TEORA DE SEGURIDAD

NDICE
INTRODUCCIN
CIBERSEGURIDAD E INFRAESTRUCTURA CRTICA
DEFINICIONES
RIESGOS Y TENDENCIAS
SEGURIDAD DE NUEVAS TENDENCIAS DE TECNOLOGA
CLOUD COMPUTING
BIG DATA
INTERNET DE LAS COSAS
OTRAS TENDENCIAS
VIGILANCIA Y ESPIONAJE DIGITAL
CASOS DE ESPIONAJE
MEDIDAS DE PROTECCIN
BIBLIOGRAFA

[ POLITCNICO GRANCOLOMBIANO]

1. INTRODUCCIN

Figura 1. Fotografa que ilustra sistemas de control industrial - Tomado de AP Photo

(http://images.politico.com/global/news/110301_cybersecurity_605.jpg)

La seguridad de la informacin establece a diario nuevos retos asociados a la evolucin de

tecnologas de la informacin, nuevas tendencias en los negocios y otros factores que varan de
mercado en mercado. Como profesionales dedicados a estos temas, es necesario estar a la par y
en ocasiones ms preparados para las nuevas tendencias y avances tecnolgicos
que
vislumbran los riesgos y oportunidades que puedan surgir enlas organizaciones.
A travs de esta cartilla se observarn los temas: Infraestructuras crticas, Sistemas de control
industrial, as como otras tendencias tales como Big Data. Internet of the Things, Cloud
Computing, BYOD y finalmente, una revisin de temas asociados a la privacidad.

1. Metodologa
El marco metodolgico a seguir establece el desarrollo de lecturas sobre temas conceptuales y
estructurales, asociado a material multimedia y actividades individuales y grupales como
mecanismo de aplicacin de conceptos y teora.

[ TEORA DE SEGURIDAD ]

4. Mapa conceptual

5. Objetivo General
Abordar temas de actualidad de la seguridad de la informacin y su impacto en las sociedades
modernas

5.1.
-

Competencias
Conocer nuevas tendencias tecnolgicas a las que debe responder la seguridad de la
informacin
Comprender los conceptos bsicos de seguridad en sistemas de control industrial
Identificar conceptos asociados a la infraestructura crtica
Identificar el papel de la seguridad en el cloud computing
Analizar los riesgos asociados a las nuevas tendencias como big data y el internet de las
cosas (IoT)
Establecer mecanismos para gestionar peligros a la privacidad de la informacin

[ POLITCNICO GRANCOLOMBIANO]

6. Desarrollo temtico
6.1 Componente Motivacional
La seguridad de la informacin evoluciona a una velocidad similar a la de la tecnologa, sin
embargo, factores como el uso de esta tecnologa en otros entornos han abierto un sinnmero
de oportunidades y situaciones que ante los ojos del mercado son smbolos de innovacin que
ofrecen amplias opciones y mecanismos para hacer de la tecnologa una herramienta cada vez
ms til, desafortunadamente, no siempre la utilidad va asociada a la seguridad y por el
contrario, son factores que abren brechas y brindan espacios donde pueden ser empleados por
criminales para fugar informacin, afectar confidencialidad y muchas otras situaciones. Un
profesional de seguridad de la informacin debe estar al tanto de estas tendencias y avanzar en
conocimientos y habilidades para asesorar a las organizaciones frente a estos nuevos peligros..

6.2 Recomendaciones acadmicas

Para complementar las temticas a abordar en la unidad frente a ciberseguridad, se recomienda
tomar el curso 210W - Cybersecurityfor Industrial Control Systems que se puede tomar del
Homeland Security Department de los Estados Unidos (https://ics-cert-training.inl.gov) y es una
excelente introduccin a la seguridad de sistemas de control industrial. Para los otros temas a
abordar, se recomienda la lectura de papers de investigacin, los cuales suelen ser publicados
por diferentes fuentes.

6.3 Desarrollo de cada una de las unidades temticas

CIBERSEGURIDAD E INFRAESTRUCTURA CRTICA

DEFINICIONES
A pesar de que el trmino ciberseguridad es otra manera de denominar la seguridad
informtica, en nuestros das es usualmente empleado para hacer referencia a temas
relacionados con nuevas amenazas a la seguridad de la informacin, algunos otros lo asocian a
temas de seguridad de infraestructura crtica, de la que hablaremos ms adelante. La definicin
presentada por Gartner propone:
La ciberseguridad consiste en un amplio rango de prcticas, herramientas y conceptos
relacionados a aquella informacin y seguridad de tecnologas operacionales. Se distingue este
tipo de seguridad por la inclusin de uso de herramientas tecnolgicas para el ataque ofensivo a
posibles atacantes o adversarios.

