PDF de programación - 25 Revista Seguridad - Monitoreo y detección

No.25 / agosto-septiembre 201 5 ISSN: 1 251 478, 1 251 477

25
MMoonnii ttoorreeoo yy ddeetteeccccii óónn

PPrrootteeccccii óónn dd ee dd aattooss eenn mm oovvii mm ii eenn ttoo

Data Loss
Prevention

Frameworks

para monitoreo

Honeypot
Glastopf

Botnet Liberpy

Likejacking

TIC y

ciberterrorismo

Contenido

DLP: Tecnologías para la prevención de la fuga de
información

Frameworks para monitoreo, forense y auditoría de
tráfico de red-II (POC)

Glastopf: Honeypot de aplicaciones web – I

Operación Liberpy: Keyloggers y robo de
información en Latinoamérica

SOS: alguien ha secuestrado mis likes

TIC (Internet) y ciberterrorismo - III

04

08

21

27

30

34

Universidad Nacional Autónoma de México. Dirección General de Cómputo y Tecnologías de Información y Comunicación. Coordinación de
Seguridad de la Información/UNAM-CERT. Revista .Seguridad Cultura de prevención para TI M.R., revista especializada en temas de seguridad
del UNAM-CERT. Se autoriza la reproducción total o parcial de este contenido con fines de difusión y divulgación de los conocimientos aquí
expuestos, siempre y cuando se cite completa la fuente y dirección electrónica y se le de crédito correspondiente al autor.

Editorial

Monitoreo y detección

Protección de datos en movimiento

La información que generamos cada día se ha vuelto
“nómada”. Me atrevo a decir esto porque en nuestros
días es muy común enviar archivos por correo
electrónico, subirlos a la nube, pasar documentos al
teléfono o a la tableta, trabajar en aplicaciones
basadas en la web y muchas otras tareas que
vuelven a la información que generamos un viajero
incansable.

Entre este flujo de datos se encuentran nuestras
fotografías, las contraseñas de acceso a todos los
servicios que consumimos, nuestras converscio-
nes en línea, la comunicación por correo y en algunos
casos hasta datos bancarios, llamadas telefónicas
y mucha, mucha más información.

Proteger los datos en movimiento nos motivó a
presentar en este número tecnologías relacionadas
al monitoreo del tráfico de red y al análisis de esa
información; herramientas que son útiles para
conocer y ajustar los parámetros de red a las
necesidades de cada organización, para la detección
de intrusiones y continuidad de operaciones. Pues
bien, las propuestas de nuestros autores son un
apoyo para evitar que estos viajeros digitales pierdan
el camino o se “crucen con el
destino.

lobo” a mitad de su

Invitamos a todos nuestros lectores, especialmente
a aquellos administradores de red o responsables
de TI en cada nivel, a conocer los contenidos que
preparamos en esta ocasión, esperamos que sean
de utilidad.

Feliz y seguro viaje, información.

Jazmín López Sánchez
Editora
Coordinación de Seguridad de la Información

.Seguridad Cultura de prevención TI M.R. / Número 25 /
agosto-septiembre 201 5 / ISSN No. 1 251 478, 1 251 477 /
Revista Bimestral, Registro de Marca 1 29829

DIRECCIÓN GENERAL DE CÓMPUTO Y DE
TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIÓN

DIRECTOR GENERAL
Dr. Felipe Bracho Carpizo

DIRECTOR DE SISTEMAS Y SERVICIOS
INSTITUCIONALES
Act. José Fabián Romo Zamudio

COORDINADOR DE SEGURIDAD DE LA
INFORMACIÓN/ UNAM-CERT
Ing. Rubén Aquino Luna

DIRECTORA EDITORIAL
L.A. Célica Martínez Aponte

EDITORA
Jazmín López Sánchez

ASISTENTE EDITORIAL
Katia Rodríguez Rodríguez

ARTE Y DISEÑO
L.D.C.V. Abril García Carbajal

REVISIÓN DE CONTENIDO
Rubén Aquino Luna
Xocoyotzin Carlos Zamora Parra
Jonathan Banfi Vázquez
Marcelo Barrera Plata
Miguel Raúl Bautista Soria
Octavio Domínguez Salgado

COLABORADORES EN ESTE NÚMERO
Javier Ulises Santillán Arenas
Alejandra Morán Espinosa
Oscar Alquicira Gálvez
Abraham Alejandro Servín Caamaño
Pablo Atilio Ramos
Diego Perez Magallanes
Sergio Anduin Tovar Balderas
Galvy Ilvey Cruz Valencia
Israel Andrade Canales

DLP: Tecnologías para la preven-
ción de la fuga de información

Israel Andrade Canales

No cabe duda que la facilidad para procesar,
almacenar y transmitir la información que las TIC
nos brinda a su vez dificulta el control sobre la
misma, para muestra de lo anterior: la fuga de
información en medios digitales. Dicho problema
se ha colocado dentro de las primeras cuatro
tendencias sobre delitos informáticos en este
año [1 ] y además, es una noticia común en los
medios de comunicación, desde la fuga de los
primeros cuatro capítulos de la nueva temporada
de “Game of Thrones” [2] hasta el robo de datos
personales en una de las tiendas departamen-
tales más populares de México [3].

las condiciones son propicias,

Parece que si
alguien extrae o pierde información que incluye
documentos laborales, bases de datos con
información sensible, fotografías o videos que
en cuestión de horas el público puede descargar
desde la comodidad de su dispositivo personal.

