Edición semanal lunes 18 de septiembre de 2017

La descertificación y otros demonios

(Tiempo estimado: 6 - 11 minutos)

Presidente de los Estados Unidos, Donald Trump junto al Presidente Juan Manuel Santos.

Angelica DuranEl aumento indudable de los cultivos ha ocasionado esta amenaza de Trump. ¿Pero qué implica la amenaza, y qué tan cierto es que la causa de ese aumento haya sido la suspensión de las fumigaciones o el Acuerdo con las FARC?   

Angélica Durán Martínez*

Leer más...

La crisis de la justicia y el tribunal de aforados

(Tiempo estimado: 5 - 10 minutos)

Corte Suprema de Justicia.

Farid SamirEl escándalo de corrupción en la Corte Suprema ha revivido la idea de un tribunal especial para juzgar a los altos funcionarios, pero esta solución resulta ser absurda y contraproducente por donde se la mire. 

Farid Benavides Vanegas*

Leer más...

Candidatos por firmas y sistema de partidos

(Tiempo estimado: 6 - 12 minutos)

Miembros de los partidos: Centro Democrático, Liberal, de la U, y Cambio Radical.

Monica PachonManuela MunozLos 27 candidatos a la presidencia que buscan firmas para inscribirse son la prueba palpable de la debilidad de los partidos. Y sin embargo en las elecciones para cuerpos colegiados esos mismos partidos se muestran fuertes y cohesionados. ¿Cálculos maquiavélicos o mal diseño del sistema electoral?

Mónica Pachón* - Manuela Muñoz**

Leer más...

Lecciones de un ataque informático

(Tiempo estimado: 5 - 10 minutos)

Ratio: 0 / 5

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Ataque informático.

Pilar Sáenz #WannaCry significa “Quiero llorar”: y no era para menos. Este ataque multinacional fue un campanazo de alerta sobre lo que funciona y lo que no funciona en seguridad digital. ¿Cuál es la política colombiana al respecto y dónde están sus vacíos?

Pilar Sáenz*

Una tormenta perfecta

Los ataques informáticos se basan en un código malicioso, llamado un malware, que al ingresar en un sistema operativo, hace algo no autorizado por el usuario. El tipo de malware que se usó en los ataques del pasado viernes 12 de mayo es denominado ransomware (nombre derivado del término inglés para rescate). Un ransomware cifra los archivos en el dispositivo y pide un rescate para descifrarlos.

Lo distinto de este ataque, conocido en redes como #WannaCry, consistió en aprovechar una vulnerabilidad de los sistemas Windows para diseminar el malware por todas las redes internas a las cuales se encontrara conectado el equipo en cuestión (carpetas compartidas o redes de impresión, por ejemplo).

El objetivo del ataque no fue comprometer un equipo, sino infectar la mayor cantidad de equipos posibles. Como las redes internas son ampliamente utilizadas por empresas, corporaciones y entidades del gobierno, estas organizaciones se volvieron el objetivo principal del ataque.

El código que aprovecha la vulnerabilidad de un sistema se conoce como un exploit. En el caso del ataque #WannaCry, el exploit que se utilizó fue eternal blue, el código encargado de  propagar el malware por las redes internas. Se cree que eternal blue fue desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) y que hacía parte de su arsenal de armas digitales.

Este exploit fue filtrado por el grupo Shadow Brokers en abril de este año y era conocido en los círculos de seguridad digital y de delincuentes informáticos. Eternal blue aprovecha una vulnerabilidad presente en todas las versiones del sistema Windows. Microsoft había resuelto esta vulnerabilidad desde el 14 de marzo de este año con un parche de seguridad disponible para las versiones activas de sus sistemas operativos, (Vista, Windows 7, 8 y 10, Windows server 2008, 2012 y 2016), pero no para las versiones viejas, como XP o Windows server 2003.

