lunes, 24 de marzo de 2014

Disección de datosperu(punto)org datosperu.org


Recientemente ante las ultimas  lecturas a la ley de protección de datos personales peruana y su reglamento, pude encontrar una página web (que no es la única) que propala información de manera consolidada de diferentes entidades del estado con  fines "democratizadores". Lo cierto es que el fin sería lucrativo mediante la generación de ingresos económicos con la colocación de publicidad que paga por visitas generadas a la página web (servicio google adsense). Esto podría no tener nada de malo como emprendimiento (aunque discutible si leemos la referida ley), si no fuera porque toda su infraestructura es anónima lo que implica que los titulares de datos colgados en dicha web no pueden ponerse en contacto con quienes la administran para proceder a actualizar y/o retirar sus datos.

Muchas quejas se pueden encontrar sobre dicha página web, sobre todo por el temor de que cuelga información muy detallada de personas/entidades muchas veces no actualizadas, lo que podría contribuir a revelación de información no cierta o falsa contribuyendo a percepciones erróneas o inclusive de ayuda para con el crimen organizado. Por ejemplo se pueden encontrar quejas de personas que en algún momento fueron gerentes o similar en alguna empresa y ahora no lo son, y en dicha web, no se puede apreciar los datos actualizados y menos se puede poner en contacto para tramitar cambios o retiros de dicha información.

Una de las quejas formales presentada ante la Autoridad Nacional de Protección de Datos Personales fue esta:
Denuncia contra datosperu.org

queja formulada antes de que dicha entidad estatal contara con un reglamento, siendo esta su respuesta:

Respuesta del MINJUS sobre datosperu.org

Y bueno,  luego de lo anterior, aquí la disección.

Dicha página dice ser:

1. Una web del proyecto Open Data.
2. De la Secretaría de Telecomunicaciones y la Organización de Estudios Superiores en Ciencias Sociales.

Ambas organizaciones (al momento de escribir este post) inexistentes.

3. Dice tener un correo de contacto opendata@datosperu.org

El correo no está activo.

En realidad toda esa información de contacto liberada tendría como fin la desinformación para no llegar a ningún lado en las actividades de tratar de contactarlos.

Por ejemplo también publicaron que son una "startup" llamada Hari Seldon Corporation (site) con perfil anónimo en la red profesional Linkedin y hasta posiblemente en Google+




de lo cual se puede sacar mas medios de contacto que no llevan a ningún lado.

4. Hari Seldon Corporation
5. Otro Correo: hs@datosperu.org

Qué es entonces lo que hay para poder saber quién podría estar de esta página web a todas luces anónima?


Lo siguiente:

El codigo de publicidad adsense (con lo que lucran): pub-5733638325258282




Buscando el código de publicidad adsense se puede ver que el mismo titular de ese código es también titular de la página web www.guiafono.com. Página que revela datos de ciudadanos españoles. (Al momento de escribir este post, dicha página web se encuentra fuera de línea, pero se puede acceder a esta copia histórica)



Se establece así el primer nexo directo entre datosperu (Perú) y guiafono (España) ya que ambos beneficiarios de la  publicidad son el mismo código google adsesnse y por ende el mismo titular.

Adicionalmente a las dos anteriores páginas, se establece un segundo nexo directo con una tercera página.
Esta página es perupolitica.com. Dicha página al momento de accesarla, direcciona automáticamente a datosperu e inclusive en algún momento compartió el código de publicidad que las otras 2 paginas antes mencionadas.

Actualización 06/11/2014: Dicha página ya no redireccona a ningún lado. Acaba de ser clausurada.



Así pues, se establecen nexos directos entre 3 páginas web

datosperu.org
guiafono.com
perupolitica.com

Después de todo esto lo que procedemos a hacer es mediante "open source intelligence", buscar información relevante sobre los 3 dominios antes mencionados. Para este caso en particular, se empezó por el mas antiguo (perupolitica.com) dado que ofrece mucha mas información histórica por ser el de tener una fecha de registro mas antiguo.

En concreto:

El año 2010 la página web perupolitica.com fue un foro politico. Y en la misma, tenía relación directa con una cuarta página llamada encontrado.es (pagina web en estos momentos con otro tipo de contenidos y posiblemente con otro dueño/titular).



perupolitica.com año 2010 demostrando relacion directa con encontrado.es (texto subrayado con rojo)


El contenido de encontrado.es,  fue también de la misma temática que datosperu.org y guiafono.com


Se establece entonces relación directa entre los contenidos de siguientes páginas

datosperu.org
guiafono.com
perupolitica.com
encontrado.es

En concreto se va entendiendo que la información de datosperu.org, guiafono.com y encontrado.es (histórica en este ultimo caso) resulta ser de la misma índole. Publicar información relacionada a datos personales, obteniendo ganancias generadas de las visitas mediante la publicidad google adsense.





Los datos históricos de encontrado.es es lo que nos va a proporcionar información sobre la identidad de quienes estuvieron detrás de esa página en su momento, lo cual al estar relacionados directamente con los otros 3 dominios, podría aclararnos de una buena vez quién o quienes estarían detrás de datosperu.org

En su momento, la página encontrado.es también generó polémica sobre los datos que publicaba en España, siendo penalizada y con ella las personas que la manejaban.

