se
apresuraron a ver qué se podría perder. No era bonito: más de un millón de nombres,
direcciones, números de cuenta y números de Seguridad Social. El 10 de enero, el banco
llamó al Servicio Secreto. Durante el mes siguiente, el banco y los investigadores trabajaron
en silencio. Los titulares de cuentas no tenían idea de que su información podría estar
suelta. Bank of America dice que el Servicio Secreto le pidió que se mantuviera callado
mientras investigaba. El banco siguió monitoreando las cuentas, buscando cualquier
negocio divertido, pero no encontró ninguno, y todavía no lo ha hecho, dice. A mediados de
febrero, el banco finalmente se hizo público, prometiendo que había cambiado sus formas
(las cintas de respaldo ya no se comercializaban, por ejemplo) y ofreciendo informes
crediticios gratuitos y monitoreo de fraude a los consumidores afectados. Bank of America
podría haber escapado de daños graves, pero los expertos en seguridad se quedaron
boquiabiertos ante lo que llama sus métodos "estándar de la industria" para
respaldar y enviar datos de los clientes. "El incidente del Bank of America fue una
absoluta estupidez", dice Jim Stickley, CTO de TraceSecurity, una compañía de
gestión de amenazas con sede en Baton Rouge. A pesar de que Stickley ha visto muchos
agujeros de seguridad, no puede dejar de hablar sobre Bank of America. "Todo lo que
quieres proteger está en esas cintas. Si no están encriptados, háganlo con el No. 1.
Entonces están usando operadores comerciales para transferir las cintas, y dicen,
'Todo el mundo hace eso'. Pero ese no es el caso. No es como si fuera una
sorpresa que se puedan robar cosas de las aerolíneas comerciales. Creo que hubo varias
malas elecciones que hicieron allí que podrían haberse evitado ". Y luego está
ChoicePoint, el enemigo número 1 para defensores de la privacidad. Desde que se
independizó de la agencia de crédito Equifax en 1997, ha estado comprando bases de
datos y operaciones de minería de datos. Empresas, particulares, incluso el FBI ahora
confían en su almacén de miles de millones de piezas de información en prácticamente todo
el mundo. Otros clientes: estafadores nigerianos que aparentemente usaron los datos para
estafar las identidades de las personas. El problema era salvaguardas poco confiables.
Para garantizar que solo ciertas empresas tuvieran acceso a sus datos, ChoicePoint
estableció ciertos requisitos que los clientes potenciales deben cumplir. Un hombre llamado
Olatunji Oluwatosin -y posiblemente otros- usó nombres falsos y una máquina de fax de
Hollywood para crear pequeñas empresas ficticias que solicitaban el servicio de
ChoicePoint. Antes de que Oluwatosin fuera atrapado, después de que alguien en Choice
Point sospechara de una de sus aplicaciones, accedió a al menos 145,000 nombres.
Después de que se filtraron las noticias de la brecha de seguridad, las acciones de
ChoicePoint llegaron a las rocas. Se han presentado al menos tres demandas colectivas,
incluida una que acusa a la compañía de ocultar información importante y de permitir a los
ejecutivos vender acciones de ChoicePoint valoradas en $ 20 millones antes de que se
conociera la noticia. Lección para todas las empresas: El costo comercial de la baja
seguridad de los datos puede ser bastante alto, como lo demuestra el impacto de
ChoicePoint.
1. ¿Por qué ha habido tantos incidentes recientes de violaciones de seguridad de datos y
pérdida de datos de clientes por parte de compañías de buena reputación? Proporcione
varias razones posibles para este desarrollo.
2. ¿Qué garantías de seguridad deben tener las compañías para disuadir los robos
electrónicos en sus redes de computadoras, aplicaciones comerciales y recursos de datos
como el incidente en Lowe's? Defiende tus medidas de seguridad propuestas.
3. ¿Qué medidas de seguridad habrían impedido la pérdida de datos de clientes en TCI,
Bank of America y ChoicePoint? Defienda sus medidas de seguridad propuestas para evitar
los incidentes que ocurrieron en cada compañía.