Todo aquel que hubiera actualizado su sistema operativo recientemente estaba protegido contra este exploit, y por tanto contra el ataque. Pero muchas empresas y personas de todo el mundo usan versiones viejas de Windows sin actualizar. El problema se agrava si además sumamos las versiones piratas que no reciben actualizaciones.

En resumen, teníamos un arma desarrollada por una agencia de inteligencia y un escenario de muchos equipos vulnerables conectados ampliamente a internet y a redes internas. Lo que sucedió el 12 de mayo fue una tormenta perfecta, la suma de muchas cosas, cada una era nociva por sí misma, pero en conjunto fueron aprovechadas para causar un problema global de una escala sin precedentes.

El paraguas

Campañas de prevención frente a ataques informáticos
Campañas de prevención frente a ataques informáticos
Foto: Ministerio de Tecnologías de la Información y las Comunicaciones

En Colombia tenemos una política pública que atiende los temas de seguridad digital desde 2011. Ese año se formuló el Conpes 3701 que marcó los lineamientos de política para ciberseguridad y ciberdefensa. Esta política tenía un enfoque militarista que buscaba contrarrestar las amenazas informáticas y desarrollar políticas de prevención y control de amenazas digitales.

Lo que sucedió el 12 de mayo fue una tormenta perfecta, la suma de muchas cosas.

Este Conpes creó un sistema coordinado por el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT), que presta su apoyo a otras dos instituciones, el Centro Cibernético Policial (CCP) y el Comando Conjunto Cibernético (CCOC). Estas instituciones, adscritas al Ministerio de Defensa, hoy son las encargadas de responder a los incidentes informáticos, contrarrestar los delitos cibernéticos y velar por la seguridad nacional, respectivamente. EL ColCERT también coordina los Equipos de Respuesta ante Incidencias de Seguridad (CSIRT) que existen en el país.

Pero en 2016 se formuló una nueva política. El Conpes 3854 de Seguridad Digital representó un avance frente al Conpes anterior. Este cambia el enfoque militarista y adopta uno económico, en sintonía con las recomendaciones de la Organización para la Cooperación y el Desarrollo Económico (OCDE).  Según las directrices de la OCDE, “el riesgo digital debe ser formulado en términos económicos y sociales: pérdidas financieras, disminución de la competitividad, reducción de oportunidades, daños a la reputación, imagen o confianza, etc.”.

Pero estos indicadores son financieros, no sociales. En consecuencia, el propósito de la política nacional busca ahora “contribuir al crecimiento de la economía digital nacional, lo que a su vez impulsará una mayor prosperidad económica y social en el país”. En este nuevo enfoque parece que lo importante es cultivar la confianza y hacer de internet una plataforma segura para los negocios.

El otro principio que desarrolla este Conpes es la responsabilidad compartida entre las múltiples partes interesadas. Reconoce que la seguridad digital es un tema donde cada actor tiene un grado de responsabilidad en la gestión de los riesgos de seguridad y en proteger el entorno digital.

Por ello se plantea fortalecer el ColCERT y se reconoce la necesidad de hacer un plan que “permitirá desarrollar las capacidades necesarias para implementar un esquema de gobernabilidad participativa de múltiples partes interesadas, y definir los niveles de escalamiento para el reporte de incidentes digitales”. Esto significa que los demás actores que son corresponsables de la seguridad digital deberían participar de este proceso.

En todo caso, mientras este plan se ejecuta, en la práctica, aún tenemos un sistema centrado en la visión militar que obedece al primer Conpes y que no aborda los temas de seguridad digital de manera integral ni involucra a todos los actores en el momento de plantearse riesgos y responder a las alertas.

Las víctimas

Cuando se conoció el ataque en Colombia, la reacción de las autoridades fue llamar a la prevención. Al tercer día del ataque, el parte era de tranquilidad. El ataque se limitó gracias a la oportuna acción de un hacker que encontró una falla que impedía que el malware lanzara el proceso de cifrado de la información.

