lunes, 10 de febrero de 2014
Hace un par de días vi una noticia de eltiempo.com donde el Sr Presidente Juan Manuel Santos, mencionaba que Colombia se encuentra en panales y expuesta en cuanto a Ciberdefensa, razón por la cual se crea este articulo.

Primero que todo quisiera mencionar que desde el ano 2011, en Colombia existe un documento CONPES 3701, el cual define los lineamientos de la política para la CiberSeguridad y CiberDefensa con un costo superior a los 16 mil millones de pesos (pag 32 del link), que prácticamente se acaba este ano 2014, 4 anos que no lo digo yo, lo dice el mismísimo Dr Santos públicamente, "estamos en panales en CiberSeguridad y Ciberdefensa",  por lo cual me surge una pregunta: que paso con ese dinero?. Trato de responderla yo mismo y pienso que aunque el CONPES fue una buena intención, no paso de ahi, de una buena intención que no ha servido.

5 Cosas por las que estamos en panales en CiberSeguridad.


  • Copiar y pegar. En Colombia lo que tenemos en materia de CiberSeguridad y Ciberdefensa no pasa de ser mas que intentos aislados de hacer bien las cosas y de hacer lo mejor que sabemos hacer los Colombianos, intentar "talcualizar" o "pastelear" o "copipastear" modelos que no entendemos, que no sabemos como funcionan o si funcionan para nuestro entorno pero pues si eso les funciona a los gringos a nosotros por que no?. 


  • Malos estudios acerca de lo que tenemos. Resulta que si tratamos de copiar modelos de países de primer mundo sin tener en cuenta nuestro entorno terminaríamos diciendo cosas tan absurdas como que si el Agro presenta un ataque informático causaría una catástrofe en nuestro país, lo cual poniéndole cinco de sentido nos damos cuenta que el porcentaje de automatización o de dependencia de los sistemas del Agro en Colombia es casi nulo, (ejemplo, Corabastos no se vería afectado si todos los computadores en Colombia se apagan o colapsan ante un Ciberataque, caso contrario de lo que pasaría con el Sector Financiero, Telecomunicaciones, entre otros, si esto mismo les ocurre) pero en países del primer mundo el Agro puede llegar a niveles importantes de automatizacion por lo que lo hace un objetivo importante de proteger.

  • Mezclar lo virtual con lo real.  Alguna vez escuche decir que no es lo mismo "una marrana mona que la mama ramona".  Creo que se le apunta un punto a la Fuerzas Militares Colombianas, tratar de hacerse cargo de la CiberSeguridad, pero resulta que así como existen fuerzas especializadas en cada campo por ejemplo, Fuerza Aerea, Marina, Ejercito, Armada, Policia, debería existir una Ciber Fuerza, o por que no dejamos que los Soldados o Policias que patrullan vayan a pilotear aviones de guerra? sencillamente porque requieren especialización en la materia, no? entonces por que no especializamos nuestro Ciber Ejercito y creamos una nueva fuerza?, donde la rotación del personal sea por ejemplo que un CiberSoldado va de monitorear una infraestructura critica energética a una de telecomunicaciones sin moverse del Ciberespacio y no teniendo que ir a patrullar físicamente porque tuvo un traslado, o porque hubo cambio de Comandante.

  • No apoyar lo virtual con lo real. No quisiera tratar de confundir con el punto anterior. Aunque no es bueno que las Fuerzas Militares que están trabajando en temas de lo real vayan a trabajar en lo virtual porque no es su campo de acción, si se debe tratar de aprender y o utilizar la experiencia de las estrategias que se utilizan en la vida real, para aplicarlas en la vida virtual. Pienso que cada una de las cosas que ocurren en la vida real se pueden ejemplificar en la vida virtual y esto nos ayudaría a entender mejor las cosas, por ejemplo si comparamos una pagina web con un local comercial en la vida real podríamos relacionar una denegación de servicio a dicho portal como si tenemos un grupo de personas ubicadas enfrente del local comercial impidiendo el ingreso de los clientes, esto nos permitiría tratar de entender muchísimos mejor los problemas actuales que se tienen en la vida virtual como son las leyes escasaz con que contamos en el Ciberespacio y entender que estamos en "panales" en CiberSeguridad.