[ TEORA DE SEGURIDAD ]

Por otra parte, la Tecnopedia, establece la siguiente definicin: La ciberseguridad hace

referencia a mtodos preventivos para proteger la informacin ante robos, compromisos o
ataques en diversas formas. Requiere el entendimiento de amenazas potenciales a la
informacin tales como virus y cdigos maliciosos. Por otra parte, las estrategias de la
ciberseguridad incluyen gestin de identidades, gestin de riesgos e incluso, gestin de
incidentes.
Finalmente, tomando como referencia el documento NIST SP 800-53 Rev 4, se establece la
siguiente definicin que resulta ms completa y clara que las anteriores: Estrategias, polticas y
estndares asociados a la seguridad de las operaciones en el ciberespacio y que abarcan la
reduccin de amenazas, reduccin de vulnerabilidades,
disuasin, compromisos
internacionales, respuesta a incidentes, (resiliencia), actividades de recuperacin, incluyendo
redes de computadores de operacin, aseguramiento de la informacin, fortalecimiento de la
ley, diplomacia, misiones militares y misiones de inteligencia que se encuentran asociadas a la
seguridad y estabilidad de la informacin global e infraestructura de comunicaciones.
Pero se genera una gran duda en torno a lo que se conoce como Infraestructura crtica, en este
particular tambin se poseen varias definiciones tales como:
Las infraestructuras estratgicas (es decir, aquellas que proporcionan servicios esenciales) cuyo
funcionamiento es indispensable y no permite soluciones alternativas, por lo que su
perturbacin o destruccin tendra un grave impacto sobre los servicios esenciales [CCNPIC]
Adicionalmente, para Espaa, se definen como sectores que establecen la infraestructura
crtica:

Figura 2. Definicin de Infraestructuras crticas realizada por el Gobierno Espaol. Tomado de CCNPIC

[ POLITCNICO GRANCOLOMBIANO]

En el caso de Estados Unidos, la definicin aportada por el departamento de Homeland Security

establece:
Infraestructura crtica est compuesta por los activos, sistemas y redes ya sean virtuales o
fsicas, que son vitales para el pas y cuya incapacidad o destruccin pueden generar un efecto
debilitante en la seguridad nacional, la economa nacional, la salud nacional o incluso la
seguridad de las personas, e incluso la combinacin de todas estas.

Ilustracin 3 Sectores definidos en Estados Unidos como Infraestructura crtica. Tomado de Departamento de Homeland
Security de Estados Unidos.

[ TEORA DE SEGURIDAD ]

Para el Reino Unido, la definicin es similar:

Aquellas instalaciones, sistemas, sitios y redes necesarias para el funcionamiento del pas y la
entrega de los servicios vitales y esenciales a travs de los cuales depende la vida diaria del
Reino Unido
Finalmente, los sectores definidos por el Gobierno del Reino Unido como Infraestructura crtica
son:

Comunicaciones
Servicios de emergencia
Servicios de energa
Servicios Financieros
Comida
Gobierno
Salud
Transporte
Agua

Figura 4. Interaccin de sectores considerados infraestructuras crticas - Tomado de Departamento de Homeland

Security

[ POLITCNICO GRANCOLOMBIANO]

Para en el caso de Colombia, este anlisis de infraestructuras crticas se ha desarrollado desde

hace unos aos y hasta el momento se han realizado varias publicaciones al respecto. Un
ejemplo de lo anterior es el informe [OEA14] generado por parte de la OEA (Organizacin de
Estados Americanos) en el ao 2014 sobre el estado de la ciberseguridad del pas y
recomendaciones para mejoramiento de la misma.