La fuga de información

El problema principal de la fuga de información
es que las amenazas, las vulnerabilidades y las
malas prácticas de seguridad que la propician se
presentan en una gran variedad de escenarios
durante el ciclo de vida de la información:
creación, procesamiento, almacenamiento,
transmisión y deposición.

Durante la creación o la adquisición de la
información olvidamos definir cuáles van a ser
las reglas del uso de la misma, comenzando así
los problemas de control. ¿Quiénes tendrán
acceso? ¿En cuáles dispositivos se podrá
almacenar? ¿A quiénes se podrá transferir? ¿Se
puede publicar? ¿Durante cuánto tiempo será
útil? Son preguntas que podríamos plantearnos

T
R
E
C
M
A
N
U

04

justo en el momento de adquirir o crear dichos
medios, no sólo para información laboral,
también para la personal.

El descontrol de la información empeora en el
siguiente estado de la información: el almacena-
miento. Hoy contamos con una extensa variedad
de dispositivos en donde podemos almacenar
archivos y la mala práctica es no tener un control
de dónde se resguardan. Es por esto que en el
ámbito laboral están en boga los inventarios de
información, prácticas que eran exclusivas para
los bienes materiales.

Cuando transferimos, compartimos o publica-
mos la información perdemos por completo su
control, es aquí donde comienza la pesadilla,
porque otras personas pueden hacer mal uso de
los contenidos: copias y accesos no autorizados
a personas, correos personales, almacena-
miento en dispositivos móviles, en la nube, redes
sociales, etcétera.

En último lugar se encuentra el estado final de
la información (la cual olvidamos frecuente-
mente): la eliminación. Por una parte está la
práctica poco realizada del borrado seguro: ¿qué
infor- mación podría obtenerse de nuestras viejas
memorias USB, de los teléfonos celulares o de
los servidores que se dan de baja en las
empresas?; y por el otro, la dificultad de eliminar
la información una vez que ha salido de nuestro
ambiente de control, por ejemplo, cuando se
almacena en Internet.

Figura 1. Ciclo de vida de la información

El problema es demasiado grande para una
solución definitiva, involucra gente, tecnología,
aspectos legales, de gestión, y a su vez, que las
medidas precautorias no desfavorezcan el uso
ágil de la información.

¿Qué es un DLP?

Una de las estrategias que las empresas están
adoptando con más fuerza es el uso de sistemas
de Prevención de Pérdida de Información
(traducción propia de Data Loss Prevention,
DLP). Se trata de un sistema porque son un
conjunto de tecnologías que previenen la fuga
de información.

El principio fundamental de esta serie de técnicas
se basa en una herramienta más que conocida
en el mundo de la seguridad informática: el
antivirus; sólo que en lugar de buscar todas las
formas reconocibles de una pieza de malware,
éste sistema busca patrones y firmas de la
información que nosotros consideremos
sensible.

Adicionalmente, otras herramientas del DLP se
distribuyen en toda la infraestructura informática
(principalmente en los equipos de escritorio y en
los dispositivos de red) para cubrir todos los
estados de la información y los puntos de fuga.

El dueño de la información puede definir si algún
archivo, base de datos o algún tipo de dato en
particular (como el número de una tarjeta de
crédito) debe ser analizado y, en su caso,
bloqueado si es transmitido por algún medio.
Estas herramientas pueden ser configuradas
desde la forma más sencilla y ágil de clasificación
(pública o privada) hasta el esquema más
complejo.

Mientras la información se encuentra almacena-
da en uno o más equipos, el dueño puede realizar
una búsqueda exhaustiva (justo como lo haría
un antivirus en la búsqueda de malware en el
equipo) y descubrir cuántas copias de la
información o del mismo dato se encuentran
distribuidas sobre la infraestructura tecnológica
y así proceder a su organización, control o
eliminación. ¿Te imaginas en cuántos docu-

T
R
E
C
M
A
N
U

05

mentos, dispositivos de almacenamiento y
correos viejos has abandonado algún archivo
con datos sensibles?

Quizá la funcionalidad más interesante es la del
monitoreo y bloqueo de cualquier intento de
transferencia no autorizada de los datos en
resguardo. Esto funciona con la misma tecnolo-
gía que un firewall, que detiene un patrón de
ataque, pero en este caso se evita que la
información sensible salga si no lo está permitido.
Por ejemplo, un usuario apunto de mandarse una
copia del reporte de finanzas a su correo personal
(para revisarlo en casa) será detenido desde el
cliente de correo o navegador, también será
detenido al momento de subirlo a la nube y su
sistema operativo no le permitirá almacenarlo en
su memoria USB, si así fue establecido.

Pues bien, para el usuario no especializado en
informática, un DLP podrá parecerle un medio
de control más. Por eso es necesario que este
tipo de mecanismos sean acompañados de un
aspecto importante: una sensibilización
informada del porqué cierto tipo de datos serán

resguardados de esta manera, sea por
implicaciones legales (como en el caso de la Ley
Federal de Protección de Datos Personales) o
por su criticidad para el negocio (como en el caso
de los capítulos filtrados de “Game of Thrones”).

Tamb