  • No entendemos que esta pasando. Cada vez que los medios de comunicación o que cualquier persona intenta hablar sobre la CiberSeguridad y la Ciberdefensa lo hacen de una forma mítica y tan Hollywoodense que lo único que le queda a las personas es sentir esa fascinación de escuchar historias mágicas y creer, pero al no entender que podríamos tener situaciones tan criticas y tan a la deriva como:
  • Que pasaría si todo el dinero del sistema financiero Colombiano es movido a cuentas internacionales durante un Ciberataque? - Otro saqueo Colonial? o sea si vamos a consultar nuestras cuentas y están en ceros inexplicablemente porque al parecer Ud hizo una transferencia al exterior? 
  • Que pasaria si los sistemas que controlan automaticamente el acueducto o las centrales electricas no funcionan por un Ciberataque?
  • Que pasaria si las comunicaciones tanto internet como celular dejan de funcionar por un Ciberataque?


Tenemos un CiberEjercito especializado que nos defienda y tome medidas

Por que China en estos momentos tiene un CiberEjercito de unos cuantos miles de efectivos especializados en la materia?

Sin hablar nada del CiberEjercito Americano. EEUU sabe la importancia de tener un Ciberejercito.

Paises como Reino Unido, les da sentido tener un ciberejercito. 

Iran tiene su propio ciberejercito.


No tener un Ciberejercito  Colombiano es como cuando Cristobal Colon nos descubrió, que paso? se aprovecharon de nosotros y nos robaron, el ciberespacio es un importante medio que debemos usar y debemos proteger porque por ahi son las carreteras que van a transportar el oro (información) que tenemos y que otros si saben el precio que tiene y como utilizarlo, como hacer negocios.

Por eso estamos en Ciber-panales.



miércoles, 9 de noviembre de 2011
Conferencia Security-Zone 2011 en Colombia
Compártelo en Facebook
The Muro Group International presenta SECURITY-ZONE 2011, un evento de seguridad informática de talla internacional presentado en Centro de Eventos Valle del Pacifico en Cali, Colombia, Noviembre 28 al 30, 2011. Ver cronograma.

SECURITY-ZONE 2011 reúne a 16 reconocidos expertos de seguridad informática provenientes de USA, Europa, Asia, y Colombia, en un ambiente propicio para el intercambio de conocimiento, actualización de información, y networking.

SECURITY-ZONE 2011 le da la oportunidad a profesionales en seguridad informática interactuar con reconocidos expertos de la industria y escuchar acerca de los nuevos avances en seguridad informática, nuevas metodologías siendo utilizadas por hackers sofisticados, nuevas tendencias de ataques, y otros temas relacionados con seguridad informática.

SECURITY-ZONE 2011 tiene una duración de tres (3) días, programado de la siguiente manera:

Días uno y dos, Workshops presentados por los expertos invitados.
Día 3 presentaremos entrenamiento técnico divido en tres niveles: Básico, Intermedio, y Experto.


Tomado de http://blog.segu-info.com.ar/2011/11/conferencia-security-zone-2011-en.html
lunes, 17 de octubre de 2011



Que es un CTF?
CTF quiere decir Capture The Flag, o Capture la bandera, donde se trata de atacar a los servicios (apache, FTP, correo, etc) de los otros equipos buscando un código de ciertas características, para enviarlo a un equipo que registra los puntos y así ir ganando puntos, si mis servicios no están online voy perdiendo puntos ya que un robot esta verificando cada ciertos segundos que mis aplicativos estén corriendo.

Que diferencia existe entre un WarGame y un CTF?
Un WarGame es estatico, o sea no se ataca a nadie, es una serie de retos que hay que solucionar y finalmente enviar una solucion para ir ganando puntos, mientras que en un CTF se ataca a los otros equipos para obtener los puntos, se intenta sacar de linea a los otros equipos para que vayan perdiendo puntos.

Que otros CTF existen como RuCTF?
En las Vegas, esta el CTF de DEFCON, en donde todo el ano se realizan las eliminatorias y quedan 8 equipos finalistas que realizan el juego final en las Vegas, equipos como la Universidad de Carnegie Mellon participan, Espana, Japon, etc, etc.