Las instituciones fueron alertadas oportunamente: para evitar comprometer sus sistemas debían desconectar sus equipos vulnerables de internet y de las redes internas mientras se instalaba el parche de seguridad correspondiente. Al final, según cifras oficiales, solo fueron alcanzados por el ataque en Colombia 37 empresas y particulares, aunque los medios reportaron también una institución pública afectada.

Pero, ¿realmente en Colombia solo se dieron esos casos? ¿Solo se afectó una institución del gobierno? El jueves pasado (casi una semana después de iniciado el ataque) me compartieron una foto de la biblioteca de una universidad cuya zona de cómputo estaba aislada con cintas de peligro y un aviso sobre la suspensión del préstamo de computadores hasta que no se garantizara la seguridad de los equipos. Además me he enterado de que situaciones similares  se presentaron en varias universidades públicas y privadas.

(Fuente @Argo_Berserk Licencia: CC0 Public Domain)

Sin embargo, siguiendo el Conpes de 2011 es posible que este incidente no se contabilice. Tampoco es seguro que se cuente al considerar el Conpes de 2016, porque no se trata de un ataque al sector económico. Pero sí podría contarse como un caso de éxito, pues se siguió el protocolo de desconectar los equipos, se están haciendo las actualizaciones y se impidió la propagación del malware.

Parece que lo importante es cultivar la confianza y hacer de internet una plataforma segura para los negocios.

El diagnóstico que sirvió de base al nuevo Conpes muestra que el problema de seguridad digital está aumentando, pero también que está subregistrado, pues los números provienen esencialmente del sector financiero y económico y sus fuentes son empresas de seguridad del sector privado.

Problemas como los vistos en las universidades a raíz del ataque informático deben ser también considerados en las cifras de afectación, que cientos de estudiantes se queden sin acceso a los equipos de cómputo y sin acceso a una herramienta para desarrollar sus actividades académicas, debería considerarse en algún indicador.

Los retos

Política pública de Seguridad Digital.
Política pública de Seguridad Digital.  
Foto: Ministerio de Tecnologías de la Información y las Comunicaciones  

Hasta el día de hoy no tenemos sitio en el sistema de alertas para otros sectores, como la academia y la sociedad civil, o para víctimas frecuentes de ataques como periodistas, opositores políticos, activistas y defensores de derechos humanos. Tampoco se tienen estadísticas ni reportes de los ataques y amenazas que sufren estos grupos. Este es un indicador de que estos no existen para el ColCERT ni para ninguno de los CSIRT.

El reto es grande pues se necesita un sistema descentralizado que el Estado coordine e impulse. Y en este proceso es fundamental la construcción de confianza con los otros actores.

Necesitamos crear nuevos CSIRT para sectores sociales en riesgo (prensa, defensores de derechos humanos, asociaciones de desmovilizados) que no querrán compartir información sobre los ataques recibidos pero que necesitan coordinarse para garantizar su seguridad.

Hay que imaginar nuevas formas de cooperación. Sin duda, la implementación del nuevo Conpes será un proceso de construcción de confianza, pero no solo para facilitar un mercado digital, sino para permitir un entorno democrático.

Si le apostamos a seguir los postulados de la OECD, según los cuales la seguridad digital debe tener en su centro a las personas y las comunidades, fomentar los derechos humanos, la responsabilidad compartida y la gestión de riesgo, este es un tema central del debate nacional.

 

* Física de profesión, activista por vocación, entusiasta del software libre, de las tecnologías abiertas y de la cultura libre, coordinadora de proyectos de la Fundación Karisma.
@mapisaro

 

Escribir un comentario

“Los comentarios en Razón Pública están sujetos a moderación, (de 8 am a 6pm hora de Colombia) con el fin de garantizar un intercambio de opiniones en tono respetuoso - serán bienvenidas la crítica aguda y la ironía - que enriquezcan el debate y resulten interesantes para lectores y autores.
En consecuencia, no se aceptarán comentarios del siguiente perfil:
1. Que constituyan descalificaciones, ataques o insultos contra los autores o contra otros participantes del foro de comentarios.
2. Que incluyan contenidos, enlaces o nombres de usuarios que razonablemente puedan considerarse insultantes, difamatorios o contrarios a las leyes colombianas.
3. Comentarios sin sentido o repetidos, que serán eliminados sin piedad.