Cita:
Según parece, en la escalera donde vive mi hermana hay un piso que se alquila por días a través de Internet... Para saber cuál era, buscamos la dirección en Google, entrecomillándola para no obtener miles de resultados impertinentes. Nuestra sorpresa fue mayúscula. Aparte del mapa señalando el lugar del domicilio, la primera referencia que aparecía era ella misma, con su nombre y apellidos. El resultado lo ofrecía la web "encontrado.es" donde, además, figuraba su número de teléfono particular. ¿Cómo era posible si, según mi hermana, nunca había entrado esos datos en Internet? ¿Nunca, estás segura? ¿Y los pedidos que haces en la web del Supermercado X? ¿...? ¿Tráfico de datos personales y vulneración del derecho a la privacidad?
Indignado, decido saber quiénes son los de esa web. Del apartado Aviso Legal y Contacto, lo primero que me llama la atención es que su titular, Paola López, reside en España con el NIE (Número de Identificación de Extranjeros) X-7153196N, y que su domicilio, reseñado al final de dos largas páginas sobre derechos y obligaciones del usuario y el origen de sus datos, es un simple Apartado de Correos de Madrid... No soy jurista pero creo que esa web incumple la LSSI que exige "una clara identificación del o los responsables del sitio: nombre o denominación social, residencia o domicilio, dirección de correo electrónico y cualquier otro dato que permita establecer una comunicación directa y efectiva."
Siguiendo el contenido de dichas páginas, me entero del porqué cada vez recibimos más llamadas de los operadores de telefonía intentando vendernos sus servicios. En virtud de la Ley de Liberalización de las Telecomunicaciones, esos datos son libres y los distribuye la CMT (Comisión del Mercado de las Telecomunicaciones) a partir del sistema de gestión reproducido en la figura adjunta. Lo alarmante es que, entre los campos del formato de los registros que distribuyen (ver el PDF), figura el campo ABDNI-TIT con el documento acreditativo del titular (sea DNI, NIF, CIF, NIE o Pasaporte). ¿...?
Convencido de que más de uno habría protestado por estos hechos, busco referencias del "sitio encontrado.es" en Google y la primera que aparece es ¿podéis retirar del buscador, el sitio: encontrado.es? del foro de soporte de Google. Leyendo todas sus entradas, descubro que utilizando el seudónimo "deperu", Paola López interviene defendiendo a encontrado.es y, más adelante, que el titular del dominio es Flavio Graf (actualmente, el resto de datos personales del Whois de ESNIC están protegidos).
Decido profundizar utilizando sólo la información disponible en Internet a través de Google: una "minería de datos casera" pero con resultados sorprendentes. Por ejemplo, de un foro en alemán en el que participan vecinos de la Playa del Inglés (Gran Canarias) averiguo que Paola en ESNIC era el contacto administrativo de encontrado.es y que su email era "deperu@...". Si en la búsqueda utilizo ambos nombres (entrando: Flavio Graf y Paola Lopez), descubro que se casaron en un restaurante del distrito de Barranco, Lima, tras enamorarse en la inmobiliaria en la que ambos trabajaban, propiedad del padre del novio. Siguiendo la misma técnica, ambos aparecen relacionados en CreditosPeru.com.pe, una web que también utiliza una base de datos libre con información sobre historiales de crédito facilitada por SBS, el órgano de Regulación Bancaria de Perú. Otra entrada curiosa: en 2004 y desde la inmobiliaria de papá, Flavio valoró el Machu Picchu en 90 millones de dólares. Visto lo visto (y más), mi hermana ha solicitado a Telefónica que sus datos se excluyan de la Guía. Ya veremos... {:-( En esta versión del artículo incluyo los enlaces mencionados y alguno más.
Carlos Bell
PD: El pasado día 24 de julio de 2010 accedí a la web de encontrado.es y, agradablemente sorprendido, aparecía (y sigue apareciendo) el siguiente mensaje (se trata de un cortypegui):

Encontrado.es
Informamos que el directorio telefónico de encontrado.es ha sido puesto fuera de servicio de forma permanente. Sentimos las molestias que esto pueda causar.
Este cierre o fuera de servicio permanente de encontrado.es debe ser una consecuencia directa del contenido del PDF del BOE (Boletin Oficial del Estado del 18/Mayo/2010) que encontré en mi primera indagación y corresponde a la publicación de la Resolución del procedimiento TD/01739/2009 de la Agencia española de protección de datos por no haber podido ser entregada por medios normales...
En el momento de redactar este texto he efectuado otras búsquedas y he hallado que en el BOE del 23/Julio/2010 se indica textualmente:
Iniciar procedimiento sancionador a doña Paola Janet López Ramírez, con arreglo a lo dispuesto en el artículo 127 del Real Decreto... de Protección de Datos de Carácter Personal, por las presuntas infracciones de los artículos 4.3 y 26.1 de dicha norma, tipificadas como grave y leve en el artículo 44.3.d) y 44.2.c), de la citada Ley Orgánica.
Añadir que, efectivamente, Paola Janet López Ramírez, con NIE X-7153196N, figura entre los 1.891 operadores de Redes y servicios de comunicaciones (2009). ATENCIÓN: los resultados facilitados por www.encontrado.es siguen estando ahí en Internet, indexados por el buscador de Google.

De todo lo anterior se podria inferir cosas como que el modo de operación desde encontrado.es (España) hasta datosperu.org (Perú) es el mismo referente a su identificación de titularidad, el cual es el anonimato. Lo cual va en contra de la ley de datos personales.

Las personas citadas estarían volviendo a infringir la ley de española al volver a implementar la página guiafono.com que es de la misma característica que el clausurado encontrado.es, siendo ya anteriormente sancionados.

La Autoridad Nacional de Protección de Datos Personales peruana no actúa de oficio para resolver estos temas de propalación de información en linea no actualizada que podria poner en serio riesgo a sus titulares.

Se encuentra también otra página web del mismo estilo que las antes mencionadas y que también estaría bajo la titularidad de las personas mencionadas:

creditosperu.com.pe

Entre otros.

Actualización 06/11/2014
Dicha página acaba de ser sancionada, pero al no estar identificados sus titulares, la ejecución de tal sanción no es posible.

http://elcomercio.pe/tecnologia/actualidad/datosperuorg-multada-s228-mil-violar-ley-datos-noticia-1767834

Encuentra más datos en: h

sábado, 26 de enero de 2013

Desmenbrando el blog

La temática de este blog va a ser reenfocada.

