EN LA MIRA DEL HACKER

i GOBIERNO ELECTRÓNICO / COMPUTERWORLD
LOS GOBIERNOS
EN LA MIRA
DEL HACKER
No es un pirata informático. Ni una computadora. La
imagen de una persona sentada delante de un
ordenador jugando a ser hacker de renombre debe
eliminarse de la mente. Actualmente, los ataques en
la Internet rebasan la simplicidad. Ya no se trata de
una persona o un grupo de “amigos” que parodian
en el intento de vulnerar filtros de seguridad; se
trata de organizaciones estructuradas que además
de tener el conocimiento tienen la infraestructura
para lograrlo.
EVOLUCIÓN DE LAS APT
(Advanced Persistent Threats)
EN EL MUNDO
2014
53
2013
2012
2011
2010
2009
28
14
5
3
1
Si bien existen intereses económicos en el ejercicio del hacker, la ganancia va más allá. Ellos
le apuestan al poder y lo consiguen a través del
sabotaje y espionaje de información. La victimización recae en los gobiernos y, paradójicamente
-como si desdoblarse fuese una opción-, la bonificación también. Solo el tiempo y el momento los
separa.
La posibilidad de que la información confidencial
de los gobiernos sea expuesta por un ataque informático es una realidad y se incrementa a medida
que la infraestructura de un país se informatiza.
Este entorno peligroso ha permitido que el término
conocido como APT (Advanced Persistent Threats)
o Amenazas Persistentes Avanzadas en español,
tome fuerza. ¿Por qué? Es simple: las APT son
técnicas de ingeniería social que permiten infiltrarse discretamente en organizaciones (gubernamentales) e implementar malware personalizado que
puede permanecer indetectable durante meses.
Para Andrés Zurita, Gerente General de Enlace
Digital, empresa representante de ESET Ecuador, explica que los objetivos de los ataques de
gobierno son vulnerar las defensas y conseguir un
acceso no autorizado permanente a la red vulnerada. Los intereses pueden ser de lo más remotos
y en particular se suele atribuir a la búsqueda de
información confidencial como documentos clasificados, datos de infraestructura, planeamiento
estratégico u cosas similares.
Los ataques están basados en el espionaje y
sabotaje. ¿De qué tipo? Dmitry Bestuzhev, director
del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab, está claro en que el
espionaje y sabotaje es político, diplomático, científico… sectores de los que el gobierno atacante
pueda sacar ventaja en momentos de negociaciones entre naciones o licitaciones regionales.
¿CÓMO LO HACEN?
* Los números reflejan
los ataques encontrados.
Fuente: ESET Latinoamérica.
122 a b o r d o . c o m . e c El recurso más fácil y común es el correo
electrónico. Un adjunto malicioso puede iniciar
la infección, pues cuando un equipo ya está
insertado, el atacante hace un movimiento lateral:
el dispositivo le permite explorar otros que están
conectados a la red e infectarnos selectivamente;
no masiva para no llamar la atención.
ECUADOR:
BLANCO DE
ATAQUES
L a vulneración de información en el país es una
realidad. De hecho, en el
2013, Ecuador se encontraba
en la sexta posición en un
estudio que realizó ESET y en
donde se determinó los sitios
más afectados de América
Latina y las organizaciones
gubernamentales que se
vieron afectadas por códigos
maliciosos. La posición podría responder también a datos
de la Unidad de Investigación de Cibercrimen de la Policía
Nacional del Ecuador que detallan que hasta julio del 2014,
el perjuicio de delitos digitales ascendió a los USD 2,07
millones en el país.
La problemática no es desconocida ni para la sociedad
ni para el Gobierno. El mismo Presidente de la República,
Rafael Correa, ha denunciado ciberataques y la Secretaria
de Administración Pública a través de su Plan de Gobierno
Electrónico planea combatirla.
Según Chistián Estay, Subsecretario de Gobierno Electrónico de la SNAP, explica que cuando un gobierno crece en
temas de tecnología se enfrenta a asuntos a los que no estaba acostumbrado y por esto, Ecuador está potencializando la seguridad informática desde el 2008. Por eso, Diego
Vargas, especialista estratégico de Seguridad de lnformación de la SNAP cuenta que en el 2013 se creó el Sistema
de Gestión, un protocolo de acciones que promueve el
análisis de riesgos de las entidades y la implementación
de controles y seguridad (104 hitos) en los organismos.