CASO 3:
Western Corporate Federal Credit Union y otros: gestión de la seguridad de la información
REAL WORLD CASE 3 hristofer Hoff tiene una misión. Como directora de seguridad de la
información en Western Corporate Federal Credit Union (WesCorp), Hoff ha lanzado una
iniciativa para cuantificar los beneficios de los gastos de seguridad de la información para
los ejecutivos de negocios en la empresa con sede en San Dimas, California. La constante
evolución de la tecnología y el entorno de amenazas y la dificultad de asignar un valor
monetario específico a los activos de información hacen que sea difícil encontrar los
números tradicionales de retorno de la inversión, dice Hoff. Por lo tanto, la atención se
centra en la recopilación de métricas corporativas que muestran cómo la empresa puede
reducir la exposición al riesgo y evitar costos, como los relacionados con ataques de virus,
implementando las medidas de seguridad adecuadas. Como parte de este esfuerzo, el
equipo de Hoff está implementando una metodología de proceso llamada OCTAVE del
Instituto de Ingeniería de Software de la Universidad Carnegie Mellon. OCTAVE ayuda a las
empresas a identificar vulnerabilidades de infraestructura, priorizar activos de información y
crear perfiles de amenazas y planes de mitigación específicos de los activos. La
metodología OCTAVE (evaluación de la amenaza operacional crítica, el activo y la
vulnerabilidad) se basa en tres conjuntos de principios: Evaluación de riesgos •
Autodirección por personas de la organización que asumen la responsabilidad. • Medidas
adaptables que pueden cambiar con la tecnología. • Un proceso definido y procedimientos
de evaluación estándar. • Una base para un proceso continuo que mejora la seguridad en el
tiempo. Gestión de riesgos • Una visión prospectiva que explora las relaciones cambiantes
entre activos, amenazas y vulnerabilidades. • Un enfoque en un "pocos críticos"
problemas de seguridad. • Gestión integrada de políticas y estrategias de seguridad con las
de la organización. Organizacional y Cultural • Comunicación abierta de información de
riesgo y actividades construidas en torno a la colaboración. • Una perspectiva global del
riesgo en el contexto de la misión y los objetivos comerciales de la organización. • Trabajo
en equipo para un enfoque interdisciplinario. Se trata de mostrar "reducción del riesgo
en la inversión", dice Hoff. "No me interesa mostrar que he mejorado la línea de
fondo. Lo que puedo mostrar es cómo hemos gestionado el riesgo en nombre de la
empresa y reducido nuestra exposición al riesgo ". Hoff se encuentra entre un
creciente número de gerentes de seguridad que dicen que es hora de abordar la seguridad
de la información como un problema de administración de riesgos operativos en lugar de
una función que se centra únicamente en implementar soluciones tácticas para cada nueva
amenaza que surja. La necesidad de cumplir con regulaciones como la Ley
Sarbanes-Oxley, la Ley de Portabilidad y Responsabilidad del Seguro Médico y la SB 1386
de California es uno de los principales factores que impulsa a las empresas a tener una
visión más empresarial de sus medidas de seguridad de la información. La urgente urgencia
de la situación es una ola de legislación que los legisladores están considerando en
respuesta a una serie de compromisos de datos bien publicitados en Bank of America
Corp., ChoicePoint Inc. y LexisNexis Group. Las amenazas en evolución y una mayor
exposición al riesgo también están empujando la necesidad de una visión más estratégica
de la seguridad. El uso creciente de tecnologías inalámbricas y portátiles y la tendencia a
conectar redes internas con las de proveedores, socios y clientes han aumentado
drásticamente los riesgos de seguridad y las posibles consecuencias de una violación.
"De repente, hay muchas nuevas partes interesadas en la seguridad de la
información", incluidos reguladores, accionistas, clientes, empleados y socios
comerciales, afirma Carolee Birchall, vicepresidente y responsable de riesgos senior en
BMO Bank of Montreal en Toronto. "Todos estos grupos tienen diferentes expectativas
de TI, y todos se ponen a la cabeza de la seguridad de la información", dice. La
tendencia exige un replanteamiento fundamental de los objetivos de seguridad, dicen
gerentes de seguridad como Hoff. El objetivo no es eliminar por completo todos los riesgos,
porque eso no es realista, dice Kirk Herath, director de privacidad de Nationwide Mutual
Insurance Co. en Columbus, Ohio. Más bien, es comprender la amplia naturaleza y el
alcance de las amenazas a su situación específica. Debe basar las medidas de mitigación
en la probabilidad de pérdida o alteración de esos riesgos. El enfoque no está en las
tecnologías de puntos, sino en problemas de mayor nivel, como la disponibilidad del
sistema, la recuperación y la respuesta a incidentes, dice Herath. Es un enfoque de
mitigación de riesgos que comienza con una comprensión detallada de los activos de
información que desea proteger y para lo que exactamente quiere protegerlos, dice Vinnie
Cottone, vicepresidente de servicios de infraestructura de Eaton Vance Distributors Inc., un
servicio financiero. empresa en Boston. Actualmente, la empresa está implementando
cambios de seguridad destinados a abordar cinco problemas específicos que se
identificaron durante un ejercicio de evaluación de riesgos de TI y negocios corporativos.