Hay cosas que pienso tienen que tener un espacio aparte. Si bien todo tiene que ver con Tecnologías de la Información y Comunicación - TIC's -, es cierto que al igual como en cada carrera profesional, hay especializaciones. Por lo cual he decidido abrirle un blog a temas que tengo en mente que pienso no tiene que estar todo entreverado en un solo blog.

Este blog se va a mantener enfocado a los temas concernientes a seguridad en tecnologías e investigación sobre cybercrimen y relacionados como cyberseguridad, Cyberinteligencia enfocada a esto y demás, mientras que para otros temas que me interesan les he creado un blog aparte porq pienso que merecen estar así.

Negocios e Inteligencia, blog sobre Inteligencia Estratégica y Competitiva

SocioInfo, blog sobre la movida en la Sociedad de la Información, y

SNAtomia, blog sobre análisis de Redes en Medios Sociales (generalmente digitales).

Pienso que con esta divison de temas, voy a poder ser mas dinámico al postear (ojalá) y así poder poner mis apuntes sobre aquellos temas que me interesan en el ambito profesional.

Veremos que pasa ;)

Nos vemos.

lunes, 14 de noviembre de 2011

Cibercrimen Peruano y el Mercado de Datos Robados de Tarjetas de Crédito



Antes que todo hagamos una pequeña introducción en lo que consiste Cibercrimen Bancario Peruano.
El sistema consiste en que el ciberdelincuente le hace llegar a las victimas mediante diferentes medios (generalmente el correo electrónico) un virus o malware el cual trata de hacérselo instalar mediante engaños.

*Correo electrónico que simula una promoción telefónica

Luego de instalado el virus o malware, este procede a hacer una modificación del sistema de la computadora de la victima, para que cuando la victima pretenda entrar al banco del cual es cliente, la computadora le indique a su navegador web que debe entrar a una pagina bancaria falsa.

*Correo electrónico que simula una promoción telefónica

Después de esto, la victima ingresa sus datos bancarios de acceso y listo, el robo esta consumado. El ciberdelincuente ya tiene en su poder los datos de acceso bancario de la victima y procede a hacer transferencias a terceras cuentas (creadas o no para tal fin) y como paso final el dinero es retirado del banco. No hay mucha vuelta que darle al asunto después de esto.

*Correo electrónico que se aprovecha de un tema coyuntural

Esta manera de actuar puede variar, por ejemplo pueden ser mas las personas involucradas, puede que no envíen ningún virus o malware, sino que en ves de eso, envíen un correo simulando ser del mismo banco induciendo a acceder a un link de la pagina web bancaria falsa, etc.


Datos Robados de Tarjetas de Crédito Peruanas
Siguiendo con el tema del titular de este post, punto aparte de los métodos nacionales, qué pasa con los datos de tarjetas de crédito de bancos peruanos? Están siendo robadas también?


La respuesta tiene un SI y NO.
NO porque no se a detectado o encontrado (al menos quién habla) paginas falsas de e-commerce en las que se induzca a entregar los datos de la tarjeta de crédito, ademas de la poca expansión del e-commerce aun.

SI (y esta explicación se va a extender hasta el final del post) porque si bien no se da desde dentro de nuestras fronteras, sí se da desde fuera de ellas. Ya en esto entramos a hablar de mercado negro de cibercrimen internacional.

En el cibercrimen internacional, la metodología de infección de las computadoras de la victima también es similar a los cibercriminales peruanos, pero lamentablemente no es el único método. Aquí ya podemos incluir diferentes métodos de infección automatizados que pueden ir desde el solo hecho de visitar una web de desconocida reputación, una pagina web que sí tiene reputación buena pero que a sido comprometida  (comúnmente se dice "hackeda"), visualizar diferentes documentos modificados de manera maliciosa para realizar la infección automatizada (un pdf malisioso por ejemplo), etc.
En este caso el virus o malware instalado que difiere del nacional, no modifica el sistema para enviarnos a una pagina bancaria o de e-commerce falsa, sino todo lo contrario. Roba los datos que son ingresados en paginas webs de transacciones electrónicas legítimas.
Si bien los métodos de los bancos nacionales para defenderse del cibercrimen nacional, pueden ser por ejemplo denunciar la pagina web fraudulenta para que sea clausurada y hacer lo propio ante la policía nacional, el caso de la industria cibercriminal externa es mas compleja ya que en muchos casos, como se dijo anteriormente, no depende de una web fraudulenta a la que se pueda denunciar para dar de baja, sino que el problema radica en el equipo infectado de la victima que envía los datos robados monitoreando las transacciones electrónicas bancarias en webs legítimas, y tampoco se requiere retirar el dinero directamente del banco (como en el caso nacional), sino que se pueden hacer transacciones electrónicas fraudulentas desde el anonimato del Internet lo cual dificulta su rastreo.

Sería un tema interesante saber cuáles son las medidas de respuesta que tienen o piensan implementar los bancos nacionales ante estas amenazas. (sobre todo los que no son filiales de bancos internacionales y que no necesariamente tendrían un know how externo del cual alimentarse)

A continuación tenemos una presentación de la oferta de datos de tarjetas de crédito peruanas en el mercado de cibercrimen internacional.




Los precios van desde los 3 dolares, 8 dolares hasta los 20 - 25 dolares dependiendo del tipo de tarjeta de crédito sustraída. Obviamente haciendo un estudio de lo bancos involucrados, podemos ver que a pesar de ser apenas una lista corta (para esta exposición), hay toda una mixtura de bancos involucrados:
INTERBANK, CITIBANK, SCOTIABANK, BCP, BANCO DE CREDITO (OFICINA MIAMI), BANCO CONTINENTAL.
y tipos de tarjetas:
PLATIMUN, BUSINESS, GOLD, CLASSIC, SIGNATURE.


Los métodos de pago para la comercialización de estos datos robados por los cibercriminales internacionales también tiene su punto fuerte, ya que se utiliza sistemas de pago ubicados en naciones offshore o paraísos fiscales, con los beneficios que ello implica.





