Articulo v3 - Alfa-Redi

2001 SekureIT S.A. de C.V. http://www.sekureit.com. Página 1 de ... durante nueve horas, dando como resultado que más de 70 millones de llamadas no fueran.
104KB Größe 27 Downloads 90 vistas
Un estudio sobre el estado de la seguridad informática en México Aparicio, Jorge E. [email protected]

García, Juan M. jmgarcia @sekureit.com

SekureIT, Consultores en Seguridad Informática www.sekureit.com

Resumen. El auge de internet ha llevado a muchas organizaciones a utilizar esta tecnología dentro de sus procesos y actividades cotidianas. Sin embargo, simultáneamente, estadísticas internacionales revelan que el número de incidentes de seguridad en la red se ha incrementado de manera dramática durante los últimos años. Un estudio realizado sobre un número significativo de sitios de Internet en México pertenecientes a entidades de diferentes sectores de la vida pública nacional, nos revela que más de la mitad de ellos presentan vulnerabilidades de alto riesgo, y por lo tanto, están expuestos a incidentes de seguridad de consecuencias severas.

ANTECEDENTES La aparición de las redes globales de comunicación se ha convertido uno de los sucesos más importantes de la historia reciente. Las organizaciones y los individuos han establecido complejos procesos, de muy diversa índole, que utilizan a la Internet como elemento primordial en su operación; las empresas realizan transacciones comerciales con clientes y proveedores a través de la red, los individuos compran y efectúan transacciones bancarias en sitios web, entre muchos otros casos. Cuanto más trascendentes son estos procesos en la vida de las organizaciones, más importante es la necesidad de que “la red de redes” cuente con altos niveles de disponibilidad y confiabilidad. Desafortunadamente, a lo largo de los años hemos conocido casos en que importantes empresas y organizaciones han visto comprometidas sus operaciones debido a que han sufrido ataques perpetrados a través de redes globales, como la Internet. En 1990, el sistema de conmutación de llamadas de larga distancia de AT&T fue comprometido durante nueve horas, dando como resultado que más de 70 millones de llamadas no fueran completadas. En 1994, dos crackers ingleses comprometieron y robaron información de varios sitios militares estadounidenses, entre ellos los Rome Labs de la Fuerza Aérea. En 1997, un solo cracker obtuvo y trató de vender información sobre más de 100,000 tarjetas de crédito obtenida ilegalmente de varias compañías que realizan negocios en la web. En el año 2000, el sitio web de la compañía Yahoo!, el más visitado en el mundo, estuvo fuera de servicio durante varias horas debido a un ataque distribuido de denegación de servicio perpetrado por un clan de crackers. Recientemente, en mayo de 2001, el sitio web promocionado como “más seguro” de la Unión Europea (http://www.saferinternet.org) fue comprometido y sustituido por una página que alardeaba sobre el éxito del ataque. En

SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 1 de 8

muchos de estos casos el costo de la reparación de los daños causados se elevó a varios miles de dólares. Estadísticas sobre seguridad informática en el mundo Diferentes estudios y análisis muestran una tendencia creciente en cuanto a incidentes de seguridad en el ciberespacio. Por ejemplo, CERT (Computer Emergency Response Team) [1] dio a conocer un incremento significativo en el número de incidentes de seguridad que le fueron reportados durante los años 1999 y 2000, respecto a los años anteriores (Figura 1). De igual forma, los resultados parciales del primer cuarto (Q1) del 2001 presagian un incremento sustancial al término del año.

25000 21756

Incidentes Reportados

20000

15000

9859

10000

7047 5000

3734

6

132

252

406

773

1334

2340 2412 2573 2134

0 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 (Q1) Año

Figura 1. Número de incidentes reportados al CERT 1988-2001 Fuente: CERT/CC Statistics 1988-2001 Total de Incidentes Reportados 1988-2001: 54,758

Dado que el interés sobre seguridad informática es relativamente nuevo en México, pocos datos se conocen sobre el número de incidentes que se presentan en el país. Organizaciones como el MxCERT (Mexican Computer Emergency Response Team) establecido en el Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) y el UNAM-CERT, SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 2 de 8

de la Universidad Nacional Autónoma de México, hacen esfuerzos por promover la importancia de la seguridad informática en el país, pero no cuentan con estadísticas que reflejen la magnitud del problema en México. Una de las barreras que hace difícil la obtención de estadísticas confiables, no sólo en México sino también internacionalmente, es el hecho de que las organizaciones no están dispuestas a reconocer públicamente que sus sistemas han sido comprometidos, debido a los daños que en su imagen, prestigio y consecuentemente en su economía, representaría hacerlo.