Los problemas incluyen la necesidad de una autenticación de usuario más fuerte y medidas
para asegurar y hacer cumplir las políticas en todos los dispositivos de punto final, como
computadoras portátiles y sistemas inalámbricos, que intentan iniciar sesión en la red de
Eaton Vance. "Analizamos todas las posibles amenazas de [seguridad de la
información] a Eaton Vance, y desde allí salimos con muchos escenarios de 'qué
pasaría si' y luego determinamos qué deberíamos hacer" para tratar con ellos,
dice Cottone. Pero la mayoría de los gerentes de seguridad reconocen que las tareas
diarias de lidiar con códigos de software poco confiables y buscar los últimos virus, gusanos
y spyware dejan poco tiempo o recursos para enfocarse en estrategias de gran
envergadura. Los cambios en los requisitos comerciales y la creciente complejidad de las
amenazas también pueden mantener a los gerentes de seguridad ligados a cuestiones
tácticas, incluso si no quieren hacerlo. Además del desafío, existe una desconexión
preocupante entre las organizaciones de seguridad y las unidades de negocios, dicen los
gerentes de seguridad. Lloyd Hession, director de seguridad de la información en Radianz
Inc., un proveedor de servicios de comunicaciones con sede en Nueva York para la industria
de servicios financieros, dice que una opinión común de los ejecutivos es: "Hemos
gastado todo este dinero en herramientas antivirus, filtros web y cortafuegos , y ¿por qué
eso no ha detenido este problema? ". Los gerentes de seguridad dicen que con
demasiada frecuencia se los ve como proveedores de miedo, incertidumbre y duda que
tienen poca comprensión de los requisitos comerciales. Para cambiar esa imagen,
necesitan ayudar a los gerentes de negocios a entender las concesiones que deben
hacerse para adaptarse a una nueva medida de seguridad. Y eso significa que no hay
geekspeak, dice Cottone. "Realmente no se puede hablar técnica o cualquier tipo de
jerga" cuando se comunica la estrategia de seguridad al lado del negocio, dice. El
mensaje clave, dice Hession, es que la seguridad de la información es un problema de
negocios que "no se trata simplemente con los firewalls y las [herramientas] antivirus
que ya existen".
1. ¿Qué están haciendo los gerentes de seguridad para mejorar la seguridad de la
información?
2. ¿Cómo funciona la metodología OCTAVE para mejorar la seguridad en las
organizaciones?
3. ¿Qué quiere decir Lloyd Hession cuando dice que la seguridad de la información
"no se aborda simplemente por los cortafuegos y las [herramientas] antivirus que ya
están en funcionamiento"?

CASO 4
Shavlik Technologies: mantenimiento de la seguridad del software CASO REAL WORLD 4 A
finales de 2004, Microsoft sacudió a sus clientes con 10 nuevos boletines de seguridad y
una nueva versión de un boletín anterior. Siete de los nuevos boletines fueron calificados
como "críticos" por el proveedor de software, mientras que tres se denominaron
"importantes". Las fallas críticas ponen a los sistemas de los clientes en riesgo
de serios problemas de seguridad, o incluso un gusano de Internet como Code Red, Blaster.
y SQL Slammer. El lote de parches de octubre de 2004 tiene como objetivo corregir más de
20 vulnerabilidades que afectan a una amplia gama de aplicaciones de Microsoft, incluida
casi todas las versiones compatibles de Windows, Exchange 2000, Exchange 2003 y
Microsoft Excel. Esto creó una carrera durante las siguientes semanas entre los hackers y
los creadores de virus y los administradores de seguridad que se apresuraron a parchar sus
sistemas de tecnología empresarial antes de un ataque. Si la historia es un indicador, los
profesionales de seguridad tienen desde una semana hasta 21 días antes de que las
herramientas de los hackers utilizadas para atacar este conjunto más reciente de
vulnerabilidades estén ampliamente disponibles en Internet. También existe la posibilidad de
que un gusano pueda salir a la superficie en cuestión de semanas. Las empresas que
utilizan software de administración de parches de compañías como BigFix, PatchLink, St.