Bonus fuera de tema: Aparte del cibercrimen también se comercializa los materiales necesarios para clonar tarjetas. Aunque eso ya se sabe por los casos de clonadores que vemos a veces en las noticias, pero siempre es bueno estar enterado del tema de como se mueven las cosas ;)



martes, 8 de noviembre de 2011

Denuncia de Jorge Mufarech a José Alejandro Godoy (Análisis tecnico)

Resulta que hace poco vi en el facebook y twitter un tema del cual ya me había olvidado. La demanda que le interpuso Jorge Mufarech al Bachiller en Derecho José Alejandro Godoy y su posterior sentencia. Temita que ya había echo su ruido en su momento y que despertó mi interés (y creo que el de algunos) debido a que se trataba (o al menos así se publicitó) de la primera demanda contra un blogger que se da en el país. Personalmente no me agrada la idea de que se ponga el grito en el cielo cuando se toma alguna medida contra un blogger, facebookcero, twiterstar o amixer dando la idea que dichas personas son inimputables, extraterestres o algún tipo de especie diferente a la que está prohibido tocar, so pena de recibir un apedreamiento virtual o ser atropellado por una crazy combi.



Y bueno, en este post vamos a hacer un pequeño análisis tratando de dar un punto de vista técnico. Quedará a juicio del lector ver quién tiene la razón y quién no. Obviamente algún comentario técnico que ayude a sumar a este post va a ser mas que bienvenido.

El post que desencadena todo el problema es este:
desdeeltercerpiso.com/2009/04/jorge-mufarech-amenaza-asesor-parlamentario-por-caso-rospigliosi/

y al parecer el párrafo que genera la denuncia es este:
Una de las mayores joyas políticas de la primera parte de esta década es Jorge Mufarech Nemy. Ex Ministro de Trabajo con Fujimori y ex parlamentario de Perú Posible, este político tres grandes perlas durante su gestión: evasión tributaria por la compra de un Jaguar, impulsar medidas arancelarias para favorecer a sus empresas, gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s y, por supuesto, su persecusión contra Fernando Rospigliosi.

El texto incluye 3 links que citan a terceras fuentes. Estos son:

3. gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s

Como mencionamos anteriormente, estos son links (también llamados enlaces, hiperenlaces o hipervínculos). Pero hagamos una pausa para explicar de manera fácil el aspecto técnico de cuales son los componentes de los links.

Los componentes técnicos del link que entran en juego aquí son:

link title (título del link)
link target (URL) (destino)o (ubicación)


El primer elemento, "título del link" es el texto del link (el que aparece generalmente en color azul) y el segundo, "destino o ubicación" es la dirección url/web de destino a la que nos lleva nuestro navegador web cuando le damos clic a dicho link.

Ahora, como podemos concluir, el "destino o ubicación" no lo podemos editar ni cambiar en algún aspecto (ni siquiera alguna letra) ya que si hacemos esto, la web a la que nos llevaría el link al hacerle click simplemente nos llevaría a otra pagina web diferente o errónea.

Pero ahora vamos al otro componente del link: el "título". El título (el texto azul) obviamente podemos editarlo a discreción cuando escribimos en un blog, pagina web, etc.

Podemos por ejemplo linkear a google con diferentes títulos sin ningún problema (y bajo nuestra responsabilidad).
my google
tu google
Skynet!

Ahora, aquí podemos hacer una afirmación. Obviamente el título del link al ser editable y al poder nosotros poner lo que nos de la gana, somos dueños y (sobre todo) responsables de lo que pongamos allí. Es nuestro contenido y somos responsables de él de llegar a darse el caso, como cualquier otro texto por si nos ponemos a escribir cualquier cosa contra terceras personas en Internet.

Por ejemplo en el caso del primer link del párrafo en discusión entre Jorge Mufarech y el blogger  José Alejandro Godoy la cosa es así:

El Título que el blogger le pone a su link es el siguiente:
"evasión tributaria por la compra de un Jaguar"

El link nos lleva a la siguiente pagina:
http://www.agenciaperu.com/investigacion/2004/oct/mufa_jaguar.htm
cuyo titulo principal una ves que entramos a dicho link es:
"Nuevos documentos demostrarían evasión tributaria de Mufarech"

Como vemos, no hay ninguna concordancia entre el titulo original de la web destino a donde nos lleva el link, con el titulo que le pone a su link el bloggero acusado por Jorge Mufarech.

Los títulos de los otros 2 link restantes son:

http://www.agenciaperu.com/reportes/2004/jun/salvaguardas.htm
Titulo: Mufarech, salvaguardas e intereses ocultos
(Título que pone el blogger denunciado en su link impulsar medidas arancelarias para favorecer a sus empresas)


http://web.archive.org/web/20030605100208/http://www.agenciaperu.com/actualidad/2003/may/un_mufarech.htm
Titulo: Presentan acusación constitucional contra Mufarech
(Título que pone el blogger denunciado en su link :  gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s


Ahora, si ya terminamos de ver estos 3 títulos originales, que como vemos, no concuerdan (ni se asemejan en sentido) con los títulos que el blogger les pone a sus links ( evasión tributaria por la compra de un Jaguar, impulsar medidas arancelarias para favorecer a sus empresas, gestionar con José Francisco Crousillat mejores tratos de los inspectores laborales para América Televisión en los 90’s), y como explicamos anteriormente, cada uno es dueño y responsable de ellos al poder poner a discreción lo que mejor le parezca, podemos preguntarnos si es que efectivamente se limitó a solamente linkear?

Los títulos de los links del blogger los veo diferentes a los títulos de las webs a donde nos envía cuando les damos clic, y si a eso le sumamos que en dichas webs se habla generalmente en condicional (inclusive los contenidos de esos links), contrariamente a los títulos que pone el blogger que mas parecen acusatorios, podríamos formularnos las siguientes preguntas: quién tiene la razón? quién es responsable de los títulos de los links? y por último, quién tiene las de ganar?