Como funciona RuCTF?
Es un juego por equipos en donde, a cada equipo se le entrega una imagen virtual con un sistema operativo y aplicativos instalados (servicios como FTP, apache, sql, webservices, android, etc), es una sorpresa que van con lo que salen, el ano pasado un servicio era un servidor FTP corriendo sobre un simulador android que estaba sobre un sistema operativo FreeBSD.

Como se ven los ataques que realizan los equipos?
Aca existe un video que muestra un momento del juego en donde habían bastante ataques (Nuestro equipo es LowNoise)

Como es la arquitectura de red del juego?




Donde me registro?

Cuando es el juego?
Noviembre 19.

Cuanto tiempo dura?
9 horas

Que gano?
Compartir experiencias con equipos de hacking realmente buenos.

Que reglas existen?
Basicamente cosas como no hacer ataques de denegación de servicio, propagar virus, etc.

Cuantos equipos Colombianos han concursado?
El ano pasado concursamos aprox 3 equipos Colombianos.
Como se pueden dar cuenta quedamos de 18, a pesar que el puntaje fue realmente bajo, cabe resaltar que la defensa fue buena y realizamos ataques manuales a 8 equipos, no se automatizaron los ataques como si lo hicieron los otros equipos. Realizar un solo ataque implica haber encontrado una vulnerabilidad en este caso al servidor FTP que estaba sobre android sobre FreeBSD y realizar los correspondientes exploits, defender implica filtrar el trafico dañino sin dejar fuera del aire los servicios.

lunes, 11 de julio de 2011
Internet permite que los crimenes informaticos traspasen los paises y que tenga que ver mas de un pais en un mismo crimen, para lo cual se vuelve complicada la aplicacion de la legislacion, el control, etc. Creo que se deberia considerar Internet como un pais mas, como una nacion, como un estado, incluso con la necesidad de tener un pasaporte para poder permanecer alli y por que no, hasta la posibilidad de obtener una ciudadania, que tal seria oir algo asi como, de donde es usted, de internet... espectacular no?

Al tener un poder de decision independiente, y al ser un lugar independiente, cuando se cometa un crimen o fraude, sin importar la tecnologia que se use o el pais donde se haga, seria juzgable de una mejor manera, mas facil, como se hace en cada pais, si alguien voy a otro pais con un pasaporte y hace algo ilegal, debe responder alla, facil no?

Se tendria una propia fuerza publica generalizada, que atienda los incidentes, que haga las investigaciones, capturas, etc etc.

Lo mas importante es que las regulaciones que se hagan, serian mas generalizadas y efectivas.

Creo que muchos estaran pensando en muchas preguntas como:

Pero es que los diferentes paises tienen diferentes culturas y seria injusto hacer regulaciones generales.... Ante esto creo que si una persona quiere ingresar a un club de golf (yo no se ni jugar golf) o cualquier otro, debe primero conocer las reglas, entenderlas y aceptarlas, esto presionaria a los gobernantes de cada pais a buscar estrategias para la inclusion en este nuevo pais virtual.

Que tecnologia se requeriria para hacer de internet un pais virtual?... no tengo ni idea, habria que desarrollarla...

Como se conformaria el gobierno? Por cibervotaciones... ciberdemocracia.

Que tipo de estado seria (comunista, capitalista, etc etc)? no se... capitalista.

Quien asumiria los gastos? Internet es una gran economia que podria generar cierto tipo de impuestos y mantenerse por su cuenta.

Que pasaria si un gobierno comete un delito grave? se le desconectaria o algo asi...se le aplican sanciones.
sábado, 11 de junio de 2011
Despues de varios meses de esperar el dichoso examen ahora debo esperar 2 mese mas los resultados :)...

Que es el CISM?
Es una certificacion de Seguridad de la Informacion que se obtiene presentando un examen de 4 horas con 200 preguntas orientadas a perfiles de Gerentes de Seguridad de la Informacion, solo es posible presentar el examen solamente 2 veces al ano.

Las preguntas no tienen nada tecnico, o sea de pila tcp, redes, bases de datos, configuraciones linux, nada nada, simplemente preguntas de como se deberian hacer estrategias de seguridad de informacion, como sustentarlas con la alta gerencia, obtener recursos para el area, toma de decisiones en situaciones de desastre, de nuevas implementaciones tecnologicas para que sean seguras, enfin creo que con estos ejemplos ya hay una idea de lo aburrido que es.