RIESGOS Y TENDENCIAS

Al analizar las infraestructuras crticas, surge la duda con respecto a qu riesgos enfrentan estos
sectores antes descritos y por qu resultan vulnerables. Para ello se debe hacer la claridad que
este tipo de activos presentan altos grados de inseguridad asociados al uso de tecnologas
denominadas ICS, por su sigla en ingls que significan Sistemas de Control Industrial y son
popularmente conocidos como sistemas SCADA.
Un sistema de control industrial consiste en el uso de hardware, software y redes de
comunicaciones para la administracin, monitoreo y control de sistemas responsables de
mecanismos a nivel industrial, ejemplos de esto son:

Plantas qumicas
Sistema elctrico
Extractoras de petrleo
Sistemas de manejo de aguas
Entre otros

Dentro de las variedades de sistemas de control industrial, se pueden hablar de varios tipos:

SCADA Sistema de supervisin, control y adquisicin de datos

DCS Sistemas de control distribuidos
PCS Sistemas de control de procesos
EMS Sistemas de gestin de energa
AS Sistemas de automatizacin
SIS Sistemas de instrumentalizacin de seguridad

Ms all de entrar en detalle y conocer qu compone cada uno de estos sistemas, existen
factores comunes que han permitido la aparicin de riesgos asociados a la seguridad de la
informacin y hacen de estos sistemas masivamente utilizados un objetivo de ataque muy
interesante en nuestros das, veamos en detalle estos factores de riesgo:

[ TEORA DE SEGURIDAD ]

Son sistemas diseados para un uso hasta de 20 aos, por lo cual suelen volverse obsoletos
tras un tiempo continuando con el uso de tecnologas legadas y sin soporte de fabricantes.

Se emplean protocolos que no manejan seguridad para el intercambio de comunicaciones,

tal como el protocolo Modbus, el cual tiene ms de 30 aos en el mercado y es
ampliamente usado an cuando todo lo transmitido a travs del mismo no est cifrado.

Se ha convertido en tendencia la publicacin hacia Internet de las interfaces de

administracin de estos sistemas de control, empleando usuarios y contraseas
predeterminadas as como componentes de software vulnerables.

La industria emergente de ciberdelincuencia se encuentra desarrollando herramientas

avanzadas para atacar y aprovechar estas vulnerabilidades comprometiendo la seguridad
industrial de pases enteros. Estas herramientas pasan a ser vulnerabilidades que los
fabricantes tardan aos en solventar, que a su vez suelen ser vendidas en el mercado negro
por altos precios.

El ataque a este tipo de activos puede desestabilizar sectores enteros de una ciudad o un
pas, llegando al punto de afectar sus actividades vitales tal como se observaba en las
definiciones de Infraestructura Crtica.[TREND12]

Figura 5. Imagen de interfaz Hombre-Mquina (HMI) de un sistema SCADA de control de planta de cementos

10

[ POLITCNICO GRANCOLOMBIANO]

Los profesionales de seguridad enfrentan retos, los cuales son un factor importante para
comprender. Entre ellos estn estos tipos de sistemas que se encuentran por lo menos 10 aos
atrs de los avances tecnolgicos que se pueden encontrar en nuestros das, esto de la mano
con una usual divisin presentada dentro de las organizaciones donde se puede decir que son
operados por el rea de OT (Operation Technologies) en vez de serlo por parte de IT
(Information Technologies). Esta barrera se presenta dado que la administracin, gestin y uso
de estas plataformas es altamente especializada y lo que es trabajado normalmente por las
reas de IT no tiene cabida en la operacin.
Al tener la oportunidad de conocer cmo funcionan estos sistemas y trabajar con ellos es
posible comprender qu los hace diferentes, prueba de ello es que son entornos donde el
concepto de CID (Confidencialidad Integridad - Disponibilidad) cambia por DIC (Disponibilidad
Integridad Confidencialidad) y es claro que esto se debe a que son sistemas de misin crtica
cuyo diseo est establecido con el fin de brindar alta disponibilidad por encima de cualquier
otro tema.
Este interesante y apasionante tema ha abierto sus puertas al mundo de la seguridad y es
necesario estar preparados para entrar y brindar apoyo con la premisa de comprender que la
seguridad pensada para entornos de TI o las empresas en general, no aplican para OT.