¿Existen entidades críticas en este aspecto? No. Para Estay
en temas de seguridad no se puede hablar de entidades
críticas. No se trata del tamaño de la organización sino
por dónde se puede vulnerar. Un ejemplo: se puede hacer
una casa segura, pero si por diferentes razones se deja la
puerta de la cocina abierta hay un problema. El punto está
en la debilidad.
Para Bestuzhev de Kaspersky Lab no solo se trata de tener
un antivirus que proteja esta “debilidad”, sino de un plan
global que incluya análisis e implementaciones basándose
en diferentes criterios: ¿qué estructuras pueden denominarse como críticas?, ¿cuál es el nivel de criticidad?,
¿cuáles son los riesgos?, ¿cuánto podría golpear al país?
Para él, es necesario que tenga a las personas apropiadas
para cumplir con estas misiones.
Es así que la SNAP promueve una innovación abierta que
reúne a varios actores de la sociedad para compartir y
discutir las posibles soluciones frente a la problemática.
Se espera que este año se cree una normativa nacional
para sacar un marco de seguridad de la información,
que también vele por la seguridad de información de los
ciudadanos.
Si desea leer el estudio de ESET,
ingrese aquí http://goo.gl/GbK6w5
a b o r d o . c o m . e c 123
i GOBIERNO ELECTRÓNICO / COMPUTERWORLD
LOS ATAQUES
MÁS POPULARES
1
EL MACHETE
Más de 12 países en América Latina
fueron víctimas de este ataque. Kaspersky Lab lo detectó
en el 2014, pero operaba dos años antes. Afectaba a computadoras basadas en Windows para robar contraseñas y
documentos. Tenía capacidad de activar micrófonos y guardar datos de voz e imágenes. Su robustez logró infectar a
teléfonos Android y sistemas operativos Linux.
124 a b o r d o . c o m . e c 2
OPERACIÓN MADRE
El objetivo era obtener planos de
licita- ciones o construcciones gubernamentales o
en casos completamente diferentes, como el que se
reportó en el 2013 en el que cibercriminales brasileños utilizaban servidores gubernamentales para robar
información de las víctimas de los troyanos bancarios.
Llamó la atención de muchos investigadores ya que el
96% de las detecciones se centraban en
este país. Más de 10.000 planos
fueron filtrados a una dirección
de correo en China; hasta la
fecha se desconoce quiénes fueron los autores
originales.
Cuando en el 2010, Stuxnet fue descubierto por las
firmas de seguridad informática, los gobiernos dieron
cuenta de la gravedad de los ataques y comenzaron
a preocuparse por infraestructuras de defensa y la
vulnerabilidad en la que pueden encontrarse.
3
WINDIGO
Reportada por ESET en el 2014, fue
un ataque que afectó a más de 25.000 servidores Linux
y Unix para redirigir a quienes visitan los sitios web a
contenido malicioso y para enviar spam. En América
Latina, los reportes indican aproximadamente 900 servidores infectados en Brasil, más de 250 en Argentina
y 300 en México. Windigo estuvo operando desde hace
más de dos años.
5
Stuxnet fue una amenaza que afectó al programa
nuclear de Irán, y a pesar de que fue descubierto en
el 2010, se estima que estuvo operativo desde mucho
antes. Conozcamos los cinco ataques más “populares”
que se realizaron en América Latina y en el mundo.
4
MINIDUKE
Fue descubierto en el 2013 e infectó a
alrededor de 1.000 personas que usaban plataformas Windows. Cuando se iniciaba el sistema, el programa infeccioso podría hacer cálculos y determinar la huella digital de
acceso al portal. Después, usaba este acceso para conocer
comunicaciones confidenciales. También tuvo impacto en
redes sociales como Twitter, en donde interceptaba las
cuentas y envía tuits “involuntarios”.
THE MASK
Fue popular en 31 países, entre ellos Brasil, España, Estados Unidos y Francia. Los atacantes utilizan un
conjunto de herramientas muy complejo que incluyen piezas sofisticadas de malware y permitía el ataque en versiones de Mac OS X y Linux y posiblemente versiones para Android y para iPad / iPhone (iOS).
Con ello, los piratas demostraron un alto grado de profesionalismo, por lo que se cree que la campaña
estuvo respaldada por un Estado.
Si desea conocer la evolución de los
ataques, las víctimas, su impacto y
detalles globales de las campañas
ingrese a https://apt.securelist.com/
Fuente: Kaspersky Lab y Eset Latinoamérca
a b o r d o . c o m . e c 125
i GOBIERNO ELECTRÓNICO / COMPUTERWORLD
5
BUENAS
PRÁCTICAS
EN
INTERNET
REDES SOCIALES
2
E-MAIL
3
WEB
4
CONTRASEÑAS
5
CLICKS
Parecería que es un tema sencillo, pero es
importante filtrar la información de las plataformas y no agregar
a personas desconocidas. Estos sitios en líneas son los blancos
más usados por los piratas informáticas.