Para que sirve el CISM y por que lo tome?
Bueno finalmente las certificaciones en el mercado sirven para mejorar el empleo y en conferencias para decir que tienes certificaciones jejejeje...

Siento que se puede tener muy buenas ideas tecnicas, pero poderlas comunicarlas y poderlas promocionar han sido el gran reto y la gran diferencia en la historia, vemos el caso Microsoft o Apple, por esto me parece que es importante manejar la habilidad de solicitar recursos o patrocinadores para proyectos de seguridad de informacion, sea en la empresa donde se trabaja o en la propia empresa, con esta certificacion espero poder tener oportunidades de labores que tengan que ver con comunicar ideas a la gerencia y seguir esta linea, aunque para nada voy a dejar a un lado mi apasionante parte tecnica.

Como es el procedimiento para obtener la Certificacion?
Basicamente se debe pagar 540 dolares mas 80 de comisiones en el pago de la tarjeta, si no es miembro de ISACA, eso le da derecho al examen y a la membresia por 1 ano, luego llegan unos paquetes a la direccion que registra en la inscripcion, como una revista, informacion, etc etc, y el documento de admision para ser utilizado el dia del examen, si pierde esta carta la puede imprimir del correo de confirmacion que llega cuando se compra la subscripcion.

Se presenta el examen el lugar y el dia indicado, si se quiere aplazar vale 50 dolares, a las 8am llegue y a las 8:15am empezaron a llamar a lista para ingresar, hasta las 8:30, luego desde ese momento hasta las 9:00 pm, las personas responsables de la logistica leen y explican o mejor confunden de como se debe llenar el examen y las reglas de juega durante el examen.

Debido a que son 4 horas seguidas del examen sin break oficial, se puede salir del salon para ir al bano etc, pero yo no pude ir ya que no me alcanzo el tiempo, fue muy justo el tiempo, 12:58 am y estaba rellenando la ultima bolita, no alcance a revisar ninguna pregunta y eso que iba contestando super rapido.

Hasta este punto de la historia es lo que he recorrido de la certificacion, luego que salimos del examen las demas personas empezaron a comentar que se debia esperar 2 meses para saber los resultados y culminar el proceso de certificacion en caso de que se haya pasado con el 70% de las respuestas correctas, luego

"Una vez has aprobado el examen debes de demostrar tu experiencia en la materia. Para ello debes:

  • Rellenar y enviar el documento de Application correspondiente.
  • Cumplir con el Código de Ética profesional.
  • Adherirse a la Pólitica Profesional de ISACA"
Con respecto a los libros no voy a decir que compre uno o el otro, simplemente que yo compre los 3 y el mas grande me aburrio, es una tabla remamerta durante todo el libro que simplemente dice mmmm oiga ud debe saber esto esto esto pero no explica como ni nada, por ejemplo en algun lado recuerdo que decia que para proyectos seria bueno algo asi como ser PMP y pues pienso que para una preparacion a muyyyyy largo plazo si sirve, ya que para el solo PMP se debe demostrar 5 anos en proyectos ... enfin los 2 mas pequenos y mas baratos son una preparacion con preguntas y respuestas y explicacion de las respuestas que finalmente una buena cantidad sale en el examen, pues lo que uno puede esperar de unos libros que valen como 250 dolares en total (3 libros).

Recomendacion.
Llevar lapiz borrador y tajalapiz porque no entregan.
Llevar la hoja de inscripcion.
Llevar la identificacion.


lunes, 21 de febrero de 2011
Since now, I'm going to post in Spanish in http://lownoisehg.blogspot.com/ and i highly recommend to visit http://www.lownoisehg.org, while i will be posting in English here.
martes, 18 de enero de 2011
Hi everyone,

I want to study in Memphis University this year if its possible with help of God, so i need to take toelf and gre exam, from now on i will try to write in english, just for practice and get good scores, please if you see some error in my writing please let me know and help me to learn english, i will be glad to receive your corrections :), i will continue writing about security information :).

Páginas vistas en total

Con la tecnología de Blogger.

Entradas populares

Seguidores