SEGURIDAD DE NUEVAS TENDENCIAS DE TECNOLOGA

Volviendo a entornos empresariales no operacionales, aparecen nuevas tecnologas que brindan
ventajas, oportunidades y establecen tendencias en nuestros das, sin embargo al mismo
tiempo, se abren brechas de seguridad que es necesario identificar, tratar y controlar
permitiendo que la innovacin prosiga pero de forma segura y salvaguardando la informacin
de las organizaciones.
CLOUD COMPUTING

Figura 6. Grfica que ilustra ideas de servicio en Cloud Computing - Tomada de Patriot Software

[ TEORA DE SEGURIDAD ]

11

De acuerdo con la gua de seguridad de reas crticas en Cloud Computing v 3.0, la Cloud
Security Alliance (CSA) define esta como un modelo para proporcionar acceso ubicuo,
conveniente y bajo demanda a un conjunto de recursos de computacin configurable, como
redes, servidores, almacenamiento, aplicaciones y servicios. La anterior definicin fue ajustada
del estndar NIST 800-145 (NationalInstitute of Standards and Technology).
El NIST define Cloud Computing bajo cinco caractersticas, tres modelos de servicio, y cuatro
modelos de despliegue que se describen a continuacin:
Caractersticas

12

Multi-tenancy (Puesta en comn de recursos): uso de los mismos recursos o aplicaciones por
parte de mltiples consumidores que pueden pertenecer a la misma organizacin o a
organizaciones diferentes. [CSA]

Servicio de auto demanda: el consumidor puede abastecer sus requerimientos de forma

automtica sin requerir la interaccin humana con cada proveedor de servicio. [CSA]

Amplio acceso a la red: Las capacidades estn disponibles en la red y se accede a ellas a
travs de mecanismos estndar que fomentan el uso por parte de plataformas de clientes
heterogneas tanto ligeras como pesadas (Ej.: telfonos mviles, porttiles, entre otros.)
[CSA]

Elasticidad y rapidez: Las capacidades pueden suministrarse de manera rpida y elstica,

para poder realizar el redimensionado rpidamente. Las capacidades aparecen como
ilimitadas y pueden adquirirse en cualquier cantidad y en cualquier momento. [CSA]

Servicio supervisado: Los sistemas de nube controlan y optimizan el uso de los recursos de
manera automtica utilizando una capacidad de evaluacin en algn nivel de abstraccin
adecuado para el tipo de servicio como procesamiento, ancho de banda, que pueden
seguirse, controlarse y notificarse, aportando transparencia para el proveedor y el
consumidor. [CSA]

[ POLITCNICO GRANCOLOMBIANO]

Modelos de servicio
Cloud Computing maneja tres modelos de servicio que tienen relaciones e interdependencias:

Figura 7. Definicin por capas de componentes de cloud computing - Tomado de Cloud Security Alliance

Infraestructura como servicio (IaaS): se ofrece una infraestructura computacional

(normalmente un entorno de virtualizacin de plataforma) como un servicio, junto con
almacenamiento puro y gestin de la red. El cliente puede desplegar software arbitrario,
este no gestiona ni controla la infraestructura, pero controla sistemas operativos,
almacenamiento, aplicaciones desplegadas y tiene control limitado de componente de red
(Ej.: puede hospedar firewalls.) [CSA]

Plataforma como servicio (PaaS): entrega de una plataforma de computacin y una pila de
soluciones como un servicio. Este modelo facilita el despliegue de aplicaciones sin el costo y
la complejidad de comprar y gestionar el hardware y el software subyacentes, as como las
capacidades de aprovisionamiento del alojamiento. [CSA]

[ TEORA DE SEGURIDAD ]

13

Software como servicio (SaaS): modelo de entrega de software en el que se alojan el

software y sus datos asociados centralizadamente, y el acceso por los usuarios se realiza
usando un cliente ligero, normalmente un navegador web. [CSA]

Al entender las relaciones y dependencias entre los modelos, es importante comprender los
riesgos asociados a la seguridad.
IaaS es la base de todos los servicios, PaaS tiene su base en IaaS y SaaS tiene su base en PaaS; se
trata de una cadena en profundidad. Se heredan capacidades y aspectos relativos a riesgos en
seguridad de la informacin.

Modelos de despliegue
Se cuenta con cuatro formas en las que se despliegan los servicios en la nube:

Nube pblica: La infraestructura de nube se pone a disposicin del pblico en general y su

infraestructura es propiedad y es gestionada por una organizacin que vende los servicios
en la nube. [CSA]

Nube privada: La infraestructura de nube se gestiona nicamente para una organizacin.