Ahora, una ultima pregunta, ¿Cuál es el alcance de publicar algo en Internet así sea positivo o negativo (como al parecer es en este caso)? Yo pienso que el alcance es global (mundial) y peor aún si la "perlita" sale entre los 10 primeros resultados del buscador web mas utilizado como lo Google, afectando tu reputación a ese nivel.

Actualización 1:
Para quienes quieran leer algo del tema desde el punto de vista legal, les recomiendo visitar el siguiente link
El craso Godoy (De la libertad, las leyes y otros éxitos del pop)

Vean que el título que le pongo a este link es el mismo que la pagina web de destino. No me invento un nuevo título para el link ni nada parecido como se discute en este post. Podría decirse que yo si estoy solamente linkeando.

Actualización 2:
Otro post interesante, también desde el punto de vista legal sobre la sentencia al blogger Godoy.
Comentario a la Sentencia Godoy. La sentencia es sobre la responsabilidad de contenidos publicados no por linkear.

lunes, 31 de octubre de 2011

Lima, Perú: Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 (Parte I)

Antes de empezar a leer este post recomiendo mirar primero el siguiente videito para tener una mejor referencia de que va el tema.


Tecnología: conocer los riesgos y aprender a usarla

Y luego de eso, también descargar el documento al que se hace referencia en el titulo de este post.
Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 Oficina Nacional de Gobierno Electrónico Pe-CERT

Y bueno, empezamos. Este antes de ser un post, lo considero unos apuntes y observaciones que voy a ir haciendo sobre el documento linkeado mas arriba (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015), y así poder enriquecerlo con actualizaciones y comentarios que se puedan dar.

Al abrir el documento en cuestión, en la segunda página que trata sobre la información general de dicho documento podemos observar aparte del nombre de dicho documento (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ) se le llama también Proyecto, osea que (valga la redundancia) se le está dando el trato Proyecto. Tener esto en cuenta.

Aparte podemos observar que tiene el apartado llamado Versión (1.0), osea que para alegría de los que lo hayamos leído, se le pueden hacer cambios (ojalá que exista la voluntad de hacerlo).

Otro campo mas que aparece en dicha página de información es la de Documentos Relacionados, la cual aparece vacía. Aquí llega la primera observación. Es posible que un documento que se supone va a tener una llegada nacional no va a tener ningún tipo de documentación relacionada?. Vamos, si este es un plan que trata de resolver un problemática de Ciberseguridad Nacional, es posible que no tenga ningún tipo de documentación relacionada como análisis de riesgos o al menos un listado amplio de los problemas encontrados en el estado los cuales van a ser resueltos por dicho plan? Porque si esta es una solución a problemas que tenemos, mínimo tenemos que saber cuales son esos problemas no?

Bueno y siguiendo en el documento luego de ver el indice, que dicho sea de paso no cuenta con una sección de glosario de términos para explicar a los no entendidos en el tema las dudas en terminología usada, pasamos a la primera sección de Introducción.

La Introducción si bien es extensa, personalmente la veo útil. Introduce al lector al tema de gobierno electrónico, que vendría a ser la base de la cual se desprendería un plan de Ciberseguridad Nacional.

El segundo punto de Introducción a la Ciberseguridad que si bien describe la evolución y problemática de la Ciberseguridad, hubiera sido bueno que incluya una descripción mas concreta de lo que es específicamente la Ciberseguridad. Adicionalmente se puede leer el siguiente texto:

La tecnología utilizada está cambiando y el diseño de la planta evoluciona de sistemas propietarios, aislados y poco conocidos, a sistemas basados en tecnologías abiertas de uso común en TI y bien documentados en Internet, así como una mayor integración de los sistemas. 

Primero. A que planta se refieren? (glosario de términos). Segundo, la evolución de sistemas propietarios a tecnologías abiertas no es tal. Siempre vamos a encontrar sistemas heterogéneos.

Llegamos al tercer punto de Alcance. Como se mencionó al principio, al documento se le está dando el trato de un proyecto. y si leemos el siguiente link  Alcance (gestión de proyectos), podemos deducir que en esta sección de Alcance como mínimo se tendría que indicar cuáles son las instituciones involucradas y las medidas que se van a proceder a implementar. En ves de eso, en esta sección el documento en cuestión se cita a si mismo. 

ALCANCE: En este documento se desarrolla El Plan Estratégico de Ciberseguridad Nacional 2011 al 2015 – ONGEI - PECERT
Cuarto punto. Destinatarios. Esta sección la veo que está de sobra. Si se hubiera definido bien el Alcance, los destinatarios estarían incluidos dentro de esa sección. En lugar de eso se indica que los destinatarios son los funcionarios de la ONGEI, pero dicho documento fue realzado por la ONGEI. Osea de la ONGEI para la ONGEI. Eso no me termina de quedar claro, aunque puede ser de un grupo de trabajo a otro dentro de la ONGEI. De ser esto ultimo, tendran en los grupos de trabajo el recurso humano necesario para ello?

Quinto punto. Análisis Conceptual. Se desarrollan los conceptos de Gestión Pública, Sociedad de la Información, Gobierno Electrónico y Ciberseguridad. Esto también lo veo útil, pero (y voy a ser rajon) si se iba a desarrollar estos puntos, nos hubieran ahorrado a los lectores muchas lineas en las secciones anteriores de Introducción e Introducción a la Ciberseguridad no?

También en el análisis conceptual de Ciberseguridad podemos leer el siguiente texto:
A su vez en la respuesta deben tomar parte diferentes actores que hablan diferentes lenguajes, por lo que es necesario trabajar de manera concienzuda en la coordinación multidisciplinar en los campos científico, tecnológico, político, diplomático, económico, jurídico, militar y de inteligencia.
y si nos remitimos a la sección de Documentos Relacionados mencionada anteriormente en la que no aparece ninguna referencia a algún documento relacionado, se podría desprender que probablemente no se haya tomado en cuenta desde un principio en la preparación de este Plan de Ciberseguridad Nacional a algunos sectores mencionados en el párrafo citado (diplomáticos, jurídicos militares e inteligencia).