M ás allá de organizar a los diferentes actores de la sociedad para crear una normativa nacional y de capacitarlos
para actuar frente a un ataque, existen acciones cotidianas
que evitarían ser víctimas de la piratería. Carlos Álvarez,
Certified Fraud Examiner y miembro del Equipo de Seguridad, Estabilidad y Resiliencia de ICANN, cree que los
ciberataques en América Latina también responden a una
situación cultural. Es necesario que las personas, funcionarios de gobierno y otros protagonistas se familiaricen más
con el tema de seguridad en la Internet.
1
Evite abrir archivos adjuntos desconocidos. Si
una persona recibe un mail de alguien conocido que no estaba
esperando es recomendable llamarla y preguntarle directamente
si envío el adjunto.
Es común encontrar anuncios publicitarios
llamativos que provocan abrirlos inmediatamente. No se deje
tentar y no los abra. Las empresas publicitarias colocan sus
novedades solamente en portales confiables.
Es el consejo más repetitivo, pero persistente en
ataques. No anote contraseñas completas en cuadernos ni notas
de su celular. Si lo hace guarde los códigos con variaciones que
pueda reconocer inmediatamente.
126 a b o r d o . c o m . e c Sea precavido; no abuse de los clicks. Cuando
la computadora o el dispositivo está colgado, es común
repetir los clicks pensando que esta acción solucionará
el problema. Al hacerlo, podrían habilitar accesos
indeseados.
i CARRITOS DE
COMPRAS
NACIONALES
Industria Turística: LAN
www.lan.com
GANADORES 2014
Retail: Comandato
www.comandato.com
Mejor iniciativa Mobile: Direct TV
www.directv.com.ec
Servicios Financieros: Pacificard
www.pacificard.com.ec
Entretenimiento y medios: El Universo
www.eluniverso.com
H an pasado cuatro años desde que Ecuador es parte de
eventos internacionales relacionados con el comercio electrónico. Con el afán de promover iniciativas que consoliden e
impulsen el mundo de los negocios por Internet, el Instituto
Latinoamericano de Comercio Electrónico, una organización
sin fines de lucro, desarrolla anualmente encuentros que reúnen a más de 35 000 empresarios y 1.300 expertos. Desde
su creación, se han organizado 31 eventos en 11 países de
la región.
Para Leonardo Ottati, Director de la organización regional y
Gerente de Image Tech en Guayaquil, la realización de estos
encuentros radica en el comercio como tal. En Ecuador, por
ejemplo, el interés de las empresas y visionarios que vieron
al e-commerce como un canal para comprender mejor
la dinámica de un negocio actual y la colaboración de la
Cámara de Comercio de Guayaquil ha permitido organizar el
conocido e-Commerce Day cuatro años consecutivos.
Estos eventos, que permiten un intercambio de experiencias,
reflejan el interes no solo de las compañías, sino de los consumidores. Si es evidente un movimiento de negocio enfocado en la Internet, es necesario pregunatrse ¿Qué consumen
128 a b o r d o . c o m . e c en línea los ecuatorianos? Los sectores más predominantes
son: industria turística, retail y moda. En el 2014, el
e-Commerce Award reconoció a las empresas con mayor dinamismo en compra en línea. Y a partir de eso, las empresas
han creado estretagias que apuntan a esta tendencia.
Fybeca, por ejemplo, es la primera farmacia en el país que
permite tener un carrito virtual y comprar en la Internet.
Con la plataforma, que se inauguró el año pasado, ya no es
necesario ir a la droguería, pues Fybeca lleva la farmacia al
cliente. Así lo asegura Jeffry Illingworth, Gerente Corporativo
Desarrollo de Negocios de Corporación GPF.