Puede ser gestionada por la organizacin o un tercero y puede existir tanto en sus
instalaciones como fuera de ellas. [CSA]

Nube comunitaria: La infraestructura de nube la comparten varias organizaciones y soporta

una comunidad especfica que tiene preocupaciones y requisitos similares, como, polticas,
consideraciones sobre cumplimiento normativo, requisitos de seguridad, entre otros. Puede
ser gestionada por las organizaciones o un tercero y puede existir en las instalaciones o
fuera de ellas. [CSA]

Nube hbrida: La infraestructura de nube es una composicin de dos o ms nubes (privada,

comunitaria o pblica) que se mantienen como entidades separadas pero que estn unidas
por tecnologa estandarizada o propietaria que permite la portabilidad de datos y
aplicaciones. [CSA]

Una vez comprendidos los componentes del Cloud Computing, se debe analizar cuales riesgos
implican estos tipos de tecnologas, entre los principales se pueden citar:

14

[ POLITCNICO GRANCOLOMBIANO]

PRDIDA DE GOBERNANZA: al utilizar las infraestructuras en nube, el cliente necesariamente

cede el control de una serie de cuestiones que pueden influir en la seguridad al proveedor en
nube. Al mismo tiempo, puede ocurrir que los Acuerdos de nivel de servicio no incluyan la
prestacin de dichos servicios por parte del proveedor en nube, dejando as una laguna en las
defensas de seguridad.
VINCULACIN: la oferta actual en cuanto a herramientas, procedimientos o formatos de datos
estandarizados o interfaces de servicio que puedan garantizar la portabilidad del servicio, de las
aplicaciones y de los datos resulta escasa. Por este motivo, la migracin del cliente de un
proveedor a otro o la migracin de datos y servicios de vuelta a un entorno de tecnologas de la
informacin interno puede ser compleja. Ello introduce la dependencia de un proveedor en
nube concreto para la prestacin del servicio, especialmente si no est activada la portabilidad
de los datos como aspecto ms fundamental.
FALLO DE AISLAMIENTO: la multiprestacin y los recursos compartidos son caractersticas que
definen la computacin en nube. Esta categora de riesgo abarca el fallo de los mecanismos que
separan el almacenamiento, la memoria, el enrutamiento e incluso el renombre entre los
distintos proveedores (por ejemplo, los denominados ataques guesthopping. No obstante,
debe considerarse que los ataques a los mecanismos de aislamiento de recursos (por ejemplo,
contra hipervisores) todava son menos numerosos, y su puesta en prctica para el atacante
presenta una mayor dificultad en RIESGOS DE
CUMPLIMIENTO: la inversin en la obtencin de la certificacin (por ejemplo, requisitos
reglamentarios o normativos del sector) puede verse amenazada por la migracin a la nube:
Si el proveedor en nube no puede demostrar su propio cumplimiento de los requisitos
pertinentes
Si el proveedor en nube no permite que el cliente en nube realice la auditora.
En determinados casos, tambin significa que el uso de una infraestructura pblica en nube
implica que no pueden alcanzarse determinados niveles de cumplimiento (por ejemplo, con PCI
DSS (4)).
COMPROMISO DE INTERFAZ DE GESTIN: las interfaces de gestin de cliente de un proveedor
en nube pblico son accesibles a travs de Internet, y canalizan el acceso a conjuntos de
recursos ms grandes (que los proveedores tradicionales de alojamiento), por lo que plantean
un riesgo mayor, especialmente cuando son combinados con el acceso remoto y las
vulnerabilidades del navegador de web.
PROTECCIN DE DATOS: la computacin en nube plantea varios riesgos relativos a la proteccin
de datos tanto para clientes en nube como para proveedores en nube. En algunos casos, puede
resultar difcil para el cliente en nube (en su funcin de controlador de datos) comprobar de
manera eficaz las prcticas de gestin de datos del proveedor en nube, y en consecuencia, tener
la certeza de que los datos son gestionados de conformidad con la ley. Este problema se ve

[ TEORA DE SEGURIDAD ]