Bernard Software y Shavlik Technologies tienen una clara ventaja en esta carrera para
vencer cualquier ataque que surja como resultado de estas vulnerabilidades de Microsoft. Al
automatizar el proceso de parchado, estas aplicaciones pueden recortar días, si no
semanas, del laborioso proceso de actualización de cada estación de trabajo vulnerable y
servidor. El día después de que Microsoft emitió sus alertas recientes, InformationWeek
acampó en las oficinas del proveedor de administración de parches Shavlik para obtener
una visión interna de cómo el proveedor prepara y prueba sus aplicaciones de
administración de parches. La fecha de lanzamiento de parches mensual de Microsoft se
conoce como "Parche Martes". Aproximadamente a las 12:30 pm CDT del
martes, los 10 nuevos boletines de seguridad de Microsoft llegaron a su sitio web. Eric
Schultze, arquitecto en jefe de seguridad de Shavlik, rápidamente comenzó a estudiar
detenidamente los boletines de seguridad y analizar la importancia de cada actualización de
software para los clientes de Shavlik. "Esto es grande. . . . Hay siete vulnerabilidades
críticas. Este es el anuncio de parche más grande de Microsoft hasta ahora ", dijo, al
revisar los boletines por primera vez. En el momento en que los boletines de Microsoft
llegaron, Schultze envió una alerta por correo electrónico a la lista de correo de
PatchManagement.org, alojada por Shavlik y moderada por Schultze. Se envió
inmediatamente un correo electrónico similar a la lista de correo Anuncios XML de Shavlik.
Esta lista informa a los clientes de Shavlik que la compañía ha comenzado a preparar sus
aplicaciones de administración de parches para implementar una nueva ronda de parches
de Microsoft. Mientras Schultze estudiaba los boletines e ingresaba la información crítica
para el despliegue exitoso de parches en la aplicación de Shavlik, una gran pizza de
pepperoni y dos latas de Diet Pepsi lo esperaban junto a su escritorio. "Siempre tengo
pizza el día del parche", dijo. Minutos después de que las noticias de los boletines de
seguridad de Microsoft de octubre se hicieran públicas, los teléfonos de atención al cliente
de Shavlik comenzaron a sonar. Los clientes querían saber cuándo se actualizaría el
software insignia de gestión de parches de Shavlik, HFNetChkPro, para que pudieran
implementar los nuevos parches. "Obtuvimos los parches finales al mismo tiempo que
todos los demás. Nuestro objetivo es tenerlos listos hoy ", dijo Schultze. Con una
cantidad tan grande de boletines de seguridad llegando ese martes, Shavlik parecía tener
muchas posibilidades de tener sus aplicaciones listas el mismo día. Shavlik necesitaba
preparar su software para poder detectar e implementar más de 30 parches en ocho
idiomas, incluidos inglés, francés, alemán, italiano, japonés y portugués. El corazón del
trabajo del día residió dentro de dos archivos XML que el software de Shavlik utiliza para
administrar el proceso de parches para sus clientes. El primer archivo XML es utilizado por
HFNetChkPro para evaluar los sistemas de los clientes y detectar cuáles son vulnerables a
los ataques. El segundo archivo XML instruye a HFNetChkPro sobre cómo implementar los
archivos de parche en los sistemas de los clientes. "Esto es lo que impulsa nuestro
software", dijo Schultze. El "motor" HFNetChkPro de Shavlik es licenciado
y utilizado por otros proveedores de seguridad, incluidos BindView, BMC Software, NetIQ y
Symantec, dentro de sus aplicaciones de administración de parches para escanear
estaciones de trabajo y servidores de Windows en busca de sistemas sin parches y en
riesgo. Primero, Schultze preparó el archivo XML que usará HFNetChkPro para escanear y
evaluar los sistemas del cliente en busca de las nuevas vulnerabilidades. Durante
aproximadamente cuatro horas, preparó los archivos de evaluación de parches,
asegurándose minuciosamente de que cada bit de información, desde números de
seguimiento de boletines de seguridad misteriosos de organizaciones de seguridad hasta