Sexto punto. Gobierno Electrónico Internacional y la necesidad de la Ciberseguridad. Se tratan los temas de Análisis General, Entorno General y Experiencias americanas y mundiales citando a los países Corea del Sur, EEUU, Canada, Reino Unido, Colombia, Chile, Uruguay y Brasil. En realidad este punto debería llamarse solamente  Gobierno Electrónico Internacional, debido a que no hay prácticamente ninguna referencia a la  necesidad de la Ciberseguridad. Solamente se menciona escuetamente cierta experiencia del Reino Unido. Esta sección hace mayormente referencia al tema de Gobierno electrónico dejando de lado el tema de la necesidad de la Ciberseguridad el cual deberia ser el tema central de dicho documento ( Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ).


De momento esto es todo en esta primera parte. Las siguientes van a llegar mas pronto que tarde. Cualquier comentario, aporte, corrección o raje fino va a ser bien recibido.

lunes, 25 de abril de 2011

Disección rapida de la "aplicación" Averigua quién visita tu perfil.


La metodología consiste en inducir al usuario de Facebook a entrar a una pagina web (espia*****.com) en la que se deberá a seguir pasos (4 aprox) para instalar una supuesta aplicación en la cuenta personal facebook de la victima y proceder así a saber supuestamente quienes son los contactos que mas visitan el perfil, a la vez que se procede a crear (e invitar) eventos públicos y posts en los muros de los contactos para así seguir induciendo a la visita de dicha pagina web antes mencionada.

Se puede deducir que no hay ningún virus, sino que lo que se pretende es generar el mayor numero de visitas a la pagina web antes mencionada, ya que dicha pagina web contiene publicidad cuya metodología de pago al webmaster está regida por la cantidad de visualizaciones, entiéndase a mayor cantidad de veces que se vé la publicidad de dicha pagina web, mayor pago al webmaster de la misma, al mismo tiempo que intenta poner en el ultimo paso como pagina de inicio del navegador de la victima, un buscador web personalizado con la metodología de publicidad ya mencionada.

Adicionalmente si bien dicho método de propagación se puede comparar como del tipo vírico por cómo se generan los eventos y posts para inducir la visita a la pagina web, esto mas se puede referir a una especie de técnica de marketing viral
(es.wikipedia.org/wiki/Marketing_viral)
que a una infección de virus (malware) en la computadora de la victima, para así generar el mayor numero de visitas antes mencionadas, por lo que no habría que preocuparse por una infección de virus (malware) en la computadora de la victima, ya que el único archivo externo (de momento) con el que la página hace interactuar a la victima es uno de tipo JavaScript que después de examinarlo por un motor de análisis de archivos extraños no genera ningún tipo de reporte de actividad extraña o maliciosa 
(wepawet.iseclab.org/view.php?hash=5b039e5124162f6ea0012390519a5218&type=js), presumiendose de momento que dicho archivo de tipo JavaScript sea el que genera al azar los nombres de los supuestos contactos de la victima que son los que supuestamente visitan con frecuencia el perfil de la victima
Saludos y no se asusten de momento ;)



ACTUALIZACIÓN


Un análisis rápido del archivo JavaScript nos muestra que tiene gran parte de su contenido codificado (ofuscado) de la siguiente manera:


"var _0x3fe9=["\x25\x66\x69\x72\x73\x74\x6E\x61\x6D\x65\x25\x20\x6D\x69\x72\x61\x20\x65\x73\x74\x6F\x20\x71\x75\x65\x20\x65\x73\x20\x69\x6E\x63\x72\x65\x69\x62\x6C\x65\x2C\x20\x74\x65\x20\x70\x65\x72\x6D\x69\x74\x65\x20\x76\x65\x72\x20\x71\x75\x69\x65\x6E\x65\x73\x20\x76\x69\x73\x69\x74\x61\x6E\x20\x74\x75\x20\x70\x65\x72\x66\x69\x6C\x20\x79\x20\x66\x75\x6E\x63\x69\x6F\x6E\x61\x20\x62\x69\x65\x6E\x2C\x20\x65\x6E\x74\x72\x61\x20\x61\x3A\x20\x65\x73\x70\x69\x61\x66\x61\x63\x65\x2E\x63\x6F\x6D", "


En un procedimiento de descifrado del código del archivo se puede ver parte del real contenido mostrándose lo siguiente:


"var _0x3fe9=["%firstname% mira esto que es increible, te permite ver quienes visitan tu perfil y funciona bien, entra a: espia****.com","Top de visitantes de tu perfil de hoy:
%tf% - 19 visitas
%tf% - 16 visitas
%tf% - 15 visitas
%tf% - 13 visitas
Averigua tu tambien quien te esta mirando entrando en: espiaface.com
Funciona de verdad!","http://www.espia****.com/carga.php","Esto es increible! pueden ver quien esta visitando su perfil y te llegan notificaciones, sigan los pasos de esta pagina que explica como hacerlo, entren en: espia****.com","Averigua quien visita tu perfil","href","location","top","GET","open","onreadystatechange"


En donde se puede ver claramente que los resultados siempre van a ser los mismos (19 - 16 - 15 - 13), enlazados a variables al azar, las cuales se puede deducir que son los amigos de la victima para concretar el engaño.