15

exacerbado en los casos de transferencias mltiples de datos, por ejemplo, entre nubes
federadas. Por otra parte, algunos proveedores en nube s proporcionan informacin sobre sus
prcticas de gestin de datos. Otros tambin ofrecen resmenes de certificacin sobre sus
actividades de procesamiento y seguridad de datos y los controles de datos a que se someten,
por ejemplo, la certificacin SAS 70.
SUPRESIN DE DATOS INSEGURA O INCOMPLETA: cuando se realiza una solicitud para suprimir
un recurso en nube, al igual que sucede con la mayora de sistemas operativos, en ocasiones el
proceso no elimina definitivamente los datos. En ocasiones, la supresin adecuada o puntual de
los datos tambin resulta imposible (o no deseable, desde la perspectiva del cliente), bien
porque existen copias adicionales de datos almacenadas pero no disponibles o porque el disco
que va a ser destruido tambin incluye datos de otros clientes. La multiprestacin y la
reutilizacin de recursos de hardware representan un riesgo mayor para el cliente que la opcin
del hardware dedicado.
MIEMBRO MALICIOSO: aunque no suelen producirse habitualmente, los daos causados por
miembros maliciosos son, con frecuencia, mucho ms perjudiciales. Las arquitecturas en nube
necesitan ciertas funciones cuyo perfil de riesgo es muy elevado. Algunos ejemplos son los
administradores de sistemas de proveedores en nube y los proveedores de servicios de
seguridad gestionada. [ENISA]
El reto en cuanto a seguridad de la informacin es brindar adecuado tratamiento a los riesgos
identificados, salvaguardando la informacin de las organizaciones.

BIG DATA

Figura 8. Definicin de componentes cercanos a Big Data

16

[ POLITCNICO GRANCOLOMBIANO]

De acuerdo con la definicin propuesta por IBM, Big Data es una tendencia en el avance de la
tecnologa que ha abierto las puertas hacia un nuevo enfoque de entendimiento y toma de
decisiones, la cual es utilizada para describir enormes cantidades de datos (estructurados, no
estructurados y semi estructurados) que tomara demasiado tiempo y sera muy costoso
cargarlos a una base de datos relacional para su anlisis. De tal manera que, el concepto de Big
Data aplica para toda aquella informacin que no puede ser procesada o analizada utilizando
procesos o herramientas tradicionales. Sin embargo, Big Data no se refiere a alguna cantidad en
especfico, ya que es usualmente utilizado cuando se habla en trminos de petabytes y exabytes
de datos.
En otras palabras hablamos de minera de datos sobre grandes volmenes de informacin, lo
que a simple vista no supone un cambio a prcticas actuales, sin embargo, al analizar en detalle
si se pueden identificar riesgos asociados a la preservacin de la privacidad ya que una de las
tendencias es poder identificar perfiles de comprador, de cliente, etc. en otros trminos, contar
con grandes volmenes de datos acerca de las personas para poder as conocer ms sus gustos
o aficiones para ofrecer productos.
Por otra parte, ante estas grandes cantidades de datos, surgen preguntas respecto a cmo
proteger la informacin personal y cmo seguridad de la informacin est apoyando este tipo
de tecnologas.

INTERNET DE LAS COSAS

Figura 9. Representacin de Internet of theThings - Tomado de Business Insider

[ TEORA DE SEGURIDAD ]

17

Internet of The Things no es una nueva tecnologa, por el contrario como lo presenta CISCO,
consiste en una red de objetos fsicos que acceden a travs de Internet. Estos objetos cuentan
con tecnologas embebidas que les permiten interactuar con estados internos o externos. Es
decir, cuando los objetos pueden comunicarse cambia el cmo toman decisiones y para quin
lo hacen.
As, como el concepto presentado establece que es posible bajo el uso de estas tecnologas de
conexin realizar nuevas actividades con dispositivos, incluso permitiendo su control y
administracin remota, presenta un amplio riesgo a la seguridad de la informacin dado que se
suman nuevos equipos sobre los cuales es necesario identificar las comunicaciones que
establecen, cmo hacen uso de la red y cmo son accedidos evitando tambin su uso para
temas de espionaje o control gubernamental como se observar ms adelante. Entonces, la
Internet de las cosas supone un nuevo reto para la seguridad de la informacin en nuestros das.