Según Illingworth, el servicio de compra en línea –cuya
adaptación que consistió en incorporar la descripción de
25 000 productos con un coste de USD 250 mil – contó con
350 mil visitas en los primeros siete meses. Para comprar ni
siquiera es necesario hacer un registro: el usuario escoge el
producto, indica la dirección de envío y la forma de pago. En
este último hay tres opciones: crédito corporativo, tarjetas
de crédito y efectivo. Un dato curioso: el 8% de las visitas son
del exterior. Para el Gerente de Corporativo esto responde a
la comodidad que da el servicio para entrega de medicinas
LAS COMPRAS
EN LÍNEA
EN ECUADOR
Servicios y Soluciones e-commerce: Urbano
www.urbanoexpress.com
Indumentaria y Moda: De Prati
www.deprati.com.ec
Mejor Pyme: Guía Telefónica
www.guiatelefonica.com.ec
100%
en los hogares. “En lugar de enviar dinero, las personas
que viven en el extranjero envían medicina”.
La compra de ropa por Internet también cuenta con opciones. Neverland Moda, por ejemplo, es una página web
que permite al ecuatoriano adquirir ropa de bebé en la
Red. Juan José Moncayo, Gerente General de la empresa,
cuenta que sus productos con un local físico en Cuenca
desde hace dos años, son requeridos por personas de
Quito y Guayaquil.
De hecho, la apertura de la plataforma digital correspondió
a la necesidad de llegar a los distribuidores de provincias
del país. Aunque para Moncayo es difícil hablar de una
empresa consolidada 100% de forma electrónica, cree que
en el país se está viviendo una etapa de transformación.
33%
9%
0.34%
consume prendas de
vestir y calzado.
de la población ecuatoriana
ha comprado “algo” en línea.
La seguridad
Para Alejandro Freund, co-founder y CEO de
Revolucionatuprecio.com, la compra en línea es
más segura que entregar la tarjeta de crédito en un
restaurante. Cuando una persona compra en
www.revolucionatuprecio.com, los miembros del portal
ni siquiera tocan la tarjeta de plástico; es un proceso
encriptado que permite agilidad. De esta manera, en el
portal existen hasta el momento más de 1000 personas
registradas y siete categorías de compra que va desde
accesorios tecnológicos hasta cervezas artesanales.
Con 70 proveedores a escala nacional, el portal
pretende ser el Amazon de Ecuador.
corresponde a compras de
muebles y artículos para
el hogar.
COMERCIANTES
232
GUAYAQUIL,
QUITO Y
MACHALA,
albergan el
establecimientos
en el país se
dedican a la venta
al por menor,
por correo o por
Internet.
de las compras por
Internet en el país donde
el 31% de ese total son
compras de vestimenta
y calzado, y el 31% de
bienes y servicios.
Fuente: Instituto Nacional de Estadísticas y Censos (INEC)
en evento e-commerce Guayaquil 2014.
a b o r d o . c o m . e c 129
p 1
2
3
DESARROLLO Y CONOCIMIENTO DE ALTO NIVEL L a Escuela de Empresas de la Universidad San
Francisco de Quito trabaja con empresas de alto
prestigio a nivel nacional e internacional, provenientes de distintos sectores, de diversos tamaños
y culturas organizacionales. Ofrece programas de
educación empresarial que satisfacen las necesidades de formación individual y organizacional.
El año pasado culminaron exitosamente varios
programas en modalidad In Company. Entre los
clientes que invirtieron en el desarrollo de su
gente y recibieron un certificado de la Escuela de
Empresas con el aval de la USFQ, se encuentran
130 a b o r d o . c o m . e c Fundación MCCH, Diners Club, General Motors, Halliburton, Leterago, Philip Morris, Pronaca, Simed,
entre otras distinguidas empresas que operan en
el Ecuador.
El enfoque de los programas varía de acuerdo a
las oportunidades de mejora detectadas en cada
cliente. Los certificados incluyen temas varios,
desde estrategias gerenciales y competencias
específicas, hasta casos prácticos y experiencias
de éxito reales que aportan al pensamiento crítico
y liberal de los participantes, al que apunta la filosofía de la Universidad San Francisco de Quito.
4
1
Certificado Marketing 360º- Diners Club del Ecuador
2
Certificado Management Development Program- Halliburton
3
Certificado LAUDE Gerencial – GM OBB
4
Certificado en Habilidades para Liderar y Desarrollar Equipos
de PHILIP MORRIS
La Escuela de Empresas abre sus puertas a todos los
profesionales y empresas que tengan como meta adquirir habilidades de liderazgo y potenciar su conocimiento
en temas administrativos y gerenciales.
Los clientes de la Escuela de Empresas se han mostrado muy satisfechos con los resultados obtenidos y
varios han confirmado que desean mantener una relación a largo plazo, a través de nuevos certificados que
contribuyan a la estrategia y objetivos organizacionales,
mediante colaboradores motivados, comprometidos
y a la vanguardia de las mejores prácticas de gestión
empresarial.