Adicionalmnete se a detectado que el mismo JavaScript hace a la victima "fan" de otras paginas en facebook que derivan a sus suscriptores a otras webs con la misma modalidad de publicidad y creación de eventos de manera viral como la ya mencionada anteriormente para tener mas cobertura.
Se recomienda finalmente a los usuarios no visitar las webs involucradas ya que si bien no representa una infección real de virus en estos momentos, y solo se aprovecha en el tema de visualización de publicidad, nada puede asegurar que en un futuro dichas paginas webs sean usadas como plataformas para propagar virus reales aprovechando vulnerabilidades en el software de navegación web de los visitantes (Internet Explorer, Firefox, etc).

martes, 28 de diciembre de 2010

Hacktivismo, Operación Payback, Wikileaks... (y Sensacionalismo)




Hacktivismo. Podriamos definirlo como el uso de ataques cibernéticos y sabotajes para comunicar y promover causas por motivos políticos. Qué tiempo de existencia tiene? Pues nuevo NO es, y podríamos decir que tiene casi tanto tiempo como nuestra querida matrix, red de redes, Internet.

Los hacktivistas casi siempre han actuado de manera individual para demostrar su protesta, usando una variedad de métodos de ataque diferentes. Un ataque muy popular, ha sido y sigue siendo, la desfiguración de páginas webs. Sin embargo, otra cosa muy diferente sucede cuando los hacktivistas actuan en grupo y realizan lo que se llama un ataque de Denegación de Servicio Distribuido (DDoS), siendo capaces de inundar una página web específica con demasiado tráfico para que el servidor se sobrecargue. El sitio web atacado intenta procesar el gran volumen de tráfico malicioso generado por los hacktivistas negando así el acceso a los usuarios legítimos, y por último y a menudo bloqueando por completo el sitio web.


Tiremos ahora una mirada a la Operación Payback y su ganada notoriedad en los medios de comunicación estos últimos días.

Operación Payback es una serie de ataques de DoS llevadas a cabo por hacktivistas, creado en la comunidad en línea 4chan. Su objetivo inicial era reducir los sitios antipiratería. Las victimas de sus ataques por eso fueron desde los sitios webs que impulsan los temas de protección de derechos de autor e incluso sus bufetes de abogados.

Sin embargo, sus últimas actividades que los pusieron en las portadas de los medios, tienen que ver más con Wikileaks el tema cablegate y la lucha contra cualquier otra forma de "censura de Internet". MasterCard, Visa, Paypa, entre otras entidades fueron hace poco atacados por este grupo de hacktivistas, cuando dichas entidades se negaron a seguir prestando sus plataformas y servicios a Julian Assange, cabeza visible de Wikileaks.

¿Cómo funciona este grupo de hacktivistas? Los hackers (los verdaderos), construyen el software (malware) diseñado para atacar a los sitios web y servicios de los mismos. Este software se hace luego disponible para su descarga por los demás hacktivistas. Una vez instalado en la computadora de un participante hacktivista, esta computadora se encuentra a la espera de la orden de ataque, y cuando llega el momento para el ataque, se le envía la orden al malware que se encuentra en la computadora del hacktivista. Es en ese momento que de la computadora comenzará a salir chorros de tráfico malicioso a un lugar determinado; en este caso las webs mencionadas anteriormente. Usando el poder de la comunidad, es decir de todas las computadoras de los hacktivistas implicados, la web objetivo es inundada con tráfico voluminoso que provoca el bloqueo de sus servidores.

Cuando se busca en este grupo específico, podemos ver que los factores sociales juegan un papel importante. Dado que las actividades de esta Operación Payback han recibido mucha atención de los medios, el número de hacktivistas que se unen se ve aumentado en gran numero hasta llegar a ser una especia de tropa.

Ahora, una de las cosa que uno se pregunta es estar a favor de este hacktivismo pro-Wikileaks? estar en contra? participar como hacktivista o no? Eso depende de cada uno. Pero los hechos concretos es que Wikileaks y su fundador Assange recibieron críticas por no procesar la información de los cables debidamente antes de soltarla en la red. Tanto así que ya se ven noticias de que movimientos terroristas están también recolectando esa información no procesada debidamente.

Inclusive, debido a discrepancias dentro del mismo Wikileaks con Assange y por el cómo se soltó la información y lleva la organización, muchos integrantes están dejando la misma y están por abrir una nueva llamada openleaks aparentemente mas responsable.
Es todo esto Hacktivismo o Ciberactivismo? Personalmente lo veo como Hacktivismo puro y duro con todo y su rollo político incluido. Quien diga que es Ciberactivismo simplemente pienso que está equivocado.


Puede esto ser considerado la primera “Infoguerra Mundial”? Vamos asumir que nos estamos refiriendo al termino Ciberguerra. Tampoco podría considerarse una Ciberguerra, ya que eso implicaría mucho más que denegar servicios de paginas webs. Sí podría considerarse por ejemplo un Ciberataque o inclusive una Ciberprotesta. Una Ciberguerra implicaría un ataque a mucha mas infraestructura, como con el último incidente en Iran contra su infraestructura nuclear en el que el tipo de sistemas atacados juegan también un papel importante en el control de infraestructura relacionada a la agricultura, banca, defensa, energía, agua, telecomunicaciones, transporte, entre otros. Por lo tanto hablar todo esto como un acto de Ciberguerra es un calificativo peligroso, sensacionalista e inclusive fuera de lugar.

Saludos. Este post casi no sale.

viernes, 19 de noviembre de 2010

Facebook Mail, Facebook Messaging, lo bueno y no tan bueno.

Seguramente ya muchos estamos enterados de la última novedad que nos acaba de brindar los medios sociales. Hablamos de Facebook email, el nuevo protagonista de toda la movida Social Media de estos tiempos.




Se está diciendo de todo, “Facebook busca revolucionar el correo electrónico”, “Facebook quiere reinventar el email”, “el Gmail Killer”, y un largo etc., lleno de mucho entusiasmo hacia esta última novedad. Entusiasmo mostrado también con los servicios Google Wave y el Google Buzz en sus respectivos lanzamientos, ya sabiendo el actual poco impacto en la actualidad de estos, por lo cual personalmente me muestro algo escéptico.

