Enlaces Patrocinados:
Esta semana se ha visto una avalancha de noticias en los medios peruanos sobre los ataques de Anonymous a diversas páginas de empresas y organismos gubernamentales. De momento, nadie sabe a ciencia cierta cuál será el impacto final que tendrá esta red en la forma cómo se distribuye la información o los límites de lo permitido o no. ¿Qué estamos enfrentando es la pregunta? Tal vez una nueva forma de activismo que vaya más allá de los medios. Les dejo con un artículo reflexivo donde analiza esta situación, a cargo de IssaPeru.org.
Hemos visto en los últimos días cómo en diversos reportajes se ha confundido terminologías y conceptos, y hasta han tomado las actividades del grupo “Anonymous” catalogándolas como Ciber-criminales, Ciber-terroristas e inclusive han deslizado la falta de preparación del Estado Peruano ante una Ciber-guerra.
Entender al grupo de Ciber-activistas “Anonymous” no es tarea fácil. Hay que comprender que no todos los miembros de Anonymous son Hackers o Crakers, siendo estos últimos una minoría, la gran mayoría de sus integrantes son Ciber-activistas que protestan y hacen sentir su presencia prestando sus computadores al servicio de los ataques distribuidos de denegación de servicios (DDoS) contra sitios Web de empresas privadas y entidades estatales para que colapsen. En la última semana el Perú fue uno de sus últimos destinos de ataque en la denominada operación “Andes Libres”, siendo el fin compartido el de describir cómo las acciones electrónicas podrían ser utilizadas en favor del cambio social o de la defensa de la libertad de pensamiento en la red.
El impulso mediático del actuar de Anonymous, ha sido aprovechado por otros grupos que sin expresar que son parte de Anonymous, los “apoyan”; y de verdad que han explotado las diversas vulnerabilidades existentes en los sitios Web del Estado, que dicho sea de paso, desde siempre han estado ahí expuestos y que ciertos grupos de conocedores usan como campo de batalla para su “adiestramiento” en los temas de seguridad informática. Pero hay que entender que teniendo el conocimiento necesario, y en este caso se presume de algunos peruanos, cruzar la fina línea entre lo legal y lo delincuencial es una tentación muy poderosa en la que algunos caen en el escenario de la existencia del “dulce” expuesto a recibir un suculento “mordisco”. Creemos que eso ha sucedido en el momento que estos otros grupos de “Crakers” peruanos han publicado información de algunas instituciones públicas.
Otra de las realidades que ronda desde hace algún tiempo en la plataforma informática usada por los peruanos, es el actuar de los Ciber-delincuentes, que conociendo las brechas y vulnerabilidades de las empresas privadas e instituciones públicas, y de las escasa conciencia de los peruanos en términos de la protección y riesgos en materia de seguridad informática y seguridad de la información; ejecutan sus acciones delincuenciales que van desde violaciones, secuestros, transferencia y hurto de fondos, clonación de tarjetas, extorsión, pornografía infantil, chantaje, abuso sexual, entre otras. Algunos de los casos más sonados son los “Ciber-Injertos del Oriente”, “Los Etacholos”, “Los Ciber-Intrusos”, “Los Internacionales de la Clonación”, “Los Pharming”, “Los Ciberdestructores” y otros casos.
¿Estamos preparados en el Perú?
El Perú podría ser considerado como un paraíso del actuar delincuencial, dada la escasa legislación en materia de ciber-delincuencia, descontando por cierto los pocos y escuetos artículos indicados en el Código Penal Peruano (207A y 207B) que tratan sobre el delito informático, y de la reciente promulgación de la “Ley de Protección de Datos Personales”, entre otros por ahí.
Por lo demás, tenemos una brecha enorme de falta de legislación que no permite, en varios de los casos, que por ejemplo profesionales de la Policía Nacional como los integrantes de la DIVINDAT-PNP (División de Investigación de Delitos de Alta Tecnología de la Policía Nacional), puedan actuar con mayor libertad en favor de nuestra protección. Pero eso no es todo, la falta de recursos y presupuesto destinados para enfrentar a los delincuentes son escasos, no permitiendo que este equipo de élite se encuentre equipado con las “Ciber-Armas” de Alta Tecnología que requieren para enfrentarse al enemigo, el cual por cierto “invierte” en tecnificarse cada día.
En esa línea también están las entidades como la Oficina Nacional de Gobierno Electrónico e Informática-ONGEI de la Presidencia del Consejo de Ministros que, siendo integrada por profesionales conocedores en materia informática, se ve mermada al tener brindar la cara pública sobre los acontecimientos suscitados últimamente en contra de los sitios Web del Estado, pero sin que el común de los peruanos sepa, por ejemplo, que la creación del Grupo de Trabajo denominado Coordinadora de Respuesta a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú (Pe-Cert), creada mediante Resolución Ministerial N°360-2009-PCM el 19 de Agosto de 2009, fue creada sin presupuesto asignado, tal como lo revela misma Resolución Ministerial en su Artículo 7° , que indica lo siguiente: “Del presupuesto: El gasto que demande la implementación de la Coordinadora de Respuesta a Emergencias en Redes Telemáticas de la Administración Pública del Perú, NO IMPLICARÁ MAYOR PRESUPUESTO AL ASIGNADO a la Oficina Nacional de Gobierno Electrónico e Informática-ONGEI de la Presidencia del Consejo de Ministros”. Entonces, ¿como es posible hablar de protección y respuesta ante incidentes informáticos, cuando no se destina presupuesto para ello?. Sabemos del esfuerzo por incrementar el nivel de seguridad en el Estado, pero sin base presupuestal es muy poco lo que se puede hacer, dependerá del próximo Primer Ministro destinar el presupuesto e importancia a la seguridad informática y seguridad de la información en el Perú.