OTRAS TENDENCIAS
Por mencionar otras tendencias que vale la pena revisar a profundidad se tienen:

Bring Your Own Device o el reto de los dispositivos mviles en las organizaciones

Teletrabajo

Aplicaciones mviles con acceso a toda nuestra informacin

Impresoras 3D

Mquinas inteligentes

VIGILANCIA Y ESPIONAJE DIGITAL

Finalmente, al hablar de vigilancia y espionaje digital vienen a colacin polmicas como las
generadas en aos anteriores con la publicacin de informacin por parte de Wikileaks
(fundacin creada por Julian Assange), as como la informacin que fue revelada por el ex
trabajador de la Agencia de Seguridad Nacional de los Estados Unidos Edward Snowden. Sin
embargo este tema va ms all y ha sido un constante choque entre gobiernos y entidades que
buscan el respeto a la privacidad e intimidad de las personas a lo largo del mundo.

18

[ POLITCNICO GRANCOLOMBIANO]

En las ltimas informaciones publicadas se hablaba de espionaje por parte de pases empleando
canales de comunicaciones de uso pblico de sus ciudadanos e incluso la manipulacin de
hardware y software, incluyendo algoritmos de cifrado, por parte de agencias de inteligencia en
varios pases.
Como profesionales de seguridad de la informacin estos temas brindan luces con respecto a
riesgos existentes dentro de las organizaciones tales como espionaje industrial, sabotaje, entre
otros. El fortalecimiento de controles respecto al acceso a la informacin tanto de personal
interno y por supuesto externo, as como la definicin de mecanismos a travs de los cuales se
realizar dentro de lo legal, el monitoreo de actividades del personal, esto debe estar acorde a
lo definido como uso aceptable de activos de informacin y polticas de la organizacin.
Entra a ser una tarea parte de las actividades diarias de los responsables de seguridad el
identificar trficos inusuales desde y hacia equipos en la organizacin, as como comunicaciones
por canales encubiertos (actualmente las botnets funcionan a travs de puertos como 25
empleados por el protocolo de envo de correos SMTP, puertos de IRC e incluso ya se observan
grados de sofisticacin tales como uso de HTTPS empleando certificados digitales o uso de
algoritmos desconocidos para esta tarea.
Asimismo, es necesario fortalecer el proceso de educacin a las personas con el fin de que
eviten ser vctimas de ataques de ingeniera social que se han ido popularizando a travs de los
ltimos aos con la masificacin de herramientas para este propsito, as como el
aprovechamiento de las debilidades en seguridad de dispositivos mviles.Es decir, ser
altamente proactivos para identificar posibles amenazas o aprovechamiento de vulnerabilidades
en la infraestructura de las organizaciones ya que estn siendo utilizados como mecanismos de
espionaje, ex filtracin de informacin hasta el punto de chantaje. Es tambin muy importante
la implementacin de mecanismos de cifrado para datos e informacin protegindola de acceso
no autorizado.
El mejor consejo es siempre estar alertas.

7. Bibliografa
[CCNPIC]CNPIC - Qu es una Infraestructura Crtica? Centro Nacional para la Proteccin de las
Infraestructuras
Crticas

2010

Disponible
en:
http://www.cnpices.es/Preguntas_Frecuentes/Que_es_una_Infraestructura_Critica/index.html
[OEA1 ]Misin de asistencia tcnica en seguridad ciberntica, conclusiones y recomendaciones

Organizacin
de
Estados
Americanos.
2014.
Disponible
en:
http://www.oas.org/documents/spa/press/Recomendaciones_COLOMBIA_SPA.pdf

[ TEORA DE SEGURIDAD ]

19

[TREND12] Tendencias en la seguridad ciberntica en Amrica Latina y el Caribe y respuestas

de los gobiernos, TrendMicro OEA - 2012. En lnea disponible en:
http://www.oas.org/es/ssm/cyber/documents/oastrendmicrolac_spa.pdf
[ENISA] Computacin en la Nube - Beneficios, riesgos y recomendaciones para la seguridad de
la
informacin,
ENISA
2009.
En
lnea
disponible
en:
http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computingrisk-assessment-spanish/at_download/file
[CSA] GU AS DE SEGURIDAD DE REAS CR TICAS EN CLOUD COMPUTING .0, Cloud Security
Alliance,
2011.
Disponible
en:
https://www.ismsforum.es/ficheros/descargas/guiacsa1354629608.pdf, ltima consulta: 1 de Junio de 2014

20

[ POLITCNICO GRANCOLOMBIANO]