otros detalles minuciosos sobre cada archivo de parche, es correcto, por lo que el software
detectará correctamente sistemas vulnerables Mientras Schultze trabajaba en los archivos
de datos de parches de Shavlik, Karen Helker, la gerente de control de calidad de la
compañía, comenzó a preparar 41 sistemas virtuales que ejecutan varios sistemas
operativos y configuraciones de aplicaciones de Microsoft para probar los archivos de datos
XML creados por Schultze. "Probamos exhaustivamente la detección y la
implementación de los parches antes de poner nuestros archivos XML a disposición de
nuestros clientes", dijo Helker. Helker y su equipo usan las máquinas virtuales para
probar qué tan bien el software de Shavlik ve los sistemas vulnerables y despliega los
parches de Microsoft en cada idioma. Para la ronda de parches de este mes, eso incluyó
más de 240 configuraciones de parches posibles. Solo uno de los boletines de seguridad
contenía una vulnerabilidad en un sistema para el cual Shavlik no tenía un sistema
preconstruido listo para la prueba. Esa era una vulnerabilidad dentro de Microsoft Exchange
2003 corriendo en un sistema Windows 2000. "Lo hicimos con Windows 2003, pero no
con Windows 2000, que es la configuración para este defecto en particular", dijo
Helker. A las 4 pm, Schultze pasó sus archivos de evaluación XML a Helker y a otros tres
técnicos que dividieron más de 240 configuraciones para probar. Mientras el equipo de
garantía de calidad probaba cada configuración, Schultze comenzó a trabajar en el
desarrollo del archivo XML que utilizarán los clientes de Shavlik para implementar los
parches de Microsoft. El proceso de construcción y prueba continuó hasta la noche del
martes por la noche. A las 10:30 p.m., Schultze y Helker mantuvieron una reunión para
determinar qué tan bien había avanzado el proceso durante el día y para asegurarse de que
estuvieran listos para enviar los archivos de parche a sus clientes antes de la medianoche.
Pasaron las últimas horas solucionando fallas menores que el proceso de garantía de
calidad descubrió. "Esta es la información detallada", dijo Schultze. Es ese tipo
de diligencia que Craig Perkins, funcionario bancario y gerente de tecnología de Red River
Bank, un banco comunitario independiente, dice que es "extremadamente
importante" para él, ya que el equipo de tecnología empresarial del banco navega por
el "laberinto de parches de host corporativos". "Red River Bank ha estado
utilizando el software de Shavlik durante aproximadamente un año, y Perkins dice que ha
mejorado enormemente el proceso del banco para reparar más de 175 estaciones de
trabajo y servidores distribuidos en siete sucursales bancarias. "Es más manejable
ahora", dice. Antes de ejecutar el software de administración de parches de Shavlik,
dice Perkins, tenía noches de insomnio ocasionales, con la esperanza de que las
herramientas o los gusanos no salieran a la superficie antes de que el banco tuviera tiempo
de parchar sus sistemas de manera segura. No hay mucho sueño para los gustos de
Schultze y Helker en Patch Tuesday. Eran solo unos minutos después de la medianoche
cuando se completó el proceso de preparación y prueba del software de administración de
parches de Shavlik, y los archivos estaban listos para ser publicados a sus clientes.
"Perdió su objetivo del mismo día de trabajo por unos minutos", alguien presionó
a Schultze. "No, no lo hicimos", dijo. "Estamos operando en Redmond,
Washington, hora".
1. ¿Qué tipos de problemas de seguridad suelen abordarse mediante una estrategia de
administración de parches? ¿Por qué surgen tales problemas en primer lugar?
2. ¿Qué desafíos plantea el proceso de aplicación de parches y actualizaciones de software
para muchas empresas? ¿Cuáles son las limitaciones del proceso de parchado?
3. ¿El valor comercial de una estrategia integral de gestión de parches supera sus costos,
sus limitaciones y las exigencias que impone a la función de TI? ¿Por qué o por qué no?