Ni qué hablar de las políticas públicas referidas a la Ciber-Guerra. En los últimos meses hablamos de protección de nuestro territorio físico ante la Corte de la Haya, destinando fuertes sumas de dinero para ganar la batalla legal sobre nuestro territorio. Ante ello saltan a la luz una serie de preguntas tales como: ¿cuáles son las estrategias para enfrentar un escenario de Ciber-Ataque de otro país?, ¿tenemos las ciber-armas listas y preparadas para nuestra defensa?, ¿los profesionales de las fuerzas armadas se han preparado de manera coordinada para enfrentar una ciber-guerra?; estas requieren respuestas urgentes al más breve plazo, y de las que esperamos pronto estén presentes en el debate público, en un escenario en donde el Perú debe actuar en su defensa.
En términos de los portales del Estado Peruano, son pocas las instituciones públicas que destinan presupuesto importante en seguridad informática; hablamos de aquellas que brindan servicios digitales importantes al ciudadano y que una paralización por denegación de servicios DDoS sí afectaría directamente a sus clientes. Otra es la cara de aquellas instituciones públicas que destinan escasos recursos a su protección perimetral, por lo que resultan más expuestas a los ataques de ciber-delincuentes, y claro está, materia disponible para ataques de los Ciber-activistas.
La situación de la seguridad en los portales peruanos pasa por la ausencia de una línea base en materia de seguridad informática, de acuerdo al nivel de exposición e importancia de la información que se maneja en cada institución pública, que le permita elevar el nivel de seguridad perimetral, adquiriendo el Hardware y/o Software necesarios para su protección. Quizás algunos recuerden que mediante la Presidencia del Consejo de Ministros hace algunos años se solicitó que las entidades públicas aplicaran la norma internacional en materia de controles de seguridad de la información ISO/IEC 17799 (ahora ISO 27002), pero que luego de algún tiempo relajó los plazos y que a la fecha ha quedado como una buena intención en algunas entidades públicas, y que dicho sea de paso varias empresas privadas de servicios “especializados en seguridad informática”, se han visto beneficiadas ofreciendo a algunas entidades públicas lo que llaman “gato por liebre”, muchas veces consecuencia del desconocimiento en el tema, por parte de la entidad pública.
Otro de los puntos que necesita ser reforzado es el nivel de capacitación y experiencia de los programadores peruanos, en términos de implementar buenas prácticas en materia de seguridad informática en el desarrollo de las aplicaciones Web para las Entidades Públicas y empresas privadas. Muchísimos son los casos en donde se han explotado vulnerabilidades a nivel de programación, que bien pudieron haber sido mitigados si por lo menos se hubieran tomado algunas recomendaciones de buenas prácticas en programación segura. Ya existen proyectos públicos como por ejemplo el de OWASP – Open Web Application Security Project, el cual es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro, brindando recomendaciones a los programadores en la reducción de las brechas existentes.
Ante lo expuesto y en relación al grupo de Ciber-activistas de “Anonymous”, consideramos que por el eco mediático de sus acciones y el futuro en cantidad de adeptos que tienen por delante, hacen configurarlos como candidatos, por lo menos desde nuestro punto de vista y lectura, a llevar el título del “Quinto Poder” en nuestra sociedad, continuación de la serie de los tres poderes clásicos de Montesquieu (ejecutivo, legislativo y judicial) y tras el cuarto poder que se atribuye a los medios de comunicación.
Por último, se vaticina largo el camino en donde escucharemos las frases de ellos al final de sus comunicados: “El conocimiento es libre. Somos Anónimos. Somos Legión. No perdonamos. No olvidamos. ¡Esperadnos!”
Autor: Information Systems Security Association (ISSA) – Capítulo Peruano
Enlace: IssaPeru.org
Etiquetas: ciberseguridad, seguridad de la informacion
July 5th, 2011 at 2:58 pm
Holaa. Primero, hablar sobre anonimous, que pienso que tienen razón. Segundo, pedirles una invitacion de google+ si aun quedan algunas… byee
July 13th, 2011 at 12:16 pm
El motivo de ataques de anonymous es por que ellos argumentan problemas del gobierno en su seguridad y control y que no mienta al respecto, tambien amenazaron a telefonica de que no se meta en este conflicto, pero al parecer de todas maneras algunas paginas de telefonica presentaron problema, despues de todo la seguridad total no existe pero si existen varias estrategias a implementar para minimizar los riesgos.