Los comentarios no reflejan necesariamente la opinión de Razón Pública, sino la de los usuarios, únicos responsables de sus propias opiniones.”


Código de seguridad
Refescar

Videocolumnas

Mario Hernández

  • 150 años de la Universidad Nacional

    Ambivalente sentimiento en la celebración de cumpleaños de la Universidad Nacional que ha contribuido en ciencia y tecnología pero que ha tenido momentos críticos en especial en su financiamiento. Por Mario Hernández.

Germán Prieto

  • Cómo evitar más ciclistas muertos

    Germán Prieto nos cuenta sobre los principales problemas a los que se están enfrentando los ciclistas. Cerca de 70 ciclistas al año, mueren en accidentes en Bogotá.

Ver más videocolumnas

Arte y Cultura

La ambigua carga explosiva de Elmo Valencia

(Tiempo estimado: 5 - 10 minutos)

Elmo Valencia, poeta nadaísta.

Dario RodriguezComo su propia vida, la obra del fallecido autor caleño se ubica en un territorio incierto, entre la calidad y la payasada, la leyenda y la caricatura. Un vistazo sobre sus textos permite apreciar la herencia y la relevancia del nadaísmo en la actualidad.  

Darío Rodríguez*

Sazón Pública

Por Harpagón
Este mes           Archivo

 

Lectura Pública

¿Estamos motivados a actuar racionalmente?

(Tiempo estimado: 4 - 8 minutos)

Racionalidad a través del razonamiento, por John Broome.

Diana GonzalezEsta obra de John Broome ofrece materiales novedosos para el viejo debate sobre qué significa la racionalidad, sobre qué tan racionales somos los humanos, y sobre qué tanto usamos o no usamos la razón en los distintos espacios de la vida.

Diana González*

Recomendado

Estados Unidos y su propio problema de drogas

Drogas psicoactivas

Ricardo VargasLa idea de responsabilizar a los países productores (y que Pence seguramente viene a repetir), está tomando fuerza en Estados Unidos y nos haría volver a la mano dura. Pero las estadísticas indican que el quid de la cuestión hay que buscarlo allá.    

Ricardo Vargas M.*

Mirada Pública

El Papa Francisco y su visita a Colombia

Fotos: Flickr El Papa en Colombia

Nos escriben

RP en los medios

Ver más RP en los medios

La Fundación RAZÓN PÚBLICA es una entidad sin ánimo de lucro ni carácter partidista constituida en 2008 para servir como un punto de convergencia y un instrumento para la expresión de los intelectuales colombianos comprometidos con el proyecto de una sociedad pacífica, democrática, legal, justa y productiva.

La Asamblea General de Razón Publica está integrada por sus fundadores, por los autores y autoras que contribuyen de manera regular a esta revista, por los donantes a la Fundación y por el equipo de planta de la revista.

Hernando Gómez Buendía Director y editor generalFernando Garavito Pardo (Q.E.P.D.) Editor emérito • Editores: Carlos Granada,
Valentina Landínez @Valelandinez, Érika Mesa
Valentina Salazar Imágenes • Tatiana Alfonso Coordinadora de Lectura Pública  
Linda Ordóñez  Coordinadora administrativa linda.ordonez@razonpublica.org.co 
Angélica Zambrano  Videocolumnas y webmaster angelica.zambrano@razonpublica.org.co @Anyelik 
Daniela Garzón Coordinadora editorial daniela.garzon@razonpublica.org.co  @Ginethdan

Please publish modules in offcanvas position.