Pero vamos, sus cosas buenas debe traer de todas maneras este nuevo servicio ya que va a ser proporcionado por una de las redes sociales más importantes del mundo. Basta googlear el servicio (que paradójico sonó eso no?) para encontrar noticias y notas al respecto y así enterarnos sobre esta novedad.

Y bueno, poniendo punto aparte de sobre todo lo bueno y entusiasta del novicio Facebook Email, vamos a hablar de lo no tan bueno y no tan entusiasta para equiparar la balanza.

A través de la sección de seguridad de Computerworld nos podemos enterar de las alertas de expertos en el tema en la cual se dice que este servicio será un objetivo muy atractivo para los spammers (personajes que nos envían miles de correos electrónicos no deseados), estafadores y otros responsables de envíos de virus, todo esto vía correo electrónico.

La red social obviamente respondió que ha puesto en marcha (o puede que recién lo estén haciendo) nuevas medidas de seguridad para protegernos a nosotros sus usuarios, además de la ultima contratación de un proveedor para superar los problemas del correo electrónico no deseado. Pero seamos sinceros, tenemos que reconocer que el filtro contra el correo no deseado de google en su servico Gmail, es uno de los mejores. Ahora, sumémosle a todo esto que Facebook en particular y las redes sociales en general tienen que lidiar con virus/gusano dirigido exclusivamente a ellos. Hablamos de Koobface, y otros posibles compañeros de ruta del mismo que podrían empezar a salir de la mano del Facebook Mail.

Así pues, esperemos que este nuevo blanco -@facebook.com- sepa cómo lidiar con estos males que pupulan por Internet, y nosotros los usuarios podamos seguir disfrutando de dichos servicios de esta nueva era 2.0.

Como siempre y como se comenta en los ámbitos de la seguridad de la información; el eslabón mas débil no necesariamente es la tecnología, sino nosotros los usuarios; por lo que tenemos que estar alerta y no abrir archivos adjuntos ni hacer click en links no esperados.

Y como siempre, un video o imagen dice mas que cualquier palabra o texto.

 

miércoles, 3 de marzo de 2010

Tu empresa NO tiene politicas de uso de Social Media. Existe un riesgo?

La respuesta a esa pregunta sería, probablemente SI

Hace no mucho entré a este mundo de las redes sociales tratando de indagar algo que al parecer no esta aun muy desarrollado (casi nada al parecer) y mucho menos siendo tomado en cuenta por las empresas dentro de este "boom" de Social Media.

El tema en cuestión es el uso de Políticas Corporativas de uso de Social Media por parte de las empresas.

Veamos, las empresas están llegando a tener en cuentan el crecimiento y el empleo de estos nuevos medios de comunicación social dentro y fuera de sus organizaciones, pero el no tener una política de uso de estos medios para sus empleados (y no solamente empleados) les puede traer consecuencias graves.

Por otro lado, implementar estas Políticas de Social Media pueden servir de manera positiva ya que dejarían claro los principios de comunicación online.


Ya. ¿Pero qué es una política de Social Media y como se come?

En pocas palabras, una política de uso de Social Media para empleados indica las directrices de las empresas o los principios de comunicación en el mundo online.


¿Y por qué tener una política de Social Media?

Aquí me "robo" esta respuesta que encontré en la web mientras investigaba el tema.

Según Eric B. Meyer, quien es un asociado en el Grupo de Trabajo y Empleo de Dilworth Paxson LLP, lo que las empresas deben considerar desde una perspectiva jurídica en el desarrollo de una política social son los medios de comunicación.

"Los empleadores necesitan ser francos con los empleados que no tienen derecho a la privacidad con respecto a la creación de redes sociales. "Los empleadores se reservan el derecho de monitorear el uso de los empleados de los medios de comunicación social, independientemente de su ubicación (es decir, en el trabajo en un equipo de la empresa o en el tiempo personal con una computadora en casa)."

Los empleados "deben ser conscientes de que las políticas de empresa sobre la lucha contra el acoso, la ética y lealtad a la empresa se extiende a todas las formas de comunicación (incluyendo medios de comunicación social), tanto dentro como fuera del lugar de trabajo." La gente necesita recordar que atacar a su organización/jefe/compañeros/competencia en línea, puede generar problemas a la organización y generar consecuencias en el trabajo. "



Algunas de estas normas pueden ser similares a los que ya tiene la empresa, mientras que otras pueden ser diferentes ya que tendrían que adecuarse a estos nuevos medios.


Aquí unos puntos a tener en cuenta para una Política de Social Media, tanto para permitir y/o proteger.

Una buena política Social Media indicaría claramente:
- ¿Qué hará y no hará la empresa en línea.
- ¿Qué pueden y no pueden hacer en línea los empleados/colaboradores.

Protege a la organización mediante el establecimiento de límites alrededor de lo que es aceptable y lo que es inaceptable.

Se faculta a los empleados, haciéndoles saber que cuáles son los límites, de modo que puedan utilizar los medios de comunicación social y herramientas aceptablemente sin temor a represalias mientras sigan las normas establecidas.


Un buen claro ejemplo aunque pequeño que me pareció interesante fue el del blogger Milton Vela en Café Taipa, en donde al conseguir una nueva oportunidad laboral se autoaplica una política personal de no hablar de temas relacionados al rubro en donde se ubicó. 
http://cafetaipa.blogspot.com/2010/02/cafeteros-dejenme-que-les-cuente.html

El contraste está obviamente en el caso de llamado #speedygate o #spencergate en donde la empresa de telecomunicaciones auspiciadora debió como mínimo pedir (sino hacer firmar un acuerdo) al blogger evitar hablar de cualquier competencia del auspiciador mientras dure el auspicio para evitar todo el rollo generado. Obviamente esa petición al blogger hubiera derivado de tener una Política de uso de Social Media para empleados y/o colaboradores.

En fin, pienso este es un tema amplio y algo nuevo aún que ya hay que ir teniendo en cuenta.