ESTUDIO DE VULNERABILIDADES Con el único propósito de contribuir a la difusión de la importancia que debe tomar la seguridad informática en las organizaciones de nuestro país, SekureIT desarrolló un estudio sobre la situación actual de las entidades mexicanas en cuanto a la seguridad de sus sitios. El estudio se centra en las diferentes vulnerabilidades presentes en los sitios y sus riesgos potenciales. Definiciones En términos de seguridad informática, una vulnerabilidad se define como cualquier deficiencia de un sistema operativo o aplicación, la cual puede ser explotada por usuarios no autorizados con fines no genuinos (usualmente para ocasionar daño). Para propósitos de este estudio, se clasificaron a las vulnerabilidades como de alto, medio y bajo riesgo, de acuerdo al grado de severidad que puede tener un ataque que utilice la vulnerabilidad en cuestión. Entre las vulnerabilidades de bajo riesgo se incluyeron a aquellas que permiten la obtención de información secundaria, tal como sistema operativo, versiones de aplicaciones utilizadas, etc. Entre las vulnerabilidades de medio riesgo se incluyen a aquellas que permiten extraer información más relevante acerca del objetivo, como pueden ser nombres de cuentas de usuario, así como las que permiten ataques que pueden comprometer parcialmente el desempeño y/o buen funcionamiento de los sitios atacados. Finalmente, entre las vulnerabilidades de alto riesgo contemplamos las que pueden representar un compromiso total del sistema, permitiendo al atacante el control total del objetivo o, al menos, impedir completamente su funcionamiento. Metodología Para la realización del estudio se tomó una muestra representativa de 242 entidades pertenecientes a diferentes sectores de la vida pública nacional. Entre ellos, académico, agrícola, gubernamental, comercial y turístico.

SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 3 de 8

A través de diversas herramientas no intrusivas de análisis se realizaron varias pruebas, en diferentes horarios, a los sitios de las entidades seleccionadas para detectar potenciales vulnerabilidades. Cada uno de los sitios analizados cumplen con la condición de ser sitios públicos, de acceso no restringido. Las pruebas se realizaron entre los meses de abril y mayo de 2001. La prueba en cada sitio consistió en determinar los servicios abiertos, así como los protocolos de comunicación utilizados. Adicionalmente, con base en las vulnerabilidades que han sido reportadas para dichos servicios y protocolos [2], se determinaron las vulnerabilidades existentes en el sitio. Con objeto de facilitar su interpretación, los resultados obtenidos se presentan por sector. La lista completa de sectores y el número de entidades analizadas se encuentra dada por la siguiente tabla:

Sector Agricultura Comercio Comunicaciones Educación Energía Finanzas Gobiernos Estatales y Municipales Secretarías de Estado Turismo Otras TOTAL

Número de Entidades 10 5 11 102 10 17 57 14 10 6 242

Tabla 1. Entidades por sector

Como señalamos anteriormente, las distintas vulnerabilidades encontradas fueron clasificadas en tres grupos, dependiendo de la gravedad de las consecuencias que su explotación pudiera ocasionar. Los grupos definidos son: alto riesgo, medio riesgo y bajo riesgo. En los diagramas en que se presentan los resultados se toman en cuenta las siguientes consideraciones: 1. Un sitio se clasifica como vulnerable de alto riesgo si tiene al menos una vulnerabilidad de alto riesgo.

SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 4 de 8

2. Un sitio se considera como vulnerable de medio riesgo, si no es vulnerable de alto riesgo y cuenta al menos con una vulnerabilidad de medio riesgo. 3. Un sitio se considera como vulnerable de bajo riesgo si no es vulnerable de medio riesgo y cuenta al menos con una vulnerabilidad de bajo riesgo. 4. Un sitio se considera no vulnerable si no presenta vulnerabilidades de cualquier tipo. Por razones de confidencialidad y seguridad, los nombres de las organizaciones y herramientas de análisis involucradas en este estudio no serán dadas a conocer públicamente bajo ninguna circunstancia. Resultados El estudio realizado permitió detectar un total de 436 vulnerabilidades conocidas distintas. Como se aprecia en la Tabla 2, la mayor parte de ellas corresponde a vulnerabilidades de medio y alto riesgo. Tipo de Vulnerabilidad Cantidad Encontrada Alto Riesgo 176 Medio Riesgo 214 Bajo Riesgo 46 TOTAL 436

Porcentaje 40.37 % 49.08 % 10.55 % 100%

Tabla 2. Vulnerabilidades Encontradas

Como información complementaria vale la pena comentar que a partir del año 1995 y hasta el primer cuarto del 2001, el CERT ha reconocido un total de 3,229 vulnerabilidades distintas. 1,090 de ellas fueron detectadas tan solo en el año 2000. Resultados Globales Considerando el total de las entidades analizadas, se encontró que prácticamente el 100% de ellas presenta algún tipo de vulnerabilidad. Los resultados revelaron que más del 50% de los sitios analizados son vulnerables de alto riesgo, mientras que apenas un 2% del total presentan una baja vulnerabilidad (Figura 2).

SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 5 de 8

Resultados Globales

Bajo Riesgo 2%

Medio Riesgo 47%

Alto Riesgo 51%

Figura 2. Resultados Globales de Estudio de Vulnerabilidades

Estos resultados son alarmantes si se comparan con los resultados obtenidos por estudios similares a nivel internacional. Resultados por Sector La clasificación de los resultados por sectores permite analizar de manera más clara cuales son aquellos que presentan mayores riesgos. La Tabla 3 destaca que los sectores relativos a al Turismo, Educación, Energía y Gobiernos Estatales y Municipales, en ese orden, son los que presentan una mayor problemática. En todos estos casos, más del 50% de las organizaciones de cada sector están expuestas a sufrir un ataque externo que pudiese resultar en la pérdida del control total del equipo o la red completa, quedando a merced del atacante. Sector Agricultura Comercio Comunicaciones Educación Energía Finanzas Gobiernos Estatales y Municipales Secretarías de Edo. Turismo Otras

Alto Riesgo (%) 27 40 33 61 60 29 56

Medio Riesgo (%) 64 60 67 39 40 65 40

Bajo Riesgo (%) 9 0 0 0 0 6 4

21 70 50

79 30 50

0 0 0

Tabla 3. Resultados de Estudio de Vulnerabilidades por Sector

SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 6 de 8

También interesante resulta observar que los sitios del sector de Secretarías de Estado, son los que destacan por tener el menor índice de vulnerabilidades de alto riesgo, aún cuando, el 21% representa todavía un problema considerable. Dramático resulta encontrar que el 61 % de las organizaciones analizadas pertenecientes al sector educativo, en su mayoría universidades, tienen vulnerabilidades de alto riesgo. Esto sugiere la idea de que un gran número de instituciones educativas de nivel superior del país no están trabajando aún en la preparación de profesionales que atiendan la demanda de servicios de seguridad que requerirá el mercado en los próximos años. Lo que es peor, es muy probable que muchas de estas universidades ni siquiera cuenten con docentes con la especialización suficiente para impartir cursos sobre seguridad informática. Por otro lado, entre las razones por las que los sitios de las organizaciones mexicanas presentan estos niveles de vulnerabilidad tan desalentadores, sin duda se encuentran el desconocimiento y la negligencia. Dado que el interés por el tema en nuestro país es relativamente nuevo, muchos administradores de redes y directores de organizaciones aún no han tomado conciencia de la dimensión del problema. En muchos casos, las únicas referencias conocidas son los ataques exitosos a grandes organizaciones internacionales, lo cual puede generar la falsa creencia de que sólo ese tipo de organizaciones son objetivos de los ataques. Aún en aquellas organizaciones en que se tiene una mejor concepción de la problemática, y se conocen los mecanismos y estrategias de prevención, es muy común que las acciones se tomen hasta que se ha sufrido un incidente de seguridad, cuando los daños ya han ocurrido.

CONCLUSIONES Los resultados presentados en este artículo son una alerta sobre el enorme trabajo que debe realizarse en la evangelización de conceptos sobre seguridad informática en las instituciones nacionales. La única manera de evitar ser una víctima más de los ataques externos a través de redes globales, tales como Internet, es el conocimiento de las vulnerabilidades a que se está expuesto y el emprendimiento de acciones y estrategias para minimizar los riesgos. El problema de la seguridad informática en México cobra especial relevancia en vista del destacado papel que se planea jugará Internet en los ámbitos de gobierno, educación, comercio, etc. [3] durante los próximos años.

SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 7 de 8

REFERENCIAS [1] http://www.cert.org/stats/cert_stats.html [2] http://www.securityfocus.com/bugtraq/archive [3] http://www.e-mexico.gob.mx/

AVISO LEGAL Política de Derechos de Autor La información contenida en este documento puede ser reproducida total o parcialmente a través de cualquier medio, siempre y cuando se mencione e incluya en todos los casos la fuente de la investigación como: Un estudio sobre el estado de la seguridad informática en México SekureIT, Consultores en Seguridad Informática (http://www.sekureit.com). De cualquier forma, agradeceremos nos contacte ([email protected]) para hacerle llegar una autorización escrita sobre la reproducción parcial o total de esta investigación y para mantenerle informado sobre posibles actualizaciones.

Política de Privacidad La información contenida en este artículo fue obtenida por SekureIT, S.A. de C.V. como resultado de un estudio detallado y minucioso. Cada uno de los sitios analizados en dicho estudio cumplen con la condición de ser sitios públicos, de acceso no restringido. Se ha tomado todo el cuidado necesario para que los resultados no resulten falaces o erróneos al momento de su publicación. Por razones de confidencialidad y seguridad, los nombres de las organizaciones y herramientas de análisis involucradas en este estudio no serán dadas a conocer públicamente bajo ninguna circunstancia. SekureIT, S.A. de C.V. no será responsable en caso alguno, de daños o perjuicios de cualquier tipo que se pretendan basar en el uso de este documento o su contenido. Cualquier intento por utilizar para fines ilegales o no autorizados la información contenida en este documento será reportada inmediatamente a las autoridades correspondientes. En tal situación, se proveerá toda la información que permita la identificación y ubicación de los presuntos responsables.

SekureIT, Consultores en Seguridad Informática © 2001 SekureIT S.A. de C.V. http://www.sekureit.com

Página 8 de 8